Daftar fitur Android Enterprise

1.1.1. DPC EMM harus tersedia untuk publik di Google Play agar pengguna dapat menginstal DPC di sisi pribadi perangkat.

1.1.2. Setelah diinstal, DPC harus memandu pengguna melalui proses penyediaan profil kerja.

1.1.3. Setelah penyediaan selesai, tidak ada lagi kehadiran pengelolaan di sisi pribadi perangkat.

• Kebijakan apa pun yang diterapkan selama penyediaan harus dihapus.
• Hak istimewa aplikasi harus dicabut.
• DPC EMM, minimal, harus dinonaktifkan di sisi pribadi perangkat.

1.2.1. DPC EMM harus tersedia secara publik di Google Play. DPC harus dapat diinstal dari wizard penyiapan perangkat dengan memasukkan ID khusus DPC.

1.3.1. EMM harus menggunakan Tag Forum Tipe 2 NFC dengan memori minimal 888 byte. Penyediaan harus menggunakan tambahan penyediaan untuk meneruskan detail pendaftaran yang tidak sensitif, seperti ID server dan ID pendaftaran ke perangkat. Detail pendaftaran tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat.

1.3.2. Setelah DPC EMM menetapkan dirinya sebagai pemilik perangkat, DPC harus segera terbuka dan mengunci dirinya sendiri ke layar hingga perangkat disediakan sepenuhnya.

1.4.1. Kode QR harus menggunakan tambahan penyediaan untuk meneruskan detail pendaftaran yang tidak sensitif, seperti ID server dan ID pendaftaran, ke perangkat. Detail pendaftaran tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat.

1.4.2. Setelah DPC EMM menyiapkan perangkat, DPC harus segera terbuka dan mengunci dirinya sendiri ke layar hingga perangkat disediakan sepenuhnya.

1.5.1. Admin IT dapat menyediakan perangkat milik perusahaan menggunakan metode pendaftaran zero-touch, yang diuraikan dalam Pendaftaran zero-touch untuk admin IT.

1.6.1. Admin IT dapat menyediakan perangkat milik perusahaan menggunakan metode pendaftaran zero-touch, yang diuraikan di Pendaftaran zero-touch untuk admin IT.

1.6.2. Setelah DPC EMM menyiapkan perangkat, DPC EMM harus segera terbuka dan mengunci dirinya sendiri ke layar hingga perangkat disediakan sepenuhnya.

• Persyaratan ini dikesampingkan bagi perangkat yang menggunakan detail pendaftaran pendaftaran zero-touch untuk melakukan penyediaan penuh secara otomatis (misalnya dalam deployment perangkat khusus).

1.6.3. Dengan menggunakan detail pendaftaran, DPC EMM harus memastikan bahwa pengguna yang tidak sah tidak dapat melanjutkan aktivasi setelah DPC dipanggil. Setidaknya, aktivasi harus dikunci hanya untuk pengguna perusahaan tertentu.

1.6.4. Dengan menggunakan detail pendaftaran, DPC EMM harus memungkinkan admin IT mengisi otomatis detail pendaftaran (misalnya ID server instance, ID pendaftaran) selain informasi pengguna atau perangkat unik (misalnya nama pengguna/sandi, token aktivasi), sehingga pengguna tidak perlu memasukkan detail saat mengaktifkan perangkat.

• EMM tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat, dalam konfigurasi pendaftaran zero-touch.

1.8.1. Metode penyediaan Akun Google menyediakan perangkat milik perusahaan, sesuai dengan panduan penerapan yang ditentukan.

1.8.2. Kecuali dapat secara tegas mengidentifikasi perangkat sebagai aset perusahaan, EMM tidak dapat menyediakan perangkat tanpa permintaan selama proses penyediaan. Dialog ini harus mengambil tindakan non-default, seperti mencentang kotak centang atau memilih pilihan menu non-default. Sebaiknya EMM dapat mengidentifikasi perangkat sebagai aset perusahaan sehingga tidak memerlukan dialog.

1.10.1 Admin IT dapat menyediakan perangkat sebagai profil kerja di perangkat milik perusahaan menggunakan kode QR atau pendaftaran zero-touch.

1.10.2 Admin IT dapat menetapkan tindakan kepatuhan untuk profil kerja di perangkat milik perusahaan.

1.10.3 Admin IT dapat menonaktifkan kamera di profil kerja atau di seluruh perangkat.

1.10.4 Admin IT dapat menonaktifkan screenshot di profil kerja atau di seluruh perangkat.

1.10.5 Admin IT dapat menetapkan daftar aplikasi yang diizinkan atau tidak diizinkan yang dapat atau tidak dapat diinstal di profil pribadi.

2.1.1. Kebijakan harus menerapkan setelan yang mengelola tantangan keamanan perangkat (parentProfilePasswordTerms untuk profil kerja, passwordTerms untuk perangkat yang terkelola sepenuhnya dan khusus).

2.1.2. Kompleksitas sandi harus sesuai dengan kompleksitas sandi berikut:

• PASSWORD_COMPLEXITY_LOW - pola atau pin dengan urutan berulang (4444) atau yang diurutkan (1234, 4321, 2468).
• PASSWORD_COMPLEXITY_MEDIUM - PIN tanpa pengulangan (4444) atau yang memiliki urutan (1234, 4321, 2468), sandi alfabet, atau alfanumerik dengan panjang minimal 4
• PASSWORD_COMPLEXITY_HIGH - PIN tanpa pengulangan (4444) atau yang berurutan (1234, 4321, 2468) dan panjang setidaknya 8 sandi alfabet atau alfanumerik dengan panjang minimal 6

2.2.1. Kebijakan harus menerapkan verifikasi keamanan untuk profil kerja. Secara default, admin IT seharusnya menetapkan batasan hanya untuk profil kerja jika tidak ada cakupan yang ditentukan Admin IT dapat menetapkan seluruh perangkat ini dengan menentukan cakupannya (lihat persyaratan 2.1)

2.1.2. Kompleksitas {i>password<i} harus sesuai dengan kompleksitas {i>password<i} berikut ini:

• PASSWORD_COMPLEXITY_LOW - pola atau pin dengan urutan berulang (4444) atau yang diurutkan (1234, 4321, 2468).
• PASSWORD_COMPLEXITY_MEDIUM - PIN tanpa pengulangan (4444) atau yang memiliki urutan (1234, 4321, 2468), sandi alfabet, atau alfanumerik dengan panjang minimal 4
• PASSWORD_COMPLEXITY_HIGH - PIN tanpa pengulangan (4444) atau yang berurutan (1234, 4321, 2468) dan panjang setidaknya 8 sandi alfabet atau alfanumerik dengan panjang minimal 6

2.3.2. [sengaja dikosongkan]

2.3.3. Setelan siklus proses sandi berikut dapat disetel untuk setiap layar kunci yang tersedia di perangkat:

1. [sengaja dikosongkan]
2. [sengaja dikosongkan]
3. Sandi gagal maksimum untuk penghapusan total: Menentukan berapa kali pengguna dapat memasukkan sandi yang salah sebelum data perusahaan dihapus total dari perangkat. Admin IT harus dapat menonaktifkan fitur ini.

2.3.4. (Android 8.0+) Waktu tunggu Strong Authentication memerlukan waktu tunggu: kode sandi autentikasi yang kuat (seperti PIN atau sandi) harus dimasukkan setelah periode waktu tunggu yang ditetapkan oleh admin IT. Setelah periode waktu tunggu, metode autentikasi yang tidak kuat (seperti sidik jari, buka dengan wajah) akan dinonaktifkan hingga perangkat dibuka kuncinya dengan kode sandi autentikasi yang kuat.

2.4.1. Admin IT dapat menonaktifkan agen tepercaya Smart Lock, secara independen untuk setiap layar kunci yang tersedia di perangkat.

2.4.2. Admin IT dapat secara selektif mengizinkan dan menyiapkan agen tepercaya Smart Lock, secara terpisah untuk setiap layar kunci yang tersedia di perangkat, untuk agen tepercaya berikut: Bluetooth, NFC, tempat, wajah, pada tubuh, dan suara.

• Admin IT dapat mengubah parameter konfigurasi agen tepercaya yang tersedia.

2.5.1. DPC EMM harus mengunci perangkat.

2.7.1. DPC EMM harus memblokir penginstalan aplikasi dari sumber tidak dikenal, termasuk aplikasi yang diinstal di sisi pribadi perangkat Android 8.0+ dengan profil kerja.

2.8.1. DPC EMM harus menonaktifkan booting ke mode aman secara default.

2.8.2. DPC EMM harus segera dibuka dan dikunci ke layar saat booting pertama selama penyediaan, untuk memastikan tidak ada interaksi dengan perangkat dengan cara lain.

EMM menggunakan Play Integrity API untuk memastikan perangkat adalah perangkat Android yang valid.

2.9.1. DPC EMM menerapkan Play Integrity API selama penyediaan, dan secara default hanya menyelesaikan penyediaan perangkat dengan data perusahaan saat integritas perangkat yang ditampilkan adalah MEETS_STRONG_INTEGRITY.

2.9.2. DPC EMM akan melakukan pemeriksaan Play Integrity lainnya setiap kali perangkat masuk dengan server EMM, yang dapat dikonfigurasi oleh admin IT. Server EMM akan memverifikasi informasi APK dalam respons pemeriksaan integritas dan respons itu sendiri sebelum memperbarui kebijakan perusahaan di perangkat.

2.9.3. Admin IT dapat menyiapkan respons kebijakan yang berbeda berdasarkan hasil pemeriksaan Play Integrity, termasuk memblokir penyediaan, menghapus total data perusahaan, dan mengizinkan pendaftaran dilanjutkan.

• Layanan EMM akan menerapkan respons kebijakan ini untuk hasil setiap pemeriksaan integritas.

2.11.1. DPC EMM memanfaatkan penyimpanan yang dienkripsi dengan perangkat untuk menjalankan fungsi pengelolaan penting sebelum penyimpanan yang dienkripsi dengan kredensial DPC didekripsi. Fungsi pengelolaan yang tersedia selama Direct Boot harus mencakup (tetapi tidak terbatas pada):

• Penghapusan total perusahaan, termasuk kemampuan untuk menghapus total data perlindungan reset ke setelan pabrik jika sesuai.

2.11.2. DPC EMM tidak boleh mengekspos data perusahaan dalam penyimpanan yang dienkripsi dengan perangkat.

2.12.1. Admin IT dapat memblokir pengguna agar tidak memasang media eksternal fisik di perangkat mereka.

2.12.2. Admin IT dapat memblokir pengguna agar tidak berbagi data dari perangkat mereka menggunakan beam NFC. Subfitur ini bersifat opsional karena fungsi beam NFC tidak lagi didukung di Android 10 dan yang lebih baru.

2.13.1. Admin IT dapat mengaktifkan logging keamanan untuk perangkat tertentu, dan DPC EMM harus dapat mengambil log keamanan dan log keamanan pra-mulai ulang secara otomatis.

2.13.2. Admin IT dapat meninjau log keamanan perusahaan untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, di konsol EMM.

3.1.1. Daftarkan perusahaan Akun Google Play terkelola menggunakan Play EMM API.

3.1.2. Konsol EMM harus menyediakan dan menyiapkan ESA unik secara diam-diam untuk setiap perusahaan.

3.2.1. DPC EMM dapat menyediakan dan mengaktifkan akun Google Play terkelola secara otomatis sesuai dengan panduan implementasi yang ditentukan. Saat melakukannya:

• Akun Google Play terkelola jenis userAccount ditambahkan ke perangkat.
• Akun Google Play terkelola jenis userAccount harus memiliki pemetaan 1-ke-1 dengan pengguna sebenarnya di konsol EMM.

3.4.1. DPC EMM dapat menyediakan dan mengaktifkan akun Google Play terkelola secara otomatis sesuai dengan panduan implementasi yang ditentukan. Saat melakukannya:

1. Akun Google Play terkelola jenis userAccount ditambahkan ke perangkat.
2. Akun Google Play terkelola jenis userAccount harus memiliki pemetaan 1-ke-1 dengan pengguna sebenarnya di konsol EMM.

3.5.1. Konsol EMM harus menggunakan Play EMM API untuk mengizinkan admin IT menginstal aplikasi kerja di perangkat terkelola.

3.5.2. Konsol EMM harus menggunakan Play EMM API untuk mengizinkan admin IT mengupdate aplikasi kerja di perangkat terkelola.

3.6.1. Konsol EMM harus dapat mengambil dan menampilkan setelan konfigurasi terkelola untuk aplikasi Play apa pun.

• EMM dapat memanggil Products.getAppRestrictionsSchema untuk mengambil skema konfigurasi terkelola aplikasi atau menyematkan iframe konfigurasi terkelola di konsol EMM.

3.6.2. Konsol EMM harus mengizinkan admin IT menetapkan jenis konfigurasi apa pun (seperti yang ditentukan oleh framework Android) untuk semua aplikasi Play yang menggunakan Play EMM API.

3.6.3. Konsol EMM harus mengizinkan admin IT untuk menetapkan karakter pengganti (seperti $username$ atau %emailAddress%) sehingga satu konfigurasi untuk aplikasi seperti Gmail dapat diterapkan ke beberapa pengguna. Iframe konfigurasi terkelola otomatis mendukung persyaratan ini.

3.7.1. Konsol EMM dapat menampilkan daftar aplikasi yang disetujui untuk distribusi, termasuk:

• Aplikasi yang dibeli di Google Play terkelola
• Aplikasi pribadi yang dapat dilihat oleh admin IT
• Aplikasi yang disetujui secara terprogram

3.10.1. Admin IT dapat melakukan tindakan berikut di konsol EMM untuk menyesuaikan tata letak Google Play Store terkelola:

• Buat hingga 100 halaman tata letak toko. Halaman dapat memiliki berapa pun jumlah nama halaman yang dilokalkan.
• Buat hingga 30 kelompok untuk setiap halaman. Cluster dapat memiliki berapa pun nama cluster yang dilokalkan.
• Tetapkan hingga 100 aplikasi ke setiap cluster.
• Tambahkan hingga 10 link cepat ke setiap halaman.
• Tentukan tata urutan aplikasi dalam cluster dan cluster dalam halaman.

3.11.1. Untuk aplikasi berbayar yang disetujui untuk perusahaan, konsol EMM harus menampilkan:

• Jumlah lisensi yang dibeli.
• Jumlah lisensi yang terpakai dan pengguna yang memakai lisensi.
• Jumlah lisensi yang tersedia untuk didistribusikan.

3.11.2. Admin IT dapat menetapkan lisensi kepada pengguna secara diam-diam tanpa memaksa aplikasi tersebut diinstal di perangkat pengguna mana pun.

3.12.1. Admin IT dapat mengupload versi baru aplikasi yang sudah dipublikasikan secara pribadi ke perusahaan menggunakan:

Admin IT dapat membuka Mendukung aplikasi pribadi untuk mengetahui detailnya.

3.13.1. Konsol EMM harus membantu admin IT menghosting APK aplikasi, dengan menawarkan kedua opsi berikut:

• Menghosting APK di server EMM. Server dapat ditempatkan di infrastruktur lokal atau berbasis cloud.
• Menghosting APK di luar server EMM, atas pertimbangan admin IT. Admin IT harus menentukan di konsol EMM tempat APK dihosting.

3.13.2. Konsol EMM harus membuat file definisi APK yang sesuai menggunakan APK yang disediakan dan harus memandu admin IT melalui proses publikasi.

3.13.3. Admin IT dapat mengupdate aplikasi pribadi yang dihosting sendiri, dan konsol EMM dapat memublikasikan file definisi APK yang diupdate secara otomatis menggunakan Google Play Developer Publishing API.

3.13.4. Server EMM hanya melayani permintaan download untuk APK yang dihosting sendiri dan berisi JWT valid dalam cookie permintaan, seperti yang diverifikasi oleh kunci publik aplikasi pribadi.

• Untuk memfasilitasi proses ini, server EMM harus memandu admin IT mendownload kunci publik lisensi aplikasi yang dihosting sendiri dari Google Developers Console Play, dan mengupload kunci ini ke konsol EMM.

3.14.1. EMM harus menggunakan notifikasi EMM Play untuk menarik kumpulan notifikasi.

3.14.2. EMM harus otomatis memberi tahu admin IT (misalnya melalui email otomatis) tentang peristiwa notifikasi berikut:

• newPermissionEvent: Mewajibkan admin IT untuk menyetujui izin aplikasi baru sebelum aplikasi dapat diinstal atau diupdate secara otomatis di perangkat pengguna.
• appRestrictionsSchemaChangeEvent: Mungkin mengharuskan admin IT mengupdate konfigurasi terkelola aplikasi untuk mempertahankan fungsi yang diinginkan.
• appUpdateEvent: Mungkin diperlukan oleh admin IT yang ingin memvalidasi bahwa fungsi alur kerja inti tidak terpengaruh oleh update aplikasi.
• productAvailabilityChangeEvent: Dapat memengaruhi kemampuan untuk menginstal aplikasi atau menggunakan update aplikasi.
• installFailureEvent: Play tidak dapat menginstal aplikasi di perangkat secara otomatis, menunjukkan mungkin ada sesuatu tentang konfigurasi perangkat yang mencegah penginstalan. EMM tidak boleh langsung mencoba penginstalan senyap lagi setelah menerima notifikasi ini, karena logika percobaan ulang Play telah gagal.

3.14.3. EMM akan otomatis mengambil tindakan yang sesuai berdasarkan peristiwa notifikasi berikut:

• newDeviceEvent: Selama penyediaan perangkat, EMM harus menunggu newDeviceEvent sebelum melakukan panggilan Play EMM API berikutnya untuk perangkat baru, termasuk penginstalan aplikasi senyap dan menyetel konfigurasi terkelola.
• productApprovalEvent: setelah menerima notifikasi productApprovalEvent, EMM harus otomatis memperbarui daftar aplikasi yang disetujui yang diimpor ke konsol EMM untuk didistribusikan ke perangkat jika ada sesi admin IT yang aktif, atau jika daftar aplikasi yang disetujui tidak otomatis dimuat ulang di awal setiap sesi admin IT.

3.15.1. EMM harus mematuhi batas penggunaan Play EMM API. Tidak memperbaiki perilaku yang melebihi pedoman ini dapat mengakibatkan penangguhan penggunaan API, sesuai pertimbangan Google.

3.15.2. EMM harus mendistribusikan traffic dari perusahaan yang berbeda sepanjang hari, bukan menggabungkan traffic perusahaan pada waktu tertentu atau yang serupa. Perilaku yang sesuai dengan pola traffic ini, seperti operasi batch terjadwal untuk setiap perangkat yang terdaftar, dapat mengakibatkan penangguhan penggunaan API, sesuai pertimbangan Google.

• iFrame Google Play Terkelola, atau
• UI kustom.

3.16.2. Konsol EMM harus dapat mengambil dan menampilkan masukan yang ditampilkan oleh saluran masukan aplikasi, saat disiapkan oleh admin IT.

• Konsol EMM harus mengizinkan admin IT mengaitkan item masukan tertentu dengan perangkat dan aplikasi asalnya.
• Konsol EMM harus mengizinkan admin IT untuk berlangganan notifikasi atau laporan jenis pesan tertentu (seperti pesan error).

3.16.3. Konsol EMM hanya boleh mengirim nilai yang memiliki nilai default atau ditetapkan secara manual oleh admin menggunakan:

• Iframe konfigurasi terkelola, atau
• UI kustom.

3.17.1. Admin IT dapat menggunakan konsol EMM untuk mendistribusikan pintasan ke aplikasi web menggunakan:

3.18.1. EMM dapat mengelola siklus proses Akun Google Play terkelola sesuai dengan panduan penerapan yang ditentukan dalam dokumentasi developer Play EMM API.

3.18.2. EMM dapat mengautentikasi ulang Akun Google Play terkelola tanpa interaksi pengguna.

3.20.2. Admin IT dapat mengizinkan aplikasi untuk menunda update aplikasi selama 90 hari.

4.1.1. Admin IT harus dapat memilih dari opsi berikut saat menetapkan kebijakan izin runtime default untuk organisasi mereka:

• (memungkinkan pengguna memilih)
• izinkan
• tolak

4.3.1. SSID, melalui DPC EMM.

4.4.1. Identitas, melalui DPC EMM.

4.4.2. Sertifikat untuk otorisasi klien, melalui DPC EMM.

4.5.1. Admin IT dapat mengunci konfigurasi Wi-Fi perusahaan menggunakan salah satu konfigurasi berikut:

• Pengguna tidak dapat mengubah konfigurasi Wi-Fi apa pun yang disediakan oleh EMM, tetapi dapat menambahkan dan mengubah jaringannya sendiri yang dapat dikonfigurasi pengguna (misalnya jaringan pribadi).
• Pengguna tidak dapat menambahkan atau mengubah jaringan Wi-Fi apa pun di perangkat, sehingga membatasi konektivitas Wi-Fi hanya ke jaringan yang disediakan oleh EMM.

4.6.1. Admin IT dapat mencegah penambahan atau perubahan akun.

• Saat menerapkan kebijakan ini di perangkat, EMM harus menetapkan batasan ini sebelum penyediaan selesai, untuk memastikan Anda tidak dapat mengakali kebijakan ini dengan menambahkan akun sebelum kebijakan diberlakukan.

4.7.1. Admin IT dapat menentukan Akun Google yang akan diaktifkan selama penyediaan, setelah penguncian pengelolaan akun diterapkan.

4.7.2. DPC EMM harus meminta untuk mengaktifkan Akun Google, dan memastikan bahwa hanya akun tertentu yang dapat diaktifkan dengan menentukan akun yang akan ditambahkan.

• Pada perangkat dengan versi Android 7.0, DPC harus menonaktifkan pembatasan pengelolaan akun untuk sementara sebelum meminta pengguna.

4.8.1. Admin IT dapat menginstal sertifikat identitas pengguna yang dibuat oleh IKP mereka per pengguna. Konsol EMM harus berintegrasi dengan setidaknya satu IKP dan mendistribusikan sertifikat yang dihasilkan dari infrastruktur tersebut.

4.9.1. Untuk aplikasi apa pun yang didistribusikan ke perangkat, admin IT dapat menentukan sertifikat yang akan diberi akses secara diam-diam ke aplikasi selama runtime.

• Pemilihan sertifikat harus cukup umum untuk mengizinkan satu konfigurasi yang berlaku untuk semua pengguna, yang masing-masing mungkin memiliki sertifikat identitas khusus pengguna.

4.9.2. Admin IT dapat menghapus sertifikat secara otomatis dari keystore terkelola.

4.9.3. Admin IT dapat meng-uninstal sertifikat CA atau semua sertifikat CA non-sistem tanpa pemberitahuan.

4.9.4. Admin IT dapat mencegah pengguna mengonfigurasi kredensial di keystore terkelola.

4.9.5. Admin IT dapat memberikan sertifikat terlebih dahulu untuk aplikasi kerja.

4.10.1. Admin IT menentukan paket pengelolaan sertifikat yang akan ditetapkan sebagai aplikasi pengelolaan sertifikat yang didelegasikan oleh DPC.

• Secara opsional, Konsol dapat menyarankan paket pengelolaan sertifikat yang dikenal, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang relevan.

4.11.1. Admin IT dapat menentukan paket VPN arbitrer untuk disetel sebagai VPN yang Selalu Aktif.

• Konsol EMM secara opsional dapat menyarankan paket VPN dikenal yang mendukung VPN Selalu Aktif, tetapi tidak dapat membatasi VPN yang tersedia untuk konfigurasi Selalu Aktif ke daftar arbitrer mana pun.

4.11.2. Admin IT dapat menggunakan konfigurasi terkelola untuk menentukan setelan VPN pada aplikasi.

4.12.1. Admin IT dapat menyiapkan daftar IME yang diizinkan dengan panjang arbitrer (termasuk daftar kosong, yang memblokir IME non-sistem), yang mungkin berisi paket IME arbitrer apa pun.

• Konsol EMM secara opsional dapat menyarankan IME yang dikenal atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang relevan.

4.13.1. Admin IT dapat menyiapkan daftar IME yang diizinkan dengan panjang arbitrer (tidak termasuk daftar kosong, yang memblokir semua IME termasuk IME sistem), yang mungkin berisi paket IME arbitrer.

• Konsol EMM secara opsional dapat menyarankan IME yang dikenal atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang relevan.

4.13.2. EMM harus mencegah admin IT menyiapkan daftar yang diizinkan kosong, karena setelan ini akan memblokir penyiapan semua IME, termasuk IME sistem, di perangkat.

4.14.1. Admin IT dapat menyiapkan daftar layanan aksesibilitas yang diizinkan dengan durasi arbitrer (termasuk daftar kosong, yang memblokir layanan aksesibilitas non-sistem), yang mungkin berisi paket layanan aksesibilitas arbitrer. Jika diterapkan ke profil kerja, setelan ini akan memengaruhi profil pribadi dan profil kerja.

• Secara opsional, Konsol dapat menyarankan layanan aksesibilitas yang diketahui atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang relevan.

• Akurasi tinggi.
• Hanya sensor, misalnya GPS, tetapi tidak termasuk lokasi yang disediakan jaringan.
• Hemat baterai, yang membatasi frekuensi update.
• Nonaktif.

4.17.1. Admin IT dapat mencegah pengguna mereset perangkat ke setelan pabrik dari Setelan.

4.17.2. Admin IT dapat menentukan akun buka kunci perusahaan yang diizinkan untuk menyediakan perangkat setelah reset ke setelan pabrik.

• Akun ini dapat dikaitkan ke individu, atau digunakan oleh seluruh perusahaan untuk membuka kunci perangkat.

4.17.3. Admin IT dapat menonaktifkan perlindungan reset ke setelan pabrik untuk perangkat tertentu.

4.17.4. Admin IT dapat memulai penghapusan total perangkat dari jarak jauh yang secara opsional menghapus total data perlindungan reset, sehingga menghapus perlindungan reset ke setelan pabrik pada perangkat yang direset.

4.18.1. Admin IT dapat memblokir uninstal aplikasi terkelola arbitrer, atau semua aplikasi terkelola.

4.21.1. Admin IT dapat membuat kueri ringkasan statistik jaringan untuk profil kerja, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini di konsol EMM.

4.21.2. Admin IT dapat mengkueri ringkasan aplikasi di statistik penggunaan jaringan profil kerja, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail yang diatur oleh UID di konsol EMM.

4.21.3. Admin IT dapat mengkueri data historis penggunaan jaringan profil kerja, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail yang diatur oleh UID di konsol EMM.

4.22.1. Admin IT dapat membuat kueri ringkasan statistik jaringan untuk seluruh perangkat, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini di konsol EMM.

4.22.2. Admin IT dapat mengkueri ringkasan statistik penggunaan jaringan aplikasi, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur oleh UID di konsol EMM.

Admin IT dapat memulai ulang perangkat terkelola dari jarak jauh.

4.23.1. Admin IT dapat memulai ulang dari jarak jauh perangkat terkelola.

4.24.1. Admin IT dapat menonaktifkan siaran sel yang dikirim oleh penyedia layanan (misalnya, AMBER Alert).

4.24.2. Admin IT dapat mencegah pengguna mengubah setelan jaringan seluler di Setelan.

4.24.3. Admin IT dapat mencegah pengguna mereset setelan jaringan di Setelan.

4.24.4. Admin IT dapat mengizinkan atau melarang data seluler saat roaming.

4.24.5. Admin IT dapat menyiapkan apakah perangkat dapat melakukan panggilan telepon keluar, tidak termasuk panggilan darurat.

4.24.6. Admin IT dapat menyiapkan apakah perangkat dapat mengirim dan menerima pesan teks.

4.24.7. Admin IT dapat mencegah pengguna menggunakan perangkat mereka sebagai hotspot portabel dengan melakukan tethering.

4.24.8. Admin IT dapat menyetel waktu tunggu Wi-Fi ke default, hanya saat dicolokkan, atau tidak pernah.

4.25.1. Admin IT dapat menonaktifkan perangkat terkelola tanpa pemberitahuan.

4.25.2. Admin IT dapat mencegah pengguna mengubah setelan volume perangkat.

4.25.3. Admin IT dapat mencegah pengguna mengaktifkan mikrofon perangkat.

4.26.1. Admin IT dapat menerapkan waktu otomatis sistem, sehingga mencegah pengguna menyetel tanggal dan waktu perangkat.

4.26.2. Admin IT dapat menonaktifkan atau mengaktifkan waktu otomatis dan zona waktu otomatis tanpa pemberitahuan.

4.27.1. Admin IT dapat menonaktifkan keyguard perangkat.

4.27.2. Admin IT dapat menonaktifkan status bar perangkat, sehingga memblokir notifikasi dan setelan cepat.

4.27.3. Admin IT dapat memaksa layar perangkat tetap aktif saat perangkat dicolokkan.

4.27.4. Admin IT dapat mencegah UI sistem berikut ditampilkan:

• Toast
• Overlay aplikasi.

Admin IT dapat mendelegasikan hak istimewa tambahan ke masing-masing paket.

4.28.1. Admin IT dapat mengelola cakupan berikut:

• Penginstalan dan pengelolaan sertifikat
• Pengelolaan konfigurasi terkelola
• Logging jaringan
• Logging keamanan

Mulai Android 12, profil kerja tidak akan lagi memiliki akses ke ID khusus hardware. Admin IT dapat mengikuti siklus proses perangkat dengan profil kerja melalui ID khusus pendaftaran, yang akan tetap ada meskipun telah direset ke setelan pabrik

4.29.1. Admin IT dapat menetapkan dan obtain ID khusus pendaftaran

4.29.2. ID khusus pendaftaran ini harus tetap ada setelah direset ke setelan pabrik

5.1.1. Admin IT dapat menyesuaikan proses penyediaan dengan menentukan detail khusus perusahaan berikut: warna perusahaan, logo perusahaan, persyaratan layanan perusahaan, dan pernyataan penyangkalan lainnya.

5.1.2. Admin IT dapat men-deploy penyesuaian khusus EMM yang tidak dapat dikonfigurasi yang mencakup detail berikut: Warna EMM, logo EMM, persyaratan layanan EMM, dan pernyataan penyangkalan lainnya.

5.1.3 [primaryColor] sudah tidak digunakan lagi untuk resource perusahaan di Android 10 dan yang lebih baru.

• EMM harus menyertakan Persyaratan Layanan penyediaan dan pernyataan penyangkalan lainnya untuk alur penyediaannya dalam paket pernyataan penyangkalan penyediaan sistem, meskipun penyesuaian khusus EMM tidak digunakan.
• EMM dapat menetapkan penyesuaian khusus EMM yang tidak dapat dikonfigurasi sebagai default untuk semua deployment, tetapi harus mengizinkan admin IT menyiapkan penyesuaiannya sendiri.

5.2.1. Admin IT dapat menetapkan warna organisasi, untuk digunakan sebagai warna latar belakang tantangan kerja.

5.2.2. Admin IT dapat menyetel nama tampilan profil kerja.

5.2.3. Admin IT dapat menetapkan ikon pengguna di profil kerja.

5.2.4. Admin IT dapat mencegah pengguna mengubah ikon pengguna profil kerja.

5.3.1. Admin IT dapat menyetel nama tampilan untuk perangkat terkelola.

5.3.2. Admin IT dapat menetapkan ikon pengguna di perangkat terkelola.

5.3.3. Admin IT dapat mencegah pengguna mengubah ikon pengguna perangkat.

5.3.4. Admin IT dapat menyetel wallpaper perangkat.

5.3.5. Admin IT dapat mencegah pengguna mengubah wallpaper perangkat.

5.5.1. Admin IT menyesuaikan pesan dukungan pendek dan panjang.

5.5.2. Admin IT dapat men-deploy pesan dukungan khusus EMM singkat dan panjang yang tidak dapat dikonfigurasi.

• EMM dapat menetapkan pesan dukungan khusus EMM yang tidak dapat dikonfigurasi sebagai default untuk semua deployment, tetapi harus mengizinkan admin IT menyiapkan pesan mereka sendiri.

5.6.1. Admin IT dapat menonaktifkan penelusuran kontak antar-profil untuk aplikasi pribadi yang menggunakan penyedia kontak sistem.

5.6.2. Admin IT dapat menonaktifkan pencarian ID penelepon antar-profil untuk aplikasi telepon pribadi yang menggunakan penyedia kontak sistem.

5.6.3. Admin IT dapat menonaktifkan berbagi kontak Bluetooth dengan perangkat Bluetooth yang menggunakan penyedia kontak sistem, misalnya panggilan handsfree di mobil atau headset.

5.7.1. Admin IT dapat mengonfigurasi filter intent lintas-profil sehingga aplikasi pribadi dapat menyelesaikan intent dari profil kerja seperti berbagi intent atau link web.

• Secara opsional, Konsol dapat menyarankan filter intent yang diketahui atau direkomendasikan untuk konfigurasi, tetapi tidak dapat membatasi filter intent ke daftar arbitrer mana pun.

5.7.2. Admin IT dapat mengizinkan aplikasi terkelola yang dapat menampilkan widget di layar utama.

• Konsol EMM harus memberi admin IT kemampuan untuk memilih dari daftar aplikasi yang tersedia untuk diinstal bagi pengguna yang relevan.

5.7.3. Admin IT dapat memblokir penggunaan salin/tempel antara profil kerja dan pribadi.

5.7.4. Admin IT dapat memblokir pengguna agar tidak berbagi data dari profil kerja menggunakan NFC beam.

5.7.5. Admin IT dapat mengizinkan aplikasi pribadi untuk membuka link web dari profil kerja.

5.8.1. Konsol EMM memungkinkan admin IT menetapkan konfigurasi OTA berikut:

• Otomatis: Perangkat menerima update OTA saat tersedia.
• Tunda: Admin IT harus dapat menunda update OTA hingga 30 hari. Kebijakan ini tidak memengaruhi update keamanan (misalnya patch keamanan bulanan).
• Berjendela: Admin IT harus dapat menjadwalkan update OTA dalam masa pemeliharaan harian.

5.10.1. Admin IT dapat menetapkan paket apa pun sebagai pengendali intent default untuk setiap filter intent arbitrer.

• Konsol EMM secara opsional dapat menyarankan intent yang diketahui atau direkomendasikan untuk konfigurasi, tetapi tidak dapat membatasi intent ke daftar arbitrer mana pun.
• Konsol EMM harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal bagi pengguna yang relevan.

• agen tepercaya
• buka kunci dengan sidik jari
• notifikasi yang tidak tersunting

5.11.2. DPC EMM dapat menonaktifkan fitur keyguard berikut di profil kerja:

• agen tepercaya
• buka kunci dengan sidik jari

• Kamera aman
• Semua notifikasi
• Notifikasi yang tidak tersunting
• Agen tepercaya
• Buka dengan sidik jari
• Semua fitur keyguard

5.14.1. EMM dapat mengambil alamat MAC perangkat secara diam-diam dan dapat mengaitkannya dengan perangkat di konsol EMM.

5.15.1. Mengizinkan satu aplikasi mengunci perangkat secara diam-diam melalui DPC EMM.

5.15.2. Aktifkan atau nonaktifkan fitur UI Sistem berikut melalui DPC EMM:

• Tombol Utama
• Ringkasan
• Tindakan global
• Notifikasi
• Info sistem / Status bar
• Keyguard (layar kunci)

5.15.3. Nonaktifkan dialog Error Sistem melalui DPC EMM.

5.17.1. Admin IT dapat memberikan teks kustom untuk ditampilkan saat profil kerja dihapus total.