Cette page liste l'ensemble complet des fonctionnalités Android Enterprise.
Si vous avez l'intention de gérer plus de 500 appareils, votre solution EMM doit prendre en charge toutes les fonctionnalités standards (Solutions d'entreprise de Google comme offrant Ensemble de gestion standard.
) sur au moins un avant de pouvoir les commercialiser. les solutions EMM qui avec succès la vérification standard des fonctionnalités sont répertoriés sur la pageUn ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont indiquées sur la page de l'ensemble de solutions: profil professionnel. , appareil entièrement géré et appareil dédié. Les solutions EMM qui réussissent la vérification avancée des fonctionnalités sont répertoriées dans les Répertoire des solutions d'entreprise par exemple en proposant un ensemble de gestion avancée.
Clé
standard fonctionnalité | avancé fonctionnalité | fonctionnalité facultative | non applicable |
1. Provisionnement des appareils
1.1. Provisionnement du profil professionnel en priorité par le DPC
Après avoir téléchargé Android Device Policy sur Google Play, les utilisateurs peuvent provisionner un profil professionnel.
1.1.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation compatible avec cette méthode de provisionnement (consultez l'enregistrement et le provisionnement d'un appareil).
1.2. Provisionnement de l'appareil avec identifiant DPC
Saisissez "afw#" dans l'assistant de configuration de l'appareil pour provisionner un appareil entièrement géré ou dédié.
1.2.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation cette méthode de provisionnement (consultez Enregistrer et provisionner un appareil).
1.3. Provisionnement d'appareils NFC
Les administrateurs informatiques peuvent utiliser des tags NFC pour provisionner des appareils neufs ou dont la configuration d'usine a été rétablie, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l'API EMM Play.
1.3.1. Les EMM doivent utiliser des tags NFC de type 2 de type 2 avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des extras de provisionnement pour transmettre les enregistrements non sensibles informations telles que les ID de serveur et les ID d'enregistrement d'un appareil. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.3.2. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et versions ultérieures en raison abandon de NFC Beam (également connu sous le nom de NFC Bumper).
1.4. Provisionnement d'appareils avec un code QR
La console de l'EMM peut générer un code QR que les administrateurs informatiques peuvent scanner pour provisionner un appareil entièrement géré ou dédié, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l'API Android Management.
1.4.1. Le code QR doit utiliser des éléments de provisionnement supplémentaires pour transmettre des données non sensibles les détails d'enregistrement (tels que les ID de serveur et les ID d'enregistrement) à un appareil. Les détails de l'enregistrement ne doivent pas inclure d'informations sensibles telles que des mots de passe ou des certificats.
1.5. Inscription sans contact
Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de autorisé revendeurs et les gérer à l'aide de votre console EMM.
1.5.1. Les administrateurs informatiques peuvent provisionner les appareils détenus par l'entreprise à l'aide de l'enregistrement sans contact décrite dans Enregistrement sans contact pour les administrateurs informatiques.
1.5.2. Lorsque vous allumez un appareil pour la première fois, son mode est automatiquement activé. les paramètres définis par l'administrateur informatique.
1.6. Provisionnement sans contact avancé
Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils avec l'enregistrement sans contact. associés aux URL de connexion ; , les administrateurs informatiques peuvent limiter l'inscription à des comptes ou domaines spécifiques, les options de configuration proposées par l'EMM.
1.6.1. Les administrateurs informatiques peuvent provisionner un appareil appartenant à l'entreprise à l'aide de l'enregistrement sans contact méthode d'enregistrement.
1.6.2. Cette exigence a été abandonnée.
1.6.3. À l'aide de l'URL de connexion, l'EMM doit s'assurer que les utilisateurs non autorisés ne peuvent pas procéder à l'activation. L'activation doit au moins être verrouillée pour les utilisateurs d'une entreprise donnée.
1.6.4. En utilisant l'URL de connexion , l'EMM doit permettre à Les administrateurs informatiques doivent pré-remplir les informations d'inscription (par exemple, les ID de serveur, identifiants d'enregistrement) autres que les informations uniques sur l'utilisateur ou l'appareil (par exemple, nom d'utilisateur/mot de passe, jeton d'activation), afin que les utilisateurs n'aient pas à saisir d'informations. lors de l'activation d'un appareil.
- Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou dans la configuration de l'enregistrement sans contact.
1.7. Provisionnement du profil professionnel du compte Google
Ce guide des fonctionnalités s'adresse aux entreprises qui utilisent un domaine Google géré. aux utilisateurs de configurer un profil professionnel après avoir accédé à leur compte les identifiants Workspace lors de la configuration de l'appareil ou sur un appareil activée. Dans les deux cas, l'identité Workspace d'entreprise sera migrée vers le profil professionnel.
1.8. Provisionnement des appareils via le compte Google
L'API Android Management n'est pas compatible avec cette fonctionnalité.
1,9. Configuration d'enregistrement sans contact direct
Les administrateurs informatiques peuvent utiliser la console EMM pour configurer des appareils sans contact à l'aide du iFrame sans contact pour en savoir plus.
1.10. Profils professionnels sur les appareils détenus par l'entreprise
Les EMM peuvent enregistrer des appareils détenus par l'entreprise disposant d'un profil professionnel en configurant AllowPersonalUsage
1.10.1. Laisser le champ vide délibérément
1.10.2. Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur des appareils appartenant à l'entreprise appareils par le biais de PersonalUsagePolicies.
1.10.3. Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou dans l'intégralité de l'appareil à l'aide de PersonalUsagePolicies.
1.10.4. Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel l'intégralité de l'appareil à l'aide de PersonalUsagePolicies.
Les administrateurs informatiques peuvent définir une liste d'autorisation ou de blocage d'applications pouvant ou ne peut pas être installé dans le profil personnel via PersonalApplicationPolicy.
1.10.6. Les administrateurs informatiques peuvent abandonner la gestion d'un appareil détenu par l'entreprise en supprimant le profil professionnel ou en effaçant l'intégralité de l'appareil.
1.11. Provisionnement d'appareils dédiés
Les EMM peuvent enregistrer des appareils dédiés sans que l'utilisateur ne soit invité à s'authentifier avec un compte Google.
2. Sécurité des appareils
2.1. Test de sécurité de l'appareil
Les administrateurs informatiques peuvent définir et appliquer une question d'authentification à la sécurité de l'appareil (code/schéma/mot de passe) parmi une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.
2.1.1. Règle doit appliquer des paramètres de gestion des questions d'authentification liées à la sécurité des appareils (parentProfilePasswordConditions pour le profil professionnel, exigences de mot de passe pour appareils entièrement gérés et dédiés).
2.1.2. La complexité du mot de passe doit correspondre au mot de passe suivant complexités:
- PASSWORD_COMPLEXITY_LOW : format ou épingle avec répétition (4444) ou ordonnées (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
- PASSWORD_COMPLEXITY_HIGH - code d'accès non répété (4444) ou ordonné (1234, 4321, 2468) et d'une longueur d'au moins 8 ou alphabétique ou mots de passe alphanumériques d'au moins six caractères
2.1.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres sur les appareils appartenant à l'entreprise.
2.2. Question d'authentification au travail
Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité pour les applications et les données professionnelles profil distinct qui est distinct et soumis à des exigences différentes du système de sécurité de l'appareil, (version 2.1).
2.2.1. Règle doit appliquer la question d'authentification pour le profil professionnel.
- Par défaut, les administrateurs informatiques ne doivent définir des restrictions que pour le profil professionnel si aucun champ d'application n'est spécifié
- Les administrateurs informatiques peuvent définir cet appareil à l'échelle de l'appareil en spécifiant le champ d'application (voir exigence 2.1)
2.2.2. La complexité du mot de passe doit correspondre au mot de passe prédéfini suivant complexités:
- PASSWORD_COMPLEXITY_LOW : format ou épingle avec répétition (4444) ou ordonnées (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
- PASSWORD_COMPLEXITY_HIGH - code d'accès non répété (4444) ou ordonné (1234, 4321, 2468) et d'une longueur d'au moins 8 ou alphabétique ou mots de passe alphanumériques d'au moins six caractères
2.2.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres.
2.3. Gestion avancée des codes secrets
Les administrateurs informatiques peuvent configurer des paramètres de mot de passe avancés sur les appareils.
2.3.1. Délibérément vide.
2.3.2. Délibérément vide.
Vous pouvez définir les paramètres de cycle de vie du mot de passe suivants pour chaque écran de verrouillage disponible sur un appareil:
- Délibérément vide
- Vide délibérément
- Nombre maximal de mots de passe ayant échoué pour l'effacement: indique le nombre de fois que des utilisateurs saisir un mot de passe incorrect avant que les données d'entreprise ne soient effacées du appareil. Les administrateurs informatiques doivent pouvoir désactiver cette fonctionnalité.
2.3.4. (Android 8.0 et versions ultérieures) Délai avant expiration de l'authentification forte requise: une un code secret d'authentification (code PIN ou mot de passe, par exemple) doit être saisi après un le délai avant expiration défini par un administrateur informatique. Après le délai d'inactivité, faible les méthodes d'authentification (empreinte digitale ou reconnaissance faciale, par exemple) sont désactivées jusqu'à ce que l'appareil est déverrouillé avec un code secret d'authentification fort.
2.4. Gestion Smart Lock
Les administrateurs informatiques peuvent choisir d'autoriser ou non les agents de confiance dans Smart Lock d'Android. sont autorisées à prolonger le déverrouillage de l'appareil jusqu'à quatre heures.
2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance sur l'appareil.
2.5. Effacer et verrouiller
Les administrateurs informatiques peuvent utiliser la console de l'EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.
Les appareils doivent être verrouillés à l'aide de l'API Android Management. pour en savoir plus.
2.5.2. Les appareils doivent être effacés à l'aide de l'API Android Management. pour en savoir plus.
2.6. Appliquer les critères de conformité
Si un appareil n'est pas conforme aux règles de sécurité, les règles de conformité mises en place par l'API Android Management limitent automatiquement l'utilisation du travail données.
2.6.1. Les règles de sécurité appliquées à un appareil doivent au minimum inclure règles relatives aux mots de passe.
2.7. Règles de sécurité par défaut
Les EMM doivent appliquer par défaut les règles de sécurité spécifiées sur les appareils, sans que les administrateurs informatiques n'aient à configurer ou à personnaliser des paramètres dans l'EMM console. Les EMM sont encouragés (mais pas obligés) à ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.
2.7.1. L'installation d'applications provenant de sources inconnues doit être bloquée, y compris les applications installées sur le côté personnel de tout appareil Android 8.0 ou version ultérieure doté d'un profil professionnel. Cette sous-fonctionnalité est disponible par défaut.
2.7.2. Les fonctionnalités de débogage doivent être bloquées. Cette sous-fonctionnalité est pris en charge par défaut.
2.8. Règles de sécurité pour les appareils dédiés
Aucune autre action n'est autorisée pour un appareil dédié verrouillé.
2.8.1. Le démarrage en mode sans échec doit être désactivé par défaut à l'aide de policy
(Accédez à safeBootDisabled
.)
2.9. Assistance Play Integrity
Les vérifications Play Integrity sont effectuées par défaut. Aucune implémentation supplémentaire n'est requises.
Délibérément vide.
2.9.2. Délibérément vide.
Les administrateurs informatiques peuvent configurer différentes réponses de stratégie en fonction de la valeur de SecurityRisk de l'appareil, y compris le blocage du provisionnement, l'effacement des données d'entreprise et l'autorisation de l'enregistrement.
- Le service EMM appliquera cette réponse à la stratégie pour le résultat de chaque contrôle d'intégrité.
Délibérément vide.
2.10. Application forcée de la validation des applications
Les administrateurs informatiques peuvent activer Vérifier les applications sur les appareils. La fonctionnalité Vérifier les applications permet d'analyser les applications installées sur les appareils Android pour détecter les éventuels logiciels malveillants. des logiciels avant et après leur installation, ce qui contribue à garantir que les logiciels malveillants les applications ne peuvent pas compromettre les données d'entreprise.
2.10.1. La fonctionnalité Vérifier les applications doit être activée par défaut à l'aide de policy
(Accédez à ensureVerifyAppsEnabled
.)
2.11. Compatibilité avec le démarrage direct
L'API Android Management prend en charge cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
2.12. Gestion de la sécurité matérielle
Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise afin de s'assurer la protection contre la perte de données.
Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des supports externes physiques à l'aide de
policy (accédez à
mountPhysicalMediaDisabled
).
2.12.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil via NFC.
Beam avec policy
(accédez à outgoingBeamDisabled
). Cette sous-fonctionnalité est facultative, car le partage NFC
n'est plus compatible avec Android 10 ou version ultérieure.
2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers via USB à l'aide d'une règle (accédez à usbFileTransferDisabled
).
2.13. Journalisation de sécurité d'entreprise
L'API Android Management n'est pas compatible avec cette fonctionnalité.
3. Gestion du compte et des applications
3.1. Liaison d'entreprise
Les administrateurs informatiques peuvent associer l'EMM à leur organisation, ce qui lui permet d'utiliser Google Play d'entreprise pour distribuer des applications sur les appareils.
3.1.1. Un administrateur disposant d'un domaine Google géré existant peut lier son domaine à l'EMM.
3.1.2. Délibérément vide.
3.1.3. Délibérément vide.
3.1.4. La console EMM invite l'administrateur à saisir son adresse e-mail professionnelle dans processus d'inscription Android et les déconseille d'utiliser un compte Gmail.
L'EMM préremplit l'adresse e-mail de l'administrateur dans le parcours d'inscription Android.
3.2. Gestion des comptes Google Play d'entreprise
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés Comptes Play. Ces comptes identifient les utilisateurs gérés et autorisent un accès par utilisateur règles de distribution des applications.
3.2.1. Les comptes Google Play d'entreprise (comptes utilisateur) sont créés automatiquement lors du provisionnement des appareils.
L'API Android Management prend en charge cette fonctionnalité par défaut. Aucuns frais supplémentaires est nécessaire.
3.3. Provisionnement des comptes des appareils Google Play d'entreprise
L'EMM peut créer et provisionner des comptes d'appareils Google Play d'entreprise. Appareil acceptent l'installation silencieuse d'applications depuis le Google Play Store d'entreprise, et ne sont pas liées à un seul utilisateur. Un compte d'appareil est utilisé pour identifier Un seul appareil pour prendre en charge les règles de distribution des applications par appareil dans un appareil dédié différents scénarios.
3.3.1. Les comptes Google Play d'entreprise sont créés automatiquement lorsque les appareils provisionnés.
L'API Android Management prend en charge cette fonctionnalité par défaut. Aucuns frais supplémentaires est nécessaire.
3.4. Provisionnement des comptes Google Play d'entreprise pour les anciens appareils
Cette fonctionnalité est obsolète.
3.5. Distribution silencieuse d'applications
Les administrateurs informatiques peuvent distribuer des applications professionnelles de manière silencieuse sur les appareils, sans aucun utilisateur d'interaction.
3.5.1. La console EMM doit utiliser l'API Android Management. pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur des appareils gérés.
3.5.2. La console EMM doit utiliser l'API Android Management. pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.
3.5.3. La console EMM doit utiliser l'API Android Management. pour permettre aux administrateurs informatiques de désinstaller des applications sur des appareils gérés.
3.6. Gestion des configurations gérées
Les administrateurs informatiques peuvent afficher et définir silencieusement les configurations gérées pour toute application qui est compatible avec les configurations gérées.
La console EMM doit pouvoir récupérer et afficher les paramètres de configuration gérée de n'importe quelle application Play.
3.6.2. La console EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (comme défini par le framework Android Enterprise) pour toute application Play utilisant le service Android Management API pour en savoir plus.
3.6.3. La console de l'EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (par exemple, $username$ ou %emailAddress%) afin qu'une seule configuration pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs.
3.7. Gestion du catalogue d'applications
L'API Android Management prend en charge cette fonctionnalité par défaut. Non une implémentation supplémentaire est requise.
3.8. Approbation des applications programmatique
La console de l'EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge les fonctionnalités de découverte et d'approbation des applications de Google Play. Les administrateurs informatiques peuvent rechercher des applications, approuver les applications et approuver les nouvelles autorisations d'applications sans quitter la console EMM.
3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console de l'EMM à l'aide de l'iFrame Google Play d'entreprise.
3.9. Gestion de base de la mise en page des magasins
L'application Google Play Store d'entreprise permet d'installer et de mettre à jour des applications professionnelles. Par défaut, le Google Play Store d'entreprise affiche les applications approuvées pour un utilisateur résidant dans les pays suivants : en une seule liste. Cette mise en page est appelée mise en page de base du magasin.
3.9.1. La console EMM doit permettre aux administrateurs informatiques de gérer les applications visibles dans la disposition de base du magasin d'un utilisateur final.
3.10. Configuration avancée de la mise en page de la boutique
Les administrateurs informatiques peuvent personnaliser la mise en page de la boutique. dans l'application Google Play Store d'entreprise.
3.11. Gestion des licences d'application
Cette fonctionnalité est obsolète.
3.12. Gestion des applications privées hébergées par Google
Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM. via la Google Play Console.
3.12.1. Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées en privé à l'entreprise en utilisant:
- iFrame Google Play d'entreprise ou
- L'API Google Play Developer Publishing pour en savoir plus.
3.13. Gestion des applications privées auto-hébergées
Les administrateurs informatiques peuvent configurer et publier des applications privées auto-hébergées. Retirer le "J’aime" Applications privées hébergées par Google, les APK ne sont pas hébergés sur Google Play. À la place, l'EMM aide les administrateurs informatiques à héberger eux-mêmes les APK et à protéger les applications auto-hébergées en veillant à ce qu'elles ne puissent être installées que lorsqu'elles sont autorisées par Google Play d'entreprise.
La console EMM doit aider les administrateurs informatiques à héberger l'APK de l'application, en offrant à la fois des options suivantes:
- Héberger l'APK sur le serveur EMM Le serveur peut être sur site ou dans le cloud.
- Hébergement de l'APK en dehors du serveur EMM, à la discrétion de pour les entreprises. L'administrateur informatique doit spécifier dans la console EMM où L'APK est hébergé.
3.13.2. La console EMM doit générer une définition APK appropriée à l'aide de l'APK fourni et doivent guider les administrateurs informatiques tout au long du processus de publication.
3.13.3. Les administrateurs informatiques peuvent mettre à jour les applications privées auto-hébergées et la console EMM pouvez publier des fichiers de définition d'APK mis à jour en mode silencieux à l'aide de l'application Google Play API Developer Publishing pour en savoir plus.
Le serveur EMM traite les requêtes de téléchargement pour l'APK auto-hébergé. contenant un jeton JWT valide dans le cookie de la requête, tel que vérifié par le la clé publique de l'application privée.
- Pour faciliter ce processus, le serveur EMM doit aider les administrateurs informatiques à téléchargez la clé publique de licence de l'application auto-hébergée Play Console, puis importez cette clé dans la console EMM.
3.14. Notifications pull de l'EMM
Cette fonctionnalité n'est pas applicable à l'API Android Management. Configurer Notifications Pub/Sub à la place.
3.15. Conditions d'utilisation de l'API
L'EMM implémente les API Android Management à grande échelle, évitant ainsi le trafic. susceptibles d'avoir un impact négatif sur les performances la possibilité de gérer les applications dans environnements de production Google Cloud.
L'EMM doit respecter l'API Android Management. les limites d'utilisation. Si vous ne corrigez pas tout comportement non conforme à ces consignes, entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
L'EMM doit répartir le trafic des différentes entreprises au lieu de regrouper le trafic de l'entreprise sur des périodes spécifiques fois. Comportement correspondant à ce modèle de trafic (lot programmé, par exemple) pour chaque appareil enregistré peut entraîner l'arrêt de l'utilisation de l'API, à la discrétion de Google.
3.15.3. L'EMM ne doit pas fournir des informations cohérentes, incomplètes ou délibérément incorrectes qui ne tentent pas de récupérer ou de gérer des données d'entreprise réelles. Un comportement correspondant à ce schéma de trafic peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.16. Gestion avancée des configurations gérées
L'EMM est compatible avec les fonctionnalités de gestion des configurations gérées avancées suivantes : fonctionnalités:
La console EMM doit être en mesure de récupérer et d'afficher jusqu'à quatre des paramètres de configuration gérée imbriqués de n'importe quelle application Play, à l'aide des éléments suivants:
- iFrame Google Play d'entreprise ou
- une UI personnalisée.
3.16.2. La console EMM doit pouvoir récupérer et afficher les commentaires. renvoyées par le canal de commentaires d'une application , lorsqu'ils sont configurés par un administrateur informatique.
- La console de l'EMM doit permettre aux administrateurs informatiques d'associer un élément de commentaires spécifique à l'appareil et à l'application d'où il provient.
- La console de l'EMM doit permettre aux administrateurs informatiques de s'abonner à des alertes ou à des rapports sur des types de messages spécifiques (tels que des messages d'erreur).
La console de l'EMM ne doit envoyer que des valeurs qui ont une valeur par défaut ou qui sont définies manuellement par l'administrateur à l'aide des éléments suivants :
- L'iFrame de configurations gérées, ou
- Une UI personnalisée.
3.17. Gestion des applications Web
Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.
La console EMM permet aux administrateurs informatiques de distribuer des raccourcis vers des applications Web avec:
- L'iFrame Google Play d'entreprise,
- ou l'API Android Management pour en savoir plus.
3.18. Gestion du cycle de vie des comptes Google Play d'entreprise
Le fournisseur EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise au nom des administrateurs informatiques, et récupérer automatiquement les comptes arrivés à expiration.
Cette fonctionnalité est disponible par défaut. Aucune implémentation EMM supplémentaire n'est requise.
3.19. Gestion du canal de l'application
Les administrateurs informatiques peuvent extraire la liste des ID de canal définis par un développeur pour une application spécifique.
3.19.2. Les administrateurs informatiques peuvent configurer des appareils de sorte qu'ils utilisent un canal de développement particulier pour une application.
3.20. Gestion avancée des mises à jour des applications
Les administrateurs informatiques peuvent autoriser la mise à jour immédiate des applications ou repousser leur arrêt pendant 90 jours.
3.20.1. Les administrateurs informatiques peuvent autoriser la mise à jour des mises à jour prioritaires lorsqu'une mise à jour est disponible. 3.20.2. Les administrateurs informatiques peuvent autoriser la mise à jour des applications pendant 90 jours.
3.21. Gestion des méthodes de provisionnement
L'EMM peut générer des configurations de provisionnement et les présenter au service informatique administrateur dans un formulaire prêt à être distribué aux utilisateurs finaux (code QR, configuration sans contact ou URL Play Store).
4. Gestion des appareils
4.1. Gestion des règles d'autorisation d'exécution
Les administrateurs informatiques peuvent définir silencieusement une réponse par défaut aux demandes d'autorisation d'exécution. créés par des applis professionnelles.
4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une règle d'autorisation d'exécution par défaut pour leur organisation :
- invite (permet aux utilisateurs de choisir)
- allow
- deny
L'EMM doit appliquer ces paramètres à l'aide d'une règle.
4.2. Gestion de l'état des attributions d'autorisations d'exécution
Après avoir défini une stratégie d'autorisation d'exécution par défaut (consultez la section 4.1), Les administrateurs informatiques peuvent Définissez silencieusement des réponses pour des autorisations spécifiques à partir de n'importe quelle application professionnelle basée sur l'API. 23 ou version ultérieure.
4.2.1. Les administrateurs informatiques doivent être en mesure de définir l'état d'autorisation (par défaut, accord ou refus) de toute autorisation demandée par une application professionnelle basée sur le niveau d'API 23 ou supérieur. L'EMM doivent appliquer ces paramètres à l'aide de policy.
4.3. Gestion de la configuration Wi-Fi
Les administrateurs informatiques peuvent provisionner de manière silencieuse des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris :
4.3.1. SSID, à l'aide de policy.
4.3.2. Mot de passe, à l'aide de policy
4.4. Gestion de la sécurité Wi-Fi
Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise. sur les appareils dotés des fonctionnalités de sécurité avancées suivantes : fonctionnalités:
4.4.1. Identité
4.4.2. Certificats pour l'autorisation du client
4.4.3. Certificats CA
4.5. Gestion Wi-Fi avancée
Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés pour empêcher les utilisateurs de créer des configurations ou de modifier celles de l'entreprise.
4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise à l'aide d'une règle dans l'une des configurations suivantes :
- Les utilisateurs ne peuvent pas modifier les configurations Wi-Fi provisionnées par l'EMM (consultez la page
wifiConfigsLockdownEnabled
), mais peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (par exemple, réseaux personnels). - Les utilisateurs ne peuvent pas ajouter ni modifier de réseau Wi-Fi sur l'appareil
(accédez à
wifiConfigDisabled
) et limitez la connectivité Wi-Fi à celles-ci provisionnés par l'EMM.
4.6. Gestion des comptes
Les administrateurs informatiques peuvent s'assurer que seuls les comptes d'entreprise autorisés peuvent interagir avec les données d'entreprise, pour des services tels que les applications de stockage et de productivité SaaS ; e-mail. Sans cette fonctionnalité, les utilisateurs peuvent ajouter des comptes personnels à ces applications d'entreprise qui acceptent également les comptes client, ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.
4.6.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'ajouter ou de modifier
comptes
(voir modifyAccountsDisabled
).
- Lorsqu'ils appliquent cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement, pour s'assurer que les utilisateurs en ajoutant des comptes avant son application.
4.7. Gestion des comptes Workspace
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.8. Gestion des certificats
Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification sur des appareils pour permettre l'utilisation des ressources de l'entreprise.
Les administrateurs informatiques peuvent installer des certificats d'identité des utilisateurs. générées par leur PKI par utilisateur. La console EMM doit intégrer avec au moins une PKI et distribuer les certificats générés à partir de celle-ci de l'infrastructure.
4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification.
(voir caCerts
) dans le keystore géré. Toutefois, cette sous-fonctionnalité n'est pas prise en charge
pour en savoir plus.
4.9. Gestion avancée des certificats
Permet aux administrateurs informatiques de sélectionner silencieusement les certificats associés à des applications gérées spécifiques doit utiliser. Cette fonctionnalité permet aussi aux administrateurs informatiques de supprimer des autorités de certification et des certificats d'identité provenant d'appareils actifs, et empêchent les utilisateurs de modifier d'identifiants stockés dans le keystore géré.
Les administrateurs informatiques peuvent spécifier un certificat pour toute application distribuée sur des appareils l'application se verra accorder l'accès de façon silencieuse pendant l'exécution. (Ce sous-fonctionnalité disponible)
- La sélection du certificat doit être suffisamment générique pour permettre un seul certificat configuration qui s'applique à tous les utilisateurs, chacun d'entre eux pouvant avoir d'identité propre à l'utilisateur.
4.9.2. Les administrateurs informatiques peuvent supprimer des certificats de manière silencieuse du keystore géré.
4.9.3. Les administrateurs informatiques peuvent désinstaller un certificat CA en mode silencieux. (Cette sous-fonctionnalité non compatibles)
4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants.
(accédez à credentialsConfigDisabled
) dans le keystore géré.
4.9.5. Les administrateurs informatiques peuvent pré-accorder des certificats pour les applications professionnelles à l'aide de ChoosePrivateKeyRule.
4.10. Gestion déléguée des certificats
Les administrateurs informatiques peuvent distribuer une application tierce de gestion des certificats sur les appareils et accorder à cette application un accès privilégié pour installer des certificats dans le keystore.
Les administrateurs informatiques peuvent spécifier un package de gestion des certificats.
(accédez à delegatedCertInstallerPackage
) pour qu'il soit défini comme certificat délégué.
de gestion d'applications.
- Les EMM peuvent éventuellement suggérer des packages de gestion des certificats connus, mais il doit permettre à l'administrateur informatique de choisir dans la liste des applications disponibles pour pour les utilisateurs concernés.
4.11. Gestion VPN avancée
Permet aux administrateurs informatiques de spécifier un VPN permanent pour s'assurer que les données les applications gérées spécifiées passeront toujours par une configuration du VPN.
4.11.1. Les administrateurs informatiques peuvent spécifier un package VPN arbitraire doit être défini comme VPN permanent.
- La console EMM peut éventuellement suggérer des packages VPN connus VPN permanent, mais impossible de limiter les VPN disponibles pour la configuration de cette fonctionnalité à n'importe quelle liste arbitraire.
4.11.2. Les administrateurs informatiques peuvent utiliser les configurations gérées pour spécifier les paramètres VPN une application.
4.12. Gestion des IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. Étant donné que l'IME est partagé entre les profils professionnel et personnel, le blocage de l'utilisation des IME empêche également les utilisateurs d'autoriser ces IME pour un usage personnel. Toutefois, les administrateurs informatiques ne peuvent pas bloquer l'utilisation des IME système (pour en savoir plus, consultez la gestion avancée des IME).
Les administrateurs informatiques peuvent configurer une liste d'autorisation IME.
(Accédez à permitted_input_methods
) d'une longueur arbitraire (y compris une liste vide,
qui bloque les IME non-système), qui peuvent contenir n'importe quel package IME arbitraire.
- La console de l'EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.12.2. L'EMM doit informer les administrateurs informatiques que les éditeurs de mode de saisie du système sont exclus de sur les appareils dotés d'un profil professionnel.
4.13. Gestion avancée de l'IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) que les utilisateurs peuvent configurer sur un appareil. La gestion avancée des IME étend la fonctionnalité de base en permettant aux administrateurs informatiques pour gérer l'utilisation des IME du système, le fabricant de l'appareil fournie par l'opérateur ou l'opérateur de l'appareil.
Les administrateurs informatiques peuvent configurer une liste d'autorisation d'IME (accédez à permitted_input_methods
) de longueur arbitraire (à l'exception d'une liste vide, qui bloque tous les IME, y compris les IME système), qui peut contenir des packages IME arbitraires.
- La console EMM peut éventuellement suggérer des IME connus ou recommandés pour à la liste d'autorisation, mais doit permettre aux administrateurs informatiques de choisir dans la liste d'applications pouvant être installées, pour les utilisateurs concernés.
L'EMM doit empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, empêche la configuration de tous les IME, y compris les IME système, sur le appareil.
4.13.3. Un EMM doit s'assurer que si une liste d'autorisation IME ne contient pas d'IME système, Les IME tiers sont installés en arrière-plan avant l'application de la liste d'autorisation. sur l'appareil.
4.14. Gestion des services d'accessibilité
Les administrateurs informatiques peuvent gérer les services d'accessibilité que les utilisateurs peuvent autoriser sur les appareils. Les services d'accessibilité sont des outils puissants pour les utilisateurs ayant un handicap ou qui ne peuvent temporairement pas interagir pleinement avec un appareil. Cependant, ils peuvent interagir avec les données d'entreprise non conforme au règlement d'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de désactiver tout service d'accessibilité hors système.
Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité.
(accédez à permittedAccessibilityServices
) de longueur arbitraire
qui bloque les services d'accessibilité hors système), qui peut contenir
un package de services d'accessibilité arbitraire. Lorsqu'elle est appliquée à un profil professionnel,
affecte à la fois le profil personnel et le profil professionnel.
- La console peut suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.15. Gérer le partage de position
Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données de localisation avec les applications du profil professionnel. Sinon, le paramètre de localisation du profil professionnel est configurable dans Paramètres.
Les administrateurs informatiques peuvent désactiver les services de localisation.
(accédez à shareLocationDisabled
) dans le profil professionnel.
4.16. Gestion avancée du partage de position
Les administrateurs informatiques peuvent appliquer un paramètre de partage de position donné sur un appareil géré. Grâce à cette fonctionnalité, les applications d'entreprise bénéficient toujours d'un service de localisation très précis. données. Cette fonctionnalité peut également vous assurer que la batterie n'est pas consommée en limitant les paramètres de localisation au mode Économiseur de batterie.
Les administrateurs informatiques peuvent configurer les services de localisation de l'appareil sur chacun des modes suivants :
- Haute précision.
- Capteurs uniquement, par exemple GPS, hors réseau fourni l'emplacement.
- Économiseur de batterie, qui limite la fréquence des mises à jour.
- Désactivé.
4.17. Gestion de la protection après rétablissement de la configuration d'usine
Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en s'assurant les utilisateurs non autorisés ne peuvent pas rétablir la configuration d’usine des appareils. Si la protection après rétablissement de la configuration d'usine complique les opérations lorsque les appareils sont renvoyés au service informatique, les administrateurs informatiques peut désactiver complètement la protection après rétablissement de la configuration d'usine.
Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine.
(accédez à factoryResetDisabled
) depuis les paramètres de son appareil.
Les administrateurs informatiques peuvent spécifier un ou plusieurs comptes de déverrouillage d'entreprise autorisés à
provisionner des appareils
(accédez à frpAdminEmails
) après avoir rétabli la configuration d'usine.
- Ce compte peut être associé à une personne physique ou utilisé par toute l'entreprise pour déverrouiller des appareils.
Les administrateurs informatiques peuvent désactiver la protection après rétablissement de la configuration d'usine.
(go to0 factoryResetDisabled
) pour les appareils spécifiés.
4.17.4. Les administrateurs informatiques peuvent effacer à distance les données d'un appareil. qui, si vous le souhaitez, efface les données de protection contre la réinitialisation, supprimant ainsi le rétablissement de la configuration d'usine sur l'appareil réinitialisé.
4.18. Contrôle avancé des applications
Les administrateurs informatiques peuvent empêcher l'utilisateur de désinstaller ou de modifier les applications gérées dans les paramètres. Par exemple, empêcher la fermeture forcée de l'application ou vider le cache de données d'une application.
4.18.1. Les administrateurs informatiques peuvent bloquer la désinstallation d'applications gérées arbitraires ou de toutes les applications gérées (accédez à uninstallAppsDisabled
).
4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données des applications. dans les paramètres. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité.)
4.19. Gestion des captures d'écran
Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran lorsqu'ils se servent d'applications gérées. Ce paramètre inclut le blocage des applications de partage d'écran et des applications similaires (par exemple, l'Assistant Google) qui utilisent les fonctionnalités de capture d'écran du système.
Les administrateurs informatiques peuvent empêcher les utilisateurs d'effectuer des captures d'écran.
(accédez à screenCaptureDisabled
).
4.20. Désactiver les appareils photo
Les administrateurs informatiques peuvent désactiver l'utilisation de l'appareil photo des appareils par les applications gérées.
4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des caméras des appareils.
(accédez à cameraDisabled
) par les applications gérées.
4.21. Collecte des statistiques du réseau
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.22. Collecte de statistiques réseau avancées
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4,23. Redémarrer l'appareil
Les administrateurs informatiques peuvent redémarrer les appareils gérés à distance.
Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.
4.24. Gestion radio du système
Fournit aux administrateurs informatiques une gestion précise des radios réseau du système et des règles d'utilisation associées à l'aide d'une règle.
Les administrateurs informatiques peuvent désactiver les diffusions cellulaires envoyées par les services
(accédez à cellBroadcastsConfigDisabled
).
Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres du réseau mobile dans
Paramètres (accédez à mobileNetworksConfigDisabled
).
Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser tous les paramètres réseau dans
Paramètres. (accédez à networkResetDisabled
).
Les administrateurs informatiques peuvent définir si l'appareil autorise les données mobiles.
en itinérance (accédez à dataRoamingDisabled
).
4.24.5. Les administrateurs informatiques peuvent définir si l'appareil peut effectuer des appels sortants
à l'exception des appels d'urgence (accédez à outGoingCallsDisabled
).
4.24.6. Les administrateurs informatiques peuvent définir si l'appareil peut envoyer et recevoir des SMS
messages (accédez à smsDisabled
).
4.24.7. Les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil
point d'accès via le partage de connexion (accédez à tetheringConfigDisabled
).
4.24.8. Les administrateurs informatiques peuvent définir le délai avant expiration du Wi-Fi par défaut, lorsqu'il est branché ou jamais. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité.)
4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier
Connexions Bluetooth (accédez à bluetoothConfigDisabled
).
4,25. Gestion audio du système
Les administrateurs informatiques peuvent contrôler silencieusement les fonctionnalités audio de l'appareil, y compris couper le son de l'appareil, empêcher les utilisateurs de modifier les paramètres de volume et de réactiver le micro de l'appareil.
Les administrateurs informatiques peuvent couper le son des appareils gérés de manière silencieuse. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité.)
4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier le volume des appareils
(accédez à adjustVolumeDisabled
). Le son des appareils est également coupé.
4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le son de l'appareil.
micro (accédez à unmuteMicrophoneDisabled
).
4.26. Gestion de l'horloge système
Les administrateurs informatiques peuvent gérer les paramètres d'horloge et de fuseau horaire de l'appareil, et empêcher les utilisateurs modifier les paramètres automatiques des appareils.
4.26.1. Les administrateurs informatiques peuvent appliquer l'heure et le fuseau horaire automatiques du système, ce qui empêche l'utilisateur de définir la date, l'heure et le fuseau horaire de l'appareil.
4,27. Fonctionnalités avancées pour les appareils dédiés
Pour les appareils dédiés, les administrateurs informatiques peuvent gérer les fonctionnalités suivantes à l'aide de policy différents cas d'utilisation des kiosques.
Les administrateurs informatiques peuvent désactiver la protection du clavier de l'appareil (voir keyguardDisabled
).
Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, bloquer les notifications et
Réglages rapides (accédez à statusBarDisabled
)
Les administrateurs informatiques peuvent forcer l'écran de l'appareil à rester allumé lorsque l'appareil
branché (accédez à stayOnPluggedModes
).
Les administrateurs informatiques peuvent empêcher les interfaces utilisateur système suivantes
(accédez à createWindowsDisabled
):
- Toasts
- Superpositions d'application.
4.27.5. Les administrateurs informatiques peuvent autoriser les applications à ignorer les recommandations du système
le tutoriel de l'utilisateur et d'autres astuces d'introduction au premier démarrage (consultez
skip_first_use_hints
).
4,28. Gestion déléguée des niveaux d'accès
Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.
Les administrateurs informatiques peuvent gérer les champs d'application suivants:
- Installation et gestion des certificats
- Délibérément vide
- Journalisation réseau
- Journalisation de sécurité (non compatible avec le profil professionnel BYOD)
4,29. Prise en charge des identifiants spécifiques à l'inscription
À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil avec un profil professionnel à l'aide de l'ID d'inscription spécifique, qui persiste après le rétablissement de la configuration d'usine.
4.29.1. Les administrateurs informatiques peuvent obtenir un identifiant spécifique à l'inscription.
Cet identifiant spécifique à l'enregistrement doit persister lors du rétablissement de la configuration d'usine
5. Ergonomie des appareils
5.1. Personnalisation de la configuration gérée
Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités propres à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par l'EMM lors du provisionnement.
5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant
enterprise-specific
Conditions d'utilisation et autres clauses de non-responsabilité (accédez à termsAndConditions
).
5.1.2. Les administrateurs informatiques peuvent déployer
Conditions d'utilisation spécifiques à l'EMM et autres clauses de non-responsabilité non configurables
(accédez à termsAndConditions
).
- Les EMM peuvent définir leur personnalisation spécifique et non configurable comme par défaut pour les déploiements, mais les administrateurs informatiques doivent pouvoir configurer eux-mêmes la personnalisation.
5.1.3. primaryColor
a été abandonné pour la ressource Enterprise sur Android
10 et ultérieure.
5.2. Personnalisation d'entreprise
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.3. Personnalisation avancée pour les entreprises
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.4. Messages sur l'écran de verrouillage
Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur le verrouillage de l'appareil. l'écran et ne nécessite pas le déverrouillage de l'appareil.
5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage.
(accédez à deviceOwnerLockScreenInfo
).
5.5. Gestion de la transparence des règles
Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils tentent de modifier les paramètres gérés sur leur appareil ou déployer une solution EMM générique message d'assistance. Les messages d'assistance courts et longs peuvent être personnalisés lors de tentatives de désinstallation d'une application gérée, un administrateur informatique a déjà bloqué la désinstallation.
5.5.1. Les administrateurs informatiques peuvent personnaliser l'assistance aux utilisateurs, qu'ils soient courts ou longs. messages.
5.5.2. Les administrateurs informatiques peuvent déployer des solutions non configurables, spécifiques à l'EMM, courtes et longues
messages d'assistance (accédez à shortSupportMessage
et longSupportMessage
dans
policies
).
- Les fournisseurs EMM peuvent définir leurs messages d'assistance spécifiques et non configurables en tant que par défaut pour les déploiements, mais les administrateurs informatiques doivent pouvoir configurer eux-mêmes messages.
5.6. Gestion des contacts dans tous les profils
5.6.1. Les administrateurs informatiques peuvent désactiver l'affichage des contacts professionnels dans les recherches de contacts et les appels entrants du profil personnel.
5.6.2. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth. de contacts professionnels, par exemple les appels mains libres dans les voitures ou les casques.
5.7. Gestion des données interprofils
Permet aux administrateurs informatiques de gérer les types de données pouvant être partagés entre l'entreprise et des profils personnels, ce qui permet aux administrateurs de trouver le bon équilibre entre la facilité d'utilisation et la sécurité des données. en fonction de leurs besoins.
5.7.1. Les administrateurs informatiques peuvent configurer une règle de partage de données entre les profils afin que les applications personnelles puissent résoudre les intents du profil professionnel, tels que les intents de partage ou les liens Web.
5.7.2. Les administrateurs informatiques peuvent autoriser les applications du profil professionnel à créer et à afficher des widgets sur l'écran d'accueil du profil personnel. Cette fonctionnalité
est désactivée par défaut, mais peut être définie comme autorisée à l'aide des champs workProfileWidgets
et workProfileWidgetsDefault
.
5.7.3. Les administrateurs informatiques peuvent contrôler la possibilité de copier/coller entre les profils professionnel et personnel.
5.8. Règle de mise à jour du système
Les administrateurs informatiques peuvent configurer et appliquer des mises à jour du système Over The Air (OTA) appareils.
5.8.1. La console EMM permet aux administrateurs informatiques de définir l'OTA suivante : configurations:
- Automatique: les appareils installent les mises à jour OTA lorsqu'elles sont disponibles.
- Report: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA jusqu'à 30 fois jours. Cette règle n'affecte pas les mises à jour de sécurité (par exemple, les mises à jour de sécurité mensuelles des correctifs).
- Fenêtrée: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA chaque jour l'intervalle de maintenance.
5.8.2. Les configurations OTA sont appliquées aux appareils utilisant règles pour en savoir plus.
5.9. Gestion du mode Tâches verrouillées
Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran, et s'assurer que les utilisateurs ne peut pas quitter l'application.
5.9.1. La console EMM permet aux administrateurs informatiques d'autoriser en mode silencieux un ensemble arbitraire des applications à installer et à verrouiller sur un appareil. Une règle permet de configurer des appareils dédiés.
5.10. Gestion persistante des activités préférées
Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents qui correspondent un filtre d'intent spécifique. Par exemple, cette fonctionnalité permet aux administrateurs informatiques de choisir quelle application de navigateur ouvre automatiquement les liens Web. Cette fonctionnalité permet de gérer l'application de lancement à utiliser lorsque l'utilisateur appuie sur le bouton d'accueil.
Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour n'importe quel filtre d'intent arbitraire.
- La console EMM peut éventuellement suggérer des intents connus ou recommandés pour mais ne peut pas limiter les intents à une liste arbitraire.
- La console de l'EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
5.11. Gestion des fonctionnalités de verrouillage du clavier
Les administrateurs informatiques peuvent gérer les fonctionnalités disponibles pour les utilisateurs avant de déverrouiller le verrouillage de l'appareil (écran de verrouillage) et le verrouillage de l'authentification professionnelle (écran de verrouillage).
5.11.1.Policy peut désactiver les fonctionnalités de protection du clavier suivantes sur l'appareil:
- agents de confiance
- déverrouillage par empreinte digitale
- notifications non masquées
5.11.2. Les fonctionnalités suivantes de protection du clavier du profil professionnel peuvent être désactivées à l'aide de policy:
- agents de confiance
- déverrouillage par empreinte digitale
5.12. Gestion avancée des fonctionnalités de verrouillage du clavier
- </ph>
- Sécuriser la caméra
- Toutes les notifications
- Non masquées
- Agents de confiance
- Fingerprint Unlock
- Toutes les fonctionnalités de verrouillage du clavier
5.13. Débogage à distance
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.14. Récupération des adresses MAC
Les EMM peuvent récupérer silencieusement l'adresse MAC d'un appareil afin de l'utiliser pour identifier les appareils dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification pour contrôler l'accès au réseau).
5.14.1. Le fournisseur EMM peut récupérer discrètement l'adresse MAC d'un appareil. et vous pouvez l'associer à l'appareil dans la console EMM.
5.15. Gestion avancée du mode tâches verrouillées
Avec un appareil dédié, les administrateurs informatiques peuvent utiliser pour effectuer les tâches suivantes:
5.15.1. Autoriser l'installation et le verrouillage d'une seule application sur un appareil pour en savoir plus.
5.15.2. Activez ou désactivez les fonctionnalités d'UI système suivantes :
- Bouton "Accueil"
- Présentation
- Actions générales
- Notifications
- Informations système / Barre d'état
- Verrouillage des touches (écran de verrouillage) Cette sous-fonctionnalité est activée par défaut lorsque 5.15.1. est implémentée.
5.15.3. Désactivez Boîtes de dialogue d'erreur système.
5.16. Règle de mise à jour du système avancée
Les administrateurs informatiques peuvent définir une période de blocage spécifique pour le blocage des mises à jour du système sur un appareil.
5.16.1. La console EMM doit autoriser les administrateurs informatiques à bloquer les OTA (Over The Air) du système pendant une période de blocage spécifiée.
5.17. Gestion de la transparence des règles du profil professionnel
Les administrateurs informatiques peuvent personnaliser le message qui s'affiche pour les utilisateurs lorsqu'ils suppriment leur travail. profil sur un appareil.
5.17.1. Les administrateurs informatiques peuvent fournir un texte personnalisé à afficher.
(accédez à wipeReasonMessage
) lorsqu'un profil professionnel est effacé.
5.18. Assistance pour les applications connectées
Les administrateurs informatiques peuvent établir une liste de packages qui peuvent communiquer entre eux pour limiter le profil professionnel en définissant ConnectedWorkAndPersonalApp.
5.19. Mise à jour manuelle du système
L'API Android Management n'est pas compatible avec cette fonctionnalité.
6. Abandon de l'outil d'administration des appareils
6.1. Abandon de Device Administration
Les EMM doivent publier un plan d'ici la fin de l'année 2022, avant la fin du service client Device Admin pour les appareils GMS d'ici la fin du 1er trimestre 2023.
7. Utilisation de l'API
7.1. Policy Controller standard pour les nouvelles liaisons
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour toute nouvelle liaison. Les EMM peuvent offrir la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans un de la section "Paramètres avancés" ou une terminologie similaire. Nouveaux clients ne doivent pas être exposées à un choix arbitraire entre les piles technologiques les workflows d'intégration ou de configuration.
7.2. Outil de contrôle standard des règles pour les nouveaux appareils
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour tous les nouveaux les enregistrements d'appareils, pour les liaisons existantes et nouvelles. Les EMM peuvent proposer la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'en-tête "Avancé" ou une terminologie similaire.