หน้านี้มีรายการฟีเจอร์ Android Enterprise ทั้งหมด
หากต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ของคุณต้องรองรับฟีเจอร์มาตรฐาน () ทั้งหมดของชุดโซลูชันอย่างน้อย 1 ชุดก่อนจึงจะพร้อมให้บริการในเชิงพาณิชย์ได้ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์มาตรฐานจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการมาตรฐาน
ฟีเจอร์ขั้นสูงชุดเพิ่มเติมมีให้ใช้งานสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้จะแสดงอยู่ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งานในอุปกรณ์ส่วนบุคคล โปรไฟล์งานในอุปกรณ์ของบริษัท อุปกรณ์ที่มีการจัดการครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android โดยมีชุดการจัดการขั้นสูง
คีย์
| ฟีเจอร์มาตรฐาน รายการ | ฟีเจอร์ขั้นสูง | ฟีเจอร์ที่ไม่บังคับ | ไม่เกี่ยวข้อง |
1. การจัดเตรียมอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานแบบ DPC เป็นหลัก
คุณสามารถจัดสรรโปรไฟล์งานได้หลังจากดาวน์โหลด DPC ของ EMM จาก Google Play
1.1.1 DPC ของ EMM ต้องพร้อมให้บริการแก่สาธารณะใน Google Play เพื่อให้ผู้ใช้ติดตั้ง DPC ดังกล่าวในฝั่งส่วนบุคคลของอุปกรณ์ได้
1.1.2. เมื่อติดตั้งแล้ว DPC จะต้องแนะนำผู้ใช้เกี่ยวกับขั้นตอนการจัดสรรโปรไฟล์งาน
1.1.3. หลังจากจัดสรรเสร็จสมบูรณ์แล้ว จะไม่มีการจัดการใดๆ เหลืออยู่ในฝั่งส่วนบุคคลของอุปกรณ์
- ต้องนำนโยบายที่ใช้ระหว่างการจัดสรรออก
- ต้องเพิกถอนสิทธิ์ของแอป
- DPC ของ EMM ต้องปิดอยู่อย่างน้อยในด้านส่วนตัวของอุปกรณ์
1.2 การจัดเตรียมอุปกรณ์ที่มีตัวระบุ DPC
ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะโดยใช้ตัวระบุ DPC ("afw#") ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
1.2.1. DPC ของ EMM ต้องเผยแพร่แบบสาธารณะใน Google Play DPC ต้องติดตั้งได้จากวิซาร์ดการตั้งค่าอุปกรณ์โดยป้อนตัวระบุเฉพาะ DPC
1.2.2. เมื่อติดตั้งแล้ว DPC ของ EMM จะต้องแนะนำผู้ใช้เกี่ยวกับขั้นตอนการจัดสรรอุปกรณ์ที่มีการจัดการอย่างเต็มรูปแบบหรืออุปกรณ์เฉพาะ
1.3 การจัดเตรียมอุปกรณ์ NFC
ผู้ดูแลระบบไอทีสามารถใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
1.3.1. EMM ต้องใช้แท็กฟอรัม NFC ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งต่อรายละเอียดการลงทะเบียนที่ไม่มีความละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. หลังจากที่ DPC ของ EMM กำหนดตัวเองเป็นเจ้าของอุปกรณ์แล้ว DPC จะต้องเปิดขึ้นทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าอุปกรณ์จะจัดสรรเสร็จสมบูรณ์ 1.3.3. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจากมีการเลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4 การจัดสรรอุปกรณ์ด้วยคิวอาร์โค้ด
ผู้ดูแลระบบไอทีสามารถใช้อุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นเพื่อสแกนคิวอาร์โค้ดที่คอนโซลของ EMM สร้างขึ้นเพื่อจัดสรรอุปกรณ์ตามหลักเกณฑ์การใช้งานที่ระบุไว้ใน เอกสารประกอบสำหรับนักพัฒนาแอป Play EMM API
1.4.1. คิวอาร์โค้ดต้องใช้การจองข้อมูลเพิ่มเติมเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.4.2. หลังจากที่ DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC จะต้องเปิดทันทีและล็อกตัวเองไว้ที่หน้าจอจนกว่าจะจัดสรรอุปกรณ์อย่างสมบูรณ์
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อจากตัวแทนจำหน่ายที่ได้รับอนุญาตล่วงหน้าและจัดการอุปกรณ์เหล่านั้นได้โดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่ผู้ดูแลระบบไอทีกำหนดโดยอัตโนมัติ
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นแบบอัตโนมัติได้โดยใช้รายละเอียดการลงทะเบียน DPC ผ่านการลงทะเบียนแบบรวมกลุ่ม DPC ของ EMM รองรับการจำกัดการลงทะเบียนบัญชีหรือโดเมนที่เจาะจงตามตัวเลือกการกำหนดค่าที่ EMM มีให้
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.6.2. หลังจาก DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC ของ EMM จะต้องเปิดขึ้นทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าอุปกรณ์จะได้รับการกําหนดค่าอย่างสมบูรณ์
- ข้อกำหนดนี้จะไม่มีผลกับอุปกรณ์ที่ใช้รายละเอียดการลงทะเบียนการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มเพื่อจัดสรรอุปกรณ์โดยอัตโนมัติ (เช่น ในการใช้งานอุปกรณ์เฉพาะ)
1.6.3. เมื่อใช้รายละเอียดการลงทะเบียน DPC ของ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถดำเนินการเปิดใช้งานต่อได้เมื่อเรียกใช้ DPC ขั้นต่ำแล้ว การเปิดใช้งานต้องจำกัดไว้สำหรับผู้ใช้ขององค์กรหนึ่งๆ
1.6.4. เมื่อใช้รายละเอียดการลงทะเบียน DPC ของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีป้อนรายละเอียดการลงทะเบียนล่วงหน้าได้ (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น รหัสผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อไม่ให้ผู้ใช้ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง ในการกำหนดค่าของการตั้งค่าอุปกรณ์พร้อมใช้
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ ฟีเจอร์นี้จะแนะนำผู้ใช้ในการตั้งค่าโปรไฟล์งานหลังจากป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กรในระหว่างการตั้งค่าอุปกรณ์หรือในอุปกรณ์ที่เปิดใช้งานแล้ว ในกรณีทั้ง 2 รูปแบบ ระบบจะย้ายข้อมูลข้อมูลประจำตัวของ Workspace ขององค์กรไปยังโปรไฟล์งาน
1.7.1. วิธีการจัดสรรบัญชี Google จะจัดสรรโปรไฟล์งานตามหลักเกณฑ์การใช้งานที่ระบุ
1.8. การจัดสรรอุปกรณ์บัญชี Google
สำหรับองค์กรที่ใช้ Workspace ฟีเจอร์นี้จะแนะนำผู้ใช้ในการติดตั้ง DPC ของ EMM หลังจากที่ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กรในระหว่างการตั้งค่าอุปกรณ์ครั้งแรก เมื่อติดตั้งแล้ว DPC จะตั้งค่าอุปกรณ์ของบริษัทให้เสร็จสมบูรณ์
1.8.1. วิธีการจัดสรรบัญชี Google จะจัดสรรอุปกรณ์ของบริษัทตามหลักเกณฑ์การใช้งานที่กําหนด
1.8.2. EMM จะจัดสรรอุปกรณ์โดยไม่มีข้อความแจ้งในระหว่างกระบวนการจัดสรรไม่ได้ เว้นแต่จะสามารถระบุได้อย่างแน่ชัดว่าอุปกรณ์เป็นทรัพย์สินขององค์กร พรอมต์นี้ต้องใช้การดำเนินการที่ไม่ใช่ค่าเริ่มต้น เช่น การเลือกช่องทําเครื่องหมายหรือการเลือกตัวเลือกเมนูที่ไม่ใช่ค่าเริ่มต้น ขอแนะนําให้ EMM ระบุอุปกรณ์ว่าเป็นสินทรัพย์ของบริษัทได้ เพื่อที่จะไม่ต้องแสดงข้อความแจ้ง
1.9 การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้ iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10. โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM ลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้
1.10.1. จงใจเว้นว่างไว้
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งการดำเนินการตามหลักเกณฑ์สำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทได้
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือทั้งอุปกรณ์ได้
1.10.4. ผู้ดูแลระบบไอทีปิดใช้งานการจับภาพหน้าจอได้ทั้งในโปรไฟล์งานหรืออุปกรณ์ทั้งหมด
1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตหรือรายการที่บล็อกของแอปพลิเคชันซึ่งติดตั้งได้หรือไม่สามารถติดตั้งในโปรไฟล์ส่วนตัวได้
1.10.6. ผู้ดูแลระบบไอทีสามารถสละสิทธิ์การจัดการอุปกรณ์ของบริษัทได้โดยการนำโปรไฟล์งานออกหรือล้างข้อมูลทั้งอุปกรณ์
1.11 การจัดเตรียมอุปกรณ์เฉพาะ
เว้นว่างไว้
2. ความปลอดภัยของอุปกรณ์
2.1 มาตรการรักษาความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการรักษาความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากตัวเลือกระดับความซับซ้อน 3 ระดับที่กำหนดไว้ล่วงหน้าในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบายต้องบังคับใช้การตั้งค่าที่จัดการปัญหาด้านความปลอดภัยของอุปกรณ์ (parentProfilePasswordRequirements สำหรับโปรไฟล์งาน, passwordRequirements สำหรับอุปกรณ์ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านต้องจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีลำดับซ้ำ (4444) หรือลำดับ (1234, 4321, 2468) รหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.2 มาตรการรักษาความปลอดภัยของงาน
ผู้ดูแลระบบไอทีสามารถกำหนดและบังคับใช้มาตรการรักษาความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งานที่แยกต่างหากและมีข้อกำหนดที่แตกต่างจากมาตรการรักษาความปลอดภัยของอุปกรณ์ (2.1.)
2.2.1. นโยบายต้องบังคับใช้มาตรการลงชื่อเข้าใช้เพื่อตรวจสอบสิทธิ์สำหรับโปรไฟล์งาน โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรตั้งค่าข้อจำกัดสำหรับโปรไฟล์งานเท่านั้น หากไม่ได้ระบุขอบเขต ผู้ดูแลระบบไอทีสามารถตั้งค่านี้สำหรับทั้งอุปกรณ์ได้โดยระบุขอบเขต (ดูข้อกำหนด 2.1)
2.1.2. ความซับซ้อนของรหัสผ่านควรจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีลำดับซ้ำกัน (4444) หรือลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีลำดับซ้ำ (4444) หรือลำดับ (1234, 4321, 2468) รหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และความยาวของรหัสผ่านอย่างน้อย 8 ชุดหรือตัวอักษรหรือตัวอักษรและตัวเลขคละกันอย่างน้อย 6 ชุด
2.3 การจัดการรหัสผ่านขั้นสูง
2.3.1. จงใจเว้นว่าง
2.3.2. เว้นว่างไว้
2.3.3. คุณสามารถตั้งค่าอายุการใช้งานของรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอที่มีอยู่ในอุปกรณ์
- จงใจเว้นว่าง
- เว้นว่างไว้
- จำนวนรหัสผ่านที่ล้มเหลวสูงสุดที่จะล้างข้อมูลได้ : ระบุจำนวนครั้งที่ผู้ใช้ป้อนรหัสผ่านไม่ถูกต้องก่อน ล้างข้อมูลบริษัทออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.4 การจัดการ Smart Lock
ผู้ดูแลระบบไอทีสามารถจัดการว่าเอเจนต์ความน่าเชื่อถือใดในฟีเจอร์ Smart Lock ของ Android ที่ได้รับอนุญาตให้ปลดล็อกอุปกรณ์ ผู้ดูแลระบบไอทีสามารถปิดวิธีการปลดล็อกบางวิธี เช่น อุปกรณ์บลูทูธที่เชื่อถือได้ การจดจำใบหน้า และการจดจำเสียง หรือจะปิดฟีเจอร์นี้ไปเลยก็ได้
2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ เอเจนต์ความน่าเชื่อถือของ Smart Lock แยกต่างหากสำหรับหน้าจอล็อกแต่ละรูปแบบที่มีในอุปกรณ์
2.4.2. ผู้ดูแลระบบไอทีสามารถเลือกอนุญาตและตั้งค่าเอเจนต์ความน่าเชื่อถือของ Smart Lock แยกกันสำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์สำหรับเอเจนต์ความน่าเชื่อถือต่อไปนี้ ได้แก่ บลูทูธ, NFC, สถานที่, ใบหน้า, อุปกรณ์ที่อยู่กับตัว และเสียง
- ผู้ดูแลระบบไอทีสามารถแก้ไขพารามิเตอร์การกําหนดค่าตัวแทนความน่าเชื่อถือที่ใช้ได้
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานออกจากอุปกรณ์ที่มีการจัดการจากระยะไกล
2.5.1. DPC ของ EMM ต้องล็อกอุปกรณ์
2.5.2. DPC ของ EMM ต้องล้างข้อมูลอุปกรณ์
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายความปลอดภัย ข้อมูลงานจะถูกจำกัดโดยอัตโนมัติ
2.6.1. นโยบายความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีนโยบายรหัสผ่านเป็นอย่างน้อย
2.7. นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยไม่ต้องให้ผู้ดูแลระบบไอทีตั้งค่าหรือปรับแต่งการตั้งค่าในคอนโซลของ EMM เราขอสนับสนุนให้ EMM (แต่ไม่บังคับ) ไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยนสถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. DPC ของ EMM ต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก ซึ่งรวมถึงแอปที่ติดตั้งในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน
2.7.2. DPC ของ EMM ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง
2.8. นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
อุปกรณ์เฉพาะจะล็อกไว้โดยไม่มีการหลบหนีเพื่ออนุญาตให้ดำเนินการอื่นๆ
2.8.1. DPC ของ EMM ต้องปิดการบูตเข้าสู่โหมดปลอดภัยโดยค่าเริ่มต้น
2.8.2. คุณต้องเปิด DPC ของ EMM และล็อกไว้ที่หน้าจอทันทีที่เปิดเครื่องครั้งแรกในระหว่างการจัดสรร เพื่อให้แน่ใจว่าไม่มีการโต้ตอบกับอุปกรณ์ไม่ว่าในกรณีอื่นใด
2.8.3. คุณต้องตั้งค่า DPC ของ EMM เป็นแอปเปิดเริ่มต้นเพื่อให้มั่นใจว่าแอปที่ได้รับอนุญาตจะล็อกอยู่กับหน้าจอเมื่อเปิดเครื่องตามหลักเกณฑ์การใช้งานที่ระบุ
2.9 การสนับสนุน Play Integrity
EMM ใช้ Play Integrity API เพื่อตรวจสอบว่าอุปกรณ์เป็นอุปกรณ์ Android ที่ถูกต้อง
2.9.1. DPC ของ EMM จะใช้ Play Integrity API ในระหว่างการจัดเตรียมอุปกรณ์ และโดยค่าเริ่มต้นจะจัดเตรียมอุปกรณ์ด้วยข้อมูลของบริษัทให้เสร็จสมบูรณ์ก็ต่อเมื่อความสมบูรณ์ของอุปกรณ์ที่แสดงผลเป็น MEETS_STRONG_INTEGRITY เท่านั้น
2.9.2. DPC ของ EMM จะดำเนินการตรวจสอบความสมบูรณ์ของ Play อีกครั้งทุกครั้งที่อุปกรณ์ตรวจสอบกับเซิร์ฟเวอร์ของ EMM ซึ่งผู้ดูแลระบบไอทีสามารถกำหนดค่าได้ เซิร์ฟเวอร์ EMM จะยืนยันข้อมูล APK ในการตอบกลับการตรวจสอบความสมบูรณ์และการตอบกลับก่อนอัปเดตนโยบายขององค์กรในอุปกรณ์
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับนโยบายต่างๆ โดยอิงตามผลลัพธ์ของการตรวจสอบ Play Integrity รวมถึงการบล็อกการจัดสรร การล้างข้อมูลบริษัท และอนุญาตให้ลงทะเบียนดำเนินการต่อ
- บริการ EMM จะบังคับใช้การตอบสนองของนโยบายนี้เพื่อผลของการตรวจสอบความสมบูรณ์แต่ละรายการ
2.9.4. หากการตรวจสอบ Play Integrity ขั้นต้นล้มเหลวหรือแสดงผลลัพธ์ที่ไม่เป็นไปตามความสมบูรณ์ขั้นสูง หาก DPC ของ EMM ยังไม่ได้เรียกใช้ ensureWorkingEnvironment ก็จะต้องทำเช่นนี้และตรวจสอบอีกครั้งก่อนที่การจัดสรรจะเสร็จสมบูรณ์
2.10. การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดยืนยันแอป ในอุปกรณ์ได้ "ยืนยันแอป" จะสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาซอฟต์แวร์ที่เป็นอันตรายทั้งก่อนและหลังการติดตั้ง เพื่อให้มั่นใจว่าแอปที่เป็นอันตรายจะไม่สามารถบุกรุกข้อมูลของบริษัทได้
2.10.1. DPC ของ EMM ต้องเปิด "ยืนยันแอป" โดยค่าเริ่มต้น
2.11. การสนับสนุนการเปิดเครื่องโดยตรง
แอปจะไม่สามารถทำงานในอุปกรณ์ Android 7.0 ขึ้นไปที่เพิ่งเปิดเครื่องจนกว่าจะปลดล็อกอุปกรณ์เป็นครั้งแรก การรองรับการบูตโดยตรงช่วยให้มั่นใจได้ว่า DPC ของ EMM จะทำงานอยู่เสมอและสามารถบังคับใช้นโยบายได้ แม้ว่าอุปกรณ์จะยังไม่ได้ปลดล็อกก็ตาม
2.11.1. DPC ของ EMM ใช้ประโยชน์จากพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์เพื่อดำเนินการตามฟังก์ชันการจัดการที่สำคัญก่อนที่จะมีการถอดรหัสพื้นที่เก็บข้อมูลที่เข้ารหัสข้อมูลเข้าสู่ระบบของ DPC ฟังก์ชันการจัดการที่ใช้ได้ในระหว่างการบูตโดยตรงต้องมี (แต่ไม่จำกัดเพียง) รายการต่อไปนี้
- การล้างข้อมูลระดับองค์กร รวมถึงความสามารถในการล้างข้อมูลการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นตามความเหมาะสม
2.11.2. DPC ของ EMM ต้องไม่เปิดเผยข้อมูลบริษัทภายในพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์
2.11.3. EMM สามารถตั้งค่าและเปิดใช้งานโทเค็นเพื่อเปิดปุ่มลืมรหัสผ่านบนหน้าจอล็อกของโปรไฟล์งาน ปุ่มนี้ใช้เพื่อขอให้ผู้ดูแลระบบไอทีรีเซ็ตรหัสผ่านโปรไฟล์งานอย่างปลอดภัย
2.12 การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อป้องกันข้อมูลสูญหาย
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมสื่อภายนอกที่จับต้องได้ในอุปกรณ์ของตน
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์โดยใช้ NFC beaming ได้ ฟีเจอร์ย่อยนี้ไม่บังคับเนื่องจาก Android 10 ขึ้นไปไม่รองรับฟังก์ชัน NFC Beam อีกต่อไป
