Questa pagina elenca l'insieme completo delle funzionalità di Android Enterprise.
Se intendi gestire più di 500 dispositivi, la tua soluzione EMM deve supportare tutte le funzionalità standard () di almeno un set di soluzioni prima di poter essere resa disponibile a livello commerciale. Le soluzioni EMM che superano la verifica delle funzionalità standard sono elencate nella directory di soluzioni per le aziende di Android come offerte di un set di gestione standard.
Per ogni set di soluzioni è disponibile un set aggiuntivo di funzionalità avanzate. Queste funzionalità sono indicate in ogni pagina del set di soluzioni: profilo di lavoro su dispositivo di proprietà personale, profilo di lavoro su dispositivo di proprietà dell'azienda, dispositivo completamente gestito e dispositivo dedicato. Le soluzioni EMM che superano la verifica delle funzionalità avanzate sono elencate nella directory di soluzioni aziendali di Android come offerte di un set di gestione avanzato.
Chiave
| standard feature | advanced feature | funzionalità facoltativa | non applicabile |
1. Provisioning del dispositivo
1.1. Provisioning del profilo di lavoro DPC-first
Dopo aver scaricato Android Device Policy da Google Play, gli utenti possono eseguire il provisioning di un profilo di lavoro.
1.1.1. L'EMM fornisce all'amministratore IT un codice QR o un codice di attivazione per supportare questo metodo di provisioning (vai a Registrazione e provisioning di un dispositivo).
1.2. Provisioning dispositivo con identificatore DPC
L'inserimento di "afw#" nella procedura guidata di configurazione del dispositivo esegue il provisioning di un dispositivo completamente gestito o dedicato.
1.2.1. L'EMM fornisce all'amministratore IT un codice QR o un codice di attivazione per supportare questo metodo di provisioning (vai a Registrazione e provisioning di un dispositivo).
1.3. Provisioning del dispositivo NFC
I tag NFC possono essere utilizzati dagli amministratori IT per eseguire il provisioning di dispositivi nuovi o di cui sono stati ripristinati i dati di fabbrica, in base alle linee guida per l'implementazione definite nella documentazione per sviluppatori dell'API Play EMM.
1.3.1. Gli EMM devono utilizzare tag NFC Forum di tipo 2 con almeno 888 byte di memoria. Il provisioning deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID registrazione. I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.3.2. Consigliamo l'utilizzo di tag NFC per Android 10 e versioni successive a causa del ritiro di NFC Beam (noto anche come NFC Bump).
1.4. Provisioning dei dispositivi con codice QR
La console dell'EMM può generare un codice QR che gli amministratori IT possono scansionare per eseguire il provisioning di un dispositivo completamente gestito o dedicato, in base alle linee guida per l'implementazione definite nella documentazione per gli sviluppatori dell' API Android Management.
1.4.1. Il codice QR deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili (ad esempio ID server, ID registrazione). I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.5. Registrazione zero-touch
Gli amministratori IT possono preconfigurare i dispositivi acquistati da rivenditori autorizzati e gestirli utilizzando la console EMM.
1.5.1. Gli amministratori IT possono eseguire il provisioning dei dispositivi di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch, descritto nell'articolo Registrazione zero-touch per gli amministratori IT.
1.5.2. Quando un dispositivo viene acceso per la prima volta, viene forzato automaticamente nelle impostazioni definite dall'amministratore IT.
1.6. Provisioning zero-touch avanzato
Gli amministratori IT possono automatizzare gran parte della procedura di registrazione dei dispositivi con la registrazione zero-touch. In combinazione con gli URL di accesso, gli amministratori IT possono limitare la registrazione a domini o account specifici, in base alle opzioni di configurazione offerte dall'EMM.
1.6.1. Gli amministratori IT possono eseguire il provisioning di un dispositivo di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch.
1.6.2. Questo requisito è deprecato.
1.6.3. Utilizzando l'URL di accesso, l'EMM deve assicurarsi che gli utenti non autorizzati non possano procedere con l'attivazione. Come minimo, l'attivazione deve essere limitata agli utenti di una determinata azienda.
1.6.4. Utilizzando l'URL di accesso, l'EMM deve consentire agli amministratori IT di precompilare i dettagli di registrazione (ad esempio ID server, ID registrazione) oltre a informazioni univoche dell'utente o del dispositivo (ad esempio nome utente/password, token di attivazione), in modo che gli utenti non debbano inserire i dettagli quando attivano un dispositivo.
- Le EMM non devono includere informazioni sensibili, come password o certificati, nella configurazione della registrazione zero-touch.
1.7. Provisioning del profilo di lavoro dell'Account Google
Per le aziende che utilizzano un dominio Google gestito, questa funzionalità guida gli utenti nella configurazione di un profilo di lavoro dopo aver inserito le proprie credenziali aziendali di Workspace durante la configurazione del dispositivo o su un dispositivo già attivato. In entrambi i casi, l'identità Workspace aziendale verrà migrata nel profilo di lavoro.
1.8. Provisioning dei dispositivi collegati all'Account Google
L'API Android Management non supporta questa funzionalità.
1.9. Configurazione zero-touch diretta
Gli amministratori IT possono utilizzare la console dell'EMM per configurare i dispositivi zero-touch utilizzando l'iframe zero-touch.
1.10. Profili di lavoro sui dispositivi di proprietà aziendale
I provider EMM possono registrare i dispositivi di proprietà aziendale che hanno un profilo di lavoro impostando AllowPersonalUsage .
1.10.1. Deliberatamente vuoto.
1.10.2. Gli amministratori IT possono impostare azioni di conformità per i profili di lavoro sui dispositivi di proprietà aziendale tramite PersonalUsagePolicies.
1.10.3. Gli amministratori IT possono disattivare la videocamera nel profilo di lavoro o nell'intero dispositivo tramite PersonalUsagePolicies.
1.10.4. Gli amministratori IT possono disattivare l'acquisizione di schermate nel profilo di lavoro o in un intero dispositivo tramite PersonalUsagePolicies.
1.10.5. Gli amministratori IT possono impostare una lista bloccata di applicazioni che non possono essere installate nel profilo personale tramite PersonalApplicationPolicy.
1.10.6. Gli amministratori IT possono rinunciare alla gestione di un dispositivo di proprietà aziendale rimuovendo il profilo di lavoro o cancellando i dati dell'intero dispositivo.
1.11. Provisioning dei dispositivi dedicati
Gli amministratori IT possono registrare dispositivi dedicati senza che all'utente venga chiesto di autenticarsi con un Account Google.
2. Sicurezza del dispositivo
2.1. Verifica di sicurezza del dispositivo
Gli amministratori IT possono impostare e applicare una verifica di sicurezza del dispositivo (PIN/sequenza/password) da una selezione predefinita di 3 livelli di complessità sui dispositivi gestiti.
2.1.1. Criterio deve applicare le impostazioni di gestione delle sfide di sicurezza del dispositivo (parentProfilePasswordRequirements per il profilo di lavoro, passwordRequirements per dispositivi completamente gestiti e dedicati).
2.1.2. La complessità della password deve corrispondere alle seguenti complessità della password:
- PASSWORD_COMPLEXITY_LOW: sequenza o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica con una lunghezza di almeno 4 caratteri
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e una lunghezza di almeno 8 caratteri o password alfabetiche o alfanumeriche con una lunghezza di almeno 6 caratteri
2.1.3. Possono essere applicate anche ulteriori limitazioni delle password come impostazioni legacy sui dispositivi di proprietà aziendale.
2.2. Verifica di sicurezza per il lavoro
Gli amministratori IT possono impostare e applicare una verifica di sicurezza per app e dati nel profilo di lavoro separata e con requisiti diversi da quella di sicurezza del dispositivo (2.1).
2.2.1. Il criterio deve applicare la verifica di sicurezza per il profilo di lavoro.
- Per impostazione predefinita, gli amministratori IT devono impostare limitazioni solo per il profilo di lavoro se non viene specificato alcun ambito
- Gli amministratori IT possono impostare questa opzione a livello di dispositivo specificando l'ambito (vedi requisito 2.1)
2.2.2. La complessità della password deve essere mappata alle seguenti complessità predefinite:
- PASSWORD_COMPLEXITY_LOW: sequenza o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica con una lunghezza di almeno 4 caratteri
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e una lunghezza di almeno 8 caratteri o password alfabetiche o alfanumeriche con una lunghezza di almeno 6 caratteri
2.2.3. Possono essere applicate anche ulteriori limitazioni alle password come impostazioni legacy
2.3. Gestione avanzata dei passcode
Gli amministratori IT possono configurare impostazioni avanzate per le password sui dispositivi.
2.3.1. Deliberatamente vuoto.
2.3.2. Deliberatamente vuoto.
2.3.3. Per ogni schermata di blocco disponibile su un dispositivo è possibile impostare le seguenti impostazioni del ciclo di vita della password:
- Deliberatamente vuoto
- Deliberatamente vuoto
- Numero massimo di password errate per la cancellazione: specifica il numero di volte in cui gli utenti possono inserire una password errata prima che i dati aziendali vengano cancellati dal dispositivo. Gli amministratori IT devono poter disattivare questa funzionalità.
2.3.4. (Android 8.0+) Timeout richiesto per l'autenticazione avanzata: un passcode di autenticazione avanzata (ad esempio PIN o password) deve essere inserito dopo un periodo di timeout impostato da un amministratore IT. Al termine del periodo di timeout, i metodi di autenticazione non avanzati (come l'impronta e lo Sblocco con il Volto) vengono disattivati finché il dispositivo non viene sbloccato con un passcode di autenticazione avanzata.
2.4. Gestione delle serrature smart
Gli amministratori IT possono gestire se gli agenti di attendibilità nella funzionalità Smart Lock di Android possono estendere lo sblocco del dispositivo fino a quattro ore.
2.4.1. Gli amministratori IT possono disattivare gli agenti attendibili sul dispositivo.
2.5. Cancella e blocca
Gli amministratori IT possono utilizzare la console dell'EMM per bloccare e cancellare da remoto i dati di lavoro da un dispositivo gestito.
2.5.1. I dispositivi devono essere bloccati utilizzando l'API Android Management .
2.5.2. I dispositivi devono essere cancellati utilizzando l'API Android Management .
2.6. Applicazione della conformità
Se un dispositivo non è conforme alle norme di sicurezza, le regole di conformità implementate dall'API Android Management limitano automaticamente l'utilizzo dei dati di lavoro.
2.6.1. Come minimo, le norme sulla sicurezza applicate a un dispositivo devono includere norme relative alle password.
2.7. Policy di sicurezza predefinite
Gli EMM devono applicare le norme di sicurezza specificate sui dispositivi per impostazione predefinita, senza richiedere agli amministratori IT di configurare o personalizzare alcuna impostazione nella console dell'EMM. I provider EMM sono incoraggiati (ma non obbligati) a non consentire agli amministratori IT di modificare lo stato predefinito di queste funzionalità di sicurezza.
2.7.1. L'installazione di app da origini sconosciute deve essere bloccata, incluse le app installate nella parte personale di qualsiasi dispositivo Android 8.0+ con un profilo di lavoro. Questa funzionalità secondaria è supportata per impostazione predefinita.
2.7.2. Le funzionalità di debug devono essere bloccate. Questa funzionalità secondaria è supportata per impostazione predefinita.
2.8. Criteri di sicurezza per i dispositivi dedicati
Non sono consentite altre azioni per un dispositivo dedicato bloccato.
2.8.1. L'avvio in modalità provvisoria deve essere disattivato per impostazione predefinita utilizzando il criterio
(vai a safeBootDisabled).
2.9. Supporto di Play Integrity
I controlli Play Integrity vengono eseguiti per impostazione predefinita. Non è richiesta alcuna implementazione aggiuntiva.
2.9.1. Deliberatamente vuoto.
2.9.2. Deliberatamente vuoto.
2.9.3. Gli amministratori IT possono configurare risposte ai criteri diverse in base al valore di SecurityRisk del dispositivo, tra cui il blocco del provisioning, la cancellazione dei dati aziendali e l'autorizzazione della registrazione.
- Il servizio EMM applicherà questa risposta alle norme per il risultato di ogni controllo dell'integrità.
2.9.4. Deliberatamente vuoto.
2.10. Applicazione forzata di Verifica app
Gli amministratori IT possono attivare Verifica app sui dispositivi. Verifica app esegue la scansione delle app installate sui dispositivi Android per rilevare software dannosi prima e dopo l'installazione, contribuendo a garantire che le app dannose non possano compromettere i dati aziendali.
2.10.1. Per impostazione predefinita, la funzionalità Verifica app deve essere attiva tramite policy
(vai a ensureVerifyAppsEnabled).
2.11. Supporto di Avvio diretto
L'API Android Management supporta questa funzionalità per impostazione predefinita. Non è richiesta alcuna implementazione aggiuntiva.
2.12. Gestione della sicurezza hardware
Gli amministratori IT possono bloccare gli elementi hardware di un dispositivo di proprietà aziendale per garantire la prevenzione della perdita di dati.
2.12.1. Gli amministratori IT possono impedire agli utenti di montare supporti esterni fisici utilizzando
policy (vai a
mountPhysicalMediaDisabled).
2.12.2. Gli amministratori IT possono impedire agli utenti di condividere i dati dal proprio dispositivo utilizzando NFC
beam utilizzando i criteri
(vai a outgoingBeamDisabled). Questa funzionalità secondaria è facoltativa, poiché NFC beam
non è più supportato in Android 10 e versioni successive.
2.12.3. Gli amministratori IT possono impedire agli utenti di trasferire file tramite USB utilizzando
i criteri (vai a
usbFileTransferDisabled).
2.13. Logging di sicurezza aziendale
L'API Android Management non supporta questa funzionalità.
3. Gestione di account e app
3.1. Associazione aziendale
Gli amministratori IT possono collegare l'EMM alla propria organizzazione, consentendo all'EMM di utilizzare Google Play gestito per distribuire app ai dispositivi.
3.1.1. Un amministratore con un dominio Google gestito esistente può associare il proprio dominio all'EMM.
3.1.2. Deliberatamente vuoto.
3.1.3. Deliberatamente vuoto.
3.1.4. La console EMM guida l'amministratore a inserire il proprio indirizzo email di lavoro nel flusso di registrazione di Android e lo sconsiglia di utilizzare un account Gmail.
3.1.5. EMM precompila l'indirizzo email dell'amministratore nel flusso di registrazione di Android.
3.2. Provisioning dell'account Google Play gestito
L'EMM può eseguire il provisioning silenzioso degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app uniche per utente.
3.2.1. Gli account Google Play gestiti (account utente) vengono creati automaticamente quando vengono eseguito il provisioning dei dispositivi.
L'API Android Management supporta questa funzionalità per impostazione predefinita. Non è richiesta alcuna implementazione aggiuntiva.
3.3 Provisioning dell'account dispositivo Google Play gestito
Il provider EMM può creare e eseguire il provisioning di account dispositivo Google Play gestiti. Gli account dispositivo supportano l'installazione invisibile delle app dal Google Play Store gestito e non sono collegati a un singolo utente. Un account dispositivo viene invece utilizzato per identificare un singolo dispositivo per supportare le regole di distribuzione delle app per dispositivo in scenari dedicati.
3.3.1. Gli account Google Play gestiti vengono creati automaticamente quando i dispositivi vengono provisionati.
L'API Android Management supporta questa funzionalità per impostazione predefinita. Non è richiesta alcuna implementazione aggiuntiva.
3.4. Provisioning dell'account Google Play gestito per i dispositivi legacy
Questa funzionalità è ritirata.
3.5. Distribuzione invisibile delle app
Gli amministratori IT possono distribuire in modalità invisibile le app di lavoro sui dispositivi senza alcuna interazione da parte dell'utente.
3.5.1. La console EMM deve utilizzare l'API Android Management per consentire agli amministratori IT di installare app di lavoro sui dispositivi gestiti.
3.5.2. La console EMM deve utilizzare l'API Android Management per consentire agli amministratori IT di aggiornare le app di lavoro sui dispositivi gestiti.
3.5.3. La console EMM deve utilizzare l'API Android Management per consentire agli amministratori IT di disinstallare le app sui dispositivi gestiti.
3.6. Gestione della configurazione gestita
Gli amministratori IT possono visualizzare e impostare automaticamente le configurazioni gestite per qualsiasi app che le supporti.
3.6.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita di qualsiasi app Google Play.
3.6.2. La console dell'EMM deve consentire agli amministratori IT di impostare qualsiasi tipo di configurazione (come definito dal framework Android Enterprise) per qualsiasi app Google Play utilizzando l'API Android Management.
3.6.3. La console dell'EMM deve consentire agli amministratori IT di impostare caratteri jolly (ad esempio $username$ o %emailAddress%) in modo che una singola configurazione per un'app come Gmail possa essere applicata a più utenti.
3.7. Gestione del catalogo delle app
L'API Android Management supporta questa funzionalità per impostazione predefinita. Non è richiesta alcuna implementazione aggiuntiva.
3.8. Approvazione programmatica delle app
La console EMM utilizza l'iframe della versione gestita di Google Play per supportare le funzionalità di individuazione e approvazione delle app di Google Play. Gli amministratori IT possono cercare app, approvare app e approvare nuove autorizzazioni per le app senza uscire dalla console EMM.
3.8.1. Gli amministratori IT possono cercare le app e approvarle nella console EMM utilizzando l'iframe della versione gestita di Google Play.
3.9. Gestione di base del layout del negozio
L'app Google Play Store gestito può essere utilizzata per installare e aggiornare le app di lavoro. Per impostazione predefinita, la versione gestita di Google Play Store mostra le app approvate per un utente in un unico elenco. Questo layout è chiamato layout di base dello store.
3.9.1. La console EMM deve consentire agli amministratori IT di gestire le app visibili nel layout di base dello store di un utente finale.
3.10. Configurazione avanzata del layout dello store
3.10.1. Gli amministratori IT possono personalizzare il layout dello store visualizzato nell'app Google Play Store gestita.
3.11. Gestione delle licenze app
Questa funzionalità è ritirata.
3.12. Gestione delle app private ospitate da Google
Gli amministratori IT possono aggiornare le app private ospitate da Google tramite la console EMM anziché tramite Google Play Console.
3.12.1. Gli amministratori IT possono caricare privatamente nuove versioni di app già pubblicate nell'azienda utilizzando:
3.13. Gestione delle app private in self-hosting
Gli amministratori IT possono configurare e pubblicare app private in self-hosting. A differenza delle app private ospitate da Google, Google Play non ospita gli APK. Al contrario, l'EMM aiuta gli amministratori IT a ospitare gli APK e a proteggere le app autootspitate assicurandosi che possano essere installate solo se autorizzate dalla versione gestita di Google Play.
3.13.1. La console EMM deve aiutare gli amministratori IT a ospitare l'APK dell'app offrendo entrambe le seguenti opzioni:
- Ospitare l'APK sul server dell'EMM. Il server può essere on-premise o basato sul cloud.
- Ospitare l'APK al di fuori del server EMM, a discrezione dell'azienda. L'amministratore IT deve specificare nella console EMM dove è ospitato l'APK.
3.13.2. La console dell'EMM deve generare un file di definizione APK appropriato utilizzando l'APK fornito e deve guidare gli amministratori IT durante la procedura di pubblicazione.
3.13.3. Gli amministratori IT possono aggiornare le app private self-hosted e la console EMM può pubblicare in modo silenzioso i file di definizione APK aggiornati utilizzando l'API Google Play Developer Publishing .
3.13.4. Il server dell'EMM gestisce le richieste di download dell'APK autogestito che contiene un JWT valido all'interno del cookie della richiesta, come verificato dalla chiave pubblica dell'app privata.
- Per facilitare questo processo, il server dell'EMM deve guidare gli amministratori IT a scaricare la chiave pubblica della licenza dell'app autogestita da Google Play Console e a caricarla nella console EMM.
3.14. Notifiche pull EMM
Questa funzionalità non è applicabile all'API Android Management. Configura le notifiche Pub/Sub.
3.15. Requisiti di utilizzo delle API
L'EMM implementa le API Android Management su larga scala, evitando pattern di traffico che potrebbero influire negativamente sulla capacità delle aziende di gestire le app negli ambienti di produzione.
3.15.1. Il provider EMM deve rispettare i limiti di utilizzo dell'API Android Management. La mancata correzione del comportamento che supera queste linee guida può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.2. L'EMM deve distribuire il traffico di diverse aziende durante la giornata, anziché consolidarlo in orari specifici o simili. Un comportamento che rientra in questo pattern di traffico, ad esempio operazioni batch pianificate per ogni dispositivo registrato, può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.3. L'EMM non deve effettuare richieste coerenti, incomplete o intenzionalmente errate che non tentano di recuperare o gestire i dati aziendali effettivi. Un comportamento che rientra in questo pattern di traffico può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.16. Gestione avanzata della configurazione gestita
L'EMM supporta le seguenti funzionalità avanzate di gestione della configurazione gestita:
3.16.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita fino a quattro livelli di nidificazione di qualsiasi app Google Play utilizzando:
- L'iframe della versione gestita di Google Play o
- un'interfaccia utente personalizzata.
3.16.2. La console EMM deve essere in grado di recuperare e visualizzare qualsiasi feedback restituito da un canale di feedback dell'app , se configurato da un amministratore IT.
- La console dell'EMM deve consentire agli amministratori IT di associare un elemento di feedback specifico al dispositivo e all'app da cui proviene.
- La console dell'EMM deve consentire agli amministratori IT di iscriversi ad avvisi o report di tipi di messaggi specifici (ad esempio messaggi di errore).
3.16.3. La console EMM deve inviare solo valori che hanno un valore predefinito o sono impostati manualmente dall'amministratore utilizzando:
- L'iframe delle configurazioni gestite o
- Un'interfaccia utente personalizzata.
3.17. Gestione delle app web
Gli amministratori IT possono creare e distribuire app web nella console EMM.
3.17.1. La console EMM consente agli amministratori IT di distribuire scorciatoie alle app web utilizzando:
3.18. Gestione del ciclo di vita dell'account Google Play gestito
L'EMM può creare, aggiornare ed eliminare account Google Play gestiti per conto degli amministratori IT e recuperare automaticamente gli account scaduti.
Questa funzionalità è supportata per impostazione predefinita. Non è necessaria alcuna implementazione EMM aggiuntiva.
3.19. Gestione dei canali delle app
3.19.1. Gli amministratori IT possono estrarre un elenco di ID traccia impostati da uno sviluppatore per una determinata app.
3.19.2. Gli amministratori IT possono impostare i dispositivi in modo che utilizzino una traccia di sviluppo specifica per un'applicazione.
3.20. Gestione avanzata degli aggiornamenti delle applicazioni
Gli amministratori IT possono consentire l'aggiornamento immediato delle app o rimandarlo di 90 giorni.
3.20.1. Gli amministratori IT possono consentire alle app di utilizzare gli aggiornamenti delle app ad alta priorità per essere aggiornate quando un aggiornamento è pronto. 3.20.2. Gli amministratori IT possono consentire alle app di posticipare gli aggiornamenti delle app per 90 giorni.
3.21. Gestione dei metodi di provisioning
L'EMM può generare configurazioni di provisioning e presentarle all'amministratore IT in un formato pronto per la distribuzione agli utenti finali (ad esempio codice QR, configurazione zero-touch, URL del Play Store).
3.22. Eseguire l'upgrade del binding Enterprise
Gli amministratori IT possono eseguire l'upgrade del tipo di binding aziendale a un'azienda con dominio Google gestito, consentendo all'organizzazione di accedere ai servizi e alle funzionalità dell'Account Google sui dispositivi registrati.
3.22.1. La console EMM consente all'amministratore IT di attivare l'upgrade di un account Google Play gestito per l'azienda a un dominio Google gestito per l'azienda utilizzando le API richieste .
3.22.2. Gli EMM devono utilizzare Pub/Sub per ricevere notifiche sugli eventi di upgrade avviati dall'amministratore IT (anche quelli che si verificano al di fuori della console EMM) e aggiornare la propria UI per riflettere queste modifiche.
3.23. Provisioning dell'Account Google gestito
Il provider EMM può eseguire il provisioning di un dispositivo con account utente aziendali, chiamati Account Google gestiti. Questi account identificano gli utenti gestiti e consentono le regole di distribuzione delle app e l'accesso ai servizi Google. Gli amministratori IT possono inoltre impostare criteri per richiedere l'autenticazione dell'Account Google gestito durante o dopo la registrazione.
3.23.1. Il provider EMM può eseguire il provisioning di un Account Google gestito in base alle linee guida per l'implementazione definite.
In questo modo:
- Un Account Google gestito viene aggiunto al dispositivo.
- L'Account Google gestito deve avere una mappatura 1:1 con gli utenti effettivi nella console EMM.
3.23.2. L'amministratore IT può utilizzare la policy per offrire agli utenti la possibilità di accedere a un Account Google gestito per la registrazione.
3.23.3. L'amministratore IT può utilizzare la policy per controllare se l'utente è tenuto ad accedere a un Account Google gestito per completare la registrazione.
3.23.4. Gli amministratori IT possono facoltativamente limitare il flusso di upgrade a un identificatore di account specifico (indirizzo email) per un determinato dispositivo.
3.24. Upgrade dell'account Google Play gestito
Gli amministratori IT possono eseguire l'upgrade del tipo di account utente a un Account Google gestito, consentendo al dispositivo di accedere ai servizi e alle funzionalità dell'Account Google sui dispositivi registrati.
3.24.1. Gli amministratori IT possono eseguire l'upgrade di un account Google Play gestito esistente su un dispositivo a un Account Google gestito.
3.24.2. Gli amministratori IT possono facoltativamente limitare il flusso di upgrade a un identificatore di account specifico (indirizzo email) per un determinato dispositivo.
4. Gestione dispositivi
4.1. Gestione delle norme di autorizzazione di runtime
Gli amministratori IT possono impostare automaticamente una risposta predefinita alle richieste di autorizzazione di runtime effettuate dalle app di lavoro.
4.1.1. Gli amministratori IT devono poter scegliere tra le seguenti opzioni quando impostano una policy predefinita per le autorizzazioni di runtime per la loro organizzazione:
- prompt (consente agli utenti di scegliere)
- allow
- deny
L'EMM deve applicare queste impostazioni utilizzando i criteri .
