בדף הזה מפורטות כל התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הרגילות () של לפחות קבוצת פתרונות אחת לפני שהוא יהיה זמין מסחרית. פתרונות EMM שעוברים אימות של תכונות סטנדרטיות מופיעים בספריית הפתרונות לארגונים של Android עם הכיתוב Standard Management Set (ערכת ניהול סטנדרטית).
לכל חבילת פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מסומנות בכל דף של חבילת פתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. פתרונות EMM שעוברים את האימות של תכונות מתקדמות מופיעים בספריית הפתרונות לארגונים של Android עם ההגדרה חבילת ניהול מתקדמת.
מפתח
| תכונה רגילה אחת () | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת הרשאות למכשיר
1.1. הקצאת פרופיל עבודה קודם ל-DPC
| |
אחרי הורדת אפליקציית Device Policy ל-Android מ-Google Play, המשתמשים יכולים להקצות פרופיל עבודה.
1.1.1. מערכת ה-EMM מספקת למנהל ה-IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (אפשר לעבור אל רישום והקצאת מכשיר).
1.2. הקצאת הרשאות למכשיר באמצעות מזהה DPC
| |
|
הזנת afw# באשף ההגדרה של המכשיר מספקת מכשיר מנוהל באופן מלא או מכשיר ייעודי.
1.2.1. מערכת ה-EMM מספקת לאדמין IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (אפשר לעבור אל רישום והקצאה של מכשיר).
1.3. הקצאת הרשאות למכשירי NFC
| |
|
אדמינים ב-IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שאופסו להגדרות היצרן, בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. מערכות EMM חייבות להשתמש בתגי NFC Forum Type 2 עם זיכרון של לפחות 888 בייט. במהלך הקצאת ההרשאות צריך להשתמש בתוספים להקצאת הרשאות כדי להעביר למכשיר פרטי הרשמה לא רגישים, כמו מזהי שרת ומזהי הרשמה. פרטי הרישום לא צריכים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. אנחנו ממליצים להשתמש בתגי NFC ב-Android מגרסה 10 ואילך, כי הוצאנו משימוש את NFC Beam (שנקרא גם NFC Bump).
1.4. הקצאת הרשאות למכשיר באמצעות קוד QR
| |
במסוף של ה-EMM אפשר ליצור קוד QR שמנהלי IT יכולים לסרוק כדי להקצות מכשיר בניהול מלא או מכשיר ייעודי, בהתאם להנחיות ההטמעה שמוגדרות בתיעוד למפתחים של Android Management API.
1.4.1. קוד ה-QR צריך להשתמש בתוספות להקצאת הרשאות כדי להעביר פרטי רישום לא רגישים (כמו מזהי שרתים, מזהי הרשמה) למכשיר. פרטי ההרשמה לא יכולים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.5. הרשמה דרך הארגון
| |
אדמינים ממחלקת IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון למנהלי IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, המכשיר עובר אוטומטית להגדרות שהוגדרו על ידי אדמין ה-IT.
1.6. הקצאת הרשאות מתקדמת ללא מגע
| |
אדמינים ב-IT יכולים להפוך חלק ניכר מתהליך רישום המכשירים לאוטומטי באמצעות הרשמה דרך הארגון. בנוסף לכתובות URL להתחברות, מנהלי IT יכולים להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמציעה מערכת ה-EMM.
1.6.1. אדמינים ב-IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון.
1.6.2. הדרישה הזו הוצאה משימוש.
1.6.3. באמצעות כתובת ה-URL לכניסה , מערכת ה-EMM צריכה לוודא שמשתמשים לא מורשים לא יכולים להמשיך בהפעלה. לפחות, ההפעלה צריכה להיות מוגבלת למשתמשים בארגון מסוים.
1.6.4. באמצעות כתובת ה-URL לכניסה, מערכת ה-EMM צריכה לאפשר למנהלי IT למלא מראש פרטי הרשמה (לדוגמה, מזהי שרת, מזהי הרשמה) מלבד פרטים ייחודיים של משתמש או מכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור לכלול מידע רגיש, כמו סיסמאות או אישורים, בהגדרות של ההרשמה ללא מגע (ZTE).
1.7. הקצאת פרופיל עבודה בחשבון Google
| |
בארגונים שמשתמשים בדומיין Google מנוהל, התכונה הזו מנחה את המשתמשים בהגדרת פרופיל עבודה אחרי שהם מזינים את פרטי הכניסה שלהם ל-Workspace הארגוני במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר לפרופיל העבודה.
1.8. הקצאת מכשירים (Provisioning) לחשבון Google
| |
התכונה הזו לא נתמכת ב-Android Management API.
1.9. הגדרה ישירה של הרשמה דרך הארגון
| |
אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי להגדיר מכשירים בהרשמה דרך הארגון באמצעות iframe של ההרשמה דרך הארגון .
1.10. פרופילי עבודה במכשירים בבעלות החברה
| |
מערכות EMM יכולות לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה על ידי הגדרת AllowPersonalUsage .
1.10.1. השדה ריק בכוונה.
1.10.2. אדמינים של IT יכולים להגדיר פעולות תאימות לפרופילי עבודה במכשירים שבבעלות החברה באמצעות PersonalUsagePolicies.
1.10.3. אדמינים של IT יכולים להשבית את המצלמה בפרופיל העבודה או בכל המכשיר באמצעות PersonalUsagePolicies.
1.10.4. אדמינים של IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו באמצעות PersonalUsagePolicies.
1.10.5. אדמינים של IT יכולים להגדיר רשימת חסימה של אפליקציות שלא ניתן להתקין בפרופיל האישי באמצעות PersonalApplicationPolicy.
1.10.6. אדמינים ב-IT יכולים להפסיק את הניהול של מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או איפוס כל הנתונים במכשיר.
1.11. הקצאת מכשירים ייעודיים
| |
אדמינים של IT יכולים לרשום מכשירים ייעודיים בלי שהמשתמש יתבקש לאמת את עצמו באמצעות חשבון Google.
2. אבטחת המכשיר
2.1. אתגר אבטחה במכשיר
| |
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה למכשיר (קוד אימות/תבנית/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. מדיניות צריכה לאכוף הגדרות לניהול בעיות אבטחה במכשיר (parentProfilePasswordRequirements לפרופיל עבודה, passwordRequirements למכשירים בניהול מלא ולמכשירים ייעודיים).
2.1.2. מורכבות הסיסמה צריכה להיות תואמת למורכבויות הסיסמה הבאות:
- PASSWORD_COMPLEXITY_LOW - קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.1.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כמדיניות מדור קודם במכשירים בבעלות החברה.
2.2. אתגר אבטחה בפרופיל העבודה
| |
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד וכולל דרישות שונות מאתגר האבטחה של המכשיר (2.1).
2.2.1. המדיניות צריכה לאכוף את אתגר האבטחה בפרופיל העבודה.
- כברירת מחדל, אדמינים של IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא מצוין היקף
- אדמינים ב-IT יכולים להגדיר את ההגדרה הזו לכל המכשיר על ידי ציון ההיקף (ראו דרישה 2.1)
2.2.2. מורכבות הסיסמה צריכה להיות תואמת למורכבויות הסיסמה המוגדרות מראש הבאות:
- PASSWORD_COMPLEXITY_LOW - קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.2.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כהגדרות מדור קודם
2.3. ניהול מתקדם של קודי גישה
| |
אדמינים של IT יכולים להגדיר הגדרות סיסמה מתקדמות במכשירים.
2.3.1. השדה ריק בכוונה.
2.3.2. השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של הסיסמה לכל מסך נעילה שזמין במכשיר:
- ריק בכוונה
- ריק בכוונה
- מספר מקסימלי של ניסיונות הזנת סיסמה שגויה לפני איפוס: ההגדרה קובעת כמה פעמים משתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים של IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.3.4. (Android 8.0+) נדרש פסק זמן לאימות חזק: צריך להזין קוד אימות חזק (כמו קוד אימות או סיסמה) אחרי תקופת פסק זמן שהוגדרה על ידי אדמין IT. אחרי תקופת ההמתנה, שיטות אימות לא חזקות (כמו טביעת אצבע, ביטול נעילה באמצעות הפנים) מושבתות עד לביטול הנעילה של המכשיר באמצעות קוד גישה חזק לאימות.
2.4. ניהול של Smart Lock
| |
אדמינים ב-IT יכולים לקבוע אם סביבות אמינות בתכונה Smart Lock של Android יכולות למנוע את נעילת המכשיר למשך עד ארבע שעות.
2.4.1. אדמינים של IT יכולים להשבית סביבות אמינות במכשיר.
2.5. איפוס נתונים ונעילה
| |
אדמינים ב-IT יכולים להשתמש במסוף של מערכת ה-EMM כדי לנעול מרחוק ולאפס נתוני עבודה ממכשיר מנוהל.
2.5.1. המכשירים צריכים להיות נעולים באמצעות Android Management API .
2.5.2. צריך לאפס את המכשירים באמצעות Android Management API .
2.6. אכיפת התאימות
| |
אם מכשיר לא עומד בדרישות של מדיניות האבטחה, כללי התאימות שמוגדרים על ידי Android Management API מגבילים באופן אוטומטי את השימוש בנתוני העבודה.
2.6.1. לפחות, מדיניות האבטחה שנאכפת במכשיר חייבת לכלול מדיניות סיסמאות.
2.7. מדיניות אבטחה שמוגדרת כברירת מחדל
| |
ספקי EMM צריכים לאכוף את מדיניות האבטחה שצוינה במכשירים כברירת מחדל, בלי לדרוש מאדמינים של IT להגדיר או להתאים אישית הגדרות במסוף של ספק ה-EMM. מומלץ (אבל לא חובה) שמערכות EMM לא יאפשרו לאדמינים של IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. צריך לחסום התקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ומעלה עם פרופיל עבודה. תכונת המשנה הזו נתמכת כברירת מחדל.
2.7.2. צריך לחסום את התכונות לניפוי באגים. תכונת המשנה הזו נתמכת כברירת מחדל.
2.8. מדיניות אבטחה למכשירים ייעודיים
| |
אי אפשר לבצע פעולות אחרות במכשיר ייעודי נעול.
2.8.1. צריך להשבית את האפשרות לאתחול למצב בטוח כברירת מחדל באמצעות מדיניות
(כאן אפשר לעבור אל safeBootDisabled).
2.9. תמיכה ב-Play Integrity
בדיקות התקינות ב-Play מבוצעות כברירת מחדל. לא נדרשת הטמעה נוספת.
2.9.1. השדה ריק בכוונה.
2.9.2. השדה ריק בכוונה.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות בהתאם לערך של SecurityRisk במכשיר, כולל חסימת הקצאת הרשאות, מחיקת נתונים ארגוניים והתרת ההרשמה.
- שירות ה-EMM יחיל את תגובת המדיניות הזו על התוצאה של כל בדיקת תקינות.
2.9.4. השדה ריק בכוונה.
2.10. אכיפה של אימות אפליקציות
| |
אדמינים ב-IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ההתקנה ואחריה. כך היא עוזרת לוודא שאפליקציות זדוניות לא יוכלו לסכן נתונים של החברה.
2.10.1. האפשרות 'אימות אפליקציות' צריכה להיות מופעלת כברירת מחדל באמצעות מדיניות
(עוברים אל ensureVerifyAppsEnabled).
2.11. תמיכה בהפעלה ישירה
| |
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
2.12. ניהול אבטחה של חומרה
| |
אדמינים ב-IT יכולים לנעול רכיבי חומרה במכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מלהרכיב מדיה חיצונית פיזית באמצעות מדיניות (עוברים אל mountPhysicalMediaDisabled).
2.12.2. אדמינים של IT יכולים לחסום את המשתמשים מלשתף נתונים מהמכשיר שלהם באמצעות NFC
beam באמצעות מדיניות (צריך לעבור אל outgoingBeamDisabled). תכונת המשנה הזו היא אופציונלית כי הפונקציה NFC beam
לא נתמכת יותר ב-Android 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום את המשתמשים מהעברת קבצים באמצעות USB באמצעות מדיניות (כך עוברים אל usbFileTransferDisabled).
2.13. רישום פעולות שמשפיעות על אבטחת החשבון בארגון
| |
התכונה הזו לא נתמכת ב-Android Management API.
3. ניהול חשבונות ואפליקציות
3.1. קישור לארגון
אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים של Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. השדה ריק בכוונה.
3.1.3. השדה ריק בכוונה.
3.1.4. מסוף ה-EMM מנחה את האדמין להזין את כתובת האימייל שלו לצורכי עבודה בתהליך ההרשמה ל-Android, וממליץ לו לא להשתמש בחשבון Gmail.
3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאת הרשאות לחשבון Google Play מנוהל
| |
מערכת ה-EMM יכולה להקצות בשקט חשבונות משתמשים בארגון, שנקראים חשבונות מנוהלים ב-Google Play. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללי הפצה ייחודיים של אפליקציות לכל משתמש.
3.2.1. חשבונות Google Play לארגונים (חשבונות משתמשים) נוצרים באופן אוטומטי כשמגדירים מכשירים.
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.3. הקצאת חשבונות למכשירים ב-Google Play לניהול
| |
מערכת ה-EMM יכולה ליצור חשבונות מכשיר ב-Google Play לארגונים ולהקצות להם הרשאות. חשבונות במכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play לארגונים, והם לא מקושרים למשתמש יחיד. במקום זאת, נעשה שימוש בחשבון מכשיר כדי לזהות מכשיר יחיד, כדי לתמוך בכללים להפצת אפליקציות לכל מכשיר בתרחישים של מכשירים ייעודיים.
3.3.1. חשבונות Google Play לארגונים נוצרים באופן אוטומטי כשמגדירים מכשירים.
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.4. הקצאת חשבונות Google Play מנוהלים למכשירים מדור קודם
התכונה הזו תוצא משימוש.
3.5. הפצה שקטה של אפליקציות
אדמינים ב-IT יכולים להפיץ אפליקציות עבודה במכשירים בהתקנה שקטה, ללא אינטראקציה עם המשתמשים.
3.5.1. מסוף ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר לאדמינים של IT להתקין אפליקציות לשימוש בעבודה במכשירים מנוהלים.
3.5.2. המסוף של EMM חייב להשתמש ב-Android Management API כדי לאפשר למנהלי IT לעדכן אפליקציות לשימוש בעבודה במכשירים מנוהלים.
3.5.3. המסוף של ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר למנהלי IT להסיר אפליקציות במכשירים מנוהלים.
3.6. ניהול הגדרות מנוהלות
| |
אדמינים של IT יכולים לראות ולהגדיר בשקט הגדרות מנוהלות לכל אפליקציה שתומכת בהגדרות מנוהלות.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות הניהול של כל אפליקציה ב-Play.
3.6.2. מסוף ה-EMM צריך לאפשר למנהלי IT להגדיר כל סוג של תצורה (כפי שמוגדר במסגרת Android Enterprise) לכל אפליקציה ב-Play באמצעות Android Management API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים בתחום ה-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים.
3.7. ניהול קטלוג האפליקציות
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.8. אישור אפליקציות פרוגרמטיות
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגילוי ולאישור אפליקציות. אדמינים של IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת ממסוף ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה של חנות Google Play המנוהלת כדי להתקין ולעדכן אפליקציות לשימוש בעבודה. כברירת מחדל, בחנות Google Play לארגונים מוצגות האפליקציות שאושרו למשתמש ברשימה אחת. הפריסה הזו נקראת פריסת חנות בסיסית.
3.9.1. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לנהל את האפליקציות שמוצגות בפריסה הבסיסית של החנות למשתמשי קצה.
3.10. הגדרה מתקדמת של פריסת החנות
3.10.1. אדמינים ב-IT יכולים להתאים אישית את פריסת החנות באפליקציה של חנות Google Play לארגונים.
3.11. ניהול רישיונות לאפליקציות
התכונה הזו תוצא משימוש.
3.12. ניהול אפליקציות פרטיות שמתארחות ב-Google
אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. אדמינים ב-IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, ה-EMM עוזר לאדמינים ב-IT לארח חבילות APK בעצמם, ועוזר להגן על אפליקציות שמתארחות בעצמן על ידי הבטחה שאפשר להתקין אותן רק אם הן אושרו על ידי Google Play מנוהל.
3.13.1. המסוף של ה-EMM צריך לעזור לאדמינים של IT לארח את קובץ ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת של מערכת ה-EMM. השרת יכול להיות מקומי בארגון או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעתה של החברה. אדמין ה-IT צריך לציין במסוף ה-EMM איפה מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות בשרתים שלהם, ומסוף ה-EMM יכול לפרסם בשקט קובצי הגדרת APK מעודכנים באמצעות Google Play Developer Publishing API.
3.13.4. השרת של ה-EMM משרת בקשות להורדה של קובץ ה-APK שמתארח באופן עצמאי ומכיל JWT תקין בקובץ ה-Cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי להקל על התהליך הזה, השרת של ה-EMM צריך להנחות את האדמינים בתחום ה-IT להוריד את המפתח הציבורי של הרישיון של האפליקציה שמתארחת בשרת משלהם מ-Google Play Console, ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה ב-EMM
התכונה הזו לא רלוונטית ל-Android Management API. במקום זאת, אפשר להגדיר התראות Pub/Sub.
3.15. דרישות לשימוש ב-API
ה-EMM מטמיע ממשקי Android Management API בהיקף נרחב, וכך נמנעים דפוסי תנועה שיכולים להשפיע לרעה על היכולת של ארגונים לנהל אפליקציות בסביבות ייצור.
3.15.1. פתרון ה-EMM צריך לעמוד במגבלות השימוש של Android Management API. אם לא תתקנו התנהגות שחורגת מההנחיות האלה, Google עשויה להשעות את השימוש ב-API, לפי שיקול דעתה.
3.15.2. פתרון ה-EMM צריך לפזר את התנועה מעסקים שונים במהלך היום, במקום לרכז את התנועה מעסקים בזמנים ספציפיים או דומים. התנהגות שתואמת לדפוס התנועה הזה, כמו פעולות מתוזמנות של אצווה לכל מכשיר רשום, עלולה להוביל להשעיית השימוש ב-API, לפי שיקול הדעת של Google.
3.15.3. ה-EMM לא צריך לשלוח בקשות עקביות, חלקיות או שגויות בכוונה, בלי לנסות לאחזר או לנהל נתונים עסקיים בפועל. התנהגות שתואמת לדפוס התנועה הזה עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
| |
פתרון ה-EMM תומך בתכונות המתקדמות הבאות לניהול הגדרות מנוהלות:
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את עד ארבע רמות של הגדרות מנוהלות מוטמעות של כל אפליקציה ב-Play, באמצעות:
- ה-iframe של Google Play לארגונים , או
- ממשק משתמש מותאם אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שמוחזר על ידי ערוץ המשוב של האפליקציה, כשהוא מוגדר על ידי אדמין IT.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שממנו הוא נשלח.
- מסוף ה-EMM צריך לאפשר לאדמינים של IT להירשם לקבלת התראות או דוחות על סוגים ספציפיים של הודעות (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM צריך לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמינים של IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף EMM.
3.17.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play מנוהל
| |
ה-EMM יכול ליצור, לעדכן ולמחוק חשבונות Google Play לארגונים בשם אדמינים ב-IT, ולשחזר באופן אוטומטי חשבונות שתוקף השימוש בהם פג.
התכונה הזו נתמכת כברירת מחדל. לא נדרשת הטמעה נוספת של EMM.
3.19. ניהול של קהל יעד מצומצם של אפליקציה
| |
3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי מעקב שהוגדרו על ידי מפתח עבור אפליקציה מסוימת.
3.19.2. אדמינים של IT יכולים להגדיר מכשירים לשימוש בערוץ פיתוח מסוים עבור אפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
| |
אדמינים ב-IT יכולים לאפשר לאפליקציות להתעדכן באופן מיידי או לדחות את העדכון שלהן ל-90 יום.
3.20.1. אדמינים של IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשהעדכון מוכן. 3.20.2. אדמינים ב-IT יכולים לאפשר לאפליקציות לדחות את העדכונים שלהן למשך 90 ימים.
3.21. ניהול שיטות הקצאת הרשאות
הפתרון לניהול ניידות בארגון יכול ליצור הגדרות הקצאת הרשאות ולהציג אותן לאדמין ב-IT בטופס שמוכן להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה בהרשמה דרך הארגון, כתובת URL בחנות Play).
3.22. שדרוג הקישור ל-Enterprise
אדמינים ב-IT יכולים לשדרג את סוג הקישור לארגון לדומיין מנוהל ב-Google לארגון, וכך לאפשר לארגון לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.
3.22.1. מסוף ה-EMM מאפשר לאדמין ה-IT להפעיל את השדרוג של קבוצת חשבונות קיימת של Google Play לארגונים לדומיין מנוהל ב-Google לארגונים באמצעות ממשקי ה-API הנדרשים.
3.22.2. פלטפורמות EMM צריכות להשתמש ב-Pub/Sub כדי לקבל התראות על אירועי שדרוג שיזמו אדמינים של IT (גם כאלה שמתרחשים מחוץ למסוף ה-EMM) ולעדכן את ממשק המשתמש שלהן בהתאם לשינויים האלה.
3.23. הקצאת חשבונות Google מנוהלים
מערכת ה-EMM יכולה להקצות למכשיר חשבונות משתמשים ארגוניים, שנקראים חשבונות Google מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללים להפצת אפליקציות וגישה לשירותי Google. אדמינים ב-IT יכולים גם להגדיר מדיניות שמחייבת אימות של חשבון Google מנוהל במהלך ההרשמה או אחריה.
3.23.1. ה-EMM יכול להקצות חשבון Google מנוהל בהתאם להנחיות ההטמעה המוגדרות.
במהלך הפעולה:
- חשבון Google מנוהל נוסף למכשיר.
- צריך להיות מיפוי של אחד לאחד בין חשבון Google המנוהל לבין משתמשים בפועל במסוף של מערכת ה-EMM.
3.23.2. אדמינים ב-IT יכולים להשתמש במדיניות כדי לספק למשתמשים אפשרות להיכנס לחשבון Google מנוהל לצורך הרשמה.
3.23.3. אדמינים ב-IT יכולים להשתמש במדיניות כדי לקבוע אם המשתמש יידרש להיכנס לחשבון Google מנוהל כדי להשלים את ההרשמה.
3.23.4. אדמינים ממחלקת ה-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.
3.24. שדרוג חשבון Google Play לארגונים
אדמינים ב-IT יכולים לשדרג את סוג חשבון המשתמש לחשבון Google מנוהל, וכך לאפשר למכשיר לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.
3.24.1. אדמינים ב-IT יכולים לשדרג חשבונות קיימים של Google Play לארגונים במכשיר לחשבון Google מנוהל.
3.24.2. אדמינים ממחלקת ה-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.
4. ניהול מכשירים
4.1. ניהול מדיניות ההרשאות בזמן ריצה
| |
אדמינים ב-IT יכולים להגדיר תשובה שתינתן כברירת מחדל לבקשות גישה שאפליקציות ששייכות לפרופיל העבודה שולחות בתחילת ההפעלה, בלי שהמשתמשים יצטרכו לאשר אותן.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות מוגדרת כברירת מחדל בזמן ריצה לארגון שלהם:
- הודעה (המשתמשים יכולים לבחור)
- לאפשר
- דחייה
הפתרון לניהול ניידות בארגון צריך לאכוף את ההגדרות האלה באמצעות מדיניות .
4.2. ניהול מצב של מתן הרשאה בזמן ריצה
| |
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בזמן ריצה (עוברים לשלב 4.1), אדמינים של IT יכולים להגדיר תשובות להרשאות ספציפיות באופן שקט מכל אפליקציה לעבודה שמבוססת על API בגרסה 23 ומעלה.
4.2.1. אדמינים של IT צריכים להיות מסוגלים להגדיר את מצב ההרשאה (ברירת מחדל, אישור או דחייה) של כל הרשאה שמבוקשת על ידי כל אפליקציה לעבודה שמבוססת על API מגרסה 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.3. ניהול הגדרות Wi-Fi
| |
אדמינים של IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות מדיניות.
4.3.2. סיסמה, באמצעות מדיניות.
4.4. ניהול אבטחת Wi-Fi
| |
אדמינים ב-IT יכולים להקצות הגדרות Wi-Fi למכשירים שכוללים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהויות
4.4.2. אישורים להרשאת לקוח
4.4.3. אישורי CA
4.5. ניהול מתקדם של Wi-Fi
| |
אדמינים של IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באמצעות מדיניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שסופקו על ידי EMM (כדאי לעבור אל
wifiConfigsLockdownEnabled), אבל הם יכולים להוסיף ולשנות רשתות שניתנות להגדרה על ידי המשתמש (לדוגמה, רשתות אישיות). - המשתמשים לא יכולים להוסיף או לשנות רשת Wi-Fi במכשיר
(כדאי לעבור אל
wifiConfigDisabled), כך שהחיבור ל-Wi-Fi מוגבל רק לרשתות שהוקצו על ידי מערכת ה-EMM.
4.6. ניהול חשבון
| |
אדמינים ב-IT יכולים לוודא שרק חשבונות ארגוניים מורשים יכולים ליצור אינטראקציה עם נתונים ארגוניים, בשירותים כמו אחסון SaaS ואפליקציות פרודוקטיביות, או באימייל. בלי התכונה הזו, משתמשים יכולים להוסיף חשבונות לשימוש אישי לאפליקציות הארגוניות האלה שתומכות גם בחשבונות לצרכן, וכך הם יכולים לשתף נתונים ארגוניים עם החשבונות לשימוש אישי האלה.
4.6.1. אדמינים ב-IT יכולים למנוע ממשתמשים להוסיף או לשנות חשבונות (ראו modifyAccountsDisabled).
- כשמחילים את המדיניות הזו על מכשיר, פתרונות EMM צריכים להגדיר את ההגבלה הזו לפני שההקצאה מסתיימת, כדי לוודא שהמשתמשים לא יוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות נכנסת לתוקף.
4.7. ניהול חשבון Workspace
התכונה הזו תוצא משימוש. כאן מפורטות הדרישות להחלפה.
4.8. ניהול אישורים
| |
מאפשר לאדמינים ב-IT לפרוס אישורי זהות ורשויות אישורים במכשירים כדי לאפשר שימוש במשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורים של זהויות משתמשים שנוצרו על ידי ה-PKI שלהם על בסיס כל משתמש. המסוף של מערכת ה-EMM חייב להיות משולב עם לפחות PKI אחד, ולהפיץ אישורים שנוצרו מהתשתית הזו.
4.8.2. מנהלי IT יכולים להתקין רשויות אישורים (ראו caCerts) במאגר המפתחות המנוהל. עם זאת, אין תמיכה בתכונת המשנה הזו.
4.9. ניהול מתקדם של אישורים
| |
מאפשר לאדמינים ב-IT לבחור בשקט את האישורים שאפליקציות מנוהלות ספציפיות צריכות להשתמש בהם. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות אישורים ואישורי זהות ממכשירים פעילים, ולמנוע ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. אדמינים ב-IT יכולים לציין אישור לכל אפליקציה שמופצת למכשירים, והאפליקציה תקבל גישה באופן שקט במהלך זמן הריצה. (תכונת המשנה הזו לא נתמכת)
- בחירת האישור צריכה להיות כללית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, שלכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים בשקט מחנות המפתחות המנוהלת.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA באופן שקט. (This subfeature is not supported)
4.9.4. אדמינים ב-IT יכולים למנוע מהמשתמשים להגדיר פרטי כניסה (כך עושים את זה: credentialsConfigDisabled) במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להעניק מראש אישורים לאפליקציות לצרכי עבודה באמצעות ChoosePrivateKeyRule.
4.10. ניהול אישורים שהועברו לו סמכויות
| |
אדמינים של IT יכולים להפיץ למכשירים אפליקציה לניהול אישורים של צד שלישי ולהעניק לאפליקציה הזו גישה מיוחדת להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT יכולים לציין חבילה לניהול אישורים (עוברים אל delegatedCertInstallerPackage) שתוגדר כאפליקציה לניהול אישורים עם הרשאות גישה.
- יכול להיות שפתרונות ה-EMM יציעו חבילות ידועות לניהול אישורים, אבל הם חייבים לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.11. ניהול מתקדם של VPN
| |
מאפשר לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי לוודא שהנתונים מאפליקציות מנוהלות שצוינו תמיד יעברו דרך הגדרת ה-VPN.
4.11.1. אדמינים ב-IT יכולים להגדיר חבילת VPN שרירותית כ-VPN בחיבור תמידי.
- מסוף ה-EMM יכול להציע חבילות VPN מוכרות שתומכות ב-VPN פועל כל הזמן, אבל הוא לא יכול להגביל את שרתי ה-VPN שזמינים להגדרה של VPN פועל כל הזמן לרשימה שרירותית כלשהי.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
| |
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מכיוון ש-IME משותף גם לפרופילים של העבודה וגם לפרופילים לשימוש אישי, חסימת השימוש ב-IME תמנע מהמשתמשים לאפשר את השימוש ב-IME גם לשימוש אישי. עם זאת, אדמינים ב-IT לא יכולים לחסום את השימוש ב-IME של המערכת בפרופילי עבודה (פרטים נוספים זמינים במאמר בנושא ניהול מתקדם של IME).
4.12.1. אדמינים של IT יכולים להגדיר רשימת היתרים של IME (עוברים אל permitted_input_methods) באורך שרירותי (כולל רשימה ריקה, שחוסמת ממשקי IME שאינם של המערכת), שעשויה להכיל חבילות IME שרירותיות.
- יכול להיות שבמסוף של ה-EMM יוצעו שיטות קלט מוכרות או מומלצות להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.12.2. מערכת ה-EMM צריכה להודיע לאדמינים של ה-IT שמערכות IME של המערכת לא נכללות בניהול במכשירים עם פרופילי עבודה.
4.13. ניהול מתקדם של IME
| |
אדמינים של IT יכולים לנהל את שיטות הקלט (IME) שהמשתמשים יכולים להגדיר במכשיר. ניהול מתקדם של IME מרחיב את התכונה הבסיסית ומאפשר לאדמינים ב-IT לנהל גם את השימוש ב-IME של המערכת, שבדרך כלל מסופק על ידי יצרן המכשיר או הספק הסלולרי של המכשיר.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים ל-IME (כדאי לעבור אל permitted_input_methods) באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל IME של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- יכול להיות שבמסוף של ה-EMM יוצעו שיטות קלט מוכרות או מומלצות להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.13.2. פתרון ה-EMM צריך למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום את כל שיטות הקלט, כולל שיטות קלט של המערכת, כך שלא ניתן יהיה להגדיר אותן במכשיר.
4.13.3. מערכת ה-EMM צריכה לוודא שאם רשימת ההיתרים של ה-IME לא מכילה IME של המערכת, ה-IME של הצד השלישי מותקן בשקט לפני שהרשימה מוחלת על המכשיר.
4.14. ניהול שירותי נגישות
| |
אדמינים של IT יכולים לקבוע אילו שירותי נגישות משתמשים יכולים לאשר במכשירים. שירותי נגישות הם כלים שימושיים למשתמשים עם מוגבלויות או למשתמשים שלא יכולים לקיים אינטראקציה מלאה עם מכשיר באופן זמני. עם זאת, יכול להיות שהם יבצעו אינטראקציה עם נתונים עסקיים באופן שלא עומד בדרישות המדיניות של החברה. התכונה הזו מאפשרת לאדמינים של IT להשבית כל שירות נגישות שאינו מערכתי.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות (permittedAccessibilityServices) באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילה שרירותית של שירותי נגישות. כשמפעילים את ההגדרה הזו בפרופיל העבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- יכול להיות שהמסוף יציע שירותי נגישות מוכרים או מומלצים להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.15. ניהול של שיתוף המיקום
| |
אדמינים של IT יכולים למנוע מהמשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום בפרופיל העבודה דרךההגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום (עוברים אל shareLocationDisabled) בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
| |
אדמינים של IT יכולים לאכוף הגדרה מסוימת של שיתוף מיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח שלאפליקציות ארגוניות תמיד יהיו נתוני מיקום מדויקים. התכונה הזו יכולה גם להגביל את הגדרות המיקום למצב חיסכון בסוללה, כדי למנוע צריכה מיותרת של הסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שסופק על ידי הרשת.
- חיסכון בסוללה, שמגביל את תדירות העדכון.
- כבוי.
4.17. ניהול ההגנה למכשיר אחרי איפוס
| |
מאפשר לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי הבטחה שמשתמשים לא מורשים לא יוכלו לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבויות תפעוליות כשמכשירים מוחזרים ל-IT, אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות לחלוטין.
4.17.1. אדמינים של IT יכולים למנוע מהמשתמשים לאפס את המכשיר להגדרות המקוריות (עוברים אל factoryResetDisabled) דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות ארגוניים לביטול הנעילה שמורשים להקצות מכשירים
(עוברים אל frpAdminEmails) אחרי איפוס להגדרות היצרן.
- אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו בכל הארגון כדי לבטל את הנעילה של מכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות (עוברים אל 0 factoryResetDisabled) במכשירים ספציפיים.
4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של המכשיר, שכוללת גם מחיקה של נתוני ההגנה מפני איפוס (אם בוחרים באפשרות הזו), וכך להסיר את ההגנה מפני איפוס להגדרות המקוריות במכשיר שאופס.
4.18. בקרה מתקדמת על אפליקציות
| |
אדמינים ב-IT יכולים למנוע מהמשתמש להסיר או לשנות בדרך אחרת אפליקציות מנוהלות דרך ההגדרות. לדוגמה, מניעת סגירה בכוח של האפליקציה או ניקוי מטמון הנתונים של האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את ההסרה של אפליקציות מנוהלות שונות, או של כל האפליקציות המנוהלות (עוברים אל uninstallAppsDisabled).
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות נתוני אפליקציות דרך ההגדרות. (ה-API לניהול Android לא תומך בתכונת המשנה הזו)
4.19. ניהול צילומי מסך
| |
אדמינים של IT יכולים לחסום משתמשים מלצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות צילום המסך של המערכת.
4.19.1. אדמינים ב-IT יכולים למנוע מהמשתמשים לצלם צילומי מסך (כך עושים זאת).screenCaptureDisabled
4.20. השבת מצלמות
| |
אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשיר באפליקציות מנוהלות.
4.20.1. אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשירים
(כך עוברים אל cameraDisabled) באפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של רשתות
| |
התכונה הזו לא נתמכת ב-Android Management API.
4.22. איסוף מתקדם של נתונים סטטיסטיים על הרשת
| |
התכונה הזו לא נתמכת ב-Android Management API.
4.23. הפעלת המכשיר מחדש
| |
אדמינים ב-IT יכולים להפעיל מחדש מכשירים מנוהלים מרחוק.
4.23.1. אדמינים של IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו המערכת
| |
מספק למנהלי IT ניהול מפורט של מכשירי רדיו ברשת המערכת ומדיניות השימוש המשויכת באמצעות policy .
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירותים (כדאי לעבור אל cellBroadcastsConfigDisabled).
4.24.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (mobileNetworksConfigDisabled).
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את כל הגדרות הרשת בהגדרות. (עוברים אל networkResetDisabled).
4.24.4. אדמינים ב-IT יכולים להגדיר אם המכשיר יאפשר נדידת נתונים סלולריים (כדאי לעבור אל dataRoamingDisabled).
4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יכול להוציא שיחות טלפון, לא כולל שיחות חירום (outGoingCallsDisabled).
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יכול לשלוח ולקבל הודעות טקסט (smsDisabled).
4.24.7. אדמינים ב-IT יכולים למנוע מהמשתמשים להשתמש במכשיר שלהם כנקודה חמה ניידת על ידי שיתוף אינטרנט (tethering) (עוברים אל tetheringConfigDisabled).
4.24.8. אדמינים של IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi כברירת מחדל, בזמן שהמכשיר מחובר לחשמל או אף פעם. (ה-API לניהול Android לא תומך בתכונת המשנה הזו)
4.24.9. אדמינים ב-IT יכולים למנוע מהמשתמשים להגדיר חיבורי Bluetooth קיימים או לשנות אותם (עוברים אל bluetoothConfigDisabled).
4.25. ניהול האודיו של המערכת
| |
אדמינים ב-IT יכולים לשלוט בשקט בתכונות האודיו של המכשיר, כולל השתקת המכשיר, מניעת שינוי הגדרות עוצמת הקול על ידי המשתמשים ומניעת ביטול ההשתקה של המיקרופון במכשיר על ידי המשתמשים.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים בלי שהמשתמשים ידעו על כך. (ה-API לניהול Android לא תומך בתכונת המשנה הזו)
4.25.2. אדמינים של IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשיר (adjustVolumeDisabled). הפעולה הזו גם משתיקה את המכשירים.
4.25.3. אדמינים של IT יכולים למנוע מהמשתמשים לבטל את ההשתקה של המיקרופון במכשיר (צריך לעבור אל unmuteMicrophoneDisabled).
4.26. ניהול שעון המערכת
| |
|
אדמינים ב-IT יכולים לנהל את השעון של המכשיר ואת ההגדרות של אזור הזמן, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את ההגדרה האוטומטית של השעה ואזור הזמן במערכת, ובכך למנוע מהמשתמש להגדיר את התאריך, השעה ואזור הזמן במכשיר.
4.27. תכונות מתקדמות במכשירים ייעודיים
| |
במכשירים ייעודיים, אדמינים בתחום ה-IT יכולים לנהל את התכונות הבאות באמצעות מדיניות כדי לתמוך בתרחישי שימוש שונים בקיוסקים.
4.27.1. אדמינים ב-IT יכולים להשבית את מסך הנעילה של המכשיר (keyguardDisabled).
4.27.2. אדמינים של IT יכולים להשבית את סרגל הסטטוס של המכשיר, לחסום התראות והגדרות מהירות (עוברים אל statusBarDisabled).
4.27.3. אדמינים ב-IT יכולים להגדיר שהמסך של המכשיר יישאר דולק בזמן שהמכשיר מחובר לחשמל (עוברים אל stayOnPluggedModes).
4.27.4. אדמינים ב-IT יכולים למנוע את ההצגה של ממשקי המשתמש של המערכת הבאים (עוברים אל createWindowsDisabled):
- הודעות קופצות
- שכבות-על של אפליקציות.
4.27.5. אדמינים ב-IT יכולים לאפשר להמלצות המערכת לאפליקציות לדלג על הדרכות למשתמשים ועל רמזים אחרים למתחילים בהפעלה הראשונה (כך עושים זאת skip_first_use_hints).
4.28. ניהול היקף ההרשאות שהועברו
| |
אדמינים של IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- ריק בכוונה
- רישום התנועה ברשת
- רישום ביומן של פעולות אבטחה (לא נתמך בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה בנושא מזהה ספציפי להרשמה
| |
החל מ-Android 12, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות מזהה ספציפי לרישום, שיישמר גם אחרי איפוס להגדרות היצרן.
4.29.1. אדמינים של IT יכולים לקבל מזהה ספציפי להרשמה
4.29.2. המזהה הזה, שספציפי להרשמה, צריך להישמר גם אחרי איפוס להגדרות המקוריות
4.30. מדיניות Credential Manager
| |
אדמינים ב-IT יכולים לנהל את האפליקציות של מנהל פרטי הכניסה שמותרות או חסומות באמצעות מדיניות ברירת המחדל של ספק פרטי הכניסה או מדיניות ספק פרטי הכניסה.
4.30.1 אדמינים ב-IT יכולים לחסום את כל מנהלי האישורים במכשיר (או בפרופיל לצורכי עבודה) באמצעות מדיניות.
4.30.2 אדמינים בתחום ה-IT יכולים לציין שרק מנהלי אישורים שנטענו מראש (אפליקציות מערכת) יורשו לפעול.
4.30.3 אדמינים של IT יכולים לציין רשימה של שמות חבילות כדי להפעיל את הפונקציונליות של מנהל האישורים.
4.31. ניהול בסיסי של eSIM
מאפשר למנהלי IT להקצות למכשיר פרופיל eSIM ולנהל את מחזור החיים שלו במכשיר.
4.31.1 אדמינים של IT יכולים להקצות פרופיל eSIM למכשיר באופן שקט באמצעות מדיניות.
4.31.2 אדמינים ב-IT יכולים למחוק כרטיסי eSIM מנוהלים ממכשיר באמצעות מדיניות.
4.31.3 אדמינים של IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (עוברים אל mobileNetworksConfigDisabled).
4.31.4 אדמינים ב-IT יכולים לשלוח מרחוק פקודת מחיקה למכשיר או לפרופיל עבודה. הפקודה הזו מסירה מהמכשיר כרטיסי eSIM מנוהלים (אופציונלי). כברירת מחדל, כרטיסי eSIM מנוהלים מוסרים מפרופילי עבודה במכשירים בבעלות אישית, אבל נשמרים במכשירים בבעלות החברה.
4.31.5 אדמינים בתחום ה-IT יכולים לאחזר את מזהה ה-EID (מסמך הזהות המוטמע) של מכשיר באמצעות ממשק המשתמש של מסוף ה-EMM (או שיטה מקבילה).
5. נוחות השימוש במכשיר
5.1. התאמה אישית של הקצאת הרשאות מנוהלת
| |
אדמינים ב-IT יכולים לשנות את ברירת המחדל של תהליך ההגדרה של חוויית המשתמש כדי לכלול תכונות ספציפיות לארגון. אופציונלית, אדמינים של IT יכולים להציג מיתוג שסופק על ידי EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך הקצאת ההרשאות על ידי ציון תנאים והגבלות וכתבי ויתור אחרים שספציפיים לארגון (כאן מוסבר איך עושים את זה termsAndConditions).
5.1.2. אדמינים ב-IT יכולים לפרוס תנאים והגבלות ספציפיים ל-EMM והצהרות אחריות אחרות שלא ניתן להגדיר (אפשר לעבור אל termsAndConditions).
- יכול להיות שספקי EMM יגדירו את ההתאמה האישית שלהם שאי אפשר לשנות, שספציפית ל-EMM, כברירת המחדל לפריסות, אבל הם חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.1.3. primaryColor הוצא משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
5.2. התאמה אישית של Enterprise
| |
התכונה הזו לא נתמכת ב-Android Management API.
5.3. התאמה אישית מתקדמת לארגונים
| |
התכונה הזו לא נתמכת ב-Android Management API.
5.4. הודעות במסך הנעילה
| |
אדמינים של IT יכולים להגדיר הודעה מותאמת אישית שמוצגת תמיד במסך הנעילה של המכשיר, ולא נדרשת ביטול נעילה של המכשיר כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך הנעילה (עוברים אל deviceOwnerLockScreenInfo).
5.5. ניהול שקיפות המדיניות
| |
אדמינים של IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם מנסים לשנות הגדרות מנוהלות במכשיר שלהם, או לפרוס הודעת תמיכה כללית שסופקה על ידי EMM. אפשר להתאים אישית את הודעות התמיכה הקצרות והארוכות. הן מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שמנהל ה-IT כבר חסם את ההסרה שלה.
5.5.1. אדמינים ב-IT יכולים להתאים אישית הודעות תמיכה קצרות וארוכות למשתמשי קצה.
5.5.2. אדמינים של IT יכולים לפרוס הודעות תמיכה קצרות וארוכות שלא ניתן להגדיר, ספציפיות ל-EMM (אפשר לעבור אל shortSupportMessage ו-longSupportMessage ב-policies).
- יכול להיות שספק ה-EMM יגדיר את הודעות התמיכה הספציפיות שלו שאי אפשר לשנות כברירת מחדל לפריסות, אבל הוא חייב לאפשר לאדמינים של IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר בפרופילים שונים
| |
5.6.1. אדמינים ממחלקת IT יכולים להשבית את האפשרות להציג אנשי קשר שקשורים לעבודה בחיפושים של אנשי קשר ובשיחות נכנסות בפרופיל האישי .
5.6.2. אדמינים ב-IT יכולים להשבית את שיתוף אנשי הקשר באמצעות Bluetooth של אנשי קשר מהעבודה, למשל שיחות ללא ידיים ברכב או באוזניות.
5.7. ניהול נתונים בכמה פרופילים
| |
מאפשר לאדמינים ממחלקת IT לנהל את סוגי הנתונים שאפשר לשתף בין פרופילים של עבודה לפרופילים אישיים, וכך לאזן בין שימושיות לאבטחת נתונים בהתאם לדרישות שלהם.
5.7.1. אדמינים של IT יכולים להגדיר מדיניות לשיתוף נתונים בין פרופילים כדי שאפליקציות לשימוש אישי יוכלו לפתור כוונות מפרופיל העבודה, כמו שיתוף כוונות או קישורי אינטרנט.
5.7.2. מנהלי IT יכולים לאפשר לאפליקציות מפרופיל העבודה ליצור ולהציג ווידג'טים במסך הבית של הפרופיל האישי. היכולת הזו מושבתת כברירת מחדל, אבל אפשר להגדיר אותה כמאושרת באמצעות השדות workProfileWidgets ו-workProfileWidgetsDefault.
5.7.3. מנהלי IT יכולים לשלוט באפשרות להעתיק ולהדביק בין פרופיל העבודה לפרופיל האישי.
5.8. מדיניות עדכוני מערכת
| |
אדמינים ב-IT יכולים להגדיר ולהחיל עדכוני מערכת OTA (Over-the-Air) במכשירים.
5.8.1. מסוף ה-EMM מאפשר לאדמינים בתחום ה-IT להגדיר את ההגדרות הבאות של OTA:
- אוטומטי: המכשירים מתקינים עדכוני OTA כשהם זמינים.
- דחייה: אדמינים ב-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
- חלון: אדמינים של IT צריכים להיות מסוגלים לתזמן עדכוני OTA במסגרת חלון תחזוקה יומי.
5.8.2. הגדרות OTA מופעלות במכשירים באמצעות מדיניות.
5.9. ניהול מצב משימות נעולות
| |
אדמינים ב-IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, ולוודא שהמשתמשים לא יכולים לצאת מהאפליקציה.
5.9.1. המסוף של EMM מאפשר לאדמינים של IT לאפשר באופן שקט התקנה של קבוצה שרירותית של אפליקציות ולנעול אותן במכשיר. המדיניות מאפשרת להגדיר מכשירים ייעודיים.
5.10. ניהול קבוע של פעילויות מועדפות
| |
מאפשר לאדמינים ב-IT להגדיר אפליקציה כרכיב handler שמוגדר כברירת מחדל לכוונות שתואמות למסנן כוונות מסוים. לדוגמה, התכונה הזו מאפשרת לאדמינים בתחום ה-IT לבחור איזו אפליקציית דפדפן תפתח באופן אוטומטי קישורים לאתרים. התכונה הזו מאפשרת לנהל את אפליקציית מרכז האפליקציות שבה משתמשים כשלוחצים על הכפתור הראשי.
5.10.1. אדמינים של IT יכולים להגדיר כל חבילה כמטפל ברירת המחדל בכוונה לכל מסנן כוונות שרירותי.
- יכול להיות שבמסוף של מערכת ה-EMM יוצעו לכם Intents מוכרים או מומלצים להגדרה, אבל אי אפשר להגביל את ה-Intents לרשימה שרירותית כלשהי.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול תכונות של Keyguard
| |
אדמינים ב-IT יכולים לנהל את התכונות שזמינות למשתמשים לפני ביטול הנעילה של אמצעי האבטחה של המכשיר (מסך הנעילה) ואמצעי האבטחה של פרופיל העבודה (מסך הנעילה).
5.11.1.מדיניות אפשר להשבית את התכונות הבאות של מסך הנעילה במכשיר:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות ללא צנזורה
5.11.2. אפשר להשבית את התכונות הבאות של פרופיל העבודה במסך הנעילה באמצעות מדיניות:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של תכונות במסך הנעילה
| |
- העברה מאובטחת של נתוני המצלמה
- כל ההודעות
- לא צונזר
- סביבות אמינות
- פתיחה בטביעת אצבע
- כל התכונות של מסך הנעילה
5.13. ניקוי באגים מרחוק
Android Management API לא תומך בתכונה הזו.
5.14. אחזור כתובת MAC
| |
פלטפורמות EMM יכולות לאחזר בשקט את כתובת ה-MAC של המכשיר, כדי להשתמש בה לזיהוי מכשירים בחלקים אחרים של תשתית הארגון (לדוגמה, כשמזהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. ה-EMM יכול לאחזר בשקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף ה-EMM.
5.15. ניהול מתקדם של מצב משימות נעולות
| |
באמצעות מכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף של EMM כדי לבצע את המשימות הבאות:
5.15.1. מתן הרשאה שקטה להתקנה של אפליקציה אחת ונעילה שלה במכשיר .
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש של המערכת:
- לחצן הבית
- סקירה כללית
- פעולות גלובליות
- התראות
- מידע על המערכת / שורת סטטוס
- Keyguard (מסך הנעילה). תכונת המשנה הזו מופעלת כברירת מחדל כשמטמיעים את גרסה 5.15.1.
5.15.3. משביתים את האפשרות תיבות דו-שיח של שגיאות מערכת.
5.16. מדיניות מתקדמת לעדכוני מערכת
| |
אדמינים ב-IT יכולים להגדיר תקופת הקפאה ספציפית לחסימת עדכוני מערכת במכשיר.
5.16.1. מסוף ה-EMM צריך לאפשר לאדמינים של IT לחסום עדכוני מערכת OTA (Over-the-Air) לתקופת הקפאה מוגדרת.
5.17. ניהול שקיפות של מדיניות פרופיל העבודה
| |
אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשמסירים את פרופיל העבודה מהמכשיר.
5.17.1. אדמינים של IT יכולים לספק טקסט מותאם אישית להצגה
(עוברים אל wipeReasonMessage) כשפרופיל עבודה נמחק.
5.18. תמיכה באפליקציה מקושרת
| |
אדמינים של IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות של פרופיל העבודה באמצעות ההגדרה ConnectedWorkAndPersonalApp.
5.19. עדכון מערכת ידני
| |
התכונה הזו לא נתמכת ב-Android Management API.
6. הוצאה משימוש של ניהול המכשיר
6.1. הוצאה משימוש של ניהול המכשיר
| |
ספקי EMM נדרשים לפרסם תוכנית עד סוף 2022 להפסקת תמיכת הלקוחות בDevice Admin במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
| |
כברירת מחדל, מכשירים חדשים צריכים להיות מנוהלים באמצעות Android Device Policy. יכול להיות שפתרונות EMM יספקו אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או במונח דומה. לקוחות חדשים לא יכולים להיחשף לבחירה שרירותית בין חבילות טכנולוגיות במהלך תהליכי הצטרפות או הגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
| |
כברירת מחדל, מכשירים חדשים צריכים להיות מנוהלים באמצעות Android Device Policy לכל ההרשמות החדשות של מכשירים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שבמערכות EMM תהיה אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או במונח דומה.