Ta strona zawiera pełny zestaw funkcji Androida Enterprise.
Jeśli chcesz zarządzać ponad 500 urządzeniami, przed udostępnieniem rozwiązania na potrzeby komercyjne musi ono obsługiwać wszystkie funkcje standardowe () co najmniej jednego zbioru funkcji. Rozwiązania EMM, które przeszły weryfikację funkcji standardowych, są wymienione w katalogu rozwiązań dla firm na Androidzie jako oferujące standardowy zestaw funkcji zarządzania.
Dla każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Na każdej stronie zestawu rozwiązań opisane są te funkcje: profil służbowy na urządzeniu należącym do firmy, profil służbowy na urządzeniu należącym do firmy, urządzenie w pełni zarządzane i urządzenie specjalne. Rozwiązania EMM, które przeszły weryfikację funkcji zaawansowanych, są wymienione w katalogu rozwiązań Android Enterprise jako oferujące zbiór funkcji zaawansowanych.
Klucz
| funkcja standardowa | zaawansowana funkcja | Funkcja opcjonalna | nie dotyczy |
1. Obsługa administracyjna urządzenia
1.1. Obsługa administracyjna profilu służbowego z użyciem DPC
Profil służbowy możesz utworzyć po pobraniu pliku DPC dostawcy usług EMM z Google Play.
1.1.1. DPC dostawcy usług EMM musi być publicznie dostępny w Google Play, aby użytkownicy mogli zainstalować go po osobistej stronie urządzenia.
1.1.2. Po zainstalowaniu aplikacji DPC musi poprowadzić użytkownika przez proces tworzenia profilu służbowego.
1.1.3. Po zakończeniu obsługi administracyjnej nie ma możliwości zarządzania na stronie osobistej urządzenia.
- Wszystkie zasady wprowadzone podczas tworzenia muszą zostać usunięte.
- Należy cofnąć uprawnienia aplikacji.
- Usługa DPC EMM musi być co najmniej wyłączona po stronie osobistej urządzenia.
1.2. Obsługa administracyjna urządzeń z identyfikatorem DPC
Administratorzy IT mogą skonfigurować w pełni zarządzane lub dedykowane urządzenie, używając identyfikatora DPC („afw#”), zgodnie ze wskazówkami implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.2.1. DPC dostawcy usług EMM musi być publicznie dostępny w Google Play. DPC musi być instalowany z poziomu kreatora konfiguracji urządzenia po wpisaniu identyfikatora DPC.
1.2.2. Po zainstalowaniu DPC EMM musi poprowadzić użytkownika przez proces konfiguracji urządzenia w pełni zarządzanego lub dedykowanego.
1.3. Obsługa administracyjna urządzeń z NFC
Tagi NFC mogą być używane przez administratorów IT do konfigurowania nowych urządzeń lub urządzeń z przywróconymi ustawieniami fabrycznymi zgodnie ze wskazówkami implementacyjnymi podanymi w dokumentacji interfejsu Play EMM API dla deweloperów.
1.3.1. Dostawcy usług EMM muszą używać tagów NFC typu Forum 2 z co najmniej 888 bajtami pamięci. W ramach obsługi administracyjnej należy używać dodatkowych funkcji obsługi administracyjnej, aby przekazywać na urządzenie szczegóły rejestracji, które nie są poufne, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. Gdy DPC dostawcy usług EMM ustawi się jako właściciela urządzenia, musi się natychmiast otworzyć i zablokować na ekranie do momentu pełnej obsługi administracyjnej urządzenia. 1.3.3. Ze względu na wycofanie funkcji NFC Beam (zwanej też NFC Bump) zalecamy używanie tagów NFC w Androidzie 10 i nowszych wersjach.
1.4 Wdrażanie urządzenia za pomocą kodu QR
Administratorzy IT mogą za pomocą nowego lub przywróconego do ustawień fabrycznych urządzenia zeskanować kod QR wygenerowany przez konsolę EMM w celu obsługi administracyjnej urządzenia zgodnie ze wskazówkami dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.4.1. Kod QR musi używać dodatkowych informacji o provisioningu, aby przekazać na urządzenie szczegóły rejestracji, które nie są poufne, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.4.2. Po skonfigurowaniu urządzenia przez DPC dostawcy usług EMM musi się natychmiast otworzyć i zablokować na ekranie do momentu pełnej obsługi administracyjnej urządzenia.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie skonfigurować urządzenia kupione od autoryzowanych sprzedawców i zarządzać nimi w konsoli EMM.
1.5.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy przy użyciu metody rejestracji typu zero-touch omówionej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Przy pierwszym włączeniu urządzenia wymuszane jest stosowanie na nim ustawień zdefiniowanych przez administratora IT.
1.6. Zaawansowane rejestrowanie typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzenia, wdrażając szczegóły rejestracji DPC za pomocą rejestracji typu zero-touch. DPC dostawcy usług EMM obsługuje ograniczenie rejestracji do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez dostawcę usług EMM.
1.6.1. Administratorzy IT mogą skonfigurować urządzenie należące do firmy za pomocą metody rejestracji typu zero-touch, opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.6.2. Gdy kontroler zasad dotyczących urządzeń EMM skonfiguruje urządzenie, musi ono się natychmiast otworzyć i zablokować ekran do czasu pełnego wdrożenia urządzenia.
- Wymóg ten nie dotyczy urządzeń, które korzystają z rejestracji typu zero-touch, aby w pełni obsługiwać się bez udziału użytkownika (np. w ramach wdrożenia dedykowanego urządzenia).
1.6.3. Korzystając z danych rejestracji, DPC EMM musi zadbać o to, aby nieautoryzowani użytkownicy nie mogli aktywować urządzenia po wywołaniu DPC. Aktywacja musi być ograniczona do użytkowników danej firmy.
1.6.4. Korzystając ze szczegółów rejestracji, DPC dostawcy usług EMM musi umożliwić administratorom IT wstępne wypełnienie szczegółów rejestracji (np. identyfikatorów serwera czy identyfikatorów rejestracji) innych niż informacje o unikalnym użytkowniku lub urządzeniu (np. nazwa użytkownika i hasło, token aktywacji), dzięki czemu użytkownicy nie muszą wpisywać danych podczas aktywacji urządzenia.
- W ramach konfiguracji rejestracji bezdotykowej systemy EMM nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.7. Obsługa profilu służbowego na koncie Google
W przypadku firm, które korzystają z zarządzanej domeny Google, ta funkcja prowadzi użytkowników przez proces konfigurowania profilu służbowego po wprowadzeniu danych logowania do firmowego konta Workspace podczas konfigurowania urządzenia lub na urządzeniu, które zostało już aktywowane. W obu przypadkach tożsamość korporacyjna Workspace zostanie przeniesiona do profilu służbowego.
1.7.1. Metoda dostarczania konta Google umożliwia tworzenie profili służbowych zgodnie z określonymi wytycznymi implementacji.
1.8. Obsługa administracyjna urządzenia na koncie Google
W przypadku firm korzystających z Workspace ta funkcja prowadzi użytkowników przez proces instalacji DPC EMM po wprowadzeniu firmowych danych logowania Workspace podczas początkowej konfiguracji urządzenia. Po zainstalowaniu DPC kończy konfigurowanie urządzenia należącego do firmy.
1.8.1. Metoda obsługi konta Google umożliwia skonfigurowanie urządzenia należącego do firmy zgodnie z określonymi wytycznymi implementacji.
1.8.2. O ile nie można jednoznacznie zidentyfikować urządzenia jako zasobu firmowego, nie można go skonfigurować bez wyświetlenia promptu podczas procesu konfiguracji. Ten prompt musi wymagać wykonania działania niestandardowego, takiego jak zaznaczenie pola wyboru lub wybranie niestandardowej opcji menu. Zalecamy, aby dostawca usług EMM mógł zidentyfikować urządzenie jako zasób firmy, więc to powiadomienie nie jest potrzebne.
1.9. Konfiguracja bezpośrednia typu zero-touch
Administratorzy IT mogą korzystać z konsoli EMM, aby konfigurować urządzenia obsługujące rejestrację typu zero-touch za pomocą elementu iframe do rejestracji typu zero-touch.
1.10. Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy.
1.10.1. celowo pusty,
1.10.2. Administratorzy IT mogą konfigurować działania związane z przestrzeganiem zasad na profilach służbowych na urządzeniach należących do firmy.
1.10.3. Administratorzy IT mogą dezaktywować kamerę w profilu służbowym lub na całym urządzeniu.
1.10.4. Administratorzy IT mogą dezaktywować zrzuty ekranu na profilu służbowym lub na całym urządzeniu.
1.10.5. Administratorzy IT mogą tworzyć listy dozwolonych i zablokowanych aplikacji, które mogą lub nie mogą być instalowane w profilu osobistym.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub wymazując całe urządzenie.
1.11. Obsługa administracyjna urządzenia specjalnego
celowo pusty,
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczeń urządzenia
Administratorzy IT mogą ustawić i wymuszać na urządzeniach zarządzanych test zabezpieczający (kod PIN, wzór lub hasło) za pomocą wstępnie zdefiniowanego 3 poziomów złożoności.
2.1.1. Zasady muszą wymuszać ustawienia zarządzania wyzwaniami dotyczącymi zabezpieczeń urządzenia (parentProfilePasswordRequirements dla profilu służbowego, passwordRequirements dla w pełni zarządzanych i dedykowanych urządzeń).
2.1.2. Złożoność hasła musi być zgodna z tymi poziomami złożoności:
- PASSWORD_COMPLEXITY_LOW – wzór lub pinezka z powtarzającymi się sekwencjami (4444) lub uporządkowanymi (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4;
- PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasło alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.2. Test bezpieczeństwa służbowego
Administratorzy IT mogą ustawić i egzekwować test zabezpieczający w przypadku aplikacji i danych w profilu służbowym, który jest inny i ma inne wymagania niż test zabezpieczający logowanie (2.1).
2.2.1. Zasada musi wymuszać stosowanie testu zabezpieczającego w profilu służbowym. Domyślnie administratorzy IT powinni ustawić ograniczenia tylko dla profilu służbowego, jeśli nie określono zakresu. Administratorzy IT mogą ustawić te ograniczenia na całym urządzeniu, określając zakres (patrz wymóg 2.1).
2.1.2. Złożoność haseł powinna być zmapowana na następujące poziomy złożoności haseł:
- PASSWORD_COMPLEXITY_LOW - wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4;
- PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasło alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.3. Zaawansowane zarządzanie kodami
2.3.1. celowo puste,
2.3.2. Celowo puste.
2.3.3. Dla każdego ekranu blokady dostępnego na urządzeniu można ustawić te ustawienia cyklu życia hasła:
- celowo pusty,
- celowo pusty,
- Maksymalna liczba nieudanych prób podania hasła, po której następuje wymazanie: określa liczbę razy, ile użytkownicy mogą podać nieprawidłowe hasło, zanim dane firmowe zostaną wymazane z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.4. Zarządzanie inteligentnymi zamkami
Administratorzy IT mogą określać, jakie agenty zaufania funkcji Smart Lock na Androidzie mogą odblokowywać urządzenia. Administratorzy IT mogą wyłączyć określone metody odblokowywania, takie jak zaufane urządzenia Bluetooth, rozpoznawanie twarzy czy głosu, lub całkowicie wyłączyć tę funkcję.
2.4.1. Administratorzy IT mogą wyłączać agenty zaufania Smart Lock niezależnie dla każdego ekranu blokady dostępnego na urządzeniu.
2.4.2. Administratorzy IT mogą wybrać i skonfigurować agentów zaufania Smart Lock niezależnie dla każdego ekranu blokady dostępnego na urządzeniu w przypadku tych agentów zaufania: Bluetooth, NFC, miejsca, twarz, na ciele i głos.
- Administratorzy IT mogą modyfikować dostępne parametry konfiguracji agenta zaufania.
2,5. Wyczyść i zablokuj
Administratorzy IT mogą używać konsoli EMM do zdalnego blokowania i usuwania danych służbowych z urządzenia zarządzanego.
2.5.1. DPC EMM musi blokować urządzenia.
2.5.2. DPC EMM musi wyczyścić pamięć urządzeń.
2.6. egzekwowanie zgodności,
Jeśli urządzenie nie spełnia zasad dotyczących zabezpieczeń, dane służbowe są automatycznie ograniczane.
2.6.1. Zasady zabezpieczeń egzekwowane na urządzeniu muszą co najmniej obejmować zasady dotyczące haseł.
2.7. Domyślne zasady zabezpieczeń
Domyślnie usługi EMM muszą egzekwować określone zasady zabezpieczeń na urządzeniach bez konieczności konfigurowania i dostosowywania żadnych ustawień w konsoli EMM przez administratorów IT. EMM są zachęcane (ale nie jest to wymagane), aby nie zezwalać administratorom IT na zmianę domyślnego stanu tych funkcji bezpieczeństwa.
2.7.1. DPC EMM musi blokować instalowanie aplikacji z nieznanych źródeł, w tym aplikacji zainstalowanych po stronie klienta na każdym urządzeniu z Androidem 8.0 lub nowszym z profilem służbowym.
2.7.2. DPC EMM musi blokować funkcje debugowania.
2.8. Zasady zabezpieczeń dotyczące urządzeń dedykowanych
Urządzenia specjalne są zablokowane i nie można na nich wykonywać innych działań.
2.8.1. DPC karty EMM musi domyślnie wyłączyć uruchamianie w trybie awaryjnym.
2.8.2. Podczas obsługi administracyjnej karta DPC dostawcy usług EMM musi być otwarta i zablokowana na ekranie przy pierwszym uruchomieniu, aby zapewnić brak interakcji z urządzeniem w żaden inny sposób.
2.8.3. DPC EMM musi być ustawiony jako domyślny program uruchamiający, aby zapewnić, że dozwolone aplikacje będą blokowane na ekranie podczas uruchamiania zgodnie z określonymi wytycznymi dotyczącymi implementacji.
2.9. Pomoc dotycząca Play Integrity
Do sprawdzania, czy urządzenia z Androidem są prawidłowe, dostawca usług EMM używa interfejsu Play Integrity API.
2.9.1. Usługa DPC dostawcy usług mobilnych implementuje interfejs Play Integrity API podczas obsługi, a domyślnie kończy tworzenie profilu tylko wtedy, gdy integralność urządzenia zwracana przez interfejs to MEETS_STRONG_INTEGRITY.
2.9.2. DPC dostawcy usług EMM przeprowadza kolejną kontrolę integralności w Google Play za każdym razem, gdy urządzenie łączy się z serwerem EMM. Można ją skonfigurować przez administratora IT. Serwer EMM sprawdzi informacje o pakiecie APK w odpowiedzi na potrzeby testu integralności oraz w samej odpowiedzi, zanim zaktualizuje zasady firmowe na urządzeniu.
2.9.3. Administratorzy IT mogą konfigurować różne reakcje na podstawie wyników kontroli integralności w Sklepie Play, w tym blokowanie obsługi, kasowanie danych firmowych i zezwalanie na kontynuowanie rejestracji.
- Usługa EMM będzie egzekwować tę odpowiedź zgodnie z zasadami w przypadku każdego wyniku kontroli integralności.
2.9.4. Jeśli początkowe sprawdzenie integralności w Google Play zakończy się niepowodzeniem lub zwróci wynik niezgodny z wymaganiami dotyczącymi integralności, a usługa DPC nie została jeszcze wywołana przez EMM, należy ją wywołać i powtórzyć sprawdzenie przed zakończeniem obsługi. ensureWorkingEnvironment
2.10. Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć Weryfikacja aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem pod kątem szkodliwego oprogramowania przed instalacją i po niej, aby zapewnić bezpieczeństwo danych firmowych.
2.10.1. Dostawca usług EMM musi domyślnie włączyć Weryfikację aplikacji.
2.11. Obsługa bezpośredniego rozruchu
Aplikacje nie mogą działać na urządzeniach z Androidem 7.0 lub nowszym, które zostały właśnie włączone, dopóki nie zostaną odblokowane. Dzięki obsłudze bezpośredniego rozruchu procesor DPC dostawcy usług EMM jest zawsze aktywny i może egzekwować zasady, nawet jeśli urządzenie nie zostało odblokowane.
2.11.1. DPC EMM korzysta z zaszyfrowanego miejsca na urządzeniu do wykonywania kluczowych funkcji zarządzania, zanim zaszyfrowane miejsce na dane uwierzytelniające DPC zostanie odszyfrowane. Funkcje zarządzania dostępne podczas bezpośredniego uruchamiania muszą obejmować (ale nie tylko):
- Całkowite wyczyszczenie, w tym możliwość wyczyszczenia danych z funkcji ochrony przywracania do ustawień fabrycznych w odpowiednich przypadkach.
2.11.2. DPC dostawcy usług EMM nie może ujawniać danych firmowych w pamięci zaszyfrowanej na urządzeniu.
2.11.3. EMM mogą ustawić i aktywować token, aby włączyć przycisk Nie pamiętam hasła na ekranie blokady profilu służbowego. Ten przycisk umożliwia administratorom IT bezpieczne zresetowanie hasła do profilu służbowego.
2.12. Zarządzanie zabezpieczeniami sprzętowymi
Administratorzy IT mogą blokować elementy sprzętowe urządzenia należącego do firmy, aby zapobiec utracie danych.
2.12.1. Administratorzy IT mogą zablokować użytkownikom możliwość podłączania zewnętrznych nośników danych na urządzeniu.
2.12.2. Administratorzy IT mogą zablokować użytkownikom udostępnianie danych z urządzenia za pomocą NFC beamingu. Ta funkcja jest opcjonalna, ponieważ funkcja NFC Beam nie jest już obsługiwana w Androidzie 10 i nowszych.
2.12.3. Administratorzy IT mogą zablokować użytkownikom możliwość przesyłania plików przez USB z ich urządzeń.
2.13. Rejestrowanie zabezpieczeń w firmie
Administratorzy IT mogą zbierać dane o korzystaniu z urządzeń, które można przeanalizować i sprawdzić programowo pod kątem nieprawidłowego lub ryzykownego działania. Zapisane aktywności obejmują aktywność narzędzia Android Debug Bridge (adb), otwieranie aplikacji i odblokowywanie ekranu.
2.13.1. Administratorzy IT mogą włączać rejestrowanie zabezpieczeń na określonych urządzeniach, a DPC EMM musi mieć możliwość automatycznego pobierania zarówno dzienników zabezpieczeń, jak i dzienników zabezpieczeń przed ponownym uruchomieniem.
2.13.2. Administratorzy IT mogą przeglądać dzienniki zabezpieczeń korporacyjnych dotyczące danego urządzenia i określonego okna czasowego w konsoli EMM.
2.13.3. Administratorzy IT mogą eksportować dzienniki zabezpieczeń w firmie z konsoli EMM.
3. Zarządzanie kontem i aplikacjami
3.1. Powiązanie z firmą
Administratorzy IT mogą powiązać EMM z organizacją, umożliwiając mu korzystanie z zarządzanego Sklepu Google Play do rozpowszechniania aplikacji na urządzenia.
3.1.1. Administrator, który ma zarządzaną domenę Google, może powiązać swoją domenę z usługą EMM.
3.1.2. Konsola EMM musi bez powiadomienia udostępnić i skonfigurować unikalny identyfikator ESA dla każdej firmy.
3.1.3. Wyrejestrować firmę przy użyciu interfejsu Play EMM API.
3.1.4. Konsola EMM umożliwia administratorowi wpisanie służbowego adresu e-mail podczas rejestracji na urządzeniach z Androidem i odradza korzystanie z konta Gmail.
3.1.5. Podczas rejestracji na urządzeniu z Androidem dostawca usług EMM automatycznie wpisuje adres e-mail administratora.
3.2. Obsługa administracyjna zarządzanego konta Google Play
Usługi EMM mogą dyskretnie udostępniać firmowe konta użytkowników nazywane kontami zarządzanego Sklepu Google Play. Te konta identyfikują zarządzanych użytkowników i umożliwiają stosowanie unikalnych reguł dystrybucji aplikacji dla poszczególnych użytkowników.
3.2.1. Administrator danych osobowych w ramach EMM może w sposób automatyczny skonfigurować i aktywować zarządzane konto Google Play zgodnie ze wskazówkami dotyczącymi wdrażania. W tym celu:
- Do urządzenia zostanie dodane konto zarządzanego Sklepu Google Play typu
userAccount. - Zarządzane konto Google Play typu
userAccountmusi być zmapowane 1:1 z kontami rzeczywistych użytkowników w konsoli EMM.
3.3 Obsługa administracyjna konta urządzenia w zarządzanym Sklepie Google Play
EMM może tworzyć i konfigurować konta urządzeń w zarządzanym Sklepie Google Play. Konta urządzeń umożliwiają dyskretne instalowanie aplikacji ze sklepu zarządzanego Google Play i nie są powiązane z pojedynczym użytkownikiem. Zamiast tego do identyfikowania pojedynczego urządzenia w ramach obsługi reguł dystrybucji aplikacji na poszczególnych urządzeniach w przypadku specjalnych scenariuszy używa się konta urządzenia.
3.3.1. Administrator danych osobowych w ramach EMM może w sposób automatyczny skonfigurować i aktywować zarządzane konto Google Play zgodnie ze wskazówkami dotyczącymi wdrażania.
W tym celu na urządzeniu musisz dodać zarządzane konto Google typu deviceAccount.
3.4. Wdrażanie kont zarządzanego Sklepu Google Play na urządzeniach starszej generacji
EMM może automatycznie udostępniać konta użytkowników w organizacji, czyli konta zarządzanego Sklepu Google Play. Te konta identyfikują zarządzanych użytkowników i umożliwiają stosowanie osobnych reguł dystrybucji aplikacji dla poszczególnych użytkowników.
3.4.1. DPC dostawcy usług EMM może dyskretnie udostępnić i aktywować konto zarządzanego Sklepu Google Play zgodnie ze zdefiniowanymi wskazówkami dotyczącymi implementacji. W tym celu:
- Do urządzenia zostanie dodane konto zarządzanego Sklepu Google Play typu
userAccount. - Konto zarządzanego Sklepu Google Play typu
userAccountmusi być mapowane bezpośrednio z kontami użytkowników w konsoli EMM.
3.5 Dyskretne rozpowszechnianie aplikacji
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach użytkowników bez ich udziału.
3.5.1. Konsolę EMM musi obsługiwać interfejs EMM API w Google Play, aby umożliwić administratorom IT instalowanie aplikacji firmowych na urządzeniach zarządzanych.
3.5.2. Konsola EMM musi używać interfejsu Play EMM API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.3. Konsolę EMM musi używać interfejsu EMM Sklepu Play, aby umożliwić administratorom IT odinstalowywanie aplikacji na zarządzanych urządzeniach.
3.6 Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i bezgłośnie ustawiać konfiguracje zarządzane lub dowolną aplikację, która obsługuje konfiguracje zarządzane.
3.6.1. Konsolę EMM musi być możliwe pobrać i wyświetlić ustawienia konfiguracji zarządzanej dowolnej aplikacji w Google Play.
- Dostawcy usług EMM mogą wywołać
Products.getAppRestrictionsSchema, aby pobrać schemat zarządzanych konfiguracji aplikacji, lub osadzać ramkę zarządzanych konfiguracji w konsoli EMM.
3.6.2. Konsola EMM musi umożliwiać administratorom IT ustawienie dowolnego typu konfiguracji (zgodnie z definicją w ramach platformy Androida) dla dowolnej aplikacji w Google Play za pomocą interfejsu Play EMM API.
3.6.3. Konsola EMM musi umożliwiać administratorom IT ustawianie symboli wieloznacznych (np. $username$ lub %emailAddress%), aby pojedyncza konfiguracja aplikacji, takiej jak Gmail, mogła być stosowana do wielu użytkowników. Iframe konfiguracji zarządzanej automatycznie spełnia to wymaganie.
3.7. Zarządzanie katalogiem aplikacji
Administratorzy IT mogą zaimportować listę aplikacji zatwierdzonych dla swojej firmy z zarządzanego Sklepu Google Play (play.google.com/work).
3.7.1. Konsola EMM może wyświetlać listę aplikacji zatwierdzonych do dystrybucji, w tym:
- Aplikacje kupione w zarządzanym Sklepie Google Play
- Aplikacje prywatne widoczne dla administratorów IT
- Aplikacje zatwierdzone programowo
3.8 Zatwierdzanie aplikacji w ramach automatyzacji
Konsola EMM używa elementu iframe zarządzanego Sklepu Google Play, aby obsługiwać funkcje wyszukiwania i zatwierdzania aplikacji w Sklepie Google Play. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać aplikacje i zatwierdzać nowe uprawnienia aplikacji bez wychodzenia z konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać aplikacje i zatwierdzać je w konsoli EMM za pomocą elementu iframe zarządzanego Sklepu Google Play.
3.9. Podstawowe zarządzanie układem sklepu
Zarządzanego Sklepu Google Play można używać na urządzeniach do instalowania i aktualizowania aplikacji służbowych. Domyślnie wyświetlany jest podstawowy układ sklepu, w którym znajdują się aplikacje zatwierdzone dla firmy. EMM filtruje je na podstawie użytkowników zgodnie z zasadami.
3.9.1. Administratorzy IT mogą [zarządzać dostępnymi zestawami produktów użytkowników]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) w celu umożliwienia wyświetlania i instalowania aplikacji ze zarządzanego Sklepu Google Play w sekcji „Sklep – strona główna”.
3.10. Zaawansowana konfiguracja układu sklepu
Administratorzy IT mogą dostosować układ sklepu wyświetlany w aplikacji zarządzanego Sklepu Google Play na urządzeniach.
3.10.1. Aby spersonalizować układ zarządzanego Sklepu Google Play, administratorzy IT mogą wykonać w konsoli EMM te czynności:
- Utwórz do 100 stron układu sklepu. Strony mogą mieć dowolną liczbę zlokalizowanych nazw stron.
- Możesz utworzyć maksymalnie 30 klastrów na stronę. Klaster może mieć dowolną liczbę zlokalizowanych nazw.
- Przypisz do każdego klastra maksymalnie 100 aplikacji.
- Do każdej strony dodaj maksymalnie 10 szybkich linków.
- Określ kolejność sortowania aplikacji w klastrze i klastrów na stronie.
3.11. Zarządzanie licencjami na aplikację
Administratorzy IT mogą wyświetlać licencje na aplikacje kupione w zarządzanym Sklepie Google Play i zarządzać nimi w konsoli EMM.
3.11.1. W przypadku płatnych aplikacji zatwierdzonych dla firmy konsola EMM musi wyświetlać:
- Liczba kupionych licencji.
- Liczba wykorzystanych licencji i liczba użytkowników, którzy korzystają z licencji.
- Liczba licencji dostępnych do dystrybucji.
3.11.2. Administratorzy IT mogą przypisywać licencje użytkownikom bez ich powiadamiania, nie wymuszając instalacji aplikacji na żadnym z urządzeń użytkowników.
3.11.3. Administratorzy IT mogą usunąć przypisanie licencji na aplikację użytkownikowi.
3.12. Zarządzanie aplikacjami prywatnymi hostowanymi przez Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM, a nie w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje już opublikowanych aplikacji prywatnie do przedsiębiorstwa, korzystając z:
3.13. Własne zarządzanie prywatnymi aplikacjami
Administratorzy IT mogą konfigurować i publikować własne aplikacje prywatne. W odróżnieniu od aplikacji prywatnych hostowanych przez Google, Google Play nie hostuje plików APK. Zamiast tego usługa EMM pomaga administratorom IT hostować pakiety APK i chronić aplikacje hostowane samodzielnie, zapewniając, że można je zainstalować tylko wtedy, gdy zezwoli na to zarządzany Sklep Google Play.
Administratorzy IT mogą uzyskać szczegółowe informacje na ten temat w Centrum pomocy aplikacji prywatnych.
3.13.1. Konsola EMM musi ułatwiać administratorom IT hostowanie pakietu APK aplikacji, zapewniając obie te opcje:
- Hostowanie pliku APK na serwerze EMM. Serwer może być lokalny lub w chmurze.
- Hostowanie pliku APK poza serwerem EMM według uznania administratora IT. Administrator IT musi określić w konsoli EMM, gdzie znajduje się pakiet APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji APK na podstawie przesłanego pakietu APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować prywatne aplikacje hostowane lokalnie, a konsola EMM może publikować zaktualizowane pliki definicji APK bez powiadamiania o tym użytkowników za pomocą interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje tylko żądania pobrania własnego pliku APK, który zawiera prawidłowy token JWT w pliku cookie żądania, zweryfikowany za pomocą klucza publicznego aplikacji prywatnej.
- Aby ułatwić ten proces, serwer EMM musi polecić administratorom IT pobranie klucza publicznego licencji aplikacji hostowanej samodzielnie z Konsoli Google Play i przesłanie tego klucza do konsoli EMM.
3.14. Powiadomienia o wybieraniu EMM
Zamiast co jakiś czas wysyłać do Google Play zapytania o wcześniejsze zdarzenia, np. aktualizacje aplikacji, które zawierają nowe uprawnienia lub konfiguracje zarządzane, usługi EMM aktywnie powiadamiają dostawców usług EMM o takich zdarzeniach w czasie rzeczywistym. Pozwala to na wykonywanie zautomatyzowanych działań i dostarczanie niestandardowych powiadomień administracyjnych na podstawie tych zdarzeń.
3.14.1. Do pobierania zestawów powiadomień dostawca usług EMM musi używać powiadomień EMM w Google Play.
3.14.2. Usługi EMM muszą automatycznie powiadamiać administratora IT (na przykład pocztą e-mail) o tych zdarzeniach powiadomień:
newPermissionEvent: wymaga, aby administrator IT zatwierdził nowe uprawnienia aplikacji, zanim będzie można ją bezgłośnie zainstalować lub zaktualizować na urządzeniach użytkowników.appRestrictionsSchemaChangeEvent: może wymagać od administratora IT zaktualizowania konfiguracji zarządzanej aplikacji w celu zachowania wydajności.appUpdateEvent: może być interesujący dla administratorów IT, którzy chcą sprawdzić, czy aktualizacja aplikacji nie ma wpływu na wydajność głównego procesu roboczego.productAvailabilityChangeEvent: może mieć wpływ na możliwość instalowania aplikacji lub aktualizowania aplikacji.installFailureEvent: Google Play nie może bezgłośnie zainstalować aplikacji na urządzeniu. Może to oznaczać, że coś w konfiguracji urządzenia uniemożliwia instalację. EMM nie powinny ponownie próbować przeprowadzić instalację bez potwierdzenia po otrzymaniu tego powiadomienia, ponieważ logika ponownego próbowania w Google Play już się nie powiedzie.
3.14.3. EMM automatycznie podejmuje odpowiednie działania na podstawie tych zdarzeń powiadomienia:
newDeviceEvent: podczas obsługiwania urządzenia dostawca EMM musi zaczekać, ażnewDeviceEvent, zanim wykona kolejne wywołania interfejsu Play EMM API na nowym urządzeniu, w tym cichy proces instalacji aplikacji i ustawienia konfiguracji zarządzanej.productApprovalEvent: po otrzymaniu powiadomieniaproductApprovalEventEMM musi automatycznie zaktualizować listę zatwierdzonych aplikacji zaimportowanych do konsoli EMM w celu rozpowszechniania ich na urządzeniach, jeśli istnieje aktywna sesja administratora IT lub jeśli lista zatwierdzonych aplikacji nie jest automatycznie odświeżana na początku każdej sesji administratora IT.
3.15. Wymagania dotyczące korzystania z interfejsu API
EMM wdraża interfejsy API Google na dużą skalę, unikając wzorców ruchu, które mogłyby negatywnie wpłynąć na zdolność administratorów IT do zarządzania aplikacjami w środowiskach produkcyjnych.
3.15.1. Usługa EMM musi przestrzegać limitów użycia interfejsu Play EMM API. Nieskorygowanie działania wykraczającego poza te wytyczne może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.2. Usługi EMM powinny w ciągu dnia rozdzielać ruch z różnych firm, zamiast konsolidować ruch korporacyjny o określonych lub podobnych porach. Zachowanie pasujące do tego wzorca ruchu, takie jak zaplanowane operacje zbiorcze dla każdego zarejestrowanego urządzenia, może spowodować zawieszenie możliwości korzystania z interfejsu API według uznania Google.
3.15.3. Dostawca usług EMM nie powinien wysyłać żądań, które są spójne, niepełne lub celowo nieprawidłowe, ponieważ nie próbują one pobierać ani zarządzać rzeczywistymi danymi przedsiębiorstwa. Działanie pasujące do tego wzorca ruchu może skutkować zawieszeniem korzystania z interfejsu API, według własnego uznania Google.
3.16. Zaawansowane zarządzanie konfiguracją zarządzaną
3.16.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanych (zagnieżdżonych do 4 poziomów) dowolnej aplikacji w Google Play za pomocą:
- element iframe zarządzanego Sklepu Google Play,
- interfejs niestandardowy.
3.16.2. Konsola EMM musi mieć możliwość pobierania i wyświetlania wszelkich opinii zwracanych przez kanał opinii o aplikacji, gdy został on skonfigurowany przez administratora IT.
- Konsola EMM musi umożliwiać administratorom IT powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z której pochodzi.
- Konsola EMM musi umożliwiać administratorom IT subskrybowanie alertów lub raportów dotyczących określonych typów wiadomości (np. komunikatów o błędach).
3.16.3. Konsola EMM musi wysyłać tylko wartości, które mają wartość domyślną lub zostały ręcznie ustawione przez administratora za pomocą:
- Element iframe w konfiguracjach zarządzanych lub
- niestandardowy interfejs;
3.17. Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i rozpowszechniać aplikacje internetowe w konsoli EMM.
3.17.1. Administratorzy IT mogą używać konsoli EMM do rozpowszechniania skrótów do aplikacji internetowych za pomocą:
3.18. Zarządzanie cyklem życia konta zarządzanego Sklepu Google Play
Usługi EMM mogą tworzyć, aktualizować i usuwać zarządzane konta Google Play w imieniu administratorów IT.
3.18.1. Dostawcy usług EMM mogą zarządzać cyklem życia zarządzanego konta Google Play zgodnie ze wskazówkami dotyczącymi implementacji określonymi w dokumentacji dla programistów Play EMM API.
3.18.2. Systemy EMM mogą ponownie uwierzytelniać zarządzane konta Google Play bez interakcji z użytkownikiem.
3.19. Zarządzanie ścieżkami aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera dla konkretnej aplikacji.
3.19.2. Administratorzy IT mogą skonfigurować urządzenia tak, aby używały określonej ścieżki rozwoju aplikacji.
3,20. Zaawansowane zarządzanie aktualizacjami aplikacji
3.20.1. Administratorzy IT mogą zezwolić na aktualizowanie aktualizacji o wysokim priorytecie w aplikacjach, gdy aktualizacja będzie gotowa.
3.20.2. Administratorzy IT mogą zezwolić na opóźnianie aktualizacji aplikacji przez 90 dni.
3.21. Zarządzanie metodami obsługi administracyjnej
EMM może generować konfiguracje obsługi administracyjnej i prezentować je administratorowi IT w formie gotowej do dystrybucji dla użytkowników końcowych (np. kod QR, konfiguracja typu zero-touch, adres URL Sklepu Play).
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami dotyczącymi uprawnień w czasie działania
Administratorzy IT mogą bez udziału użytkownika ustawić domyślną odpowiedź na prośby o przyznanie uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Podczas ustawiania domyślnych zasad uprawnień w czasie działania w organizacji administratorzy IT muszą mieć do wyboru te opcje:
- prompt (umożliwia użytkownikom wybór)
- allow
- odmowa
EMM powinien stosować te ustawienia za pomocą DPC EMM.
4.2. Zarządzanie stanem przypisania uprawnień w czasie działania
Po ustawieniu domyślnych zasad dotyczących uprawnień czasu działania (patrz punkt 4.1), Administratorzy IT mogą ustawiać odpowiedzi na żądania określonych uprawnień z dowolnej aplikacji służbowej opartej na poziomie interfejsu API 23 lub nowszym.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu zgody (domyślny, zgoda lub odmowa) dla dowolnego uprawnienia żądanego przez dowolną aplikację służbową utworzoną na podstawie poziomu API 23 lub nowszego. Dostawca usług EMM powinien egzekwować te ustawienia za pomocą modelu DPC EMM.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą w sposób cichy udostępniać konfiguracje sieci Wi-Fi w przypadku zarządzanych urządzeń, w tym:
4.3.1. SSID, używając DPC usługi EMM.
4.3.2. Hasło za pomocą DPC klienta EMM.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać konfiguracje sieci Wi-Fi w firmie na zarządzanych urządzeniach, które obejmują te zaawansowane funkcje zabezpieczeń:
4.4.1. tożsamości, używając DPC usługi EMM.
4.4.2. Certyfikat do autoryzacji klientów przy użyciu DPC EMM.
4.4.3. certyfikat(y) urzędu certyfikacji, korzystając z DPC EMM;
4,5. Zaawansowane zarządzanie Wi-Fi
Administratorzy IT mogą zablokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą zablokować konfiguracje sieci Wi-Fi firmy w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnionych przez dostawcę usług EMM, ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkownika (np. sieci osobiste).
- Użytkownicy nie mogą dodawać ani modyfikować żadnych sieci Wi-Fi na urządzeniu, co ogranicza łączność Wi-Fi tylko do sieci udostępnionych przez EMM.
4.6. Zarządzanie kontem
Administratorzy IT mogą zadbać o to, aby nieautoryzowane konta firmowe nie miały dostępu do danych firmowych w usługach takich jak oprogramowanie jako usługa (SaaS) do przechowywania danych i aplikacji zwiększających produktywność czy poczta e-mail. Bez tej funkcji konta osobiste można dodawać do aplikacji firmowych, które obsługują też konta indywidualne, co pozwala na udostępnianie firmowych danych tym kontom osobistym.
4.6.1. Administratorzy IT mogą uniemożliwić dodawanie i modyfikowanie kont.
- Aby wdrożyć tę zasadę na urządzeniu, administratorzy EMM muszą ustawić to ograniczenie przed zakończeniem obsługi, aby nie można było jej obejść przez dodanie kont przed jej wprowadzeniem.
4,7. Zarządzanie kontem Workspace
Administratorzy IT mogą zadbać o to, aby nieautoryzowane konta Google nie mogły korzystać z danych firmowych. Bez tej funkcji można dodawać osobiste konta Google do aplikacji Google dla firm (np. Dokumentów Google lub Dysku Google), co pozwala na udostępnianie danych firmowych tym kontom osobistym.
4.7.1. Administratorzy IT mogą określić konta Google, które mają zostać aktywowane podczas obsługi, po wprowadzeniu blokady zarządzania kontem.
4.7.2. Usługa zarządzania urządzeniami mobilnymi (EMM) musi wyświetlać prośbę o aktywowanie konta Google i zapewnić, aby można było aktywować tylko określone konto, określając konto, które ma zostać dodane.
- Na urządzeniach z wersją Androida niższą niż 7.0 administrator urządzenia musi tymczasowo wyłączyć ograniczenie zarządzania kontem przed wyświetleniem użytkownikowi prośby.
4.8 Zarządzanie certyfikatami
Pozwala administratorom IT wdrażać na urządzeniach certyfikaty tożsamości i urzędy certyfikacji, aby zapewnić dostęp do firmowych zasobów.
4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkownika wygenerowane przez ich PKI na podstawie danych poszczególnych użytkowników. Konsola EMM musi być zintegrowana z co najmniej jedną infrastrukturą PKI i rozpowszechniać certyfikaty wygenerowane w tej infrastrukturze.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji w zarządzanym magazynie kluczy.
4.9. Zaawansowane zarządzanie certyfikatami
Umożliwia administratorom IT dyskretne wybieranie certyfikatów, których mają używać określone aplikacje zarządzane. Ta funkcja umożliwia też administratorom IT usuwanie urzędów certyfikacji i certyfikatów tożsamości z aktywnych urządzeń. Ta funkcja uniemożliwia użytkownikom modyfikowanie danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzenia administratorzy IT mogą określić certyfikat, który będzie automatycznie uzyskiwał dostęp w czasie działania aplikacji.
- Wybrany certyfikat musi być na tyle uniwersalny, aby można było zastosować jedną konfigurację dla wszystkich użytkowników, z których każdy może mieć własny certyfikat tożsamości.
4.9.2. Administratorzy IT mogą usuwać certyfikaty z zarządzanego magazynu kluczy.
4.9.3. Administratorzy IT mogą bezgłośnie odinstalować certyfikat CA lub wszystkie niesystemowe certyfikaty CA.
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie danych logowania w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą wstępnie przyznawać certyfikaty w przypadku aplikacji służbowych.
4.10. Zarządzanie certyfikatami delegowanymi
Administratorzy IT mogą rozpowszechniać na urządzeniach aplikację do zarządzania certyfikatami innej firmy i przyznawać jej uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT określają pakiet do zarządzania certyfikatami, który ma ustawić przez DPC jako delegowaną aplikację do zarządzania certyfikatami.
- Konsola może opcjonalnie proponować znane pakiety do zarządzania certyfikatami, ale musi umożliwić administratorowi wybieranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.11. Zaawansowane zarządzanie siecią VPN
Pozwala administratorom IT określić stałą sieć VPN, aby mieć pewność, że dane z określonych zarządzanych aplikacji zawsze będą przechodzić przez skonfigurowaną sieć VPN.
4.11.1. Administratorzy IT mogą wybrać dowolny pakiet VPN, który ma być ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie sugerować znane pakiety VPN obsługujące funkcję stałej sieci VPN, ale nie może ograniczać sieci VPN dostępnych dla konfiguracji stałej sieci VPN do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych, aby określić ustawienia VPN dla aplikacji.
4.12. Zarządzanie IME
Administratorzy IT mogą zarządzać tym, jakie metody wprowadzania (IME) mogą być konfigurowane na urządzeniach. Metoda IME jest współdzielona przez profile służbowe i osobiste, więc zablokowanie jej użycia spowoduje, że nie będzie można jej używać również do celów osobistych. Administratorzy IT nie mogą jednak blokować systemowych IME na profilach służbowych (więcej informacji znajdziesz w sekcji poświęconej zaawansowanemu zarządzaniu IME).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (w tym pustą listę, która blokuje niesystemowe IME), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.12.2. EMM musi poinformować administratorów IT, że systemowe klawiatury IME są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13. Zaawansowane zarządzanie IME
Administratorzy IT mogą zarządzać tym, jakie metody wprowadzania (IME) mogą być skonfigurowane na urządzeniach. Zaawansowane funkcje zarządzania edytorami IME rozszerzają podstawową funkcję, umożliwiając administratorom IT zarządzanie wykorzystaniem systemowych edytorów IME, które są zwykle udostępniane przez producenta urządzenia lub operatora urządzenia.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie IME, w tym IME systemowe). Lista może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie zasugerować znane lub zalecane edytory IME do dodania do listy dozwolonych, ale musi umożliwić administratorom IT wybór aplikacji z listy dostępnych do zainstalowania dla odpowiednich użytkowników.
4.13.2. Dostawcy usług EMM muszą uniemożliwiać administratorom IT skonfigurowanie pustej listy dozwolonych, ponieważ to ustawienie blokuje wszystkie edytory IME, w tym systemowe IME na urządzeniu.
4.13.3. EMM muszą zadbać o to, aby w przypadku, gdy lista dozwolonych metod wejściowych nie zawiera systemowych metod wejściowych, systemowe metody wejściowe były instalowane bez powiadamiania użytkownika przed zastosowaniem listy dozwolonych na urządzeniu.
4.14. Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, które usługi ułatwień dostępu mogą być dozwolone na urządzeniach użytkowników. Usługi ułatwień dostępu są zaawansowanymi narzędziami dla użytkowników niepełnosprawnych lub osób, które tymczasowo nie mogą w pełni korzystać z urządzenia. Jednak mogą korzystać z danych firmowych w sposób niezgodny z zasadami obowiązującymi w firmie. Ta funkcja pozwala administratorom IT wyłączać wszelkie usługi ułatwień dostępu, które nie są systemowe.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu o dowolnej długości (w tym pustą listę, która blokuje niesystemowe usługi ułatwień dostępu). Lista może zawierać dowolny pakiet usług ułatwień dostępu. Gdy zastosujesz to na profilu służbowym, wpłynie to zarówno na profil osobisty, jak i służbowy.
- Konsola może opcjonalnie sugerować znane lub zalecane usługi ułatwień dostępu do uwzględnienia na liście dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.15. Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom na profilu służbowym. W przeciwnym razie ustawienie lokalizacji dla profili służbowych można skonfigurować w ustawieniach.
4.15.1. Administratorzy IT mogą wyłączać usługi lokalizacyjne w profilu służbowym.
4.16. Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą narzucać określone ustawienie udostępniania lokalizacji na urządzeniu zarządzanym. Dzięki tej funkcji aplikacje firmowe zawsze mają dostęp do danych o wysokiej dokładności. Ta funkcja może też oszczędzać baterię, ograniczając ustawienia lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacyjne urządzenia w jednym z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, ale nie lokalizacja zapewniana przez sieć.
- Oszczędzanie baterii, które ogranicza częstotliwość aktualizacji.
- Wyłączone.
4.17. Zarządzanie ochroną przywracania do ustawień fabrycznych
Pozwala administratorom IT chronić urządzenia należące do firmy przed kradzieżą, zapewniając, że nieupoważnione osoby nie będą mogły przywrócić urządzeń do ustawień fabrycznych. Jeśli ochrona przywracania do ustawień fabrycznych powoduje komplikacje operacyjne po zwróceniu urządzeń do działu IT, administratorzy IT mogą również całkowicie wyłączyć tę funkcję.
4.17.1. Administratorzy IT mogą zapobiegać przywracaniu ustawień fabrycznych przez użytkowników w Ustawieniach.
4.17.2. Administratorzy IT mogą określić konta firmowe do odblokowywania, które mogą konfigurować urządzenia po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z konkretną osobą lub używane przez całą firmę do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przed przywróceniem do ustawień fabrycznych na określonych urządzeniach.
4.17.4. Administratorzy IT mogą rozpocząć zdalne czyszczenie urządzenia i opcjonalnie wyczyścić dane ochrony przed zresetowaniem w ten sposób, aby usunąć ochronę przywracania ustawień fabrycznych na takim urządzeniu.
4.18. Zaawansowana kontrola aplikacji
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowanie lub zmodyfikowanie zarządzanych aplikacji w ustawieniach, na przykład wymuszając zamknięcie aplikacji lub czyszcząc pamięć podręczną danych.
4.18.1. Administratorzy IT mogą zablokować odinstalowanie dowolnej aplikacji zarządzanej lub wszystkich aplikacji zarządzanych.
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w Ustawieniach.
4.19. Zarządzanie zrzutami ekranu
Administratorzy IT mogą zablokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z aplikacji zarządzanych. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (takich jak Asystent Google), które korzystają z możliwości systemu do robienia zrzutów ekranu.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu.
4,20. Wyłączanie aparatów
Administratorzy IT mogą wyłączyć stosowanie aparatów urządzeń przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć korzystanie z aplikacji zarządzanych z kamery urządzenia.
4.21. Zbieranie statystyk sieci
Administratorzy IT mogą wysyłać zapytania o statystyki dotyczące użytkowania sieci na profilu służbowym urządzenia. Zbierane statystyki odzwierciedlają dane o korzystaniu udostępnione użytkownikom w sekcji Korzystanie z danych w Ustawieniach. Zbierane statystyki dotyczą korzystania z aplikacji w profilu służbowym.
4.21.1. Administratorzy IT mogą wysyłać zapytanie o podsumowanie statystyk sieci dla profilu służbowego na danym urządzeniu w określonym oknie czasowym i wyświetlać te informacje w konsoli EMM.
4.21.2. Administratorzy IT mogą wysyłać zapytania z podsumowaniem danych dotyczących aplikacji w profilu służbowym w ramach statystyk użytkowania sieci dla danego urządzenia i konfigurowanego przedziału czasu, a także wyświetlać te szczegóły uporządkowane według UID w konsoli EMM.
4.21.3. Administratorzy IT mogą wysyłać zapytania o historyczne dane o korzystaniu z sieci przez profil służbowy dotyczące danego urządzenia i określonego okna czasowego. Mogą też wyświetlać te szczegóły w konsoli EMM, uporządkowane według identyfikatora UID.
4.22. Zaawansowane zbieranie statystyk sieci
Administratorzy IT mogą wysyłać zapytania o statystyki dotyczące użytkowania sieci na całym zarządzanym urządzeniu. Zbierane statystyki odzwierciedlają dane o użytkowaniu udostępniane użytkownikom w sekcji Użycie danych w Ustawieniach. Zbierane statystyki dotyczą korzystania z aplikacji na urządzeniu.
4.22.1. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk sieci dla całego urządzenia w przypadku danego urządzenia i określonego okna czasowego, a także wyświetlać te informacje w konsoli EMM.
4.22.2. Administratorzy IT mogą wysyłać zapytania z podsumowaniem statystyk korzystania z sieci aplikacji dla danego urządzenia i konfigurowalnego przedziału czasu, a także wyświetlać te szczegóły uporządkowane według identyfikatora UID w konsoli EMM.
4.22.3. Administratorzy IT mogą wysyłać zapytania o historyczne dane dotyczące wykorzystania sieci dotyczące danego urządzenia i określonego okna czasowego. Mogą też wyświetlać te szczegóły uporządkowane według identyfikatora UID w konsoli EMM.
4.23. Uruchom urządzenie ponownie
Administratorzy IT mogą zdalnie ponownie uruchamiać zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie ponownie uruchomić zarządzane urządzenie.
4.24. Zarządzanie radiem systemowym
Umożliwia administratorom IT szczegółowe zarządzanie systemami radiowymi sieci i powiązanymi z nimi zasadami użytkowania.
4.24.1. Administratorzy IT mogą wyłączyć komunikaty z sieci komórkowej wysyłane przez dostawców usług (np. alerty AMBER).
4.24.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach.
4.24.3. Administratorzy IT mogą uniemożliwić użytkownikom resetowanie ustawień sieci w sekcji Ustawienia.
4.24.4. Administratorzy IT mogą zezwolić na mobilną transmisję danych w roamingu lub ją zablokować.
4.24.5. Administratorzy IT mogą określić, czy urządzenie może nawiązywać połączenia telefoniczne (z wyjątkiem połączeń alarmowych).
4.24.6. Administratorzy IT mogą skonfigurować, czy urządzenie może wysyłać i odbierać SMS-y.
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z urządzenia jako przenośnego hotspotu przez tethering.
4.24.8. Administratorzy IT mogą ustawić czas oczekiwania na Wi-Fi na wartość domyślną, tylko podczas ładowania lub nigdy.
4.24.9. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie lub modyfikowanie istniejących połączeń Bluetooth.
4,25. Zarządzanie systemowym dźwiękiem
Administratorzy IT mogą dyskretnie zarządzać funkcjami audio urządzenia, w tym wyciszać urządzenie, uniemożliwiać użytkownikom zmianę ustawień głośności i uniemożliwiać użytkownikom wyłączenie wyciszenia mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą dyskretnie wyciszać zarządzane urządzenia.
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyłączenie wyciszenia mikrofonu urządzenia.
4,26. Zarządzanie zegarem systemowym
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej urządzenia oraz uniemożliwiać użytkownikom modyfikowanie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą narzucać automatyczny czas systemowy, uniemożliwiając użytkownikowi ustawienie daty i godziny na urządzeniu.
4.26.2. Administratorzy IT mogą w cichości wyłączyć lub włączyć zarówno automatyczny czas, jak i automatyczny czas strefy czasowej.
4,27. Zaawansowane funkcje urządzeń specjalnych
Daje administratorom IT możliwość zarządzania bardziej szczegółowymi funkcjami dedykowanych urządzeń w celu obsługi różnych zastosowań kiosków.
4.27.1. Administratorzy IT mogą wyłączyć blokadę ekranu.
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokując powiadomienia i Szybkie ustawienia.
4.27.3. Administratorzy IT mogą wymusić pozostanie włączonego ekranu urządzenia, gdy jest ono podłączone do zasilania.
4.27.4. Administratorzy IT mogą uniemożliwić wyświetlanie tych interfejsów systemu:
- Toasty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na rekomendacje systemowe aplikacji podczas pomijania samouczka dla użytkownika i innych wskazówek przy pierwszym uruchomieniu.
4.28. Zarządzanie zakresem delegowanym
Administratorzy IT mogą przekazywać dodatkowe uprawnienia poszczególnym pakietom.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalowanie certyfikatów i zarządzanie nimi
- Celowo puste
- Rejestrowanie sieciowe
- Rejestrowanie zabezpieczeń (nieobsługiwane na profilu służbowym na urządzeniu osobistym)
4.29. Pomoc dotycząca identyfikatorów związanych z rejestracją
Od Androida 12 profile służbowe nie będą już miały dostępu do identyfikatorów sprzętowych. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym, korzystając z identyfikatora przypisanego do rejestracji, który jest zachowywany podczas przywracania ustawień fabrycznych.
4.29.1. Administratorzy IT mogą ustawić i uzyskać identyfikator związany z rejestracją
4.29.2. Ten identyfikator rejestracji musi być zachowany po przywróceniu ustawień fabrycznych.
5. Wykorzystanie urządzenia
5.1. Dostosowywanie zarządzanego udostępniania
Administratorzy IT mogą modyfikować domyślny UX procesu konfiguracji, aby uwzględnić funkcje biznesowe. Opcjonalnie administratorzy IT mogą wyświetlać podczas obsługi administracyjnej branding dostarczony przez EMM.
5.1.1. Administratorzy IT mogą dostosować proces provisionowania, podając te informacje o firmie: kolor firmy, logo firmy, warunki korzystania z usługi i inne zastrzeżenia.
5.1.2. Administratorzy IT mogą wdrożyć niestandardowe ustawienia EMM, które obejmują te informacje: kolor EMM, logo EMM i Warunki korzystania z usługi EMM i inne zastrzeżenia.
5.1.3 [primaryColor] został wycofany w przypadku zasobu dla przedsiębiorstw w Androidzie 10 i nowszych.
- Usługi EMM muszą zawierać Warunki korzystania z usługi i inne wyłączenia odpowiedzialności dotyczące procesu inicjowania w pakiecie wyłączenia odpowiedzialności dotyczących inicjowania systemu, nawet jeśli nie używasz dostosowań dotyczących usługi EMM.
- Dostawcy usług EMM mogą ustawić niekonfigurowalne dostosowania zależne od EMM jako domyślne ustawienia dla wszystkich wdrożeń, ale muszą umożliwić administratorom IT skonfigurowanie własnych dostosowań.
5.2. Dostosowywanie wersji Enterprise
Administratorzy IT mogą dostosować elementy profilu służbowego, dodając firmowe logotypy. Na przykład administratorzy IT mogą ustawić ikonę użytkownika na profilu służbowym jako logo firmy. Innym przykładem jest ustawienie koloru tła zadania w projektach.
5.2.1. Administratorzy IT mogą ustawić kolor organizacji, który będzie używany jako kolor tła wyzwania służbowego.
5.2.2. Administratorzy IT mogą ustawić wyświetlaną nazwę profilu służbowego.
5.2.3. Administratorzy IT mogą ustawić ikonę użytkownika profilu służbowego.
5.2.4. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony profilu służbowego.
5.3. Zaawansowane opcje dostosowywania dla firm
Administratorzy IT mogą dostosowywać zarządzane urządzenia, dodając firmowe logotypy. Na przykład administratorzy IT mogą ustawić ikonę głównego użytkownika jako logo firmy lub tapetę na urządzeniu.
5.3.1. Administratorzy IT mogą ustawić wyświetlaną nazwę urządzenia zarządzanego.
5.3.2. Administratorzy IT mogą ustawić ikonę użytkownika zarządzanego urządzenia.
5.3.3. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony użytkownika urządzenia.
5.3.4. Administratorzy IT mogą ustawić tapetę na urządzeniu.
5.3.5. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie tapety urządzenia.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który zawsze wyświetla się na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia.
5.4.1. Administratorzy IT mogą ustawić niestandardowy komunikat na ekranie blokady.
5.5 Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosować tekst pomocy wyświetlany użytkownikom, gdy modyfikują zarządzane ustawienia na urządzeniu, lub wdrożyć ogólny komunikat pomocy dostarczony przez EMM. Zarówno krótkie, jak i długie komunikaty pomocy można dostosowywać. Te komunikaty są wyświetlane w przypadkach takich jak próba odinstalowania aplikacji zarządzanej, której administrator IT zablokował odinstalowanie.
5.5.1. Administratorzy IT dostosowują zarówno krótkie, jak i długie wiadomości pomocy.
5.5.2. Administratorzy IT mogą wdrażać niestandardowe krótkie i długie komunikaty pomocy dotyczące EMM.
- Usługa EMM może domyślnie stosować niestandardowe wiadomości pomocy dotyczące usługi EMM we wszystkich wdrożeniach, ale musi zezwolić administratorom IT na konfigurowanie własnych wiadomości.
5.6 Zarządzanie kontaktami na różnych profilach
Administratorzy IT mogą kontrolować, jakie dane kontaktowe mogą być udostępniane poza profil służbowy. Aplikacje do obsługi połączeń i komunikacji (SMS-ów) muszą działać na profilu osobistym i wymagać dostępu do danych kontaktów na profilu służbowym, aby zapewniać efektywność w kontaktach służbowych. Administratorzy mogą jednak wyłączyć te funkcje, aby chronić dane służbowe.
5.6.1. Administratorzy IT mogą wyłączyć wyszukiwanie kontaktów na różnych profilach w przypadku aplikacji osobistych, które korzystają z systemowego dostawcy kontaktów.
5.6.2. Administratorzy IT mogą wyłączyć wyszukiwanie ID rozmówcy na różnych profilach w przypadku osobistych aplikacji telefonu, które korzystają z dostawcy kontaktów systemowych.
5.6.3. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth na urządzeniach Bluetooth, które korzystają z dostawcy kontaktów systemu, na przykład w przypadku zestawów głośnomówiących w samochodach lub słuchawek.
5.7. Zarządzanie danymi w różnych profilach
Zapewnia administratorom IT zarządzanie danymi, które mogą opuszczać profil służbowy, poza domyślnymi funkcjami zabezpieczeń profilu służbowego. Dzięki tej funkcji administratorzy IT mogą zezwalać na wybrane rodzaje udostępniania danych między profilami, aby zwiększyć użyteczność w kluczowych przypadkach użycia. Administratorzy IT mogą też dodatkowo chronić dane firmowe, stosując więcej blokad.
5.7.1. Administratorzy IT mogą konfigurować filtry intencji na różnych profilach, aby aplikacje osobiste mogły rozpoznawać intencje z profilu służbowego, np. intencje udostępniania czy linki internetowe.
- Konsola może opcjonalnie sugerować znane lub zalecane filtry intencji do konfiguracji, ale nie może ograniczać filtrów intencji do dowolnej listy.
5.7.2. Administratorzy IT mogą zezwolić na wyświetlanie widżetów na ekranie głównym w przypadku zarządzanych aplikacji.
- Konsola EMM musi umożliwiać administratorom IT wybór aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
5.7.3. Administratorzy IT mogą zablokować możliwość kopiowania i wklejania danych między profilami służbowymi i osobistymi.
5.7.4. Administratorzy IT mogą zablokować użytkownikom możliwość udostępniania danych z profilu służbowego za pomocą modułu NFC.
5.7.5. Administratorzy IT mogą zezwolić aplikacjom osobistym na otwieranie linków internetowych na profilu służbowym.
5,8. Zasady aktualizacji systemu
Administratorzy IT mogą konfigurować i stosować bezprzewodowe (OTA) aktualizacje systemu na urządzeniach.
5.8.1. Konsola usługi EMM umożliwia administratorom IT skonfigurowanie tych konfiguracji OTA:
- Automatycznie: urządzenia instalują aktualizacje OTA, gdy tylko są dostępne.
- Odłożenie: administratorzy IT muszą mieć możliwość odłożenia aktualizacji OTA na okres do 30 dni. Te zasady nie mają wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okresowe: administratorzy IT muszą mieć możliwość zaplanowania aktualizacji OTA w ramach dziennego okresu konserwacji.
5.8.2. DPC EMM stosuje konfiguracje OTA na urządzeniach.
5,9. Zablokuj zarządzanie trybem zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie, aby użytkownicy nie mogli ich zamknąć.
5.9.1. Konsola EMM umożliwia administratorom IT zezwalanie na instalację dowolnego zestawu aplikacji i blokowanie ich na urządzeniu. EMM's DPC umożliwia tryb dedykowanego urządzenia.
5.10. Stałe zarządzanie preferencją aktywności
Pozwala administratorom IT ustawić aplikację jako domyślny moduł obsługi intencji dla intencji pasujących do określonego filtra intencji. Na przykład administratorzy IT mogą wybrać, która aplikacja do przeglądania będzie automatycznie otwierać linki, lub która aplikacja do uruchamiania będzie używana po naciśnięciu przycisku Home.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji dla dowolnego filtra intencji.
- Konsola EMM może opcjonalnie proponować znane lub zalecane intencje do konfiguracji, ale nie może ograniczyć intencji do dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybieranie z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
5.11. Zarządzanie funkcją Keyguard
- agentów zaufania
- odblokowywanie odciskiem palca
- nieusunięte powiadomienia
5.11.2. Serwer DPC w usługach EMM może wyłączyć te funkcje zabezpieczające w profilu służbowym:
- agenty zaufania
- odblokowywanie odciskiem palca
5.12. Zaawansowane zarządzanie funkcjami blokady klawiszy
- Bezpieczna kamera
- Wszystkie powiadomienia
- Nieusunięte powiadomienia
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje ekranu blokady
5.13. Debugowanie zdalne
Administratorzy IT mogą pobierać zasoby debugowania z urządzeń bez konieczności wykonywania dodatkowych czynności.
5.13.1. Administratorzy IT mogą zdalnie prosić o raporty o błędach, wyświetlać raporty o błędach w konsoli EMM i pobierać raporty o błędach z konsoli EMM.
5.14. Pobieranie adresu MAC
EMM mogą pobierać adres MAC urządzenia bez powiadamiania. Adres MAC może służyć do identyfikowania urządzeń w innych częściach infrastruktury firmy (na przykład przy identyfikowaniu urządzeń na potrzeby kontroli dostępu do sieci).
5.14.1. EMM może po cichu pobrać adres MAC urządzenia i powiązać go z urządzeniem w konsoli EMM.
5.15. Zaawansowane zarządzanie trybem blokowania zadań
Gdy urządzenie jest skonfigurowane jako urządzenie dedykowane, administratorzy IT mogą używać konsoli EMM do wykonywania tych czynności:
5.15.1. Możesz dyskretnie zezwolić jednej aplikacji na zablokowanie urządzenia przy użyciu kontrolera DPC usług EMM.
5.15.2. Za pomocą kontrolera DPC usług EMM włącz lub wyłącz te funkcje interfejsu systemowego:
- Przycisk Ekran główny
- Omówienie
- Działania globalne
- Powiadomienia
- Informacje o systemie / Pasek stanu
- Blokada klawiszy (ekran blokady)
5.15.3. Wyłącz okno błędu systemu za pomocą DPC.
5.16. Zasady dotyczące zaawansowanych aktualizacji systemu
Administratorzy IT mogą blokować aktualizacje systemu na urządzeniu przez określony okres blokady.
5.16.1. DPC EMM może stosować bezprzewodowe (OTA) aktualizacje systemu na urządzeniach przez określony okres blokady.
5.17. Zarządzanie przejrzystością zasad profilu służbowego
Administratorzy IT mogą dostosowywać komunikat wyświetlany użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą podać niestandardowy tekst, który będzie wyświetlany po wyczyszczeniu profilu służbowego.
5.18. Pomoc dotycząca połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą komunikować się przez granicę profilu służbowego.
5.19. Ręczne aktualizacje systemu
Administratorzy IT mogą ręcznie zainstalować aktualizację systemu, podając ścieżkę.
6. Wycofanie aplikacji do zarządzania urządzeniem
6.1. Wycofanie aplikacji do zarządzania urządzeniem
Dostawcy usług EMM muszą opublikować abonament do końca 2022 r., który zakończy obsługę klienta administratora urządzeń na urządzeniach GMS pod koniec I kwartału 2023 r.
7. Wykorzystanie interfejsu API
7.1. Standardowy kontroler zasad dla nowych powiązań
Domyślnie zarządzanie urządzeniami przy użyciu Android Device Policy musi być włączone w przypadku wszystkich nowych powiązań. Dostawcy usług EMM mogą udostępnić opcję zarządzania urządzeniami przy użyciu niestandardowego modelu DPC w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobną. Nowi klienci nie mogą mieć możliwości wyboru dowolnego zbioru technologii podczas procesu rejestracji lub konfiguracji.
7.2. Standardowy kontroler zasad dla nowych urządzeń
Domyślnie zarządzanie wszystkimi nowymi rejestracjami urządzeń, zarówno w przypadku istniejących, jak i nowych powiązań, musi odbywać się za pomocą aplikacji Android Device Policy. Systemy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowych zasad dotyczących urządzeń w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym.