Esta página lista o conjunto completo de recursos do Android Enterprise.
Se você pretende gerenciar mais de 500 dispositivos, sua solução de EMM precisa oferecer suporte todos os recursos padrão () de pelo menos um antes de disponibilizá-la comercialmente. As soluções de EMM que passam na verificação de recursos padrão são listadas no Diretório de soluções empresariais do Android como oferecendo um conjunto de gerenciamento padrão.
Um conjunto extra de recursos avançados está disponível para cada conjunto de soluções. Esses são indicados em cada página do conjunto de soluções: perfil de trabalho; , dispositivo totalmente gerenciado e dispositivo dedicado. As soluções de EMM aprovadas na verificação de recursos avançados estão listadas na Diretório de soluções corporativas oferecer um conjunto de gerenciamento avançado.
Chave
| padrão recurso | avançado recurso | recurso opcional | não aplicável |
1. Provisionamento de dispositivos
1.1. Provisionamento do perfil de trabalho com foco no DPC
É possível provisionar um perfil de trabalho após fazer o download do DPC do EMM no Google Play.
1.1.1. O DPC do EMM precisa estar disponível publicamente no Google Play para que os usuários possam instalar o DPC no lado pessoal do dispositivo.
1.1.2. Depois de instalado, o DPC deve guiar o usuário pelo processo de o provisionamento de um perfil de trabalho.
1.1.3. Após a conclusão do provisionamento, nenhuma presença de gerenciamento pode permanecer no o lado pessoal do dispositivo.
- Todas as políticas implementadas durante o provisionamento precisam ser removidas.
- Os privilégios do app precisam ser revogados.
- O DPC do EMM precisa estar, no mínimo, desativado no lado pessoal do dispositivo.
1.2. Provisionamento de dispositivo identificador de DPC
Os administradores de TI podem provisionar um dispositivo totalmente gerenciado ou dedicado usando um DPC identificador ("afw#"), de acordo com as diretrizes de implementação definidas em a documentação do desenvolvedor da API Play EMM.
1.2.1. O DPC do EMM precisa estar disponível publicamente no Google Play. O DPC precisa ser pode ser instalado a partir do assistente de configuração do dispositivo inserindo um identificador específico do DPC.
1.2.2. Após a instalação, o DPC do EMM precisa orientar o usuário durante o processo de provisionar um dispositivo dedicado ou totalmente gerenciado. .
1.3. Provisionamento de dispositivo NFC
Os administradores de TI podem usar etiquetas NFC para provisionar dispositivos novos ou redefinidos para a configuração original de acordo com a implementação, diretrizes definidas no Documentação da API Play EMM para desenvolvedores.
1.3.1. Os EMMs precisam usar tags NFC Forum Tipo 2 com pelo menos 888 bytes de memória. O provisionamento precisa usar extras de provisionamento para transmitir registros não confidenciais detalhes como IDs do servidor e de registro em um dispositivo. Detalhes do registro não podem incluir informações sensíveis, como senhas ou certificados.
1.3.2. Depois que o DPC do EMM se definir como proprietário do dispositivo, ele precisa abrir imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado. 1.3.3. Recomendamos o uso de tags NFC para o Android 10 e versões mais recentes devido à descontinuação do NFC Beam (também conhecido como NFC Bump).
1.4. Provisionamento de dispositivo com QR code
Os administradores de TI podem usar um dispositivo novo ou redefinido para a configuração original para ler um QR code gerado por o console do EMM para provisionar o dispositivo, de acordo com a implementação diretrizes definidas no Documentação da API Play EMM para desenvolvedores.
1.4.1. O QR code precisa usar extras de provisionamento para transmitir dados não confidenciais detalhes de registro, como IDs do servidor e de registro, em um dispositivo. Registro não podem incluir informações sensíveis, como senhas ou certificados.
1.4.2. Depois que o DPC do EMM configurar o dispositivo, ele vai abrir imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado.
1.5. Registro sem toque
Os administradores de TI podem pré-configurar dispositivos comprados de revendedores autorizados e gerenciá-los usando o console de EMM.
1.5.1. Os administradores de TI podem provisionar dispositivos da empresa usando o registro sem toque método de registro, descrito em Registro sem toque para administradores de TI.
1.5.2. Quando um dispositivo é ligado pela primeira vez, ele é automaticamente forçado a entrar as configurações definidas pelo administrador de TI. .
1.6. Provisionamento avançado sem toque
Os administradores de TI podem automatizar grande parte do processo de registro de dispositivos implantando DPC usando o registro sem toque. O DPC do EMM oferece suporte à limitação da inscrição em contas ou domínios específicos, de acordo com as opções de configuração oferecidas pelo EMM.
1.6.1. Os administradores de TI podem provisionar um dispositivo da empresa usando o registro sem toque método de registro, descrito em Registro sem toque para administradores de TI.
1.6.2. Depois que o DPC do EMM configurar o dispositivo, o DPC do EMM precisará abre imediatamente e bloqueia-se na tela até que o dispositivo esteja totalmente provisionado.
- Os dispositivos que usam o registro sem toque não precisam atender a esse requisito. os detalhes de registro para que se provisionem totalmente de forma silenciosa (por exemplo, em uma implantação de dispositivo dedicado).
1.6.3. Com os detalhes de registro, o DPC do EMM precisa garantir que usuários não autorizados não podem prosseguir com a ativação depois que o DPC é invocado. No mínimo, a ativação precisa ser bloqueada para usuários de uma determinada empresa.
1.6.4. Com os detalhes de registro, o DPC do EMM precisa permitir Os administradores de TI precisam pré-preencher os detalhes do registro (por exemplo, IDs de servidores, IDs de registro) além das informações exclusivas do usuário ou do dispositivo (por exemplo, nome de usuário/senha, token de ativação) para que os usuários não precisem inserir detalhes ao ativar um dispositivo.
- Os EMMs não podem incluir informações sensíveis, como senhas ou na configuração do registro sem toque.
1,7. Provisionamento do perfil de trabalho da Conta do Google
Para empresas que usam um Managed Google Domain, esse recurso orienta os usuários na configuração de um perfil de trabalho depois de entrar as credenciais corporativas do Workspace durante a configuração ou em um dispositivo que esteja já ativado. Em ambos os casos, a identidade corporativa do Workspace será para o perfil de trabalho.
1.7.1. O método de provisionamento da Conta do Google provisiona um perfil de trabalho, de acordo com a implementação definida diretrizes ,
1,8. Provisionamento de dispositivo da Conta do Google
Para empresas que usam o Workspace, esse recurso orienta os usuários nas a instalação do DPC do EMM após entrarem no espaço de trabalho corporativo durante a configuração inicial do dispositivo. Depois de instalado, o DPC conclui o processo configuração de um dispositivo da empresa.
1.8.1. O método de provisionamento da Conta do Google provisiona um dispositivo da empresa, de acordo com a implementação definida diretrizes ,
1.8.2. A menos que o EMM possa identificar claramente o dispositivo como um não é possível provisionar um dispositivo sem uma solicitação durante a o processo de provisionamento. Esse comando precisa realizar uma ação não padrão, como marcar uma caixa de seleção ou selecionar uma opção de menu não padrão. É recomendado o EMM é capaz de identificar o dispositivo como um ativo corporativo, portanto há não é necessário o comando.
1.9. Configuração direta sem toque
Os administradores de TI podem usar o console do EMM para configurar dispositivos sem toque usando o iframe sem toque.
1.10. Perfis de trabalho em dispositivos corporativos
Os EMMs podem registrar dispositivos da empresa que tenham um perfil de trabalho.
1.10.1. intencionalmente em branco.
1.10.2. Administradores de TI podem definir ações de compliance para perfis de trabalho em empresas dispositivos.
1.10.3. Os administradores de TI podem desativar a câmera no perfil de trabalho o dispositivo inteiro.
1.10.4. Os administradores de TI podem desativar a captura de tela no perfil de trabalho o dispositivo inteiro.
1.10.5. Os administradores de TI podem definir uma lista de permissões ou de bloqueio com aplicativos que podem ou não pode ser instalado no perfil pessoal.
1.10.6. Os administradores de TI podem renunciar ao gerenciamento de um dispositivo da empresa removendo do perfil de trabalho ou excluindo permanentemente os dados do dispositivo. .
1,11. Provisionamento de dispositivos dedicados
intencionalmente em branco.
2. Segurança do dispositivo
2.1. Desafio de segurança do dispositivo
Os administradores de TI podem definir e aplicar um desafio de segurança do dispositivo (PIN/padrão/senha) uma seleção predefinida de três níveis de complexidade em dispositivos gerenciados.
2.1.1. A política precisa aplicar configurações para gerenciar desafios de segurança do dispositivo (parentProfilePasswordrequirements para perfil de trabalho, passwordrequirements para dispositivos dedicados e totalmente gerenciados).
2.1.2. A complexidade da senha precisa estar associada às seguintes complexidades de senha:
- PASSWORD_COMPLEXITY_LOW - padrão ou pin com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) senha alfabética ou alfanumérica com tamanho de pelo menos 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e um tamanho de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com comprimento de pelo no mínimo 6
2.2. Desafio de segurança do trabalho
Os administradores de TI podem definir e aplicar um desafio de segurança para apps e dados no perfil de trabalho que seja separado e tenha requisitos diferentes do desafio de segurança do dispositivo (2.1).
2.2.1. A política precisa aplicar o desafio de segurança para o perfil de trabalho. Por padrão, os administradores de TI só devem definir restrições para o perfil de trabalho se não escopo é especificado. Os administradores de TI podem definir para todo o dispositivo especificando o escopo (ver requisito 2.1)
2.1.2. A complexidade da senha deve estar associada às seguintes complexidades:
- PASSWORD_COMPLEXITY_LOW - padrão ou pin com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) senha alfabética ou alfanumérica com tamanho de pelo menos 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e um tamanho de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com comprimento de pelo no mínimo 6
2.3. Gerenciamento avançado de senhas
2.3.1. intencionalmente em branco.
2.3.2. intencionalmente em branco.
2.3.3. As seguintes configurações de ciclo de vida da senha podem ser definidas para cada tela de bloqueio disponíveis em um dispositivo:
- intencionalmente em branco
- Deliberadamente em branco
- Máximo de senhas com falha para exclusão permanente : especifica o número de vezes que os usuários podem inserir uma senha incorreta antes de os dados corporativos são excluídos permanentemente do dispositivo. Os administradores de TI precisam conseguir desativar esse recurso.
2.4. Gerenciamento da Smart Lock
Os administradores de TI podem gerenciar quais agentes de confiança no Smart Lock do Android têm permissão para desbloquear dispositivos. Os administradores de TI podem desativar métodos de desbloqueio específicos, como dispositivos Bluetooth confiáveis, reconhecimento facial e reconhecimento de voz, ou desativar o recurso por completo.
2.4.1. Os administradores de TI podem desativar os agentes de confiança do Smart Lock independentemente para cada tela de bloqueio disponível no dispositivo.
2.4.2. Os administradores de TI podem permitir e configurar seletivamente a confiança do Smart Lock agentes , independentemente de cada tela de bloqueio disponível no dispositivo, para os seguintes agentes de confiança: Bluetooth, NFC, lugares, rosto, corpo e voz.
- Os administradores de TI podem modificar Confiança disponível parâmetros de configuração do agente.
2.5. Limpar e bloquear
Os administradores de TI podem usar o console do EMM para bloquear e excluir permanentemente os dados de trabalho de um dispositivo gerenciado.
2.5.1. Os EMM DPC precisam bloquear dispositivos.
2.5.2. Os EMM DPC excluir permanentemente os dados dos dispositivos.
2,6 Aplicação de compliance
Se um dispositivo não estiver em compliance com as políticas de segurança, os dados de trabalho serão são restritas automaticamente.
2.6.1. No mínimo, as políticas de segurança aplicadas em um dispositivo precisam incluir política de senha. .
2,7 Políticas de segurança padrão
Os EMMs precisam aplicar as políticas de segurança especificadas nos dispositivos por padrão, sem exigir que os administradores de TI definam ou personalizem as configurações no EMM no console do Google Cloud. Os EMMs são incentivados (mas não obrigatórios) para não permitir que os administradores de TI façam alterações o estado padrão desses recursos de segurança.
2.7.1. O DPC do EMM precisa bloquear a instalação de apps de fontes desconhecidas, incluindo os apps instalados na parte pessoal de qualquer Dispositivo Android 8.0 ou mais recente com um perfil de trabalho.
2.7.2. O DPC do EMM precisa bloquear os recursos de depuração.
2,8. Políticas de segurança para dispositivos dedicados
Os dispositivos dedicados são bloqueados sem saída para permitir outras ações.
2.8.1. O DPC do EMM precisa desativar a inicialização no modo de segurança por padrão.
2.8.2. O DPC do EMM precisa ser aberto e bloqueado na tela imediatamente primeira inicialização durante o provisionamento, para garantir que não haja interação com o dispositivo de qualquer outra forma.
2.8.3. O DPC do EMM precisa ser definido como o iniciador padrão para garantir que os apps permitidos sejam bloqueados na tela na inicialização, de acordo com as diretrizes de implementação definidas.
2,9. Suporte à Play Integrity
O EMM usa a API Play Integrity para garantir que os dispositivos sejam Android válidos.
2.9.1. O DPC do EMM implementa a API Play Integrity durante o provisionamento e, por padrão, só conclui o provisionamento do dispositivo com dados corporativos quando a integridade do dispositivo retornado é MEETS_STRONG_INTEGRITY.
2.9.2. O DPC do EMM vai realizar outra verificação da Play Integrity sempre que um dispositivo faz check-in com o servidor do EMM, configurável pelo administrador de TI. O EMM de integridade vai verificar as informações do APK na resposta de verificação de integridade, e o antes de atualizar a política corporativa no dispositivo.
2.9.3. Os administradores de TI podem configurar diferentes respostas a políticas com base no resultado a verificação de integridade do Google Play, incluindo o bloqueio do provisionamento, a exclusão permanente e permitir que a inscrição prossiga.
- O serviço de EMM aplicará essa resposta à política para o resultado para cada verificação de integridade.
2.9.4. Se a verificação inicial da Play Integrity falhar ou retornar um resultado não atender à integridade forte, se o DPC do EMM ainda não tiver chamado ensureWorkingEnvironment ele precisará fazer isso e repetir a verificação antes que o provisionamento seja concluído.
2,10 Verificar a aplicação de apps
Os administradores de TI podem ativar a opção Verificar apps. nos dispositivos. O recurso Verificar apps verifica se há apps instalados em dispositivos Android em busca de ameaças antes e depois da instalação, ajudando a garantir que aplicativos maliciosos os apps não comprometem os dados corporativos.
2.10.1. O DPC do EMM precisa ativar a opção "Verificar apps" por padrão.
2,11. Suporte à inicialização direta
Os apps não podem ser executados em dispositivos com o Android 7.0 ou mais recente que acabaram de ser ligados até que o dispositivo seja desbloqueado pela primeira vez. Inicialização direta garante que o DPC do EMM esteja sempre ativo e capaz de aplicar a política, mesmo que o dispositivo não tenha sido desbloqueado.
2.11.1. O DPC do EMM usa o armazenamento criptografado do dispositivo para executar funções de gerenciamento importantes antes que o armazenamento criptografado de credenciais do DPC seja descriptografado. As funções de gerenciamento disponíveis durante a inicialização direta devem incluir (mas não se limitam a):
- Apagar dados corporativos, incluindo a capacidade de apagar dados de proteção de redefinição para a configuração original, conforme apropriado.
2.11.2. O DPC do EMM não pode expor dados corporativos dentro do dispositivo criptografado armazenamento.
2.11.3. Os EMMs podem definir e ativar um token para ativar a opção Esqueci minha senha na tela de bloqueio do perfil de trabalho. Esse botão é usado para solicitar que os administradores de TI redefinam com segurança a senha do perfil de trabalho.
2,12. Gerenciamento de segurança de hardware
Os administradores de TI podem bloquear elementos de hardware de um dispositivo da empresa para garantir a prevenção de perda de dados.
2.12.1. Os administradores de TI podem impedir que os usuários montem dispositivos físicos externos mídia no dispositivo.
2.12.2. Os administradores de TI podem impedir que os usuários compartilhem dados do dispositivo usando NFC enviar , Este subrecurso é opcional, já que a função de envio NFC não é mais compatível. no Android 10 e versões mais recentes.
2.12.3. Os administradores de TI podem impedir que usuários transfiram arquivos USB do dispositivo.
2,13 Geração de registros de segurança empresarial
Os administradores de TI podem coletar dados de uso de dispositivos que podem ser analisados que são avaliados programaticamente quanto a comportamento malicioso ou arriscado. Atividades registradas incluem atividades do Android Debug Bridge (adb), aberturas de apps e desbloqueios de tela.
2.13.1. Os administradores de TI podem ativar a geração de registros de segurança. para dispositivos específicos, e o DPC do EMM deve ser capaz de recuperar os dados de segurança registros e reinicialize os registros de segurança automaticamente.
2.13.2. Os administradores de TI podem analisar os registros de segurança empresarial para um determinado dispositivo e uma janela de tempo configurável no console do EMM.
2.13.3. Os administradores de TI podem exportar registros de segurança corporativa pelo console do EMM. .
3. Gerenciamento de contas e apps
3.1. Vinculação empresarial
Os administradores de TI podem vincular o EMM à organização, permitindo que ele use o Google Play gerenciado para distribuir apps aos dispositivos.
3.1.1. Um administrador com um Managed Google Domain pode vincular o domínio ao EMM.
3.1.2. O console do EMM precisa provisionar e configurar silenciosamente uma ESA de cada empresa.
3.1.3. Cancelar o registro de uma empresa usando a API Play EMM.
3.1.4. O console de EMM orienta o administrador a inserir o endereço de e-mail do trabalho no do Android e não recomenda o uso de uma conta do Gmail.
3.1.5. O EMM pré-preenche o endereço de e-mail do administrador no fluxo de inscrição do Android. .
3.2. Provisionamento de conta do Google Play gerenciado
O EMM pode provisionar contas de usuários corporativas silenciosamente, chamadas "Contas do Google Play gerenciado". Essas contas identificam usuários gerenciados e permitir regras de distribuição de apps exclusivas e por usuário.
3.2.1. O DPC do EMM pode provisionar e ativar silenciosamente uma conta do Google Play a conta de acordo com as diretrizes de implementação definidas. Ao fazer isso:
- Uma conta do Google Play gerenciado do tipo
userAccountfoi adicionada ao dispositivo. - A conta do Google Play gerenciado do tipo
userAccountprecisa ter uma relação com usuários reais no console do EMM.
3.3. Provisionamento de contas de dispositivo do Google Play gerenciado
O EMM pode criar e provisionar contas de dispositivo do Google Play gerenciado , As contas de dispositivo são compatíveis com a instalação silenciosa de apps do Google Play gerenciado. e não estão vinculadas a um único usuário. Em vez disso, uma conta de dispositivo é usada para identificar um único dispositivo compatível com regras de distribuição de apps por dispositivo em cenários com dispositivos dedicados.
3.3.1. O DPC do EMM pode provisionar e ativar silenciosamente uma conta do Google Play
a conta de acordo com as diretrizes de implementação definidas.
Ao fazer isso, uma conta do Google Play gerenciado do tipo deviceAccount precisa ser adicionada
ao dispositivo.
3.4. Provisionamento de conta do Google Play gerenciado para dispositivos legados
O EMM pode provisionar silenciosamente contas de usuários corporativos, chamadas de Contas do Google Play. Essas contas identificam usuários gerenciados e permitem um acesso regras de distribuição de apps.
3.4.1. O DPC do EMM pode provisionar e ativar silenciosamente uma conta do Google Play a conta de acordo com as diretrizes de implementação definidas. Ao fazer isso:
- Uma conta do Google Play gerenciado do tipo
userAccountfoi adicionada ao dispositivo. - A conta do Google Play gerenciado do tipo
userAccountprecisa ter uma relação com usuários reais no console do EMM.
3.5. Distribuição silenciosa de apps
Os administradores de TI podem distribuir apps de trabalho em segundo plano nos dispositivos dos usuários sem interação.
3.5.1. O console de EMMs precisa usar a API Play EMM para permitir que os administradores de TI instalem apps de trabalho em dispositivos gerenciados.
3.5.2. O console de EMMs precisa usar a API Play EMM para permitir que os administradores de TI atualizem apps de trabalho em dispositivos gerenciados.
3.5.3. O console de EMMs precisa usar a API Play EMM para permitir que os administradores de TI desinstalem apps em dispositivos gerenciados.
3.6. Gerenciamento de configurações gerenciadas
Os administradores de TI podem visualizar e definir silenciosamente as configurações gerenciadas para qualquer aplicativo que oferece suporte a configurações gerenciadas.
3.6.1. O console do EMM precisa recuperar e exibir os arquivos de qualquer app do Google Play.
- Os EMMs podem chamar
Products.getAppRestrictionsSchemapara recuperar um esquema de configurações gerenciadas do app ou incorporar o iframe de configurações gerenciadas no próprio console de EMM.
3.6.2. O console do EMM precisa permitir que os administradores de TI definam qualquer tipo de configuração (conforme definido pelo framework do Android) para qualquer app do Google Play que usa o EMM do Google Play API.
3.6.3. O console do EMM precisa permitir que os administradores de TI definam caracteres curinga (como $username$ ou %emailAddress%) para que uma única configuração de um aplicativo como O Gmail pode ser aplicado a vários usuários. O iframe de configuração gerenciada atende automaticamente a esse requisito.
3,7 Gerenciamento do catálogo de apps
Os administradores de TI podem importar uma lista de apps aprovados para a empresa Google Play gerenciado (play.google.com/work).
3.7.1. O console do EMM pode exibir uma lista de apps aprovados para incluindo:
- Apps comprados no Google Play gerenciado
- Apps particulares visíveis para administradores de TI
- De forma programática apps aprovados
3,8. Aprovação de app programático
O console do EMM usa o iframe do Google Play gerenciado para oferecer suporte aos recursos de descoberta e aprovação de apps do Google Play. Os administradores de TI podem pesquisar apps, aprovar apps e novas permissões sem sair do console do EMM.
3.8.1. Os administradores de TI podem pesquisar e aprovar apps no console do EMM usando o iframe do Google Play gerenciado.
3,9. Gerenciamento básico de layout da loja
O app Google Play Store gerenciado pode ser usado em dispositivos para instalar e atualizar apps de trabalho. O layout básico da loja é exibido por padrão e lista apps aprovados para empresas, que são filtrados por usuário pelos EMMs de acordo com as políticas.
3.9.1. Os administradores de TI podem gerenciar as necessidades conjuntos de produtos disponíveis para permitir a visualização e a instalação de aplicativos do Google Play gerenciado loja na seção "Página inicial da loja".
3,10 Configuração avançada do layout da loja
Os administradores de TI podem personalizar o layout da loja no Google Play gerenciado. app da Play Store nos dispositivos.
3.10.1. Os administradores de TI podem realizar as ações a seguir no console do EMM para: personalizar o layout da loja do Google Play gerenciado:
- Crie até 100 páginas com layout de loja. As páginas podem ter um número arbitrário de nomes de páginas localizados.
- Crie até 30 clusters para cada página. Os clusters podem ter um tamanho o número de nomes de clusters localizados.
- Atribua até 100 apps a cada cluster.
- Adicione até 10 links rápidos a cada página.
- Especifique a ordem de classificação dos apps em um cluster e dos clusters em um página.
3,11. Gerenciamento de licenças de apps
Os administradores de TI podem ver e gerenciar licenças de apps compradas no Google Play gerenciado. no console do EMM.
3.11.1. No caso de apps pagos aprovados para uma empresa, o console do EMM precisa display:
- O número de licenças compradas.
- O número de licenças consumidas e os usuários que as consomem.
- O número de licenças disponíveis para distribuição.
3.11.2. Os administradores de TI podem atribuir licenças aos usuários silenciosamente. sem forçar a instalação do app nos dispositivos.
3.11.3. Os administradores de TI podem cancelar a atribuição de uma licença de app usuário.
3,12. Gerenciamento de apps particulares hospedados pelo Google
Em vez disso, admins de TI podem atualizar apps particulares hospedados pelo Google pelo console de EMM no Google Play Console.
3.12.1. Os administradores de TI podem fazer upload de novas versões de apps que já foram publicados. privado para a empresa usando:
3,13 Gerenciamento de apps particulares auto-hospedados
Os administradores de TI podem configurar e publicar apps particulares auto-hospedados. Não gostei apps particulares hospedados pelo Google, o Google Play não hospeda os APKs. Em vez disso, o EMM ajuda os administradores de TI a hospedar APKs aplicativos, garantindo que só possam ser instalados quando autorizados pelo Google Google Play.
Os administradores de TI podem acessar Suporte a apps particulares para conferir mais detalhes.
3.13.1. O console do EMM precisa ajudar os administradores de TI a hospedar o APK do app, oferecendo ambos das seguintes opções:
- Hospedar o APK no servidor do EMM. O servidor pode ser no local com base na nuvem.
- Hospedar o APK fora do servidor do EMM, a critério do Administrador de TI. O admin de TI precisa especificar no console de EMM onde O APK está hospedado.
3.13.2. O console do EMM precisa gerar um arquivo de definição de APK adequado usando o APK fornecido e precisa orientar os administradores de TI durante o processo de publicação.
3.13.3. Os administradores de TI podem atualizar apps particulares auto-hospedados e o console do EMM podem publicar silenciosamente arquivos de definição de APK atualizados usando a API API Developer Publishing.
3.13.4. O servidor do EMM atende apenas solicitações de download para o APK auto-hospedado que contenha um JWT válido dentro do cookie da solicitação, conforme verificado pelo a chave pública do app particular.
- Para facilitar esse processo, o servidor do EMM precisa orientar os administradores de TI sobre como faça o download da chave pública da licença do aplicativo auto-hospedado no diretório Play Console e faça upload dessa chave para o console de EMM.
3,14 Notificações pull de EMM
Em vez de consultar periodicamente o Google Play para identificar eventos passados, como um app atualização que contém novas permissões ou configurações gerenciadas, pull do EMM os EMMs de modo proativo sobre esses eventos em tempo real, permitindo Os EMMs podem realizar ações automatizadas e fornecer notificações administrativas personalizadas com base nesses eventos.
3.14.1. O EMM precisa usar as notificações de EMM do Google Play para extrair conjuntos de notificações.
3.14.2. O EMM precisa notificar automaticamente o administrador de TI (por exemplo, e-mail automático) dos seguintes eventos de notificação:
newPermissionEvent: exige que um administrador de TI aprove o novo app. permissões antes que o app possa ser instalado ou atualizado silenciosamente nos dispositivos.appRestrictionsSchemaChangeEvent: pode exigir a atualização do administrador de TI a configuração gerenciada de um app para manter a funcionalidade pretendida.appUpdateEvent: pode ser do interesse de administradores de TI que queiram confirmar que a funcionalidade principal do fluxo de trabalho não é afetada pela atualização do app.productAvailabilityChangeEvent: pode afetar a instalação do ou receber atualizações dele.installFailureEvent: o Google Play não consegue instalar apps silenciosamente em um dispositivo, sugerindo que pode haver algo nele específica que está impedindo a instalação. Os EMMs não podem tentar uma instalação silenciosa novamente após receberem essa notificação, porque a própria lógica de repetição do Google Play já falhou.
3.14.3. O EMM toma as medidas adequadas automaticamente com base no seguinte: eventos de notificação:
newDeviceEvent: durante o provisionamento do dispositivo, os EMMs precisam aguardarnewDeviceEventantes de fazer chamadas subsequentes da API Play EMM para o novo dispositivo, incluindo instalações silenciosas de apps e definição de configurações gerenciadas.productApprovalEvent: ao receber umproductApprovalEvento EMM precisará atualizar automaticamente a lista de apps aprovados importados no console de EMM para distribuição aos dispositivos se houver um administrador de TI ativo. ou se a lista de aplicativos aprovados não for atualizada automaticamente no no início de cada sessão de administração de TI.
3,15 Requisitos de uso da API
O EMM implementa as APIs do Google em grande escala, evitando padrões de tráfego que poderia impactar negativamente capacidade de gerenciar apps em produção em ambientes de nuvem.
3.15.1. O EMM precisa aderir à API Play EMM e limites de uso. Não corrigir comportamentos que excedam essas diretrizes pode resultar em suspensão do uso da API, a critério do Google.
3.15.2. O EMM deve distribuir o tráfego de diferentes empresas do dia, em vez de consolidar o tráfego da empresa em níveis específicos vezes. O comportamento que se encaixa nesse padrão de tráfego, como lote programado operações para cada dispositivo registrado, pode resultar na suspensão do uso da API, a critério do Google.
3.15.3. O EMM não pode tornar consistente, incompleta ou deliberadamente solicitações incorretas que não tentam recuperar ou gerenciar dados. O comportamento adequado a esse padrão de tráfego pode resultar na suspensão do uso da API. a critério do Google. .
3,16 Gerenciamento avançado de configurações gerenciadas
3.16.1. O console do EMM precisa ser capaz de recuperar e mostrar as configurações de configuração gerenciadas (aninhadas até quatro níveis) de qualquer app do Play, usando:
- O iFrame do Google Play gerenciado ou
- uma IU personalizada.
3.16.2. O console do EMM precisa recuperar e exibir feedbacks. devolvidos pelo canal de comentários de um app. , quando configurado por um administrador de TI.
- O console do EMM precisa permitir que os administradores de TI associem um item de feedback específico com o dispositivo e app de origem.
- O console do EMM precisa permitir que os administradores de TI se inscrevam em alertas ou relatórios de tipos de mensagens específicos (como mensagens de erro).
3.16.3. O console do EMM precisa enviar somente valores que tenham um valor padrão ou sejam definidos manualmente pelo administrador usando:
- O iframe de configurações gerenciadas
- Uma interface personalizada.
3.17. Gerenciamento de apps da Web
Os administradores de TI podem criar e distribuir apps da Web no console do EMM.
3.17.1. Administradores de TI podem usar o console do EMM para distribuir atalhos para apps da Web usando:
3,18. Gerenciamento do ciclo de vida da conta do Google Play gerenciado
O EMM pode criar, atualizar e excluir contas do Google Play gerenciado em nome de Administradores de TI.
3.18.1. Os EMMs podem gerenciar o ciclo de vida de uma conta do Google Play gerenciado De acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
3.18.2. Os EMMs podem reautenticar as contas do Google Play gerenciado sem usuários interação.
3.19. Gerenciamento de faixas de aplicativos
3.19.1. Os administradores de TI podem extrair uma lista de IDs de faixa definidos por um desenvolvedor para um app específico.
3.19.2. Os administradores de TI podem configurar os dispositivos para usar uma faixa de desenvolvimento específica de um aplicativo.
3.20. Gerenciamento avançado de atualizações de aplicativos
3.20.1. Os administradores de TI podem permitir que apps usem atualizações de apps de alta prioridade para serem atualizados quando uma atualização estiver pronta.
3.20.2. Os administradores de TI podem permitir que as atualizações de apps sejam adiadas por 90 dias.
3,21 Gerenciamento de métodos de provisionamento
O EMM pode gerar configurações de provisionamento e apresentá-las à equipe de TI administrador em um formulário pronto para distribuição aos usuários finais (como um QR code, configuração sem toque e URL da Play Store).
4. Gerenciamento de dispositivos
4.1. Gerenciamento de políticas de permissão de execução
Os administradores de TI podem definir silenciosamente uma resposta padrão para solicitações de permissão de tempo de execução feitas por apps de trabalho.
4.1.1. Os administradores de TI precisam poder escolher entre as seguintes opções ao definir uma política de permissão de execução padrão para a organização:
- solicitação (permite que os usuários escolham)
- allow
- deny
O EMM precisa aplicar essas configurações usando o DPC do EMM.
4.2. Gerenciamento do estado de concessão de permissão de execução
Depois de definir uma política de permissão de tempo de execução padrão (vá para 4.1.), Os administradores de TI podem defina silenciosamente respostas para permissões específicas de qualquer app de trabalho criado com base na API. 23 ou superior.
4.2.1. Os administradores de TI precisam ser capazes de definir o estado de concessão (padrão, concessão ou negação) de qualquer permissão solicitada por qualquer app de trabalho criado na API 23 ou mais recente. O EMM aplicar essas configurações usando o DPC do EMM ,
4.3. Gerenciamento de configuração de Wi-Fi
Os administradores de TI podem provisionar silenciosamente configurações de Wi-Fi empresarial em redes dispositivos, incluindo:
4.3.1. SSID, usando o DPC do EMM.
4.3.2. Senha usando o DPC do EMM
4.4. Gerenciamento de segurança do Wi-Fi
Os administradores de TI podem provisionar configurações de Wi-Fi empresariais em dispositivos gerenciados que incluem os seguintes recursos de segurança avançados:
4.4.1. A identidade usando o DPC do EMM
4.4.2. Certificado para autorização de clientes, usando o DPC do EMM.
4.4.3. certificados de CA, usando o DPC do EMM.
4.5. Gerenciamento avançado de Wi-Fi
Os administradores de TI podem bloquear configurações de Wi-Fi em dispositivos gerenciados para evitar que os usuários criem ou modifiquem configurações corporativas.
4.5.1. Os administradores de TI podem bloquear as configurações de Wi-Fi corporativa seguintes configurações:
- Os usuários não podem modificar nenhuma rede Wi-Fi provisionadas pelo EMM, mas podem adicionar e modificar as próprias configuráveis pelo usuário (por exemplo, redes pessoais).
- Os usuários não podem adicionar ou modificar qualquer rede Wi-Fi no dispositivo, limitando a conectividade Wi-Fi apenas às redes provisionadas pelo EMM.
4.6. Gerenciamento da conta
Os administradores de TI podem impedir a interação de contas corporativas não autorizadas dados corporativos, para serviços como armazenamento SaaS e apps de produtividade, ou e-mail. Sem esse recurso, as contas pessoais podem ser adicionadas a esses apps corporativos que também oferecem suporte a contas de consumidor, permitindo que elas compartilhem dados corporativos com essas contas pessoais.
4.6.1. Os administradores de TI podem impedir a adição ou modificação de contas.
- Ao aplicar esta política a um dispositivo, os EMMs precisam definir a restrição antes da conclusão do provisionamento. Assim, você não pode burlar essa política adicionando contas antes que a política entre em vigor.
4.7. Gerenciamento de contas do Workspace
Os administradores de TI podem impedir que Contas do Google não autorizadas interajam com dados corporativos. Sem esse recurso, as Contas do Google pessoais podem ser adicionadas a apps corporativos do Google (por exemplo, Documentos ou Drive), permitindo que elas compartilhem dados corporativos com essas contas pessoais.
4.7.1. Os administradores de TI podem especificar Contas do Google para serem ativadas durante o provisionamento, depois que o serviço de gerenciamento bloqueio total está em vigor.
4.7.2. O DPC do EMM precisa pedir a ativação da Conta do Google e garantir que apenas a conta específica possa ser ativada, especificando a conta a ser adicionada.
- Em dispositivos anteriores ao Android 7.0, o DPC deve desativar temporariamente a restrição de gerenciamento da conta antes de solicitar usuário.
4.8. Gerenciamento de certificados
Permite que administradores de TI implantem certificados de identidade e autoridades de certificação em para permitir o acesso a recursos corporativos.
4.8.1. Os administradores de TI podem instalar certificados de identidade do usuário gerados pela ICP em um por usuário. O console do EMM precisa estar integrado a pelo menos uma ICP e os certificados gerados por essa infraestrutura.
4.8.2. Os administradores de TI podem instalar autoridades certificadoras no keystore gerenciado.
4.9. Gerenciamento avançado de certificados
Permite que os administradores de TI selecionem silenciosamente os certificados que apps gerenciados específicos deve usar. Esse recurso também concede aos administradores de TI a capacidade de remover CAs e certificados de identidade de dispositivos ativos. Esse recurso impede que os usuários modifiquem credenciais armazenadas no keystore gerenciado.
4.9.1. Para qualquer app distribuído para dispositivos, os administradores de TI podem especificar um certificado ao qual o app será concedido acesso silencioso durante a execução.
- A seleção de certificados precisa ser genérica o suficiente para permitir uma única configuração que se aplique a todos os usuários, cada um dos quais pode ter um certificado de identidade específico do usuário.
4.9.2. Os administradores de TI podem remover certificados silenciosamente. do keystore gerenciado.
4.9.3. Os administradores de TI podem desinstalar silenciosamente um certificado de CA, ou todos os certificados de AC que não são do sistema.
4.9.4. Os administradores de TI podem impedir que os usuários configurem credenciais no keystore gerenciado.
4.9.5. Os administradores de TI podem pré-conceder certificados para e apps de trabalho.
4,10 Gerenciamento de certificados delegados
Os administradores de TI podem distribuir um app de gerenciamento de certificados de terceiros para os dispositivos e conceda a esse app acesso privilegiado para instalar certificados na conta keystore.
4.10.1. Os administradores de TI especificam um pacote de gerenciamento de certificados para definir como o app de gerenciamento de certificados delegado pelo DPC.
- O console pode sugerir pacotes de gerenciamento de certificados conhecidos, mas precisa permitir que o administrador de TI escolha entre a lista de aplicativos disponíveis para para os usuários aplicáveis.
4,11 Gerenciamento avançado de VPN
Permite que administradores de TI especifiquem uma VPN sempre ativada para garantir que os dados os apps gerenciados especificados sempre vão passar por uma VPN configurada.
4.11.1. Os administradores de TI podem especificar um pacote arbitrário de VPN. seja definida como VPN sempre ativa.
- O console do EMM pode sugerir pacotes de VPN conhecidos com suporte VPN sempre ativada, mas não é possível restringir as VPNs disponíveis para configuração sempre ativada a qualquer lista arbitrária.
4.11.2. Os administradores de TI podem usar configurações gerenciadas para especificar as configurações de VPN para de um app.
4,12 Gerenciamento do IME
Os administradores de TI podem gerenciar para quais métodos de entrada (IMEs) podem ser configurados dispositivos. Como o IME é compartilhado entre os perfis de trabalho e pessoais, o bloqueio do uso de IMEs também impede que eles sejam usados para uso pessoal. No entanto, os administradores de TI não podem bloquear IMEs do sistema no trabalho perfis (acesse o gerenciamento avançado de IME para mais detalhes).
4.12.1. Os administradores de TI podem configurar uma lista de permissões do IME de tamanho arbitrário (incluindo uma lista vazia, que bloqueia IMEs que não sejam do sistema), que pode conter qualquer pacote IME arbitrário.
- O console de EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação para os usuários aplicáveis.
4.12.2. O EMM precisa informar aos administradores de TI que os IMEs do sistema foram excluídos de segurança em dispositivos com perfis de trabalho. .
4,13 Gerenciamento avançado de IME
Os administradores de TI podem gerenciar para quais métodos de entrada (IMEs) podem ser configurados dispositivos. O gerenciamento avançado de IME amplia o recurso básico, permitindo que os administradores de TI também o uso de IMEs do sistema, que normalmente são fornecidos pelo fabricante ou operadora do dispositivo.
4.13.1. Os administradores de TI podem configurar uma lista de permissões do IME de tamanho arbitrário (excluindo uma lista vazia, que bloqueia todos os IMEs, incluindo IMEs do sistema), que podem conter qualquer pacote IME arbitrário.
- O console do EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham da lista de aplicativos disponíveis para instalação, para os usuários aplicáveis.
4.13.2. Os EMMs precisam impedir que os administradores de TI configurem uma lista de permissões vazia, pois esta bloqueará a configuração de todos os IMEs (editores de método de entrada, na sigla em inglês), inclusive os do sistema, dispositivo.
4.13.3. Os EMMs precisam garantir que, se uma lista de permissões de um IME não tiver IMEs do sistema, os IMEs de terceiros são instalados silenciosamente antes da aplicação da lista de permissões. no dispositivo. .
4,14 Gerenciamento de serviços de acessibilidade
Os administradores de TI podem gerenciar quais serviços de acessibilidade podem ser permitidas nos dispositivos. Embora os serviços de acessibilidade sejam poderosos ferramentas para usuários com deficiência ou aqueles que são temporariamente incapazes de obter interagirem com o dispositivo, eles podem interagir com os dados corporativos de maneiras que não obedecem à política corporativa. Esse recurso permite que os administradores de TI de qualquer serviço de acessibilidade que não seja do sistema.
4.14.1. Os administradores de TI podem configurar uma lista de permissões de serviços de acessibilidade. de tamanho arbitrário (incluindo uma lista vazia, que bloqueia serviços de acessibilidade), que podem conter qualquer serviço de acessibilidade arbitrário . Quando aplicada a um perfil de trabalho, a mudança afeta o perfil pessoal e o perfil de trabalho.
- O console pode sugerir serviços de acessibilidade conhecidos ou recomendados para inclusão na lista de permissões, mas precisa permitir que os administradores de TI escolham entre a lista de apps disponíveis para instalação para os usuários aplicáveis.
4,15 Gerenciamento do Compartilhamento de local
Os administradores de TI podem impedir que os usuários compartilhem dados de local com apps no perfil de trabalho. Caso contrário, a configuração do local para perfis de trabalho pode ser configurada em Configurações.
4.15.1. Os administradores de TI podem desativar os serviços de localização no perfil de trabalho.
4,16 Gerenciamento avançado do compartilhamento de local
Os administradores de TI podem aplicar uma determinada configuração de compartilhamento de local a um dispositivo gerenciado. Esse recurso garante que os aplicativos corporativos sempre tenham acesso a dados de localização precisos. Esse recurso também garante o uso de mais bateria ao restringir as configurações de localização ao modo de economia de bateria.
4.16.1. Os administradores de TI podem definir os serviços de localização do dispositivo a cada um dos seguintes modos:
- Alta precisão.
- Somente sensores, por exemplo, GPS, mas não incluindo os dados fornecidos pela rede o local.
- Economia de bateria, o que limita a frequência de atualização.
- Desligado.
4,17 Gerenciamento da proteção contra redefinição de fábrica
Permite que os administradores de TI protejam os dispositivos da empresa contra roubos garantindo usuários não autorizados não podem redefinir dispositivos para a configuração original. Se a proteção contra redefinição de fábrica introduz complexidades operacionais quando os dispositivos são devolvidos para a TI, administradores de TI também podem desativar completamente a proteção contra redefinição de fábrica.
4.17.1. Os administradores de TI podem impedir que os usuários redefinam para a configuração original. o dispositivo nas Configurações.
4.17.2. Os administradores de TI podem especificar contas de desbloqueio corporativa autorizadas a provisionar dispositivos. após a redefinição para a configuração original.
- Essa conta pode ser vinculada a uma pessoa ou usada por toda a empresa para desbloquear dispositivos.
4.17.3. Os administradores de TI podem desativar a proteção contra redefinição de fábrica para dispositivos específicos.
4.17.4. Os administradores de TI podem iniciar uma limpeza remota no dispositivo que, opcionalmente, exclui dados de proteção, removendo assim a proteção contra redefinição de fábrica do dispositivo redefinido.
4.18. Controle avançado de apps
Os administradores de TI podem impedir que o usuário desinstale ou modifique o gerenciamento nas configurações. Por exemplo, force o fechamento ou a limpeza dos dados cache de dados.
4.18.1. Os administradores de TI podem bloquear a desinstalação de qualquer app gerenciado arbitrário ou de todos os apps gerenciados.
4.18.2. Os administradores de TI podem impedir que os usuários modifiquem os dados do aplicativo em "Configurações".
4,19. Gerenciamento de captura de tela
Os administradores de TI podem impedir que os usuários façam capturas de tela ao usar apps gerenciados. Isso inclui o bloqueio de apps de compartilhamento de tela e apps semelhantes (como o Google Google Assistente) que usam os recursos de captura de tela do sistema.
4.19.1. Os administradores de TI podem impedir que os usuários façam capturas de tela ,
4,20 Desativar câmeras
Os administradores de TI podem desativar o uso de câmeras de dispositivos por apps gerenciados.
4.20.1. Os administradores de TI podem desativar o uso de câmeras do dispositivo. por apps gerenciados.
4,21 Coleta de estatísticas de rede
Os administradores de TI podem consultar as estatísticas de uso da rede no perfil de trabalho de um dispositivo. O as estatísticas coletadas refletem os dados de uso compartilhados com os usuários no Seção Uso de dados das configurações. As estatísticas coletadas são aplicáveis a o uso de apps no perfil de trabalho.
4.21.1. Os administradores de TI podem consultar o resumo das estatísticas de rede de um perfil de trabalho, para um determinado dispositivo e uma janela de tempo configurável, e conferir esses detalhes no console do EMM.
4.21.2. Os administradores de TI podem consultar um resumo de um app no uso da rede do perfil de trabalho estatísticas, para um determinado dispositivo e uma janela de tempo configurável, e visualizar esses detalhes organizados por UID no console do EMM.
4.21.3. Os administradores de TI podem consultar a rede de um perfil de trabalho usando dados históricos, para um determinado dispositivo e uma janela de tempo configurável, e visualizar esses detalhes organizados por UID no console do EMM.
4,22. Coleta de estatísticas de rede avançadas
Os administradores de TI podem consultar as estatísticas de uso da rede de um dispositivo gerenciado inteiro. O As estatísticas coletadas refletem os dados de uso compartilhados com os usuários na seção Uso de dados das configurações. As estatísticas coletadas são aplicáveis ao uso de apps no dispositivo.
4.22.1. Os administradores de TI podem consultar o resumo das estatísticas de rede de um dispositivo inteiro. , para um determinado dispositivo e janela de tempo configurável, e veja esses detalhes na console do EMM.
4.22.2. Os administradores de TI podem consultar um resumo das estatísticas de uso de rede de apps para um determinado dispositivo e uma janela de tempo configurável e conferir esses detalhes organizados por UID no console do EMM.
4.22.3. Os administradores de TI podem consultar a rede usando dados históricos, para um determinado dispositivo e uma janela de tempo configurável, e visualizar esses detalhes organizados por UID no console do EMM.
4,23 Reinicializar o dispositivo.
Os administradores de TI podem reiniciar remotamente os dispositivos gerenciados.
4.23.1. Os administradores de TI podem reinicializar remotamente um dispositivo gerenciado.
4,24 Gerenciamento de rádio do sistema
Permite o gerenciamento granular de administradores de TI sobre rádios de rede do sistema e políticas de uso associadas.
4.24.1. Os administradores de TI podem desativar as transmissões celulares enviados por provedores de serviços (por exemplo, alertas AMBER).
4.24.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel nas configurações. ,
4.24.3. Os administradores de TI podem impedir que os usuários redefinam as configurações de rede nas configurações. ,
4.24.4. Os administradores de TI podem permitir ou impedir dados móveis em roaming. ,
4.24.5. Os administradores de TI podem configurar se o dispositivo pode fazer chamadas telefônicas de saída, excluindo as chamadas de emergência.
4.24.6. Os administradores de TI podem definir se o dispositivo pode enviar e receber mensagens de texto. ,
4.24.7. Os administradores de TI podem impedir que os usuários usem o dispositivo como um ponto de acesso portátil por tethering.
4.24.8. Os administradores de TI podem definir o tempo limite do Wi-Fi para a configuração default. , somente quando conectado à tomada ou nunca ,
4.24.9. Os administradores de TI podem impedir que os usuários configurem ou modifiquem conexões Bluetooth existentes ,
4,25 Gerenciamento de áudio do sistema
Os administradores de TI podem gerenciar silenciosamente os recursos de áudio do dispositivo, incluindo desativar o som dispositivo, impedindo que os usuários alterem as configurações de volume e impeçam os usuários de ativar o som do microfone do dispositivo.
4.25.1. Os administradores de TI podem ignorar dispositivos gerenciados silenciosamente.
4.25.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de volume do dispositivo.
4.25.3. Os administradores de TI podem impedir que os usuários ativem o som do microfone do dispositivo.
4,26 Gerenciamento do relógio do sistema
Os administradores de TI podem gerenciar as configurações de relógio e fuso horário do dispositivo e impedir que os usuários modificar as configurações automáticas do dispositivo.
4.26.1. Os administradores de TI podem aplicar o horário automático do sistema, impedindo que o usuário defina a data e a hora do dispositivo.
4.26.2. Os administradores de TI podem desativar ou ativar o tempo automático silenciosamente. e fuso horário automático.
4,27 Recursos avançados de dispositivos dedicados
Permite que os administradores de TI gerenciem dispositivos dedicados de forma mais granular para oferecer suporte a vários casos de uso de quiosques.
4.27.1. Os administradores de TI podem desativar o bloqueio de teclado do dispositivo.
4.27.2. Os administradores de TI podem desativar a barra de status do dispositivo, como bloquear notificações e Configurações rápidas.
4.27.3. Os administradores de TI podem forçar a tela do dispositivo a permanecer ativada enquanto o dispositivo estiver conectado.
4.27.4. Os administradores de TI podem impedir as seguintes interfaces do sistema sejam exibidos:
- Avisos
- Sobreposições de aplicativos.
4.27.5. Os administradores de TI podem permitir que a recomendação do sistema para apps pule o tutorial do usuário e outras dicas introdutórias na primeira inicialização.
4,28. Gerenciamento de escopo delegado
Os administradores de TI podem delegar privilégios extras a pacotes individuais.
4.28.1. Os administradores de TI podem gerenciar os seguintes escopos:
- Instalação e gerenciamento de certificados
- intencionalmente em branco
- Geração de registros de rede
- Geração de registros de segurança (não compatível com perfil de trabalho BYOD)
4,29. Compatibilidade com o ID específico de registro
A partir do Android 12, os perfis de trabalho não terão mais acesso a: identificadores específicos de hardware. Os administradores de TI podem acompanhar o ciclo de vida de um dispositivo com um perfil de trabalho pelo ID específico de registro, que será mantido por meio de redefinições para a configuração original.
4.29.1. Os administradores de TI podem definir e receber um ID específico da inscrição
4.29.2. Esse ID específico de registro precisa ser mantido após uma redefinição para a configuração original
5. Usabilidade do dispositivo
5.1. Personalização do provisionamento gerenciado
Os administradores de TI podem modificar a UX do fluxo de configuração padrão para incluir recursos específicos da empresa. Como alternativa, os administradores de TI podem mostrar a marca fornecida pelo EMM durante o provisionamento.
5.1.1. Os administradores de TI podem personalizar o processo de provisionamento especificando os seguintes detalhes específicos da empresa: cor da empresa, logotipo da empresa, termos de serviço da empresa e outras exonerações de responsabilidade.
5.1.2. Os administradores de TI podem implantar uma personalização não configurável específica da EMM que inclui os seguintes detalhes: cor da EMM, logotipo da EMM, termos de serviço da EMM e outras exonerações de responsabilidade.
A versão 5.1.3 [primaryColor] foi descontinuada para o recurso corporativo em
Android 10 e mais recentes.
- Os EMMs precisam incluir os Termos de Serviço de provisionamento e outras exonerações de responsabilidade pelo fluxo de provisionamento no sistema pacotes de exonerações de responsabilidade de provisionamento, mesmo que a personalização específica do EMM seja não são usados.
- Os EMMs podem definir a personalização específica e não configurável padrão para todas as implantações, mas precisa permitir que os administradores de TI configurem as próprias e personalização.
5.2. Personalização empresarial
Os administradores de TI podem personalizar aspectos do perfil de trabalho com o branding corporativo. Por exemplo, os administradores de TI podem definir o ícone do usuário no perfil de trabalho como o logotipo corporativo. Outro exemplo é a configuração da cor de fundo do desafio de trabalho.
5.2.1. Os administradores de TI podem definir a cor da organização, para ser usada como a cor de fundo do desafio de trabalho.
5.2.2. Os administradores de TI podem definir o nome de exibição do perfil de trabalho ,
5.2.3. Os administradores de TI podem definir o ícone do usuário do perfil de trabalho ,
5.2.4. Os administradores de TI podem impedir que o usuário modifique o perfil de trabalho ícone ,
5.3. Personalização empresarial avançada
Os administradores de TI podem personalizar os dispositivos gerenciados com o branding corporativo. Por exemplo: Os administradores de TI podem definir o ícone do usuário principal como o logotipo corporativo ou configurar plano de fundo do dispositivo.
5.3.1. Os administradores de TI podem definir o nome de exibição do dispositivo gerenciado. ,
5.3.2. Os administradores de TI podem definir o ícone do usuário do dispositivo gerenciado.
5.3.3. Os administradores de TI podem impedir que o usuário modifique as informações de usuário ícone ,
5.3.4. Os administradores de TI podem definir o plano de fundo do dispositivo ,
5.3.5. Os administradores de TI podem impedir que o usuário modifique o plano de fundo do dispositivo.
5.4. Mensagens na tela de bloqueio
Os administradores de TI podem definir uma mensagem personalizada que é sempre exibida na tela de bloqueio do dispositivo e não exige que o dispositivo seja desbloqueado para ser lida.
5.4.1. Os administradores de TI podem definir uma mensagem personalizada para a tela de bloqueio.
5.5. Gerenciamento de transparência da política
Os administradores de TI podem personalizar o texto de ajuda fornecido aos usuários quando eles modificam configurações gerenciadas no dispositivo ou implantar um plano de suporte mensagem. Mensagens de suporte curtas e longas podem ser personalizadas. Essas mensagens são exibidas em situações como tentativas de desinstalação de um app gerenciado por que um administrador de TI já bloqueou a desinstalação.
5.5.1. os administradores de TI personalizam o formato curto e longas de mensagens de suporte.
5.5.2. Os administradores de TI podem implantar modelos de gerenciamento de mobilidade mensagens de suporte curtas e longas.
- O EMM pode definir as mensagens de suporte não configuráveis e específicas do EMM como padrão para todas as implantações, mas precisa permitir que os administradores de TI configurem as próprias mensagens.
5,6. Gerenciamento de contatos entre perfis
Os administradores de TI podem controlar quais dados de contato podem ser enviados para o perfil de trabalho. Ambos os apps de telefonia e mensagens (SMS) precisam ser executados no perfil pessoal; e Exigem acesso aos dados de contato do perfil de trabalho para oferecer funcionalidade de trabalho contatos, mas os administradores podem desativar esses recursos para proteger os dados de trabalho.
5.6.1. Os administradores de TI podem desativar a pesquisa de contatos entre perfis. para apps pessoais que usam o provedor de contatos do sistema.
5.6.2. Os administradores de TI podem desativar a pesquisa de ID de chamada entre perfis para apps de discagem pessoal que usam o provedor de contatos do sistema.
5.6.3. Os administradores de TI podem desativar o compartilhamento de contatos por Bluetooth com dispositivos Bluetooth que usam o provedor de contatos do sistema, por exemplo, chamadas viva-voz em carros ou fones de ouvido.
5,7. Gerenciamento de dados entre perfis
Permite que os administradores de TI gerenciem quais dados podem sair do perfil de trabalho, além os recursos de segurança padrão do perfil de trabalho. Com esse recurso, os administradores de TI podem permitir o compartilhamento de dados entre perfis para melhorar a usabilidade em casos de uso importantes. Os administradores de TI também podem proteger ainda mais os dados corporativos com mais lockdowns.
5.7.1. Os administradores de TI podem configurar filtros de intent entre perfis para que apps pessoais possam resolver a intent do perfil de trabalho, como compartilhar intents ou links da Web.
- O console pode sugerir filtros de intents conhecidos ou recomendados para mas não pode restringir filtros de intent a nenhuma lista arbitrária.
5.7.2. Os administradores de TI podem permitir apps gerenciados que podem exibir widgets na tela inicial.
- O console de EMM precisa permitir que os administradores de TI escolham na lista de apps que estão disponíveis para instalação para os usuários aplicáveis.
5.7.3. Os administradores de TI podem bloquear o uso do recurso de copiar/colar entre os perfis de trabalho e pessoal.
5.7.4. Os administradores de TI podem impedir que os usuários compartilhem dados do perfil de trabalho usando Beam NFC.
5.7.5. Os administradores de TI podem permitir que apps pessoais abram links da Web no local de trabalho. de usuário.
5,8. Política de atualização do sistema
Os administradores de TI podem configurar e aplicar atualizações do sistema over the air (OTA) para dispositivos.
5.8.1. O console da EMM permite que os administradores de TI definam as seguintes configurações de OTA:
- Automático: os dispositivos instalam atualizações OTA quando ficam disponíveis.
- Adiar: os administradores de TI precisam conseguir adiar a atualização OTA para até 30 dias. Esta política não afeta as atualizações de segurança (por exemplo, medidas de segurança área).
- Com janela: os administradores de TI precisam conseguir agendar atualizações OTA diariamente. durante a janela de manutenção do dispositivo.
5.8.2. O DPC do EMM aplica configurações de OTA em dispositivos.
5,9. Gerenciamento do modo de bloqueio de atividade
Os administradores de TI podem bloquear um ou mais apps na tela e garantir que os usuários não consegue sair do app.
5.9.1. O console do EMM permite que os administradores de TI permitam silenciosamente um conjunto arbitrário de para instalar e bloquear em um dispositivo. Os EMM O DPC permite serviços dedicados "Modo dispositivo".
5,10 Gerenciamento de atividade preferencial persistente
Permite que os administradores de TI definam um app como o gerenciador de intents padrão para intents que corresponder a um determinado filtro de intent. Por exemplo, permitir que os administradores de TI de navegador abre automaticamente links da Web ou qual app da tela de início é usado ao tocando no botão home.
5.10.1. Os administradores de TI podem definir qualquer pacote como o gerenciador de intent padrão para qualquer filtro de intent arbitrário.
- O console do EMM pode sugerir intents conhecidas ou recomendadas para mas não pode restringir intents a nenhuma lista arbitrária.
- O console do EMM precisa permitir que os administradores de TI escolham uma opção na lista de apps disponíveis para instalação para os usuários aplicáveis.
5,11. Gerenciamento de recursos de tela de bloqueio
- agentes de confiança
- desbloqueio com impressão digital
- notificações não excluídas
5.11.2. O DPC do EMM podem desativar os seguintes recursos de proteção de teclado no perfil de trabalho:
- agentes de confiança
- desbloqueio com impressão digital
5,12. Gerenciamento avançado de recursos de proteção de teclado
- Proteger a câmera
- Todas as notificações
- Não editado notificações
- Agentes de confiança
- Desbloqueio por impressão digital
- Todos os recursos de proteção de teclado
5.13. Depuração remota
Os administradores de TI podem recuperar recursos de depuração de dispositivos sem precisar de mais etapas.
5.13.1. Os administradores de TI podem solicitar relatórios de bugs remotamente, acessar relatórios de bugs no console do EMM e fazer o download deles no console.
5.14. Recuperação de endereço MAC
Os EMMs podem buscar silenciosamente o endereço MAC de um dispositivo. O endereço MAC pode ser usado para identificar dispositivos em outras partes da infraestrutura empresarial (por exemplo, ao identificar dispositivos para controle de acesso à rede).
5.14.1. O EMM pode recuperar silenciosamente o endereço MAC de um dispositivo e associá-lo ao dispositivo no no console do Google Cloud.
5,15 Gerenciamento avançado do modo de bloqueio de atividade
Quando um dispositivo é configurado como dedicado, os administradores de TI podem usar o console do EMM para realizar as seguintes tarefas:
5.15.1. Permite que um único app seja bloqueado de forma silenciosa em um dispositivo usando o DPC do EMM.
5.15.2. Ative ou desative os seguintes recursos da IU do sistema usando o DPC do EMM:
- Botão "Início"
- Visão geral
- Ações globais
- Notificações
- Informações do sistema / barra de status
- Bloqueio do teclado (tela de bloqueio)
5.15.3. Desative as caixas de diálogo de erro do sistema usando o DPC do EMM.
5.16. Política de atualização avançada do sistema
Os administradores de TI podem bloquear as atualizações do sistema em um dispositivo por um período de congelamento especificado.
5.16.1. O DPC do EMM pode aplicar atualizações do sistema OTA (over-the-air) aos dispositivos para um congelamento especificado período
5,17. Gerenciamento da transparência na política do perfil de trabalho
Os administradores de TI podem personalizar a mensagem exibida aos usuários quando o trabalho é removido. em um dispositivo.
5.17.1. Os administradores de TI podem fornecer texto personalizado a ser exibido quando um perfil de trabalho for excluído permanentemente.
5,18. Suporte a apps conectados
Os administradores de TI podem definir uma lista de pacotes que podem se comuniquem além dos limites do perfil de trabalho.
5,19. Atualizações manuais do sistema
Os administradores de TI podem instalar manualmente uma atualização do sistema fornecendo um caminho.
6. Descontinuação do administrador do dispositivo
6.1. Descontinuação do administrador do dispositivo
Os EMMs precisam publicar um plano até o fim de 2022, com o fim do suporte ao cliente para Administrador do dispositivo nos dispositivos GMS até o fim do primeiro trimestre de 2023.
7. Uso da API
7.1. Controlador de política padrão para novas vinculações
Por padrão, os dispositivos novos precisam ser gerenciados com o Android Device Policy. vinculações. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado uma área de configurações sob o título "Avançado" ou terminologia semelhante. Novos clientes não podem ser expostos a uma escolha arbitrária entre pilhas de tecnologia durante integração ou configuração de fluxos de trabalho. .
7.2. Controlador de política padrão para novos dispositivos
Por padrão, os dispositivos precisam ser gerenciados com o Android Device Policy para todos inscrições de novos dispositivos para vinculações novas e atuais. Os EMMs podem oferecer opção para gerenciar dispositivos usando um DPC personalizado na área de configurações abaixo de um título "Avançado" ou terminologia semelhante.