Auf dieser Seite finden Sie eine vollständige Liste der Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () von mindestens einem Lösungssatz unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die Überprüfung der Standardfunktionen bestehen, sind im Enterprise Solutions Directory von Android als Anbieter eines Standard-Verwaltungssets aufgeführt.
Für jede Lösungssammlung sind zusätzliche erweiterte Funktionen verfügbar. Diese Funktionen werden auf jeder Seite der Lösungssammlung angegeben: Arbeitsprofil auf einem privaten Gerät, Arbeitsprofil auf einem unternehmenseigenen Gerät, vollständig verwaltetes Gerät und eigenes Gerät. EMM-Lösungen, die die Überprüfung erweiterter Funktionen bestehen, sind im Android Enterprise-Lösungsverzeichnis als Anbieter eines erweiterten Verwaltungssets aufgeführt.
Schlüssel
| Standardfunktion | erweiterte Funktion | Optionale Funktion | nicht zutreffend |
1. Gerätebereitstellung
1.1. Bereitstellung von Arbeitsprofilen über den Dienstanbieter
Sie können ein Arbeitsprofil bereitstellen, nachdem Sie den DPC des EMM bei Google Play heruntergeladen haben.
1.1.1. Der DPC des EMM muss öffentlich bei Google Play verfügbar sein, damit Nutzer ihn auf der privaten Seite des Geräts installieren können.
1.1.2. Nach der Installation muss der DPC den Nutzer durch die Bereitstellung eines Arbeitsprofils führen.
1.1.3. Nach Abschluss der Bereitstellung darf keine Verwaltungspräsenz auf der privaten Seite des Geräts vorhanden sein.
- Alle während der Bereitstellung eingerichteten Richtlinien müssen entfernt werden.
- App-Berechtigungen müssen widerrufen werden.
- Die Datenschutzrichtlinien-Kontrolle des EMM-Anbieters muss mindestens auf der privaten Seite des Geräts deaktiviert sein.
1.2. Gerätebereitstellung mit DPC-ID
IT-Administratoren können ein vollständig verwaltetes oder dediziertes Gerät mit einer DPC-ID („afw#“) gemäß den Implementierungsrichtlinien bereitstellen, die in der Entwicklerdokumentation der Play EMM API definiert sind.
1.2.1. Der DPC des EMM muss öffentlich bei Google Play verfügbar sein. Der DPC muss über den Einrichtungsassistenten des Geräts installiert werden können, indem eine DPC-spezifische Kennung eingegeben wird.
1.2.2. Nach der Installation muss der DPC des EMM den Nutzer durch die Bereitstellung eines vollständig verwalteten oder dedizierten Geräts führen.
1.3. NFC-Gerätebereitstellung
NFC-Tags können von IT-Administratoren verwendet werden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den Implementierungsrichtlinien einzurichten, die in der Entwicklerdokumentation zur Play EMM API definiert sind.
1.3.1. EMMs müssen NFC Forum Type 2-Tags mit mindestens 888 Byte Arbeitsspeicher verwenden. Für die Bereitstellung müssen Bereitstellungs-Extras verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät weiterzugeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Nachdem sich der DPC des EMM als Geräteeigentümer festgelegt hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist. 1.3.3. Wir empfehlen die Verwendung von NFC-Tags ab Android 10, da NFC Beam (auch NFC-Bump genannt) eingestellt wird.
1.4 Gerätebereitstellung per QR-Code
IT-Administratoren können ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät verwenden, um einen von der EMM-Konsole generierten QR-Code zu scannen und das Gerät gemäß den Implementierungsrichtlinien in der Entwicklerdokumentation der Play EMM API zu provisionieren.
1.4.1. Der QR-Code muss Bereitstellungs-Extras verwenden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät weiterzugeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.4.2. Nachdem der DPC der EMM das Gerät eingerichtet hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte, die bei autorisierten Resellern gekauft wurden, vorkonfigurieren und über die EMM-Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierungsmethode bereitstellen, die im Hilfeartikel Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden die vom IT-Administrator festgelegten Einstellungen automatisch angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil des Geräteregistrierungsprozesses automatisieren, indem sie DPC-Registrierungsdetails über die Zero-Touch-Registrierung bereitstellen. Die DPC des EMM unterstützt die Begrenzung der Registrierung auf bestimmte Konten oder Domains gemäß den Konfigurationsoptionen, die vom EMM angeboten werden.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mit der Zero-Touch-Registrierungsmethode bereitstellen, die unter Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.6.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist.
- Diese Anforderung gilt nicht für Geräte, die sich mithilfe von Zero-Touch-Registrierungsdetails automatisch und ohne Benutzereingriff vollständig bereitstellen (z. B. bei einer speziellen Gerätebereitstellung).
1.6.3. Anhand der Registrierungsdetails muss der DPC des EMM sicherstellen, dass nicht autorisierte Nutzer die Aktivierung nicht fortsetzen können, sobald der DPC aufgerufen wurde. Die Aktivierung muss mindestens auf Nutzer eines bestimmten Unternehmens beschränkt sein.
1.6.4. Mithilfe der Registrierungsdetails muss der DPC des EMM es IT-Administratoren ermöglichen, neben eindeutigen Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) auch Registrierungsdetails (z. B. Server-IDs, Registrierungs-IDs) vorab auszufüllen, damit Nutzer beim Aktivieren eines Geräts keine Details eingeben müssen.
- EMMs dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate in die Konfiguration der Zero-Touch-Registrierung aufnehmen.
1.7. Bereitstellung von Arbeitsprofilen für Google-Konten
Unternehmen, die eine verwaltete Google-Domain verwenden, können mit dieser Funktion Nutzer durch die Einrichtung eines Arbeitsprofils führen, nachdem sie während der Geräteeinrichtung oder auf einem bereits aktivierten Gerät ihre Workspace-Anmeldedaten für das Unternehmen eingegeben haben. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.7.1. Mit der Google-Kontobereitstellungsmethode wird ein Arbeitsprofil gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8. Gerätebereitstellung über das Google-Konto
Bei Unternehmen, die Workspace verwenden, führt diese Funktion Nutzer durch die Installation des DPC ihres EMM-Anbieters, nachdem sie bei der Ersteinrichtung des Geräts ihre Workspace-Anmeldedaten für das Unternehmen eingegeben haben. Nach der Installation führt der DPC die Einrichtung eines unternehmenseigenen Geräts durch.
1.8.1. Mit der Google-Kontobereitstellungsmethode wird ein unternehmenseigenes Gerät gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8.2. Sofern das EMM-System das Gerät nicht eindeutig als unternehmenseigenes Asset identifizieren kann, kann es während der Bereitstellung nicht ohne Aufforderung ein Gerät bereitstellen. Bei diesem Prompt muss eine nicht standardmäßige Aktion ausgeführt werden, z. B. ein Kästchen angeklickt oder eine nicht standardmäßige Menüoption ausgewählt werden. Es wird empfohlen, dass die EMM das Gerät als Unternehmenseigentum identifizieren kann, damit die Aufforderung nicht erforderlich ist.
1.9. Direkte Zero-Touch-Konfiguration
IT-Administratoren können über die Konsole des EMM-Anbieters Zero-Touch-Geräte mithilfe des Zero-Touch-iFrames einrichten.
1.10. Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren.
1.10.1. Absichtlich leer.
1.10.2. IT-Administratoren können Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3. IT-Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.4. IT-Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.5. IT-Administratoren können eine Sperrliste mit Apps festlegen, die nicht im privaten Profil installiert werden können.
1.10.6. IT-Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
1.11. Bereitstellung für zweckbestimmte Geräte
Bewusst leer.
2. Gerätesicherheit
2.1. Sicherheitsherausforderung für Geräte
IT-Administratoren können auf verwalteten Geräten eine Gerätesicherheitsabfrage (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen festlegen und erzwingen.
2.1.1. Die Richtlinie muss Einstellungen zur Verwaltung von Gerätesicherheitsproblemen erzwingen (parentProfilePasswordRequirements für Arbeitsprofile, passwordRequirements für vollständig verwaltete und zweckbestimmte Geräte).
2.1.2. Die Komplexität des Passworts muss den folgenden Komplexitätsgraden entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.2. Sicherheitsmaßnahme für die Arbeit
IT-Administratoren können eine Sicherheitsanfrage für Apps und Daten im Arbeitsprofil festlegen und erzwingen, die unabhängig ist und andere Anforderungen als die Gerätesicherheitsanfrage (2.1) hat.
2.2.1. Die Richtlinie muss die Sicherheitsanfrage für das Arbeitsprofil erzwingen. Standardmäßig sollten IT-Administratoren Einschränkungen nur für das Arbeitsprofil festlegen, wenn kein Umfang angegeben ist. Sie können diese geräteweit festlegen, indem Sie den Umfang angeben (siehe Anforderung 2.1).
2.1.2. Die Passwortkomplexität sollte den folgenden Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.3. Erweiterte Verwaltung von Sicherheitscodes
2.3.1. Bewusst leer.
2.3.2. Absichtlich leer.
2.3.3. Für jeden Sperrbildschirm auf einem Gerät können die folgenden Einstellungen für den Passwortlebenszyklus festgelegt werden:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passworteingaben, nach denen das Gerät gelöscht wird: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, welche Trust Agents in der Smart Lock-Funktion von Android Geräte entsperren dürfen. IT-Administratoren können bestimmte Entsperrmethoden wie vertrauenswürdige Bluetooth-Geräte, Gesichtserkennung und Spracherkennung deaktivieren oder die Funktion vollständig deaktivieren.
2.4.1. IT-Administratoren können Smart Lock-Trust Agents deaktivieren, unabhängig für jeden Sperrbildschirm, der auf dem Gerät verfügbar ist.
2.4.2. IT-Administratoren können Smart Lock-Trust Agents selektiv zulassen und einrichten, unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm, für die folgenden Trust Agents: Bluetooth, NFC, Orte, Gesicht, am Körper und Sprache.
- IT-Administratoren können die verfügbaren Konfigurationsparameter für Trust Agents ändern.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole geschäftliche Daten auf einem verwalteten Gerät per Fernzugriff sperren und löschen.
2.5.1. Der DPC des EMM muss die Geräte sperren.
2.5.2. Der DPC des EMM muss die Geräte auf die Werkseinstellungen zurücksetzen.
2.6. Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, werden geschäftliche Daten automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens eine Passwortrichtlinie enthalten.
2.7. Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs werden empfohlen (aber nicht verpflichtet), IT-Administratoren nicht zu erlauben, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Der DPC der EMM muss die Installation von Apps aus unbekannten Quellen blockieren, einschließlich Apps, die auf der privaten Seite eines Geräts mit Android 8.0 oder höher mit Arbeitsprofil installiert sind.
2.7.2. Der DPC des EMM muss Debug-Funktionen blockieren.
2.8. Sicherheitsrichtlinien für zweckbestimmte Geräte
Zweckbestimmte Geräte sind gesperrt, ohne dass es eine Möglichkeit gibt, die Sperrung zu umgehen, um andere Aktionen auszuführen.
2.8.1. Der DPC des EMM muss das Starten im abgesicherten Modus standardmäßig deaktivieren.
2.8.2. Der DPC des EMM muss beim ersten Start während der Bereitstellung sofort geöffnet und auf dem Display gesperrt werden, damit keine andere Interaktion mit dem Gerät möglich ist.
2.8.3. Der DPC des EMM muss als Standard-Launcher festgelegt werden, damit zulässige Apps beim Starten gemäß den definierten Implementierungsrichtlinien auf dem Display gesperrt werden.
2.9. Play Integrity-Support
Der EMM verwendet die Play Integrity API, um sicherzustellen, dass es sich bei den Geräten um gültige Android-Geräte handelt.
2.9.1. Der DPC der EMM implementiert während der Bereitstellung die Play Integrity API und führt die Bereitstellung des Geräts mit Unternehmensdaten standardmäßig nur dann durch, wenn die zurückgegebene Geräteintegrität MEETS_STRONG_INTEGRITY ist.
2.9.2. Der DPC der EMM führt jedes Mal, wenn ein Gerät sich beim Server der EMM anmeldet, eine weitere Play Integrity-Prüfung durch, die vom IT-Administrator konfiguriert werden kann. Der EMM-Server prüft die APK-Informationen in der Antwort der Integritätsprüfung und die Antwort selbst, bevor die Unternehmensrichtlinie auf dem Gerät aktualisiert wird.
2.9.3. IT-Administratoren können je nach Ergebnis der Play Integrity-Prüfung unterschiedliche Richtlinienantworten einrichten, z. B. die Bereitstellung blockieren, Unternehmensdaten löschen und die Registrierung zulassen.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Wenn die anfängliche Google Play-Integritätsprüfung fehlschlägt oder ein Ergebnis zurückgibt, das nicht der starken Integrität entspricht, und der DPC des EMM ensureWorkingEnvironment noch nicht aufgerufen hat, muss er dies tun und die Prüfung wiederholen, bevor die Bereitstellung abgeschlossen ist.
2.10. Funktion „Apps überprüfen“ erzwingen
IT-Administratoren können Apps überprüfen auf Geräten aktivieren. Mit der Funktion „Apps überprüfen“ werden auf Android-Geräten installierte Apps vor und nach der Installation auf schädliche Software geprüft. So wird verhindert, dass bösartige Apps Unternehmensdaten gefährden.
2.10.1. Die Funktion „Apps überprüfen“ muss standardmäßig vom DPC des EMM aktiviert sein.
2.11. Unterstützung für Direct Boot
Auf Geräten mit Android 7.0 oder höher können Apps erst ausgeführt werden, nachdem das Gerät entsperrt wurde. Durch die Unterstützung von Direct Boot ist der DPC des EMM immer aktiv und kann Richtlinien auch dann erzwingen, wenn das Gerät nicht entsperrt wurde.
2.11.1. Der DPC des EMM nutzt den verschlüsselten Gerätespeicher, um wichtige Verwaltungsfunktionen auszuführen, bevor der verschlüsselte Anmeldedatenspeicher des DPC entschlüsselt wurde. Zu den Verwaltungsfunktionen, die während des direkten Starts verfügbar sein müssen, gehören unter anderem:
- Löschen von Daten auf Unternehmensebene, einschließlich der Möglichkeit, Daten zum Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu löschen.
2.11.2. Der DPC des EMM darf keine Unternehmensdaten im verschlüsselten Gerätespeicher offenlegen.
2.11.3. EMMs können ein Token festlegen und aktivieren, um die Schaltfläche Passwort vergessen auf dem Sperrbildschirm des Arbeitsprofils zu aktivieren. Über diese Schaltfläche können Sie die IT-Administratoren bitten, das Passwort für das Arbeitsprofil sicher zurückzusetzen.
2.12. Hardwaresicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverluste zu verhindern.
2.12.1. IT-Administratoren können Nutzer daran hindern, physische externe Medien auf ihrem Gerät bereitzustellen.
2.12.2. IT-Administratoren können verhindern, dass Nutzer Daten über NFC-Beam von ihrem Gerät freigeben. Diese Unterfunktion ist optional, da die NFC-Beam-Funktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können Nutzer daran hindern, Dateien über USB von ihrem Gerät zu übertragen.
2.13. Logging für Enterprise Security
IT-Administratoren können Nutzungsdaten von Geräten erfassen, die analysiert und programmatisch auf schädliches oder riskantes Verhalten geprüft werden können. Zu den protokollierten Aktivitäten gehören Android Debug Bridge-Aktivitäten (adb), App-Öffnungen und Displayentsperren.
2.13.1. IT-Administratoren können das Sicherheitsprotokollieren für bestimmte Geräte aktivieren. Der DPC des EMM muss sowohl Sicherheitsprotokolle als auch Sicherheitsprotokolle vor dem Neustart automatisch abrufen können.
2.13.2. IT-Administratoren können in der EMM-Konsole Sicherheitsprotokolle für Unternehmen für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster prüfen.
2.13.3. IT-Administratoren können Sicherheitsprotokolle für Unternehmen aus der EMM-Konsole exportieren.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können den EMM an ihre Organisation binden, damit der EMM Apps über Managed Google Play auf Geräten bereitstellen kann.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an den EMM binden.
3.1.2. Die Konsole des EMM-Anbieters muss für jedes Unternehmen eine eindeutige ESA (Enterprise Service Agreement) in der Hintergrundbereitstellung bereitstellen und einrichten.
3.1.3. Entfernen Sie ein Unternehmen mit der Play EMM API aus der Registrierung.
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse in den Android-Registrierungsvorgang einzugeben. Die Verwendung eines Gmail-Kontos wird nicht empfohlen.
3.1.5. Die EMM-Konsole füllt die E-Mail-Adresse des Administrators im Android-Registrierungsprozess vorab aus.
3.2. Bereitstellung von Managed Google Play-Konten
Der EMM-Anbieter kann Nutzerkonten für Unternehmen, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Diese Konten identifizieren verwaltete Nutzer und ermöglichen individuelle App-Bereitstellungsregeln pro Nutzer.
3.2.1. Der DPC der EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien automatisch bereitstellen und aktivieren. Dabei gilt Folgendes:
- Dem Gerät wird ein verwaltetes Google Play-Konto vom Typ
userAccounthinzugefügt. - Das verwaltete Google Play-Konto vom Typ
userAccountmuss 1:1 mit den tatsächlichen Nutzern in der EMM-Konsole verknüpft sein.
3.3 Bereitstellung von Gerätekonten für Managed Google Play
Der EMM-Anbieter kann verwaltete Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten unterstützen die automatische Installation von Apps aus dem verwalteten Google Play Store und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, um ein einzelnes Gerät zu identifizieren und so App-Bereitstellungsregeln pro Gerät in speziellen Geräteszenarien zu unterstützen.
3.3.1. Der DPC der EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien automatisch bereitstellen und aktivieren.
Dabei muss dem Gerät ein verwaltetes Google Play-Konto vom Typ deviceAccount hinzugefügt werden.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Die EMM kann Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Diese Konten identifizieren verwaltete Nutzer und ermöglichen individuelle App-Bereitstellungsregeln pro Nutzer.
3.4.1. Der DPC der EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien automatisch bereitstellen und aktivieren. Dabei gilt Folgendes:
- Dem Gerät wird ein verwaltetes Google Play-Konto vom Typ
userAccounthinzugefügt. - Das verwaltete Google Play-Konto vom Typ
userAccountmuss 1:1 mit den tatsächlichen Nutzern in der EMM-Konsole verknüpft sein.
3.5 Automatische App-Bereitstellung
IT-Administratoren können Arbeits-Apps ohne Nutzerinteraktion automatisch auf den Geräten der Nutzer bereitstellen.
3.5.1. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationen verwalten
IT-Administratoren können verwaltete Konfigurationen oder Apps, die verwaltete Konfigurationen unterstützen, ansehen und in der Hintergrund festlegen.
3.6.1. Die Konsole des EMM muss die Einstellungen für die verwaltete Konfiguration jeder Play-App abrufen und anzeigen können.
- EMM-Anbieter können
Products.getAppRestrictionsSchemaaufrufen, um das Schema für verwaltete Konfigurationen einer App abzurufen, oder den Frame für verwaltete Konfigurationen in ihre EMM-Konsole einbetten.
3.6.2. Die EMM-Konsole muss es IT-Administratoren ermöglichen, jeden Konfigurationstyp (wie vom Android-Framework definiert) für jede Play-App mithilfe der Play EMM API festzulegen.
3.6.3. Die Konsole der EMM muss es IT-Administratoren ermöglichen, Platzhalter wie $username$ oder %emailAddress% festzulegen, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann. Der Iframe für die verwaltete Konfiguration unterstützt diese Anforderung automatisch.
3.7. App-Katalogverwaltung
IT-Administratoren können eine Liste der für ihr Unternehmen genehmigten Apps aus Managed Google Play (play.google.com/work) importieren.
3.7.1. In der EMM-Konsole kann eine Liste der für die Bereitstellung genehmigten Apps angezeigt werden, darunter:
- Im Managed Google Play Store gekaufte Apps
- Private Apps für IT-Administratoren sichtbar
- Programmatisch genehmigte Apps
3.8. Programmatische App-Genehmigung
Die EMM-Konsole verwendet den iFrame von Managed Google Play, um die Funktionen zur App-Auffindbarkeit und -Genehmigung von Google Play zu unterstützen. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können über den iFrame von Managed Google Play in der EMM-Konsole nach Apps suchen und diese genehmigen.
3.9. Einfache Verwaltung des Store-Layouts
Mit der Managed Google Play Store App können Sie auf Geräten Apps für die Arbeit installieren und aktualisieren. Das einfache Store-Layout wird standardmäßig angezeigt und enthält die für das Unternehmen genehmigten Apps, die EMMs gemäß den Richtlinien auf Nutzerebene filtern.
3.9.1. IT-Administratoren können [die verfügbaren Produktsätze der Nutzer verwalten]/android/work/play/emm-api/samples#grant_a_user_access_to_apps, um im Abschnitt „Store-Startseite“ die Anzeige und Installation von Apps aus dem Managed Google Play Store zuzulassen.
3.10. Erweiterte Konfiguration des Store-Layouts
IT-Administratoren können das Store-Layout anpassen, das in der Managed Google Play Store App auf Geräten angezeigt wird.
3.10.1. IT-Administratoren können die folgenden Aktionen in der EMM-Konsole ausführen, um das Layout des verwalteten Google Play Store zu personalisieren:
- Sie können bis zu 100 Seiten mit Store-Layouts erstellen. Seiten können beliebig viele lokalisierte Seitennamen haben.
- Sie können für jede Seite bis zu 30 Cluster erstellen. Cluster können eine beliebige Anzahl von lokalisierten Clusternamen haben.
- Sie können jedem Cluster bis zu 100 Apps zuweisen.
- Sie können jeder Seite bis zu zehn Schnellinfos hinzufügen.
- Legen Sie die Sortierreihenfolge der Apps innerhalb eines Clusters und der Cluster auf einer Seite fest.
3.11. App-Lizenzverwaltung
IT-Administratoren können in der EMM-Konsole App-Lizenzen ansehen und verwalten, die in Managed Google Play gekauft wurden.
3.11.1. Für kostenpflichtige Apps, die für ein Unternehmen genehmigt wurden, muss in der EMM-Konsole Folgendes angezeigt werden:
- Die Anzahl der erworbenen Lizenzen.
- Die Anzahl der genutzten Lizenzen und die Nutzer, die die Lizenzen nutzen.
- Die Anzahl der für den Vertrieb verfügbaren Lizenzen.
3.11.2. IT-Administratoren können Lizenzen Nutzern automatisch zuweisen, ohne dass die App auf den Geräten der Nutzer installiert werden muss.
3.11.3. IT-Administratoren können eine App-Lizenz einem Nutzer entziehen.
3.12. Von Google gehostete private Apps verwalten
IT-Administratoren können von Google gehostete interne Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Apps, die bereits privat veröffentlicht wurden, mit folgenden Methoden in das Unternehmen hochladen:
3.13. Verwaltung selbst gehosteter privater Apps
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs nicht von Google Play gehostet. Stattdessen unterstützt die EMM-Lösung IT-Administratoren beim Hosten von APKs und beim Schutz selbst gehosteter Apps, indem sichergestellt wird, dass sie nur installiert werden können, wenn sie von Managed Google Play autorisiert wurden.
Weitere Informationen finden Sie unter Unterstützung für interne Apps.
3.13.1. Die Konsole des EMM-Anbieters muss IT-Administratoren beim Hosten des App-APK unterstützen und mindestens eine der folgenden Optionen bieten:
- Das APK auf dem Server des EMM hosten Der Server kann lokal oder cloudbasiert sein.
- Das APK wird nach Ermessen des IT-Administrators außerhalb des EMM-Servers gehostet. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. Die Konsole des EMM muss eine entsprechende APK-Definitiondatei mit dem bereitgestellten APK generieren und IT-Administratoren durch den Veröffentlichungsprozess führen.
3.13.3. IT-Administratoren können selbst gehostete interne Apps aktualisieren und die Konsole des EMM kann aktualisierte APK-Definitionen mithilfe der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der Server des EMM bedient nur Downloadanfragen für das selbst gehostete APK, das ein gültiges JWT im Cookie der Anfrage enthält, wie vom öffentlichen Schlüssel der privaten App bestätigt.
- Um diesen Prozess zu vereinfachen, müssen IT-Administratoren auf dem Server des EMM-Anbieters angewiesen werden, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3.14. EMM-Pull-Benachrichtigungen
Anstatt Play regelmäßig zu fragen, ob es vergangene Ereignisse wie ein App-Update mit neuen Berechtigungen oder verwalteten Konfigurationen gibt, werden EMMs durch EMM-Pull-Benachrichtigungen proaktiv in Echtzeit über solche Ereignisse informiert. So können EMMs automatisierte Aktionen ausführen und benutzerdefinierte Benachrichtigungen für die Verwaltung basierend auf diesen Ereignissen senden.
3.14.1. Der EMM-Anbieter muss die EMM-Benachrichtigungen von Google Play verwenden, um Benachrichtigungssätze abzurufen.
3.14.2. Die EMM-Lösung muss einen IT-Administrator automatisch über die folgenden Benachrichtigungsereignisse informieren (z. B. per automatisierter E-Mail):
newPermissionEvent: Ein IT-Administrator muss neue App-Berechtigungen genehmigen, bevor die App auf den Geräten der Nutzer automatisch installiert oder aktualisiert werden kann.appRestrictionsSchemaChangeEvent: Möglicherweise muss der IT-Administrator die verwaltete Konfiguration einer App aktualisieren, um die gewünschte Effizienz beizubehalten.appUpdateEvent: Kann für IT-Administratoren interessant sein, die prüfen möchten, ob die Leistung des Hauptworkflows durch das App-Update nicht beeinträchtigt wird.productAvailabilityChangeEvent: Kann die Installation der App oder die Installation von App-Updates beeinträchtigen.installFailureEvent: Google Play kann eine App nicht im Hintergrund auf einem Gerät installieren. Das deutet darauf hin, dass die Installation durch die Gerätekonfiguration verhindert wird. EMMs sollten nach Erhalt dieser Benachrichtigung nicht sofort wieder eine Installation im Hintergrund versuchen, da die Wiederhollogik von Google Play bereits fehlgeschlagen ist.
3.14.3. Das EMM ergreift automatisch die entsprechenden Maßnahmen, wenn eines der folgenden Benachrichtigungsereignisse auftritt:
newDeviceEvent: Während der Gerätebereitstellung müssen EMMs aufnewDeviceEventwarten, bevor sie weitere Play EMM API-Aufrufe für das neue Gerät ausführen, einschließlich der Installation von Apps im Hintergrund und dem Festlegen verwalteter Konfigurationen.productApprovalEvent: Wenn eineproductApprovalEvent-Benachrichtigung empfangen wird, muss die EMM-Konsole die Liste der genehmigten Apps, die für die Verteilung auf Geräte importiert wurden, automatisch aktualisieren, wenn eine aktive IT-Administratorsitzung vorhanden ist oder die Liste der genehmigten Apps nicht automatisch zu Beginn jeder IT-Administratorsitzung neu geladen wird.
3.15. Anforderungen an die API-Nutzung
Das EMM implementiert die APIs von Google im großen Maßstab und verhindert Traffic-Muster, die sich negativ auf die Fähigkeit von IT-Administratoren auswirken könnten, Apps in Produktionsumgebungen zu verwalten.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Play EMM API einhalten. Wenn Sie ein Verhalten, das gegen diese Richtlinien verstößt, nicht korrigieren, kann die API-Nutzung nach Ermessen von Google ausgesetzt werden.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt den Traffic von Unternehmen zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Ein Verhalten, das zu diesem Traffic-Muster passt, z. B. geplante Batch-Vorgänge für jedes registrierte Gerät, kann dazu führen, dass die API-Nutzung nach Ermessen von Google ausgesetzt wird.
3.15.3. Die EMM darf keine regelmäßigen, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Traffic-Muster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16. Erweiterte Verwaltung verwalteter Konfigurationen
3.16.1. Die Konsole des EMM-Anbieters muss die verwalteten Konfigurationseinstellungen (bis zu vier verschachtelte Ebenen) jeder Play-App mithilfe der folgenden Methoden abrufen und anzeigen können:
- den iFrame für Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die Konsole des EMM muss in der Lage sein, alles Feedback abzurufen und anzuzeigen, das vom Feedbackkanal einer App zurückgegeben wird, wenn es von einem IT-Administrator eingerichtet wurde.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von dem bzw. der es stammt.
- Die Konsole der EMM-Lösung muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte zu bestimmten Nachrichtentypen (z. B. Fehlermeldungen) zu abonnieren.
3.16.3. Die Konsole der EMM darf nur Werte senden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt werden. Verwenden Sie dazu:
- den iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte Benutzeroberfläche.
3.17. Web-App-Verwaltung
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und verteilen.
3.17.1. IT-Administratoren können über die EMM-Konsole Verknüpfungen zu Web-Apps verteilen:
3.18. Lebenszyklusverwaltung für Managed Google Play-Konten
Der EMM kann Managed Google Play-Konten im Namen von IT-Administratoren erstellen, aktualisieren und löschen.
3.18.1. EMMs können den Lebenszyklus eines verwalteten Google Play-Kontos gemäß den Implementierungsrichtlinien verwalten, die in der Entwicklerdokumentation der Play EMM API definiert sind.
3.18.2. EMMs können Managed Google Play-Konten ohne Nutzerinteraktion neu authentifizieren.
3.19. Verwaltung von App-Tracks
3.19.1. IT-Administratoren können eine Liste der Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT-Administratoren können festlegen, dass auf Geräten ein bestimmter Entwicklungspfad für eine Anwendung verwendet wird.
3.20. Erweiterte Verwaltung von Anwendungsupdates
3.20.1. IT-Administratoren können Apps erlauben, App-Updates mit hoher Priorität zu verwenden, um aktualisiert zu werden, sobald ein Update verfügbar ist.
3.20.2. IT-Administratoren können zulassen, dass App-Updates für Apps um 90 Tage verschoben werden.
3.21. Verwaltung der Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und dem IT-Administrator in einem für die Verteilung an Endnutzer geeigneten Format präsentieren (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können eine Standardantwort auf Laufzeitberechtigungsanfragen von Arbeits-Apps festlegen.
4.1.1. IT-Administratoren müssen beim Festlegen einer Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation aus den folgenden Optionen auswählen können:
- Prompt (Nutzer können auswählen)
- allow
- deny
Der EMM sollte diese Einstellungen mithilfe des DPC des EMM erzwingen.
4.2. Verwaltung des Status der Laufzeitberechtigung
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1.), IT-Administratoren können Antworten für bestimmte Berechtigungen für jede geschäftliche App festlegen, die auf API 23 oder höher basiert.
4.2.1. IT-Administratoren müssen den Berechtigungsstatus (Standard, Gewähren oder Ablehnen) für jede Berechtigung festlegen können, die von einer Arbeits-App angefordert wird, die auf API 23 oder höher basiert. Der EMM sollte diese Einstellungen mithilfe des DPC des EMM erzwingen.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können unternehmenseigene WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen, darunter:
4.3.1. SSID, mit dem DPC der EMM
4.3.2. Passwort, mit dem DPC des EMM.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen umfassen:
4.4.1. Identity mit dem DPC des EMM.
4.4.2. Zertifikat für die Autorisierung von Kunden mithilfe des DPC der EMM.
4.4.3. CA-Zertifikate mit dem DPC der EMM.
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf eine der folgenden Arten sperren:
- Nutzer können keine WLAN-Konfigurationen ändern, die vom EMM bereitgestellt wurden, aber eigene von Nutzern konfigurierbare Netzwerke hinzufügen und ändern (z. B. private Netzwerke).
- Nutzer können kein WLAN auf dem Gerät hinzufügen oder ändern. Die WLAN-Verbindung ist also auf die Netzwerke beschränkt, die vom EMM bereitgestellt werden.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nicht autorisierte Unternehmenskonten nicht mit Unternehmensdaten interagieren können, z. B. für Dienste wie SaaS-Speicher, Produktivitäts-Apps oder E-Mail. Ohne diese Funktion können Unternehmens-Apps, die auch Privatnutzerkonten unterstützen, private Konten hinzugefügt werden, um Unternehmensdaten mit diesen privaten Konten zu teilen.
4.6.1. IT-Administratoren können verhindern, dass Konten hinzugefügt oder geändert werden.
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung vor Abschluss der Bereitstellung festlegen, damit Sie diese Richtlinie nicht umgehen können, indem Sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Konten verwalten
IT-Administratoren können dafür sorgen, dass nicht autorisierte Google-Konten nicht mit Unternehmensdaten interagieren können. Ohne diese Funktion können Unternehmens-Google-Apps (z. B. Google Docs oder Google Drive) private Google-Konten hinzugefügt werden, sodass Unternehmensdaten für diese privaten Konten freigegeben werden können.
4.7.1. IT-Administratoren können Google-Konten angeben, die während der Bereitstellung aktiviert werden sollen, nachdem die Sperrung der Kontoverwaltung eingerichtet wurde.
4.7.2. Der DPC der EMM muss zum Aktivieren des Google-Kontos auffordern und dafür sorgen, dass nur das betreffende Konto aktiviert werden kann, indem das hinzuzufügende Konto angegeben wird.
- Auf Geräten mit einer älteren Android-Version als 7.0 muss der DPC die Einschränkung der Kontoverwaltung vorübergehend deaktivieren, bevor er den Nutzer auffordert.
4.8. Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um den Zugriff auf Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können von ihrer PKI generierte Zertifikate für die Nutzeridentität pro Nutzer installieren. Die Konsole der EMM-Lösung muss mit mindestens einer PKI integriert sein und von dieser Infrastruktur generierte Zertifikate verteilen.
4.8.2. IT-Administratoren können Zertifizierungsstellen im verwalteten Schlüsselspeicher installieren.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, die Zertifikate, die bestimmte verwaltete Apps verwenden sollen, automatisch auszuwählen. Mit dieser Funktion können IT-Administratoren auch Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen. Diese Funktion verhindert, dass Nutzer Anmeldedaten ändern, die im verwalteten Schlüsselspeicher gespeichert sind.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT-Administratoren ein Zertifikat angeben, über das der App während der Laufzeit stillschweigend Zugriff gewährt wird.
- Die Zertifikatsauswahl muss allgemein genug sein, um eine einzelne Konfiguration zu ermöglichen, die für alle Nutzer gilt, von denen jeder ein nutzerspezifisches Identitätszertifikat haben kann.
4.9.2. IT-Administratoren können Zertifikate im verwalteten Schlüsselspeicher stumm entfernen.
4.9.3. IT-Administratoren können ein CA-Zertifikat oder alle nicht systemeigenen CA-Zertifikate im Hintergrund deinstallieren.
4.9.4. IT-Administratoren können verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher konfigurieren.
4.9.5. IT-Administratoren können Zertifikate vorab gewähren, um die Nutzung geschäftlicher Apps zu ermöglichen.
4.10. Delegierte Zertifikatsverwaltung
IT-Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung auf Geräten bereitstellen und dieser App privilegierten Zugriff zur Installation von Zertifikaten im verwalteten Schlüsselspeicher gewähren.
4.10.1. IT-Administratoren geben ein Zertifikatverwaltungspaket an, das vom DPC als delegierte App zur Zertifikatsverwaltung festgelegt werden soll.
- Die Konsole kann optional bekannte Zertifikatsverwaltungspakete vorschlagen, muss es aber dem IT-Administrator ermöglichen, aus der Liste der zum Installieren verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein durchgehend aktives VPN angeben, damit die Daten aus bestimmten verwalteten Apps immer über ein eingerichtetes VPN übertragen werden.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket angeben, das als Always On-VPN eingerichtet werden soll.
- Die Konsole des EMM kann optional bekannte VPN-Pakete vorschlagen, die durchgehend aktives VPN unterstützen. Die für die durchgehend aktive Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen die VPN-Einstellungen für eine App angeben.
4.12. IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Da die Eingabemethode sowohl für beruflich genutzte als auch für private Profile verwendet wird, können Sie die Verwendung von Eingabemethoden nicht nur für die berufliche Nutzung blockieren, sondern auch für die private Nutzung. IT-Administratoren dürfen jedoch keine System-IMEs in Arbeitsprofilen blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten (einschließlich einer leeren Liste, die nicht systemeigene IMEs blockiert). Diese Liste kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zur Installation verfügbaren Apps auszuwählen.
4.12.2. Der EMM-Anbieter muss IT-Administratoren darüber informieren, dass System-IMEs auf Geräten mit Arbeitsprofilen von der Verwaltung ausgeschlossen sind.
4.13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Die erweiterte IME-Verwaltung erweitert die grundlegende Funktion, indem IT-Administratoren auch die Verwendung von System-IMEs verwalten können, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten (mit Ausnahme einer leeren Liste, die alle IMEs einschließlich der System-IMEs blockiert). Diese Liste kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zur Installation verfügbaren Apps auszuwählen.
4.13.2. EMMs müssen verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da dadurch die Einrichtung aller IMEs, einschließlich der System-IMEs, auf dem Gerät blockiert wird.
4.13.3. EMMs müssen dafür sorgen, dass, wenn eine Zulassungsliste für Eingabemethoden nicht die System-IMEs enthält, die IMEs von Drittanbietern automatisch installiert werden, bevor die Zulassungsliste auf dem Gerät angewendet wird.
4.14. Bedienungshilfen verwalten
IT-Administratoren können festlegen, welche Bedienungshilfen auf den Geräten der Nutzer zugelassen werden dürfen. Dienste für Barrierefreiheit sind zwar leistungsstarke Tools für Nutzer mit Behinderungen oder für Nutzer, die vorübergehend nicht vollständig mit ihrem Gerät interagieren können, sie können jedoch mit Unternehmensdaten in einer Weise interagieren, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle nicht systemeigenen Bedienungshilfen deaktivieren.
4.14.1. IT-Administratoren können eine Zulassungsliste für Dienste zur Barrierefreiheit beliebiger Länge einrichten (einschließlich einer leeren Liste, die Dienste zur Barrierefreiheit blockiert, die nicht zum System gehören). Diese Liste kann beliebige Pakete für Dienste zur Barrierefreiheit enthalten. Wenn diese Einstellung auf ein Arbeitsprofil angewendet wird, wirkt sie sich sowohl auf das private als auch auf das Arbeitsprofil aus.
- Die Console kann optional bekannte oder empfohlene Dienste zur Barrierefreiheit vorschlagen, die in die Zulassungsliste aufgenommen werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.15. Standortfreigabe verwalten
IT-Administratoren können verhindern, dass Nutzer Standortdaten für Apps im Arbeitsprofil freigeben. Andernfalls können Sie die Standorteinstellung für Arbeitsprofile in den Einstellungen konfigurieren.
4.15.1. IT-Administratoren können die Standortdienste im Arbeitsprofil deaktivieren.
4.16. Erweiterte Verwaltung der Standortfreigabe
IT-Administratoren können eine bestimmte Einstellung für die Standortfreigabe auf einem verwalteten Gerät erzwingen. Mit dieser Funktion können Unternehmens-Apps immer auf hochpräzise Standortdaten zugreifen. Außerdem kann diese Funktion dafür sorgen, dass der Akku nicht unnötig belastet wird, indem die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts auf einen der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber keine vom Netzwerk bereitgestellten Standorte.
- Akkusparmodus, der die Aktualisierungshäufigkeit einschränkt.
- Deaktiviert.
4.17. Verwaltung des Schutzes vor Zurücksetzen
Ermöglicht es IT-Administratoren, unternehmenseigene Geräte vor Diebstahl zu schützen, indem nicht autorisierte Nutzer Geräte nicht auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz vor Zurücksetzen auf die Werkseinstellungen zu operativen Komplikationen führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz vor Zurücksetzen auf die Werkseinstellungen auch vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer ihr Gerät über die Einstellungen auf die Werkseinstellungen zurücksetzen.
4.17.2. IT-Administratoren können Unternehmensentsperrkonten angeben, die zum Bereitstellen von Geräten nach einem Zurücksetzen auf die Werkseinstellungen berechtigt sind.
- Dieses Konto kann mit einer Person verknüpft oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können den Schutz für zurückgesetzte Geräte für bestimmte Geräte deaktivieren.
4.17.4. IT-Administratoren können ein Remote-Löschen des Geräts starten, bei dem optional Daten zum Schutz für zurückgesetzte Geräte gelöscht werden. Dadurch wird der Schutz für zurückgesetzte Geräte auf dem zurückgesetzten Gerät entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern, z. B. die App erzwingen, geschlossen zu werden, oder den Datencache einer App leeren.
4.18.1. IT-Administratoren können die Deinstallation beliebiger oder aller verwalteten Apps blockieren.
4.18.2. IT-Administratoren können verhindern, dass Nutzer App-Daten über die Einstellungen ändern.
4.19. Verwaltung von Screenshots
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Diese Einstellung blockiert auch Apps zur Bildschirmfreigabe und ähnliche Apps (z. B. Google Assistant), die die Screenshot-Funktionen des Systems verwenden.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen.
4.20. Kameras deaktivieren
IT-Administratoren können die Verwendung der Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Nutzung der Gerätekameras durch verwaltete Apps deaktivieren.
4.21. Erfassung von Netzwerkstatistiken
IT-Administratoren können Statistiken zur Netzwerknutzung aus dem Arbeitsprofil eines Geräts abfragen. Die erfassten Statistiken spiegeln die Nutzungsdaten wider, die im Abschnitt Datennutzung der Einstellungen mit Nutzern geteilt werden. Die erfassten Statistiken beziehen sich auf die Nutzung von Apps im Arbeitsprofil.
4.21.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein Arbeitsprofil für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und sich diese Details in der EMM-Konsole ansehen.
4.21.2. IT-Administratoren können eine Zusammenfassung einer App in den Statistiken zur Netzwerknutzung des Arbeitsprofils für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abrufen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4.21.3. IT-Administratoren können Netzwerknutzungsdaten eines Arbeitsprofils für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4.22. Erweiterte Netzwerkstatistiken erfassen
IT-Administratoren können Statistiken zur Netzwerknutzung für ein gesamtes verwaltetes Gerät abfragen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die im Abschnitt Datennutzung der Einstellungen mit Nutzern geteilt werden. Die erfassten Statistiken beziehen sich auf die Nutzung von Apps auf dem Gerät.
4.22.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein gesamtes Gerät für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und sich diese Details in der EMM-Konsole ansehen.
4.22.2. IT-Administratoren können eine Zusammenfassung der Statistiken zur App-Netzwerknutzung für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abrufen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4.22.3. IT-Administratoren können Nutzungsdaten des Netzwerks für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4.23. Gerät neu starten
IT-Administratoren können verwaltete Geräte aus der Ferne neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4.24. Systemradioverwaltung
Ermöglicht IT-Administratoren eine detaillierte Verwaltung der Systemnetzwerkfunkschnittstellen und der zugehörigen Nutzungsrichtlinien.
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Mobilfunk-Broadcasts deaktivieren, z. B. AMBER-Warnungen.
4.24.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für Mobilfunknetze in den Einstellungen ändern.
4.24.3. IT-Administratoren können verhindern, dass Nutzer die Netzwerkeinstellungen in den Einstellungen zurücksetzen.
4.24.4. IT-Administratoren können mobile Daten im Roaming zulassen oder deaktivieren.
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe starten kann, ausgenommen Notrufe.
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen kann.
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät als mobilen Hotspot verwenden, indem sie Tethering verwenden.
4.24.8. IT-Administratoren können die WLAN-Zeitüberschreitung auf die Standardeinstellung, nur bei angeschlossenem Netzkabel oder nie festlegen.
4.24.9. IT-Administratoren können verhindern, dass Nutzer bestehende Bluetooth-Verbindungen einrichten oder ändern.
4.25. Systemaudioverwaltung
IT-Administratoren können die Audiofunktionen von Geräten im Hintergrund verwalten, z. B. das Gerät stummschalten, verhindern, dass Nutzer die Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer das Mikrofon des Geräts entsperren.
4.25.1. IT-Administratoren können verwaltete Geräte automatisch stummschalten.
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Lautstärkeeinstellungen des Geräts ändern.
4.25.3. IT-Administratoren können verhindern, dass Nutzer das Mikrofon des Geräts entmuten.
4.26. Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Uhrzeit des Systems erzwingen, sodass Nutzer das Datum und die Uhrzeit des Geräts nicht mehr festlegen können.
4.26.2. IT-Administratoren können sowohl die automatische Uhrzeit als auch die automatische Zeitzone stummschalten oder aktivieren.
4.27. Erweiterte Funktionen auf zweckbestimmten Geräten
IT-Administratoren können spezielle Gerätefunktionen detaillierter verwalten, um verschiedene Kioskaufgaben zu unterstützen.
4.27.1. IT-Administratoren können den Keyguard des Geräts deaktivieren.
4.27.2. IT-Administratoren können die Statusleiste des Geräts deaktivieren und so Benachrichtigungen und Schnelleinstellungen blockieren.
4.27.3. IT-Administratoren können festlegen, dass das Display des Geräts eingeschaltet bleiben muss, solange das Gerät angeschlossen ist.
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden:
- Toasts
- App-Overlays
4.27.5. IT-Administratoren können festlegen, dass die Systemempfehlung für Apps beim ersten Start die Anleitung für Nutzer und andere Einführungshinweise überspringt.
4.28. Delegiertes Verwaltungsrecht
IT-Administratoren können einzelnen Paketen zusätzliche Berechtigungen zuweisen.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Zertifikatinstallation und ‑verwaltung
- Absichtlich leer
- Netzwerkprotokollierung
- Sicherheitsprotokollierung (nicht unterstützt für Arbeitsprofile auf privaten Geräten)
4.29. Unterstützung für studiengangsspezifische Ausweise
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische Kennungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil anhand der Registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine Registrierungsspezifische ID festlegen und abrufen.
4.29.2. Diese Registrierungsspezifische ID muss auch nach einem Zurücksetzen auf die Werkseinstellungen erhalten bleiben.
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT-Administratoren können die UX des standardmäßigen Einrichtungsvorgangs ändern, um unternehmensspezifische Funktionen einzubinden. Optional können IT-Administratoren während der Bereitstellung das von der EMM bereitgestellte Branding anzeigen lassen.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie die folgenden unternehmensspezifischen Details angeben: Unternehmensfarbe, Unternehmenslogo und Nutzungsbedingungen und andere Haftungsausschlüsse des Unternehmens.
5.1.2. IT-Administratoren können eine nicht konfigurierbare, EMM-spezifische Anpassung bereitstellen, die die folgenden Details enthält: EMM-Farbe, EMM-Logo und EMM-Nutzungsbedingungen und andere Haftungsausschlüsse.
5.1.3 [primaryColor] wurde für die Enterprise-Ressource unter Android 10 und höher eingestellt.
- EMMs müssen die Nutzungsbedingungen und andere Haftungsausschlüsse für ihren Bereitstellungsablauf im Bundle mit Haftungsausschlüssen für die Systembereitstellung angeben, auch wenn die EMM-spezifische Anpassung nicht verwendet wird.
- EMMs können ihre nicht konfigurierbaren, EMM-spezifischen Anpassungen als Standard für alle Bereitstellungen festlegen, müssen aber IT-Administratoren die Möglichkeit geben, ihre eigenen Anpassungen einzurichten.
5.2. Anpassung für Unternehmen
IT-Administratoren können Aspekte des Arbeitsprofils mit Corporate Branding anpassen. IT-Administratoren können beispielsweise das Nutzersymbol im Arbeitsprofil auf das Unternehmenslogo festlegen. Ein weiteres Beispiel ist die Hintergrundfarbe der Arbeitsherausforderung.
5.2.1. IT-Administratoren können die Farbe der Organisation festlegen, die als Hintergrundfarbe für die Arbeitsherausforderung verwendet werden soll.
5.2.2. IT-Administratoren können den Anzeigenamen des Arbeitsprofils festlegen.
5.2.3. IT-Administratoren können das Nutzersymbol des Arbeitsprofils festlegen.
5.2.4. IT-Administratoren können verhindern, dass der Nutzer das Nutzersymbol des Arbeitsprofils ändert.
5.3. Erweiterte Anpassungen für Unternehmen
IT-Administratoren können verwaltete Geräte mit dem Corporate Branding des Unternehmens personalisieren. IT-Administratoren können beispielsweise das primäre Nutzersymbol auf das Unternehmenslogo oder den Gerätehintergrund festlegen.
5.3.1. IT-Administratoren können den Anzeigenamen für das verwaltete Gerät festlegen.
5.3.2. IT-Administratoren können das Nutzersymbol des verwalteten Geräts festlegen.
5.3.3. IT-Administratoren können verhindern, dass der Nutzer das Nutzersymbol des Geräts ändert.
5.3.4. IT-Administratoren können den Hintergrund des Geräts festlegen.
5.3.5. IT-Administratoren können verhindern, dass Nutzer den Gerätehintergrund ändern.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird und nicht erst nach dem Entsperren des Geräts sichtbar wird.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen.
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie verwaltete Einstellungen auf ihrem Gerät ändern, oder eine von der EMM-Lösung bereitgestellte allgemeine Supportmitteilung bereitstellen. Sowohl kurze als auch lange Supportmitteilungen können angepasst werden. Diese Meldungen werden beispielsweise angezeigt, wenn Sie versuchen, eine verwaltete App zu deinstallieren, für die die Deinstallation bereits von einem IT-Administrator blockiert wurde.
5.5.1. IT-Administratoren können sowohl die kurze als auch die lange Supportnachricht anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische kurze und lange Supportnachrichten bereitstellen.
- EMM-Anbieter können ihre nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standard für alle Bereitstellungen festlegen, müssen IT-Administratoren aber die Möglichkeit geben, eigene Nachrichten einzurichten.
5.6. Profilübergreifende Kontaktverwaltung
IT-Administratoren können festlegen, welche Kontaktdaten das Arbeitsprofil verlassen dürfen. Sowohl Telefonie- als auch Messaging-Apps (SMS) müssen im privaten Profil ausgeführt werden und benötigen Zugriff auf die Kontaktdaten des Arbeitsprofils, um geschäftliche Kontakte effizient zu verwalten. Administratoren können diese Funktionen jedoch deaktivieren, um Arbeitsdaten zu schützen.
5.6.1. IT-Administratoren können die profilübergreifende Kontaktsuche für private Apps deaktivieren, die den Systemkontaktanbieter verwenden.
5.6.2. IT-Administratoren können die profilübergreifende Suche nach der Anrufer-ID für persönliche Telefonanruf-Apps deaktivieren, die den Systemkontaktanbieter verwenden.
5.6.3. IT-Administratoren können die Freigabe von Bluetooth-Kontakten für Bluetooth-Geräte deaktivieren, die den Systemkontaktanbieter verwenden, z. B. Freisprecheinrichtungen in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
IT-Administratoren können darüber hinaus, was die Standardsicherheitsfunktionen des Arbeitsprofils zulassen, festlegen, welche Daten das Arbeitsprofil verlassen dürfen. Mit dieser Funktion können IT-Administratoren die Freigabe bestimmter profilübergreifender Daten zulassen, um die Nutzerfreundlichkeit bei wichtigen Anwendungsfällen zu verbessern. IT-Administratoren können Unternehmensdaten auch durch weitere Sperrungen besser schützen.
5.7.1. IT-Administratoren können profilübergreifende Intent-Filter konfigurieren, damit private Apps Intents aus dem Arbeitsprofil verarbeiten können, z. B. Freigabe-Intents oder Weblinks.
- Die Console kann optional bekannte oder empfohlene Intent-Filter für die Konfiguration vorschlagen. Intent-Filter können jedoch nicht auf eine beliebige Liste beschränkt werden.
5.7.2. IT-Administratoren können verwaltete Apps zulassen, die Widgets anzeigen können.
- Die EMM-Konsole muss IT-Administratoren die Möglichkeit bieten, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
5.7.3. IT-Administratoren können das Kopieren und Einfügen zwischen Arbeits- und privaten Profilen blockieren.
5.7.4. IT-Administratoren können verhindern, dass Nutzer Daten aus dem Arbeitsprofil per NFC-Beam teilen.
5.7.5. IT-Administratoren können privaten Apps erlauben, Weblinks aus dem Arbeitsprofil zu öffnen.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) für Geräte einrichten und anwenden.
5.8.1. Über die Konsole des EMM können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: OTA-Updates werden auf den Geräten installiert, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie hat keine Auswirkungen auf Sicherheitsupdates (z.B. monatliche Sicherheitspatches).
- Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. Der DPC des EMM wendet OTA-Konfigurationen auf Geräte an.
5.9. Verwaltung des Modus „Gesperrte Aufgabe“
IT-Administratoren können eine App oder mehrere Apps auf dem Display sperren und dafür sorgen, dass Nutzer die App nicht schließen können.
5.9.1. Über die EMM-Konsole können IT-Administratoren die Installation und Sperrung beliebiger Apps auf einem Gerät automatisch zulassen. Die DPC der EMM erlaubt den Modus für spezielle Geräte.
5.10. Verwaltung der bevorzugten Aktivitäten
Ermöglicht es IT-Administratoren, eine App als Standard-Intent-Handler für Intents festzulegen, die einem bestimmten Intent-Filter entsprechen. So können IT-Administratoren beispielsweise festlegen, welche Browser-App Weblinks automatisch öffnet oder welche Launcher-App verwendet wird, wenn auf die Startbildschirmtaste getippt wird.
5.10.1. IT-Administratoren können beliebige Pakete als Standard-Intent-Handler für beliebige Intent-Filter festlegen.
- Die Konsole des EMM kann optional bekannte oder empfohlene Intents zur Konfiguration vorschlagen, Intents jedoch nicht auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren aus einer Liste von Apps auswählen können, die für die entsprechenden Nutzer zur Installation verfügbar sind.
5.11. Verwaltung der Sperrbildschirmfunktionen
- Trust Agents
- Entsperren mit Fingerabdruck
- ungeschwärzte Benachrichtigungen
5.11.2. Der DPC des EMM kann die folgenden Funktionen des Sperrbildschirms im Arbeitsprofil deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12. Erweiterte Verwaltung der Sperrbildschirmfunktionen
- Sichere Kamera
- Alle Benachrichtigungen
- Ungekürzte Benachrichtigungen
- Trust Agents
- Entsperrung per Fingerabdruck
- Alle Funktionen des Keyguards
5.13. Remote-Debugging
IT-Administratoren können Ressourcen zur Fehlerbehebung von Geräten abrufen, ohne zusätzliche Schritte ausführen zu müssen.
5.13.1. IT-Administratoren können Fehlerberichte aus der Ferne anfordern, sich Fehlerberichte in der EMM-Konsole ansehen und Fehlerberichte aus der EMM-Konsole herunterladen.
5.14. MAC-Adresse abrufen
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen. Die MAC-Adresse kann verwendet werden, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren, z. B. bei der Identifizierung von Geräten für die Netzwerkzugriffssteuerung.
5.14.1. Der EMM-Anbieter kann die MAC-Adresse eines Geräts unbemerkt abrufen und mit dem Gerät in der EMM-Konsole verknüpfen.
5.15. Erweiterte Verwaltung des Modus „Gesperrte Aufgabe“
Wenn ein Gerät als dediziertes Gerät eingerichtet ist, können IT-Administratoren über die Konsole des EMM-Dienstes die folgenden Aufgaben ausführen:
5.15.1. Sie können über den Device Policy Controller (DPC) des EMM einer einzelnen App erlauben, sich automatisch auf einem Gerät zu sperren.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden Funktionen der Systemoberfläche über den DPC des EMM:
- Startbildschirmtaste
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Sperrbildschirm
5.15.3. Deaktivieren Sie die Dialogfelder für Systemfehler mit dem DPC des EMM.
5.16. Erweiterte Richtlinie für Systemupdates
IT-Administratoren können Systemupdates auf einem Gerät für einen bestimmten Zeitraum sperren.
5.16.1. Der DPC des EMM kann OTA-Systemupdates (Over-the-Air) für einen bestimmten Zeitraum auf Geräte anwenden.
5.17. Verwaltung der Transparenz von Richtlinien für Arbeitsprofile
IT-Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn das Arbeitsprofil von einem Gerät entfernt wird.
5.17.1. IT-Administratoren können einen benutzerdefinierten Text angeben, der angezeigt wird, wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung für verbundene Apps
IT-Administratoren können eine Liste von Paketen festlegen, die über die Grenze des Arbeitsprofils hinweg kommunizieren können.
5.19. Manuelle Systemupdates
IT-Administratoren können ein Systemupdate manuell installieren, indem sie einen Pfad angeben.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, durch den der Kundensupport für Device Admin auf GMS-Geräten bis Ende des ersten Quartals 2023 eingestellt wird.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte für alle neuen Bindungen mit Android Device Policy verwaltet werden. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten. Neue Kunden dürfen während des Onboardings oder der Einrichtung nicht zwischen verschiedenen Technologie-Stacks wählen.
7.2. Standard-Richtliniencontroller für neue Geräte
Standardmäßig müssen Geräte für alle neuen Geräteregistrierungen mit Android Device Policy verwaltet werden, sowohl für bestehende als auch für neue Bindungen. EMMs können die Möglichkeit bieten, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten.