Trang này liệt kê toàn bộ các tính năng của Android Enterprise.
Nếu bạn dự định quản lý hơn 500 thiết bị, thì giải pháp EMM của bạn phải hỗ trợ tất cả các tính năng tiêu chuẩn () của ít nhất một bộ giải pháp trước khi có thể cung cấp thương mại. Các giải pháp EMM vượt qua quy trình xác minh tính năng tiêu chuẩn sẽ được liệt kê trong Danh mục giải pháp dành cho doanh nghiệp của Android là cung cấp Bộ giải pháp quản lý tiêu chuẩn.
Mỗi nhóm giải pháp đều có một bộ tính năng nâng cao bổ sung. Các tính năng này được biểu thị trong từng trang tập hợp giải pháp: hồ sơ công việc trên thiết bị thuộc sở hữu cá nhân, hồ sơ công việc trên thiết bị do công ty sở hữu, thiết bị được quản lý hoàn toàn và thiết bị chuyên dụng. Các giải pháp EMM vượt qua quy trình xác minh tính năng nâng cao sẽ được liệt kê trong Danh mục giải pháp doanh nghiệp của Android là cung cấp Bộ tính năng quản lý nâng cao.
Khoá
| tính năng tiêu chuẩn | tính năng nâng cao | tính năng không bắt buộc | không áp dụng |
1. Cấp phép thiết bị
1.1. Cung cấp hồ sơ công việc trước DPC
Sau khi tải Android Device Policy xuống từ Google Play, người dùng có thể thiết lập hồ sơ công việc.
1.1.1. EMM cung cấp cho quản trị viên CNTT mã QR hoặc mã kích hoạt để hỗ trợ phương thức cấp phép này (chuyển đến phần đăng ký và cấp phép thiết bị).
1.2. Cấp phép thiết bị bằng giá trị nhận dạng DPC
Khi bạn nhập "afw#" vào trình hướng dẫn thiết lập của thiết bị, thiết bị sẽ được cấp phép ở chế độ được quản lý hoàn toàn hoặc chế độ dành riêng.
1.2.1. EMM cung cấp cho quản trị viên CNTT mã QR hoặc mã kích hoạt để hỗ trợ phương thức cấp phép này (xem phần đăng ký và cấp phép thiết bị).
1.3. Cấp phép thiết bị NFC
Quản trị viên CNTT có thể sử dụng thẻ NFC để cung cấp thiết bị mới hoặc thiết bị đã được đặt lại về trạng thái ban đầu, theo các nguyên tắc triển khai được xác định trong tài liệu dành cho nhà phát triển Play EMM API.
1.3.1. EMM phải sử dụng Thẻ loại 2 của Diễn đàn NFC có bộ nhớ ít nhất là 888 byte. Quy trình cấp phép phải sử dụng các tiện ích cấp phép để truyền các thông tin đăng ký không nhạy cảm, chẳng hạn như mã nhận dạng máy chủ và mã nhận dạng đăng ký cho thiết bị. Thông tin đăng ký không được chứa thông tin nhạy cảm, chẳng hạn như mật khẩu hoặc chứng chỉ.
1.3.2. Bạn nên sử dụng thẻ NFC cho Android 10 trở lên do tính năng Truyền qua NFC (còn gọi là Chạm NFC) không còn được dùng nữa.
1.4. Cung cấp thiết bị bằng mã QR
Bảng điều khiển của EMM có thể tạo mã QR mà quản trị viên CNTT có thể quét để cung cấp một thiết bị được quản lý hoàn toàn hoặc thiết bị chuyên dụng, theo các nguyên tắc triển khai được xác định trong tài liệu dành cho nhà phát triển Android Management API.
1.4.1. Mã QR phải sử dụng các tiện ích bổ sung về việc cung cấp để truyền thông tin đăng ký không nhạy cảm (chẳng hạn như mã nhận dạng máy chủ, mã nhận dạng đăng ký) đến một thiết bị. Thông tin đăng ký không được chứa thông tin nhạy cảm, chẳng hạn như mật khẩu hoặc chứng chỉ.
1.5. Thiết lập tự động
Quản trị viên CNTT có thể định cấu hình trước các thiết bị mua từ đại lý được uỷ quyền và quản lý các thiết bị đó bằng bảng điều khiển EMM.
1.5.1. Quản trị viên CNTT có thể cung cấp thiết bị do công ty sở hữu bằng phương thức thiết lập tự động, như được nêu trong bài viết Quy trình thiết lập tự động dành cho quản trị viên CNTT.
1.5.2. Khi thiết bị được bật lần đầu tiên, thiết bị sẽ tự động bị buộc chuyển sang chế độ cài đặt do quản trị viên CNTT xác định.
1.6. Cung cấp nâng cao không cần thao tác
Quản trị viên CNTT có thể tự động hoá phần lớn quy trình đăng ký thiết bị bằng tính năng thiết lập tự động. Khi kết hợp với URL đăng nhập, quản trị viên CNTT có thể giới hạn việc đăng ký đối với các tài khoản hoặc miền cụ thể, theo các lựa chọn cấu hình do EMM cung cấp.
1.6.1. Quản trị viên CNTT có thể cung cấp thiết bị do công ty sở hữu bằng phương thức thiết lập tự động.
1.6.2. Yêu cầu này không còn được dùng nữa.
1.6.3. Bằng cách sử dụng URL đăng nhập, EMM phải đảm bảo rằng người dùng trái phép không thể tiếp tục kích hoạt. Ở mức tối thiểu, bạn phải giới hạn quyền kích hoạt cho người dùng của một doanh nghiệp cụ thể.
1.6.4. Khi sử dụng URL đăng nhập, EMM phải cho phép quản trị viên CNTT điền sẵn thông tin đăng ký (ví dụ: mã nhận dạng máy chủ, mã nhận dạng đăng ký) ngoài thông tin riêng biệt về người dùng hoặc thiết bị (ví dụ: tên người dùng/mật khẩu, mã thông báo kích hoạt), để người dùng không phải nhập thông tin chi tiết khi kích hoạt thiết bị.
- EMM không được chứa thông tin nhạy cảm, chẳng hạn như mật khẩu hoặc chứng chỉ, trong cấu hình của quy trình đăng ký không cần thao tác.
1.7. Cung cấp hồ sơ công việc cho Tài khoản Google
Đối với những doanh nghiệp sử dụng Miền Google được quản lý, tính năng này sẽ hướng dẫn người dùng thiết lập hồ sơ công việc sau khi nhập thông tin đăng nhập Workspace của công ty trong quá trình thiết lập thiết bị hoặc trên một thiết bị đã được kích hoạt. Trong cả hai trường hợp, danh tính Workspace của công ty sẽ được di chuyển vào hồ sơ công việc.
1.8. Cấp phép thiết bị cho Tài khoản Google
Android Management API không hỗ trợ tính năng này.
1.9. Cấu hình trực tiếp không cần thao tác
Quản trị viên CNTT có thể sử dụng bảng điều khiển của EMM để thiết lập các thiết bị thiết lập tự động bằng cách sử dụng iframe thiết lập tự động .
1.10. Hồ sơ công việc trên thiết bị do công ty sở hữu
EMM có thể đăng ký những thiết bị do công ty sở hữu có hồ sơ công việc bằng cách đặt AllowPersonalUsage .
1.10.1. Cố tình để trống.
1.10.2. Quản trị viên CNTT có thể thiết lập các hành động tuân thủ cho hồ sơ công việc trên các thiết bị do công ty sở hữu thông qua PersonalUsagePolicies.
1.10.3. Quản trị viên CNTT có thể tắt camera trong hồ sơ công việc hoặc toàn bộ thiết bị thông qua PersonalUsagePolicies.
1.10.4. Quản trị viên CNTT có thể huỷ kích hoạt tính năng chụp màn hình trong hồ sơ công việc hoặc toàn bộ thiết bị thông qua PersonalUsagePolicies.
1.10.5. Quản trị viên CNTT có thể thiết lập danh sách chặn các ứng dụng không được phép cài đặt trong hồ sơ cá nhân thông qua PersonalApplicationPolicy.
1.10.6. Quản trị viên CNTT có thể từ bỏ quyền quản lý thiết bị do công ty sở hữu bằng cách xoá hồ sơ công việc hoặc xoá sạch toàn bộ thiết bị.
1.11. Cấp phép thiết bị chuyên dụng
Quản trị viên CNTT có thể đăng ký các thiết bị chuyên dụng mà không cần người dùng xác thực bằng Tài khoản Google.
2. Bảo mật thiết bị
2.1. Thử thách bảo mật thiết bị
Quản trị viên CNTT có thể thiết lập và thực thi một thử thách bảo mật thiết bị (mã PIN/mẫu hình/mật khẩu) trong số 3 cấp độ phức tạp được xác định trước trên các thiết bị được quản lý.
2.1.1. Chính sách phải thực thi các chế độ cài đặt quản lý các thách thức về bảo mật thiết bị (parentProfilePasswordRequirements cho hồ sơ công việc, passwordRequirements cho các thiết bị chuyên dụng và được quản lý hoàn toàn).
2.1.2. Độ phức tạp của mật khẩu phải tương ứng với các độ phức tạp sau đây của mật khẩu:
- PASSWORD_COMPLEXITY_LOW – hình mở khoá hoặc mã PIN có các chuỗi lặp lại (4444) hoặc theo thứ tự (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – Mã PIN không có chuỗi lặp lại (4444) hoặc chuỗi có thứ tự (1234, 4321, 2468), mật khẩu chữ cái hoặc mật khẩu chữ và số có độ dài ít nhất là 4
- PASSWORD_COMPLEXITY_HIGH – Mã PIN không có chuỗi lặp lại (4444) hoặc chuỗi có thứ tự (1234, 4321, 2468) và có độ dài ít nhất là 8 hoặc mật khẩu chữ cái hoặc mật khẩu chữ và số có độ dài ít nhất là 6
2.1.3. Bạn cũng có thể thực thi các hạn chế bổ sung về mật khẩu dưới dạng chế độ cài đặt cũ trên các thiết bị thuộc sở hữu của công ty.
2.2. Thử thách bảo mật cho công việc
Quản trị viên CNTT có thể thiết lập và thực thi một biện pháp kiểm tra bảo mật cho các ứng dụng và dữ liệu trong hồ sơ công việc riêng biệt và có các yêu cầu khác với biện pháp kiểm tra bảo mật thiết bị (2.1.).
2.2.1. Chính sách phải thực thi thách thức bảo mật cho hồ sơ công việc.
- Theo mặc định, quản trị viên CNTT chỉ nên đặt các hạn chế cho hồ sơ công việc nếu không có phạm vi nào được chỉ định
- Quản trị viên CNTT có thể đặt chế độ này trên toàn thiết bị bằng cách chỉ định phạm vi (xem yêu cầu 2.1)
2.2.2. Độ phức tạp của mật khẩu phải tương ứng với các độ phức tạp mật khẩu được xác định trước sau đây:
- PASSWORD_COMPLEXITY_LOW – hình mở khoá hoặc mã PIN có các chuỗi lặp lại (4444) hoặc theo thứ tự (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – Mã PIN không có chuỗi lặp lại (4444) hoặc chuỗi có thứ tự (1234, 4321, 2468), mật khẩu chữ cái hoặc mật khẩu chữ và số có độ dài ít nhất là 4
- PASSWORD_COMPLEXITY_HIGH – Mã PIN không có chuỗi lặp lại (4444) hoặc chuỗi có thứ tự (1234, 4321, 2468) và có độ dài ít nhất là 8 hoặc mật khẩu chữ cái hoặc mật khẩu chữ và số có độ dài ít nhất là 6
2.2.3. Bạn cũng có thể thực thi các hạn chế bổ sung đối với mật khẩu dưới dạng chế độ cài đặt cũ
2.3. Quản lý mật mã nâng cao
Quản trị viên CNTT có thể thiết lập chế độ cài đặt mật khẩu nâng cao trên thiết bị.
2.3.1. Cố tình để trống.
2.3.2. Cố tình để trống.
2.3.3. Bạn có thể đặt chế độ cài đặt vòng đời mật khẩu sau đây cho từng màn hình khoá có trên thiết bị:
- Cố tình để trống
- Cố tình để trống
- Số lần nhập sai mật khẩu tối đa trước khi xoá dữ liệu: Chỉ định số lần người dùng có thể nhập sai mật khẩu trước khi dữ liệu công ty bị xoá khỏi thiết bị. Quản trị viên CNTT phải có thể tắt tính năng này.
2.3.4. (Android 8.0 trở lên) Thời gian chờ bắt buộc để xác thực nghiêm ngặt: bạn phải nhập mật khẩu xác thực nghiêm ngặt (chẳng hạn như mã PIN hoặc mật khẩu) sau khoảng thời gian chờ do quản trị viên CNTT đặt. Sau khoảng thời gian chờ, các phương thức xác thực không nghiêm ngặt (chẳng hạn như vân tay, tính năng mở khoá bằng khuôn mặt) sẽ bị tắt cho đến khi thiết bị được mở khoá bằng một mật mã xác thực nghiêm ngặt.
2.4. Quản lý Smart Lock
Quản trị viên CNTT có thể quản lý việc các tác nhân tin cậy trong tính năng Smart Lock của Android có được phép kéo dài thời gian mở khoá thiết bị lên đến 4 giờ hay không.
2.4.1. Quản trị viên CNTT có thể tắt các tác nhân tin cậy trên thiết bị.
2.5. Xoá sạch và khoá
Quản trị viên CNTT có thể sử dụng bảng điều khiển của EMM để khoá và xoá dữ liệu công việc từ xa trên một thiết bị do công ty quản lý.
2.5.1. Thiết bị phải được khoá bằng Android Management API.
2.5.2. Bạn phải xoá dữ liệu trên thiết bị bằng Android Management API.
2.6. Thực thi việc tuân thủ
Nếu một thiết bị không tuân thủ các chính sách bảo mật, thì các quy tắc tuân thủ do Android Management API áp dụng sẽ tự động hạn chế việc sử dụng dữ liệu công việc.
2.6.1. Ít nhất, các chính sách bảo mật được thực thi trên một thiết bị phải bao gồm chính sách mật khẩu.
2.7. Chính sách bảo mật mặc định
Theo mặc định, EMM phải thực thi các chính sách bảo mật được chỉ định trên thiết bị mà không yêu cầu quản trị viên CNTT thiết lập hoặc tuỳ chỉnh bất kỳ chế độ cài đặt nào trong bảng điều khiển của EMM. Các EMM nên (nhưng không bắt buộc) không cho phép quản trị viên CNTT thay đổi trạng thái mặc định của các tính năng bảo mật này.
2.7.1. Bạn phải chặn việc cài đặt ứng dụng không rõ nguồn gốc, kể cả những ứng dụng được cài đặt trên phía cá nhân của mọi thiết bị Android 8.0 trở lên có hồ sơ công việc. Theo mặc định, tính năng phụ này được hỗ trợ.
2.7.2. Bạn phải chặn các tính năng gỡ lỗi. Theo mặc định, tính năng phụ này được hỗ trợ.
2.8. Chính sách bảo mật cho thiết bị chuyên dụng
Không được phép thực hiện thao tác nào khác trên thiết bị chuyên dụng ở chế độ chỉ dùng một ứng dụng.
2.8.1. Theo mặc định, bạn phải tắt chế độ khởi động vào chế độ an toàn bằng cách sử dụng chính sách (Chuyển đến safeBootDisabled).
2.9. Hỗ trợ API Tính toàn vẹn của Play
Theo mặc định, các lượt kiểm tra Tính toàn vẹn của Play sẽ được thực hiện. Bạn không cần triển khai thêm.
2.9.1. Cố tình để trống.
2.9.2. Cố tình để trống.
2.9.3. Quản trị viên CNTT có thể thiết lập các phản hồi chính sách khác nhau dựa trên giá trị SecurityRisk của thiết bị, bao gồm cả việc chặn hoạt động cung cấp, xoá dữ liệu công ty và cho phép tiếp tục đăng ký.
- Dịch vụ EMM sẽ thực thi phản hồi chính sách này cho kết quả của mỗi lần kiểm tra tính toàn vẹn.
2.9.4. Cố tình để trống.
2.10. Thực thi việc xác minh ứng dụng
Quản trị viên CNTT có thể bật tính năng Xác minh ứng dụng trên thiết bị. Tính năng Xác minh ứng dụng quét các ứng dụng đã cài đặt trên thiết bị Android để tìm phần mềm độc hại trước và sau khi cài đặt, giúp đảm bảo rằng các ứng dụng độc hại không thể xâm phạm dữ liệu của công ty.
2.10.1. Theo mặc định, bạn phải bật tính năng Xác minh ứng dụng bằng chính sách (Chuyển đến ensureVerifyAppsEnabled).
2.11. Hỗ trợ Direct Boot
Theo mặc định, Android Management API hỗ trợ tính năng này. Bạn không cần triển khai thêm.
2.12. Quản lý bảo mật phần cứng
Quản trị viên CNTT có thể khoá các thành phần phần cứng của thiết bị do công ty sở hữu để đảm bảo ngăn chặn mất dữ liệu.
2.12.1. Quản trị viên CNTT có thể chặn người dùng gắn phương tiện ngoài thực tế bằng chính sách (chuyển đến mountPhysicalMediaDisabled).
2.12.2. Quản trị viên CNTT có thể chặn người dùng chia sẻ dữ liệu từ thiết bị của họ bằng cách sử dụng tính năng truyền dữ liệu qua NFC bằng chính sách (chuyển đến outgoingBeamDisabled). Đây là tính năng phụ không bắt buộc vì chức năng truyền dữ liệu qua NFC không còn được hỗ trợ trong Android 10 trở lên.
2.12.3. Quản trị viên CNTT có thể chặn người dùng chuyển tệp qua USB bằng chính sách (chuyển đến usbFileTransferDisabled).
2.13. Ghi nhật ký bảo mật cấp doanh nghiệp
Android Management API không hỗ trợ tính năng này.
3. Quản lý tài khoản và ứng dụng
3.1. Liên kết doanh nghiệp
Quản trị viên CNTT có thể liên kết EMM với tổ chức của họ, cho phép EMM sử dụng Managed Google Play để phân phối ứng dụng đến các thiết bị.
3.1.1. Quản trị viên có miền được quản lý hiện có trên Google Domains có thể liên kết miền của họ với EMM.
3.1.2. Cố tình để trống.
3.1.3. Cố tình để trống.
3.1.4. Bảng điều khiển EMM hướng dẫn quản trị viên nhập địa chỉ email công việc của họ trong quy trình đăng ký Android và không khuyến khích họ sử dụng Tài khoản Gmail.
3.1.5. EMM sẽ điền sẵn địa chỉ email của quản trị viên trong quy trình đăng ký trên Android.
3.2. Cung cấp Tài khoản Google Play có quản lý
EMM có thể âm thầm cung cấp tài khoản người dùng doanh nghiệp, được gọi là Tài khoản Google Play có quản lý. Những tài khoản này xác định người dùng được quản lý và cho phép các quy tắc phân phối ứng dụng riêng biệt cho mỗi người dùng.
3.2.1. Tài khoản Managed Google Play (tài khoản người dùng) sẽ tự động được tạo khi thiết bị được cung cấp.
Theo mặc định, Android Management API hỗ trợ tính năng này. Bạn không cần triển khai thêm.
3.3. Cung cấp tài khoản thiết bị Google Play có quản lý
EMM có thể tạo và cung cấp tài khoản thiết bị Managed Google Play. Tài khoản thiết bị hỗ trợ việc cài đặt ứng dụng âm thầm từ Cửa hàng Google Play được quản lý và không liên kết với một người dùng duy nhất. Thay vào đó, tài khoản thiết bị được dùng để xác định một thiết bị duy nhất nhằm hỗ trợ các quy tắc phân phối ứng dụng cho mỗi thiết bị trong các trường hợp dành riêng cho thiết bị.
3.3.1. Tài khoản Managed Google Play sẽ tự động được tạo khi thiết bị được cung cấp.
Theo mặc định, Android Management API hỗ trợ tính năng này. Bạn không cần triển khai thêm.
3.4. Cung cấp Tài khoản Google Play có quản lý cho các thiết bị cũ
Tính năng này không còn được dùng nữa.
3.5. Phân phối ứng dụng âm thầm
Quản trị viên CNTT có thể phân phối ứng dụng công việc trên các thiết bị mà không cần người dùng tương tác.
3.5.1. Bảng điều khiển của EMM phải sử dụng Android Management API để cho phép quản trị viên CNTT cài đặt các ứng dụng công việc trên thiết bị được quản lý.
3.5.2. Bảng điều khiển của EMM phải sử dụng Android Management API để cho phép quản trị viên CNTT cập nhật các ứng dụng công việc trên thiết bị được quản lý.
3.5.3. Bảng điều khiển của EMM phải sử dụng Android Management API để cho phép quản trị viên CNTT gỡ cài đặt ứng dụng trên các thiết bị được quản lý.
3.6. Quản lý cấu hình được quản lý
Quản trị viên CNTT có thể xem và âm thầm đặt cấu hình được quản lý cho mọi ứng dụng hỗ trợ cấu hình được quản lý.
3.6.1. Bảng điều khiển của EMM phải có khả năng truy xuất và hiển thị các chế độ cài đặt cấu hình được quản lý của mọi ứng dụng trên Play.
3.6.2. Bảng điều khiển của EMM phải cho phép quản trị viên CNTT đặt mọi loại cấu hình (theo định nghĩa của khung Android Enterprise) cho mọi ứng dụng Play bằng Android Management API (API Quản lý Android).
3.6.3. Bảng điều khiển của EMM phải cho phép quản trị viên CNTT đặt ký tự đại diện (chẳng hạn như $username$ hoặc %emailAddress%) để có thể áp dụng một cấu hình duy nhất cho một ứng dụng như Gmail cho nhiều người dùng.
3.7. Quản lý danh mục ứng dụng
Theo mặc định, Android Management API hỗ trợ tính năng này. Bạn không cần triển khai thêm.
3.8. Phê duyệt ứng dụng có lập trình
Bảng điều khiển của EMM sử dụng iframe Managed Google Play để hỗ trợ các chức năng phê duyệt và khám phá ứng dụng của Google Play. Quản trị viên CNTT có thể tìm kiếm ứng dụng, phê duyệt ứng dụng và phê duyệt các quyền mới của ứng dụng mà không cần rời khỏi bảng điều khiển của EMM.
3.8.1. Quản trị viên CNTT có thể tìm kiếm và phê duyệt ứng dụng trong bảng điều khiển của EMM bằng iframe Managed Google Play.
3.9. Quản lý bố cục cơ bản của cửa hàng
Bạn có thể dùng ứng dụng Cửa hàng Google Play được quản lý để cài đặt và cập nhật các ứng dụng công việc. Theo mặc định, Cửa hàng Google Play được quản lý sẽ hiển thị các ứng dụng được phê duyệt cho người dùng trong một danh sách duy nhất. Bố cục này được gọi là bố cục cơ bản của cửa hàng.
3.9.1. Bảng điều khiển của EMM phải cho phép quản trị viên CNTT quản lý các ứng dụng mà người dùng cuối nhìn thấy trong bố cục cơ bản của cửa hàng.
3.10. Cấu hình bố cục nâng cao cho cửa hàng
3.10.1. Quản trị viên CNTT có thể tuỳ chỉnh bố cục cửa hàng mà người dùng thấy trong ứng dụng Cửa hàng Managed Google Play.
3.11. Quản lý giấy phép ứng dụng
Tính năng này không còn được dùng nữa.
3.12. Quản lý ứng dụng riêng tư do Google lưu trữ
Quản trị viên CNTT có thể cập nhật ứng dụng riêng tư do Google lưu trữ thông qua bảng điều khiển EMM thay vì thông qua Google Play Console.
3.12.1. Quản trị viên CNTT có thể tải các phiên bản mới của ứng dụng đã được xuất bản riêng tư lên doanh nghiệp bằng cách sử dụng:
3.13. Quản lý ứng dụng riêng tư tự lưu trữ
Quản trị viên CNTT có thể thiết lập và xuất bản các ứng dụng riêng tư tự lưu trữ. Không giống như các ứng dụng riêng tư do Google lưu trữ, Google Play không lưu trữ các tệp APK. Thay vào đó, EMM giúp quản trị viên CNTT tự lưu trữ APK và giúp bảo vệ các ứng dụng tự lưu trữ bằng cách đảm bảo rằng chỉ khi được Google Play được quản lý cho phép thì các ứng dụng đó mới có thể cài đặt.
3.13.1. Bảng điều khiển của EMM phải giúp quản trị viên CNTT lưu trữ APK ứng dụng bằng cách cung cấp cả hai lựa chọn sau:
- Lưu trữ APK trên máy chủ của EMM. Máy chủ có thể là tại chỗ hoặc dựa trên đám mây.
- Lưu trữ APK bên ngoài máy chủ của EMM, tuỳ theo quyết định của doanh nghiệp. Quản trị viên CNTT phải chỉ định trong bảng điều khiển EMM nơi lưu trữ APK.
3.13.2. Bảng điều khiển của EMM phải tạo một tệp định nghĩa APK thích hợp bằng APK được cung cấp và phải hướng dẫn quản trị viên CNTT trong quy trình xuất bản.
3.13.3. Quản trị viên CNTT có thể cập nhật các ứng dụng riêng tư tự lưu trữ và bảng điều khiển của EMM có thể xuất bản âm thầm các tệp định nghĩa APK đã cập nhật bằng Google Play Developer Publishing API.
3.13.4. Máy chủ của EMM sẽ xử lý các yêu cầu tải xuống cho APK tự lưu trữ có chứa một JWT hợp lệ trong cookie của yêu cầu, do khoá công khai của ứng dụng riêng tư xác minh.
- Để tạo điều kiện thuận lợi cho quy trình này, máy chủ của EMM phải hướng dẫn quản trị viên CNTT tải khoá công khai giấy phép của ứng dụng tự lưu trữ xuống từ Play Console của Google Play, rồi tải khoá này lên bảng điều khiển EMM.
3.14. Thông báo kéo EMM
Tính năng này không áp dụng cho Android Management API. Thiết lập thông báo Pub/Sub.
3.15. Yêu cầu về việc sử dụng API
EMM triển khai Android Management API ở quy mô lớn, tránh các mẫu lưu lượng truy cập có thể ảnh hưởng tiêu cực đến khả năng quản lý ứng dụng của doanh nghiệp trong môi trường sản xuất.
3.15.1. EMM phải tuân thủ giới hạn sử dụng Android Management API. Nếu không điều chỉnh hành vi vượt quá các nguyên tắc này, bạn có thể bị tạm ngưng sử dụng API, theo quyết định của Google.
3.15.2. EMM nên phân phối lưu lượng truy cập từ nhiều doanh nghiệp trong suốt cả ngày, thay vì hợp nhất lưu lượng truy cập của doanh nghiệp vào những thời điểm cụ thể hoặc tương tự. Hành vi phù hợp với mẫu lưu lượng truy cập này, chẳng hạn như các thao tác theo lô theo lịch cho từng thiết bị đã đăng ký, có thể dẫn đến việc tạm ngưng sử dụng API, theo quyết định của Google.
3.15.3. EMM không được đưa ra các yêu cầu nhất quán, chưa hoàn chỉnh hoặc cố ý không chính xác mà không cố gắng truy xuất hoặc quản lý dữ liệu thực tế của doanh nghiệp. Hành vi phù hợp với mô hình lưu lượng truy cập này có thể dẫn đến việc tạm ngưng sử dụng API, theo quyết định của Google.
3.16. Quản lý cấu hình được quản lý nâng cao
EMM hỗ trợ các tính năng quản lý cấu hình được quản lý nâng cao sau đây:
3.16.1. Bảng điều khiển của EMM phải có khả năng truy xuất và hiển thị tối đa 4 cấp chế độ cài đặt cấu hình được quản lý lồng nhau của mọi ứng dụng trên Play bằng cách sử dụng:
- iframe Managed Google Play hoặc
- giao diện người dùng tuỳ chỉnh.
3.16.2. Bảng điều khiển của EMM phải có khả năng truy xuất và hiển thị mọi ý kiến phản hồi do kênh phản hồi của ứng dụng trả về khi được quản trị viên CNTT thiết lập.
- Bảng điều khiển của EMM phải cho phép quản trị viên CNTT liên kết một mục phản hồi cụ thể với thiết bị và ứng dụng mà mục đó bắt nguồn.
- Bảng điều khiển của EMM phải cho phép quản trị viên CNTT đăng ký nhận cảnh báo hoặc báo cáo về các loại thông báo cụ thể (chẳng hạn như thông báo lỗi).
3.16.3. Bảng điều khiển của EMM chỉ được gửi các giá trị có giá trị mặc định hoặc do quản trị viên đặt theo cách thủ công bằng cách sử dụng:
- Iframe cấu hình được quản lý hoặc
- Giao diện người dùng tuỳ chỉnh.
3.17. Quản lý ứng dụng web
Quản trị viên CNTT có thể tạo và phân phối ứng dụng web trong bảng điều khiển EMM.
3.17.1. Bảng điều khiển EMM cho phép quản trị viên CNTT phân phối lối tắt đến các ứng dụng web bằng cách sử dụng:
3.18. Quản lý vòng đời của Tài khoản Google Play có quản lý
EMM có thể tạo, cập nhật và xoá Tài khoản Managed Google Play thay mặt cho quản trị viên CNTT, đồng thời tự động khôi phục khi tài khoản hết hạn.
Tính năng này được hỗ trợ theo mặc định. Bạn không cần triển khai thêm EMM.
3.19. Quản lý kênh ứng dụng
3.19.1. Quản trị viên CNTT có thể lấy danh sách mã theo dõi do nhà phát triển đặt cho một ứng dụng cụ thể.
3.19.2. Quản trị viên CNTT có thể đặt thiết bị để sử dụng một kênh phát triển cụ thể cho một ứng dụng.
3.20. Quản lý nâng cao việc cập nhật ứng dụng
Quản trị viên CNTT có thể cho phép cập nhật ngay hoặc hoãn cập nhật ứng dụng trong 90 ngày.
3.20.1. Quản trị viên CNTT có thể cho phép các ứng dụng sử dụng bản cập nhật ứng dụng có mức độ ưu tiên cao để được cập nhật khi có bản cập nhật. 3.20.2. Quản trị viên CNTT có thể cho phép các ứng dụng hoãn cập nhật ứng dụng trong 90 ngày.
3.21. Quản lý phương thức cấp phép
EMM có thể tạo cấu hình cung cấp và trình bày các cấu hình này cho quản trị viên CNTT ở dạng sẵn sàng phân phối cho người dùng cuối (chẳng hạn như mã QR, cấu hình thiết lập tự động, URL Cửa hàng Play).
3.22. Nâng cấp chế độ liên kết Enterprise
Quản trị viên CNTT có thể nâng cấp loại liên kết doanh nghiệp lên một doanh nghiệp sử dụng Miền mua qua Google được quản lý, cho phép tổ chức truy cập vào các dịch vụ và tính năng của Tài khoản Google trên các thiết bị đã đăng ký.
3.22.1. Bảng điều khiển EMM cho phép quản trị viên CNTT kích hoạt quy trình nâng cấp một doanh nghiệp có Tài khoản Google Play được quản lý hiện có lên một doanh nghiệp có Miền mua qua Google được quản lý bằng cách sử dụng các API bắt buộc.
3.22.2. EMM nên sử dụng Pub/Sub để nhận thông báo về các sự kiện nâng cấp do quản trị viên CNTT khởi tạo (ngay cả những sự kiện xảy ra bên ngoài bảng điều khiển EMM) và cập nhật giao diện người dùng để phản ánh những thay đổi này.
3.23. Cung cấp Tài khoản Google được quản lý
EMM có thể cung cấp một thiết bị có tài khoản người dùng doanh nghiệp, được gọi là Tài khoản Google được quản lý. Những tài khoản này xác định người dùng được quản lý và cho phép các quy tắc phân phối ứng dụng, đồng thời cho phép truy cập vào các dịch vụ của Google. Ngoài ra, quản trị viên CNTT có thể đặt chính sách để yêu cầu xác thực Tài khoản Google được quản lý trong hoặc sau khi đăng ký.
3.23.1. EMM có thể cung cấp một Tài khoản Google được quản lý theo hướng dẫn triển khai đã xác định.
Khi làm như vậy:
- Một Tài khoản Google được quản lý sẽ được thêm vào thiết bị.
- Tài khoản Google được quản lý phải có mối quan hệ tương ứng 1-1 với người dùng thực tế trong bảng điều khiển EMM.
3.23.2. Quản trị viên CNTT có thể sử dụng chính sách này để cung cấp cho người dùng lựa chọn đăng nhập vào Tài khoản Google được quản lý để đăng ký.
3.23.3. Quản trị viên CNTT có thể sử dụng chính sách này để kiểm soát việc người dùng có bắt buộc phải đăng nhập vào Tài khoản Google được quản lý để hoàn tất quá trình đăng ký hay không.
3.23.4. Quản trị viên CNTT có thể hạn chế quy trình nâng cấp đối với một mã nhận dạng tài khoản (địa chỉ email) cụ thể cho một thiết bị nhất định (không bắt buộc).
3.24. Nâng cấp Tài khoản Google Play được quản lý
Quản trị viên CNTT có thể nâng cấp tài khoản người dùng lên Tài khoản Google được quản lý, cho phép thiết bị truy cập vào các dịch vụ và tính năng của Tài khoản Google trên các thiết bị đã đăng ký.
3.24.1. Quản trị viên CNTT có thể nâng cấp Tài khoản Google Play có quản lý hiện có trên thiết bị thành Tài khoản Google có quản lý.
3.24.2. Quản trị viên CNTT có thể hạn chế quy trình nâng cấp đối với một mã nhận dạng tài khoản (địa chỉ email) cụ thể cho một thiết bị nhất định (không bắt buộc).
4. Quản lý thiết bị
4.1. Quản lý chính sách về quyền trong thời gian chạy
Quản trị viên CNTT có thể âm thầm đặt câu trả lời mặc định cho các yêu cầu của ứng dụng về quyền khi bắt đầu chạy do các ứng dụng công việc đưa ra.
4.1.1. Quản trị viên CNTT phải có thể chọn một trong các lựa chọn sau khi thiết lập chính sách mặc định về quyền trong thời gian chạy cho tổ chức của họ:
- prompt (cho phép người dùng chọn)
- allow
- từ chối
EMM phải thực thi các chế độ cài đặt này bằng cách sử dụng chính sách.
4.2. Quản lý trạng thái cấp quyền trong thời gian chạy
Sau khi đặt chính sách mặc định về quyền khi bắt đầu chạy (chuyển đến phần 4.1), Quản trị viên CNTT có thể âm thầm đặt phản hồi cho các quyền cụ thể từ mọi ứng dụng công việc được xây dựng trên API 23 trở lên.
4.2.1. Quản trị viên CNTT phải có thể đặt trạng thái cấp quyền (mặc định, cấp hoặc từ chối) của mọi quyền mà mọi ứng dụng công việc được xây dựng trên API 23 trở lên yêu cầu. EMM phải thực thi các chế độ cài đặt này bằng chính sách.
4.3. Quản lý cấu hình Wi-Fi
Quản trị viên CNTT có thể âm thầm cung cấp cấu hình Wi-Fi cho doanh nghiệp trên các thiết bị được quản lý, bao gồm:
4.3.1. SSID, sử dụng policy.
4.3.2. Mật khẩu, sử dụng chính sách.
4.4. Quản lý bảo mật Wi-Fi
Quản trị viên CNTT có thể cung cấp cấu hình Wi-Fi cho doanh nghiệp trên các thiết bị có các tính năng bảo mật nâng cao sau đây:
4.4.1. của bản thân
4.4.2. Chứng chỉ để uỷ quyền cho ứng dụng
4.4.3. Chứng chỉ CA
4.5. Quản lý Wi-Fi nâng cao
Quản trị viên CNTT có thể khoá cấu hình Wi-Fi trên các thiết bị được quản lý để ngăn người dùng tạo cấu hình hoặc sửa đổi cấu hình của công ty.
4.5.1. Quản trị viên CNTT có thể khoá cấu hình Wi-Fi của công ty bằng chính sách trong một trong hai cấu hình sau:
- Người dùng không thể sửa đổi bất kỳ cấu hình Wi-Fi nào do EMM cung cấp (chuyển đến
wifiConfigsLockdownEnabled), nhưng có thể thêm và sửa đổi các mạng do người dùng định cấu hình (ví dụ: mạng cá nhân). - Người dùng không thể thêm hoặc sửa đổi bất kỳ mạng Wi-Fi nào trên thiết bị (chuyển đến
wifiConfigDisabled), chỉ cho phép kết nối Wi-Fi với những mạng do EMM cung cấp.
4.6. Quản lý tài khoản
Quản trị viên CNTT có thể đảm bảo rằng chỉ những tài khoản doanh nghiệp được uỷ quyền mới có thể tương tác với dữ liệu doanh nghiệp, đối với các dịch vụ như bộ nhớ SaaS và ứng dụng năng suất hoặc email. Nếu không có tính năng này, người dùng có thể thêm tài khoản cá nhân vào những ứng dụng doanh nghiệp cũng hỗ trợ tài khoản người tiêu dùng, cho phép họ chia sẻ dữ liệu doanh nghiệp với những tài khoản cá nhân đó.
4.6.1. Quản trị viên CNTT có thể ngăn người dùng thêm hoặc sửa đổi tài khoản (xem modifyAccountsDisabled).
- Khi thực thi chính sách này trên một thiết bị, EMM phải đặt chế độ hạn chế này trước khi quá trình cung cấp hoàn tất để đảm bảo người dùng không thể phá vỡ chính sách này bằng cách thêm tài khoản trước khi chính sách có hiệu lực.
4.7. Quản lý tài khoản Workspace
Tính năng này không được dùng nữa. Xem 3.23. để biết các yêu cầu về việc thay thế.
4.8. Quản lý chứng chỉ
Cho phép quản trị viên CNTT triển khai chứng chỉ nhận dạng và tổ chức phát hành chứng chỉ cho các thiết bị để cho phép sử dụng tài nguyên của công ty.
4.8.1. Quản trị viên CNTT có thể cài đặt chứng chỉ nhận dạng người dùng do PKI của họ tạo cho từng người dùng. Bảng điều khiển của EMM phải tích hợp với ít nhất một PKI và phân phối các chứng chỉ được tạo từ cơ sở hạ tầng đó.
4.8.2. Quản trị viên CNTT có thể cài đặt cơ quan cấp chứng chỉ (xem caCerts) trong kho khoá được quản lý. Tuy nhiên, tính năng phụ này không được hỗ trợ.
4.9. Quản lý chứng chỉ nâng cao
Cho phép quản trị viên CNTT âm thầm chọn những chứng chỉ mà các ứng dụng được quản lý cụ thể nên sử dụng. Tính năng này cũng cho phép quản trị viên CNTT xoá các CA và chứng chỉ nhận dạng khỏi các thiết bị đang hoạt động, đồng thời ngăn người dùng sửa đổi thông tin đăng nhập được lưu trữ trong kho khoá được quản lý.
4.9.1. Đối với mọi ứng dụng được phân phối đến các thiết bị, quản trị viên CNTT có thể chỉ định một chứng chỉ mà ứng dụng sẽ được cấp quyền truy cập âm thầm trong thời gian chạy. (Tính năng phụ này không được hỗ trợ)
- Lựa chọn chứng chỉ phải đủ chung chung để cho phép một cấu hình duy nhất áp dụng cho tất cả người dùng, mỗi người dùng có thể có một chứng chỉ nhận dạng dành riêng cho người dùng.
4.9.2. Quản trị viên CNTT có thể âm thầm xoá chứng chỉ khỏi kho khoá được quản lý.
4.9.3. Quản trị viên CNTT có thể gỡ cài đặt chứng chỉ CA mà không cần người dùng thao tác. (Tính năng phụ này không được hỗ trợ)
4.9.4. Quản trị viên CNTT có thể ngăn người dùng định cấu hình thông tin đăng nhập (chuyển đến credentialsConfigDisabled) trong kho khoá được quản lý.
4.9.5. Quản trị viên CNTT có thể cấp trước chứng chỉ cho các ứng dụng công việc bằng cách sử dụng ChoosePrivateKeyRule.
4.10. Quản lý chứng chỉ được uỷ quyền
Quản trị viên CNTT có thể phân phối một ứng dụng quản lý chứng chỉ của bên thứ ba cho các thiết bị và cấp cho ứng dụng đó quyền truy cập đặc quyền để cài đặt chứng chỉ vào kho khoá được quản lý.
4.10.1. Quản trị viên CNTT có thể chỉ định một gói quản lý chứng chỉ (chuyển đến delegatedCertInstallerPackage) để đặt làm ứng dụng quản lý chứng chỉ được uỷ quyền.
- EMM có thể đề xuất các gói quản lý chứng chỉ đã biết (không bắt buộc), nhưng phải cho phép quản trị viên CNTT chọn trong danh sách các ứng dụng có sẵn để cài đặt cho những người dùng phù hợp.
4.11. Quản lý VPN nâng cao
Cho phép quản trị viên CNTT chỉ định một VPN luôn bật để đảm bảo rằng dữ liệu từ các ứng dụng được quản lý đã chỉ định sẽ luôn đi qua một chế độ thiết lập VPN.
4.11.1. Quản trị viên CNTT có thể chỉ định một gói VPN tuỳ ý để đặt làm VPN luôn bật.
- Bảng điều khiển của EMM có thể đề xuất các gói VPN đã biết hỗ trợ VPN luôn bật (không bắt buộc), nhưng không thể hạn chế các VPN có sẵn cho cấu hình Luôn bật đối với bất kỳ danh sách tuỳ ý nào.
4.11.2. Quản trị viên CNTT có thể dùng cấu hình được quản lý để chỉ định chế độ cài đặt VPN cho một ứng dụng.
4.12. Quản lý IME
Quản trị viên CNTT có thể quản lý những phương thức nhập (IME) có thể thiết lập cho thiết bị. Vì IME được chia sẻ giữa cả hồ sơ công việc và hồ sơ cá nhân, nên việc chặn sử dụng IME cũng sẽ ngăn người dùng cho phép sử dụng những IME đó cho mục đích cá nhân. Tuy nhiên, quản trị viên CNTT không được chặn việc sử dụng IME hệ thống trên hồ sơ công việc (chuyển đến phần quản lý IME nâng cao để biết thêm thông tin chi tiết).
4.12.1. Quản trị viên CNTT có thể thiết lập một danh sách cho phép IME (Chuyển đến permitted_input_methods) có độ dài tuỳ ý (bao gồm cả danh sách trống, chặn các IME không phải của hệ thống), có thể chứa mọi gói IME tuỳ ý.
- Bảng điều khiển của EMM có thể đề xuất các IME đã biết hoặc được đề xuất (không bắt buộc) để đưa vào danh sách cho phép, nhưng phải cho phép quản trị viên CNTT chọn trong danh sách các ứng dụng có thể cài đặt cho những người dùng phù hợp.
4.12.2. EMM phải thông báo cho quản trị viên CNTT rằng các IME hệ thống sẽ không được quản lý trên những thiết bị có hồ sơ công việc.
4.13. Quản lý nâng cao đối với IME
Quản trị viên CNTT có thể quản lý những phương thức nhập (IME) mà người dùng có thể thiết lập trên thiết bị. Tính năng quản lý IME nâng cao mở rộng tính năng cơ bản bằng cách cho phép quản trị viên CNTT quản lý việc sử dụng IME hệ thống, thường do nhà sản xuất thiết bị hoặc nhà mạng của thiết bị cung cấp.
4.13.1. Quản trị viên CNTT có thể thiết lập một danh sách cho phép IME (chuyển đến permitted_input_methods) có độ dài tuỳ ý (ngoại trừ danh sách trống, danh sách này sẽ chặn tất cả các IME, kể cả IME hệ thống), danh sách này có thể chứa mọi gói IME tuỳ ý.
- Bảng điều khiển của EMM có thể đề xuất các IME đã biết hoặc được đề xuất (không bắt buộc) để đưa vào danh sách cho phép, nhưng phải cho phép quản trị viên CNTT chọn trong danh sách các ứng dụng có thể cài đặt cho những người dùng phù hợp.
4.13.2. EMM phải ngăn quản trị viên CNTT thiết lập danh sách cho phép trống, vì chế độ cài đặt này sẽ chặn tất cả IME (bao gồm cả IME hệ thống) được thiết lập trên thiết bị.
4.13.3. EMM phải đảm bảo rằng nếu danh sách cho phép IME không chứa IME hệ thống, thì các IME bên thứ ba sẽ được cài đặt âm thầm trước khi danh sách cho phép được áp dụng trên thiết bị.
4.14. Quản lý dịch vụ hỗ trợ tiếp cận
Quản trị viên CNTT có thể quản lý những dịch vụ hỗ trợ tiếp cận mà người dùng có thể cho phép trên thiết bị. Dịch vụ hỗ trợ tiếp cận là những công cụ mạnh mẽ dành cho người dùng khuyết tật hoặc những người tạm thời không thể tương tác đầy đủ với một thiết bị. Tuy nhiên, họ có thể tương tác với dữ liệu của công ty theo cách không tuân thủ chính sách của công ty. Tính năng này cho phép quản trị viên CNTT tắt mọi dịch vụ hỗ trợ tiếp cận không phải là dịch vụ hệ thống.
4.14.1. Quản trị viên CNTT có thể thiết lập một danh sách cho phép dịch vụ hỗ trợ tiếp cận (chuyển đến permittedAccessibilityServices) có độ dài tuỳ ý (bao gồm cả danh sách trống, chặn các dịch vụ hỗ trợ tiếp cận không phải của hệ thống), có thể chứa mọi gói dịch vụ hỗ trợ tiếp cận tuỳ ý. Khi được áp dụng cho hồ sơ công việc, chế độ cài đặt này sẽ ảnh hưởng đến cả hồ sơ cá nhân và hồ sơ công việc.
- Bảng điều khiển có thể đề xuất các dịch vụ hỗ trợ tiếp cận đã biết hoặc được đề xuất (không bắt buộc) để đưa vào danh sách cho phép, nhưng phải cho phép quản trị viên CNTT chọn trong danh sách các ứng dụng có thể cài đặt cho những người dùng phù hợp.
4.15. Quản lý tính năng Chia sẻ vị trí
Quản trị viên CNTT có thể ngăn người dùng chia sẻ dữ liệu vị trí với các ứng dụng trong hồ sơ công việc. Nếu không, bạn có thể định cấu hình chế độ cài đặt vị trí trong hồ sơ công việc trong phần Cài đặt.
4.15.1. Quản trị viên CNTT có thể tắt dịch vụ vị trí (chuyển đến shareLocationDisabled) trong hồ sơ công việc.
4.16. Quản lý nâng cao tính năng Chia sẻ vị trí
Quản trị viên CNTT có thể thực thi một chế độ cài đặt Chia sẻ vị trí nhất định trên thiết bị được quản lý. Tính năng này có thể đảm bảo rằng các ứng dụng của công ty luôn có dữ liệu vị trí với độ chính xác cao. Tính năng này cũng có thể đảm bảo không tiêu hao thêm pin bằng cách hạn chế chế độ cài đặt vị trí ở chế độ tiết kiệm pin.
4.16.1. Quản trị viên CNTT có thể thiết lập dịch vụ vị trí trên thiết bị thành từng chế độ sau:
- Độ chính xác cao.
- Chỉ có cảm biến, ví dụ: GPS, nhưng không bao gồm vị trí do mạng cung cấp.
- Tiết kiệm pin, giúp hạn chế tần suất cập nhật.
- Tắt.
4.17. Quản lý tính năng bảo vệ khi đặt lại về trạng thái ban đầu
Cho phép quản trị viên CNTT bảo vệ thiết bị do công ty sở hữu khỏi hành vi trộm cắp bằng cách đảm bảo người dùng trái phép không thể đặt lại thiết bị về trạng thái ban đầu. Nếu chế độ bảo vệ khi đặt lại về trạng thái ban đầu gây ra những phức tạp trong quá trình vận hành khi thiết bị được trả lại cho bộ phận CNTT, thì quản trị viên CNTT có thể tắt hoàn toàn chế độ bảo vệ khi đặt lại về trạng thái ban đầu.
4.17.1. Quản trị viên CNTT có thể ngăn người dùng đặt lại thiết bị về trạng thái ban đầu (chuyển đến factoryResetDisabled) trong phần Cài đặt.
4.17.2. Quản trị viên CNTT có thể chỉ định(các) tài khoản mở khoá của công ty được phép cung cấp thiết bị (chuyển đến frpAdminEmails) sau khi khôi phục cài đặt gốc.
- Tài khoản này có thể được liên kết với một cá nhân hoặc được toàn bộ doanh nghiệp sử dụng để mở khoá thiết bị.
4.17.3. Quản trị viên CNTT có thể tắt tính năng bảo vệ khi khôi phục cài đặt gốc (chuyển đến 0 factoryResetDisabled) cho các thiết bị cụ thể.
4.17.4. Quản trị viên CNTT có thể bắt đầu xoá dữ liệu từ xa trên thiết bị. Thao tác này có thể xoá dữ liệu chế độ bảo vệ khi đặt lại về trạng thái ban đầu, nhờ đó loại bỏ chế độ bảo vệ khi đặt lại về trạng thái ban đầu trên thiết bị được đặt lại.
4.18. Chế độ kiểm soát nâng cao đối với ứng dụng
Quản trị viên CNTT có thể ngăn người dùng gỡ cài đặt hoặc sửa đổi các ứng dụng được quản lý thông qua phần Cài đặt. Ví dụ: ngăn người dùng buộc đóng ứng dụng hoặc xoá bộ nhớ đệm dữ liệu của ứng dụng.
4.18.1. Quản trị viên CNTT có thể chặn việc gỡ cài đặt mọi ứng dụng được quản lý tuỳ ý hoặc tất cả ứng dụng được quản lý (chuyển đến uninstallAppsDisabled).
4.18.2. Quản trị viên CNTT có thể ngăn người dùng sửa đổi dữ liệu ứng dụng trong phần Cài đặt. (Android Management API không hỗ trợ tính năng phụ này)
4.19. Quản lý ảnh chụp màn hình
Quản trị viên CNTT có thể chặn người dùng chụp ảnh màn hình khi sử dụng các ứng dụng được quản lý. Chế độ cài đặt này bao gồm việc chặn các ứng dụng chia sẻ màn hình và các ứng dụng tương tự (chẳng hạn như Trợ lý Google) sử dụng các chức năng chụp ảnh màn hình của hệ thống.
4.19.1. Quản trị viên CNTT có thể ngăn người dùng chụp ảnh màn hình (chuyển đến screenCaptureDisabled).
4.20. Vô hiệu hóa máy ảnh
Quản trị viên CNTT có thể tắt tính năng sử dụng camera trên thiết bị đối với các ứng dụng được quản lý.
4.20.1. Quản trị viên CNTT có thể tắt tính năng sử dụng camera trên thiết bị (chuyển đến cameraDisabled) của các ứng dụng được quản lý.
4.21. Thu thập số liệu thống kê về mạng
Android Management API không hỗ trợ tính năng này.
4.22. Thu thập số liệu thống kê nâng cao về mạng
Android Management API không hỗ trợ tính năng này.
4.23. Khởi động lại thiết bị
Quản trị viên CNTT có thể khởi động lại từ xa các thiết bị được quản lý.
4.23.1. Quản trị viên CNTT có thể khởi động lại từ xa một thiết bị được quản lý.
4.24. Quản lý đài phát hệ thống
Cung cấp cho quản trị viên CNTT khả năng quản lý chi tiết các đài phát mạng hệ thống và các chính sách sử dụng liên quan bằng cách sử dụng chính sách.
4.24.1. Quản trị viên CNTT có thể tắt thông báo truyền tin gửi bởi nhà cung cấp dịch vụ (chuyển đến cellBroadcastsConfigDisabled).
4.24.2. Quản trị viên CNTT có thể ngăn người dùng sửa đổi chế độ cài đặt mạng di động trong phần Cài đặt (chuyển đến mobileNetworksConfigDisabled).
4.24.3. Quản trị viên CNTT có thể ngăn người dùng đặt lại tất cả chế độ cài đặt mạng trong phần Cài đặt. (chuyển đến networkResetDisabled).
4.24.4. Quản trị viên CNTT có thể thiết lập xem thiết bị có cho phép sử dụng dữ liệu di động khi chuyển vùng hay không (chuyển đến phần dataRoamingDisabled).
4.24.5. Quản trị viên CNTT có thể thiết lập xem thiết bị có thể thực hiện cuộc gọi điện thoại đi hay không, ngoại trừ cuộc gọi khẩn cấp (chuyển đến outGoingCallsDisabled).
4.24.6. Quản trị viên CNTT có thể thiết lập xem thiết bị có thể gửi và nhận tin nhắn văn bản hay không (chuyển đến phần smsDisabled).
4.24.7. Quản trị viên CNTT có thể ngăn người dùng sử dụng thiết bị của họ làm điểm phát sóng di động bằng cách chia sẻ Internet (chuyển đến tetheringConfigDisabled).
4.24.8. Quản trị viên CNTT có thể đặt thời gian chờ Wi-Fi thành mặc định, khi được cắm điện hoặc không bao giờ. (Android Management API không hỗ trợ tính năng phụ này)
4.24.9. Quản trị viên CNTT có thể ngăn người dùng thiết lập hoặc sửa đổi các kết nối Bluetooth hiện có (chuyển đến bluetoothConfigDisabled).
4.25. Quản lý âm thanh hệ thống
Quản trị viên CNTT có thể kiểm soát âm thầm các tính năng âm thanh của thiết bị, bao gồm cả việc tắt tiếng thiết bị, ngăn người dùng sửa đổi chế độ cài đặt âm lượng và ngăn người dùng bật tiếng micrô của thiết bị.
4.25.1. Quản trị viên CNTT có thể tắt tiếng các thiết bị được quản lý mà không cần thông báo. (Android Management API không hỗ trợ tính năng phụ này)
4.25.2. Quản trị viên CNTT có thể ngăn người dùng sửa đổi chế độ cài đặt âm lượng của thiết bị (chuyển đến adjustVolumeDisabled). Thao tác này cũng sẽ tắt tiếng thiết bị.
4.25.3. Quản trị viên CNTT có thể ngăn người dùng bật tiếng micrô của thiết bị (chuyển đến phần unmuteMicrophoneDisabled).
4.26. Quản lý đồng hồ hệ thống
Quản trị viên CNTT có thể quản lý chế độ cài đặt đồng hồ và múi giờ của thiết bị, đồng thời ngăn người dùng sửa đổi chế độ cài đặt tự động của thiết bị.
4.26.1. Quản trị viên CNTT có thể áp dụng chế độ tự động đặt giờ và tự động đặt múi giờ của hệ thống, ngăn người dùng đặt ngày, giờ và múi giờ của thiết bị.
4.27. Các tính năng nâng cao dành riêng cho thiết bị
Đối với các thiết bị chuyên dụng, quản trị viên CNTT có thể quản lý các tính năng sau bằng chính sách để hỗ trợ nhiều trường hợp sử dụng kiosk.
4.27.1. Quản trị viên CNTT có thể tắt khoá bảo vệ thiết bị (chuyển đến phần keyguardDisabled).
4.27.2. Quản trị viên CNTT có thể tắt thanh trạng thái của thiết bị, chặn thông báo và phần Cài đặt nhanh (chuyển đến phần statusBarDisabled).
4.27.3. Quản trị viên CNTT có thể buộc màn hình thiết bị luôn bật khi thiết bị được cắm vào nguồn điện (chuyển đến phần stayOnPluggedModes).
4.27.4. Quản trị viên CNTT có thể ngăn hiển thị giao diện người dùng hệ thống sau đây (chuyển đến createWindowsDisabled):
- Thông báo ngắn
- Lớp phủ ứng dụng.
4.27.5. Quản trị viên CNTT có thể cho phép hệ thống đề xuất các ứng dụng bỏ qua hướng dẫn cho người dùng và các gợi ý giới thiệu khác khi khởi động lần đầu (chuyển đến skip_first_use_hints).
4.28. Quản lý phạm vi được uỷ quyền
Quản trị viên CNTT có thể uỷ quyền bổ sung cho từng gói.
4.28.1. Quản trị viên CNTT có thể quản lý các phạm vi sau:
- Cài đặt và quản lý chứng chỉ
- Cố tình để trống
- Ghi nhật ký mạng
- Ghi nhật ký bảo mật (không được hỗ trợ cho hồ sơ công việc trên thiết bị thuộc sở hữu cá nhân)
4.29. Hỗ trợ mã nhận dạng dành riêng cho việc đăng ký
Kể từ Android 12, hồ sơ công việc sẽ không còn quyền truy cập vào các giá trị nhận dạng dành riêng cho phần cứng. Quản trị viên CNTT có thể theo dõi vòng đời của một thiết bị có hồ sơ công việc thông qua mã nhận dạng dành riêng cho quá trình đăng ký. Mã nhận dạng này sẽ duy trì trong suốt quá trình khôi phục cài đặt gốc.
4.29.1. Quản trị viên CNTT có thể lấy một mã nhận dạng dành riêng cho quá trình đăng ký
4.29.2. Mã nhận dạng dành riêng cho quá trình đăng ký này phải được duy trì trong quá trình đặt lại về trạng thái ban đầu
4.30. Chính sách trình quản lý thông tin xác thực
Quản trị viên CNTT có thể quản lý những ứng dụng trình quản lý thông tin đăng nhập được phép hoặc bị chặn bằng cách sử dụng chính sách mặc định của trình cung cấp thông tin đăng nhập hoặc chính sách trình cung cấp thông tin đăng nhập.
4.30.1 Quản trị viên CNTT có thể chặn tất cả trình quản lý thông tin đăng nhập trên thiết bị (hoặc trong Hồ sơ công việc) bằng chính sách.
4.30.2 Quản trị viên CNTT có thể chỉ định chỉ cho phép trình quản lý thông tin đăng nhập được tải sẵn (ứng dụng hệ thống).
4.30.3 Quản trị viên CNTT có thể chỉ định một danh sách tên gói để bật chức năng trình quản lý thông tin đăng nhập.
4.31. Quản lý eSIM cơ bản
Cho phép quản trị viên CNTT cung cấp một thiết bị có hồ sơ eSIM và quản lý vòng đời của thiết bị đó trên thiết bị.
4.31.1 Quản trị viên CNTT có thể âm thầm cung cấp một hồ sơ eSIM cho thiết bị bằng cách sử dụng chính sách.
4.31.2 Quản trị viên CNTT có thể xoá các eSIM được quản lý khỏi thiết bị bằng chính sách.
4.31.3 Quản trị viên CNTT có thể ngăn người dùng sửa đổi chế độ cài đặt mạng di động trong phần Cài đặt (chuyển đến mobileNetworksConfigDisabled).
4.31.4 Quản trị viên CNTT có thể gửi lệnh xoá dữ liệu từ xa đến một thiết bị hoặc hồ sơ công việc. Lệnh này có thể xoá các eSIM được quản lý khỏi thiết bị. Theo mặc định, các eSIM được quản lý sẽ bị xoá khỏi hồ sơ công việc trên thiết bị thuộc quyền sở hữu cá nhân, nhưng vẫn được giữ lại trên thiết bị thuộc quyền sở hữu của công ty.
4.31.5 Quản trị viên CNTT có thể truy xuất giá trị nhận dạng EID (Tài liệu nhận dạng được nhúng) của một thiết bị bằng giao diện người dùng bảng điều khiển EMM (hoặc phương thức tương đương).
5. Khả năng sử dụng thiết bị
5.1. Tuỳ chỉnh quy trình cấp phép được quản lý
Quản trị viên CNTT có thể sửa đổi UX của quy trình thiết lập mặc định để thêm các tính năng dành riêng cho doanh nghiệp. Quản trị viên CNTT có thể hiển thị thương hiệu do EMM cung cấp trong quá trình cấp phép (không bắt buộc).
5.1.1. Quản trị viên CNTT có thể tuỳ chỉnh quy trình cấp phép bằng cách chỉ định Điều khoản dịch vụ dành riêng cho doanh nghiệp và các tuyên bố từ chối trách nhiệm khác (chuyển đến termsAndConditions).
5.1.2. Quản trị viên CNTT có thể triển khai Điều khoản dịch vụ dành riêng cho EMM (không thể định cấu hình) và các tuyên bố từ chối trách nhiệm khác (chuyển đến termsAndConditions).
- EMM có thể đặt chế độ tuỳ chỉnh dành riêng cho EMM không thể định cấu hình làm chế độ mặc định cho các hoạt động triển khai, nhưng phải cho phép quản trị viên CNTT thiết lập chế độ tuỳ chỉnh của riêng họ.
5.1.3. primaryColor không được dùng cho tài nguyên doanh nghiệp trên Android 10 trở lên.
5.2. Tuỳ chỉnh cho doanh nghiệp
Android Management API không hỗ trợ tính năng này.
5.3. Tuỳ chỉnh nâng cao dành cho doanh nghiệp
Android Management API không hỗ trợ tính năng này.
5.4. Thông điệp trên màn hình khoá
Quản trị viên CNTT có thể đặt một thông báo tuỳ chỉnh luôn xuất hiện trên màn hình khoá của thiết bị và không yêu cầu mở khoá thiết bị để xem.
5.4.1. Quản trị viên CNTT có thể đặt thông điệp tuỳ chỉnh trên màn hình khoá (chuyển đến phần deviceOwnerLockScreenInfo).
5.5. Quản lý tính minh bạch của chính sách
Quản trị viên CNTT có thể tuỳ chỉnh văn bản trợ giúp được cung cấp cho người dùng khi họ cố gắng sửa đổi các chế độ cài đặt được quản lý trên thiết bị của mình hoặc triển khai thông báo hỗ trợ chung do EMM cung cấp. Bạn có thể tuỳ chỉnh cả thông báo hỗ trợ ngắn và dài, đồng thời các thông báo này sẽ xuất hiện trong những trường hợp như khi người dùng cố gắng gỡ cài đặt một ứng dụng được quản lý mà quản trị viên CNTT đã chặn việc gỡ cài đặt.
5.5.1. Quản trị viên CNTT có thể tuỳ chỉnh thông báo hỗ trợ người dùng ngắn và dài.
5.5.2. Quản trị viên CNTT có thể triển khai các thông báo hỗ trợ ngắn và dài dành riêng cho EMM mà không thể định cấu hình (chuyển đến shortSupportMessage và longSupportMessage trong policies).
- EMM có thể đặt thông báo hỗ trợ dành riêng cho EMM mà không thể định cấu hình làm mặc định cho các hoạt động triển khai, nhưng phải cho phép quản trị viên CNTT thiết lập thông báo của riêng họ.
5.6. Quản lý danh bạ giữa các hồ sơ
5.6.1. Quản trị viên CNTT có thể tắt chế độ hiển thị danh bạ công việc trong các nội dung tìm kiếm danh bạ và cuộc gọi đến của hồ sơ cá nhân .
5.6.2. Quản trị viên CNTT có thể tắt tính năng chia sẻ danh bạ qua Bluetooth của danh bạ công việc, chẳng hạn như cuộc gọi rảnh tay trong ô tô hoặc tai nghe.
5.7. Quản lý dữ liệu trên nhiều hồ sơ
Cho phép quản trị viên CNTT quản lý các loại dữ liệu có thể được chia sẻ giữa hồ sơ công việc và hồ sơ cá nhân, giúp quản trị viên cân bằng khả năng sử dụng và tính bảo mật dữ liệu theo yêu cầu của họ.
5.7.1. Quản trị viên CNTT có thể định cấu hình chính sách chia sẻ dữ liệu trên nhiều hồ sơ để các ứng dụng cá nhân có thể phân giải ý định từ hồ sơ công việc, chẳng hạn như ý định chia sẻ hoặc đường liên kết đến trang web.
5.7.2. Quản trị viên CNTT có thể cho phép các ứng dụng trong hồ sơ công việc tạo và hiển thị tiện ích trên màn hình chính của hồ sơ cá nhân. Theo mặc định, tính năng này sẽ tắt, nhưng bạn có thể đặt thành cho phép bằng cách sử dụng các trường workProfileWidgets và workProfileWidgetsDefault.
5.7.3. Quản trị viên CNTT có thể kiểm soát khả năng sao chép/dán giữa hồ sơ công việc và hồ sơ cá nhân.
5.8. Chính sách cập nhật hệ thống
Quản trị viên CNTT có thể thiết lập và áp dụng các bản cập nhật hệ thống qua mạng không dây (OTA) cho thiết bị.
5.8.1. Bảng điều khiển của EMM cho phép quản trị viên CNTT thiết lập các cấu hình OTA sau đây:
- Tự động: Thiết bị sẽ cài đặt các bản cập nhật OTA khi có.
- Hoãn: Quản trị viên CNTT phải có thể hoãn bản cập nhật OTA tối đa 30 ngày. Chính sách này không ảnh hưởng đến các bản cập nhật bảo mật (ví dụ: bản vá bảo mật hằng tháng).
- Theo khung giờ: Quản trị viên CNTT phải có thể lên lịch cập nhật OTA trong khung giờ bảo trì hằng ngày.
5.8.2. Cấu hình OTA được áp dụng cho các thiết bị bằng chính sách.
5.9. Quản lý chế độ khoá tác vụ
Quản trị viên CNTT có thể khoá một ứng dụng hoặc một nhóm ứng dụng trên màn hình và đảm bảo rằng người dùng không thể thoát khỏi ứng dụng.
5.9.1. Bảng điều khiển của EMM cho phép quản trị viên CNTT âm thầm cho phép một nhóm ứng dụng tuỳ ý cài đặt và khoá vào một thiết bị. Chính sách cho phép thiết lập thiết bị chuyên dụng.
5.10. Quản lý hoạt động ưu tiên liên tục
Cho phép quản trị viên CNTT đặt một ứng dụng làm trình xử lý ý định mặc định cho những ý định phù hợp với một bộ lọc ý định nhất định. Ví dụ: tính năng này sẽ cho phép quản trị viên CNTT chọn ứng dụng trình duyệt tự động mở đường liên kết trên web. Tính năng này có thể quản lý ứng dụng trình chạy nào được dùng khi nhấn vào nút trang chủ.
5.10.1. Quản trị viên CNTT có thể đặt bất kỳ gói nào làm trình xử lý ý định mặc định cho bất kỳ bộ lọc ý định tuỳ ý nào.
- Bảng điều khiển của EMM có thể đề xuất các ý định đã biết hoặc được đề xuất để định cấu hình (không bắt buộc), nhưng không thể hạn chế ý định đối với bất kỳ danh sách tuỳ ý nào.
- Bảng điều khiển của EMM phải cho phép quản trị viên CNTT chọn trong danh sách các ứng dụng mà người dùng có thể cài đặt.
5.11. Quản lý tính năng Keyguard
Quản trị viên CNTT có thể quản lý các tính năng mà người dùng có thể sử dụng trước khi mở khoá khoá bảo vệ thiết bị (màn hình khoá) và khoá bảo vệ thử thách công việc (màn hình khoá).
5.11.1.Chính sách có thể tắt các tính năng sau của khoá bảo vệ thiết bị:
- tác nhân tin cậy
- mở khóa bằng vân tay
- thông báo chưa được chỉnh sửa
5.11.2. Bạn có thể tắt các tính năng khoá bảo vệ sau đây của hồ sơ công việc bằng cách sử dụng chính sách:
- tác nhân tin cậy
- mở khóa bằng vân tay
5.12. Quản lý nâng cao tính năng khoá màn hình
- Camera bảo mật
- Tất cả thông báo
- Chưa chỉnh sửa
- Tác nhân tin cậy
- Mở khoá bằng vân tay
- Tất cả các tính năng của khoá bảo vệ
5.13. Gỡ lỗi từ xa
Android Management API không hỗ trợ tính năng này.
5.14. Truy xuất địa chỉ MAC
EMM có thể âm thầm tìm nạp địa chỉ MAC của thiết bị để dùng xác định thiết bị trong các phần khác của cơ sở hạ tầng doanh nghiệp (ví dụ: khi xác định thiết bị để kiểm soát quyền truy cập vào mạng).
5.14.1. EMM có thể lặng lẽ truy xuất địa chỉ MAC của thiết bị và có thể liên kết địa chỉ đó với thiết bị trong bảng điều khiển của EMM.
5.15. Quản lý chế độ khoá tác vụ nâng cao
Với một thiết bị chuyên dụng, quản trị viên CNTT có thể sử dụng bảng điều khiển của EMM để thực hiện các thao tác sau:
5.15.1. Cho phép thầm lặng một ứng dụng duy nhất cài đặt và khoá vào một thiết bị .
5.15.2. Bật hoặc tắt các tính năng sau đây của Giao diện người dùng hệ thống:
- Nút Trang chủ
- Tổng quan
- Thao tác chung
- Thông báo
- Thông tin hệ thống / Thanh trạng thái
- Keyguard (màn hình khoá). Tính năng phụ này được bật theo mặc định khi 5.15.1 được triển khai.
5.15.3. Tắt Hộp thoại lỗi hệ thống.
5.16. Chính sách cập nhật hệ thống nâng cao
Quản trị viên CNTT có thể đặt một khoảng thời gian đóng băng cụ thể để chặn các bản cập nhật hệ thống trên thiết bị.
5.16.1. Bảng điều khiển của EMM phải cho phép quản trị viên CNTT chặn các bản cập nhật hệ thống qua mạng không dây (OTA) trong một khoảng thời gian đóng băng cụ thể.
5.17. Quản lý tính minh bạch của chính sách hồ sơ công việc
Quản trị viên CNTT có thể tuỳ chỉnh thông báo hiển thị cho người dùng khi xoá hồ sơ công việc khỏi thiết bị.
5.17.1. Quản trị viên CNTT có thể cung cấp văn bản tuỳ chỉnh để hiển thị (chuyển đến wipeReasonMessage) khi hồ sơ công việc bị xoá.
5.18. Hỗ trợ ứng dụng đã kết nối
Quản trị viên CNTT có thể thiết lập danh sách các gói có thể giao tiếp trong phạm vi hồ sơ công việc bằng cách thiết lập ConnectedWorkAndPersonalApp.
5.19. Cập nhật hệ thống theo cách thủ công
Android Management API không hỗ trợ tính năng này.
6. Ngừng sử dụng Quản trị viên thiết bị
6.1. Ngừng sử dụng Quản trị viên thiết bị
Các EMM phải đăng kế hoạch trước khi kết thúc năm 2022 để ngừng hỗ trợ khách hàng cho Quản trị viên thiết bị trên các thiết bị GMS muộn nhất vào cuối quý 1 năm 2023.
7. Sử dụng API
7.1. Trình kiểm soát chính sách tiêu chuẩn cho các liên kết mới
Theo mặc định, các thiết bị phải được quản lý bằng Android Device Policy cho mọi mối liên kết mới. EMM có thể cung cấp lựa chọn quản lý thiết bị bằng DPC tuỳ chỉnh trong một khu vực cài đặt có tiêu đề "Nâng cao" hoặc thuật ngữ tương tự. Khách hàng mới không được tiếp xúc với lựa chọn tuỳ ý giữa các ngăn xếp công nghệ trong bất kỳ quy trình tham gia hoặc thiết lập nào.
7.2. Trình kiểm soát chính sách tiêu chuẩn cho thiết bị mới
Theo mặc định, các thiết bị phải được quản lý bằng Android Device Policy cho tất cả các lượt đăng ký thiết bị mới, cho cả các mối liên kết hiện có và mối liên kết mới. EMM có thể cung cấp lựa chọn quản lý thiết bị bằng DPC tuỳ chỉnh trong một khu vực cài đặt có tiêu đề "Nâng cao" hoặc thuật ngữ tương tự.