En esta página, se enumera el conjunto completo de funciones de Android Enterprise.
Si deseas administrar más de 500 dispositivos, tu solución de EMM debe admitir todas las funciones estándar () de al menos un conjunto de soluciones antes de que pueda estar disponible comercialmente. Las soluciones de EMM que superan la verificación de funciones estándar se enumeran en el Directorio de soluciones empresariales de Android como soluciones que ofrecen un conjunto de administración estándar.
Hay un conjunto adicional de funciones avanzadas disponibles para cada conjunto de soluciones. Estas funciones se indican en cada página del conjunto de soluciones: perfil de trabajo en dispositivo personal, perfil de trabajo en dispositivo de la empresa, dispositivo completamente administrado y dispositivo dedicado. Las soluciones de EMM que aprueban la verificación de funciones avanzadas se enumeran en el Directorio de soluciones empresariales de Android como un conjunto de administración avanzada.
Clave
| Función estándar de | Función avanzada de | función opcional | no aplicable |
1. Aprovisionamiento de dispositivos
1.1. Aprovisionamiento de perfiles de trabajo centrado en el DPC
Después de descargar la Política de dispositivos Android desde Google Play, los usuarios pueden aprovisionar un perfil de trabajo.
1.1.1. La EMM le proporciona a un administrador de TI un código QR o un código de activación para admitir este método de aprovisionamiento (ve a Inscribe y aprovisiona un dispositivo).
1.2. Aprovisionamiento de dispositivos con identificador de DPC
Si ingresas "afw#" en el asistente de configuración del dispositivo, se aprovisiona un dispositivo completamente administrado o dedicado.
1.2.1. El EMM proporciona a un administrador de TI un código QR o de activación para admitir este método de aprovisionamiento (consulta Cómo inscribir y aprovisionar un dispositivo).
1.3. Provisión de dispositivos NFC
Los administradores de TI pueden usar las etiquetas NFC para aprovisionar dispositivos nuevos o con la configuración de fábrica restablecida, según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de Play EMM.
1.3.1. Los EMM deben usar etiquetas NFC Forum Tipo 2 con al menos 888 bytes de memoria. El aprovisionamiento debe usar elementos de aprovisionamiento adicionales para pasar detalles de registro no sensibles, como los IDs de servidor y los IDs de inscripción a un dispositivo. Los detalles del registro no deben incluir información sensible, como contraseñas o certificados.
1.3.2. Recomendamos el uso de etiquetas NFC a partir de Android 10 debido a la baja de NFC Beam (también conocido como NFC Bump).
1.4. Aprovisionamiento de dispositivos con código QR
La consola de EMM puede generar un código QR que los administradores de TI pueden escanear para aprovisionar un dispositivo dedicado o completamente administrado, según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de Android Management.
1.4.1. El código QR debe usar extras de aprovisionamiento para pasar detalles de registro no sensibles (como IDs de servidor, IDs de inscripción) a un dispositivo. Los detalles de registro no deben incluir información sensible, como contraseñas o certificados.
1.5. Inscripción automática
Los administradores de TI pueden preconfigurar los dispositivos que se compraron a revendedores autorizados y administrarlos con la consola de EMM.
1.5.1. Los administradores de TI pueden aprovisionar dispositivos de la empresa con el método de inscripción automática, que se describe en Inscripción automática para administradores de TI.
1.5.2. Cuando se enciende un dispositivo por primera vez, se aplica automáticamente la configuración que definió el administrador de TI.
1.6. Aprovisionamiento avanzado de inscripción automática
Los administradores de TI pueden automatizar gran parte del proceso de inscripción de dispositivos con la inscripción automática. En combinación con las URLs de acceso, los administradores de TI pueden limitar la inscripción a cuentas o dominios específicos, según las opciones de configuración que ofrezca el EMM.
1.6.1. Los administradores de TI pueden aprovisionar un dispositivo de la empresa con el método de inscripción sin intervención.
1.6.2. Este requisito dejó de estar disponible.
1.6.3. Mediante la URL de acceso, el EMM debe asegurarse de que los usuarios no autorizados no puedan continuar con la activación. Como mínimo, la activación debe estar bloqueada para los usuarios de una empresa determinada.
1.6.4. Con la URL de acceso, la EMM debe permitir que los administradores de TI prepropaguen los detalles de registro (por ejemplo, los IDs del servidor o los IDs de inscripción) además de información de usuario o dispositivo único (por ejemplo, nombre de usuario/contraseña, token de activación) para que los usuarios no tengan que ingresar detalles cuando activen un dispositivo.
- Los EMM no deben incluir información sensible, como contraseñas o certificados, en la configuración de la inscripción sin contacto.
1.7. Aprovisionamiento del perfil de trabajo de la Cuenta de Google
En el caso de las empresas que usan un dominio de Google administrado, esta función guía a los usuarios a través de la configuración de un perfil de trabajo después de ingresar sus credenciales de Workspace corporativas durante la configuración del dispositivo o en un dispositivo que ya está activado. En ambos casos, la identidad corporativa de Workspace se migrará al perfil de trabajo.
1.8. Aprovisionamiento de dispositivos de la Cuenta de Google
La API de Android Management no admite esta función.
1.9. Configuración directa de inscripción automática
Los administradores de TI pueden usar la consola de EMM para configurar dispositivos de inscripción automática con el iframe de inscripción automática.
1.10. Perfiles de trabajo en dispositivos empresariales
Los EMM pueden inscribir dispositivos de la empresa que tienen un perfil de trabajo configurando AllowPersonalUsage.
1.10.1. Dejar en blanco de forma intencional
1.10.2. Los administradores de TI pueden establecer acciones de cumplimiento para los perfiles de trabajo en dispositivos de la empresa a través de PersonalUsagePolicies.
1.10.3. Los administradores de TI pueden desactivar la cámara en el perfil de trabajo o en todo el dispositivo a través de PersonalUsagePolicies.
1.10.4. Los administradores de TI pueden desactivar la captura de pantalla en el perfil de trabajo o en un dispositivo completo a través de PersonalUsagePolicies.
1.10.5. Los administradores de TI pueden establecer una lista de entidades permitidas o bloqueadas de aplicaciones que se pueden instalar o no en el perfil personal a través de PersonalApplicationPolicy.
1.10.6. Los administradores de TI pueden renunciar a la administración de un dispositivo empresarial. Para ello, deben quitar el perfil de trabajo o limpiar todo el dispositivo.
1.11. Aprovisionamiento de dispositivos exclusivos
Las EMM pueden inscribir dispositivos dedicados sin que se le solicite al usuario que se autentique con una Cuenta de Google.
2. Seguridad del dispositivo
2.1. Desafío de seguridad del dispositivo
Los administradores de TI pueden establecer y aplicar un desafío de seguridad del dispositivo (PIN, patrón o contraseña) a partir de una selección predefinida de 3 niveles de complejidad en los dispositivos administrados.
2.1.1. La política debe aplicar la configuración que administra los desafíos de seguridad del dispositivo (parentProfilePasswordRequirements para el perfil de trabajo, passwordRequirements para dispositivos dedicados y completamente administrados).
2.1.2. La complejidad de la contraseña debe asignarse a las siguientes complejidades:
- PASSWORD_COMPLEXITY_LOW: Patrón o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sin secuencias repetidas (4444) o ordenadas (1234, 4321, 2468), contraseña alfabética o alfanumérica con una longitud mínima de 4
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8, o bien contraseñas alfabéticas o alfanuméricas con una longitud de al menos 6
2.1.3. También se pueden aplicar restricciones adicionales de contraseñas como parámetros de configuración heredados en los dispositivos empresariales.
2.2. Desafío de seguridad de trabajo
Los administradores de TI pueden establecer y aplicar de manera forzosa un desafío de seguridad para apps y datos en el perfil de trabajo que es independiente y tiene requisitos diferentes a los del desafío de seguridad del dispositivo (2.1.).
2.2.1. La política debe aplicar el desafío de seguridad para el perfil de trabajo.
- De forma predeterminada, los administradores de TI deben establecer restricciones solo para el perfil de trabajo si no se especifica ningún permiso.
- Los administradores de TI pueden configurar esta opción en todo el dispositivo si especifican el alcance (consulta el requisito 2.1).
2.2.2. La complejidad de la contraseña debe asignarse a las siguientes complejidades predefinidas:
- PASSWORD_COMPLEXITY_LOW: Patrón o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sin secuencias repetidas (4444) o ordenadas (1234, 4321, 2468), contraseña alfabética o alfanumérica con una longitud mínima de 4
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8, o bien contraseñas alfabéticas o alfanuméricas con una longitud de al menos 6
2.2.3. También se pueden aplicar restricciones de contraseña adicionales como configuración heredada.
2.3. Administración avanzada de contraseñas
Los administradores de TI pueden configurar la configuración avanzada de contraseñas en los dispositivos.
2.3.1. Deliberadamente en blanco.
2.3.2. Se dejó en blanco de forma deliberada.
2.3.3. Se puede establecer la siguiente configuración del ciclo de vida de las contraseñas para cada pantalla de bloqueo disponible en un dispositivo:
- En blanco a propósito
- En blanco de forma deliberada
- Cantidad máxima de contraseñas fallidas para la limpieza: Especifica la cantidad de veces que los usuarios pueden ingresar una contraseña incorrecta antes de que se limpien los datos corporativos del dispositivo. Los administradores de TI deben poder desactivar esta función.
2.3.4. Tiempo de espera obligatorio de autenticación segura (Android 8.0 y versiones posteriores): Se debe ingresar una contraseña de autenticación segura (como un PIN o una contraseña) después de un período de tiempo de espera establecido por un administrador de TI. Después del período de tiempo de espera, los métodos de autenticación que no son sólidos (como la huella dactilar o el desbloqueo facial) se desactivan hasta que se desbloquea el dispositivo con una contraseña de autenticación sólida.
2.4. Administración de Smart Lock
Los administradores de TI pueden administrar si los agentes de confianza de la función Smart Lock de Android pueden extender el desbloqueo del dispositivo hasta por cuatro horas.
2.4.1. Los administradores de TI pueden inhabilitar los agentes de confianza en el dispositivo.
2.5. Borrar y trabar
Los administradores de TI pueden usar la consola de EMM para bloquear y limpiar de forma remota los datos laborales de un dispositivo administrado.
2.5.1. Los dispositivos deben bloquearse con la API de Android Management.
2.5.2. Los dispositivos se deben limpiar con la API de Android Management.
2.6. Aplicación de cumplimiento
Si un dispositivo no cumple con las políticas de seguridad, las reglas de cumplimiento que implementa la API de Android Management restringen automáticamente el uso de los datos de trabajo.
2.6.1. Como mínimo, las políticas de seguridad que se aplican en un dispositivo deben incluir la política de contraseñas.
2.7. Políticas de seguridad predeterminadas
Los EMM deben aplicar las políticas de seguridad especificadas en los dispositivos de forma predeterminada, sin que los administradores de TI deban configurar o personalizar ningún parámetro de configuración en la consola del EMM. Se recomienda (pero no es obligatorio) que los EMM no permitan que los administradores de TI cambien el estado predeterminado de estas funciones de seguridad.
2.7.1. Debes bloquear la instalación de apps de fuentes desconocidas, incluidas las instaladas en la versión personal de cualquier dispositivo con Android 8.0 o versiones posteriores con un perfil de trabajo. Esta subfunción es compatible de forma predeterminada.
2.7.2. Las funciones de depuración deben estar bloqueadas. Esta subfunción se admite de forma predeterminada.
2.8. Políticas de seguridad para dispositivos dedicados
No se permiten otras acciones en un dispositivo dedicado bloqueado.
2.8.1. El inicio en modo seguro debe estar desactivado de forma predeterminada con la política (ve a safeBootDisabled).
2.9. Asistencia de Play Integrity
Las verificaciones de Play Integrity se realizan de forma predeterminada. No se requiere ninguna implementación adicional.
2.9.1. Se dejó en blanco de forma intencional.
2.9.2. Se dejó en blanco de forma intencional.
2.9.3. Los administradores de TI pueden configurar diferentes respuestas de políticas según el valor de SecurityRisk del dispositivo, lo que incluye bloquear el aprovisionamiento, borrar los datos corporativos y permitir que se realice la inscripción.
- El servicio de EMM aplicará esta respuesta de política para el resultado de cada verificación de integridad.
2.9.4. Se dejó en blanco de forma deliberada.
2.10. Aplicación forzosa de la función Verificar aplicaciones
Los administradores de TI pueden activar Verificar apps en los dispositivos. Verificar aplicaciones analiza las apps instaladas en los dispositivos Android en busca de software dañino antes y después de su instalación, lo que ayuda a garantizar que las apps maliciosas no puedan poner en riesgo los datos corporativos.
2.10.1. Verifica que las apps deban estar activadas de forma predeterminada con la política (ve a ensureVerifyAppsEnabled).
2.11. Compatibilidad con el inicio directo
La API de Android Management admite esta función de forma predeterminada. No se requiere ninguna implementación adicional.
2.12. Administración de la seguridad de hardware
Los administradores de TI pueden bloquear los elementos de hardware de un dispositivo de la empresa para garantizar la prevención de la pérdida de datos.
2.12.1. Los administradores de TI pueden bloquear a los usuarios para que no activen medios externos físicos con una política (ve a mountPhysicalMediaDisabled).
2.12.2. Los administradores de TI pueden bloquear a los usuarios para que no compartan datos desde sus dispositivos con NFC Beam mediante una política (ve a outgoingBeamDisabled). Esta subfunción es opcional, ya que la función NFC Beam ya no es compatible con Android 10 y versiones posteriores.
2.12.3. Los administradores de TI pueden bloquear a los usuarios para que no transfieran archivos por USB con una política (ve a usbFileTransferDisabled).
2.13. Registro de seguridad empresarial
La API de Android Management no admite esta función.
3. Administración de cuentas y apps
3.1. Vinculación empresarial
Los administradores de TI pueden vincular la EMM a su organización, lo que permite que la EMM use Google Play administrado para distribuir apps a los dispositivos.
3.1.1. Un administrador con un Managed Google Domains existente puede vincular su dominio a la EMM.
3.1.2. Deliberadamente en blanco.
3.1.3. Se dejó en blanco de forma deliberada.
3.1.4. La consola de EMM guía al administrador para que ingrese su dirección de correo electrónico laboral en el flujo de registro de Android y lo desaconseja usar una cuenta de Gmail.
3.1.5. La EMM completa previamente la dirección de correo electrónico del administrador en el flujo de registro de Android.
3.2. Aprovisionamiento de cuentas de Google Play administrado
El EMM puede aprovisionar cuentas de usuario empresariales de forma silenciosa, llamadas cuentas de Google Play administradas. Estas cuentas identifican a los usuarios administrados y permiten reglas de distribución de apps únicas por usuario.
3.2.1. Las cuentas de Google Play administrado (cuentas de usuario) se crean automáticamente cuando se aprovisionan los dispositivos.
La API de Android Management admite esta función de forma predeterminada. No se requiere ninguna implementación adicional.
3.3. Aprovisionamiento de cuentas de dispositivos de Google Play administrado
El EMM puede crear y aprovisionar cuentas de dispositivos de Google Play administradas. Las cuentas de dispositivo admiten la instalación silenciosa de apps desde Google Play Store administrado y no están vinculadas a un solo usuario. En su lugar, se usa una cuenta de dispositivo para identificar un solo dispositivo que admita reglas de distribución de apps por dispositivo en situaciones de dispositivos dedicados.
3.3.1. Las cuentas de Google Play administrado se crean automáticamente cuando se aprovisionan los dispositivos.
La API de Android Management admite esta función de forma predeterminada. No se requiere ninguna implementación adicional.
3.4. Aprovisionamiento de cuentas de Google Play administradas para dispositivos heredados
Esta función dejó de estar disponible.
3.5. Distribución de apps silenciosa
Los administradores de TI pueden distribuir apps de trabajo en segundo plano en los dispositivos sin interacción del usuario.
3.5.1. La consola de EMM debe usar la API de Android Management para permitir que los administradores de TI instalen apps de trabajo en dispositivos administrados.
3.5.2. La consola de EMM debe usar la API de Android Management para permitir que los administradores de TI actualicen las apps de trabajo en los dispositivos administrados.
3.5.3. La consola de EMM debe usar la API de Android Management para permitir que los administradores de TI desinstalen apps en dispositivos administrados.
3.6. Administración de configuraciones administradas
Los administradores de TI pueden ver y establecer de manera silenciosa la configuración administrada de cualquier app que admita estas configuraciones.
3.6.1. La consola del EMM debe poder recuperar y mostrar la configuración administrada de cualquier app de Play.
3.6.2. La consola de la EMM debe permitir que los administradores de TI establezcan cualquier tipo de configuración (como lo define el framework de Android Enterprise) para cualquier app de Play que use la API de Android Management.
3.6.3. La consola del EMM debe permitir que los administradores de TI establezcan comodines (como $username$ o %emailAddress%) para que se pueda aplicar una sola configuración de una app como Gmail a varios usuarios.
3.7. Administración del catálogo de apps
La API de Android Management admite esta función de forma predeterminada. No se requiere ninguna implementación adicional.
3.8. Aprobación programática de apps
La consola de EMM usa el iframe de Google Play administrado para admitir las capacidades de descubrimiento y aprobación de apps de Google Play. Los administradores de TI pueden buscar apps, aprobarlas y aprobar permisos nuevos sin salir de la consola del EMM.
3.8.1. Los administradores de TI pueden buscar apps y aprobarlas en la consola de EMM con el iframe de Google Play administrado.
3.9. Administración básica del diseño de la tienda
La app administrada de Google Play Store se puede usar para instalar y actualizar apps de trabajo. De forma predeterminada, Google Play Store administrado muestra las apps aprobadas para un usuario en una sola lista. Este diseño se conoce como diseño básico de la tienda.
3.9.1. La consola de EMM debe permitir que los administradores de TI administren las apps visibles en el diseño básico de la tienda de un usuario final.
3.10. Configuración avanzada del diseño de la tienda
3.10.1. Los administradores de TI pueden personalizar el diseño de la tienda que se ven en la app administrada de Google Play Store.
3.11. Administración de licencias de apps
Esta función dejó de estar disponible.
3.12. Administración de apps privadas alojadas por Google
Los administradores de TI pueden actualizar las apps privadas alojadas en Google mediante la consola de EMM, en lugar de Google Play Console.
3.12.1. Los administradores de TI pueden subir versiones nuevas de apps que ya se publicaron de forma privada a la empresa con las siguientes opciones:
3.13. Administración de apps privadas alojadas
Los administradores de TI pueden configurar y publicar apps privadas alojadas por el usuario. A diferencia de las apps privadas alojadas por Google, Google Play no aloja los APKs. En cambio, el EMM ayuda a los administradores de TI a alojar los APK por su cuenta y a proteger las apps alojadas por sí mismas, ya que garantiza que solo se puedan instalar cuando Google Play administrado lo autorice.
3.13.1. La consola del EMM debe ayudar a los administradores de TI a alojar el APK de la app, ya que ofrece las siguientes opciones:
- Aloja el APK en el servidor del EMM. El servidor puede ser local o basado en la nube.
- Aloja el APK fuera del servidor de EMM, a discreción de la empresa. El administrador de TI debe especificar en la consola de EMM dónde se aloja el APK.
3.13.2. La consola de EMM debe generar un archivo de definición de APK apropiado con el APK proporcionado y guiar a los administradores de TI a través del proceso de publicación.
3.13.3. Los administradores de TI pueden actualizar las apps privadas alojadas por sí mismas, y la consola del EMM puede publicar en silencio los archivos de definición de APK actualizados con la API de Google Play Developer Publishing.
3.13.4. El servidor del EMM entrega solicitudes de descarga para el APK alojado en sí mismo que contiene un JWT válido dentro de la cookie de la solicitud, como lo verifica la clave pública de la app privada.
- Para facilitar este proceso, el servidor de EMM debe guiar a los administradores de TI para que descarguen la clave pública de la licencia de la aplicación autoalojada desde Play Google Play Console y la suban a la consola de EMM.
3.14. Notificaciones de extracción de EMM
Esta función no se aplica a la API de Android Management. Configura las notificaciones de Pub/Sub en su lugar.
3.15. Requisitos de uso de la API
El EMM implementa las APIs de administración de Android a gran escala, lo que evita patrones de tráfico que podrían afectar negativamente la capacidad de las empresas para administrar apps en entornos de producción.
3.15.1. La EMM debe cumplir con los límites de uso de la API de Android Management. Si no se corrigen los comportamientos que excedan estos lineamientos, Google podría suspender el uso de la API, a su discreción.
3.15.2. El EMM debe distribuir el tráfico de diferentes empresas a lo largo del día, en lugar de consolidar el tráfico empresarial en momentos específicos o similares. El comportamiento que se ajuste a este patrón de tráfico, como las operaciones por lotes programadas para cada dispositivo inscrito, puede provocar la suspensión del uso de la API, a discreción de Google.
3.15.3. El EMM no debe realizar solicitudes coherentes, incompletas o deliberadamente incorrectas que no intenten recuperar ni administrar datos empresariales reales. El comportamiento que se ajuste a este patrón de tráfico puede provocar la suspensión del uso de la API, a discreción de Google.
3.16. Administración avanzada de la configuración administrada
La EMM admite las siguientes funciones avanzadas de administración de configuración administrada:
3.16.1. La consola de EMM debe poder recuperar y mostrar los hasta cuatro niveles de parámetros de configuración administrados anidados de cualquier app de Play con lo siguiente:
- El iframe de Google Play administrado
- una IU personalizada.
3.16.2. La consola de EMM debe poder recuperar y mostrar cualquier comentario que muestre un canal de comentarios de la app cuando lo configure un administrador de TI.
- La consola de la AEE debe permitir que los administradores de TI asocien un elemento de comentarios específico con el dispositivo y la app de los que se originó.
- La consola de la AEE debe permitir que los administradores de TI se suscriban a alertas o informes de tipos de mensajes específicos (como mensajes de error).
3.16.3. La consola de la AEE solo debe enviar valores que tengan un valor predeterminado o que el administrador configure de forma manual con lo siguiente:
- El iframe de configuraciones administradas
- Una IU personalizada
3.17. Administración de apps web
Los administradores de TI pueden crear y distribuir aplicaciones web en la consola de EMM.
3.17.1. La consola de EMM permite a los administradores de TI distribuir accesos directos a aplicaciones web mediante lo siguiente:
3.18. Administración del ciclo de vida de las cuentas de Google Play administrado
El EMM puede crear, actualizar y borrar cuentas de Google Play administradas en nombre de los administradores de TI, y recuperar automáticamente el vencimiento de la cuenta.
Esta función es compatible de forma predeterminada. No se requiere ninguna implementación adicional de EMM.
3.19. Administración de segmentos de aplicaciones
3.19.1. Los administradores de TI pueden obtener una lista de los IDs de segmento que estableció un desarrollador para una app en particular.
3.19.2. Los administradores de TI pueden configurar dispositivos para que usen un segmento de desarrollo en particular para una aplicación.
3.20. Administración avanzada de actualizaciones de aplicaciones
Los administradores de TI pueden permitir que las apps se actualicen de inmediato o posponerlas durante 90 días.
3.20.1. Los administradores de TI pueden permitir que las apps usen actualizaciones de alta prioridad para que se actualicen cuando haya una disponible. 3.20.2. Los administradores de TI pueden permitir que las actualizaciones de las apps se pospongan durante 90 días.
3.21. Administración de métodos de aprovisionamiento
El EMM puede generar configuraciones de aprovisionamiento y presentarlas al administrador de TI en un formulario listo para su distribución a los usuarios finales (como un código QR, una configuración de inscripción automática o una URL de Play Store).
4. Administración de dispositivos
4.1. Administración de políticas de permisos de tiempo de ejecución
Los administradores de TI pueden establecer de manera silenciosa una respuesta predeterminada a las solicitudes de permisos de tiempo de ejecución que realizan las apps de trabajo.
4.1.1. Los administradores de TI deben poder elegir entre las siguientes opciones cuando configuren una política de permisos de tiempo de ejecución predeterminada para su organización:
- instrucción (permite que los usuarios elijan)
- allow
- deny
El EMM debe aplicar esta configuración mediante una política.
4.2. Administración del estado de otorgamiento de permisos de tiempo de ejecución
Después de configurar una política de permisos de tiempo de ejecución predeterminada (ve a la versión 4.1), Los administradores de TI pueden configurar respuestas de forma silenciosa para permisos específicos desde cualquier app de trabajo compilada en el nivel de API 23 o versiones posteriores.
4.2.1. Los administradores de TI deben poder establecer el estado de concesión (predeterminado, otorgar o rechazar) de cualquier permiso solicitado por cualquier app de trabajo compilada a partir del nivel de API 23 o superior. El EMM debe aplicar esta configuración con una política.
4.3. Administración de la configuración de Wi-Fi
Los administradores de TI pueden aprovisionar de forma silenciosa parámetros de configuración de Wi-Fi empresarial en dispositivos administrados, incluidos los siguientes:
4.3.1. SSID, con la política
4.3.2. Contraseña, con policy.
4.4. Administración de seguridad de Wi-Fi
Los administradores de TI pueden aprovisionar parámetros de configuración de Wi-Fi empresariales en dispositivos que incluyen las siguientes funciones de seguridad avanzada:
4.4.1. Identidad
4.4.2. Certificados para la autorización del cliente
4.4.3. Certificados de CA
4.5. Administración avanzada de Wi-Fi
Los administradores de TI pueden bloquear la configuración de Wi-Fi en los dispositivos administrados para evitar que los usuarios creen configuraciones o modifiquen las configuraciones corporativas.
4.5.1. Los administradores de TI pueden bloquear la configuración de Wi-Fi empresarial con una política en cualquiera de las siguientes configuraciones:
- Los usuarios no pueden modificar ninguna configuración de Wi-Fi aprovisionada por el EMM (ve a
wifiConfigsLockdownEnabled), pero pueden agregar y modificar sus propias redes configurables por el usuario (por ejemplo, redes personales). - Los usuarios no pueden agregar ni modificar ninguna red Wi-Fi en el dispositivo (ve a
wifiConfigDisabled), lo que limita la conectividad Wi-Fi solo a aquellas redes aprovisionadas por el EMM.
4.6. Administración de la cuenta
Los administradores de TI pueden garantizar que solo las cuentas corporativas autorizadas puedan interactuar con los datos corporativos, para servicios como el almacenamiento de SaaS, las apps de productividad o el correo electrónico. Sin esta función, los usuarios pueden agregar cuentas personales a aquellas apps corporativas que también admiten cuentas de consumidor, lo que les permite compartir datos corporativos con esas cuentas personales.
4.6.1. Los administradores de TI pueden evitar que los usuarios agreguen o modifiquen
cuentas
(consulta modifyAccountsDisabled).
- Cuando se aplica esta política en un dispositivo, los EMM deben establecer esta restricción antes de que se complete el aprovisionamiento para garantizar que los usuarios no puedan eludir esta política agregando cuentas antes de que se implemente la política.
4.7. Administración de cuentas de Workspace
La API de Android Management no admite esta función.
4.8. Administración de certificados
Permite que los administradores de TI implementen certificados de identidad y autoridades certificadoras en los dispositivos para permitir el uso de recursos corporativos.
4.8.1. Los administradores de TI pueden instalar certificados de identidad del usuario que genera su PKI por usuario. La consola de la AUA debe integrarse con al menos una PKI y distribuir los certificados generados a partir de esa infraestructura.
4.8.2. Los administradores de TI pueden instalar autoridades certificadoras (consulta caCerts) en el almacén de claves administrado. Sin embargo, esta subfunción no es compatible.
4.9. Administración avanzada de certificados
Permite que los administradores de TI seleccionen de manera silenciosa los certificados que deben usar las apps administradas específicas. Esta función también otorga a los administradores de TI la capacidad de quitar las AC y los certificados de identidad de los dispositivos activos y evitar que los usuarios modifiquen las credenciales almacenadas en el almacén de claves administrado.
4.9.1. Para cualquier app distribuida a dispositivos, los administradores de TI pueden especificar un certificado al que se le otorgará acceso de manera silenciosa a la app durante el tiempo de ejecución. (Esta subfunción no es compatible)
- La selección de certificados debe ser lo suficientemente genérica como para permitir una única configuración que se aplique a todos los usuarios, cada uno de los cuales puede tener un certificado de identidad específico del usuario.
4.9.2. Los administradores de TI pueden quitar certificados de forma silenciosa del almacén de claves administrado.
4.9.3. Los administradores de TI pueden desinstalar sin aviso un certificado de la AC. (Esta subfunción no es compatible)
4.9.4. Los administradores de TI pueden evitar que los usuarios configuren credenciales (ve a credentialsConfigDisabled) en el almacén de claves administrado.
4.9.5. Los administradores de TI pueden otorgar certificados para apps de trabajo de forma previa con ChoosePrivateKeyRule.
4.10. Administración de certificados delegada
Los administradores de TI pueden distribuir una app de administración de certificados de terceros a los dispositivos y otorgar a esa app acceso con privilegios para instalar certificados en el almacén de claves administrado.
4.10.1. Los administradores de TI pueden especificar un paquete de administración de certificados (ve a delegatedCertInstallerPackage) para establecerlo como la app de administración de certificados delegada.
- De manera opcional, los EMM pueden sugerir paquetes de administración de certificados conocidos, pero deben permitir que el administrador de TI elija entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.11. Administración avanzada de VPN
Permite que los administradores de TI especifiquen una VPN siempre activa para garantizar que los datos de las apps administradas especificadas siempre pasen por una configuración de la VPN.
4.11.1. Los administradores de TI pueden especificar un paquete de VPN arbitrario para que se configure como VPN siempre activada.
- De manera opcional, la consola del EMM puede sugerir paquetes de VPN conocidos que admitan la VPN siempre activa, pero no puede restringir las VPN disponibles para la configuración de la VPN siempre activa a ninguna lista arbitraria.
4.11.2. Los administradores de TI pueden usar configuraciones administradas para especificar la configuración de VPN de una app.
4.12. Administración de IME
Los administradores de TI pueden administrar qué métodos de entrada (IME) se pueden configurar para los dispositivos. Dado que el IME se comparte entre los perfiles de trabajo y personales, bloquear el uso de los IME impedirá que los usuarios también permitan esos IME para uso personal. Sin embargo, los administradores de TI no pueden bloquear el uso de los IME del sistema en los perfiles de trabajo (consulta la administración avanzada de IME para obtener más información).
4.12.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME (ve a permitted_input_methods) de longitud arbitraria (incluida una lista vacía, que bloquea los IME que no son del sistema) que puede contener cualquier paquete de IME arbitrario.
- De manera opcional, la consola de EMM puede sugerir IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.12.2. El EMM debe informar a los administradores de TI que los IME del sistema se excluyen de la administración en dispositivos con perfiles de trabajo.
4.13. Administración avanzada del IME
Los administradores de TI pueden administrar qué métodos de entrada (IME) pueden configurar los usuarios en un dispositivo. La administración avanzada de IME extiende la función básica, ya que permite a los administradores de TI administrar también el uso de los IME del sistema, que suelen proporcionar el fabricante o el operador del dispositivo.
4.13.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME (ve a permitted_input_methods) de longitud arbitraria (sin incluir una lista vacía, que bloquea todos los IME, incluidos los del sistema), que puede contener cualquier paquete de IME arbitrario.
- De manera opcional, la consola del EMM puede sugerir IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.13.2. La AUA debe impedir que los administradores de TI configuren una lista de entidades permitidas vacía, ya que esta configuración bloqueará todos los IME, incluidos los del sistema, para que no se configuren en el dispositivo.
4.13.3. EMM debe asegurarse de que, si una lista de entidades permitidas de IME no contiene IME del sistema, los IME de terceros se instalan de manera silenciosa antes de que se aplique la lista de entidades permitidas en el dispositivo.
4.14. Administración de servicios de accesibilidad
Los administradores de TI pueden administrar los servicios de accesibilidad que los usuarios pueden permitir en los dispositivos. Los servicios de accesibilidad son herramientas eficaces para los usuarios con discapacidades o que no pueden interactuar por completo con un dispositivo temporalmente. Sin embargo, es posible que interactúen con los datos corporativos de maneras que no cumplan con la política corporativa. Esta función permite que los administradores de TI desactiven cualquier servicio de accesibilidad que no sea del sistema.
4.14.1. Los administradores de TI pueden configurar una lista de entidades permitidas de servicios de accesibilidad (ve a permittedAccessibilityServices) de longitud arbitraria (incluida una lista vacía, que bloquea los servicios de accesibilidad que no son del sistema), que puede contener cualquier paquete de servicios de accesibilidad arbitrarios. Cuando se aplica a un perfil de trabajo, esto afecta tanto al perfil personal como al de trabajo.
- De manera opcional, Console puede sugerir servicios de accesibilidad conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que el administrador de TI elija entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.15. Administración de Compartir ubicación
Los administradores de TI pueden impedir que los usuarios compartan datos de ubicación con apps en el perfil de trabajo. De lo contrario, la configuración de la ubicación en el perfil de trabajo se puede ajustar en Configuración.
4.15.1. Los administradores de TI pueden inhabilitar los servicios de ubicación (ve a shareLocationDisabled) dentro del perfil de trabajo.
4.16. Administración avanzada de Compartir ubicación
Los administradores de TI pueden aplicar una configuración determinada de Compartir ubicación en un dispositivo administrado. Esta función puede garantizar que las apps corporativas siempre tengan datos de ubicación de alta precisión. Esta función también puede garantizar que no se consuma batería adicional, ya que restringe la configuración de ubicación al modo de ahorro de batería.
4.16.1. Los administradores de TI pueden configurar los servicios de ubicación del dispositivo en cada uno de los siguientes modos:
- Precisión alta.
- Solo sensores, por ejemplo, GPS, pero sin incluir la ubicación proporcionada por la red
- Ahorro de batería, que limita la frecuencia de actualización.
- Desactivado
4.17. Administración de la protección contra el restablecimiento de la configuración de fábrica
Permite que los administradores de TI protejan los dispositivos de la empresa contra el robo, ya que garantiza que los usuarios no autorizados no puedan restablecer la configuración de fábrica de los dispositivos. Si la protección contra el restablecimiento de la configuración de fábrica introduce complejidades operativas cuando se devuelven los dispositivos a TI, los administradores de TI pueden desactivarla por completo.
4.17.1. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de fábrica (ve a factoryResetDisabled) de su dispositivo desde la Configuración.
4.17.2. Los administradores de TI pueden especificar las cuentas de desbloqueo corporativas autorizadas para aprovisionar dispositivos (ve a frpAdminEmails) después de restablecer la configuración de fábrica.
- Esta cuenta se puede vincular a una persona o puede ser usada por toda la empresa para desbloquear dispositivos.
4.17.3. Los administradores de TI pueden inhabilitar la protección contra el restablecimiento de la configuración de fábrica (ve a factoryResetDisabled 0) en dispositivos específicos.
4.17.4. Los administradores de TI pueden iniciar una limpieza remota del dispositivo que, de manera opcional, borra los datos de protección contra el restablecimiento, lo que quita la protección contra el restablecimiento de la configuración de fábrica del dispositivo restablecido.
4.18. Control avanzado de apps
Los administradores de TI pueden evitar que el usuario desinstale o modifique las apps administradas a través de Configuración. Por ejemplo, evitar que se cierre la app de forma forzosa o que se borre la caché de datos de una app.
4.18.1. Los administradores de TI pueden bloquear la desinstalación de cualquier app administrada de forma arbitraria o de todas las apps administradas (ve a uninstallAppsDisabled).
4.18.2. Los administradores de TI pueden impedir que los usuarios modifiquen los datos de la aplicación desde la Configuración. (La API de Android Management no admite esta función secundaria)
4.19. Administración de capturas de pantalla
Los administradores de TI pueden impedir que los usuarios tomen capturas de pantalla cuando usan apps administradas. Este parámetro de configuración incluye el bloqueo de apps de uso compartido de pantalla y apps similares (como Asistente de Google) que usan las funciones de captura de pantalla del sistema.
4.19.1. Los administradores de TI pueden evitar que los usuarios tomen capturas de pantalla (ve a screenCaptureDisabled).
4.20. Desactivar cámaras
Los administradores de TI pueden desactivar el uso de cámaras del dispositivo por parte de apps administradas.
4.20.1. Los administradores de TI pueden inhabilitar el uso de las cámaras de los dispositivos (ve a cameraDisabled) a través de apps administradas.
4.21. Recopilación de estadísticas de red
La API de Android Management no admite esta función.
4.22. Recopilación avanzada de estadísticas de red
La API de Android Management no admite esta función.
4.23. Reiniciar el dispositivo
Los administradores de TI pueden reiniciar de forma remota los dispositivos administrados.
4.23.1. Los administradores de TI pueden reiniciar de forma remota un dispositivo administrado.
4.24. Administración de radio del sistema
Proporciona a los administradores de TI una administración detallada de las radios de red del sistema y las políticas de uso asociado mediante el uso de políticas.
4.24.1. Los administradores de TI pueden desactivar las transmisiones celulares que envían los proveedores de servicios (ve a cellBroadcastsConfigDisabled).
4.24.2. Los administradores de TI pueden impedir que los usuarios modifiquen la configuración de la red móvil en Configuración (ve a mobileNetworksConfigDisabled).
4.24.3. Los administradores de TI pueden impedir que los usuarios restablezcan toda la configuración de red en Configuración. (ve a networkResetDisabled).
4.24.4. Los administradores de TI pueden configurar si el dispositivo permite los datos móviles durante el roaming (ve a dataRoamingDisabled).
4.24.5. Los administradores de TI pueden configurar si el dispositivo puede realizar llamadas telefónicas salientes, excepto llamadas de emergencia (ve a outGoingCallsDisabled).
4.24.6. Los administradores de TI pueden configurar si el dispositivo puede enviar y recibir mensajes de texto (ve a smsDisabled).
4.24.7. Los administradores de TI pueden evitar que los usuarios usen su dispositivo como hotspot portátil mediante la conexión compartida (ve a tetheringConfigDisabled).
4.24.8. Los administradores de TI pueden establecer el tiempo de espera de Wi-Fi como predeterminado, mientras está conectado o nunca. (La API de Android Management no admite esta subfunción)
4.24.9. Los administradores de TI pueden impedir que los usuarios configuren o modifiquen las conexiones Bluetooth existentes (ve a bluetoothConfigDisabled).
4.25. Administración de audio del sistema
Los administradores de TI pueden controlar de forma silenciosa las funciones de audio del dispositivo, lo que incluye silenciarlo, evitar que los usuarios modifiquen la configuración de volumen y evitar que los usuarios desactiven el micrófono del dispositivo.
4.25.1. Los administradores de TI pueden silenciar los dispositivos administrados silenciosamente. (La API de Android Management no admite esta subfunción)
4.25.2. Los administradores de TI pueden impedir que los usuarios modifiquen la configuración de volumen del dispositivo (ve a adjustVolumeDisabled). Esto también silencia los dispositivos.
4.25.3. Los administradores de TI pueden impedir que los usuarios desactiven el micrófono del dispositivo (ve a unmuteMicrophoneDisabled).
4.26. Administración del reloj del sistema
Los administradores de TI pueden gestionar la configuración de la zona horaria y el reloj del dispositivo, así como impedir que los usuarios modifiquen la configuración automática de los dispositivos.
4.26.1. Los administradores de TI pueden aplicar la hora y zona horaria automáticas del sistema, lo que evita que el usuario configure la fecha, la hora y la zona horaria del dispositivo.
4.27. Funciones avanzadas de dispositivos dedicados
En el caso de los dispositivos dedicados, los administradores de TI pueden administrar las siguientes funciones mediante una política para admitir varios casos de uso de kiosco.
4.27.1. Los administradores de TI pueden desactivar el protector de pantalla del dispositivo (ve a keyguardDisabled).
4.27.2. Los administradores de TI pueden desactivar la barra de estado del dispositivo, bloquear las notificaciones y la Configuración rápida (ve a statusBarDisabled).
4.27.3. Los administradores de TI pueden forzar la pantalla del dispositivo para que permanezca encendida mientras el dispositivo está enchufado (ve a stayOnPluggedModes).
4.27.4. Los administradores de TI pueden evitar que se muestren las siguientes IU del sistema (ve a createWindowsDisabled):
- Avisos
- Superposiciones de aplicaciones
4.27.5. Los administradores de TI pueden permitir que la recomendación del sistema para las apps omita el tutorial para el usuario y otras sugerencias introductorias en el primer inicio (ve a skip_first_use_hints).
4.28. Administración de permisos delegados
Los administradores de TI pueden delegar privilegios adicionales a paquetes individuales.
4.28.1. Los administradores de TI pueden administrar los siguientes alcances:
- Instalación y administración de certificados
- En blanco a propósito
- Registro de red
- Registro de seguridad (no se admite para el perfil de trabajo en dispositivos de propiedad personal)
4.29. Compatibilidad con el ID específico de inscripción
A partir de Android 12, los perfiles de trabajo ya no tendrán acceso a los identificadores específicos de hardware. Los administradores de TI pueden seguir el ciclo de vida de un dispositivo con un perfil de trabajo a través del ID específico de inscripción, que persistirá en los restablecimientos de la configuración de fábrica.
4.29.1. Los administradores de TI pueden obtener un ID específico de inscripción
4.29.2. Este ID específico de la inscripción debe conservarse durante el restablecimiento de la configuración de fábrica
5. Usabilidad del dispositivo
5.1. Personalización del aprovisionamiento administrado
Los administradores de TI pueden modificar la UX del flujo de configuración predeterminada para incluir funciones específicas de la empresa. De manera opcional, los administradores de TI pueden mostrar el desarrollo de la marca proporcionado por la EMM durante el aprovisionamiento.
5.1.1. Los administradores de TI pueden personalizar el proceso de aprovisionamiento especificando las Condiciones del Servicio y otras renuncias de responsabilidad específicas de la empresa (ve a termsAndConditions).
5.1.2. Los administradores de TI pueden implementar las Condiciones del Servicio específicas de la AUA y otras renuncias de responsabilidad que no se pueden configurar (ve a termsAndConditions).
- Los EMM pueden establecer su personalización específica del EMM no configurable como la predeterminada para las implementaciones, pero deben permitir que los administradores de TI configuren su propia personalización.
5.1.3. primaryColor dejó de estar disponible para los recursos empresariales en Android 10 y versiones posteriores.
5.2. Personalización empresarial
La API de Android Management no admite esta función.
5.3. Personalización empresarial avanzada
La API de Android Management no admite esta función.
5.4. Mensajes en pantalla bloqueada
Los administradores de TI pueden establecer un mensaje personalizado que siempre se muestra en la pantalla de bloqueo del dispositivo y que no requiere que se desbloquee el dispositivo para verlo.
5.4.1. Los administradores de TI pueden establecer un mensaje personalizado en la pantalla de bloqueo (ve a deviceOwnerLockScreenInfo).
5.5. Administración de transparencia de las políticas
Los administradores de TI pueden personalizar el texto de ayuda que se proporciona a los usuarios cuando intentan modificar la configuración administrada en su dispositivo o implementar un mensaje de asistencia genérico proporcionado por el EMM. Se pueden personalizar los mensajes de asistencia cortos y largos, y se muestran en casos como cuando se intenta desinstalar una app administrada para la que un administrador de TI ya bloqueó la desinstalación.
5.5.1. Los administradores de TI pueden personalizar los mensajes de asistencia dirigidos al usuario, tanto cortos como largos.
5.5.2. Los administradores de TI pueden implementar mensajes de asistencia breves y largos, no configurables y específicos de EMM (ve a shortSupportMessage y longSupportMessage en policies).
- La EMM puede establecer sus mensajes de asistencia específicos no configurables como los predeterminados para las implementaciones, pero debe permitir que los administradores de TI configuren sus propios mensajes.
5.6. Administración de contactos de perfil sincronizado
5.6.1. Los administradores de TI pueden inhabilitar la visualización de contactos de trabajo en las búsquedas de contactos del perfil personal y las llamadas entrantes.
5.6.2. Los administradores de TI pueden inhabilitar el uso compartido de contactos por Bluetooth de los contactos de trabajo, por ejemplo, las llamadas manos libres en automóviles o auriculares.
5.7. Administración de datos en varios perfiles
Permite que los administradores de TI administren los tipos de datos que se pueden compartir entre los perfiles de trabajo y personales, lo que les permite equilibrar la usabilidad y la seguridad de los datos según sus requisitos.
5.7.1. Los administradores de TI pueden configurar la política de uso compartido de datos del perfil sincronizado para que las apps personales puedan resolver intents del perfil de trabajo, como el uso compartido de intents o vínculos web.
5.7.2. Los administradores de TI pueden permitir que las aplicaciones del perfil de trabajo creen y muestren widgets en la pantalla principal del perfil personal. Esta función está desactivada de forma predeterminada, pero se puede establecer como permitida con los campos workProfileWidgets y workProfileWidgetsDefault.
5.7.3. Los administradores de TI pueden controlar la capacidad de copiar y pegar contenido entre el perfil de trabajo y el personal.
5.8. Política de actualización del sistema
Los administradores de TI pueden configurar y aplicar dispositivos de actualización del sistema inalámbricas (OTA).
5.8.1. La consola de la EMM permite que los administradores de TI establezcan las siguientes configuraciones OTA:
- Automática: Los dispositivos instalan actualizaciones OTA cuando están disponibles.
- Posponer: Los administradores de TI deben poder posponer la actualización inalámbrica hasta por 30 días. Esta política no afecta las actualizaciones de seguridad (p.ej., parches de seguridad mensuales).
- Con ventanas: Los administradores de TI deben poder programar actualizaciones inalámbricas dentro de un período de mantenimiento diario.
5.8.2. Las configuraciones inalámbricas se aplican a los dispositivos con una política.
5.9. Administración del modo de tareas bloqueadas
Los administradores de TI pueden bloquear una app o un conjunto de apps en la pantalla y asegurarse de que los usuarios no puedan salir de la app.
5.9.1. La consola de EMM permite que los administradores de TI permitan de forma silenciosa que un conjunto arbitrario de apps se instale y bloquee en un dispositivo. La política permite configurar dispositivos exclusivos.
5.10. Administración de actividades preferidas persistentes
Permite que los administradores de TI establezcan una app como el controlador de intents predeterminado para los intents que coinciden con un filtro de intents determinado. Por ejemplo, esta función permitiría a los administradores de TI elegir qué app de navegador abre automáticamente los vínculos web. Esta función puede administrar qué app de selector se usa cuando se presiona el botón de inicio.
5.10.1. Los administradores de TI pueden establecer cualquier paquete como el controlador de intents predeterminado para cualquier filtro de intents arbitrario.
- De manera opcional, la consola del EMM puede sugerir intents conocidos o recomendados para la configuración, pero no puede restringir los intents a ninguna lista arbitraria.
- La consola de la AEE debe permitir que los administradores de TI elijan entre la lista de apps que están disponibles para instalar para los usuarios correspondientes.
5.11. Administración de funciones del bloqueo de pantalla
Los administradores de TI pueden administrar las funciones disponibles para los usuarios antes de desbloquear el candado del dispositivo (pantalla de bloqueo) y el candado de desafío de trabajo (pantalla de bloqueo).
5.11.1.La política puede desactivar las siguientes funciones del protector de pantalla del dispositivo:
- agentes de confianza
- desbloqueo con huella dactilar
- notificaciones sin ocultar
5.11.2. Las siguientes funciones de protección de teclado del perfil de trabajo se pueden desactivar con una política:
- agentes de confianza
- desbloqueo con huella dactilar
5.12. Administración avanzada de las funciones de bloqueo del teclado
- Cómo proteger la cámara
- Todas las notificaciones
- Sin ocultar
- Agentes de confianza
- Desbloqueo con huellas dactilares
- Todas las funciones del protector de pantalla
5.13. Depuración remota
La API de Android Management no admite esta función.
5.14. Recuperación de direcciones MAC
Los EMM pueden recuperar de forma silenciosa la dirección MAC de un dispositivo para identificar dispositivos en otras partes de la infraestructura empresarial (por ejemplo, cuando se identifican dispositivos para el control de acceso a la red).
5.14.1. El EMM puede recuperar de forma silenciosa la dirección MAC de un dispositivo y asociarla con el dispositivo en la consola del EMM.
5.15. Administración avanzada del modo de tareas bloqueadas
Con un dispositivo dedicado, los administradores de TI pueden usar la consola de EMM para realizar las siguientes tareas:
5.15.1. Permite de forma silenciosa que una sola app se instale y se bloquee en un dispositivo.
5.15.2. Activa o desactiva las siguientes funciones de la IU del sistema:
- Botón de inicio
- Descripción general
- Acciones generales
- Notificaciones
- Información del sistema / Barra de estado
- Protector de pantalla (pantalla de bloqueo). Esta subfunción se activa de forma predeterminada cuando se implementa la versión 5.15.1.
5.15.3. Desactiva Diálogos de error del sistema.
5.16. Política de actualización del sistema avanzada
Los administradores de TI pueden establecer un período de suspensión específico para bloquear las actualizaciones del sistema en un dispositivo.
5.16.1. La consola de EMM debe permitir que los administradores de TI bloqueen las actualizaciones inalámbricas del sistema durante un período sin actualización especificado.
5.17. Administración de transparencia de la política del perfil de trabajo
Los administradores de TI pueden personalizar el mensaje que se muestra a los usuarios cuando se quita el perfil de trabajo de un dispositivo.
5.17.1. Los administradores de TI pueden proporcionar texto personalizado para mostrar (ve a wipeReasonMessage) cuando se limpia un perfil de trabajo.
5.18. Compatibilidad con apps conectadas
Los administradores de TI pueden establecer una lista de paquetes que se pueden comunicar a través del límite del perfil de trabajo configurando ConnectedWorkAndPersonalApp.
5.19. Actualización manual del sistema
La API de Android Management no admite esta función.
6. Baja del Administrador de dispositivos
6.1. Baja del Administrador de dispositivos
Los EMM deben publicar un plan antes de finales de 2022 y finalizar la asistencia al cliente para el administrador de dispositivos en dispositivos con GMS a fines del 1er trim. de 2023.
7. Uso de la API
7.1. Controlador de políticas estándar para vinculaciones nuevas
De forma predeterminada, los dispositivos deben administrarse con Android Device Policy para cualquier vinculación nueva. Los EMM pueden proporcionar la opción de administrar dispositivos con un DPC personalizado en un área de configuración con el encabezado "Configuración avanzada" o una terminología similar. Los clientes nuevos no deben estar expuestos a una elección arbitraria entre pilas de tecnología durante ningún flujo de trabajo de integración o configuración.
7.2. Controlador de políticas estándar para dispositivos nuevos
De forma predeterminada, los dispositivos se deben administrar con Android Device Policy para todas las inscripciones de dispositivos nuevos, tanto para las vinculaciones existentes como para las nuevas. Los EMM pueden proporcionar la opción de administrar dispositivos con un DPC personalizado en un área de configuración con el encabezado "Configuración avanzada" o una terminología similar.