בדף הזה מפורטת הרשימה המלאה של התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הסטנדרטיות () של קבוצת פתרונות אחת לפחות כדי שיהיה אפשר להציע אותו למכירה. פתרונות EMM שעומדים באימות התכונות הסטנדרטיות מופיעים במאגר הפתרונות לארגונים של Android כפתרונות עם חבילת ניהול סטנדרטית.
לכל חבילה של פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מופיעות בכל דף של קבוצת הפתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. פתרונות EMM שעומדים באימות התכונות המתקדמות מופיעים במאגר הפתרונות לארגונים של Android כפתרונות עם חבילת ניהול מתקדמת.
מפתח
| תכונה רגילה | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשיר
1.1. הקצאת פרופיל עבודה לפי DPC-first
אחרי הורדת אפליקציית Device Policy ל-Android מ-Google Play, המשתמשים יכולים להקצות פרופיל עבודה.
1.1.1. מערכת ה-EMM מספקת למנהל IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (מידע נוסף זמין במאמר הרשמה והקצאה של מכשיר).
1.2. הקצאת מכשיר באמצעות מזהה DPC
הזנת afw# באשף ההגדרה של המכשיר מקצה מכשיר מנוהל באופן מלא או מכשיר ייעודי.
1.2.1. מערכת ה-EMM מספקת למנהל IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (מעבר אל הרשמה והקצאה של מכשיר).
1.3. הקצאת מכשירי NFC
אדמיני IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שמוגדרים להגדרות המקוריות, בהתאם להנחיות להטמעה שמפורטות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. פלטפורמות EMM חייבות להשתמש בתגים מסוג 2 של NFC Forum עם זיכרון בנפח של 888 בייטים לפחות. כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה, צריך להשתמש בתוספים להקצאה. פרטי ההרשמה לא אמורים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. מומלץ להשתמש בתגי NFC בגרסאות Android 10 ואילך, בגלל ההוצאה משימוש של NFC Beam (נקרא גם NFC Bump).
1.4. הקצאת מכשיר באמצעות קוד QR
במסוף של ה-EMM אפשר ליצור קוד QR שמנהלי IT יכולים לסרוק כדי להקצות מכשיר מנוהל או ייעודי, בהתאם להנחיות ההטמעה שמפורטות במסמכי התיעוד למפתחים של Android Management API.
1.4.1. קוד ה-QR חייב להשתמש בתוספים לניהול כדי להעביר למכשיר פרטי רישום לא רגישים (כמו מזהי שרתים ומזהי הרשמה). אסור לכלול פרטי רישום שמכילים מידע רגיש, כמו סיסמאות או אישורים.
1.5. הרשמה דרך הארגון
אדמיני IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, כפי שמתואר במאמר הרשמה דרך הארגון למנהלי IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, הוא מוגדר באופן אוטומטי להגדרות שהוגדרו על ידי האדמין ב-IT.
1.6. הקצאה מתקדמת ללא מגע
מנהלי IT יכולים להפוך חלק ניכר מתהליך הרישום של המכשירים לאוטומטי באמצעות הרשמה ללא מגע. בשילוב עם כתובות URL לכניסה, אדמינים ב-IT יכולים להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמציע ה-EMM.
1.6.1. מנהלי IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה ללא מגע.
1.6.2. הדרישה הזו הוצאה משימוש.
1.6.3. באמצעות כתובת ה-URL לכניסה, ה-EMM צריך לוודא שמשתמשים לא מורשים לא יכולים להמשיך בתהליך ההפעלה. לכל הפחות, צריך לנעול את ההפעלה למשתמשי הארגון הנתון.
1.6.4. באמצעות כתובת ה-URL לכניסה, מערכת ה-EMM צריכה לאפשר למנהלי IT לאכלס מראש את פרטי ההרשמה (לדוגמה, מזהי שרתים ומזהי הרשמה) בנוסף למידע ייחודי על המשתמש או המכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור ש-EMMs יכללו מידע רגיש, כמו סיסמאות או אישורים, בהגדרה של ההרשמה ללא מגע.
1.7. הקצאה של פרופיל עבודה בחשבון Google
ארגונים שמשתמשים בדומיין מנוהל של Google יכולים להשתמש בתכונה הזו כדי להנחות את המשתמשים בהגדרת פרופיל העבודה אחרי שהם מזינים את פרטי הכניסה ל-Workspace הארגוני במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר לפרופיל העבודה.
1.8. הקצאת מכשיר לחשבון Google
Android Management API לא תומך בתכונה הזו.
1.9. הגדרה ישירה ללא מגע
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי להגדיר מכשירים ללא מגע באמצעות iframe ללא מגע.
1.10. פרופילים של עבודה במכשירים בבעלות החברה
פתרונות EMM יכולים לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה על ידי הגדרת AllowPersonalUsage.
1.10.1. השארת השדה ריק בכוונה.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילים של עבודה במכשירים שבבעלות החברה באמצעות PersonalUsagePolicies.
1.10.3. אדמינים ב-IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו דרך PersonalUsagePolicies.
1.10.4. אדמינים ב-IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו דרך PersonalUsagePolicies.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת חסימות של אפליקציות שלא ניתן להתקין בפרופיל האישי באמצעות PersonalApplicationPolicy.
1.10.6. אדמינים ב-IT יכולים להפסיק לנהל מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או מחיקת כל המכשיר.
1.11. הקצאת מכשיר ייעודי
פתרונות EMM יכולים לרשום מכשירי ייעודים בלי שהמשתמש יתבקש לבצע אימות באמצעות חשבון Google.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
אדמיני IT יכולים להגדיר ולאכוף אתגר אבטחה למכשיר (מספר PIN/דפוס/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים המנוהלים.
2.1.1. המדיניות חייבת לאכוף הגדרות לניהול האתגרים באבטחת המכשיר (parentProfilePasswordRequirements לפרופיל העבודה, passwordRequirements למכשירים מנוהלים ומכשירים ייעודיים).
2.1.2. מורכבות הסיסמה צריכה להתאים למורכבות הסיסמה הבאה:
- PASSWORD_COMPLEXITY_LOW – תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפאנומריות או אלפביתיות באורך של 6 תווים לפחות
2.1.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כהגדרות מדור קודם במכשירים בבעלות החברה.
2.2. אתגר אבטחה בעבודה
אדמיני IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד ומכיל דרישות שונות מהאתגר לאבטחת המכשיר (2.1).
2.2.1. המדיניות חייבת לאכוף את אתגר האבטחה בפרופיל העבודה.
- כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה, אם לא צוין היקף
- אדמינים ב-IT יכולים להגדיר את ההגדרה הזו ברמת המכשיר על ידי ציון ההיקף (ראו דרישה 2.1).
2.2.2. מורכבות הסיסמה צריכה להיות מותאמת למורכבות הסיסמה המוגדרת מראש הבאה:
- PASSWORD_COMPLEXITY_LOW – תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפאנומריות או אלפביתיות באורך של 6 תווים לפחות
2.2.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כחלק מהגדרות מדור קודם
2.3. ניהול מתקדם של קודי גישה
אדמיני IT יכולים להגדיר הגדרות סיסמה מתקדמות במכשירים.
2.3.1. השארת השדה ריק בכוונה.
2.3.2. השארת השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של סיסמה לכל מסך נעילה שזמין במכשיר:
- ריקים בכוונה
- ריקים בכוונה
- מספר הסיסמות שנכשלו לפני האיפוס: ההגדרה קובעת את מספר הפעמים שמשתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ב-IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.3.4. (Android 8.0 ואילך) זמן קצוב נדרש לאימות חזק: צריך להזין קוד אימות חזק (כמו מספר PIN או סיסמה) אחרי תקופת זמן קצובה שהוגדרה על ידי אדמין IT. לאחר פרק הזמן הקצוב לתפוגה, שיטות אימות לא חזקות (כמו טביעת אצבע או ביטול נעילה באמצעות זיהוי הפנים) יושבתו עד לביטול הנעילה של המכשיר באמצעות קוד אימות חזק.
2.4. ניהול של Smart Lock
אדמיני IT יכולים לקבוע אם סוכני אמון בתכונה Smart Lock של Android מורשים להאריך את ביטול הנעילה של המכשיר עד ארבע שעות.
2.4.1. אדמינים ב-IT יכולים להשבית את סוכני האמון במכשיר.
2.5. מחיקה ונעילה
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי לנעול מרחוק ולמחוק נתוני עבודה ממכשיר מנוהל.
2.5.1. צריך לנעול את המכשירים באמצעות Android Management API.
2.5.2. צריך למחוק את המכשירים באמצעות Android Management API.
2.6. אכיפת תאימות
אם המכשיר לא עומד בדרישות של מדיניות האבטחה, כללי התאימות שהוגדרו על ידי Android Management API מגבילים באופן אוטומטי את השימוש בנתוני העבודה.
2.6.1. מדיניות האבטחה שחלה על המכשיר חייבת לכלול לפחות מדיניות סיסמאות.
2.7. מדיניות אבטחה שמוגדרת כברירת מחדל
ספק ה-EMM חייב לאכוף את כללי מדיניות האבטחה שצוינו במכשירים כברירת מחדל, בלי לחייב את אדמיני ה-IT להגדיר או להתאים אישית הגדרות במסוף של ה-EMM. מומלץ (אבל לא חובה) לספקי EMM לא לאפשר לאדמינים ב-IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. חובה לחסום את ההתקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה. התכונה המשנית הזו נתמכת כברירת מחדל.
2.7.2. צריך לחסום את התכונות לניפוי באגים. התכונה המשנית הזו נתמכת כברירת מחדל.
2.8. מדיניות אבטחה למכשירים ייעודיים
לא ניתן לבצע פעולות אחרות במכשיר ייעודי נעול.
2.8.1. צריך להשבית את האתחול למצב בטוח כברירת מחדל באמצעות policy (מעבר אל safeBootDisabled).
2.9. תמיכה ב-Play Integrity
בדיקות התקינות של Play מתבצעות כברירת מחדל. לא נדרשת הטמעה נוספת.
2.9.1. השארת השדה ריק בכוונה.
2.9.2. השארת השדה ריק בכוונה.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך הערך של SecurityRisk של המכשיר, כולל חסימה של הקצאה, מחיקה של נתונים ארגוניים והמשך ההרשמה.
- שירות ה-EMM יאכוף את תגובת המדיניות הזו על התוצאה של כל בדיקת תקינות.
2.9.4. השארת השדה ריק בכוונה.
2.10. אכיפה של אימות אפליקציות
אדמינים ב-IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ואחרי ההתקנה שלהן, וכך עוזרת לוודא שאפליקציות זדוניות לא יכולות לסכן את הנתונים של הארגון.
2.10.1. צריך להפעיל את Verify Apps כברירת מחדל באמצעות מדיניות (מעבר אל ensureVerifyAppsEnabled).
2.11. תמיכה בהפעלה ישירה
Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
2.12. ניהול אבטחת החומרה
אדמיני IT יכולים לנעול רכיבי חומרה של מכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מלהצמיד מדיה חיצונית פיזית באמצעות מדיניות (מעבר אל mountPhysicalMediaDisabled).
2.12.2. אדמינים ב-IT יכולים לחסום את היכולת של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות מדיניות (מעבר אל outgoingBeamDisabled). התכונה המשנית הזו היא אופציונלית, כי הפונקציה של NFC beam כבר לא נתמכת ב-Android מגרסה 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום משתמשים מהעברת קבצים באמצעות USB באמצעות מדיניות (מעבר אל usbFileTransferDisabled).
2.13. רישום ביומן של אבטחת הארגון
Android Management API לא תומך בתכונה הזו.
3. ניהול החשבון והאפליקציות
3.1. קישור לארגון
אדמיני IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים ב-Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. השארת השדה ריק בכוונה.
3.1.3. השארת השדה ריק בכוונה.
3.1.4. במסוף ה-EMM, האדמין מקבל הנחיות להזין את כתובת האימייל העסקית שלו בתהליך ההרשמה ל-Android, ומופיעה בו המלצה לא להשתמש בחשבון Gmail.
3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאה של חשבון Google Play מנוהל
מערכת ה-EMM יכולה להקצות באופן אוטומטי חשבונות משתמשים ארגוניים, שנקראים חשבונות Google Play מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים להגדיר כללי הפצה ייחודיים לכל משתמש.
3.2.1. חשבונות Google Play לארגונים (חשבונות משתמשים) נוצרים באופן אוטומטי כשמקצים מכשירי Android.
Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.3. הקצאה של חשבון מכשיר מנוהל ב-Google Play
מערכת ה-EMM יכולה ליצור ולהקצות חשבונות מכשיר מנוהלים ב-Google Play. חשבונות המכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא קשורים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזיהוי מכשיר יחיד כדי לתמוך בכללים של הפצת אפליקציות לכל מכשיר בתרחישים ייעודיים של מכשיר.
3.3.1. חשבונות Google Play מנוהלים נוצרים באופן אוטומטי כשמקצים מכשירי Android.
Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.4. הקצאה של חשבון Google Play מנוהל למכשירים מדור קודם
התכונה הזו הוצאה משימוש.
3.5. הפצת אפליקציות בשקט
אדמיני IT יכולים להפיץ אפליקציות עבודה במכשירים באופן שקט, ללא אינטראקציה עם המשתמשים.
3.5.1. במסוף ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר למנהלי IT להתקין אפליקציות עבודה במכשירים מנוהלים.
3.5.2. במסוף של ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר למנהלי IT לעדכן אפליקציות עבודה במכשירים מנוהלים.
3.5.3. כדי לאפשר למנהלי IT להסיר אפליקציות ממכשירים מנוהלים, במסוף של ה-EMM צריך להשתמש ב-Android Management API.
3.6. ניהול תצורות מנוהלות
אדמינים ב-IT יכולים להציג הגדרות מנוהלות של כל אפליקציה שתומכת בהגדרות מנוהלות, ולהגדיר אותן בשקט.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות ההגדרה המנוהלת של כל אפליקציה ב-Play.
3.6.2. המסוף של ה-EMM חייב לאפשר למנהלי IT להגדיר כל סוג של תצורה (כפי שמוגדר במסגרת Android Enterprise) לכל אפליקציה ב-Play באמצעות Android Management API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים.
3.7. ניהול של קטלוג האפליקציות
Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.8. אישור אפליקציות באופן פרוגרמטי
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגלות אפליקציות ולאשר אותן. אדמינים ב-IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת מהמסוף של ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות ה-iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה המנוהלת של חנות Google Play כדי להתקין ולעדכן אפליקציות לעבודה. כברירת מחדל, חנות Google Play לארגונים מציגה אפליקציות שאושרו למשתמש ברשימה אחת. הפריסה הזו נקראת פריסת החנות הבסיסית.
3.9.1. מסוף ה-EMM אמור לאפשר לאדמינים ב-IT לנהל את האפליקציות שמוצגות בפריסת החנות הבסיסית של משתמש הקצה.
3.10. הגדרה מתקדמת של פריסת החנות
3.10.1. אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציה של חנות Google Play לארגונים.
3.11. ניהול רישיונות לאפליקציות
התכונה הזו הוצאה משימוש.
3.12. ניהול אפליקציות פרטיות שמתארחות ב-Google
אדמיני IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. מנהלי IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמיני IT יכולים להגדיר ולפרסם אפליקציות פרטיות שמתארחות אצלם. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, ה-EMM עוזר לאדמינים ב-IT לארח חבילות APK בעצמם, ומגן על אפליקציות שמתארחות באופן עצמאי על ידי הבטחת האפשרות להתקין אותן רק לאחר אישור מ-Google Play המנוהל.
3.13.1. מסוף ה-EMM חייב לעזור לאדמינים ב-IT לארח את קובץ ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת של ה-EMM. השרת יכול להיות מקומי או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעת הארגון. האדמין צריך לציין במסוף ה-EMM את המיקום שבו מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות קובץ ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות בעצמן, והמסוף של ה-EMM יכול לפרסם בשקט קובצי הגדרה מעודכנים של APK באמצעות Google Play Developer Publishing API.
3.13.4. השרת של ה-EMM מעביר בקשות להורדת קובץ ה-APK המתארח בעצמו, שמכיל אסימון JWT תקין בקובץ ה-cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי להקל על התהליך, השרת של ה-EMM צריך להנחות את האדמינים של מערכות המידע להוריד את המפתח הציבורי של הרישיון של האפליקציה שמתארחת בעצמה מ-Google Play Console, ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה של EMM
התכונה הזו לא רלוונטית ל-Android Management API. במקום זאת, מגדירים התראות Pub/Sub.
3.15. דרישות לשימוש ב-API
ה-EMM מטמיע ממשקי API לניהול Android בקנה מידה רחב, ומאפשר להימנע מדפוסי תנועה שעשויים להשפיע לרעה על היכולת של הארגונים לנהל אפליקציות בסביבות ייצור.
3.15.1. מערכת ה-EMM חייבת לציית למגבלות השימוש של Android Management API. אי תיקון התנהגות שמחריגה מההנחיות האלה עלול להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.2. מערכת ה-EMM צריכה לחלק את התנועה מעסקים שונים במהלך היום, במקום לרכז את התנועה הארגונית בזמנים ספציפיים או דומים. התנהגות שתתאים לדפוס התנועה הזה, כמו פעולות באצווה מתוזמנות לכל מכשיר שמשויך, עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. מערכת ה-EMM לא אמורה לשלוח בקשות עקביות, חלקיות או מכוונות שגויות, שלא כוללות ניסיון לאחזר או לנהל נתונים אמיתיים של הארגון. התנהגות שתתאים לדפוס התנועה הזה עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
ה-EMM תומך בתכונות הבאות לניהול מתקדם של הגדרות מנוהלות:
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את ההגדרות המנוהלות של עד ארבעה רמות בתצוגת עץ של כל אפליקציה ב-Play, באמצעות:
- iframe של Google Play לארגונים, או
- ממשק משתמש מותאם אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג משוב שמוחזר על ידי ערוץ המשוב של האפליקציה, אם האדמין ב-IT הגדיר אותו.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שמהם הוא הגיע.
- במסוף של ה-EMM צריכה להיות אפשרות לאדמינים ב-IT להירשם להתראות או לדוחות של סוגי הודעות ספציפיים (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM חייב לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמיני IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף ה-EMM.
3.17.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play מנוהל
מערכת ה-EMM יכולה ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים מטעם אדמינים ב-IT, ולשחזר אותם באופן אוטומטי במקרה של תפוגת התוקף של החשבון.
התכונה הזו נתמכת כברירת מחדל. לא נדרשת הטמעה נוספת של EMM.
3.19. ניהול של מעקב אחר אפליקציות
3.19.1. אדמינים ב-IT יכולים למשוך רשימה של מזהי טראקים שהוגדרו על ידי מפתח לאפליקציה מסוימת.
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים כך שיעבדו לפי נתיב פיתוח מסוים של אפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
אדמיני IT יכולים לאפשר עדכון מיידי של אפליקציות או לדחות את העדכון שלהן למשך 90 יום.
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשהעדכון מוכן. 3.20.2. אדמינים ב-IT יכולים לאפשר דחיית עדכוני אפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאה
מערכת ה-EMM יכולה ליצור הגדרות להקצאה ולהציג אותן לאדמין ה-IT בפורמט שזמין להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL של חנות Play).
4. ניהול מכשירים
4.1. ניהול מדיניות ההרשאות בזמן ריצה
אדמיני IT יכולים להגדיר תשובה שתישלח באופן אוטומטי לבקשות גישה בזמן ריצה מאפליקציות עבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות ברירת מחדל בסביבת זמן הריצה לארגון שלהם:
- הנחיה (מאפשרת למשתמשים לבחור)
- לאפשר
- דחייה
מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.2. ניהול המצב של מתן ההרשאה בזמן ריצה
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה (מעבר לקטע 4.1.), אדמינים ב-IT יכולים להגדיר תשובות ללא ידיעת המשתמשים להרשאות ספציפיות מכל אפליקציה לעבודה שנוצרה על סמך API מגרסה 23 ואילך.
4.2.1. אדמינים ב-IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת המחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי אפליקציית עבודה שנוצרה על API מגרסה 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.3. ניהול הגדרות Wi-Fi
אדמיני IT יכולים להקצות באופן אוטומטי הגדרות Wi-Fi ארגוניות במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות policy.
4.3.2. סיסמה, באמצעות policy.
4.4. ניהול אבטחת Wi-Fi
מנהלי IT יכולים להקצות הגדרות Wi-Fi ארגוניות במכשירים שכוללים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהויות
4.4.2. אישורים להרשאת לקוח
4.4.3. אישורי CA
4.5. ניהול מתקדם של Wi-Fi
אדמיני IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באמצעות מדיניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצתה על ידי ה-EMM (מעבר אל
wifiConfigsLockdownEnabled), אבל הם יכולים להוסיף ולשנות רשתות משלהם שהם יכולים להגדיר (למשל, רשתות אישיות). - המשתמשים לא יכולים להוסיף או לשנות רשת Wi-Fi במכשיר (מעבר אל
wifiConfigDisabled), והחיבור ל-Wi-Fi מוגבל רק לרשתות שהוקצו על ידי ה-EMM.
4.6. ניהול חשבון
אדמינים ב-IT יכולים לוודא שרק חשבונות ארגוניים מורשים יכולים לבצע פעולות עם נתונים ארגוניים, בשירותים כמו אחסון ב-SaaS, אפליקציות פרודוקטיביות או אימייל. בלי התכונה הזו, משתמשים יכולים להוסיף חשבונות אישיים לאפליקציות ארגוניות שתומכות גם בחשבונות של צרכנים, וכך לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.6.1. אדמינים ב-IT יכולים למנוע ממשתמשים להוסיף או לשנות חשבונות (מידע נוסף זמין בקטע modifyAccountsDisabled).
- כשאכיפים את המדיניות הזו במכשיר, פלטפורמות ה-EMM צריכות להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שהמשתמשים לא יוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות תופעל.
4.7. ניהול חשבון Workspace
Android Management API לא תומך בתכונה הזו.
4.8. ניהול אישורים
אדמיני IT יכולים לפרוס אישורי זהות ורשות אישורים במכשירים כדי לאפשר שימוש במשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים שנוצרו על ידי ה-PKI שלהם, על בסיס משתמש. מסוף ה-EMM חייב להתמזג עם רשת PKI אחת לפחות ולחלק אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים (ראו caCerts) במאגר המפתחות המנוהל. עם זאת, אין תמיכה בתכונה המשנית הזו.
4.9. ניהול מתקדם של אישורים
מאפשר לאדמינים ב-IT לבחור בחשאי את האישורים שבהם אפליקציות מנוהלות ספציפיות צריכות להשתמש. התכונה הזו גם מעניקה לאדמינים ב-IT את היכולת להסיר רשויות אישור (CA) ואישורי זהות ממכשירים פעילים, ולמנוע ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. לאפליקציות שמופצות למכשירים, אדמינים ב-IT יכולים לציין אישור שאליו תוענק לאפליקציה גישה באופן אוטומטי במהלך זמן הריצה. (אין תמיכה בתכונה המשנית הזו)
- בחירת האישור צריכה להיות גנרית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, לכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים ממאגר המפתחות המנוהל ללא הודעה.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA ללא התראה. (התכונה המשנית הזו לא נתמכת)
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה (מעבר אל credentialsConfigDisabled) במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להקצות מראש אישורים לאפליקציות לעבודה באמצעות ChoosePrivateKeyRule.
4.10. ניהול אישורים שהועברו
אדמיני IT יכולים להפיץ אפליקציה לניהול אישורים של צד שלישי למכשירים, ולהעניק לאפליקציה הזו הרשאות גישה להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT יכולים לציין חבילת ניהול אישורים (מעבר אל delegatedCertInstallerPackage) שתוגדר כאפליקציית ניהול האישורים שאליה יועברו הגדרות האישורים.
- מערכת ה-EMM עשויה להציע חבילות ידועות לניהול אישורים, אבל היא חייבת לאפשר לאדמין ה-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.11. ניהול VPN מתקדם
מאפשרת לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי לוודא שהנתונים מאפליקציות מנוהלות מסוימות יעברו תמיד דרך הגדרת ה-VPN.
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית להגדרה כ-VPN בחיבור תמידי.
- במסוף של ה-EMM יכולות להופיע הצעות לחבילות VPN ידועות שתומכות ב-VPN שפועל כל הזמן, אבל אי אפשר להגביל את רשימת ה-VPN שזמינות להגדרה של VPN שפועל כל הזמן.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מאחר ש-IME משותף בין הפרופילים האישיים לפרופיל העבודה, חסימה של השימוש ב-IMEs תמנע מהמשתמשים לאפשר את השימוש ב-IMEs האלה גם לצורך שימוש אישי. עם זאת, אדמינים ב-IT לא יכולים לחסום את השימוש ב-IME של המערכת בפרופילי עבודה (פרטים נוספים זמינים במאמר 'ניהול מתקדם של IME').
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (מעבר אל permitted_input_methods) באורך שרירותי (כולל רשימה ריקה, שחוסמת IMEs שאינם מערכתיים), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.12.2. ספק ה-EMM חייב להודיע לאדמינים ב-IT ש-IMEs של מערכות לא נכללים בניהול במכשירים עם פרופילי עבודה.
4.13. ניהול מתקדם של IME
אדמיני IT יכולים לקבוע אילו שיטות קלט (IME) המשתמשים יוכלו להגדיר במכשיר. ניהול מתקדם של IME מרחיב את התכונה הבסיסית ומאפשר לאדמינים ב-IT לנהל גם את השימוש ב-IME של המערכת, שספק המכשיר או יצרן המכשיר בדרך כלל מספקים.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (מעבר אל permitted_input_methods) באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל ה-IME של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.13.2. מערכת ה-EMM חייבת למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תמנע את ההגדרה של כל ממשקי ה-IME במכשיר, כולל ממשקי ה-IME של המערכת.
4.13.3. מערכת ה-EMM חייבת לוודא שאם רשימת ההיתרים של IME לא מכילה IME של מערכת, תוכנות ה-IME של הצד השלישי מותקנות בשקט לפני שהרשימת ההיתרים חלה על המכשיר.
4.14. ניהול שירותי הנגישות
אדמיני IT יכולים לקבוע אילו שירותי נגישות המשתמשים יוכלו להפעיל במכשירים. שירותי נגישות הם כלים יעילים למשתמשים עם מוגבלויות או למשתמשים שלא יכולים לקיים אינטראקציה מלאה עם המכשיר באופן זמני. עם זאת, יכול להיות שהם יתנהגו לנתונים העסקיים בדרכים שלא עומדות בדרישות המדיניות הארגונית. התכונה הזו מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שאינו שירות מערכת.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות (מעבר אל permittedAccessibilityServices) באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילת שירותי נגישות שרירותית. כשהיא חלה על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- במסוף יכולות להופיע הצעות לשירותי נגישות מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמין ב-IT חייב לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.15. ניהול של שיתוף המיקום
אדמיני IT יכולים למנוע ממשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום בפרופיל העבודה בהגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום (מעבר אל shareLocationDisabled) בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
אדמיני IT יכולים לאכוף הגדרה מסוימת של שיתוף המיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח שלאפליקציות ארגוניות תמיד יהיו נתוני מיקום מדויקים. התכונה הזו יכולה גם למנוע צריכת סוללה נוספת על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שמסופק על ידי הרשת.
- חיסכון בסוללה, שמגביל את תדירות העדכונים.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה הזו מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי מניעת האפשרות של משתמשים לא מורשים לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבות תפעולית כשהמכשירים מוחזרים ל-IT, האדמינים ב-IT יכולים להשבית את ההגנה הזו לגמרי.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את המכשיר להגדרות המקוריות (כניסה אל factoryResetDisabled) דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות נעילה ארגוניים מורשים להקצאת מכשירים (מעבר אל frpAdminEmails) אחרי איפוס להגדרות המקוריות.
- אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו על ידי כל הארגון כדי לבטל את נעילת המכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות (מעבר אל factoryResetDisabled) במכשירים מסוימים.
4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של המכשיר, שכוללת מחיקה אופציונלית של נתוני ההגנה מפני איפוס, וכך מסירים את ההגנה מפני איפוס להגדרות המקוריות במכשיר שבו בוצע האיפוס.
4.18. בקרה מתקדמת על אפליקציות
אדמינים ב-IT יכולים למנוע מהמשתמשים להסיר אפליקציות מנוהלות או לשנות אותן בדרכים אחרות דרך ההגדרות. לדוגמה, מניעת סגירה ידנית של האפליקציה או ניקוי המטמון של נתוני האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את הסרת כל אפליקציה מנוהלת שרירותית, או את כל האפליקציות המנוהלות (מעבר אל uninstallAppsDisabled).
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את נתוני האפליקציה דרך ההגדרות. (Android Management API לא תומך בתכונה המשנית הזו)
4.19. ניהול צילומי מסך
אדמיני IT יכולים למנוע ממשתמשים לצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות של המערכת לצילום מסך.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך (מעבר אל screenCaptureDisabled).
4.20. השבת מצלמות
אדמיני IT יכולים להשבית את השימוש במצלמות של המכשיר על ידי אפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות של המכשיר (כניסה לדף cameraDisabled) על ידי אפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של רשתות
Android Management API לא תומך בתכונה הזו.
4.22. איסוף סטטיסטיקות רשת מתקדמות
Android Management API לא תומך בתכונה הזו.
4.23. הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו במערכת
מנהלי IT יכולים לנהל באופן מפורט את הרדיו ברשתות המערכת ואת כללי המדיניות המשויכים באמצעות policy.
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירות (מעבר אל cellBroadcastsConfigDisabled).
4.24.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (מעבר אל mobileNetworksConfigDisabled).
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את כל הגדרות הרשת בהגדרות. (מעבר אל networkResetDisabled).
4.24.4. אדמינים ב-IT יכולים להגדיר אם המכשיר יאפשר שימוש בחבילת הגלישה בזמן נדידה (מעבר אל dataRoamingDisabled).
4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות יוצאות, לא כולל שיחות חירום (מעבר לקטע outGoingCallsDisabled).
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט (מעבר אל smsDisabled).
4.24.7. אדמינים ב-IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם בתור נקודה לשיתוף אינטרנט נייד באמצעות חיבור שיתוף אינטרנט (tetheringConfigDisabled).
4.24.8. אדמינים ב-IT יכולים להגדיר את זמן הקצאת הזמן ל-Wi-Fi לברירת המחדל, בזמן החיבור לחשמל או אף פעם. (Android Management API לא תומך בתכונה המשנית הזו)
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר או לשנות חיבורי Bluetooth קיימים (מעבר אל bluetoothConfigDisabled).
4.25. ניהול האודיו במערכת
אדמינים ב-IT יכולים לשלוט בשקט בתכונות האודיו של המכשיר, כולל השבתת המכשיר, מניעת שינוי של הגדרות עוצמת הקול ומניעת ביטול ההשתקה של המיקרופון במכשיר.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים בשקט. (Android Management API לא תומך בתכונה המשנית הזו)
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשירים (מעבר אל adjustVolumeDisabled). הפעולה הזו גם משתיקה את המכשירים.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון במכשיר (מעבר אל unmuteMicrophoneDisabled).
4.26. ניהול שעון המערכת
אדמיני IT יכולים לנהל את הגדרות השעון ואזור הזמן של המכשיר, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את השעה האוטומטית ואת אזור הזמן האוטומטי של המערכת, כדי למנוע מהמשתמשים להגדיר את התאריך, השעה ואזור הזמן במכשיר.
4.27. תכונות מתקדמות של מכשיר ייעודי
במכשירים ייעודיים, אדמינים ב-IT יכולים לנהל את התכונות הבאות באמצעות מדיניות כדי לתמוך בתרחישי שימוש שונים בקיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מסך הנעילה של המכשיר (מעבר אל keyguardDisabled).
4.27.2. אדמינים ב-IT יכולים להשבית את סרגל הסטטוס של המכשיר, וכך לחסום את ההתראות וההגדרות המהירות (מעבר אל statusBarDisabled).
4.27.3. אדמינים ב-IT יכולים לאלץ את מסך המכשיר להישאר דלוק בזמן שהמכשיר מחובר (מעבר אל stayOnPluggedModes).
4.27.4. אדמינים ב-IT יכולים למנוע את הצגת ממשקי המשתמש של המערכת הבאים (מעבר אל createWindowsDisabled):
- הודעות קופצות
- שכבות-על של אפליקציות.
4.27.5. אדמינים ב-IT יכולים לאפשר לאפליקציות לדלג על ההדרכה למשתמש ועל טיפים מבוא אחרים בהפעלה הראשונה, בהתאם להמלצה של המערכת (מעבר אל skip_first_use_hints).
4.28. ניהול היקף של הענקת גישה
אדמינים ב-IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את היקפי הגישה הבאים:
- התקנה וניהול של אישורים
- ריקים בכוונה
- רישום התנועה ברשת
- רישום ביומן אבטחה (אין תמיכה בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה במזהה ספציפי להרשמה
החל מגרסה 12 של Android, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישאר גם אחרי איפוס להגדרות המקוריות.
4.29.1. אדמינים ב-IT יכולים לקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי להרשמה צריך להישאר גם אחרי איפוס להגדרות המקוריות
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול תצורה מנוהל
אדמיני IT יכולים לשנות את ממשק המשתמש של תהליך ההגדרה שמוגדר כברירת מחדל כך שיכלול תכונות ספציפיות לארגון. לחלופין, אדמינים ב-IT יכולים להציג מיתוג של EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון תנאי שירות ספציפיים לארגון כתבי ויתור אחרים (מעבר אל termsAndConditions).
5.1.2. אדמינים ב-IT יכולים deploy תנאי שימוש ספציפיים ל-EMM שלא ניתנים להתאמה אישית כתבי ויתור אחרים (מעבר אל termsAndConditions).
- ספקי EMM יכולים להגדיר את ההתאמה האישית הספציפית ל-EMM שלהם, שלא ניתן לשנות אותה, כברירת מחדל לפריסות, אבל הם חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.1.3. primaryColor הוצא משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
5.2. התאמה אישית לארגון
Android Management API לא תומך בתכונה הזו.
5.3. התאמה אישית מתקדמת לארגונים
Android Management API לא תומך בתכונה הזו.
5.4. הודעות במסך הנעילה
אדמיני IT יכולים להגדיר הודעה בהתאמה אישית שתמיד תוצג במסך הנעילה של המכשיר, בלי צורך לבטל את הנעילה של המכשיר כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה בהתאמה אישית במסך הנעילה (מעבר אל deviceOwnerLockScreenInfo).
5.5. ניהול השקיפות בנושא מדיניות
אדמיני IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם מנסים לשנות את ההגדרות המנוהלות במכשיר, או לפרוס הודעה כללית לתמיכה שסופקה על ידי ספק ה-EMM. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות, והן מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שכבר נחסמה על ידי אדמין IT.
5.5.1. אדמינים ב-IT יכולים להתאים אישית הודעות תמיכה למשתמשי קצה, קצרות וארוכות.
5.5.2. אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות ספציפיות ל-EMM, שלא ניתן להגדיר אותן (אפשר לעבור אל shortSupportMessage ו-longSupportMessage ב-policies).
- מערכת ה-EMM יכולה להגדיר את הודעות התמיכה הספציפיות שלה, שלא ניתן לשנות, כברירת המחדל לפריסות, אבל היא חייבת לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר בכמה פרופילים
5.6.1. מנהלי IT יכולים להשבית את הצגת אנשי הקשר בעבודה בחיפושים של אנשי קשר בפרופיל האישי ובשיחות נכנסות.
5.6.2. אדמינים ב-IT יכולים להשבית את שיתוף אנשי הקשר ב-Bluetooth של אנשי הקשר בעבודה, למשל שיחות ללא ידיים ברכב או באוזניות.
5.7. ניהול נתונים בכמה פרופילים
מנהלי IT יכולים לנהל את סוגי הנתונים שאפשר לשתף בין הפרופיל לעבודה לפרופיל האישי, וכך לאזן בין נוחות השימוש לבין אבטחת הנתונים בהתאם לדרישות שלהם.
5.7.1. אדמינים ב-IT יכולים להגדיר מדיניות שיתוף נתונים בין פרופילים כדי שאפליקציות אישיות יוכלו לפתור כוונות (intents) מפרופיל העבודה, כמו שיתוף כוונות או קישורי אינטרנט.
5.7.2. אדמינים ב-IT יכולים לאפשר לאפליקציות מפרופיל העבודה ליצור ולהציג ווידג'טים במסך הבית של הפרופיל האישי. היכולת הזו מושבתת כברירת מחדל, אבל אפשר להגדיר אותה כמותרת באמצעות השדות workProfileWidgets ו-workProfileWidgetsDefault.
5.7.3. מנהלי IT יכולים לשלוט ביכולת להעתיק/להדביק בין הפרופילים האישיים לפרופיל העבודה.
5.8. המדיניות בנושא עדכוני מערכת
אדמיני IT יכולים להגדיר וליישם עדכוני מערכת במכשירים באמצעות אוויר (OTA).
5.8.1. במסוף של ה-EMM, אדמינים ב-IT יכולים להגדיר את ההגדרות הבאות של OTA:
- אוטומטית: המכשירים מתקינים עדכוני OTA כשהם זמינים.
- דחייה: אדמינים ב-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל תיקוני אבטחה חודשיים).
- בחלון זמן: מנהלי IT צריכים להיות מסוגלים לתזמן עדכוני OTA בחלון זמן יומי לתחזוקה.
5.8.2. הגדרות OTA חלות על מכשירים באמצעות מדיניות.
5.9. ניהול מצב משימות נעולות
אדמיני IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, וכך לוודא שהמשתמשים לא יוכלו לצאת מהאפליקציה.
5.9.1. מסוף ה-EMM מאפשר לאדמינים ב-IT לאפשר ללא הודעה מראש התקנה של קבוצה שרירותית של אפליקציות ונעילה שלהן במכשיר. Policy מאפשר להגדיר מכשירים ייעודיים.
5.10. ניהול מתמיד של הפעילויות המועדפות
מאפשרת לאדמינים ב-IT להגדיר אפליקציה כרכיב ה-handler שמוגדר כברירת מחדל לכוונות (intents) שתואמות לסינון כוונות מסוים. לדוגמה, התכונה הזו תאפשר לאדמינים ב-IT לבחור באילו אפליקציות דפדפן ייפתח באופן אוטומטי קישורים לאתרים. התכונה הזו מאפשרת לקבוע באילו אפליקציות מרכז האפליקציות ישתמש כשמקישים על הלחצן הראשי.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה כמתן הטיפול בכוונה הרשמית לכל מסנן כוונה שרירותי.
- מסוף ה-EMM עשוי להציע כוונות מוכרות או מומלצות להגדרה, אבל אי אפשר להגביל את הכוונות לרשימה שרירותית כלשהי.
- במסוף ה-EMM, האדמינים ב-IT צריכים להיות מסוגלים לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול התכונות של Keyguard
אדמיני IT יכולים לנהל את התכונות שזמינות למשתמשים לפני שהם פותחים את מנעול המסך של המכשיר (מסך הנעילה) ואת מנעול המסך של האתגר לעבודה (מסך הנעילה).
5.11.1.המדיניות יכולה להשבית את התכונות הבאות של מנעול המסך במכשיר:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות ללא צנזור
5.11.2. אפשר להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה באמצעות מדיניות:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של התכונות של מסך הנעילה
- מצלמה מאובטחת
- כל ההודעות
- ללא צנזור
- סביבות אמינות
- פתיחה בטביעת אצבע
- כל התכונות של מסך הנעילה
5.13. ניקוי באגים מרחוק
אין תמיכה בתכונה הזו ב-Android Management API.
5.14. אחזור כתובת MAC
פתרונות EMM יכולים לאחזר בשקט את כתובת ה-MAC של מכשיר, כדי להשתמש בה לזיהוי מכשירים בחלקים אחרים בתשתית הארגון (לדוגמה, כשמזוהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. ה-EMM יכול לאחזר בשקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף של ה-EMM.
5.15. ניהול מתקדם של מצב משימות נעולות (lock task mode)
באמצעות מכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. לאפשר בחשאי לאפליקציה אחת להתקינות ולהינעל במכשיר.
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש:
- לחצן הבית
- סקירה כללית
- פעולות גלובליות
- התראות
- פרטי המערכת / שורת הסטטוס
- מגן המסך (מסך הנעילה). התכונה המשנית הזו מופעלת כברירת מחדל כשמפעילים את הגרסה 5.15.1.
5.15.3. משביתים את האפשרות תיבת דו-שיח של שגיאת מערכת.
5.16. מדיניות מתקדמת בנושא עדכוני מערכת
אדמיני IT יכולים להגדיר תקופת הקפאה מסוימת לחסימת עדכוני מערכת במכשיר.
5.16.1. במסוף ה-EMM צריך להיות אפשרות לאדמינים ב-IT לחסום עדכוני מערכת אוויריים (OTA) למשך תקופת הקפאה מסוימת.
5.17. ניהול השקיפות של מדיניות פרופיל העבודה
אדמיני IT יכולים להתאים אישית את ההודעה שתוצג למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.
5.17.1. מנהלי IT יכולים לספק טקסט מותאם אישית להצגה (מעבר אל wipeReasonMessage) כשפרופיל העבודה נמחק.
5.18. תמיכה באפליקציות מקושרות
אדמינים ב-IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות פרופיל העבודה באמצעות ההגדרה ConnectedWorkAndPersonalApp.
5.19. עדכון ידני של המערכת
Android Management API לא תומך בתכונה הזו.
6. הוצאה משימוש של 'ניהול מכשירים'
6.1. הוצאה משימוש של 'ניהול מכשירים'
ספקי ניהול מכשירים ניידים (EMM) נדרשים לפרסם תוכנית עד סוף שנת 2022 לסיום התמיכה בלקוחות ב-Device Admin במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy לכל קישור חדש. ייתכן שמערכת EMM תספק אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או בטרמינולוגיה דומה. אסור לחשוף לקוחות חדשים לאפשרות לבחור באופן שרירותי בין סטאקים טכנולוגיים במהלך תהליכי ההצטרפות או ההגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy לכל ההרשמות החדשות של מכשירים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שמערכת ניהול המכשירים (EMM) תספק את האפשרות לנהל את המכשירים באמצעות DPC בהתאמה אישית באזור ההגדרות, בקטע 'מתקדם' או במונח דומה.