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB จากอุปกรณ์ได้
2.13. การบันทึกการรักษาความปลอดภัยระดับองค์กร
ผู้ดูแลระบบไอทีสามารถรวบรวมข้อมูลการใช้งานจากอุปกรณ์ที่แยกวิเคราะห์ได้ และประเมินพฤติกรรมที่เป็นอันตรายหรือมีความเสี่ยงแบบเป็นโปรแกรม กิจกรรมที่บันทึก รวมถึงกิจกรรม Android Debug Bridge (adb) การเปิดแอป และการปลดล็อกหน้าจอ
2.13.1. ผู้ดูแลระบบไอทีสามารถเปิดใช้การบันทึกความปลอดภัยสำหรับอุปกรณ์บางเครื่องได้ และ DPC ของ EMM จะต้องเรียกทั้งบันทึกความปลอดภัยและบันทึกความปลอดภัยก่อนรีบูตได้โดยอัตโนมัติ
2.13.2. ผู้ดูแลระบบไอทีสามารถตรวจสอบบันทึกความปลอดภัยขององค์กรสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ในคอนโซลของ EMM
2.13.3. ผู้ดูแลระบบไอทีส่งออกบันทึกความปลอดภัยขององค์กรจากคอนโซลของ EMM ได้
3. การจัดการบัญชีและแอป
3.1 การผูก Enterprise
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรได้ ซึ่งจะช่วยให้ EMM ใช้ Managed Google Play เพื่อเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วสามารถเชื่อมโยงโดเมนกับ EMM ได้
3.1.2. คอนโซลของ EMM ต้องจัดสรรและตั้งค่า ESA ที่ไม่ซ้ำกันให้กับแต่ละองค์กรโดยอัตโนมัติ
3.1.3. ยกเลิกการลงทะเบียนองค์กรโดยใช้ Play EMM API
3.1.4. คอนโซล EMM จะแนะนำผู้ดูแลระบบให้ป้อนอีเมลงานในขั้นตอนการลงชื่อสมัครใช้ Android และแนะนำให้หลีกเลี่ยงการใช้บัญชี Gmail
3.1.5. EMM จะกรอกอีเมลของผู้ดูแลระบบในขั้นตอนการลงชื่อสมัครใช้ Android ไว้ล่วงหน้า
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรโดยอัตโนมัติได้ ซึ่งเรียกว่าบัญชี Managed Google Play บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการจัดจำหน่ายแอปที่ไม่ซ้ำกันต่อผู้ใช้
3.2.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการโดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่ระบุ โดยดำเนินการดังนี้
- เพิ่มบัญชี Managed Google Play ประเภท
userAccountลงในอุปกรณ์แล้ว - บัญชี Managed Google Play ประเภท
userAccountต้องมีการแมปแบบ 1:1 กับผู้ใช้จริงในคอนโซลของ EMM
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สามารถสร้างและจัดสรรบัญชีอุปกรณ์ของ Managed Google Play ได้ บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Managed Google Play Store แบบเงียบและไม่เชื่อมโยงกับผู้ใช้รายเดียว แต่จะใช้บัญชีอุปกรณ์เพื่อระบุอุปกรณ์เครื่องเดียวเพื่อรองรับกฎการจัดจำหน่ายแอปต่ออุปกรณ์ในสถานการณ์อุปกรณ์เฉพาะ
3.3.1. DPC ของ EMM จะจัดสรรและเปิดใช้งานบัญชี Managed Google Play อย่างเงียบๆ ตามหลักเกณฑ์การใช้งานที่กำหนดได้
ในการดําเนินการดังกล่าว คุณต้องเพิ่มบัญชี Google Play ที่มีการจัดการประเภท deviceAccount ลงในอุปกรณ์
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์รุ่นเดิม
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรที่เรียกว่าบัญชี Managed Google Play ได้แบบเงียบๆ บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอปที่ไม่ซ้ำกันต่อผู้ใช้แต่ละราย
3.4.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการโดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่ระบุ โดยการดำเนินการนี้
- เพิ่มบัญชี Managed Google Play ประเภท
userAccountลงในอุปกรณ์แล้ว - บัญชี Managed Google Play ประเภท
userAccountต้องมีการแมปแบบ 1:1 กับผู้ใช้จริงในคอนโซลของ EMM
3.5. การเผยแพร่แอปแบบไม่ส่งเสียง
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปงานไปยังอุปกรณ์ของผู้ใช้อย่างเงียบๆ ได้โดยไม่ต้องโต้ตอบกับผู้ใช้
3.5.1. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.3. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่มีการจัดการ
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการหรือแอปที่รองรับการกำหนดค่าที่มีการจัดการโดยอัตโนมัติ
3.6.1. คอนโซลของ EMM ต้องดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการของแอป Play ได้
- EMM สามารถเรียกใช้
Products.getAppRestrictionsSchemaเพื่อเรียกข้อมูลสคีมาการกำหนดค่าที่มีการจัดการของแอป หรือฝังเฟรมการกำหนดค่าที่มีการจัดการในคอนโซล EMM
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าประเภทการกำหนดค่าสำหรับแอป Play ใดก็ได้โดยใช้ Play EMM API (ตามที่กำหนดโดยเฟรมเวิร์ก Android)
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้ใช้การกำหนดค่าเดียวสำหรับแอป เช่น Gmail กับผู้ใช้หลายคนได้ iframe การกำหนดค่าที่มีการจัดการจะรองรับข้อกำหนดนี้โดยอัตโนมัติ
3.7. การจัดการแคตตาล็อกแอป
ผู้ดูแลระบบไอทีสามารถนำเข้ารายการแอปที่ได้รับอนุมัติสำหรับองค์กรจาก Google Play ที่มีการจัดการ (play.google.com/work)
3.7.1. คอนโซลของ EMM จะแสดงรายการแอปที่อนุมัติให้เผยแพร่ได้ ซึ่งรวมถึง
- แอปที่ซื้อใน Managed Google Play
- แอปส่วนตัวที่ผู้ดูแลระบบไอทีมองเห็น
- แอปที่ได้รับอนุมัติแบบเป็นโปรแกรม
3.8. การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบแอปและอนุมัติของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ใหม่ของแอปได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปภายในคอนโซลของ EMM ได้โดยใช้ iframe ของ Managed Google Play
3.9. การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
แอป Managed Google Play Store สามารถใช้ในอุปกรณ์เพื่อติดตั้งและอัปเดตแอปงานได้ เลย์เอาต์ของ Store พื้นฐานจะแสดงโดยค่าเริ่มต้นและแสดงรายการแอปที่อนุมัติสำหรับองค์กร ซึ่ง EMM จะกรองผู้ใช้โดยอิงตามนโยบาย
3.9.1. ผู้ดูแลระบบไอทีสามารถ [จัดการชุดผลิตภัณฑ์ที่พร้อมใช้งานของผู้ใช้]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) เพื่ออนุญาตให้ดูและติดตั้งแอปพลิเคชันจาก Managed Google Play Store ในส่วน "หน้าแรกของ Store"
3.10. การกำหนดค่ารูปแบบร้านค้าขั้นสูง
ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของ Store ที่แสดงในแอป Google Play Store ที่มีการจัดการในอุปกรณ์
3.10.1. ผู้ดูแลระบบไอทีสามารถดำเนินการต่อไปนี้ในคอนโซลของ EMM เพื่อปรับแต่งเลย์เอาต์ของ Managed Google Play Store
- สร้างหน้าเลย์เอาต์ร้านค้าได้สูงสุด 100 หน้า หน้าเว็บอาจมีชื่อหน้าเว็บที่แปลแล้วได้ไม่จำกัดจำนวน
- สร้างคลัสเตอร์ได้สูงสุด 30 รายการสำหรับแต่ละหน้า คลัสเตอร์อาจมีชื่อคลัสเตอร์ที่แปลแล้วได้ไม่จำกัดจำนวน
- กำหนดแอปสูงสุด 100 แอปให้กับคลัสเตอร์แต่ละรายการ
- เพิ่มลิงก์ด่วนสูงสุด 10 รายการในแต่ละหน้า
- ระบุลำดับการจัดเรียงแอปภายในคลัสเตอร์และคลัสเตอร์ภายในหน้า
3.11. การจัดการใบอนุญาตแอป
ผู้ดูแลระบบไอทีสามารถดูและจัดการใบอนุญาตแอปที่ซื้อใน Managed Google Play ได้จากคอนโซลของ EMM
3.11.1. สำหรับแอปที่ต้องซื้อที่ได้รับอนุมัติสำหรับองค์กร คอนโซลของ EMM ต้องแสดงข้อมูลต่อไปนี้
- จำนวนใบอนุญาตที่ซื้อ
- จํานวนใบอนุญาตที่ใช้และผู้ใช้ที่ใช้ใบอนุญาต
- จำนวนใบอนุญาตที่พร้อมจำหน่าย
3.11.2. ผู้ดูแลระบบไอทีสามารถมอบหมายใบอนุญาตให้กับผู้ใช้แบบเงียบได้โดยไม่ต้องบังคับให้ติดตั้งแอปนั้นในอุปกรณ์ของผู้ใช้
3.11.3. ผู้ดูแลระบบไอทีสามารถยกเลิกการกำหนดใบอนุญาตแอปจากผู้ใช้ได้
3.12. การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่ Google โฮสต์ผ่านคอนโซล EMM แทนการอัปเดตผ่าน Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แล้วแบบส่วนตัวไปยังองค์กรได้โดยใช้สิ่งต่อไปนี้
3.13. การจัดการแอปส่วนตัวที่โฮสต์ด้วยตนเอง
ผู้ดูแลระบบไอทีสามารถตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์ด้วยตนเองได้ Google Play ไม่ได้โฮสต์ APK ต่างจากแอปส่วนตัวที่โฮสต์โดย Google แต่ EMM จะช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเอง และช่วยปกป้องแอปที่โฮสต์ด้วยตนเองได้ด้วยการตรวจสอบว่าจะติดตั้งได้เมื่อได้รับอนุญาตจาก Managed Google Play เท่านั้น
ผู้ดูแลระบบไอทีดูรายละเอียดได้ที่หัวข้อรองรับแอปส่วนตัว
3.13.1. คอนโซลของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ของแอปได้โดยเสนอตัวเลือกต่อไปนี้ทั้ง 2 รายการ
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นเซิร์ฟเวอร์ภายในองค์กรหรือเซิร์ฟเวอร์ระบบคลาวด์ก็ได้
- โฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM โดยขึ้นอยู่กับดุลยพินิจของผู้ดูแลระบบไอที ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่าโฮสต์ APK ไว้ที่ใด
3.13.2. คอนโซลของ EMM จะต้องสร้างไฟล์คําจํากัดความ APK ที่เหมาะสมโดยใช้ APK ที่ระบุ และจะต้องแนะนําผู้ดูแลระบบไอทีตลอดกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์เองได้ และคอนโซลของ EMM จะเผยแพร่ไฟล์คําจํากัดความ APK ที่อัปเดตแล้วโดยอัตโนมัติได้โดยใช้ Google Play Developer Publishing API
3.13.4. เซิร์ฟเวอร์ของ EMM จะแสดงคำขอดาวน์โหลดสำหรับ APK ที่โฮสต์ด้วยตนเองเท่านั้น ซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดยคีย์สาธารณะของแอปส่วนตัว
- เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ดาวน์โหลดคีย์สาธารณะของใบอนุญาตของแอปที่โฮสต์เองจาก Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM เพื่อให้กระบวนการนี้สะดวกขึ้น
3.14. การแจ้งเตือนแบบดึงของ EMM
แทนที่จะต้องค้นหา Play เพื่อระบุเหตุการณ์ในอดีตเป็นระยะๆ เช่น การอัปเดตแอปที่มีสิทธิ์ใหม่ๆ หรือการกำหนดค่าที่มีการจัดการ การดึงการแจ้งเตือน EMM จะแจ้งให้ EMM ทราบเหตุการณ์ดังกล่าวแบบเรียลไทม์ ซึ่งช่วยให้ EMM ดำเนินการอัตโนมัติได้และแสดงการแจ้งเตือนการดูแลระบบที่กำหนดเองตามเหตุการณ์เหล่านี้
3.14.1. EMM ต้องใช้การแจ้งเตือน EMM ของ Play เพื่อดึงชุดการแจ้งเตือน
3.14.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบเหตุการณ์การแจ้งเตือนต่อไปนี้โดยอัตโนมัติ (เช่น ทางอีเมลอัตโนมัติ)
newPermissionEvent: ผู้ดูแลระบบไอทีต้องอนุมัติสิทธิ์ใหม่ของแอปก่อนจึงจะติดตั้งหรืออัปเดตแอปในอุปกรณ์ของผู้ใช้ได้โดยอัตโนมัติappRestrictionsSchemaChangeEvent: อาจกำหนดให้ผู้ดูแลระบบไอทีอัปเดตการกำหนดค่าที่มีการจัดการของแอปเพื่อรักษาประสิทธิภาพที่ต้องการappUpdateEvent: ผู้ดูแลระบบไอทีอาจสนใจตรวจสอบประสิทธิภาพเวิร์กโฟลว์หลักที่ไม่ได้รับผลกระทบจากการอัปเดตแอปproductAvailabilityChangeEvent: อาจส่งผลต่อความสามารถในการติดตั้งแอปหรืออัปเดตแอปinstallFailureEvent: Play ติดตั้งแอปในอุปกรณ์แบบเงียบไม่ได้ ซึ่งอาจหมายความว่ามีบางอย่างเกี่ยวกับการกำหนดค่าอุปกรณ์ที่ป้องกันการติดตั้ง EMM ไม่ควรลองติดตั้งแบบเงียบอีกครั้งทันทีที่ได้รับการแจ้งเตือนนี้ เนื่องจากตรรกะการลองอีกครั้งของ Play อาจล้มเหลวอยู่แล้ว
3.14.3. EMM จะดำเนินการที่เหมาะสมโดยอัตโนมัติตามเหตุการณ์การแจ้งเตือนต่อไปนี้
newDeviceEvent: ในระหว่างการจัดสรรอุปกรณ์ EMM ต้องรอnewDeviceEventก่อนที่จะเรียก Play EMM API ครั้งต่อๆ ไปสำหรับอุปกรณ์ใหม่ ซึ่งรวมถึงการติดตั้งแอปที่ปิดเสียงและการกำหนดค่าที่มีการจัดการproductApprovalEvent: เมื่อได้รับการแจ้งเตือนproductApprovalEventEMM ต้องอัปเดตรายการแอปที่ได้รับอนุมัติซึ่งนำเข้าไปยังคอนโซล EMM โดยอัตโนมัติเพื่อเผยแพร่ไปยังอุปกรณ์ หากมีเซสชันผู้ดูแลระบบไอทีที่ใช้งานอยู่ หรือหากระบบไม่โหลดรายการแอปที่ได้รับอนุมัติซ้ำโดยอัตโนมัติเมื่อเริ่มต้นเซสชันผู้ดูแลระบบไอทีแต่ละเซสชัน
3.15 ข้อกำหนดในการใช้งาน API
EMM ใช้ API ของ Google ในระดับที่ใหญ่ขึ้น เพื่อหลีกเลี่ยงรูปแบบการเข้าชมที่อาจส่งผลเสียต่อความสามารถของผู้ดูแลระบบไอทีในการจัดการแอปในสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง
3.15.1. EMM ต้องปฏิบัติตามขีดจํากัดการใช้งาน Play EMM API การไม่แก้ไขลักษณะการทำงานที่ยาวเกินหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API โดยพิจารณาตามที่เห็นสมควรของ Google
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในเวลาที่เจาะจงหรือคล้ายกัน ลักษณะการทำงานที่ตรงกับรูปแบบการรับส่งข้อมูลนี้ เช่น การดำเนินการแบบกลุ่มที่กำหนดเวลาไว้สำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียน อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google เห็นสมควร
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่สอดคล้องกัน ไม่สมบูรณ์ หรือจงใจไม่ถูกต้อง ซึ่งไม่ได้พยายามดึงข้อมูลหรือจัดการข้อมูลจริงขององค์กร ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้อาจส่งผลให้การใช้งาน API ถูกระงับ โดย Google จะเป็นผู้พิจารณา
3.16 การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
3.16.1. คอนโซลของ EMM ต้องสามารถดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการ (ซ้อนกันสูงสุด 4 ระดับ) ของแอป Play โดยใช้สิ่งต่อไปนี้
- iframe ของ Managed Google Play หรือ
- UI ที่กําหนดเอง
3.16.2. คอนโซลของ EMM ต้องสามารถเรียกดูและแสดงความคิดเห็นที่ช่องทางแสดงความคิดเห็นของแอปส่งคืนได้ เมื่อผู้ดูแลระบบไอทีเป็นผู้ตั้งค่า
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เจาะจงกับอุปกรณ์และแอปที่มาจากอุปกรณ์
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานของข้อความประเภทที่เฉพาะเจาะจง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือผู้ดูแลระบบเป็นผู้ตั้งค่าด้วยตนเองโดยใช้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กําหนดเอง
3.17. การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสามารถสร้างและเผยแพร่เว็บแอปในคอนโซล EMM ได้
3.17.1. ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อกระจายทางลัดไปยังเว็บแอปได้โดยใช้สิ่งต่อไปนี้
3.18. การจัดการวงจรบัญชี Managed Google Play
EMM จะสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของผู้ดูแลระบบไอทีได้
3.18.1. EMM สามารถจัดการวงจรของบัญชี Managed Google Play ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
3.18.2. EMM สามารถตรวจสอบสิทธิ์บัญชี Managed Google Play อีกครั้งได้โดยไม่ต้องโต้ตอบกับผู้ใช้
3.19. การจัดการแทร็กแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่นักพัฒนาแอปกำหนดไว้สําหรับแอปหนึ่งๆ
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20. การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปที่ใช้การอัปเดตแอปที่มีลำดับความสำคัญสูงเพื่ออัปเดตเมื่อการอัปเดตพร้อมใช้งานได้
3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปได้เป็นเวลา 90 วัน
3.21 การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอต่อผู้ดูแลระบบไอทีในรูปแบบที่พร้อมเผยแพร่ต่อผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม URL ของ Play Store)
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์จากแอปงาน
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสําหรับองค์กร
- ข้อความแจ้ง (อนุญาตให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้ DPC ของ EMM
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1.) ผู้ดูแลระบบไอทีสามารถตั้งค่าคำตอบสำหรับสิทธิ์ที่ต้องการโดยไม่มีเสียงจากแอปงานซึ่งสร้างโดยใช้ API 23 ขึ้นไป
4.2.1. ผู้ดูแลระบบไอทีต้องสามารถตั้งค่าสถานะการให้สิทธิ์ (เริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ที่แอปงานซึ่งสร้างขึ้นจาก API เวอร์ชัน 23 ขึ้นไปขอ EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้ DPC ของ EMM
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้โดยอัตโนมัติ ซึ่งรวมถึง
4.3.1. SSID โดยใช้ DPC ของ EMM
4.3.2. รหัสผ่านโดยใช้ DPC ของ EMM
4.4 การจัดการความปลอดภัยของ Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการซึ่งมีฟีเจอร์การรักษาความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. ข้อมูลประจำตัวโดยใช้ DPC ของ EMM
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์โดยใช้ DPC ของ EMM
4.4.3. ใบรับรอง CA โดยใช้ DPC ของ EMM
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกันไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าขององค์กร
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรในการกําหนดค่าต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ใดๆ ที่ EMM จัดสรรไว้ไม่ได้ แต่สามารถเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าได้เอง (เช่น เครือข่ายส่วนตัว)
- ผู้ใช้ไม่สามารถเพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ไว้เฉพาะเครือข่ายที่ EMM จัดสรรไว้เท่านั้น
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถตรวจสอบว่าบัญชีบริษัทที่ไม่ได้รับอนุญาตไม่สามารถโต้ตอบกับข้อมูลของบริษัทได้ สำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปเพื่อการทำงาน หรืออีเมล หากไม่มีฟีเจอร์นี้ คุณจะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้บริโภคได้ด้วย ซึ่งจะช่วยให้แชร์ข้อมูลขององค์กรกับบัญชีส่วนตัวเหล่านั้นได้
4.6.1. ผู้ดูแลระบบไอทีจะป้องกันไม่ให้มีการเพิ่มหรือแก้ไขบัญชีได้
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ก่อนที่จะจัดสรรให้เสร็จสมบูรณ์ เพื่อให้คุณไม่สามารถหลบเลี่ยงนโยบายนี้ด้วยการเพิ่มบัญชีก่อนที่นโยบายจะมีผล
4.7 การจัดการบัญชี Workspace
ผู้ดูแลระบบไอทีสามารถดูแลให้บัญชี Google ที่ไม่ได้รับอนุญาตโต้ตอบกับข้อมูลบริษัทไม่ได้ หากไม่มีฟีเจอร์นี้ ผู้ใช้จะเพิ่มบัญชี Google ส่วนบุคคลลงในแอป Google ขององค์กร (เช่น Google เอกสารหรือ Google ไดรฟ์) ได้ ซึ่งจะทำให้ผู้ใช้แชร์ข้อมูลขององค์กรกับบัญชีส่วนบุคคลเหล่านั้นได้
4.7.1. ผู้ดูแลระบบไอทีสามารถระบุบัญชี Google เพื่อเปิดใช้งานขณะจัดสรรหลังจากที่การล็อกดาวน์การจัดการบัญชีมีผล
4.7.2. DPC ของ EMM ต้องแจ้งให้เปิดใช้งานบัญชี Google และตรวจสอบว่าระบบจะเปิดใช้งานได้เฉพาะบัญชีที่ระบุโดยระบุบัญชีที่จะเพิ่ม
- ในอุปกรณ์ที่ต่ำกว่า Android 7.0 DPC ต้อง ปิดการจำกัดการจัดการบัญชีชั่วคราวก่อนแจ้งให้ผู้ใช้ทราบ
4.8 การจัดการใบรับรอง
ช่วยให้ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองในอุปกรณ์เพื่ออนุญาตให้เข้าถึงทรัพยากรของบริษัท
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวผู้ใช้ที่ PKI สร้างขึ้นแบบต่อผู้ใช้ได้ คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการและแจกจ่ายใบรับรองที่สร้างจากโครงสร้างพื้นฐานดังกล่าว
4.8.2. ผู้ดูแลระบบไอทีจะติดตั้งผู้ออกใบรับรองในคีย์สโตร์ที่มีการจัดการได้
4.9 การจัดการใบรับรองขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอปควรใช้ได้โดยอัตโนมัติ นอกจากนี้ ฟีเจอร์นี้ยังช่วยให้ผู้ดูแลระบบไอทีนำ CA และใบรับรองข้อมูลประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ได้ ฟีเจอร์นี้ป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สําหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองที่ให้สิทธิ์เข้าถึงแอปโดยอัตโนมัติในระหว่างรันไทม์
- การเลือกใบรับรองต้องเป็นแบบทั่วไปพอที่จะใช้การกําหนดค่าเดียวกับผู้ใช้ทุกคน ซึ่งผู้ใช้แต่ละรายอาจมีใบรับรองระบุตัวตนเฉพาะผู้ใช้
4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออกจากที่เก็บคีย์ที่มีการจัดการได้โดยที่ผู้ใช้ไม่รู้
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA หรือใบรับรอง CA ทั้งหมดที่ไม่ใช่ระบบได้แบบเงียบๆ
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบในคีย์สโตร์ที่จัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถให้สิทธิ์ใบรับรองล่วงหน้าสำหรับแอปงานได้
4.10 การจัดการใบรับรองที่มอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์ และมอบสิทธิ์พิเศษแก่แอปดังกล่าวในการติดตั้งใบรับรองลงในคีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีจะระบุแพ็กเกจการจัดการใบรับรองเพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่มอบสิทธิ์โดย DPC
- Console อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก (ไม่บังคับ) แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11. การจัดการ VPN ขั้นสูง
อนุญาตให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาได้เพื่อให้แน่ใจว่าข้อมูลจากแอปที่มีการจัดการที่ระบุจะผ่านการตั้งค่า VPN เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่ต้องการเพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลา
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่า "เปิดใช้งาน VPN เสมอ" ไว้เป็นรายการที่กำหนดเอง
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สําหรับแอปได้
4.12. การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าให้กับอุปกรณ์ได้ เนื่องจาก IME นั้นแชร์ทั้งกับโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จึงป้องกันไม่ให้ IME เหล่านั้นใช้งานได้ส่วนบุคคลเช่นกัน อย่างไรก็ตาม ผู้ดูแลระบบไอทีไม่สามารถบล็อก IME ของระบบในโปรไฟล์งานได้ (ดูรายละเอียดเพิ่มเติมที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตของ IME ที่มีความยาวที่กำหนดเอง (รวมถึงรายการที่ว่างเปล่า ซึ่งจะบล็อก IME ที่ไม่ใช่ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่า IME ของระบบจะได้รับการยกเว้นการจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13 การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าสำหรับอุปกรณ์ได้ การจัดการ IME ขั้นสูงจะขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอทีจัดการการใช้ IME ของระบบด้วย ซึ่งโดยทั่วไปจะจัดหาโดยผู้ผลิตหรือผู้ให้บริการอุปกรณ์
4.13.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME ที่มีความยาวที่กำหนดเอง (ไม่รวมรายการที่ว่างเปล่า ซึ่งจะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตว่างเปล่า เนื่องจากการตั้งค่านี้จะบล็อกไม่ให้ตั้งค่า IME ทั้งหมด รวมถึง IME ของระบบในอุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาต IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามโดยอัตโนมัติก่อนที่จะใช้รายการที่อนุญาตในอุปกรณ์
4.14 การจัดการบริการการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษที่อนุญาตให้ใช้ในอุปกรณ์ของผู้ใช้ แม้ว่าบริการการช่วยเหลือพิเศษจะเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ที่มีความบกพร่องหรือผู้ใช้ที่ไม่สามารถโต้ตอบกับอุปกรณ์ได้อย่างเต็มที่ชั่วคราว แต่บริการเหล่านี้อาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่เป็นไปตามนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบได้
4.14.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตบริการการช่วยเหลือพิเศษที่มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษใดก็ได้ เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้จะส่งผลต่อทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- คอนโซลอาจแนะนำบริการการช่วยเหลือพิเศษที่รู้จักหรือแนะนำเพื่อรวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ หรือจะกำหนดการตั้งค่าตำแหน่งสำหรับโปรไฟล์งานใน "การตั้งค่า" ก็ได้
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการตำแหน่งภายในโปรไฟล์งานได้
4.16. การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการได้ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปขององค์กรจะมีสิทธิ์เข้าถึงข้อมูลตำแหน่งที่มีความแม่นยำสูงได้เสมอ นอกจากนี้ ฟีเจอร์นี้ยังช่วยประหยัดแบตเตอรี่ด้วยการจำกัดการตั้งค่าตำแหน่งเป็นโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์เป็นแต่ละโหมดต่อไปนี้ได้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่ระบุโดยเครือข่าย
- โหมดประหยัดแบตเตอรี่ ซึ่งจำกัดความถี่ในการอัปเดต
- ปิด
4.17. การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการโจรกรรมได้ โดยผู้ใช้ที่ไม่ได้รับอนุญาตจะรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นไม่ได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทําให้เกิดความซับซ้อนในการใช้งานเมื่อส่งคืนอุปกรณ์ไปยังฝ่ายไอที ผู้ดูแลระบบไอทีก็สามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทั้งหมดได้
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากการตั้งค่า
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีการปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
- บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดา หรือใช้โดยทั้งองค์กรเพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นสำหรับอุปกรณ์ที่ระบุได้
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มการล้างข้อมูลอุปกรณ์ระยะไกลซึ่งเลือกล้างข้อมูลการป้องกันการรีเซ็ตได้ ซึ่งจะเป็นการนำการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นในอุปกรณ์ที่รีเซ็ตออก
4.18. การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการผ่านการตั้งค่า เช่น การบังคับปิดแอปหรือล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่จัดการแบบกำหนดเองหรือแอปที่จัดการทั้งหมด
4.18.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชันได้จากการตั้งค่า
4.19 การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ถ่ายภาพหน้าจอเมื่อใช้แอปที่มีการจัดการ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอได้
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการ
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์ด้วยแอปที่มีการจัดการได้
4.21. การเก็บรวบรวมสถิติเครือข่าย
ผู้ดูแลระบบไอทีสามารถค้นหาสถิติการใช้งานเครือข่ายจากโปรไฟล์งานของอุปกรณ์ได้ สถิติที่รวบรวมจะแสดงข้อมูลการใช้งานที่แชร์กับผู้ใช้ในส่วนการใช้ข้อมูลของการตั้งค่า สถิติที่รวบรวมไว้จะมีผลกับการใช้งานแอปภายในโปรไฟล์งาน
4.21.1. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลสรุปสถิติเครือข่ายสำหรับโปรไฟล์งานสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ในคอนโซลของ EMM
4.21.2. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลสรุปของแอปในสถิติการใช้งานเครือข่ายของโปรไฟล์งานสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดได้ ตลอดจนดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.21.3. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลประวัติการใช้งานเครือข่ายของโปรไฟล์งานสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.22. การเก็บรวบรวมสถิติเครือข่ายขั้นสูง
ผู้ดูแลระบบไอทีสามารถค้นหาสถิติการใช้งานเครือข่ายของอุปกรณ์ที่มีการจัดการทั้งหมดได้ สถิติที่รวบรวมจะแสดงข้อมูลการใช้งานที่แชร์กับผู้ใช้ในส่วนการใช้ข้อมูลของการตั้งค่า สถิติที่รวบรวมจะมีผลกับการใช้แอปในอุปกรณ์
4.22.1. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลสรุปสถิติเครือข่ายของทั้งอุปกรณ์สำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ในคอนโซลของ EMM
4.22.2. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปสถิติการใช้เครือข่ายแอปสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.22.3. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลย้อนหลังเกี่ยวกับการใช้เครือข่ายสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดได้ รวมถึงดูรายละเอียดเหล่านี้ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.23. รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกลอุปกรณ์ที่มีการจัดการได้
4.24. การจัดการวิทยุของระบบ
ช่วยให้ผู้ดูแลระบบไอทีจัดการคลื่นวิทยุเครือข่ายของระบบและนโยบายการใช้งานที่เกี่ยวข้องได้อย่างละเอียด
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การออกอากาศทางเครือข่ายมือถือที่ส่งโดยผู้ให้บริการ (เช่น การแจ้งเตือน AMBER)
4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือในการตั้งค่าได้
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายในการตั้งค่าได้
4.24.4. ผู้ดูแลระบบไอทีสามารถอนุญาตหรือไม่อนุญาตอินเทอร์เน็ตมือถือขณะโรมมิ่งได้
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะโทรออกได้หรือไม่ โดยยกเว้นการโทรฉุกเฉิน
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะส่งและรับ SMS ได้หรือไม่
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาด้วยการเทอร์มินัลได้
4.24.8. ผู้ดูแลระบบไอทีสามารถตั้งค่าการหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้น ขณะเสียบปลั๊กเท่านั้น หรือไม่ตั้งค่าก็ได้
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่ได้
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์เสียงของอุปกรณ์ได้โดยที่ผู้ใช้ไม่รู้ตัว ซึ่งรวมถึงการปิดเสียงอุปกรณ์ การป้องกันไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าระดับเสียง และการป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการได้โดยที่ผู้ใช้ไม่รู้
4.25.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์ได้
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.26 การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบ ซึ่งจะป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่และเวลาของอุปกรณ์
4.26.2. ผู้ดูแลระบบไอทีสามารถปิดหรือเปิดทั้งเขตเวลาอัตโนมัติและเขตเวลาอัตโนมัติแบบไม่มีเสียง
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
ให้ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์สำหรับอุปกรณ์โดยเฉพาะแบบละเอียดยิ่งขึ้นเพื่อรองรับกรณีการใช้งานของคีออสก์ที่หลากหลาย
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันด้วยคีย์การ์ดของอุปกรณ์ได้
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ ซึ่งจะบล็อกการแจ้งเตือนและการตั้งค่าด่วน
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้เปิดหน้าจออุปกรณ์ไว้ในขณะที่เสียบปลั๊กอุปกรณ์ได้
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้UI ของระบบต่อไปนี้แสดง
- ข้อความโทสต์
- การซ้อนทับแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้ระบบแนะนำแอปข้ามบทแนะนำสำหรับผู้ใช้และคำแนะนำเบื้องต้นอื่นๆเมื่อเริ่มต้นใช้งานครั้งแรกได้
4.28 การจัดการขอบเขตที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้
4.28.1. ผู้ดูแลระบบไอทีสามารถจัดการขอบเขตต่อไปนี้
- การติดตั้งและการจัดการใบรับรอง
- จงใจเว้นว่าง
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกการรักษาความปลอดภัย (ไม่รองรับโปรไฟล์งานในอุปกรณ์ส่วนตัว)
4.29 การรองรับบัตรประจำตัวสำหรับการลงทะเบียนโดยเฉพาะ
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรชีวิตของอุปกรณ์ที่มีโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่แม้จะมีการรีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าและรับรหัสเฉพาะสำหรับการลงทะเบียน
4.29.2. รหัสเฉพาะสำหรับการลงทะเบียนนี้ต้องคงอยู่หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้รวมฟีเจอร์เฉพาะองค์กรได้ ผู้ดูแลระบบไอทีสามารถแสดงการสร้างแบรนด์ที่ EMM มีให้ในระหว่างการจัดสรรได้ (ไม่บังคับ)
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุรายละเอียดเฉพาะองค์กรต่อไปนี้ สีขององค์กร โลโก้ขององค์กร ข้อกำหนดในการให้บริการขององค์กรและการจำกัดความรับผิดอื่นๆ
5.1.2. ผู้ดูแลระบบไอทีสามารถทำให้การปรับแต่งเฉพาะ EMM ซึ่งไม่สามารถกำหนดค่าได้ใช้งานได้ ซึ่งรวมถึงรายละเอียดต่อไปนี้ สี EMM, โลโก้ EMM, ข้อกำหนดในการให้บริการของ EMM และการจำกัดความรับผิดอื่นๆ
เลิกใช้งาน 5.1.3 [primaryColor] สำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไปแล้ว
- EMM ต้องมีข้อกำหนดในการให้บริการสำหรับการเตรียมอุปกรณ์และข้อจำกัดความรับผิดอื่นๆ สำหรับขั้นตอนการเตรียมอุปกรณ์ในแพ็กเกจข้อจำกัดความรับผิดสำหรับการเตรียมอุปกรณ์ของระบบ แม้ว่าจะไม่ได้ใช้การปรับแต่งเฉพาะ EMM ก็ตาม
- EMM อาจตั้งค่าการปรับแต่งเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้ให้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งานทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเอง
5.2 การปรับแต่งสำหรับองค์กร
ผู้ดูแลระบบไอทีสามารถปรับแต่งแง่มุมต่างๆ ของโปรไฟล์งานด้วยการแสดงแบรนด์ของบริษัท เช่น ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ในโปรไฟล์งานเป็นโลโก้ขององค์กร อีกตัวอย่างหนึ่งคือการตั้งค่าสีพื้นหลังของหัวข้องาน
5.2.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าสีขององค์กรเพื่อใช้เป็นสีพื้นหลังของงานท้าทาย
5.2.2. ผู้ดูแลระบบไอทีสามารถตั้งชื่อที่แสดงของโปรไฟล์งานได้
5.2.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของโปรไฟล์งานได้
5.2.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้โปรไฟล์งานได้
5.3 การปรับแต่งองค์กรขั้นสูง
ผู้ดูแลระบบไอทีสามารถปรับแต่งอุปกรณ์ที่มีการจัดการด้วยการแสดงแบรนด์ขององค์กร เช่น ผู้ดูแลระบบไอทีตั้งค่าไอคอนผู้ใช้หลักเป็นโลโก้ของบริษัท หรือตั้งค่าวอลเปเปอร์ของอุปกรณ์ได้
5.3.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าชื่อที่แสดงสำหรับอุปกรณ์ที่มีการจัดการได้
5.3.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของอุปกรณ์ที่มีการจัดการได้
5.3.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้ของอุปกรณ์ได้
5.3.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าวอลเปเปอร์ของอุปกรณ์
5.3.5. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขวอลเปเปอร์ของอุปกรณ์ได้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความที่กำหนดเองที่จะแสดงบนหน้าจอล็อกของอุปกรณ์เสมอ และไม่จำเป็นต้องปลดล็อกอุปกรณ์เพื่อดูข้อความ
5.4.1. ผู้ดูแลระบบไอทีจะตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเองได้
5.5 การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อแก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือใช้ข้อความการสนับสนุนทั่วไปที่ EMM ให้มา ข้อความการสนับสนุนทั้งแบบสั้นและแบบยาวสามารถปรับแต่งได้ ข้อความเหล่านี้จะแสดงในบางกรณี เช่น พยายามถอนการติดตั้งแอปที่มีการจัดการซึ่งผู้ดูแลระบบไอทีได้บล็อกการถอนการติดตั้งไว้แล้ว
5.5.1. ผู้ดูแลระบบไอทีจะปรับแต่งข้อความสนับสนุนทั้งสั้นและยาว
5.5.2. ผู้ดูแลระบบไอทีสามารถทำให้ข้อความสนับสนุนสั้นและยาวสำหรับ EMM ที่เฉพาะเจาะจงใช้งานได้โดยไม่สามารถกำหนดค่าได้
- EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งานทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเองได้
5.6 การจัดการรายชื่อติดต่อข้ามโปรไฟล์
ผู้ดูแลระบบไอทีสามารถควบคุมข้อมูลติดต่อที่จะออกจากโปรไฟล์งานได้ ทั้งแอปโทรศัพท์และแอปการรับส่งข้อความ (SMS) ต้องทำงานในโปรไฟล์ส่วนตัว และจำเป็นต้องเข้าถึงข้อมูลรายชื่อติดต่อในโปรไฟล์งานเพื่อให้รายชื่อติดต่อสำหรับงานทำงานได้อย่างมีประสิทธิภาพ แต่ผู้ดูแลระบบอาจเลือกปิดใช้ฟีเจอร์เหล่านี้เพื่อปกป้องข้อมูลงาน
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหารายชื่อติดต่อข้ามโปรไฟล์สำหรับแอปส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหาหมายเลขผู้โทรข้ามโปรไฟล์สำหรับแอปโทรศัพท์ส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ
5.6.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อบลูทูธกับอุปกรณ์บลูทูธที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ เช่น การโทรแบบแฮนด์ฟรีในรถยนต์หรือชุดหูฟัง
5.7. การจัดการข้อมูลข้ามโปรไฟล์
ให้สิทธิ์ผู้ดูแลระบบไอทีจัดการข้อมูลที่จะออกจากโปรไฟล์งานได้นอกเหนือจากฟีเจอร์การรักษาความปลอดภัยเริ่มต้นของโปรไฟล์งาน ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีอนุญาตการแชร์ข้อมูลข้ามโปรไฟล์บางประเภทเพื่อปรับปรุงความสามารถในการใช้งานใน Use Case ที่สำคัญได้ ผู้ดูแลระบบไอทียังปกป้องข้อมูลบริษัทได้มากขึ้นไปอีกด้วยการปิดล็อกที่เพิ่มมากขึ้น
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่าตัวกรอง Intent แบบข้ามโปรไฟล์เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งานได้ เช่น การแชร์ Intent หรือลิงก์เว็บ
- Console อาจแนะนำตัวกรอง Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่าก็ได้ แต่จะจำกัดตัวกรอง Intent ไปยังรายการใดก็ได้ที่กำหนดเองไม่ได้
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตแอปที่มีการจัดการซึ่งแสดงวิดเจ็ตในหน้าจอหลักได้
- คอนโซลของ EMM จะต้องให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งแก่ผู้ใช้ที่เกี่ยวข้องได้
5.7.3. ผู้ดูแลระบบไอทีสามารถบล็อกการใช้การคัดลอก/วางระหว่างโปรไฟล์งานกับโปรไฟล์ส่วนตัวได้
5.7.4. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากโปรไฟล์งานโดยใช้การบีม NFC
5.7.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปส่วนตัวเปิดลิงก์เว็บจากโปรไฟล์งานได้
5.8 นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีสามารถตั้งค่าและใช้การอัปเดตระบบผ่านอากาศ (OTA) ให้กับอุปกรณ์
5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีตั้งการกำหนดค่า OTA ต่อไปนี้ได้
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมใช้งาน
- เลื่อน: ผู้ดูแลระบบไอทีต้องสามารถเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลกับการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- กำหนดเวลาได้: ผู้ดูแลระบบไอทีต้องกำหนดเวลาอัปเดต OTA ภายในช่วงเวลาบำรุงรักษาประจำวันได้
5.8.2. DPC ของ EMM ใช้การกำหนดค่า OTA กับอุปกรณ์
5.9. การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปให้อยู่ในหน้าจอตลอดและไม่ให้ผู้ใช้ออกจากแอป
5.9.1. คอนโซลของ EMM ทำให้ผู้ดูแลระบบไอทีสามารถอนุญาตให้ชุดแอปที่กำหนดเองติดตั้งและล็อกอุปกรณ์ได้โดยไม่มีการแจ้งเตือน DPC ของ EMM อนุญาตให้ใช้โหมดอุปกรณ์เฉพาะ
5.10 การจัดการกิจกรรมที่ต้องการแบบถาวร
อนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวแฮนเดิล Intent เริ่มต้นสำหรับ Intent ที่ตรงกับตัวกรอง Intent บางรายการ ตัวอย่างเช่น การอนุญาตให้ผู้ดูแลระบบไอทีเลือกแอปเบราว์เซอร์ที่จะเปิดเว็บลิงก์โดยอัตโนมัติ หรือแอป Launcher ที่จะใช้เมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นตัวจัดการ Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่า แต่ไม่สามารถจํากัด Intent ไว้ที่รายการใดก็ได้
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11. การจัดการฟีเจอร์การป้องกันหน้าจอ
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่มีการปกปิด
5.11.2. DPC ของ EMM สามารถปิดฟีเจอร์การล็อกต่อไปนี้ในโปรไฟล์งาน
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12. การจัดการฟีเจอร์การป้องกันหน้าจอสัมผัสขั้นสูง
- กล้องที่ปลอดภัย
- การแจ้งเตือนทั้งหมด
- การแจ้งเตือนที่ไม่มีการปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์ทั้งหมดของโปรแกรมรักษาความปลอดภัยของแป้นพิมพ์
5.13. การซ่อมแซมรีโมต
ผู้ดูแลระบบไอทีจะเรียกข้อมูลทรัพยากรการแก้ไขข้อบกพร่องจากอุปกรณ์ได้โดยไม่ต้องทำตามขั้นตอนเพิ่มเติม
5.13.1. ผู้ดูแลระบบไอทีสามารถขอรายงานข้อบกพร่องจากระยะไกล ดูรายงานข้อบกพร่องจากคอนโซลของ EMM และดาวน์โหลดรายงานข้อบกพร่องจากคอนโซลของ EMM ได้
5.14 การเรียกข้อมูลที่อยู่ MAC
EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยที่ผู้ใช้ไม่รู้ตัว ที่อยู่ MAC สามารถใช้เพื่อระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กร (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยอัตโนมัติและเชื่อมโยงกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15. การจัดการโหมดงานการล็อกขั้นสูง
เมื่อตั้งค่าอุปกรณ์เป็นอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะใช้คอนโซลของ EMM เพื่อทำงานต่อไปนี้ได้
5.15.1. อนุญาตให้แอปเดียวล็อกกับอุปกรณ์โดยอัตโนมัติโดยใช้ DPC ของ EMM
5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้โดยใช้ DPC ของ EMM
- ปุ่มหน้าหลัก
- ภาพรวม
- การดำเนินการส่วนกลาง
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การล็อกปุ่มกด (หน้าจอล็อก)
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบโดยใช้ DPC ของ EMM
5.16 นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถบล็อกการอัปเดตระบบในอุปกรณ์เป็นระยะเวลาหยุดทำงานที่ระบุ
5.16.1. DPC ของ EMM สามารถใช้การอัปเดตระบบผ่านอากาศ (OTA) กับอุปกรณ์ตามระยะเวลาที่กำหนดได้
5.17. การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองที่จะแสดงเมื่อล้างข้อมูลโปรไฟล์งาน
5.18 การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการแพ็กเกจที่สื่อสารข้ามขอบเขตโปรไฟล์งานได้
5.19. การอัปเดตระบบด้วยตนเอง
ผู้ดูแลระบบไอทีสามารถติดตั้งการอัปเดตระบบด้วยตนเองได้โดยระบุเส้นทาง
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM จะต้องโพสต์แผนภายในสิ้นปี 2022 เพื่อสิ้นสุดการสนับสนุนลูกค้าผู้ดูแลระบบอุปกรณ์ในอุปกรณ์ GMS ภายในสิ้นไตรมาสที่ 1 ปี 2023
7. การใช้ API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สําหรับการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน ลูกค้าใหม่ต้องไม่พบตัวเลือกสแต็กเทคโนโลยีที่เลือกเองในระหว่างเวิร์กโฟลว์การเริ่มต้นใช้งานหรือการตั้งค่าใดๆ
7.2. เครื่องมือควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการลงทะเบียนอุปกรณ์ใหม่ทั้งหมด ทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน