รายการฟีเจอร์ของ Android Enterprise

1.1.1. DPC ของ EMM ต้องเผยแพร่แบบสาธารณะใน Google Play เพื่อให้ผู้ใช้ทำสิ่งต่อไปนี้ได้ ติดตั้ง DPC บนอุปกรณ์ส่วนตัว

1.1.2. เมื่อติดตั้งแล้ว DPC จะต้องแนะนำผู้ใช้เกี่ยวกับขั้นตอน การจัดสรรโปรไฟล์งาน

1.1.3. หลังจากการจัดสรรเสร็จสมบูรณ์แล้ว จะไม่มีการจัดการใดๆ เหลืออยู่ในฝั่งส่วนบุคคลของอุปกรณ์

• ต้องนำนโยบายที่ใช้ระหว่างการจัดสรรออก
• ต้องเพิกถอนสิทธิ์ของแอป
• DPC ของ EMM จะต้องปิดไว้เป็นส่วนตัวของ อุปกรณ์

1.2.1. DPC ของ EMM ต้องเผยแพร่แบบสาธารณะใน Google Play DPC ต้องเป็น ซึ่งติดตั้งได้จากวิซาร์ดการตั้งค่าอุปกรณ์โดยป้อนตัวระบุเฉพาะสำหรับ DPC

1.3.1. EMM ต้องใช้แท็กฟอรัม NFC ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้การจัดสรรเพิ่มเติมเพื่อให้ผ่านการลงทะเบียนที่ไม่มีความละเอียดอ่อน รายละเอียดต่างๆ เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง

1.4.1. คิวอาร์โค้ดต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งผ่านรายการที่ไม่ละเอียดอ่อน รายละเอียดการลงทะเบียน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ การลงทะเบียน ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือ ใบรับรอง

1.4.2. หลังจาก DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC จะต้องเปิดขึ้น ทันทีและล็อกตัวเองไว้ที่หน้าจอจนกว่าจะจัดสรรอุปกรณ์อย่างสมบูรณ์

1.5.1. ผู้ดูแลระบบไอทีจะจัดสรรอุปกรณ์ของบริษัทได้โดยใช้การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม วิธีการตั้งค่าตามที่อธิบายไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที

1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที

1.6.2. หลังจาก DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC ของ EMM จะต้องเปิดขึ้นทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าอุปกรณ์จะได้รับการกําหนดค่าอย่างสมบูรณ์

• ระบบจะยกเว้นข้อกำหนดนี้สำหรับอุปกรณ์ที่ใช้การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม เพื่อจัดสรรตัวเองโดยสมบูรณ์โดยไม่ต้องแจ้งให้ทราบ (ตัวอย่างเช่น การติดตั้งใช้งานอุปกรณ์เฉพาะ)

1.6.3. DPC ของ EMM จะต้องตรวจสอบว่าโดยใช้รายละเอียดการลงทะเบียน ผู้ใช้ที่ไม่ได้รับอนุญาตจะเปิดใช้งานไม่ได้เมื่อมีการเรียกใช้ DPC ในช่วง ขั้นต่ำ การเปิดใช้งานจะต้องถูกล็อกไว้เฉพาะกับผู้ใช้ขององค์กรที่ระบุ

1.6.4. DPC ของ EMM ต้องทำให้เป็นจริงได้โดยใช้รายละเอียดการลงทะเบียน สำหรับผู้ดูแลระบบไอทีที่จะกรอกรายละเอียดการลงทะเบียนล่วงหน้า (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้ที่ไม่ซ้ำหรืออุปกรณ์ (เช่น ชื่อผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อให้ผู้ใช้ไม่ต้องป้อนรายละเอียด เมื่อเปิดใช้งานอุปกรณ์

• EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน หรือ ในการกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม

1.8.1. วิธีการจัดสรรบัญชี Google จะจัดสรรอุปกรณ์ของบริษัทตามหลักเกณฑ์การใช้งานที่ระบุ

1.8.2. เว้นแต่ EMM จะระบุอุปกรณ์เป็นองค์กรได้อย่างชัดเจน ลูกค้าไม่สามารถจัดสรรอุปกรณ์โดยไม่มีข้อความแจ้งในระหว่าง กระบวนการจัดสรร พรอมต์นี้ต้องดำเนินการที่ไม่ใช่การดำเนินการเริ่มต้น เช่น เลือกช่องทำเครื่องหมายหรือเลือกตัวเลือกเมนูที่ไม่ใช่ค่าเริ่มต้น แนะนำ EMM สามารถระบุอุปกรณ์ว่าเป็นทรัพย์สินขององค์กร จึงต้องมี ไม่จำเป็นต้องมีข้อความแจ้ง

1.10.1. ว่างเปล่าโดยเจตนา

1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าการดำเนินการเกี่ยวกับการปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทได้

1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือ ทั้งอุปกรณ์

1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือ ทั้งอุปกรณ์

1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตหรือรายการที่บล็อกของแอปพลิเคชันซึ่งมีสิทธิ์หรือ ไม่สามารถติดตั้งในโปรไฟล์ส่วนตัวได้

2.1.1. นโยบายต้องบังคับใช้การตั้งค่าเพื่อจัดการกับคำถามเพื่อความปลอดภัยของอุปกรณ์ (parentProfilePasswordSpecification สำหรับโปรไฟล์งาน ข้อกำหนดสำหรับรหัสผ่านสำหรับ ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)

2.1.2. ความซับซ้อนของรหัสผ่านต้องจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้

• PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
• PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
• PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และ รหัสผ่านอย่างน้อย 8 รหัสหรือเป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย อย่างน้อย 6 รายการ

2.2.1. นโยบายต้องบังคับใช้มาตรการรักษาความปลอดภัยสำหรับโปรไฟล์งาน โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรกำหนดข้อจำกัดสำหรับโปรไฟล์งานเท่านั้นในกรณีที่ไม่ใช่ ระบุไว้ ผู้ดูแลระบบไอทีจะตั้งค่านี้ได้สำหรับทั้งอุปกรณ์นี้โดยระบุขอบเขต (ดูข้อกำหนด 2.1)

2.1.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านต่อไปนี้

• PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีลำดับซ้ำกัน (4444) หรือที่เรียงลำดับ (1234, 4321, 2468)
• PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
• PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านที่เป็นตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6

2.3.2. จงใจเว้นว่างไว้

2.3.3. คุณสามารถตั้งค่าอายุการใช้งานของรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละรายการ พร้อมใช้งานบนอุปกรณ์:

1. เว้นว่างไว้
2. เว้นว่างไว้
3. จำนวนรหัสผ่านที่ล้มเหลวสูงสุดสำหรับการล้างข้อมูล : ระบุจำนวนครั้งที่ผู้ใช้สามารถป้อนรหัสผ่านไม่ถูกต้องก่อน ข้อมูลบริษัทจะถูกล้างออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้

2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้เอเจนต์ความน่าเชื่อถือของ Smart Lock แยกต่างหากสำหรับหน้าจอล็อกแต่ละรูปแบบที่มีในอุปกรณ์

2.4.2. ผู้ดูแลระบบไอทีสามารถเลือกอนุญาตและตั้งค่าความน่าเชื่อถือของ Smart Lock ได้ ตัวแทน โดยแยกสำหรับแต่ละหน้าจอล็อกที่มีอยู่ในอุปกรณ์ ดังนี้ เอเจนต์ความน่าเชื่อถือ: บลูทูธ, NFC, สถานที่, ใบหน้า, บนร่างกาย และเสียง

• ผู้ดูแลระบบไอทีสามารถแก้ไขพารามิเตอร์การกําหนดค่าตัวแทนความน่าเชื่อถือที่ใช้ได้

2.5.1. ทีม EMM DPC ต้องล็อกอุปกรณ์

2.7.1. DPC ของ EMM ต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก รวมถึงแอปที่ติดตั้งเป็นการส่วนตัว อุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน

2.8.1. DPC ของ EMM ต้องปิดการเปิดเครื่องในโหมดปลอดภัยโดยค่าเริ่มต้น

2.8.2. DPC ของ EMM ต้องเปิดและล็อกกับหน้าจอทันทีที่บูตเครื่องครั้งแรกระหว่างการจัดสรร เพื่อให้แน่ใจว่าไม่มีการโต้ตอบกับอุปกรณ์ด้วยวิธีอื่น

EMM ใช้ Play Integrity API เพื่อตรวจสอบว่าเป็นอุปกรณ์ Android ที่ถูกต้อง

2.9.1. DPC ของ EMM จะใช้ Play Integrity API ในระหว่างการจัดเตรียมอุปกรณ์ และโดยค่าเริ่มต้นจะจัดเตรียมอุปกรณ์ด้วยข้อมูลของบริษัทให้เสร็จสมบูรณ์ก็ต่อเมื่อความสมบูรณ์ของอุปกรณ์ที่แสดงผลเป็น MEETS_STRONG_INTEGRITY เท่านั้น

2.9.2. DPC ของ EMM จะทำการตรวจสอบความสมบูรณ์ของ Play อีกครั้งทุกครั้งที่ อุปกรณ์จะตรวจสอบกับเซิร์ฟเวอร์ของ EMM ซึ่งผู้ดูแลระบบไอทีกำหนดค่าได้ EMM เซิร์ฟเวอร์จะยืนยันข้อมูล APK ในการตอบกลับการตรวจสอบความสมบูรณ์ ตอบสนองได้ด้วยตัวเองก่อนอัปเดตนโยบายของบริษัทในอุปกรณ์

2.9.3. ผู้ดูแลระบบไอทีตั้งค่าการตอบกลับนโยบายต่างๆ ได้โดยอิงตามผลลัพธ์ของ การตรวจสอบ Play Integrity รวมถึงการบล็อกการจัดสรร การล้างข้อมูลองค์กร และอนุญาตให้ลงทะเบียนดำเนินการต่อได้

• บริการ EMM จะบังคับใช้การตอบกลับนโยบายนี้สำหรับผลลัพธ์ของ การตรวจสอบความสมบูรณ์แต่ละครั้ง

2.11.1. DPC ของ EMM ใช้ประโยชน์จากพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์เพื่อดำเนินการตามฟังก์ชันการจัดการที่สำคัญก่อนที่จะมีการถอดรหัสพื้นที่เก็บข้อมูลที่เข้ารหัสข้อมูลเข้าสู่ระบบของ DPC ฟังก์ชันการจัดการที่ใช้ได้ระหว่างการเปิดเครื่องโดยตรงต้องมี (แต่ ไม่จำกัดอยู่เพียงรายการต่อไปนี้เท่านั้น):

• การล้างข้อมูลระดับองค์กร รวมถึงความสามารถในการล้างข้อมูลการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นตามความเหมาะสม

2.11.2. DPC ของ EMM ต้องไม่เปิดเผยข้อมูลบริษัทที่อยู่ในอุปกรณ์ที่เข้ารหัส พื้นที่เก็บข้อมูล

2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมกับอุปกรณ์ภายนอกได้ สื่อ บนอุปกรณ์ของตน

2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์ของตนโดยใช้ NFC ได้ บีม ที่ใช้เวลาเพียง 2 นาที ฟีเจอร์ย่อยนี้ไม่บังคับเนื่องจาก Android 10 ขึ้นไปไม่รองรับฟังก์ชัน NFC Beam อีกต่อไป

2.13.1. ผู้ดูแลระบบไอทีสามารถเปิดใช้การบันทึกเพื่อรักษาความปลอดภัยได้ และ DPC ของ EMM จะต้องดึงข้อมูลทั้งความปลอดภัย บันทึก และบันทึกความปลอดภัยล่วงหน้าก่อนรีบูตโดยอัตโนมัติ

2.13.2. ผู้ดูแลระบบไอทีสามารถตรวจสอบบันทึกการรักษาความปลอดภัยขององค์กรสำหรับอุปกรณ์หนึ่งๆ และกรอบเวลาที่กำหนดค่าได้ในคอนโซลของ EMM

3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วสามารถเชื่อมโยงโดเมนกับ EMM แล้ว

3.1.2. คอนโซลของ EMM ต้องจัดสรรและตั้งค่าที่ไม่ซ้ำโดยไม่ต้องแจ้ง ESA ของแต่ละองค์กร

3.1.3. ยกเลิกการลงทะเบียนองค์กรโดยใช้ Play EMM API

3.1.4. คอนโซล EMM จะแนะนำผู้ดูแลระบบให้ป้อนอีเมลที่ทำงานในช่อง ขั้นตอนการลงชื่อสมัครใช้ Android และไม่ทำให้ผู้ใช้ใช้บัญชี Gmail ได้

3.2.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการโดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่ระบุ โดยดำเนินการดังนี้

• เพิ่มบัญชี Managed Google Play ประเภท userAccount ลงใน อุปกรณ์
• บัญชี Managed Google Play ประเภท userAccount ต้องมี 1 ต่อ 1 การจับคู่กับผู้ใช้จริงในคอนโซลของ EMM

3.4.1. DPC ของ EMM จะจัดสรรและเปิดใช้งาน Managed Google Play เงียบได้ บัญชีตามหลักเกณฑ์การใช้งานที่กำหนด โดยการดำเนินการนี้

1. เพิ่มบัญชี Managed Google Play ประเภท userAccount ลงใน อุปกรณ์
2. บัญชี Managed Google Play ประเภท userAccount ต้องมี 1 ต่อ 1 การจับคู่กับผู้ใช้จริงในคอนโซลของ EMM

3.5.1. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ

3.5.2. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการ

3.6.1. คอนโซลของ EMM ต้องสามารถดึงข้อมูลและแสดง การกำหนดค่าของแอป Play ต่างๆ

• EMM สามารถโทรหา Products.getAppRestrictionsSchema เพื่อเรียกข้อมูล สคีมาการกำหนดค่าที่มีการจัดการของแอปหรือฝัง iframe การกำหนดค่าที่มีการจัดการไว้ใน คอนโซล EMM

3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการกำหนดค่าประเภทใดก็ได้ (เป็น กำหนดโดยเฟรมเวิร์ก Android) สำหรับแอป Play ทุกแอปที่ใช้ Play EMM API

3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ดได้ (เช่น $username$ หรือ %emailAddress%) เพื่อให้การกำหนดค่าแอปเดียว เช่น Gmail ใช้ได้กับผู้ใช้หลายคน iframe การกำหนดค่าที่มีการจัดการ จะรองรับข้อกำหนดนี้โดยอัตโนมัติ

3.7.1. คอนโซลของ EMM แสดงรายการแอปที่ได้รับอนุมัติสำหรับ การจัดจำหน่าย ได้แก่

• แอปที่ซื้อใน Managed Google Play
• แอปส่วนตัวที่ผู้ดูแลระบบไอทีจะมองเห็น
• แบบเป็นโปรแกรม แอปที่ได้รับอนุมัติ

3.10.1. ผู้ดูแลระบบไอทีสามารถดำเนินการต่อไปนี้ในคอนโซลของ EMM เพื่อ ปรับแต่งเลย์เอาต์ของ Managed Google Play Store ดังนี้

• สร้างหน้าเลย์เอาต์ร้านค้าได้สูงสุด 100 หน้า หน้าเว็บอาจมีชื่อหน้าเว็บที่แปลแล้วได้ไม่จำกัดจำนวน
• สร้างคลัสเตอร์ได้สูงสุด 30 รายการสำหรับแต่ละหน้า คลัสเตอร์อาจมีชื่อคลัสเตอร์ที่แปลแล้วได้ไม่จำกัดจำนวน
• กำหนดแอปได้สูงสุด 100 แอปในแต่ละคลัสเตอร์
• เพิ่มลิงก์ด่วนได้สูงสุด 10 ลิงก์ไปยังแต่ละหน้า
• ระบุลําดับการจัดเรียงของแอปภายในคลัสเตอร์และคluster ภายในหน้า

3.11.1. สำหรับแอปที่ต้องซื้อที่ได้รับอนุมัติสำหรับองค์กร คอนโซลของ EMM ต้อง จอแสดงผล

• จำนวนใบอนุญาตที่ซื้อ
• จำนวนใบอนุญาตที่ใช้และจำนวนผู้ใช้ที่ใช้ใบอนุญาต
• จำนวนใบอนุญาตที่พร้อมจำหน่าย

3.11.2. ผู้ดูแลระบบไอทีสามารถมอบหมายใบอนุญาตแก่ผู้ใช้โดยไม่ต้องแจ้ง โดยไม่มีการบังคับให้ติดตั้งแอปนั้น อุปกรณ์

3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่อยู่แล้ว แบบส่วนตัวภายในองค์กรโดยใช้:

ผู้ดูแลระบบไอทีดูรายละเอียดได้ที่หัวข้อรองรับแอปส่วนตัว

3.13.1. คอนโซลของ EMM ต้องช่วยผู้ดูแลระบบไอทีโฮสต์ APK ของแอป โดยให้บริการทั้ง 2 อย่าง ตัวเลือกต่อไปนี้

• การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นเซิร์ฟเวอร์ภายในองค์กรหรือ ในระบบคลาวด์
• การโฮสต์ APK ภายนอกเซิร์ฟเวอร์ของ EMM ตามการพิจารณาตามที่เห็นสมควร ผู้ดูแลระบบไอที ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่าที่ไหน APK นั้นโฮสต์อยู่

3.13.2. คอนโซลของ EMM ต้องสร้างคำจำกัดความ APK ที่เหมาะสม ไฟล์ที่ใช้ APK ที่ให้ไว้ และต้องให้คำแนะนำผู้ดูแลระบบไอทีผ่านกระบวนการเผยแพร่

3.13.3. ผู้ดูแลระบบไอทีจะอัปเดตแอปส่วนตัวที่โฮสต์ด้วยตนเองและคอนโซลของ EMM ได้ สามารถเผยแพร่ไฟล์ข้อกำหนด APK ที่อัปเดตแล้ว โดยใช้ Google Play Publishing API สำหรับนักพัฒนาซอฟต์แวร์

3.13.4. เซิร์ฟเวอร์ของ EMM จะแสดงคำขอดาวน์โหลดสำหรับ APK ที่โฮสต์ด้วยตนเองเท่านั้น ที่มี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดย คีย์สาธารณะของแอปส่วนตัว

• เซิร์ฟเวอร์ของ EMM ต้องแนะนำให้ผู้ดูแลระบบไอทีดำเนินการต่อไปนี้เพื่ออำนวยความสะดวกในกระบวนการนี้ ดาวน์โหลดคีย์สาธารณะของใบอนุญาตของแอปที่โฮสต์ด้วยตนเองจาก Play Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM

3.14.1. EMM ต้องใช้การแจ้งเตือน EMM ของ Play เพื่อดึงชุดการแจ้งเตือน

3.14.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบโดยอัตโนมัติ (เช่น อีเมลอัตโนมัติ) ของเหตุการณ์การแจ้งเตือนต่อไปนี้

• newPermissionEvent: ผู้ดูแลระบบไอทีต้องอนุมัติสิทธิ์ใหม่ของแอปก่อนจึงจะติดตั้งหรืออัปเดตแอปในอุปกรณ์ของผู้ใช้ได้โดยอัตโนมัติ
• appRestrictionsSchemaChangeEvent: อาจกำหนดให้ผู้ดูแลระบบไอทีอัปเดต การกำหนดค่าที่มีการจัดการของแอปเพื่อรักษาฟังก์ชันการทำงานตามที่คาดหวังไว้
• appUpdateEvent: อาจสนใจผู้ดูแลระบบไอทีที่ต้องการดำเนินการ ตรวจสอบว่าฟังก์ชันการทำงานหลักของเวิร์กโฟลว์จะไม่ได้รับผลกระทบจากการอัปเดตแอป
• productAvailabilityChangeEvent: อาจส่งผลต่อความสามารถในการติดตั้ง หรืออัปเดตแอป
• installFailureEvent: Play ไม่สามารถติดตั้งแอปใน อุปกรณ์หมายความว่าอาจมีบางอย่างเกี่ยวกับอุปกรณ์ดังกล่าว ที่ป้องกันการติดตั้ง EMM ไม่ควรลองติดตั้งแบบเงียบอีกครั้งทันทีหลังจากได้รับการแจ้งเตือนนี้ เนื่องจากตรรกะการลองอีกครั้งของ Play จะดำเนินการไม่สำเร็จแล้ว

3.14.3. EMM จะดำเนินการตามความเหมาะสมโดยอัตโนมัติโดยพิจารณาจากสิ่งต่อไปนี้ เหตุการณ์การแจ้งเตือน:

• newDeviceEvent: ในระหว่างการจัดสรรอุปกรณ์ EMM ต้องรอ newDeviceEvent ก่อนที่จะเรียก Play EMM API ครั้งถัดไป อุปกรณ์ ซึ่งรวมถึงการติดตั้งแอปที่ปิดเสียงและการตั้งค่าการกำหนดค่าที่มีการจัดการ
• productApprovalEvent: เมื่อได้รับ productApprovalEvent EMM ต้องอัปเดตรายการแอปที่อนุมัติที่นำเข้าโดยอัตโนมัติ ลงในคอนโซล EMM เพื่อเผยแพร่ไปยังอุปกรณ์หากมีผู้ดูแลระบบไอทีที่ใช้งานอยู่ หรือหากรายชื่อแอปที่อนุมัติไม่โหลดซ้ำโดยอัตโนมัติที่ เริ่มเซสชันผู้ดูแลระบบไอทีแต่ละเซสชัน

3.15.1. EMM ต้องเป็นไปตาม Play EMM API ขีดจำกัดการใช้งาน การไม่แก้ไขลักษณะการทำงานที่ยาวเกินหลักเกณฑ์เหล่านี้อาจ ส่งผลให้มีการระงับการใช้ API โดยพิจารณาตามที่เห็นสมควรของ Google

3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในเวลาที่เจาะจงหรือคล้ายกัน พฤติกรรมที่ตรงกับรูปแบบการเข้าชมนี้ เช่น กลุ่มที่กำหนดเวลาไว้ การดำเนินการสำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียน อาจส่งผลให้มีการระงับการใช้ API การพิจารณาตามที่เห็นสมควรของ Google

• iframe ของ Managed Google Play หรือ
• UI ที่กําหนดเอง

3.16.2. คอนโซลของ EMM ต้องเรียกใช้และแสดงความคิดเห็นได้ ส่งคืนโดยช่องทางการแสดงความคิดเห็นของแอป เมื่อตั้งค่าโดยผู้ดูแลระบบไอที

• คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นรายการใดรายการหนึ่ง กับอุปกรณ์และแอปที่เป็นต้นกำเนิดด้วย
• คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงาน ข้อความบางประเภท (เช่น ข้อความแสดงข้อผิดพลาด)

3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือกำหนดโดยผู้ดูแลระบบด้วยตนเอง โดยใช้:

• iframe การกำหนดค่าที่มีการจัดการ หรือ
• UI ที่กำหนดเอง

3.17.1. ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อกระจายทางลัดไปยังเว็บแอปได้ โดยใช้:

3.18.1. EMM สามารถจัดการวงจรของบัญชี Managed Google Play ได้ ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API

3.18.2. EMM สามารถตรวจสอบสิทธิ์บัญชี Managed Google Play อีกครั้งโดยไม่ต้องมีผู้ใช้ การโต้ตอบ

3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน

4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่า นโยบายสิทธิ์รันไทม์เริ่มต้นสำหรับองค์กร

• ข้อความแจ้ง (ให้ผู้ใช้เลือก)
• allow
• ปฏิเสธ

4.3.1. SSID โดยใช้ DPC ของ EMM

4.4.1. ข้อมูลประจำตัว โดยใช้ DPC ของ EMM

4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์ โดยใช้ DPC ของ EMM ที่ใช้เวลาเพียง 2 นาที

4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรในลักษณะต่อไปนี้ การกำหนดค่าต่อไปนี้

• ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ใดๆ ที่ EMM จัดสรรไว้ไม่ได้ แต่สามารถเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าได้ของตนเอง (เช่น เครือข่ายส่วนตัว)
• ผู้ใช้ไม่สามารถเพิ่มหรือแก้ไขเครือข่าย Wi-Fi บน อุปกรณ์ โดยจำกัดการเชื่อมต่อ Wi-Fi ไว้เฉพาะเครือข่ายที่จัดสรรไว้เท่านั้น EMM ด้วย

4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันการเพิ่มหรือแก้ไขบัญชีได้

• เมื่อบังคับใช้นโยบายนี้กับอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ ก่อนที่การจัดสรรจะเสร็จสมบูรณ์ เพื่อให้มั่นใจว่าคุณไม่สามารถหลีกเลี่ยง โดยเพิ่มบัญชีก่อนที่จะบังคับใช้นโยบาย

4.7.1. ผู้ดูแลระบบไอทีจะระบุบัญชี Google เพื่อเปิดใช้งานได้ ในระหว่างการจัดสรร หลังจากการจัดการบัญชี ปิดล็อก ทำงานอยู่

4.7.2. DPC ของ EMM ต้องแจ้งให้เปิดใช้งาน บัญชี และตรวจสอบว่า เฉพาะบางบัญชีเท่านั้นที่สามารถเปิดใช้งานได้โดยการระบุ บัญชีที่จะเพิ่ม

• บนอุปกรณ์ที่ต่ำกว่า Android 7.0 DPC จะต้อง ปิดข้อจำกัดการจัดการบัญชีชั่วคราวก่อนที่จะแจ้งให้ ผู้ใช้

4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวผู้ใช้ที่สร้างโดย PKI ได้ใน ต่อผู้ใช้หนึ่งคน คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการและ แจกจ่ายใบรับรองที่สร้างจากโครงสร้างพื้นฐานดังกล่าว

4.9.1. สําหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีจะระบุใบรับรองได้ แอปจะมีสิทธิ์เข้าถึงโดยไม่ต้องแจ้งให้ทราบ เป็นระหว่างรันไทม์

• การเลือกใบรับรองต้องเป็นแบบทั่วไปพอที่จะกำหนดค่าได้รายการเดียว ซึ่งมีผลกับผู้ใช้ทั้งหมด โดยแต่ละรายอาจมี ใบรับรองข้อมูลประจำตัว

4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออกโดยไม่ต้องแจ้งให้ทราบ จากคีย์สโตร์ที่มีการจัดการ

4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA โดยไม่ต้องส่งเสียง หรือใบรับรอง CA ที่ไม่ใช่ระบบทั้งหมด

4.9.4. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบได้ ในคีย์สโตร์ที่มีการจัดการ

4.10.1. ผู้ดูแลระบบไอทีระบุแพ็กเกจการจัดการใบรับรองที่จะตั้งค่าเป็น แอปการจัดการใบรับรองที่ได้รับมอบสิทธิ์จาก DPC

• Console อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่มีให้ สำหรับผู้ใช้ที่เกี่ยวข้อง

4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่กำหนดเองได้ ตั้งค่าเป็น "VPN แบบเปิดตลอดเวลา" ได้

• คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ ใช้ VPN ตลอดเวลา แต่จำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่า "เปิดตลอดเวลา" ไม่ได้ รายการใดก็ได้ที่กำหนดเอง

4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สำหรับ แอป

4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อก IME ที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้

• คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำสำหรับ IME สำหรับ รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการ ของแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง

4.13.1. ผู้ดูแลระบบไอทีตั้งค่ารายการ IME ที่อนุญาตได้ ความยาวที่กำหนดเอง (ไม่รวมรายการที่ว่างเปล่า ซึ่งจะบล็อก IME ทั้งหมดรวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ที่กำหนดเอง

• คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำสำหรับ IME สำหรับ รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการ ของแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง

4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีสร้างรายการที่อนุญาตที่ว่างเปล่า เนื่องจาก จะบล็อก IME ทั้งหมดรวมถึง IME ของระบบไม่ให้ตั้งค่าบน อุปกรณ์

4.14.1. ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตสำหรับบริการการช่วยเหลือพิเศษได้ ยาวตามต้องการ (รวมถึงรายการที่ว่างเปล่า ซึ่งจะบล็อก บริการช่วยเหลือพิเศษ) ซึ่งอาจมีบริการการช่วยเหลือพิเศษที่กำหนดเอง ใหม่ การใช้กับโปรไฟล์งานจะส่งผลต่อทั้งโปรไฟล์ส่วนตัว และโปรไฟล์งาน

• Console อาจแนะนำบริการช่วยเหลือพิเศษที่ทราบหรือแนะนำ เพื่อรวมไว้ในรายการที่อนุญาตได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกได้ รายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง

4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์เป็นโหมดต่อไปนี้

• ความแม่นยำสูง
• เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมที่ได้จากเครือข่าย ตำแหน่งนั้น
• ประหยัดแบตเตอรี่ ซึ่งจะจำกัดความถี่ในการอัปเดต
• ปิด

4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตเป็นค่าเริ่มต้นได้ อุปกรณ์ของตนจากการตั้งค่าได้

4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีการปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์หลังจากรีเซ็ตเป็นค่าเริ่มต้น

• บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดา หรือใช้โดยทั้งองค์กรเพื่อปลดล็อกอุปกรณ์ก็ได้

4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นสำหรับอุปกรณ์ที่ระบุ

4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มการล้างข้อมูลอุปกรณ์ระยะไกลซึ่งจะล้างข้อมูลการป้องกันการรีเซ็ตได้ ซึ่งจะนำการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นออกจากอุปกรณ์ที่รีเซ็ต

4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่มีการจัดการที่กำหนดเอง หรือแอปที่มีการจัดการทั้งหมดได้

4.21.1. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปสถิติเครือข่ายสำหรับโปรไฟล์งาน สำหรับอุปกรณ์ที่ต้องการและกรอบเวลาที่สามารถกำหนดค่าได้ ตลอดจนดูรายละเอียดเหล่านี้ใน คอนโซลของ EMM

4.21.2. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปของแอปในการใช้งานเครือข่ายของโปรไฟล์งาน สถิติ สำหรับอุปกรณ์และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดต่อไปนี้ จัดระเบียบตาม UID ในคอนโซลของ EMM

4.21.3. ผู้ดูแลระบบไอทีสามารถค้นหาเครือข่ายของโปรไฟล์งานโดยใช้ข้อมูลย้อนหลังได้ สำหรับอุปกรณ์และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดต่อไปนี้ จัดระเบียบตาม UID ในคอนโซลของ EMM

4.22.1. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปสถิติเครือข่ายสำหรับอุปกรณ์ทั้งเครื่อง สำหรับอุปกรณ์และกรอบเวลาที่สามารถกำหนดค่าได้ ตลอดจนดูรายละเอียดเหล่านี้ใน คอนโซลของ EMM

4.22.2. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปการใช้เครือข่ายแอป สถิติ สำหรับอุปกรณ์และกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดต่อไปนี้ จัดระเบียบตาม UID ในคอนโซลของ EMM

ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้

4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกลได้ อุปกรณ์ที่มีการจัดการ

4.24.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การส่งข้อมูลเตือนภัยทางมือถือ (CB) ได้ ที่ส่งโดยผู้ให้บริการ (เช่น การแจ้งเตือน AMBER)

4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ในการตั้งค่า ที่ใช้เวลาเพียง 2 นาที

4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายในการตั้งค่า ที่ใช้เวลาเพียง 2 นาที

4.24.4. ผู้ดูแลระบบไอทีสามารถอนุญาตหรือไม่อนุญาตอินเทอร์เน็ตมือถือขณะโรมมิ่งได้ ที่ใช้เวลาเพียง 2 นาที

4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าจะให้อุปกรณ์โทรออกได้หรือไม่ , ไม่รวมหมายเลขฉุกเฉิน

4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าจะให้อุปกรณ์ส่งและรับข้อความได้หรือไม่ ที่ใช้เวลาเพียง 2 นาที

4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์ของตนเป็นฮอตสปอตแบบพกพาด้วยการเชื่อมต่ออินเทอร์เน็ตผ่านมือถือ ที่ใช้เวลาเพียง 2 นาที

4.24.8. ผู้ดูแลระบบไอทีสามารถกำหนดระยะหมดเวลาของ Wi-Fi ได้ เป็นค่าเริ่มต้น เมื่อเสียบปลั๊กเท่านั้น หรือไม่เลย ที่ใช้เวลาเพียง 2 นาที

4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการเงียบได้

4.25.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์

4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์

4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบ ซึ่งจะป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่และเวลาของอุปกรณ์

4.26.2. ผู้ดูแลระบบไอทีสามารถปิดหรือเปิดทั้งเวลาอัตโนมัติและเขตเวลาอัตโนมัติได้โดยที่ผู้ใช้ไม่รู้

4.27.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันด้วยคีย์การ์ดของอุปกรณ์ได้

4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ ซึ่งจะบล็อกการแจ้งเตือนและการตั้งค่าด่วน

4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้เปิดหน้าจออุปกรณ์ไว้ ขณะที่อุปกรณ์เสียบปลั๊กอยู่

4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ UI ของระบบต่อไปนี้ ไม่ให้แสดง:

• ข้อความโทสต์
• การวางซ้อนแอปพลิเคชัน

ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้

4.28.1. ผู้ดูแลระบบไอทีจะจัดการได้ ขอบเขตต่อไปนี้

• การติดตั้งและการจัดการใบรับรอง
• เว้นว่างไว้
• การบันทึกเครือข่าย
• การบันทึกการรักษาความปลอดภัย (ไม่รองรับโปรไฟล์งานที่นำมาใช้เอง)

ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรการใช้งานอุปกรณ์ได้ ด้วยโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะคงอยู่ ผ่านการรีเซ็ตเป็นค่าเริ่มต้น

4.29.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าและรับ รหัสเฉพาะการลงทะเบียน

5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุ รายละเอียดเฉพาะองค์กรต่อไปนี้ สีสำหรับองค์กร โลโก้องค์กร ข้อกำหนดในการให้บริการขององค์กรและข้อจำกัดความรับผิดอื่นๆ

5.1.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานการปรับแต่งเฉพาะสำหรับ EMM ที่กำหนดค่าไม่ได้ ซึ่ง มีรายละเอียดต่อไปนี้: สีของ EMM, โลโก้ EMM, ข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ ของ EMM

5.1.3 [primaryColor] เลิกใช้งานแล้วสำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไป

• EMM ต้องระบุข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ สำหรับขั้นตอนการจัดสรรในระบบ การจัดสรรกลุ่มข้อจำกัดความรับผิด แม้ว่าการกำหนดค่าเฉพาะของ EMM จะกำหนดไว้ดังนี้ ที่ไม่ได้ใช้
• EMM อาจตั้งค่าการกำหนดค่าเฉพาะสำหรับ EMM ที่กำหนดค่าไม่ได้เป็น ค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่า การปรับแต่งได้มากขึ้น

5.2.1. ผู้ดูแลระบบไอทีสามารถกำหนดสีขององค์กร เพื่อใช้เป็นสีพื้นหลังของภารกิจการทำงาน

5.2.2. ผู้ดูแลระบบไอทีสามารถตั้งชื่อที่แสดงของโปรไฟล์งานได้ ที่ใช้เวลาเพียง 2 นาที

5.2.3. ผู้ดูแลระบบไอทีสามารถกำหนดไอคอนผู้ใช้ของโปรไฟล์งานได้ ที่ใช้เวลาเพียง 2 นาที

5.2.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้โปรไฟล์งานได้

5.3.1. ผู้ดูแลระบบไอทีสามารถตั้งชื่อที่แสดงสำหรับอุปกรณ์ที่มีการจัดการได้ ที่ใช้เวลาเพียง 2 นาที

5.3.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของอุปกรณ์ที่มีการจัดการได้ ที่ใช้เวลาเพียง 2 นาที

5.3.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขผู้ใช้อุปกรณ์ได้ ไอคอน ที่ใช้เวลาเพียง 2 นาที

5.3.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าวอลเปเปอร์ของอุปกรณ์ ที่ใช้เวลาเพียง 2 นาที

5.5.1 ผู้ดูแลระบบไอทีสามารถปรับแต่งทั้งข้อความการสนับสนุนสั้นและยาว

5.5.2. ผู้ดูแลระบบไอทีสามารถทำให้ข้อความสนับสนุนสั้นและยาวสำหรับ EMM ที่เฉพาะเจาะจงใช้งานได้โดยไม่สามารถกำหนดค่าได้

• EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะของ EMM ที่กำหนดค่าไม่ได้เป็น ค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่า ข้อความ

5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหารายชื่อติดต่อข้ามโปรไฟล์ได้ สำหรับแอปส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ

5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหาหมายเลขผู้โทรข้ามโปรไฟล์ได้ สำหรับแอปโทรศัพท์ส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ

5.6.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อผ่านบลูทูธกับอุปกรณ์บลูทูธได้ ที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ เช่น การโทรแบบแฮนด์ฟรีในรถยนต์ หรือชุดหูฟัง

5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่าตัวกรอง Intent ข้ามโปรไฟล์ได้ เพื่อให้แอปส่วนตัวแก้ไข Intent จากโปรไฟล์งานได้ เช่น Intent ในการแชร์ เว็บลิงก์

• Console อาจแนะนำตัวกรอง Intent ที่รู้จักหรือแนะนำสำหรับ การกำหนดค่า แต่จำกัดตัวกรอง Intent ในรายการที่กำหนดเองไม่ได้

5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตแอปที่มีการจัดการซึ่งแสดงวิดเจ็ตในหน้าจอหลักได้

• คอนโซลของ EMM ต้องให้ผู้ดูแลระบบไอทีเลือกเลือกจากรายการได้ ของแอปที่พร้อมให้ผู้ใช้ที่เกี่ยวข้องติดตั้งได้

5.7.3. ผู้ดูแลระบบไอทีสามารถบล็อกการใช้การคัดลอก/วางระหว่างโปรไฟล์งานกับโปรไฟล์ส่วนตัว

5.7.4. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากโปรไฟล์งานได้โดยใช้ การบีม NFC

5.7.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปส่วนตัวเปิดเว็บลิงก์จากงานได้ โปรไฟล์

5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีกำหนดค่า OTA ต่อไปนี้ได้

• อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมให้บริการ
• เลื่อน: ผู้ดูแลระบบไอทีต้องเลื่อนการอัปเดต OTA ได้สูงสุด 30 ครั้ง วัน นโยบายนี้ไม่มีผลต่อการอัปเดตความปลอดภัย (เช่น การรักษาความปลอดภัยรายเดือน )
• อยู่ในโหมดหน้าต่าง: ผู้ดูแลระบบไอทีต้องกำหนดเวลาการอัปเดต OTA ได้ภายในรายวัน ช่วงเวลาบำรุงรักษา

5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นเครื่องจัดการ Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง

• คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับ การกำหนดค่า แต่ไม่สามารถจำกัด Intent ในรายการที่กำหนดเอง
• คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง

• เอเจนต์ความน่าเชื่อถือ
• การปลดล็อกด้วยลายนิ้วมือ
• การแจ้งเตือนที่ไม่ได้ปกปิด

5.11.2. DPC ของ EMM สามารถปิดฟีเจอร์การล็อกต่อไปนี้ในโปรไฟล์งาน

• เอเจนต์ความน่าเชื่อถือ
• การปลดล็อกด้วยลายนิ้วมือ

• กล้องที่ปลอดภัย
• การแจ้งเตือนทั้งหมด
• ไม่ได้ปกปิด การแจ้งเตือน
• เอเจนต์ความน่าเชื่อถือ
• ปลดล็อกด้วยลายนิ้วมือ
• ฟีเจอร์การล็อกทั้งหมด

5.14.1. EMM สามารถเรียกข้อมูลโดยไม่ต้องแจ้ง ที่อยู่ MAC ของอุปกรณ์และสามารถเชื่อมโยงกับอุปกรณ์ใน EMM คอนโซลผู้ดูแลระบบ

5.15.1. อนุญาตให้แอปเดียวล็อกกับอุปกรณ์โดยอัตโนมัติโดยใช้ DPC ของ EMM

5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้โดยใช้ DPC ของ EMM

• ปุ่มหน้าหลัก
• ภาพรวม
• การดำเนินการส่วนกลาง
• การแจ้งเตือน
• ข้อมูลระบบ / แถบสถานะ
• การล็อกปุ่มกด (หน้าจอล็อก)

5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบโดยใช้ DPC ของ EMM

5.17.1. ผู้ดูแลระบบไอทีสามารถจัดเตรียมข้อความที่กำหนดเองที่จะแสดงเมื่อล้างข้อมูลโปรไฟล์งาน