Cette page liste l'ensemble complet des fonctionnalités Android Enterprise.
Si vous avez l'intention de gérer plus de 500 appareils, votre solution EMM doit prendre en charge toutes les fonctionnalités standards () sur au moins un avant de pouvoir les commercialiser. les solutions EMM qui avec succès la vérification standard des fonctionnalités sont répertoriés sur la page Solutions d'entreprise de Google comme offrant Ensemble de gestion standard.
Un ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont indiquées sur la page de l'ensemble de solutions: profil professionnel. , appareil entièrement géré et appareil dédié. Les solutions EMM qui réussissent la vérification avancée des fonctionnalités sont répertoriées dans les Répertoire des solutions d'entreprise par exemple en proposant un ensemble de gestion avancée.
Clé
| standard fonctionnalité | avancé fonctionnalité | fonctionnalité facultative | non applicable |
1. Provisionnement des appareils
1.1. Provisionnement du profil professionnel en priorité par le DPC
Vous pouvez provisionner un profil professionnel après avoir téléchargé l'outil DPC de l'EMM sur Google Play.
1.1.1. Le DPC de l'EMM doit être accessible au public sur Google Play afin que les utilisateurs puissent installer le DPC du côté personnel de l'appareil.
1.1.2. Une fois installé, le DPC doit guider l'utilisateur tout au long du processus de le provisionnement d'un profil professionnel.
1.1.3. Une fois le provisionnement terminé, la gestion ne peut plus être gérée sur le côté personnel de l'appareil.
- Toutes les règles mises en place lors du provisionnement doivent être supprimées.
- Les droits de l'application doivent être révoqués.
- Le DPC de l'EMM doit être, au minimum, désactivé du côté personnel de appareil.
1.2. Provisionnement de l'appareil avec identifiant DPC
Les administrateurs informatiques peuvent provisionner un appareil entièrement géré ou dédié à l'aide d'un DPC. d'identification unique ("afw#"), conformément aux consignes de mise en œuvre définies dans la documentation pour les développeurs concernant l'API Play EMM.
1.2.1. Le DPC de l'EMM doit être accessible au public sur Google Play. Le DPC doit être installable à partir de l'assistant de configuration de l'appareil en entrant un identifiant spécifique au DPC.
1.2.2. Une fois installé, le DPC de l'EMM doit guider l'utilisateur tout au long du processus du provisionnement d'un appareil entièrement géré ou dédié.
1.3. Provisionnement d'appareils NFC
Les administrateurs informatiques peuvent utiliser des tags NFC pour provisionner des appareils nouveaux ou réinitialisés conformément à l'implémentation consignes définies dans le Documentation de l'API EMM Play pour les développeurs
1.3.1. Les EMM doivent utiliser des tags NFC de type 2 de type 2 avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des extras de provisionnement pour transmettre les enregistrements non sensibles informations telles que les ID de serveur et les ID d'enregistrement d'un appareil. Détails de l'enregistrement ne doit pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.3.2. Une fois que le DPC de l'EMM se définit comme propriétaire de l'appareil, il doit ouvrir immédiatement et se verrouille sur l'écran jusqu'à ce que l'appareil soit entièrement provisionné. 1.3.3. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et versions ultérieures en raison abandon de NFC Beam (également connu sous le nom de NFC Bumper).
1.4. Provisionnement de l'appareil avec code QR
Les administrateurs informatiques peuvent utiliser un appareil neuf ou réinitialisé pour scanner un code QR généré par la console EMM pour provisionner l'appareil, conformément à l'implémentation consignes définies dans le Documentation pour les développeurs de l'API EMM Play
1.4.1. Le code QR doit utiliser des éléments de provisionnement supplémentaires pour transmettre des données non sensibles les détails d'enregistrement d'un appareil, tels que les ID de serveur et les ID d'enregistrement. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.4.2. Une fois que le DPC de l'EMM a configuré l'appareil, il doit s'ouvrir immédiatement et se verrouiller à l'écran jusqu'à ce que l'appareil soit entièrement provisionné.
1.5. Inscription sans contact
Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs autorisés et les gérer. à l'aide de votre console EMM.
1.5.1. Les administrateurs informatiques peuvent provisionner les appareils détenus par l'entreprise à l'aide de l'enregistrement sans contact décrite dans Enregistrement sans contact pour les administrateurs informatiques.
1.5.2. Lorsque vous allumez un appareil pour la première fois, son mode est automatiquement activé. les paramètres définis par l'administrateur informatique.
1.6. Provisionnement sans contact avancé
Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils en déployant l'outil DPC les détails de l'enregistrement grâce à l'enregistrement sans contact. Le DPC de l'EMM prend en charge limiter l'inscription à des comptes ou domaines spécifiques, les options de configuration proposées par l'EMM.
1.6.1. Les administrateurs informatiques peuvent provisionner un appareil détenu par l'entreprise à l'aide de l'enregistrement sans contact décrite dans l'article Enregistrement sans contact pour les administrateurs informatiques.
1.6.2. Une fois que le DPC de l'EMM a configuré l'appareil, le DPC de l'EMM doit s'ouvre immédiatement et se verrouille sur l'écran jusqu'à ce que l'appareil provisionnés.
- Cette exigence ne s'applique pas aux appareils qui utilisent l'enregistrement sans contact les détails de l'enregistrement pour qu'ils soient provisionnés automatiquement un déploiement d'appareils dédiés).
1.6.3. En se basant sur les détails de l'enregistrement, le DPC de l'EMM doit s'assurer que les utilisateurs non autorisés ne peuvent pas procéder à l'activation une fois que le DPC est appelé. Au minimum, l'activation doit être limitée aux utilisateurs d'une entreprise donnée.
1.6.4. À l'aide des informations d'enregistrement, le DPC de l'EMM doit permettre aux administrateurs informatiques de préremplir les informations d'enregistrement (par exemple, les ID de serveur, les ID d'enregistrement) en plus des informations uniques sur l'utilisateur ou l'appareil (par exemple, le nom d'utilisateur/mot de passe, le jeton d'activation), afin que les utilisateurs n'aient pas à saisir de détails lorsqu'ils activent un appareil.
- Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats, dans la configuration de l'enregistrement sans contact.
1.7. Provisionnement du profil professionnel du compte Google
Pour les entreprises qui utilisent un domaine Google géré, cette fonctionnalité guide les utilisateurs lors de la configuration d'un profil professionnel après avoir saisi leurs identifiants Workspace professionnels lors de la configuration de l'appareil ou sur un appareil déjà activé. Dans les deux cas, l'identité de l'entreprise Workspace migrés dans le profil professionnel.
1.7.1. La méthode de provisionnement des comptes Google provisionne un profil professionnel, selon l'implémentation définie consignes pour en savoir plus.
1.8. Provisionnement des appareils via le compte Google
Pour les entreprises qui utilisent Workspace, cette fonctionnalité guide les utilisateurs tout au long l'installation de l'outil DPC de leur fournisseur EMM, une fois qu'ils sont entrés dans leur espace de travail Workspace lors de la configuration initiale de l'appareil. Une fois installé, le DPC termine le d'un appareil détenu par l'entreprise.
1.8.1. La méthode de provisionnement du compte Google provisionne un appareil appartenant à l'entreprise, conformément aux consignes d'implémentation définies.
1.8.2. À moins que l'EMM ne puisse identifier sans équivoque l'identité de l'entreprise l'appareil, il ne peut pas provisionner un appareil sans y être invité pendant la processus de provisionnement. Cette requête doit effectuer une action autre que celle par défaut, telle que en cochant une case ou en sélectionnant une option de menu autre que celle par défaut. Il est recommandé l'EMM est capable d'identifier l'appareil en tant qu'actif de l'entreprise afin qu'il y ait vous n'avez pas besoin de l'invite.
1,9. Configuration d'enregistrement sans contact direct
Les administrateurs informatiques peuvent utiliser la console EMM pour configurer des appareils sans contact à l'aide de l'iFrame d'enregistrement sans contact.
1.10. Profils professionnels sur les appareils détenus par l'entreprise
Les EMM peuvent enregistrer des appareils détenus par l'entreprise disposant d'un profil professionnel.
1.10.1. Délibérément vide.
1.10.2. Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur des appareils appartenant à l'entreprise appareils.
1.10.3. Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou dans l'intégralité de l'appareil.
1.10.4. Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel l'intégralité de l'appareil.
Les administrateurs informatiques peuvent définir une liste d'autorisation ou de blocage des applications pouvant ou non être installées dans le profil personnel.
1.10.6. Les administrateurs informatiques peuvent renoncer à la gestion d'un appareil détenu par l'entreprise en supprimant le profil professionnel ou effacer tout le contenu de l'appareil.
1.11. Provisionnement d'appareils dédiés
Délibérément vide.
2. Sécurité des appareils
2.1. Test de sécurité de l'appareil
Les administrateurs informatiques peuvent définir et appliquer une question d'authentification à la sécurité de l'appareil (code/schéma/mot de passe) parmi une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.
2.1.1. La règle doit appliquer des paramètres permettant de gérer les questions d'authentification pour la sécurité des appareils (parentProfilePasswordConditions pour le profil professionnel, exigences de mot de passe pour appareils entièrement gérés et dédiés).
2.1.2. La complexité du mot de passe doit correspondre aux niveaux de complexité suivants:
- PASSWORD_COMPLEXITY_LOW - motif ou broche avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - Code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'une longueur d'au moins 4
- PASSWORD_COMPLEXITY_HIGH - Code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), et un au moins huit, ou mots de passe alphabétiques ou alphanumériques d'une longueur de minimum 6
2.2. Question d'authentification au travail
Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité pour les applications et les données professionnelles profil distinct qui est distinct et soumis à des exigences différentes du système de sécurité de l'appareil, (version 2.1).
2.2.1. La règle doit appliquer la question de sécurité du profil professionnel. Par défaut, les administrateurs informatiques doivent définir des restrictions uniquement pour le profil professionnel le champ d'application est spécifié. Les administrateurs informatiques peuvent le définir à l'échelle de l'appareil en spécifiant le champ d'application (voir l'exigence 2.1).
2.1.2. La complexité du mot de passe doit correspondre aux niveaux de complexité suivants:
- PASSWORD_COMPLEXITY_LOW - motif ou broche avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - Code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'une longueur d'au moins 4
- PASSWORD_COMPLEXITY_HIGH - Code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), et un au moins huit, ou mots de passe alphabétiques ou alphanumériques d'une longueur de minimum 6
2.3. Gestion avancée des codes secrets
2.3.1. délibérément vides ;
2.3.2. Délibérément vide.
Vous pouvez définir les paramètres suivants concernant le cycle de vie des mots de passe pour chaque écran de verrouillage disponibles sur un appareil:
- Vide délibérément
- Délibérément vide
- Nombre maximal de mots de passe n'ayant pas pu être effacés : indique le nombre de fois où les utilisateurs peuvent saisir un mot de passe incorrect avant les données d'entreprise sont effacées de l'appareil. Les administrateurs informatiques doivent être en mesure de désactiver cette fonctionnalité.
2.4. Gestion Smart Lock
Les administrateurs informatiques peuvent gérer les agents de confiance de la fonctionnalité Smart Lock d'Android autorisés à déverrouiller les appareils. Les administrateurs informatiques peuvent désactiver des méthodes de déverrouillage spécifiques, telles que les appareils Bluetooth approuvés, la reconnaissance faciale et la reconnaissance vocale, ou désactiver complètement la fonctionnalité.
2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance Smart Lock, indépendamment pour chaque écran de verrouillage disponible sur l'appareil.
Les administrateurs informatiques peuvent autoriser et configurer de façon sélective les paramètres de confiance Smart Lock agents , indépendamment pour chaque écran de verrouillage disponible sur l'appareil, pour les éléments suivants : et des agents de confiance: Bluetooth, NFC, Places, Face, On-body et Voice.
- Les administrateurs informatiques peuvent modifier Confiance disponible paramètres de configuration de l'agent.
2.5. Effacer et verrouiller
Les administrateurs informatiques peuvent utiliser la console de l'EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.
L'application de contrôle des règles relatives aux appareils de l'EMM doit verrouiller les appareils.
2.5.2. Les EMM DPC doivent effacer les données des appareils.
2.6. Appliquer les critères de conformité
Si un appareil n'est pas conforme aux règles de sécurité, les données professionnelles sont automatiquement restreintes.
2.6.1. Les règles de sécurité appliquées à un appareil doivent au minimum inclure règles relatives aux mots de passe.
2.7. Règles de sécurité par défaut
Les EMM doivent appliquer par défaut les règles de sécurité spécifiées sur les appareils, sans que les administrateurs informatiques n'aient à configurer ou à personnaliser des paramètres dans l'EMM console. Les EMM sont encouragés (mais pas obligés) à ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.
2.7.1. L'outil de contrôle des règles relatives aux appareils de l'EMM doit bloquer l'installation d'applications provenant de sources inconnues, y compris les applications installées à titre personnel, Un appareil Android 8.0 (ou version ultérieure) doté d'un profil professionnel
2.7.2. Les EMM DPC doit bloquer les fonctionnalités de débogage.
2.8. Règles de sécurité pour les appareils dédiés
Les appareils dédiés sont verrouillés sans échappatoire pour permettre d'effectuer d'autres actions.
L'outil de contrôle des règles relatives aux appareils de l'EMM doit désactiver par défaut le démarrage en mode sans échec.
2.8.2. Le DPC de l'EMM doit être ouvert et verrouillé immédiatement sur l'écran lors du provisionnement, pour éviter toute interaction avec l'appareil. d'une autre manière.
2.8.3. Le DPC de l'EMM doit être défini comme lanceur par défaut pour s'assurer que les applications autorisées sont verrouillées à l'écran au démarrage, conformément aux consignes d'implémentation définies.
2.9. Assistance Play Integrity
L'EMM utilise l'API Play Integrity. pour s'assurer que les appareils sont des appareils Android valides.
Le DPC de l'EMM implémente l'API Play Integrity pendant et, par défaut, ne provisionne l'appareil qu'avec données d'entreprise lorsque l'intégrité de l'appareil renvoyée est MEETS_STRONG_INTEGRITY pour en savoir plus.
Le DPC de l'EMM effectue une nouvelle vérification de l'intégrité de Play à chaque fois qu'un l'appareil s'enregistre auprès du serveur EMM, configurable par l'administrateur informatique. L'EMM vérifiera les informations de l'APK dans la réponse de vérification de l'intégrité et elle-même avant de mettre à jour la stratégie d'entreprise sur l'appareil.
Les administrateurs informatiques peuvent configurer différentes réponses aux règles en fonction du résultat la vérification Play Integrity, y compris en bloquant le provisionnement, en effaçant les données et autoriser l'enregistrement.
- Le service EMM appliquera cette réponse à la stratégie pour le résultat de chaque contrôle d'intégrité.
2.9.4. Si la vérification initiale de Play Integrity échoue ou renvoie un résultat qui indique ne répondent pas à une forte intégrité, si le DPC de l'EMM n'a pas déjà appelé ensureWorkingEnvironment puis il doit répéter la vérification avant la fin du provisionnement.
2.10. Application forcée de la validation des applications
Les administrateurs informatiques peuvent activer Vérifier les applications sur les appareils. La fonctionnalité Vérifier les applications permet d'analyser les applications installées sur les appareils Android pour détecter les éventuels logiciels malveillants. des logiciels avant et après leur installation, ce qui contribue à garantir que les logiciels malveillants les applications ne peuvent pas compromettre les données d'entreprise.
2.10.1. Le DPC de l'EMM doit activer Vérifier les applications par défaut.
2.11. Compatibilité avec le démarrage direct
Les applications ne peuvent pas être exécutées sur des appareils Android 7.0 ou version ultérieure qui viennent d'être allumés avant le l'appareil est déverrouillé pour la première fois. Démarrage direct garantit que le DPC de l'EMM est toujours actif et capable d'appliquer la stratégie, même si l'appareil n'a pas été déverrouillé.
Le DPC de l'EMM utilise le stockage chiffré de l'appareil pour effectuer des tâches des fonctions de gestion avant que le stockage chiffré par identifiants de la DPC n'ait été déchiffré. Les fonctions de gestion disponibles en mode Démarrage direct doivent inclure (mais ne se limitent pas à :
- Effacement des données d'entreprise, avec possibilité effacer les données de protection après rétablissement de la configuration d'usine en tant que approprié.
2.11.2. Le DPC de l'EMM ne doit pas exposer les données d'entreprise dans l'appareil chiffré. stockage.
2.11.3. Les EMM peuvent définir et activer un jeton pour activer la fonctionnalité Mot de passe oublié. sur l'écran de verrouillage du profil professionnel. Ce bouton permet de demander les administrateurs informatiques ont réinitialisé de manière sécurisée le mot de passe du profil professionnel.
2.12. Gestion de la sécurité matérielle
Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise afin de s'assurer la protection contre la perte de données.
2.12.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des médias sur leur appareil.
Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil via NFC. faisceau pour en savoir plus. Cette sous-fonctionnalité est facultative, car la fonction de faisceau NFC n'est plus disponible. sous Android 10 et versions ultérieures.
2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers via USB depuis leur appareil.
2.13. Journalisation de sécurité d'entreprise
Les administrateurs informatiques peuvent collecter des données d'utilisation à partir d'appareils, qui peuvent être analysées et évalués de manière programmatique pour détecter les comportements malveillants ou risqués. Activités enregistrées inclure l'activité Android Debug Bridge (adb), les ouvertures d'applications et les déverrouillages d'écran.
2.13.1. Les administrateurs informatiques peuvent activer la journalisation de la sécurité. pour des appareils spécifiques, et le DPC de l'EMM doit pouvoir récupérer à la fois les données de sécurité journaux et de pré-redémarrer les journaux de sécurité automatiquement.
2.13.2. Les administrateurs informatiques peuvent consulter les journaux de sécurité de l'entreprise. pour un appareil et une période configurables, dans la console EMM.
2.13.3. Les administrateurs informatiques peuvent exporter les journaux de sécurité de l'entreprise depuis la console EMM.
3. Gestion des comptes et des applications
3.1. Liaison d'entreprise
Les administrateurs informatiques peuvent associer l'EMM à leur organisation, ce qui lui permet d'utiliser Google Play d'entreprise pour distribuer des applications sur les appareils.
3.1.1. Un administrateur disposant d'un domaine Google géré existant peut lier son domaine à l'EMM.
3.1.2. La console EMM doit provisionner et configurer en mode silencieux un ESA pour chaque entreprise.
3.1.3. Désinscrivez une entreprise à l'aide de l'API Play EMM.
3.1.4. La console EMM invite l'administrateur à saisir son adresse e-mail professionnelle dans processus d'inscription Android et les déconseille d'utiliser un compte Gmail.
3.1.5. Le fournisseur EMM préremplit l'adresse e-mail de l'administrateur lors du processus d'inscription Android.
3.2. Gestion des comptes Google Play d'entreprise
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés autorisent des règles de distribution d'applications uniques et par utilisateur.
3.2.1. Le DPC de l'EMM peut provisionner et activer silencieusement un compte Google Play d'entreprise votre compte conformément aux consignes de mise en œuvre définies. Ce faisant:
- Un compte Google Play d'entreprise de type
userAccountest ajouté au appareil. - Le compte Google Play d'entreprise de type
userAccountdoit disposer d'un le mappage avec les utilisateurs réels dans la console EMM.
3.3. Provisionnement des comptes des appareils Google Play d'entreprise
L'EMM peut créer et provisionner des comptes d'appareils Google Play d'entreprise pour en savoir plus. Les comptes d'appareils permettent d'installer silencieusement des applications à partir de Google Play d'entreprise et ne sont pas liées à un seul utilisateur. À la place, un compte d'appareil est utilisé pour identifier un seul appareil pour prendre en charge les règles de distribution des applications par appareil dans pour les appareils dédiés.
3.3.1. Le DPC de l'EMM peut provisionner et activer silencieusement un compte Google Play d'entreprise
votre compte conformément aux consignes de mise en œuvre définies.
Pour ce faire, un compte Google Play géré de type deviceAccount doit être ajouté à l'appareil.
3.4. Provisionnement de comptes Google Play d'entreprise pour les anciens appareils
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés Comptes Play. Ces comptes identifient les utilisateurs gérés et autorisent un accès par utilisateur règles de distribution des applications.
3.4.1. Le DPC de l'EMM peut provisionner et activer silencieusement un compte Google Play d'entreprise votre compte conformément aux consignes de mise en œuvre définies. Ce faisant:
- Un compte Google Play d'entreprise de type
userAccountest ajouté au appareil. - Le compte Google Play d'entreprise de type
userAccountdoit disposer d'un le mappage avec les utilisateurs réels dans la console EMM.
3.5. Distribution silencieuse d'applications
Les administrateurs informatiques peuvent distribuer des applications professionnelles en mode silencieux sur les appareils des utilisateurs appareils sans aucun utilisateur d'interaction.
3.5.1. La console EMM doit utiliser l'API Play EMM. pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur des appareils gérés.
3.5.2. La console EMM doit utiliser l'API Play EMM. pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.
3.5.3. La console EMM doit utiliser l'API Play EMM. pour permettre aux administrateurs informatiques de désinstaller des applications sur des appareils gérés.
3.6. Gestion des configurations gérées
Les administrateurs informatiques peuvent afficher et définir silencieusement les configurations gérées pour toute application qui est compatible avec les configurations gérées.
La console EMM doit pouvoir récupérer et afficher les paramètres de configuration de n'importe quelle application Play.
- Les fournisseurs EMM peuvent appeler
Products.getAppRestrictionsSchemapour récupérer le schéma de configuration gérée d'une application ou intégrer l'iFrame de configuration gérée dans leur console EMM.
La console EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (comme défini par le framework Android) pour toute application Play utilisant l'EMM Play API.
La console de l'EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (par exemple, $username$ ou %emailAddress%) afin qu'une seule configuration pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs. iFrame de configuration gérée répond automatiquement à cette exigence.
3.7. Gestion du catalogue d'applications
Les administrateurs informatiques peuvent importer une liste d'applications approuvées pour leur entreprise depuis Google Play d'entreprise (play.google.com/work)
La console EMM peut afficher la liste des applications approuvées pour distribution, y compris:
- Applications achetées sur Google Play d'entreprise
- Applications privées visibles par les administrateurs informatiques
- Par programmation applications approuvées
3.8. Approbation programmatique d'applications
La console EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge de découverte et d'approbation d'applications. Les administrateurs informatiques peuvent rechercher des applications, approuver les applications et approuver les nouvelles autorisations d'applications sans quitter la console EMM.
3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console EMM. à l'aide de l'iFrame Google Play d'entreprise.
3.9. Gestion de base de la mise en page des magasins
L'application Google Play Store d'entreprise peut être utilisée sur les appareils pour l'installation et mettre à jour des applications professionnelles. La mise en page de base de la plate-forme de téléchargement s'affiche par défaut et liste les applications approuvées pour l'entreprise, que les EMM filtrent par utilisateur en fonction des règles.
3.9.1. Les administrateurs informatiques peuvent gérer les ensembles de produits disponibles pour permettre l'affichage et l'installation d'applications à partir de la plate-forme Google Play d'entreprise dans la section "Accueil du Play Store".
3.10. Configuration avancée de la mise en page de la boutique
Les administrateurs informatiques peuvent personnaliser la mise en page du Play Store dans Google Play d'entreprise. stocker l'application sur les appareils.
Les administrateurs informatiques peuvent effectuer les actions suivantes dans la console EMM : personnaliser la mise en page du Google Play Store d'entreprise:
- Créez jusqu'à 100 pages de présentation de magasin. Les pages peuvent avoir un nombre arbitraire les noms de pages localisés.
- Créez jusqu'à 30 clusters pour chaque page. Les clusters peuvent disposer le nombre de noms de clusters localisés.
- Attribuez jusqu'à 100 applications à chaque cluster.
- Ajoutez jusqu'à 10 liens rapides à chaque page.
- Spécifiez l'ordre de tri des applications dans un cluster et des clusters dans un .
3.11. Gestion des licences d'application
Les administrateurs informatiques peuvent afficher et gérer les licences d'application achetées dans Google Play d'entreprise. depuis la console EMM.
Pour les applications payantes approuvées pour une entreprise, la console EMM doit display:
- Nombre de licences achetées.
- Nombre de licences consommées et nombre d'utilisateurs qui les utilisent.
- Nombre de licences disponibles pour la distribution.
Les administrateurs informatiques peuvent attribuer des licences aux utilisateurs de manière silencieuse sans forcer l'installation de l'application sur l'un des appareils des utilisateurs.
3.11.3. Les administrateurs informatiques peuvent annuler l'attribution d'une licence d'application à utilisateur.
3.12. Gestion des applications privées hébergées par Google
Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM plutôt que via la Google Play Console.
3.12.1. Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées en privé à l'entreprise en utilisant:
- iFrame Google Play d'entreprise ou
- L'API Google Play Developer Publishing pour en savoir plus.
3.13. Gestion des applications privées auto-hébergées
Les administrateurs informatiques peuvent configurer et publier des applications privées auto-hébergées. Contrairement aux applications privées hébergées par Google, Google Play n'héberge pas les APK. À la place, l'EMM aide les administrateurs informatiques à héberger eux-mêmes des APK et à protéger les infrastructures auto-hébergées en veillant à ce qu'elles ne puissent être installées que si elles sont autorisées par le service Google Play.
Pour en savoir plus, les administrateurs informatiques peuvent consulter Assurer la compatibilité des applications privées.
La console EMM doit aider les administrateurs informatiques à héberger l'APK de l'application, en offrant à la fois des options suivantes:
- Héberger l'APK sur le serveur de l'EMM. Le serveur peut être sur site ou dans le cloud.
- Hébergement de l'APK en dehors du serveur EMM, à la discrétion de administrateur informatique. L'administrateur informatique doit spécifier dans la console EMM où L'APK est hébergé.
3.13.2. La console EMM doit générer une définition APK appropriée à l'aide de l'APK fourni et doivent guider les administrateurs informatiques tout au long du processus de publication.
Les administrateurs informatiques peuvent mettre à jour les applications privées auto-hébergées et la console EMM pouvez publier des fichiers de définition d'APK mis à jour en mode silencieux à l'aide de l'application Google Play API Developer Publishing
Le serveur EMM ne diffuse que les demandes de téléchargement pour l'APK auto-hébergé. contenant un jeton JWT valide dans le cookie de la requête, tel que vérifié par le la clé publique de l'application privée.
- Pour faciliter ce processus, le serveur de l'EMM doit guider les administrateurs informatiques pour qu'ils téléchargent la clé publique de licence de l'application auto-hébergée à partir de la Play Console Google Play, puis importent cette clé dans la console EMM.
3.14. Notifications pull de l'EMM
Au lieu d'interroger régulièrement Play pour identifier des événements passés, comme une appli contenant de nouvelles autorisations ou configurations gérées, l'EMM les notifications informent les EMM de ces événements de manière proactive en temps réel, ce qui permet Les fournisseurs EMM peuvent effectuer des actions automatisées et fournir des notifications administratives personnalisées. en fonction de ces événements.
3.14.1. L'EMM doit utiliser les notifications EMM de Play pour extraire des ensembles de notifications.
Un fournisseur EMM doit automatiquement en informer un administrateur informatique (par exemple, automatique) des événements de notification suivants:
newPermissionEvent: un administrateur informatique doit approuver les nouvelles autorisations de l'application avant qu'elle ne puisse être installée ou mise à jour en mode silencieux sur les appareils des utilisateurs.appRestrictionsSchemaChangeEvent: peut nécessiter la mise à jour d'un administrateur informatique la configuration gérée d'une application pour conserver les fonctionnalités prévues.appUpdateEvent: cela peut intéresser les administrateurs informatiques qui souhaitent confirmer que la fonctionnalité de base du workflow n'est pas affectée par la mise à jour de l'application.productAvailabilityChangeEvent: peut avoir un impact sur la capacité à installer le ou prendre des mises à jour d'applications.installFailureEvent: Play ne peut pas installer une application en mode silencieux sur un l'appareil, ce qui suggère qu'il présente peut-être un problème qui empêche l'installation. Les EMM ne doivent pas immédiatement Essayez d'effectuer une nouvelle installation silencieuse après avoir reçu cette notification, la logique de nouvelle tentative aura déjà échoué.
L'EMM prend automatiquement les mesures appropriées en fonction des éléments suivants : événements de notification:
newDeviceEvent: lors du provisionnement de l'appareil, les EMM doivent attendrenewDeviceEventavant d'effectuer les appels suivants de l'API Play EMM pour le nouveau appareil, y compris l'installation silencieuse d'applications et la définition de configurations gérées.productApprovalEvent: lors de la réception d'unproductApprovalEventnotification, l'EMM doit automatiquement mettre à jour la liste des applications approuvées importées dans la console EMM pour la distribution sur les appareils s'il existe un administrateur informatique actif ou si la liste des applications approuvées n'est pas rechargée automatiquement au début de chaque session d'administration informatique.
3.15. Conditions d'utilisation de l'API
L'EMM implémente les API de Google à grande échelle, ce qui évite les modèles de trafic qui pourraient nuire à la capacité des administrateurs informatiques à gérer les applications dans les environnements de production.
L'EMM doit respecter l'API Play EMM. les limites d'utilisation. Si vous ne corrigez pas tout comportement non conforme à ces consignes, entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
L'EMM doit répartir le trafic des différentes entreprises au lieu de regrouper le trafic de l'entreprise sur des périodes spécifiques fois. Un comportement correspondant à ce modèle de trafic, comme des opérations par lot planifiées pour chaque appareil enregistré, peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.15.3. L'EMM ne doit pas fournir des réponses cohérentes, incomplètes ou de requêtes incorrectes qui ne tentent pas de récupérer ni de gérer des données d'entreprise données. Un comportement correspondant à ce modèle de trafic peut entraîner une suspension de l'utilisation de l'API, à la discrétion de Google.
3.16. Gestion avancée des configurations gérées
La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés (imbriqués jusqu'à quatre niveaux) de n'importe quelle application Play, à l'aide des éléments suivants :
- L'iFrame Google Play d'entreprise , ou
- une UI personnalisée.
La console EMM doit pouvoir récupérer et afficher les commentaires. renvoyées par le canal de commentaires d'une application , lorsqu'ils sont configurés par un administrateur informatique.
- La console EMM doit autoriser les administrateurs informatiques à associer un commentaire spécifique avec l'appareil et l'application d'où il provient.
- La console de l'EMM doit permettre aux administrateurs informatiques de s'abonner à des alertes ou à des rapports sur des types de messages spécifiques (tels que des messages d'erreur).
La console de l'EMM ne doit envoyer que des valeurs qui ont une valeur par défaut ou qui sont définies manuellement par l'administrateur à l'aide des éléments suivants :
- L'iFrame de configurations gérées, ou
- Une UI personnalisée.
3.17. Gestion des applications Web
Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.
Les administrateurs informatiques peuvent utiliser la console EMM pour distribuer des raccourcis vers des applications Web avec:
- iFrame Google Play d'entreprise ou
- L'API Play EMM pour en savoir plus.
3.18. Gestion du cycle de vie des comptes Google Play d'entreprise
L'EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise au nom de pour les administrateurs informatiques.
3.18.1. Les EMM peuvent gérer le cycle de vie d'un compte Google Play d'entreprise conformément aux consignes d'implémentation définies dans la documentation pour les développeurs de l'API Play EMM.
Les EMM peuvent réauthentifier les comptes Google Play d'entreprise sans qu'un utilisateur d'interaction.
3.19. Gestion du canal de l'application
3.19.1. Les administrateurs informatiques peuvent extraire une liste des ID de piste définis par un développeur pour une application spécifique.
3.19.2. Les administrateurs informatiques peuvent configurer les appareils pour qu'ils utilisent un canal de développement particulier pour une application.
3.20. Gestion avancée des mises à jour des applications
3.20.1. Les administrateurs informatiques peuvent autoriser la mise à jour des mises à jour prioritaires lorsqu'une mise à jour est disponible.
3.20.2. Les administrateurs informatiques peuvent autoriser le report des mises à jour des applications pendant 90 jours.
3.21. Gestion des méthodes de provisionnement
L'EMM peut générer des configurations de provisionnement et les présenter au service informatique administrateur dans un formulaire à distribuer aux utilisateurs finaux (code QR, configuration sans contact ou URL Play Store).
4. Gestion des appareils
4.1. Gestion des règles d'autorisation d'exécution
Les administrateurs informatiques peuvent définir silencieusement une réponse par défaut aux demandes d'autorisation d'exécution. créés par des applis professionnelles.
4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une règle d'autorisation d'exécution par défaut pour leur organisation :
- invite (permet aux utilisateurs de choisir)
- allow
- deny
L'EMM doit appliquer ces paramètres à l'aide de son DPC.
4.2. Gestion de l'état des attributions d'autorisations d'exécution
Après avoir défini une stratégie d'autorisation d'exécution par défaut (consultez la section 4.1), Les administrateurs informatiques peuvent Définissez silencieusement des réponses pour des autorisations spécifiques à partir de n'importe quelle application professionnelle basée sur l'API. 23 ou version ultérieure.
4.2.1. Les administrateurs informatiques doivent être en mesure de définir l'état d'autorisation (par défaut, accord ou refus) de toute autorisation demandée par une application professionnelle basée sur le niveau d'API 23 ou supérieur. L'EMM doit appliquer ces paramètres à l'aide de l'outil DPC de l'EMM. pour en savoir plus.
4.3. Gestion de la configuration Wi-Fi
Les administrateurs informatiques peuvent provisionner de manière silencieuse des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris :
4.3.1. SSID, à l'aide de l'outil de contrôle des règles relatives aux appareils de l'EMM.
4.3.2. Mot de passe, à l'aide du DPC de l'EMM.
4.4. Gestion de la sécurité Wi-Fi
Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise sur les appareils gérés qui incluent les fonctionnalités de sécurité avancées suivantes:
4.4.1. Identité, à l'aide du DPC de l'EMM.
4.4.2. Certificat d'autorisation du client, à l'aide de l'outil DPC de l'EMM pour en savoir plus.
4.4.3. Certificats CA, à l'aide de l'outil DPC de l'EMM.
4.5. Gestion Wi-Fi avancée
Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés pour empêcher les utilisateurs de créer des configurations ou de modifier celles de l'entreprise.
4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise dans l'une ou l'autre des les configurations suivantes:
- Les utilisateurs ne peuvent modifier aucun réseau Wi-Fi provisionnées par l'EMM, mais peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (par exemple, des réseaux personnels).
- Les utilisateurs ne peuvent ajouter ni modifier de réseau Wi-Fi sur le appareil mobile, limitant ainsi la connectivité Wi-Fi aux seuls réseaux provisionnés par l'EMM.
4.6. Gestion des comptes
Les administrateurs informatiques peuvent s'assurer que les comptes d'entreprise non autorisés ne peuvent pas interagir les données d'entreprise, pour des services tels que les applications de stockage et de productivité SaaS ; e-mail. Sans cette fonctionnalité, vous pouvez ajouter des comptes personnels des applications d'entreprise également compatibles avec les comptes personnels, ce qui leur permet de partager les données d'entreprise avec ces comptes personnels.
4.6.1. Les administrateurs informatiques peuvent empêcher l'ajout ou la modification de comptes.
- Lorsqu'ils appliquent cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement, afin de ne pas contourner en ajoutant des comptes avant son application.
4.7. Gestion des comptes Workspace
Les administrateurs informatiques peuvent s'assurer que les comptes Google non autorisés ne peuvent pas interagir avec données d'entreprise. Sans cette fonctionnalité, un compte Google personnel peut être ajouté aux applications Google d'entreprise (Google Docs ou Google Drive, par exemple), qui leur permettent de partager des données d'entreprise avec ces comptes personnels.
Les administrateurs informatiques peuvent spécifier les comptes Google à activer pendant la gestion des comptes, une fois que la gestion du compte verrouiller est en place.
Le DPC de l'EMM doit demander à activer le service compte, et assurez-vous que seul le compte concerné peut être activé en spécifiant compte à ajouter.
- Sur les appareils antérieurs à Android 7.0, l'outil DPC doit désactiver temporairement la restriction de gestion du compte avant d'afficher utilisateur.
4.8. Gestion des certificats
Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification pour pour autoriser l'accès aux ressources de l'entreprise.
Les administrateurs informatiques peuvent installer les certificats d'identité des utilisateurs générés par leur PKI sur un par utilisateur. La console EMM doit s'intégrer à au moins une PKI et distribuer les certificats générés à partir de cette infrastructure.
4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification. dans le keystore géré.
4.9. Gestion avancée des certificats
Permet aux administrateurs informatiques de sélectionner silencieusement les certificats associés à des applications gérées spécifiques doit utiliser. Cette fonctionnalité permet également aux administrateurs informatiques de supprimer les autorités de certification et les certificats d'identité des appareils actifs. Cette fonctionnalité empêche les utilisateurs de modifier d'identifiants stockés dans le keystore géré.
Les administrateurs informatiques peuvent spécifier un certificat pour toute application distribuée sur des appareils l'application reçoit un accès silencieux pendant l'exécution.
- La sélection du certificat doit être suffisamment générique pour permettre une seule configuration qui s'applique à tous les utilisateurs, chacun d'entre eux pouvant avoir certificat d'identité.
Les administrateurs informatiques peuvent supprimer des certificats en mode silencieux. à partir du keystore géré.
4.9.3. Les administrateurs informatiques peuvent désinstaller un certificat CA en mode silencieux, ou tous les certificats CA hors système.
4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants. dans le keystore géré.
4.9.5. Les administrateurs informatiques peuvent pré-accorder des certificats pour applications professionnelles.
4.10. Gestion déléguée des certificats
Les administrateurs informatiques peuvent distribuer une application de gestion de certificats tiers sur des appareils et accorder à cette application un accès privilégié pour installer des certificats dans le keystore géré.
Les administrateurs informatiques spécifient un package de gestion des certificats à définir comme déléguée de gestion des certificats par le DPC.
- La console peut éventuellement suggérer des packages de gestion des certificats connus, mais il doit permettre à l'administrateur informatique de choisir dans la liste des applications disponibles pour pour les utilisateurs concernés.
4.11. Gestion VPN avancée
Permet aux administrateurs informatiques de spécifier un VPN permanent pour s'assurer que les données les applications gérées spécifiées passeront toujours par un VPN configuré.
Les administrateurs informatiques peuvent spécifier un package VPN arbitraire à définir comme VPN permanent.
- La console EMM peut éventuellement suggérer des packages VPN connus VPN permanent, mais impossible de limiter les VPN disponibles pour la configuration de cette fonctionnalité à n'importe quelle liste arbitraire.
Les administrateurs informatiques peuvent utiliser les configurations gérées pour spécifier les paramètres VPN une application.
4.12. Gestion des IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés. appareils. Étant donné que l'IME est partagé à la fois entre les profils professionnel et personnel, le blocage de l'utilisation d'IME empêchera l'autorisation de ces IME pour des utilisent également. Toutefois, les administrateurs informatiques ne peuvent pas bloquer les IME du système (pour en savoir plus, consultez la gestion avancée des IME).
Les administrateurs informatiques peuvent configurer une liste d'autorisation IME. de longueur arbitraire (y compris une liste vide, qui bloque les IME non-système), qui peut contenir tout package IME arbitraire.
- La console de l'EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.12.2. L'EMM doit informer les administrateurs informatiques que les éditeurs de mode de saisie du système sont exclus de sur les appareils dotés d'un profil professionnel.
4.13. Gestion avancée de l'IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés. appareils. La gestion avancée des IME étend la fonctionnalité de base en permettant aux administrateurs informatiques pour gérer également l'utilisation des IME du système, qui sont généralement fournis par fabricant ou opérateur de l'appareil.
Les administrateurs informatiques peuvent configurer une liste d'autorisation IME. de longueur arbitraire (à l'exception d'une liste vide, qui bloque tous les IME, y compris IME système), qui peut contenir n'importe quel package IME arbitraire.
- La console EMM peut éventuellement suggérer des IME connus ou recommandés pour à la liste d'autorisation, mais doit permettre aux administrateurs informatiques de choisir dans la liste d'applications pouvant être installées, pour les utilisateurs concernés.
Les EMM doivent empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, empêche la configuration de tous les IME, y compris les IME système, sur le appareil.
4.13.3. Les EMM doivent s'assurer que si une liste d'autorisation IME ne contient pas d'IME système, Les IME tiers sont installés en arrière-plan avant l'application de la liste d'autorisation. sur l'appareil.
4.14. Gestion des services d'accessibilité
Les administrateurs informatiques peuvent gérer les services d'accessibilité peuvent être autorisées sur l'inventaire appareils. Si les services d'accessibilité sont puissants des outils pour les utilisateurs handicapés ou ceux qui sont temporairement incapables de interagissent avec leur appareil, ils peuvent interagir avec les données d'entreprise d'une manière qui qui ne respectent pas les règles d'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de tout service d'accessibilité hors système.
4.14.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité. de longueur arbitraire (y compris une liste vide, qui bloque les serveurs les services d'accessibilité), qui peuvent contenir n'importe quel service d'accessibilité arbitraire d'un package. Lorsqu'elle est appliquée à un profil professionnel, elle affecte à la fois le profil personnel et le profil professionnel.
- La console peut éventuellement suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais doit permettre aux administrateurs informatiques de choisir la liste des applications pouvant être installées, pour les utilisateurs concernés.
4.15. Gestion du partage de position
Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données de localisation avec les applications du profil professionnel. Sinon, vous pouvez configurer le paramètre de localisation des profils professionnels dans Paramètres.
4.15.1. Les administrateurs informatiques peuvent désactiver les services de localisation. dans le profil professionnel.
4.16. Gestion avancée du partage de position
Les administrateurs informatiques peuvent appliquer un paramètre de partage de position donné sur un appareil géré. Cette fonctionnalité permet de s'assurer que les applications d'entreprise ont toujours accès à des données de localisation de haute précision. Cette fonctionnalité peut également s'assurer que la batterie en limitant les paramètres de localisation au mode Économie de batterie.
Les administrateurs informatiques peuvent définir les services de localisation de l'appareil. à chacun des modes suivants:
- Haute précision.
- Capteurs uniquement, par exemple GPS, hors réseau fourni l'emplacement.
- Économiseur de batterie, qui limite la fréquence des mises à jour.
- Désactivé.
4.17. Gestion de la protection après rétablissement de la configuration d'usine
Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en s'assurant les utilisateurs non autorisés ne peuvent pas rétablir la configuration d’usine des appareils. Si la protection après rétablissement de la configuration d'usine complique les opérations lorsque les appareils sont renvoyés au service informatique, les administrateurs informatiques et désactiver complètement la protection après rétablissement de la configuration d'usine.
Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine de leur appareil dans les paramètres.
Les administrateurs informatiques peuvent spécifier des comptes de déverrouillage d'entreprise autorisés à provisionner des appareils. après un rétablissement de la configuration d'usine.
- Ce compte peut être associé à une personne physique ou utilisé par toute l'entreprise pour déverrouiller des appareils.
Les administrateurs informatiques peuvent désactiver la protection après rétablissement de la configuration d'usine pour les appareils spécifiés.
Les administrateurs informatiques peuvent lancer un effacement à distance de l'appareil qui efface les données de protection après rétablissement de la configuration d'usine, ce qui supprime la protection après rétablissement de la configuration d'usine sur l'appareil.
4.18. Contrôle avancé des applications
Les administrateurs informatiques peuvent empêcher l'utilisateur de désinstaller ou de modifier les paramètres applications via les paramètres, par exemple en forçant la fermeture de l'application ou en effaçant les données cache de données.
Les administrateurs informatiques peuvent bloquer la désinstallation d'applications gérées arbitraires ou de toutes les applications gérées.
4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données des applications. dans les paramètres.
4.19. Gestion des captures d'écran
Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran lorsqu'ils se servent d'applications gérées. Ce inclut le blocage des applications de partage d'écran et des applications similaires (comme Google Assistant) qui utilisent les fonctionnalités de capture d'écran du système.
4.19.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'effectuer des captures d'écran. pour en savoir plus.
4.20. Désactiver les appareils photo
Les administrateurs informatiques peuvent désactiver l'utilisation de l'appareil photo des appareils par les applications gérées.
4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des caméras des appareils. par les applications gérées.
4.21. Collecte des statistiques du réseau
Les administrateurs informatiques peuvent demander des statistiques d'utilisation du réseau à partir du profil professionnel d'un appareil. La les statistiques collectées reflètent les données d'utilisation partagées avec les utilisateurs dans les Section Consommation des données des paramètres. Les statistiques collectées s'appliquent l'utilisation des applications dans le profil professionnel.
4.21.1. Les administrateurs informatiques peuvent interroger le récapitulatif des statistiques réseau d'un profil professionnel, pour un appareil et une période configurables, puis affichez ces détails dans la depuis la console EMM.
4.21.2. Les administrateurs informatiques peuvent interroger le récapitulatif d'utilisation d'une application sur le réseau dans le profil professionnel. les statistiques, pour un appareil et une période configurables, et afficher ces détails organisées par UID dans la console EMM.
Les administrateurs informatiques peuvent interroger l'historique des données d'utilisation du réseau d'un profil professionnel pour un appareil donné et une période configurable, et afficher ces détails organisés par UID dans la console de l'EMM.
4.22. Collecte des statistiques réseau avancées
Les administrateurs informatiques peuvent interroger les statistiques d'utilisation du réseau pour l'ensemble d'un appareil géré. La Les statistiques collectées reflètent les données d'utilisation partagées avec les utilisateurs dans le cadre de l'Utilisation des données des paramètres. Les statistiques collectées s'appliquent à l'utilisation des applications sur l'appareil.
4.22.1. Les administrateurs informatiques peuvent interroger le récapitulatif des statistiques du réseau pour l'ensemble d'un appareil. , pour un appareil et une période configurables, puis affichez ces détails dans la depuis la console EMM.
4.22.2. Les administrateurs informatiques peuvent demander un résumé de l'utilisation du réseau dans les applications les statistiques, pour un appareil et une période configurables, et afficher ces détails organisées par UID dans la console EMM.
4.22.3. Les administrateurs informatiques peuvent interroger le réseau sur l'utilisation des données historiques, pour un appareil et une période configurables, et afficher ces détails organisées par UID dans la console EMM.
4,23. Redémarrer l'appareil
Les administrateurs informatiques peuvent redémarrer les appareils gérés à distance.
Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.
4.24. Gestion du système radio
Permet aux administrateurs informatiques d'effectuer une gestion précise via les signaux radio du réseau système et règles d'utilisation.
Les administrateurs informatiques peuvent désactiver les diffusions cellulaires. envoyées par les fournisseurs de services (par exemple, des alertes enlèvement).
Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres du réseau mobile dans les paramètres. pour en savoir plus.
Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser les paramètres réseau dans les paramètres.
Les administrateurs informatiques peuvent autoriser ou interdire les données mobiles en itinérance. pour en savoir plus.
4.24.5. Les administrateurs informatiques peuvent indiquer si l'appareil peut passer des appels téléphoniques sortants. , à l'exception des appels d'urgence.
4.24.6. Les administrateurs informatiques peuvent configurer si l'appareil peut envoyer et recevoir des SMS.
4.24.7. Les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil comme point d'accès mobile grâce au partage de connexion. pour en savoir plus.
4.24.8. Les administrateurs informatiques peuvent définir le délai avant expiration du Wi-Fi. la valeur par défaut , uniquement lorsque l'appareil est branché ou jamais pour en savoir plus.
4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier des connexions Bluetooth existantes.
4,25. Gestion audio du système
Les administrateurs informatiques peuvent gérer silencieusement les fonctionnalités audio de l'appareil, y compris couper le son en empêchant les utilisateurs de modifier les paramètres de volume et en les empêchant de réactiver le micro de l'appareil.
Les administrateurs informatiques peuvent couper le son des appareils gérés en mode silencieux.
4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de volume de l'appareil.
4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le micro de l'appareil.
4.26. Gestion de l'horloge système
Les administrateurs informatiques peuvent gérer les paramètres de l'horloge et du fuseau horaire de l'appareil, et empêcher les utilisateurs de modifier les paramètres automatiques de l'appareil.
Les administrateurs informatiques peuvent appliquer l'heure automatique du système, empêchant l'utilisateur de définir la date et l'heure de l'appareil.
Les administrateurs informatiques peuvent activer ou désactiver l'heure automatique en mode silencieux. et fuseau horaire automatique.
4,27. Fonctionnalités avancées pour les appareils dédiés
Permet aux administrateurs informatiques de gérer des fonctionnalités dédiées plus précises pour prendre en charge différents cas d'utilisation de bornes.
4.27.1. Les administrateurs informatiques peuvent désactiver la protection du clavier de l'appareil.
Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, le blocage des notifications et les Réglages rapides.
4.27.3. Les administrateurs informatiques peuvent forcer l'écran de l'appareil à rester allumé. lorsque l'appareil est branché.
Les administrateurs informatiques peuvent empêcher les interfaces utilisateur système suivantes ne s'affichent pas:
- Toasts
- Superpositions d'application.
4.27.5. Les administrateurs informatiques peuvent autoriser les recommandations système à ignorer le tutoriel utilisateur et les autres conseils d'introduction. lors de la première démarrage.
4,28. Gestion des champs d'application délégués
Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.
Les administrateurs informatiques peuvent gérer les champs d'application suivants:
- Installation et gestion des certificats
- Délibérément vide
- Journalisation réseau
- Journalisation de sécurité (non compatible avec le profil professionnel BYOD)
4,29. Prise en charge des identifiants spécifiques à l'enregistrement
À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil avec un profil professionnel à l'aide de l'ID d'inscription spécifique, qui persiste après le rétablissement de la configuration d'usine.
Les administrateurs informatiques peuvent définir et obtenir un ID spécifique à l'enregistrement.
4.29.2. Cet identifiant spécifique à l'enregistrement doit persister lors du rétablissement de la configuration d'usine
5. Ergonomie des appareils
5.1. Personnalisation de la configuration gérée
Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités propres à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par l'EMM lors du provisionnement.
5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant Informations spécifiques à l'entreprise suivantes: couleur entreprise logo d'entreprise, Conditions d'utilisation pour les entreprises et autres clauses de non-responsabilité.
5.1.2. Les administrateurs informatiques peuvent déployer une personnalisation non configurable spécifique à l'EMM, qui comprend les informations suivantes : couleur de l'EMM, logo de l'EMM, conditions d'utilisation de l'EMM et autres clauses de non-responsabilité.
La version 5.1.3 [primaryColor] a été abandonnée pour la ressource d'entreprise sur Android 10 et versions ultérieures.
- Les fournisseurs EMM doivent inclure les conditions d'utilisation du provisionnement et d'autres clauses de non-responsabilité. de leur flux de provisionnement dans le système de gestion des comptes, même si la personnalisation spécifique à l'EMM est ne sont pas utilisées.
- Les EMM peuvent définir leur personnalisation spécifique et non configurable comme par défaut pour tous les déploiements, mais les administrateurs informatiques doivent pouvoir configurer leur propre la personnalisation.
5.2. Personnalisation de l'entreprise
Les administrateurs informatiques peuvent personnaliser certains aspects du profil professionnel en y intégrant le branding de l'entreprise. Par exemple, les administrateurs informatiques peuvent définir l'icône utilisateur dans le profil professionnel sur logo de l'entreprise. Autre exemple : la configuration de la couleur d'arrière-plan défi au travail.
5.2.1. Les administrateurs informatiques peuvent définir la couleur de l'organisation, à utiliser comme couleur d'arrière-plan du défi professionnel.
5.2.2. Les administrateurs informatiques peuvent définir le nom à afficher du profil professionnel.
5.2.3. Les administrateurs informatiques peuvent définir l'icône utilisateur du profil professionnel. pour en savoir plus.
5.2.4. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'utilisateur associé au profil professionnel. icône pour en savoir plus.
5.3. Personnalisation avancée pour les entreprises
Les administrateurs informatiques peuvent personnaliser les appareils gérés avec le branding de l'entreprise. Par exemple, Les administrateurs informatiques peuvent définir l'icône de l'utilisateur principal sur le logo de l'entreprise ou définir le paramètre fond d'écran de l'appareil.
5.3.1. Les administrateurs informatiques peuvent définir le nom à afficher de l'appareil géré. pour en savoir plus.
5.3.2. Les administrateurs informatiques peuvent définir l'icône utilisateur de l'appareil géré. pour en savoir plus.
5.3.3. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'utilisateur de l'appareil icône pour en savoir plus.
5.3.4. Les administrateurs informatiques peuvent définir le fond d'écran de l'appareil. pour en savoir plus.
5.3.5. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'appareil fond d'écran pour en savoir plus.
5.4. Messages sur l'écran de verrouillage
Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur le verrouillage de l'appareil. l'écran et ne nécessite pas le déverrouillage de l'appareil.
5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage.
5.5. Gestion de la transparence des règles
Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils modifient des paramètres gérés sur leur appareil ou déployer une assistance générique fournie par l'EMM . Les messages d'assistance courts et longs peuvent être personnalisés. Ces messages lors d'une tentative de désinstallation d'une application gérée pour laquelle un administrateur informatique a déjà bloqué la désinstallation.
5.5.1. Les administrateurs informatiques personnalisent à la fois les Shorts et longs.
5.5.2. Les administrateurs informatiques peuvent déployer des solutions non configurables, spécifiques à l'EMM messages d'assistance courts et longs.
- Les fournisseurs EMM peuvent définir leurs messages d'assistance spécifiques et non configurables en tant que par défaut pour tous les déploiements, mais les administrateurs informatiques doivent pouvoir configurer leur propre messages.
5.6. Gestion des contacts dans tous les profils
Les administrateurs informatiques peuvent contrôler les données de contact qui peuvent quitter le profil professionnel. Les applications de téléphonie et de messagerie (SMS) doivent s'exécuter dans le profil personnel et nécessitent un accès aux données de contact du profil professionnel pour offrir des fonctionnalités aux contacts professionnels. Toutefois, les administrateurs peuvent choisir de désactiver ces fonctionnalités pour protéger les données professionnelles.
5.6.1. Les administrateurs informatiques peuvent désactiver la recherche de contacts dans tous les profils. pour les applis personnelles qui utilisent le fournisseur de contacts du système.
5.6.2. Les administrateurs informatiques peuvent désactiver la recherche interprofil du numéro de l'appelant. pour les applis de téléphonie personnelles qui utilisent le fournisseur de contacts système.
5.6.3. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth avec les appareils Bluetooth. qui utilisent le fournisseur de contacts du système, par exemple les appels mains libres dans une voiture ou des casques audio.
5.7. Gestion des données interprofils
Permet aux administrateurs informatiques de gérer les données qui peuvent quitter le profil professionnel, au-delà les fonctionnalités de sécurité par défaut du profil professionnel. Grâce à cette fonctionnalité, les administrateurs informatiques permet d'autoriser certains types de partage de données entre les profils afin d'améliorer la convivialité des différents cas d'utilisation. Les administrateurs informatiques peuvent également renforcer la protection des données d'entreprise en appliquant davantage de verrouillages.
5.7.1. Les administrateurs informatiques peuvent configurer des filtres d'intent interprofils. afin que les applications personnelles puissent résoudre un intent à partir du profil professionnel, comme le partage d'intents ou liens Web.
- La console peut éventuellement suggérer des filtres d'intent connus ou recommandés pour mais vous ne pouvez pas limiter les filtres d'intent à une liste arbitraire.
5.7.2. Les administrateurs informatiques peuvent autoriser les applications gérées pouvant afficher des widgets sur l'écran d'accueil.
- La console EMM doit permettre aux administrateurs informatiques de choisir dans la liste d'applications pouvant être installées pour les utilisateurs concernés.
5.7.3. Les administrateurs informatiques peuvent bloquer l'utilisation du copier-coller entre les profils professionnel et personnel.
5.7.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données à partir du profil professionnel à l'aide de Partage NFC :
5.7.5. Les administrateurs informatiques peuvent autoriser les applications personnelles à ouvrir des liens Web depuis l'entreprise profil.
5.8. Règle de mise à jour du système
Les administrateurs informatiques peuvent configurer et appliquer des mises à jour du système Over The Air (OTA) pour appareils.
5.8.1. La console EMM permet aux administrateurs informatiques de définir l'OTA suivante : configurations:
- Automatique: les appareils installent les mises à jour OTA lorsqu'elles sont disponibles.
- Report: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA jusqu'à 30 fois jours. Cette règle n'affecte pas les mises à jour de sécurité (par exemple, les mises à jour de sécurité mensuelles des correctifs).
- Fenêtrée: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA chaque jour l'intervalle de maintenance.
5.8.2. L'outil de contrôle des règles relatives aux appareils de l'EMM applique les configurations OTA aux appareils.
5.9. Gestion du mode Tâches verrouillées
Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran, et s'assurer que les utilisateurs ne peut pas quitter l'application.
5.9.1. La console EMM permet aux administrateurs informatiques d'autoriser en mode silencieux un ensemble arbitraire des applications à installer et à verrouiller sur un appareil. Les EMM L'outil DPC permet de créer mode Appareil.
5.10. Gestion persistante des activités préférées
Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents qui : correspondent à un filtre d'intent spécifique. Par exemple, autoriser les administrateurs informatiques à choisir navigateur Web ouvre automatiquement les liens Web, ou l'application de lancement utilisée en appuyant sur le bouton d'accueil.
Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour tout filtre d'intent arbitraire.
- La console EMM peut éventuellement suggérer des intents connus ou recommandés pour mais ne peut pas limiter les intents à une liste arbitraire.
- La console de l'EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
5.11. Gestion des fonctionnalités de verrouillage du clavier
- </ph>
- agents de confiance
- déverrouillage par empreinte digitale
- notifications non masquées
5.11.2. Le DPC de l'EMM peut désactiver les fonctionnalités de verrouillage des touches suivantes dans le profil professionnel :
- agents de confiance
- déverrouillage par empreinte digitale
5.12. Gestion avancée des fonctionnalités de verrouillage du clavier
- Caméra sécurisée
- Toutes les notifications
- Notifications non masquées
- Agents de confiance
- Déverrouillage par empreinte digitale
- Toutes les fonctionnalités du clavier de verrouillage
5.13. Débogage à distance
Les administrateurs informatiques peuvent récupérer les ressources de débogage des appareils sans avoir besoin étapes.
5.13.1. Les administrateurs informatiques peuvent demander à distance des rapports de bugs, Consulter les rapports de bug depuis la console EMM et les télécharger depuis les console.
5.14. Récupération des adresses MAC
Les EMM peuvent récupérer silencieusement l'adresse MAC d'un appareil. L'adresse MAC peut être utilisée pour identifier les appareils dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification d'appareils pour le contrôle de l'accès au réseau).
5.14.1. L'EMM peut récupérer automatiquement l'adresse MAC d'un appareil et vous pouvez l'associer à l'appareil dans les console.
5.15. Gestion avancée du mode tâches verrouillées
Lorsqu'un appareil est configuré en tant qu'appareil dédié, les administrateurs informatiques peuvent utiliser pour effectuer les tâches suivantes:
5.15.1. Autoriser en mode silencieux une seule application à se verrouiller sur un appareil à l'aide du DPC de l'EMM
5.15.2. Activer ou désactiver les fonctionnalités suivantes de l'interface utilisateur système à l'aide de l'outil DPC de l'EMM :
- Bouton "Accueil"
- Présentation
- Actions générales
- Notifications
- Informations système / Barre d'état
- Protection des touches (écran de verrouillage)
5.15.3. Désactivez les boîtes de dialogue d'erreur système à l'aide de l'outil DPC de l'EMM.
5.16. Règle de mise à jour du système avancée
Les administrateurs informatiques peuvent bloquer les mises à jour du système sur un appareil pendant une période de blocage spécifiée.
5.16.1. Le DPC de l'EMM peut appliquer des mises à jour du système OTA (Over The Air) aux appareils pendant une période de blocage spécifiée.
5.17. Gestion de la transparence des règles du profil professionnel
Les administrateurs informatiques peuvent personnaliser le message qui s'affiche pour les utilisateurs lorsqu'ils suppriment leur travail. profil sur un appareil.
5.17.1. Les administrateurs informatiques peuvent fournir un texte personnalisé à afficher lorsqu'un profil professionnel est effacé.
5.18. Assistance pour les applications connectées
Les administrateurs informatiques peuvent définir une liste de packages pouvant être au-delà des limites du profil professionnel.
5.19. Mises à jour manuelles du système
Les administrateurs informatiques peuvent installer une mise à jour du système manuellement en fournissant un chemin d'accès.
6. Abandon de Device Administration
6.1. Abandon de Device Administration
Les EMM sont tenus de publier un plan d'ici la fin de l'année 2022 et la fin de l'assistance client pour l'Administrateur des appareils sur les appareils GMS d'ici la fin du 1er trimestre 2023.
7. Utilisation de l'API
7.1. Policy Controller standard pour les nouvelles liaisons
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy et liaisons IAM. Les EMM peuvent offrir la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'intitulé "Avancé" ; ou une terminologie similaire. Nouveaux clients ne doivent pas être exposées à un choix arbitraire entre les piles technologiques les workflows d'intégration ou de configuration.
7.2. Outil de contrôle standard des règles pour les nouveaux appareils
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour tous les nouveaux enregistrements d'appareils, pour les liaisons existantes et nouvelles. Les EMM peuvent fournir option permettant de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres, sous un en-tête 'Advanced' (Avancé) ou une terminologie similaire.