Esta página lista o conjunto completo de recursos do Android Enterprise.
Se você pretende gerenciar mais de 500 dispositivos, a solução de EMM precisa oferecer suporte a todos os recursos padrão () de pelo menos um conjunto de soluções antes de ser disponível comercialmente. As soluções de EMM que passam na verificação de recursos padrão são listadas no Diretório de soluções empresariais do Android como oferecendo um conjunto de gerenciamento padrão.
Um conjunto extra de recursos avançados está disponível para cada conjunto de soluções. Esses recursos são indicados em cada página do conjunto de soluções: perfil de trabalho em dispositivo pessoal, perfil de trabalho em dispositivo da empresa, dispositivo totalmente gerenciado e dispositivo dedicado. As soluções de EMM que passam na verificação de recursos avançados são listadas no diretório de soluções do Android Enterprise como oferecendo um Conjunto de gerenciamento avançado.
Chave
| Recurso padrão | recurso avançado | recurso opcional | não relevante |
1. Provisionamento de dispositivos
1.1. Provisionamento do perfil de trabalho com foco no DPC
É possível provisionar um perfil de trabalho após fazer o download do DPC do EMM no Google Play.
1.1.1. O DPC do EMM precisa estar disponível publicamente no Google Play para que os usuários possam instalar o DPC no lado pessoal do dispositivo.
1.1.2. Depois de instalado, o DPC precisa orientar o usuário no processo de provisionamento de um perfil de trabalho.
1.1.3. Depois que o provisionamento for concluído, nenhuma presença de gerenciamento poderá permanecer no lado pessoal do dispositivo.
- Todas as políticas implementadas durante o provisionamento precisam ser removidas.
- Os privilégios do app precisam ser revogados.
- O DPC do EMM precisa estar, no mínimo, desativado no lado pessoal do dispositivo.
1.2. Provisionamento de dispositivo de identificador DPC
Os administradores de TI podem provisionar um dispositivo totalmente gerenciado ou dedicado usando um identificador DPC ("afw#"), de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
1.2.1. O DPC do EMM precisa estar disponível publicamente no Google Play. O DPC precisa ser instalável no assistente de configuração do dispositivo inserindo um identificador específico do DPC.
1.2.2. Depois de instalado, o DPC do EMM precisa orientar o usuário durante o processo de provisionamento de um dispositivo totalmente gerenciado ou dedicado.
1.3. Provisionamento de dispositivo NFC
Os administradores de TI podem usar tags NFC para provisionar dispositivos novos ou redefinidos para a configuração original de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
1.3.1. Os EMMs precisam usar tags do tipo 2 do NFC Forum com pelo menos 888 bytes de memória. O provisionamento precisa usar extras de provisionamento para transmitir detalhes de registro não sensíveis como IDs de servidor e de registro para um dispositivo. Os detalhes de registro não devem incluir informações sensíveis, como senhas ou certificados.
1.3.2. Depois que o DPC do EMM se definir como proprietário do dispositivo, ele precisa abrir imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado. 1.3.3. Recomendamos o uso de tags NFC para o Android 10 e versões mais recentes devido à descontinuação do NFC Beam (também conhecido como NFC Bump).
1.4. Provisionamento de dispositivos por código QR
Os administradores de TI podem usar um dispositivo novo ou redefinido para a configuração original para ler um QR code gerado pelo console do EMM e provisionar o dispositivo, de acordo com as diretrizes de implementação definidas na documentação da API Play EMM para desenvolvedores.
1.4.1. O QR code precisa usar extras de provisionamento para transmitir detalhes de registro não confidenciais, como IDs do servidor e de registro, para um dispositivo. Os detalhes do registro não podem incluir informações sensíveis, como senhas ou certificados.
1.4.2. Depois que o DPC do EMM configurar o dispositivo, ele precisará ser aberto imediatamente e se bloquear na tela até que o dispositivo esteja totalmente provisionado.
1.5. Registro sem toque
Os administradores de TI podem pré-configurar dispositivos comprados de revendedores autorizados e gerenciá-los usando o console de EMM.
1.5.1. Os administradores de TI podem provisionar dispositivos da empresa usando o método de registro sem toque, descrito em Registro sem toque para administradores de TI.
1.5.2. Quando um dispositivo é ligado pela primeira vez, ele é forçado automaticamente a usar as configurações definidas pelo administrador de TI.
1.6. Provisionamento avançado sem toque
Os administradores de TI podem automatizar grande parte do processo de registro de dispositivos implantando detalhes de registro de DPCs com o registro sem toque. O DPC do EMM oferece suporte à limitação da inscrição em contas ou domínios específicos, de acordo com as opções de configuração oferecidas pelo EMM.
1.6.1. Os administradores de TI podem provisionar um dispositivo da empresa usando o método de registro sem toque, conforme descrito em Registro sem toque para administradores de TI.
1.6.2. Depois que o DPC do EMM configurar o dispositivo, ele precisará ser aberto imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado.
- Esse requisito é dispensado para dispositivos que usam detalhes de registro de inscrição sem toque para provisionamento completo em segundo plano (por exemplo, em uma implantação de dispositivo dedicada).
1.6.3. Usando os detalhes de registro, o DPC do EMM precisa garantir que os usuários não autorizados não possam prosseguir com a ativação depois que o DPC for invocado. No mínimo, a ativação precisa ser bloqueada apenas para os usuários de uma determinada empresa.
1.6.4. Usando os detalhes de registro, o DPC do EMM precisa permitir que os administradores de TI preencham previamente os detalhes de registro (por exemplo, IDs de servidor, IDs de registro) além de informações exclusivas do usuário ou do dispositivo (por exemplo, nome de usuário/senha, token de ativação), para que os usuários não precisem inserir detalhes ao ativar um dispositivo.
- Os EMMs não podem incluir informações sensíveis, como senhas ou certificados, na configuração do registro sem toque.
1.7. Provisionamento do perfil de trabalho da Conta do Google
Para as empresas que usam um domínio gerenciado do Google, esse recurso orienta os usuários na configuração de um perfil de trabalho depois de inserir as credenciais corporativas do Workspace durante a configuração do dispositivo ou em um dispositivo que já está ativado. Em ambos os casos, a identidade corporativa do Workspace será migrada para o perfil de trabalho.
1.7.1. O método de provisionamento da Conta do Google provisiona um perfil de trabalho, de acordo com as diretrizes de implementação definidas .
1.8. Provisionamento de dispositivo da Conta do Google
Para as empresas que usam o Workspace, esse recurso orienta os usuários na instalação do DPC do EMM depois que eles inserem as credenciais corporativas do Workspace durante a configuração inicial do dispositivo. Depois de instalado, o DPC conclui a configuração do dispositivo da empresa.
1.8.1. O método de provisionamento da Conta do Google provisiona um dispositivo da empresa, de acordo com as diretrizes de implementação definidas.
1.8.2. A menos que o EMM possa identificar o dispositivo de forma inequívoca como um recurso corporativo, ele não poderá provisionar um dispositivo sem uma solicitação durante o processo de provisionamento. Esse prompt precisa realizar uma ação não padrão, como marcar uma caixa de seleção ou selecionar uma opção de menu não padrão. É recomendável que o EMM consiga identificar o dispositivo como um recurso corporativo, para que não seja necessário o aviso.
1.9. Configuração direta sem toque
Os administradores de TI podem usar o console do EMM para configurar dispositivos sem toque usando o iframe sem toque.
1,10 Perfis de trabalho em dispositivos corporativos
Os EMMs podem registrar dispositivos de empresas que tenham um perfil de trabalho.
1.10.1. intencionalmente em branco.
1.10.2. Os administradores de TI podem definir ações de compliance para perfis de trabalho em dispositivos da empresa.
1.10.3. Os administradores de TI podem desativar a câmera no perfil de trabalho ou no dispositivo inteiro.
1.10.4. Os administradores de TI podem desativar a captura de tela no perfil de trabalho ou em um dispositivo inteiro.
1.10.5. Os administradores de TI podem definir uma lista de permissões ou bloqueios de apps que podem ou não ser instalados no perfil pessoal.
1.10.6. Os administradores de TI podem renunciar ao gerenciamento de um dispositivo da empresa removendo o perfil de trabalho ou limpando o dispositivo inteiro.
1,11. Provisionamento de dispositivos dedicados
Deliberadamente em branco.
2. Segurança do dispositivo
2.1. Desafio de segurança do dispositivo
Os administradores de TI podem definir e aplicar um desafio de segurança do dispositivo (PIN/padrão/senha) de uma seleção predefinida de três níveis de complexidade em dispositivos gerenciados.
2.1.1. A política precisa aplicar as configurações que gerenciam os desafios de segurança do dispositivo (parentProfilePasswordRequirements para o perfil de trabalho, passwordRequirements para dispositivos dedicados e totalmente gerenciados).
2.1.2. A complexidade da senha precisa ser mapeada para as seguintes complexidades:
- PASSWORD_COMPLEXITY_LOW - padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e senha alfabética ou alfanumérica com tamanho de pelo menos 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e um comprimento de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com um comprimento de pelo menos 6
2.2. Desafio de segurança do trabalho
Os administradores de TI podem definir e aplicar um desafio de segurança para apps e dados no perfil de trabalho que seja separado e tenha requisitos diferentes do desafio de segurança do dispositivo (2.1).
2.2.1. A política precisa aplicar o desafio de segurança para o perfil de trabalho. Por padrão, os administradores de TI precisam definir restrições apenas para o perfil de trabalho se nenhum escopo for especificado. Os administradores de TI podem definir isso em todo o dispositivo especificando o escopo (consulte o requisito 2.1).
2.1.2. A complexidade da senha precisa ser mapeada para as seguintes complexidades:
- PASSWORD_COMPLEXITY_LOW - padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com comprimento mínimo de 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e um comprimento de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com um comprimento de pelo menos 6
2.3. Gerenciamento avançado de senhas
2.3.1. intencionalmente em branco.
2.3.2. Deliberadamente em branco.
2.3.3. As seguintes configurações do ciclo de vida da senha podem ser definidas para cada tela de bloqueio disponível em um dispositivo:
- Deliberadamente em branco
- Deliberadamente em branco
- Máximo de senhas com falha para exclusão permanente: especifica o número de vezes que os usuários podem inserir uma senha incorreta antes que os dados corporativos sejam excluídos permanentemente do dispositivo. Os administradores de TI precisam conseguir desativar esse recurso.
2.4. Gerenciamento de fechaduras inteligentes
Os administradores de TI podem gerenciar quais agentes de confiança no recurso Smart Lock do Android podem desbloquear dispositivos. Os administradores de TI podem desativar métodos de desbloqueio específicos, como dispositivos Bluetooth confiáveis, reconhecimento facial e reconhecimento de voz, ou desativar o recurso completamente.
2.4.1. Os administradores de TI podem desativar os agentes de confiança do Smart Lock independentemente para cada tela de bloqueio disponível no dispositivo.
2.4.2. Os administradores de TI podem permitir e configurar seletivamente agentes de confiança do Smart Lock, independentemente de cada tela de bloqueio disponível no dispositivo, para os seguintes agentes de confiança: Bluetooth, NFC, lugares, rosto, no corpo e voz.
- Os administradores de TI podem modificar os parâmetros de configuração do agente de confiança disponíveis.
2.5. Limpar e bloquear
Os administradores de TI podem usar o console do EMM para bloquear e excluir remotamente os dados de trabalho de um dispositivo gerenciado.
2.5.1. O DPC do EMM precisa bloquear os dispositivos.
2.5.2. O DPC do EMM precisa excluir permanentemente os dispositivos.
2.6. Aplicação de compliance
Se um dispositivo não estiver em conformidade com as políticas de segurança, os dados de trabalho serão restritos automaticamente.
2.6.1. No mínimo, as políticas de segurança aplicadas a um dispositivo precisam incluir a política de senha.
2.7. Políticas de segurança padrão
Os EMMs precisam aplicar as políticas de segurança especificadas nos dispositivos por padrão, sem exigir que os administradores de TI configurem ou personalizem nenhuma configuração no console do EMM. Os EMMs são incentivados (mas não obrigatórios) a não permitir que os administradores de TI alterem o estado padrão desses recursos de segurança.
2.7.1. O DPC do EMM precisa bloquear a instalação de apps de fontes desconhecidas, incluindo apps instalados no lado pessoal de qualquer dispositivo Android 8.0 ou mais recente com um perfil de trabalho.
2.7.2. O DPC do EMM precisa bloquear recursos de depuração.
2.8. Políticas de segurança para dispositivos dedicados
Os dispositivos dedicados são bloqueados sem uma saída para permitir outras ações.
2.8.1. O DPC do EMM precisa desativar a inicialização no modo de segurança por padrão.
2.8.2. O DPC do EMM precisa ser aberto e bloqueado na tela imediatamente na primeira inicialização durante o provisionamento, para garantir que não haja interação com o dispositivo de nenhuma outra forma.
2.8.3. O DPC do EMM precisa ser definido como a tela de início padrão para garantir que os apps permitidos sejam bloqueados na tela na inicialização, de acordo com as diretrizes de implementação definidas.
2,9. Suporte da Play Integrity
O EMM usa a API Play Integrity para garantir que os dispositivos sejam Android válidos.
2.9.1. O DPC do EMM implementa a API Play Integrity durante o provisionamento e, por padrão, só conclui o provisionamento do dispositivo com dados corporativos quando a integridade do dispositivo retornado é MEETS_STRONG_INTEGRITY.
2.9.2. O DPC do EMM vai realizar outra verificação de integridade do Play sempre que um dispositivo fizer check-in no servidor do EMM, que pode ser configurado pelo administrador de TI. O servidor EMM vai verificar as informações do APK na resposta da verificação de integridade e a resposta em si antes de atualizar a política corporativa no dispositivo.
2.9.3. Os administradores de TI podem configurar diferentes respostas de política com base no resultado da verificação de integridade do Google Play, incluindo o bloqueio de provisionamento, a exclusão de dados corporativos e a permissão para prosseguir com a inscrição.
- O serviço de EMM aplicará essa resposta de política para o resultado de cada verificação de integridade.
2.9.4. Se a verificação inicial da Play Integrity falhar ou retornar um resultado que não atenda à integridade forte, se o DPC do EMM ainda não tiver chamado ensureWorkingEnvironment, ele precisará fazer isso e repetir a verificação antes da conclusão do provisionamento.
2.10. Verificar a aplicação de apps
Os administradores de TI podem ativar a opção Verificar apps nos dispositivos. O recurso "Verificar apps" verifica os apps instalados em dispositivos Android em busca de softwares prejudiciais antes e depois da instalação, ajudando a garantir que eles não comprometam os dados corporativos.
2.10.1. O DPC do EMM precisa ativar a opção "Verificar apps" por padrão.
2.11. Suporte à inicialização direta
Os apps não podem ser executados em dispositivos com o Android 7.0 ou mais recente que acabaram de ser ligados até que o dispositivo seja desbloqueado pela primeira vez. O suporte a inicialização direta garante que a DPC do EMM esteja sempre ativa e possa aplicar a política, mesmo que o dispositivo não tenha sido desbloqueado.
2.11.1. O DPC do EMM aproveita o armazenamento criptografado do dispositivo para executar funções críticas de gerenciamento antes que o armazenamento criptografado por credenciais do DPC seja descriptografado. As funções de gerenciamento disponíveis durante a inicialização direta precisam incluir (mas não se limitam a):
- Apagar dados empresariais, incluindo a capacidade de apagar dados de proteção de redefinição para a configuração original, conforme apropriado.
2.11.2. O DPC do EMM não pode expor dados corporativos no armazenamento criptografado do dispositivo.
2.11.3. Os EMMs podem definir e ativar um token para ativar um botão Esqueci minha senha na tela de bloqueio do perfil de trabalho. Esse botão é usado para solicitar que os administradores de TI redefinam com segurança a senha do perfil de trabalho.
2.12. Gerenciamento de segurança de hardware
Os administradores de TI podem bloquear elementos de hardware de um dispositivo da empresa para evitar a perda de dados.
2.12.1. Os administradores de TI podem impedir que os usuários montem mídia externa física no dispositivo.
2.12.2. Os administradores de TI podem impedir que os usuários compartilhem dados do dispositivo usando o NFC beam . Esse subrecurso é opcional, já que a função de envio NFC não é mais compatível no Android 10 e versões mais recentes.
2.12.3. Os administradores de TI podem impedir que os usuários transfiram arquivos por USB no dispositivo.
2.13. Geração de registros de segurança da empresa
Os administradores de TI podem coletar dados de uso de dispositivos que podem ser analisados e avaliados programaticamente quanto a comportamentos maliciosos ou arriscados. As atividades registradas incluem a atividade do Android Debug Bridge (adb), a abertura de apps e o desbloqueio da tela.
2.13.1. Os administradores de TI podem ativar a geração de registros de segurança para dispositivos específicos, e o DPC do EMM precisa extrair automaticamente os registros de segurança e os registros de segurança pré-reinicialização.
2.13.2. Os administradores de TI podem analisar os registros de segurança da empresa para um determinado dispositivo e uma janela de tempo configurável no console do EMM.
2.13.3. Os administradores de TI podem exportar registros de segurança da empresa do console do EMM.
3. Gerenciamento de contas e apps
3.1. Vinculação empresarial
Os administradores de TI podem vincular o EMM à organização, permitindo que ele use o Google Play gerenciado para distribuir apps aos dispositivos.
3.1.1. Um administrador com um Managed Google Domain pode vincular o domínio ao EMM.
3.1.2. O console do EMM precisa provisionar e configurar silenciosamente uma ESA única para cada empresa.
3.1.3. Cancelar o registro de uma empresa usando a API Play EMM.
3.1.4. O console EMM orienta o administrador a inserir o endereço de e-mail do trabalho no fluxo de inscrição do Android e desencoraja o uso de uma conta do Gmail.
3.1.5. O EMM preenche o endereço de e-mail do administrador no fluxo de inscrição do Android.
3.2. Provisionamento de contas do Google Play gerenciado
O EMM pode provisionar silenciosamente contas de usuário corporativas, chamadas de contas do Google Play gerenciado. Essas contas identificam usuários gerenciados e permitem regras exclusivas de distribuição de apps por usuário.
3.2.1. O DPC do EMM pode provisionar e ativar uma conta do Google Play gerenciada de forma silenciosa de acordo com as diretrizes de implementação definidas. Ao fazer isso:
- Uma Conta do Google Play gerenciada do tipo
userAccounté adicionada ao dispositivo. - A conta do Google Play gerenciado do tipo
userAccountprecisa ter um mapeamento um a um com usuários reais no console do EMM.
3.3. Provisionamento de contas de dispositivos do Google Play gerenciado
O EMM pode criar e provisionar contas de dispositivo do Google Play gerenciado. As contas de dispositivo permitem a instalação silenciosa de apps da Google Play Store gerenciada e não estão vinculadas a um único usuário. Em vez disso, uma conta de dispositivo é usada para identificar um único dispositivo para oferecer suporte a regras de distribuição de apps por dispositivo em cenários de dispositivos dedicados.
3.3.1. O DPC do EMM pode provisionar e ativar uma conta do Google Play gerenciada
de forma silenciosa de acordo com as diretrizes de implementação definidas.
Ao fazer isso, uma conta do Google Play gerenciado do tipo deviceAccount precisa ser adicionada
ao dispositivo.
3.4. Provisionamento de contas do Google Play gerenciado para dispositivos legados
O EMM pode provisionar silenciosamente contas de usuários empresariais, chamadas de contas do Google Play gerenciado. Essas contas identificam usuários gerenciados e permitem regras exclusivas de distribuição de apps por usuário.
3.4.1. O DPC do EMM pode provisionar e ativar uma conta do Google Play gerenciada de forma silenciosa, de acordo com as diretrizes de implementação definidas. Ao fazer isso:
- Uma Conta do Google Play gerenciada do tipo
userAccounté adicionada ao dispositivo. - A conta do Google Play gerenciado do tipo
userAccountprecisa ter um mapeamento um a um com usuários reais no console do EMM.
3.5. Distribuição silenciosa de apps
Os administradores de TI podem distribuir apps de trabalho em segundo plano nos dispositivos dos usuários sem interação.
3.5.1. O console de EMM precisa usar a API Play EMM para permitir que os administradores de TI instalem apps de trabalho em dispositivos gerenciados.
3.5.2. O console de EMM precisa usar a API Play EMM para permitir que os administradores de TI atualizem apps de trabalho em dispositivos gerenciados.
3.5.3. O console de EMMs precisa usar a API Play EMM para permitir que os administradores de TI desinstalem apps em dispositivos gerenciados.
3.6. Gerenciamento de configurações gerenciadas
Os administradores de TI podem visualizar e definir silenciosamente configurações gerenciadas ou qualquer app com suporte para configurações gerenciadas.
3.6.1. O console do EMM precisa ser capaz de recuperar e mostrar as configurações de configuração gerenciadas de qualquer app do Google Play.
- Os EMMs podem chamar
Products.getAppRestrictionsSchemapara recuperar o esquema de configurações gerenciadas de um app ou incorporar o frame de configurações gerenciadas no console de EMM.
3.6.2. O console do EMM precisa permitir que os administradores de TI definam qualquer tipo de configuração (conforme definido pelo framework do Android) para qualquer app do Google Play usando a API Play EMM.
3.6.3. O console do EMM precisa permitir que os administradores de TI definam caracteres curinga (como $username$ ou %emailAddress%) para que uma única configuração de um app como o Gmail possa ser aplicada a vários usuários. O iframe de configuração gerenciada oferece suporte automático a esse requisito.
3.7. Gerenciamento do catálogo de apps
Administradores de TI podem importar uma lista de apps aprovados para a empresa no Google Play gerenciado (play.google.com/work).
3.7.1. O console do EMM pode mostrar uma lista de apps aprovados para distribuição, incluindo:
- Apps comprados no Google Play gerenciado
- Apps particulares visíveis para administradores de TI
- Apps aprovados de forma programática
3,8. Aprovação de apps programática
O console do EMM usa o iframe do Google Play gerenciado para oferecer suporte aos recursos de descoberta e aprovação de apps do Google Play. Os administradores de TI podem pesquisar apps, aprovar apps e novas permissões sem sair do console do EMM.
3.8.1. Os administradores de TI podem pesquisar e aprovar apps no console do EMM usando o iframe do Google Play gerenciado.
3.9. Gerenciamento básico do layout da loja
O app Google Play Store gerenciado pode ser usado em dispositivos para instalar e atualizar apps de trabalho. O layout básico da app store é exibido por padrão e lista os apps aprovados para a empresa, que os EMMs filtram por usuários de acordo com a política.
3.9.1. Os administradores de TI podem [gerenciar os conjuntos de produtos disponíveis dos usuários]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) para permitir a visualização e a instalação de aplicativos da Google Play Store gerenciada na seção "Página inicial da loja".
3.10. Configuração avançada do layout da loja
Administradores de TI podem personalizar o layout da loja que aparece no app Google Play gerenciado nos dispositivos.
3.10.1. Os administradores de TI podem realizar as seguintes ações no console do EMM para personalizar o layout da Google Play Store gerenciada:
- Crie até 100 páginas de layout da loja. As páginas podem ter um número arbitrário de nomes localizados.
- Crie até 30 clusters para cada página. Os clusters podem ter um número arbitrário de nomes localizados.
- Atribua até 100 apps a cada cluster.
- Adicione até 10 links rápidos a cada página.
- Especifica a ordem de classificação dos apps em um cluster e os clusters em uma página.
3.11. Gerenciamento de licenças de apps
Os administradores de TI podem conferir e gerenciar as licenças de apps compradas no Google Play gerenciado no console do EMM.
3.11.1. Para apps pagos aprovados para uma empresa, o console do EMM precisa exibir:
- O número de licenças compradas.
- O número de licenças consumidas e os usuários que as consomem.
- O número de licenças disponíveis para distribuição.
3.11.2. Os administradores de TI podem atribuir licenças aos usuários em silêncio sem forçar a instalação do app em nenhum dos dispositivos dos usuários.
3.11.3. Os administradores de TI podem redefinir a atribuição de uma licença de app para um usuário.
3.12. Gerenciamento de apps particulares hospedados pelo Google
Os administradores de TI podem atualizar apps particulares hospedados pelo Google pelo console de EMM em vez pelo Google Play Console.
3.12.1. Os administradores de TI podem fazer upload de novas versões de apps que já foram publicados privadamente para a empresa usando:
3.13. Gerenciamento de apps particulares auto-hospedados
Os administradores de TI podem configurar e publicar apps particulares auto-hospedados. Ao contrário dos apps particulares hospedados pelo Google, o Google Play não hospeda os APKs. Em vez disso, o EMM ajuda os administradores de TI a hospedar APKs por conta própria e protege os apps auto-hospedados, garantindo que eles só possam ser instalados quando autorizados pelo Google Play gerenciado.
Os administradores de TI podem acessar Suporte a apps particulares para conferir mais detalhes.
3.13.1. O console do EMM precisa ajudar os administradores de TI a hospedar o APK do app, oferecendo as duas seguintes opções:
- Hospedar o APK no servidor do EMM. O servidor pode ser local ou baseado na nuvem.
- Hospedar o APK fora do servidor do EMM, a critério do administrador de TI. O administrador de TI precisa especificar no console de EMM onde o APK está hospedado.
3.13.2. O console do EMM precisa gerar um arquivo de definição de APK adequado usando o APK fornecido e precisa orientar os administradores de TI durante o processo de publicação.
3.13.3. Os administradores de TI podem atualizar apps particulares auto-hospedados, e o console do EMM pode publicar arquivos de definição de APK atualizados em segundo plano usando a API Google Play Developer Publishing.
3.13.4. O servidor do EMM atende apenas solicitações de download para o APK auto-hospedado que contém um JWT válido no cookie da solicitação, conforme verificado pela chave pública do app privado.
- Para facilitar esse processo, o servidor do EMM precisa orientar os administradores de TI a fazer o download da chave pública da licença do app auto-hospedado no Google Play Console do Google Play e fazer upload dessa chave para o console do EMM.
3,14 Notificações de busca de EMM
Em vez de consultar periodicamente a Play para identificar eventos anteriores, como uma atualização do app que contém novas permissões ou configurações gerenciadas, as notificações de extração de EMM notificam proativamente os EMMs desses eventos em tempo real, permitindo que eles realizem ações automatizadas e forneçam notificações administrativas personalizadas com base nesses eventos.
3.14.1. O EMM precisa usar as notificações do EMM do Google Play para extrair conjuntos de notificações.
3.14.2. A EMM precisa notificar automaticamente um administrador de TI (por exemplo, por e-mail automatizado) sobre os seguintes eventos de notificação:
newPermissionEvent: exige que um administrador de TI aprove novas permissões do app antes que ele possa ser instalado ou atualizado silenciosamente nos dispositivos dos usuários.appRestrictionsSchemaChangeEvent: pode exigir que o administrador de TI atualize a configuração gerenciada de um app para manter a eficiência pretendida.appUpdateEvent: pode ser do interesse de administradores de TI que queiram validar se o desempenho do fluxo de trabalho principal não é afetado pela atualização do app.productAvailabilityChangeEvent: pode afetar a capacidade de instalar o app ou receber atualizações.installFailureEvent: o Google Play não consegue instalar silenciosamente um app em um dispositivo, sugerindo que algo relacionado à configuração do dispositivo está impedindo a instalação. Os EMMs não podem tentar fazer uma nova instalação silenciosa imediatamente depois de receber essa notificação, porque a lógica de repetição do Google Play já terá falhado.
3.14.3. A EMM toma automaticamente as medidas adequadas com base nos seguintes eventos de notificação:
newDeviceEvent: durante o provisionamento do dispositivo, os EMMs precisam esperarnewDeviceEventantes de fazer chamadas subsequentes da API Play EMM para o novo dispositivo, incluindo instalações de apps silenciosas e configurações gerenciadas.productApprovalEvent: ao receber uma notificaçãoproductApprovalEvent, o EMM precisa atualizar automaticamente a lista de apps aprovados importados para o console do EMM para distribuição aos dispositivos se houver uma sessão de administrador de TI ativa ou se a lista de apps aprovados não for recarregada automaticamente no início de cada sessão de administrador de TI.
3.15. Requisitos de uso da API
O EMM implementa as APIs do Google em grande escala, evitando padrões de tráfego que poderiam afetar negativamente a capacidade dos administradores de TI de gerenciar apps em ambientes de produção.
3.15.1. O EMM precisa aderir aos limites de uso da API Play EMM. A não correção de um comportamento que exceda essas diretrizes pode resultar na suspensão do uso da API, a critério do Google.
3.15.2. O EMM precisa distribuir o tráfego de diferentes empresas ao longo do dia, em vez de consolidar o tráfego empresarial em momentos específicos ou semelhantes. O comportamento que se encaixa nesse padrão de tráfego, como operações em lote programadas para cada dispositivo registrado, pode resultar na suspensão do uso da API, a discrição do Google.
3.15.3. O EMM não pode fazer solicitações consistentes, incompletas ou deliberadamente incorretas que não tentem recuperar ou gerenciar dados reais da empresa. Um comportamento adequado a esse padrão de tráfego pode resultar na suspensão do uso da API, a critério do Google.
3,16 Gerenciamento avançado de configurações gerenciadas
3.16.1. O console do EMM precisa ser capaz de recuperar e mostrar as configurações de configuração gerenciadas (aninhadas até quatro níveis) de qualquer app do Play, usando:
- O iFrame do Google Play gerenciado ou
- uma IU personalizada.
3.16.2. O console do EMM precisa recuperar e exibir qualquer feedback retornado por um canal de feedback do app quando configurado por um administrador de TI.
- O console do EMM precisa permitir que os administradores de TI associem um item de feedback específico ao dispositivo e ao app de origem.
- O console do EMM precisa permitir que os administradores de TI se inscrevam em alertas ou relatórios de tipos de mensagens específicos, como mensagens de erro.
3.16.3. O console do EMM precisa enviar apenas valores que tenham um valor padrão ou sejam definidos manualmente pelo administrador usando:
- O iframe de configurações gerenciadas
- Uma interface personalizada.
3.17. Gerenciamento de apps da Web
Os administradores de TI podem criar e distribuir apps da Web no console do EMM.
3.17.1. Os administradores de TI podem usar o console da EMM para distribuir atalhos para apps da Web usando:
3.18. Gerenciamento do ciclo de vida da conta do Google Play gerenciado
O EMM pode criar, atualizar e excluir contas do Google Play gerenciado em nome dos administradores de TI.
3.18.1. Os EMMs podem gerenciar o ciclo de vida de uma conta do Google Play gerenciado de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
3.18.2. Os EMMs podem fazer a reautenticação de contas do Google Play gerenciado sem interação do usuário.
3.19. Gerenciamento de faixas de aplicativos
3.19.1. Os administradores de TI podem extrair uma lista de IDs de faixa definidos por um desenvolvedor para um app específico.
3.19.2. Os administradores de TI podem configurar os dispositivos para usar uma faixa de desenvolvimento específica de um aplicativo.
3,20 Gerenciamento avançado de atualizações de aplicativos
3.20.1. Os administradores de TI podem permitir que os apps usem atualizações de alta prioridade para serem atualizados quando uma atualização estiver pronta.
3.20.2. Os administradores de TI podem permitir que as atualizações de apps sejam adiadas por 90 dias.
3.21. Gerenciamento de métodos de provisionamento
O EMM pode gerar configurações de provisionamento e apresentá-las ao administrador de TI em um formulário pronto para distribuição aos usuários finais, como QR code, configuração sem toque e URL da Play Store.
4. Gerenciamento de dispositivos
4.1. Gerenciamento de políticas de permissão de execução
Os administradores de TI podem definir silenciosamente uma resposta padrão para solicitações de permissão de tempo de execução feitas por apps de trabalho.
4.1.1. Os administradores de TI precisam escolher entre as seguintes opções ao definir uma política de permissão de execução padrão para a organização:
- solicitação (permite que os usuários escolham)
- allow
- deny
O EMM precisa aplicar essas configurações usando o DPC do EMM.
4.2. Gerenciamento do estado de concessão de permissão de execução
Depois de definir uma política de permissão de execução padrão (vá para 4.1.), Os administradores de TI podem definir silenciosamente respostas para permissões específicas de qualquer app de trabalho criado na API 23 ou mais recente.
4.2.1. Os administradores de TI precisam ser capazes de definir o estado de concessão (padrão, concessão ou negação) de qualquer permissão solicitada por qualquer app de trabalho criado na API 23 ou mais recente. O EMM precisa aplicar essas configurações usando o DPC do EMM .
4.3. Gerenciamento de configuração do Wi-Fi
Os administradores de TI podem provisionar silenciosamente configurações de Wi-Fi empresariais em dispositivos gerenciados, incluindo:
4.3.1. SSID, usando o DPC do EMM.
4.3.2. Senha, usando a DPC do EMM.
4.4. Gerenciamento de segurança do Wi-Fi
Os administradores de TI podem provisionar configurações de Wi-Fi empresariais em dispositivos gerenciados que incluem os seguintes recursos de segurança avançados:
4.4.1. Identidade, usando o DPC do EMM.
4.4.2. Certificado para autorização de clientes, usando o DPC do EMM.
4.4.3. Certificados de AC, usando o DPC do EMM.
4.5. Gerenciamento avançado de Wi-Fi
Os administradores de TI podem bloquear as configurações de Wi-Fi em dispositivos gerenciados para impedir que os usuários criem ou modifiquem as configurações corporativas.
4.5.1. Os administradores de TI podem bloquear as configurações de Wi-Fi corporativas em uma das seguintes configurações:
- Os usuários não podem modificar nenhuma configuração de Wi-Fi provisionada pelo EMM, mas podem adicionar e modificar as próprias redes configuráveis pelo usuário (por exemplo, redes pessoais).
- Os usuários não podem adicionar ou modificar nenhuma rede Wi-Fi no dispositivo, limitando a conectividade Wi-Fi apenas às redes provisionadas pelo EMM.
4.6. Gerenciamento da conta
Os administradores de TI podem impedir que contas corporativas não autorizadas interajam com dados corporativos em serviços como e-mail ou armazenamento SaaS e apps de produtividade. Sem esse recurso, contas pessoais podem ser adicionadas a esses apps corporativos que também têm suporte a contas pessoais, permitindo que compartilhem dados corporativos com essas contas pessoais.
4.6.1. Os administradores de TI podem impedir a adição ou modificação de contas.
- Ao aplicar essa política em um dispositivo, os EMMs precisam definir essa restrição antes de concluir o provisionamento para garantir que você não possa contornar essa política adicionando contas antes que ela seja implementada.
4.7. Gerenciamento de contas do Workspace
Os administradores de TI podem garantir que as Contas do Google não autorizadas não interajam com dados corporativos. Sem esse recurso, as Contas do Google pessoais podem ser adicionadas a apps corporativos do Google (por exemplo, Documentos ou Drive), permitindo que elas compartilhem dados corporativos com essas contas pessoais.
4.7.1. Os administradores de TI podem especificar Contas do Google para serem ativadas durante o provisionamento, após o bloqueio total do gerenciamento de contas estar em vigor.
4.7.2. O DPC do EMM precisa pedir para ativar a Conta do Google e garantir que apenas a conta específica possa ser ativada especificando a conta a ser adicionada.
- Em dispositivos com versões anteriores ao Android 7.0, o DPC precisa desativar temporariamente a restrição de gerenciamento de contas antes de solicitar ao usuário.
4.8. Gerenciamento de certificados
Permite que os administradores de TI implantem certificados de identidade e autoridades de certificação em dispositivos para permitir o acesso a recursos corporativos.
4.8.1. Os administradores de TI podem instalar certificados de identidade do usuário gerados pela ICP por usuário. O console do EMM precisa ser integrado a pelo menos uma PKI e distribuir certificados gerados a partir dessa infraestrutura.
4.8.2. Os administradores de TI podem instalar autoridades certificadoras no keystore gerenciado.
4.9. Gerenciamento avançado de certificados
Permite que os administradores de TI selecionem silenciosamente os certificados que apps gerenciados específicos precisam usar. Esse recurso também permite que administradores de TI removam ACs e certificados de identidade de dispositivos ativos. Esse recurso impede que os usuários modifiquem as credenciais armazenadas no keystore gerenciado.
4.9.1. Para qualquer app distribuído para dispositivos, os administradores de TI podem especificar um certificado ao qual o app será concedido acesso silencioso durante a execução.
- A seleção de certificados precisa ser genérica o suficiente para permitir uma única configuração que se aplique a todos os usuários, cada um dos quais pode ter um certificado de identidade específico do usuário.
4.9.2. Os administradores de TI podem remover certificados silenciosamente do keystore gerenciado.
4.9.3. Os administradores de TI podem desinstalar um certificado de AC ou todos os certificados de AC que não são do sistema.
4.9.4. Os administradores de TI podem impedir que os usuários configurem credenciais no keystore gerenciado.
4.9.5. Os administradores de TI podem conceder certificados antecipadamente para apps de trabalho.
4.10. Gerenciamento de certificados delegados
Os administradores de TI podem distribuir um app de gerenciamento de certificados de terceiros para dispositivos e conceder a esse app acesso privilegiado para instalar certificados no keystore gerenciado.
4.10.1. Os administradores de TI especificam um pacote de gerenciamento de certificados para definir como o app de gerenciamento de certificados delegado pelo DPC.
- O console pode sugerir pacotes de gerenciamento de certificados conhecidos, mas precisa permitir que o administrador de TI escolha na lista de apps disponíveis para instalação para os usuários aplicáveis.
4.11. Gerenciamento avançado de VPN
Permite que os administradores de TI especifiquem uma VPN sempre ativada para garantir que os dados dos apps gerenciados especificados sempre passem por uma VPN configurada.
4.11.1. Os administradores de TI podem especificar um pacote de VPN arbitrário para ser definido como uma VPN sempre ativa.
- O console do EMM pode sugerir pacotes de VPN conhecidos que oferecem suporte à VPN sempre ativada, mas não pode restringir as VPNs disponíveis para a configuração sempre ativada a qualquer lista arbitrária.
4.11.2. Os administradores de TI podem usar configurações gerenciadas para especificar as configurações de VPN de um app.
4.12. Gerenciamento de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) podem ser configurados para os dispositivos. Como o IME é compartilhado entre os perfis de trabalho e pessoais, o bloqueio do uso de IMEs também impede que eles sejam usados para uso pessoal. No entanto, os administradores de TI não podem bloquear IMEs do sistema em perfis de trabalho. Acesse o gerenciamento avançado de IME para mais detalhes.
4.12.1. Os administradores de TI podem configurar uma lista de permissões de IME de tamanho arbitrário (incluindo uma lista vazia, que bloqueia IMEs que não são do sistema), que pode conter qualquer pacote de IME arbitrário.
- O console do EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação para os usuários aplicáveis.
4.12.2. O EMM precisa informar aos administradores de TI que os IMEs do sistema são excluídos do gerenciamento em dispositivos com perfis de trabalho.
4.13. Gerenciamento avançado de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) podem ser configurados para os dispositivos. O gerenciamento avançado de IMEs estende o recurso básico, permitindo que os administradores de TI gerenciem o uso de IMEs do sistema, que geralmente são fornecidos pelo fabricante ou operadora do dispositivo.
4.13.1. Os administradores de TI podem configurar uma lista de permissões de IME de tamanho arbitrário (exceto uma lista vazia, que bloqueia todos os IMEs, incluindo os do sistema), que pode conter qualquer pacote de IME arbitrário.
- O console do EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação para os usuários aplicáveis.
4.13.2. Os EMMs precisam impedir que os administradores de TI configurem uma lista de permissões vazia, já que essa configuração bloqueia a configuração de todos os IMEs, incluindo os IMEs do sistema, no dispositivo.
4.13.3. Os EMMs precisam garantir que, se uma lista de permissões de IME não contiver IMEs do sistema, os IMEs de terceiros sejam instalados silenciosamente antes que a lista de permissões seja aplicada ao dispositivo.
4,14 Gerenciamento de serviços de acessibilidade
Os administradores de TI podem gerenciar quais serviços de acessibilidade podem ser permitidos nos dispositivos dos usuários. Embora os serviços de acessibilidade sejam ferramentas poderosas para usuários com deficiência ou que não conseguem interagir totalmente com o dispositivo, eles podem interagir com dados corporativos de maneiras que não estão em conformidade com a política corporativa. Esse recurso permite que os administradores de TI desativem qualquer serviço de acessibilidade que não seja do sistema.
4.14.1. Os administradores de TI podem configurar uma lista de permissões de serviços de acessibilidade de tamanho arbitrário (incluindo uma lista vazia, que bloqueia serviços que não sejam do sistema), que pode conter qualquer pacote de serviço de acessibilidade arbitrário. Quando aplicado a um perfil de trabalho, isso afeta o perfil pessoal e o de trabalho.
- O console pode sugerir serviços de acessibilidade conhecidos ou recomendados para serem incluídos na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação para os usuários aplicáveis.
4.15. Gerenciamento do Compartilhamento de local
Os administradores de TI podem impedir que os usuários compartilhem dados de local com apps no perfil de trabalho. Caso contrário, a configuração de localização para perfis de trabalho pode ser definida nas Configurações.
4.15.1. Os administradores de TI podem desativar os serviços de localização no perfil de trabalho.
4.16. Gerenciamento avançado do Compartilhamento de local
Os administradores de TI podem aplicar uma determinada configuração do Compartilhamento de local em um dispositivo gerenciado. Esse recurso pode garantir que apps corporativos sempre tenham acesso a dados de local de alta precisão. Esse recurso também pode garantir que a bateria extra não seja consumida, restringindo as configurações de localização ao modo de economia de bateria.
4.16.1. Os administradores de TI podem definir os serviços de localização do dispositivo em cada um dos seguintes modos:
- Alta precisão.
- Somente sensores, por exemplo, GPS, mas não incluindo a localização fornecida pela rede.
- Economia de bateria, o que limita a frequência de atualização.
- Desligado.
4.17. Gerenciamento da proteção contra redefinição de fábrica
Permite que os administradores de TI protejam os dispositivos da empresa contra roubos, garantindo que usuários não autorizados não possam redefinir os dispositivos para a configuração original. Se a proteção contra redefinição de fábrica introduz complexidades operacionais quando os dispositivos forem devolvidos à TI, os administradores de TI também poderão desativar totalmente a proteção.
4.17.1. Os administradores de TI podem impedir que os usuários redefinam o dispositivo para a configuração original nas Configurações.
4.17.2. Os administradores de TI podem especificar contas de desbloqueio corporativas autorizadas a provisionar dispositivos após uma redefinição para a configuração original.
- Essa conta pode ser vinculada a um indivíduo ou usada por toda a empresa para desbloquear dispositivos.
4.17.3. Os administradores de TI podem desativar a proteção contra redefinição de fábrica para dispositivos específicos.
4.17.4. Os administradores de TI podem iniciar uma exclusão remota do dispositivo que, opcionalmente, exclui os dados de proteção contra redefinição, removendo a proteção contra redefinição de fábrica no dispositivo redefinido.
4.18. Controle avançado de apps
Os administradores de TI podem impedir que o usuário desinstale ou modifique apps gerenciados nas Configurações, por exemplo, forçando o fechamento do app ou limpando o cache de dados de um app.
4.18.1. Os administradores de TI podem bloquear a desinstalação de qualquer app gerenciado arbitrário ou de todos os apps gerenciados.
4.18.2. Os administradores de TI podem impedir que os usuários modifiquem dados do aplicativo nas Configurações.
4.19. Gerenciamento de captura de tela
Os administradores de TI podem impedir que os usuários façam capturas de tela ao usar apps gerenciados. Essa configuração inclui o bloqueio de apps de compartilhamento de tela e apps semelhantes (como o Google Assistente) que usam os recursos de captura de tela do sistema.
4.19.1. Os administradores de TI podem impedir que os usuários capturem capturas de tela.
4.20. Desativar câmeras
Os administradores de TI podem desativar o uso de câmeras de dispositivos por apps gerenciados.
4.20.1. Os administradores de TI podem desativar o uso de câmeras de dispositivos por apps gerenciados.
4.21. Coleta de estatísticas da rede
Os administradores de TI podem consultar estatísticas de uso de rede no perfil de trabalho de um dispositivo. As estatísticas coletadas refletem os dados de uso compartilhados com os usuários na seção Uso de dados das Configurações. As estatísticas coletadas são aplicáveis ao uso de apps no perfil de trabalho.
4.21.1. Os administradores de TI podem consultar o resumo das estatísticas de rede de um perfil de trabalho, para um determinado dispositivo e uma janela de tempo configurável, e conferir esses detalhes no console do EMM.
4.21.2. Os administradores de TI podem consultar um resumo de um app nas estatísticas de uso de rede do perfil de trabalho para um determinado dispositivo e janela de tempo configurável e conferir esses detalhes organizados por UID no console do EMM.
4.21.3. Os administradores de TI podem consultar os dados históricos de uso de rede de um perfil de trabalho para um determinado dispositivo e uma janela de tempo configurável e conferir esses detalhes organizados por UID no console do EMM.
4.22. Coleta de estatísticas de rede avançadas
Os administradores de TI podem consultar estatísticas de uso de rede de um dispositivo gerenciado inteiro. As estatísticas coletadas refletem os dados de uso compartilhados com os usuários na seção Uso de dados das Configurações. As estatísticas coletadas são aplicáveis ao uso de apps no dispositivo.
4.22.1. Os administradores de TI podem consultar o resumo das estatísticas de rede de um dispositivo inteiro para um determinado dispositivo e janela de tempo configurável e conferir esses detalhes no console do EMM.
4.22.2. Os administradores de TI podem consultar um resumo das estatísticas de uso de rede de apps para um determinado dispositivo e uma janela de tempo configurável e conferir esses detalhes organizados por UID no console do EMM.
4.22.3. Os admins de TI podem consultar a rede usando dados históricos para um determinado dispositivo e período configurável e conferir esses detalhes organizados pelo UID no console do EMM.
4.23. Reinicializar o dispositivo.
Os administradores de TI podem reiniciar remotamente os dispositivos gerenciados.
4.23.1. Os administradores de TI podem reiniciar remotamente um dispositivo gerenciado.
4.24. Gerenciamento de rádio do sistema
Permite o gerenciamento granular de administradores de TI sobre rádios de rede do sistema e políticas de uso associadas.
4.24.1. Os administradores de TI podem desativar transmissões de celular enviadas por provedores de serviços (por exemplo, alertas AMBER).
4.24.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel nas Configurações.
4.24.3. Os administradores de TI podem impedir que os usuários redefinam as configurações de rede nas Configurações.
4.24.4. Os administradores de TI podem permitir ou não ativar dados móveis durante o roaming.
4.24.5. Os administradores de TI podem definir se o dispositivo pode fazer chamadas telefônicas, exceto chamadas de emergência.
4.24.6. Os administradores de TI podem definir se o dispositivo pode enviar e receber mensagens de texto .
4.24.7. Os administradores de TI podem impedir que os usuários usem o dispositivo como ponto de acesso portátil por tethering.
4.24.8. Os administradores de TI podem definir o tempo limite do Wi-Fi como padrão, apenas enquanto estiver conectado ou nunca.
4.24.9. Os administradores de TI podem impedir que os usuários configurem ou modifiquem conexões Bluetooth atuais.
4.25. Gerenciamento de áudio do sistema
Os administradores de TI podem gerenciar silenciosamente os recursos de áudio do dispositivo, incluindo desativar o som do dispositivo, impedir que os usuários alterem as configurações de volume e impeçam os usuários de ativar o som do microfone do dispositivo.
4.25.1. Os administradores de TI podem ignorar dispositivos gerenciados silenciosamente.
4.25.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de volume do dispositivo.
4.25.3. Os administradores de TI podem impedir que os usuários desativem o microfone do dispositivo.
4.26. Gerenciamento do relógio do sistema
Os administradores de TI podem gerenciar as configurações de relógio e fuso horário do dispositivo e impedir que os usuários modifiquem as configurações automáticas do dispositivo.
4.26.1. Os administradores de TI podem forçar o horário automático do sistema, impedindo que o usuário defina a data e a hora do dispositivo.
4.26.2. Os administradores de TI podem desativar ou ativar silenciosamente o horário automático e o fuso horário automático.
4.27. Recursos avançados de dispositivos dedicados
Permite que os administradores de TI gerenciem recursos de dispositivo dedicados mais granulares para oferecer suporte a vários casos de uso de quiosques.
4.27.1. Os administradores de TI podem desativar o bloqueio de teclado do dispositivo.
4.27.2. Os administradores de TI podem desativar a barra de status do dispositivo, bloqueando notificações e as Configurações rápidas.
4.27.3. Os administradores de TI podem forçar a tela do dispositivo a permanecer ativa enquanto o dispositivo está conectado.
4.27.4. Os administradores de TI podem impedir a exibição das seguintes interfaces do sistema:
- Avisos
- Sobreposições de aplicativos.
4.27.5. Os administradores de TI podem permitir que a recomendação do sistema para apps ignore o tutorial do usuário e outras dicas introdutórias na primeira inicialização.
4.28. Gerenciamento de escopo delegado
Os administradores de TI podem delegar privilégios extras para pacotes individuais.
4.28.1. Os administradores de TI podem gerenciar os seguintes escopos:
- Instalação e gerenciamento de certificados
- Deliberadamente em branco
- Registro de rede
- Registro de segurança: não é compatível com o perfil de trabalho em dispositivos pessoais.
4,29. Suporte a IDs específicos da inscrição
A partir do Android 12, os perfis de trabalho não terão mais acesso a identificadores específicos de hardware. Os administradores de TI podem acompanhar o ciclo de vida de um dispositivo com um perfil de trabalho pelo ID específico de registro, que é mantido após redefinições para a configuração original.
4.29.1. Os administradores de TI podem definir e receber um ID específico ao registro.
4.29.2. Esse ID específico de registro precisa ser mantido após uma redefinição para a configuração original
5. Usabilidade do dispositivo
5.1. Personalização do provisionamento gerenciado
Os administradores de TI podem modificar a UX do fluxo de configuração padrão para incluir recursos específicos da empresa. Opcionalmente, os administradores de TI podem exibir o branding fornecido pelo EMM durante o provisionamento.
5.1.1. Os administradores de TI podem personalizar o processo de provisionamento especificando os seguintes detalhes específicos da empresa: cor da empresa, logotipo da empresa, termos de serviço da empresa e outras exonerações de responsabilidade.
5.1.2. Os administradores de TI podem implantar uma personalização não configurável específica para EMM que inclui os seguintes detalhes: cor do EMM, logotipo do EMM, termos de serviço do EMM e outras isenções de responsabilidade.
O uso da versão 5.1.3 [primaryColor] foi descontinuado para o recurso corporativo no
Android 10 e versões mais recentes.
- Os EMMs precisam incluir os Termos de Serviço de provisionamento e outras exonerações de responsabilidade para o fluxo de provisionamento no pacote de exonerações de responsabilidade de provisionamento do sistema, mesmo que a personalização específica do EMM não seja usada.
- Os EMMs podem definir a personalização não configurável e específica do EMM como padrão para todas as implantações, mas precisam permitir que os administradores de TI configurem a própria personalização.
5.2. Personalização empresarial
Os administradores de TI podem personalizar aspectos do perfil de trabalho com branding corporativo. Por exemplo, os administradores de TI podem definir o ícone do usuário no perfil de trabalho como o logotipo da empresa. Outro exemplo é configurar a cor de plano de fundo do desafio de trabalho.
5.2.1. Os administradores de TI podem definir a cor da organização para ser usada como a cor de plano de fundo do desafio de trabalho.
5.2.2. Os administradores de TI podem definir o nome de exibição do perfil de trabalho.
5.2.3. Os administradores de TI podem definir o ícone do usuário do perfil de trabalho.
5.2.4. Os administradores de TI podem impedir que o usuário modifique o ícone de usuário do perfil de trabalho.
5.3. Personalização empresarial avançada
Os administradores de TI podem personalizar dispositivos gerenciados com o branding corporativo. Por exemplo, os administradores de TI podem definir o ícone do usuário principal como o logotipo corporativo ou definir o plano de fundo do dispositivo.
5.3.1. Os administradores de TI podem definir o nome de exibição do dispositivo gerenciado.
5.3.2. Os administradores de TI podem definir o ícone do usuário do dispositivo gerenciado.
5.3.3. Os administradores de TI podem impedir que o usuário modifique o ícone de usuário do dispositivo .
5.3.4. Os administradores de TI podem definir o plano de fundo do dispositivo.
5.3.5. Os administradores de TI podem impedir que o usuário modifique o plano de fundo do dispositivo.
5.4. Mensagens na tela de bloqueio
Os administradores de TI podem definir uma mensagem personalizada que é sempre exibida na tela de bloqueio do dispositivo e não exige que o dispositivo seja desbloqueado para ser lida.
5.4.1. Os administradores de TI podem definir uma mensagem personalizada na tela de bloqueio.
5.5. Gerenciamento da transparência da política
Os administradores de TI podem personalizar o texto de ajuda fornecido aos usuários quando eles modificam as configurações gerenciadas no dispositivo ou implantam uma mensagem de suporte genérica fornecida pelo EMM. As mensagens de suporte curtas e longas podem ser personalizadas. Essas mensagens são exibidas em casos como a tentativa de desinstalar um app gerenciado que um administrador de TI já bloqueou.
5.5.1. Os administradores de TI personalizam as mensagens de suporte curtas e longas.
5.5.2. Os administradores de TI podem implantar mensagens de suporte curtas e longas não configuráveis específicas para EMM.
- A EMM pode definir as mensagens de suporte não configuráveis e específicas da EMM como padrão para todas as implantações, mas precisa permitir que os administradores de TI configurem as próprias mensagens.
5.6. Gerenciamento de contatos entre perfis
Os administradores de TI podem controlar quais dados de contato podem sair do perfil de trabalho. Os apps de telefonia e de mensagens (SMS) precisam ser executados no perfil pessoal e exigem acesso aos dados de contato do perfil de trabalho para oferecer eficiência aos contatos de trabalho, mas os administradores podem desativar esses recursos para proteger os dados de trabalho.
5.6.1. Os administradores de TI podem desativar a pesquisa de contatos entre perfis para apps pessoais que usam o provedor de contatos do sistema.
5.6.2. Os administradores de TI podem desativar a pesquisa de identificação de chamadas entre perfis para apps de discador pessoal que usam o provedor de contatos do sistema.
5.6.3. Os administradores de TI podem desativar o compartilhamento de contatos por Bluetooth com dispositivos Bluetooth que usam o provedor de contatos do sistema, por exemplo, chamadas viva-voz em carros ou fones de ouvido.
5,7. Gerenciamento de dados entre perfis
Permite que os administradores de TI gerenciem quais dados podem sair do perfil de trabalho, além dos recursos de segurança padrão desse perfil. Com esse recurso, os administradores de TI podem permitir o compartilhamento de dados entre perfis para melhorar a usabilidade em casos de uso importantes. Os administradores de TI também podem proteger ainda mais os dados corporativos com mais bloqueios.
5.7.1. Os administradores de TI podem configurar filtros de intent entre perfis para que os apps pessoais possam resolver intents do perfil de trabalho, como intents de compartilhamento ou links da Web.
- O console pode sugerir filtros de intent conhecidos ou recomendados para configuração, mas não pode restringir filtros de intent a qualquer lista arbitrária.
5.7.2. Os administradores de TI podem permitir apps gerenciados que podem exibir widgets na tela inicial.
- O console de EMM precisa permitir que os administradores de TI escolham na lista de apps que estão disponíveis para instalação para os usuários aplicáveis.
5.7.3. Os administradores de TI podem bloquear o uso de copiar/colar entre os perfis de trabalho e pessoal.
5.7.4. Os administradores de TI podem impedir que os usuários compartilhem dados do perfil de trabalho usando feixe NFC.
5.7.5. Os administradores de TI podem permitir que apps pessoais abram links da Web no perfil de trabalho.
5.8. Política de atualização do sistema
Os administradores de TI podem configurar e aplicar atualizações do sistema over the air (OTA) para dispositivos.
5.8.1. O console da EMM permite que os administradores de TI definam as seguintes configurações de OTA:
- Automático: os dispositivos instalam as atualizações OTA quando elas ficam disponíveis.
- Adiar: os administradores de TI precisam poder adiar a atualização OTA por até 30 dias. Esta política não afeta atualizações de segurança (por exemplo, patches de segurança mensais).
- Janelado: os administradores de TI precisam programar atualizações OTA em uma janela de manutenção diária.
5.8.2. O DPC do EMM aplica configurações OTA aos dispositivos.
5,9. Gerenciamento do modo de bloqueio de atividade
Os administradores de TI podem bloquear um app ou um conjunto de apps na tela e garantir que os usuários não possam sair do app.
5.9.1. O console da EMM permite que administradores de TI permitam silenciosamente que um conjunto arbitrário de apps seja instalado e bloqueado em um dispositivo. O DPC do EMM permite o modo de dispositivo dedicado.
5,10 Gerenciamento persistente de atividades preferidas
Permite que administradores de TI definam um app como o gerenciador de intent padrão para intents que correspondem a um determinado filtro de intent. Por exemplo, permitir que administradores de TI escolham qual app de navegador abre links da Web automaticamente ou qual app de inicialização é usado ao tocar no botão de início.
5.10.1. Os administradores de TI podem definir qualquer pacote como o gerenciador de intents padrão para qualquer filtro de intent arbitrário.
- O console do EMM pode sugerir intents conhecidas ou recomendadas para configuração, mas não pode restringir intents a nenhuma lista arbitrária.
- O console da EMM precisa permitir que os administradores de TI escolham na lista de apps que podem ser instalados para os usuários aplicáveis.
5.11. Gerenciamento de recursos da tela de bloqueio
- agentes de confiança
- desbloqueio com impressão digital
- notificações não excluídas
5.11.2. O DPC do EMM pode desativar os seguintes recursos de proteção de teclado no perfil de trabalho:
- agentes de confiança
- desbloqueio com impressão digital
5,12. Gerenciamento avançado de recursos de bloqueio de tela
- Câmera segura
- Todas as notificações
- Notificações não excluídas
- Agentes de confiança
- Desbloqueio por impressão digital
- Todos os recursos do teclado de bloqueio
5.13. Depuração remota
Os administradores de TI podem recuperar recursos de depuração de dispositivos sem etapas extras.
5.13.1. Os administradores de TI podem solicitar remotamente relatórios de bugs, acessar relatórios de bugs no console do EMM e fazer o download de relatórios de bugs no console do EMM.
5.14. Recuperação de endereço MAC
Os EMMs podem buscar silenciosamente o endereço MAC de um dispositivo. O endereço MAC pode ser usado para identificar dispositivos em outras partes da infraestrutura corporativa, por exemplo, ao identificar dispositivos para controle de acesso à rede.
5.14.1. O EMM pode extrair silenciosamente o endereço MAC de um dispositivo e associá-lo ao dispositivo no console do EMM.
5.15. Gerenciamento avançado do modo de bloqueio de atividade
Quando um dispositivo é configurado como dedicado, os administradores de TI podem usar o console do EMM para realizar as seguintes tarefas:
5.15.1. Permitir silenciosamente que um único app seja bloqueado em um dispositivo usando o DPC do EMM.
5.15.2. Ative ou desative os seguintes recursos da IU do sistema usando o DPC do EMM:
- Botão "Início"
- Visão geral
- Ações globais
- Notificações
- Informações do sistema / barra de status
- Bloqueio do teclado (tela de bloqueio)
5.15.3. Desative as caixas de diálogo de erro do sistema usando o DPC do EMM.
5,16 Política de atualização avançada do sistema
Os administradores de TI podem bloquear as atualizações do sistema em um dispositivo por um período de congelamento especificado.
5.16.1. O DPC do EMM pode aplicar atualizações do sistema OTA (over-the-air) aos dispositivos por um período de congelamento especificado.
5.17. Gerenciamento da transparência da política do perfil de trabalho
Os administradores de TI podem personalizar a mensagem exibida aos usuários ao remover o perfil de trabalho de um dispositivo.
5.17.1. Os administradores de TI podem fornecer um texto personalizado para exibição quando um perfil de trabalho for excluído permanentemente.
5,18. Suporte a apps conectados
Os administradores de TI podem definir uma lista de pacotes que podem se comunicar pelo limite do perfil de trabalho.
5.19. Atualizações manuais do sistema
Os administradores de TI podem instalar manualmente uma atualização do sistema fornecendo um caminho.
6. Suspensão de uso do administrador do dispositivo
6.1. Descontinuação do administrador do dispositivo
Os EMMs precisam publicar um plano até o final de 2022, encerrando o suporte ao cliente para Device Admin em dispositivos GMS até o final do primeiro trimestre de 2023.
7. Uso da API
7.1. Controlador de políticas padrão para novas vinculações
Por padrão, os dispositivos precisam ser gerenciados usando o Android Device Policy para qualquer nova vinculação. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado em uma área de configurações sob o título "Avançado" ou terminologia semelhante. Novos clientes não podem ser expostos a uma escolha arbitrária entre pilhas de tecnologia durante nenhum fluxo de trabalho de integração ou configuração.
7.2. Controlador de política padrão para novos dispositivos
Por padrão, os dispositivos precisam ser gerenciados usando o Android Device Policy para todos os novos registros de dispositivos, tanto para vinculações novas quanto existentes. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado em uma área de configurações com o título 'Avançado' ou terminologia semelhante.