Список функций Android для бизнеса

На этой странице перечислены полный набор функций Android Enterprise.

Если вы намереваетесь управлять более чем 500 устройствами, ваше решение EMM должно поддерживать все стандартные функции ( star ), по крайней мере, одного решения, установленного до того, как оно будет сделано в коммерчески доступной. Решения EMM, которые передают стандартную проверку функций, перечислены в каталоге Android Enterprise Solutions , предлагая стандартный набор управления .

Дополнительный набор расширенных функций доступен для каждого набора решений. Эти функции обозначены на каждой странице «Набор решений»: Рабочий профиль на личном устройстве , рабочее профиль на устройстве, принадлежащем компании , полностью управляемом устройстве и выделенном устройстве . Решения EMM, которые передают расширенную проверку функций, перечислены в каталоге Android Enterprise Solutions , предлагая расширенную набор управления .

Ключ

1. Подготовка устройства

1.1. DPC-первое профиль профиль

После загрузки политики Android Device от Google Play пользователи могут предоставить рабочий профиль.

1.1.1. EMM предоставляет администратора ИТ с QR -кодом или кодом активации для поддержки этого метода обеспечения (перейдите к регистрации и обеспечению устройства ).

1.2. DPC-идентификаторная подготовка устройства

Ввод «AFW#» в мастер настройки устройства обеспечивает полностью управляемое или выделенное устройство.

1.2.1. EMM предоставляет администратора ИТ с QR -кодом или кодом активации для поддержки этого метода обеспечения (перейдите к регистрации и обеспечению устройства ).

1.3. Предоставление устройств NFC

Теги NFC могут быть использованы для ИТ-администраторов для предоставления новых или заводских устройств, в соответствии с руководящими принципами реализации, определенными в документации Play EMM API разработчика .

1.3.1. EMM должны использовать теги NFC Forum Type 2 с не менее 888 байтами памяти. Предоставление должно использовать дополнительные дополнения для передачи нечувствительных деталей регистрации, таких как идентификаторы сервера и идентификаторы регистрации на устройство. Детали регистрации не должны включать конфиденциальную информацию, такую ​​как пароли или сертификаты.

1.3.2. Мы рекомендуем использовать теги NFC для Android 10 и далее из -за снижения луча NFC (также известного как Bump NFC).

1.4. Предоставление устройства с помощью QR-кода

Консоль EMM может генерировать QR-код, который его администраторы могут сканировать для предоставления полностью управляемого или выделенного устройства, в соответствии с руководящими принципами реализации, определенными в документации разработчика API API API Android .

1.4.1. QR-код должен использовать дополнительные дополнения для передачи нечувствительных данных регистрации (таких как идентификаторы сервера, идентификаторы регистрации) на устройство. Детали регистрации не должны включать конфиденциальную информацию, такую ​​как пароли или сертификаты.

1,5. Регистрация без участия пользователя

ИТ-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров , и управлять ими с помощью консоли EMM.

1.5.1. ИТ-администраторы могут предоставить устройства, принадлежащие компании, используя метод регистрации с нулевым примером, изложенным в общих чертах регистрации для администраторов ИТ .

1.5.2. Когда устройство сначала включено, устройство автоматически привлечено к настройкам, определенным администратором ИТ.

1.6. Расширенная автоматическая настройка

Это администраторы могут автоматизировать большую часть процесса регистрации устройств с нулевой регистрацией. В сочетании с URL-адресами входа администраторы могут ограничивать регистрацию определенными учетными записями или доменами, в соответствии с параметрами конфигурации, предлагаемыми EMM.

1.6.1. ИТ-администраторы могут предоставить принадлежащее компании устройство, используя метод регистрации с нулевым сопротивлением .

1.6.2. Это требование устарело.

1.6.3. Используя URL-адрес входа , EMM должен убедиться, что несанкционированные пользователи не могут продолжить активацию. Как минимум, активация должна быть заблокирована пользователям данного предприятия.

1.6.4. Используя URL-адрес входа , EMM должен сделать возможным для ИТ-администраторов предварительно заполнять данные регистрации (например, идентификаторы сервера, идентификаторы регистрации), кроме уникальной информации пользователя или устройства (например, имя пользователя/пароль, токен активации), поэтому, так что что пользователям не нужно вводить детали при активации устройства.

• EMM не должны включать конфиденциальную информацию, такую ​​как пароли или сертификаты, в конфигурацию регистрации с нулевым ударом.

1.7. Профиль профиля работы с учетной записью Google

Для предприятий, которые используют управляемый домен Google, эта функция направляет пользователей через настройку рабочего профиля после ввода учетных данных корпоративного рабочего пространства во время настройки устройства или на уже активированном устройстве. В обоих случаях личность корпоративного рабочего пространства будет перенесена в рабочий профиль.

1.8. Подготовка устройства для аккаунта Google

API Android Management не поддерживает эту функцию.

1.9. Прямая автоматическая настройка

Он может использовать консоль EMM для настройки устройств с нулевым ударом с использованием iframe с нулевым ударом .

1.10. Профили работы на принадлежащих компании устройствах

EMMS может зарегистрировать принадлежащие компании устройства, которые имеют рабочий профиль, устанавливая разрешение на личность .

1.10.1. Намеренно пустой.

1.10.2. ИТ-администраторы могут устанавливать действия по соблюдению профилей работы на принадлежащих компании устройствах через персональную политику .

1.10.3. Это администраторы могут деактивировать камеру либо в рабочем профиле, либо на всем устройстве с помощью персональной политики .

1.10.4. Это администраторы могут деактивировать захват экрана в рабочем профиле или в целом устройстве с помощью PersonalUsAgePolics .

1.10.5. Администраторы могут установить alluctlist или blocklist приложений, которые могут или не могут быть установлены в личном профиле через PersonalApplicationPolicy .

1.10.6. ИТ-администраторы могут отказаться от управления устройством, принадлежащим компании, удалив рабочий профиль или уничтожив все устройство.

1.11. Выделенное обеспечение устройства

EMM могут зарегистрировать выделенные устройства, если пользователь не будет предложено аутентифицировать с учетной записью Google.

2. Безопасность устройства

2.1. Проблема безопасности устройства

Администраторы могут устанавливать и обеспечивать соблюдение задачи безопасности устройства (PIN/шаблон/пароль) из предварительно определенного выбора 3 уровней сложности на управляемых устройствах.

2.1.1. Политика должна обеспечивать соблюдение настроек управления проблемами безопасности устройств (ParentProfilePassWordRequirements для профиля работы, пароль для полностью управляемых и выделенных устройств).

2.1.2. Сложность пароля должна составить сопоставление со следующими сложностями пароля:

1. Password_complexity_low - шаблон или PIN -код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностей.
2. Password_complexity_medium - PIN -код без повторения (4444) или упорядоченных (1234, 4321, 2468) последовательностей, алфавита или буквенно -цифрового пароля с длиной не менее 4
3. Password_complexity_high - PIN -код без повторения (4444) или упорядоченных (1234, 4321, 2468) последовательностей и длины не менее 8 или алфавитных или буквенно -цифровых паролей с длиной не менее 6

2.1.3. Дополнительные ограничения пароля также могут быть соблюдены в качестве устаревших настроек на устройствах, принадлежащих компании.

2.2. Задача безопасности работы

Администраторы могут установить и обеспечивать соблюдение задачи безопасности для приложений и данных в рабочем профиле, который является отдельным и имеет разные требования, от задачи безопасности устройства (2.1.).

2.2.1. Политика должна обеспечить соблюдение задачи безопасности для рабочего профиля.

1. По умолчанию администраторы должны устанавливать ограничения только для профиля работы, если не указана область
2. Он администраторы могут установить это общее устройство, указав область применения (см. Требование 2.1)

2.2.2. Сложность пароля должна сопоставить следующие предопределенные сложности пароля:

1. Password_complexity_low - шаблон или PIN -код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностей.
2. Password_complexity_medium - PIN -код без повторения (4444) или упорядоченных (1234, 4321, 2468) последовательностей, алфавита или буквенно -цифрового пароля с длиной не менее 4
3. Password_complexity_high - PIN без повторения (4444) или упорядоченных (1234, 4321, 2468) последовательностей и длины не менее 8 или алфавитных или буквенно -цифровых паролей с длиной не менее 6

2.2.3. Дополнительные ограничения пароля также могут быть применены в качестве устаревших настроек

2.3. Расширенное управление паролями

ИТ-администраторы могут настраивать расширенные настройки паролей на устройствах.

2.3.1. Намеренно пустой.

2.3.2. Намеренно пустой.

2.3.3. Следующие настройки жизненного цикла пароля могут быть установлены для каждого экрана блокировки, доступного на устройстве:

1. Намеренно пустой
2. Намеренно пустой
3. Максимальные неудачные пароли для Wipe: указывает количество раз, когда пользователи могут ввести неправильный пароль, прежде чем корпоративные данные будут уничтожены с устройства. Администраторы должны быть в состоянии отключить эту функцию.

2.3.4. (Android 8.0+) Требуется сильная аутентификация . После периода времени ожидания методы аутентификации не напряженной (такие как отпечаток пальца, разблокировка лица) выключаются до тех пор, пока устройство не будет разблокировано с помощью сильного пароля аутентификации.

2.4. Управление интеллектуальным замком

Он может управлять тем, разрешается ли доверительные агенты в функции Smart Lock в Android расширять устройство на доход до четырех часов.

2.4.1. Администраторы могут отключить доверительные агенты на устройстве.

2.5. Очистить и заблокировать

ИТ-администраторы могут использовать консоль EMM для удаленной блокировки и удаления рабочих данных с управляемого устройства.

2.5.1. Устройства должны быть заблокированы с использованием API Android Management API .

2.5.2. Устройства должны быть уничтожены с использованием API Android Management .

2.6. Обеспечение соблюдения требований

Если устройство не соответствует политикам безопасности, правила соответствия, внедренные API Android Management, автоматически ограничивают использование рабочих данных.

2.6.1. Минимум, политики безопасности, применяемые на устройстве, должны включать политику паролей.

2.7. Политики безопасности по умолчанию

EMM должны обеспечить применение указанных политик безопасности на устройствах по умолчанию , не требуя, чтобы его администраторы для настройки или настройки любых настроек в консоли EMM. EMM рекомендуются (но не требуются) не позволяют им администратора изменять состояние по умолчанию этих функций безопасности.

2.7.1. Установка приложений из неизвестных источников должна быть заблокирована, включая приложения, установленные на личной стороне любого устройства Android 8.0+ с рабочим профилем. Эта подфектура поддерживается по умолчанию .

2.7.2. Debugging features must be blocked. This subfeature is supported by default.

2.8. Security policies for dedicated devices

No other actions are allowed for a locked down dedicated device.

2.8.1. Booting into safe mode must be turned off by default using policy (Go to safeBootDisabled ).

2.9. Play Integrity Support

Play Integrity checks are made by default. No extra implementation is required.

2.9.1. Deliberately blank.

2.9.2. Deliberately blank.

2.9.3. IT admins can set up different policy responses based on the value of the device's SecurityRisk , including blocking provisioning, wiping corporate data, and allowing enrollment to proceed.

• The EMM service will enforce this policy response for the result of each integrity check.

2.9.4. Deliberately blank.

2.10. Проверьте соблюдение требований к приложениям

ИТ-администраторы могут включить проверку приложений на устройствах. Verify Apps scans apps installed on Android devices for harmful software before and after they're installed, helping to ensure that malicious apps can't compromise corporate data.

2.10.1. Verify Apps must be turned on by default using policy (Go to ensureVerifyAppsEnabled ).

2.11. Поддержка прямой загрузки

The Android Management API supports this feature by default. No extra implementation is required.

2.12. Управление безопасностью оборудования

IT admins can lock down hardware elements of a company-owned device to ensure data-loss prevention.

2.12.1. IT admins can block users from mounting physical external media using policy (go to mountPhysicalMediaDisabled ).

2.12.2. IT admins can block users from sharing data from their device using NFC beam using policy (go to outgoingBeamDisabled ). This subfeature is optional since NFC beam function is no longer supported in Android 10 and higher.

2.12.3. IT admins can block users from transferring files over USB using policy (go to usbFileTransferDisabled ).

2.13. Ведение журнала безопасности предприятия

The Android Management API doesn't support this feature.

3. Управление учетной записью и приложениями

3.1. Корпоративная привязка

ИТ-администраторы могут привязать EMM к своей организации, что позволит EMM использовать управляемый Google Play для распространения приложений на устройствах.

3.1.1. An admin with an existing managed Google domain can bind their domain to the EMM.

3.1.2. Deliberately blank.

3.1.3. Deliberately blank.

3.1.4. The EMM console guides the admin to enter their work email address in the Android signup flow and discourages them from using a Gmail account.

3.1.5. The EMM pre-fills the admin's email address in the Android signup flow.

3.2. Управляемая подготовка учетной записи Google Play

The EMM can silently provision enterprise user accounts, called managed Google Play accounts. These accounts identify managed users and allow unique, per-user app distribution rules.

3.2.1. Managed Google Play Accounts (user accounts) are automatically created when devices are provisioned.

The Android Management API supports this feature by default. No extra implementation is required.

3.3. Managed Google Play device account provisioning

The EMM can create and provision managed Google Play device accounts. Device accounts support silently installing apps from the managed Google Play Store, and are not tied to a single user. Instead, a device account is used to identify a single device to support app distribution rules per device in dedicated device scenarios.

3.3.1. Managed Google Play Accounts are automatically created when devices are provisioned.

The Android Management API supports this feature by default. No extra implementation is required.

3.4. Managed Google Play Account provisioning for legacy devices

This feature is deprecated.

3.5. Тихое распространение приложений

IT admins can silently distribute work apps on devices without any user interaction.

3.5.1. The EMM's console must use the Android Management API to allow IT admins to install work apps on managed devices.

3.5.2. The EMM's console must use the Android Management API to allow IT admins to update work apps on managed devices.

3.5.3. The EMM's console must use the Android Management API to allow IT admins to uninstall apps on managed devices.

3.6. Управляемое управление конфигурацией

ИТ-администраторы могут просматривать и автоматически настраивать управляемые конфигурации для любого приложения, поддерживающего управляемые конфигурации.

3.6.1. The EMM's console must be able to retrieve and display the managed configuration settings of any Play app.

3.6.2. The EMM's console must allow IT admins to set any configuration type (as defined by the Android Enterprise framework) for any Play app using the Android Management API .

3.6.3. The EMM's console must allow IT admins to set wildcards (such as $username$ or %emailAddress%) so that a single configuration for an app such as Gmail can be applied to multiple users.

3.7. Управление каталогом приложений

The Android Management API supports this feature by default. No additional implementation is required.

3.8. Программное одобрение приложения

The EMM's console uses the managed Google Play iframe to support Google Play's app discovery and approval capabilities. IT admins can search for apps, approve apps, and approve new app permissions without leaving the EMM's console.

3.8.1. IT admins can search for apps and approve them within the EMM's console using the managed Google Play iframe .

3.9. Базовое управление планировкой магазина

The managed Google Play Store app can be used to install and update work apps. By default, the managed Google Play Store displays apps approved for a user in a single list. This layout is referred to as basic store layout .

3.9.1. The EMM's console should allow IT admins to manage the apps visible in an end user's basic store layout.

3.10. Расширенная конфигурация макета магазина

3.10.1. IT admins can customize the store layout seen in the managed Google Play Store app.

3.11. Управление лицензиями приложений

This feature is deprecated.

3.12. Управление частными приложениями, размещенными в Google

ИТ-администраторы могут обновлять частные приложения, размещенные в Google, через консоль EMM, а не через консоль Google Play.

3.12.1. IT admins can upload new versions of apps that are already published privately to the enterprise using:

• The managed Google Play iframe , or
• the Google Play Developer Publishing API .

3.13. Самостоятельное управление частными приложениями

ИТ-администраторы могут настраивать и публиковать самостоятельные частные приложения. Unlike Google-hosted private apps, Google Play does not host the APKs. Instead, the EMM helps IT admins host APKs themselves, and helps protect self-hosted apps by ensuring they can only be installed when authorized by managed Google Play.

3.13.1. The EMM's console must help IT admins host the app APK, by offering both of the following options:

• Hosting the APK on the EMM's server. The server can be on-premise or cloud-based.
• Hosting the APK outside of the EMM's server, at the discretion of the enterprise. The IT admin must specify in the EMM console where the APK is hosted.

3.13.2. The EMM's console must generate an appropriate APK definition file using the provided APK and must guide IT admins through the publishing process.

3.13.3. IT admins can update self-hosted private apps, and the EMM's console can silently publish updated APK definition files using the Google Play Developer Publishing API .

3.13.4. The EMM's server serves download requests for the self-hosted APK that contains a valid JWT within the request's cookie, as verified by the private app's public key.

• To facilitate this process, the EMM's server must guide IT admins to download the self-hosted app's license public key from the Play Google Play Console, and upload this key to the EMM console.

3.14. Уведомления об извлечении EMM

This feature is not applicable to the Android Management API. Set up Pub/Sub notifications instead.

3.15. Требования к использованию API

The EMM implements Android Management APIs at scale, avoiding traffic patterns that could negatively impact enterprises' ability to manage apps in production environments.

3.15.1. The EMM must adhere to the Android Management API usage limits. Not correcting behavior that exceeds these guidelines may result in suspension of API use, at Google's discretion.

3.15.2. The EMM should distribute traffic from different enterprises throughout the day, rather than consolidating enterprise traffic at specific or similar times. Behavior that fits this traffic pattern, such as scheduled batch operations for each device enrolled, may result in suspending API use, at Google's discretion.

3.15.3. The EMM shouldn't make consistent, incomplete, or deliberately incorrect requests that make no attempt to retrieve or manage actual enterprise data. Behavior that fits this traffic pattern may result in suspended API use, at Google's discretion.

3.16. Расширенное управление управляемой конфигурацией

The EMM supports the following advanced managed configuration management features:

3.16.1. The EMM's console must be able to retrieve and display the up to four levels of nested managed configuration settings of any Play app, using:

• The managed Google Play iframe , or
• a custom UI.

3.16.2. The EMM's console must be able to retrieve and display any feedback returned by an app's feedback channel , when set up by an IT admin.

• The EMM's console must allow IT admins to associate a specific feedback item with the device and app it originated from.
• The EMM's console must allow IT admins to subscribe to alerts or reports of specific message types (such as error messages).

3.16.3. The EMM's console must only send values that either have a default value or are manually set by the admin using:

• The managed configurations iframe, or
• A custom UI.

3.17. Управление веб-приложением

ИТ-администраторы могут создавать и распространять веб-приложения в консоли EMM.

3.17.1. The EMM console allows IT admins to distribute shortcuts to web apps using:

• The Managed Google Play iframe ,
• or the Android Management API .

3.18. Управляемое управление жизненным циклом учетной записи Google Play.

The EMM can create, update, and delete managed Google Play Accounts on behalf of IT admins, and automatically recover from account expiration.

This feature is supported by default. No extra EMM implementation is required.

3.19. Управление отслеживанием приложений

3.19.1. IT Admins can pull a list of track IDs set by a developer for a particular app.

3.19.2. IT Admins can set devices to use a particular development track for an application.

3.20. Расширенное управление обновлениями приложений

IT admins can allow apps to be updated immediately or postpone them from being updated for 90 days.

3.20.1. IT admins can allow apps to use high-priority app updates to be updated when an update is ready. 3.20.2. IT admins can allow apps to have their app updates postponed for 90 days.

3.21. Управление методами обеспечения

EMM может генерировать конфигурации подготовки и представлять их ИТ-администратору в форме, готовой для распространения конечным пользователям (например, QR-код, автоматическая конфигурация, URL-адрес Play Store).

4. Управление устройствами

4.1. Управление политикой разрешений во время выполнения

ИТ-администраторы могут автоматически установить ответ по умолчанию на запросы разрешений во время выполнения, сделанные рабочими приложениями.

4.1.1. IT admins must be able to choose from the following options when setting a default runtime permission policy for their organization:

• prompt (allows users to choose)
• позволять
• отрицать

The EMM should enforce these settings using policy .

4.2. Управление состоянием предоставления разрешений во время выполнения

After setting a default runtime permission policy (go to 4.1.), IT admins can silently set responses for specific permissions from any work app built on API 23 or higher.

4.2.1. IT admins must be able to set the grant state (default, grant, or deny) of any permission requested by any work app built on API 23 or higher. The EMM should enforce these settings using policy .

4.3. Управление конфигурацией Wi-Fi

IT admins can silently provision enterprise Wi-Fi configurations on managed devices, including:

4.3.1. SSID, using policy .

4.3.2. Password, using policy .

4.4. Управление безопасностью Wi-Fi

IT admins can provision enterprise Wi-Fi configurations on devices that include the following advanced security features:

4.4.1. Личность

4.4.2. Certificates for client authorization

4.4.3. CA certificates

4.5. Расширенное управление Wi-Fi

IT admins can lock down Wi-Fi configurations on managed devices, to prevent users from creating configurations or modifying corporate configurations.

4.5.1. IT admins can lock down corporate Wi-Fi configurations using policy in either of the following configurations:

• Users cannot modify any Wi-Fi configurations provisioned by the EMM (go to wifiConfigsLockdownEnabled ), but may add and modify their own user-configurable networks (for example personal networks).
• Users cannot add or modify any Wi-Fi network on the device (go to wifiConfigDisabled ), limiting Wi-Fi connectivity to just those networks provisioned by the EMM.

4.6. Управление аккаунтом

IT admins can ensure that only authorized corporate accounts can interact with corporate data, for services such as SaaS storage and productivity apps, or email. Without this feature, users can add personal accounts to those corporate apps that also support consumer accounts, enabling them to share corporate data with those personal accounts.

4.6.1. IT admins can prevent users from adding or modifying accounts (see modifyAccountsDisabled ).

• When enforcing this policy on a device, EMMs must set this restriction before provisioning is complete, to ensure users cannot circumvent this policy by adding accounts before the policy is enacted.

4.7. Управление учетными записями рабочей области

The Android Management API doesn't support this feature.

4.8. Управление сертификатами

Allows IT admins to deploy identity certificates and certificate authorities to devices to allow use of corporate resources.

4.8.1. IT admins can install user identity certs generated by their PKI on a per-user basis. The EMM's console must integrate with at least one PKI and distribute certificates generated from that infrastructure.

4.8.2. IT admins can install certificate authorities (see caCerts ) in the managed keystore. However, this subfeature is unsupported .

4.9. Расширенное управление сертификатами

Позволяет ИТ-администраторам автоматически выбирать сертификаты, которые должны использовать определенные управляемые приложения. This feature also grants IT admins the ability to remove CAs and identity certs from active devices, and prevent users from modifying credentials stored in the managed keystore.

4.9.1. For any app distributed to devices, IT admins can specify a certificate the app will be silently granted access during runtime. (This subfeature is not supported)

• Certificate selection must be generic enough to allow a single configuration that applies to all users, each of which may have a user-specific identity certificate.

4.9.2. IT admins can silently remove certificates from the managed keystore.

4.9.3. IT admins can silently uninstall a CA certificate. (This subfeature is not supported)

4.9.4. IT admins can prevent users from configuring credentials (go to credentialsConfigDisabled ) in the managed keystore.

4.9.5. IT admins can pre-grant certificates for work apps using ChoosePrivateKeyRule .

4.10. Делегированное управление сертификатами

ИТ-администраторы могут распространять стороннее приложение для управления сертификатами на устройства и предоставлять этому приложению привилегированный доступ для установки сертификатов в управляемое хранилище ключей.

4.10.1. IT admins can specify a certificate management package (go to delegatedCertInstallerPackage ) to be set as the delegated certificate management app.

• The EMM's may optionally suggest known certificate management packages, but must allow the IT admin to choose from the list of apps available for install, for applicable users.

4.11. Расширенное управление VPN

Allows IT admins to specify an Always On VPN to ensure that the data from specified managed apps will always go through a setup of the VPN.

4.11.1. IT admins can specify an arbitrary VPN package to be set as an Always On VPN.

• The EMM's console may optionally suggest known VPN packages that support Always On VPN, but can't restrict the VPNs available for Always On configuration to any arbitrary list.

4.11.2. IT admins can use managed configurations to specify the VPN settings for an app.

4.12. IME management

IT admins can manage what input methods (IMEs) can be set up for devices. Since the IME is shared across both work and personal profiles, blocking use of IMEs will prevent users from allowing those IMEs for personal use as well. IT admins may not, however, block use of system IMEs on work profiles (go to advanced IME management for more details).

4.12.1. IT admins can set up an IME allowlist (Go to permitted_input_methods ) of arbitrary length (including an empty list, which blocks non-system IMEs), which may contain any arbitrary IME packages.

• The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.

4.12.2. The EMM must inform IT admins that system IMEs are excluded from management on devices with work profiles.

4.13. Расширенное управление IME

IT admins can manage what input methods (IMEs) users can set up on a device. Advanced IME management extends the basic feature by allowing IT admins to manage the use of system IMEs as well, which device manufacturer or carrier of the device typically provide.

4.13.1. IT admins can set up an IME allowlist (go to permitted_input_methods ) of arbitrary length (excluding an empty list, which blocks all IMEs including system IMEs), which may contain any arbitrary IME packages.

• The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.

4.13.2. EMM must prevent IT admins from setting up an empty allowlist, as this setting will block all IMEs including system IMEs from being set up on the device.

4.13.3. EMM must ensure that if an IME allowlist does not contain system IMEs, the third-party IMEs are silently installed before the allowlist is applied on the device.

4.14. Управление услугами доступности

IT admins can manage what accessibility services users can allow on devices. Accessibility services are powerful tools for users with disabilities or those that are temporarily unable to fully interact with a device. However, they may interact with corporate data in ways that are non-compliant with corporate policy. This feature allows IT admins to turn off any non-system accessibility service.

4.14.1. IT admins can set up an accessibility service allowlist (go to permittedAccessibilityServices ) of arbitrary length (including an empty list, which blocks non-system accessibility services), which may contain any arbitrary accessibility service package. When applied to a work profile, this affects both the personal profile and the work profile.

• Console may optionally suggest known or recommended accessibility services to include in the allowlist, but must allow IT admin to choose from the list of apps available for install, for applicable users.

4.15. Location Sharing management

IT admins can prevent users from sharing location data with apps in the work profile. Otherwise, the location setting in the work profile is configurable in Settings.

4.15.1. IT admins can disable location services (go to shareLocationDisabled ) within the work profile.

4.16. Расширенное управление передачей местоположения

ИТ-администраторы могут принудительно применить определенный параметр совместного доступа к местоположению на управляемом устройстве. This feature can ensure that corporate apps always have high accuracy location data. This feature can also ensure that extra battery is not consumed by restricting location settings to battery saving mode.

4.16.1. IT admins can set the device location services to each of the following modes:

• High accuracy.
• Sensors only, for example GPS, but not including network-provided location.
• Battery saving, which limits the update frequency.
• Выключенный.

4.17. Управление защитой от сброса к заводским настройкам

Allows IT admins to protect company-owned devices from theft by ensuring unauthorized users can't factory reset devices. If factory reset protection introduces operational complexities when devices are returned to IT, IT admins can turn off factory reset protection entirely.

4.17.1. IT admins can prevent users from factory resetting (go to factoryResetDisabled ) their device from Settings.

4.17.2. IT admins can specify corporate unlock account(s) authorized to provision devices (go to frpAdminEmails ) after a factory reset.

• This account can be tied to an individual, or used by the entire enterprise to unlock devices.

4.17.3. IT admins can disable factory reset protection (go to0 factoryResetDisabled ) for specified devices.

4.17.4. IT admins can start a remote device wipe that optionally wipes reset protection data, thus removing factory reset protection on the reset device.

4.18. Расширенное управление приложением

ИТ-администраторы могут запретить пользователю удалять или иным образом изменять управляемые приложения через «Настройки». For example, preventing force closing the app or clearing an app's data cache.

4.18.1. IT admins can block uninstall of any arbitrary managed apps, or all managed apps (go to uninstallAppsDisabled ).

4.18.2. IT admins can prevent users from modifying application data from Settings. (The Android Management API doesn't support this subfeature)

4.19. Управление захватом экрана

ИТ-администраторы могут запретить пользователям делать снимки экрана при использовании управляемых приложений. This setting includes blocking screen sharing apps and similar apps (such as Google Assistant) that use the system screenshot capabilities.

4.19.1. IT admins can prevent users from capturing screenshots (go to screenCaptureDisabled ).

4.20. Отключить камеры

ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.

4.20.1. IT admins can disable use of device cameras (go to cameraDisabled ) by managed apps.

4.21. Network statistics collection

The Android Management API doesn't support this feature.

4.22. Расширенный сбор сетевой статистики

The Android Management API doesn't support this feature.

4.23. Перезагрузить устройство

ИТ-администраторы могут удаленно перезапускать управляемые устройства.

4.23.1. IT admins can remotely reboot a managed device.

4.24. Управление радиосистемой

Provides IT admins with granular management over system network radios and associated use policies using policy .

4.24.1. IT admins can turn off cell broadcasts sent by service providers (go to cellBroadcastsConfigDisabled ).

4.24.2. IT admins can prevent users from modifying mobile network settings in Settings (go to mobileNetworksConfigDisabled ).

4.24.3. IT admins can prevent users from resetting all network settings in Settings. (go to networkResetDisabled ).

4.24.4. IT admins can set up whether the device permits mobile data while roaming (go to dataRoamingDisabled ).

4.24.5. IT admins can set up whether the device can make outgoing phone calls, excluding emergency calls (go to outGoingCallsDisabled ).

4.24.6. IT admins can set up whether the device can send and receive text messages (go to smsDisabled ).

4.24.7. IT admins can prevent users from using their device as a portable hotspot by tethering (go to tetheringConfigDisabled ).

4.24.8. IT admins can set the Wi-Fi timeout to default, while plugged in, or never. (The Android Management API doesn't support this subfeature)

4.24.9. IT admins can prevent users from setting up or modifying existing Bluetooth connections (go to bluetoothConfigDisabled ).

4.25. Управление системным звуком

IT admins can silently control device audio features , including muting the device, preventing users from modifying volume settings, and preventing users from unmuting the device microphone.

4.25.1. IT admins can silently mute managed devices. (The Android Management API doesn't support this subfeature)

4.25.2. IT admins can prevent users from modifying device volume settings (go to adjustVolumeDisabled ). This also mutes the devices.

4.25.3. IT admins can prevent users from unmuting the device microphone (go to unmuteMicrophoneDisabled ).

4.26. Управление системными часами

IT admins can manage device clock and time zone settings, and prevent users from modifying automatic device settings.

4.26.1. IT admins can enforce system auto time and auto time zone , preventing the user from setting the date, time, and time zone of the device.

4.27. Advanced dedicated device features

For dedicated devices, IT admins can manage the following features using policy to support various kiosk use cases.

4.27.1. IT admins can turn off the device keyguard (go to keyguardDisabled ).

4.27.2. IT admins can turn off the device status bar, blocking notifications and Quick Settings (go to statusBarDisabled ).

4.27.3. IT admins can force the device screen to remain on while the device is plugged in (go to stayOnPluggedModes ).

4.27.4. IT admins can prevent the following system UIs from being displayed (go to createWindowsDisabled ):

• тосты
• Application overlays.

4.27.5. IT admins can allow the system recommendation for apps to skip their user tutorial and other introductory hints on first start-up (go to skip_first_use_hints ).

4.28. Делегированное управление объемом

ИТ-администраторы могут делегировать дополнительные привилегии отдельным пакетам.

4.28.1. IT admins can manage the following scopes :

• Certificate installation and management
• Deliberately blank
• Network logging
• Security logging (not supported for work profile on personally-owned device)

4.29. Enrollment-specific ID Support

Starting in Android 12, work profiles will no longer have access to hardware-specific identifiers. IT admins can follow the lifecycle of a device with a work profile through the enrollment-specific ID, which will persist through factory resets.

4.29.1. IT admins can obtain an enrollment-specific ID

4.29.2. This enrollment-specific ID must persist through a factory reset

5. Удобство использования устройства

5.1. Настройка управляемой подготовки

IT admins can modify the default setup flow UX to include enterprise-specific features. Optionally, IT admins can display EMM-provided branding during provisioning.

5.1.1. IT admins can customize the provisioning process by specifying enterprise-specific Terms of Service and other disclaimers (go to termsAndConditions ).

5.1.2. IT admins can deploy non-configurable, EMM-specific Terms of Service and other disclaimers (go to termsAndConditions ).

• EMMs may set their non-configurable, EMM-specific customization as the default for deployments, but must allow IT admins to set up their own customization.

5.1.3. primaryColor has been deprecated for the enterprise resource on Android 10 and higher.

5.2. Enterprise customization

The Android Management API doesn't support this feature.

5.3. Расширенная корпоративная настройка

The Android Management API doesn't support this feature.

5.4. Сообщения на экране блокировки

IT admins can set a custom message that's always displayed on the device lock screen, and does not require device unlock to be viewed.

5.4.1. IT admins can set a custom lock screen message (go to deviceOwnerLockScreenInfo ).

5.5. Управление прозрачностью политики

ИТ-администраторы могут настроить текст справки, предоставляемый пользователям, когда они пытаются изменить управляемые настройки на своем устройстве, или развернуть общее сообщение поддержки, предоставленное EMM. Both short and long support messages can be customized, and are displayed in instances such as attempting to uninstall a managed app for which an IT admin has already blocked uninstallation.

5.5.1. IT admins can customize short and long user-facing support messages .

5.5.2. IT admins can deploy non-configurable, EMM-specific, short and long support messages (go to shortSupportMessage and longSupportMessage in policies ).

• EMM may set their non-configurable, EMM-specific support messages as the default for deployments, but must allow IT admins to set up their own messages.

5.6. Cross-profile contact management

5.6.1. IT admins can disable displaying work contacts in personal profile contact searches and incoming calls .

5.6.2. IT admins can disable bluetooth contact sharing of work contacts, for example hands-free calling in cars or headsets.

5.7. Cross-profile data management

Allows IT admins to manage the types of data that can be shared between the work and personal profiles, allowing admins to balance usability and data security according to their requirements.

5.7.1. IT admins can configure cross-profile data sharing policy so that personal apps can resolve intents from the work profile, such as sharing intents or web links.

5.7.2. IT admins can allow applications from the work profile to create and display widgets on the home screen of the personal profile. This capability is turned off by default, but can be set to allowed using workProfileWidgets and workProfileWidgetsDefault fields.

5.7.3. IT admins can control the ability to copy/paste between the work and personal profiles .

5.8. Политика обновления системы

IT admins can set up and apply over-the-air (OTA) system updates devices.

5.8.1. The EMM's console allows IT admins to set the following OTA configurations:

• Automatic: Devices install OTA updates when they become available.
• Postpone: IT admins must be able to postpone OTA update for up to 30 days. This policy does not affect security updates (eg monthly security patches).
• Windowed: IT admins must be able to schedule OTA updates within a daily maintenance window.

5.8.2. OTA configurations are applied to devices using policy .

5.9. Lock task mode management

IT admins can lock an app or set of apps to the screen, and ensure that users can't exit the app.

5.9.1. The EMM's console allows IT admins to silently allow an arbitrary set of apps to install and lock to a device. Policy allows setting up dedicated devices.

5.10. Постоянное управление предпочтительной деятельностью

Позволяет ИТ-администраторам устанавливать приложение в качестве обработчика намерений по умолчанию для намерений, соответствующих определенному фильтру намерений. For example, this feature would allow IT admins to choose which browser app automatically opens web links. This feature can manage which launcher app is used when tapping the home button.

5.10.1. IT admins can set any package as the default intent handler for any arbitrary intent filter.

• The EMM's console may optionally suggest known or recommended intents for configuration, but cannot restrict intents to any arbitrary list.
• The EMM's console must allow IT admins to choose from the list of apps that are available to install for applicable users.

5.11. Keyguard feature management

IT admins can manage the features available to users before unlocking the device keyguard (lock screen) and the work challenge keyguard (lock screen).

5.11.1. Policy can turn off the following device keyguard features:

• trust agents
• fingerprint unlock
• unredacted notifications

5.11.2. The following keyguard features of the work profile can be turned off using policy :

• trust agents
• fingerprint unlock

5.12. Расширенное управление функциями защиты клавиатуры