หน้านี้มีรายการฟีเจอร์ Android Enterprise ทั้งหมด
หากต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ของคุณต้องรองรับฟีเจอร์มาตรฐาน () ทั้งหมดของชุดโซลูชันอย่างน้อย 1 ชุดก่อนจึงจะพร้อมให้บริการในเชิงพาณิชย์ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์มาตรฐานจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการมาตรฐาน
ฟีเจอร์ขั้นสูงชุดเพิ่มเติมมีให้ใช้งานสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้จะแสดงอยู่ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งานในอุปกรณ์ส่วนบุคคล โปรไฟล์งานในอุปกรณ์ของบริษัท อุปกรณ์ที่มีการจัดการครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการขั้นสูง
คีย์
| ฟีเจอร์มาตรฐาน รายการ | ฟีเจอร์ขั้นสูง | ฟีเจอร์ที่ไม่บังคับ | ไม่เกี่ยวข้อง |
1. การจัดเตรียมอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานแบบ DPC เป็นหลัก
คุณสามารถจัดสรรโปรไฟล์งานได้หลังจากดาวน์โหลด DPC ของ EMM จาก Google Play
1.1.1. DPC ของ EMM ต้องพร้อมให้บริการแก่สาธารณะใน Google Play เพื่อให้ผู้ใช้ติดตั้ง DPC ดังกล่าวในฝั่งส่วนบุคคลของอุปกรณ์ได้
1.1.2. เมื่อติดตั้งแล้ว DPC จะต้องแนะนำผู้ใช้เกี่ยวกับขั้นตอนการจัดสรรโปรไฟล์งาน
1.1.3. หลังจากจัดสรรเสร็จสมบูรณ์แล้ว จะไม่มีการจัดการเหลืออยู่ในฝั่งส่วนบุคคลของอุปกรณ์
- นโยบายใดๆ ที่ใช้ในระหว่างการจัดสรรต้องถูกนำออก
- ต้องเพิกถอนสิทธิ์ของแอป
- DPC ของ EMM ต้องปิดอยู่อย่างน้อยในด้านส่วนตัวของอุปกรณ์
1.2 การจัดเตรียมอุปกรณ์ที่มีตัวระบุ DPC
ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะโดยใช้ตัวระบุ DPC ("afw#") ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาแอปของ Play EMM API
1.2.1. DPC ของ EMM ต้องพร้อมใช้งานแบบสาธารณะใน Google Play DPC ต้องติดตั้งได้จากวิซาร์ดการตั้งค่าอุปกรณ์โดยป้อนตัวระบุเฉพาะ DPC
1.2.2. เมื่อติดตั้งแล้ว DPC ของ EMM จะต้องแนะนำผู้ใช้เกี่ยวกับขั้นตอนการจัดสรรอุปกรณ์ที่มีการจัดการอย่างเต็มรูปแบบหรืออุปกรณ์เฉพาะ
1.3 การจัดเตรียมอุปกรณ์ NFC
ผู้ดูแลระบบไอทีสามารถใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นได้ ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาแอป Play EMM API
1.3.1. EMM ต้องใช้แท็ก NFC Forum ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. หลังจากที่ DPC ของ EMM กำหนดตัวเองเป็นเจ้าของอุปกรณ์แล้ว DPC จะต้องเปิดขึ้นทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าอุปกรณ์จะจัดสรรเสร็จสมบูรณ์ 1.3.3. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจากมีการเลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4. การจัดสรรอุปกรณ์ด้วยคิวอาร์โค้ด
ผู้ดูแลระบบไอทีสามารถใช้อุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นเพื่อสแกนคิวอาร์โค้ดที่คอนโซลของ EMM สร้างขึ้นเพื่อจัดสรรอุปกรณ์ตามหลักเกณฑ์การใช้งานที่ระบุไว้ใน เอกสารประกอบสำหรับนักพัฒนาแอป Play EMM API
1.4.1. คิวอาร์โค้ดต้องใช้การจองข้อมูลเพิ่มเติมเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.4.2. หลังจาก DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC จะต้องเปิดขึ้นทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าอุปกรณ์จะจัดสรรเสร็จสมบูรณ์
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อจากตัวแทนจำหน่ายที่ได้รับอนุญาตล่วงหน้าและจัดการอุปกรณ์เหล่านั้นได้โดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่นักดูแลระบบไอทีกำหนดไว้โดยอัตโนมัติ
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นแบบอัตโนมัติได้โดยใช้รายละเอียดการลงทะเบียน DPC ผ่านการลงทะเบียนแบบรวมกลุ่ม DPC ของ EMM รองรับการจำกัดการลงทะเบียนไว้เฉพาะบัญชีหรือโดเมนที่ต้องการตามตัวเลือกการกำหนดค่าที่ EMM นำเสนอ
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.6.2. หลังจากที่ DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC ของ EMM จะต้องเปิดขึ้นทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าอุปกรณ์จะได้รับการกําหนดค่าอย่างสมบูรณ์
- ข้อกำหนดนี้จะไม่มีผลกับอุปกรณ์ที่ใช้รายละเอียดการลงทะเบียนการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มเพื่อจัดสรรอุปกรณ์โดยอัตโนมัติ (เช่น ในการใช้งานอุปกรณ์เฉพาะ)
1.6.3. เมื่อใช้รายละเอียดการลงทะเบียน DPC ของ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถดำเนินการเปิดใช้งานต่อได้เมื่อเรียกใช้ DPC ขั้นต่ำคือต้องล็อกการเปิดใช้งานไว้สำหรับผู้ใช้ขององค์กรหนึ่งๆ
1.6.4. เมื่อใช้รายละเอียดการลงทะเบียน DPC ของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีป้อนรายละเอียดการลงทะเบียนล่วงหน้าได้ (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น รหัสผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อไม่ให้ผู้ใช้ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง ในการกำหนดค่าของการตั้งค่าอุปกรณ์พร้อมใช้
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ ฟีเจอร์นี้จะแนะนำผู้ใช้ในการตั้งค่าโปรไฟล์งานหลังจากป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กรระหว่างการตั้งค่าอุปกรณ์หรือในอุปกรณ์ที่เปิดใช้งานแล้ว ไม่ว่าในกรณีใด ระบบจะย้ายข้อมูลข้อมูลประจำตัวของ Workspace ขององค์กรไปยังโปรไฟล์งาน
1.7.1. วิธีการจัดสรรบัญชี Google จะจัดสรรโปรไฟล์งานตามหลักเกณฑ์การใช้งานที่ระบุ
1.8. การจัดสรรอุปกรณ์บัญชี Google
สำหรับองค์กรที่ใช้ Workspace ฟีเจอร์นี้จะแนะนำผู้ใช้ในการติดตั้ง DPC ของ EMM หลังจากที่ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กรในระหว่างการตั้งค่าอุปกรณ์ครั้งแรก เมื่อติดตั้งแล้ว DPC จะตั้งค่าอุปกรณ์ของบริษัทให้เสร็จสมบูรณ์
1.8.1. วิธีการจัดสรรบัญชี Google จะจัดสรรอุปกรณ์ของบริษัทตามหลักเกณฑ์การใช้งานที่ระบุ
1.8.2. EMM จะจัดสรรอุปกรณ์โดยไม่มีข้อความแจ้งในระหว่างกระบวนการจัดสรรไม่ได้ เว้นแต่จะสามารถระบุได้อย่างแน่ชัดว่าอุปกรณ์เป็นทรัพย์สินขององค์กร พรอมต์นี้ต้องใช้การดำเนินการที่ไม่ใช่ค่าเริ่มต้น เช่น การเลือกช่องทำเครื่องหมายหรือการเลือกตัวเลือกเมนูที่ไม่ใช่ค่าเริ่มต้น ขอแนะนําให้ EMM ระบุอุปกรณ์ว่าเป็นสินทรัพย์ของบริษัทเพื่อที่จะไม่ต้องแสดงข้อความแจ้ง
1.9. การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้ iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10. โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งาน
1.10.1. จงใจเว้นว่างไว้
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าการดำเนินการเกี่ยวกับการปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทได้
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือทั้งอุปกรณ์ได้
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือทั้งอุปกรณ์ได้
1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่บล็อกของแอปพลิเคชันที่ติดตั้งในโปรไฟล์ส่วนตัวไม่ได้
1.10.6. ผู้ดูแลระบบไอทีสามารถสละสิทธิ์การจัดการอุปกรณ์ของบริษัทได้โดยการนำโปรไฟล์งานออกหรือล้างข้อมูลทั้งอุปกรณ์
1.11. การจัดเตรียมอุปกรณ์เฉพาะ
จงใจเว้นว่างไว้
2. ความปลอดภัยของอุปกรณ์
2.1 มาตรการรักษาความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการรักษาความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากตัวเลือกระดับความซับซ้อน 3 ระดับที่กำหนดไว้ล่วงหน้าในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบายต้องบังคับใช้การตั้งค่าที่จัดการปัญหาด้านความปลอดภัยของอุปกรณ์ (parentProfilePasswordRequirements สำหรับโปรไฟล์งาน, passwordRequirements สำหรับอุปกรณ์ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านต้องจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.2 มาตรการรักษาความปลอดภัยของงาน
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการลงชื่อเข้าใช้เพื่อตรวจสอบความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งานแยกต่างหากและมีข้อกำหนดแตกต่างจากมาตรการลงชื่อเข้าใช้เพื่อตรวจสอบความปลอดภัยของอุปกรณ์ (2.1.)
