На этой странице представлен полный набор функций Android Enterprise.
Если вы планируете управлять более чем 500 устройствами, ваше решение EMM должно поддерживать все стандартные функции ( ) как минимум одного набора решений, прежде чем оно станет коммерчески доступным. Решения EMM, прошедшие проверку стандартных функций, перечислены в каталоге корпоративных решений Android как предлагающие стандартный набор управления .
Для каждого набора решений доступен дополнительный набор расширенных функций. Эти функции обозначены на странице каждого набора решений: рабочий профиль на личном устройстве , рабочий профиль на корпоративном устройстве , полностью управляемое устройство и выделенное устройство . Решения EMM, прошедшие проверку расширенных функций, указаны в каталоге корпоративных решений Android как предлагающие расширенный набор управления .
Ключ
| стандартная функция | расширенная функция | дополнительная функция | неприменимо |
1. Подготовка устройства
1.1. Подготовка рабочего профиля DPC-first
Вы можете подготовить рабочий профиль после загрузки DPC EMM из Google Play.
1.1.1. DPC EMM должен быть доступен публично в Google Play, чтобы пользователи могли установить DPC на персональную часть устройства.
1.1.2. После установки DPC должен провести пользователя через процесс подготовки рабочего профиля.
1.1.3. После завершения подготовки на персональной стороне устройства не должно оставаться никаких управляющих элементов .
- Любые политики, примененные во время подготовки, должны быть удалены.
- Привилегии приложения должны быть отозваны.
- DPC EMM должен быть, как минимум, отключен на персональной стороне устройства.
1.2. Подготовка устройства DPC-идентификатора
ИТ-администраторы могут подготовить полностью управляемое или выделенное устройство с использованием идентификатора DPC («afw#») в соответствии с рекомендациями по реализации, определенными в документации для разработчиков API Play EMM .
1.2.1. Код DPC для EMM должен быть доступен в Google Play. Код DPC должен быть доступен для установки через мастер настройки устройства путем ввода идентификатора, специфичного для DPC.
1.2.2. После установки ЦОД EMM должен провести пользователя через процесс подготовки полностью управляемого или выделенного устройства.
1.3. Подготовка NFC-устройства
Теги NFC могут использоваться ИТ-администраторами для подготовки новых или сброшенных до заводских настроек устройств в соответствии с рекомендациями по внедрению, изложенными в документации для разработчиков API Play EMM .
1.3.1. Устройства EMM должны использовать метки NFC Forum Type 2 с объёмом памяти не менее 888 байт. Для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство должны использоваться дополнительные функции. Регистрационные данные не должны содержать конфиденциальной информации, такой как пароли или сертификаты.
1.3.2. После того, как DPC EMM назначает себя владельцем устройства, DPC должен немедленно открыться и заблокироваться на экране до полной настройки устройства. 1.3.3. Мы рекомендуем использовать NFC-метки для Android 10 и более поздних версий в связи с прекращением поддержки технологии NFC Beam (также известной как NFC Bump).
1.4. Подготовка устройства с помощью QR-кода
ИТ-администраторы могут использовать новое или сброшенное до заводских настроек устройство для сканирования QR-кода, сгенерированного консолью EMM, для подготовки устройства к работе в соответствии с рекомендациями по реализации, изложенными в документации для разработчиков API Play EMM .
1.4.1. QR-код должен использовать дополнительные функции для передачи устройству неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации. Регистрационные данные не должны содержать конфиденциальную информацию, такую как пароли или сертификаты.
1.4.2. После того, как центр обработки данных (ЦОД) EMM настроит устройство, ЦОД должен немедленно открыться и зафиксироваться на экране до полной настройки устройства.
1.5. Регистрация без участия пользователя
ИТ-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров , и управлять ими с помощью консоли EMM.
1.5.1. ИТ-администраторы могут подготовить принадлежащие компании устройства, используя метод автоматической регистрации, описанный в разделе «Автоматическая регистрация для ИТ-администраторов» .
1.5.2. При первом включении устройства оно автоматически загружается в соответствии с настройками, заданными системным администратором.
1.6. Расширенная автоматическая настройка
ИТ-администраторы могут автоматизировать большую часть процесса регистрации устройств, используя регистрационные данные DPC с помощью автоматической регистрации. DPC EMM поддерживает ограничение регистрации определенными учетными записями или доменами в соответствии с параметрами конфигурации, предлагаемыми EMM.
1.6.1. ИТ-администраторы могут подготовить принадлежащее компании устройство, используя метод автоматической регистрации, описанный в разделе «Автоматическая регистрация для ИТ-администраторов» .
1.6.2. После того, как DPC EMM настроит устройство, DPC EMM должен немедленно открыться и зафиксироваться на экране до полной настройки устройства.
- Это требование не применяется к устройствам, которые используют данные регистрации с нулевым уровнем участия для полной автоматической настройки (например, при развертывании выделенного устройства).
1.6.3. Используя регистрационные данные, центр обработки данных (ЦОД) EMM должен гарантировать, что неавторизованные пользователи не смогут выполнить активацию после вызова ЦОД. Как минимум, активация должна быть ограничена пользователями конкретного предприятия.
1.6.4. Используя регистрационные данные, центр обработки данных EMM должен предоставлять ИТ-администраторам возможность предварительного заполнения регистрационных данных (например, идентификаторов серверов, идентификаторов регистрации), а также уникальной информации о пользователе или устройстве (например, имени пользователя/пароля, токена активации), чтобы пользователям не приходилось вводить данные при активации устройства.
- EMM не должны включать конфиденциальную информацию, такую как пароли или сертификаты, в конфигурацию автоматической регистрации.
1.7. Подготовка рабочего профиля аккаунта Google
Для предприятий, использующих управляемый домен Google , эта функция помогает пользователям настроить рабочий профиль после ввода учётных данных корпоративного Workspace во время настройки устройства или на уже активированном устройстве. В обоих случаях корпоративный идентификатор Workspace будет перенесён в рабочий профиль.
1.7.1. Метод подготовки учетной записи Google обеспечивает рабочий профиль в соответствии с определенными рекомендациями по реализации .
1.8. Подготовка устройства к использованию аккаунта Google
Для предприятий, использующих Workspace, эта функция помогает пользователям установить DPC для EMM после ввода корпоративных учётных данных Workspace при первоначальной настройке устройства. После установки DPC завершает настройку корпоративного устройства.
1.8.1. Метод подготовки учетной записи Google предусматривает подготовку устройства, принадлежащего компании, в соответствии с определенными руководящими принципами реализации .
1.8.2. Если EMM не может однозначно идентифицировать устройство как корпоративный ресурс, оно не может подготовить устройство без запроса в процессе подготовки. Этот запрос должен выполнять действие, отличное от действия по умолчанию, например, устанавливать флажок или выбирать пункт меню, отличный от заданного по умолчанию. Рекомендуется, чтобы EMM мог идентифицировать устройство как корпоративный ресурс, чтобы запрос не требовался.
1.9. Прямая конфигурация с нулевым уровнем прикосновения
ИТ-администраторы могут использовать консоль EMM для настройки устройств с нулевым уровнем сенсорного ввода с помощью iframe с нулевым уровнем сенсорного ввода .
1.10. Рабочие профили на корпоративных устройствах
EMM могут регистрировать принадлежащие компании устройства, имеющие рабочий профиль.
1.10.1. Намеренно пустой.
1.10.2. ИТ-администраторы могут устанавливать действия по обеспечению соответствия для рабочих профилей на корпоративных устройствах.
1.10.3. ИТ-администраторы могут отключить камеру либо в рабочем профиле, либо на всем устройстве.
1.10.4. ИТ-администраторы могут отключить захват экрана как в рабочем профиле, так и на всем устройстве.
1.10.5. ИТ-администраторы могут составить список приложений, которые нельзя установить в личном профиле.
1.10.6. ИТ-администраторы могут отказаться от управления устройством, принадлежащим компании, удалив рабочий профиль или удалив все данные с устройства.
1.11. Выделенное устройство для подготовки
ИТ-администраторы могут регистрировать выделенные устройства без необходимости аутентификации пользователя с помощью учетной записи Google.
2. Безопасность устройства
2.1. Проблема безопасности устройства
ИТ-администраторы могут устанавливать и применять проверку безопасности устройства (PIN-код/шаблон/пароль) из трех предопределенных уровней сложности на управляемых устройствах.
2.1.1. Политика должна обеспечивать соблюдение настроек, управляющих проблемами безопасности устройств (parentProfilePasswordRequirements для рабочего профиля, passwordRequirements для полностью управляемых и выделенных устройств).
2.1.2. Сложность пароля должна соответствовать следующим показателям сложности пароля:
- PASSWORD_COMPLEXITY_LOW - шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4 символов
- PASSWORD_COMPLEXITY_HIGH - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей и длиной не менее 8 символов или буквенные или буквенно-цифровые пароли длиной не менее 6 символов
2.2. Проблема безопасности труда
ИТ-администраторы могут устанавливать и применять отдельный запрос безопасности для приложений и данных в рабочем профиле, который имеет другие требования, чем запрос безопасности устройства (2.1.).
2.2.1. Политика должна обеспечивать проверку безопасности для рабочего профиля. По умолчанию ИТ-администраторы должны устанавливать ограничения только для рабочего профиля, если область действия не указана. ИТ-администраторы могут установить это ограничение для всего устройства, указав область действия (см. требование 2.1).
2.1.2. Сложность пароля должна соответствовать следующим показателям сложности пароля:
- PASSWORD_COMPLEXITY_LOW - шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4 символов
- PASSWORD_COMPLEXITY_HIGH - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей и длиной не менее 8 символов или буквенные или буквенно-цифровые пароли длиной не менее 6 символов
2.3. Расширенное управление паролем
2.3.1. Намеренно пустой.
2.3.2. Намеренно пустой.
2.3.3. Для каждого экрана блокировки, доступного на устройстве, можно установить следующие параметры жизненного цикла пароля:
- Намеренно пустой
- Намеренно пустой
- Максимальное количество неудачных паролей для стирания : определяет, сколько раз пользователи могут ввести неправильный пароль, прежде чем корпоративные данные будут удалены с устройства. ИТ-администраторы должны иметь возможность отключить эту функцию.
2.4. Управление интеллектуальным замком
ИТ-администраторы могут управлять тем, каким агентам доверия в функции Smart Lock Android разрешено разблокировать устройства. Они могут отключить определенные методы разблокировки, такие как доверенные устройства Bluetooth, распознавание лиц и голоса, или при желании полностью отключить эту функцию.
2.4.1. ИТ-администраторы могут отключать агенты доверия Smart Lock независимо для каждого экрана блокировки, доступного на устройстве.
2.4.2. ИТ-администраторы могут выборочно разрешать и настраивать агенты доверия Smart Lock , независимо для каждого экрана блокировки, доступного на устройстве, для следующих агентов доверия: Bluetooth, NFC, местоположение, лицо, распознавание тела и голос.
- ИТ-администраторы могут изменять доступные параметры конфигурации Trust Agent.
2.5. Протирание и блокировка
ИТ-администраторы могут использовать консоль EMM для удаленной блокировки и удаления рабочих данных с управляемого устройства.
2.5.1. ЦОД ЕММ должен блокировать устройства.
2.5.2. Центр обработки данных EMM должен стирать данные с устройств.
2.6. Обеспечение соблюдения требований
Если устройство не соответствует политикам безопасности, рабочие данные автоматически ограничиваются.
2.6.1. Политики безопасности, применяемые на устройстве, должны как минимум включать политику паролей.
2.7 Политики безопасности по умолчанию
EMM-системы должны по умолчанию применять указанные политики безопасности на устройствах, не требуя от ИТ-администраторов настройки или изменения каких-либо параметров в консоли EMM. EMM-системам рекомендуется (но не обязательно) не позволять ИТ-администраторам изменять состояние этих функций безопасности по умолчанию.
2.7.1. Центр обработки данных EMM должен блокировать установку приложений из неизвестных источников, включая приложения, установленные на персональной стороне любого устройства Android 8.0+ с рабочим профилем.
2.7.2. ЦОД ЕММ должен блокировать отладочные функции.
2.8 Политики безопасности для выделенных устройств
Выделенные устройства блокируются без возможности выхода для выполнения других действий.
2.8.1. DPC EMM должен по умолчанию отключать загрузку в безопасном режиме.
2.8.2. Панель управления ЕММ должна быть открыта и заблокирована на экране сразу же после первой загрузки во время подготовки к работе, чтобы исключить любое другое взаимодействие с устройством.
2.8.3. DPC EMM должен быть установлен в качестве средства запуска по умолчанию, чтобы гарантировать, что разрешенные приложения будут закреплены на экране при загрузке, в соответствии с определенными рекомендациями по реализации .
2.9. Поддержка честности игры
EMM использует API Play Integrity для подтверждения того, что устройства являются допустимыми устройствами Android.
2.9.1. DPC EMM реализует API Play Integrity во время подготовки и по умолчанию завершает подготовку устройства с корпоративными данными только в том случае, если возвращаемая целостность устройства соответствует уровню MEETS_STRONG_INTEGRITY .
2.9.2. Центр обработки данных (DPC) EMM будет выполнять повторную проверку целостности воспроизведения каждый раз при подключении устройства к серверу EMM. Эта проверка настраивается системным администратором. Сервер EMM проверит информацию APK в ответе проверки целостности и сам ответ перед обновлением корпоративной политики на устройстве.
2.9.3. ИТ-администраторы могут настраивать различные ответные меры политики на основе результатов проверки целостности воспроизведения, включая блокировку предоставления услуг, удаление корпоративных данных и разрешение продолжения регистрации.
- Служба EMM будет применять этот ответ политики к результату каждой проверки целостности.
2.9.4. Если первоначальная проверка целостности воспроизведения не удалась или вернула результат, не соответствующий строгой целостности, и если DPC EMM еще не вызвал EnsureWorkingEnvironment , то он должен сделать это и повторить проверку до завершения подготовки.
2.10. Проверка соблюдения правил приложений
ИТ-администраторы могут включить функцию «Проверка приложений» на устройствах. Функция «Проверка приложений» сканирует приложения на устройствах Android на наличие вредоносного ПО до и после их установки, гарантируя, что вредоносные приложения не смогут скомпрометировать корпоративные данные.
2.10.1. Центр обработки данных EMM должен по умолчанию включить функцию проверки приложений.
2.11 Поддержка прямой загрузки
Приложения не могут запускаться на устройствах Android 7.0+, которые только что были включены, пока устройство не будет предварительно разблокировано. Поддержка Direct Boot гарантирует, что DPC EMM всегда активен и способен применять политику, даже если устройство не разблокировано.
2.11.1. Центр обработки данных (ЦОД) EMM использует зашифрованное хранилище устройства для выполнения критически важных функций управления до расшифровки зашифрованного хранилища учетных данных ЦОД. Функции управления, доступные во время прямой загрузки, должны включать (но не ограничиваться):
- Очистка корпоративных данных , включая возможность очистки данных защиты от сброса настроек по умолчанию при необходимости.
2.11.2. Центр обработки данных EMM не должен раскрывать корпоративные данные, находящиеся в зашифрованном хранилище устройства.
2.11.3. EMM-устройства могут настроить и активировать токен для включения кнопки «Забыли пароль» на экране блокировки рабочего профиля. Эта кнопка используется для запроса у ИТ-администраторов безопасного сброса пароля рабочего профиля.
2.12 Управление безопасностью оборудования
ИТ-администраторы могут заблокировать аппаратные элементы корпоративного устройства, чтобы предотвратить потерю данных.
2.12.1. ИТ-администраторы могут запретить пользователям монтировать внешние физические носители на своих устройствах.
2.12.2. ИТ-администраторы могут запретить пользователям обмениваться данными со своих устройств с помощью NFC-датчика . Эта подфункция необязательна, поскольку функция NFC-датчика больше не поддерживается в Android 10 и более поздних версиях.
2.12.3. ИТ-администраторы могут запретить пользователям передавать файлы через USB со своих устройств.
2.13. Ведение журнала безопасности предприятия
ИТ-администраторы могут собирать данные об использовании устройств, которые затем анализируются и программно оцениваются на предмет вредоносного или рискованного поведения. Регистрируются такие действия, как активность Android Debug Bridge (adb), запуск приложений и разблокировка экрана.
2.13.1. ИТ-администраторы могут включить ведение журнала безопасности для определенных устройств, а DPC EMM должен иметь возможность автоматически извлекать как журналы безопасности , так и журналы безопасности до перезагрузки .
2.13.2. ИТ-администраторы могут просматривать журналы безопасности предприятия для заданного устройства и настраиваемого временного окна в консоли EMM.
2.13.3. ИТ-администраторы могут экспортировать журналы безопасности предприятия из консоли EMM.
3. Управление аккаунтами и приложениями
3.1. Корпоративная привязка
ИТ-администраторы могут привязать EMM к своей организации, разрешив EMM использовать управляемый Google Play для распространения приложений на устройства.
3.1.1. Администратор с существующим управляемым доменом Google может привязать свой домен к EMM.
3.1.2. Консоль EMM должна автоматически инициализировать и настроить уникальный ESA для каждого предприятия.
3.1.3. Отменить регистрацию предприятия с помощью API Play EMM .
3.1.4. Консоль EMM предлагает администратору ввести рабочий адрес электронной почты при регистрации на Android и не рекомендует использовать учетную запись Gmail.
3.1.5. EMM автоматически заполняет адрес электронной почты администратора в процессе регистрации на Android.
3.2. Подготовка управляемого аккаунта Google Play
EMM может автоматически создавать корпоративные учётные записи пользователей , называемые управляемыми учётными записями Google Play. Эти учётные записи идентифицируют управляемых пользователей и позволяют применять уникальные правила распространения приложений для каждого пользователя.
3.2.1. Центр обработки данных EMM может автоматически предоставлять и активировать управляемую учетную запись Google Play в соответствии с установленными правилами реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемая учетная запись Google Play типа
userAccountдолжна иметь однозначное соответствие с реальными пользователями в консоли EMM.
3.3. Подготовка учетной записи управляемого устройства Google Play
EMM может создавать и предоставлять управляемые учетные записи устройств Google Play. Учетные записи устройств поддерживают скрытую установку приложений из управляемого магазина Google Play и не привязаны к одному пользователю. Вместо этого учетная запись устройства используется для идентификации одного устройства и поддержки правил распространения приложений для каждого устройства в сценариях с выделенными устройствами.
3.3.1. Центр обработки данных EMM может автоматически предоставить и активировать управляемую учетную запись Google Play в соответствии с установленными правилами реализации . Для этого на устройстве необходимо добавить управляемую учетную запись Google Play типа deviceAccount .
3.4. Управление аккаунтом Google Play для устаревших устройств
EMM может автоматически предоставлять корпоративные учётные записи пользователей, называемые управляемыми учётными записями Google Play. Эти учётные записи идентифицируют управляемых пользователей и позволяют применять уникальные правила распространения приложений для каждого пользователя.
3.4.1. Центр обработки данных EMM может автоматически предоставлять и активировать управляемую учетную запись Google Play в соответствии с установленными правилами реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемая учетная запись Google Play типа
userAccountдолжна иметь однозначное соответствие с реальными пользователями в консоли EMM.
3.5. Тихое распространение приложений
ИТ-администраторы могут незаметно распространять рабочие приложения на устройствах пользователей без какого-либо взаимодействия с ними.
3.5.1. Консоль EMM должна использовать API Play EMM , чтобы позволить ИТ-администраторам устанавливать рабочие приложения на управляемые устройства.
3.5.2. Консоль EMM должна использовать API Play EMM , чтобы позволить ИТ-администраторам обновлять рабочие приложения на управляемых устройствах.
3.5.3. Консоль EMM должна использовать API Play EMM , чтобы позволить ИТ-администраторам удалять приложения на управляемых устройствах.
3.6. Управление конфигурацией
ИТ-администраторы могут просматривать и автоматически настраивать управляемые конфигурации или любое приложение, поддерживающее управляемые конфигурации.
3.6.1. Консоль EMM должна иметь возможность извлекать и отображать управляемые параметры конфигурации любого приложения Play.
- EMM могут вызвать
Products.getAppRestrictionsSchemaдля извлечения схемы управляемых конфигураций приложения или встроить фрейм управляемых конфигураций в свою консоль EMM.
3.6.2. Консоль EMM должна позволять ИТ-администраторам устанавливать любой тип конфигурации (как определено платформой Android) для любого приложения Play с использованием API Play EMM .
3.6.3. Консоль EMM должна позволять ИТ-администраторам задавать подстановочные знаки (например, $username$ или %emailAddress%), чтобы одну конфигурацию приложения, например Gmail, можно было применить к нескольким пользователям. iframe управляемой конфигурации автоматически поддерживает это требование.
3.7 Управление каталогом приложений
ИТ-администраторы могут импортировать список приложений, одобренных для их предприятия, из управляемого Google Play ( play.google.com/work ).
3.7.1. Консоль EMM может отображать список приложений, одобренных для распространения, включая:
- Приложения, купленные в управляемом Google Play
- Частные приложения, видимые ИТ-администраторам
- Программно одобренные приложения
3.8. Программное одобрение приложений
Консоль EMM использует управляемый iframe Google Play для поддержки функций обнаружения и одобрения приложений Google Play. ИТ-администраторы могут искать приложения, одобрять их и утверждать разрешения для новых приложений, не покидая консоль EMM.
3.8.1. ИТ-администраторы могут искать приложения и одобрять их в консоли EMM, используя управляемый iframe Google Play .
3.9. Базовое управление планировкой магазина
Управляемое приложение Google Play Store можно использовать на устройствах для установки и обновления рабочих приложений. По умолчанию отображается базовый макет магазина , в котором перечислены приложения, одобренные для предприятия, которые EMM-системы фильтруют по отдельным пользователям в соответствии с политикой.
3.9.1. ИТ-администраторы могут [управлять доступными пользователям наборами продуктов]/android/work/play/emm-api/samples#grant_a_user_access_to_apps), чтобы разрешить просмотр и установку приложений из управляемого магазина Google Play в разделе «Главная страница магазина».
3.10 Расширенная конфигурация планировки магазина
ИТ-администраторы могут настраивать макет магазина, отображаемый в управляемом приложении Google Play Store на устройствах.
3.10.1. ИТ-администраторы могут выполнять следующие действия в консоли EMM для настройки макета управляемого магазина Google Play :
- Создавайте до 100 страниц макета магазина. Страницы могут иметь произвольное количество локализованных названий.
- Создайте до 30 кластеров для каждой страницы. Кластеры могут иметь произвольное количество локализованных имён.
- Назначьте до 100 приложений в каждый кластер.
- Добавьте до 10 быстрых ссылок на каждую страницу.
- Укажите порядок сортировки приложений внутри кластера и кластеров внутри страницы.
3.11 Управление лицензиями приложений
ИТ-администраторы могут просматривать и управлять лицензиями приложений, приобретенными в управляемом Google Play, с консоли EMM.
3.11.1. Для платных приложений, одобренных для предприятия, консоль EMM должна отображать :
- Количество приобретенных лицензий.
- Количество использованных лицензий и пользователи, использующие эти лицензии.
- Количество лицензий, доступных для распространения.
3.11.2. ИТ-администраторы могут незаметно назначать лицензии пользователям, не требуя принудительной установки приложения на устройства пользователей.
3.11.3. ИТ-администраторы могут отменить назначение лицензии на приложение пользователю .
3.12. Управление частными приложениями, размещенными на платформе Google
ИТ-администраторы могут обновлять частные приложения, размещенные Google, через консоль EMM, а не через консоль Google Play.
3.12.1. ИТ-администраторы могут загружать новые версии приложений, которые уже опубликованы в частном порядке на предприятии, используя:
3.13. Управление собственными частными приложениями
ИТ-администраторы могут настраивать и публиковать собственные приложения. В отличие от приложений, размещаемых в Google, Google Play не размещает APK-файлы. Вместо этого EMM помогает ИТ-администраторам самостоятельно размещать APK-файлы и защищает собственные приложения, проверяя, что их установка возможна только с разрешения управляемого Google Play.
Подробную информацию ИТ-администраторы могут получить в разделе «Поддержка частных приложений» .
3.13.1. Консоль EMM должна помогать ИТ-администраторам размещать APK-файл приложения, предлагая обе из следующих возможностей:
- Размещение APK-файла на сервере EMM. Сервер может быть локальным или облачным.
- Размещение APK-файла вне сервера EMM осуществляется по усмотрению IT-администратора. IT-администратор должен указать в консоли EMM, где будет размещен APK-файл.
3.13.2. Консоль EMM должна генерировать соответствующий файл определения APK с использованием предоставленного APK и должна проводить ИТ-администраторов через процесс публикации.
3.13.3. ИТ-администраторы могут обновлять размещенные на собственном сервере частные приложения, а консоль EMM может в фоновом режиме публиковать обновленные файлы определений APK с помощью API публикации разработчиков Google Play .
3.13.4. Сервер EMM обслуживает только запросы на загрузку размещенного APK-файла, содержащего действительный JWT в cookie-файле запроса, что подтверждено открытым ключом закрытого приложения.
- Чтобы упростить этот процесс, сервер EMM должен предоставить ИТ-администраторам указания по загрузке открытого лицензионного ключа самостоятельно размещенного приложения из консоли Google Play и загрузке этого ключа в консоль EMM.
3.14. Уведомления о получении EMM
Вместо периодического обращения к Play для определения прошлых событий, таких как обновление приложения, содержащее новые разрешения или управляемые конфигурации, уведомления EMM заранее оповещают EMM о таких событиях в режиме реального времени, что позволяет EMM выполнять автоматизированные действия и предоставлять настраиваемые административные уведомления на основе этих событий.
3.14.1. EMM должен использовать уведомления EMM Play для извлечения наборов уведомлений .
3.14.2. Система EMM должна автоматически уведомлять ИТ-администратора (например, посредством автоматического электронного письма) о следующих событиях:
-
newPermissionEvent: требует, чтобы ИТ-администратор одобрил новые разрешения для приложения, прежде чем приложение можно будет незаметно установить или обновить на устройствах пользователей. -
appRestrictionsSchemaChangeEvent: может потребоваться, чтобы ИТ-администратор обновил управляемую конфигурацию приложения для поддержания предполагаемой эффективности. -
appUpdateEvent: может быть интересно ИТ-администраторам, которые хотят убедиться, что обновление приложения не влияет на производительность основного рабочего процесса. -
productAvailabilityChangeEvent: может повлиять на возможность установки приложения или получения обновлений приложения. -
installFailureEvent: Play не удаётся установить приложение на устройство в фоновом режиме. Это может указывать на то, что установка может быть связана с конфигурацией устройства. EMM-менеджерам не следует сразу же повторять попытку установки в фоновом режиме после получения этого уведомления, так как собственная логика повторных попыток Play уже не сработает.
3.14.3. EMM автоматически предпринимает соответствующие действия на основе следующих событий уведомления:
-
newDeviceEvent: во время подготовки устройства EMM должны дождатьсяnewDeviceEvent, прежде чем выполнять последующие вызовы API Play EMM для нового устройства, включая скрытую установку приложений и настройку управляемых конфигураций. -
productApprovalEvent: при получении уведомленияproductApprovalEventсистема EMM должна автоматически обновить список одобренных приложений, импортированных в консоль EMM для распространения на устройства, если есть активный сеанс ИТ-администрирования или если список одобренных приложений не перезагружается автоматически в начале каждого сеанса ИТ-администрирования.
3.15 Требования к использованию API
EMM реализует API Google в необходимом масштабе, избегая моделей трафика, которые могут негативно повлиять на способность ИТ-администраторов управлять приложениями в производственных средах.
3.15.1. EMM должен соблюдать ограничения на использование API Play EMM . Неисправление поведения, выходящего за эти рамки, может привести к приостановке использования API по усмотрению Google.
3.15.2. Система EMM должна распределять трафик от разных предприятий в течение дня, а не консолидировать его в определённое или схожее время. Действия, соответствующие этой схеме трафика, например, запланированные пакетные операции для каждого зарегистрированного устройства, могут привести к приостановке использования API по усмотрению Google.
3.15.3. Система EMM не должна отправлять однородные, неполные или заведомо неверные запросы, не направленные на получение или управление реальными корпоративными данными. Поведение, соответствующее этой модели трафика, может привести к приостановке использования API по усмотрению Google.
3.16 Расширенное управление конфигурацией
3.16.1. Консоль EMM должна иметь возможность извлекать и отображать управляемые параметры конфигурации (до четырёх уровней вложенности) любого приложения Play, используя:
- Управляемый Google Play iFrame , или
- индивидуальный пользовательский интерфейс.
3.16.2. Консоль EMM должна иметь возможность извлекать и отображать любые отзывы, возвращаемые каналом обратной связи приложения , если это настроено ИТ-администратором.
- Консоль EMM должна позволять ИТ-администраторам связывать конкретный элемент отзыва с устройством и приложением, с которого он был получен.
- Консоль EMM должна позволять ИТ-администраторам подписываться на оповещения или отчеты определенных типов сообщений (например, сообщения об ошибках).
3.16.3. Консоль EMM должна отправлять только те значения, которые либо имеют значение по умолчанию, либо установлены администратором вручную с помощью:
- Управляемые конфигурации iframe или
- Пользовательский интерфейс.
3.17 Управление веб-приложениями
ИТ-администраторы могут создавать и распространять веб-приложения в консоли EMM.
3.17.1. ИТ-администраторы могут использовать консоль EMM для распространения ярлыков веб-приложений с помощью:
3.18. Управление жизненным циклом аккаунта Google Play
EMM может создавать, обновлять и удалять управляемые учетные записи Google Play от имени ИТ-администраторов.
3.18.1. EMM могут управлять жизненным циклом управляемой учетной записи Google Play в соответствии с рекомендациями по реализации, изложенными в документации разработчика API Play EMM .
3.18.2. EMMs can reauthenticate managed Google Play Accounts without user interaction.
3.19 Управление отслеживанием заявок
3.19.1. IT admins can pull a list of track IDs set by a developer for a particular app.
3.19.2. IT admins can set devices to use a particular development track for an application.
3.20 Расширенное управление обновлениями приложений
3.20.1. IT admins can allow apps to use high-priority app updates to be updated when an update is ready.
3.20.2. IT admins can allow apps to have their app updates postponed for 90 days.
3.21 Управление методами обеспечения
EMM может генерировать конфигурации обеспечения и представлять их ИТ-администратору в форме, готовой для распространения среди конечных пользователей (например, QR-код, конфигурация с нулевым уровнем прикосновения, URL-адрес Play Store).
3.22. Обновление Enterprise-привязки
IT admins can upgrade the enterprise binding type to a managed Google Domain enterprise, allowing the organization to access Google Account services and features on enrolled devices.
3.22.1. The EMM console allows the IT admin to trigger the upgrade of an existing managed Google Play Accounts enterprise to a managed Google Domain enterprise using the requisite APIs .
3.22.2. EMMs should use Pub/Sub to receive notifications about IT admin-initiated upgrade events (even those occurring outside the EMM console) and update their UI to reflect these changes.
3.23. Управление аккаунтом Google
The EMM can provision a device with enterprise user accounts , called managed Google Accounts. These accounts identify managed users and allow app distribution rules, and allow access to Google services. IT admins can additionally set a policy to require managed Google Account authentication during or after enrollment.
3.23.1. The EMM's DPC can provision a managed Google Account according to the defined implementation guidelines .
In doing so:
- A managed Google Account is added to the device.
- The managed Google Account must have a 1 to 1 mapping with actual users in the EMM's console.
3.23.2. The IT admin can use the policy to provide users the option to sign in to a managed Google Account for enrollment.
3.23.3. The IT admin can use the policy to control whether the user is required to sign in to a managed Google Account to complete enrollment.
3.23.4. IT admins can optionally restrict the upgrade flow to a specific account identifier (email address) for a given device.
3.24. Обновление управляемого аккаунта Google Play
IT admins can upgrade the user account type to a managed Google Account , allowing the device to access Google Account services and features on enrolled devices.
3.24.1. IT admins can upgrade an existing managed Google Play Account on a device to a managed Google Account.
3.24.2. IT admins can optionally restrict the upgrade flow to a specific account identifier (email address) for a given device.
4. Управление устройствами
4.1. Управление политикой разрешений во время выполнения
ИТ-администраторы могут автоматически устанавливать ответ по умолчанию на запросы разрешений во время выполнения, сделанные рабочими приложениями.
4.1.1. IT admins must be able to choose from the following options when setting a default runtime permission policy for their organization:
- prompt (allows users to choose)
- позволять
- отрицать
The EMM should enforce these settings using the EMM's DPC .
4.2. Управление состоянием предоставления разрешений во время выполнения
After setting a default runtime permission policy (go to 4.1.), IT admins can silently set responses for specific permissions from any work app built on API 23 or higher.
4.2.1. IT admins must be able to set the grant state (default, grant, or deny) of any permission requested by any work app built on API 23 or higher. The EMM should enforce these settings using the EMM's DPC .
4.3. Управление конфигурацией Wi-Fi
IT admins can silently provision enterprise Wi-Fi configurations on managed devices, including:
4.3.1. SSID, using the EMM's DPC .
4.3.2. Password, using the EMM's DPC .
4.4 Управление безопасностью Wi-Fi
IT admins can provision enterprise Wi-Fi configurations on managed devices that include the following advanced security features:
4.4.1. Identity, using the EMM's DPC .
4.4.2. Certificate for clients authorization, using the EMM's DPC .
4.4.3. CA certificate(s), using the EMM's DPC .
4.5. Расширенное управление Wi-Fi
ИТ-администраторы могут заблокировать конфигурации Wi-Fi на управляемых устройствах, чтобы пользователи не могли создавать конфигурации или изменять корпоративные конфигурации.
4.5.1. IT admins can lock down corporate Wi-Fi configurations in either of the following configurations:
- Users cannot modify any Wi-Fi configurations provisioned by the EMM , but may add and modify their own user-configurable networks (for example personal networks).
- Users cannot add or modify any Wi-Fi network on the device , limiting Wi-Fi connectivity to just those networks provisioned by the EMM.
4.6 Управление аккаунтом
IT admins can verify that unauthorized corporate accounts can't interact with corporate data, for services such as SaaS storage and productivity apps, or email. Without this feature, personal accounts can be added to those corporate apps that also support consumer accounts, allowing them to share corporate data with those personal accounts.
4.6.1. IT admins can prevent adding or modifying accounts .
- When enforcing this policy on a device, EMMs must set this restriction before provisioning is complete, to ensure you cannot circumvent this policy by adding accounts before the policy is enacted.
4.7. Управление учетной записью рабочего пространства
Эта функция устарела. Требования к замене см. в разделе 3.23.
4.8 Управление сертификатами
Позволяет ИТ-администраторам развертывать сертификаты удостоверений и центры сертификации на устройствах для обеспечения доступа к корпоративным ресурсам.
4.8.1. IT admins can install user identity certs generated by their PKI on a per-user basis. The EMM's console must integrate with at least one PKI and distribute certificates generated from that infrastructure.
4.8.2. IT admins can install certificate authorities in the managed keystore.
4.9 Расширенное управление сертификатами
Allows IT admins to silently select the certificates that specific managed apps should use. This feature also grants IT admins the ability to remove CAs and identity certs from active devices. This feature prevents users from modifying credentials stored in the managed keystore.
4.9.1. For any app distributed to devices, IT admins can specify a certificate the app will be silently granted access to during runtime.
- Certificate selection must be generic enough to allow a single configuration that applies to all users, each of which may have a user-specific identity certificate.
4.9.2. IT admins can silently remove certificates from the managed keystore.
4.9.3. IT admins can silently uninstall a CA certificate , or all non-system CA certificates .
4.9.4. IT admins can prevent users from configuring credentials in the managed keystore.
4.9.5. IT admins can pre-grant certificates for work apps.
4.10. Делегированное управление сертификатами
ИТ-администраторы могут распространять стороннее приложение по управлению сертификатами на устройствах и предоставлять этому приложению привилегированный доступ для установки сертификатов в управляемое хранилище ключей.
4.10.1. IT admins specify a certificate management package to set as the delegated certificate management app by the DPC.
- Console may optionally suggest known certificate management packages, but must allow the IT admin to choose from the list of apps available for install, for applicable users.
4.11 Расширенное управление VPN
Allows IT admins to specify an Always On VPN to verify that the data from specified managed apps will always go through a set up VPN.
4.11.1. IT admins can specify an arbitrary VPN package to be set as an Always On VPN.
- The EMM's console may optionally suggest known VPN packages that support Always On VPN, but can't restrict the VPNs available for Always On configuration to any arbitrary list.
4.11.2. IT admins can use managed configurations to specify the VPN settings for an app.
4.12. Управление IME
IT admins can manage what input methods (IMEs) can be set up for devices. Since the IME is shared across both work and personal profiles, blocking use of IMEs will prevent allowing those IMEs for personal use as well. IT admins may not, however, block system IMEs on work profiles (go to advanced IME management for more details).
4.12.1. IT admins can set up an IME allowlist of arbitrary length (including an empty list, which blocks non-system IMEs), which may contain any arbitrary IME packages.
- The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.
4.12.2. The EMM must inform IT admins that system IMEs are excluded from management on devices with work profiles.
4.13 Расширенное управление IME
IT admins can manage what input methods (IMEs) can be set up for devices. Advanced IME management extends the basic feature by allowing IT admins to manage the use of system IMEs as well, which are typically provided by the device manufacturer or carrier of the device.
4.13.1. IT admins can set up an IME allowlist of arbitrary length (excluding an empty list, which blocks all IMEs including system IMEs), which may contain any arbitrary IME packages.
- The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.
4.13.2. EMMs must prevent IT admins from setting up an empty allowlist, as this setting will block all IMEs including system IMEs from being set up on the device.
4.13.3. EMMs must verify that if an IME allowlist does not contain system IMEs, the third-party IMEs are silently installed before the allowlist is applied on the device.
4.14 Управление службами доступности
IT admins can manage what accessibility services can be allowed on users' devices. While accessibility services are powerful tools for users with disabilities or those that are temporarily unable to fully interact with their device, they may interact with corporate data in ways that are non-compliant with corporate policy. This feature allows IT admins to turn off any non-system accessibility service.
4.14.1. IT admins can set up an accessibility service allowlist of arbitrary length (including an empty list, which blocks non-system accessibility services), which may contain any arbitrary accessibility service package. When applied to a work profile, this affects both the personal profile and the work profile.
- Console may optionally suggest known or recommended accessibility services to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.
4.15. Управление местоположением
IT admins can prevent users from sharing location data with apps in the work profile. Otherwise, the location setting for work profiles is configurable in Settings.
4.15.1. IT admins can disable location services within the work profile.
4.16 Расширенное управление местоположением
IT admins can enforce a given Location Sharing setting on a managed device. This feature can ensure that corporate apps always have access to high accuracy location data. This feature can also ensure that extra battery is not consumed by restricting location settings to battery saving mode.
4.16.1. IT admins can set the device location services to each of the following modes:
- High accuracy.
- Sensors only, for example GPS, but not including network-provided location.
- Battery saving, which limits the update frequency.
- Выключенный.
4.17. Управление защитой от сброса к заводским настройкам
Allows IT admins to protect company-owned devices from theft by ensuring unauthorized users can't factory reset devices. If factory reset protection introduces operational complexities when devices are returned to IT, IT admins can also turn off factory reset protection entirely.
4.17.1. IT admins can prevent users from factory resetting their device from Settings.
4.17.2. IT admins can specify corporate unlock accounts authorized to provision devices after a factory reset.
- This account can be tied to an individual, or used by the entire enterprise to unlock devices.
4.17.3. IT admins can disable factory reset protection for specified devices.
4.17.4. IT admins can start a remote device wipe that optionally wipes reset protection data , thus removing factory reset protection on the reset device.
4.18 Расширенное управление приложениями
IT admins can prevent the user from uninstalling or otherwise modifying managed apps through Settings, for example force closing the app or clearing an app's data cache.
4.18.1. IT admins can block uninstall of any arbitrary managed apps, or all managed apps .
4.18.2. IT admins can prevent users from modifying application data from Settings.
4.19 Управление снимками экрана
IT admins can block users from taking screenshots when using managed apps. This setting includes blocking screen sharing apps and similar apps (such as Google Assistant) that use the system screenshot capabilities.
4.19.1. IT admins can prevent users from capturing screenshots .
4.20 Отключить камеры
ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.
4.20.1. IT admins can turn off use of device cameras by managed apps.
4.21 Сбор сетевой статистики
IT admins can query network usage statistics from a device's work profile. The statistics collected reflect the usage data shared with users in the Data usage section of Settings. The collected statistics are applicable to usage of apps within the work profile.
4.21.1. IT admins can query the network statistics summary for a work profile , for a given device and configurable time window, and view these details in the EMM's console.
4.21.2. IT admins can query a summary of an app in the work profile's network use statistics , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.21.3. IT admins can query a work profile's network use historical data , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.22. Расширенный сбор сетевой статистики
IT admins can query network usage statistics for an entire managed device. The statistics collected reflect the use data shared with users in the Data Use section of Settings. The statistics collected are applicable to use of apps on the device.
4.22.1. IT admins can query the network statistics summary for an entire device , for a given device and configurable time window, and view these details in the EMM's console.
4.22.2. IT admins can query a summary of app network use statistics , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.22.3. IT admins can query the network use historical data , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.23 Перезагрузите устройство.
ИТ-администраторы могут удаленно перезапускать управляемые устройства.
4.23.1. IT admins can remotely reboot a managed device.
4.24. Управление радиосистемой
Allows IT admins granular management over system network radios and associated use policies.
4.24.1. IT admins can disable cell broadcasts sent by service providers (for example, AMBER alerts).
4.24.2. IT admins can prevent users from modifying mobile network settings in Settings .
4.24.3. IT admins can prevent users from resetting network settings in Settings .
4.24.4. IT admins can allow or disallow mobile data while roaming .
4.24.5. IT admins can set up whether the device can make outgoing phone calls , excluding emergency calls.
4.24.6. IT admins can set up whether the device can send and receive text messages .
4.24.7. IT admins can prevent users from using their device as a portable hotspot by tethering .
4.24.8. IT admins can set the Wi-Fi timeout to the default , only while plugged in , or never .
4.24.9. IT admins can prevent users from setting up or modifying existing Bluetooth connections .
4.25. Управление аудиосистемой
IT admins can silently manage device audio features, including muting the device, preventing users from changing volume settings, and preventing users from unmuting the device microphone.
4.25.1. IT admins can silently mute managed devices .
4.25.2. IT admins can prevent users from modifying device volume settings .
4.25.3. IT admins can prevent users from unmuting the device microphone .
4.26 Управление системными часами
ИТ-администраторы могут управлять настройками часов и часового пояса устройства, а также запрещать пользователям изменять автоматические настройки устройства.
4.26.1. IT admins can enforce system auto time , preventing the user from setting the date and time of the device.
4.26.2. IT admins can silently turn off or on both auto time and auto timezone .
4.27 Расширенные функции специализированного устройства
Provides IT admins with the ability to manage more granular dedicated device features to support various kiosk use cases.
4.27.1. IT admins can disable the device keyguard .
4.27.2. IT admins can turn off the device status bar , blocking notifications and Quick Settings.
4.27.3. IT admins can force the device screen to remain on while the device is plugged in.
4.27.4. IT admins can prevent the following system UIs from being displayed:
- Тосты
- Application overlays.
4.27.5. IT admins can allow the system recommendation for apps to skip their user tutorial and other introductory hints on first start-up.
4.28. Делегированное управление областью деятельности
ИТ-администраторы могут делегировать дополнительные привилегии отдельным пакетам.
4.28.1. IT admins can manage the following scopes:
- Certificate installation and management
- Deliberately blank
- Network logging
- Security logging (not supported for work profile on personally-owned device)
4.29 Поддержка идентификатора, специфичного для регистрации
Starting in Android 12, work profiles will no longer have access to hardware-specific identifiers. IT admins can follow the lifecycle of a device with a work profile through the enrollment-specific ID, which will persist through factory resets.
4.29.1. IT admins can set and obtain an enrollment-specific ID
4.29.2. This enrollment-specific ID must persist through a factory reset
4.30 Политика управления учетными данными
ИТ-администраторы могут управлять тем, какие приложения диспетчера учетных данных разрешены или заблокированы с помощью политики .
4.30.1 IT admins can optionally block all credential managers on the device (or within the work profile).
4.30.2 IT admins can specify allowing only pre-loaded (system apps) credential managers.
4.30.3 IT admins can specify a list of package names which are allowed to offer credential manager functionality.
4.31. Базовое управление eSIM
Позволяет ИТ-администраторам предоставлять устройству профиль eSIM и управлять его жизненным циклом на устройстве.
4.31.1 IT admins can silently provision an eSIM profile onto a device.
4.31.2 IT admins can delete managed eSIMs from a device.
4.31.3 IT admins can prevent users from modifying mobile network settings in Settings (go to mobileNetworksConfigDisabled ).
4.31.4 When an IT admin performs a remote wipe on a device or a work profile, they have the option to also remove the managed eSIMs from the device. By default, managed eSIMs are removed from work profiles on personally-owned devices, but retained on company-owned devices.
4.31.5 (OPTIONAL) IT admins can retrieve the EID (Embedded Identity Document) identifier of a device using the EMM console UI (or equivalent method) and export these values.
5. Удобство использования устройства
5.1. Настройка управляемого обеспечения
IT admins can modify the default setup flow UX to include enterprise-specific features. Optionally, IT admins can display EMM-provided branding during provisioning.
5.1.1. IT admins can customize the provisioning process by specifying the following enterprise-specific details: enterprise color , enterprise logo , enterprise terms of service and other disclaimers .
5.1.2. IT admins can deploy a non-configurable, EMM-specific customization that includes the following details: EMM color , EMM logo , EMM terms of service and other disclaimers .
5.1.3 [ primaryColor ] has been deprecated for the enterprise resource on Android 10 and higher.
- EMMs must include provisioning Terms of Service and other disclaimers for their provisioning flow in the system provisioning disclaimers bundle , even if the EMM-specific customization is not used.
- EMMs may set their non-configurable, EMM-specific customization as the default for all deployments, but must allow IT admins to set up their own customization.
5.2. Корпоративная настройка
IT admins can customize aspects of the work profile with corporate branding. For example, IT admins can set the user icon in the work profile to the corporate logo. Another example is setting up the background color of the work challenge.
5.2.1. IT admins can set the organization color , to be used as the background color of work challenge.
5.2.2. IT admins can set the display name of work profile .
5.2.3. IT admins can set the user icon of the work profile .
5.2.4. IT admins can prevent the user from modifying the work profile user icon .
5.3. Расширенная корпоративная настройка
IT admins can customize managed devices with corporate branding. For example, IT admins can set the primary user icon to the corporate logo, or set the device wallpaper.
5.3.1. IT admins can set the display name for the managed device .
5.3.2. IT admins can set the user icon of the managed device .
5.3.3. IT admins can prevent the user from modifying the device user icon .
5.3.4. IT admins can set the device wallpaper .
5.3.5. IT admins can prevent the user from modifying the device wallpaper .
5.4. Сообщения на экране блокировки
ИТ-администраторы могут настроить пользовательское сообщение, которое всегда будет отображаться на экране блокировки устройства и не потребует разблокировки устройства для просмотра.
5.4.1. IT admins can set a custom lock screen message .
5.5. Управление прозрачностью политики
ИТ-администраторы могут настраивать текст справки, отображаемый пользователям при изменении управляемых настроек на их устройствах, или использовать стандартное сообщение службы поддержки, предоставляемое EMM. Можно настраивать как короткие, так и длинные сообщения службы поддержки. Эти сообщения отображаются, например, при попытке удалить управляемое приложение, удаление которого уже заблокировано ИТ-администратором.
5.5.1. IT admins customize both the short and long support messages.
5.5.2. IT admins can deploy non-configurable, EMM-specific short and long support messages.
- EMM may set their non-configurable, EMM-specific support messages as the default for all deployments, but must allow IT admins to set up their own messages.
5.6 Управление межпрофильными контактами
IT admins can control what contact data can leave the work profile. Both telephony and messaging (SMS) apps must run in the personal profile, and require access to work profile contact data to offer efficiency for work contacts, but admins may choose to disable these features to protect work data.
5.6.1. IT admins can disable cross-profile contact search for personal apps that use the system contacts provider.
5.6.2. IT admins can disable cross-profile caller ID lookup for personal dialer apps that use the system contacts provider.
5.6.3. IT admins can disable bluetooth contact sharing with bluetooth devices that use the system contacts provider, for example hands-free calling in cars or headsets.
5.7 Управление кросс-профильными данными
Grants IT admins management over what data can leave the work profile, beyond the default security features of the work profile. With this feature, IT admins can allow select types of cross-profile data sharing to improve usability in key use cases. IT admins can also further protect corporate data with more lockdowns.
5.7.1. IT admins can configure cross-profile intent filters so that personal apps can resolve intent from the work profile such as sharing intents or web links.
- Console may optionally suggest known or recommended intent filters for configuration, but can't restrict intent filters to any arbitrary list.
5.7.2. IT admins can allow managed apps that can display widgets on the homescreen.
- The EMM's console must provide IT admins the ability to choose from the list of apps that are available for install to applicable users.
5.7.3. IT admins can block the use of copy/paste between the work and personal profiles .
5.7.4. IT admins can block users from sharing data from the work profile using NFC beam .
5.7.5. IT admins can permit personal apps to open web links from the work profile .
5.8 Политика обновления системы
ИТ-администраторы могут настраивать и применять беспроводные (OTA) обновления системы для устройств.
5.8.1. The EMM's console allows IT admins to set the following OTA configurations:
- Automatic: Devices install OTA updates when they become available.
- Postpone: IT admins must be able to postpone OTA update for up to 30 days. This policy does not affect security updates (eg monthly security patches).
- Windowed: IT admins must be able to schedule OTA updates within a daily maintenance window.
5.8.2. The EMM's DPC applies OTA configurations to devices.
5.9 Управление режимом блокировки задач
IT admins can lock an app or set of apps to the screen, and ensure that users can't exit the app.
5.9.1. The EMM's console allows IT admins to silently allow an arbitrary set of apps to install and lock to a device. The EMM's DPC allows dedicated device mode.
5.10. Постоянное управление предпочтительной деятельностью
Allows IT admins to set an app as the default intent handler for intents that match a certain intent filter. For example, allowing IT admins to choose which browser app automatically opens web links, or which launcher app is used when tapping the home button.
5.10.1. IT admins can set any package as the default intent handler for any arbitrary intent filter.
- The EMM's console may optionally suggest known or recommended intents for configuration, but cannot restrict intents to any arbitrary list.
- The EMM's console must allow IT admins to choose from the list of apps that are available to install for applicable users.
5.11 Управление функцией Keyguard
- trust agents
- fingerprint unlock
- unredacted notifications
5.11.2. The EMM's DPC can turn off the following keyguard features in the work profile:
- trust agents
- fingerprint unlock
5.12 Расширенное управление функциями блокировки клавиатуры
- Secure camera
- All notifications
- Unredacted notifications
- Trust agents
- Fingerprint unlock
- All keyguard features
5.13 Удаленная отладка
ИТ-администраторы могут извлекать отладочные ресурсы из устройств, не выполняя дополнительных действий.
5.13.1. IT admins can remotely request bug reports , view bug reports from the EMM's console, and download bug reports from the EMM's console.
5.14. Получение MAC-адреса
Устройства EMM могут незаметно получить MAC-адрес устройства. MAC-адрес может использоваться для идентификации устройств в других частях инфраструктуры предприятия (например, при идентификации устройств для контроля доступа к сети).
5.14.1. The EMM can silently retrieve a device's MAC address and can associate it with the device in the EMM's console.
5.15 Расширенное управление режимом задач блокировки
When a device is set up as a dedicated device, IT admins can use the EMM's console to perform the following tasks:
5.15.1. Silently allow a single app to lock to a device using the EMM's DPC .
5.15.2. Turn on or turn off the following System UI features using the EMM's DPC :
- Кнопка «Домой»
- Обзор
- Глобальные действия
- Уведомления
- System info / Status bar
- Keyguard (lock screen)
5.15.3. Turn off System Error dialogs using the EMM's DPC .
5.16 Расширенная политика обновления системы
ИТ-администраторы могут блокировать системные обновления на устройстве на определенный период времени.
5.16.1. The EMM's DPC can apply over-the-air (OTA) system updates to devices for a specified freeze period.
5.17. Управление прозрачностью политики рабочего профиля
IT admins can customize the message displayed to users when removing the work profile from a device.
5.17.1. IT admins can provide custom text to display when a work profile is wiped.
5.18 Поддержка подключенных приложений
ИТ-администраторы могут составить список пакетов , которые могут обмениваться данными через границу рабочего профиля.
5.19. Manual System Updates
IT admins can manually install a system update by providing a path.
6. Device Admin Deprecation
6.1. Device Admin Deprecation
Операторы EMM обязаны к концу 2022 года опубликовать план, предусматривающий прекращение поддержки клиентов Device Admin на устройствах GMS к концу первого квартала 2023 года.
7. Использование API
7.1 Стандартный контроллер политики для новых привязок
По умолчанию устройства должны управляться с помощью Android Device Policy для любых новых привязок. EMM-системы могут предоставлять возможность управления устройствами с помощью настраиваемого DPC в разделе настроек под заголовком «Дополнительно» или аналогичным термином. Новым клиентам не должно предоставляться произвольного выбора между технологическими стеками во время любых процессов подключения или настройки.
7.2 Стандартный контроллер политики для новых устройств
По умолчанию устройства должны управляться с помощью Android Device Policy для всех новых регистраций устройств, как для существующих, так и для новых привязок. EMM могут предоставлять возможность управления устройствами с помощью настраиваемого DPC в разделе настроек под заголовком «Дополнительно» или с аналогичным термином.