Cette page liste l'ensemble complet des fonctionnalités Android Enterprise.
Si vous souhaitez gérer plus de 500 appareils, votre solution EMM doit prendre en charge toutes les fonctionnalités standards () d'au moins un ensemble de solutions avant de pouvoir être commercialisée. Les solutions EMM qui passent la validation des fonctionnalités standards sont listées dans le Répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion standard.
Un ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont indiquées sur chaque page de la solution: profil professionnel sur un appareil personnel, profil professionnel sur un appareil détenu par l'entreprise, appareil entièrement géré et appareil dédié. Les solutions EMM qui passent la validation des fonctionnalités avancées sont répertoriées dans le Répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion avancé.
Clé
| Fonctionnalité standard | Fonctionnalité avancée | fonctionnalité facultative | non applicable |
1. Provisionnement de l'appareil
1.1. Provisionnement du profil professionnel en priorité par le DPC
Après avoir téléchargé Android Device Policy depuis Google Play, les utilisateurs peuvent provisionner un profil professionnel.
1.1.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation pour prendre en charge cette méthode de provisionnement (consultez la section Enregistrer et provisionner un appareil).
1.2. Provisionnement de l'appareil avec l'identifiant DPC
Saisissez "afw#" dans l'assistant de configuration de l'appareil pour provisionner un appareil entièrement géré ou dédié.
1.2.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation pour prendre en charge cette méthode de provisionnement (consultez la section Enregistrer et provisionner un appareil).
1.3. Provisionnement d'appareils NFC
Les administrateurs informatiques peuvent utiliser des tags NFC pour provisionner des appareils neufs ou dont la configuration d'usine a été rétablie, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l'API EMM Play.
1.3.1. Les EMM doivent utiliser des tags de type 2 du Forum NFC avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des éléments supplémentaires de provisionnement pour transmettre à un appareil des informations d'enregistrement non sensibles telles que des ID de serveur et des ID d'enregistrement. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.3.2. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et versions ultérieures, car Android Beam (également appelé "NFC Bump") est en cours d'abandon.
1.4. Provisionnement d'appareils avec un code QR
La console de l'EMM peut générer un code QR que les administrateurs informatiques peuvent scanner pour provisionner un appareil entièrement géré ou dédié, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l' API Android Management.
1.4.1. Le code QR doit utiliser des éléments supplémentaires de provisionnement pour transmettre des informations d'enregistrement non sensibles (telles que des ID de serveur, des ID d'enregistrement) à un appareil. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.5. Enregistrement sans contact
Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs agréés et les gérer à l'aide de votre console EMM.
1.5.1. Les administrateurs informatiques peuvent configurer les appareils appartenant à l'entreprise à l'aide de la méthode d'enregistrement sans contact, décrite dans Enregistrement sans contact pour les administrateurs informatiques.
1.5.2. Lorsqu'un appareil est allumé pour la première fois, il est automatiquement forcé à utiliser les paramètres définis par l'administrateur informatique.
1.6. Provisionnement sans contact avancé
Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils grâce à l'enregistrement sans contact. Combiné aux URL de connexion, les administrateurs informatiques peuvent limiter l'inscription à des comptes ou des domaines spécifiques, en fonction des options de configuration proposées par l'EMM.
1.6.1. Les administrateurs informatiques peuvent configurer un appareil détenu par l'entreprise à l'aide de la méthode d'enregistrement sans contact.
1.6.2. Cette exigence est obsolète.
1.6.3. À l'aide de l'URL de connexion, l'EMM doit s'assurer que les utilisateurs non autorisés ne peuvent pas procéder à l'activation. Au minimum, l'activation doit être limitée aux utilisateurs d'une entreprise donnée.
1.6.4. À l'aide de l'URL de connexion, l'EMM doit permettre aux administrateurs informatiques de préremplir les informations d'enregistrement (par exemple, les ID de serveur, les ID d'enregistrement) en plus des informations uniques sur l'utilisateur ou l'appareil (par exemple, le nom d'utilisateur/mot de passe, le jeton d'activation), afin que les utilisateurs n'aient pas à saisir de détails lorsqu'ils activent un appareil.
- Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats, dans la configuration de l'enregistrement sans contact.
1.7. Provisionnement du profil professionnel du compte Google
Pour les entreprises qui utilisent un domaine Google géré, cette fonctionnalité guide les utilisateurs lors de la configuration d'un profil professionnel après avoir saisi leurs identifiants Workspace professionnels lors de la configuration de l'appareil ou sur un appareil déjà activé. Dans les deux cas, l'identité Workspace professionnelle sera migrée vers le profil professionnel.
1.8. Provisionnement d'appareils pour le compte Google
L'API Android Management n'est pas compatible avec cette fonctionnalité.
1.9. Configuration directe sans contact
Les administrateurs informatiques peuvent utiliser la console de l'EMM pour configurer des appareils sans contact à l'aide de l'iFrame sans contact.
1.10. Profils professionnels sur les appareils détenus par l'entreprise
Les EMM peuvent enregistrer les appareils détenus par l'entreprise sur lesquels est installé un profil professionnel en définissant AllowPersonalUsage.
1.10.1. Laisser le champ vide
1.10.2. Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur les appareils appartenant à l'entreprise via PersonalUsagePolicies.
1.10.3. Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou sur l'ensemble de l'appareil via PersonalUsagePolicies.
1.10.4. Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel ou sur l'ensemble d'un appareil via PersonalUsagePolicies.
1.10.5. Les administrateurs informatiques peuvent définir une liste de blocage d'applications qui ne peuvent pas être installées dans le profil personnel via PersonalApplicationPolicy.
1.10.6. Les administrateurs informatiques peuvent céder la gestion d'un appareil détenu par l'entreprise en supprimant le profil professionnel ou en effaçant l'intégralité de l'appareil.
1.11. Provisionnement d'appareils dédiés
Les solutions EMM peuvent enregistrer des appareils dédiés sans que l'utilisateur soit invité à s'authentifier avec un compte Google.
2. Sécurité des appareils
2.1. Défi de sécurité de l'appareil
Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité de l'appareil (code/motif/mot de passe) à partir d'une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.
2.1.1. La règle doit appliquer les paramètres qui gèrent les défis de sécurité des appareils (parentProfilePasswordRequirements pour le profil professionnel, passwordRequirements pour les appareils entièrement gérés et dédiés).
2.1.2. La complexité du mot de passe doit correspondre aux complexités de mot de passe suivantes:
- PASSWORD_COMPLEXITY_LOW : schéma ou code d'accès constitué d'une séquence de chiffres répétés (4444) ou ordonnés (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
- PASSWORD_COMPLEXITY_HIGH : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), et dont la longueur est d'au moins huit caractères, ou mot de passe alphabétique ou alphanumérique d'au moins six caractères
2.1.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres sur les appareils appartenant à l'entreprise.
2.2. Question d'authentification professionnelle
Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité pour les applications et les données du profil professionnel, qui est distinct et présente des exigences différentes de celles du défi de sécurité de l'appareil (2.1.).
2.2.1. La règle doit appliquer le défi de sécurité pour le profil professionnel.
- Par défaut, les administrateurs informatiques ne doivent définir des restrictions que pour le profil professionnel si aucun champ d'application n'est spécifié.
- Les administrateurs informatiques peuvent définir ce paramètre pour l'ensemble des appareils en spécifiant la portée (voir l'exigence 2.1).
2.2.2. La complexité du mot de passe doit correspondre aux complexités de mot de passe prédéfinies suivantes:
- PASSWORD_COMPLEXITY_LOW : schéma ou code d'accès constitué d'une séquence de chiffres répétés (4444) ou ordonnés (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
- PASSWORD_COMPLEXITY_HIGH : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), et dont la longueur est d'au moins huit caractères, ou mot de passe alphabétique ou alphanumérique d'au moins six caractères
2.2.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres.
2.3. Gestion avancée des mots de passe
Les administrateurs informatiques peuvent configurer des paramètres de mot de passe avancés sur les appareils.
2.3.1. Laisser le champ vide délibérément
2.3.2. Laisser le champ vide délibérément
2.3.3. Les paramètres de cycle de vie du mot de passe suivants peuvent être définis pour chaque écran de verrouillage disponible sur un appareil:
- Vide délibérément
- Vide délibérément
- Nombre maximal de mots de passe incorrects avant l'effacement: indique le nombre de fois où les utilisateurs peuvent saisir un mot de passe incorrect avant que les données d'entreprise ne soient effacées de l'appareil. Les administrateurs informatiques doivent pouvoir désactiver cette fonctionnalité.
2.3.4. (Android 8.0 et versions ultérieures) Délai d'expiration de l'authentification forte obligatoire: un code d'authentification forte (tel qu'un code secret ou un mot de passe) doit être saisi après un délai d'expiration défini par un administrateur informatique. Après le délai d'inactivité, les méthodes d'authentification peu fortes (comme l'empreinte digitale ou le déverrouillage par reconnaissance faciale) sont désactivées jusqu'à ce que l'appareil soit déverrouillé avec un code d'authentification fort.
2.4. Gestion des serrures connectées
Les administrateurs informatiques peuvent gérer si les agents de confiance de la fonctionnalité Smart Lock d'Android sont autorisés à prolonger le déverrouillage de l'appareil jusqu'à quatre heures.
2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance sur l'appareil.
2.5. Effacer et verrouiller
Les administrateurs informatiques peuvent utiliser la console de l'EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.
2.5.1. Les appareils doivent être verrouillés à l'aide de l'API Android Management.
2.5.2. Les appareils doivent être effacés à l'aide de l'API Android Management.
2.6. Appliquer les critères de conformité
Si un appareil n'est pas conforme aux règles de sécurité, les règles de conformité mises en place par l'API Android Management limitent automatiquement l'utilisation des données professionnelles.
2.6.1. Au minimum, les règles de sécurité appliquées à un appareil doivent inclure une règle de mot de passe.
2.7. Stratégies de sécurité par défaut
Les EMM doivent appliquer les règles de sécurité spécifiées sur les appareils par défaut, sans que les administrateurs informatiques aient à configurer ni à personnaliser des paramètres dans la console de l'EMM. Les EMM sont encouragés (mais pas obligés) à ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.
2.7.1. L'installation d'applications provenant de sources inconnues doit être bloquée, y compris les applications installées sur le côté personnel de tout appareil Android 8.0 ou version ultérieure doté d'un profil professionnel. Cette sous-fonctionnalité est compatible par défaut.
2.7.2. Les fonctionnalités de débogage doivent être bloquées. Cette sous-fonctionnalité est prise en charge par défaut.
2.8. Règles de sécurité pour les appareils dédiés
Aucune autre action n'est autorisée pour un appareil dédié verrouillé.
2.8.1. Le démarrage en mode sans échec doit être désactivé par défaut à l'aide d'une règle (accédez à safeBootDisabled).
2.9. Assistance Play Integrity
Les vérifications de Play Integrity sont effectuées par défaut. Aucune implémentation supplémentaire n'est requise.
2.9.1. Laisser le champ vide délibérément
2.9.2. Laisser le champ vide
2.9.3. Les administrateurs informatiques peuvent configurer différentes réponses de stratégie en fonction de la valeur de SecurityRisk de l'appareil, y compris le blocage du provisionnement, l'effacement des données d'entreprise et l'autorisation de l'enregistrement.
- Le service EMM appliquera cette réponse de stratégie pour le résultat de chaque vérification de l'intégrité.
2.9.4. Laisser le champ vide délibérément
2.10. Applications vérifiées
Les administrateurs informatiques peuvent activer Vérifier les applications sur les appareils. Vérifier les applications analyse les applications installées sur les appareils Android pour détecter les logiciels dangereux avant et après leur installation. Cela permet de s'assurer que les applications malveillantes ne peuvent pas compromettre les données d'entreprise.
2.10.1. La fonctionnalité Vérifier les applications doit être activée par défaut à l'aide d'une règle (accédez à ensureVerifyAppsEnabled).
2.11. Compatibilité avec le démarrage direct
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
2.12. Gestion de la sécurité matérielle
Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise pour éviter la perte de données.
2.12.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des supports externes physiques à l'aide d'une règle (accédez à mountPhysicalMediaDisabled).
2.12.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil à l'aide du faisceau NFC à l'aide d'une règle (accédez à outgoingBeamDisabled). Cette sous-fonctionnalité est facultative, car la fonction de faisceau NFC n'est plus prise en charge sous Android 10 et versions ultérieures.
2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers par USB à l'aide d'une règle (accédez à usbFileTransferDisabled).
2.13. Journalisation de la sécurité d'entreprise
L'API Android Management n'est pas compatible avec cette fonctionnalité.
3. Gestion des comptes et des applications
3.1. Liaison d'entreprise
Les administrateurs informatiques peuvent associer l'EMM à leur organisation, ce qui lui permet d'utiliser Google Play d'entreprise pour distribuer des applications sur les appareils.
3.1.1. Un administrateur disposant d'un domaine Google géré existant peut lier son domaine à l'EMM.
3.1.2. Laisser le champ vide délibérément
3.1.3. Laisser le champ vide délibérément
3.1.4. La console EMM invite l'administrateur à saisir son adresse e-mail professionnelle dans le parcours d'inscription Android et le dissuade d'utiliser un compte Gmail.
3.1.5. L'EMM préremplit l'adresse e-mail de l'administrateur dans le processus d'inscription Android.
3.2. Provisionnement de comptes Google Play d'entreprise
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et permettent de définir des règles de distribution d'applications uniques par utilisateur.
3.2.1. Les comptes Google Play gérés (comptes utilisateur) sont créés automatiquement lorsque les appareils sont provisionnés.
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
3.3. Provisionnement de comptes d'appareils Google Play d'entreprise
L'EMM peut créer et provisionner des comptes d'appareil Google Play d'entreprise. Les comptes d'appareil permettent d'installer automatiquement des applications à partir du Google Play Store géré et ne sont pas associés à un seul utilisateur. À la place, un compte d'appareil permet d'identifier un seul appareil pour prendre en charge les règles de distribution d'applications par appareil dans des scénarios d'appareil dédiés.
3.3.1. Les comptes Google Play d'entreprise sont créés automatiquement lorsque les appareils sont provisionnés.
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
3.4. Provisionnement de comptes Google Play d'entreprise pour les anciens appareils
Cette fonctionnalité est obsolète.
3.5. Distribution d'applications silencieuse
Les administrateurs informatiques peuvent distribuer silencieusement des applications professionnelles sur les appareils, sans intervention de l'utilisateur.
3.5.1. La console de l'EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur les appareils gérés.
3.5.2. La console de l'EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.
3.5.3. La console de l'EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques de désinstaller des applications sur les appareils gérés.
3.6. Gestion de la configuration gérée
Les administrateurs informatiques peuvent afficher et définir de manière silencieuse des configurations gérées pour toute application compatible avec les configurations gérées.
3.6.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés de n'importe quelle application Play.
3.6.2. La console de l'EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (tel que défini par le framework Android Enterprise) pour n'importe quelle application Play à l'aide de l'API Android Management.
3.6.3. La console de l'EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (tels que $username$ ou %emailAddress%) afin qu'une seule configuration pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs.
3.7. Gestion du catalogue d'applications
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
3.8. Approbation des applications programmatique
La console de l'EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge les fonctionnalités de découverte et d'approbation des applications de Google Play. Les administrateurs informatiques peuvent rechercher des applications, les approuver et approuver de nouvelles autorisations d'application sans quitter la console de l'EMM.
3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console de l'EMM à l'aide de l'iFrame Google Play d'entreprise.
3.9. Gestion de base de la mise en page du magasin
L'application Google Play Store d'entreprise permet d'installer et de mettre à jour des applications professionnelles. Par défaut, le Google Play Store d'entreprise affiche les applications approuvées pour un utilisateur dans une seule liste. Cette mise en page est appelée mise en page de base de la boutique.
3.9.1. La console de l'EMM doit permettre aux administrateurs informatiques de gérer les applications visibles dans la mise en page de base de la plate-forme de téléchargement d'un utilisateur final.
3.10. Configuration avancée de la mise en page de la fiche Play
3.10.1. Les administrateurs informatiques peuvent personnaliser la mise en page de la plate-forme de téléchargement d'applications dans l'application Google Play Store d'entreprise.
3.11. Gestion des licences d'application
Cette fonctionnalité est obsolète.
3.12. Gestion des applications privées hébergées par Google
Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM plutôt que via la Google Play Console.
3.12.1. Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées en privé dans l'entreprise à l'aide des éléments suivants:
3.13. Gestion des applications privées auto-hébergées
Les administrateurs informatiques peuvent configurer et publier des applications privées hébergées sur leurs propres serveurs. Contrairement aux applications privées hébergées par Google, Google Play n'héberge pas les APK. À la place, l'EMM aide les administrateurs informatiques à héberger eux-mêmes les APK et à protéger les applications auto-hébergées en veillant à ce qu'elles ne puissent être installées que lorsqu'elles sont autorisées par Google Play d'entreprise.
3.13.1. La console de l'EMM doit aider les administrateurs informatiques à héberger l'APK de l'application en proposant les deux options suivantes:
- Héberger l'APK sur le serveur de l'EMM. Le serveur peut être sur site ou dans le cloud.
- Hébergement de l'APK en dehors du serveur de l'EMM, à la discrétion de l'entreprise. L'administrateur informatique doit spécifier dans la console EMM l'emplacement de l'APK.
3.13.2. La console de l'EMM doit générer un fichier de définition d'APK approprié à l'aide de l'APK fourni et doit guider les administrateurs informatiques tout au long du processus de publication.
3.13.3. Les administrateurs informatiques peuvent mettre à jour les applications privées auto-hébergées, et la console de l'EMM peut publier de manière silencieuse les fichiers de définition de l'APK mis à jour à l'aide de l'API Google Play Developer Publishing.
3.13.4. Le serveur de l'EMM répond aux requêtes de téléchargement de l'APK auto-hébergé qui contient un jeton JWT valide dans le cookie de la requête, comme vérifié par la clé publique de l'application privée.
- Pour faciliter ce processus, le serveur de l'EMM doit guider les administrateurs informatiques pour qu'ils téléchargent la clé publique de licence de l'application auto-hébergée à partir de la Play Console Google Play, puis importent cette clé dans la console EMM.
3.14. Notifications pull de l'EMM
Cette fonctionnalité ne s'applique pas à l'API Android Management. Configurez plutôt des notifications Pub/Sub.
3.15. Conditions d'utilisation de l'API
L'EMM implémente les API de gestion Android à grande échelle, ce qui évite les schémas de trafic susceptibles d'avoir un impact négatif sur la capacité des entreprises à gérer les applications dans les environnements de production.
3.15.1. L'EMM doit respecter les limites d'utilisation de l'API Android Management. Si vous ne corrigez pas un comportement qui ne respecte pas ces consignes, Google peut suspendre l'utilisation de l'API, à sa discrétion.
3.15.2. L'EMM doit distribuer le trafic de différentes entreprises tout au long de la journée, plutôt que de regrouper le trafic d'entreprise à des heures spécifiques ou similaires. Un comportement correspondant à ce modèle de trafic, comme des opérations par lot planifiées pour chaque appareil enregistré, peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.15.3. L'EMM ne doit pas effectuer de requêtes cohérentes, incomplètes ou délibérément incorrectes qui ne tentent pas de récupérer ni de gérer les données réelles de l'entreprise. Un comportement correspondant à ce schéma de trafic peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.16. Gestion avancée de la configuration gérée
L'EMM est compatible avec les fonctionnalités avancées de gestion des configurations gérées suivantes:
3.16.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés imbriqués sur quatre niveaux maximum de n'importe quelle application Play, à l'aide des éléments suivants:
- L'iFrame Google Play d'entreprise , ou
- une UI personnalisée.
3.16.2. La console de l'EMM doit pouvoir récupérer et afficher tous les commentaires renvoyés par le canal de commentaires d'une application, lorsqu'il est configuré par un administrateur informatique.
- La console de l'EMM doit permettre aux administrateurs informatiques d'associer un élément de commentaires spécifique à l'appareil et à l'application d'où il provient.
- La console de l'EMM doit permettre aux administrateurs informatiques de s'abonner à des alertes ou à des rapports sur des types de messages spécifiques (tels que les messages d'erreur).
3.16.3. La console de l'EMM ne doit envoyer que des valeurs qui ont une valeur par défaut ou qui sont définies manuellement par l'administrateur à l'aide des éléments suivants:
- L'iFrame de configurations gérées, ou
- Une UI personnalisée.
3.17. Gestion des applications Web
Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.
3.17.1. La console EMM permet aux administrateurs informatiques de distribuer des raccourcis vers des applications Web à l'aide des éléments suivants:
3.18. Gestion du cycle de vie des comptes Google Play d'entreprise
Le fournisseur EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise au nom des administrateurs informatiques, et récupérer automatiquement les comptes arrivés à expiration.
Cette fonctionnalité est prise en charge par défaut. Aucune implémentation EMM supplémentaire n'est requise.
3.19. Gestion des canaux d'application
3.19.1. Les administrateurs informatiques peuvent extraire la liste des ID de canal définis par un développeur pour une application spécifique.
3.19.2. Les administrateurs informatiques peuvent configurer les appareils pour qu'ils utilisent un canal de développement particulier pour une application.
3.20. Gestion avancée des mises à jour des applications
Les administrateurs informatiques peuvent autoriser les applications à être mises à jour immédiatement ou à être mises à jour dans 90 jours.
3.20.1. Les administrateurs informatiques peuvent autoriser les applications à utiliser des mises à jour d'applications prioritaires pour être mises à jour lorsqu'une mise à jour est prête. 3.20.2. Les administrateurs informatiques peuvent autoriser le report des mises à jour des applications pendant 90 jours.
3.21. Gestion des méthodes de provisionnement
L'EMM peut générer des configurations de provisionnement et les présenter à l'administrateur informatique sous une forme prête à être distribuée aux utilisateurs finaux (par exemple, code QR, configuration sans contact, URL du Play Store).
4. Gestion des appareils
4.1. Gestion des règles d'autorisation d'exécution
Les administrateurs informatiques peuvent définir de manière silencieuse une réponse par défaut aux demandes d'autorisation d'exécution émises par les applications professionnelles.
4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une règle d'autorisation d'exécution par défaut pour leur organisation:
- invite (permet aux utilisateurs de choisir)
- allow
- deny
L'EMM doit appliquer ces paramètres à l'aide d'une règle.
4.2. Gestion de l'état d'octroi des autorisations d'exécution
Après avoir défini une stratégie d'autorisation d'exécution par défaut (passez à la section 4.1.), Les administrateurs informatiques peuvent définir de manière silencieuse des réponses pour des autorisations spécifiques à partir de n'importe quelle application professionnelle basée sur l'API 23 ou version ultérieure.
4.2.1. Les administrateurs informatiques doivent pouvoir définir l'état d'octroi (par défaut, octroyer ou refuser) de toute autorisation demandée par une application professionnelle basée sur l'API 23 ou version ultérieure. L'EMM doit appliquer ces paramètres à l'aide d'une règle.
4.3. Gestion de la configuration Wi-Fi
Les administrateurs informatiques peuvent provisionner de manière silencieuse des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris:
4.3.1. SSID, à l'aide d'une règle.
4.3.2. Mot de passe, à l'aide d'une règle.
4.4. Gestion de la sécurité Wi-Fi
Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise sur des appareils qui incluent les fonctionnalités de sécurité avancées suivantes:
4.4.1. Identité
4.4.2. Certificats d'autorisation client
4.4.3. Certificats CA
4.5. Gestion avancée du Wi-Fi
Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés pour empêcher les utilisateurs de créer des configurations ou de modifier celles de l'entreprise.
4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise à l'aide d'une règle dans l'une des configurations suivantes:
- Les utilisateurs ne peuvent pas modifier les configurations Wi-Fi provisionnées par l'EMM (accédez à
wifiConfigsLockdownEnabled), mais ils peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (par exemple, des réseaux personnels). - Les utilisateurs ne peuvent pas ajouter ni modifier de réseau Wi-Fi sur l'appareil (accédez à
wifiConfigDisabled). La connectivité Wi-Fi est donc limitée aux seuls réseaux provisionnés par l'EMM.
4.6. Gestion des comptes
Les administrateurs informatiques peuvent s'assurer que seuls les comptes d'entreprise autorisés peuvent interagir avec les données d'entreprise, pour des services tels que les applications de productivité et de stockage SaaS, ou les e-mails. Sans cette fonctionnalité, les utilisateurs peuvent ajouter des comptes personnels à ces applications d'entreprise qui acceptent également les comptes client, ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.
4.6.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'ajouter ou de modifier des comptes (voir modifyAccountsDisabled).
- Lorsque vous appliquez cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement, afin de s'assurer que les utilisateurs ne peuvent pas contourner cette règle en ajoutant des comptes avant qu'elle ne soit appliquée.
4.7. Gestion des comptes Workspace
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.8. Gestion des certificats
Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification sur des appareils pour permettre l'utilisation des ressources de l'entreprise.
4.8.1. Les administrateurs informatiques peuvent installer des certificats d'identité utilisateur générés par leur PKI par utilisateur. La console de l'EMM doit s'intégrer à au moins une PKI et distribuer les certificats générés à partir de cette infrastructure.
4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification (voir caCerts) dans le keystore géré. Toutefois, cette sous-fonctionnalité n'est pas prise en charge.
4.9. Gestion avancée des certificats
Permet aux administrateurs informatiques de sélectionner de manière silencieuse les certificats que des applications gérées spécifiques doivent utiliser. Cette fonctionnalité permet également aux administrateurs informatiques de supprimer des autorités de certification et des certificats d'identité des appareils actifs, et d'empêcher les utilisateurs de modifier les identifiants stockés dans le keystore géré.
4.9.1. Pour toute application distribuée sur des appareils, les administrateurs informatiques peuvent spécifier un certificat auquel l'application sera accordée de manière silencieuse pendant l'exécution. (Cette sous-fonctionnalité n'est pas prise en charge)
- La sélection de certificats doit être suffisamment générique pour permettre une configuration unique qui s'applique à tous les utilisateurs, chacun pouvant disposer d'un certificat d'identité spécifique à l'utilisateur.
4.9.2. Les administrateurs informatiques peuvent supprimer des certificats de manière silencieuse du keystore géré.
4.9.3. Les administrateurs informatiques peuvent désinstaller un certificat CA de manière silencieuse. (Cette sous-fonctionnalité n'est pas prise en charge)
4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants (accédez à credentialsConfigDisabled) dans le keystore géré.
4.9.5. Les administrateurs informatiques peuvent pré-accorder des certificats pour les applications professionnelles à l'aide de ChoosePrivateKeyRule.
4.10. Gestion déléguée des certificats
Les administrateurs informatiques peuvent distribuer une application de gestion de certificats tiers sur les appareils et accorder à cette application un accès privilégié pour installer des certificats dans le keystore géré.
4.10.1. Les administrateurs informatiques peuvent spécifier un package de gestion des certificats (accédez à delegatedCertInstallerPackage) à définir comme application de gestion des certificats déléguée.
- Les EMM peuvent éventuellement suggérer des packages de gestion de certificats connus, mais doivent permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à l'installation pour les utilisateurs concernés.
4.11. Gestion VPN avancée
Permet aux administrateurs informatiques de spécifier un VPN permanent pour s'assurer que les données des applications gérées spécifiées passent toujours par une configuration du VPN.
4.11.1. Les administrateurs informatiques peuvent spécifier un package VPN arbitraire à définir comme VPN permanent.
- La console de l'EMM peut éventuellement suggérer des packages VPN connus compatibles avec le VPN permanent, mais ne peut pas limiter les VPN disponibles pour la configuration du VPN permanent à une liste arbitraire.
4.11.2. Les administrateurs informatiques peuvent utiliser des configurations gérées pour spécifier les paramètres VPN d'une application.
4.12. Gestion de l'IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. Étant donné que l'IME est partagé entre les profils professionnel et personnel, le blocage de l'utilisation des IME empêche également les utilisateurs d'autoriser ces IME pour un usage personnel. Toutefois, les administrateurs informatiques ne peuvent pas bloquer l'utilisation des IME système sur les profils professionnels (pour en savoir plus, consultez la section "Gestion avancée des IME").
4.12.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME (accédez à permitted_input_methods) de longueur arbitraire (y compris une liste vide, qui bloque les IME autres que système), qui peut contenir n'importe quel package IME arbitraire.
- La console de l'EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.12.2. L'EMM doit informer les administrateurs informatiques que les IME système sont exclus de la gestion sur les appareils dotés de profils professionnels.
4.13. Gestion avancée de l'IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) que les utilisateurs peuvent configurer sur un appareil. La gestion avancée de l'IME étend la fonctionnalité de base en permettant aux administrateurs informatiques de gérer également l'utilisation des IME système, qui sont généralement fournis par le fabricant ou l'opérateur de l'appareil.
4.13.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation d'IME (accédez à permitted_input_methods) de longueur arbitraire (à l'exception d'une liste vide, qui bloque tous les IME, y compris les IME système), qui peut contenir n'importe quel package IME arbitraire.
- La console de l'EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.13.2. L'EMM doit empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, car ce paramètre bloque la configuration de tous les IME, y compris les IME système, sur l'appareil.
4.13.3. L'EMM doit s'assurer que si une liste d'autorisation d'IME ne contient pas d'IME système, les IME tiers sont installés en mode silencieux avant que la liste d'autorisation ne soit appliquée sur l'appareil.
4.14. Gestion des services d'accessibilité
Les administrateurs informatiques peuvent gérer les services d'accessibilité que les utilisateurs peuvent autoriser sur les appareils. Les services d'accessibilité sont des outils puissants pour les utilisateurs ayant un handicap ou qui ne peuvent temporairement pas interagir pleinement avec un appareil. Toutefois, ils peuvent interagir avec les données de l'entreprise de manière non conforme aux règles de l'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de désactiver tout service d'accessibilité hors système.
4.14.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité (accédez à permittedAccessibilityServices) de longueur arbitraire (y compris une liste vide, qui bloque les services d'accessibilité hors système), qui peut contenir n'importe quel package de service d'accessibilité arbitraire. Lorsqu'elle est appliquée à un profil professionnel, cette modification affecte à la fois le profil personnel et le profil professionnel.
- La console peut suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.15. Gestion du partage de position
Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données de localisation avec les applications du profil professionnel. Sinon, le paramètre de localisation du profil professionnel est configurable dans "Paramètres".
4.15.1. Les administrateurs informatiques peuvent désactiver les services de localisation (accédez à shareLocationDisabled) dans le profil professionnel.
4.16. Gestion avancée du partage de position
Les administrateurs informatiques peuvent appliquer un paramètre de partage de position donné sur un appareil géré. Cette fonctionnalité permet de s'assurer que les applications d'entreprise disposent toujours de données de localisation très précises. Cette fonctionnalité peut également vous assurer que la batterie n'est pas consommée en limitant les paramètres de localisation au mode Économiseur de batterie.
4.16.1. Les administrateurs informatiques peuvent configurer les services de localisation de l'appareil sur chacun des modes suivants:
- Haute précision.
- Capteurs uniquement, par exemple GPS, mais sans inclure la position fournie par le réseau.
- Économiseur de batterie, qui limite la fréquence des mises à jour.
- Désactivé.
4.17. Gestion de la protection après rétablissement de la configuration d'usine
Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en s'assurant que les utilisateurs non autorisés ne peuvent pas rétablir la configuration d'usine des appareils. Si la protection après rétablissement de la configuration d'usine entraîne des complexités opérationnelles lorsque les appareils sont renvoyés à l'équipe IT, les administrateurs informatiques peuvent désactiver complètement la protection après rétablissement de la configuration d'usine.
4.17.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine (accédez à factoryResetDisabled) de leur appareil dans les paramètres.
4.17.2. Les administrateurs informatiques peuvent spécifier le ou les comptes de déverrouillage d'entreprise autorisés à provisionner des appareils (accédez à frpAdminEmails) après une réinitialisation.
- Ce compte peut être associé à une personne ou utilisé par l'ensemble de l'entreprise pour déverrouiller les appareils.
4.17.3. Les administrateurs informatiques peuvent désactiver la protection après rétablissement de la configuration d'usine (accédez à factoryResetDisabled) pour les appareils spécifiés.
4.17.4. Les administrateurs informatiques peuvent lancer un effacement à distance de l'appareil qui efface éventuellement les données de protection après rétablissement de la configuration d'usine, ce qui supprime la protection après rétablissement de la configuration d'usine sur l'appareil réinitialisé.
4.18. Contrôle avancé des applications
Les administrateurs informatiques peuvent empêcher l'utilisateur de désinstaller ou de modifier les applications gérées dans les paramètres. Par exemple, en empêchant l'arrêt forcé de l'application ou en vidant le cache de données d'une application.
4.18.1. Les administrateurs informatiques peuvent bloquer la désinstallation de n'importe quelle application gérée arbitrairement ou de toutes les applications gérées (accédez à uninstallAppsDisabled).
4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données d'application dans les paramètres. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)
4.19. Gestion des captures d'écran
Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran lorsqu'ils utilisent des applications gérées. Ce paramètre inclut le blocage des applications de partage d'écran et des applications similaires (telles que l'Assistant Google) qui utilisent les fonctionnalités de capture d'écran du système.
4.19.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran (accédez à screenCaptureDisabled).
4.20. Désactiver les appareils photo
Les administrateurs informatiques peuvent désactiver l'utilisation des caméras de l'appareil par les applications gérées.
4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des caméras de l'appareil (accédez à cameraDisabled) par les applications gérées.
4.21. Collecte des statistiques réseau
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.22. Collecte de statistiques réseau avancées
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.23. Redémarrer l'appareil
Les administrateurs informatiques peuvent redémarrer à distance les appareils gérés.
4.23.1. Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.
4.24. Gestion du système radio
Fournit aux administrateurs informatiques une gestion précise des radios réseau du système et des règles d'utilisation associées à l'aide d'une règle.
4.24.1. Les administrateurs informatiques peuvent désactiver les diffusions cellulaires envoyées par les fournisseurs de services (accédez à cellBroadcastsConfigDisabled).
4.24.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de réseau mobile dans Paramètres (accédez à mobileNetworksConfigDisabled).
4.24.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser tous les paramètres réseau dans "Paramètres". (accédez à networkResetDisabled).
4.24.4. Les administrateurs informatiques peuvent configurer si l'appareil autorise les données mobiles en itinérance (accédez à dataRoamingDisabled).
4.24.5. Les administrateurs informatiques peuvent configurer si l'appareil peut passer des appels téléphoniques sortants, à l'exception des appels d'urgence (accédez à outGoingCallsDisabled).
4.24.6. Les administrateurs informatiques peuvent configurer si l'appareil peut envoyer et recevoir des messages texte (accédez à smsDisabled).
4.24.7. Les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil comme point d'accès mobile en partageant la connexion (accédez à tetheringConfigDisabled).
4.24.8. Les administrateurs informatiques peuvent définir le délai avant expiration du Wi-Fi par défaut, lorsqu'il est branché ou jamais. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)
4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier des connexions Bluetooth existantes (accédez à bluetoothConfigDisabled).
4.25. Gestion audio du système
Les administrateurs informatiques peuvent contrôler silencieusement les fonctionnalités audio de l'appareil, y compris couper le son de l'appareil, empêcher les utilisateurs de modifier les paramètres de volume et de réactiver le micro de l'appareil.
4.25.1. Les administrateurs informatiques peuvent couper le son des appareils gérés de manière silencieuse. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)
4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de volume de l'appareil (accédez à adjustVolumeDisabled). Cela met également les appareils en mode silencieux.
4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le micro de l'appareil (accédez à unmuteMicrophoneDisabled).
4.26. Gestion de l'horloge système
Les administrateurs informatiques peuvent gérer les paramètres de l'horloge et du fuseau horaire de l'appareil, et empêcher les utilisateurs de modifier les paramètres automatiques de l'appareil.
4.26.1. Les administrateurs informatiques peuvent appliquer l'heure et le fuseau horaire automatiques du système, ce qui empêche l'utilisateur de définir la date, l'heure et le fuseau horaire de l'appareil.
4.27. Fonctionnalités avancées des appareils dédiés
Pour les appareils dédiés, les administrateurs informatiques peuvent gérer les fonctionnalités suivantes à l'aide d'une règle afin de prendre en charge divers cas d'utilisation de kiosque.
4.27.1. Les administrateurs informatiques peuvent désactiver le clavier de l'appareil (accédez à keyguardDisabled).
4.27.2. Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, ce qui bloque les notifications et les paramètres rapides (accédez à statusBarDisabled).
4.27.3. Les administrateurs informatiques peuvent forcer l'écran de l'appareil à rester allumé tant qu'il est branché (accédez à stayOnPluggedModes).
4.27.4. Les administrateurs informatiques peuvent empêcher l'affichage des UI système suivantes (accédez à createWindowsDisabled):
- Notifications toast
- Superpositions d'application.
4.27.5. Les administrateurs informatiques peuvent autoriser la recommandation du système pour les applications à ignorer le tutoriel utilisateur et d'autres conseils d'introduction lors du premier démarrage (accédez à skip_first_use_hints).
4.28. Gestion des champs d'application délégués
Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.
4.28.1. Les administrateurs informatiques peuvent gérer les champs d'application suivants:
- Installation et gestion des certificats
- Vide délibérément
- Journalisation réseau
- Journalisation de la sécurité (non compatible avec le profil professionnel sur un appareil personnel)
4.29. Assistance liée aux identifiants spécifiques à l'inscription
À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil avec un profil professionnel via l'ID d'inscription spécifique, qui persiste après le rétablissement de la configuration d'usine.
4.29.1. Les administrateurs informatiques peuvent obtenir un ID spécifique à l'enregistrement
4.29.2. Cet ID spécifique à l'enregistrement doit persister après un rétablissement de la configuration d'usine.
5. Facilité d'utilisation des appareils
5.1. Personnalisation du provisionnement géré
Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités propres à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par l'EMM lors du provisionnement.
5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant des conditions d'utilisation et d'autres clauses de non-responsabilité spécifiques à l'entreprise (accédez à termsAndConditions).
5.1.2. Les administrateurs informatiques peuvent deploy des conditions d'utilisation et d'autres clauses de non-responsabilité non configurables, spécifiques à l'EMM (accédez à termsAndConditions).
- Les EMM peuvent définir leur personnalisation non configurable, spécifique à l'EMM, comme paramètre par défaut pour les déploiements, mais doivent permettre aux administrateurs informatiques de configurer leur propre personnalisation.
5.1.3. primaryColor a été abandonné pour la ressource d'entreprise sur Android 10 et versions ultérieures.
5.2. Personnalisation d'entreprise
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.3. Personnalisation avancée pour les entreprises
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.4. Messages sur l'écran de verrouillage
Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur l'écran de verrouillage de l'appareil et qui n'a pas besoin d'être déverrouillé pour être consulté.
5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage (accédez à deviceOwnerLockScreenInfo).
5.5. Gestion de la transparence des règles
Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils tentent de modifier les paramètres gérés sur leur appareil, ou déployer un message d'assistance générique fourni par l'EMM. Les messages d'assistance courts et longs peuvent être personnalisés et s'affichent dans des cas tels que la tentative de désinstallation d'une application gérée pour laquelle un administrateur informatique a déjà bloqué la désinstallation.
5.5.1. Les administrateurs informatiques peuvent personnaliser les messages d'assistance destinés aux utilisateurs courts et longs.
5.5.2. Les administrateurs informatiques peuvent déployer des messages d'assistance courts et longs, non configurables, spécifiques à l'EMM (accédez à shortSupportMessage et longSupportMessage dans policies).
- L'EMM peut définir ses messages d'assistance non configurables et spécifiques à l'EMM comme paramètres par défaut pour les déploiements, mais doit permettre aux administrateurs informatiques de configurer leurs propres messages.
5.6. Gestion des contacts interprofils
5.6.1. Les administrateurs informatiques peuvent désactiver l'affichage des contacts professionnels dans les recherches de contacts et les appels entrants du profil personnel.
5.6.2. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth pour les contacts professionnels, par exemple les appels mains libres dans les voitures ou les casques.
5.7. Gestion des données interprofils
Permet aux administrateurs informatiques de gérer les types de données pouvant être partagés entre les profils professionnel et personnel, ce qui leur permet d'équilibrer l'usabilité et la sécurité des données en fonction de leurs exigences.
5.7.1. Les administrateurs informatiques peuvent configurer une règle de partage de données entre les profils afin que les applications personnelles puissent résoudre les intents du profil professionnel, tels que les intents de partage ou les liens Web.
5.7.2. Les administrateurs informatiques peuvent autoriser les applications du profil professionnel à créer et à afficher des widgets sur l'écran d'accueil du profil personnel. Cette fonctionnalité est désactivée par défaut, mais peut être définie sur "Autorisé" à l'aide des champs workProfileWidgets et workProfileWidgetsDefault.
5.7.3. Les administrateurs informatiques peuvent contrôler la possibilité de copier/coller entre les profils professionnel et personnel.
5.8. Règle de mise à jour du système
Les administrateurs informatiques peuvent configurer et appliquer les mises à jour du système OTA (Over The Air) sur les appareils.
5.8.1. La console de l'EMM permet aux administrateurs informatiques de définir les configurations OTA suivantes:
- Automatique: les appareils installent les mises à jour OTA lorsqu'elles sont disponibles.
- Reporter: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA jusqu'à 30 jours. Cette règle n'a pas d'incidence sur les mises à jour de sécurité (par exemple, les correctifs de sécurité mensuels).
- Fenêtré: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA dans un intervalle de maintenance quotidien.
5.8.2. Les configurations OTA sont appliquées aux appareils à l'aide d'une règle.
5.9. Gestion du mode tâches verrouillées
Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran et s'assurer que les utilisateurs ne peuvent pas les quitter.
5.9.1. La console de l'EMM permet aux administrateurs informatiques d'autoriser de manière silencieuse l'installation et le verrouillage d'un ensemble d'applications arbitraires sur un appareil. Règle permet de configurer des appareils dédiés.
5.10. Gestion persistante des activités préférées
Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents correspondant à un certain filtre d'intent. Par exemple, cette fonctionnalité permettrait aux administrateurs informatiques de choisir l'application de navigateur qui ouvre automatiquement les liens Web. Cette fonctionnalité peut gérer l'application de lanceur utilisée lorsque vous appuyez sur le bouton d'accueil.
5.10.1. Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour n'importe quel filtre d'intent arbitraire.
- La console de l'EMM peut éventuellement suggérer des intents connus ou recommandés pour la configuration, mais ne peut pas les limiter à une liste arbitraire.
- La console de l'EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
5.11. Gestion des fonctionnalités du clavier de verrouillage
Les administrateurs informatiques peuvent gérer les fonctionnalités disponibles pour les utilisateurs avant de déverrouiller le verrouillage de l'appareil (écran de verrouillage) et le verrouillage de l'authentification professionnelle (écran de verrouillage).
5.11.1.Règle : vous pouvez désactiver les fonctionnalités suivantes du clavier de verrouillage de l'appareil :
- agents de confiance
- déverrouillage par empreinte digitale
- notifications non masquées
5.11.2. Les fonctionnalités de verrouillage des touches suivantes du profil professionnel peuvent être désactivées à l'aide d'une règle :
- agents de confiance
- déverrouillage par empreinte digitale
5.12. Gestion avancée des fonctionnalités du clavier de verrouillage
- Caméra sécurisée
- Toutes les notifications
- Non masqué
- Agents de confiance
- Fingerprint Unlock
- Toutes les fonctionnalités du clavier de protection
5.13. Débogage à distance
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.14. Récupération de l'adresse MAC
Les EMM peuvent récupérer en mode silencieux l'adresse MAC d'un appareil pour l'utiliser afin d'identifier les appareils dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification des appareils pour la gestion des accès réseau).
5.14.1. L'EMM peut récupérer de manière silencieuse l'adresse MAC d'un appareil et l'associer à l'appareil dans la console de l'EMM.
5.15. Gestion avancée du mode tâches verrouillées
Avec un appareil dédié, les administrateurs informatiques peuvent utiliser la console de l'EMM pour effectuer les tâches suivantes:
5.15.1. Autorisez l'installation et le verrouillage d'une seule application sur un appareil de manière silencieuse.
5.15.2. Activez ou désactivez les fonctionnalités d'interface utilisateur système suivantes:
- Bouton "Accueil"
- Présentation
- Actions générales
- Notifications
- Informations système / Barre d'état
- Verrouillage des touches (écran de verrouillage) Cette sous-fonctionnalité est activée par défaut lorsque la version 5.15.1 est implémentée.
5.15.3. Désactivez Boîtes de dialogue d'erreur système.
5.16. Règle de mise à jour du système avancée
Les administrateurs informatiques peuvent définir une période de blocage pour bloquer les mises à jour du système sur un appareil.
5.16.1. La console de l'EMM doit permettre aux administrateurs informatiques de bloquer les mises à jour du système Over The Air (OTA) pendant une période de blocage spécifiée.
5.17. Gestion de la transparence des règles du profil professionnel
Les administrateurs informatiques peuvent personnaliser le message affiché aux utilisateurs lorsqu'ils suppriment le profil professionnel d'un appareil.
5.17.1. Les administrateurs informatiques peuvent fournir un texte personnalisé à afficher (accédez à wipeReasonMessage) lorsqu'un profil professionnel est effacé.
5.18. Compatibilité avec les applications connectées
Les administrateurs informatiques peuvent définir une liste de packages pouvant communiquer au-delà de la limite du profil professionnel en définissant ConnectedWorkAndPersonalApp.
5.19. Mise à jour manuelle du système
L'API Android Management n'est pas compatible avec cette fonctionnalité.
6. Abandon de Device Administration
6.1. Abandon de Device Administration
Les EMM doivent publier un plan d'arrêt de la prise en charge client de Device Admin sur les appareils GMS d'ici la fin du premier trimestre 2023.
7. Utilisation de l'API
7.1. Policy Controller standard pour les nouvelles liaisons
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour toute nouvelle liaison. Les EMM peuvent proposer la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'en-tête "Avancé" ou une terminologie similaire. Les nouveaux clients ne doivent pas être exposés à un choix arbitraire entre des piles technologiques lors de tout processus d'intégration ou de configuration.
7.2. Outil de contrôle des règles standard pour les nouveaux appareils
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour tous les nouveaux enregistrements d'appareils, pour les liaisons existantes et nouvelles. Les EMM peuvent proposer la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'en-tête "Avancé" ou une terminologie similaire.