2.2.1. นโยบายต้องบังคับใช้มาตรการลงชื่อเข้าใช้เพื่อตรวจสอบสิทธิ์สำหรับโปรไฟล์งาน โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรตั้งค่าข้อจำกัดสำหรับโปรไฟล์งานเท่านั้น หากไม่ได้ระบุขอบเขต ผู้ดูแลระบบไอทีสามารถตั้งค่านี้สำหรับทั้งอุปกรณ์ได้โดยระบุขอบเขต (ดูข้อกำหนด 2.1)
2.1.2. ความซับซ้อนของรหัสผ่านควรจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.3 การจัดการรหัสผ่านขั้นสูง
2.3.1. จงใจเว้นว่าง
2.3.2. จงใจเว้นว่างไว้
2.3.3. คุณสามารถตั้งค่าวงจรการใช้งานรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอที่มีอยู่ในอุปกรณ์
- จงใจเว้นว่าง
- จงใจเว้นว่าง
- จำนวนครั้งที่ป้อนรหัสผ่านไม่สำเร็จสูงสุดสำหรับการล้างข้อมูล : ระบุจำนวนครั้งที่ผู้ใช้ป้อนรหัสผ่านที่ไม่ถูกต้องได้ก่อนที่จะมีการล้างข้อมูลขององค์กรออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.4 การจัดการล็อกอัจฉริยะ
ผู้ดูแลระบบไอทีสามารถจัดการว่าเอเจนต์ความน่าเชื่อถือใดในฟีเจอร์ Smart Lock ของ Android ที่ได้รับอนุญาตให้ปลดล็อกอุปกรณ์ ผู้ดูแลระบบไอทีสามารถปิดวิธีการปลดล็อกบางอย่าง เช่น อุปกรณ์บลูทูธที่เชื่อถือได้ การจดจำใบหน้า และการจดจำเสียงพูด หรือปิดฟีเจอร์ทั้งหมดก็ได้
2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ เอเจนต์ความน่าเชื่อถือของ Smart Lock แยกต่างหากสำหรับหน้าจอล็อกแต่ละรูปแบบที่มีในอุปกรณ์
2.4.2. ผู้ดูแลระบบไอทีสามารถเลือกอนุญาตและตั้งค่าเอเจนต์ความน่าเชื่อถือของ Smart Lock แยกกันสำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์สำหรับเอเจนต์ความน่าเชื่อถือต่อไปนี้ ได้แก่ บลูทูธ, NFC, สถานที่, ใบหน้า, อุปกรณ์ที่อยู่กับตัว และเสียง
- ผู้ดูแลระบบไอทีสามารถแก้ไขพารามิเตอร์การกําหนดค่าตัวแทนความน่าเชื่อถือที่ใช้ได้
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานออกจากอุปกรณ์ที่มีการจัดการจากระยะไกล
2.5.1. DPC ของ EMM ต้องล็อกอุปกรณ์
2.5.2. DPC ของ EMM ต้องล้างข้อมูลอุปกรณ์
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายด้านความปลอดภัย ระบบจะจำกัดข้อมูลงานโดยอัตโนมัติ
2.6.1. นโยบายความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีนโยบายรหัสผ่านเป็นอย่างน้อย
2.7 นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายการรักษาความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยที่ผู้ดูแลระบบไอทีไม่จําเป็นต้องตั้งค่าหรือปรับแต่งการตั้งค่าใดๆ ในคอนโซลของ EMM เราขอแนะนำให้ EMM (แต่ไม่ได้บังคับ) ไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยนแปลงสถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. DPC ของ EMM ต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก ซึ่งรวมถึงแอปที่ติดตั้งในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน
2.7.2. DPC ของ EMM ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง
2.8. นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
อุปกรณ์เฉพาะจะล็อกไว้โดยไม่มีการหลบหนีเพื่ออนุญาตให้ดำเนินการอื่นๆ
2.8.1. DPC ของ EMM ต้องปิดการบูตเข้าสู่โหมดปลอดภัยโดยค่าเริ่มต้น
2.8.2. DPC ของ EMM ต้องเปิดและล็อกกับหน้าจอทันทีที่บูตเครื่องครั้งแรกระหว่างการจัดสรร เพื่อให้มั่นใจว่าไม่มีการโต้ตอบกับอุปกรณ์ด้วยวิธีอื่น
2.8.3. คุณต้องตั้งค่า DPC ของ EMM เป็นแอปเปิดเริ่มต้นเพื่อให้มั่นใจว่าแอปที่ได้รับอนุญาตจะล็อกอยู่กับหน้าจอเมื่อเปิดเครื่องตามหลักเกณฑ์การใช้งานที่ระบุ
2.9. การสนับสนุน Play Integrity
EMM ใช้ Play Integrity API เพื่อตรวจสอบว่าอุปกรณ์เป็นอุปกรณ์ Android ที่ถูกต้อง
2.9.1. DPC ของ EMM จะใช้ Play Integrity API ในระหว่างการจัดเตรียมอุปกรณ์ และโดยค่าเริ่มต้นจะจัดเตรียมอุปกรณ์ด้วยข้อมูลของบริษัทให้เสร็จสมบูรณ์ก็ต่อเมื่อความสมบูรณ์ของอุปกรณ์ที่แสดงผลเป็น MEETS_STRONG_INTEGRITY เท่านั้น
2.9.2. DPC ของ EMM จะดำเนินการตรวจสอบความสมบูรณ์ของ Play อีกครั้งทุกครั้งที่อุปกรณ์ตรวจสอบกับเซิร์ฟเวอร์ของ EMM ซึ่งผู้ดูแลระบบไอทีสามารถกำหนดค่าได้ เซิร์ฟเวอร์ EMM จะยืนยันข้อมูล APK ในการตอบกลับการตรวจสอบความสมบูรณ์และการตอบกลับเองก่อนที่จะอัปเดตนโยบายของบริษัทในอุปกรณ์
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบสนองนโยบายที่แตกต่างกันตามผลการตรวจสอบความสมบูรณ์ของ Play ซึ่งรวมถึงการบล็อกการจัดสรร การล้างข้อมูลขององค์กร และการอนุญาตให้ลงทะเบียนต่อไป
- บริการ EMM จะบังคับใช้การตอบกลับนโยบายนี้กับผลการตรวจสอบความสมบูรณ์แต่ละครั้ง
2.9.4. หากการตรวจสอบความสมบูรณ์ของ Play ครั้งแรกไม่สำเร็จหรือแสดงผลลัพธ์ที่ไม่เป็นไปตามความสมบูรณ์แบบสมบูรณ์ หาก DPC ของ EMM ยังไม่ได้เรียกใช้ensureWorkingEnvironment จะต้องเรียกใช้และตรวจสอบอีกครั้งก่อนการจัดสรรจะเสร็จสมบูรณ์
2.10. การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดยืนยันแอปในอุปกรณ์ได้ ฟีเจอร์ยืนยันแอปจะสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาซอฟต์แวร์ที่เป็นอันตรายทั้งก่อนและหลังการติดตั้ง ซึ่งช่วยให้มั่นใจได้ว่าแอปที่เป็นอันตรายจะไม่สามารถเข้าถึงข้อมูลของบริษัทได้
2.10.1. DPC ของ EMM ต้องเปิดใช้ "ยืนยันแอป" โดยค่าเริ่มต้น
2.11. การรองรับ Direct Boot
แอปจะไม่สามารถทำงานในอุปกรณ์ Android 7.0 ขึ้นไปที่เพิ่งเปิดเครื่องจนกว่าจะปลดล็อกอุปกรณ์เป็นครั้งแรก การรองรับการบูตโดยตรงช่วยให้มั่นใจได้ว่า DPC ของ EMM จะทำงานอยู่เสมอและสามารถบังคับใช้นโยบายได้ แม้ว่าอุปกรณ์จะยังไม่ได้ปลดล็อกก็ตาม
2.11.1. DPC ของ EMM ใช้ประโยชน์จากพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์เพื่อดำเนินการฟังก์ชันการจัดการที่สำคัญก่อนที่จะมีการถอดรหัสพื้นที่เก็บข้อมูลที่เข้ารหัสข้อมูลเข้าสู่ระบบของ DPC ฟังก์ชันการจัดการที่ใช้ได้ในระหว่างการบูตโดยตรงต้องมี (แต่ไม่จำกัดเพียง) รายการต่อไปนี้
- การล้างข้อมูลระดับองค์กร รวมถึงความสามารถในการล้างข้อมูลการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นตามความเหมาะสม
2.11.2. DPC ของ EMM ต้องไม่เปิดเผยข้อมูลของบริษัทภายในพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์
2.11.3. EMM สามารถตั้งค่าและเปิดใช้งานโทเค็นเพื่อเปิดปุ่มลืมรหัสผ่านบนหน้าจอล็อกของโปรไฟล์งาน ปุ่มนี้ใช้เพื่อขอให้ผู้ดูแลระบบไอทีรีเซ็ตรหัสผ่านโปรไฟล์งานอย่างปลอดภัย
2.12. การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อป้องกันการสูญเสียข้อมูล
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมสื่อภายนอกในอุปกรณ์
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์โดยใช้ NFC beaming ได้ ฟีเจอร์ย่อยนี้ไม่บังคับเนื่องจาก Android 10 ขึ้นไปไม่รองรับฟังก์ชัน NFC Beam อีกต่อไป
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB จากอุปกรณ์ได้
2.13. การบันทึกการรักษาความปลอดภัยระดับองค์กร
ผู้ดูแลระบบไอทีสามารถรวบรวมข้อมูลการใช้งานจากอุปกรณ์ที่แยกวิเคราะห์ได้ และประเมินพฤติกรรมที่เป็นอันตรายหรือมีความเสี่ยงแบบเป็นโปรแกรม กิจกรรมที่บันทึกไว้จะรวมถึงกิจกรรม Android Debug Bridge (adb), การเปิดแอป และการปลดล็อกหน้าจอ
2.13.1. ผู้ดูแลระบบไอทีสามารถเปิดใช้การบันทึกความปลอดภัยสำหรับอุปกรณ์ที่ต้องการ และ DPC ของ EMM จะต้องดึงข้อมูลทั้งบันทึกความปลอดภัยและบันทึกความปลอดภัยก่อนการรีบูตโดยอัตโนมัติ
2.13.2. ผู้ดูแลระบบไอทีสามารถตรวจสอบบันทึกการรักษาความปลอดภัยขององค์กรสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ในคอนโซลของ EMM
2.13.3. ผู้ดูแลระบบไอทีสามารถส่งออกบันทึกความปลอดภัยขององค์กรจากคอนโซลของ EMM ได้
3. การจัดการบัญชีและแอป
3.1 การเชื่อมโยงองค์กร
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรได้ ซึ่งจะช่วยให้ EMM ใช้ Managed Google Play เพื่อเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วจะเชื่อมโยงโดเมนกับ EMM ได้
3.1.2. คอนโซลของ EMM ต้องจัดสรรและตั้งค่า ESA ที่ไม่ซ้ำกันให้กับองค์กรแต่ละแห่งโดยอัตโนมัติ
3.1.3. ยกเลิกการลงทะเบียนองค์กรโดยใช้ Play EMM API
3.1.4. คอนโซล EMM จะแนะนำผู้ดูแลระบบให้ป้อนอีเมลงานในขั้นตอนการลงชื่อสมัครใช้ Android และแนะนำให้หลีกเลี่ยงการใช้บัญชี Gmail
3.1.5. EMM จะป้อนอีเมลของผู้ดูแลระบบล่วงหน้าในขั้นตอนการลงชื่อสมัครใช้ Android
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรโดยอัตโนมัติได้ ซึ่งเรียกว่าบัญชี Managed Google Play บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการจัดจำหน่ายแอปที่ไม่ซ้ำกันต่อผู้ใช้
3.2.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการโดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่ระบุ โดยการดำเนินการดังกล่าวจะส่งผลดังนี้
- เพิ่มบัญชี Google Play ที่มีการจัดการประเภท
userAccountลงในอุปกรณ์แล้ว - บัญชี Managed Google Play ประเภท
userAccountต้องมีการแมปแบบ 1:1 กับผู้ใช้จริงในคอนโซลของ EMM
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สามารถสร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play ได้ บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Google Play Store ที่มีการจัดการแบบเงียบ และไม่ผูกอยู่กับผู้ใช้รายเดียว แต่จะใช้บัญชีอุปกรณ์เพื่อระบุอุปกรณ์เครื่องเดียวเพื่อรองรับกฎการจัดจำหน่ายแอปต่ออุปกรณ์ในสถานการณ์อุปกรณ์เฉพาะ
3.3.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการโดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่ระบุ
ในการดําเนินการดังกล่าว คุณต้องเพิ่มบัญชี Google Play ที่มีการจัดการประเภท deviceAccount ลงในอุปกรณ์
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์รุ่นเดิม
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรที่เรียกว่าบัญชี Managed Google Play ได้แบบเงียบๆ บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอปที่ไม่ซ้ำกันต่อผู้ใช้แต่ละราย
3.4.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการโดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่ระบุ โดยการดำเนินการดังกล่าวจะส่งผลดังนี้
- เพิ่มบัญชี Google Play ที่มีการจัดการประเภท
userAccountลงในอุปกรณ์แล้ว - บัญชี Managed Google Play ประเภท
userAccountต้องมีการแมปแบบ 1:1 กับผู้ใช้จริงในคอนโซลของ EMM
3.5. การเผยแพร่แอปแบบเงียบ
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปงานในอุปกรณ์ของผู้ใช้แบบเงียบได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.5.1. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.3. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่มีการจัดการ
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการหรือแอปที่รองรับการกำหนดค่าที่มีการจัดการโดยอัตโนมัติ
3.6.1. คอนโซลของ EMM ต้องดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการของแอป Play ได้
- EMM สามารถเรียกใช้
Products.getAppRestrictionsSchemaเพื่อเรียกข้อมูลสคีมาการกำหนดค่าที่มีการจัดการของแอป หรือฝังเฟรมการกำหนดค่าที่มีการจัดการในคอนโซล EMM
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการกำหนดค่าประเภทใดก็ได้ (ตามที่เฟรมเวิร์ก Android กำหนด) สำหรับแอป Play โดยใช้ Play EMM API
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้ใช้การกำหนดค่าเดียวสำหรับแอป เช่น Gmail กับผู้ใช้หลายคนได้ iframe ของการกำหนดค่าที่มีการจัดการรองรับข้อกำหนดนี้โดยอัตโนมัติ
3.7. การจัดการแคตตาล็อกแอป
ผู้ดูแลระบบไอทีสามารถนำเข้ารายการแอปที่ได้รับอนุมัติสำหรับองค์กรจาก Google Play ที่มีการจัดการ (play.google.com/work)
3.7.1. คอนโซลของ EMM สามารถแสดงรายการแอปที่ได้รับอนุมัติให้เผยแพร่ได้ ดังนี้
- แอปที่ซื้อใน Managed Google Play
- แอปส่วนตัวที่ผู้ดูแลระบบไอทีมองเห็น
- แอปที่ได้รับอนุมัติแบบเป็นโปรแกรม
3.8. การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบและอนุมัติแอปของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ใหม่ของแอปได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปภายในคอนโซลของ EMM ได้โดยใช้ Managed Google Play iframe
3.9. การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
แอป Managed Google Play Store สามารถใช้ในอุปกรณ์เพื่อติดตั้งและอัปเดตแอปงานได้ เลย์เอาต์ร้านค้าพื้นฐานจะแสดงโดยค่าเริ่มต้นและแสดงรายการแอปที่ได้รับอนุมัติสำหรับองค์กร ซึ่ง EMM จะกรองตามผู้ใช้แต่ละรายตามนโยบาย
3.9.1. ผู้ดูแลระบบไอทีสามารถ [จัดการชุดผลิตภัณฑ์ที่พร้อมใช้งานของผู้ใช้]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) เพื่ออนุญาตให้ดูและติดตั้งแอปพลิเคชันจาก Managed Google Play Store ในส่วน "หน้าแรกของ Store"
3.10. การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของ Store ที่แสดงในแอป Google Play Store ที่มีการจัดการในอุปกรณ์
3.10.1. ผู้ดูแลระบบไอทีสามารถดำเนินการต่อไปนี้ในคอนโซลของ EMM เพื่อปรับแต่งเลย์เอาต์ Google Play Store ที่มีการจัดการ
- สร้างหน้าเลย์เอาต์ร้านค้าได้สูงสุด 100 หน้า หน้าเว็บอาจมีชื่อหน้าเว็บที่แปลแล้วได้ไม่จำกัดจำนวน
- สร้างคลัสเตอร์ได้สูงสุด 30 รายการสำหรับแต่ละหน้า คลัสเตอร์อาจมีชื่อคลัสเตอร์ที่แปลแล้วได้ไม่จำกัดจำนวน
- กำหนดแอปได้สูงสุด 100 แอปต่อคลัสเตอร์
- เพิ่มลิงก์ด่วนสูงสุด 10 รายการในแต่ละหน้า
- ระบุลําดับการจัดเรียงของแอปภายในคลัสเตอร์และคluster ภายในหน้า
3.11. การจัดการใบอนุญาตแอป
ผู้ดูแลระบบไอทีสามารถดูและจัดการใบอนุญาตแอปที่ซื้อใน Managed Google Play ได้จากคอนโซลของ EMM
3.11.1. สำหรับแอปที่ต้องซื้อที่ได้รับอนุมัติสำหรับองค์กร คอนโซลของ EMM ต้องแสดงข้อมูลต่อไปนี้
- จำนวนใบอนุญาตที่ซื้อ
- จํานวนใบอนุญาตที่ใช้และผู้ใช้ที่ใช้ใบอนุญาต
- จำนวนใบอนุญาตที่พร้อมจำหน่าย
3.11.2. ผู้ดูแลระบบไอทีสามารถมอบหมายใบอนุญาตให้กับผู้ใช้แบบเงียบได้โดยไม่ต้องบังคับให้ติดตั้งแอปนั้นในอุปกรณ์ของผู้ใช้
3.11.3. ผู้ดูแลระบบไอทีสามารถยกเลิกการกำหนดใบอนุญาตแอปจากผู้ใช้ได้
3.12. การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่ฝากไว้กับ Google ผ่านคอนโซล EMM แทนที่จะอัปเดตผ่าน Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แล้วแบบส่วนตัวไปยังองค์กรได้โดยใช้สิ่งต่อไปนี้
3.13. การจัดการแอปส่วนตัวที่โฮสต์เอง
ผู้ดูแลระบบไอทีสามารถตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์เองได้ Google Play ไม่ได้โฮสต์ APK ต่างจากแอปส่วนตัวที่โฮสต์โดย Google แต่ EMM จะช่วยผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเอง และช่วยปกป้องแอปที่โฮสต์เองโดยตรวจสอบว่าแอปจะติดตั้งได้ก็ต่อเมื่อได้รับอนุญาตจาก Managed Google Play
ผู้ดูแลระบบไอทีดูรายละเอียดได้ที่หัวข้อรองรับแอปส่วนตัว
3.13.1. คอนโซลของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ของแอปได้โดยเสนอตัวเลือกต่อไปนี้ทั้ง 2 รายการ
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นเซิร์ฟเวอร์ภายในองค์กรหรือเซิร์ฟเวอร์ระบบคลาวด์ก็ได้
- โฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM โดยขึ้นอยู่กับดุลยพินิจของผู้ดูแลระบบไอที ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่าโฮสต์ APK ไว้ที่ใด
3.13.2. คอนโซลของ EMM จะต้องสร้างไฟล์คําจํากัดความ APK ที่เหมาะสมโดยใช้ APK ที่ระบุ และจะต้องแนะนําผู้ดูแลระบบไอทีตลอดกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์เองได้ และคอนโซลของ EMM จะเผยแพร่ไฟล์คําจํากัดความ APK ที่อัปเดตแล้วโดยอัตโนมัติได้โดยใช้ Google Play Developer Publishing API
3.13.4. เซิร์ฟเวอร์ของ EMM จะให้บริการคำขอดาวน์โหลดสำหรับ APK ที่โฮสต์เองซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอเท่านั้น ซึ่งได้รับการยืนยันโดยคีย์สาธารณะของแอปส่วนตัว
- เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ดาวน์โหลดคีย์สาธารณะของใบอนุญาตแอปที่โฮสต์เองจาก Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM เพื่อให้กระบวนการนี้สะดวกขึ้น
3.14 การแจ้งเตือนแบบดึงของ EMM
แทนที่จะค้นหา Play เป็นระยะๆ เพื่อระบุเหตุการณ์ที่ผ่านมา เช่น การอัปเดตแอปที่มีสิทธิ์ใหม่หรือการกำหนดค่าที่มีการจัดการ การดึงข้อมูลการแจ้งเตือนของ EMM จะแจ้งให้ EMM ทราบถึงเหตุการณ์ดังกล่าวแบบเรียลไทม์ ซึ่งช่วยให้ EMM ดำเนินการอัตโนมัติและส่งการแจ้งเตือนการดูแลระบบที่กำหนดเองตามเหตุการณ์เหล่านี้ได้
3.14.1. EMM ต้องใช้การแจ้งเตือน EMM ของ Play เพื่อดึงชุดการแจ้งเตือน
3.14.2. EMM ต้องแจ้งเตือนผู้ดูแลระบบไอทีโดยอัตโนมัติ (เช่น ทางอีเมลอัตโนมัติ) เกี่ยวกับเหตุการณ์การแจ้งเตือนต่อไปนี้
newPermissionEvent: ผู้ดูแลระบบไอทีต้องอนุมัติสิทธิ์ใหม่ของแอปก่อนจึงจะติดตั้งหรืออัปเดตแอปในอุปกรณ์ของผู้ใช้ได้โดยอัตโนมัติappRestrictionsSchemaChangeEvent: อาจกำหนดให้ผู้ดูแลระบบไอทีอัปเดตการกำหนดค่าที่มีการจัดการของแอปเพื่อรักษาประสิทธิภาพที่ต้องการappUpdateEvent: อาจเป็นประโยชน์สำหรับผู้ดูแลระบบไอทีที่ต้องการตรวจสอบว่าประสิทธิภาพของเวิร์กโฟลว์หลักไม่ได้รับผลกระทบจากการอัปเดตแอปproductAvailabilityChangeEvent: อาจส่งผลต่อความสามารถในการติดตั้งแอปหรืออัปเดตแอปinstallFailureEvent: Play ติดตั้งแอปในอุปกรณ์แบบเงียบไม่ได้ ซึ่งอาจหมายความว่ามีบางอย่างเกี่ยวกับการกำหนดค่าอุปกรณ์ที่ป้องกันการติดตั้ง EMM ไม่ควรลองติดตั้งแบบเงียบอีกครั้งทันทีหลังจากได้รับการแจ้งเตือนนี้ เนื่องจากตรรกะการลองอีกครั้งของ Play จะดำเนินการไม่สำเร็จแล้ว
3.14.3. EMM จะดำเนินการที่เหมาะสมโดยอัตโนมัติตามเหตุการณ์การแจ้งเตือนต่อไปนี้
newDeviceEvent: ในระหว่างการจัดสรรอุปกรณ์ EMM ต้องรอnewDeviceEventก่อนทำการเรียก Play EMM API รายการถัดไปสําหรับอุปกรณ์เครื่องใหม่ ซึ่งรวมถึงการติดตั้งแอปแบบเงียบและการตั้งค่าการกำหนดค่าที่มีการจัดการproductApprovalEvent: เมื่อได้รับการแจ้งเตือนproductApprovalEventEMM ต้องอัปเดตรายการแอปที่ได้รับอนุมัติซึ่งนำเข้าไปยังคอนโซล EMM โดยอัตโนมัติเพื่อเผยแพร่ไปยังอุปกรณ์ หากมีเซสชันผู้ดูแลระบบไอทีที่ใช้งานอยู่ หรือหากระบบไม่โหลดรายการแอปที่ได้รับอนุมัติซ้ำโดยอัตโนมัติเมื่อเริ่มต้นเซสชันผู้ดูแลระบบไอทีแต่ละเซสชัน
3.15. ข้อกำหนดในการใช้งาน API
EMM ใช้ API ของ Google ในระดับที่ใหญ่ขึ้น เพื่อหลีกเลี่ยงรูปแบบการเข้าชมที่อาจส่งผลเสียต่อความสามารถของผู้ดูแลระบบไอทีในการจัดการแอปในสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง
3.15.1. EMM ต้องปฏิบัติตามขีดจํากัดการใช้งาน Play EMM API การไม่แก้ไขลักษณะการทำงานที่ขัดต่อหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API โดย Google จะเป็นผู้พิจารณา
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในเวลาที่เจาะจงหรือคล้ายกัน ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้ เช่น การดำเนินการแบบเป็นกลุ่มตามกำหนดเวลาสำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียนไว้ อาจส่งผลให้มีการระงับการใช้ API โดย Google จะเป็นผู้พิจารณา
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่สอดคล้องกัน ไม่สมบูรณ์ หรือจงใจไม่ถูกต้อง ซึ่งไม่ได้พยายามดึงข้อมูลหรือจัดการข้อมูลจริงขององค์กร ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้อาจส่งผลให้การใช้งาน API ถูกระงับ โดย Google จะเป็นผู้พิจารณา
3.16. การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
3.16.1. คอนโซลของ EMM ต้องสามารถดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการ (ฝังได้สูงสุด 4 ระดับ) ของแอป Play โดยใช้สิ่งต่อไปนี้
- iframe ของ Managed Google Play หรือ
- UI ที่กําหนดเอง
3.16.2. คอนโซลของ EMM ต้องสามารถเรียกข้อมูลและแสดงความคิดเห็นที่ช่องทางแสดงความคิดเห็นของแอปส่งคืนได้ เมื่อผู้ดูแลระบบไอทีเป็นผู้ตั้งค่า
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เฉพาะเจาะจงกับอุปกรณ์และแอปที่เป็นแหล่งที่มา
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานของข้อความประเภทที่เฉพาะเจาะจง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือผู้ดูแลระบบเป็นผู้ตั้งค่าด้วยตนเองโดยใช้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กําหนดเอง
3.17. การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสามารถสร้างและเผยแพร่เว็บแอปในคอนโซล EMM ได้
3.17.1. ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อเผยแพร่ทางลัดไปยังเว็บแอปได้โดยใช้สิ่งต่อไปนี้
3.18. การจัดการวงจรบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของผู้ดูแลระบบไอที
3.18.1. EMM สามารถจัดการวงจรชีวิตของบัญชี Managed Google Play ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ของ Play EMM API
3.18.2. EMM สามารถตรวจสอบสิทธิ์บัญชี Managed Google Play อีกครั้งได้โดยไม่ต้องมีการโต้ตอบกับผู้ใช้
3.19. การจัดการแทร็กแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่นักพัฒนาแอปกำหนดไว้สําหรับแอปหนึ่งๆ
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20. การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปใช้การอัปเดตแอปที่มีลำดับความสำคัญสูงเพื่ออัปเดตเมื่อการอัปเดตพร้อมใช้งาน
3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปได้เป็นเวลา 90 วัน
3.21. การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอต่อผู้ดูแลระบบไอทีในรูปแบบที่พร้อมเผยแพร่ต่อผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม URL ของ Play Store)
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์ที่แอปงานส่งมาได้
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสําหรับองค์กร
- ข้อความแจ้ง (อนุญาตให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้ DPC ของ EMM
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1.) ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับสำหรับสิทธิ์ที่เฉพาะเจาะจงจากแอปงานใดก็ได้ที่สร้างขึ้นบน API ระดับ 23 ขึ้นไป
4.2.1. ผู้ดูแลระบบไอทีต้องสามารถตั้งค่าสถานะการให้สิทธิ์ (เริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ที่แอปงานซึ่งสร้างขึ้นจาก API ระดับ 23 ขึ้นไปขอ EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้ DPC ของ EMM
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้โดยอัตโนมัติ ซึ่งรวมถึง
4.3.1. SSID โดยใช้ DPC ของ EMM
4.3.2. รหัสผ่านโดยใช้ DPC ของ EMM
4.4 การจัดการความปลอดภัยของ Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการซึ่งมีฟีเจอร์การรักษาความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. ข้อมูลประจำตัวโดยใช้ DPC ของ EMM
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์โดยใช้ DPC ของ EMM
4.4.3. ใบรับรอง CA โดยใช้ DPC ของ EMM
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกันไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าของบริษัท
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรได้ในการกำหนดค่าต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ใดๆ ที่ EMM จัดสรรไว้ไม่ได้ แต่สามารถเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าได้เอง (เช่น เครือข่ายส่วนตัว)
- ผู้ใช้ไม่สามารถเพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ไว้เฉพาะเครือข่ายที่ EMM จัดสรรไว้เท่านั้น
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถตรวจสอบว่าบัญชีบริษัทที่ไม่ได้รับอนุญาตไม่สามารถโต้ตอบกับข้อมูลของบริษัทได้ สำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปเพื่อการทำงาน หรืออีเมล หากไม่มีฟีเจอร์นี้ คุณจะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้บริโภคได้ด้วย ซึ่งจะช่วยให้แชร์ข้อมูลขององค์กรกับบัญชีส่วนตัวเหล่านั้นได้
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันการเพิ่มหรือแก้ไขบัญชีได้
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ก่อนที่จะจัดสรรอุปกรณ์ให้เสร็จสมบูรณ์ เพื่อให้คุณไม่สามารถหลบเลี่ยงนโยบายนี้ด้วยการเพิ่มบัญชีก่อนที่นโยบายจะมีผล
4.7 การจัดการบัญชี Workspace
ผู้ดูแลระบบไอทีสามารถตรวจสอบว่าบัญชี Google ที่ไม่ได้รับอนุญาตไม่สามารถโต้ตอบกับข้อมูลของบริษัทได้ หากไม่มีฟีเจอร์นี้ ผู้ใช้จะเพิ่มบัญชี Google ส่วนบุคคลลงในแอป Google ขององค์กร (เช่น Google เอกสารหรือ Google ไดรฟ์) ได้ ซึ่งจะทำให้ผู้ใช้แชร์ข้อมูลขององค์กรกับบัญชีส่วนบุคคลเหล่านั้นได้
4.7.1. ผู้ดูแลระบบไอทีสามารถระบุบัญชี Google เพื่อเปิดใช้งานขณะจัดสรรได้หลังจากที่การล็อกดาวน์การจัดการบัญชีมีผล
4.7.2. DPC ของ EMM ต้องแจ้งให้เปิดใช้งานบัญชี Google และตรวจสอบว่าเปิดใช้งานได้เฉพาะบัญชีที่ต้องการเท่านั้นโดยระบุบัญชีที่จะเพิ่ม
- ในอุปกรณ์ที่ต่ำกว่า Android 7.0 DPC ต้อง ปิดการจำกัดการจัดการบัญชีชั่วคราวก่อนแจ้งให้ผู้ใช้ทราบ
4.8. การจัดการใบรับรอง
ช่วยให้ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองในอุปกรณ์เพื่ออนุญาตให้เข้าถึงทรัพยากรของบริษัท
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวของผู้ใช้ที่ PKI สร้างขึ้นตามผู้ใช้แต่ละราย คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการ และเผยแพร่ใบรับรองที่สร้างขึ้นจากโครงสร้างพื้นฐานนั้น
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งหน่วยงานที่รับรองใบรับรองในคีย์สโตร์ที่มีการจัดการได้
4.9. การจัดการใบรับรองขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอปควรใช้ได้โดยอัตโนมัติ นอกจากนี้ ฟีเจอร์นี้ยังช่วยให้ผู้ดูแลระบบไอทีนำ CA และใบรับรองข้อมูลประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ได้ ฟีเจอร์นี้จะป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สําหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองที่ให้สิทธิ์เข้าถึงแอปโดยอัตโนมัติในระหว่างรันไทม์
- การเลือกใบรับรองต้องเป็นแบบทั่วไปพอที่จะใช้การกําหนดค่าเดียวกับผู้ใช้ทุกคน ซึ่งแต่ละคนอาจมีใบรับรองระบุตัวตนเฉพาะผู้ใช้
4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออกจากที่เก็บคีย์ที่มีการจัดการได้โดยที่ผู้ใช้ไม่รู้
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA หรือใบรับรอง CA ทั้งหมดที่ไม่ใช่ของระบบได้แบบเงียบๆ
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบในคีย์สโตร์ที่จัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถให้สิทธิ์ใบรับรองล่วงหน้าสำหรับแอปงานได้
4.10. การจัดการใบรับรองที่มอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์ และมอบสิทธิ์พิเศษแก่แอปดังกล่าวในการติดตั้งใบรับรองลงในคีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีจะระบุแพ็กเกจการจัดการใบรับรองเพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่มอบสิทธิ์โดย DPC
- คอนโซลอาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11. การจัดการ VPN ขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อให้มั่นใจว่าข้อมูลจากแอปที่มีการจัดการที่ระบุจะผ่าน VPN ที่กําหนดไว้เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่ต้องการเพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลา
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่า "เปิดใช้งาน VPN เสมอ" ให้เป็นรายการที่กำหนดเอง
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สําหรับแอปได้
4.12. การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าให้กับอุปกรณ์ได้ เนื่องจาก IME จะใช้ร่วมกันทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จะป้องกันไม่ให้ใช้ IME เหล่านั้นเพื่อการใช้งานส่วนตัวด้วย อย่างไรก็ตาม ผู้ดูแลระบบไอทีไม่สามารถบล็อก IME ของระบบในโปรไฟล์งานได้ (ดูรายละเอียดเพิ่มเติมที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อก IME ที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่า IME ของระบบจะได้รับการยกเว้นจากการจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13. การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าให้กับอุปกรณ์ได้ การจัดการ IME ขั้นสูงจะขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอทีจัดการการใช้ IME ของระบบด้วย ซึ่งโดยทั่วไปจะจัดหาโดยผู้ผลิตหรือผู้ให้บริการอุปกรณ์
4.13.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME ให้มีความยาวเท่าใดก็ได้ (ยกเว้นรายการว่าง ซึ่งจะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตว่างเปล่า เนื่องจากการตั้งค่านี้จะบล็อกไม่ให้ตั้งค่า IME ทั้งหมด รวมถึง IME ของระบบในอุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาต IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามโดยอัตโนมัติก่อนที่จะใช้รายการที่อนุญาตในอุปกรณ์
4.14 การจัดการบริการการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษที่อนุญาตให้ใช้ในอุปกรณ์ของผู้ใช้ แม้ว่าบริการการช่วยเหลือพิเศษจะเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ที่มีความพิการหรือผู้ใช้ที่ไม่สามารถโต้ตอบกับอุปกรณ์ได้อย่างเต็มที่ชั่วคราว แต่บริการเหล่านี้อาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่เป็นไปตามนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบได้
4.14.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตบริการการช่วยเหลือพิเศษที่มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษใดก็ได้ เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้จะส่งผลต่อทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- คอนโซลอาจแนะนำบริการการช่วยเหลือพิเศษที่รู้จักหรือแนะนำเพื่อรวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ หรือจะกำหนดการตั้งค่าตำแหน่งสำหรับโปรไฟล์งานใน "การตั้งค่า" ก็ได้
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการตำแหน่งภายในโปรไฟล์งานได้
4.16. การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการได้ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปขององค์กรจะเข้าถึงข้อมูลตำแหน่งที่มีความแม่นยำสูงได้เสมอ นอกจากนี้ ฟีเจอร์นี้ยังช่วยประหยัดแบตเตอรี่ด้วยการจำกัดการตั้งค่าตำแหน่งเป็นโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์เป็นโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่เครือข่ายระบุ
- โหมดประหยัดแบตเตอรี่ ซึ่งจะจำกัดความถี่ในการอัปเดต
- ปิด
4.17. การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการโจรกรรมได้ โดยผู้ใช้ที่ไม่ได้รับอนุญาตจะรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นไม่ได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทําให้เกิดความซับซ้อนในการใช้งานเมื่อส่งคืนอุปกรณ์ไปยังฝ่ายไอที ผู้ดูแลระบบไอทีก็สามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทั้งหมดได้
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากการตั้งค่า
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีการปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
- บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดา หรือใช้โดยทั้งองค์กรเพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นสำหรับอุปกรณ์ที่ระบุได้
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มการล้างข้อมูลในอุปกรณ์จากระยะไกลซึ่งจะล้างข้อมูลการป้องกันการรีเซ็ต (ไม่บังคับ) ซึ่งจะนําการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นออกจากอุปกรณ์ที่รีเซ็ต
4.18. การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการผ่านการตั้งค่า เช่น การบังคับปิดแอปหรือล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่จัดการแบบกำหนดเองหรือแอปที่จัดการทั้งหมด
4.18.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชันจากการตั้งค่าได้
4.19. การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้จับภาพหน้าจอเมื่อใช้แอปที่มีการจัดการ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอได้
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการ
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการได้
4.21. การเก็บรวบรวมสถิติเครือข่าย
ผู้ดูแลระบบไอทีสามารถค้นหาสถิติการใช้งานเครือข่ายจากโปรไฟล์งานของอุปกรณ์ สถิติที่รวบรวมจะแสดงข้อมูลการใช้งานที่แชร์กับผู้ใช้ในส่วนปริมาณการใช้อินเทอร์เน็ตของการตั้งค่า สถิติที่รวบรวมไว้จะมีผลกับการใช้งานแอปภายในโปรไฟล์งาน
4.21.1. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลสรุปสถิติเครือข่ายสำหรับโปรไฟล์งานสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ในคอนโซลของ EMM
4.21.2. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลสรุปของแอปในสถิติการใช้เครือข่ายของโปรไฟล์งานสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดได้ ตลอดจนดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.21.3. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลประวัติการใช้งานเครือข่ายของโปรไฟล์งานสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.22. การเก็บรวบรวมสถิติเครือข่ายขั้นสูง
ผู้ดูแลระบบไอทีสามารถค้นหาสถิติการใช้งานเครือข่ายของอุปกรณ์ที่มีการจัดการทั้งหมดได้ สถิติที่รวบรวมจะแสดงข้อมูลการใช้งานที่แชร์กับผู้ใช้ในส่วนการใช้ข้อมูลของการตั้งค่า สถิติที่รวบรวมจะมีผลกับการใช้แอปในอุปกรณ์
4.22.1. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลสรุปสถิติเครือข่ายของทั้งอุปกรณ์สำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ในคอนโซลของ EMM
4.22.2. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปสถิติการใช้เครือข่ายแอปสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.22.3. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลย้อนหลังเกี่ยวกับการใช้เครือข่ายสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดได้ รวมถึงดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.23. รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกลอุปกรณ์ที่มีการจัดการได้
4.24. การจัดการวิทยุของระบบ
ช่วยให้ผู้ดูแลระบบไอทีจัดการวิทยุเครือข่ายของระบบและนโยบายการใช้งานที่เกี่ยวข้องได้อย่างละเอียด
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การออกอากาศทางเครือข่ายมือถือที่ส่งโดยผู้ให้บริการ (เช่น การแจ้งเตือน AMBER)
4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือในการตั้งค่าได้
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายในการตั้งค่าได้
4.24.4. ผู้ดูแลระบบไอทีสามารถอนุญาตหรือไม่อนุญาตอินเทอร์เน็ตมือถือขณะโรมมิ่งได้
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะโทรออกได้หรือไม่ โดยยกเว้นการโทรฉุกเฉิน
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะส่งและรับ SMS ได้หรือไม่
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาด้วยการเทอร์มินัลได้
4.24.8. ผู้ดูแลระบบไอทีสามารถตั้งค่าการหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้น ขณะเสียบปลั๊กเท่านั้น หรือไม่ตั้งค่าก็ได้
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่ได้
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์เสียงของอุปกรณ์ได้โดยที่ผู้ใช้ไม่รู้ตัว ซึ่งรวมถึงการปิดเสียงอุปกรณ์ การป้องกันไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าระดับเสียง และการป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการได้โดยที่ผู้ใช้ไม่รู้
4.25.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.26. การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบ ซึ่งจะป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่และเวลาของอุปกรณ์ได้
4.26.2. ผู้ดูแลระบบไอทีสามารถปิดหรือเปิดทั้งเวลาอัตโนมัติและเขตเวลาอัตโนมัติได้โดยที่ผู้ใช้ไม่รู้
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
ช่วยให้ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ของอุปกรณ์เฉพาะแบบละเอียดยิ่งขึ้นเพื่อรองรับกรณีการใช้งานของคีออสก์ที่หลากหลาย
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันด้วยคีย์บอร์ดของอุปกรณ์ได้
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ ซึ่งจะบล็อกการแจ้งเตือนและการตั้งค่าด่วน
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจออุปกรณ์เปิดอยู่ขณะที่เสียบปลั๊กอุปกรณ์
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้UI ของระบบต่อไปนี้แสดง
- ข้อความโทสต์
- การซ้อนทับแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้คําแนะนําของระบบสําหรับแอปข้ามบทแนะนําสําหรับผู้ใช้และคำแนะนำเบื้องต้นอื่นๆ เมื่อเริ่มต้นใช้งานครั้งแรกได้
4.28. การจัดการขอบเขตที่รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้
4.28.1. ผู้ดูแลระบบไอทีสามารถจัดการขอบเขตต่อไปนี้
- การติดตั้งและการจัดการใบรับรอง
- จงใจเว้นว่าง
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกความปลอดภัย (ไม่รองรับโปรไฟล์งานในอุปกรณ์ส่วนตัว)
4.29 การรองรับบัตรประจำตัวสำหรับการลงทะเบียนโดยเฉพาะ
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรชีวิตของอุปกรณ์ที่มีโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่แม้รีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าและรับรหัสเฉพาะสำหรับการลงทะเบียน
4.29.2. รหัสเฉพาะสำหรับการลงทะเบียนนี้ต้องคงอยู่หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้รวมฟีเจอร์เฉพาะองค์กรได้ ผู้ดูแลระบบไอทีสามารถแสดงการสร้างแบรนด์ที่ EMM มีให้ในระหว่างการจัดสรรได้ (ไม่บังคับ)
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุรายละเอียดเฉพาะองค์กรต่อไปนี้ สีขององค์กร โลโก้ขององค์กร ข้อกำหนดในการให้บริการขององค์กรและการจำกัดความรับผิดอื่นๆ
5.1.2. ผู้ดูแลระบบไอทีสามารถทำให้การปรับแต่งเฉพาะ EMM ซึ่งไม่สามารถกำหนดค่าได้ใช้งานได้ โดยจะมีรายละเอียดต่อไปนี้ สี EMM, โลโก้ EMM, ข้อกำหนดในการให้บริการของ EMM และการจำกัดความรับผิดอื่นๆ
5.1.3 [primaryColor] เลิกใช้งานแล้วสำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไป
- EMM ต้องระบุข้อกำหนดในการให้บริการและการจำกัดความรับผิดอื่นๆ สำหรับการมอบหมายสิทธิ์ในขั้นตอนการจัดสรรในแพ็กเกจข้อจำกัดความรับผิดการจัดสรรสิทธิ์ของระบบ แม้ว่าจะไม่ได้ใช้การปรับแต่งเฉพาะ EMM ก็ตาม
- EMM อาจตั้งค่าการปรับแต่งเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้ให้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งานทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเอง
5.2 การปรับแต่งสำหรับองค์กร
ผู้ดูแลระบบไอทีสามารถปรับแต่งแง่มุมต่างๆ ของโปรไฟล์งานด้วยการแสดงแบรนด์ของบริษัท เช่น ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ในโปรไฟล์งานเป็นโลโก้ขององค์กร อีกตัวอย่างหนึ่งคือการตั้งค่าสีพื้นหลังของหัวข้องาน
5.2.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าสีขององค์กรเพื่อใช้เป็นสีพื้นหลังของงานท้าทาย
5.2.2. ผู้ดูแลระบบไอทีสามารถตั้งชื่อที่แสดงของโปรไฟล์งานได้
5.2.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของโปรไฟล์งานได้
5.2.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้โปรไฟล์งานได้
5.3 การปรับแต่งขั้นสูงสำหรับองค์กร
ผู้ดูแลระบบไอทีสามารถปรับแต่งอุปกรณ์ที่มีการจัดการด้วยการแสดงแบรนด์ขององค์กร ตัวอย่างเช่น ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้หลักเป็นโลโก้ขององค์กร หรือตั้งค่าวอลเปเปอร์ของอุปกรณ์
5.3.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าชื่อที่แสดงสำหรับอุปกรณ์ที่มีการจัดการได้
5.3.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของอุปกรณ์ที่มีการจัดการได้
5.3.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้ของอุปกรณ์ได้
5.3.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าวอลเปเปอร์ของอุปกรณ์ได้
5.3.5. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขวอลเปเปอร์ของอุปกรณ์ได้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความที่กำหนดเองที่จะแสดงบนหน้าจอล็อกของอุปกรณ์เสมอ และไม่จำเป็นต้องปลดล็อกอุปกรณ์เพื่อดูข้อความ
5.4.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเองได้
5.5. การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อแก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือใช้ข้อความการสนับสนุนทั่วไปที่ EMM ให้มา ข้อความการสนับสนุนทั้งแบบสั้นและแบบยาวสามารถปรับแต่งได้ ข้อความเหล่านี้จะแสดงในบางกรณี เช่น พยายามถอนการติดตั้งแอปที่มีการจัดการซึ่งผู้ดูแลระบบไอทีได้บล็อกการถอนการติดตั้งไว้แล้ว
5.5.1. ผู้ดูแลระบบไอทีจะปรับแต่งทั้งข้อความการสนับสนุนสั้นและยาวได้
5.5.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานข้อความสนับสนุนสั้นและยาวสำหรับ EMM โดยเฉพาะซึ่งไม่สามารถกำหนดค่าได้
- EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งานทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเองได้
5.6. การจัดการรายชื่อติดต่อข้ามโปรไฟล์
ผู้ดูแลระบบไอทีสามารถควบคุมข้อมูลติดต่อที่จะออกจากโปรไฟล์งานได้ ทั้งแอปโทรศัพท์และแอปการรับส่งข้อความ (SMS) ต้องทำงานในโปรไฟล์ส่วนตัว และจำเป็นต้องเข้าถึงข้อมูลรายชื่อติดต่อในโปรไฟล์งานเพื่อให้รายชื่อติดต่อสำหรับงานทำงานได้อย่างมีประสิทธิภาพ แต่ผู้ดูแลระบบอาจเลือกปิดใช้ฟีเจอร์เหล่านี้เพื่อปกป้องข้อมูลงาน
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหารายชื่อติดต่อข้ามโปรไฟล์สำหรับแอปส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหาหมายเลขผู้โทรข้ามโปรไฟล์สำหรับแอปโทรศัพท์ส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ
5.6.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อบลูทูธกับอุปกรณ์บลูทูธที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ เช่น การโทรแบบแฮนด์ฟรีในรถยนต์หรือชุดหูฟัง
5.7. การจัดการข้อมูลข้ามโปรไฟล์
ให้สิทธิ์ผู้ดูแลระบบไอทีจัดการข้อมูลที่จะออกจากโปรไฟล์งานได้นอกเหนือจากฟีเจอร์การรักษาความปลอดภัยเริ่มต้นของโปรไฟล์งาน ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีอนุญาตการแชร์ข้อมูลข้ามโปรไฟล์บางประเภทเพื่อปรับปรุงความสามารถในการใช้งานใน Use Case ที่สำคัญได้ นอกจากนี้ ผู้ดูแลระบบไอทียังปกป้องข้อมูลของบริษัทเพิ่มเติมได้ด้วยการทำระบบล็อกดาวน์
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่าตัวกรอง Intent แบบข้ามโปรไฟล์เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งานได้ เช่น การแชร์ Intent หรือลิงก์เว็บ
- คอนโซลอาจแนะนำตัวกรอง Intent ที่รู้จักหรือแนะนําสําหรับการกําหนดค่า แต่จํากัดตัวกรอง Intent ไว้ที่รายการใดก็ได้
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตแอปที่มีการจัดการซึ่งแสดงวิดเจ็ตได้บนหน้าจอหลัก
- คอนโซลของ EMM จะต้องให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งแก่ผู้ใช้ที่เกี่ยวข้องได้
5.7.3. ผู้ดูแลระบบไอทีสามารถบล็อกการใช้การคัดลอก/วางระหว่างโปรไฟล์งานกับโปรไฟล์ส่วนตัว
5.7.4. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากโปรไฟล์งานโดยใช้การบีม NFC
5.7.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปส่วนตัวเปิดลิงก์เว็บจากโปรไฟล์งานได้
5.8. นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีสามารถตั้งค่าและใช้การอัปเดตระบบผ่านอากาศ (OTA) ให้กับอุปกรณ์
5.8.1. คอนโซลของ EMM อนุญาตให้ผู้ดูแลระบบไอทีกำหนดค่า OTA ต่อไปนี้
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมใช้งาน
- เลื่อน: ผู้ดูแลระบบไอทีต้องสามารถเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลกับการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- กำหนดเวลาได้: ผู้ดูแลระบบไอทีต้องกำหนดเวลาการอัปเดต OTA ภายในช่วงเวลาบำรุงรักษาประจำวันได้
5.8.2. DPC ของ EMM ใช้การกำหนดค่า OTA กับอุปกรณ์
5.9. การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปให้อยู่ในหน้าจอตลอดและไม่ให้ผู้ใช้ออกจากแอป
5.9.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถอนุญาตแอปชุดใดก็ได้ให้ติดตั้งและล็อกลงในอุปกรณ์โดยอัตโนมัติ DPC ของ EMM อนุญาตให้ใช้โหมดอุปกรณ์เฉพาะ
5.10. การจัดการกิจกรรมที่ต้องการแบบถาวร
ช่วยให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวจัดการ Intent เริ่มต้นสำหรับ Intent ที่ตรงกับตัวกรอง Intent บางรายการได้ เช่น อนุญาตให้ผู้ดูแลระบบไอทีเลือกแอปเบราว์เซอร์ที่จะเปิดเว็บลิงก์โดยอัตโนมัติ หรือแอป Launcher ที่จะใช้เมื่อแตะปุ่ม Home
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นตัวจัดการ Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่า แต่ไม่สามารถจำกัด Intent ไว้ที่รายการที่กำหนดเอง
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11. การจัดการฟีเจอร์การป้องกันหน้าจอ
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่มีการปกปิด
5.11.2. DPC ของ EMM สามารถปิดฟีเจอร์ต่อไปนี้ของการป้องกันด้วยการล็อกคีย์ในโปรไฟล์งานได้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12. การจัดการฟีเจอร์การป้องกันหน้าจอขั้นสูง
- กล้องที่ปลอดภัย
- การแจ้งเตือนทั้งหมด
- การแจ้งเตือนที่ไม่มีการปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์ทั้งหมดของโปรแกรมรักษาความปลอดภัยของแป้นพิมพ์
5.13. การซ่อมแซมรีโมต
ผู้ดูแลระบบไอทีสามารถเรียกดูทรัพยากรการแก้ไขข้อบกพร่องจากอุปกรณ์ได้โดยไม่ต้องทำขั้นตอนเพิ่มเติม
5.13.1. ผู้ดูแลระบบไอทีสามารถขอรายงานข้อบกพร่องจากระยะไกล ดูรายงานข้อบกพร่องจากคอนโซลของ EMM และดาวน์โหลดรายงานข้อบกพร่องจากคอนโซลของ EMM ได้
5.14. การเรียกข้อมูลที่อยู่ MAC
EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยที่ผู้ใช้ไม่รู้ตัว ที่อยู่ MAC สามารถใช้เพื่อระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กรได้ (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยอัตโนมัติและเชื่อมโยงกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15. การจัดการโหมดล็อกงานขั้นสูง
เมื่อตั้งค่าอุปกรณ์เป็นอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะใช้คอนโซลของ EMM เพื่อดำเนินการต่อไปนี้ได้
5.15.1. อนุญาตให้แอปเดียวล็อกกับอุปกรณ์โดยอัตโนมัติโดยใช้ DPC ของ EMM
5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้โดยใช้ DPC ของ EMM
- ปุ่มหน้าหลัก
- ภาพรวม
- การดำเนินการส่วนกลาง
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การล็อกปุ่มกด (หน้าจอล็อก)
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบโดยใช้ DPC ของ EMM
5.16. นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถบล็อกการอัปเดตระบบในอุปกรณ์เป็นระยะเวลาหยุดทำงานที่ระบุ
5.16.1. DPC ของ EMM ใช้การอัปเดตระบบผ่านอากาศ (OTA) กับอุปกรณ์ได้ในช่วงหยุดทำงานที่ระบุไว้
5.17. การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองเพื่อแสดงเมื่อล้างข้อมูลโปรไฟล์งาน
5.18. การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการแพ็กเกจที่สื่อสารข้ามขอบเขตโปรไฟล์งานได้
5.19. การอัปเดตระบบด้วยตนเอง
ผู้ดูแลระบบไอทีสามารถติดตั้งการอัปเดตระบบด้วยตนเองได้โดยระบุเส้นทาง
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM จะต้องโพสต์แผนภายในสิ้นปี 2022 เพื่อสิ้นสุดการสนับสนุนลูกค้าผู้ดูแลระบบอุปกรณ์ในอุปกรณ์ GMS ภายในสิ้นไตรมาส 1 ปี 2023
7. การใช้ API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สําหรับการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน ลูกค้าใหม่ต้องไม่พบตัวเลือกสแต็กเทคโนโลยีที่เลือกเองในระหว่างเวิร์กโฟลว์การเริ่มต้นใช้งานหรือการตั้งค่าใดๆ
7.2. เครื่องมือควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการลงทะเบียนอุปกรณ์ใหม่ทั้งหมด ทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน