Auf dieser Seite finden Sie alle Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () von mindestens einem Lösungssatz unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die standardmäßige Funktionsüberprüfung bestehen, werden im Enterprise Solutions Directory von Android als Standardverwaltungsgruppe aufgeführt.
Für jeden Lösungssatz ist ein zusätzlicher Satz erweiterter Funktionen verfügbar. Diese Funktionen sind auf den einzelnen Lösungsseiten angegeben: Arbeitsprofil, vollständig verwaltetes Gerät und dediziertes Gerät. EMM-Lösungen, die die erweiterte Funktionsüberprüfung bestehen, werden im Enterprise Solutions Directory von Android als Advanced Management Set angeboten.
Hinweis:Die Verwendung der Android Management API unterliegt der zulässigen Nutzungsrichtlinie.
Schlüssel
| -Standardfeature | Optionales Feature für | nicht zutreffend |
1. Gerätebereitstellung
1.1. DPC-First-Arbeitsprofil-Bereitstellung
Sie können ein Arbeitsprofil bereitstellen, nachdem Sie den DPC des EMM von Google Play heruntergeladen haben.
1.1.1. Der DPC des EMM muss bei Google Play öffentlich verfügbar sein, damit Nutzer den DPC auf der privaten Seite des Geräts installieren können.
1.1.2. Nach der Installation muss der DPC den Nutzer durch die Bereitstellung eines Arbeitsprofils führen.
1.1.3. Wenn die Bereitstellung abgeschlossen ist, kann keine Verwaltungspräsenz mehr auf der privaten Seite des Geräts vorhanden sein.
- Alle während der Bereitstellung festgelegten Richtlinien müssen entfernt werden.
- Die App-Berechtigungen müssen widerrufen werden.
- Der DPC des EMM muss auf der privaten Seite des Geräts mindestens deaktiviert sein.
1.2. Bereitstellung von DPC-Kennungen
IT-Administratoren können ein vollständig verwaltetes oder dediziertes Gerät mithilfe einer DPC-Kennung („afw#“) gemäß den Implementierungsrichtlinien bereitstellen, die in der Entwicklerdokumentation zur Play EMM API definiert sind.
1.2.1. Der DPC des EMM muss bei Google Play öffentlich verfügbar sein. Der DPC muss über den Geräteeinrichtungsassistenten durch Eingabe einer DPC-spezifischen ID installiert werden können.
1.2.2. Nach der Installation muss der DPC des EMM den Nutzer durch die Bereitstellung eines vollständig verwalteten oder dedizierten Geräts führen.
1.3. Bereitstellung von NFC-Geräten
Mit NFC-Tags können IT-Administratoren neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den Implementierungsrichtlinien bereitstellen, die in der Entwicklerdokumentation für die Play EMM API definiert sind.
1.3.1. EMM-Anbieter müssen Tags vom Typ 2 des NFC-Forums mit mindestens 888 Byte Arbeitsspeicher verwenden. Bei der Bereitstellung müssen Extras für die Bereitstellung verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Nachdem der DPC des EMM als Geräteeigentümer festgelegt wurde, muss der DPC sofort geöffnet und auf dem Bildschirm gesperrt werden, bis das Gerät vollständig bereitgestellt wurde.
1.3.3. Wir empfehlen die Verwendung von NFC-Tags ab Android 10, da NFC Beam (auch als „NFC Bump“ bezeichnet) eingestellt wird.
1.4 Gerätebereitstellung per QR-Code
IT-Administratoren können mit einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät einen von der EMM-Konsole generierten QR-Code scannen, um das Gerät gemäß den Implementierungsrichtlinien bereitzustellen, die in der Entwicklerdokumentation für die Play EMM API definiert sind.
1.4.1. Im QR-Code müssen zusätzliche Funktionen verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.4.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss der DPC sofort geöffnet und auf dem Bildschirm gesperrt sein, bis das Gerät vollständig bereitgestellt ist.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte, die von autorisierten Resellern erworben wurden, vorkonfigurieren und über die EMM-Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung bereitstellen, die unter Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Beim ersten Einschalten eines Geräts werden automatisch die vom IT-Administrator festgelegten Einstellungen angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil der Geräteregistrierung automatisieren, indem sie DPC-Registrierungsdetails über die Zero-Touch-Registrierung bereitstellen. Der DPC des EMM unterstützt die Beschränkung der Registrierung auf bestimmte Konten oder Domains entsprechend den vom EMM angebotenen Konfigurationsoptionen.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mithilfe der Zero-Touch-Registrierung bereitstellen, die unter Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.6.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss der DPC des EMM sofort geöffnet und sich auf dem Bildschirm gesperrt werden, bis das Gerät vollständig bereitgestellt ist.
- Bei Geräten, die Registrierungsdetails für die Zero-Touch-Registrierung verwenden, ist die automatische Bereitstellung nicht erforderlich (z. B. bei der Bereitstellung eines dedizierten Geräts).
1.6.3. Mithilfe der Registrierungsdetails muss der DPC des EMM dafür sorgen, dass nicht autorisierte Nutzer nicht mit der Aktivierung fortfahren können, nachdem der DPC aufgerufen wurde. Die Aktivierung muss mindestens auf die Nutzer des jeweiligen Unternehmens beschränkt sein.
1.6.4. Mithilfe der Registrierungsdetails muss der DPC des EMM es IT-Administratoren ermöglichen, neben eindeutigen Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) Registrierungsdetails (z. B. Instanzserver-IDs, Registrierungs-IDs) vorab auszufüllen, damit Nutzer bei der Aktivierung eines Geräts keine Details eingeben müssen.
- EMMs dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate in die Konfiguration der Zero-Touch-Registrierung aufnehmen.
1.7 Bereitstellung des Arbeitsprofils für ein Google-Konto
Unternehmen, die Workspace verwenden, werden mit dieser Funktion durch die Einrichtung eines Arbeitsprofils geführt, nachdem sie ihre geschäftlichen Workspace-Anmeldedaten während der Geräteeinrichtung oder auf einem bereits aktivierten Gerät eingegeben haben. In beiden Fällen wird die geschäftliche Workspace-Identität in das Arbeitsprofil migriert.
1.7.1. Bei der Bereitstellungsmethode eines Google-Kontos wird ein Arbeitsprofil gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8 Gerätebereitstellung über ein Google-Konto
In Unternehmen, die Workspace verwenden, werden Nutzer mit dieser Funktion durch die Installation des DPC ihres EMM-Anbieters geführt, nachdem sie bei der Ersteinrichtung des Geräts ihre geschäftlichen Workspace-Anmeldedaten eingegeben haben. Nach der Installation schließt der DPC die Einrichtung eines unternehmenseigenen Geräts ab.
1.8.1. Bei der Bereitstellungsmethode eines Google-Kontos wird ein unternehmenseigenes Gerät gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8.2. Wenn der EMM-Anbieter das Gerät nicht eindeutig als Unternehmens-Asset identifizieren kann, kann er ein Gerät nicht ohne Nachfrage während des Bereitstellungsprozesses bereitstellen. Diese Aufforderung muss eine nicht standardmäßige Aktion ausführen, z. B. ein Kästchen anklicken oder eine nicht standardmäßige Menüoption auswählen. Es wird empfohlen, dass das EMM das Gerät als Unternehmens-Asset identifizieren kann, sodass keine Aufforderung erforderlich ist.
1.9 Direkte Zero-Touch-Konfiguration
IT-Administratoren können in der EMM-Konsole Zero-Touch-Geräte mit dem Zero-Touch-iFrame einrichten.
1.10 Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren.
1.10.1 IT-Administratoren können Geräte per QR-Code oder mit Zero-Touch-Registrierung als Arbeitsprofil auf einem unternehmenseigenen Gerät bereitstellen.
1.10.2 IT-Administratoren können Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3 IT-Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.4 IT-Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.5 IT-Administratoren können eine Zulassungs- oder Sperrliste für Anwendungen festlegen, die im privaten Profil installiert werden dürfen oder nicht.
1.10.6 IT-Administratoren können auf die Verwaltung eines unternehmenseigenen Geräts verzichten, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
2. Gerätesicherheit
2.1. Herausforderung der Gerätesicherheit
IT-Administratoren können auf verwalteten Geräten eine Sicherheitsabfrage (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen festlegen und erzwingen.
2.1.1. Durch die Richtlinie müssen Einstellungen zur Verwaltung der Sicherheitseinstellungen für Geräte erzwungen werden (parentProfilePasswordAnforderungen für Arbeitsprofile, Kennwortanforderungen für vollständig verwaltete und zweckbestimmte Geräte).
2.1.2. Die Passwortkomplexität muss den folgenden Komplexitäten von Passwörtern entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder Markierung mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetischen oder alphanumerischen Passwörtern mit einer Länge von mindestens 6
2.2 Herausforderung der Arbeitssicherheit
IT-Administratoren können eine Sicherheitsabfrage für Apps und Daten im Arbeitsprofil einrichten und erzwingen, die unabhängig ist und andere Anforderungen als die Identitätsbestätigung für Geräte hat (2.1.).
2.2.1. Die Richtlinie muss die Sicherheitsherausforderung für das Arbeitsprofil erzwingen. Standardmäßig sollten IT-Administratoren Einschränkungen nur für das Arbeitsprofil festlegen, wenn kein Bereich angegeben ist. IT-Administratoren können dies für das gesamte Gerät festlegen, indem sie den Bereich angeben (siehe Anforderung 2.1).
2.1.2. Die Passwortkomplexität sollte den folgenden Komplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder Markierung mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetischen oder alphanumerischen Passwörtern mit einer Länge von mindestens 6
2.3. Erweiterte Sicherheitscodeverwaltung
2.3.1. [absichtlich leer]
2.3.2. [absichtlich leer]
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden auf einem Gerät verfügbaren Sperrbildschirm festgelegt werden:
- [absichtlich leer]
- [absichtlich leer]
- Maximale Anzahl fehlgeschlagener Passwörter für das Löschen: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.3.4. Android 8.0 und höher) Zeitlimit für erforderliche starke Authentifizierung: Ein starker Authentifizierungs-Sicherheitscode (z. B. PIN oder Passwort) muss nach einem von einem IT-Administrator festgelegten Zeitlimit eingegeben werden. Nach dem Zeitlimit werden nicht starke Authentifizierungsmethoden wie die Entsperrung per Fingerabdruck oder Gesichtserkennung deaktiviert, bis das Gerät mit einem starken Sicherheitscode für die Authentifizierung entsperrt wird.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, welche Trust Agents mit der Smart Lock-Funktion von Android Geräte entsperren dürfen. IT-Administratoren können bestimmte Entsperrmethoden wie vertrauenswürdige Bluetooth-Geräte, Gesichtserkennung und Spracherkennung deaktivieren oder die Funktion optional vollständig deaktivieren.
2.4.1. IT-Administratoren können Smart Lock Trust Agents unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm deaktivieren.
2.4.2. IT-Administratoren können für die folgenden Trust Agents selektiv Smart Lock-Trust Agents zulassen und einrichten – unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm: Bluetooth, NFC, Places, Gesichts-, Trage- und Spracherkennung.
- IT-Administratoren können die verfügbaren Konfigurationsparameter des Trust Agents ändern.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole Arbeitsdaten per Fernzugriff von einem verwalteten Gerät sperren und von dort löschen.
2.5.1. Der DPC des EMM-Anbieters muss Geräte sperren.
2.5.2. Der DPC des EMM-Anbieters muss die Gerätedaten löschen.
2.6 Durchsetzung der Compliance
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, werden Arbeitsdaten automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens Passwortrichtlinien enthalten.
2.7 Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs wird empfohlen (aber nicht erforderlich), IT-Administratoren nicht zu gestatten, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Der DPC des EMM-Anbieters muss die Installation von Apps aus unbekannten Quellen blockieren. Dazu gehören auch Apps, die auf der privaten Seite von Geräten mit Android 8.0 oder höher mit Arbeitsprofil installiert werden.
2.7.2. Der DPC des EMM-Anbieters muss Debugging-Funktionen blockieren.
2.8 Sicherheitsrichtlinien für dedizierte Geräte
Zweckbestimmte Geräte werden ohne Möglichkeit gesperrt, um andere Aktionen zu ermöglichen.
2.8.1. Der DPC des EMM-Anbieters muss den Start im abgesicherten Modus standardmäßig deaktivieren.
2.8.2. Der DPC des EMM muss beim ersten Start während der Bereitstellung sofort geöffnet und für den Bildschirm gesperrt werden, damit keine andere Interaktion mit dem Gerät möglich ist.
2.8.3. Der DPC des EMM muss als Standardstarter festgelegt sein, damit zulässige Apps beim Start gemäß den definierten Implementierungsrichtlinien an den Bildschirm gebunden werden.
2.9 Play Integrity-Support
Der EMM verwendet die Play Integrity API, um sicherzustellen, dass die Geräte gültige Android-Geräte sind.
2.9.1. Auf dem DPC des EMM wird die Play Integrity API während der Bereitstellung implementiert. Standardmäßig wird die Bereitstellung des Geräts mit Unternehmensdaten nur dann abgeschlossen, wenn die zurückgegebene Geräteintegrität MEETS_STRONG_INTEGRITY lautet.
2.9.2. Der DPC des EMM führt bei jeder Anmeldung eines Geräts beim EMM-Server eine weitere Play-Integritätsprüfung durch, die vom IT-Administrator konfiguriert werden kann. Der EMM-Server prüft die APK-Informationen in der Antwort der Integritätsprüfung und die Antwort selbst, bevor die Unternehmensrichtlinie auf dem Gerät aktualisiert wird.
2.9.3. IT-Administratoren können je nach Ergebnis der Play-Integritätsprüfung verschiedene Richtlinienantworten einrichten, z. B. die Bereitstellung blockieren, Unternehmensdaten löschen und die Fortsetzung der Registrierung zulassen.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.10 Erzwingung der App-Überprüfung
IT-Administratoren können die Option Apps überprüfen auf Geräten aktivieren. Bei der Überprüfung von Apps werden auf Android-Geräten installierte Apps vor und nach der Installation auf schädliche Software geprüft. So wird sichergestellt, dass schädliche Apps keine Unternehmensdaten kompromittieren können.
2.10.1. Der DPC des EMM-Anbieters muss die App-Überprüfung standardmäßig aktivieren.
2.11 Unterstützung für Direct Boot
Apps können auf Geräten mit Android 7.0 und höher, die gerade eingeschaltet wurden, erst ausgeführt werden, wenn das Gerät entsperrt wurde. Durch die Unterstützung des direkten Starts wird sichergestellt, dass der DPC des EMM immer aktiv ist und Richtlinien erzwingen kann, auch wenn das Gerät nicht entsperrt wurde.
2.11.1. Der DPC des EMM nutzt geräteverschlüsselten Speicher, um wichtige Verwaltungsfunktionen auszuführen, bevor der durch Anmeldedaten verschlüsselte Speicher des DPC entschlüsselt wurde. Während des direkten Starts sind unter anderem folgende Verwaltungsfunktionen verfügbar:
- Unternehmensdaten auf Werkseinstellungen zurücksetzen, einschließlich der Möglichkeit, Schutzdaten für das Zurücksetzen auf Werkseinstellungen nach Bedarf zu löschen
2.11.2. Der DPC des EMM darf keine Unternehmensdaten im verschlüsselten Speicher des Geräts offenlegen.
2.11.3. EMMs können [ein Token festlegen und aktivieren], um die Schaltfläche Ich habe mein Passwort vergessen auf dem Sperrbildschirm des Arbeitsprofils zu aktivieren. Mit dieser Schaltfläche können IT-Administratoren das Passwort des Arbeitsprofils sicher zurücksetzen.
2.12 Hardware-Sicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverlust zu verhindern.
2.12.1. IT-Administratoren können Nutzer daran hindern, physische externe Medien auf ihrem Gerät bereitzustellen.
2.12.2. IT-Administratoren können Nutzer daran hindern, Daten von ihrem Gerät per NFC-Beam zu teilen. Diese Unterfunktion ist optional, da die NFC-Beamfunktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können Nutzer daran hindern, Dateien von ihrem Gerät über USB zu übertragen.
2.13 Logging für die Unternehmenssicherheit
IT-Administratoren können Nutzungsdaten von Geräten erfassen, die geparst und programmatisch auf böswilliges oder riskantes Verhalten ausgewertet werden können. Zu den protokollierten Aktivitäten gehören ADB-Aktivitäten (Android Debug Bridge) sowie App-Öffnen und Bildschirmentsperrungen.
2.13.1. IT-Administratoren können für bestimmte Geräte Sicherheits-Logging aktivieren. Der DPC des EMM muss sowohl Sicherheitsprotokolle als auch Sicherheitsprotokolle vor dem Neustart automatisch abrufen können.
2.13.2. IT-Administratoren können in der EMM-Konsole Sicherheitsprotokolle des Unternehmens für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster überprüfen.
2.13.3. IT-Administratoren können Unternehmens-Sicherheitsprotokolle aus der EMM-Konsole exportieren.
3. Konto- und App-Verwaltung
3.1. Unternehmensregistrierung für Managed Google Play-Konten
IT-Administratoren können eine Kontogruppe für Managed Google Play erstellen – eine Entität, die es Managed Google Play ermöglicht, Apps an Geräte zu verteilen. Die folgenden Registrierungsphasen müssen in die EMM-Konsole integriert werden:
3.1.1. Registrieren Sie mit der Play EMM API eine Kontogruppe für Managed Google Play.
3.1.2. Über die EMM-Konsole muss für jedes Unternehmen im Hintergrund eine eindeutige ESA bereitgestellt und eingerichtet werden.
3.1.3. Melden Sie eine Kontogruppe für Managed Google Play mithilfe der Play EMM API ab.
3.2. Bereitstellung von Managed Google Play-Konten
Der EMM kann im Hintergrund Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, bereitstellen. Diese Konten identifizieren verwaltete Nutzer und lassen eindeutige App-Verteilungsregeln pro Nutzer zu.
3.2.1. Der DPC des EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien im Hintergrund bereitstellen und aktivieren. Dabei gilt:
- Dem Gerät wird ein Managed Google Play-Konto vom Typ
userAccounthinzugefügt. - Für das Managed Google Play-Konto vom Typ
userAccountmuss eine 1:1-Zuordnung mit den tatsächlichen Nutzern in der EMM-Konsole vorhanden sein.
3.3 Bereitstellung von verwalteten Google Play-Gerätekonten
Der EMM kann Managed Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten ermöglichen die automatische Installation von Apps aus dem Managed Google Play Store und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto zur Identifizierung eines einzelnen Geräts verwendet, um gerätespezifische App-Bereitstellungsregeln in dedizierten Geräteszenarien zu unterstützen.
3.3.1. Der DPC des EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien im Hintergrund bereitstellen und aktivieren.
Dazu muss dem Gerät ein Managed Google Play-Konto vom Typ deviceAccount hinzugefügt werden.
3.4. Bereitstellung von Managed Google Play-Konten für alte Geräte
Der EMM kann im Hintergrund Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, bereitstellen. Diese Konten identifizieren verwaltete Nutzer und lassen eindeutige App-Verteilungsregeln pro Nutzer zu.
3.4.1. Der DPC des EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien im Hintergrund bereitstellen und aktivieren. Dabei gilt:
- Dem Gerät wird ein Managed Google Play-Konto vom Typ
userAccounthinzugefügt. - Für das Managed Google Play-Konto vom Typ
userAccountmuss eine 1:1-Zuordnung mit den tatsächlichen Nutzern in der EMM-Konsole vorhanden sein.
3.5 Bereitstellung von Apps im Hintergrund
IT-Administratoren können geschäftliche Apps ohne Nutzerinteraktion im Hintergrund auf Nutzergeräten verteilen.
3.5.1. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationsverwaltung
IT-Administratoren können verwaltete Konfigurationen für jede Anwendung, die verwaltete Konfigurationen unterstützt, ansehen und im Hintergrund einrichten.
3.6.1. Die EMM-Konsole muss die Einstellungen für die verwaltete Konfiguration jeder Play-App abrufen und anzeigen können.
- EMMs können
Products.getAppRestrictionsSchemaaufrufen, um das Schema für verwaltete Konfigurationen einer App abzurufen, oder den iFrame für verwaltete Konfigurationen in die EMM-Konsole einbetten.
3.6.2. IT-Administratoren müssen in der EMM-Konsole über die Play EMM API jeden beliebigen Konfigurationstyp (wie im Android-Framework definiert) für jede Play-App festlegen können.
3.6.3. In der EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, Platzhalter wie $username$ oder %emailAddress% festzulegen, damit eine einzelne Konfiguration für eine Anwendung wie Gmail auf mehrere Nutzer angewendet werden kann. Der iFrame für verwaltete Konfigurationen unterstützt diese Anforderung automatisch.
3.7 App-Katalogverwaltung
IT-Administratoren können eine Liste der für ihr Unternehmen genehmigten Apps aus Managed Google Play (play.google.com/work) importieren.
3.7.1. In der EMM-Konsole kann eine Liste der für den Vertrieb genehmigten Apps angezeigt werden, darunter:
- Im Managed Play Store gekaufte Apps
- Private Apps, die für IT-Administratoren sichtbar sind
- Programmatisch genehmigte Apps
3.8 Freigabe programmatischer Apps
Die EMM-Konsole verwendet den iFrame von Managed Google Play, um die Funktionen zur Erkennung und Genehmigung von Apps in Google Play zu unterstützen. IT-Administratoren können nach Anwendungen suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können mit dem iFrame für Managed Google Play nach Apps suchen und sie in der EMM-Konsole genehmigen.
3.9 Einfache Verwaltung von Store-Layouts
Mit der Managed Google Play Store App können Sie geschäftliche Apps auf Geräten installieren und aktualisieren. Das einfache Store-Layout wird standardmäßig angezeigt und enthält für das Unternehmen genehmigte Apps. Die EMMs filtern gemäß der Richtlinie pro Nutzer.
3.9.1. IT-Administratoren können die verfügbaren Produktgruppen von Nutzern verwalten, um Apps aus dem Managed Google Play Store im Abschnitt „Startseite des Store“ aufrufen und installieren zu können.
3.10 Erweiterte Konfiguration des Store-Layouts
IT-Administratoren können das Store-Layout anpassen, das auf Geräten in der Managed Google Play Store App angezeigt wird.
3.10.1. IT-Administratoren können in der EMM-Konsole die folgenden Aktionen ausführen, um das Layout des Managed Google Play Store anzupassen:
- Sie können bis zu 100 Store-Layoutseiten erstellen. Seiten können eine beliebige Anzahl lokalisierter Seitennamen haben.
- Erstellen Sie bis zu 30 Cluster pro Seite. Cluster können eine beliebige Anzahl lokalisierter Clusternamen haben.
- Weisen Sie jedem Cluster bis zu 100 Anwendungen zu.
- Sie können jeder Seite bis zu zehn Quick Links hinzufügen.
- Geben Sie die Sortierreihenfolge für Anwendungen in einem Cluster und für Cluster auf einer Seite an.
3.11 App-Lizenzverwaltung
IT-Administratoren können die im Managed Play Store erworbenen App-Lizenzen über die EMM-Konsole einsehen und verwalten.
3.11.1. Bei kostenpflichtigen Apps, die für ein Unternehmen genehmigt wurden, muss in der EMM-Konsole Folgendes angezeigt werden:
- Die Anzahl der erworbenen Lizenzen.
- Die Anzahl der verbrauchten Lizenzen und die Nutzer, die sie verwenden.
- Die Anzahl der für die Verteilung verfügbaren Lizenzen.
3.11.2. IT-Administratoren können Nutzern im Hintergrund Lizenzen zuweisen, ohne die Installation dieser App auf einem der Nutzergeräte zu erzwingen.
3.11.3. IT-Administratoren können die Zuweisung von Anwendungslizenzen an einen Nutzer aufheben.
3.12 Von Google gehostete Verwaltung privater Apps
IT-Administratoren können von Google gehostete private Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Anwendungen, die bereits privat im Unternehmen veröffentlicht wurden, mit einem der folgenden Methoden hochladen:
3.13 Selbst gehostete Verwaltung privater Apps
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs bei Google Play nicht gehostet. Stattdessen hilft der EMM IT-Administratoren beim Hosten von APKs selbst und trägt zum Schutz selbst gehosteter Apps bei, da diese nur installiert werden können, wenn sie von Managed Google Play autorisiert wurden.
IT-Administratoren finden weitere Informationen unter Support für private Anwendungen.
3.13.1. Die EMM-Konsole muss IT-Administratoren beim Hosten des App-APKs helfen, indem sie die beiden folgenden Optionen bietet:
- APK auf dem EMM-Server hosten Der Server kann lokal oder cloudbasierter Server sein.
- Das APK wird im Ermessen des IT-Administrators außerhalb des EMM-Servers gehostet. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. Die EMM-Konsole muss eine entsprechende APK-Definitionsdatei mit dem bereitgestellten APK generieren und IT-Administratoren durch den Veröffentlichungsprozess führen.
3.13.3. IT-Administratoren können selbst gehostete private Apps aktualisieren und die EMM-Konsole kann aktualisierte APK-Definitionsdateien mit der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der EMM-Server stellt nur Downloadanfragen für das selbst gehostete APK bereit, das im Cookie der Anfrage ein gültiges JWT enthält, wie durch den öffentlichen Schlüssel der privaten App verifiziert.
- Zur Erleichterung dieses Vorgangs muss der EMM-Server die IT-Administratoren dazu auffordern, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Play Google Developers Console herunterzuladen und diesen Schlüssel in die EMM-Konsole hochzuladen.
3.14 EMM-Pull-Benachrichtigungen
Anstatt regelmäßig Play abzufragen, um vergangene Ereignisse zu identifizieren, z. B. ein App-Update, das neue Berechtigungen oder verwaltete Konfigurationen enthält, informieren EMM-Pull-Benachrichtigungen EMMs proaktiv über solche Ereignisse in Echtzeit. So können EMMs automatische Aktionen ausführen und benutzerdefinierte Verwaltungsbenachrichtigungen auf der Grundlage dieser Ereignisse bereitstellen.
3.14.1. Der EMM muss die EMM-Benachrichtigungen von Google Play verwenden, um Benachrichtigungssätze abzurufen.
3.14.2. EMM muss einen IT-Administrator automatisch (z. B. durch eine automatische E-Mail) über die folgenden Benachrichtigungsereignisse benachrichtigen:
newPermissionEvent: Ein IT-Administrator muss neue App-Berechtigungen genehmigen, bevor die App automatisch auf den Geräten der Nutzer installiert oder aktualisiert werden kann.appRestrictionsSchemaChangeEvent: Möglicherweise muss der IT-Administrator die verwaltete Konfiguration einer App aktualisieren, um die beabsichtigte Funktionalität aufrechtzuerhalten.appUpdateEvent: Kann für IT-Administratoren von Interesse sein, die prüfen möchten, ob die grundlegenden Workflowfunktionen von einem App-Update betroffen sind.productAvailabilityChangeEvent: Kann sich auf die Installation der App oder die Durchführung von App-Updates auswirken.installFailureEvent: Google Play kann eine App nicht automatisch auf einem Gerät installieren. Dies deutet darauf hin, dass die Installation möglicherweise aufgrund der Gerätekonfiguration verhindert wird. EMM-Anbieter sollten nach Erhalt dieser Benachrichtigung nicht sofort eine automatische Installation noch einmal versuchen, da die Wiederholungslogik von Google Play bereits fehlgeschlagen ist.
3.14.3. EMM ergreift auf Grundlage der folgenden Benachrichtigungsereignisse automatisch geeignete Maßnahmen:
newDeviceEvent: Bei der Gerätebereitstellung müssen EMMs aufnewDeviceEventwarten, bevor sie weitere Play EMM API-Aufrufe für das neue Gerät ausführen, einschließlich stiller App-Installationen und der Einrichtung verwalteter Konfigurationen.productApprovalEvent: Nach Erhalt einerproductApprovalEvent-Benachrichtigung muss EMM die Liste der genehmigten Apps, die in die EMM-Konsole importiert werden, automatisch aktualisieren, damit sie über Geräte verteilt werden können, wenn eine aktive IT-Administratorsitzung vorhanden ist oder die Liste der genehmigten Apps nicht automatisch zu Beginn jeder IT-Administratorsitzung neu geladen wird.
3.15 Anforderungen an die API-Nutzung
Der EMM implementiert die APIs von Google in großem Maßstab und vermeidet Trafficmuster, die sich negativ auf die Fähigkeit von IT-Administratoren zur Verwaltung von Anwendungen in Produktionsumgebungen auswirken könnten.
3.15.1. EMM-Anbieter müssen die Nutzungslimits für die Play EMM API einhalten. Wird ein Verhalten, das gegen diese Richtlinien verstößt, nicht korrigiert, kann dies nach eigenem Ermessen zur Sperrung der API-Nutzung führen.
3.15.2. EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilt verteilen, anstatt den Unternehmenstraffic zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Ein Verhalten, das diesem Trafficmuster entspricht, z. B. geplante Batchvorgänge für jedes registrierte Gerät, kann dazu führen, dass die API-Nutzung nach Ermessen von Google ausgesetzt wird.
3.15.3. Das EMM sollte keine konsistenten, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Trafficmuster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16 Erweiterte verwaltete Konfigurationsverwaltung
3.16.1. Die EMM-Konsole muss die Einstellungen für die verwaltete Konfiguration (verschachtelt auf bis zu vier Ebenen) jeder Play-App mit den folgenden Methoden abrufen und anzeigen können:
- iFrame für Managed Google Play oder
- eine benutzerdefinierte UI.
3.16.2. Die EMM-Konsole muss in der Lage sein, Feedback abzurufen und anzuzeigen, das über den Feedback-Kanal einer App zurückgegeben wird, wenn es von einem IT-Administrator eingerichtet wurde.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von denen es stammt.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte bestimmter Nachrichtentypen (z. B. Fehlermeldungen) zu abonnieren.
3.16.3. Über die EMM-Konsole dürfen nur Werte gesendet werden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt werden. Dazu müssen folgende Methoden verwendet werden:
- iFrame für verwaltete Konfigurationen
- Eine benutzerdefinierte Benutzeroberfläche.
3.17 Verwaltung von Webanwendungen
IT-Administratoren können Webanwendungen in der EMM-Konsole erstellen und verteilen.
3.17.1. IT-Administratoren können mit der EMM-Konsole Verknüpfungen auf Web-Apps verteilen. Dabei haben Sie folgende Möglichkeiten:
- iFrame für Managed Google Play oder
- die Play EMM API verwenden.
3.18 Verwaltung des Lebenszyklus von Managed Google Play-Konten
Der EMM kann Managed Google Play-Konten im Namen von IT-Administratoren erstellen, aktualisieren und löschen.
3.18.1. EMMs können den Lebenszyklus eines verwalteten Google Play-Kontos gemäß den Implementierungsrichtlinien verwalten, die in der Entwicklerdokumentation zur Play EMM API definiert sind.
3.18.2. EMMs können verwaltete Google Play-Konten ohne Nutzerinteraktion noch einmal authentifizieren.
3.19 App-Track-Verwaltung
3.19.1. IT-Administratoren können eine Liste mit Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT-Administratoren können Geräte so einrichten, dass sie einen bestimmten Entwicklungs-Track für eine Anwendung verwenden.
3.20 Erweiterte Verwaltung von Anwendungsupdates
3.20.1. IT-Administratoren können zulassen, dass Apps über App-Updates mit hoher Priorität aktualisiert werden, sobald ein Update verfügbar ist.
3.20.2. IT-Administratoren können zulassen, dass App-Updates um 90 Tage verschoben werden.
3.21 Verwaltung von Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und diese dem IT-Administrator in einem Formular präsentieren, das an Endnutzer weitergegeben werden kann (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können im Hintergrund eine Standardantwort auf Laufzeitberechtigungsanfragen von geschäftlichen Apps festlegen.
4.1.1. IT-Administratoren müssen beim Festlegen einer Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation eine der folgenden Optionen auswählen können:
- Aufforderung (Nutzer können auswählen)
- allow
- deny
Der EMM sollte diese Einstellungen mit dem EMM-DPC erzwingen.
4.2. Statusverwaltung für das Gewähren von Laufzeitberechtigungen
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1.), IT-Administratoren können von jeder geschäftlichen App, die auf API 23 oder höher basiert, im Hintergrund Antworten für bestimmte Berechtigungen festlegen.
4.2.1. IT-Administratoren müssen in der Lage sein, den Erteilungsstatus (Standard, Gewähren oder Ablehnung) für jede Berechtigung festzulegen, die von jeder geschäftlichen App angefordert wird, die auf API 23 oder höher basiert. Der EMM sollte diese Einstellungen mit dem EMM-DPC erzwingen.
4.3. Verwaltung der WLAN-Konfiguration
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten automatisch bereitstellen, darunter:
4.3.1. SSID über den DPC von EMM.
4.3.2. Passwort über den DPC von EMM.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen enthalten:
4.4.1. Identität über den DPC von EMM.
4.4.2. Zertifikat für die Autorisierung des Clients über den DPC von EMM.
4.4.3. CA-Zertifikate über den DPC von EMM.
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT-Administratoren können die WLAN-Konfigurationen des Unternehmens in einer der folgenden Konfigurationen sperren:
- Nutzer können keine von EMM bereitgestellten WLAN-Konfigurationen ändern. Sie können jedoch eigene, vom Nutzer konfigurierbare Netzwerke (z. B. persönliche Netzwerke) hinzufügen und ändern.
- Nutzer können kein WLAN auf dem Gerät hinzufügen oder ändern, wodurch die WLAN-Verbindung auf die vom EMM bereitgestellten Netzwerke beschränkt wird.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nicht autorisierte Unternehmenskonten nicht mit Unternehmensdaten interagieren können, z. B. für Dienste wie SaaS-Speicher und Produktivitäts-Apps oder E-Mails. Ohne dieses Feature können private Konten zu den Unternehmens-Apps hinzugefügt werden, die auch Privatnutzerkonten unterstützen, sodass sie Unternehmensdaten für diese privaten Konten freigeben können.
4.6.1. IT-Administratoren können verhindern, dass Konten hinzugefügt oder geändert werden.
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung vor Abschluss der Bereitstellung festlegen, damit Sie diese Richtlinie nicht umgehen können, indem Sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Kontoverwaltung
IT-Administratoren können verhindern, dass nicht autorisierte Google-Konten mit Unternehmensdaten interagieren. Ohne diese Funktion können private Google-Konten zu geschäftlichen Google-Anwendungen hinzugefügt werden (z. B. Google Docs oder Google Drive), um Unternehmensdaten für diese privaten Konten freizugeben.
4.7.1. IT-Administratoren können Google-Konten angeben, die während der Bereitstellung aktiviert werden sollen, nachdem die Sperrung zur Kontoverwaltung festgelegt wurde.
4.7.2. Der DPC des EMM muss zur Aktivierung des Google-Kontos auffordern und dafür sorgen, dass nur das spezifische Konto aktiviert werden kann. Dazu muss das Konto angegeben werden, das hinzugefügt werden soll.
- Auf Geräten mit einer älteren Version als Android 7.0 muss der DPC die Einschränkung der Kontoverwaltung vorübergehend deaktivieren, bevor der Nutzer dazu aufgefordert wird.
4.8. Zertifikatsverwaltung
Damit können IT-Administratoren Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitstellen, um den Zugriff auf Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können Zertifikate zur Nutzeridentität installieren, die von ihrer PKI generiert wurden. Die EMM-Konsole muss in mindestens eine PKI eingebunden und von dieser Infrastruktur generierte Zertifikate verteilt werden.
4.8.2. IT-Administratoren können im verwalteten Schlüsselspeicher Zertifizierungsstellen installieren.
4.9. Erweiterte Zertifikatsverwaltung
IT-Administratoren können im Hintergrund die Zertifikate auswählen, die bestimmte verwaltete Apps verwenden sollen. Mit dieser Funktion können IT-Administratoren außerdem Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen. Diese Funktion verhindert, dass Nutzer Anmeldedaten ändern, die im verwalteten Schlüsselspeicher gespeichert sind.
4.9.1. IT-Administratoren können für jede App, die auf Geräten vertrieben wird, ein Zertifikat angeben, auf das der App während der Laufzeit lautloser Zugriff gewährt wird.
- Die Zertifikatsauswahl muss so generisch sein, dass eine Konfiguration für alle Nutzer möglich ist. Jede davon kann ein nutzerspezifisches Identitätszertifikat haben.
4.9.2. IT-Administratoren können im Hintergrund Zertifikate aus dem verwalteten Schlüsselspeicher entfernen.
4.9.3. IT-Administratoren können im Hintergrund ein CA-Zertifikat deinstallieren oder alle systemfremden CA-Zertifikate.
4.9.4. IT-Administratoren können verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher konfigurieren.
4.9.5. IT-Administratoren können für geschäftliche Apps Zertifikate vorab gewähren.
4.10 Delegierte Zertifikatsverwaltung
IT-Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung an Geräte verteilen und dieser App privilegierten Zugriff gewähren, um Zertifikate im verwalteten Schlüsselspeicher zu installieren.
4.10.1. IT-Administratoren geben ein Zertifikatsverwaltungspaket an, das vom DPC als delegierte Zertifikatsverwaltungs-App festgelegt wird.
- Die Console kann optional bekannte Zertifikatsverwaltungspakete vorschlagen, muss jedoch dem IT-Administrator die Möglichkeit geben, aus der Liste der zur Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.11 Erweiterte VPN-Verwaltung
Damit können IT-Administratoren ein durchgehend aktives VPN festlegen, damit die Daten der angegebenen verwalteten Anwendungen immer durch ein eingerichtetes virtuelles privates Netzwerk (VPN) laufen.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket festlegen, das als durchgehend aktives VPN festgelegt werden soll.
- Die EMM-Konsole kann optional bekannte VPN-Pakete vorschlagen, die Always On VPN unterstützen. Die für die Always On-Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen die VPN-Einstellungen für eine Anwendung festlegen.
4.12 IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Da der IME sowohl von Arbeits- als auch von privaten Profilen gemeinsam genutzt wird, verhindert die Blockierung der Verwendung von IMEs auch, dass diese IMEs auch privat genutzt werden. IT-Administratoren können System-IMEs jedoch nicht für Arbeitsprofile blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten (einschließlich einer leeren Liste, die System-IMEs blockiert), die beliebige IME-Pakete enthalten kann.
- Die EMM-Konsole kann optional bekannte oder empfohlene IMEs für die Zulassungsliste vorschlagen. IT-Administratoren müssen jedoch die Möglichkeit haben, Apps aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.12.2. Der EMM muss IT-Administratoren darüber informieren, dass System-IMEs auf Geräten mit Arbeitsprofilen von der Verwaltung ausgeschlossen sind.
4.13 Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Die erweiterte IME-Verwaltung erweitert die grundlegenden Funktionen, indem sie es IT-Administratoren ermöglicht, auch die Verwendung der System-IMEs zu verwalten, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten. Eine leere Liste schließt alle IMEs einschließlich System-IMEs aus, die beliebige IME-Pakete enthalten können.
- Die EMM-Konsole kann optional bekannte oder empfohlene IMEs für die Zulassungsliste vorschlagen. IT-Administratoren müssen jedoch die Möglichkeit haben, Apps aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.13.2. EMMs müssen verhindern, dass IT-Administratoren eine leere Zulassungsliste erstellen, da mit dieser Einstellung alle IMEs, einschließlich System-IMEs, nicht auf dem Gerät eingerichtet werden können.
4.13.3. EMM-Anbieter müssen dafür sorgen, dass Drittanbieter-IMEs automatisch installiert werden, wenn eine IME-Zulassungsliste keine System-IMEs enthält, bevor die Zulassungsliste auf das Gerät angewendet wird.
4:14 Verwaltung von Bedienungshilfen
IT-Administratoren können festlegen, welche Bedienungshilfen auf den Geräten der Nutzer erlaubt sind. Bedienungshilfen sind leistungsstarke Tools für Nutzer mit Beeinträchtigungen oder Personen, die vorübergehend nicht vollständig mit ihrem Gerät interagieren können. Sie können aber auf eine Weise mit Unternehmensdaten interagieren, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle systemfremden Bedienungshilfen deaktivieren.
4.14.1. IT-Administratoren können eine Zulassungsliste für Bedienungshilfen-Dienste mit beliebiger Länge einrichten. Dazu gehört auch eine leere Liste, die systemunabhängige Bedienungshilfen blockiert. Diese Liste kann beliebige Bedienungshilfen-Dienstpakete enthalten. Bei Anwendung auf ein Arbeitsprofil wirkt sich das sowohl auf das private als auch das Arbeitsprofil aus.
- In der Console können auch bekannte oder empfohlene Bedienungshilfen vorgeschlagen werden, die in die Zulassungsliste aufgenommen werden sollen. IT-Administratoren müssen jedoch Apps aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auswählen können.
4:15 Verwaltung der Standortfreigabe
4.16 Erweiterte Standortfreigabe
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber ohne den vom Netzwerk bereitgestellten Standort.
- Der Energiesparmodus schränkt die Updatehäufigkeit ein.
- Deaktiviert.
4:17 Verwaltung des Schutzes für zurückgesetzte Geräte
IT-Administratoren können unternehmenseigene Geräte vor Diebstahl schützen, indem sichergestellt wird, dass unbefugte Nutzer keine Geräte auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz vor Zurücksetzen auf Werkseinstellungen bei der Rückgabe von Geräten an die IT-Abteilung zu operativer Komplexität führt, können IT-Administratoren diesen Schutz auch vollständig deaktivieren.
4.17.1. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer ihr Gerät auf die Werkseinstellungen zurücksetzen.
4.17.2. IT-Administratoren können nach dem Zurücksetzen auf die Werkseinstellungen Unternehmenskonten zum Entsperren festlegen, die zur Bereitstellung von Geräten autorisiert sind.
- Dieses Konto kann an eine Person gebunden oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können für bestimmte Geräte den Schutz für das Zurücksetzen auf die Werkseinstellungen deaktivieren.
4.17.4. IT-Administratoren können ein Remote-Löschen starten, bei dem optional die Schutzdaten zurückgesetzt werden. Dadurch wird der Schutz auf dem zurückgesetzten Gerät entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern. So können sie beispielsweise das Schließen einer App erzwingen oder den Datencache einer App leeren.
4.18.1. IT-Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren.
4.18.2. IT-Administratoren können verhindern, dass Nutzer in den Einstellungen Anwendungsdaten ändern.
4:19 Bildschirmaufnahmen verwalten
IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen, wenn sie verwaltete Apps verwenden. Mit dieser Einstellung können Apps zur Bildschirmfreigabe und ähnliche Apps wie Google Assistant blockiert werden, die die Screenshot-Funktionen des Systems nutzen.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen.
4.20 Kameras deaktivieren
IT-Administratoren können die Nutzung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Verwendung von Gerätekameras durch verwaltete Anwendungen deaktivieren.
4:21 Erfassung von Netzwerkstatistiken
IT-Administratoren können Statistiken zur Netzwerknutzung aus dem Arbeitsprofil eines Geräts abfragen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die in den Einstellungen im Bereich Datennutzung an Nutzer weitergegeben werden. Die erhobenen Statistiken gelten für die Nutzung von Apps im Arbeitsprofil.
4.21.1. IT-Administratoren können für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster eine Zusammenfassung der Netzwerkstatistiken für ein Arbeitsprofil abfragen und diese Details in der EMM-Konsole ansehen.
4.21.2. IT-Administratoren können eine Zusammenfassung einer App im Netzwerknutzungsstatistiken des Arbeitsprofils abfragen, und zwar für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster, und sie können diese Details nach UID sortiert in der EMM-Konsole ansehen.
4.21.3. IT-Administratoren können für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster die Netzwerknutzungsverlaufsdaten eines Arbeitsprofils abfragen und diese Details nach UID sortiert in der EMM-Konsole ansehen.
4.22 Erweiterte Erfassung von Netzwerkstatistiken
IT-Administratoren können Statistiken zur Netzwerknutzung für ein komplettes verwaltetes Gerät abfragen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die in den Einstellungen im Bereich Datennutzung an Nutzer weitergegeben werden. Die erhobenen Statistiken beziehen sich auf die Nutzung von Apps auf dem Gerät.
4.22.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein ganzes Gerät für ein bestimmtes Gerät und ein bestimmtes konfigurierbares Zeitfenster abfragen und diese Details in der EMM-Konsole ansehen.
4.22.2. IT-Administratoren können eine Zusammenfassung der Statistiken zur Anwendungsnetzwerknutzung für ein bestimmtes Gerät und ein bestimmtes konfigurierbares Zeitfenster abfragen und diese Details nach UID sortiert in der EMM-Konsole ansehen.
4.22.3. IT-Administratoren können für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster die Netzwerknutzungsverlaufsdaten abfragen und diese Details nach UID sortiert in der EMM-Konsole ansehen.
4:23 Gerät neu starten
IT-Administratoren können verwaltete Geräte per Fernzugriff neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4:24 Funksteuerung des Systems
Ermöglicht IT-Administratoren eine detaillierte Verwaltung von Systemnetzwerk-Funkschnittstellen und zugehörigen Nutzungsrichtlinien.
4.24.1. IT-Administratoren können Cell Broadcasts deaktivieren, die von Dienstanbietern gesendet werden (z. B. AMBER Alerts).
4.24.2. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer Einstellungen für Mobilfunknetze ändern.
4.24.3. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer die Netzwerkeinstellungen zurücksetzen.
4.24.4. IT-Administratoren können beim Roaming mobile Daten zulassen oder verbieten.
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe tätigen kann. Notrufe sind davon ausgenommen.
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen kann.
4.24.7. IT-Administratoren können durch Tethering verhindern, dass Nutzer ihr Gerät als portablen Hotspot verwenden.
4.24.8. IT-Administratoren können das WLAN-Zeitlimit auf den Standardwert, nur während die Stromversorgung angeschlossen oder nie verwenden.
4.24.9. IT-Administratoren können verhindern, dass Nutzer vorhandene Bluetooth-Verbindungen einrichten oder ändern.
4:25 System-Audioverwaltung
IT-Administratoren können im Hintergrund die Audiofunktionen von Geräten verwalten und so z. B. das Gerät stummschalten, verhindern, dass Nutzer die Lautstärkeeinstellungen ändern, oder Nutzer daran hindern, die Stummschaltung des Gerätemikrofons aufzuheben.
4.25.1. IT-Administratoren können verwaltete Geräte stummschalten.
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für die Gerätelautstärke ändern.
4.25.3. IT-Administratoren können verhindern, dass Nutzer die Stummschaltung des Gerätemikrofons aufheben.
4:26 Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Uhr und Zeitzone der Geräte verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Systemzeit erzwingen, sodass der Nutzer das Datum und die Uhrzeit des Geräts nicht festlegen kann.
4.26.2. IT-Administratoren können die automatische Zeit und die automatische Zeitzone im Hintergrund deaktivieren oder aktivieren.
4:27 Erweiterte Funktionen für zweckbestimmte Geräte
Hiermit können IT-Administratoren detailliertere Funktionen speziell für Geräte verwalten, um verschiedene Anwendungsfälle für Kioske zu unterstützen.
4.27.1. IT-Administratoren können den Keyguard des Geräts deaktivieren.
4.27.2. IT-Administratoren können die Gerätestatusleiste deaktivieren und Benachrichtigungen und Schnelleinstellungen blockieren.
4.27.3. IT-Administratoren können erzwingen, dass der Gerätebildschirm eingeschaltet bleibt, während das Gerät angeschlossen ist.
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden:
- Toast
- Anwendungs-Overlays
4.27.5. IT-Administratoren können zulassen, dass die Systemempfehlungen für Anwendungen beim ersten Start die Nutzeranleitung und andere einführende Hinweise überspringen.
4:28 Delegierte Projektumfangverwaltung
IT-Administratoren können zusätzliche Berechtigungen an einzelne Pakete delegieren.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Installation und Verwaltung von Zertifikaten
- Verwaltung verwalteter Konfigurationen
- Netzwerk-Logging
- Sicherheits-Logging
4:29 Unterstützung für Registrierungsnachweise
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische Kennungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil über die registrierungsspezifische ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine registrierungsspezifische ID festlegen und obtain
4.29.2. Diese für die Registrierung spezifische ID muss beim Zurücksetzen auf die Werkseinstellungen beibehalten werden
5. Nutzerfreundlichkeit von Geräten
5.1. Anpassung der verwalteten Bereitstellung
IT-Administratoren können den Standardeinrichtungsablauf so anpassen, dass unternehmensspezifische Funktionen einbezogen werden. Optional können IT-Administratoren das von EMM bereitgestellte Branding während der Bereitstellung anzeigen lassen.
5.1.1. IT-Administratoren können den Bereitstellungsprozess mit den folgenden unternehmensspezifischen Details anpassen: Farbe des Unternehmens, Unternehmenslogo, Nutzungsbedingungen für Unternehmen und andere Haftungsausschlüsse.
5.1.2. IT-Administratoren können eine nicht konfigurierbare, EMM-spezifische Anpassung bereitstellen, die die folgenden Details enthält: EMM-Farbe, EMM-Logo, EMM-Nutzungsbedingungen und andere Haftungsausschlüsse.
5.1.3 [primaryColor] wurde für die Enterprise-Ressource unter Android 10 und höher eingestellt.
- EMM-Anbieter müssen im Bundle für Haftungsausschlüsse für die Systembereitstellung die Nutzungsbedingungen und andere Haftungsausschlüsse für ihren Bereitstellungsablauf angeben, auch wenn die EMM-spezifische Anpassung nicht verwendet wird.
- EMM-Anbieter können eine nicht konfigurierbare, EMM-spezifische Anpassung als Standard für alle Bereitstellungen festlegen, müssen jedoch IT-Administratoren die Möglichkeit geben, ihre eigenen Anpassungen vorzunehmen.
5.2. Anpassung für Unternehmen
IT-Administratoren können Aspekte des Arbeitsprofils mit Corporate Branding anpassen. IT-Administratoren können beispielsweise als Nutzersymbol im Arbeitsprofil das Unternehmenslogo festlegen. Ein weiteres Beispiel ist das Festlegen der Hintergrundfarbe der beruflichen Herausforderung.
5.2.1. IT-Administratoren können die Farbe der Organisation festlegen, die als Hintergrundfarbe bei der Aufgabe verwendet wird.
5.2.2. IT-Administratoren können den Anzeigenamen des Arbeitsprofils festlegen.
5.2.3. IT-Administratoren können das Nutzersymbol des Arbeitsprofils festlegen.
5.2.4. IT-Administratoren können verhindern, dass Nutzer das Nutzersymbol des Arbeitsprofils ändern.
5.3. Erweiterte Unternehmensanpassung
IT-Administratoren können verwaltete Geräte mit Corporate Branding anpassen. IT-Administratoren können beispielsweise das Unternehmenslogo als Hauptnutzersymbol oder den Gerätehintergrund festlegen.
5.3.1. IT-Administratoren können den Anzeigenamen für das verwaltete Gerät festlegen.
5.3.2. IT-Administratoren können das Nutzersymbol des verwalteten Geräts festlegen.
5.3.3. IT-Administratoren können verhindern, dass Nutzer das Nutzersymbol auf dem Gerät ändern.
5.3.4. IT-Administratoren können den Hintergrund des Geräts festlegen.
5.3.5. IT-Administratoren können verhindern, dass Nutzer den Gerätehintergrund ändern.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird, ohne das Gerät entsperren zu müssen.
5.4.1. IT-Administratoren können benutzerdefinierte Sperrbildschirmnachrichten einrichten.
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn diese verwaltete Einstellungen auf ihrem Gerät ändern, oder eine von EMM bereitgestellte allgemeine Supportnachricht bereitstellen. Sowohl kurze als auch lange Support-Nachrichten können angepasst werden. Diese Meldungen werden beispielsweise bei dem Versuch angezeigt, eine verwaltete App zu deinstallieren, für die ein IT-Administrator die Deinstallation bereits blockiert hat.
5.5.1. IT-Administratoren können sowohl die kurze als auch die lange Supportmitteilung anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische kurze und lange Supportnachrichten bereitstellen.
- EMM-Dienste können nicht konfigurierbare, EMM-spezifische Supportnachrichten als Standard für alle Bereitstellungen festlegen, IT-Administratoren müssen jedoch die Möglichkeit haben, eigene Nachrichten einzurichten.
5.6 Profilübergreifende Kontaktverwaltung
IT-Administratoren können festlegen, welche Kontaktdaten das Arbeitsprofil verlassen dürfen. Sowohl Telefonie- als auch SMS-Apps müssen im privaten Profil ausgeführt werden und benötigen Zugriff auf die Kontaktdaten des Arbeitsprofils, um Funktionen für geschäftliche Kontakte anbieten zu können. Administratoren können diese Funktionen jedoch auch deaktivieren, um Arbeitsdaten zu schützen.
5.6.1. IT-Administratoren können die profilübergreifende Kontaktsuche für private Apps deaktivieren, die den Anbieter für Kontakte des Systems verwenden.
5.6.2. IT-Administratoren können die profilübergreifende Anrufer-ID-Suche für persönliche Telefon-Apps deaktivieren, die den Systemkontaktanbieter verwenden.
5.6.3. IT-Administratoren können die Bluetooth-Kontaktfreigabe für Bluetooth-Geräte deaktivieren, die den Anbieter für Systemkontakte verwenden, z. B. Freisprechfunktion in Autos oder Headsets.
5.7 Profilübergreifende Datenverwaltung
Ermöglicht IT-Administratoren die Verwaltung darüber, welche Daten das Arbeitsprofil verlassen dürfen, über die standardmäßigen Sicherheitsfunktionen des Arbeitsprofils hinaus. Mit dieser Funktion können IT-Administratoren bestimmte Arten der profilübergreifenden Datenfreigabe zulassen, um die Nutzerfreundlichkeit in wichtigen Anwendungsfällen zu verbessern. Außerdem können IT-Administratoren Unternehmensdaten mit weiteren Lockdowns noch besser schützen.
5.7.1. IT-Administratoren können profilübergreifende Intent-Filter konfigurieren, damit private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. Freigabe-Intents oder Weblinks.
- Die Console kann optional bekannte oder empfohlene Intent-Filter für die Konfiguration vorschlagen, aber keine Intent-Filter auf eine beliebige Liste beschränken.
5.7.2. IT-Administratoren können verwaltete Apps zulassen, die Widgets auf dem Startbildschirm anzeigen dürfen.
- In der EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, Apps aus der Liste auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
5.7.3. IT-Administratoren können das Kopieren und Einfügen zwischen dem Arbeitsprofil und dem privaten Profil blockieren.
5.7.4. IT-Administratoren können Nutzer daran hindern, Daten aus dem Arbeitsprofil per NFC-Beam zu teilen.
5.7.5. IT-Administratoren können privaten Apps erlauben, Weblinks aus dem Arbeitsprofil zu öffnen.
5.8 Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) für Geräte einrichten und anwenden.
5.8.1. In der EMM-Konsole können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: Geräte erhalten OTA-Updates, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen die Möglichkeit haben, OTA-Updates um bis zu 30 Tage zu verschieben. Diese Richtlinie wirkt sich nicht auf Sicherheitsupdates (z.B. monatliche Sicherheitspatches) aus.
- Mit Fenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. Der DPC des EMM-Anbieters wendet OTA-Konfigurationen auf Geräte an.
5.9 Verwaltung des Aufgabenmodus sperren
IT-Administratoren können eine oder mehrere Apps auf dem Bildschirm sperren und dafür sorgen, dass Nutzer die App nicht beenden können.
5.9.1. Mit der EMM-Konsole können IT-Administratoren eine beliebige Gruppe von Apps unbemerkt installieren und auf einem Gerät sperren. Der DPC des EMM-Anbieters ermöglicht den Modus für dedizierte Geräte.
5.10 Dauerhafte Verwaltung bevorzugter Aktivitäten
Damit können IT-Administratoren eine App als standardmäßigen Intent-Handler für Intents festlegen, die einem bestimmten Intent-Filter entsprechen. IT-Administratoren können beispielsweise festlegen, welche Browser-App automatisch Weblinks öffnet oder welche Launcher-App beim Tippen auf die Startbildschirmtaste verwendet werden soll.
5.10.1. IT-Administratoren können für jeden beliebigen Intent-Filter beliebige Pakete als standardmäßigen Intent-Handler festlegen.
- Die EMM-Konsole kann optional bekannte oder empfohlene Intents für die Konfiguration vorschlagen, aber keine Intents auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren Apps aus der Liste auswählen können, die für die entsprechenden Nutzer installiert werden können.
5.11 Keyguard-Funktionen verwalten
- Trust Agents
- Entsperren mit Fingerabdruck
- nicht entfernte Benachrichtigungen
5.11.2. Der DPC von EMM-Anbieter kann die folgenden Keyguard-Funktionen im Arbeitsprofil deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12 Erweiterte Keyguard-Funktionsverwaltung
- Sichere Kamera
- Alle Benachrichtigungen
- Nicht entfernte Benachrichtigungen
- Trust Agents
- Entsperrung per Fingerabdruck
- Alle Keyguard-Funktionen
5.13 Remote-Debugging
IT-Administratoren können ohne zusätzliche Schritte Debugging-Ressourcen von Geräten abrufen.
5.13.1. IT-Administratoren können Fehlerberichte per Fernzugriff anfordern, Fehlerberichte in der EMM-Konsole ansehen und Fehlerberichte über die EMM-Konsole herunterladen.
5.14 MAC-Adressabruf
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen. Anhand der MAC-Adresse lassen sich Geräte in anderen Teilen der Unternehmensinfrastruktur identifizieren, z. B. zur Identifizierung von Geräten für die Netzwerkzugriffssteuerung.
5.14.1. Der EMM kann die MAC-Adresse eines Geräts im Hintergrund abrufen und mit dem Gerät in der EMM-Konsole verknüpfen.
5.15 Erweiterte Verwaltung des Modus zum Sperren von Aufgaben
Wenn ein Gerät als dediziertes Gerät eingerichtet ist, können IT-Administratoren mit der EMM-Konsole die folgenden Aufgaben ausführen:
5.15.1. Sie können einer einzelnen App über den EMM-DPC ohne Meldung erlauben, sich auf ein Gerät zu beschränken.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden System-UI-Funktionen über den DPC von EMM:
- Startbildschirmtaste
- Überblick
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm)
5.15.3. Deaktivieren Sie Dialogfelder für Systemfehler über den EMM-DPC.
5.16 Richtlinie für erweiterte Systemupdates
IT-Administratoren können Systemupdates auf einem Gerät für einen bestimmten Zeitraum blockieren.
5.16.1. Der DPC des EMM-Anbieters kann für einen bestimmten Zeitraum OTA-Systemupdates (Over The Air) auf Geräte anwenden.
5.17 Arbeitsprofil-Richtlinientransparenz verwalten
IT-Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn sie das Arbeitsprofil von einem Gerät entfernen.
5.17.1. IT-Administratoren können benutzerdefinierten Text angeben, der angezeigt werden soll, wenn ein Arbeitsprofil gelöscht wird.
5.18 Unterstützung verbundener Apps
IT-Administratoren können eine Liste der Pakete festlegen, die über die Grenzen des Arbeitsprofils hinweg kommunizieren können.
5.19 Manuelle Systemupdates
IT-Administratoren können Systemupdates manuell installieren, indem sie einen Dateipfad angeben.
6. Einstellung von Device Admin
6. Einstellung von Device Admin
EMM-Anbieter müssen bis Ende 2022 einen Plan veröffentlichen und den Kundensupport für Device Admin auf GMD-Geräten bis Ende des 1. Quartals 2023 einstellen.