בדף הזה מופיעה הרשימה המלאה של התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הסטנדרטיות () של קבוצת פתרונות אחת לפחות כדי שיהיה אפשר להציע אותו למכירה. פתרונות EMM שעומדים באימות התכונות הסטנדרטיות מופיעים במאגר הפתרונות לארגונים של Android כפתרונות עם חבילת ניהול סטנדרטית.
לכל חבילה של פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מופיעות בכל דף של קבוצת הפתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. פתרונות EMM שעוברים אימות תכונות מתקדמות מפורטים בספריית הפתרונות לארגונים של Android, ככוללים קבוצת ניהול מתקדם.
מפתח
| תכונה רגילה | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשיר
1.1. הקצאת פרופיל עבודה דרך DPC-first
אחרי הורדת אפליקציית Device Policy ל-Android מ-Google Play, המשתמשים יכולים להקצות פרופיל עבודה.
1.1.1. מערכת ה-EMM מספקת למנהל ה-IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (מידע נוסף זמין במאמר הרשמה והקצאה של מכשיר).
1.2. הקצאת מכשיר באמצעות מזהה DPC
הזנת afw# באשף ההגדרה של המכשיר מקצה מכשיר מנוהל באופן מלא או מכשיר ייעודי.
1.2.1. ה-EMM מספק לאדמין ב-IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (מידע נוסף זמין במאמר רישום והקצאה של מכשיר).
1.3. הקצאה של מכשיר NFC
אדמיני IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שמוגדרים להגדרות המקוריות, בהתאם להנחיות להטמעה שמפורטות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. ספקי EMM חייבים להשתמש בתגים מסוג פורום NFC 2 (סוג 2) עם זיכרון של 888 בייטים לפחות. ניהול ההקצאה צריך לכלול תוספות של הקצאות כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרתים ומזהי רישום. פרטי ההרשמה לא אמורים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. מומלץ להשתמש בתגי NFC בגרסאות Android 10 ואילך, בגלל ההוצאה משימוש של NFC Beam (נקרא גם NFC Bump).
1.4. הקצאת מכשיר עם קוד QR
במסוף של ה-EMM אפשר ליצור קוד QR שמנהלי IT יכולים לסרוק כדי להקצות מכשיר מנוהל או ייעודי, בהתאם להנחיות ההטמעה שמפורטות במסמכי התיעוד למפתחים של Android Management API.
1.4.1. קוד ה-QR חייב להשתמש בתוספים לניהול כדי להעביר למכשיר פרטי רישום לא רגישים (כמו מזהי שרתים ומזהי הרשמה). אסור לכלול פרטי רישום שמכילים מידע רגיש, כמו סיסמאות או אישורים.
1.5. הרשמה דרך הארגון
אדמיני IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. אדמינים ב-IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, כמפורט במאמר הרשמה דרך הארגון לאדמינים ב-IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, הוא מוגדר באופן אוטומטי להגדרות שהוגדרו על ידי האדמין ב-IT.
1.6. ניהול הקצאות מתקדם דרך הארגון
מנהלי IT יכולים להפוך חלק ניכר מתהליך הרישום של המכשירים לאוטומטי באמצעות הרשמה ללא מגע. בשילוב עם כתובות URL לכניסה, אדמינים ב-IT יכולים להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמוצעות על ידי ה-EMM.
1.6.1. אדמינים ב-IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון.
1.6.2. הדרישה הזו הוצאה משימוש.
1.6.3. באמצעות כתובת ה-URL לכניסה, ה-EMM צריך לוודא שמשתמשים לא מורשים לא יכולים להמשיך בתהליך ההפעלה. לכל הפחות, צריך לנעול את ההפעלה למשתמשי הארגון הנתון.
1.6.4. באמצעות כתובת ה-URL לכניסה, מערכת ה-EMM צריכה לאפשר למנהלי IT לאכלס מראש את פרטי ההרשמה (לדוגמה, מזהי שרתים ומזהי הרשמה) בנוסף למידע ייחודי על המשתמש או המכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור ש-EMMs יכללו מידע רגיש, כמו סיסמאות או אישורים, בתצורה של ההרשמה ללא מגע.
1.7. הקצאה של פרופיל עבודה בחשבון Google
ארגונים שמשתמשים בדומיין מנוהל של Google יכולים להשתמש בתכונה הזו כדי להנחות את המשתמשים בהגדרת פרופיל העבודה אחרי שהם מזינים את פרטי הכניסה ל-Workspace הארגוני במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות של הארגון ב-Workspace תועבר לפרופיל העבודה.
1.8. הקצאת מכשיר לחשבון Google
Android Management API לא תומך בתכונה הזו.
1.9. הגדרה ישירה דרך הארגון
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי להגדיר מכשירים ללא מגע באמצעות iframe ללא מגע.
1.10. פרופילים של עבודה במכשירים בבעלות החברה
פתרונות EMM יכולים לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה על ידי הגדרת AllowPersonalUsage.
1.10.1. השארת השדה ריק בכוונה.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילים של עבודה במכשירים שבבעלות החברה באמצעות PersonalUsagePolicies.
1.10.3. מנהלי IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו דרך PersonalUsagePolicies.
1.10.4. אדמינים ב-IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו דרך PersonalUsagePolicies.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת היתרים או רשימת חסומים של אפליקציות שאפשר או אי אפשר להתקין בפרופיל האישי באמצעות PersonalApplicationPolicy.
1.10.6. אדמינים ב-IT יכולים להפסיק לנהל מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או מחיקת כל המכשיר.
1.11. הקצאת מכשיר ייעודי
פלטפורמות EMM יכולות לרשום מכשירי ייעודים בלי שהמשתמש יתבקש לבצע אימות באמצעות חשבון Google.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחת מכשירים (קוד אימות/קו ביטול נעילה/סיסמה) מבחירה מוגדרת מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. המדיניות חייבת לאכוף הגדרות לניהול האתגרים של אבטחת המכשיר (parentProfilePasswordRequirements לפרופיל העבודה, passwordRequirements למכשירים מנוהלים ומכשירים ייעודיים).
2.1.2. מורכבות הסיסמה צריכה להתאים למורכבות הסיסמה הבאה:
- PASSWORD_COMPLEXITY_LOW – תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפאנומריות או אלפביתיות באורך של 6 תווים לפחות
2.1.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כהגדרות מדור קודם במכשירים בבעלות החברה.
2.2. אתגר אבטחה בעבודה
אדמיני IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד ומציג דרישות שונות מהאתגר לאבטחת המכשיר (2.1).
2.2.1. המדיניות חייבת לאכוף את אתגר האבטחה בפרופיל העבודה.
- כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה, אם לא הוגדר היקף.
- אדמינים ב-IT יכולים להגדיר את ההרשאה הזו ברמת המכשיר על ידי ציון ההיקף (ראו דרישה 2.1).
2.2.2. מורכבות הסיסמה צריכה להתבסס על מורכבות הסיסמה המוגדרת מראש הבאה:
- PASSWORD_COMPLEXITY_LOW – תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפאנומריות או אלפביתיות באורך של 6 תווים לפחות
2.2.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כחלק מהגדרות מדור קודם
2.3. ניהול מתקדם של קודי גישה
אדמיני IT יכולים להגדיר הגדרות סיסמה מתקדמות במכשירים.
2.3.1. השארת השדה ריק בכוונה.
2.3.2. השארת השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של סיסמה לכל מסך נעילה שזמין במכשיר:
- ריקים בכוונה
- ריקים בכוונה
- מספר הסיסמות שנכשלו לפני האיפוס: ההגדרה קובעת את מספר הפעמים שמשתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ב-IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.3.4. (Android 8.0 ואילך) זמן קצוב לתפוגה שנדרש לאימות חזק: יש להזין קוד גישה לאימות חזק (כמו קוד אימות או סיסמה) לאחר פרק זמן של זמן קצוב לתפוגה שהוגדר על ידי אדמין ב-IT. לאחר פרק הזמן הקצוב לתפוגה, שיטות אימות לא חזקות (כמו טביעת אצבע או ביטול נעילה באמצעות זיהוי הפנים) יושבתו עד לביטול הנעילה של המכשיר באמצעות קוד אימות חזק.
2.4. ניהול של Smart Lock
אדמיני IT יכולים לקבוע אם סוכני אמון בתכונה Smart Lock של Android מורשים להאריך את ביטול הנעילה של המכשיר עד ארבע שעות.
2.4.1. אדמינים ב-IT יכולים להשבית את סוכני האמון במכשיר.
2.5. מעבר תצוגה ונעילה
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי לנעול מרחוק ולמחוק נתוני עבודה ממכשיר מנוהל.
2.5.1. צריך לנעול את המכשירים באמצעות Android Management API.
2.5.2. צריך למחוק את המכשירים באמצעות Android Management API.
2.6. אכיפת תאימות
אם המכשיר לא עומד בדרישות של מדיניות האבטחה, כללי התאימות שהוגדרו על ידי Android Management API מגבילים באופן אוטומטי את השימוש בנתוני העבודה.
2.6.1. מדיניות האבטחה שחלה על המכשיר חייבת לכלול לפחות מדיניות סיסמאות.
2.7. מדיניות ברירת המחדל בנושא אבטחה
ספק ה-EMM חייב לאכוף את כללי מדיניות האבטחה שצוינו במכשירים כברירת מחדל, בלי לחייב את אדמיני ה-IT להגדיר או להתאים אישית הגדרות במסוף של ה-EMM. אנחנו ממליצים לספקי EMM (אבל לא חובה) שלא לאפשר לאדמינים ב-IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. חובה לחסום את ההתקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה. התכונה המשנית הזו נתמכת כברירת מחדל.
2.7.2. צריך לחסום את התכונות לניפוי באגים. התכונה המשנית הזו נתמכת כברירת מחדל.
2.8. כללי מדיניות אבטחה למכשירים ייעודיים
לא ניתן לבצע פעולות אחרות במכשיר ייעודי נעול.
2.8.1. צריך להשבית את האתחול למצב בטוח כברירת מחדל באמצעות policy (מעבר אל safeBootDisabled).
2.9. תמיכה ב-Play Integrity
בדיקות התקינות ב-Play מתבצעות כברירת מחדל. לא נדרשת הטמעה נוספת.
2.9.1. ריק מכוון.
2.9.2. ריק מכוון.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך הערך של SecurityRisk של המכשיר, כולל חסימה של הקצאה, מחיקה של נתונים ארגוניים והמשך ההרשמה.
- שירות ה-EMM יאכוף את התגובה הזו למדיניות לתוצאה של כל בדיקת תקינות.
2.9.4. השארת השדה ריק בכוונה.
2.10. אכיפה של Verify Apps
אדמינים ב-IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ואחרי ההתקנה שלהן, וכך עוזרת לוודא שאפליקציות זדוניות לא יכולות לסכן את הנתונים של הארגון.
2.10.1. צריך להפעיל את התכונה 'אימות אפליקציות' כברירת מחדל באמצעות מדיניות (מעבר אל ensureVerifyAppsEnabled).
2.11. תמיכה בהפעלה ישירה
Android Management API תומך בתכונה הזו כברירת מחדל. אין צורך בהטמעה נוספת.
2.12. ניהול אבטחת החומרה
אדמיני IT יכולים לנעול רכיבי חומרה של מכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מטעינה של מדיה חיצונית פיזית באמצעות מדיניות (מעבר אל mountPhysicalMediaDisabled).
2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות קרן NFC באמצעות policy (עוברים אל outgoingBeamDisabled). תכונת המשנה הזו היא אופציונלית כי ב-Android 10 ואילך אין יותר תמיכה בפונקציה של קרן NFC.
2.12.3. אדמינים ב-IT יכולים לחסום משתמשים מהעברת קבצים באמצעות USB באמצעות מדיניות (מעבר אל usbFileTransferDisabled).
2.13. רישום ביומן של אבטחת הארגון
Android Management API לא תומך בתכונה הזו.
3. ניהול החשבון והאפליקציות
3.1. קישור לארגון
אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים ב-Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. השארת השדה ריק בכוונה.
3.1.3. השארת השדה ריק בכוונה.
3.1.4. במסוף ה-EMM, האדמין מקבל הנחיות להזין את כתובת האימייל העסקית שלו בתהליך ההרשמה ל-Android, ומופיע בו מידע שמעודד אותו לא להשתמש בחשבון Gmail.
3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאה של חשבון Google Play מנוהל
מערכת ה-EMM יכולה להקצות באופן אוטומטי חשבונות משתמשים ארגוניים, שנקראים חשבונות Google Play מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים להגדיר כללים ייחודיים להפצת אפליקציות לכל משתמש.
3.2.1. חשבונות Google Play לארגונים (חשבונות משתמשים) נוצרים באופן אוטומטי כשמקצים מכשירים.
ב-Android Management API יש תמיכה בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.3. הקצאה של חשבון מכשיר מנוהל ב-Google Play
מערכת ה-EMM יכולה ליצור ולהקצות חשבונות מכשיר מנוהלים ב-Google Play. חשבונות המכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא קשורים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזיהוי מכשיר יחיד כדי לתמוך בכללים של הפצת אפליקציות לכל מכשיר בתרחישים ייעודיים למכשירים.
3.3.1. חשבונות Google Play מנוהלים נוצרים באופן אוטומטי במסגרת הקצאת המכשירים.
Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.4. הקצאת חשבונות Google Play לארגונים למכשירים מדור קודם
התכונה הזו הוצאה משימוש.
3.5. הפצת אפליקציות בשקט
אדמינים ב-IT יכולים להפיץ אפליקציות לעבודה באופן שקט במכשירים ללא אינטראקציה של המשתמשים.
3.5.1. יש להשתמש ב-Android Management API במסוף ה-EMM כדי לאפשר לאדמינים ב-IT להתקין אפליקציות לעבודה במכשירים מנוהלים.
3.5.2. במסוף של ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר למנהלי IT לעדכן אפליקציות עבודה במכשירים מנוהלים.
3.5.3. יש להשתמש ב-Android Management API שבמסוף של ה-EMM כדי לאפשר לאדמינים ב-IT להסיר אפליקציות ממכשירים מנוהלים.
3.6. ניהול תצורות מנוהלות
אדמינים ב-IT יכולים להציג הגדרות מנוהלות של כל אפליקציה שתומכת בהגדרות מנוהלות, ולהגדיר אותן בשקט.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות ההגדרה המנוהלת של כל אפליקציה ב-Play.
3.6.2. המסוף של ה-EMM חייב לאפשר למנהלי IT להגדיר כל סוג של תצורה (כפי שמוגדר במסגרת Android Enterprise) לכל אפליקציה ב-Play באמצעות Android Management API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים.
3.7. ניהול קטלוג אפליקציות
Android Management API תומך בתכונה הזו כברירת מחדל. אין צורך בהטמעה נוספת.
3.8. אישור אפליקציות באופן פרוגרמטי
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגלות אפליקציות ולאשר אותן. אדמינים ב-IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת מהמסוף של ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות ה-iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
באפליקציה המנוהלת של חנות Google Play אפשר להתקין ולעדכן אפליקציות לעבודה. כברירת מחדל, בחנות Google Play לארגונים מוצגות אפליקציות שאושרו למשתמש ברשימה אחת. הפריסה הזו נקראת פריסה בסיסית של החנות.
3.9.1. מסוף ה-EMM אמור לאפשר למנהלי IT לנהל את האפליקציות שמוצגות בפריסת החנות הבסיסית של משתמש הקצה.
3.10. הגדרה מתקדמת של פריסת החנות
3.10.1. אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציה של חנות Google Play לארגונים.
3.11. ניהול רישיונות לאפליקציות
התכונה הזו הוצאה משימוש.
3.12. ניהול אפליקציות פרטיות באירוח של Google
אדמיני IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. מנהלי IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמיני IT יכולים להגדיר ולפרסם אפליקציות פרטיות שמתארחות בעצמן. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, ה-EMM עוזר לאדמינים ב-IT לארח חבילות APK בעצמם, ומגן על אפליקציות שמתארחות באופן עצמאי על ידי הבטחת האפשרות להתקין אותן רק לאחר אישור מ-Google Play המנוהל.
3.13.1. מסוף ה-EMM צריך לעזור לאדמינים ב-IT לארח את קובץ ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת של ה-EMM. השרת יכול להיות מקומי או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעת הארגון. האדמין צריך לציין במסוף ה-EMM את המיקום שבו מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות קובץ ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות בעצמן, והמסוף של ה-EMM יכול לפרסם בשקט קובצי הגדרה מעודכנים של APK באמצעות Google Play Developer Publishing API.
3.13.4. השרת של ה-EMM מעביר בקשות להורדת קובץ ה-APK המתארח בעצמו, שמכיל אסימון JWT תקין בקובץ ה-cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי לאפשר את התהליך הזה, השרת של ה-EMM צריך להנחות את האדמינים ב-IT להוריד את המפתח הציבורי של הרישיון לאפליקציה באירוח עצמי מ-Play Google Play Console ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה של EMM
התכונה הזו לא רלוונטית ל-Android Management API. במקום זאת, מגדירים התראות Pub/Sub.
3.15. דרישות לשימוש ב-API
ה-EMM מיישם ממשקי Android Management API בקנה מידה נרחב, כדי למנוע דפוסי תנועה שעלולים להשפיע לרעה על היכולת של ארגונים לנהל אפליקציות בסביבות ייצור.
3.15.1. מערכת ה-EMM חייבת לציית למגבלות השימוש של Android Management API. אם לא תתקן התנהגות שחורגת מההנחיות האלה, Google עשויה להשעות את השימוש ב-API, לפי שיקול דעתה.
3.15.2. מערכת ה-EMM צריכה לחלק את התנועה מעסקים שונים במהלך היום, במקום לרכז את התנועה הארגונית בזמנים ספציפיים או דומים. התנהגות שתתאים לדפוס התנועה הזה, כמו פעולות באצווה מתוזמנות לכל מכשיר שמשויך, עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. מערכת ה-EMM לא אמורה לשלוח בקשות עקביות, חלקיות או מכוונות שגויות, שלא כוללות ניסיון לאחזר או לנהל נתונים אמיתיים של הארגון. התנהגות שתתאים לדפוס התנועה הזה עשויה לגרום להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
ה-EMM תומך בתכונות הבאות לניהול מתקדם של הגדרות מנוהלות:
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את עד ארבע רמות של הגדרות אישיות מנוהלות של כל אפליקציית Play, באמצעות:
- iframe של Google Play לארגונים, או
- ממשק משתמש מותאם אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שהוחזר על ידי ערוץ משוב של אפליקציה, כאשר הוא מוגדר על ידי אדמין ב-IT.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שמהם הוא הגיע.
- במסוף של ה-EMM צריכה להיות אפשרות לאדמינים ב-IT להירשם להתראות או לדוחות של סוגי הודעות ספציפיים (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM חייב לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמיני IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף ה-EMM.
3.17.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play המנוהל
מערכת ה-EMM יכולה ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים מטעם אדמינים ב-IT, ולשחזר אותם באופן אוטומטי במקרה של תפוגת התוקף של החשבון.
התכונה הזו נתמכת כברירת מחדל. לא נדרשת הטמעה נוספת של EMM.
3.19. ניהול של מעקב אחר אפליקציות
3.19.1. אדמינים ב-IT יכולים למשוך רשימה של מזהי טראקים שהוגדר על ידי מפתח לאפליקציה מסוימת.
3.19.2. מנהלי IT יכולים להגדיר מכשירים לשימוש במסלול פיתוח מסוים לאפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
אדמיני IT יכולים לאפשר עדכון מיידי של אפליקציות או לדחות את העדכון שלהן למשך 90 יום.
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשהעדכון מוכן. 3.20.2. אדמינים ב-IT יכולים לאפשר דחייה של עדכונים לאפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאת הרשאות ידנית
מערכת ה-EMM יכולה ליצור הגדרות להקצאה ולהציג אותן לאדמין ה-IT בפורמט שזמין להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL של חנות Play).
4. ניהול מכשירים
4.1. ניהול המדיניות בנושא הרשאות בסביבת זמן ריצה
אדמיני IT יכולים להגדיר תשובה שתישלח באופן אוטומטי לבקשות גישה בזמן ריצה מאפליקציות עבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות ברירת מחדל בסביבת זמן הריצה לארגון שלהם:
- הנחיה (מאפשרת למשתמשים לבחור)
- לאפשר
- דחייה
מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.2. ניהול המצב של מתן הרשאה בזמן ריצה
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה (מעבר לקטע 4.1.), אדמינים ב-IT יכולים להגדיר תשובות ללא ידיעת המשתמשים להרשאות ספציפיות מכל אפליקציה לעבודה שנוצרה על סמך API מגרסה 23 ואילך.
4.2.1. אדמינים ב-IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת המחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי אפליקציית עבודה שנוצרה על API מגרסה 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.3. ניהול הגדרות Wi-Fi
אדמינים ב-IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות מדיניות.
4.3.2. סיסמה, באמצעות המדיניות.
4.4. ניהול אבטחת Wi-Fi
מנהלי IT יכולים להקצות הגדרות Wi-Fi ארגוניות במכשירים שכוללים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהויות
4.4.2. אישורים להרשאת לקוח
4.4.3. אישורי CA
4.5. ניהול מתקדם של Wi-Fi
אדמיני IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול הגדרות Wi-Fi ארגוניות באמצעות המדיניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצו על ידי ה-EMM (מעבר אל
wifiConfigsLockdownEnabled), אבל הם יכולים להוסיף ולשנות רשתות משלהם שהם יכולים להגדיר (למשל, רשתות אישיות). - המשתמשים לא יכולים להוסיף או לשנות רשת Wi-Fi במכשיר (מעבר אל
wifiConfigDisabled), והחיבור ל-Wi-Fi מוגבל רק לרשתות שהוקצו על ידי ה-EMM.
4.6. ניהול חשבון
אדמינים ב-IT יכולים לוודא שרק חשבונות ארגוניים מורשים יכולים לבצע פעולות עם נתונים ארגוניים, בשירותים כמו אחסון ב-SaaS, אפליקציות פרודוקטיביות או אימייל. בלי התכונה הזו, משתמשים יכולים להוסיף חשבונות אישיים לאפליקציות ארגוניות שתומכות גם בחשבונות של צרכנים, וכך לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.6.1. אדמינים ב-IT יכולים למנוע ממשתמשים להוסיף או לשנות חשבונות (מידע נוסף זמין בקטע modifyAccountsDisabled).
- כשאכיפים את המדיניות הזו במכשיר, פלטפורמות EMM צריכות להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שהמשתמשים לא יוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות תופעל.
4.7. ניהול חשבון Workspace
Android Management API לא תומך בתכונה הזו.
4.8. ניהול אישורים
אדמיני IT יכולים לפרוס אישורי זהות ורשויות אישורים במכשירים כדי לאפשר שימוש במשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים שנוצרו על ידי ה-PKI שלהם, על בסיס משתמש. מסוף ה-EMM חייב להתמזג עם רשת PKI אחת לפחות ולחלק אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים (ראו caCerts) במאגר המפתחות המנוהל. עם זאת, אין תמיכה בתכונה המשנית הזו.
4.9. ניהול אישורים מתקדם
מאפשר לאדמינים ב-IT לבחור בחשאי את האישורים שבהם אפליקציות מנוהלות ספציפיות צריכות להשתמש. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות אישור (CA) ואישורי זהות ממכשירים פעילים, ולמנוע ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. לאפליקציות שמופצות למכשירים, אדמינים ב-IT יכולים לציין אישור שאליו תוענק לאפליקציה גישה באופן אוטומטי במהלך זמן הריצה. (אין תמיכה בתכונה המשנית הזו)
- בחירת האישור צריכה להיות גנרית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, לכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים ממאגר המפתחות המנוהל ללא הודעה.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA ללא הודעה. (התכונה המשנית הזו לא נתמכת)
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה (מעבר אל credentialsConfigDisabled) במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להקצות מראש אישורים לאפליקציות לעבודה באמצעות ChoosePrivateKeyRule.
4.10. ניהול אישורים שהועברו
אדמינים ב-IT יכולים להפיץ למכשירים אפליקציית ניהול אישורים של צד שלישי ולהעניק לה הרשאות גישה כדי להתקין אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT יכולים לציין חבילת ניהול אישורים (מעבר אל delegatedCertInstallerPackage) שתוגדר כאפליקציית ניהול האישורים המוענקת.
- מערכת ה-EMM עשויה להציע חבילות ידועות לניהול אישורים, אבל היא חייבת לאפשר לאדמין ה-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.11. ניהול VPN מתקדם
אדמינים ב-IT יכולים לציין VPN שפועל כל הזמן כדי להבטיח שהנתונים מהאפליקציות המנוהלות שצוינו תמיד יעברו הגדרה של ה-VPN.
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית להגדרה כ-VPN בחיבור תמידי.
- במסוף של ה-EMM יכולות להופיע הצעות לחבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל אי אפשר להגביל את רשימת ה-VPN שזמינות להגדרה של VPN שפועל כל הזמן.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מכיוון שה-IME משותף גם לפרופיל של העבודה וגם לפרופיל האישי, חסימת שימוש ברכיבי IME תמנע מהמשתמשים לאפשר לרכיבי ה-IME האלה גם לשימוש אישי. עם זאת, אדמינים ב-IT לא יכולים לחסום את השימוש ב-IME של המערכת בפרופילי עבודה (פרטים נוספים זמינים במאמר 'ניהול מתקדם של IME').
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (מעבר אל permitted_input_methods) באורך שרירותי (כולל רשימה ריקה, שחוסמת IMEs שאינם מערכתיים), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.12.2. ספק ה-EMM חייב להודיע לאדמינים ב-IT ש-IMEs של מערכת לא נכללים בניהול במכשירים עם פרופילי עבודה.
4.13. ניהול מתקדם של IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) המשתמשים יכולים להגדיר במכשיר. ניהול מתקדם של IME מרחיב את התכונה הבסיסית ומאפשר לאדמינים ב-IT לנהל גם את השימוש ב-IME של המערכת, שספק המכשיר או יצרן המכשיר מספקים בדרך כלל.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (מעבר אל permitted_input_methods) באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל ה-IME של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.13.2. ה-EMM חייב למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום את כל ה-IMEs, כולל עורכי IME של המערכת, לא להגדיר במכשיר.
4.13.3. מערכת ה-EMM חייבת לוודא שאם רשימת ההיתרים של IME לא מכילה IME של מערכת, תוכנות ה-IME של הצד השלישי מותקנות בשקט לפני שהרשימת ההיתרים חלה על המכשיר.
4.14. ניהול שירותי הנגישות
אדמינים ב-IT יכולים לקבוע אילו שירותי נגישות המשתמשים יכולים לאשר במכשירים. שירותי נגישות הם כלים חזקים במיוחד למשתמשים עם מוגבלויות או למשתמשים שבאופן זמני לא יכולים לבצע אינטראקציה מלאה עם המכשיר. עם זאת, יכול להיות שהם יתנהגו לנתונים העסקיים בדרכים שלא עומדות בדרישות המדיניות הארגונית. התכונה הזו מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שאינו שירות מערכת.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות (מעבר אל permittedAccessibilityServices) באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילת שירותי נגישות שרירותית. כשהיא חלה על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- המסוף יכול להציע שירותי נגישות מוכרים או מומלצים שייכללו ברשימת ההיתרים, אבל עליו לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה, עבור משתמשים רלוונטיים.
4.15. ניהול של שיתוף המיקום
אדמינים ב-IT יכולים למנוע ממשתמשים לשתף את נתוני המיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום בפרופיל העבודה בהגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום (מעבר אל shareLocationDisabled) בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף מיקום
אדמיני IT יכולים לאכוף הגדרה מסוימת של שיתוף המיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח שלאפליקציות ארגוניות תמיד יהיו נתוני מיקום מדויקים. כך אפשר גם לוודא שלא צורכת צריכת סוללה נוספת על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- מחיישנים בלבד, לדוגמה GPS, אבל לא כולל מיקום שהרשת מספקת.
- חיסכון בסוללה, שמגביל את תדירות העדכונים.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה הזו מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי מניעת האפשרות של משתמשים לא מורשים לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות גורמת לסיבוכיות תפעולית כשהמכשירים מוחזרים ל-IT, אדמינים ב-IT יכולים להשבית לגמרי את ההגנה מפני איפוס להגדרות המקוריות.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את המכשיר להגדרות המקוריות
(כניסה אל factoryResetDisabled) בהגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות ארגוניים לביטול נעילה עם הרשאה להקצות מכשירים (עוברים לכתובת frpAdminEmails) אחרי איפוס להגדרות המקוריות.
- אפשר לקשר את החשבון הזה לאדם פרטי, או להשתמש בו כל הארגון כדי לבטל את נעילת המכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות (מעבר אל factoryResetDisabled) במכשירים מסוימים.
4.17.4. אדמינים ב-IT יכולים להפעיל איפוס נתונים במכשיר מרחוק, כדי למחוק מהמכשיר את ההגנה מפני איפוס להגדרות המקוריות.
4.18. בקרה מתקדמת על אפליקציות
אדמינים ב-IT יכולים למנוע מהמשתמשים להסיר אפליקציות מנוהלות או לשנות אותן בדרכים אחרות דרך ההגדרות. לדוגמה, מניעת סגירה ידנית של האפליקציה או ניקוי המטמון של נתוני האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את האפשרות להסיר כל אפליקציה מנוהלת שרירותית, או את כל האפליקציות המנוהלות (נכנסים אל uninstallAppsDisabled).
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות נתוני אפליקציות דרך ההגדרות. (Android Management API לא תומך בתכונת המשנה הזו)
4.19. ניהול צילומי מסך
אדמיני IT יכולים למנוע ממשתמשים לצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות של המערכת לצילום מסך.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך (מעבר אל screenCaptureDisabled).
4.20. השבת מצלמות
אדמינים ב-IT יכולים להשבית את השימוש במצלמות המכשיר על ידי אפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות של המכשיר (כניסה לדף cameraDisabled) על ידי אפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של רשתות
Android Management API לא תומך בתכונה הזו.
4.22. איסוף סטטיסטיקות רשת מתקדמות
Android Management API לא תומך בתכונה הזו.
4.23. הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו במערכת
מנהלי IT יכולים לנהל באופן מפורט את הרדיו ברשתות המערכת ואת כללי המדיניות המשויכים באמצעות policy.
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירות (מעבר אל cellBroadcastsConfigDisabled).
4.24.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (מעבר אל mobileNetworksConfigDisabled).
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את כל הגדרות הרשת
ב'הגדרות'. (מעבר אל networkResetDisabled).
4.24.4. אדמינים ב-IT יכולים לקבוע אם המכשיר יאפשר שימוש בחבילת הגלישה בזמן נדידה (צריך לעבור ל-dataRoamingDisabled).
4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות יוצאות, לא כולל שיחות חירום (מעבר אל outGoingCallsDisabled).
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט (מעבר אל smsDisabled).
4.24.7. אדמינים ב-IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כנקודה לשיתוף אינטרנט בנייד באמצעות שיתוף אינטרנט בין מכשירים (עוברים אל tetheringConfigDisabled).
4.24.8. אדמינים ב-IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi כברירת מחדל, בזמן שהמכשיר מחובר לחשמל או שלעולם לא. (Android Management API לא תומך בתכונה המשנית הזו)
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר או לשנות חיבורי Bluetooth קיימים (מעבר אל bluetoothConfigDisabled).
4.25. ניהול האודיו במערכת
מנהלי IT יכולים לשלוט בשקט בתכונות האודיו במכשירים, כולל השתקת המכשיר, למנוע ממשתמשים לשנות את הגדרות עוצמת הקול ולמנוע ממשתמשים לבטל את ההשתקה של המיקרופון במכשיר.
4.25.1. מנהלי IT יכולים להשתיק מכשירים מנוהלים באופן שקט. (Android Management API לא תומך בתכונה המשנית הזו)
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשירים (מעבר אל adjustVolumeDisabled). הפעולה הזו גם משביתה את המכשירים.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון במכשיר (מעבר אל unmuteMicrophoneDisabled).
4.26. ניהול שעון המערכת
אדמיני IT יכולים לנהל את הגדרות השעון ואזור הזמן של המכשיר, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את השעה האוטומטית ואת אזור הזמן האוטומטי של המערכת, כדי למנוע מהמשתמשים להגדיר את התאריך, השעה ואזור הזמן במכשיר.
4.27. תכונות מתקדמות של מכשיר ייעודי
במכשירים ייעודיים, אדמינים ב-IT יכולים לנהל את התכונות הבאות באמצעות המדיניות, לתמיכה בתרחישים שונים של קיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מסך הנעילה של המכשיר (מעבר אל keyguardDisabled).
4.27.2. אדמינים ב-IT יכולים להשבית את סרגל הסטטוס של המכשיר, וכך לחסום את ההתראות וההגדרות המהירות (מעבר אל statusBarDisabled).
4.27.3. אדמינים ב-IT יכולים לאלץ את המסך של המכשיר להמשיך לפעול כשהמכשיר מחובר לחשמל (נכנסים אל stayOnPluggedModes).
4.27.4. אדמינים ב-IT יכולים למנוע את הצגת ממשקי המשתמש של המערכת הבאים (מעבר אל createWindowsDisabled):
- הודעות קופצות
- שכבות-על של אפליקציה.
4.27.5. אדמינים ב-IT יכולים לאפשר לאפליקציות לדלג על ההדרכה למשתמש ועל טיפים מבוא אחרים בהפעלה הראשונה, בהתאם להמלצה של המערכת (מעבר אל skip_first_use_hints).
4.28. ניהול היקף של הענקת גישה
אדמינים ב-IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את היקפי הגישה הבאים:
- התקנה וניהול של אישורים
- טופס ריק בכוונה
- רישום התנועה ברשת
- רישום ביומן אבטחה (אין תמיכה בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה במזהה ספציפי להרשמה
החל מגרסה 12 של Android, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישאר גם אחרי איפוס להגדרות המקוריות.
4.29.1. אדמינים ב-IT יכולים לקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי להרשמה צריך להישאר גם אחרי איפוס להגדרות המקוריות
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול תצורה מנוהל
אדמיני IT יכולים לשנות את ממשק המשתמש של תהליך ההגדרה שמוגדר כברירת מחדל כך שיכלול תכונות ספציפיות לארגון. אדמינים ב-IT יכולים גם להציג מיתוג של EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון תנאי שירות ספציפיים לארגון כתבי ויתור אחרים (מעבר אל termsAndConditions).
5.1.2. אדמינים ב-IT יכולים לפרוס תנאי שימוש ספציפיים ל-EMM שלא ניתנים להתאמה אישית כתבי ויתור אחרים (מעבר אל termsAndConditions).
- ספקי EMM יכולים להגדיר את ההתאמה האישית הספציפית ל-EMM שלהם, שלא ניתן לשנות אותה, כברירת מחדל לפריסות, אבל הם חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.1.3. primaryColor הוצא משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
5.2. התאמה אישית לארגון
Android Management API לא תומך בתכונה הזו.
5.3. התאמה אישית מתקדמת לארגונים
Android Management API לא תומך בתכונה הזו.
5.4. הודעות במסך הנעילה
אדמיני IT יכולים להגדיר הודעה בהתאמה אישית שתמיד תוצג במסך הנעילה של המכשיר, בלי צורך לבטל את הנעילה של המכשיר כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך נעילה (נכנסים אל deviceOwnerLockScreenInfo).
5.5. ניהול שקיפות המדיניות
אדמיני IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם מנסים לשנות את ההגדרות המנוהלות במכשיר, או לפרוס הודעה כללית לתמיכה שספק ה-EMM מספק. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות, והן מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שכבר נחסמה על ידי אדמין IT.
5.5.1. אדמינים ב-IT יכולים להתאים אישית הודעות תמיכה למשתמשי קצה, קצרות וארוכות.
5.5.2. אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות ספציפיות ל-EMM, שלא ניתן להגדיר אותן (אפשר לעבור אל shortSupportMessage ו-longSupportMessage ב-policies).
- יכול להיות שה-EMM הגדיר את הודעות התמיכה הספציפיות ל-EMM, שלא ניתנות להגדרה וספציפיות ל-EMM, כברירת מחדל לפריסות, אבל חייב לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר בכמה פרופילים
5.6.1. מנהלי IT יכולים להשבית את הצגת אנשי הקשר בעבודה בחיפושים של אנשי קשר בפרופיל האישי ובשיחות נכנסות.
5.6.2. אדמינים ב-IT יכולים להשבית את השיתוף של אנשי הקשר מהעבודה ב-Bluetooth, למשל בהפעלה קולית במכוניות או באוזניות.
5.7. ניהול נתונים במספר פרופילים
מנהלי IT יכולים לנהל את סוגי הנתונים שאפשר לשתף בין הפרופיל לצורכי עבודה לבין הפרופיל האישי, וכך לאזן בין נוחות השימוש לבין אבטחת הנתונים בהתאם לדרישות שלהם.
5.7.1. אדמינים ב-IT יכולים להגדיר מדיניות שיתוף נתונים בין פרופילים כדי שאפליקציות אישיות יוכלו לפתור כוונות (intents) מפרופיל העבודה, כמו שיתוף כוונות או קישורי אינטרנט.
5.7.2. אדמינים ב-IT יכולים לאפשר לאפליקציות מפרופיל העבודה ליצור ולהציג ווידג'טים במסך הבית של הפרופיל האישי. היכולת הזו מושבתת כברירת מחדל, אבל אפשר להגדיר אותה כמותרת באמצעות השדות workProfileWidgets ו-workProfileWidgetsDefault.
5.7.3. מנהלי IT יכולים לשלוט ביכולת להעתיק/להדביק בין הפרופילים האישיים לפרופיל העבודה.
5.8. מדיניות בנושא עדכון מערכת
אדמינים ב-IT יכולים להגדיר מכשירים לעדכוני מערכת אלחוטיים (OTA) ולהחיל אותם.
5.8.1. במסוף של ה-EMM, אדמינים ב-IT יכולים להגדיר את ההגדרות הבאות של OTA:
- אוטומטית: המכשירים מתקינים עדכוני OTA כשהם זמינים.
- דחייה: אדמינים ב-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
- בחלון זמן: אדמינים ב-IT צריכים להיות מסוגלים לתזמן עדכוני OTA בחלון זמן יומי לתחזוקה.
5.8.2. הגדרות OTA חלות על מכשירים באמצעות מדיניות.
5.9. ניהול מצב משימות נעולות
אדמיני IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, וכך לוודא שהמשתמשים לא יוכלו לצאת מהאפליקציה.
5.9.1. מסוף ה-EMM מאפשר לאדמינים ב-IT לאפשר באופן שקט קבוצה שרירותית של אפליקציות להתקין מכשיר ולנעול אותו. Policy מאפשרת להגדיר מכשירים ייעודיים.
5.10. ניהול פעילות מועדפת מתמיד
מאפשרת לאדמינים ב-IT להגדיר אפליקציה כרכיב ה-handler שמוגדר כברירת מחדל לכוונות שתואמות לסינון כוונות מסוים. לדוגמה, התכונה הזו תאפשר לאדמינים ב-IT לבחור באילו אפליקציות דפדפן ייפתח באופן אוטומטי קישור לדף אינטרנט. התכונה הזו יכולה לקבוע באילו אפליקציות מרכז האפליקציות ישתמש כשמקישים על לחצן דף הבית.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה כמתן הטיפול בכוונה הרשמית לכל מסנן כוונה שרירותי.
- יכול להיות שבמסוף של ה-EMM יוצעו כוונות מוכרות או מומלצות להגדרה, אבל הוא לא יוכל להגביל כוונות לרשימה שרירותית כלשהי.
- במסוף ה-EMM צריך להיות אפשרות לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול תכונות של מגן מקשים
אדמיני IT יכולים לנהל את התכונות שזמינות למשתמשים לפני שהם פותחים את מנעול המכשיר (מסך הנעילה) ואת מנעול האתגר לעבודה (מסך הנעילה).
5.11.1.מדיניות יכולה להשבית את התכונות הבאות של מגן המקשים במכשיר:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות ללא צנזור
5.11.2. אפשר להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה באמצעות מדיניות:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של התכונות של מסך הנעילה
- מצלמה מאובטחת
- כל ההודעות
- ללא צנזור
- סביבות אמינות
- פתיחה בטביעת אצבע
- כל התכונות של מגן המקשים
5.13. ניקוי באגים מרחוק
אין תמיכה בתכונה הזו ב-Android Management API.
5.14. אחזור כתובת MAC
פתרונות EMM יכולים לאחזר בשקט את כתובת ה-MAC של מכשיר, כדי להשתמש בה לזיהוי מכשירים בחלקים אחרים בתשתית הארגון (לדוגמה, כשמזוהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. ה-EMM יכול לאחזר בשקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף של ה-EMM.
5.15. ניהול מתקדם של מצב הנעילה
באמצעות מכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. לאפשר בחשאי לאפליקציה אחת להתקינות ולנעול למכשיר.
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש:
- לחצן דף הבית
- סקירה כללית
- פעולות גלובליות
- התראות
- פרטי המערכת / שורת הסטטוס
- מגן המסך (מסך הנעילה). תכונת המשנה הזו מופעלת כברירת מחדל כשמטמיעים את הקוד 5.15.1.
5.15.3. משביתים את האפשרות תיבות דו-שיח של שגיאת מערכת.
5.16. מדיניות מתקדמת בנושא עדכוני מערכת
אדמינים ב-IT יכולים להגדיר תקופת הקפאה ספציפית לחסימת עדכוני מערכת במכשיר.
5.16.1. במסוף ה-EMM צריך להיות אפשרות לאדמינים ב-IT לחסום עדכוני מערכת אוויריים (OTA) למשך תקופת הקפאה מסוימת.
5.17. ניהול השקיפות של מדיניות פרופיל העבודה
אדמיני IT יכולים להתאים אישית את ההודעה שתוצג למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.
5.17.1. מנהלי IT יכולים לספק טקסט מותאם אישית להצגה (מעבר אל wipeReasonMessage) כשפרופיל העבודה נמחק.
5.18. תמיכה באפליקציות מקושרות
אדמינים ב-IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות פרופיל העבודה באמצעות ההגדרה ConnectedWorkAndPersonalApp.
5.19. עדכון ידני של המערכת
Android Management API לא תומך בתכונה הזו.
6. הוצאה משימוש של 'ניהול מכשירים'
6.1. הוצאה משימוש של מנהל מכשירים
ספקי EMM נדרשים לפרסם תוכנית עד סוף שנת 2022 לתמיכת הלקוחות המסתיימת עבור ניהול מכשירים במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy לכל קישור חדש. ייתכן שמערכת EMM תספק אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או בטרמינולוגיה דומה. אסור לחשוף לקוחות חדשים לאפשרות לבחור באופן שרירותי בין סטאקים טכנולוגיים במהלך תהליכי ההצטרפות או ההגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy בכל ההרשמות של מכשירים חדשים, גם לקישורים קיימים וגם לקישורים חדשים. ייתכן שמערכת ניהול המכשירים (EMM) תספק אפשרות לנהל את המכשירים באמצעות DPC בהתאמה אישית באזור ההגדרות, בקטע 'מתקדם' או בתיאור דומה.