Halaman ini mencantumkan rangkaian lengkap fitur Android Enterprise.
Jika Anda ingin mengelola lebih dari 500 perangkat, solusi EMM harus mendukung semua fitur standar () dari minimal satu yang ditetapkan sebelum dapat tersedia secara komersial. Solusi EMM yang lulus verifikasi fitur standar tercantum di Direktori Solusi Enterprise Android sebagai menawarkan Set Pengelolaan Standar.
Kumpulan fitur lanjutan tambahan tersedia untuk setiap set solusi. Ini fitur ditunjukkan di setiap halaman kumpulan solusi: profil kerja , perangkat terkelola sepenuhnya, dan perangkat khusus. Solusi EMM yang lulus verifikasi fitur lanjutan akan tercantum dalam Direktori Solusi bagi Perusahaan menawarkan Set Pengelolaan Lanjutan.
Kunci
| Standar fitur | lanjutan fitur | fitur opsional | tidak berlaku |
1. Penyediaan perangkat
1.1. Penyediaan profil kerja yang mengutamakan DPC
Anda dapat menyediakan profil kerja setelah mendownload DPC EMM dari Google Play.
1.1.1. DPC EMM harus tersedia secara publik di Google Play agar pengguna dapat menginstal DPC di sisi pribadi perangkat.
1.1.2. Setelah diinstal, DPC harus memandu pengguna melalui proses penyediaan profil kerja.
1.1.3. Setelah penyediaan selesai, tidak ada kehadiran pengelolaan yang dapat tetap ada di sisi pribadi perangkat.
- Kebijakan apa pun yang diterapkan selama penyediaan harus dihapus.
- Hak istimewa aplikasi harus dicabut.
- DPC EMM setidaknya harus dinonaktifkan di sisi pribadi perangkat seluler.
1.2. Penyediaan perangkat ID DPC
Admin IT dapat menyediakan perangkat khusus atau terkelola sepenuhnya menggunakan DPC ("afw#"), sesuai dengan panduan penerapan yang ditentukan dalam dokumentasi developer Play EMM API.
1.2.1. DPC EMM harus tersedia secara publik di Google Play. DPC harus dapat diinstal dari wizard penyiapan perangkat dengan memasukkan ID khusus DPC.
1.2.2. Setelah diinstal, DPC EMM harus memandu pengguna melalui proses penyediaan perangkat terkelola sepenuhnya atau khusus.
1.3. Penyediaan perangkat NFC
Tag NFC dapat digunakan oleh admin IT untuk menyediakan perangkat baru atau yang direset ke setelan pabrik sesuai dengan panduan penerapan yang ditentukan dalam dokumentasi developer Play EMM API.
1.3.1. EMM harus menggunakan Tag Forum Tipe 2 NFC dengan memori minimal 888 byte. Penyediaan harus menggunakan tambahan penyediaan untuk meneruskan detail pendaftaran yang tidak sensitif seperti ID server dan ID pendaftaran ke perangkat. Detail pendaftaran tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat.
1.3.2. Setelah DPC EMM menetapkan dirinya sebagai pemilik perangkat, DPC harus segera terbuka dan mengunci dirinya ke layar hingga perangkat disediakan sepenuhnya. 1.3.3. Sebaiknya gunakan tag NFC untuk Android 10 dan yang lebih baru karena penghentian NFC Beam (juga dikenal sebagai NFC Bump).
1.4. Penyediaan perangkat kode QR
Admin IT dapat menggunakan perangkat baru atau perangkat yang direset ke setelan pabrik untuk memindai kode QR yang dibuat oleh konsol EMM untuk menyediakan perangkat, sesuai dengan implementasi yang didefinisikan dalam Dokumentasi developer Play EMM API.
1.4.1. Kode QR harus menggunakan tambahan penyediaan untuk meneruskan detail pendaftaran Anda, seperti ID server dan ID pendaftaran ke perangkat. Pendaftaran tidak boleh menyertakan informasi sensitif, seperti sandi atau CA {i>root<i}.
1.4.2. Setelah DPC EMM menyiapkan perangkat, DPC harus terbuka segera dan mengunci dirinya sendiri ke layar hingga perangkat disediakan sepenuhnya.
1.5. Pendaftaran zero-touch
Admin IT dapat mengonfigurasi perangkat yang dibeli dari reseller resmi dan mengelolanya menggunakan konsol EMM.
1.5.1. Admin IT dapat menyediakan perangkat milik perusahaan menggunakan metode pendaftaran zero-touch, yang diuraikan dalam Pendaftaran zero-touch untuk admin IT.
1.5.2. Saat pertama kali dinyalakan, perangkat otomatis dipaksa masuk setelan yang ditentukan oleh admin IT.
1.6. Penyediaan zero-touch lanjutan
Admin IT dapat mengotomatiskan sebagian besar proses pendaftaran perangkat dengan men-deploy DPC detail pendaftaran melalui pendaftaran zero-touch. DPC EMM mendukung pembatasan pendaftaran ke akun atau domain tertentu, sesuai dengan opsi konfigurasi yang ditawarkan oleh EMM.
1.6.1. Admin IT dapat menyediakan perangkat milik perusahaan menggunakan metode pendaftaran zero-touch, yang diuraikan dalam Pendaftaran zero-touch untuk admin IT.
1.6.2. Setelah DPC EMM menyiapkan perangkat, DPC EMM harus langsung buka dan kunci layar hingga perangkat terisi penuh disediakan.
- Persyaratan ini tidak diberlakukan untuk perangkat yang menggunakan pendaftaran zero-touch detail pendaftaran untuk sepenuhnya menyediakan diri mereka sendiri secara otomatis (misalnya, di deployment perangkat khusus).
1.6.3. Dengan menggunakan detail pendaftaran, DPC EMM harus memastikan bahwa pengguna yang tidak sah tidak dapat melanjutkan aktivasi setelah DPC dipanggil. Di minimum, aktivasi harus dibatasi hanya untuk pengguna di perusahaan tertentu.
1.6.4. Dengan menggunakan detail pendaftaran, DPC EMM harus memungkinkan Admin IT untuk mengisi otomatis detail pendaftaran (misalnya ID server, ID pendaftaran) selain informasi pengguna atau perangkat unik (misalnya, nama pengguna/sandi, token aktivasi), sehingga pengguna tidak perlu memasukkan detail saat mengaktifkan perangkat.
- EMM tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat, di konfigurasi pendaftaran zero-touch.
1.7. Penyediaan profil kerja Akun Google
Untuk perusahaan yang menggunakan Managed Google Domains, fitur ini memandu pengguna menyiapkan profil kerja setelah memasukkan kredensial Workspace perusahaan mereka selama penyiapan perangkat atau di perangkat yang sudah diaktifkan. Dalam kedua kasus tersebut, identitas Workspace perusahaan akan dimigrasikan ke profil kerja.
1.7.1. Metode penyediaan Akun Google menyediakan profil kerja, sesuai dengan panduan penerapan yang ditentukan .
1,8. Penyediaan perangkat Akun Google
Untuk perusahaan yang menggunakan Workspace, fitur ini memandu pengguna melalui penginstalan DPC EMM setelah mereka memasukkan kredensial Workspace perusahaan selama penyiapan perangkat awal. Setelah diinstal, DPC menyelesaikan penyiapan perangkat milik perusahaan.
1.8.1. Metode penyediaan Akun Google menyediakan perangkat milik perusahaan, sesuai dengan penerapan yang ditetapkan panduan kami.
1.8.2. Kecuali jika EMM dapat secara jelas mengidentifikasi perangkat sebagai perusahaan mereka tidak bisa menyediakan perangkat tanpa perintah selama proses penyediaan. Perintah ini harus melakukan tindakan non-default seperti mencentang kotak centang atau memilih pilihan menu non-default. Direkomendasikan EMM dapat mengidentifikasi perangkat sebagai aset perusahaan sehingga ada sehingga tidak diperlukan prompt.
1,9. Konfigurasi zero-touch langsung
Admin IT dapat menggunakan konsol EMM untuk menyiapkan perangkat zero-touch menggunakan frame zero-touch.
1.10. Profil kerja di perangkat milik perusahaan
EMM dapat mendaftarkan perangkat milik perusahaan yang memiliki profil kerja.
1.10.1. Sengaja dikosongkan.
1.10.2. Admin IT dapat menetapkan tindakan kepatuhan untuk profil kerja di akun milik perusahaan perangkat.
1.10.3. Admin IT dapat menonaktifkan kamera di profil kerja atau seluruh perangkat.
1.10.4. Admin IT dapat menonaktifkan screenshot di profil kerja atau seluruh perangkat.
1.10.5. Admin IT dapat menetapkan daftar aplikasi yang diizinkan atau tidak diizinkan yang dapat atau tidak dapat diinstal di profil pribadi.
1.10.6. Admin IT dapat melepaskan pengelolaan perangkat milik perusahaan dengan menghapus profil kerja atau menghapus total seluruh perangkat.
1.11. Penyediaan perangkat khusus
Sengaja dikosongkan.
2. Keamanan perangkat
2.1. Tantangan keamanan perangkat
Admin IT dapat menyetel dan menerapkan tantangan keamanan perangkat (PIN/pola/sandi) dari 3 tingkat kompleksitas yang telah ditentukan di perangkat terkelola.
2.1.1. Kebijakan harus menerapkan setelan yang mengelola tantangan keamanan perangkat (parentProfilePasswordRequirements untuk profil kerja, passwordRequirements untuk perangkat terkelola sepenuhnya dan khusus).
2.1.2. Kompleksitas sandi harus dipetakan ke kerumitan sandi berikut:
- PASSWORD_COMPLEXITY_LOW - pola atau pin dengan urutan berulang (4444) atau berurutan (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN bukan merupakan urutan berulang (4444) atau yang berurutan (1234, 4321, 2468), sandi alfabet, atau alfanumerik dengan panjang minimal 4
- PASSWORD_COMPLEXITY_HIGH - PIN tanpa urutan berulang (4444) atau yang dipesan (1234, 4321, 2468) dan minimal 8 atau sandi alfabet atau alfanumerik dengan panjang minimal 8 minimal 6
2.2. Tantangan keamanan kerja
Admin IT dapat menetapkan dan menerapkan tantangan keamanan untuk aplikasi dan data dalam pekerjaan profil yang terpisah dan memiliki persyaratan yang berbeda dengan persyaratan keamanan perangkat tantangan (2.1.).
2.2.1. Kebijakan harus menerapkan tantangan keamanan untuk profil kerja. Secara default, admin IT harus menetapkan batasan hanya untuk profil kerja jika tidak ditentukan. Admin IT dapat menetapkan cakupannya di seluruh perangkat dengan menentukan cakupannya (lihat persyaratan 2.1)
2.1.2. Kompleksitas sandi harus dipetakan ke kerumitan sandi berikut:
- PASSWORD_COMPLEXITY_LOW - pola atau pin dengan urutan berulang (4444) atau berurutan (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN tanpa urutan berulang (4444) atau yang dipesan (1234, 4321, 2468), kata sandi menurut abjad, atau alfanumerik dengan panjang minimal 4
- PASSWORD_COMPLEXITY_HIGH - PIN tanpa urutan berulang (4444) atau yang dipesan (1234, 4321, 2468) dan minimal 8 atau sandi alfabet atau alfanumerik dengan panjang minimal 8 minimal 6
2.3. Pengelolaan kode sandi lanjutan
2.3.1. Sengaja dikosongkan.
2.3.2. Sengaja dikosongkan.
2.3.3. Setelan siklus proses sandi berikut dapat disetel untuk setiap layar kunci yang tersedia di perangkat:
- Sengaja dikosongkan
- Kosong secara sengaja
- Sandi gagal maksimum untuk penghapusan total : Menentukan berapa kali pengguna dapat memasukkan sandi yang salah sebelum data perusahaan akan dihapus total dari perangkat. Admin IT harus dapat menonaktifkan fitur ini.
2.4. Pengelolaan smart lock
Admin IT dapat mengelola perangkat dipercaya di fitur Smart Lock Android yang diizinkan untuk membuka kunci perangkat. Admin IT dapat menonaktifkan opsi buka kunci tertentu metode seperti perangkat Bluetooth tepercaya, pengenalan wajah, dan pengenalan suara, atau menonaktifkan fitur sepenuhnya.
2.4.1. Admin IT dapat menonaktifkan agen tepercaya Smart Lock, secara terpisah untuk setiap layar kunci yang tersedia di perangkat.
2.4.2. Admin IT dapat mengizinkan dan menyiapkan kepercayaan Smart Lock secara selektif agen , secara terpisah untuk setiap layar kunci yang tersedia di perangkat, untuk hal berikut agen tepercaya: Bluetooth, NFC, tempat, wajah, pada tubuh, dan suara.
- Admin IT dapat mengubah parameter konfigurasi agen Kepercayaan yang tersedia.
2.5. Menghapus total dan mengunci
Admin IT dapat menggunakan konsol EMM untuk mengunci dan menghapus total data kerja dari jarak jauh perangkat terkelola.
2.5.1. DPC EMM harus mengunci perangkat.
2.5.2. Perangkat EMM DPC harus menghapus total perangkat.
2.6. Menerapkan kepatuhan
Jika perangkat tidak mematuhi kebijakan keamanan, data kerja dibatasi secara otomatis.
2.6.1. Setidaknya, kebijakan keamanan yang diterapkan di perangkat harus menyertakan kebijakan sandi.
2.7. Kebijakan keamanan default
EMM harus menerapkan kebijakan keamanan yang ditentukan di perangkat secara default, tanpa mengharuskan admin IT menyiapkan atau menyesuaikan setelan apa pun di konsol. EMM disarankan (tetapi tidak diwajibkan) agar tidak mengizinkan admin IT mengubah status default fitur keamanan ini.
2.7.1. DPC EMM harus memblokir penginstalan aplikasi dari sumber tidak dikenal, termasuk aplikasi yang diinstal di sisi pribadi dari Perangkat Android 8.0 dan yang lebih baru dengan profil kerja.
2.7.2. DPC EMM harus memblokir fitur proses debug.
2.8. Kebijakan keamanan untuk perangkat khusus
Perangkat khusus dikunci tanpa escape untuk memungkinkan tindakan lain.
2.8.1. DPC EMM harus menonaktifkan {i>booting<i} ke mode aman secara {i>default<i}.
2.8.2. DPC EMM harus segera dibuka dan dikunci ke layar saat pengaktifan pertama selama penyediaan, untuk memastikan tidak ada interaksi dengan perangkat dengan cara lain.
2.8.3. DPC EMM harus ditetapkan sebagai peluncur default untuk memastikan diizinkan aplikasi dikunci ke layar saat booting, sesuai dengan implementasi yang ditentukan pedoman kami.
2,9. Dukungan Play Integrity
EMM menggunakan Play Integrity API untuk memastikan bahwa perangkat adalah perangkat Android yang valid.
2.9.1. DPC EMM menerapkan Play Integrity API selama dan secara default hanya menyelesaikan penyediaan perangkat dengan data perusahaan jika integritas perangkat yang ditampilkan adalah MEETS_STRONG_INTEGRITY kami.
2.9.2. DPC EMM akan melakukan pemeriksaan Play Integrity lainnya setiap kali perangkat memeriksa ke server EMM, yang dapat dikonfigurasi oleh admin IT. EMM server tersebut akan memverifikasi informasi APK dalam respons pemeriksaan integritas dan respons itu sendiri sebelum memperbarui kebijakan perusahaan pada perangkat.
2.9.3. Admin IT dapat menyiapkan respons kebijakan yang berbeda berdasarkan hasil dari pemeriksaan Play Integrity, termasuk pemblokiran penyediaan, penghapusan total data, dan mengizinkan pendaftaran untuk dilanjutkan.
- Layanan EMM akan menerapkan respons kebijakan ini untuk hasil setiap pemeriksaan integritas.
2.9.4. Jika pemeriksaan Play Integrity awal gagal atau menampilkan hasil yang mengalami kegagalan tidak memenuhi integritas yang kuat, jika DPC EMM belum memanggil ensureWorkingEnvironment maka sistem harus melakukannya dan mengulangi pemeriksaan sebelum penyediaan selesai.
2.10. Penerapan Verifikasi Aplikasi
Admin IT dapat mengaktifkan Verifikasi Aplikasi di perangkat. Verifikasi Aplikasi memindai aplikasi yang diinstal di perangkat Android untuk konten berbahaya perangkat lunak sebelum dan sesudah diinstal, membantu memastikan bahwa aplikasi tidak dapat membahayakan data perusahaan.
2.10.1. DPC EMM harus mengaktifkan Verifikasi Aplikasi secara default.
2.11. Dukungan Direct Boot
Aplikasi tidak dapat berjalan di perangkat Android 7.0+ yang baru saja dinyalakan hingga perangkat pertama kali dibuka kuncinya. Direct Boot memastikan bahwa DPC EMM selalu aktif dan dapat menegakkan kebijakan, meskipun perangkat belum dibuka kuncinya.
2.11.1. DPC EMM memanfaatkan penyimpanan yang dienkripsi dengan perangkat untuk melakukan tugas penting fungsi pengelolaan sebelum penyimpanan yang dienkripsi dengan kredensial DPC dibongkar enkripsinya. Fungsi pengelolaan yang tersedia selama Direct Boot harus mencakup (tetapi tidak terbatas pada):
- Penghapusan total perusahaan, termasuk kemampuan untuk hapus total data perlindungan reset ke setelan pabrik sebagai yang sesuai.
2.11.2. DPC EMM tidak boleh mengekspos data perusahaan dalam perangkat yang dienkripsi Storage.
2.11.3. EMM dapat menetapkan dan mengaktifkan token untuk mengaktifkan lupa sandi saya di layar kunci profil kerja. Tombol ini digunakan untuk meminta admin IT mereset sandi profil kerja dengan aman.
2.12. Pengelolaan keamanan hardware
Admin IT dapat mengunci elemen hardware dari perangkat milik perusahaan untuk memastikan pencegahan kebocoran data.
2.12.1. Admin IT dapat memblokir pengguna agar tidak memasang perangkat eksternal media di perangkat mereka.
2.12.2. Admin IT dapat memblokir pengguna agar tidak berbagi data dari perangkat mereka menggunakan NFC beam kami. Subfitur ini bersifat opsional karena fungsi beam NFC tidak lagi didukung di Android 10 dan yang lebih tinggi.
2.12.3. Admin IT dapat memblokir pengguna agar tidak mentransfer file melalui USB dari perangkat mereka.
2.13. Logging keamanan perusahaan
Admin IT dapat mengumpulkan data penggunaan dari perangkat yang dapat diuraikan dan dievaluasi secara terprogram untuk mengetahui adanya perilaku berbahaya atau berisiko. Aktivitas dicatat mencakup aktivitas Android Debug Bridge (adb), aplikasi dibuka, dan pembukaan kunci layar.
2.13.1. Admin IT dapat mengaktifkan logging keamanan untuk perangkat tertentu, dan DPC EMM harus dapat mengambil keamanan log dan log keamanan pra-reboot secara otomatis.
2.13.2. Admin IT dapat meninjau log keamanan perusahaan untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, di konsol EMM.
2.13.3. Admin IT dapat mengekspor log keamanan perusahaan dari konsol EMM.
3. Pengelolaan akun dan aplikasi
3.1. Binding perusahaan
Admin IT dapat mengikat EMM ke organisasinya, sehingga EMM dapat menggunakan Google Play terkelola untuk mendistribusikan aplikasi ke perangkat.
3.1.1. Admin dengan Managed Google Domains yang ada dapat mengikat domain mereka dengan EMM.
3.1.2. Konsol EMM harus menyediakan dan menyiapkan ID unik ESA untuk setiap perusahaan.
3.1.3. Membatalkan pendaftaran perusahaan menggunakan Play EMM API.
3.1.4. Konsol EMM memandu admin untuk memasukkan alamat email kantornya di Alur pendaftaran Android dan mencegah mereka menggunakan akun Gmail.
3.1.5. EMM akan mengisi otomatis alamat email admin dalam alur pendaftaran Android.
3.2. Penyediaan akun Google Play Terkelola
EMM dapat menyediakan akun pengguna perusahaan secara otomatis, yang disebut Akun Google Play terkelola. Akun ini mengidentifikasi pengguna terkelola dan mengizinkan aturan distribusi aplikasi per pengguna yang unik.
3.2.1. DPC EMM dapat otomatis menyediakan dan mengaktifkan Google Play terkelola akun sesuai dengan panduan penerapan yang ditentukan. Dalam melakukannya:
- Akun Google Play terkelola jenis
userAccountditambahkan ke perangkat seluler. - Akun Google Play terkelola jenis
userAccountharus memiliki hubungan 1:1 pemetaan dengan pengguna aktual di konsol EMM.
3.3. Penyediaan akun perangkat Google Play terkelola
EMM dapat membuat dan menyediakan akun perangkat Google Play terkelola kami. Akun perangkat mendukung penginstalan aplikasi secara otomatis dari Google Play terkelola disimpan, dan tidak terikat pada satu pengguna. Sebaliknya, akun perangkat digunakan untuk mengidentifikasi satu perangkat untuk mendukung aturan distribusi aplikasi per perangkat di skenario perangkat khusus.
3.3.1. DPC EMM dapat otomatis menyediakan dan mengaktifkan Google Play terkelola
akun sesuai dengan panduan penerapan yang ditentukan.
Dengan demikian, akun Google Play terkelola jenis deviceAccount harus ditambahkan
ke perangkat.
3.4. Penyediaan akun Google Play terkelola untuk perangkat lama
EMM dapat menyediakan akun pengguna perusahaan secara otomatis, yang disebut akun Google Play terkelola. Akun ini mengidentifikasi pengguna terkelola dan mengizinkan akses unik per pengguna aturan distribusi aplikasi Anda.
3.4.1. DPC EMM dapat otomatis menyediakan dan mengaktifkan Google Play terkelola akun sesuai dengan panduan penerapan yang ditentukan. Dalam melakukannya:
- Akun Google Play terkelola jenis
userAccountditambahkan ke perangkat seluler. - Akun Google Play terkelola dari jenis
userAccountharus memiliki pemetaan 1-ke-1 dengan pengguna sebenarnya di konsol EMM.
3.5. Distribusi aplikasi tanpa suara
Admin IT dapat mendistribusikan aplikasi kerja kepada pengguna secara diam-diam perangkat tanpa pengguna interaksi.
3.5.1. Konsol EMM harus menggunakan Play EMM API untuk mengizinkan admin IT menginstal aplikasi kerja di perangkat terkelola.
3.5.2. Konsol EMM harus menggunakan Play EMM API untuk mengizinkan admin IT mengupdate aplikasi kerja di perangkat terkelola.
3.5.3. Konsol EMM harus menggunakan Play EMM API untuk mengizinkan admin IT meng-uninstal aplikasi di perangkat terkelola.
3.6. Manajemen konfigurasi terkelola
Admin IT dapat melihat dan secara diam-diam menetapkan konfigurasi terkelola untuk aplikasi apa pun yang mendukung konfigurasi terkelola.
3.6.1. Konsol EMM harus dapat mengambil dan menampilkan file yang dikelola setelan konfigurasi aplikasi Play apa pun.
- EMM dapat memanggil
Products.getAppRestrictionsSchemauntuk mengambil skema konfigurasi terkelola aplikasi atau menyisipkan iframe konfigurasi terkelola di konsol EMM mereka.
3.6.2. Konsol EMM harus mengizinkan admin IT mengatur semua jenis konfigurasi (seperti yang ditentukan oleh framework Android) untuk aplikasi Play apa pun yang menggunakan EMM Play Google Cloud API.
3.6.3. Konsol EMM harus mengizinkan admin IT menetapkan karakter pengganti (seperti $username$ atau %emailAddress%) sehingga konfigurasi tunggal untuk aplikasi seperti Gmail dapat diterapkan ke beberapa pengguna. Iframe konfigurasi terkelola otomatis mendukung persyaratan ini.
3,7 Pengelolaan katalog aplikasi
Admin IT dapat mengimpor daftar aplikasi yang disetujui untuk perusahaan dari Google Play terkelola (play.google.com/work).
3.7.1. Konsol EMM dapat menampilkan daftar aplikasi yang disetujui untuk distribusi, termasuk:
- Aplikasi yang dibeli di Google Play terkelola
- Aplikasi pribadi dapat dilihat oleh admin IT
- Secara terprogram aplikasi yang disetujui
3,8. Persetujuan aplikasi terprogram
Konsol EMM menggunakan iframe Google Play terkelola untuk mendukung layanan penemuan aplikasi dan persetujuan. Admin IT dapat menelusuri aplikasi, menyetujui aplikasi, dan menyetujui izin aplikasi baru tanpa keluar dari konsol EMM.
3.8.1. Admin IT dapat menelusuri aplikasi dan menyetujuinya dalam konsol EMM menggunakan iframe Google Play terkelola.
3,9. Pengelolaan tata letak toko dasar
Aplikasi Google Play Store terkelola dapat digunakan di perangkat untuk menginstal dan memperbarui aplikasi kerja. Tata letak toko dasar ditampilkan secara default dan daftar aplikasi yang disetujui untuk perusahaan, yang difilter oleh EMM untuk setiap pengguna sesuai dengan kebijakan.
3.9.1. Admin IT dapat mengelola kumpulan produk yang tersedia bagi pengguna untuk mengizinkan tampilan dan penginstalan aplikasi dari Google Play Store terkelola di bagian 'Beranda Play Store'.
3.10. Konfigurasi tata letak toko lanjutan
Admin IT dapat menyesuaikan tata letak toko yang terlihat di Google Play terkelola App Store di perangkat.
3.10.1. Admin IT dapat melakukan tindakan berikut di konsol EMM untuk menyesuaikan tata letak Google Play Store terkelola:
- Buat hingga 100 halaman tata letak toko. Halaman dapat memiliki berapa pun jumlah nama halaman yang dilokalkan.
- Buat hingga 30 cluster untuk setiap halaman. Cluster dapat memiliki resource jumlah nama cluster yang dilokalkan.
- Tetapkan hingga 100 aplikasi ke setiap cluster.
- Tambahkan hingga 10 link cepat ke setiap halaman.
- Tentukan tata urutan aplikasi dalam sebuah cluster dan cluster di dalam kami.
3.11. Pengelolaan lisensi aplikasi
Admin IT dapat melihat dan mengelola lisensi aplikasi yang dibeli di Google Play terkelola dari konsol EMM.
3.11.1. Untuk aplikasi berbayar yang disetujui untuk perusahaan, konsol EMM harus tampilan:
- Jumlah lisensi yang dibeli.
- Jumlah lisensi yang dikonsumsi dan pengguna yang memakai lisensi tersebut.
- Jumlah lisensi yang tersedia untuk didistribusikan.
3.11.2. Admin IT dapat memberikan lisensi secara diam-diam kepada pengguna tanpa memaksa aplikasi tersebut untuk diinstal di salah satu pengguna perangkat.
3.11.3. Admin IT dapat membatalkan penetapan lisensi aplikasi dari .
3.12. Pengelolaan aplikasi pribadi yang dihosting Google
Admin IT dapat mengupdate aplikasi pribadi yang dihosting Google melalui konsol EMM melalui Konsol Google Play.
3.12.1. Admin IT dapat mengupload versi baru aplikasi yang sudah dipublikasikan secara pribadi ke perusahaan menggunakan:
3.13. Pengelolaan aplikasi pribadi yang dihosting sendiri
Admin IT dapat menyiapkan dan memublikasikan aplikasi pribadi yang dihosting sendiri. Tidak suka Aplikasi pribadi yang dihosting Google, Google Play tidak menghosting APK. Sebagai gantinya, EMM membantu admin IT menghosting APK sendiri, dan membantu melindungi aplikasi dengan memastikan aplikasi hanya dapat diinstal jika diizinkan oleh Google terkelola Google Play.
Admin IT dapat membuka Mendukung aplikasi pribadi untuk mengetahui detailnya.
3.13.1. Konsol EMM harus membantu admin IT menghosting APK aplikasi, dengan menawarkan opsi berikut:
- Menghosting APK di server EMM. Server dapat berupa server lokal atau berbasis cloud.
- Menghosting APK di luar server EMM, sesuai kebijaksanaan admin IT. Admin IT harus menentukan di konsol EMM di mana APK dihosting.
3.13.2. Konsol EMM harus membuat definisi APK yang sesuai menggunakan APK yang disediakan dan harus memandu admin IT melalui proses publikasi.
3.13.3. Admin IT dapat mengupdate aplikasi pribadi yang dihosting sendiri dan konsol EMM dapat memublikasikan file definisi APK yang diupdate secara diam-diam menggunakan aplikasi Developer Publishing API.
3.13.4. Server EMM hanya menayangkan permintaan download untuk APK yang dihosting sendiri yang berisi JWT yang valid dalam cookie permintaan, seperti yang diverifikasi oleh kunci publik aplikasi pribadi.
- Untuk memfasilitasi proses ini, server EMM harus memandu admin IT untuk mendownload kunci publik lisensi aplikasi yang dihosting sendiri dari Konsol Google Play, dan mengupload kunci ini ke konsol EMM.
3.14. Notifikasi pull EMM
Daripada membuat kueri Play secara berkala untuk mengidentifikasi peristiwa sebelumnya seperti aplikasi update yang berisi izin baru atau konfigurasi terkelola, pull EMM notifikasi secara proaktif memberi tahu EMM tentang peristiwa tersebut secara real time, memungkinkan EMM untuk mengambil tindakan otomatis dan memberikan notifikasi administratif kustom berdasarkan peristiwa ini.
3.14.1. EMM harus menggunakan notifikasi EMM Play untuk menarik kumpulan notifikasi.
3.14.2. EMM harus otomatis memberi tahu admin IT (misalnya melalui email otomatis) untuk peristiwa notifikasi berikut:
newPermissionEvent: Memerlukan admin IT untuk menyetujui aplikasi baru izin sebelum aplikasi dapat diinstal atau diupdate secara diam-diam pada perangkat.appRestrictionsSchemaChangeEvent: Mungkin mengharuskan admin IT untuk melakukan update konfigurasi terkelola aplikasi untuk mempertahankan fungsi yang dimaksudkan.appUpdateEvent: Mungkin menarik bagi admin IT yang ingin memvalidasi bahwa fungsi alur kerja inti tidak terpengaruh oleh update aplikasi.productAvailabilityChangeEvent: Dapat memengaruhi kemampuan penginstalan aplikasi atau mengambil pembaruan aplikasi.installFailureEvent: Play tidak dapat menginstal aplikasi secara otomatis di menunjukkan bahwa mungkin ada sesuatu dengan perangkat tersebut konfigurasi yang mencegah instalasi. EMM tidak boleh langsung coba instal senyap lagi setelah menerima notifikasi ini, sebagai logika percobaan ulang sudah gagal.
3.14.3. EMM secara otomatis mengambil tindakan yang sesuai berdasarkan hal berikut peristiwa notifikasi:
newDeviceEvent: Selama penyediaan perangkat, EMM harus menunggunewDeviceEventsebelum melakukan panggilan Play EMM API berikutnya untuk versi baru perangkat, termasuk penginstalan aplikasi senyap dan setelan konfigurasi terkelola.productApprovalEvent: setelah menerimaproductApprovalEventnotifikasi, EMM harus otomatis memperbarui daftar aplikasi yang disetujui yang diimpor ke konsol EMM untuk didistribusikan ke perangkat jika ada admin IT yang aktif sesi, atau jika daftar aplikasi yang disetujui tidak dimuat ulang secara otomatis di di awal setiap sesi admin IT.
3.15. Persyaratan penggunaan API
EMM menerapkan API Google dalam skala besar untuk menghindari pola traffic yang dapat berdampak negatif terhadap admin IT kemampuan untuk mengelola aplikasi dalam produksi lingkungan fleksibel App Engine.
3.15.1. EMM harus mematuhi Play EMM API batas penggunaan otomatis. Tidak mengoreksi perilaku yang melebihi pedoman ini dapat mengakibatkan penangguhan penggunaan API, atas pertimbangan Google.
3.15.2. EMM harus mendistribusikan traffic dari berbagai perusahaan sepanjang hari, bukan menggabungkan traffic perusahaan pada waktu tertentu atau yang serupa. Perilaku yang sesuai dengan pola traffic ini, seperti batch terjadwal untuk setiap perangkat yang terdaftar, dapat mengakibatkan penangguhan penggunaan API, Kebijaksanaan Google.
3.15.3. EMM tidak boleh membuat konten yang konsisten, tidak lengkap, atau sengaja permintaan yang salah yang tidak berupaya mengambil atau mengelola perusahaan yang sebenarnya layanan otomatis dan data skalabel. Perilaku yang sesuai dengan pola traffic ini dapat menyebabkan penangguhan penggunaan API, atas pertimbangan Google.
3.16. Manajemen konfigurasi terkelola lanjutan
3.16.1. Konsol EMM harus dapat mengambil dan menampilkan file yang dikelola setelan konfigurasi (susun bertingkat hingga empat level) aplikasi Play apa pun, menggunakan:
- iFrame Google Play Terkelola , atau
- UI kustom.
3.16.2. Konsol EMM harus dapat mengambil dan menampilkan masukan ditampilkan oleh saluran masukan aplikasi , jika disiapkan oleh admin IT.
- Konsol EMM harus mengizinkan admin IT mengaitkan item masukan tertentu dengan perangkat dan aplikasi asalnya.
- Konsol EMM harus mengizinkan admin IT berlangganan notifikasi atau laporan jenis pesan tertentu (seperti pesan error).
3.16.3. Konsol EMM hanya boleh mengirim nilai yang memiliki nilai default atau disetel secara manual oleh admin menggunakan:
- Iframe konfigurasi terkelola, atau
- UI kustom.
3.17 Pengelolaan aplikasi web
Admin IT dapat membuat dan mendistribusikan aplikasi web di konsol EMM.
3.17.1. Admin IT dapat menggunakan konsol EMM untuk mendistribusikan pintasan ke aplikasi web menggunakan:
- Iframe Google Play Terkelola , atau
- Play EMM API kami.
3.18. Pengelolaan siklus proses akun Google Play terkelola
EMM dapat membuat, memperbarui, dan menghapus Akun Google Play terkelola atas nama Admin IT.
3.18.1. EMM dapat mengelola siklus proses Akun Google Play terkelola sesuai dengan panduan penerapan yang ditentukan dalam dokumentasi developer Play EMM API.
3.18.2. EMM dapat mengautentikasi ulang Akun Google Play terkelola tanpa pengguna interaksi.
3,19. Pengelolaan jalur aplikasi
3.19.1. Admin IT dapat mengambil daftar ID jalur yang ditetapkan oleh developer untuk aplikasi tertentu.
3.19.2. Admin IT dapat menetapkan perangkat untuk menggunakan jalur pengembangan tertentu untuk aplikasi.
3.20. Pengelolaan update aplikasi lanjutan
3.20.1. Admin IT dapat mengizinkan aplikasi menggunakan update aplikasi berprioritas tinggi untuk diupdate saat update siap.
3.20.2. Admin IT dapat mengizinkan aplikasi menunda update aplikasi selama 90 hari.
3.21. Pengelolaan metode penyediaan
EMM dapat membuat konfigurasi penyediaan dan menyajikannya ke staf IT admin di formulir yang siap didistribusikan kepada pengguna akhir (seperti kode QR, konfigurasi zero-touch, URL Play Store).
4. Pengelolaan perangkat
4.1. Pengelolaan kebijakan izin runtime
Admin IT dapat secara diam-diam menetapkan respons default untuk permintaan izin runtime yang dibuat oleh aplikasi kerja.
4.1.1. Admin IT harus dapat memilih dari opsi berikut saat menetapkan kebijakan izin runtime default untuk organisasinya:
- prompt (memungkinkan pengguna memilih)
- izinkan
- tolak
EMM harus menerapkan setelan ini menggunakan DPC EMM.
4.2. Pengelolaan status pemberian izin runtime
Setelah menyetel kebijakan izin runtime default (buka 4.1.), Admin IT dapat menetapkan respons secara diam-diam untuk izin tertentu dari aplikasi kerja apa pun yang dibangun di API 23 atau lebih tinggi.
4.2.1. Admin IT harus dapat menetapkan status pemberian (default, hibah, atau tolak) izin apa pun yang diminta oleh aplikasi kerja apa pun yang dibangun di API 23 atau yang lebih tinggi. EMM harus menerapkan setelan ini menggunakan DPC EMM kami.
4.3. Pengelolaan konfigurasi Wi-Fi
Admin IT dapat otomatis menyediakan konfigurasi Wi-Fi perusahaan pada perangkat, termasuk:
4.3.1. SSID, menggunakan DPC EMM.
4.3.2. Sandi, menggunakan DPC EMM.
4.4. Pengelolaan keamanan Wi-Fi
Admin IT dapat menyediakan konfigurasi Wi-Fi perusahaan di perangkat terkelola yang menyertakan fitur keamanan lanjutan berikut:
4.4.1. Identitas, menggunakan DPC EMM.
4.4.2. Sertifikat untuk otorisasi klien, menggunakan DPC EMM kami.
4.4.3. Sertifikat CA, menggunakan DPC EMM.
4.5. Pengelolaan Wi-Fi lanjutan
Admin IT dapat mengunci konfigurasi Wi-Fi di perangkat terkelola, untuk mencegah pengguna membuat konfigurasi atau mengubah konfigurasi perusahaan.
4.5.1. Admin IT dapat mengunci konfigurasi Wi-Fi perusahaan di salah satu konfigurasi berikut:
- Pengguna tidak dapat mengubah Wi-Fi apa pun yang disediakan oleh EMM, tetapi dapat menambahkan dan mengubah jaringan yang dapat dikonfigurasi pengguna (misalnya jaringan pribadi).
- Pengguna tidak dapat menambahkan atau mengubah jaringan Wi-Fi di perangkat, membatasi konektivitas Wi-Fi hanya ke jaringan yang disediakan oleh EMM.
4.6. Pengelolaan akun
Admin IT dapat memastikan bahwa akun perusahaan yang tidak sah tidak dapat berinteraksi dengan data perusahaan, untuk layanan seperti penyimpanan SaaS dan aplikasi produktivitas, atau email Anda. Tanpa fitur ini, akun pribadi dapat ditambahkan ke akun aplikasi perusahaan yang juga mendukung akun konsumen, sehingga mereka dapat berbagi data perusahaan dengan akun pribadi tersebut.
4.6.1. Admin IT dapat mencegah penambahan atau perubahan akun.
- Saat menerapkan kebijakan ini di perangkat, EMM harus menetapkan batasan ini sebelum penyediaan selesai, untuk memastikan Anda tidak dapat mengakali dengan menambahkan akun sebelum kebijakan tersebut diberlakukan.
4.7. Pengelolaan akun Workspace
Admin IT dapat memastikan bahwa Akun Google yang tidak sah tidak dapat berinteraksi dengan data perusahaan. Tanpa fitur ini, Akun Google pribadi dapat ditambahkan ke aplikasi Google perusahaan (misalnya Google Dokumen atau Google Drive), sehingga mereka dapat membagikan data perusahaan dengan akun pribadi tersebut.
4.7.1. Admin IT dapat menentukan Akun Google yang akan diaktifkan selama penyediaan, setelah pengelolaan akun kunci total diterapkan.
4.7.2. DPC EMM harus meminta permintaan untuk mengaktifkan akun Google, dan pastikan hanya akun tertentu yang dapat diaktifkan dengan menentukan akun yang akan ditambahkan.
- Pada perangkat yang lebih rendah dari Android 7.0, DPC harus menonaktifkan sementara pembatasan pengelolaan akun sebelum meminta .
4.8. Pengelolaan sertifikat
Memungkinkan admin IT men-deploy sertifikat identitas dan certificate authority ke perangkat untuk mengizinkan akses ke resource perusahaan.
4.8.1. Admin IT dapat menginstal sertifikat identitas pengguna yang dihasilkan oleh PKI mereka berdasarkan pengguna. Konsol EMM harus terintegrasi dengan setidaknya satu IKP dan mendistribusikan sertifikat yang dihasilkan dari infrastruktur tersebut.
4.8.2. Admin IT dapat menginstal otoritas sertifikasi di keystore terkelola.
4.9. Pengelolaan sertifikat lanjutan
Memungkinkan admin IT memilih secara diam-diam sertifikat yang digunakan oleh aplikasi terkelola tertentu sebaiknya digunakan. Fitur ini juga memberi admin IT kemampuan untuk menghapus CA dan sertifikat identitas dari perangkat aktif. Fitur ini mencegah pengguna melakukan modifikasi yang disimpan di keystore terkelola.
4.9.1. Untuk aplikasi apa pun yang didistribusikan ke perangkat, admin IT dapat menentukan sertifikat aplikasi akan diberi akses secara senyap selama runtime.
- Pemilihan sertifikat harus cukup umum untuk memungkinkan satu konfigurasi untuk semua pengguna, yang masing-masing mungkin memiliki sertifikat identitas.
4.9.2. Admin IT dapat menghapus sertifikat secara otomatis dari keystore terkelola.
4.9.3. Admin IT dapat meng-uninstal sertifikat CA secara diam-diam, atau semua sertifikat CA non-sistem.
4.9.4. Admin IT dapat mencegah pengguna mengonfigurasi kredensial di keystore terkelola.
4.9.5. Admin IT dapat memberikan sertifikat terlebih dahulu untuk aplikasi kerja.
4.10. Pengelolaan sertifikat yang didelegasikan
Admin IT dapat mendistribusikan aplikasi pengelolaan sertifikat pihak ketiga ke perangkat dan memberi aplikasi tersebut akses hak istimewa untuk menginstal sertifikat ke keystore.
4.10.1. Admin IT menentukan paket pengelolaan sertifikat untuk ditetapkan sebagai yang didelegasikan oleh DPC.
- Konsol dapat secara opsional menyarankan paket manajemen sertifikat yang dikenal, tetapi harus mengizinkan admin IT untuk memilih dari daftar aplikasi yang tersedia untuk instal, untuk pengguna yang relevan.
4.11. Pengelolaan VPN lanjutan
Memungkinkan admin IT menentukan VPN Selalu Aktif untuk memastikan bahwa data dari aplikasi terkelola tertentu akan selalu melalui VPN yang telah disiapkan.
4.11.1. Admin IT dapat menentukan paket VPN arbitrer untuk diatur sebagai VPN Selalu Aktif.
- Konsol EMM dapat secara opsional menyarankan paket VPN yang diketahui yang mendukung VPN Selalu Aktif, tetapi tidak dapat membatasi VPN yang tersedia untuk konfigurasi Selalu Aktif ke daftar arbitrer.
4.11.2. Admin IT dapat menggunakan konfigurasi terkelola untuk menentukan setelan VPN bagi aplikasi.
4.12. Pengelolaan IME
Admin IT dapat mengelola metode input (IME) yang dapat disiapkan perangkat. Karena IME dipakai bersama di profil kerja dan pribadi, memblokir penggunaan IME akan mencegah penggunaan IME untuk pribadi digunakan juga. Akan tetapi, admin IT tidak boleh memblokir IME sistem (buka pengelolaan IME lanjutan untuk mengetahui detail selengkapnya).
4.12.1. Admin IT dapat menyiapkan daftar IME yang diizinkan panjang arbitrer (termasuk daftar kosong, yang memblokir IME non-sistem), yang mungkin berisi paket IME arbitrer.
- Konsol EMM dapat secara opsional menyarankan IME yang diketahui atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang berlaku.
4.12.2. EMM harus memberi tahu admin IT bahwa IME sistem dikecualikan dari pada perangkat dengan profil kerja.
4.13. Pengelolaan IME lanjutan
Admin IT dapat mengelola metode input (IME) yang dapat disiapkan perangkat. Pengelolaan IME lanjutan memperluas fitur dasar dengan mengizinkan admin IT untuk mengelola penggunaan IME sistem juga, yang biasanya disediakan oleh produsen perangkat atau operator perangkat.
4.13.1. Admin IT dapat menyiapkan daftar IME yang diizinkan panjang arbitrer (tidak termasuk daftar kosong, yang memblokir semua IME termasuk IME sistem), yang dapat berisi paket IME arbitrer.
- Konsol EMM dapat secara opsional menyarankan IME yang dikenal atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi tersedia untuk diinstal, bagi pengguna yang relevan.
4.13.2. EMM harus mencegah admin IT menyiapkan daftar yang diizinkan kosong, karena hal ini akan memblokir semua IME termasuk IME sistem agar tidak dapat disiapkan di perangkat seluler.
4.13.3. EMM harus memastikan bahwa jika daftar yang diizinkan IME tidak berisi IME sistem, IME pihak ketiga diinstal secara otomatis sebelum daftar yang diizinkan diterapkan di perangkat.
4.14. Pengelolaan layanan aksesibilitas
Admin IT dapat mengelola layanan aksesibilitas yang dapat diizinkan di perangkat pengguna. Meskipun layanan aksesibilitas sangat penting bagi pengguna penyandang disabilitas atau mereka yang untuk sementara tidak dapat sepenuhnya berinteraksi dengan perangkat mereka, mereka dapat berinteraksi dengan data perusahaan dengan cara yang tidak mematuhi kebijakan perusahaan. Dengan fitur ini, admin IT dapat mengubah layanan aksesibilitas non-sistem apa pun.
4.14.1. Admin IT dapat menyiapkan daftar layanan aksesibilitas yang diizinkan panjang arbitrer (termasuk daftar kosong, yang memblokir non-sistem layanan aksesibilitas), yang dapat berisi layanan aksesibilitas arbitrer paket. Jika diterapkan ke profil kerja, hal ini memengaruhi profil pribadi dan profil kerja.
- Konsol dapat secara opsional menyarankan layanan aksesibilitas yang diketahui atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang berlaku.
4.15. Pengelolaan Berbagi Lokasi
Admin IT dapat mencegah pengguna membagikan data lokasi ke aplikasi dalam kantor untuk profil. Jika tidak, setelan lokasi untuk profil kerja dapat dikonfigurasi di Setelan.
4.15.1. Admin IT dapat menonaktifkan layanan lokasi dalam profil kerja.
4.16. Pengelolaan Berbagi Lokasi Lanjutan
Admin IT dapat menerapkan setelan Berbagi Lokasi tertentu pada perangkat terkelola. Fitur ini dapat memastikan bahwa aplikasi perusahaan selalu memiliki akses ke data lokasi dengan akurasi tinggi. Fitur ini juga dapat memastikan bahwa baterai tambahan tidak terpakai dengan membatasi setelan lokasi ke mode hemat baterai.
4.16.1. Admin IT dapat menetapkan layanan lokasi perangkat ke setiap mode berikut:
- Akurasi tinggi.
- Hanya sensor, misalnya GPS, tetapi tidak termasuk yang disediakan jaringan lokasi HTTP/HTTPS.
- Hemat baterai, yang membatasi frekuensi update.
- Nonaktif.
4.17. Pengelolaan perlindungan reset ke setelan pabrik
Memungkinkan admin IT melindungi perangkat milik perusahaan dari pencurian dengan memastikan pengguna yang tidak sah tidak bisa mereset perangkat ke setelan pabrik. Jika perlindungan reset ke setelan pabrik menyebabkan kompleksitas operasional saat perangkat dikembalikan ke IT, admin IT juga dapat menonaktifkan perlindungan reset ke setelan pabrik sepenuhnya.
4.17.1. Admin IT dapat mencegah pengguna mereset ke setelan pabrik perangkat mereka dari Setelan.
4.17.2. Admin IT dapat menentukan akun buka kunci perusahaan yang diizinkan untuk menyediakan perangkat setelah melakukan reset ke setelan pabrik.
- Akun ini dapat dikaitkan dengan individu, atau digunakan oleh seluruh perusahaan untuk membuka kunci perangkat.
4.17.3. Admin IT dapat menonaktifkan perlindungan reset ke setelan pabrik untuk perangkat tertentu.
4.17.4. Admin IT dapat memulai penghapusan total perangkat dari jarak jauh yang secara opsional dapat menghapus total data perlindungan reset, sehingga menghilangkan perlindungan {i> factory reset<i} pada perangkat yang telah {i>reset<i}.
4.18. Kontrol aplikasi lanjutan
Admin IT dapat mencegah pengguna meng-uninstal atau mengubah aplikasi terkelola melalui Setelan, misalnya menutup paksa aplikasi atau menghapus cache data aplikasi.
4.18.1. Admin IT dapat memblokir uninstal aplikasi terkelola arbitrer, atau semua aplikasi terkelola.
4.18.2. Admin IT dapat mencegah pengguna mengubah data aplikasi dari Setelan.
4.19. Pengelolaan screenshot
Admin IT dapat memblokir pengguna agar tidak mengambil screenshot saat menggunakan aplikasi terkelola. Ini termasuk memblokir aplikasi berbagi layar dan aplikasi serupa (seperti Google Asisten) yang menggunakan kemampuan screenshot sistem.
4.19.1. Admin IT dapat mencegah pengguna mengambil screenshot kami.
4.20. Nonaktifkan kamera
Admin IT dapat menonaktifkan penggunaan kamera perangkat oleh aplikasi terkelola.
4.20.1. Admin IT dapat menonaktifkan penggunaan kamera perangkat oleh aplikasi terkelola.
4.21. Pengumpulan statistik jaringan
Admin IT dapat mengkueri statistik penggunaan jaringan dari profil kerja perangkat. Statistik yang dikumpulkan mencerminkan data penggunaan yang dibagikan kepada pengguna di bagian Penggunaan data di Setelan. Statistik yang dikumpulkan berlaku untuk penggunaan aplikasi dalam profil kerja.
4.21.1. Admin IT dapat mengajukan kueri ringkasan statistik jaringan untuk profil kerja, untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, serta melihat detail ini di konsol EMM.
4.21.2. Admin IT dapat melakukan kueri ringkasan aplikasi dalam penggunaan jaringan profil kerja statistik, untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, lalu lihat detail ini diatur berdasarkan UID di konsol EMM.
4.21.3. Admin IT dapat melakukan kueri penggunaan data historis penggunaan jaringan profil kerja, untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, lalu lihat detail ini diatur berdasarkan UID di konsol EMM.
4.22. Pengumpulan statistik jaringan lanjutan
Admin IT dapat mengkueri statistik penggunaan jaringan untuk seluruh perangkat terkelola. Tujuan statistik yang dikumpulkan mencerminkan data penggunaan yang dibagikan kepada pengguna di Penggunaan Data bagian Setelan. Statistik yang dikumpulkan berlaku untuk penggunaan aplikasi di perangkat.
4.22.1. Admin IT dapat mengkueri ringkasan statistik jaringan untuk seluruh perangkat, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini di konsol EMM.
4.22.2. Admin IT dapat mengajukan kueri ringkasan statistik penggunaan jaringan aplikasi, untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur menurut UID di konsol EMM.
4.22.3. Admin IT dapat mengkueri data historis penggunaan jaringan, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur menurut UID di konsol EMM.
4.23. Reboot perangkat
Admin IT dapat memulai ulang perangkat terkelola dari jarak jauh.
4.23.1. Admin IT dapat melakukan reboot dari jarak jauh perangkat terkelola.
4.24. Pengelolaan radio sistem
Memungkinkan admin IT manajemen terperinci melalui radio jaringan sistem dan menggunakan kebijakan.
4.24.1. Admin IT dapat menonaktifkan siaran sel dikirim oleh penyedia layanan (misalnya, AMBER Alert).
4.24.2. Admin IT dapat mencegah pengguna mengubah setelan jaringan seluler di Setelan.
4.24.3. Admin IT dapat mencegah pengguna mereset setelan jaringan di Setelan kami.
4.24.4. Admin IT dapat mengizinkan atau melarang data seluler saat roaming kami.
4.24.5. Admin IT dapat menyiapkan apakah perangkat dapat melakukan panggilan telepon keluar, tidak termasuk panggilan darurat.
4.24.6. Admin IT dapat menyiapkan apakah perangkat dapat mengirim dan menerima pesan teks kami.
4.24.7. Admin IT dapat mencegah pengguna menggunakan perangkat mereka sebagai hotspot portabel dengan tethering kami.
4.24.8. Admin IT dapat menyetel waktu tunggu Wi-Fi ke default , hanya saat dicolokkan , atau tidak pernah kami.
4.24.9. Admin IT dapat mencegah pengguna menyiapkan atau mengubah koneksi Bluetooth yang ada kami.
4,25. Pengelolaan audio sistem
Admin IT dapat mengelola fitur audio perangkat secara otomatis, termasuk membisukan audio perangkat, mencegah pengguna mengubah setelan volume, dan mencegah pengguna agar tidak membunyikan mikrofon perangkat.
4.25.1. Admin IT dapat membisukan audio perangkat terkelola secara otomatis.
4.25.2. Admin IT dapat mencegah pengguna mengubah setelan volume perangkat.
4.25.3. Admin IT dapat mencegah pengguna membunyikan mikrofon perangkat.
4.26. Pengelolaan jam sistem
Admin IT dapat mengelola setelan jam dan zona waktu perangkat, serta mencegah pengguna mengubah setelan perangkat otomatis.
4.26.1. Admin IT dapat menerapkan waktu otomatis sistem, sehingga pengguna tidak dapat menyetel tanggal dan waktu perangkat.
4.26.2. Admin IT dapat menonaktifkan atau mengaktifkan waktu otomatis secara diam-diam dan zona waktu otomatis.
4.27. Fitur perangkat khusus lanjutan
Memberi admin IT kemampuan untuk mengelola perangkat khusus yang lebih terperinci untuk mendukung berbagai kasus penggunaan kios.
4.27.1. Admin IT dapat menonaktifkan kunci layar perangkat.
4.27.2. Admin IT dapat menonaktifkan status bar perangkat, memblokir notifikasi dan Pengaturan Cepat.
4.27.3. Admin IT dapat memaksa layar perangkat agar tetap aktif saat perangkat dicolokkan.
4.27.4. Admin IT dapat mencegah UI sistem berikut tidak ditampilkan:
- Toast
- Overlay aplikasi.
4.27.5. Admin IT dapat mengizinkan rekomendasi sistem untuk aplikasi melewati tutorial pengguna dan petunjuk pengantar lainnya saat pertama kali dinyalakan.
4.28. Pengelolaan cakupan yang didelegasikan
Admin IT dapat mendelegasikan hak istimewa tambahan untuk setiap paket.
4.28.1. Admin IT dapat mengelola cakupan berikut:
- Penginstalan dan pengelolaan sertifikat
- Sengaja dikosongkan
- Logging jaringan
- Logging keamanan (tidak didukung untuk profil kerja BYOD)
4.29. Dukungan tanda pengenal khusus pendaftaran
Mulai Android 12, profil kerja tidak akan lagi memiliki akses ke pengenal khusus hardware. Admin IT dapat mengikuti siklus proses perangkat dengan profil kerja melalui ID khusus pendaftaran, yang akan tetap ada melalui {i>factory reset<i}.
4.29.1. Admin IT dapat menetapkan dan memperoleh ID khusus pendaftaran
4.29.2. ID khusus pendaftaran ini harus tetap ada setelah reset ke setelan pabrik
5. Kegunaan perangkat
5.1. Penyesuaian penyediaan terkelola
Admin IT dapat mengubah UX alur penyiapan default untuk disertakan fitur khusus perusahaan. Secara opsional, admin IT dapat menampilkan EMM yang disediakan selama proses penyediaan.
5.1.1. Admin IT dapat menyesuaikan proses penyediaan dengan menentukan detail khusus perusahaan berikut: warna perusahaan, logo perusahaan, persyaratan layanan perusahaan dan pernyataan penyangkalan lainnya.
5.1.2. Admin IT dapat men-deploy penyesuaian khusus EMM yang tidak dapat dikonfigurasi yang mencakup detail berikut: Warna EMM, logo EMM, Persyaratan layanan EMM dan pernyataan penyangkalan lainnya.
5.1.3 [primaryColor] tidak digunakan lagi untuk resource perusahaan di
Android 10 dan yang lebih tinggi.
- EMM harus menyertakan Persyaratan Layanan penyediaan dan pernyataan penyangkalan lainnya untuk alur penyediaannya dalam paket pernyataan penyangkalan penyediaan sistem, meskipun penyesuaian khusus EMM tidak digunakan.
- EMM dapat menetapkan penyesuaian khusus EMM yang tidak dapat dikonfigurasi sebagai default untuk semua deployment, tetapi harus mengizinkan admin IT menyiapkan deployment dan penyesuaian.
5.2. Penyesuaian perusahaan
Admin IT dapat menyesuaikan aspek profil kerja dengan branding perusahaan. Misalnya, admin IT dapat menetapkan ikon pengguna di profil kerja ke logo perusahaan. Contoh lain adalah mengatur warna latar belakang tantangan kerja.
5.2.1. Admin IT dapat menyetel warna organisasi, untuk digunakan sebagai warna latar belakang dari tantangan kerja.
5.2.2. Admin IT dapat menetapkan nama tampilan profil kerja kami.
5.2.3. Admin IT dapat menyetel ikon pengguna untuk profil kerja kami.
5.2.4. Admin IT dapat mencegah pengguna mengubah pengguna profil kerja ikon kami.
5.3. Penyesuaian perusahaan lanjutan
Admin IT dapat menyesuaikan perangkat terkelola dengan branding perusahaan. Misalnya, Admin IT dapat menetapkan ikon pengguna utama ke logo perusahaan, atau menyetel wallpaper perangkat.
5.3.1. Admin IT dapat menetapkan nama tampilan untuk perangkat terkelola kami.
5.3.2. Admin IT dapat menetapkan ikon pengguna perangkat terkelola.
5.3.3. Admin IT dapat mencegah pengguna mengubah setelan pengguna perangkat ikon kami.
5.3.4. Admin IT dapat menyetel wallpaper perangkat .
5.3.5. Admin IT dapat mencegah pengguna mengubah perangkat wallpaper kami.
5.4. Pesan layar kunci
Admin IT dapat menyetel pesan kustom yang selalu ditampilkan di kunci perangkat layar, dan tidak memerlukan buka kunci perangkat agar dapat dilihat.
5.4.1. Admin IT dapat menyetel pesan layar kunci khusus.
5.5. Pengelolaan transparansi kebijakan
Admin IT dapat menyesuaikan teks bantuan yang diberikan kepada pengguna saat mereka melakukan perubahan setelan terkelola di perangkat mereka, atau men-deploy dukungan umum yang disediakan EMM untuk membuat pesan email baru. Pesan dukungan singkat dan panjang dapat disesuaikan. Pesan ini ditampilkan dalam contoh seperti mencoba meng-uninstal aplikasi terkelola untuk dan admin IT telah memblokir uninstal.
5.5.1. Admin IT menyesuaikan pesan dukungan pendek dan panjang.
5.5.2. Admin IT dapat men-deploy khusus EMM yang tidak dapat dikonfigurasi pesan dukungan singkat dan panjang.
- EMM dapat menetapkan pesan dukungan khusus EMM yang tidak dapat dikonfigurasi sebagai default untuk semua deployment, tetapi harus mengizinkan admin IT menyiapkan pesan mereka sendiri.
5.6. Pengelolaan kontak antar-profil
Admin IT dapat mengontrol data kontak yang dapat keluar dari profil kerja. Aplikasi telepon dan pesan (SMS) harus berjalan di profil pribadi, dan memerlukan akses ke data kontak profil kerja untuk menawarkan fungsi untuk kontak kerja, tetapi admin dapat memilih untuk menonaktifkan fitur ini guna melindungi data kerja.
5.6.1. Admin IT dapat menonaktifkan penelusuran kontak antar-profil untuk aplikasi pribadi yang menggunakan penyedia kontak sistem.
5.6.2. Admin IT dapat menonaktifkan pencarian ID penelepon antar-profil untuk aplikasi telepon pribadi yang menggunakan penyedia kontak sistem.
5.6.3. Admin IT dapat menonaktifkan berbagi kontak Bluetooth dengan perangkat Bluetooth yang menggunakan penyedia kontak sistem, misalnya panggilan handsfree di mobil atau headset.
5.7 Pengelolaan data antar-profil
Memberikan pengelolaan kepada admin IT terkait data yang dapat keluar dari profil kerja, di luar fitur keamanan default profil kerja. Dengan fitur ini, admin IT dapat mengizinkan jenis berbagi data antar-profil tertentu untuk meningkatkan kegunaan dalam kunci kasus penggunaan. Admin IT juga dapat lebih melindungi data perusahaan dengan lebih banyak pembatasan.
5.7.1. Admin IT dapat mengonfigurasi filter intent antar-profil agar aplikasi pribadi dapat menyelesaikan intent dari profil kerja seperti berbagi intent atau tautan web.
- Konsol dapat secara opsional menyarankan filter intent yang diketahui atau direkomendasikan untuk konfigurasi, tetapi tidak dapat membatasi filter intent ke daftar arbitrer apa pun.
5.7.2. Admin IT dapat mengizinkan aplikasi terkelola yang dapat menampilkan widget di layar utama.
- Konsol EMM harus memberi admin IT kemampuan untuk memilih dari daftar yang tersedia untuk diinstal bagi pengguna yang relevan.
5.7.3. Admin IT dapat memblokir penggunaan salin/tempel antara profil kerja dan pribadi.
5.7.4. Admin IT dapat memblokir pengguna agar tidak membagikan data dari profil kerja menggunakan beam NFC.
5.7.5. Admin IT dapat mengizinkan aplikasi pribadi membuka link web dari kantor profil Anda.
5.8. Kebijakan update sistem
Admin IT dapat menyiapkan dan menerapkan update sistem {i>over-the-air<i} (OTA) untuk perangkat seluler.
5.8.1. Konsol EMM memungkinkan admin IT menyetel OTA berikut konfigurasi:
- Otomatis: Perangkat menginstal update OTA saat tersedia.
- Tunda: Admin IT harus dapat menunda update OTA hingga 30 hari. Kebijakan ini tidak memengaruhi update keamanan (misalnya patch keamanan bulanan).
- Periode: Admin IT harus dapat menjadwalkan update OTA dalam waktu satu hari masa pemeliharaan.
5.8.2. DPC EMM menerapkan konfigurasi OTA ke perangkat.
5.9. Pengelolaan mode mengunci tugas
Admin IT dapat mengunci aplikasi atau serangkaian aplikasi ke layar, dan memastikan pengguna tidak dapat keluar dari aplikasi.
5.9.1. Konsol EMM memungkinkan admin IT mengizinkan sekumpulan aplikasi arbitrer untuk diinstal dan dikunci ke perangkat secara diam-diam. Perangkat EMM DPC memungkinkan jaringan mode perangkat.
5.10. Pengelolaan aktivitas pilihan persisten
Memungkinkan admin IT menetapkan aplikasi sebagai pengendali intent default untuk intent yang cocok dengan filter intent tertentu. Misalnya, memungkinkan admin IT untuk memilih aplikasi browser akan otomatis membuka link web, atau aplikasi peluncur yang digunakan saat mengetuk tombol layar utama.
5.10.1. Admin IT dapat menetapkan paket apa pun sebagai pengendali intent default untuk filter intent arbitrer apa pun.
- Konsol EMM dapat secara opsional menyarankan intent yang diketahui atau direkomendasikan untuk konfigurasi, tetapi tidak dapat membatasi intent ke daftar arbitrer.
- Konsol EMM harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal bagi pengguna yang relevan.
5.11. Pengelolaan fitur keyguard
- agen tepercaya
- buka kunci dengan sidik jari
- notifikasi yang tidak tersunting
5.11.2. DPC EMM dapat menonaktifkan fitur keyguard berikut di profil kerja:
- agen tepercaya
- buka kunci dengan sidik jari
5.12. Pengelolaan fitur keyguard lanjutan
- Kamera pengaman
- Semua notifikasi
- Tidak tersunting notifikasi
- Agen tepercaya
- Buka dengan Sidik Jari
- Semua fitur keyguard
5.13. Proses debug jarak jauh
Admin IT dapat mengambil resource proses debug dari perangkat tanpa memerlukan langkah.
5.13.1. Admin IT dapat meminta laporan bug dari jarak jauh, melihat laporan bug dari konsol EMM, dan mendownload laporan bug dari konsol.
5.14. Pengambilan alamat MAC
EMM dapat mengambil alamat MAC perangkat secara diam-diam. Alamat MAC dapat digunakan untuk mengidentifikasi perangkat di bagian lain infrastruktur perusahaan (misalnya saat mengidentifikasi perangkat untuk kontrol akses jaringan).
5.14.1. EMM dapat mengambil alamat MAC perangkat secara diam-diam dan dapat mengaitkannya dengan perangkat di konsol EMM.
5.15. Pengelolaan mode mengunci tugas lanjutan
Saat perangkat disiapkan sebagai perangkat khusus, admin IT dapat menggunakan konsol EMM untuk melakukan tugas berikut:
5.15.1. Izinkan satu aplikasi untuk dikunci ke perangkat secara diam-diam menggunakan DPC EMM.
5.15.2. Aktifkan atau nonaktifkan fitur UI Sistem berikut menggunakan DPC EMM :
- Tombol beranda
- Ringkasan
- Tindakan global
- Notifikasi
- Info sistem/Status bar
- Pengaman tombol (layar kunci)
5.15.3. Nonaktifkan dialog Error Sistem menggunakan DPC EMM.
5.16. Kebijakan update sistem lanjutan
Admin IT dapat memblokir update sistem di perangkat selama periode pembekuan tertentu.
5.16.1. DPC EMM dapat menerapkan update sistem over-the-air (OTA) ke perangkat selama periode pembekuan yang ditentukan.
5.17. Pengelolaan transparansi kebijakan profil kerja
Admin IT dapat menyesuaikan pesan yang ditampilkan kepada pengguna saat menghapus tugas profil Anda dari perangkat.
5.17.1. Admin IT dapat menyediakan teks kustom untuk ditampilkan saat profil kerja dihapus total.
5.18. Dukungan aplikasi terhubung
Admin IT dapat menetapkan daftar paket yang dapat berkomunikasi melintasi batas profil kerja.
5.19. Update Sistem Manual
Admin IT dapat menginstal update sistem secara manual dengan memberikan jalur.
6. Penghentian Admin Perangkat
6.1. Penghentian Penggunaan Admin Perangkat
EMM diperlukan untuk memposting rencana paling lambat akhir tahun 2022, mengakhiri dukungan pelanggan untuk Admin Perangkat pada perangkat GMS pada akhir Kuartal 1 2023.
7. Penggunaan API
7.1. Pengontrol kebijakan standar untuk binding baru
Secara default, perangkat harus dikelola menggunakan Android Device Policy untuk binding baru. EMM dapat memberikan opsi untuk mengelola perangkat menggunakan DPC kustom di area setelan pada judul 'Lanjutan' atau terminologi serupa. Pelanggan baru tidak boleh terekspos pada pilihan arbitrer antara technology stack selama proses orientasi atau penyiapan alur kerja.
7.2. Pengontrol kebijakan standar untuk perangkat baru
Secara default, perangkat harus dikelola menggunakan Android Device Policy untuk semua pendaftaran perangkat baru, untuk binding yang sudah ada dan yang baru. EMM dapat memberikan opsi untuk mengelola perangkat menggunakan DPC kustom di area setelan di bawah judul 'Lanjutan' atau terminologi serupa.