En esta página, se enumera el conjunto completo de funciones de Android Enterprise.
Si pretendes administrar más de 500 dispositivos, tu solución de EMM debe admitir todas las funciones estándar (Directorio de soluciones empresariales de Android como soluciones que ofrecen un conjunto de administración estándar.
) de al menos uno solución antes de que esté disponible comercialmente. Las soluciones de EMM que superan la verificación de funciones estándar se enumeran en elHay un conjunto adicional de funciones avanzadas disponible para cada conjunto de soluciones. Estas funciones se indican en cada página del conjunto de soluciones: perfil de trabajo, dispositivo completamente administrado y dispositivo dedicado. Las soluciones de EMM que aprueban la verificación de funciones avanzadas se enumeran en la Directorio de soluciones para empresas como un conjunto de administración avanzada.
Clave
estándar atributo | avanzado atributo | función opcional | no aplicable |
1. Aprovisionamiento de dispositivos
1.1. Aprovisionamiento de perfiles de trabajo centrado en el DPC
Puedes aprovisionar un perfil de trabajo después de descargar el DPC de la EMM desde Google Play.
1.1.1. El DPC de la EMM debe estar disponible públicamente en Google Play para que los usuarios puedan instalar el DPC en el lado personal del dispositivo.
1.1.2. Una vez instalado, el DPC debe guiar al usuario a través del proceso de aprovisionamiento de un perfil de trabajo.
1.1.3. Una vez que se completa el aprovisionamiento, no puede quedar presencia de administración en la personal del dispositivo.
- Se deben quitar todas las políticas implementadas durante el aprovisionamiento.
- Se deben revocar los privilegios de la app.
- El DPC del EMM debe estar, como mínimo, desactivado en el lado personal del dispositivo.
1.2. Aprovisionamiento de dispositivos con identificador de DPC
Los administradores de TI pueden aprovisionar un dispositivo completamente administrado o dedicado con un DPC identificador ("afw#"), de acuerdo con las pautas de implementación definidas en la documentación para desarrolladores sobre la API de Play EMM.
1.2.1. El DPC de la EMM debe estar disponible de forma pública en Google Play. El DPC debe ser se puede instalar desde el asistente de configuración del dispositivo ingresando un identificador específico del DPC.
1.2.2. Una vez instalado, el DPC de la EMM debe guiar al usuario en el proceso de aprovisionar un dispositivo dedicado o completamente administrado.
1.3. Aprovisionamiento de dispositivos NFC
Los administradores de TI pueden usar etiquetas NFC para aprovisionar dispositivos nuevos o que restablezcan la configuración de fábrica. según la implementación las pautas definidas en el Documentación para desarrolladores de la API de Play EMM.
1.3.1. Los EMM deben usar etiquetas de tipo 2 del NFC Forum con al menos 888 bytes de memoria. El aprovisionamiento debe usar elementos de aprovisionamiento adicionales para aprobar el registro no sensible como los IDs de servidor y los IDs de inscripción a un dispositivo. Detalles del registro no deben incluir información sensible, como contraseñas o certificados.
1.3.2. Después de que el DPC del EMM se configure como propietario del dispositivo, se deberá abrir el DPC inmediatamente y se bloquea en la pantalla hasta que el dispositivo esté completamente aprovisionado. 1.3.3. Recomendamos el uso de etiquetas NFC para Android 10 en adelante debido a las Baja de NFC Beam (también conocido como cambio de prioridad de NFC).
1.4. Aprovisionamiento de dispositivos con código QR
Los administradores de TI pueden usar un dispositivo nuevo o al que se le haya restablecido la configuración de fábrica para escanear un código QR generado por la consola de EMM para aprovisionar el dispositivo, de acuerdo con la implementación pautas definidas en el Documentación para desarrolladores de la API de EMM de Play
1.4.1. El código QR debe usar extras de aprovisionamiento para pasar detalles de registro no sensibles, como IDs de servidor y IDs de inscripción, a un dispositivo. Registro los detalles no deben incluir información sensible, como contraseñas o certificados.
1.4.2. Luego de que el DPC del EMM configure el dispositivo, se debe abrir el DPC inmediatamente y se bloquea en la pantalla hasta que el dispositivo esté completamente aprovisionado.
1.5. Inscripción automática
Los administradores de TI pueden preconfigurar los dispositivos que se compraron a revendedores autorizados y administrarlos. con la consola de EMM.
1.5.1. Los administradores de TI pueden aprovisionar dispositivos de la empresa con el método de inscripción automática, que se describe en Inscripción automática para administradores de TI.
1.5.2. Cuando un dispositivo se enciende por primera vez, automáticamente se inicia automáticamente la configuración que definió el administrador de TI.
1.6. Aprovisionamiento avanzado de inscripción automática
Los administradores de TI pueden automatizar gran parte del proceso de inscripción de dispositivos implementando el DPC. detalles del registro mediante la inscripción automática. El DPC de la EMM admite limitando la inscripción a cuentas o dominios específicos, según el opciones de configuración que ofrece la EMM.
1.6.1. Los administradores de TI pueden aprovisionar un dispositivo empresarial con la inscripción automática método de inscripción, descrito en Inscripción automática para administradores de TI.
1.6.2. Luego de que el DPC de la EMM configura el dispositivo, el DPC de la EMM se abre de inmediato y se bloquea en la pantalla hasta que el dispositivo o con aprovisionamiento.
- Este requisito no se aplica a los dispositivos que usan la inscripción automática de registro para aprovisionarse completamente de forma silenciosa (por ejemplo, en una implementación de dispositivo dedicada).
1.6.3. Con los detalles de registro, el DPC del EMM debe garantizar que los usuarios no autorizados no puedan continuar con la activación una vez que se invoque el DPC. Como mínimo, la activación debe estar bloqueada para los usuarios de una empresa determinada.
1.6.4. Con los detalles de registro, el DPC de la AEE debe permitir que los administradores de TI propaguen previamente los detalles de registro (por ejemplo, los IDs de servidor y de inscripción), además de la información única del usuario o del dispositivo (por ejemplo, el nombre de usuario o la contraseña, el token de activación), de modo que los usuarios no tengan que ingresar detalles cuando activen un dispositivo.
- Las EMM no deben incluir información sensible, como contraseñas o certificados, en la configuración de la inscripción automática.
1.7. Aprovisionamiento del perfil de trabajo de la Cuenta de Google
Para las empresas que usan un dominio administrado de Google, esta función guía a los usuarios a través de la configuración de un perfil de trabajo después de ingresar sus credenciales corporativas de Workspace durante la configuración del dispositivo o en un dispositivo que ya está activado. En ambos casos, la identidad corporativa de Workspace será migrado al perfil de trabajo.
1.7.1. El método de aprovisionamiento de la Cuenta de Google aprovisiona un perfil de trabajo según los lineamientos de implementación definidos.
1.8. Aprovisionamiento de dispositivos con la Cuenta de Google
En el caso de las empresas que usan Workspace, esta función guía a los usuarios a través de la instalacin del DPC de su EMM después de que ingresan sus credenciales de Workspace corporativo durante la configuracin inicial del dispositivo. Una vez instalado, el DPC completa de un dispositivo de la empresa.
1.8.1. El método de aprovisionamiento de la Cuenta de Google aprovisiona un dispositivo empresarial, según la implementación definida lineamientos de Google Cloud.
1.8.2. A menos que el EMM pueda identificar inequívocamente el dispositivo como un activo de la empresa, no puede aprovisionarlo sin una solicitud durante el proceso de aprovisionamiento. Esta instrucción debe realizar una acción no predeterminada, como marcar una casilla de verificación o seleccionar una opción de menú no predeterminada. Se recomienda el EMM puede identificar el dispositivo como un activo corporativo sin necesidad de solicitarlo.
1.9. Configuración de inscripción automática directa
Los administradores de TI pueden usar la consola de EMM para configurar dispositivos de inscripción automática con el iframe de inscripción automática.
1.10. Perfiles de trabajo en dispositivos empresariales
Los EMM pueden inscribir los dispositivos de la empresa que tengan un perfil de trabajo.
1.10.1. Está en blanco a propósito.
1.10.2. Los administradores de TI pueden establecer acciones de cumplimiento para perfiles de trabajo en empresas dispositivos.
1.10.3. Los administradores de TI pueden desactivar la cámara en el perfil de trabajo o en todo el dispositivo.
1.10.4. Los administradores de TI pueden desactivar la captura de pantalla en el perfil de trabajo o en una todo el dispositivo.
1.10.5. Los administradores de TI pueden establecer una lista de entidades permitidas o bloqueadas con las aplicaciones que pueden o no se puede instalar en el perfil personal.
1.10.6. Los administradores de TI pueden dejar de administrar un dispositivo empresarial quitando el perfil de trabajo o limpiar todo el dispositivo.
1.11. Aprovisionamiento de dispositivos exclusivos
Está en blanco a propósito.
2. Seguridad del dispositivo
2.1. Comprobación de seguridad del dispositivo
Los administradores de TI pueden establecer y aplicar un desafío de seguridad del dispositivo (PIN, patrón o contraseña) a partir de una selección predefinida de 3 niveles de complejidad en los dispositivos administrados.
2.1.1. La política debe aplicar la configuración que administre las comprobaciones de seguridad del dispositivo (parentProfilePasswordRequirements para el perfil de trabajo, passwordRequirements para completamente administrados y de uso específico).
2.1.2. La complejidad de las contraseñas se debe a las siguientes complejidades:
- PASSWORD_COMPLEXITY_LOW - patrón o pin con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN sin secuencias repetidas (4444) o ordenadas (1234, 4321, 2468) una contraseña alfabético o alfanumérica con una longitud mínima de 4 caracteres
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8 caracteres, o bien contraseñas alfabéticas o alfanuméricas con una longitud de al menos 6 caracteres
2.2. Desafío de seguridad laboral
Los administradores de TI pueden establecer y aplicar de manera forzosa un desafío de seguridad para las apps y los datos en el trabajo perfil independiente y con diferentes requisitos de la seguridad del dispositivo desafío (2.1.).
2.2.1. La política debe aplicar la comprobación de seguridad para el perfil de trabajo. De forma predeterminada, los administradores de TI deben establecer restricciones solo para el perfil de trabajo si no hay ninguna opción. se especifica el permiso. Los administradores de TI pueden establecer este dispositivo en todo el dispositivo especificando el permiso (consulte el requisito 2.1)
2.1.2. La complejidad de la contraseña debe corresponder a las siguientes complejidades de contraseña:
- PASSWORD_COMPLEXITY_LOW - patrón o pin con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN sin secuencias repetidas (4444) o ordenadas (1234, 4321, 2468) una contraseña alfabético o alfanumérica con una longitud mínima de 4 caracteres
- PASSWORD_COMPLEXITY_HIGH - PIN sin secuencias repetidas (4444) o ordenadas (1234, 4321, 2468) y un de al menos 8 contraseñas, o contraseñas alfabéticas o alfanuméricas con una longitud de al menos 6 como mínimo
2.3. Administración avanzada de contraseñas
2.3.1. Dejar en blanco de forma deliberada
2.3.2. Está en blanco a propósito.
2.3.3. Se puede establecer la siguiente configuración del ciclo de vida de la contraseña para cada pantalla de bloqueo disponible en un dispositivo:
- En blanco a propósito
- En blanco a propósito
- Cantidad máxima de contraseñas fallidas para la limpieza : Especifica la cantidad de veces que los usuarios pueden ingresar una contraseña incorrecta antes y los datos corporativos se borran del dispositivo. Los administradores de TI deben poder desactivar esta función.
2.4. Administración de Smart Lock
Los administradores de TI pueden gestionar los agentes de confianza en Smart Lock de Android. tienen permitido desbloquear dispositivos. Los administradores de TI pueden desactivar métodos de desbloqueo específicos, como dispositivos Bluetooth de confianza, reconocimiento facial y reconocimiento de voz, o bien desactivar la función por completo.
2.4.1. Los administradores de TI pueden inhabilitar los agentes de confianza de Smart Lock de forma independiente para cada pantalla de bloqueo disponible en el dispositivo.
2.4.2. Los administradores de TI pueden permitir y configurar la confianza de Smart Lock de manera selectiva agentes de forma independiente para cada pantalla de bloqueo disponible en el dispositivo, para los siguientes agentes de confianza: Bluetooth, NFC, lugares, rostro, cuerpo y voz.
- Los administradores de TI pueden modificar confianza disponible de configuración del agente.
2.5. Borrar y trabar
Los administradores de TI pueden usar la consola de EMM para bloquear y limpiar de manera remota los datos laborales de un dispositivo administrado.
2.5.1. La EMM DPC deben bloquear los dispositivos.
2.5.2. La EMM DPC debe limpiar los dispositivos.
2.6. Aplicación de cumplimiento
Si un dispositivo no cumple con las políticas de seguridad, los datos laborales se restringirse automáticamente.
2.6.1. Como mínimo, las políticas de seguridad que se aplican a un dispositivo deben incluir de contraseñas.
2.7. Políticas de seguridad predeterminadas
Los EMM deben aplicar las políticas de seguridad especificadas en los dispositivos de forma predeterminada. sin que los administradores de TI establezcan o personalicen ningún parámetro de configuración en la EMM de Cloud. Se recomienda a los EMM (pero no es obligatorio) que no permitan que los administradores de TI cambien el estado predeterminado de estas funciones de seguridad.
2.7.1. El DPC de EMM debe bloquear la instalación de apps de fuentes desconocidas, incluidas las apps instaladas en el lado personal de cualquier dispositivo con Android 8.0 o versiones posteriores que tenga un perfil de trabajo.
2.7.2. El DPC del EMM debe bloquear las funciones de depuración.
2.8. Políticas de seguridad para dispositivos dedicados
Los dispositivos dedicados están bloqueados sin una acción de escape para permitir otras acciones.
2.8.1. El DPC de EMM debe desactivar el inicio en modo seguro de forma predeterminada.
2.8.2. El DPC de la EMM se debe abrir y bloquear en la pantalla inmediatamente después el primer inicio del dispositivo durante el aprovisionamiento para garantizar que no haya interacción con el dispositivo. de ninguna otra manera.
2.8.3. El DPC de la EMM se debe establecer como el selector predeterminado para garantizar que las apps se bloquean en la pantalla durante el inicio, según la implementación definida lineamientos.
2.9 Asistencia de Play Integrity
La EMM usa la API de Play Integrity. para garantizar que sean dispositivos Android válidos.
2.9.1. El DPC de la EMM implementa la API de Play Integrity durante y, de forma predeterminada, solo completa el aprovisionamiento del dispositivo con datos corporativos cuando la integridad del dispositivo que se devuelve es MEETS_STRONG_INTEGRITY. de Google Cloud.
2.9.2. El DPC de la EMM realizará otra verificación de Play Integrity cada vez que El dispositivo se registra con el servidor de EMM, que el administrador de TI puede configurar. El servidor de EMM verificará la información del APK en la respuesta de la verificación de integridad y la respuesta en sí antes de actualizar la política corporativa en el dispositivo.
2.9.3. Los administradores de TI pueden establecer diferentes respuestas de políticas según el resultado la verificación de Play Integrity, incluido el bloqueo del aprovisionamiento, la limpieza y permitir que continúe la inscripción.
- El servicio de EMM aplicará esta respuesta de política al resultado de para cada verificación de integridad.
2.9.4. Si la verificación inicial de Play Integrity falla o muestra un resultado que no cumple no cumplen con una integridad sólida, si el DPC de la EMM no ha llamado ensureWorkingEnvironment Debe hacerlo y repetir la verificación antes de que se complete el aprovisionamiento.
2.10. Aplicación forzosa de Verificar aplicaciones
Los administradores de TI pueden activar la opción Verificar aplicaciones. en los dispositivos. Verificar aplicaciones analiza las apps instaladas en los dispositivos Android para detectarlas antes y después de su instalación, lo que ayuda a garantizar que las las apps no pueden comprometer los datos corporativos.
2.10.1. El DPC de EMM debes activar Verificar aplicaciones de forma predeterminada.
2.11. Compatibilidad con el inicio directo
Las apps no pueden ejecutarse en dispositivos con Android 7.0 o versiones posteriores que se acaban de encender hasta que se primero se desbloquea el dispositivo. Inicio directo garantiza que el DPC de la EMM esté siempre activo y pueda aplicar políticas, incluso si el dispositivo no se desbloqueó.
2.11.1. El DPC del EMM aprovecha el almacenamiento encriptado del dispositivo para realizar funciones de administración críticas antes de que se desencripte el almacenamiento encriptado de credenciales del DPC. Las funciones de administración disponibles durante el inicio directo deben incluir (pero no se limitan a):
- Limpieza empresarial, que incluye la capacidad de realizar las siguientes acciones: borrar los datos de protección contra el restablecimiento de la configuración de fábrica como lo que sea apropiado.
2.11.2. El DPC de la AEE no debe exponer datos corporativos dentro del almacenamiento encriptado del dispositivo.
2.11.3. Los EMM pueden configurar y activar un token para activar la opción Olvidé mi contraseña de la pantalla de bloqueo del perfil de trabajo. Este botón se usa para solicitar que los administradores de TI restablezcan de forma segura la contraseña del perfil de trabajo.
2.12. Administración de seguridad de hardware
Los administradores de TI pueden bloquear los elementos de hardware de un dispositivo empresarial para garantizar prevención de pérdida de datos.
2.12.1. Los administradores de TI pueden impedir que los usuarios activen la configuración física externa contenido multimedia en su dispositivo.
2.12.2. Los administradores de TI pueden impedir que los usuarios compartan datos de sus dispositivos con NFC transmitir de Google Cloud. Esta subfunción es opcional porque ya no se admite la función de haz de NFC en Android 10 y versiones posteriores.
2.12.3. Los administradores de TI pueden bloquear a los usuarios para que no puedan transferir archivos mediante USB de su dispositivo.
2.13. Registro de seguridad empresarial
Los administradores de TI pueden recopilar datos de uso de dispositivos que se pueden analizar y programáticamente para detectar comportamiento malicioso o riesgoso. Las actividades registradas incluyen la actividad de Android Debug Bridge (adb), la apertura de apps y el desbloqueo de pantallas.
2.13.1. Los administradores de TI pueden habilitar los registros de seguridad. para dispositivos específicos, y el DPC de la EMM debe poder recuperar las direcciones de seguridad registros y los registros de seguridad previos al reinicio automáticamente.
2.13.2. Los administradores de TI pueden revisar los registros de seguridad de la empresa para un dispositivo determinado y una ventana de tiempo configurable en la consola de EMM.
2.13.3. Los administradores de TI pueden exportar registros de seguridad empresarial desde la consola de EMM.
3. Administración de apps y cuentas
3.1. Vinculación empresarial
Los administradores de TI pueden vincular la EMM a su organización, lo que permite que la EMM use con Google Play administrado para distribuir apps a los dispositivos.
3.1.1. Un administrador con un Managed Google Domains existente puede vincular su dominio a la EMM.
3.1.2. La consola de EMM debe aprovisionar y configurar silenciosamente un ESA para cada empresa.
3.1.3. Cancela la inscripción de una empresa con la API de Play EMM.
3.1.4. La consola de EMM guía al administrador para que ingrese su dirección de correo electrónico laboral en la de Android y desaconseja su uso de una cuenta de Gmail.
3.1.5. El EMM precompleta la dirección de correo electrónico del administrador en el flujo de registro de Android.
3.2. Aprovisionamiento de cuentas de Google Play administrado
El EMM puede aprovisionar de manera silenciosa cuentas de usuario empresariales. llamadas cuentas de Google Play administradas. Estas cuentas identifican a los usuarios administrados y Permitir reglas de distribución de apps únicas y por usuario.
3.2.1. El DPC de EMM puede aprovisionar y activar silenciosamente una cuenta de Google Play cuenta de acuerdo con las normas de implementación definidas. De esta manera, se logra lo siguiente:
- Se agrega una cuenta de Google Play administrada de tipo
userAccount
a la dispositivo. - La cuenta de Google Play administrada de tipo
userAccount
debe tener una conexión la asignación con usuarios reales en la consola de EMM.
3.3. Aprovisionamiento de cuentas de dispositivos de Google Play administrado
La EMM puede crear y aprovisionar cuentas de dispositivos administradas por Google Play. de Google Cloud. Las cuentas de dispositivos admiten la instalación silenciosa de aplicaciones desde Google Play administrado de Google Cloud, y no están vinculadas a un solo usuario. En cambio, se usa una cuenta de dispositivo para identificar un solo dispositivo para admitir las reglas de distribución de apps por dispositivo en en situaciones en las que se usan dispositivos exclusivos.
3.3.1. El DPC de EMM puede aprovisionar y activar silenciosamente una cuenta de Google Play
cuenta de acuerdo con las normas de implementación definidas.
Para ello, se debe agregar una cuenta de Google Play administrada de tipo deviceAccount
al dispositivo.
3.4. Aprovisionamiento de cuentas de Google Play administrado para dispositivos heredados
La EMM puede aprovisionar de forma silenciosa cuentas de usuario empresarial, denominadas cuentas de Cuentas de Play. Estas cuentas identifican a los usuarios administrados y permiten reglas de distribución de apps únicas por usuario.
3.4.1. El DPC de EMM puede aprovisionar y activar silenciosamente una cuenta de Google Play cuenta de acuerdo con las normas de implementación definidas. Al hacerlo, ocurrirá lo siguiente:
- Se agrega una cuenta de Google Play administrada de tipo
userAccount
a la dispositivo. - La cuenta de Google Play administrada de tipo
userAccount
debe tener una conexión la asignación con usuarios reales en la consola de EMM.
3.5. Distribución de apps silenciosa
Los administradores de TI pueden distribuir las apps de trabajo de forma silenciosa sin que ningún usuario interacción.
3.5.1. La consola de EMM debe usar la API de Play EMM. para permitir que los administradores de TI instalen apps de trabajo en dispositivos administrados.
3.5.2. La consola de EMM debe usar la API de Play EMM. para que los administradores de TI actualicen las apps de trabajo en los dispositivos administrados.
3.5.3. La consola de EMM debe usar la API de EMM de Play para permitir que los administradores de TI desinstalen apps en dispositivos administrados.
3.6. Administración de configuraciones administrada
Los administradores de TI pueden ver y establecer silenciosamente las configuraciones administradas para cualquier aplicación que admite parámetros de configuración administrados.
3.6.1. La consola de EMM debe poder recuperar y mostrar los recursos parámetros de configuración de cualquier app de Play.
- Los EMM pueden llamar a
Products.getAppRestrictionsSchema
para recuperar un esquema de configuraciones administradas de la app o incorporar el iframe de configuraciones administradas en su Consola de EMM
3.6.2. La consola de EMM debe permitir a los administradores de TI establecer cualquier tipo de configuración (como definidas por el framework de Android) para cualquier app de Play que use la EMM de Play API
3.6.3. La consola de EMM debe permitir que los administradores de TI configuren comodines (como $username$ o %emailAddress%) para que una sola configuración para una aplicación como Gmail se puede aplicar a varios usuarios. El iframe de configuración administrada admita automáticamente este requisito.
3.7 Administración del catálogo de apps
Los administradores de TI pueden importar una lista de apps aprobadas para su empresa desde Google Play administrado (play.google.com/work).
3.7.1. La consola de EMM puede mostrar una lista de apps aprobadas para distribución, que incluye lo siguiente:
- Apps compradas en Google Play administrado
- Apps privadas visibles para los administradores de TI
- De manera programática apps aprobadas
3.8. Aprobación programática de apps
La consola de EMM usa el iframe de Google Play administrado para admitir descubrimiento y aprobación de apps. Los administradores de TI pueden buscar apps, aprobar apps y aprobar nuevos permisos de apps sin salir de la consola de EMM
3.8.1. Los administradores de TI pueden buscar apps y aprobarlas en la consola de EMM. mediante el iframe de Google Play administrado
3.9. Administración básica del diseño de la tienda
La app administrada de Google Play Store se puede usar en los dispositivos para instalar y actualizar las apps de trabajo. El diseño de tienda básico se muestra de forma predeterminada y muestra las apps aprobadas para la empresa, que los EMM filtran por usuario según la política.
3.9.1. Los administradores de TI pueden administrar las contraseñas conjuntos de productos disponibles para permitir la visualización e instalación de aplicaciones desde Google Play administrado en la sección "Página principal de la tienda".
3.10. Configuración avanzada del diseño de la tienda
Los administradores de TI pueden personalizar el diseño de la tienda que se ve en Google Play administrado. almacenar la app en los dispositivos.
3.10.1. Los administradores de TI pueden realizar las siguientes acciones en la consola de EMM para personalizar el diseño de Google Play Store administrado:
- Crea hasta 100 páginas de diseño de tienda. Las páginas pueden tener un número arbitrario de nombres de páginas localizados.
- Crea hasta 30 clústeres por cada página. Los clústeres pueden tener un valor arbitrario la cantidad de nombres de clústeres localizados.
- Asigna hasta 100 apps a cada clúster.
- Agrega hasta 10 vínculos rápidos a cada página.
- Especificar el orden de las apps dentro de un clúster y los clústeres dentro de un .
3.11. Administración de licencias de apps
Los administradores de TI pueden ver y administrar las licencias de apps que se compraron en Google Play administrado desde la consola de EMM.
3.11.1. En el caso de las apps pagadas aprobadas para una empresa, la consola del EMM debe mostrar lo siguiente:
- Indica la cantidad de licencias compradas.
- La cantidad de licencias consumidas y los usuarios que las consumen.
- Es la cantidad de licencias disponibles para la distribución.
3.11.2. Los administradores de TI pueden asignar licencias a los usuarios en silencio. sin obligar a la app a instalarse en las aplicaciones dispositivos.
3.11.3. Los administradores de TI pueden anular la asignación de una licencia de app a un usuario.
3.12. Administración de apps privadas alojadas en Google
En su lugar, los administradores de TI pueden actualizar las apps privadas alojadas en Google a través de la consola de EMM a través de Google Play Console.
3.12.1. Los administradores de TI pueden subir nuevas versiones de apps que ya están publicadas de forma privada para la empresa con lo siguiente:
- El iframe de Google Play administrado o
- La API de Google Play Developer Publishing de Google Cloud.
3.13. Administración de apps privadas autoalojadas
Los administradores de TI pueden configurar y publicar apps privadas alojadas en una ubicación propia. A diferencia de las apps privadas alojadas por Google, Google Play no aloja los APKs. Más bien, El EMM ayuda a los administradores de TI a alojar APKs por su cuenta y a proteger apps asegurándose de que solo se puedan instalar cuando lo autorice Google administrado Juega.
Los administradores de TI pueden consultar Compatibilidad con apps privadas. para conocer los detalles.
3.13.1. La consola de EMM debe ayudar a los administradores de TI a alojar el APK de la app, ofreciendo de las siguientes opciones:
- Aloja el APK en el servidor de EMM. El servidor puede ser local o basado en la nube.
- Alojamiento del APK fuera del servidor del EMM, a discreción del administrador de TI El administrador de TI debe especificar en la consola de EMM dónde El APK está alojado.
3.13.2. La consola de EMM debe generar una definición del APK adecuada. con el APK proporcionado y deben guiar a los administradores de TI en el proceso de publicación.
3.13.3. Los administradores de TI pueden actualizar las apps privadas autoalojadas y la consola de EMM pueden publicar sin aviso archivos de definición APK actualizados a través de la API de Developer Publishing.
3.13.4. El servidor de EMM solo entrega solicitudes de descarga para el APK autoalojado que contenga un JWT válido dentro de la cookie de la solicitud, tal como lo verifica el la clave pública de tu app privada.
- Para facilitar este proceso, el servidor del EMM debe guiar a los administradores de TI para que descarguen la clave pública de la licencia de la app alojada en sí misma desde Google Play Console y la suban a la consola del EMM.
3.14. Notificaciones de extracción de EMM
En lugar de realizar consultas periódicas en Play para identificar eventos pasados, como una app actualización que contiene permisos nuevos o configuraciones administradas, extracción de EMM notifican proactivamente a los EMM sobre esos eventos en tiempo real, lo que permite EMM que lleven a cabo acciones automatizadas y proporcionen notificaciones administrativas personalizadas en función de estos eventos.
3.14.1. El EMM debe usar las notificaciones de EMM de Play. para extraer conjuntos de notificaciones.
3.14.2. EMM debe notificar automáticamente a un administrador de TI (por ejemplo, mediante un correo electrónico automático) de los siguientes eventos de notificación:
newPermissionEvent
: Requiere que un administrador de TI apruebe los permisos nuevos de la app antes de que se pueda instalar o actualizar en silencio en los dispositivos de los usuarios.appRestrictionsSchemaChangeEvent
: Es posible que el administrador de TI deba actualizar la configuración administrada de una app para mantener la funcionalidad prevista.appUpdateEvent
: Puede interesarles a los administradores de TI que quieran realizar esta acción validar que la funcionalidad principal del flujo de trabajo no se vea afectada por la actualización de la appproductAvailabilityChangeEvent
: Puede afectar la capacidad de instalar la app o aplicar actualizaciones.installFailureEvent
: Play no puede instalar una app de forma silenciosa en un el dispositivo, lo que sugiere que puede haber algo relacionado con él. configuración que impide la instalación. Las EMM no deberían vuelve a intentar la instalación silenciosa después de recibir esta notificación, ya que la lógica de reintento ya habrá fallado.
3.14.3. La EMM toma las medidas adecuadas automáticamente en función de lo siguiente: de notificaciones:
newDeviceEvent
: Durante el aprovisionamiento del dispositivo, los EMM deben esperarnewDeviceEvent
antes de realizar llamadas posteriores a la API de Play EMM para el nuevo dispositivo, incluidas las instalaciones de apps silenciosas y el establecimiento de configuraciones administradas.productApprovalEvent
: Luego de recibir unproductApprovalEvent
el EMM debe actualizar automáticamente la lista de las apps aprobadas que se importaron en la consola de EMM para distribuirla a los dispositivos si hay un administrador de TI activo o si la lista de apps aprobadas no se vuelve a cargar automáticamente en el inicio de cada sesión de administración de TI.
3.15. Requisitos de uso de la API
La EMM implementa las APIs de Google a gran escala, lo que evita los patrones de tráfico que podría afectar negativamente la capacidad de capacidad para administrar apps en producción entornos de prueba.
3.15.1. El EMM debe cumplir con la API de Play EMM. límites de uso. Si no se corrigen los comportamientos que superen estos lineamientos, podrían ocasionar la suspensión del uso de la API, a discreción de Google.
3.15.2. La EMM debería distribuir el tráfico de diferentes empresas en toda la organización durante el día, en lugar de consolidar el tráfico empresarial según el tráfico veces. Comportamiento que se ajusta a este patrón de tráfico, como lotes programados operaciones para cada dispositivo inscrito, puede provocar la suspensión del uso de la API, en a discreción de Google.
3.15.3. La EMM no debe hacer que sea coherente, incompleto o Solicitudes incorrectas que no intenten recuperar ni administrar datos empresariales de datos no estructurados. Un comportamiento que se ajuste a este patrón de tráfico puede dar lugar a la suspensión del uso de la API. a discreción de Google.
3.16. Administración avanzada de la configuración administrada
3.16.1. La consola de EMM debe poder recuperar y mostrar los recursos parámetros de configuración (anidados en hasta cuatro niveles) de cualquier app de Play con lo siguiente:
- El iframe de Google Play administrado o
- una IU personalizada.
3.16.2. La consola de EMM debe poder recuperar y mostrar cualquier comentario. devueltos por un canal de comentarios de la app , cuando un administrador de TI la configura.
- La consola de EMM debe permitir que los administradores de TI asocien un elemento de comentarios específico con el dispositivo y la app en la que se originó.
- La consola de la AEE debe permitir que los administradores de TI se suscriban a alertas o informes de tipos de mensajes específicos (como mensajes de error).
3.16.3. La consola de EMM solo debe enviar valores que tengan un valor predeterminado o que el administrador haya establecido manualmente usando:
- El iframe de configuraciones administradas
- Una IU personalizada
3.17. Administración de apps web
Los administradores de TI pueden crear y distribuir aplicaciones web en la consola de EMM.
3.17.1. Los administradores de TI pueden usar la consola de EMM para distribuir accesos directos a aplicaciones web usando:
3.18. Administración del ciclo de vida de la cuenta de Google Play administrado
El EMM puede crear, actualizar y borrar cuentas de Google Play administradas en nombre de los administradores de TI.
3.18.1. Las EMM pueden administrar el ciclo de vida de una cuenta administrada de Google Play. de acuerdo con los lineamientos de implementación que se definen en la documentación para desarrolladores de la API de Play EMM.
3.18.2. Los EMM pueden volver a autenticar las cuentas de Google Play administrado sin la interacción del usuario.
3.19. Administración del segmento de aplicaciones
3.19.1. Los administradores de TI pueden obtener una lista de los IDs de segmento que estableció un desarrollador para un en particular.
3.19.2. Los administradores de TI pueden configurar los dispositivos para que usen un segmento de desarrollo específico para una aplicación.
3,20. Administración avanzada de actualizaciones de aplicaciones
3.20.1. Los administradores de TI pueden permitir que las apps usen actualizaciones de apps de alta prioridad para que se actualicen cuando haya una actualización lista.
3.20.2. Los administradores de TI pueden permitir que se pospongan las actualizaciones de las apps durante 90 días.
3.21. Administración de métodos de aprovisionamiento
La EMM puede generar parámetros de configuración de aprovisionamiento y presentarlos al equipo de TI. administrador en un formulario listo para distribuirlo a los usuarios finales (como un código QR, configuración de inscripción automática y URL de Play Store).
4. Administración de dispositivos
4.1. Administración de políticas de permisos de tiempo de ejecución
Los administradores de TI pueden establecer silenciosamente una respuesta predeterminada a las solicitudes de permisos de tiempo de ejecución creadas por apps de trabajo.
4.1.1. Los administradores de TI deben poder elegir entre las siguientes opciones cuando configuren una política de permisos de tiempo de ejecución predeterminada para su organización:
- instrucción (permite a los usuarios elegir)
- allow
- deny
La EMM debe aplicar esta configuración mediante el DPC de la EMM. .
4.2. Administración del estado de otorgamiento de permisos de tiempo de ejecución
Después de establecer una política de permisos de tiempo de ejecución predeterminada (ve a la versión 4.1), Los administradores de TI pueden Establece respuestas silenciosas para permisos específicos desde cualquier app de trabajo compilada en API. 23 o una versión posterior.
4.2.1. Los administradores de TI deben poder establecer el estado de otorgamiento (predeterminado, otorgar o denegar) de cualquier permiso solicitado por cualquier aplicación de trabajo compilada con un nivel de API 23 o superior. La EMM debes aplicar estos parámetros de configuración con el DPC de EMM de Google Cloud.
4.3. Administración de configuración de Wi-Fi
Los administradores de TI pueden aprovisionar de forma silenciosa la configuración de Wi-Fi empresarial dispositivos, como los siguientes:
4.3.1. SSID con el DPC de EMM.
4.3.2. Contraseña, con el DPC del EMM.
4.4. Administración de seguridad de Wi-Fi
Los administradores de TI pueden aprovisionar configuraciones de Wi-Fi empresariales en dispositivos administrados que incluyen las siguientes funciones de seguridad avanzadas:
4.4.1. Identidad con el DPC de EMM
4.4.2. Certificado para la autorización de clientes, con el DPC de EMM de Google Cloud.
4.4.3. Certificados de la AC mediante el DPC de EMM
4.5. Administración avanzada de Wi-Fi
Los administradores de TI pueden bloquear los parámetros de configuración de Wi-Fi en los dispositivos administrados para evitar que los usuarios creen o modifiquen configuraciones corporativas.
4.5.1. Los administradores de TI pueden bloquear la configuración de Wi-Fi corporativa en cualquiera de las siguientes opciones:
- Los usuarios no pueden modificar ninguna red Wi-Fi de configuración aprovisionadas por EMM, pero pueden agregar y modificar configurables por el usuario (por ejemplo, redes personales).
- Los usuarios no pueden agregar ni modificar ninguna red Wi-Fi en la de red, lo que limita la conectividad Wi-Fi solo a las redes aprovisionadas por la EMM.
4.6. Administración de la cuenta
Los administradores de TI pueden garantizar que las cuentas corporativas no autorizadas no puedan interactuar con los datos corporativos, para servicios como el almacenamiento de SaaS, las apps de productividad o el correo electrónico. Sin esta función, se pueden agregar cuentas personales a aquellas apps corporativas que también admiten cuentas de consumidor, lo que les permite compartir datos corporativos con esas cuentas personales.
4.6.1. Los administradores de TI pueden evitar agregar o modificar cuentas.
- Cuando se aplique esta política en un dispositivo, los EMM deben establecer esta restricción antes de que se complete el aprovisionamiento, para garantizar que no puedas mediante la incorporación de cuentas antes de que se ponga en práctica la política.
4.7. Administración de cuentas de Workspace
Los administradores de TI pueden asegurarse de que las Cuentas de Google no autorizadas no puedan interactuar datos corporativos. Sin esta función, se pueden agregar cuentas personales de Google a aplicaciones corporativas de Google (por ejemplo, Documentos de Google o Google Drive), lo que les permite compartir datos corporativos con esas cuentas personales.
4.7.1. Los administradores de TI pueden especificar las Cuentas de Google que se activarán durante el aprovisionamiento, una vez que se implemente el bloqueo de la administración de cuentas.
4.7.2. El DPC de la EMM debe solicitar que se active el servicio cuenta, y asegurarse de que solo la cuenta específica pueda activarse especificando qué cuenta se agregará.
- En dispositivos con versiones anteriores a Android 7.0, el DPC debe desactivar temporalmente la restricción de administración de la cuenta antes de usuario.
4.8. Administración de certificados
Permite que los administradores de TI implementen certificados de identidad y autoridades certificadoras para para permitir el acceso a recursos corporativos.
4.8.1. Los administradores de TI pueden instalar certificados de identidad de usuarios generados por su PKI en un por usuario. La consola de la AUA debe integrarse con al menos una PKI y distribuir los certificados generados a partir de esa infraestructura.
4.8.2. Los administradores de TI pueden instalar autoridades certificadoras en el almacén de claves administrado.
4.9. Administración avanzada de certificados
Permite que los administradores de TI seleccionen de forma silenciosa los certificados que deben usar apps administradas específicas. Esta función también les otorga a los administradores de TI la capacidad de quitar AC y de identidad de dispositivos activos. Esta función evita que los usuarios modifiquen las credenciales almacenadas en el almacén de claves administrado.
4.9.1. Para cualquier app que se distribuya a dispositivos, los administradores de TI pueden especificar un certificado La app recibirá acceso en silencio. durante el tiempo de ejecución.
- La selección de certificados debe ser lo suficientemente genérica como para permitir una sola configuración que se aplica a todos los usuarios, cada uno de los cuales puede tener un rol certificado de identidad.
4.9.2. Los administradores de TI pueden quitar certificados de forma silenciosa del almacén de claves administrado.
4.9.3. Los administradores de TI pueden desinstalar silenciosamente un certificado de la AC. o todos los certificados de la AC que no sean del sistema.
4.9.4. Los administradores de TI pueden impedir que los usuarios configuren credenciales. en el almacén de claves administrado.
4.9.5. Los administradores de TI pueden otorgar certificados previamente para las apps de trabajo.
4.10. Administración de certificados delegada
Los administradores de TI pueden distribuir apps de administración de certificados de terceros entre los dispositivos y otorgar a esa app acceso con privilegios para instalar certificados en la infraestructura almacén de claves.
4.10.1. Los administradores de TI especifican un paquete de administración de certificados para configurarlo como el de administración de certificados delegada por el DPC.
- Console puede sugerir de manera opcional paquetes de administración de certificados conocidos, pero debe permitir que el administrador de TI elija una de las apps disponibles para instalar para los usuarios correspondientes.
4.11. Administración avanzada de VPN
Permite a los administradores de TI especificar una VPN siempre activada para garantizar que los datos de las apps administradas específicas siempre pasarán por una VPN configurada.
4.11.1. Los administradores de TI pueden especificar un paquete de VPN arbitrario para configurarlo como una VPN siempre activa.
- De manera opcional, la consola del EMM puede sugerir paquetes de VPN conocidos que admitan la VPN siempre activa, pero no puede restringir las VPN disponibles para la configuración de la VPN siempre activa a ninguna lista arbitraria.
4.11.2. Los administradores de TI pueden usar configuraciones administradas para especificar la configuración de VPN una aplicación.
4.12. Administración de IME
Los administradores de TI pueden administrar qué métodos de entrada (IME) se pueden configurar para los dispositivos. Dado que el IME se comparte tanto en el perfil de trabajo como en el personal, bloquear el uso de los IME impedirá que estos accedan a que puedes usar. Sin embargo, es posible que los administradores de TI no bloqueen los IME del sistema en el trabajo. (consulta la administración avanzada de IME para obtener más detalles).
4.12.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME. de longitud arbitraria (incluida una lista vacía, que bloquea los IME que no son del sistema) que puede contener cualquier paquete IME arbitrario.
- De manera opcional, la consola del EMM puede sugerir IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.12.2. El EMM debe informar a los administradores de TI que los IME del sistema se excluyen del en dispositivos con perfiles de trabajo.
4.13. Administración avanzada de IME
Los administradores de TI pueden determinar para qué métodos de entrada (IME) se pueden configurar dispositivos. La administración avanzada de IME extiende la función básica, ya que permite a los administradores de TI para administrar el uso de los IME del sistema, que suelen proporcionar el el fabricante o el operador del dispositivo.
4.13.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME. de longitud arbitraria (excepto una lista vacía, que bloquea todos los IME, incluidos los IME del sistema), que pueden contener cualquier paquete de IME arbitrario.
- La consola de EMM puede sugerir opcionalmente los IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero deben permitir que los administradores de TI elijan opciones de la lista de aplicaciones disponibles para instalar, para los usuarios correspondientes.
4.13.2. Los EMM deben impedir que los administradores de TI configuren una lista de entidades permitidas vacía, ya que se bloqueará la configuración de todos los IME, incluidos los del sistema dispositivo.
4.13.3. Los EMM deben asegurarse de que, si una lista de entidades permitidas de IME no contiene IME Los IME de terceros se instalan de manera silenciosa antes de que se aplique la lista de entidades permitidas. en el dispositivo.
4.14. Administración de servicios de accesibilidad
¿Qué servicios de accesibilidad pueden administrar los administradores de TI? se pueden permitir en las direcciones dispositivos. Si bien los servicios de accesibilidad son herramientas poderosas para los usuarios con discapacidades o aquellos que no pueden interactuar por completo con su dispositivo de forma temporal, pueden interactuar con los datos corporativos de maneras que no cumplen con la política corporativa. Esta función permite que los administradores de TI para desactivar cualquier servicio de accesibilidad ajeno al sistema.
4.14.1. Los administradores de TI pueden configurar una lista de entidades permitidas de servicios de accesibilidad de longitud arbitraria (incluida una lista vacía, que bloquea los servicios de accesibilidad que no son del sistema), que puede contener cualquier paquete de servicio de accesibilidad arbitrario. Cuando se aplica a un perfil de trabajo, esto afecta tanto al perfil personal y el perfil de trabajo.
- De manera opcional, Console puede sugerir servicios de accesibilidad conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.15. Administración de Compartir ubicación
Los administradores de TI pueden impedir que los usuarios compartan datos de ubicación con apps en el trabajo. perfil. De lo contrario, la configuración de ubicación de los perfiles de trabajo se puede configurar en Configuración.
4.15.1. Los administradores de TI pueden inhabilitar los servicios de ubicación dentro del perfil de trabajo.
4.16. Administración avanzada de Compartir ubicación
Los administradores de TI pueden aplicar de manera forzosa un parámetro de configuración de Compartir ubicación determinado en un dispositivo administrado. Esta función garantiza que las apps corporativas siempre tengan acceso a alta la exactitud de los datos de ubicación. Esta función también garantiza que el consumo de batería adicional restringiendo la configuración de ubicación al modo de ahorro de batería
4.16.1. Los administradores de TI pueden configurar los servicios de ubicación del dispositivo. a cada uno de los siguientes modos:
- Precisión alta.
- Solo sensores (por ejemplo, GPS), pero sin incluir los sensores proporcionados ubicación.
- Ahorro de batería, que limita la frecuencia de actualización.
- Desactivado
4.17. Administración de la protección contra el restablecimiento de la configuración de fábrica
Permite a los administradores de TI proteger los dispositivos de la empresa contra robos garantizando los usuarios no autorizados no pueden restablecer la configuración de fábrica de los dispositivos. Si la protección contra el restablecimiento de la configuración de fábrica presenta complejidades operativas cuando los dispositivos se devuelven al equipo de TI, a los administradores de TI También puedes desactivar la protección contra el restablecimiento de la configuración de fábrica por completo.
4.17.1. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de fábrica. su dispositivo desde Configuración.
4.17.2. Los administradores de TI pueden especificar las cuentas de desbloqueo corporativas autorizadas para aprovisionar dispositivos después de restablecer la configuración de fábrica.
- Esta cuenta puede estar vinculada a una persona o por toda la empresa para desbloquear dispositivos.
4.17.3. Los administradores de TI pueden inhabilitar la protección contra el restablecimiento de la configuración de fábrica. para dispositivos específicos.
4.17.4. Los administradores de TI pueden iniciar una limpieza remota del dispositivo que, opcionalmente, limpie los datos de protección de restablecimiento. para quitar la protección contra el restablecimiento de la configuración de fábrica.
4.18. Control avanzado de apps
Los administradores de TI pueden impedir que el usuario desinstale o modifique los servicios desde Configuración; por ejemplo, forzar el cierre de la app o borrar los datos en la caché de datos.
4.18.1. Los administradores de TI pueden bloquear la desinstalación de cualquier app administrada de forma arbitraria o todas las apps administradas.
4.18.2. Los administradores de TI pueden impedir que los usuarios modifiquen datos de aplicaciones. en Configuración.
4.19. Administración de capturas de pantalla
Los administradores de TI pueden impedir que los usuarios tomen capturas de pantalla cuando usan apps administradas. Esta incluye el bloqueo de apps para compartir pantalla y apps similares (como Google Asistente) que usan capacidades de captura de pantalla del sistema.
4.19.1. Los administradores de TI pueden impedir que los usuarios tomen capturas de pantalla. de Google Cloud.
4.20. Desactivar cámaras
Los administradores de TI pueden desactivar el uso de las cámaras del dispositivo por parte de las apps administradas.
4.20.1. Los administradores de TI pueden desactivar el uso de las cámaras del dispositivo. de las aplicaciones administradas.
4.21. Recopilación de estadísticas de red
Los administradores de TI pueden consultar las estadísticas de uso de la red desde el perfil de trabajo de un dispositivo. El las estadísticas recopiladas reflejan los datos de uso compartidos con los usuarios en la la sección Uso de datos de la Configuración. Las estadísticas recopiladas se pueden aplicar a uso de apps en el perfil de trabajo.
4.21.1. Los administradores de TI pueden consultar el resumen de estadísticas de la red de un perfil de trabajo, para un dispositivo determinado y un período configurable, y consulta estos detalles en la Consola de EMM
4.21.2. Los administradores de TI pueden consultar un resumen de una app en las estadísticas de uso de red del perfil de trabajo para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola del EMM.
4.21.3. Los administradores de TI pueden consultar los datos históricos de uso de red de un perfil de trabajo. para un dispositivo determinado y un período configurable, y consulta estos detalles organizadas por UID en la consola de EMM.
4.22. Recopilación avanzada de estadísticas de red
Los administradores de TI pueden consultar las estadísticas de uso de la red de un dispositivo administrado completo. El Las estadísticas recopiladas reflejan los datos de uso que se comparten con los usuarios en la sección Uso de datos. de Configuración. Las estadísticas recopiladas se aplican al uso de aplicaciones en el dispositivo.
4.22.1. Los administradores de TI pueden consultar el resumen de estadísticas de red de un dispositivo completo. , para un dispositivo determinado y un período configurable, y consulta estos detalles en la Consola de EMM
4.22.2. Los administradores de TI pueden consultar un resumen del uso de redes de las apps estadísticas, para un dispositivo determinado y un período configurable, y consulta estos detalles organizadas por UID en la consola de EMM.
4.22.3. Los administradores de TI pueden consultar los datos históricos del uso de la red para un dispositivo determinado y un período configurable, y consulta estos detalles organizadas por UID en la consola de EMM.
4.23. Reiniciar el dispositivo
Los administradores de TI pueden reiniciar de forma remota los dispositivos administrados.
4.23.1. Los administradores de TI pueden reiniciar de forma remota un dispositivo administrado.
4.24. Administración de radio del sistema
Permite a los administradores de TI gestionar de forma detallada las radios de la red del sistema y las redes las políticas de uso de productos.
4.24.1. Los administradores de TI pueden inhabilitar las transmisiones móviles. enviados por los proveedores de servicios (por ejemplo, alertas AMBER).
4.24.2. Los administradores de TI pueden evitar que los usuarios modifiquen la configuración de la red móvil en Configuración. de Google Cloud.
4.24.3. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de red en Configuración. de Google Cloud.
4.24.4. Los administradores de TI pueden permitir o no los datos móviles durante el roaming.
4.24.5. Los administradores de TI pueden configurar si el dispositivo puede realizar llamadas telefónicas , se excluyen las llamadas de emergencia.
4.24.6. Los administradores de TI pueden configurar si el dispositivo puede enviar y recibir mensajes de texto. de Google Cloud.
4.24.7. Los administradores de TI pueden evitar que los usuarios usen sus dispositivos como hotspots portátiles mediante la conexión mediante dispositivo portátil. de Google Cloud.
4.24.8. Los administradores de TI pueden configurar el tiempo de espera de Wi-Fi. al valor predeterminado , solo cuando esté conectado o nunca de Google Cloud.
4.24.9. Los administradores de TI pueden evitar que los usuarios configuren o modifiquen conexiones Bluetooth existentes.
4.25. Administración de audio del sistema
Los administradores de TI pueden gestionar en silencio las funciones de audio del dispositivo, como silenciar las del dispositivo, lo que evita que los usuarios cambien la configuración del volumen de activar el sonido del micrófono del dispositivo.
4.25.1. Los administradores de TI pueden silenciar los dispositivos administrados de manera silenciosa.
4.25.2. Los administradores de TI pueden impedir que los usuarios modifiquen la configuración del volumen de dispositivos.
4.25.3. Los administradores de TI pueden impedir que los usuarios desactiven el micrófono del dispositivo.
4.26. Administración del reloj del sistema
Los administradores de TI pueden gestionar la configuración de la zona horaria y el reloj del dispositivo, además de impedir que los usuarios hagan lo siguiente: modificar la configuración automática de los dispositivos.
4.26.1. Los administradores de TI pueden aplicar el tiempo automático del sistema, e impedir que el usuario configure la fecha y hora del dispositivo.
4.26.2. Los administradores de TI pueden desactivar o activar sin aviso el tiempo automático. y la zona horaria automática.
4.27. Funciones avanzadas de dispositivos dedicados
Les proporciona a los administradores de TI la capacidad de administrar dispositivos dedicados de forma más detallada compatibles con varios casos de uso de kiosco.
4.27.1. Los administradores de TI pueden inhabilitar el protector de pantalla del dispositivo.
4.27.2. Los administradores de TI pueden desactivar la barra de estado del dispositivo y bloquear las notificaciones y la Configuración rápida.
4.27.3. Los administradores de TI pueden forzar la pantalla del dispositivo a que permanezca encendida. mientras el dispositivo está conectado.
4.27.4. Los administradores de TI pueden evitar que se muestren las siguientes IU del sistema:
- Avisos
- Superposiciones de aplicaciones
4.27.5. Los administradores de TI pueden permitir que la recomendación del sistema para las apps omita el instructivo para el usuario y otras sugerencias introductorias durante el primer inicio.
4.28. Administración del alcance delegado
Los administradores de TI pueden delegar privilegios adicionales a paquetes individuales.
4.28.1. Los administradores de TI pueden administrar los siguientes alcances:
- Instalación y administración de certificados
- En blanco a propósito
- Registro de red
- Registro de seguridad (no es compatible con perfiles de trabajo BYOD).
4.29. Compatibilidad con el ID específico de inscripción
A partir de Android 12, los perfiles de trabajo ya no tendrán acceso a identificadores específicos de hardware. Los administradores de TI pueden seguir el ciclo de vida de un dispositivo con un perfil de trabajo a través del ID específico de la inscripción, que se mantendrá restablece la configuración de fábrica.
4.29.1. Los administradores de TI pueden configurar y obtener un ID específico de la inscripción
4.29.2. Este ID específico de la inscripción debe conservarse durante el restablecimiento de la configuración de fábrica
5. Usabilidad del dispositivo
5.1. Personalización del aprovisionamiento administrado
Los administradores de TI pueden modificar la UX del flujo de configuración predeterminado para incluir funciones específicas de la empresa. De forma opcional, los administradores de TI pueden mostrar desarrollo de la marca durante el aprovisionamiento.
5.1.1. Los administradores de TI pueden personalizar el proceso de aprovisionamiento especificando los siguientes detalles específicos de la empresa: color de la empresa, logotipo de la empresa y condiciones del servicio y otras renuncias de responsabilidad de la empresa.
5.1.2. Los administradores de TI pueden implementar una personalización no configurable y específica de EMM que incluye los siguientes detalles: color de EMM, logotipo de EMM, Condiciones del Servicio de EMM y otras renuncias de responsabilidad.
5.1.3 [primaryColor
] dejó de estar disponible para el recurso empresarial en
Android 10 y versiones posteriores
- Los EMM deben incluir las Condiciones del Servicio de aprovisionamiento y otras renuncias de responsabilidad. para su flujo de aprovisionamiento en el sistema de Google Cloud, incluso si se aplica la personalización específica de EMM sin usar.
- Los EMM pueden establecer su personalización no configurable y específica de EMM como el de forma predeterminada para todas las implementaciones, pero deben permitir que los administradores de TI configuren personalización.
5.2. Personalización empresarial
Los administradores de TI pueden personalizar aspectos del perfil de trabajo con el desarrollo de la marca corporativa. Por ejemplo, los administradores de TI pueden establecer el ícono de usuario en el perfil de trabajo para la logotipo corporativo. Otro ejemplo es configurar el color de fondo del desafío de trabajo.
5.2.1. Los administradores de TI pueden establecer el color de la organización, para usarlo como color de fondo en el desafío de trabajo.
5.2.2. Los administradores de TI pueden establecer el nombre visible del perfil de trabajo de Google Cloud.
5.2.3. Los administradores de TI pueden establecer el ícono de usuario del perfil de trabajo. de Google Cloud.
5.2.4. Los administradores de TI pueden evitar que el usuario modifique el perfil de trabajo. ícono de Google Cloud.
5.3. Personalización empresarial avanzada
Los administradores de TI pueden personalizar los dispositivos administrados con marcas corporativas. Por ejemplo: Los administradores de TI pueden elegir el logotipo corporativo como el ícono del usuario principal fondo de pantalla de tu dispositivo.
5.3.1. Los administradores de TI pueden establecer el nombre visible del dispositivo administrado. de Google Cloud.
5.3.2. Los administradores de TI pueden establecer el ícono de usuario del dispositivo administrado. de Google Cloud.
5.3.3. Los administradores de TI pueden evitar que el usuario modifique el ícono del usuario del dispositivo.
5.3.4. Los administradores de TI pueden configurar el fondo de pantalla del dispositivo.
5.3.5. Los administradores de TI pueden evitar que el usuario modifique el dispositivo. fondo de pantalla de Google Cloud.
5.4. Mensajes en la pantalla de bloqueo
Los administradores de TI pueden configurar un mensaje personalizado que se mostrará siempre en el bloqueo del dispositivo la pantalla ni requiere el desbloqueo del dispositivo para ver el contenido.
5.4.1. Los administradores de TI pueden configurar un mensaje personalizado en la pantalla de bloqueo.
5.5. Administración de transparencia de las políticas
Los administradores de TI pueden personalizar el texto de ayuda que se proporciona a los usuarios cuando modifican la configuración administrada en sus dispositivos o implementan un mensaje de asistencia genérico proporcionado por el EMM. Se pueden personalizar los mensajes de asistencia cortos y largos. Estos mensajes se muestran en casos como los intentos de desinstalar una aplicación administrada por ya que un administrador de TI bloqueó la desinstalación.
5.5.1. los administradores de TI personalizan el Short y los mensajes de asistencia largos.
5.5.2. Los administradores de TI pueden implementar soluciones de EMM mensajes de asistencia cortos y largos.
- EMM puede establecer sus mensajes de asistencia no configurables y específicos de EMM como el de forma predeterminada para todas las implementaciones, pero deben permitir que los administradores de TI configuren mensajes nuevos.
5.6. Administración de contactos con perfiles sincronizados
Los administradores de TI pueden controlar qué datos de contacto pueden salir del perfil de trabajo. Las apps de telefonía y mensajería (SMS) deben ejecutarse en el perfil personal y requieren acceso a los datos de contacto del perfil de trabajo para ofrecer funcionalidad a los contactos laborales, pero los administradores pueden inhabilitar estas funciones para proteger los datos laborales.
5.6.1. Los administradores de TI pueden inhabilitar la búsqueda de contactos en el perfil sincronizado. para apps personales que usan el proveedor de contactos del sistema.
5.6.2. Los administradores de TI pueden inhabilitar la búsqueda del identificador de llamadas del perfil sincronizado. para las apps de teléfono personal que usan el proveedor de contactos del sistema.
5.6.3. Los administradores de TI pueden inhabilitar el uso compartido de contactos por Bluetooth con dispositivos Bluetooth. que usen el proveedor de contactos del sistema, por ejemplo, llamadas con manos libres en vehículos o auriculares.
5.7. Administración de datos en varios perfiles
Otorga a los administradores de TI controlar qué datos pueden salir del perfil de trabajo, además de las funciones de seguridad predeterminadas del perfil de trabajo. Con esta función, los administradores de TI puedes permitir que determinados tipos de datos de perfiles sincronizados mejoren la usabilidad de las casos de uso. Los administradores de TI también pueden proteger aún más los datos corporativos con más y medidas de aislamiento.
5.7.1. Los administradores de TI pueden configurar filtros de intents de perfiles sincronizados. para que las apps personales puedan resolver intents desde el perfil de trabajo, como compartir intents o vínculos web.
- La consola puede sugerir de manera opcional filtros de intents conocidos o recomendados para pero no puede restringir los filtros de intents a ninguna lista arbitraria.
5.7.2. Los administradores de TI pueden permitir las apps administradas que pueden mostrar widgets en la pantalla principal.
- La consola de EMM debe proporcionar a los administradores de TI la capacidad de elegir opciones de la lista. de apps disponibles para instalar para los usuarios correspondientes.
5.7.3. Los administradores de TI pueden bloquear el uso de copiar y pegar entre los perfiles personal y de trabajo.
5.7.4. Los administradores de TI pueden impedir que los usuarios compartan datos del perfil de trabajo mediante Haz de NFC.
5.7.5. Los administradores de TI pueden permitir que las apps personales abran vínculos web desde el trabajo perfil.
5.8. Política de actualización del sistema
Los administradores de TI pueden configurar y aplicar actualizaciones inalámbricas del sistema para dispositivos móviles.
5.8.1. La consola de EMM permite a los administradores de TI configurar las siguientes parámetros de configuración:
- Automática: Los dispositivos instalan actualizaciones OTA cuando están disponibles.
- Posponer: Los administradores de TI deben poder posponer la actualización inalámbrica hasta por 30 días. Esta política no afecta las actualizaciones de seguridad (p.ej., las actualizaciones de seguridad mensuales parches de seguridad).
- Con ventanas: los administradores de TI deben poder programar actualizaciones inalámbricas dentro de un durante el período de mantenimiento.
5.8.2. El DPC de EMM aplica configuraciones de OTA a los dispositivos.
5.9 Bloqueo de la administración del modo de tareas
Los administradores de TI pueden bloquear una app o un conjunto de apps en la pantalla No se puede salir de la app.
5.9.1. La consola de EMM permite que los administradores de TI permitan de forma silenciosa que un conjunto arbitrario de apps se instale y bloquee en un dispositivo. La EMM El DPC permite que las direcciones modo de dispositivo.
5.10. Administración de actividad preferida persistente
Permite que los administradores de TI establezcan una app como el controlador de intents predeterminado para los intents que coinciden con un filtro de intents determinado. Por ejemplo, permitir que los administradores de TI elijan app del navegador abre automáticamente vínculos web, o qué app de selector se usa cuando presionando el botón de inicio.
5.10.1. Los administradores de TI pueden configurar cualquier paquete como controlador de intents predeterminado para cualquier filtro de intents arbitrario.
- La consola de EMM puede sugerir, de manera opcional, intents conocidos o recomendados para pero no puede restringir los intents a ninguna lista arbitraria.
- La consola de EMM debe permitir que los administradores de TI elijan entre apps de la lista que están disponibles para los usuarios aplicables.
5.11. Administración de funciones de bloqueo del teclado
- agentes de confianza
- desbloqueo con huella dactilar
- notificaciones sin ocultar
5.11.2. El DPC de EMM puedes desactivar las siguientes funciones de bloqueo de teclado en el perfil de trabajo:
- agentes de confianza
- desbloqueo con huella dactilar
5.12. Administración avanzada de las funciones de bloqueo del teclado
- Cámara segura
- Todas las notificaciones
- Notificaciones sin ocultar
- Agentes de confianza
- Desbloqueo con huellas dactilares
- Todas las funciones de bloqueo del teclado
5.13. Depuración remota
Los administradores de TI pueden recuperar recursos de depuración de los dispositivos sin necesidad de pasos extras.
5.13.1. Los administradores de TI pueden solicitar informes de errores de forma remota, ver informes de errores desde la consola de EMM y descargar informes de errores del de Cloud.
5.14. Recuperación de direcciones MAC
Los EMM pueden recuperar de forma silenciosa la dirección MAC de un dispositivo. La dirección MAC se puede usar para identificar dispositivos en otras partes de la infraestructura de la empresa (por ejemplo, cuando se identifican dispositivos para el control de acceso a la red).
5.14.1. El EMM puede recuperar de forma silenciosa la dirección MAC de un dispositivo y poder asociarlo con el dispositivo en la de Cloud.
5.15. Administración avanzada del modo de tareas bloqueadas
Cuando se configura un dispositivo como dedicado, los administradores de TI pueden usar la EMM consola para realizar las siguientes tareas:
5.15.1. Permite que una sola app se bloquee en un dispositivo de manera silenciosa con el DPC de EMM.
5.15.2. Activa o desactiva las siguientes funciones de la IU del sistema con el DPC del EMM:
- Botón Home
- Descripción general
- Acciones generales
- Notificaciones
- Información del sistema/Barra de estado
- Bloqueo de teclado (pantalla de bloqueo)
5.15.3. Desactiva los diálogos de error del sistema con el DPC de EMM.
5.16. Política de actualización avanzada del sistema
Los administradores de TI pueden bloquear las actualizaciones del sistema en un dispositivo durante un período sin actualización especificado.
5.16.1. El DPC de EMM puede aplicar actualizaciones inalámbricas del sistema (OTA) a dispositivos durante un congelamiento específico. período.
5.17. Administración de la transparencia de las políticas del perfil de trabajo
Los administradores de TI pueden personalizar el mensaje que se muestra a los usuarios cuando se quita el trabajo. desde un dispositivo.
5.17.1. Los administradores de TI pueden proporcionar texto personalizado para mostrar cuando se limpia un perfil de trabajo.
5.18. Compatibilidad con apps conectadas
Los administradores de TI pueden establecer una lista de paquetes que pueden se comuniquen a través de los límites del perfil de trabajo. .
5.19. Actualizaciones manuales del sistema
Los administradores de TI pueden instalar una actualización del sistema de forma manual proporcionando una ruta de acceso.
6. Baja del Administrador de dispositivos
6.1. Baja del Administrador de dispositivos
Los EMM deben publicar un plan para fines de 2022 y finalizar la asistencia al cliente. del Administrador de dispositivos en dispositivos con GMS a fines del 1er trim. de 2023. .
7. Uso de la API
7.1. Controlador de políticas estándar para vinculaciones nuevas
De forma predeterminada, los dispositivos deben administrarse con Android Device Policy para cualquier dispositivo nuevo y vinculaciones de IAM. Los EMM pueden ofrecer la opción de administrar dispositivos usando un DPC personalizado en un área de configuración bajo el título "Avanzado" o una terminología similar. Clientes nuevos no deben exponerse a una elección arbitraria entre pilas tecnológicas durante cualquier la integración o configuración de flujos de trabajo.
7.2. Controlador de políticas estándar para dispositivos nuevos
De forma predeterminada, los dispositivos deben administrarse con Android Device Policy para todas las inscripciones de dispositivos nuevos, tanto para las vinculaciones existentes como para las nuevas. Los EMM pueden proporcionar la opción de administrar dispositivos con un DPC personalizado en un área de configuración con el encabezado "Configuración avanzada" o una terminología similar.