Ta strona zawiera pełny zestaw funkcji Androida Enterprise.
Jeśli chcesz zarządzać ponad 500 urządzeniami, rozwiązanie EMM musi obsługiwać wszystkie funkcje standardowe () co najmniej jednego zbioru rozwiązań, zanim będzie można udostępnić je komercyjnie. Rozwiązania EMM, które przeszły weryfikację funkcji standardowych, są wymienione w katalogu rozwiązań dla firm na Androidzie jako oferujące standardowy zestaw funkcji zarządzania.
Dla każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Na każdej stronie zestawu rozwiązań są oznaczone: profil służbowy na urządzeniu należącym do firmy, profil służbowy na urządzeniu należącym do firmy, w pełni zarządzane urządzenie i urządzenie specjalne. Rozwiązania EMM, które przeszły weryfikację funkcji zaawansowanych, są wymienione w katalogu rozwiązań firmowych Androida jako dostępne zestaw do zarządzania zaawansowanym.
Klucz
| funkcja standardowa | zaawansowana funkcja | Funkcja opcjonalna | nie dotyczy |
1. Obsługa administracyjna urządzenia
1.1. Obsługa administracyjna profilu służbowego z użyciem DPC
Po pobraniu Android Device Policy z Google Play użytkownicy mogą udostępnić profil służbowy.
1.1.1. Dostawca usług EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, aby umożliwić korzystanie z tej metody wdrożenia (zobacz rejestrację i wdrażanie urządzenia).
1.2. Wdrażanie identyfikatora DPC na urządzeniu
Wpisanie „afw#” w kreatorze konfiguracji urządzenia powoduje skonfigurowanie urządzenia w pełni zarządzanego lub dedykowanego.
1.2.1. Dostawca usług EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, aby umożliwić korzystanie z tej metody obsługi. (Zobacz rejestrację i dodawanie urządzenia).
1.3. Obsługa administracyjna urządzenia NFC
Tagi NFC mogą być używane przez administratorów IT do konfigurowania nowych urządzeń lub urządzeń z przywróconymi ustawieniami fabrycznymi zgodnie z wytycznymi dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.3.1. Dostawcy usług EMM muszą używać tagów NFC typu Forum 2 z co najmniej 888 bajtami pamięci. W ramach obsługi administracyjnej należy używać dodatkowych funkcji obsługi administracyjnej, aby przekazywać na urządzenie szczegóły rejestracji, które nie są poufne, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. W Androidzie 10 i nowszym zalecamy korzystanie z tagów NFC ze względu na wycofanie funkcji NFC Beam (znanej też jako NFC).
1.4. Wdrażanie urządzenia za pomocą kodu QR
Konsola EMM może wygenerować kod QR, który administratorzy IT mogą zeskanować, aby udostępnić w pełni zarządzane lub specjalne urządzenie, zgodnie ze wskazówkami dotyczącymi implementacji określonymi w dokumentacji dla deweloperów Android Management API.
1.4.1. Kod QR musi używać dodatkowych informacji, aby przekazać na urządzenie niepoufalne dane rejestracyjne (takie jak identyfikatory serwera czy identyfikatory rejestracji). Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie skonfigurować urządzenia zakupione u autoryzowanych sprzedawców i zarządzać nimi w konsoli EMM.
1.5.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy przy użyciu metody rejestracji typu zero-touch omówionej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Gdy urządzenie jest włączane po raz pierwszy, automatycznie ustawiane są ustawienia zdefiniowane przez administratora IT.
1.6. Zaawansowane rejestrowanie typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzeń dzięki rejestracji typu zero-touch. W połączeniu z adresami URL logowania administratorzy IT mogą ograniczyć rejestrację do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez EMM.
1.6.1. Administratorzy IT mogą włączyć obsługę administracyjną urządzeń należących do firmy przy użyciu metody rejestracji typu zero-touch.
1.6.2. To wymaganie zostało wycofane.
1.6.3. Korzystając z adresu URL logowania, EMM musi zadbać o to, aby nieautoryzowani użytkownicy nie mogli aktywować urządzenia. Aktywacja musi być ograniczona do użytkowników w danej firmie.
1.6.4. Korzystając z adresu URL logowania, EMM musi umożliwić administratorom IT wstępne wypełnianie szczegółów rejestracji (np. identyfikatorów serwera, identyfikatorów rejestracji) oprócz unikalnych informacji o użytkowniku lub urządzeniu (np. nazwy użytkownika/hasła, tokenu aktywacyjnego), aby użytkownicy nie musieli wpisywać tych informacji podczas aktywacji urządzenia.
- W ramach konfiguracji rejestracji bezdotykowej systemy EMM nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.7. Obsługa profilu służbowego na koncie Google
W przypadku firm korzystających z zarządzanej domeny Google ta funkcja prowadzi użytkowników przez proces konfigurowania profilu służbowego po wpisaniu firmowych danych logowania w Workspace podczas konfigurowania urządzenia lub na urządzeniu, które zostało już aktywowane. W obu przypadkach firmowa tożsamość Workspace zostanie przeniesiona do profilu służbowego.
1.8. Obsługa administracyjna urządzenia na koncie Google
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
1.9. Konfiguracja bezpośrednia typu zero-touch
Administratorzy IT mogą używać konsoli EMM do konfigurowania urządzeń z rejestracją typu zero-touch za pomocą elementu iframe do rejestracji typu zero-touch.
1.10. Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy, ustawiając opcję AllowPersonalUsage.
1.10.1. Celowo puste.
1.10.2. Za pomocą zasad PersonalUsagePolicies administratorzy IT mogą konfigurować działania dotyczące zgodności profili służbowych na urządzeniach należących do firmy.
1.10.3. Administratorzy IT mogą dezaktywować kamerę na profilu służbowym lub na całym urządzeniu za pomocą PersonalUsagePolicies.
1.10.4. Administratorzy IT mogą dezaktywować zrzuty ekranu w profilu służbowym lub na całym urządzeniu za pomocą zasad PersonalUsagePolicies.
1.10.5. Administratorzy IT mogą ustawić listę dozwolonych lub zablokowanych aplikacji, które mogą lub nie mogą być instalowane w profilu osobistym, za pomocą PersonalApplicationPolicy.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub czyszcząc całe urządzenie.
1.11. Obsługa administracyjna urządzenia specjalnego
EMM może rejestrować dedykowane urządzenia bez wyświetlania użytkownikowi prośby o uwierzytelnienie za pomocą konta Google.
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczeń urządzenia
Administratorzy IT mogą ustawić i wymuszać na urządzeniach zarządzanych test zabezpieczający (kod PIN, wzór lub hasło) za pomocą wstępnie zdefiniowanego 3 poziomów złożoności.
2.1.1. Zasady muszą wymuszać ustawienia zarządzania wyzwaniami dotyczącymi zabezpieczeń urządzenia (parentProfilePasswordRequirements dla profilu służbowego, passwordRequirements dla w pełni zarządzanych i wyłącznie zarządzanych urządzeń).
2.1.2. Złożoność hasła powinna być zgodna z tymi poziomami złożoności:
- PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, alfabetyczne lub alfanumeryczne hasło o długości co najmniej 4 znaków
- PASSWORD_COMPLExitY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji i o długości co najmniej 8 albo haseł alfabetycznych lub alfanumerycznych i długości co najmniej 6
2.1.3. Na urządzeniach należących do firmy jako starsze ustawienia mogą być też egzekwowane dodatkowe ograniczenia dotyczące haseł.
2.2. Test bezpieczeństwa służbowego
Administratorzy IT mogą ustawić i egzekwować test zabezpieczający w przypadku aplikacji i danych w profilu służbowym, który jest inny i ma inne wymagania niż test zabezpieczający logowanie (2.1).
2.2.1. Zasada musi egzekwować test zabezpieczający bezpieczeństwo w profilu służbowym.
- Domyślnie administratorzy IT powinni ustawiać ograniczenia tylko dla profilu służbowego, jeśli nie określono zakresu
- Administratorzy IT mogą ustawić to urządzenie dla całego urządzenia, określając zakres (zobacz wymaganie 2.1)
2.2.2. Złożoność hasła powinna być mapowana na te wstępnie zdefiniowane poziomy złożoności haseł:
- PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, alfabetyczne lub alfanumeryczne hasło o długości co najmniej 4 znaków
- PASSWORD_COMPLExitY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji i o długości co najmniej 8 albo haseł alfabetycznych lub alfanumerycznych i długości co najmniej 6
2.2.3. Dodatkowe ograniczenia hasła mogą być też wymuszane jako ustawienia starsze.
2.3. Zaawansowane zarządzanie kodami
Administratorzy IT mogą konfigurować zaawansowane ustawienia haseł na urządzeniach.
2.3.1. celowo pusty,
2.3.2. Celowo puste.
2.3.3. W przypadku każdego ekranu blokady dostępnego na urządzeniu można skonfigurować te ustawienia cyklu życia hasła:
- celowo pusty,
- Celowo puste
- Maksymalna liczba nieudanych haseł do wyczyszczenia: określa, ile razy użytkownicy mogą podać nieprawidłowe hasło, zanim firmowe dane zostaną usunięte z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.3.4. (Android 8.0 lub nowszy) Czas oczekiwania na wymagane silne uwierzytelnianie: po określonym przez administratora IT okresie oczekiwania należy podać silny kod uwierzytelniania (np. kod PIN lub hasło). Po upływie okresu oczekiwania słabe metody uwierzytelniania (takie jak odblokowywanie odciskiem palca czy rozpoznawaniem twarzy) są wyłączone, dopóki urządzenie nie zostanie odblokowane za pomocą kodu uwierzytelniania.
2.4. Zarządzanie Smart Lock
Administratorzy IT mogą określać, czy agenty zaufania korzystające z funkcji Smart Lock na Androidzie mogą przedłużyć odblokowywanie urządzenia do maksymalnie 4 godzin.
2.4.1. Administratorzy IT mogą wyłączać agenty zaufania na urządzeniu.
2.5. Wyczyść i zablokuj
Administratorzy IT mogą używać konsoli EMM do zdalnego blokowania i usuwania danych służbowych z urządzenia zarządzanego.
2.5.1. Urządzenia muszą być zablokowane przy użyciu interfejsu Android Management API.
2.5.2. Dane na urządzeniach muszą zostać wyczyszczone za pomocą interfejsu Android Management API.
2.6 egzekwowanie zgodności,
Jeśli urządzenie nie jest zgodne z zasadami zabezpieczeń, zasady zgodności wprowadzone przez interfejs Android Management API automatycznie ograniczają korzystanie z danych służbowych.
2.6.1. Zasady zabezpieczeń egzekwowane na urządzeniu muszą co najmniej obejmować zasady dotyczące haseł.
2.7. Domyślne zasady zabezpieczeń
Domyślnie usługi EMM muszą egzekwować określone zasady zabezpieczeń na urządzeniach bez konieczności konfigurowania i dostosowywania żadnych ustawień w konsoli EMM przez administratorów IT. EMM są zachęcane (ale nie jest to wymagane), aby nie zezwalać administratorom IT na zmianę domyślnego stanu tych funkcji bezpieczeństwa.
2.7.1. Instalowanie aplikacji z nieznanych źródeł musi być zablokowane, w tym aplikacji zainstalowanych w profilu osobistym na dowolnym urządzeniu z Androidem 8.0 lub nowszym z profilem służbowym. Ta podfunkcja jest obsługiwana domyślnie.
2.7.2. Funkcje debugowania muszą być zablokowane. Ta podfunkcja jest obsługiwana domyślnie.
2.8. Zasady zabezpieczeń dotyczące urządzeń specjalnych
Na zablokowanym urządzeniu specjalnym nie można wykonywać żadnych innych działań.
2.8.1. Uruchamianie w trybie awaryjnym musi być domyślnie wyłączone za pomocą zasad (kliknij safeBootDisabled).
2.9. Zespół pomocy Play Integrity
Kontrole Play Integrity są wykonywane domyślnie. Nie musisz nic więcej robić.
2.9.1. celowo pusty,
2.9.2. celowo pusty,
2.9.3. Administratorzy IT mogą konfigurować różne reakcje na zasady w zależności od wartości SecurityRisk urządzenia, w tym blokowanie obsługi, kasowanie danych firmowych i zezwalanie na kontynuowanie rejestracji.
- Usługa EMM będzie egzekwować tę odpowiedź zgodnie z zasadami w przypadku każdego wyniku kontroli integralności.
2.9.4. Celowo puste.
2.10. Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć funkcję Weryfikacja aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem pod kątem szkodliwego oprogramowania przed instalacją i po niej, aby zapewnić bezpieczeństwo danych firmowych.
2.10.1. Weryfikacja aplikacji musi być domyślnie włączona za pomocą zasad (wejdź na stronę ensureVerifyAppsEnabled).
2.11. Obsługa bezpośredniego rozruchu
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie musisz nic więcej implementować.
2.12. Zarządzanie zabezpieczeniami sprzętu
Administratorzy IT mogą blokować elementy sprzętowe urządzenia należącego do firmy, aby zapobiec utracie danych.
2.12.1. Administratorzy IT mogą zablokować użytkownikom możliwość podłączania zewnętrznych nośników danych za pomocą zasad (otwórz stronę mountPhysicalMediaDisabled).
2.12.2. Administratorzy IT mogą zablokować użytkownikom udostępnianie danych z urządzenia za pomocą wiązki NFC, używając zasad (wejdź na stronę outgoingBeamDisabled). Ta funkcja jest opcjonalna, ponieważ funkcja wiązki NFC nie jest już obsługiwana w Androidzie w wersji 10 i wyższych.
2.12.3. Administratorzy IT mogą zablokować użytkownikom możliwość przesyłania plików przez USB za pomocą zasad (wejdź na stronę usbFileTransferDisabled).
2.13. Rejestrowanie zabezpieczeń firmowych
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
3. Zarządzanie kontem i aplikacjami
3.1. Powiązanie z firmą
Administratorzy IT mogą powiązać EMM z organizacją, umożliwiając mu korzystanie z zarządzanego Sklepu Google Play do rozpowszechniania aplikacji na urządzenia.
3.1.1. Administrator, który ma zarządzaną domenę Google, może powiązać swoją domenę z usługą EMM.
3.1.2. celowo pusty,
3.1.3. Celowo puste.
3.1.4. Konsola EMM prowadzi administratora przez proces rejestracji w Androidzie, w którym prosi o podanie służbowego adresu e-mail i zniechęca do korzystania z konta Gmail.
3.1.5. EMM wstępnie wypełnia adres e-mail administratora w procesie rejestracji na Androidzie.
3.2. Obsługa administracyjna zarządzanego konta Google Play
EMM może automatycznie udostępniać konta użytkowników w organizacji, czyli konta zarządzanego Sklepu Google Play. Te konta identyfikują zarządzanych użytkowników i zezwalają na stosowanie unikalnych reguł dystrybucji aplikacji dla poszczególnych użytkowników.
3.2.1. Konta zarządzanego Sklepu Google Play (konta użytkowników) są tworzone automatycznie podczas obsługi administracyjnej urządzeń.
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie jest wymagana dodatkowa implementacja.
3.3 Obsługa administracyjna konta urządzenia w zarządzanym Sklepie Google Play
Usługa EMM może tworzyć i konfigurować konta w zarządzanym Sklepie Google Play. Konta urządzeń umożliwiają automatyczne instalowanie aplikacji ze Sklepu Google Play zarządzanego i nie są powiązane z konkretnym użytkownikiem. Zamiast tego do identyfikowania pojedynczego urządzenia w celu obsługi reguł dystrybucji aplikacji na poszczególnych urządzeniach w dedykowanych scenariuszach służy konto urządzenia.
3.3.1. Konta zarządzanego Sklepu Google Play są tworzone automatycznie podczas obsługiwania urządzeń.
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie musisz nic więcej implementować.
3.4. Wdrażanie konta zarządzanego Sklepu Google Play na urządzeniach starszej generacji
Ta funkcja została wycofana.
3.5 Dyskretne rozpowszechnianie aplikacji
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach bez interakcji ze strony użytkownika.
3.5.1. Konsolę EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT instalowanie aplikacji służbowych na zarządzanych urządzeniach.
3.5.2. Konsola EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.3. Konsola EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT odinstalowywanie aplikacji na urządzeniach zarządzanych.
3.6 Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i cicho ustawiać konfiguracje zarządzane w przypadku każdej aplikacji, która obsługuje konfiguracje zarządzane.
3.6.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej dowolnej aplikacji z Google Play.
3.6.2. Konsola EMM musi umożliwiać administratorom IT konfigurowanie dowolnego typu konfiguracji (zdefiniowanego przez platformę Android Enterprise) dla dowolnej aplikacji w Google Play za pomocą interfejsu API do zarządzania Androidem.
3.6.3. Konsola EMM musi umożliwiać administratorom IT konfigurowanie symboli wieloznacznych (takich jak $username$ lub %emailAddress%), aby można było stosować jedną konfigurację aplikacji (np. Gmaila) dla wielu użytkowników.
3.7. Zarządzanie katalogiem aplikacji
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie jest wymagana dodatkowa implementacja.
3.8. Zatwierdzanie aplikacji w ramach automatyzacji
Konsola EMM używa elementu iframe zarządzanego Sklepu Google Play, aby obsługiwać funkcje wyszukiwania i zatwierdzania aplikacji w Sklepie Google Play. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać aplikacje i zatwierdzać nowe uprawnienia aplikacji bez wychodzenia z konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać aplikacje i zatwierdzać je w konsoli EMM za pomocą elementu iframe zarządzanego Sklepu Google Play.
3.9. Podstawowe zarządzanie układem sklepu
Zarządzany Sklep Google Play umożliwia instalowanie i aktualizowanie aplikacji służbowych. Domyślnie zarządzany Sklep Google Play wyświetla aplikacje zatwierdzone dla użytkownika na jednej liście. Ten układ nazywamy podstawowym układem sklepu.
3.9.1. Konsolę EMM należy zaprojektować tak, aby administratorzy IT mogli zarządzać aplikacjami widocznymi w podstawowym interfejsie sklepu dla użytkowników.
3.10. Zaawansowana konfiguracja układu sklepu
3.10.1. Administratorzy IT mogą dostosowywać układ sklepu w aplikacji Sklep Google Play.
3.11. Zarządzanie licencjami na aplikację
Ta funkcja została wycofana.
3.12. Zarządzanie aplikacjami prywatnymi hostowanymi przez Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM, a nie w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które zostały już opublikowane prywatnie w firmie, za pomocą:
3.13. Własne zarządzanie prywatnymi aplikacjami
Administratorzy IT mogą konfigurować i publikować własne aplikacje prywatne. W odróżnieniu od aplikacji prywatnych hostowanych przez Google, Google Play nie hostuje plików APK. Zamiast tego usługa EMM pomaga administratorom IT hostować pakiety APK i chronić aplikacje hostowane samodzielnie, zapewniając, że można je zainstalować tylko wtedy, gdy zezwoli na to zarządzany Sklep Google Play.
3.13.1. Konsola EMM musi ułatwiać administratorom IT hostowanie pliku APK aplikacji, oferując te opcje:
- Przechowywanie pliku APK na serwerze EMM. Serwer może znajdować się w siedzibie organizacji lub w chmurze.
- Hostowanie pakietu APK poza serwerem EMM według uznania firmy. Administrator IT musi określić w konsoli EMM, gdzie znajduje się pakiet APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji APK na podstawie przesłanego pakietu APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować prywatne aplikacje hostowane lokalnie, a konsola EMM może publikować zaktualizowane pliki definicji APK bez powiadamiania o tym użytkowników za pomocą interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje żądania pobierania pakietów APK hostowanych lokalnie, które zawierają prawidłowy token JWT w pliku cookie żądania, co zostało zweryfikowane przez klucz publiczny aplikacji prywatnej.
- Aby ułatwić ten proces, serwer EMM musi polecić administratorom IT pobranie klucza publicznego licencji aplikacji hostowanej samodzielnie z Konsoli Google Play i przesłanie tego klucza do konsoli EMM.
3.14. Powiadomienia o wybieraniu EMM
Ta funkcja nie dotyczy interfejsu Android Management API. Skonfiguruj zamiast tego powiadomienia Pub/Sub.
3.15. Wymagania dotyczące korzystania z interfejsu API
EMM wdraża interfejsy API do zarządzania Androidem na dużą skalę, unikając wzorców ruchu, które mogłyby negatywnie wpłynąć na zdolność przedsiębiorstw do zarządzania aplikacjami w środowiskach produkcyjnych.
3.15.1. Dostawca usług EMM musi przestrzegać limitów wykorzystania interfejsu Android Management API. Nieskorygowanie działania wykraczającego poza te wytyczne może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.2. EMM powinien rozprowadzać ruch z różnych firm w ciągu dnia, a nie konsolidować ruch firmowy w określonych lub podobnych momentach. Zachowanie pasujące do tego wzorca ruchu, takie jak zaplanowane operacje zbiorcze na każdym zarejestrowanym urządzeniu, może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.3. Usługa EMM nie powinna wysyłać żądań, które są konsekwentne, niepełne lub celowo nieprawidłowe, ponieważ nie próbują one pobierać rzeczywistych danych przedsiębiorstwa ani nimi zarządzać. Zachowanie pasujące do tego wzorca ruchu może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.16. Zaawansowane zarządzanie konfiguracją zarządzaną
Usługi EMM obsługują te zaawansowane funkcje zarządzania konfiguracją zarządzaną:
3.16.1. Konsola EMM musi umożliwiać pobieranie i wyświetlanie maksymalnie 4 poziomów zagnieżdżonych ustawień konfiguracji zarządzanej dowolnej aplikacji w Google Play za pomocą:
- element iframe zarządzanego Sklepu Google Play lub
- niestandardowy interfejs.
3.16.2. Konsola EMM musi mieć możliwość pobierania i wyświetlania wszelkich opinii zwracanych przez kanał opinii o aplikacji, gdy został on skonfigurowany przez administratora IT.
- Konsola EMM musi umożliwiać administratorom IT powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z której pochodzi.
- Konsola EMM musi umożliwiać administratorom IT subskrybowanie alertów lub raportów dotyczących określonych typów wiadomości (np. komunikatów o błędach).
3.16.3. Konsola EMM musi wysyłać tylko wartości, które mają wartość domyślną lub zostały ręcznie ustawione przez administratora za pomocą:
- element iframe konfiguracji zarządzanej,
- niestandardowy interfejs;
3.17. Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i rozpowszechniać aplikacje internetowe w konsoli EMM.
3.17.1. Konsola EMM umożliwia administratorom IT rozpowszechnianie skrótów do aplikacji internetowych za pomocą:
3.18. Zarządzanie cyklem życia konta zarządzanego Sklepu Google Play
Usługi EMM mogą tworzyć, aktualizować i usuwać zarządzane konta Google Play w imieniu administratorów IT oraz automatycznie przywracać konta po ich wygaśnięciu.
Ta funkcja jest obsługiwana domyślnie. Nie musisz implementować dodatkowych funkcji EMM.
3.19. Zarządzanie ścieżkami aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera w przypadku danej aplikacji.
3.19.2. Administratorzy IT mogą skonfigurować urządzenia tak, aby korzystały z określonej ścieżki rozwoju aplikacji.
3,20. Zaawansowane zarządzanie aktualizacjami aplikacji
Administratorzy IT mogą zezwolić na natychmiastowe aktualizowanie aplikacji lub odłożyć ich aktualizację na 90 dni.
3.20.1. Administratorzy IT mogą zezwolić aplikacjom na korzystanie z aktualizacji o wysokim priorytecie, aby były aktualizowane, gdy tylko będzie to możliwe. 3.20.2. Administratorzy IT mogą zezwolić na opóźnianie aktualizacji aplikacji przez 90 dni.
3.21. Zarządzanie metodami obsługi administracyjnej
EMM może generować konfiguracje obsługi administracyjnej i prezentować je administratorowi IT w formie gotowej do dystrybucji dla użytkowników końcowych (np. kod QR, konfiguracja typu zero-touch, adres URL Sklepu Play).
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami dotyczącymi uprawnień w czasie działania
Administratorzy IT mogą bez udziału użytkownika ustawić domyślną odpowiedź na prośby o przyznanie uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Podczas ustawiania domyślnych zasad uprawnień w czasie działania w organizacji administratorzy IT muszą mieć do wyboru te opcje:
- prompt (umożliwia użytkownikom wybór)
- allow
- odmowa
EMM powinien wymuszać te ustawienia za pomocą zasad.
4.2. Zarządzanie stanem przypisania uprawnień w czasie działania
Po ustawieniu domyślnych zasad dotyczących uprawnień czasu działania (patrz punkt 4.1), Administratorzy IT mogą ustawiać odpowiedzi na żądania określonych uprawnień z dowolnej aplikacji służbowej opartej na poziomie interfejsu API 23 lub nowszym.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu zgody (domyślny, zgoda lub odmowa) dla dowolnego uprawnienia żądanego przez dowolną aplikację służbową utworzoną na podstawie poziomu API 23 lub nowszego. EMM powinien wymusić te ustawienia za pomocą zasad.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą w sposób cichy udostępniać konfiguracje sieci Wi-Fi w przypadku zarządzanych urządzeń, w tym:
4.3.1. Identyfikator SSID przy użyciu zasad.
4.3.2. Hasło, korzystając z zasad.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać konfiguracje Wi-Fi dla firm na urządzeniach, które mają te zaawansowane funkcje zabezpieczeń:
4.4.1. Tożsamość
4.4.2. Certyfikaty do autoryzacji klienta
4.4.3. Certyfikaty CA
4,5. Zaawansowane zarządzanie Wi-Fi
Administratorzy IT mogą zablokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą blokować firmowe konfiguracje Wi-Fi za pomocą zasad w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnionych przez EMM (kliknij
wifiConfigsLockdownEnabled), ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkowników (np. sieci osobiste). - Użytkownicy nie mogą dodawać ani modyfikować żadnej sieci Wi-Fi na urządzeniu (otwórz stronę
wifiConfigDisabled), ograniczając łączność Wi-Fi tylko do sieci udostępnianych przez dostawcę usług EMM.
4.6. Zarządzanie kontem
Administratorzy IT mogą zadbać o to, aby tylko autoryzowane konta firmowe miały dostęp do firmowych danych w usługach takich jak usługi w chmurze, aplikacje do przechowywania i produktywności czy poczta e-mail. Bez tej funkcji użytkownicy mogą dodawać konta osobiste do tych aplikacji firmowych, które obsługują też konta użytkowników, co umożliwia im udostępnianie danych firmowych tym kontom osobistym.
4.6.1. Administratorzy IT mogą uniemożliwić użytkownikom dodawanie i modyfikowanie kont (patrz: modifyAccountsDisabled).
- Aby wdrożyć tę zasadę na urządzeniu, administratorzy EMM muszą ustawić to ograniczenie przed zakończeniem obsługi, aby użytkownicy nie mogli jej obejść, dodając konta przed jej wprowadzeniem.
4.7. Zarządzanie kontem Workspace
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
4.8. Zarządzanie certyfikatami
Pozwala administratorom IT wdrażać na urządzeniach certyfikaty tożsamości i urzędy certyfikacji, aby umożliwić korzystanie z zasobów firmowych.
4.8.1. Administratorzy IT mogą instalować dla poszczególnych użytkowników certyfikaty tożsamości użytkowników wygenerowane przez ich infrastrukturę klucza publicznego. Konsola EMM musi zintegrować co najmniej jedną infrastrukturę klucza publicznego i rozpowszechniać certyfikaty wygenerowane przez tę infrastrukturę.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji (patrz caCerts) w zarządzanym magazynie kluczy. Ta funkcja nie jest jednak obsługiwana.
4.9. Zaawansowane zarządzanie certyfikatami
Umożliwia administratorom IT automatyczny wybór certyfikatów, których powinny używać określone aplikacje zarządzane. Ta funkcja umożliwia też administratorom IT usuwanie certyfikatów tożsamości i CA z aktywnych urządzeń oraz uniemożliwianie użytkownikom modyfikowanie danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzenia administratorzy IT mogą określić certyfikat, który będzie automatycznie przyznawał aplikacji dostęp podczas działania. (Ta funkcja nie jest obsługiwana)
- Wybór certyfikatu musi być wystarczająco ogólny, aby umożliwić zastosowanie jednej konfiguracji dla wszystkich użytkowników, z których każdy może mieć certyfikat tożsamości danego użytkownika.
4.9.2. Administratorzy IT mogą usuwać certyfikaty z zarządzanego magazynu kluczy.
4.9.3. Administratorzy IT mogą po cichu odinstalować certyfikat urzędu certyfikacji. (Ta podfunkcja nie jest obsługiwana)
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie poświadczeń (kliknij credentialsConfigDisabled) w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą przyznać wstępnie certyfikaty dla aplikacji służbowych za pomocą ChoosePrivateKeyRule.
4.10. Zarządzanie certyfikatami delegowanymi
Administratorzy IT mogą rozpowszechniać na urządzeniach aplikację do zarządzania certyfikatami innych firm i przyznawać jej uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT mogą określić pakiet do zarządzania certyfikatami (przejdź do sekcji delegatedCertInstallerPackage), aby ustawić go jako aplikację do zarządzania delegowanymi certyfikatami.
- Usługi EMM mogą opcjonalnie sugerować znane pakiety do zarządzania certyfikatami, ale muszą umożliwić administratorowi IT wybranie z listy aplikacji do zainstalowania dla odpowiednich użytkowników.
4.11. Zaawansowane funkcje zarządzania siecią VPN
Umożliwia administratorom IT ustawienie stałej sieci VPN, dzięki czemu dane z określonych aplikacji zarządzanych zawsze będą przechodzić przez konfigurację sieci VPN.
4.11.1. Administratorzy IT mogą określić dowolny pakiet VPN, który zostanie ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie sugerować znane pakiety VPN obsługujące stały VPN, ale nie może ograniczać sieci VPN dostępnych dla konfiguracji stałej do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych, aby określić ustawienia VPN dla aplikacji.
4.12. Zarządzanie IME
Administratorzy IT mogą zarządzać tym, jakie metody wprowadzania (IME) mogą być konfigurowane na urządzeniach. Metoda IME jest współdzielona przez profile służbowe i osobiste, więc zablokowanie jej użycia uniemożliwi użytkownikom korzystanie z tej metody do celów osobistych. Administratorzy IT nie mogą jednak blokować używania systemowych IME na profilach służbowych (więcej informacji znajdziesz w sekcji Zaawansowane zarządzanie IME).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (kliknij permitted_input_methods) o dowolnej długości (w tym pustą listę, która blokuje niesystemowe IME), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.12.2. EMM musi poinformować administratorów IT, że systemowe klawiatury IME są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13. Zaawansowane zarządzanie IME
Administratorzy IT mogą zarządzać metodami wprowadzania, które użytkownicy mogą skonfigurować na urządzeniu. Zaawansowane zarządzanie IME rozszerza podstawową funkcję, umożliwiając administratorom IT zarządzanie systemowymi IME, które są zwykle dostarczane przez producenta urządzenia lub operatora.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (kliknij permitted_input_methods) o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie IME, w tym systemowe), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.13.2. Konsole EMM muszą uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie uniemożliwi konfigurowanie na urządzeniu wszystkich IME, w tym IME systemowych.
4.13.3. Dostawca usług EMM musi zadbać o to, aby w przypadku gdy lista dozwolonych metod wejściowych nie zawiera systemowych metod wejściowych, systemowe metody wejściowe były instalowane bez powiadamiania użytkownika przed zastosowaniem listy dozwolonych na urządzeniu.
4.14. Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, jakie usługi ułatwień dostępu mogą zezwalać użytkownikom na uruchamianie na urządzeniach. Usługi ułatwień dostępu to potężne narzędzia dla użytkowników z niepełnosprawnościami lub tymczasowo niezdolnych do pełnej interakcji z urządzeniem. Mogą jednak wchodzić w interakcje z danymi firmowymi w sposób niezgodny z zasadami firmy. Ta funkcja pozwala administratorom IT wyłączyć dowolną usługę ułatwień dostępu, która nie jest związana z systemem.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu (wejdź na stronę permittedAccessibilityServices) o dowolnej długości (w tym pustą listę, która blokuje usługi ułatwień dostępu niesystemowych). Lista może zawierać dowolny pakiet usług ułatwień dostępu. Gdy zastosujesz to na profilu służbowym, wpłynie to zarówno na profil osobisty, jak i służbowy.
- Konsola może opcjonalnie sugerować znane lub zalecane usługi ułatwień dostępu do uwzględnienia na liście dozwolonych, ale musi umożliwić administratorowi IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.15. Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom na profilu służbowym. W przeciwnym razie ustawienie lokalizacji w profilu służbowym można zmienić w ustawieniach.
4.15.1. Administratorzy IT mogą wyłączyć usługi lokalizacyjne (kliknij shareLocationDisabled) w profilu służbowym.
4.16. Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą narzucać określone ustawienie udostępniania lokalizacji na urządzeniu zarządzanym. Dzięki tej funkcji aplikacje firmowe zawsze mają wysoką dokładność danych o lokalizacji. Ta funkcja może też zapobiegać nadmiernemu zużyciu baterii przez ograniczenie ustawień lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacyjne urządzenia w jednym z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, ale nie lokalizacja zapewniana przez sieć.
- Oszczędzanie baterii, które ogranicza częstotliwość aktualizacji.
- Wyłączone.
4.17. Zarządzanie ochroną przywracania do ustawień fabrycznych
Pozwala administratorom IT chronić urządzenia należące do firmy przed kradzieżą, zapewniając, że nieupoważnione osoby nie będą mogły przywrócić urządzeń do ustawień fabrycznych. Jeśli ochrona przed przywróceniem do ustawień fabrycznych powoduje komplikacje operacyjne, gdy urządzenia są zwracane do działu IT, administratorzy IT mogą całkowicie wyłączyć tę ochronę.
4.17.1. Administratorzy IT mogą uniemożliwić użytkownikom przywracanie ustawień fabrycznych (otwórz factoryResetDisabled) w Ustawieniach.
4.17.2. Administratorzy IT mogą określić konta do odblokowania urządzeń firmowych autoryzowane do obsługi administracyjnej urządzeń (otwórz stronę frpAdminEmails) po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z konkretną osobą lub używane przez całą firmę do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przed przywróceniem do ustawień fabrycznych (kliknij factoryResetDisabled) na wybranych urządzeniach.
4.17.4. Administratorzy IT mogą rozpocząć zdalne wyczyszczanie urządzenia, które opcjonalnie usuwa dane ochrony przed przywróceniem do ustawień fabrycznych, a tym samym usuwa ochronę przed przywróceniem do ustawień fabrycznych na urządzeniu.
4.18. Zaawansowana kontrola aplikacji
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowanie lub zmodyfikowanie zarządzanych aplikacji w ustawieniach. Może to być na przykład uniemożliwienie wymuszonego zamknięcia aplikacji lub wyczyszczenie pamięci podręcznej z danymi aplikacji.
4.18.1. Administratorzy IT mogą zablokować odinstalowanie dowolnej aplikacji zarządzanej lub wszystkich aplikacji zarządzanych (kliknij uninstallAppsDisabled).
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w Ustawieniach. (interfejs Android Management API nie obsługuje tej funkcji podrzędnej)
4.19. Zarządzanie zrzutami ekranu
Administratorzy IT mogą zablokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z aplikacji zarządzanych. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (np. Asystenta Google), które korzystają z funkcji zrzutu ekranu.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu (otwórz screenCaptureDisabled).
4.20. Wyłączanie aparatów
Administratorzy IT mogą wyłączyć stosowanie aparatów urządzeń przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć kamery urządzeń (kliknij cameraDisabled) w zarządzanych aplikacjach.
4.21. Zbieranie statystyk sieci
Interfejs Android Management API nie obsługuje tej funkcji.
4.22. Zbieranie zaawansowanych statystyk sieci
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
4.23. Uruchom urządzenie ponownie
Administratorzy IT mogą zdalnie ponownie uruchamiać zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie ponownie uruchomić zarządzane urządzenie.
4.24. Systemowe zarządzanie radiem
Zapewnia administratorom IT szczegółowe zarządzanie systemami radiowymi sieci i powiązanymi z nimi zasadami użytkowania za pomocą zasad.
4.24.1. Administratorzy IT mogą wyłączyć transmisje komórkowe wysyłane przez dostawców usług (kliknij cellBroadcastsConfigDisabled).
4.24.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach (kliknij mobileNetworksConfigDisabled).
4.24.3. Administratorzy IT mogą uniemożliwić użytkownikom resetowanie wszystkich ustawień sieci w sekcji Ustawienia. (otwórz networkResetDisabled).
4.24.4. Administratorzy IT mogą skonfigurować, czy urządzenie ma zezwalać na mobilną transmisję danych w roamingu (kliknij dataRoamingDisabled).
4.24.5. Administratorzy IT mogą skonfigurować, czy urządzenie może wykonywać wychodzące połączenia telefoniczne (z wyjątkiem połączeń alarmowych – przejdź do outGoingCallsDisabled).
4.24.6. Administratorzy IT mogą skonfigurować, czy urządzenie może wysyłać i odbierać SMS-y (przejdź do smsDisabled).
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z urządzeń jako przenośnego punktu dostępu przez tethering (więcej informacji znajdziesz tutaj: tetheringConfigDisabled).
4.24.8. Administratorzy IT mogą ustawić czas oczekiwania na Wi-Fi na domyślny, podczas ładowania lub nigdy. (interfejs Android Management API nie obsługuje tej funkcji podrzędnej)
4.24.9. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie i modyfikowanie istniejących połączeń Bluetooth (wejdź na stronę bluetoothConfigDisabled).
4,25. Systemowe zarządzanie dźwiękiem
Administratorzy IT mogą bezgłośnie kontrolować funkcje audio urządzenia, w tym wyciszać urządzenie, uniemożliwiać użytkownikom modyfikowanie ustawień głośności oraz uniemożliwiać użytkownikom odblokowanie mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą wyciszyć urządzenia zarządzane. (interfejs Android Management API nie obsługuje tej funkcji podrzędnej)
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności
urządzenia (otwórz adjustVolumeDisabled). Spowoduje to też wyciszenie urządzeń.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyciszanie mikrofonu na urządzeniu (kliknij unmuteMicrophoneDisabled).
4.26. Systemowe zarządzanie zegarem
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej urządzenia oraz uniemożliwiać użytkownikom modyfikowanie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą wymusić stosowanie automatycznego czasu i automatycznej strefy czasowej systemu, uniemożliwiając użytkownikowi ustawienie daty, godziny i strefy czasowej urządzenia.
4.27. Zaawansowane funkcje urządzeń specjalnych
W przypadku urządzeń dedykowanych administratorzy IT mogą zarządzać wymienionymi poniżej funkcjami za pomocą zasad, aby obsługiwać różne przypadki użycia kiosku.
4.27.1. Administratorzy IT mogą wyłączyć blokadę klawiszy na urządzeniu (otwórz keyguardDisabled).
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokować powiadomienia i Szybkie ustawienia (otwórz statusBarDisabled).
4.27.3. Administratorzy IT mogą wymusić pozostawanie ekranu urządzenia w stanie włączonym, gdy jest ono podłączone (kliknij stayOnPluggedModes).
4.27.4. Administratorzy IT mogą uniemożliwić wyświetlanie tych interfejsów systemu (otwórz createWindowsDisabled):
- Tosty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na pomijanie samouczka dla użytkowników i innych wskazówek systemowych przy pierwszym uruchomieniu (kliknij skip_first_use_hints).
4.28. Zarządzanie zakresem delegowanym
Administratorzy IT mogą przekazywać dodatkowe uprawnienia poszczególnym pakietom.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalowanie certyfikatów i zarządzanie nimi
- celowo pusty,
- Rejestrowanie sieciowe
- Rejestrowanie zabezpieczeń (nieobsługiwane na profilu służbowym na urządzeniu osobistym)
4.29. Obsługa identyfikatora w trakcie rejestracji
Od Androida 12 profile służbowe nie będą już miały dostępu do identyfikatorów sprzętowych. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym, korzystając z identyfikatora przypisanego do rejestracji, który jest zachowywany podczas przywracania ustawień fabrycznych.
4.29.1. Administratorzy IT mogą uzyskać identyfikator rejestracji
4.29.2. Ten identyfikator rejestracji musi być zachowany po przywróceniu urządzenia do ustawień fabrycznych.
5. Wykorzystanie urządzenia
5.1. Dostosowywanie zarządzanego udostępniania
Administratorzy IT mogą modyfikować domyślny UX procesu konfiguracji, aby uwzględnić funkcje biznesowe. Opcjonalnie administratorzy IT mogą wyświetlać podczas obsługi administracyjnej branding dostarczony przez EMM.
5.1.1. Administratorzy IT mogą dostosować proces obsługi administracyjnej, określając specyficzne dla firmy warunki korzystania z usługi i inne wyłączenia odpowiedzialności (otwórz termsAndConditions).
5.1.2. Administratorzy IT mogą wdrażać niestandardowe warunki korzystania z usługi i inne wyłączenia odpowiedzialności związane z usługą EMM (kliknij termsAndConditions).
- Dostawcy usług EMM mogą ustawić niestandardowe ustawienia, których nie można konfigurować, jako domyślne dla wdrożeń, ale muszą zezwolić administratorom IT na konfigurowanie własnych ustawień.
5.1.3. primaryColor został wycofany w przypadku zasobu firmowego na Androidzie 10 lub nowszym.
5.2. Dostosowywanie wersji Enterprise
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
5.3. Zaawansowane opcje dostosowywania dla firm
Interfejs Android Management API nie obsługuje tej funkcji.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który zawsze wyświetla się na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia.
5.4.1. Administratorzy IT mogą ustawić niestandardowy komunikat na ekranie blokady (kliknij deviceOwnerLockScreenInfo).
5.5 Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosować tekst pomocy wyświetlany użytkownikom, gdy próbują oni zmodyfikować ustawienia zarządzane na urządzeniu, lub wdrożyć ogólny komunikat pomocy dostarczony przez EMM. Zarówno krótkie, jak i długie komunikaty pomocy można dostosować. Wyświetlają się one w takich sytuacjach jak próba odinstalowania aplikacji zarządzanej, której administrator IT zablokował odinstalowanie.
5.5.1. Administratorzy IT mogą dostosowywać krótkie i długie komunikaty pomocy wyświetlane użytkownikom.
5.5.2. Administratorzy IT mogą wdrażać niekonfigurowalne, specyficzne dla usług EMM oraz krótkie i długie wiadomości pomocy (zapoznaj się z shortSupportMessage i longSupportMessage w policies).
- Usługa EMM może ustawić jako domyślne dla wdrożeń wiadomości pomocy dotyczącej EMM, których nie można konfigurować, ale musi zezwolić administratorom IT na konfigurowanie własnych wiadomości.
5.6 Zarządzanie kontaktami na różnych profilach
5.6.1. Administratorzy IT mogą wyłączyć wyświetlanie kontaktów służbowych w profilu osobistym w przypadku wyszukiwania kontaktów i połączeń przychodzących.
5.6.2. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth kontaktów służbowych, na przykład podczas korzystania z handsfree w samochodzie lub zestawu słuchawkowego.
5.7. Zarządzanie danymi w różnych profilach
Umożliwia administratorom IT zarządzanie typami danych, które mogą być udostępniane między profilami służbowymi i osobistymi, co pozwala im zrównoważyć łatwość obsługi i bezpieczeństwo danych zgodnie z własnymi wymaganiami.
5.7.1. Administratorzy IT mogą skonfigurować zasady udostępniania danych na różnych profilach, aby aplikacje osobiste mogły rozwiązywać intencje z profilu służbowego, takie jak udostępnianie inencji lub linków internetowych.
5.7.2. Administratorzy IT mogą zezwolić aplikacjom z profilu służbowego na tworzenie i wyświetlanie widżetów na ekranie głównym profilu osobistego. Ta funkcja jest domyślnie wyłączona, ale można ją włączyć za pomocą pól workProfileWidgets i workProfileWidgetsDefault.
5.7.3. Administratorzy IT mogą kontrolować możliwość kopiowania i wklejania danych między profilem służbowym a osobistym.
5,8. Zasady aktualizacji systemu
Administratorzy IT mogą konfigurować i przeprowadzać bezprzewodowe aktualizacje systemu na urządzeniach.
5.8.1. Konsola usługi EMM umożliwia administratorom IT skonfigurowanie tych konfiguracji OTA:
- Automatycznie: urządzenia instalują aktualizacje OTA, gdy tylko są dostępne.
- Odłożenie: administratorzy IT muszą mieć możliwość odłożenia aktualizacji OTA na okres do 30 dni. Te zasady nie mają wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okresowe: administratorzy IT muszą mieć możliwość zaplanowania aktualizacji OTA w ramach dziennego okresu konserwacji.
5.8.2. Konfiguracje OTA są stosowane na urządzeniach za pomocą zasad.
5.9. Zarządzanie trybem blokowania zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie i upewnić się, że użytkownicy nie mogą zamknąć aplikacji.
5.9.1. Konsola EMM umożliwia administratorom IT dyskretne zezwolenie na instalowanie dowolnego zestawu aplikacji i blokowanie go na urządzeniu. Zasady umożliwiają konfigurowanie dedykowanych urządzeń.
5.10. Trwałe zarządzanie preferowanymi działaniami
Umożliwia administratorom IT ustawienie aplikacji jako domyślnego modułu obsługi intencji pasującej do określonego filtra intencji. Dzięki tej funkcji administratorzy IT będą mogli wybrać, która przeglądarka ma automatycznie otwierać linki internetowe. Ta funkcja pozwala wybrać aplikację uruchamianą po naciśnięciu przycisku ekranu głównego.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji dla dowolnego filtra intencji.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane intencje do konfiguracji, ale nie może ograniczać intencji do dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybieranie z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
5.11. Zarządzanie funkcją Keyguard
Administratorzy IT mogą zarządzać funkcjami dostępnymi dla użytkowników przed odblokowaniem ekranu blokady urządzenia i ekranu blokady.
5.11.1.Zasady mogą wyłączyć te funkcje ekranu blokady:
- agentów zaufania
- odblokowywanie odciskiem palca
- nieusunięte powiadomienia
5.11.2. Za pomocą zasady można wyłączyć te funkcje ekranu blokady w profilu służbowym:
- agenty zaufania
- odblokowywanie odciskiem palca
5.12. Zaawansowane zarządzanie funkcjami blokady klawiszy
- Zabezpieczanie aparatu
- Wszystkie powiadomienia
- Nieusunięte
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje blokady klawiszy
5.13. Debugowanie zdalne
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
5.14. Pobieranie adresu MAC
EMM mogą pobierać adres MAC urządzenia w tylu, aby służył do identyfikowania urządzeń w innych częściach infrastruktury przedsiębiorstwa (na przykład w przypadku identyfikowania urządzeń do kontroli dostępu do sieci).
5.14.1. EMM może pobierać adres MAC urządzenia bez powiadomienia użytkownika i kojarzyć go z urządzeniem w konsoli EMM.
5.15. Zaawansowane zarządzanie trybem blokowania zadań
Na specjalnym urządzeniu administratorzy IT mogą używać konsoli EMM do wykonywania tych czynności:
5.15.1. Zezwalanie w trybie cichym na instalowanie i blokowanie na urządzeniu pojedynczej aplikacji.
5.15.2. Włącz lub wyłącz te funkcje interfejsu System UI:
- Przycisk strony głównej
- Omówienie
- Działania globalne
- Powiadomienia
- Informacje o systemie / pasek stanu
- Blokada ekranu. Ta podfunkcja jest domyślnie włączona po wdrożeniu wersji 5.15.1.
5.15.3. Wyłącz okna błędów systemowych.
5.16. Zaawansowana zasada aktualizacji systemu
Administratorzy IT mogą ustawić określony okres blokady, w którym aktualizacje systemu na urządzeniu są blokowane.
5.16.1. Konsola EMM musi umożliwiać administratorom IT blokowanie aktualizacji systemowych OTA w określonym okresie blokady.
5.17. Zarządzanie przejrzystością zasad profilu służbowego
Administratorzy IT mogą dostosowywać komunikat wyświetlany użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą określić tekst, który ma się wyświetlać (wejdź na stronę wipeReasonMessage), gdy wyczyścisz profil służbowy.
5.18. Pomoc dotycząca połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą komunikować się przez granicę profilu służbowego, ustawiając ConnectedWorkAndPersonalApp.
5.19. Ręczna aktualizacja systemu
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
6. Wycofanie administratora urządzenia
6.1. Wycofanie aplikacji do zarządzania urządzeniem
Do końca 2022 r. EMM muszą opublikować plan zakończenia obsługi klienta w ramach usługi Device Admin na urządzeniach GMS do końca I kwartału 2023 r.
7. Wykorzystanie interfejsu API
7.1. Standardowy kontroler zasad dla nowych powiązań
Domyślnie zarządzanie urządzeniami przy użyciu Android Device Policy musi być włączone w przypadku wszystkich nowych powiązań. Dostawcy usług EMM mogą udostępnić opcję zarządzania urządzeniami przy użyciu niestandardowego modelu DPC w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobną. Nowi klienci nie mogą mieć możliwości wyboru dowolnego zbioru technologii podczas procesu rejestracji lub konfiguracji.
7.2. Standardowy kontroler zasad dla nowych urządzeń
Domyślnie urządzenia muszą być zarządzane przy użyciu Android Device Policy w przypadku wszystkich rejestracji nowych urządzeń – zarówno w przypadku istniejących, jak i nowych powiązań. Dostawcy usług EMM mogą udostępnić opcję zarządzania urządzeniami przy użyciu niestandardowego DPC w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobną.