Auf dieser Seite finden Sie eine vollständige Liste der Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () von mindestens einem Lösungssatz unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die Überprüfung der Standardfunktionen bestehen, sind im Android Enterprise-Lösungsverzeichnis als Anbieter eines Standardverwaltungssets aufgeführt.
Für jede Lösungssammlung sind zusätzliche erweiterte Funktionen verfügbar. Diese Funktionen werden auf jeder Seite der Lösungssammlung angegeben: Arbeitsprofil auf einem privaten Gerät, Arbeitsprofil auf einem unternehmenseigenen Gerät, vollständig verwaltetes Gerät und eigenes Gerät. EMM-Lösungen, die die Überprüfung erweiterter Funktionen bestehen, sind im Android Enterprise-Lösungsverzeichnis als Anbieter eines erweiterten Verwaltungssets aufgeführt.
Schlüssel
| Standardfunktion | erweiterte Funktion | Optionale Funktion | nicht zutreffend |
1. Gerätebereitstellung
1.1. Bereitstellung von Arbeitsprofilen über den Dienstanbieter
Nach dem Herunterladen von Android Device Policy von Google Play können Nutzer ein Arbeitsprofil bereitstellen.
1.1.1. Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.2. Gerätebereitstellung mit DPC-ID
Wenn Sie im Einrichtungsassistenten des Geräts „afw#“ eingeben, wird ein vollständig verwaltetes oder dediziertes Gerät bereitgestellt.
1.2.1. Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.3. NFC-Gerätebereitstellung
NFC-Tags können von IT-Administratoren verwendet werden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den Implementierungsrichtlinien in der Entwicklerdokumentation der Play EMM API zu provisionieren.
1.3.1. EMMs müssen NFC Forum Type 2-Tags mit mindestens 888 Byte Arbeitsspeicher verwenden. Für die Bereitstellung müssen Bereitstellungs-Extras verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät weiterzugeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Wir empfehlen die Verwendung von NFC-Tags ab Android 10, da NFC Beam (auch NFC Bump genannt) eingestellt wird.
1.4 Gerätebereitstellung per QR-Code
Die Konsole des EMM-Anbieters kann einen QR-Code generieren, den IT-Administratoren scannen können, um ein vollständig verwaltetes oder dediziertes Gerät gemäß den Implementierungsrichtlinien bereitzustellen, die in der Entwicklerdokumentation der Android Management API definiert sind.
1.4.1. Der QR-Code muss Bereitstellungs-Extras verwenden, um nicht vertrauliche Registrierungsdetails (z. B. Server-IDs, Registrierungs-IDs) an ein Gerät weiterzugeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte, die bei autorisierten Resellern gekauft wurden, vorkonfigurieren und über die EMM-Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierungsmethode bereitstellen, die im Hilfeartikel Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden automatisch die vom IT-Administrator festgelegten Einstellungen angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können mit der Zero-Touch-Registrierung einen Großteil des Geräteregistrierungsprozesses automatisieren. In Kombination mit Anmelde-URLs können IT-Administratoren die Registrierung gemäß den Konfigurationsoptionen des EMM auf bestimmte Konten oder Domains beschränken.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mit der Zero-Touch-Registrierungsmethode bereitstellen.
1.6.2. Diese Anforderung ist nicht mehr erforderlich.
1.6.3. Mithilfe der Anmelde-URL muss der EMM-Anbieter dafür sorgen, dass nicht autorisierte Nutzer die Aktivierung nicht durchführen können. Die Aktivierung muss mindestens auf Nutzer eines bestimmten Unternehmens beschränkt sein.
1.6.4. Über die Anmelde-URL muss das EMM es IT-Administratoren ermöglichen, neben eindeutigen Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) auch Registrierungsdetails (z. B. Server-IDs, Registrierungs-IDs) vorab auszufüllen, damit Nutzer bei der Aktivierung eines Geräts keine Details eingeben müssen.
- EMMs dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate in die Konfiguration der Zero-Touch-Registrierung aufnehmen.
1.7. Bereitstellung von Arbeitsprofilen für Google-Konten
In Unternehmen, die eine verwaltete Google-Domain verwenden, werden Nutzer mit dieser Funktion durch die Einrichtung eines Arbeitsprofils geführt, nachdem sie während der Geräteeinrichtung oder auf einem bereits aktivierten Gerät ihre Workspace-Anmeldedaten eingegeben haben. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.8. Gerätebereitstellung über das Google-Konto
Diese Funktion wird von der Android Management API nicht unterstützt.
1.9. Direkte Zero-Touch-Konfiguration
IT-Administratoren können über die Konsole des EMM-Anbieters Zero-Touch-Geräte mit dem Zero-Touch-iFrame einrichten.
1.10. Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren, indem sie AllowPersonalUsage festlegen.
1.10.1. Bewusst leer.
1.10.2. IT-Administratoren können über PersonalUsagePolicies Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3. IT-Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät über die PersonalUsagePolicies deaktivieren.
1.10.4. IT-Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf dem gesamten Gerät über die PersonalUsagePolicies deaktivieren.
1.10.5. IT-Administratoren können über PersonalApplicationPolicy eine Sperrliste mit Apps festlegen, die nicht im privaten Profil installiert werden dürfen.
1.10.6. IT-Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
1.11. Bereitstellung für zweckbestimmte Geräte
EMMs können spezielle Geräte registrieren, ohne dass der Nutzer aufgefordert wird, sich mit einem Google-Konto zu authentifizieren.
2. Gerätesicherheit
2.1. Sicherheitsherausforderung für Geräte
IT-Administratoren können auf verwalteten Geräten eine Gerätesicherheitsabfrage (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen festlegen und erzwingen.
2.1.1. Die Richtlinie muss Einstellungen erzwingen, die die Gerätesicherheit betreffen (parentProfilePasswordRequirements für Arbeitsprofile, passwordRequirements für vollständig verwaltete und spezielle Geräte).
2.1.2. Die Passwortkomplexität sollte den folgenden Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.1.3. Zusätzliche Passwortbeschränkungen können auch als alte Einstellungen auf unternehmenseigenen Geräten erzwungen werden.
2.2. Sicherheitsmaßnahme für die Arbeit
IT-Administratoren können eine Sicherheitsanfrage für Apps und Daten im Arbeitsprofil festlegen und erzwingen, die unabhängig ist und andere Anforderungen als die Gerätesicherheitsanfrage (2.1) hat.
2.2.1. Die Richtlinie muss die Sicherheitsanfrage für das Arbeitsprofil erzwingen.
- Standardmäßig sollten IT-Administratoren nur für das Arbeitsprofil Einschränkungen festlegen, wenn kein Bereich angegeben ist.
- IT-Administratoren können dies geräteweit festlegen, indem sie den Umfang angeben (siehe Anforderung 2.1).
2.2.2. Die Passwortkomplexität sollte den folgenden vordefinierten Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.2.3. Zusätzliche Passwortbeschränkungen können auch als alte Einstellungen erzwungen werden.
2.3. Erweiterte Verwaltung von Sicherheitscodes
IT-Administratoren können erweiterte Passworteinstellungen auf Geräten einrichten.
2.3.1. Bewusst leer.
2.3.2. Bewusst leer.
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden Sperrbildschirm festgelegt werden, der auf einem Gerät verfügbar ist:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passwörter für das Löschen: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.3.4. (Android 8.0 und höher) Zeitüberschreitung für die erforderliche starke Authentifizierung: Nach einer vom IT-Administrator festgelegten Zeitüberschreitung muss ein starker Authentifizierungscode (z. B. eine PIN oder ein Passwort) eingegeben werden. Nach Ablauf des Zeitlimits werden nicht sichere Authentifizierungsmethoden wie Fingerabdruck oder Gesichtserkennung deaktiviert, bis das Gerät mit einem Sicherheitscode für die starke Authentifizierung entsperrt wird.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, ob Trust Agents in der Smart Lock-Funktion von Android das Entsperren des Geräts um bis zu vier Stunden verlängern dürfen.
2.4.1. IT-Administratoren können Trust Agents auf dem Gerät deaktivieren.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole geschäftliche Daten auf einem verwalteten Gerät per Fernzugriff sperren und löschen.
2.5.1. Geräte müssen mit der Android Management API gesperrt werden.
2.5.2. Geräte müssen mit der Android Management API gelöscht werden.
2.6. Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, werden die Compliance-Regeln, die von der Android Management API festgelegt wurden, automatisch angewendet, um die Verwendung von Arbeitsdaten einzuschränken.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens eine Passwortrichtlinie enthalten.
2.7. Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs werden empfohlen (aber nicht verpflichtet), IT-Administratoren nicht zu erlauben, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Die Installation von Apps aus unbekannten Quellen muss blockiert werden, einschließlich Apps, die auf der privaten Seite eines Geräts mit Android 8.0 oder höher mit Arbeitsprofil installiert sind. Diese Unterfunktion wird standardmäßig unterstützt.
2.7.2. Funktionen zur Fehlerbehebung müssen blockiert sein. Diese Unterfunktion wird standardmäßig unterstützt.
2.8. Sicherheitsrichtlinien für zweckbestimmte Geräte
Für ein gesperrtes zweckbestimmtes Gerät sind keine anderen Aktionen zulässig.
2.8.1. Das Starten im abgesicherten Modus muss standardmäßig über die Richtlinie deaktiviert werden (safeBootDisabled aufrufen).
2.9. Play Integrity-Support
Play Integrity-Prüfungen werden standardmäßig durchgeführt. Es ist keine zusätzliche Implementierung erforderlich.
2.9.1. Absichtlich leer.
2.9.2. Bewusst leer.
2.9.3. IT-Administratoren können je nach Wert des SecurityRisk des Geräts unterschiedliche Richtlinienantworten einrichten, z. B. die Bereitstellung blockieren, Unternehmensdaten löschen und die Registrierung zulassen.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Absichtlich leer.
2.10. Funktion „Apps überprüfen“ erzwingen
IT-Administratoren können Apps überprüfen auf Geräten aktivieren. Mit der Funktion „Apps überprüfen“ werden auf Android-Geräten installierte Apps vor und nach der Installation auf schädliche Software geprüft. So wird verhindert, dass schädliche Apps Unternehmensdaten gefährden.
2.10.1. Prüfen Sie, ob die App-Überprüfung standardmäßig aktiviert ist. Gehen Sie dazu zu Richtlinie ensureVerifyAppsEnabled.
2.11. Unterstützung für Direct Boot
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
2.12. Hardwaresicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverluste zu verhindern.
2.12.1. IT-Administratoren können mithilfe einer Richtlinie (mountPhysicalMediaDisabled) verhindern, dass Nutzer physische externe Medien bereitstellen.
2.12.2. IT-Administratoren können mithilfe einer Richtlinie (outgoingBeamDisabled) festlegen, dass Nutzer keine Daten von ihrem Gerät per NFC-Beaming freigeben dürfen. Diese Unterfunktion ist optional, da die NFC-Beaming-Funktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können die Übertragung von Dateien über USB mithilfe einer Richtlinie blockieren (usbFileTransferDisabled).
2.13. Logging für Enterprise Security
Diese Funktion wird von der Android Management API nicht unterstützt.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können den EMM an ihre Organisation binden, damit der EMM Apps über Managed Google Play auf Geräten bereitstellen kann.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an den EMM binden.
3.1.2. Bewusst leer.
3.1.3. Bewusst leer.
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse in den Android-Registrierungsvorgang einzugeben. Die Verwendung eines Gmail-Kontos wird nicht empfohlen.
3.1.5. Die EMM-Konsole füllt die E-Mail-Adresse des Administrators im Android-Registrierungsprozess vorab aus.
3.2. Bereitstellung von Managed Google Play-Konten
Die EMM kann Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Diese Konten identifizieren verwaltete Nutzer und ermöglichen individuelle App-Bereitstellungsregeln pro Nutzer.
3.2.1. Managed Google Play-Konten (Nutzerkonten) werden automatisch erstellt, wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.3 Bereitstellung von Gerätekonten für Managed Google Play
Der EMM-Anbieter kann verwaltete Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten unterstützen die Installation von Apps aus dem Managed Google Play Store im Hintergrund und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, um ein einzelnes Gerät zu identifizieren und App-Vertriebsregeln pro Gerät in speziellen Geräteszenarien zu unterstützen.
3.3.1. Managed Google Play-Konten werden automatisch erstellt, wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Diese Funktion wird eingestellt.
3.5 Automatische App-Bereitstellung
IT-Administratoren können geschäftliche Apps ohne Nutzerinteraktion automatisch auf Geräten bereitstellen.
3.5.1. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. Die EMM-Konsole muss die Android Management API verwenden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationen verwalten
IT-Administratoren können verwaltete Konfigurationen für jede App ansehen und im Hintergrund festlegen, die verwaltete Konfiguration unterstützt.
3.6.1. Die Konsole des EMM muss die verwalteten Konfigurationseinstellungen jeder Play-App abrufen und anzeigen können.
3.6.2. Über die EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, für jede Play-App mithilfe der Android Management API jeden Konfigurationstyp (wie vom Android Enterprise-Framework definiert) festzulegen.
3.6.3. Die Konsole der EMM muss es IT-Administratoren ermöglichen, Platzhalter wie $username$ oder %emailAddress% festzulegen, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann.
3.7. App-Katalogverwaltung
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.8. Programmatische App-Genehmigung
Die EMM-Konsole verwendet den iFrame von Managed Google Play, um die Funktionen zur App-Auffindbarkeit und -Genehmigung von Google Play zu unterstützen. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können über den iFrame von Managed Google Play in der EMM-Konsole nach Apps suchen und diese genehmigen.
3.9. Einfache Verwaltung des Store-Layouts
Mit der Managed Play Store App können Sie geschäftliche Apps installieren und aktualisieren. Standardmäßig werden im Managed Google Play Store Apps, die für einen Nutzer genehmigt wurden, in einer einzigen Liste angezeigt. Dieses Layout wird als einfaches Store-Layout bezeichnet.
3.9.1. Über die Konsole der EMM-Lösung sollten IT-Administratoren die Apps verwalten können, die im einfachen Store-Layout eines Endnutzers angezeigt werden.
3.10. Erweiterte Konfiguration des Store-Layouts
3.10.1. IT-Administratoren können das Layout des Store in der Managed Google Play Store App anpassen.
3.11. App-Lizenzverwaltung
Diese Funktion wird eingestellt.
3.12. Von Google gehostete private Apps verwalten
IT-Administratoren können von Google gehostete interne Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Apps, die bereits privat veröffentlicht wurden, mit folgenden Methoden in das Unternehmen hochladen:
3.13. Verwaltung selbst gehosteter privater Apps
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs nicht von Google Play gehostet. Stattdessen unterstützt die EMM-Lösung IT-Administratoren beim Hosten von APKs und beim Schutz selbst gehosteter Apps, indem sichergestellt wird, dass sie nur installiert werden können, wenn sie von Managed Google Play autorisiert wurden.
3.13.1. Die Konsole des EMM-Anbieters muss IT-Administratoren beim Hosten des App-APK unterstützen und mindestens eine der folgenden Optionen bieten:
- Das APK auf dem Server des EMM hosten Der Server kann lokal oder cloudbasiert sein.
- Das APK wird nach Ermessen des Unternehmens außerhalb des EMM-Servers gehostet. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. Die Konsole des EMM muss eine entsprechende APK-Definitiondatei mit dem bereitgestellten APK generieren und IT-Administratoren durch den Veröffentlichungsprozess führen.
3.13.3. IT-Administratoren können selbst gehostete interne Apps aktualisieren und die Konsole des EMM kann aktualisierte APK-Definitionen mithilfe der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der Server des EMM sendet Downloadanfragen für das selbst gehostete APK, das ein gültiges JWT im Cookie der Anfrage enthält, wie vom öffentlichen Schlüssel der privaten App bestätigt.
- Um diesen Prozess zu vereinfachen, müssen IT-Administratoren auf dem Server des EMM-Anbieters angewiesen werden, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3.14. EMM-Pull-Benachrichtigungen
Diese Funktion gilt nicht für die Android Management API. Richte stattdessen Pub/Sub-Benachrichtigungen ein.
3.15. Anforderungen an die API-Nutzung
Die EMM implementiert Android Management APIs im großen Maßstab und vermeidet Traffic-Muster, die sich negativ auf die Fähigkeit von Unternehmen auswirken könnten, Apps in Produktionsumgebungen zu verwalten.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Android Management API einhalten. Wenn Sie ein Verhalten, das gegen diese Richtlinien verstößt, nicht korrigieren, kann die API-Nutzung nach Ermessen von Google ausgesetzt werden.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt den Traffic von Unternehmen zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Ein Verhalten, das zu diesem Traffic-Muster passt, z. B. geplante Batch-Vorgänge für jedes registrierte Gerät, kann dazu führen, dass die API-Nutzung nach Ermessen von Google ausgesetzt wird.
3.15.3. Die EMM darf keine fortlaufenden, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Traffic-Muster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16. Erweiterte Verwaltung verwalteter Konfigurationen
Der EMM-Anbieter unterstützt die folgenden erweiterten Funktionen zur Verwaltung verwalteter Konfigurationen:
3.16.1. Die Konsole des EMM-Anbieters muss die verwalteten Konfigurationseinstellungen einer beliebigen Play-App bis zu vier Ebenen verschachtelt abrufen und anzeigen können. Dazu sind folgende Optionen erforderlich:
- den iFrame von Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die Konsole des EMM muss in der Lage sein, alles Feedback abzurufen und anzuzeigen, das vom Feedbackkanal einer App zurückgegeben wird, wenn es von einem IT-Administrator eingerichtet wurde.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von dem bzw. der es stammt.
- Die Konsole der EMM-Lösung muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte zu bestimmten Nachrichtentypen (z. B. Fehlermeldungen) zu abonnieren.
3.16.3. Die Konsole der EMM darf nur Werte senden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt werden. Verwenden Sie dazu Folgendes:
- den iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte Benutzeroberfläche.
3.17. Web-App-Verwaltung
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und verteilen.
3.17.1. Über die EMM-Konsole können IT-Administratoren Verknüpfungen zu Web-Apps mithilfe der folgenden Methoden verteilen:
- den iFrame von Managed Google Play
- oder die Android Management API verwenden.
3.18. Lebenszyklusverwaltung für Managed Google Play-Konten
Der EMM kann Managed Google Play-Konten im Namen von IT-Administratoren erstellen, aktualisieren und löschen und Konten nach Ablauf automatisch wiederherstellen.
Diese Funktion wird standardmäßig unterstützt. Es ist keine zusätzliche EMM-Implementierung erforderlich.
3.19. Verwaltung von App-Tracks
3.19.1. IT-Administratoren können eine Liste der Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT-Administratoren können festlegen, dass auf Geräten ein bestimmter Entwicklungs-Track für eine Anwendung verwendet wird.
3.20. Erweiterte Verwaltung von Anwendungsupdates
IT-Administratoren können festlegen, dass Apps sofort oder erst nach 90 Tagen aktualisiert werden.
3.20.1. IT-Administratoren können Apps erlauben, App-Updates mit hoher Priorität zu verwenden, um aktualisiert zu werden, sobald ein Update verfügbar ist. 3.20.2. IT-Administratoren können zulassen, dass App-Updates für Apps um 90 Tage verschoben werden.
3.21. Verwaltung der Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und dem IT-Administrator in einem für die Verteilung an Endnutzer geeigneten Format präsentieren (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können eine Standardantwort auf Laufzeitberechtigungsanfragen von Arbeits-Apps festlegen.
4.1.1. IT-Administratoren müssen beim Festlegen einer Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation aus den folgenden Optionen auswählen können:
- Prompt (Nutzer können auswählen)
- allow
- deny
Der EMM-Anbieter sollte diese Einstellungen mithilfe einer Richtlinie erzwingen.
4.2. Verwaltung des Status der Laufzeitberechtigung
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1.), IT-Administratoren können Antworten für bestimmte Berechtigungen für jede geschäftliche App festlegen, die auf API 23 oder höher basiert.
4.2.1. IT-Administratoren müssen den Berechtigungsstatus (Standard, Gewähren oder Ablehnen) für alle Berechtigungen festlegen können, die von einer Arbeits-App angefordert werden, die auf API 23 oder höher basiert. Der EMM-Anbieter sollte diese Einstellungen mithilfe einer Richtlinie erzwingen.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können unternehmenseigene WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen, darunter:
4.3.1. SSID, mit Richtlinie
4.3.2. Passwort, Richtlinie verwenden.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können WLAN-Konfigurationen für Unternehmen auf Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen bieten:
4.4.1. Identität
4.4.2. Zertifikate für die Clientautorisierung
4.4.3. CA-Zertifikate
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT-Administratoren können Unternehmens-WLAN-Konfigurationen mithilfe einer Richtlinie in einer der folgenden Konfigurationen sperren:
- Nutzer können keine WLAN-Konfigurationen ändern, die vom EMM bereitgestellt wurden (siehe
wifiConfigsLockdownEnabled). Sie können jedoch eigene von Nutzern konfigurierbare Netzwerke hinzufügen und ändern, z. B. private Netzwerke. - Nutzer können auf dem Gerät kein WLAN hinzufügen oder ändern (
wifiConfigDisabled). Die WLAN-Verbindung ist auf die vom EMM bereitgestellten Netzwerke beschränkt.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nur autorisierte Unternehmenskonten mit Unternehmensdaten interagieren können, z. B. für Dienste wie SaaS-Speicher, Produktivitätsanwendungen oder E-Mail. Ohne diese Funktion können Nutzer Unternehmens-Apps, die auch Privatnutzerkonten unterstützen, private Konten hinzufügen und so Unternehmensdaten mit diesen privaten Konten teilen.
4.6.1. IT-Administratoren können verhindern, dass Nutzer Konten hinzufügen oder ändern (siehe modifyAccountsDisabled).
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung vor Abschluss der Bereitstellung festlegen, damit Nutzer diese Richtlinie nicht umgehen können, indem sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Konten verwalten
Diese Funktion wird von der Android Management API nicht unterstützt.
4.8. Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um die Nutzung von Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können von ihrer PKI generierte Zertifikate für die Nutzeridentität pro Nutzer installieren. Die Konsole der EMM muss mit mindestens einer PKI integriert sein und von dieser Infrastruktur generierte Zertifikate verteilen.
4.8.2. IT-Administratoren können Zertifizierungsstellen (siehe caCerts) im verwalteten Schlüsselspeicher installieren. Diese Unterfunktion wird jedoch nicht unterstützt.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, die Zertifikate, die bestimmte verwaltete Apps verwenden sollen, automatisch auszuwählen. Mit dieser Funktion können IT-Administratoren auch Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen und verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher ändern.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT-Administratoren ein Zertifikat angeben, über das der App während der Laufzeit automatisch Zugriff gewährt wird. (Diese Unterfunktion wird nicht unterstützt)
- Die Zertifikatsauswahl muss allgemein genug sein, um eine einzelne Konfiguration zu ermöglichen, die für alle Nutzer gilt, von denen jeder ein nutzerspezifisches Identitätszertifikat haben kann.
4.9.2. IT-Administratoren können Zertifikate im verwalteten Schlüsselspeicher stumm entfernen.
4.9.3. IT-Administratoren können ein CA-Zertifikat im Hintergrund deinstallieren. (Diese Unterfunktion wird nicht unterstützt)
4.9.4. IT-Administratoren können verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher konfigurieren (credentialsConfigDisabled).
4.9.5. IT-Administratoren können mit ChoosePrivateKeyRule Zertifikate für geschäftliche Apps vorab gewähren.
4.10. Delegierte Zertifikatsverwaltung
IT-Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung auf Geräten bereitstellen und der App privilegierten Zugriff zur Installation von Zertifikaten im verwalteten Schlüsselspeicher gewähren.
4.10.1. IT-Administratoren können ein Zertifikatverwaltungspaket (delegatedCertInstallerPackage) angeben, das als delegierte Zertifikatverwaltungs-App festgelegt werden soll.
- Die EMM-Lösung kann optional bekannte Pakete zur Zertifikatsverwaltung vorschlagen, muss aber dem IT-Administrator die Möglichkeit geben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein durchgehend aktives VPN angeben, damit die Daten aus bestimmten verwalteten Apps immer über eine VPN-Einrichtung laufen.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket angeben, das als Always On-VPN eingerichtet werden soll.
- Die Konsole des EMM kann optional bekannte VPN-Pakete vorschlagen, die durchgehend aktives VPN unterstützen. Die für die durchgehend aktive Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen die VPN-Einstellungen für eine App angeben.
4.12. IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden für Geräte eingerichtet werden können. Da die Eingabemethode sowohl für beruflich genutzte als auch für private Profile verwendet wird, können Nutzer die Eingabemethoden nicht zulassen, wenn sie blockiert sind. IT-Administratoren können die Verwendung von System-IMEs in Arbeitsprofilen jedoch nicht blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste (permitted_input_methods) beliebiger Länge einrichten, einschließlich einer leeren Liste, die nicht systemeigene IMEs blockiert. Sie kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.12.2. Der EMM-Anbieter muss IT-Administratoren darüber informieren, dass System-IMEs auf Geräten mit Arbeitsprofilen von der Verwaltung ausgeschlossen sind.
4.13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden Nutzer auf einem Gerät einrichten können. Die erweiterte IME-Verwaltung erweitert die grundlegende Funktion, indem IT-Administratoren auch die Verwendung von System-IMEs verwalten können, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine Zulassungsliste für Eingabemethoden (permitted_input_methods) beliebiger Länge einrichten, mit Ausnahme einer leeren Liste, die alle Eingabemethoden einschließlich der System-IMEs blockiert. Die Liste kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zur Installation verfügbaren Apps auszuwählen.
4.13.2. Das EMM-System muss verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da dadurch die Einrichtung aller Eingabemethoden, einschließlich der System-IME, auf dem Gerät blockiert wird.
4.13.3. Der EMM-Anbieter muss dafür sorgen, dass, wenn eine Zulassungsliste für Eingabemethoden nicht die System-IMEs enthält, die IMEs von Drittanbietern automatisch installiert werden, bevor die Zulassungsliste auf dem Gerät angewendet wird.
4.14. Bedienungshilfen verwalten
IT-Administratoren können festlegen, welche Bedienungshilfen Nutzer auf Geräten zulassen können. Bedienungshilfen sind leistungsstarke Tools für Nutzer mit Beeinträchtigungen oder für Nutzer, die vorübergehend nicht vollständig mit einem Gerät interagieren können. Sie können jedoch mit Unternehmensdaten auf eine Weise interagieren, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle nicht systemeigenen Bedienungshilfen deaktivieren.
4.14.1. IT-Administratoren können eine Zulassungsliste für Dienste zur Barrierefreiheit (permittedAccessibilityServices) beliebiger Länge einrichten, einschließlich einer leeren Liste, die Dienste zur Barrierefreiheit blockiert, die nicht zum System gehören. Diese Liste kann beliebige Pakete für Dienste zur Barrierefreiheit enthalten. Wenn diese Einstellung auf ein Arbeitsprofil angewendet wird, wirkt sie sich sowohl auf das private als auch auf das Arbeitsprofil aus.
- Die Console kann optional bekannte oder empfohlene Dienste zur Barrierefreiheit vorschlagen, die in die Zulassungsliste aufgenommen werden sollen. Sie muss es dem IT-Administrator jedoch ermöglichen, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.15. Standortfreigabe verwalten
IT-Administratoren können verhindern, dass Nutzer Standortdaten für Apps im Arbeitsprofil freigeben. Andernfalls können Sie die Standorteinstellung im Arbeitsprofil in den Einstellungen konfigurieren.
4.15.1. IT-Administratoren können die Standortdienste im Arbeitsprofil deaktivieren (shareLocationDisabled aufrufen).
4.16. Erweiterte Verwaltung der Standortfreigabe
IT-Administratoren können eine bestimmte Einstellung für die Standortfreigabe auf einem verwalteten Gerät erzwingen. Mit dieser Funktion können Sie dafür sorgen, dass geschäftliche Apps immer Standortdaten mit hoher Genauigkeit haben. Außerdem kann diese Funktion dafür sorgen, dass der Akku nicht unnötig belastet wird, indem die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts auf einen der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber keine vom Netzwerk bereitgestellten Standorte.
- Akkusparmodus, der die Aktualisierungshäufigkeit einschränkt.
- Deaktiviert.
4.17. Verwaltung des Schutzes vor Zurücksetzen
Ermöglicht es IT-Administratoren, unternehmenseigene Geräte vor Diebstahl zu schützen, indem nicht autorisierte Nutzer Geräte nicht auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz für zurückgesetzte Geräte zu operativen Komplikationen führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz für zurückgesetzte Geräte vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer ihr Gerät in den Einstellungen auf die Werkseinstellungen zurücksetzen (factoryResetDisabled).
4.17.2. IT-Administratoren können Entsperren-Konten für Unternehmen angeben, die zum Bereitstellen von Geräten berechtigt sind (frpAdminEmails).
- Dieses Konto kann mit einer Person verknüpft oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können den Schutz für zurückgesetzte Geräte für bestimmte Geräte deaktivieren (factoryResetDisabled aufrufen).
4.17.4. IT-Administratoren können ein Remote-Gerätelöschen starten, bei dem optional Daten zum Schutz vor Zurücksetzen gelöscht werden. Dadurch wird der Schutz vor Zurücksetzen auf das Gerät entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern. So lässt sich beispielsweise verhindern, dass die App geschlossen oder der Datencache einer App geleert wird.
4.18.1. IT-Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren (uninstallAppsDisabled).
4.18.2. IT-Administratoren können verhindern, dass Nutzer Anwendungsdaten in den Einstellungen ändern. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.19. Verwaltung von Screenshots
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Mit dieser Einstellung werden auch Apps zur Bildschirmfreigabe und ähnliche Apps (z. B. Google Assistant) blockiert, die die Screenshot-Funktionen des Systems verwenden.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen (screenCaptureDisabled).
4.20. Kameras deaktivieren
IT-Administratoren können die Verwendung der Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Nutzung der Gerätekameras (cameraDisabled) durch verwaltete Apps deaktivieren.
4.21. Erfassung von Netzwerkstatistiken
Diese Funktion wird von der Android Management API nicht unterstützt.
4.22. Erweiterte Netzwerkstatistiken erfassen
Diese Funktion wird von der Android Management API nicht unterstützt.
4.23. Gerät neu starten
IT-Administratoren können verwaltete Geräte aus der Ferne neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4.24. Systemradioverwaltung
Bietet IT-Administratoren eine detaillierte Verwaltung der Systemnetzwerkfunkschnittstellen und der zugehörigen Nutzungsrichtlinien mithilfe der Richtlinie.
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Mobilfunk-Broadcasts deaktivieren (cellBroadcastsConfigDisabled).
4.24.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für Mobilfunknetze in den Einstellungen (mobileNetworksConfigDisabled) ändern.
4.24.3. IT-Administratoren können verhindern, dass Nutzer alle Netzwerkeinstellungen in den Einstellungen zurücksetzen. (networkResetDisabled aufrufen).
4.24.4. IT-Administratoren können festlegen, ob auf dem Gerät im Roaming mobile Daten verwendet werden dürfen (dataRoamingDisabled).
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe starten kann, mit Ausnahme von Notrufen (outGoingCallsDisabled).
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen darf (smsDisabled).
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät als mobilen Hotspot verwenden, indem sie Tethering deaktivieren (tetheringConfigDisabled).
4.24.8. IT-Administratoren können die WLAN-Zeitüberschreitung auf „Standard“, „Angeschlossen“ oder „Nie“ festlegen. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.24.9. IT-Administratoren können verhindern, dass Nutzer Bluetooth-Verbindungen einrichten oder ändern (bluetoothConfigDisabled).
4.25. Systemaudioverwaltung
IT-Administratoren können die Audiofunktionen des Geräts stummschalten, z. B. das Gerät stummschalten, verhindern, dass Nutzer die Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer das Mikrofon des Geräts entsperren.
4.25.1. IT-Administratoren können verwaltete Geräte stummschalten. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Gerätelautstärkeeinstellungen ändern (adjustVolumeDisabled). Dadurch werden die Geräte auch stummgeschaltet.
4.25.3. IT-Administratoren können verhindern, dass Nutzer das Mikrofon des Geräts entsperren (unmuteMicrophoneDisabled).
4.26. Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Uhrzeit und Zeitzone des Systems erzwingen, sodass Nutzer das Datum, die Uhrzeit und die Zeitzone des Geräts nicht mehr festlegen können.
4.27. Erweiterte Funktionen auf zweckbestimmten Geräten
Für spezielle Geräte können IT-Administratoren die folgenden Funktionen über eine Richtlinie verwalten, um verschiedene Kiosk-Anwendungsfälle zu unterstützen.
4.27.1. IT-Administratoren können den Gerätesperrer deaktivieren (keyguardDisabled).
4.27.2. IT-Administratoren können die Statusleiste des Geräts deaktivieren und so Benachrichtigungen und die Schnelleinstellungen blockieren (statusBarDisabled aufrufen).
4.27.3. IT-Administratoren können festlegen, dass das Display des Geräts eingeschaltet bleibt, solange es angeschlossen ist (stayOnPluggedModes).
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden (createWindowsDisabled aufrufen):
- Toasts
- App-Overlays
4.27.5. IT-Administratoren können festlegen, dass die Systemempfehlung für Apps das Tutorial für Nutzer und andere Einführungshinweise beim ersten Start überspringt (skip_first_use_hints).
4.28. Delegiertes Verwaltungsrecht
IT-Administratoren können einzelnen Paketen zusätzliche Berechtigungen zuweisen.
4.28.1. IT-Administratoren können die folgenden Umfänge verwalten:
- Zertifikatinstallation und ‑verwaltung
- Absichtlich leer
- Netzwerkprotokollierung
- Sicherheitsprotokollierung (nicht unterstützt für Arbeitsprofile auf privaten Geräten)
4.29. Support für studienspezifische Ausweise
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische Kennungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil anhand der Registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine Registrierkonto-spezifische ID abrufen
4.29.2. Diese Registrierungsspezifische ID muss auch nach einem Zurücksetzen auf die Werkseinstellungen erhalten bleiben.
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT-Administratoren können die UX des standardmäßigen Einrichtungsvorgangs ändern, um unternehmensspezifische Funktionen einzubinden. Optional können IT-Administratoren während der Bereitstellung das von der EMM bereitgestellte Branding anzeigen lassen.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie unternehmensspezifische Nutzungsbedingungen und andere Haftungsausschlüsse angeben (termsAndConditions).
5.1.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische Nutzungsbedingungen und andere Haftungsausschlüsse deploy (termsAndConditions).
- EMMs können ihre nicht konfigurierbaren, EMM-spezifischen Anpassungen als Standard für Bereitstellungen festlegen, müssen aber IT-Administratoren die Möglichkeit geben, ihre eigenen Anpassungen einzurichten.
5.1.3. primaryColor wurde für die Enterprise-Ressource unter Android 10 und höher eingestellt.
5.2. Anpassung für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
5.3. Erweiterte Anpassungen für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird und nicht erst nach dem Entsperren des Geräts sichtbar wird.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen (deviceOwnerLockScreenInfo).
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie versuchen, verwaltete Einstellungen auf ihrem Gerät zu ändern, oder eine von der EMM bereitgestellte generische Supportmitteilung bereitstellen. Sowohl kurze als auch lange Supportmitteilungen können angepasst werden und werden beispielsweise angezeigt, wenn versucht wird, eine verwaltete App zu deinstallieren, für die die Deinstallation bereits von einem IT-Administrator blockiert wurde.
5.5.1. IT-Administratoren können kurze und lange Nutzernachrichten für den Support anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische kurze und lange Supportnachrichten bereitstellen (shortSupportMessage und longSupportMessage in policies).
- EMM-Anbieter können ihre nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standard für Bereitstellungen festlegen, müssen aber IT-Administratoren erlauben, ihre eigenen Nachrichten einzurichten.
5.6. Profilübergreifende Kontaktverwaltung
5.6.1. IT-Administratoren können die Anzeige geschäftlicher Kontakte in Kontaktsuchen und bei eingehenden Anrufen im privaten Profil deaktivieren.
5.6.2. IT-Administratoren können die Bluetooth-Kontaktfreigabe für geschäftliche Kontakte deaktivieren, z. B. für Freisprechanrufe in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
IT-Administratoren können die Datentypen verwalten, die zwischen dem Arbeits- und dem privaten Profil freigegeben werden können. So können sie die Nutzerfreundlichkeit und Datensicherheit gemäß ihren Anforderungen ausbalancieren.
5.7.1. IT-Administratoren können Richtlinien für die profilübergreifende Datenfreigabe konfigurieren, damit private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. Intents zur Freigabe oder Weblinks.
5.7.2. IT-Administratoren können zulassen, dass Apps aus dem Arbeitsprofil Widgets auf dem Startbildschirm des privaten Profils erstellen und anzeigen. Diese Funktion ist standardmäßig deaktiviert, kann aber mit den Feldern workProfileWidgets und workProfileWidgetsDefault aktiviert werden.
5.7.3. IT-Administratoren können festlegen, ob zwischen dem Arbeits- und dem privaten Profil kopiert und eingefügt werden darf.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) auf Geräten einrichten und anwenden.
5.8.1. Über die Konsole des EMM können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: OTA-Updates werden auf den Geräten installiert, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Sicherheitsupdates (z.B. monatliche Sicherheitspatches) sind von dieser Richtlinie nicht betroffen.
- Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. OTA-Konfigurationen werden auf Geräte mithilfe der Richtlinie angewendet.
5.9. Verwaltung des Modus „Gesperrte Aufgabe“
IT-Administratoren können eine App oder mehrere Apps auf dem Display sperren und dafür sorgen, dass Nutzer die App nicht schließen können.
5.9.1. Über die EMM-Konsole können IT-Administratoren die Installation und Sperrung beliebiger Apps auf einem Gerät automatisch zulassen. Mit Richtlinie können Sie spezielle Geräte einrichten.
5.10. Verwaltung der bevorzugten Aktivitäten
Ermöglicht es IT-Administratoren, eine App als Standard-Intent-Handler für Intents festzulegen, die einem bestimmten Intent-Filter entsprechen. Mit dieser Funktion können IT-Administratoren beispielsweise festlegen, welche Browser-App Weblinks automatisch öffnet. Mit dieser Funktion können Sie festlegen, welche Launcher-App beim Tippen auf die Startbildschirmtaste verwendet wird.
5.10.1. IT-Administratoren können beliebige Pakete als Standard-Intent-Handler festlegen für beliebige Intent-Filter.
- Die Konsole des EMM kann optional bekannte oder empfohlene Intents zur Konfiguration vorschlagen, Intents jedoch nicht auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
5.11. Verwaltung der Sperrbildschirmfunktionen
IT-Administratoren können die Funktionen verwalten, die Nutzern vor dem Entsperren des Geräte-Keyguards (Sperrbildschirms) und des Keyguards für die arbeitsbezogenen Herausforderungen (Sperrbildschirm) zur Verfügung stehen.
5.11.1.Mit einer Richtlinie können die folgenden Funktionen des Geräte-Sicherheitsschlosses deaktiviert werden:
- Trust Agents
- Entsperren mit Fingerabdruck
- ungeschwärzte Benachrichtigungen
5.11.2. Die folgenden Sperrfunktionen des Arbeitsprofils können über eine Richtlinie deaktiviert werden:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12. Erweiterte Verwaltung der Sperrbildschirmfunktionen
- Sichere Kamera
- Alle Benachrichtigungen
- Unredacted
- Trust Agents
- Entsperren mit Fingerabdruck
- Alle Funktionen des Keyguards
5.13. Remote-Debugging
Diese Funktion wird von der Android Management API nicht unterstützt.
5.14. MAC-Adresse abrufen
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren, z. B. bei der Identifizierung von Geräten für die Netzwerkzugriffssteuerung.
5.14.1. Der EMM kann die MAC-Adresse eines Geräts im Hintergrund abrufen und mit dem Gerät in der EMM-Konsole verknüpfen.
5.15. Erweiterte Verwaltung des Modus „Gesperrte Aufgabe“
Mit einem speziellen Gerät können IT-Administratoren über die Konsole des EMM-Anbieters die folgenden Aufgaben ausführen:
5.15.1. Sie können zulassen, dass eine einzelne App automatisch installiert und auf einem Gerät gesperrt wird.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden Funktionen der Systemoberfläche:
- Startbildschirmtaste
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm) Diese Unterfunktion ist standardmäßig aktiviert, wenn 5.15.1 implementiert ist.
5.15.3. Deaktivieren Sie Systemfehlerdialogfelder.
5.16. Erweiterte Richtlinie für Systemupdates
IT-Administratoren können einen bestimmten Zeitraum festlegen, in dem Systemupdates auf einem Gerät blockiert werden.
5.16.1. Die Konsole des EMM-Anbieters muss es IT-Administratoren ermöglichen, Over-the-air-Systemupdates (OTA) für einen festgelegten Zeitraum zu blockieren.
5.17. Verwaltung der Transparenz von Richtlinien für Arbeitsprofile
IT-Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn das Arbeitsprofil von einem Gerät entfernt wird.
5.17.1. IT-Administratoren können benutzerdefinierten Text anzeigen lassen (wipeReasonMessage), wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung für verbundene Apps
IT-Administratoren können eine Liste von Paketen festlegen, die über die Grenze des Arbeitsprofils hinweg kommunizieren können. Dazu müssen sie ConnectedWorkAndPersonalApp festlegen.
5.19. Manuelles Systemupdate
Diese Funktion wird von der Android Management API nicht unterstützt.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, mit dem der Kundensupport für die Geräteverwaltung auf GMS-Geräten bis Ende des ersten Quartals 2023 eingestellt wird.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte für alle neuen Bindungen mit Android Device Policy verwaltet werden. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten. Neue Kunden dürfen während des Onboardings oder der Einrichtung nicht vor eine willkürliche Auswahl zwischen Technologie-Stacks gestellt werden.
7.2. Standard-Richtliniencontroller für neue Geräte
Standardmäßig müssen Geräte für alle neuen Geräteregistrierungen mit Android Device Policy verwaltet werden, sowohl für vorhandene als auch für neue Bindungen. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten.