Auf dieser Seite finden Sie eine vollständige Liste der Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () mindestens eines Lösungssatzes unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die Überprüfung der Standardfunktionen bestehen, werden im Android Enterprise-Lösungsverzeichnis mit dem Standard Management Set aufgeführt.
Für jede Lösungsgruppe ist ein zusätzlicher Satz erweiterter Funktionen verfügbar. Diese Funktionen sind auf jeder Lösungsseite mit Arbeitsprofil auf privatem Gerät, Arbeitsprofil auf unternehmenseigenem Gerät, Vollständig verwaltetes Gerät und Gerät für bestimmte Zwecke gekennzeichnet. EMM-Lösungen, die die Überprüfung der erweiterten Funktionen bestehen, werden im Android Enterprise-Lösungsverzeichnis als Lösungen mit einem erweiterten Verwaltungssatz aufgeführt.
Schlüssel
| Standardfunktion | erweiterte Funktion | optionales Feature | nicht zutreffend |
1. Gerätebereitstellung
1.1 Bereitstellung von Arbeitsprofilen mit DPC
Nachdem Nutzer die Android Device Policy App bei Google Play heruntergeladen haben, können sie ein Arbeitsprofil bereitstellen.
1.1.1. Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode für diese Bereitstellungsmethode zur Verfügung (siehe Gerät registrieren und bereitstellen).
1.2. Gerätebereitstellung mit DPC-ID
Wenn Sie „afw#“ im Einrichtungsassistenten des Geräts eingeben, wird ein vollständig verwaltetes oder dediziertes Gerät bereitgestellt.
1.2.1 Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.3. NFC-Geräte bereitstellen
IT-Administratoren können NFC-Tags verwenden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den in der Entwicklerdokumentation zur Play EMM API definierten Implementierungsrichtlinien bereitzustellen.
1.3.1 EMMs müssen NFC Forum Type 2-Tags mit mindestens 888 Byte Arbeitsspeicher verwenden. Bei der Bereitstellung müssen Provisioning-Extras verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2 Wir empfehlen die Verwendung von NFC-Tags für Android 10 und höher, da NFC Beam (auch als NFC Bump bezeichnet) eingestellt wurde.
1.4 Gerätebereitstellung per QR‑Code
In der EMM-Konsole kann ein QR-Code generiert werden, den IT-Administratoren scannen können, um ein vollständig verwaltetes oder dediziertes Gerät gemäß den in der Entwicklerdokumentation zur Android Management API definierten Implementierungsrichtlinien bereitzustellen.
1.4.1. Der QR‑Code muss Provisioning-Extras verwenden, um nicht vertrauliche Registrierungsdetails (z. B. Server‑IDs, Registrierungs‑IDs) an ein Gerät zu übergeben. Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.5 Zero-Touch-Registrierung
IT‑Administratoren können Geräte, die bei autorisierten Resellern gekauft wurden, vorkonfigurieren und über die EMM‑Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung einrichten. Eine Anleitung dazu finden Sie unter Zero-Touch-Registrierung für IT-Administratoren.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden automatisch die vom IT-Administrator festgelegten Einstellungen angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil des Geräteregistrierungsprozesses mit der Zero-Touch-Registrierung automatisieren. In Kombination mit Anmelde-URLs können IT-Administratoren die Registrierung gemäß den vom EMM angebotenen Konfigurationsoptionen auf bestimmte Konten oder Domains beschränken.
1.6.1. IT‑Administratoren können ein unternehmenseigenes Gerät mit der Zero-Touch-Registrierung bereitstellen.
1.6.2. Diese Anforderung wurde eingestellt.
1.6.3. Über die Anmelde-URL muss der EMM dafür sorgen, dass nicht autorisierte Nutzer die Aktivierung nicht fortsetzen können. Die Aktivierung muss mindestens auf Nutzer eines bestimmten Unternehmens beschränkt sein.
1.6.4. Über die Anmelde-URL , muss der EMM es IT‑Administratoren ermöglichen, Registrierungsdetails (z. B. Server‑IDs, Registrierungs‑IDs) mit Ausnahme eindeutiger Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) vorab auszufüllen, damit Nutzer beim Aktivieren eines Geräts keine Details eingeben müssen.
- EMMs dürfen in der Konfiguration für die Zero-Touch-Registrierung keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.7. Bereitstellung von Arbeitsprofilen für Google-Konten
Für Unternehmen, die eine verwaltete Google-Domain verwenden, führt diese Funktion Nutzer durch die Einrichtung eines Arbeitsprofils, nachdem sie bei der Geräteeinrichtung oder auf einem bereits aktivierten Gerät ihre geschäftlichen Workspace-Anmeldedaten eingegeben haben. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.8. Gerätebereitstellung für Google-Konto
Diese Funktion wird von der Android Management API nicht unterstützt.
1.9. Direkte Zero-Touch-Konfiguration
IT-Administratoren können die Konsole des EMM-Anbieters verwenden, um Zero-Touch-Geräte mit dem Zero-Touch-iFrame einzurichten.
1.10. Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren, indem sie AllowPersonalUsage festlegen.
1.10.1. Leer gelassen.
1.10.2. IT‑Administratoren können Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten über PersonalUsagePolicies festlegen.
1.10.3. IT‑Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät über PersonalUsagePolicies deaktivieren.
1.10.4. IT‑Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf einem gesamten Gerät über PersonalUsagePolicies deaktivieren.
1.10.5. IT‑Administratoren können über PersonalApplicationPolicy eine Sperrliste von Anwendungen festlegen, die nicht im privaten Profil installiert werden dürfen.
1.10.6. IT‑Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
1.11. Bereitstellung zweckbestimmter Geräte
IT-Administratoren können dedizierte Geräte registrieren, ohne dass der Nutzer aufgefordert wird, sich mit einem Google-Konto zu authentifizieren.
2. Gerätesicherheit
2.1. Sicherheitsmaßnahme für Geräte
IT-Administratoren können eine Sicherheitsabfrage für Geräte (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen auf verwalteten Geräten festlegen und erzwingen.
2.1.1. Die Richtlinie muss Einstellungen erzwingen, mit denen Sicherheitsrisiken auf Geräten verwaltet werden (parentProfilePasswordRequirements für Arbeitsprofile, passwordRequirements für vollständig verwaltete und dedizierte Geräte).
2.1.2. Die Passwortkomplexität sollte den folgenden Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 Zeichen oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6 Zeichen
2.1.3. Zusätzliche Passworteinschränkungen können auch als Legacy-Einstellungen auf unternehmenseigenen Geräten erzwungen werden.
2.2. Sicherheitsmaßnahme für das Arbeitsprofil
IT‑Administratoren können eine Sicherheitsabfrage für Apps und Daten im Arbeitsprofil festlegen und erzwingen, die sich von der Sicherheitsabfrage für das Gerät (2.1.) unterscheidet und andere Anforderungen hat.
2.2.1. Die Richtlinie muss die Sicherheitsabfrage für das Arbeitsprofil erzwingen.
- Standardmäßig sollten IT‑Administratoren Einschränkungen nur für das Arbeitsprofil festlegen, wenn kein Bereich angegeben ist.
- IT‑Administratoren können diese Einstellung geräteweit festlegen, indem sie den Bereich angeben (siehe Anforderung 2.1).
2.2.2. Die Passwortkomplexität sollte den folgenden vordefinierten Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 Zeichen oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6 Zeichen
2.2.3. Zusätzliche Passwortbeschränkungen können auch als Legacy-Einstellungen erzwungen werden.
2.3. Erweiterte Verwaltung von Sicherheitscodes
IT-Administratoren können erweiterte Passworteinstellungen auf Geräten einrichten.
2.3.1. Leer gelassen.
2.3.2. Leer gelassen.
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jede Displaysperre auf einem Gerät festgelegt werden:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passwörter für das Zurücksetzen auf die Werkseinstellungen: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.3.4. (Android 8.0 und höher) Zeitüberschreitung für starke Authentifizierung erforderlich: Nach einer vom IT-Administrator festgelegten Zeitüberschreitung muss ein starker Authentifizierungscode (z. B. PIN oder Passwort) eingegeben werden. Nach Ablauf des Zeitlimits werden schwache Authentifizierungsmethoden (z. B. Fingerabdruck, Entsperrung per Gesichtserkennung) deaktiviert, bis das Gerät mit einem starken Authentifizierungscode entsperrt wird.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, ob Trust Agents in der Android-Funktion Smart Lock das Entsperren von Geräten um bis zu vier Stunden verlängern dürfen.
2.4.1. IT‑Administratoren können Trust Agents auf dem Gerät deaktivieren.
2.5 Löschen und sperren
IT-Administratoren können die EMM-Konsole verwenden, um Arbeitsdaten auf einem verwalteten Gerät per Remotefunktion zu sperren und zu löschen.
2.5.1. Geräte müssen mit der Android Management API gesperrt werden.
2.5.2. Geräte müssen über die Android Management API zurückgesetzt werden.
2.6. Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, wird die Verwendung von Arbeitsdaten durch Compliance-Regeln, die von der Android Management API eingerichtet wurden, automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens eine Passwortrichtlinie enthalten.
2.7. Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien auf Geräten standardmäßig erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs werden aufgefordert (sind aber nicht dazu verpflichtet), IT-Administratoren nicht zu erlauben, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Die Installation von Apps aus unbekannten Quellen muss blockiert werden, einschließlich Apps, die auf der privaten Seite eines Android 8.0-Geräts oder höher mit Arbeitsprofil installiert sind. Diese Unterfunktion wird standardmäßig unterstützt.
2.7.2. Funktionen zur Fehlerbehebung müssen blockiert werden. Diese Unterfunktion wird standardmäßig unterstützt.
2.8. Sicherheitsrichtlinien für zweckbestimmte Geräte
Für ein gesperrtes zweckbestimmtes Gerät sind keine anderen Aktionen zulässig.
2.8.1. Das Starten im abgesicherten Modus muss standardmäßig über die Richtlinie deaktiviert werden (safeBootDisabled).
2.9. Play Integrity-Support
Play-Integritätsprüfungen werden standardmäßig durchgeführt. Es ist keine zusätzliche Implementierung erforderlich.
2.9.1. Leer gelassen.
2.9.2. Leer gelassen.
2.9.3. IT-Administratoren können je nach Wert des SecurityRisk-Attributs des Geräts verschiedene Richtlinienreaktionen einrichten, z. B. die Blockierung der Bereitstellung, das Löschen von Unternehmensdaten und die Zulassung der Registrierung.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Leer gelassen.
2.10. Funktion „Apps überprüfen“ erzwingen
IT‑Administratoren können Apps überprüfen auf Geräten aktivieren. Die Funktion „Apps überprüfen“ scannt Apps, die auf Android-Geräten installiert sind, vor und nach der Installation auf schädliche Software. So wird verhindert, dass schädliche Apps Unternehmensdaten gefährden.
2.10.1. „Apps überprüfen“ muss standardmäßig über die Richtlinie aktiviert sein (ensureVerifyAppsEnabled).
2.11. Unterstützung für Direct Boot
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
2.12. Verwaltung der Hardwaresicherheit
IT‑Administratoren können Hardwarekomponenten eines unternehmenseigenen Geräts sperren, um Datenverlust zu verhindern.
2.12.1. IT‑Administratoren können verhindern, dass Nutzer physische externe Medien einbinden. Verwenden Sie dazu die Richtlinie (siehe mountPhysicalMediaDisabled).
2.12.2. IT-Administratoren können Nutzer daran hindern, Daten von ihrem Gerät über NFC-Beam zu teilen, indem sie die Richtlinie verwenden (outgoingBeamDisabled). Diese untergeordnete Funktion ist optional, da die NFC-Beam-Funktion in Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können verhindern, dass Nutzer Dateien über USB übertragen. Verwenden Sie dazu die Richtlinie (siehe usbFileTransferDisabled).
2.13. Sicherheits-Logging für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können das EMM an ihre Organisation binden, sodass das EMM Managed Google Play verwenden kann, um Apps auf Geräten bereitzustellen.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an das EMM binden.
3.1.2. Leer gelassen.
3.1.3. Leer gelassen.
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse im Android-Registrierungsablauf einzugeben, und davon abgeraten, ein Gmail-Konto zu verwenden.
3.1.5. Das EMM füllt die E‑Mail-Adresse des Administrators im Android-Registrierungsablauf automatisch aus.
3.2 Bereitstellung von Managed Google Play-Konten
Der EMM kann Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Mit diesen Konten werden verwaltete Nutzer identifiziert und es können eindeutige App-Bereitstellungsregeln pro Nutzer festgelegt werden.
3.2.1. Managed Google Play-Konten (Nutzerkonten) werden automatisch erstellt, wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.3 Bereitstellung von Geräte-Konten für Managed Google Play
Der EMM kann Managed Google Play-Gerätekonten erstellen und bereitstellen. Mit Gerätekonten können Apps im Managed Play Store im Hintergrund installiert werden. Sie sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, um ein einzelnes Gerät zu identifizieren und so App-Verteilungsregeln pro Gerät in bestimmten Geräteszenarien zu unterstützen.
3.3.1. Managed Google Play-Konten werden automatisch erstellt, wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Diese Funktion ist veraltet.
3.5 Automatische App-Bereitstellung
IT‑Administratoren können Arbeits-Apps automatisch auf Geräten bereitstellen, ohne dass Nutzer etwas tun müssen.
3.5.1. In der EMM-Konsole muss die Android Management API verwendet werden, damit IT-Administratoren Arbeits-Apps auf verwalteten Geräten installieren können.
3.5.2. In der Konsole des EMM muss die Android Management API verwendet werden, damit IT-Administratoren Arbeits-Apps auf verwalteten Geräten aktualisieren können.
3.5.3. Die Konsole des EMM muss die Android Management API verwenden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltung der verwalteten Konfiguration
IT‑Administratoren können verwaltete Konfigurationen für jede App ansehen und im Hintergrund festlegen, die verwaltete Konfigurationen unterstützt.
3.6.1. Die EMM-Konsole muss die Einstellungen für die verwaltete Konfiguration jeder Play-App abrufen und anzeigen können.
3.6.2. In der EMM-Konsole muss es IT-Administratoren möglich sein, mithilfe der Android Management API jeden Konfigurationstyp (wie im Android Enterprise-Framework definiert) für jede Play-App festzulegen.
3.6.3. In der EMM-Konsole müssen IT-Administratoren Platzhalter wie $username$ oder %emailAddress% festlegen können, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann.
3.7 App-Katalogverwaltung
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.8. Programmatische App-Genehmigung
In der EMM-Konsole wird der iFrame von Managed Google Play verwendet, um die Funktionen von Google Play zum Auffinden und Genehmigen von Apps zu unterstützen. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT‑Administratoren können in der EMM‑Konsole mithilfe des iFrame für den Managed Play Store nach Apps suchen und diese genehmigen.
3.9. Einfache Verwaltung des Ladenlayouts
Mit der Managed Play Store App können Arbeits-Apps installiert und aktualisiert werden. Standardmäßig werden im Managed Google Play Store Apps, die für einen Nutzer genehmigt wurden, in einer einzigen Liste angezeigt. Dieses Layout wird als grundlegendes Store-Layout bezeichnet.
3.9.1. In der Konsole des EMM sollte es IT-Administratoren möglich sein, die Apps zu verwalten, die im grundlegenden Store-Layout eines Endnutzers sichtbar sind.
3.10. Erweiterte Konfiguration des Store-Layouts
3.10.1. IT-Administratoren können das Store-Layout anpassen, das in der Managed Play Store App angezeigt wird.
3.11. App-Lizenzverwaltung
Diese Funktion ist veraltet.
3.12. Verwaltung von von Google gehosteten privaten Apps
IT‑Administratoren können von Google gehostete interne Apps über die EMM‑Konsole anstatt über die Google Play Console aktualisieren.
3.12.1. IT‑Administratoren können neue Versionen von Apps, die bereits privat für das Unternehmen veröffentlicht wurden, mit folgenden Methoden hochladen:
3.13 Selbst gehostete private Apps verwalten
IT‑Administratoren können selbst gehostete interne Apps einrichten und veröffentlichen. Im Gegensatz zu privaten Apps, die von Google gehostet werden, werden die APKs nicht auf Google Play gehostet. Stattdessen hilft die EMM IT-Administratoren, APKs selbst zu hosten, und schützt selbst gehostete Apps, indem sie dafür sorgt, dass sie nur installiert werden können, wenn Managed Google Play dies autorisiert.
3.13.1. In der Konsole des EMM-Anbieters muss IT-Administratoren die Möglichkeit geboten werden, das App-APK zu hosten. Dazu müssen die folgenden Optionen verfügbar sein:
- Das APK wird auf dem Server des EMM gehostet. Der Server kann lokal oder cloudbasiert sein.
- Das APK wird außerhalb des Servers des EMM gehostet. Das Unternehmen entscheidet, wo. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. In der Konsole des EMM muss eine entsprechende APK-Definitionsdatei mit dem bereitgestellten APK generiert werden. Außerdem müssen IT-Administratoren durch den Veröffentlichungsprozess geführt werden.
3.13.3. IT-Administratoren können selbst gehostete interne Apps aktualisieren und die EMM-Konsole kann aktualisierte APK-Definitionsdateien mithilfe der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der Server des EMM verarbeitet Downloadanfragen für das selbst gehostete APK, das ein gültiges JWT im Cookie der Anfrage enthält, das mit dem öffentlichen Schlüssel der privaten App überprüft wurde.
- Um diesen Prozess zu vereinfachen, muss der Server des EMM-Anbieters IT-Administratoren anleiten, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3.14. EMM-Pull-Benachrichtigungen
Diese Funktion ist nicht für die Android Management API verfügbar. Richten Sie stattdessen Pub/Sub-Benachrichtigungen ein.
3.15. Anforderungen für die API-Nutzung
Der EMM-Anbieter implementiert Android Management APIs im großen Maßstab und vermeidet Trafficmuster, die sich negativ auf die Fähigkeit von Unternehmen auswirken könnten, Apps in Produktionsumgebungen zu verwalten.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Android Management API einhalten. Wenn Sie das Verhalten, das gegen diese Richtlinien verstößt, nicht korrigieren, kann dies nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt ihn zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Verhalten, das diesem Traffic-Muster entspricht, z. B. geplante Batchvorgänge für jedes registrierte Gerät, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.15.3. Der EMM sollte keine konsistenten, unvollständigen oder bewusst falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Verhalten, das diesem Traffic-Muster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16. Erweiterte Verwaltung verwalteter Konfigurationen
Das EMM unterstützt die folgenden erweiterten Funktionen für die Verwaltung verwalteter Konfigurationen:
3.16.1. Die EMM-Konsole muss in der Lage sein, die bis zu vier Ebenen von verschachtelten Einstellungen für die verwaltete Konfiguration einer beliebigen Play-App abzurufen und anzuzeigen. Dazu muss sie Folgendes verwenden:
- iFrame von Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die EMM-Konsole muss in der Lage sein, jegliches Feedback abzurufen und anzuzeigen, das von einem Feedback-Channel einer App zurückgegeben wird, wenn dieser von einem IT-Administrator eingerichtet wurde.
- In der EMM-Konsole müssen IT-Administratoren ein bestimmtes Feedbackelement dem Gerät und der App zuordnen können, von dem bzw. der es stammt.
- In der EMM-Konsole müssen IT-Administratoren Benachrichtigungen oder Berichte zu bestimmten Nachrichtentypen (z. B. Fehlermeldungen) abonnieren können.
3.16.3. Über die EMM-Konsole dürfen nur Werte gesendet werden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt werden. Dazu sind folgende Methoden zu verwenden:
- iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte Benutzeroberfläche.
3.17. Verwaltung von Web-Apps
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und bereitstellen.
3.17.1. Über die EMM-Konsole können IT-Administratoren Verknüpfungen zu Web-Apps verteilen. Dazu haben sie folgende Möglichkeiten:
- Das iFrame von Managed Google Play
- oder die Android Management API.
3.18. Lebenszyklusverwaltung von verwalteten Google Play-Konten
Der EMM kann im Namen von IT-Administratoren Managed Google Play-Konten erstellen, aktualisieren und löschen und automatisch nach Ablauf des Kontos wiederherstellen.
Diese Funktion wird standardmäßig unterstützt. Es ist keine zusätzliche EMM-Implementierung erforderlich.
3.19. Verwaltung von App-Tracks
3.19.1. IT‑Administratoren können eine Liste der Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT‑Administratoren können Geräte so einstellen, dass für eine Anwendung ein bestimmter Entwicklungs-Track verwendet wird.
3.20. Erweiterte Verwaltung von Anwendungsupdates
IT-Administratoren können festlegen, dass Apps sofort aktualisiert werden oder dass die Aktualisierung um 90 Tage verzögert wird.
3.20.1. IT-Administratoren können Apps erlauben, App-Updates mit hoher Priorität zu verwenden, damit sie aktualisiert werden, sobald ein Update verfügbar ist. 3.20.2. IT-Administratoren können zulassen, dass App-Updates für 90 Tage aufgeschoben werden.
3.21. Bereitstellungsmethoden verwalten
Der EMM-Anbieter kann Bereitstellungskonfigurationen generieren und dem IT-Administrator in einem Format präsentieren, das für die Verteilung an Endnutzer geeignet ist, z. B. als QR-Code, Zero-Touch-Konfiguration oder Play Store-URL.
3.22. Enterprise-Bindung aktualisieren
IT-Administratoren können den Bindungstyp für Unternehmen auf eine verwaltete Google-Domain umstellen, damit die Organisation auf registrierten Geräten auf Google-Kontodienste und -Funktionen zugreifen kann.
3.22.1. Über die EMM-Konsole kann der IT-Administrator das Upgrade einer vorhandenen Kontogruppe für Managed Google Play auf eine Kontogruppe für eine verwaltete Google-Domain mithilfe der erforderlichen APIs auslösen.
3.22.2. EMMs sollten Pub/Sub verwenden, um Benachrichtigungen zu von IT‑Administratoren initiierten Upgradeereignissen zu erhalten (auch zu solchen, die außerhalb der EMM‑Konsole stattfinden), und ihre Benutzeroberfläche entsprechend aktualisieren.
3.23. Bereitstellung verwalteter Google-Konten
Der EMM kann ein Gerät mit Unternehmensnutzerkonten, sogenannten verwalteten Google-Konten, bereitstellen. Mit diesen Konten werden verwaltete Nutzer identifiziert und es werden Regeln für die App-Verteilung sowie der Zugriff auf Google-Dienste ermöglicht. IT-Administratoren können außerdem eine Richtlinie festlegen, die die Authentifizierung mit einem verwalteten Google-Konto während oder nach der Registrierung erzwingt.
3.23.1. Der EMM kann ein verwaltetes Google-Konto gemäß den definierten Implementierungsrichtlinien bereitstellen.
Dabei gilt:
- Dem Gerät wird ein verwaltetes Google-Konto hinzugefügt.
- Das verwaltete Google-Konto muss in der EMM-Konsole 1:1 tatsächlichen Nutzern zugeordnet sein.
3.23.2. Der IT-Administrator kann mit der Richtlinie Nutzern die Möglichkeit geben, sich zur Registrierung in einem verwalteten Google-Konto anzumelden.
3.23.3. Der IT-Administrator kann mit der Richtlinie festlegen, ob der Nutzer sich zur Registrierung in einem verwalteten Google-Konto anmelden muss.
3.23.4. IT‑Administratoren können den Upgradevorgang optional auf eine bestimmte Konto‑ID (E‑Mail-Adresse) für ein bestimmtes Gerät beschränken.
3.24. Upgrade für verwaltetes Google Play-Konto
IT-Administratoren können den Nutzerkontotyp auf ein verwaltetes Google-Konto upgraden, sodass auf dem Gerät auf Google-Kontodienste und ‑funktionen zugegriffen werden kann.
3.24.1. IT-Administratoren können ein vorhandenes Managed Google Play-Konto auf einem Gerät auf ein verwaltetes Google-Konto upgraden.
3.24.2. IT‑Administratoren können den Upgradevorgang optional auf eine bestimmte Konto‑ID (E‑Mail-Adresse) für ein bestimmtes Gerät beschränken.
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können eine Standardantwort auf Anfragen von Arbeits-Apps zu Laufzeitberechtigungen festlegen, ohne dass der Nutzer davon benachrichtigt wird.
4.1.1. IT-Administratoren müssen bei der Festlegung einer Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation aus den folgenden Optionen auswählen können:
- Aufforderung (Nutzer können auswählen)
- allow
- deny
Der EMM sollte diese Einstellungen mit policy erzwingen.
4.2. Verwaltung des Status der Erteilung von Laufzeitberechtigungen
Nachdem Sie eine standardmäßige Richtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1), IT‑Administratoren können Antworten für bestimmte Berechtigungen für jede Arbeits-App, die auf API 23 oder höher basiert, im Hintergrund festlegen.
4.2.1. IT‑Administratoren müssen den Status der Erteilung (Standard, Erteilen oder Ablehnen) für jede Berechtigung festlegen können, die von einer beliebigen Arbeits-App angefordert wird, die auf API 23 oder höher basiert. Der EMM sollte diese Einstellungen mit policy erzwingen.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen, darunter:
4.3.1. SSID mit Richtlinie.
4.3.2. Passwort gemäß Richtlinie.
4.4. WLAN-Sicherheitsverwaltung
IT‑Administratoren können WLAN-Konfigurationen für Unternehmen auf Geräten mit den folgenden erweiterten Sicherheitsfunktionen bereitstellen:
4.4.1. Identität
4.4.2. Zertifikate für die Clientautorisierung
4.4.3. CA-Zertifikate
4.5. Erweiterte WLAN-Verwaltung
IT‑Administratoren können WLAN‑Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT‑Administratoren können WLAN-Konfigurationen für Unternehmen mithilfe von Richtlinien in einer der folgenden Konfigurationen sperren:
- Nutzer können keine WLAN-Konfigurationen ändern, die vom EMM-Anbieter bereitgestellt wurden (siehe
wifiConfigsLockdownEnabled). Sie können jedoch eigene, vom Nutzer konfigurierbare Netzwerke hinzufügen und ändern (z. B. private Netzwerke). - Nutzer können auf dem Gerät keine WLANs hinzufügen oder ändern (
wifiConfigDisabled), sodass die WLAN-Verbindung auf die vom EMM bereitgestellten Netzwerke beschränkt ist.
4.6. Kontoverwaltung
IT‑Administratoren können dafür sorgen, dass nur autorisierte Unternehmenskonten mit Unternehmensdaten interagieren können, z. B. bei Diensten wie SaaS-Speicher und Produktivitäts-Apps oder E‑Mail. Ohne diese Funktion können Nutzer private Konten zu Unternehmens-Apps hinzufügen, die auch Privatnutzerkonten unterstützen. So können sie Unternehmensdaten mit diesen privaten Konten teilen.
4.6.1. IT‑Administratoren können verhindern, dass Nutzer Konten hinzufügen oder ändern (siehe modifyAccountsDisabled).
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung festlegen, bevor die Bereitstellung abgeschlossen ist. So wird verhindert, dass Nutzer diese Richtlinie umgehen, indem sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Kontoverwaltung
Diese Funktion ist veraltet. Informationen zu den Anforderungen an den Ersatz finden Sie unter 3.23.
4.8. Zertifikatsverwaltung
Ermöglicht IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um die Nutzung von Unternehmensressourcen zu ermöglichen.
4.8.1. IT‑Administratoren können Nutzeridentitätszertifikate, die von ihrer PKI generiert wurden, pro Nutzer installieren. Die EMM-Konsole muss in mindestens eine PKI eingebunden sein und Zertifikate verteilen, die aus dieser Infrastruktur generiert wurden.
4.8.2. IT-Administratoren können Zertifizierungsstellen (siehe caCerts) im verwalteten Keystore installieren. Dieses untergeordnete Feature wird jedoch nicht unterstützt.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht IT‑Administratoren, die Zertifikate, die bestimmte verwaltete Apps verwenden sollen, im Hintergrund auszuwählen. Mit dieser Funktion können IT-Administratoren auch Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen und verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher ändern.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT‑Administratoren ein Zertifikat angeben, auf das die App während der Laufzeit automatisch Zugriff erhält. (Diese untergeordnete Funktion wird nicht unterstützt)
- Die Zertifikatauswahl muss so allgemein gehalten sein, dass eine einzelne Konfiguration für alle Nutzer möglich ist, die jeweils ein nutzerspezifisches Identitätszertifikat haben können.
4.9.2. IT‑Administratoren können Zertifikate lautlos aus dem verwalteten Keystore entfernen.
4.9.3. IT‑Administratoren können ein CA‑Zertifikat im Hintergrund deinstallieren. (Diese untergeordnete Funktion wird nicht unterstützt)
4.9.4. IT‑Administratoren können verhindern, dass Nutzer Anmeldedaten konfigurieren (credentialsConfigDisabled) im verwalteten Keystore.
4.9.5. IT‑Administratoren können Zertifikate für Arbeits-Apps mithilfe von ChoosePrivateKeyRule vorab gewähren.
4.10. Delegierte Zertifikatsverwaltung
IT‑Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung auf Geräten bereitstellen und dieser App privilegierten Zugriff zur Installation von Zertifikaten im verwalteten Schlüsselspeicher gewähren.
4.10.1. IT‑Administratoren können ein Paket zur Zertifikatsverwaltung (delegatedCertInstallerPackage) als delegierte App zur Zertifikatsverwaltung festlegen.
- Der EMM kann optional bekannte Zertifikatsverwaltungspakete vorschlagen, muss dem IT‑Administrator jedoch erlauben, für die entsprechenden Nutzer aus der Liste der verfügbaren Apps auszuwählen.
4.11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein Always On-VPN festlegen, damit die Daten von angegebenen verwalteten Apps immer über ein eingerichtetes VPN übertragen werden.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket als Always On-VPN festlegen.
- In der Konsole des EMM können optional bekannte VPN-Pakete vorgeschlagen werden, die „Durchgehend aktives VPN“ unterstützen. Die für die Konfiguration von „Durchgehend aktives VPN“ verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT‑Administratoren können verwaltete Konfigurationen verwenden, um die VPN‑Einstellungen für eine App festzulegen.
4.12. IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (Input Method Editors, IMEs) für Geräte eingerichtet werden können. Da die IME sowohl für Arbeits- als auch für private Profile freigegeben ist, wird durch das Blockieren der Verwendung von IMEs verhindert, dass Nutzer diese IMEs auch für die private Nutzung zulassen. IT‑Administratoren dürfen jedoch die Verwendung von System‑IMEs in Arbeitsprofilen nicht blockieren. Weitere Informationen finden Sie unter „Erweiterte IME‑Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste (permitted_input_methods) beliebiger Länge einrichten, die auch leer sein kann. In diesem Fall werden Nicht-System-IMEs blockiert. Die Liste kann beliebige IME-Pakete enthalten.
- In der Konsole des EMM können optional bekannte oder empfohlene IMEs vorgeschlagen werden, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
4.12.2. Der EMM muss IT-Administratoren darüber informieren, dass System-IMEs auf Geräten mit Arbeitsprofilen nicht verwaltet werden können.
4.13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (Input Method Editors, IMEs) Nutzer auf einem Gerät einrichten können. Die erweiterte IME-Verwaltung erweitert die grundlegende Funktion, indem sie IT-Administratoren ermöglicht, auch die Verwendung von System-IMEs zu verwalten, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine IME-Zulassungsliste (permitted_input_methods) beliebiger Länge einrichten. Eine leere Liste ist nicht zulässig, da sie alle IMEs, einschließlich System-IMEs, blockiert. Die Liste kann beliebige IME-Pakete enthalten.
- In der Konsole des EMM können optional bekannte oder empfohlene IMEs vorgeschlagen werden, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
4.13.2. EMM muss verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da diese Einstellung verhindert, dass alle IME, einschließlich System-IMEs, auf dem Gerät eingerichtet werden.
4.13.3. Der EMM muss dafür sorgen, dass Drittanbieter-IME im Hintergrund installiert werden, bevor die Zulassungsliste auf dem Gerät angewendet wird, wenn die Zulassungsliste für IME keine System-IMEs enthält.
4.14. Verwaltung von Bedienungshilfen
IT-Administratoren können verwalten, welche Bedienungshilfen Nutzer auf Geräten zulassen können. Bedienungshilfen sind leistungsstarke Tools für Nutzer mit Beeinträchtigungen oder Nutzer, die vorübergehend nicht in der Lage sind, vollständig mit einem Gerät zu interagieren. Sie interagieren jedoch möglicherweise auf eine Weise mit Unternehmensdaten, die nicht der Unternehmensrichtlinie entspricht. Mit dieser Funktion können IT-Administratoren alle Bedienungshilfen deaktivieren, die nicht zum System gehören.
4.14.1. IT-Administratoren können eine Zulassungsliste für Dienste für Barrierefreiheit (permittedAccessibilityServices) beliebiger Länge einrichten, einschließlich einer leeren Liste, die Dienste für Barrierefreiheit, die nicht zum System gehören, blockiert. Die Liste kann beliebige Pakete für Dienste für Barrierefreiheit enthalten. Wenn diese Einstellung auf ein Arbeitsprofil angewendet wird, wirkt sie sich sowohl auf das private als auch auf das Arbeitsprofil aus.
- Die Konsole kann optional bekannte oder empfohlene Barrierefreiheitsdienste vorschlagen, die in die Zulassungsliste aufgenommen werden sollen. Der IT-Administrator muss jedoch aus der Liste der Apps auswählen können, die für die entsprechenden Nutzer zur Installation verfügbar sind.
4.15. Standortfreigabe verwalten
IT‑Administratoren können verhindern, dass Nutzer Standortdaten für Apps im Arbeitsprofil freigeben. Andernfalls kann die Standorteinstellung im Arbeitsprofil in den Einstellungen konfiguriert werden.
4.15.1. IT‑Administratoren können Standortdienste (shareLocationDisabled) im Arbeitsprofil deaktivieren.
4.16. Erweiterte Verwaltung der Standortfreigabe
IT‑Administratoren können eine bestimmte Einstellung für die Standortfreigabe auf einem verwalteten Gerät erzwingen. Diese Funktion kann dafür sorgen, dass Unternehmens-Apps immer genaue Standortdaten haben. Diese Funktion kann auch dafür sorgen, dass nicht unnötig Akku verbraucht wird, indem die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts für jeden der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber ohne vom Netzwerk bereitgestellten Standort.
- Akkusparmodus, der die Aktualisierungshäufigkeit begrenzt.
- Deaktiviert.
4.17. Schutz für zurückgesetzte Geräte verwalten
IT‑Administratoren können unternehmenseigene Geräte vor Diebstahl schützen, indem sie dafür sorgen, dass nicht autorisierte Nutzer Geräte nicht auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz für zurückgesetzte Geräte zu betrieblichen Komplexitäten führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz für zurückgesetzte Geräte vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer ihr Gerät über die Einstellungen auf die Werkseinstellungen zurücksetzen (factoryResetDisabled).
4.17.2. IT‑Administratoren können Unternehmens-Entsperrkonten angeben, die berechtigt sind, Geräte bereitzustellen (siehe frpAdminEmails), nachdem sie auf die Werkseinstellungen zurückgesetzt wurden.
- Dieses Konto kann mit einer Einzelperson verknüpft oder von der gesamten Organisation zum Entsperren von Geräten verwendet werden.
4.17.3. IT‑Administratoren können den Schutz für zurückgesetzte Geräte deaktivieren (siehe factoryResetDisabled) für bestimmte Geräte.
4.17.4. IT‑Administratoren können einen Remote-Geräte-Wipe starten, bei dem optional auch Daten zum Schutz für zurückgesetzte Geräte gelöscht werden. Dadurch wird der Schutz für zurückgesetzte Geräte auf dem zurückgesetzten Gerät entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern. So kann beispielsweise das erzwungene Schließen der App oder das Löschen des Datencaches einer App verhindert werden.
4.18.1. IT‑Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren (uninstallAppsDisabled).
4.18.2. IT‑Administratoren können verhindern, dass Nutzer Anwendungsdaten in den Einstellungen ändern. (Diese Unterfunktion wird von der Android Management API nicht unterstützt.)
4.19. Screenshots verwalten
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Diese Einstellung umfasst das Blockieren von Apps zur Bildschirmfreigabe und ähnlichen Apps (z. B. Google Assistant), die die Systemfunktionen für Screenshots verwenden.
4.19.1. IT‑Administratoren können verhindern, dass Nutzer Screenshots aufnehmen (siehe screenCaptureDisabled).
4.20. Kameras deaktivieren
IT‑Administratoren können die Verwendung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT‑Administratoren können die Verwendung von Gerätekameras durch verwaltete Apps deaktivieren (cameraDisabled).
4.21. Erfassung von Netzwerkstatistiken
Diese Funktion wird von der Android Management API nicht unterstützt.
4.22. Erfassung erweiterter Netzwerkstatistiken
Diese Funktion wird von der Android Management API nicht unterstützt.
4.23. Gerät neu starten
IT‑Administratoren können verwaltete Geräte per Remote-Zugriff neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Remote-Zugriff neu starten.
4.24. Systemfunkverwaltung
Bietet IT-Administratoren eine detaillierte Verwaltung von Systemnetzwerkfunkgeräten und zugehörigen Nutzungsrichtlinien über Richtlinien.
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Mobilfunkdurchsagen deaktivieren (cellBroadcastsConfigDisabled).
4.24.2. IT-Administratoren können verhindern, dass Nutzer die Mobilfunknetz-Einstellungen in den Einstellungen (mobileNetworksConfigDisabled) ändern.
4.24.3. IT-Administratoren können verhindern, dass Nutzer alle Netzwerkeinstellungen in den Einstellungen zurücksetzen. (networkResetDisabled aufrufen)
4.24.4. IT‑Administratoren können festlegen, ob das Gerät das Daten-Roaming zulässt (dataRoamingDisabled).
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe tätigen kann, mit Ausnahme von Notrufen (siehe outGoingCallsDisabled).
4.24.6. IT-Administratoren können festlegen, ob das Gerät Textnachrichten senden und empfangen kann (siehe smsDisabled).
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät als tragbaren Hotspot verwenden, indem sie Tethering deaktivieren (tetheringConfigDisabled).
4.24.8. IT‑Administratoren können das WLAN‑Zeitlimit auf „Standard“, „Bei Stromversorgung“ oder „Nie“ festlegen. (Diese Unterfunktion wird von der Android Management API nicht unterstützt.)
4.24.9. IT‑Administratoren können verhindern, dass Nutzer Bluetooth-Verbindungen einrichten oder vorhandene Verbindungen ändern (bluetoothConfigDisabled).
4.25. System-Audioverwaltung
IT‑Administratoren können Audiofunktionen von Geräten im Hintergrund steuern, z. B. das Gerät stummschalten, verhindern, dass Nutzer Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer das Mikrofon des Geräts wieder aktivieren.
4.25.1. IT‑Administratoren können verwaltete Geräte automatisch stummschalten. (Diese Unterfunktion wird von der Android Management API nicht unterstützt.)
4.25.2. IT‑Administratoren können verhindern, dass Nutzer die Lautstärkeeinstellungen des Geräts ändern (adjustVolumeDisabled). Dadurch werden die Geräte auch stummgeschaltet.
4.25.3. IT‑Administratoren können verhindern, dass Nutzer das Mikrofon des Geräts stummschalten (unmuteMicrophoneDisabled).
4.26. Verwaltung der Systemuhr
IT‑Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT‑Administratoren können die automatische Systemzeit und Zeitzone erzwingen und so verhindern, dass Nutzer das Datum, die Uhrzeit und die Zeitzone des Geräts festlegen.
4.27. Erweiterte Funktionen auf zweckbestimmten Geräten
IT‑Administratoren können die folgenden Funktionen für dedizierte Geräte mithilfe von Richtlinien verwalten, um verschiedene Kioskanwendungsfälle zu unterstützen.
4.27.1. IT‑Administratoren können die Geräte-Keyguard deaktivieren (keyguardDisabled).
4.27.2. IT-Administratoren können die Gerätestatusleiste deaktivieren und so Benachrichtigungen und die Schnelleinstellungen blockieren (siehe statusBarDisabled).
4.27.3. IT-Administratoren können erzwingen, dass der Gerätebildschirm eingeschaltet bleibt, während das Gerät angeschlossen ist (stayOnPluggedModes).
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-Benutzeroberflächen angezeigt werden (gehen Sie zu createWindowsDisabled):
- Toasts
- App-Overlays
4.27.5. IT-Administratoren können zulassen, dass die Systemempfehlung für Apps das Nutzer-Tutorial und andere Einführungshinweise beim ersten Start überspringt (siehe skip_first_use_hints).
4.28. Delegierte Bereichsverwaltung
IT-Administratoren können einzelnen Paketen zusätzliche Berechtigungen zuweisen.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Zertifikatsinstallation und ‑verwaltung
- Absichtlich leer
- Netzwerkprotokollierung
- Sicherheitsprotokollierung (wird für Arbeitsprofile auf privaten Geräten nicht unterstützt)
4.29. ID-Support für die Registrierung
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische IDs. IT-Administratoren können den Lebenszyklus eines Geräts mit Arbeitsprofil anhand der registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT‑Administratoren können eine registrierungsspezifische ID abrufen
4.29.2. Diese registrierungsspezifische ID muss auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleiben.
4.30. Richtlinie für Anmeldedaten-Manager
IT-Administratoren können mit der Standardrichtlinie für Anmeldedatenanbieter oder der Richtlinie für Anmeldedatenanbieter verwalten, welche Anmeldedatenmanager-Anwendungen zulässig oder blockiert sind.
4.30.1 IT‑Administratoren können alle Anmeldedaten-Manager auf dem Gerät (oder im Arbeitsprofil) mithilfe einer Richtlinie blockieren.
4.30.2 IT‑Administratoren können festlegen, dass nur vorinstallierte (System‑Apps) Anmeldedatenmanager zulässig sind.
4.30.3 IT‑Administratoren können eine Liste mit Paketnamen angeben, um die Funktion des Credential Managers zu aktivieren.
4.31. Einfache eSIM‑Verwaltung
IT-Administratoren können ein Gerät mit einem eSIM-Profil bereitstellen und dessen Lebenszyklus auf dem Gerät verwalten.
4.31.1 IT‑Administratoren können ein eSIM-Profil mithilfe einer Richtlinie automatisch auf einem Gerät bereitstellen.
4.31.2 IT-Administratoren können verwaltete eSIMs mithilfe von Richtlinien von einem Gerät löschen.
4.31.3 IT-Administratoren können verhindern, dass Nutzer die Mobilfunknetz-Einstellungen in den Einstellungen ändern (mobileNetworksConfigDisabled).
4.31.4 IT‑Administratoren können per Remote-Zugriff einen Befehl zum Löschen an ein Gerät oder Arbeitsprofil senden. Mit diesem Befehl werden verwaltete eSIMs optional vom Gerät entfernt. Standardmäßig werden verwaltete eSIMs aus Arbeitsprofilen auf privaten Geräten entfernt, auf unternehmenseigenen Geräten jedoch beibehalten.
4.31.5 IT-Administratoren können die EID (Embedded Identity Document)-Kennung eines Geräts über die EMM-Konsolen-Benutzeroberfläche (oder eine entsprechende Methode) abrufen.
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT‑Administratoren können die Standard-UX für den Einrichtungsablauf ändern, um unternehmensspezifische Funktionen einzubinden. Optional können IT‑Administratoren während der Bereitstellung das vom EMM bereitgestellte Branding anzeigen lassen.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie unternehmensspezifische Nutzungsbedingungen und andere Haftungsausschlüsse angeben (siehe termsAndConditions).
5.1.2. IT‑Administratoren können nicht konfigurierbare, EMM‑spezifische Nutzungsbedingungen und andere Haftungsausschlüsse bereitstellen (siehe termsAndConditions).
- EMMs können ihre nicht konfigurierbare, EMM-spezifische Anpassung als Standard für Bereitstellungen festlegen, müssen IT-Administratoren jedoch die Möglichkeit geben, eigene Anpassungen vorzunehmen.
5.1.3. primaryColor wurde für die Unternehmensressource unter Android 10 und höher eingestellt.
5.2. Anpassung für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
5.3. Erweiterte Anpassungsmöglichkeiten für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
5.4. Sperrbildschirmnachrichten
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird und für die keine Entsperrung des Geräts erforderlich ist.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht für den Sperrbildschirm festlegen (deviceOwnerLockScreenInfo).
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie versuchen, verwaltete Einstellungen auf ihrem Gerät zu ändern, oder eine generische Supportnachricht bereitstellen, die vom EMM-Anbieter bereitgestellt wird. Sowohl kurze als auch lange Supportnachrichten können angepasst werden. Sie werden in Fällen wie dem Versuch angezeigt, eine verwaltete App zu deinstallieren, deren Deinstallation ein IT‑Administrator bereits blockiert hat.
5.5.1. IT‑Administratoren können kurze und lange nutzerseitige Supportnachrichten anpassen.
5.5.2. IT‑Administratoren können nicht konfigurierbare, EMM‑spezifische kurze und lange Supportnachrichten bereitstellen (siehe shortSupportMessage und longSupportMessage in policies).
- EMM-Anbieter können ihre nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standard für Bereitstellungen festlegen, müssen IT-Administratoren aber die Möglichkeit geben, eigene Nachrichten einzurichten.
5.6. Profilübergreifende Kontaktverwaltung
5.6.1. IT‑Administratoren können die Anzeige von Arbeitskontakten in Kontaktsuchen und bei eingehenden Anrufen im privaten Profil deaktivieren.
5.6.2. IT-Administratoren können die Bluetooth-Freigabe von Arbeitskontakten deaktivieren, z. B. für die Freisprechfunktion in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
IT‑Administratoren können die Arten von Daten verwalten, die zwischen dem Arbeits- und dem privaten Profil geteilt werden können. So können sie die Benutzerfreundlichkeit und die Datensicherheit entsprechend ihren Anforderungen in Einklang bringen.
5.7.1. IT-Administratoren können die Richtlinie zur profilübergreifenden Datenfreigabe konfigurieren, damit private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. Freigabe-Intents oder Weblinks.
5.7.2. IT‑Administratoren können zulassen, dass Apps aus dem Arbeitsprofil Widgets auf dem Startbildschirm des privaten Profils erstellen und anzeigen. Diese Funktion ist standardmäßig deaktiviert, kann aber mit den Feldern workProfileWidgets und workProfileWidgetsDefault auf „Zulässig“ gesetzt werden.
5.7.3. IT‑Administratoren können das Kopieren und Einfügen zwischen dem Arbeits- und dem privaten Profil steuern.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) auf Geräten einrichten und anwenden.
5.8.1. In der EMM-Konsole können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: Geräte installieren OTA-Updates, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie hat keine Auswirkungen auf Sicherheitsupdates, z.B. monatliche Sicherheitspatches.
- Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. OTA-Konfigurationen werden mithilfe von Richtlinien auf Geräte angewendet.
5.9. Verwaltung des Modus „Gesperrte Aufgabe“
IT-Administratoren können eine oder mehrere Apps auf dem Bildschirm sperren und dafür sorgen, dass Nutzer die App nicht schließen können.
5.9.1. In der Konsole des EMM können IT-Administratoren die Installation und Sperrung einer beliebigen Anzahl von Apps auf einem Gerät automatisch zulassen. Mit der Richtlinie können Sie dedizierte Geräte einrichten.
5.10. Dauerhafte Verwaltung bevorzugter Aktivitäten
IT‑Administratoren können eine App als Standard-Intent-Handler für Intents festlegen, die einem bestimmten Intent-Filter entsprechen. Mit dieser Funktion können IT-Administratoren beispielsweise auswählen, welche Browser-App Weblinks automatisch öffnet. Mit dieser Funktion kann festgelegt werden, welche Launcher-App verwendet wird, wenn Sie auf die Startbildschirmtaste tippen.
5.10.1. IT‑Administratoren können ein beliebiges Paket als Standard-Intent-Handler für einen beliebigen Intent-Filter festlegen.
- In der EMM-Konsole können optional bekannte oder empfohlene Intents für die Konfiguration vorgeschlagen werden, aber Intents können nicht auf eine beliebige Liste beschränkt werden.
- In der Konsole des EMM muss es IT‑Administratoren möglich sein, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer installiert werden können.
5.11. Keyguard-Funktionen verwalten
IT-Administratoren können die Funktionen verwalten, die Nutzern zur Verfügung stehen, bevor sie den Keyguard (Sperrbildschirm) des Geräts und den Keyguard (Sperrbildschirm) der Arbeitsherausforderung entsperren.
5.11.1.Policy can turn off the following device keyguard features:
- Trust Agents
- Entsperren mit Fingerabdruck
- nicht geschwärzte Benachrichtigungen
5.11.2. Die folgenden Keyguard-Funktionen des Arbeitsprofils können mit policy deaktiviert werden:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12. Erweiterte Verwaltung von Keyguard-Funktionen
- Kamera sichern
- Alle Benachrichtigungen
- Nicht geschwärzt
- Trust Agents
- Entsperren mit Fingerabdruck
- Alle Keyguard-Funktionen
5.13. Remote-Debugging
Diese Funktion wird von der Android Management API nicht unterstützt.
5.14. Abrufen von MAC-Adressen
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren (z. B. bei der Identifizierung von Geräten für die Netzwerkzugriffskontrolle).
5.14.1. Der EMM kann die MAC-Adresse eines Geräts im Hintergrund abrufen und sie in der EMM-Konsole dem Gerät zuordnen.
5.15. Erweiterte Verwaltung des Modus „Gesperrte Aufgabe“
Mit einem dedizierten Gerät können IT-Administratoren die EMM-Konsole für folgende Aufgaben verwenden:
5.15.1. Eine einzelne App automatisch installieren und auf einem Gerät sperren
5.15.2. Aktivieren oder deaktivieren Sie die folgenden System-UI-Funktionen:
- Schaltfläche „Startseite“
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm) Diese Unterfunktion ist standardmäßig aktiviert, wenn Version 5.15.1 implementiert ist.
5.15.3. Deaktivieren Sie Systemfehler-Dialogfelder.
5.16. Erweiterte Richtlinie für Systemupdates
IT-Administratoren können einen bestimmten Zeitraum festlegen, in dem Systemupdates auf einem Gerät blockiert werden.
5.16.1. In der Konsole des EMM-Anbieters müssen IT-Administratoren OTA-Systemupdates (Over The Air) für einen angegebenen Zeitraum blockieren können.
5.17. Verwaltung der Transparenz von Richtlinien für Arbeitsprofile
IT‑Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn das Arbeitsprofil von einem Gerät entfernt wird.
5.17.1. IT‑Administratoren können benutzerdefinierten Text angeben, der angezeigt wird (wipeReasonMessage), wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung verbundener Apps
IT‑Administratoren können eine Liste von Paketen festlegen, die über die Grenze des Arbeitsprofils hinweg kommunizieren können, indem sie ConnectedWorkAndPersonalApp festlegen.
5.19. Manuelles Systemupdate
Diese Funktion wird von der Android Management API nicht unterstützt.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, der die Einstellung des Kundensupports für Geräteadministrator auf GMS-Geräten bis Ende des ersten Quartals 2023 vorsieht.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte mit Android Device Policy verwaltet werden, wenn neue Bindungen erstellt werden. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Einstellungsbereich unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten. Neukunden dürfen während der Onboarding- oder Einrichtungsworkflows nicht mit einer beliebigen Auswahl zwischen Technologie-Stacks konfrontiert werden.
7.2. Standard-Policy Controller für neue Geräte
Standardmäßig müssen Geräte bei allen neuen Geräteregistrierungen mit Android Device Policy verwaltet werden, sowohl für vorhandene als auch für neue Bindungen. EMMs bieten möglicherweise die Option, Geräte mit einem benutzerdefinierten DPC in einem Einstellungsbereich unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten.