בדף הזה מופיעה הרשימה המלאה של התכונות של Android Enterprise.
אם בכוונתך לנהל יותר מ-500 מכשירים, פתרון ה-EMM צריך לתמוך את כל התכונות הרגילות () מתוך לפחות אחד להגדיר לפני שאפשר יהיה להפוך אותו לזמין באופן מסחרי. פתרונות EMM לעבור אימות של תכונות סטנדרטיות מפורטים ברשימה Enterprise Solutions של Android לספרייה כהצעה של ערכת ניהול סטנדרטי.
לכל קבוצת פתרונות יש קבוצה נוספת של תכונות מתקדמות. האלה התכונות מסומנות בכל דף של קבוצת פתרונות: פרופיל עבודה , מכשיר מנוהל, וגם מכשיר ייעודי. פתרונות EMM שעוברים אימות תכונות מתקדמות מפורטים ספריית הפתרונות לארגונים כמו הצעת ערכת ניהול מתקדם.
מפתח
| רגיל פיצ'ר | מתקדם פיצ'ר | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשירים
1.1. ניהול תצורה של פרופיל עבודה שמתמקד ב-DPC
ניתן להקצות פרופיל עבודה לאחר הורדת בקר ה-DPC של ה-EMM Google Play.
1.1.1. ה-DPC של ה-EMM חייב להיות זמין לציבור ב-Google Play כדי שמשתמשים יוכלו להתקין את בקר ה-DPC בצד האישי של המכשיר.
1.1.2. לאחר ההתקנה, ה-DPC צריך להנחות את המשתמש בתהליך הקצאת פרופיל עבודה.
1.1.3. לאחר השלמת ההקצאה, לא תישאר נוכחות ניהולית במכשיר הצד האישי של המכשיר.
- צריך להסיר את כל כללי המדיניות שהוגדרו במהלך ניהול ההקצאות.
- צריך לבטל את ההרשאות הניתנות לאפליקציה.
- בקר ה-DPC של ה-EMM חייב להיות כבוי, לכל הפחות, בצד האישי של במכשיר.
1.2. הקצאת מכשיר באמצעות מזהה DPC
אדמיני IT יכולים להקצות מכשיר מנוהל או ייעודי באמצעות מזהה DPC ('afw#'), בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.2.1. ה-DPC של ה-EMM חייב להיות זמין לציבור ב-Google Play. בקר DPC מאשף הגדרת המכשיר על ידי הזנת מזהה ספציפי ל-DPC.
1.2.2. לאחר ההתקנה, בקר ה-DPC של ה-EMM חייב להנחות את המשתמש בתהליך של הקצאת מכשיר מנוהל או ייעודי.
1.3. הקצאת מכשיר NFC
אדמינים ב-IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שאופסו להגדרות המקוריות בהתאם ליישום שמפורטות מסמכי תיעוד של Play EMM API למפתחים.
1.3.1. פלטפורמות EMM חייבות להשתמש בתגים מסוג 2 של NFC Forum עם זיכרון בנפח של 888 בייטים לפחות. כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה, צריך להשתמש בתוספים להקצאה. פרטי הרישום אין לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. לאחר שבקר ה-DPC של ה-EMM מוגדר את עצמו כבעלים של המכשיר, ה-DPC צריך להיפתח מיד וינעל את עצמו במסך עד שההקצאה של המכשיר תהיה מלאה. 1.3.3. מומלץ להשתמש בתגי NFC בגרסאות Android 10 ואילך, בגלל ההוצאה משימוש של NFC Beam (נקרא גם NFC Bump).
1.4. הקצאת מכשיר עם קוד QR
מנהלי IT יכולים להשתמש במכשיר חדש או במכשיר שאופס להגדרות המקוריות כדי לסרוק קוד QR שנוצר על ידי מסוף ה-EMM כדי להקצות את המכשיר, בהתאם להטמעה ההנחיות שמפורטות ב הפעלת התיעוד למפתחים של EMM API.
1.4.1. קוד ה-QR חייב להשתמש בתוספים לניהול כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. הרשמה אסור לכלול בהם מידע רגיש, כמו סיסמאות או אישורים.
1.4.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC צריך להיפתח באופן מיידי ולנעול את עצמו למסך עד שהמכשיר יוקצה במלואו.
1.5. הרשמה דרך הארגון
אדמיני IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות דרך הארגון שיטת ההרשמה שמתוארת במאמר הרשמה דרך הארגון לאדמינים ב-IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, הוא מוגדר באופן אוטומטי להגדרות שהוגדרו על ידי האדמין ב-IT.
1.6. ניהול הקצאות מתקדם דרך הארגון
מנהלי IT יכולים לבצע אוטומציה של רוב תהליך רישום המכשירים על ידי פריסת DPC פרטי ההרשמה דרך הרשמה דרך הארגון. בקר ה-DPC של ה-EMM תומך להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם אפשרויות התצורה שמוצעות על ידי ה-EMM.
1.6.1. מנהלי IT יכולים להקצות מכשיר בבעלות החברה באמצעות דרך הארגון שיטת הרשמה, מוסברת הרשמה דרך הארגון לאדמינים ב-IT.
1.6.2. לאחר שה-DPC של ה-EMM יגדיר את המכשיר, בקר ה-DPC של ה-EMM ייפתח באופן מיידי וננעל את עצמו במסך עד שהמכשיר מלא הוקצה.
- מכשירים שמשתמשים בהרשמה דרך הארגון מוותרים על הדרישה הזו. את פרטי הרישום כדי להקצות את עצמם באופן מלא בשקט (לדוגמה, בפריסה ייעודית של המכשיר).
1.6.3. בעזרת פרטי הרישום, בקר ה-DPC של ה-EMM חייב לוודא משתמשים לא מורשים לא יוכלו להמשיך בהפעלה לאחר הפעלת ה-DPC. בשלב לכל הפחות, ההפעלה חייבת להיות נעולה למשתמשים של ארגון נתון.
1.6.4. לפי פרטי הרישום, ה-DPC של ה-EMM חייב לאפשר אדמינים ב-IT צריכים לאכלס מראש את פרטי הרישום (לדוגמה, מזהי שרתים, מזהי רישום) מלבד מידע ייחודי על משתמשים או מכשירים (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשמפעילים מכשיר.
- אסור לספקי EMM לכלול מידע רגיש, כמו סיסמאות או אישורים, בהגדרה של ההרשמה דרך הארגון.
1.7. הקצאה של פרופיל עבודה בחשבון Google
לארגונים שמשתמשים בדומיין מנוהל של Google, שהתכונה הזו מנחה את המשתמשים איך להגדיר פרופיל עבודה אחרי שהם נכנסים את פרטי הכניסה שלהם ל-Workspace במהלך הגדרת המכשיר או במכשיר כבר הופעל. בשני המקרים, הזהות הארגונית של Workspace תהיה הועברו לפרופיל העבודה.
1.7.1. שיטת הקצאת חשבון Google מקצה פרופיל עבודה, בהתאם להנחיות להטמעה.
1.8. הקצאת מכשיר לחשבון Google
בארגונים שמשתמשים ב-Workspace, התכונה הזו מנחה את המשתמשים לעבור התקנת בקר DPC של ה-EMM אחרי כניסה ל-Workspace הארגוני במהלך ההגדרה הראשונית של המכשיר. לאחר ההתקנה, ה-DPC משלים את או להגדיר מכשיר בבעלות החברה.
1.8.1. שיטת הקצאת חשבון Google מקצה מכשיר בבעלות החברה, בהתאם להנחיות להטמעה.
1.8.2. אלא אם ל-EMM יש אפשרות לזהות באופן חד-משמעי את המכשיר כארגון הם לא יכולים להקצות מכשיר בלי שתוצג בקשה במהלך תהליך ההקצאה. בהנחיה הזו צריך לבצע פעולה שלא מוגדרת כברירת מחדל, כמו סימון תיבת סימון או בחירה באפשרות תפריט שלא מוגדרת כברירת המחדל. מומלץ: ל-EMM יש אפשרות לזהות את המכשיר כנכס עסקי, שאין צורך בהנחיה.
1.9. הגדרה ישירה דרך הארגון
אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי להגדיר מכשירים ללא מגע באמצעות iframe ללא מגע.
1.10. פרופילים של עבודה במכשירים בבעלות החברה
פתרונות EMM יכולים לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה.
1.10.1. ריק מכוון.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילי עבודה בבעלות החברה מכשירים.
1.10.3. מנהלי IT יכולים להשבית את המצלמה בפרופיל העבודה או בכל המכשיר.
1.10.4. מנהלי IT יכולים להשבית את צילום המסך בפרופיל העבודה או בכל המכשיר.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת היתרים או רשימת חסימה של אפליקציות שיכולות או לא ניתן להתקין בפרופיל האישי.
1.10.6. מנהלי IT יכולים לוותר על ניהול מכשיר בבעלות החברה על ידי הסרת בפרופיל העבודה או לאפס את כל הנתונים במכשיר.
1.11. הקצאת מכשיר ייעודי
ריק מכוון.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
מנהלי IT יכולים להגדיר ולאכוף אתגר אבטחת מכשירים (קוד אימות/קו ביטול נעילה/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. המדיניות צריכה לאכוף הגדרות שמנהלות את אתגרי אבטחת המכשיר (parentProfilePasswordRequest עבור פרופיל עבודה, סיסמה דרישות עבור) במכשירים ייעודיים ומנוהלים במלואו).
2.1.2. מורכבות הסיסמה צריכה להיות מבוססת על המורכבות הבאה של סיסמאות:
- PASSWORD_COMPLEXITY_LOW - דפוס או קוד אימות עם רצפים חוזרים (4444) או לפי סדר (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - מספר PIN ללא רצפים חוזרים (4444) או לפי סדר (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך 4 לפחות
- PASSWORD_COMPLEXITY_HIGH - מספר PIN ללא רצפים חוזרים (4444) או סדורים (1234, 4321, 2468) וכן האורך המינימלי הוא 8 או סיסמאות בפורמט אלפביתי או אלפאנומרי באורך של לפחות לפחות 6
2.2. אתגר אבטחה בעבודה
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בעבודה פרופיל נפרד עם דרישות שונות מאבטחת המכשיר אתגר (2.1.).
2.2.1. המדיניות חייבת לאכוף את אתגר האבטחה של פרופיל העבודה. כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות לפרופיל העבודה רק אם לא את ההיקף שצוין, מנהלי IT יכולים להגדיר את ההיקף לכל המכשיר, על ידי ציון (ראו דרישה 2.1)
2.1.2. מורכבות הסיסמה צריכה להתבסס על המורכבות הבאה של סיסמאות:
- PASSWORD_COMPLEXITY_LOW - תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - מספר PIN ללא רצפים חוזרים (4444) או לפי סדר (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך 4 לפחות
- PASSWORD_COMPLEXITY_HIGH - מספר PIN ללא רצפים חוזרים (4444) או סדורים (1234, 4321, 2468) וכן האורך המינימלי הוא 8 או סיסמאות בפורמט אלפביתי או אלפאנומרי באורך של לפחות לפחות 6
2.3. ניהול מתקדם של קודי גישה
2.3.1. ריק מכוון.
2.3.2. ריק מכוון.
2.3.3. אפשר לקבוע את ההגדרות הבאות של מחזור החיים של הסיסמה לכל מסך נעילה זמינות במכשיר:
- ריק מכוון
- ריק מכוון
- המספר המקסימלי של סיסמאות שאי אפשר לאפס לצורך איפוס : מציין את מספר הפעמים שמשתמשים יכולים להזין סיסמה שגויה לפני כן נתונים ארגוניים נמחקים מהמכשיר. לאדמינים ב-IT צריכה להיות אפשרות להשבית בתכונה הזו.
2.4. ניהול Smart Lock
מנהלי IT יכולים לקבוע אילו סוכני אמון ב-Smart Lock של Android מורשים לבטל את נעילת המכשירים. אדמינים ב-IT יכולים להשבית ביטול נעילה ספציפי שיטות כמו מכשירי Bluetooth מהימנים, זיהוי פנים וזיהוי קולי, או להשבית אותה לגמרי.
2.4.1. מנהלי IT יכולים להשבית את סוכני האמינות של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר.
2.4.2. מנהלי IT יכולים לאפשר ולהגדיר באופן סלקטיבי את האמון ב-Smart Lock נציגים , בנפרד לכל מסך נעילה שזמין במכשיר, עבור סביבה אמינה: Bluetooth, NFC, מקומות, זיהוי פנים, נשיאה על הגוף וקול.
- מנהלי IT יכולים לשנות מהימנות זמינה פרמטרים של הגדרת סוכן.
2.5. מעבר תצוגה ונעילה
מנהלי IT יכולים להשתמש במסוף של ה-EMM כדי לנעול מרחוק את נתוני העבודה ולמחוק אותם במכשיר המנוהל.
2.5.1. ה-DPC של ה-EMM חייב לנעול את המכשירים.
2.5.2. של ה-EMM DPC חייבים לאפס את נתוני המכשירים.
2.6. אכיפת תאימות
אם המכשיר לא עומד בדרישות של מדיניות האבטחה, הגישה לנתוני העבודה מוגבלת באופן אוטומטי.
2.6.1. מדיניות האבטחה שחלה על המכשיר חייבת לכלול לפחות מדיניות סיסמאות.
2.7. מדיניות ברירת המחדל בנושא אבטחה
ספקי EMM חייבים לאכוף את כללי מדיניות האבטחה שצוינו במכשירים כברירת מחדל, בלי לדרוש ממנהלי IT להגדיר או להתאים אישית הגדרות ב-EMM במסוף. אנחנו ממליצים לספקי EMM (אבל לא חובה) לא לאפשר למנהלי IT לשנות מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. בקר ה-DPC של ה-EMM לחסום התקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה.
2.7.2. של ה-EMM DPC חייבים לחסום תכונות לניפוי באגים.
2.8. כללי מדיניות אבטחה למכשירים ייעודיים
כדי לאפשר פעולות אחרות, מכשירים ייעודיים נעולים ללא שימוש בתו בריחה (escape).
2.8.1. ה-DPC של ה-EMM חייב להשבית את האתחול למצב בטוח כברירת מחדל.
2.8.2. יש לפתוח את בקר ה-DPC של ה-EMM ולהפעיל אותו מיד במסך להפעיל מחדש במהלך ההקצאה, כדי להבטיח שלא תהיה אינטראקציה עם המכשיר בכל דרך אחרת.
2.8.3. צריך להגדיר את ה-DPC של ה-EMM כמרכז האפליקציות שמוגדר כברירת מחדל, כדי לוודא שהאפליקציות המורשות יהיו נעולות למסך בזמן האתחול, בהתאם להנחיות להטמעה.
2.9. תמיכה ב-Play Integrity
ה-EMM משתמש ב-Play Integrity API כדי לוודא שהמכשירים הם מכשירי Android תקינים.
2.9.1. בקר ה-DPC של ה-EMM מיישם את Play Integrity API במהלך ניהול הקצאות ידני וכברירת מחדל משלים רק את הקצאת המכשיר עם נתונים ארגוניים כאשר תקינות המכשיר שהוחזרה היא MEETS_STRONG_INTEGRITY הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
2.9.2. ה-DPC של ה-EMM יבצע בדיקת תקינות נוספת ב-Play בכל פעם המכשיר מתחבר לשרת של ה-EMM, שאותו מנהל ה-IT יכול להגדיר. ה-EMM יאמת את פרטי ה-APK בתגובה לבדיקת התקינות את התשובה עצמה לפני עדכון מדיניות ארגונית במכשיר.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך התוצאות של בדיקת תקינות של Play, כולל חסימה של הקצאת הרשאות ידנית, מחיקת נתונים של חברות וכך לאפשר את המשך ההרשמה.
- שירות ה-EMM יאכוף את התגובה הזו למדיניות עבור התוצאה של בכל בדיקת תקינות.
2.9.4. אם בדיקת התקינות הראשונית של Play נכשלת או מחזירה תוצאה ש לא עומדים בתקינות חזקה, אם בקר ה-DPC של ה-EMM עדיין לא ensureWorkingEnvironment עליו לעשות זאת ולחזור על הבדיקה לפני השלמת ההקצאה.
2.10. אכיפה של אימות אפליקציות
אדמינים ב-IT יכולים להפעיל את האפשרות אימות אפליקציות במכשירים. התכונה 'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר מזיקות לפני ואחרי ההתקנה, כדי להבטיח אפליקציות לא יכולות לסכן נתונים ארגוניים.
2.10.1. בקר ה-DPC של ה-EMM חייב להפעיל אימות אפליקציות כברירת מחדל.
2.11. תמיכה בהפעלה ישירה
אפליקציות לא יכולות לפעול במכשירי Android מגרסה 7.0 ואילך שהופעלו לאחרונה עד הנעילה של המכשיר בוטלה. הפעלה ישירה ומבטיחה שבקר ה-DPC של ה-EMM תמיד פעיל ומסוגל לאכוף מדיניות, גם אם הנעילה של המכשיר לא בוטלה.
2.11.1. בקר ה-DPC של ה-EMM משתמש באחסון המוצפן במכשיר כדי לבצע ניהול לפני האחסון המוצפן של פרטי הכניסה של ה-DPC פוענח. פונקציות הניהול שזמינות במהלך הפעלה ישירה חייבות לכלול מוגבלים ל-):
- איפוס נתוני הארגון, כולל האפשרות לאפס את נתוני ההגנה מפני איפוס להגדרות המקוריות בתור המתאים.
2.11.2. אסור ל-DPC של ה-EMM לחשוף את נתוני החברה בתוך המכשיר המוצפן אחסון.
2.11.3. פלטפורמות ניהול מכשירים ניידים יכולות להגדיר ולהפעיל אסימון כדי להפעיל את הלחצן שכחתי את הסיסמה במסך הנעילה של פרופיל העבודה. הלחצן הזה משמש לשליחת בקשה האדמינים ב-IT איפסו באופן מאובטח את הסיסמה של פרופיל העבודה.
2.12. ניהול אבטחת חומרה
מנהלי IT יכולים לנעול רכיבי חומרה של מכשירים בבעלות החברה כדי להבטיח מניעת אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מטעינה פיזית של ציוד חיצוני מדיה במכשיר שלהם.
2.12.2. מנהלי IT יכולים לחסום משתמשים כך שלא יוכלו לשתף נתונים מהמכשיר שלהם באמצעות NFC העברת תוכן (Beam) הקצר הזה. התשובות שלך יעזרו לנו להשתפר. תכונת המשנה הזו היא אופציונלית כי אין יותר תמיכה בפונקציית אלומה של NFC ב-Android מגרסה 10 ואילך.
2.12.3. מנהלי IT יכולים לחסום משתמשים כך שלא יוכלו להעביר קבצים USB מהמכשיר שלהם.
2.13. רישום ביומן של אבטחת הארגון
אדמיני IT יכולים לאסוף נתוני שימוש ממכשירים, שניתן לנתח ולבצע הערכה פרוגרמטית שלהם כדי לזהות התנהגות זדונית או מסוכנת. הפעילויות נרשמו כולל פעילות ב-Android Debug Bridge (adb), פתיחה של אפליקציות וביטולי נעילה של המסך.
2.13.1. אדמינים ב-IT יכולים להפעיל רישום ביומן האבטחה במכשירים ספציפיים, וה-DPC של ה-EMM חייב להיות מסוגל לאחזר את שני אמצעי האבטחה יומנים ואת יומני האבטחה של ההפעלה מראש באופן אוטומטי.
2.13.2. אדמינים ב-IT יכולים לבדוק את יומני האבטחה של הארגון במסוף של ה-EMM, עבור מכשיר נתון וחלון זמן שניתן להגדרה.
2.13.3. אדמינים ב-IT יכולים לייצא יומני אבטחה של הארגון ממסוף ה-EMM.
3. ניהול החשבון והאפליקציות
3.1. קישור Enterprise
אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין שיש לו דומיין מנוהל של Google יכול לקשר את הדומיין שלו אל ה-EMM.
3.1.2. מסוף ה-EMM צריך להקצות ולהגדיר באופן שקט ESA לכל ארגון.
3.1.3. ביטול ההרשמה של ארגון באמצעות API של Play EMM.
3.1.4. במסוף ה-EMM, האדמין מקבל הנחיות להזין את כתובת האימייל העסקית שלו בתהליך ההרשמה ל-Android, ומופיע בו מידע שמעודד אותו לא להשתמש בחשבון Gmail.
3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאת חשבונות Google Play לארגונים
ה-EMM יכול להקצות באופן אוטומטי חשבונות משתמשים לארגון, שנקראים 'חשבונות Google Play מנוהלים'. בחשבונות האלה אפשר לזהות משתמשים מנוהלים מאפשרים כללי הפצת אפליקציות ייחודיים לכל משתמש.
3.2.1. בקר ה-DPC של ה-EMM יכול להקצות ולהפעיל באופן שקט חשבון Google Play מנוהל בהתאם להנחיות ההטמעה המוגדרות. ככה עושים את זה:
- חשבון Google Play מנוהל מסוג
userAccountנוסף אל במכשיר. - חשבון Google Play המנוהל מסוג
userAccountחייב להיות מוגדר ל-1 על 1 למפות עם המשתמשים בפועל במסוף ה-EMM.
3.3. הקצאת חשבון מכשיר ב-Google Play לארגונים
ל-EMM יש אפשרות ליצור חשבונות במכשירים מנוהלים של Google Play ולהקצות אותם הקצר הזה. התשובות שלך יעזרו לנו להשתפר. חשבונות המכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא קשורים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזהות מכשיר אחד שיתמוך בכללי הפצת אפליקציות לכל מכשיר במקרים של מכשירים ייעודיים.
3.3.1. בקר ה-DPC של ה-EMM יכול להקצות ולהפעיל באופן שקט חשבון Google Play מנוהל
בהתאם להנחיות ההטמעה המוגדרות.
כדי לעשות זאת, צריך להוסיף חשבון Google Play מנוהל מסוג deviceAccount
למכשיר.
3.4. הקצאת חשבונות Google Play לארגונים למכשירים מדור קודם
ה-EMM יכול להקצות באופן שקט חשבונות משתמשים ארגוניים, שנקראים 'Google מנוהלת' חשבונות Play. בחשבונות האלה מזהים משתמשים מנוהלים ומאפשרים גישה ייחודית לכל משתמש כללי הפצת אפליקציות.
3.4.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות. ככה עושים את זה:
- חשבון Google Play מנוהל מסוג
userAccountנוסף אל במכשיר. - חשבון Google Play המנוהל מסוג
userAccountחייב להיות מוגדר ל-1 על 1 למפות עם המשתמשים בפועל במסוף ה-EMM.
3.5. הפצה שקטה של אפליקציות
מנהלי IT יכולים להפיץ אפליקציות לעבודה באופן שקט מכשירים ללא אף משתמש באינטראקציה ישירה.
3.5.1. במסוף ה-EMM יש להשתמש ב-API של Play EMM כדי לאפשר לאדמינים ב-IT להתקין אפליקציות לעבודה במכשירים מנוהלים.
3.5.2. במסוף ה-EMM יש להשתמש ב-API של Play EMM כדי לאפשר לאדמינים ב-IT לעדכן אפליקציות לעבודה במכשירים מנוהלים.
3.5.3. במסוף ה-EMM יש להשתמש ב-API של Play EMM כדי לאפשר לאדמינים ב-IT להסיר אפליקציות ממכשירים מנוהלים.
3.6. ניהול של הגדרות מנוהלות
אדמינים ב-IT יכולים לראות את ההגדרות המנוהלות של כל אפליקציה ולהגדיר אותן בצורה שקטה שיש בה תמיכה בהגדרות מנוהלות.
3.6.1. במסוף של ה-EMM צריכה להיות אפשרות לאחזר ולהציג את המכשירים המנוהלים הגדרות אישיות של כל אפליקציה ב-Play.
- פלטפורמות EMM יכולות להפעיל את
Products.getAppRestrictionsSchemaכדי לאחזר את הסכימה של ההגדרות המנוהלות של האפליקציה, או להטמיע את ה-iframe של ההגדרות המנוהלות במסוף ה-EMM שלהן.
3.6.2. מסוף ה-EMM חייב לאפשר למנהלי IT להגדיר כל סוג של תצורה (כ מוגדר על ידי Android framework) לכל אפליקציה של Play באמצעות Play EMM API.
3.6.3. מסוף ה-EMM חייב לאפשר למנהלי IT להגדיר תווים כלליים לחיפוש (כמו $username$ או %emailAddress%), כך שההגדרה היחידה של האפליקציה כמו אפשר להחיל את Gmail על כמה משתמשים. ה-iframe של ההגדרה המנוהלת תומך באופן אוטומטי בדרישה הזו.
3.7. ניהול קטלוג אפליקציות
מנהלי IT יכולים לייבא רשימה של אפליקציות שאושרו עבור הארגון שלהם מ- Google Play לארגונים (play.google.com/work).
3.7.1. במסוף של ה-EMM יכולה להופיע רשימה של אפליקציות שאושרו עבור הפצה, כולל:
- אפליקציות שנרכשו ב-Google Play לארגונים
- אפליקציות פרטיות גלויות לאדמינים ב-IT
- באופן פרוגרמטי אפליקציות שאושרו
3.8. אישור פרוגרמטי של אפליקציה
מסוף ה-EMM משתמש ב-iframe המנוהל של Google Play כדי לתמוך יכולות גילוי ואישור של אפליקציות. אדמינים ב-IT יכולים לחפש אפליקציות לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת ממסוף ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות ה-iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה המנוהלת של חנות Google Play במכשירים כדי להתקין ולעדכן אפליקציות לעבודה. פריסת החנות הבסיסית מוצגת כברירת מחדל ומציגה את האפליקציות שאושרו לארגון. פלטפורמות ה-EMM מסננות את האפליקציות האלה לפי משתמשים, בהתאם למדיניות.
3.9.1. אדמינים ב-IT יכולים לנהל את קבוצות המוצרים הזמינות למשתמשים כדי לאפשר להם להציג ולהתקין אפליקציות מחנות Google Play המנוהל. לשם כך, הם צריכים לעבור לקטע 'דף הבית של החנות'.
3.10. הגדרה מתקדמת של פריסת החנות
אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמוצגת ב-Google Play לארגונים החנות של האפליקציה במכשירים.
3.10.1. מנהלי IT יכולים לבצע את הפעולות הבאות במסוף ה-EMM כדי התאמה אישית של הפריסה המנוהלת של חנות Google Play:
- אפשר ליצור עד 100 דפים בפריסת חנויות. דפים יכול לכלול מספר שרירותי של שמות דפים שהותאמו לשוק המקומי.
- ליצור עד 30 אשכולות לכל דף. באשכולות יכולה להיות הגדרה שרירותית מספר השמות של אשכולים שהותאמו לשוק המקומי.
- מקצים עד 100 אפליקציות לכל אשכול.
- אפשר להוסיף עד 10 קישורים מהירים לכל דף.
- לציין את סדר המיון של האפליקציות באשכול ובאשכולות הדף הזה.
3.11. ניהול רישיונות לאפליקציות
אדמיני IT יכולים להציג ולנהל רישיונות לאפליקציות שנרכשו ב-Google Play לארגונים דרך מסוף ה-EMM.
3.11.1. עבור אפליקציות בתשלום שאושרו לארגון, יש צורך במסוף של ה-EMM תצוגה:
- מספר הרישיונות שנרכשו.
- מספר הרישיונות שנעשה בהם שימוש ומספר המשתמשים שמנצלים את הרישיונות.
- מספר הרישיונות הזמינים להפצה.
3.11.2. מנהלי IT יכולים להקצות רישיונות למשתמשים באופן שקט בלי לאלץ את ההתקנה של האפליקציה הזו באף אחד מהמשתמשים מכשירים.
3.11.3. מנהלי IT יכולים לבטל את ההקצאה של רישיון לאפליקציה משתמש.
3.12. ניהול אפליקציות פרטיות באירוח של Google
אדמיני IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. מנהלי IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
- ה-iframe המנוהל של Google Play , או
- Google Play Developer Publishing API הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. ביטול הלייק אפליקציות פרטיות באירוח Google, Google Play לא מארחת את חבילות ה-APK. במקום זאת, ה-EMM עוזר למנהלי IT לארח את חבילות ה-APK בעצמם ולהגן על האירוח העצמי כי הם מוודאים שניתן להתקין אותם רק באישורם של Google המנוהלת הפעלה.
אדמינים ב-IT יכולים להיכנס למאמר תמיכה באפליקציות פרטיות לקבלת פרטים.
3.13.1. המסוף של ה-EMM חייב לעזור לאדמינים ב-IT לארח את ה-APK של האפליקציה, בכך שהם מציעים את שני הסוגים מבין האפשרויות הבאות:
- אירוח ה-APK בשרת ה-EMM. השרת יכול להיות מקומי או מבוססת ענן.
- אירוח ה-APK מחוץ לשרת ה-EMM, לפי שיקול דעתו של אדמין ב-IT. על האדמין ב-IT לציין במסוף ה-EMM היכן ה-APK מתארח.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות קובץ ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות בעצמן, והמסוף של ה-EMM יכול לפרסם בשקט קובצי הגדרה מעודכנים של APK באמצעות Google Play Developer Publishing API.
3.13.4. שרת ה-EMM שולח בקשות הורדה רק של APK באירוח עצמי שמכיל JWT חוקי בקובץ ה-cookie של הבקשה, כפי שאומת על ידי למפתח הציבורי של האפליקציה הפרטית.
- כדי לאפשר את התהליך, השרת של ה-EMM צריך להנחות את מנהלי ה-IT הורדת המפתח הציבורי של רישיון האפליקציה באירוח עצמי מ-Google Play עליך להפעיל את Play Console, ואז להעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה של EMM
במקום לשלוח שאילתות ל-Play מדי פעם כדי לזהות אירועים קודמים כמו אפליקציה עדכון שמכיל הרשאות חדשות או הגדרות מנוהלות, שליפת EMM הודעות יישלחו באופן יזום ל-EMM על אירועים כאלה בזמן אמת, ויאפשרו ספקי EMM לבצע פעולות אוטומטיות ולספק התראות ניהול מותאמות אישית על סמך האירועים האלה.
3.14.1. מערכת ה-EMM צריכה להשתמש בהתראות EMM של Play כדי לשלוף קבוצות של התראות.
3.14.2. ה-EMM חייב להודיע אוטומטית לאדמין ב-IT (לדוגמה על ידי אימייל אוטומטי) של אירועי ההתראות הבאים:
newPermissionEvent: נדרש אישור מאדמין ב-IT לאישור אפליקציה חדשה הרשאות לפני שניתן להתקין או לעדכן את האפליקציה באופן שקט מכשירים.appRestrictionsSchemaChangeEvent: יכול להיות שתצטרכו לבקש מאדמין IT לעדכן את ההגדרה המנוהלת של האפליקציה כדי לשמור על הפונקציונליות הרצויה.appUpdateEvent: עשוי לעניין מנהלי IT שמעוניינים לוודא שהפונקציונליות העיקרית של תהליך העבודה לא מושפעת מעדכון האפליקציה.productAvailabilityChangeEvent: עשוי להשפיע על היכולת להתקין את או לבצע עדכונים לאפליקציה.installFailureEvent: אין אפשרות להתקין אפליקציה באופן שקט ב-Play שמרמז על כך שיכול להיות שיש משהו במכשיר תצורה שמונעת את ההתקנה. EMM לא צריך להיות באופן מיידי מנסים שוב לבצע התקנה שקטה לאחר קבלת ההתראה הזו, כי האפליקציה של Play הלוגיקה של הניסיונות החוזרים נכשלה.
3.14.3. ה-EMM מבצע באופן אוטומטי את הפעולות המתאימות על סמך אירועי התראות:
newDeviceEvent: במהלך הקצאת המכשיר, פלטפורמות EMM צריכות להמתין ל-newDeviceEventלפני שהן מבצעות קריאות נוספות ל-Play EMM API במכשיר החדש, כולל התקנות שקשות לזיהוי של אפליקציות והגדרת הגדרות מנוהלות.productApprovalEvent: עם קבלתproductApprovalEventהתראה, על ה-EMM לעדכן באופן אוטומטי את רשימת האפליקציות שאושרו שיובאו למסוף ה-EMM כדי להפיץ למכשירים אם יש מנהל IT פעיל או אם רשימת האפליקציות שאושרו לא תיטען מחדש באופן אוטומטי בכל סשן של אדמין ב-IT.
3.15. דרישות לשימוש ב-API
ה-EMM מיישם את ממשקי ה-API של Google בקנה מידה נרחב, כדי למנוע דפוסי תנועה עלולה להשפיע לרעה על מנהלי IT יכולת לנהל אפליקציות בסביבת ייצור בסביבות שונות.
3.15.1. ה-EMM חייב לפעול בהתאם ל-API של Play EMM מגבלות שימוש. אי תיקון התנהגות שמחריגה מההנחיות האלה עלול להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.2. ה-EMM צריך להפיץ תנועה מארגונים שונים ברחבי למשך יום אחד, במקום לאחד את התנועה הארגונית לרמה מסוימת או דומה פעמים. התנהגות שמתאימה לדפוס תנועה זה, כגון אצווה מתוזמנת עבור כל מכשיר רשום, עשויות להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. אסור שה-EMM יהיה עקבי, חלקי או מכוון בקשות שגויות שלא מבצעות ניסיון לאחזר או לנהל את הארגון בפועל . התנהגות שתתאים לדפוס התנועה הזה עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
3.16.1. במסוף של ה-EMM צריכה להיות אפשרות לאחזר ולהציג את המכשירים המנוהלים הגדרות אישיות (שמוצגות עד ארבע רמות) של כל אפליקציית Play, באמצעות:
- iFrame ב-Google Play לארגונים , או
- ממשק משתמש בהתאמה אישית.
3.16.2. למסוף של ה-EMM צריכה להיות אפשרות לאחזר ולהציג משוב כלשהו הוחזרה על ידי ערוץ המשוב של האפליקציה , כשהוא הוגדר על ידי אדמין ב-IT.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי עם המכשיר והאפליקציה שהם הגיעו מהם.
- מסוף ה-EMM חייב לאפשר למנהלי IT להירשם להתראות או לדוחות של סוגים מסוימים של הודעות (כגון הודעות שגיאה).
3.16.3. מסוף ה-EMM חייב לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמינים ב-IT יכולים ליצור ולהפיץ אפליקציות אינטרנט דרך מסוף ה-EMM.
3.17.1. אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
- ה-iframe של Google Play לארגונים , או
- ממשק ה-API של Play EMM הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
3.18. ניהול מחזור החיים של חשבון Google Play מנוהל
ל-EMM יש אפשרות ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים מטעם אדמינים ב-IT.
3.18.1. ספקי EMM יכולים לנהל את מחזור החיים של חשבון Google Play מנוהל בהתאם להנחיות ההטמעה המפורטות במסמכי התיעוד למפתחים של Play EMM API.
3.18.2. ספקי EMM יכולים לאמת מחדש חשבונות Google Play מנוהלים ללא משתמש אינטראקציה חוזרת.
3.19. ניהול מעקב אחר אפליקציות
3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי טראקים שהמפתח הגדיר לאפליקציה ספציפית.
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים כך שישתמשו במסלול פיתוח מסוים לאפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי לעדכן אותן כשיהיה עדכון מוכן.
3.20.2. אדמינים ב-IT יכולים לאפשר דחייה של עדכונים לאפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאת הרשאות ידנית
מערכת ה-EMM יכולה ליצור הגדרות להקצאה ולהציג אותן לאדמין ה-IT בפורמט שזמין להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL של חנות Play).
4. ניהול מכשירים
4.1. ניהול המדיניות בנושא הרשאות בסביבת זמן ריצה
אדמינים ב-IT יכולים להגדיר באופן שקט תגובת ברירת מחדל לבקשות הרשאה בתחילת ההפעלה נוצרו על ידי אפליקציות לעבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות בזמן ההגדרה מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה עבור הארגון:
- הנחיה (מאפשרת למשתמשים לבחור)
- לאפשר
- דחייה
מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.2. ניהול מצב של הרשאת גישה בזמן ריצה
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה (עוברים לגרסה 4.1.), אדמינים ב-IT יכולים הגדרה שקטה של תשובות להרשאות ספציפיות מכל אפליקציה לעבודה שמבוססת על API 23 ומעלה.
4.2.1. אדמינים ב-IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת המחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי אפליקציית עבודה שנוצרה על API מגרסה 23 ואילך. ה-EMM צריך לאכוף את ההגדרות האלה באמצעות ה-DPC של EMM הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.3. ניהול הגדרות Wi-Fi
מנהלי IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים מכשירים, כולל:
4.3.1. SSID, באמצעות ה-DPC של EMM.
4.3.2. סיסמה, באמצעות ה-DPC של ה-EMM.
4.4. ניהול אבטחת Wi-Fi
מנהלי IT יכולים להקצות הגדרות Wi-Fi לארגונים במכשירים מנוהלים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהות, באמצעות ה-DPC של ה-EMM.
4.4.2. אישור להרשאה של לקוחות באמצעות בקר ה-DPC של ה-EMM הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.4.3. אישורי CA באמצעות ה-DPC של EMM.
4.5. ניהול מתקדם של Wi-Fi
מנהלי IT יכולים לנעול הגדרות Wi-Fi במכשירים מנוהלים כדי למשתמשים במהלך יצירת מערכי הגדרות אישיות או שינוי הגדרות אישיות של הארגון.
4.5.1. מנהלי IT יכולים לנעול הגדרות Wi-Fi ארגוניות ההגדרות הבאות:
- משתמשים לא יכולים לשנות אף Wi-Fi הגדרות שנקבעו על ידי ה-EMM, אבל עשויים להוסיף ולשנות אותן רשתות שהמשתמש יכול להגדיר (לדוגמה, רשתות אישיות).
- המשתמשים לא יכולים להוסיף או לשנות רשתות Wi-Fi המכשיר, ומגביל את קישוריות ה-Wi-Fi רק לרשתות שהוקצו מאת ה-EMM.
4.6. ניהול חשבון
מנהלי IT יכולים לוודא שחשבונות ארגוניים לא מורשים לא יכולים לקיים אינטראקציה עם נתונים ארגוניים, עבור שירותים כמו אחסון SaaS ואפליקציות לפרודוקטיביות, או באימייל. בלי התכונה הזו, ניתן להוסיף אליהם חשבונות אישיים אפליקציות ארגוניות שתומכות בחשבונות פרטיים, ומאפשרות להם לשתף של החברה עם החשבונות האישיים האלה.
4.6.1. אדמינים ב-IT יכולים למנוע הוספה או שינוי של חשבונות.
- כשהמדיניות הזו אוכפת על המכשיר, ספקי EMM חייבים להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי להבטיח שלא ניתן לעקוף זאת המדיניות הזו על ידי הוספת חשבונות לפני אכיפת המדיניות.
4.7. ניהול חשבון Workspace
מנהלי IT יכולים לוודא שחשבונות Google לא מורשים לא יכולים לקיים אינטראקציה עם של החברה. בלי התכונה הזו, ניתן להוסיף אל חשבונות Google אישיים אפליקציות Google עסקיות (לדוגמה, Google Docs או Google Drive), ומאפשרות להם כדי לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.7.1. אדמינים ב-IT יכולים לציין חשבונות Google שיופעלו במהלך ההקצאה, אחרי הנעילה של ניהול החשבון.
4.7.2. בקר ה-DPC של ה-EMM צריך לשלוח בקשה להפעלת Google account, ולוודא שניתן להפעיל רק את החשבון הספציפי, על ידי ציון החשבון שרוצים להוסיף.
- במכשירים שקודמים ל-Android 7.0, ה-DPC צריך להשבית באופן זמני את ההגבלה על ניהול החשבון לפני שתוצג בקשה משתמש.
4.8. ניהול אישורים
מאפשר לאדמינים ב-IT לפרוס אישורי זהות ורשויות אישורים כדי כדי לאפשר גישה למשאבים הארגוניים.
4.8.1. מנהלי IT יכולים להתקין אישורי זהות של משתמש שנוצרו על ידי ה-PKI שלהם לכל משתמש. המסוף של ה-EMM חייב להיות משולב עם PKI אחד לפחות להפיץ אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים במאגר המפתחות המנוהל.
4.9. ניהול אישורים מתקדם
מאפשרת לאדמינים ב-IT לבחור באופן שקט את האישורים שאפליקציות מנוהלות ספציפיות שבהם צריך להשתמש. התכונה הזו גם מעניקה למנהלי IT את היכולת להסיר רשויות אישורים אישורי זהות ממכשירים פעילים. התכונה הזו מונעת מהמשתמשים לבצע שינויים פרטי הכניסה ששמורים במאגר המפתחות המנוהל.
4.9.1. עבור כל אפליקציה שמופצת למכשירים, מנהלי IT יכולים לציין אישור האפליקציה תוענק גישה באופן שקט במהלך זמן הריצה.
- בחירת האישורים חייבת להיות כללית מספיק כדי לאפשר הגדרה יחידה שחלה על כל המשתמשים, שלכל אחד מהם עשויה להיות הגדרה ספציפית למשתמש תעודת זהות.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים בלי להציג אזהרה או שגיאה ממאגר המפתחות המנוהל.
4.9.3. מנהלי IT יכולים להסיר באופן שקט אישור CA, או כל אישורי ה-CA שאינם של המערכת.
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה במאגר המפתחות המנוהל.
4.9.5. מנהלי IT יכולים לתת מראש אישורים עבור לאפליקציות לעבודה.
4.10. הענקת גישה לניהול אישורים
אדמינים ב-IT יכולים להפיץ אפליקציית צד שלישי לניהול אישורים למכשירים ומתן גישה בעלת הרשאות לאפליקציה הזו כדי להתקין אישורים מאגר מפתחות.
4.10.1. אדמינים ב-IT מציינים חבילת ניהול אישורים שה-DPC מגדיר בתור אפליקציית ניהול האישורים.
- המסוף יכול להציע חבילות מוכרות לניהול אישורים, אבל חייבים לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.
4.11. ניהול VPN מתקדם
התכונה מאפשרת לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי להבטיח שהנתונים אפליקציות מנוהלות מסוימות תמיד יעברו דרך VPN מוגדר.
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית להיות מוגדר כ-VPN שפועל כל הזמן.
- יכול להיות שמסוף ה-EMM יציע חבילות VPN מוכרות שתומכות ה-VPN שפועל כל הזמן, אבל לא ניתן להגביל את רשתות ה-VPN שזמינות להגדרה 'פועל כל הזמן' לכל רשימה שרירותית.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN עבור אפליקציה.
4.12. ניהול IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מכיוון שה-IME משותף גם לפרופילים של העבודה וגם לפרופילים האישיים, חסימת השימוש ברכיבי IME תמנע את הגישה ל-IMEs האלה להשתמש גם כן. עם זאת, מנהלי IT לא יכולים לחסום IME של המערכת בעבודה פרופילים (לפרטים נוספים, יש לעבור לניהול מתקדם של IME).
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (כולל רשימה ריקה, שחוסמת עורכי שיטות קלט שאינם של המערכת), שעשוי להכיל חבילות IME שרירותיות.
- יכול להיות שמסוף ה-EMM יציע עורכי שיטות קלט (IME) מוכרים או מומלצים, לכלול ברשימת ההיתרים, אבל חייבים לאפשר לאדמינים ב-IT לבחור מתוך הרשימה מהאפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.12.2. על ה-EMM להודיע למנהלי IT שרכיבי IME של המערכת מוחרגים ניהול במכשירים עם פרופילים של עבודה.
4.13. ניהול מתקדם של IME
אדמינים ב-IT יכולים לקבוע לאילו שיטות קלט (IME) אפשר להגדיר מכשירים. ניהול מתקדם של IME מרחיב את התכונה הבסיסית על ידי מתן הרשאה למנהלי IT לצורך ניהול השימוש גם ברכיבי IME של המערכת, שמסופקים בדרך כלל על ידי יצרן המכשיר או הספק של המכשיר.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (למעט רשימה ריקה, שחוסמת את כל רכיבי ה-IME כולל רכיבי IME), שעשויים להכיל חבילות IME שרירותיות.
- יכול להיות שמסוף ה-EMM יציע עורכי שיטות קלט (IME) מוכרים או מומלצים, לכלול ברשימת ההיתרים, אבל חייבים לאפשר לאדמינים ב-IT לבחור מתוך הרשימה מהאפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.13.2. פלטפורמות EMM חייבות למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תמנע את ההגדרה של כל ממשקי ה-IME במכשיר, כולל ממשקי ה-IME של המערכת.
4.13.3. ספקי EMM חייבים לוודא שאם רשימת היתרים של IME לא מכילה IME של המערכת, רכיבי ה-IME של צד שלישי מותקנים באופן שקט לפני שרשימת ההיתרים הוחלה במכשיר.
4.14. ניהול שירותי נגישות
אדמינים ב-IT יכולים לקבוע אילו שירותי נגישות יכול להיות מאושר מכשירים. למרות ששירותי נגישות רבי עוצמה עבור משתמשים עם מוגבלויות או עבור משתמשים שזמנית אינם יכולים לקיים אינטראקציה עם המכשיר שלהם, הם עשויים לקיים אינטראקציה עם נתונים ארגוניים בדרכים לא תואמות למדיניות התאגיד. התכונה הזו מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שאינו שירות מערכתי.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות), שעשויים להכיל כל שירות נגישות שרירותי. חבילה. כשהיא חלה על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- המסוף יכול להציע שירותי נגישות מוכרים או מומלצים. לכלול ברשימת ההיתרים, אבל חייבים לאפשר לאדמינים ב-IT לבחור רשימת האפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.15. ניהול של שיתוף מיקום
אדמינים ב-IT יכולים למנוע ממשתמשים לשתף את נתוני המיקום עם אפליקציות בעבודה פרופיל. אחרת, אפשר להגדיר את הגדרת המיקום לפרופילים של עבודה הגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
מנהלי IT יכולים לאכוף הגדרה נתונה של שיתוף מיקום במכשיר מנוהל. התכונה הזו מבטיחה שלאפליקציות של החברה תמיד תהיה גישה נתוני מיקום מדויקים. התכונה הזו יכולה גם להבטיח שרמת הטעינה של הסוללה לא נעשה שימוש על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. מנהלי IT יכולים להגדיר את שירותי המיקום של המכשיר בכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל נתונים מהרשת המיקום.
- חיסכון בסוללה, שמגביל את תדירות העדכון.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה על ידי משתמשים לא מורשים לא יכולים לאפס מכשירים להגדרות המקוריות. אם מפעילים הגנה מפני איפוס להגדרות המקוריות מציג סיבוכיות תפעולית כאשר מכשירים מוחזרים ל-IT, מנהלי IT יכולים גם להשבית לגמרי את ההגנה מפני איפוס להגדרות המקוריות.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את המכשיר להגדרות המקוריות במכשיר שלהם דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות ארגוניים שמורשים להקצות מכשירים לאחר איפוס להגדרות המקוריות.
- אפשר לקשר את החשבון הזה לאדם פרטי או להשתמש בו לכל הארגון כדי לבטל את נעילת המכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות במכשירים מסוימים.
4.17.4. אדמינים ב-IT יכולים להפעיל איפוס נתונים מרחוק של המכשיר, שאפשר לבצע בו איפוס של נתוני ההגנה מפני איפוס, וכך להסיר את ההגנה מפני איפוס להגדרות המקוריות במכשיר המאופס.
4.18. שליטה מתקדמת באפליקציות
מנהלי IT יכולים למנוע מהמשתמשים להסיר את ההתקנה או לשנות את ההגדרות המנוהלות באופן אחר אפליקציות דרך ההגדרות, לדוגמה, לאלץ סגירה של האפליקציה או ניקוי מטמון הנתונים.
4.18.1. אדמינים ב-IT יכולים לחסום את הסרת כל אפליקציה מנוהלת שרירותית, או את כל האפליקציות המנוהלות.
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות נתוני אפליקציות בהגדרות.
4.19. ניהול צילומי מסך
אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים ליצור צילומי מסך כשהם משתמשים באפליקציות מנוהלות. הזה כולל חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) המשתמשים ביכולות צילום המסך של המערכת.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך.
4.20. השבת מצלמות
אדמינים ב-IT יכולים להשבית את השימוש במצלמות של מכשירים באפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות במכשיר ידי אפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים ברשת
מנהלי IT יכולים לשלוח שאילתות לגבי סטטיסטיקות השימוש ברשת מפרופיל העבודה של מכשיר. הנתונים הסטטיסטיים שנאספו משקפים את נתוני השימוש ששותפו עם משתמשים הקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים שימוש באפליקציות בתוך פרופיל העבודה.
4.21.1. אדמינים ב-IT יכולים לבצע שאילתות בסיכום הנתונים הסטטיסטיים של הרשת בפרופיל עבודה, למכשיר נתון ולחלון זמן שניתן להגדרה, ולצפות בפרטים האלה המסוף של EMM.
4.21.2. אדמינים ב-IT יכולים לבצע שאילתה בסיכום של שימוש ברשת של פרופיל העבודה באפליקציה נתונים סטטיסטיים, לפי מכשיר נתון וחלון זמן שניתן להגדרה, ולצפייה בפרטים האלה לפי UID שבמסוף של ה-EMM.
4.21.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של שימוש ברשת בפרופיל עבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולהציג את הפרטים האלה לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.22. איסוף נתונים סטטיסטיים מתקדמים ברשת
אדמיני IT יכולים להריץ שאילתות על סטטיסטיקות השימוש ברשת של מכשיר מנוהל שלם. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש ששותפו עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות במכשיר.
4.22.1. אדמינים ב-IT יכולים לבצע שאילתות בסיכום הנתונים הסטטיסטיים של הרשת לגבי מכשיר שלם , לגבי מכשיר נתון וחלון זמן שניתן להגדרה, ולהציג את הפרטים האלה המסוף של EMM.
4.22.2. אדמינים ב-IT יכולים לבצע שאילתה בסיכום השימוש ברשת האפליקציה נתונים סטטיסטיים, לפי מכשיר נתון וחלון זמן שניתן להגדרה, ולצפייה בפרטים האלה לפי UID שבמסוף של ה-EMM.
4.22.3. אדמינים ב-IT יכולים לבצע שאילתה על נתונים היסטוריים של שימוש ברשת, למכשיר נתון ולחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.23. הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו של מערכת
מאפשר לאדמינים ב-IT ניהול מפורט של שידורי רדיו רשת המשויכים למערכת להשתמש בכללי המדיניות האלה.
4.24.1. מנהלי IT יכולים להשבית שידורים סלולריים שנשלחו על ידי ספקי השירות (לדוגמה, התראות AMBER).
4.24.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את הגדרות הרשת דרך ההגדרות הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.24.4. אדמינים ב-IT יכולים להתיר או לא לאפשר שימוש בחבילת הגלישה בזמן נדידה הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות טלפון יוצאות , לא כולל שיחות חירום.
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.24.7. מנהלי IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כנקודה ניידת לשיתוף אינטרנט באמצעות שיתוף אינטרנט בין מכשירים הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.24.8. אדמינים ב-IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi לברירת המחדל , רק בזמן חיבור לחשמל , או אף פעם הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר או לשנות חיבורי Bluetooth קיימים.
4.25. ניהול אודיו במערכת
מנהלי IT יכולים לנהל באופן שקט את תכונות האודיו במכשירים, כולל השתקה של במכשיר, ולמנוע ממשתמשים לשנות את הגדרות עוצמת הקול ולמנוע ממשתמשים מביטול ההשתקה של המיקרופון במכשיר.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים ללא ידיעת המשתמשים.
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשיר.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון במכשיר.
4.26. ניהול שעון המערכת
מנהלי IT יכולים לנהל את ההגדרות של שעון המכשיר ואזור הזמן, ולמנוע ממשתמשים שינוי של הגדרות המכשיר האוטומטיות.
4.26.1. מנהלי IT יכולים לאכוף את הזמן האוטומטי של המערכת, מונע מהמשתמש להגדיר את התאריך והשעה של המכשיר.
4.26.2. אדמינים ב-IT יכולים להשבית באופן שקט או להפעיל את שתי הזמן האוטומטי ואזור זמן אוטומטי.
4.27. תכונות מתקדמות של מכשיר ייעודי
מנהלי IT יכולים לנהל מכשירים ייעודיים ברמת פירוט גבוהה יותר שתומכות בתרחישים שונים של קיוסק.
4.27.1. מנהלי IT יכולים להשבית את מגן המקשים במכשיר.
4.27.2. מנהלי IT יכולים להשבית את שורת הסטטוס של המכשיר, הודעות חסימה והגדרות מהירות.
4.27.3. אדמינים ב-IT יכולים לאלץ את המסך של המכשיר להישאר מופעל כשהמכשיר מחובר לחשמל.
4.27.4. אדמינים ב-IT יכולים למנוע את השימוש בממשקי המשתמש של המערכת הבאים מהצגה:
- טוסטים
- שכבות-על של אפליקציה.
4.27.5. אדמינים ב-IT יכולים לאפשר להמלצות של המערכת לדלג על המדריך למשתמשים ועל רמזים אחרים בהפעלה הראשונה.
4.28. הקצאת הרשאות ניהול היקף
מנהלי IT יכולים להעניק הרשאות נוספות לחבילות בודדות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- ריקים בכוונה
- רישום ביומן של הרשת
- רישום ביומן אבטחה (לא נתמך בפרופיל עבודה מסוג BYOD)
4.29. תמיכה בתעודה מזהה ספציפית להרשמה
החל מגרסה 12 של Android, לפרופילים של עבודה לא תהיה יותר גישה אל מזהים ספציפיים לחומרה. מנהלי IT יכולים לעקוב אחר מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישמר דרך איפוס להגדרות המקוריות.
4.29.1. אדמינים ב-IT יכולים להגדיר ולקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי של הרישום חייב להישאר בתוקף גם אחרי איפוס להגדרות המקוריות.
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול הקצאות מנוהל
אדמינים ב-IT יכולים לשנות את חוויית ברירת המחדל של תהליך ההגדרה כך שהיא תכלול לתכונות ספציפיות לארגונים. אדמינים ב-IT יכולים גם להציג מיתוג של EMM במהלך הקצאת ההרשאות.
5.1.1. מנהלי IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון פרטים ספציפיים לארגון: צבע הארגון, הלוגו של הארגון, התנאים וההגבלות של הארגון וכתבי ויתור אחרים.
5.1.2. מנהלי IT יכולים לפרוס התאמה אישית ספציפית ל-EMM שלא ניתנת להגדרה כולל את הפרטים הבאים: צבע של EMM, לוגו של EMM, התנאים וההגבלות של EMM וכתבי ויתור אחרים.
5.1.3 [primaryColor] הוצא משימוש עבור משאב הארגון ב-
Android מגרסה 10 ואילך.
- פלטפורמות EMM חייבות לכלול את התנאים וההגבלות של הקצאת המשאבים ואת כתבי הוויתור האחרים של תהליך הקצאת המשאבים שלהן בחבילת כתבי הוויתור של הקצאת המשאבים למערכת, גם אם לא נעשה שימוש בהתאמה האישית הספציפית ל-EMM.
- ייתכן שספקי EMM מגדירים את ההתאמה האישית הספציפית ל-EMM שלא ניתנת להגדרה לכל הפריסות, אבל חייבים לאפשר למנהלי IT להגדיר בהתאמה אישית.
5.2. התאמה אישית לארגון
מנהלי IT יכולים להתאים אישית היבטים של פרופיל העבודה באמצעות מיתוג ארגוני. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש בפרופיל העבודה הלוגו של התאגיד. דוגמה נוספת היא הגדרת צבע הרקע של אתגר העבודה.
5.2.1. אדמינים ב-IT יכולים להגדיר את צבע הארגון, שיהיה צבע הרקע של האתגרים בעבודה.
5.2.2. אדמינים ב-IT יכולים להגדיר את השם המוצג של פרופיל העבודה הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.2.3. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של פרופיל העבודה הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.2.4. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את סמל המשתמש בפרופיל העבודה.
5.3. התאמה אישית מתקדמת לארגונים
מנהלי IT יכולים להתאים אישית מכשירים מנוהלים באמצעות מיתוג של הארגון. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש הראשי כלוגו של החברה, או להגדיר את טפט המכשיר.
5.3.1. מנהלי IT יכולים להגדיר את השם המוצג של המכשיר המנוהל הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.3.2. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של המכשיר המנוהל הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.3.3. מנהלי IT יכולים למנוע מהמשתמשים לשנות את המשתמש במכשיר סמל הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.3.4. מנהלי IT יכולים להגדיר את הטפט של המכשיר הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.3.5. מנהלי IT יכולים למנוע מהמשתמשים לשנות את המכשיר טפט הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.4. הודעות במסך הנעילה
מנהלי IT יכולים להגדיר הודעה מותאמת אישית שתמיד תוצג בנעילת המכשיר במסך. לא נדרשת נעילת המכשיר כדי לצפות בו.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך נעילה.
5.5. ניהול שקיפות המדיניות
מנהלי IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כאשר הם משנים את ההגדרות המנוהלות במכשיר שלהם, או לפרוס תשתית גנרית של EMM הודעה. אפשר להתאים אישית גם הודעות תמיכה קצרות וגם הודעות תמיכה ארוכות. ההודעות האלה מוצגות במקרים כמו ניסיון להסיר את ההתקנה של אפליקציה מנוהלת, עבור שאדמין ב-IT כבר חסם את ההסרה.
5.5.1. אדמינים ב-IT יכולים להתאים אישית את הודעות התמיכה הקצרות וגם את הודעות התמיכה הארוכות.
5.5.2. מנהלי IT יכולים לפרוס פתרונות ספציפיים ל-EMM שלא ניתנים להגדרה הודעות תמיכה קצרות וארוכות.
- ייתכן שה-EMM מגדיר את הודעות התמיכה הספציפיות ל-EMM שלא ניתנות להגדרה לכל הפריסות, אבל חייבים לאפשר למנהלי IT להגדיר הודעות.
5.6. ניהול אנשי קשר במספר פרופילים
אדמינים ב-IT יכולים לקבוע אילו נתונים של אנשי קשר יוכלו לצאת מפרופיל העבודה. שתי השיטות אפליקציות טלפוניה והעברת הודעות (SMS) חייבות לפעול בפרופיל האישי, וגם נדרשת גישה לנתונים ליצירת קשר בפרופיל העבודה כדי להציע פונקציות לעבודה אבל אדמינים יכולים להשבית את התכונות האלו כדי להגן על נתוני העבודה.
5.6.1. אדמינים ב-IT יכולים להשבית את החיפוש של אנשי קשר במספר פרופילים לאפליקציות אישיות שמשתמשות בספק אנשי הקשר במערכת.
5.6.2. אדמינים ב-IT יכולים להשבית את החיפוש לזיהוי מתקשר חוצה-פרופילים לאפליקציות חייגן אישי שמשתמשות בספק אנשי הקשר של המערכת.
5.6.3. מנהלי IT יכולים להשבית את השיתוף של אנשי קשר ב-Bluetooth עם מכשירי Bluetooth שמשתמשים בספק אנשי הקשר של המערכת, כמו התקשרות בהפעלה קולית ברכב או אוזניות עם מיקרופון.
5.7. ניהול נתונים במספר פרופילים
נותנת לאדמינים ב-IT אפשרות לקבוע אילו נתונים יוכלו לצאת מפרופיל העבודה, מעבר למאפייני האבטחה שמוגדרים כברירת מחדל בפרופיל העבודה. בעזרת התכונה הזו, אדמינים ב-IT היא מאפשרת לאפשר סוגים נבחרים של שיתוף נתונים בין פרופילים כדי לשפר את נוחות השימוש במקרים שונים. מנהלי IT יכולים גם להגביר את ההגנה על הנתונים הארגוניים ללא 'ביטול נעילה עם טביעת אצבע'.
5.7.1. אדמינים ב-IT יכולים להגדיר מסנני כוונות בפרופילים שונים כדי שאפליקציות אישיות יוכלו לפתור כוונות מפרופיל העבודה, כמו כוונות שיתוף או קישורים לאתרים.
- מערכת המסוף עשויה להציע מסנני כוונה מוכרים או מומלצים להגדרה, אבל היא לא יכולה להגביל את מסנני הכוונה לרשימת כוונה שרירותית כלשהי.
5.7.2. מנהלי IT יכולים להתיר אפליקציות מנוהלות שיכולות להציג ווידג'טים במסך הבית.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לבחור מתוך הרשימה האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.7.3. אדמינים ב-IT יכולים לחסום את השימוש בהעתקה והדבקה בין פרופיל העבודה לפרופיל האישי.
5.7.4. אדמינים ב-IT יכולים לחסום את היכולת של משתמשים לשתף נתונים מפרופיל העבודה באמצעות העברת NFC.
5.7.5. אדמינים ב-IT יכולים לאפשר לאפליקציות אישיות לפתוח קישורים לדפי אינטרנט אחרים מהעבודה פרופיל.
5.8. המדיניות בנושא עדכוני מערכת
מנהלי IT יכולים להגדיר עדכוני מערכת אלחוטיים (OTA) ולהחיל אותם עבור מכשירים.
5.8.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להגדיר את ה-OTA הבא ההגדרות האישיות:
- אוטומטי: התקנת עדכוני OTA כשהם יהיו זמינים.
- דחייה: מנהלי IT צריכים להיות מסוגלים לדחות עדכון OTA לפרק זמן של עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל תיקוני אבטחה חודשיים).
- חלון יחיד: מנהלי IT חייבים להיות מסוגלים לתזמן עדכוני OTA תוך שימוש יומי חלון התחזוקה.
5.8.2. בקר ה-DPC של ה-EMM מחילה הגדרות OTA על המכשירים.
5.9. ניהול של מצב המשימה
מנהלי IT יכולים לנעול אפליקציה או קבוצת אפליקציות במסך, ולוודא שהמשתמשים לא ניתן לצאת מהאפליקציה.
5.9.1. מסוף ה-EMM מאפשר למנהלי IT לאפשר בשקט קבוצה שרירותית של להתקנה ולנעילה במכשיר. של ה-EMM בקר DPC מאפשר מצב המכשיר.
5.10. ניהול פעילות מועדפת מתמיד
מאפשרת לאדמינים ב-IT להגדיר אפליקציה בתור handler ברירת מחדל של Intent לאובייקטים של Intent תואמים למסנן Intent מסוים. לדוגמה, לאפשר לאדמינים ב-IT לבחור אפליקציית הדפדפן פותחת באופן אוטומטי קישורים לדפי אינטרנט אחרים, או את אפליקציית מרכז האפליקציות שבה נעשה שימוש כאשר בהקשה על הלחצן הראשי.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה כ-handler שמוגדר כברירת מחדל ב-Intent לכל מסנן Intent שרירותי.
- המסוף של ה-EMM עשוי להציע כוונות מוכרות או מומלצות עבור אבל לא יכול להגביל כוונות לרשימה שרירותית כלשהי.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינים להתקנה למשתמשים רלוונטיים.
5.11. ניהול תכונות של מגן מקשים
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות שלא מצונזרות
5.11.2. בקר ה-DPC של ה-EMM יכול להשבית את התכונות הבאות של מגן המקשים בפרופיל העבודה:
- סוכני אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של תכונות ב-KeyGuard
- אבטחת המצלמה
- כל ההתראות
- לא מצונזרים התראות
- סביבות אמינות
- ביטול הנעילה בטביעת אצבע
- כל התכונות של נעילת המקשים
5.13. ניקוי באגים מרחוק
אדמינים ב-IT יכולים לאחזר משאבים לניפוי באגים ממכשירים בלי צורך בפעולות נוספות לבצע מיליון שלבים.
5.13.1. אדמינים ב-IT יכולים לבקש דוחות על באגים מרחוק, להציג דוחות על באגים מהמסוף של ה-EMM, ולהוריד דוחות על באגים במסוף.
5.14. אחזור כתובת MAC
ספקי EMM יכולים לאחזר באופן שקט כתובות MAC של מכשירים. ניתן להשתמש בכתובת ה-MAC כדי לזהות מכשירים בחלקים אחרים של התשתית הארגונית (לדוגמה בעת זיהוי מכשירים לבקרת גישה לרשת).
5.14.1. ל-EMM יש אפשרות לאחזר באופן שקט כתובת MAC של מכשיר, ולשייך אותה למכשיר ב-EMM במסוף.
5.15. ניהול מתקדם של מצב הנעילה
כשמכשיר מוגדר כמכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. הרשאה שקטה לאפליקציה אחת להינעל במכשיר באמצעות בקר ה-DPC של ה-EMM.
5.15.2. אפשר להפעיל או להשבית את התכונות הבאות של ממשק המשתמש של המערכת באמצעות ה-DPC של EMM :
- לחצן 'דף הבית'
- סקירה כללית
- פעולות גלובליות
- התראות
- פרטי המערכת / שורת הסטטוס
- מגן מקשים (מסך נעילה)
5.15.3. משביתים את תיבות הדו-שיח 'שגיאת מערכת' באמצעות בקר ה-DPC של ה-EMM.
5.16. מדיניות מתקדמת של עדכוני מערכת
אדמינים ב-IT יכולים לחסום עדכוני מערכת במכשיר למשך תקופת הקפאה מוגדרת.
5.16.1. בקר ה-DPC של ה-EMM אפשרות להחיל עדכוני מערכת אלחוטיים (OTA) על מכשירים במקרה של הקפאה ספציפית של התקופה.
5.17. ניהול שקיפות למדיניות של פרופיל העבודה
אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מסירים את העבודה את הפרופיל במכשיר.
5.17.1. אדמינים ב-IT יכולים לספק טקסט מותאם אישית להצגה כשמאפסים את נתוני פרופיל העבודה.
5.18. תמיכה באפליקציות המקושרות
מנהלי IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר בגבולות של פרופיל העבודה.
5.19. עדכוני מערכת ידניים
אדמיני IT יכולים להתקין עדכון מערכת באופן ידני על ידי ציון נתיב.
6. הוצאה משימוש של מנהל מכשירים
6.1. הוצאה משימוש של מנהל מכשירים
ספקי EMM נדרשים לפרסם תוכנית עד סוף שנת 2022 לסיום תמיכת הלקוחות בשביל אדמין מכשירים במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. נאמן מידע של מדיניות רגילה לקישורים חדשים
כברירת מחדל, יש לנהל מכשירים באמצעות אפליקציית Device Policy של Android לכל מכשיר חדש שמקשרים אליו. ספקי EMM עשויים לספק אפשרות לנהל מכשירים באמצעות בקר DPC מותאם אישית אזור הגדרות, מתחת לכותרת 'מתקדם' או מונחים דומים. לקוחות חדשים אסור להיחשף לבחירה שרירותית בין ערימות טכנולוגיות בכל תהליכי עבודה חדשים או הגדרה של תהליכי עבודה.
7.2. בקר מדיניות רגיל למכשירים חדשים
כברירת מחדל, צריך לנהל מכשירים באמצעות אפליקציית Device Policy של Android לכל המשתמשים רישומים של מכשירים חדשים, לקישורים קיימים ולקישורים חדשים. ספקי EMM עשויים לספק אפשרות לנהל מכשירים באמצעות בקר DPC בהתאמה אישית באזור ההגדרות מתחת לכותרת 'מתקדם' או מונחים דומים.