4.2. Gestione dello stato di concessione delle autorizzazioni di runtime
Dopo aver impostato un criterio di autorizzazione di runtime predefinito (vai al punto 4.1), Gli amministratori IT possono impostare automaticamente le risposte per autorizzazioni specifiche di qualsiasi app di lavoro creata sull'API 23 o versioni successive.
4.2.1. Gli amministratori IT devono essere in grado di impostare lo stato di concessione (predefinito, concessione o rifiuto) di qualsiasi autorizzazione richiesta da qualsiasi app di lavoro creata sull'API 23 o versioni successive. L'EMM deve applicare queste impostazioni utilizzando i criteri.
4.3. Gestione della configurazione Wi-Fi
Gli amministratori IT possono eseguire il provisioning silenzioso delle configurazioni Wi-Fi aziendali sui dispositivi gestiti, tra cui:
4.3.1. SSID, utilizzando policy.
4.3.2. Password, utilizzando i criteri.
4.4. Gestione della sicurezza del Wi-Fi
Gli amministratori IT possono eseguire il provisioning delle configurazioni Wi-Fi aziendali sui dispositivi che includono le seguenti funzionalità di sicurezza avanzata:
4.4.1. Identità
4.4.2. Certificati per l'autorizzazione client
4.4.3. Certificati CA
4.5. Gestione avanzata del Wi-Fi
Gli amministratori IT possono bloccare le configurazioni Wi-Fi sui dispositivi gestiti per impedire agli utenti di creare configurazioni o modificare quelle aziendali.
4.5.1. Gli amministratori IT possono bloccare le configurazioni Wi-Fi aziendali utilizzando i criteri in una delle seguenti configurazioni:
- Gli utenti non possono modificare le configurazioni Wi-Fi fornite dall'EMM (vai a
wifiConfigsLockdownEnabled), ma possono aggiungere e modificare le proprie reti configurabili dall'utente (ad esempio reti personali). - Gli utenti non possono aggiungere o modificare alcuna rete Wi-Fi sul dispositivo
(vai a
wifiConfigDisabled), limitando la connettività Wi-Fi solo a quelle reti di cui è stato eseguito il provisioning da EMM.
4.6. Gestione account
Gli amministratori IT possono assicurarsi che solo gli account aziendali autorizzati possano interagire con i dati aziendali, per servizi come app di produttività e archiviazione SaaS o email. Senza questa funzionalità, gli utenti possono aggiungere account personali alle app aziendali che supportano anche gli account consumer, consentendo loro di condividere i dati aziendali con questi account personali.
4.6.1. Gli amministratori IT possono impedire agli utenti di aggiungere o modificare
account
(vedi modifyAccountsDisabled).
- Quando applicano questo criterio su un dispositivo, gli EMM devono impostare questa limitazione prima che il provisioning sia completato, per garantire che gli utenti non possano aggirare questo criterio aggiungendo account prima che venga emanato.
4.7. Gestione degli account Workspace
Questa funzionalità è stata ritirata. Consulta la sezione 3.23 per i requisiti di sostituzione.
4.8. Gestione dei certificati
Consente agli amministratori IT di eseguire il deployment dei certificati di identità e delle autorità di certificazione sui dispositivi per consentire l'utilizzo delle risorse aziendali.
4.8.1. Gli amministratori IT possono installare certificati di identità utente generati dalla propria PKI per ogni utente. La console EMM deve integrarsi con almeno una PKI e distribuire i certificati generati da questa infrastruttura.
4.8.2. Gli amministratori IT possono installare autorità di certificazione
(vedi caCerts) nel keystore gestito. Tuttavia, questa funzionalità secondaria non è supportata
.
4.9. Gestione avanzata dei certificati
Consente agli amministratori IT di selezionare automaticamente i certificati che devono essere utilizzati da app gestite specifiche. Questa funzionalità consente inoltre agli amministratori IT di rimuovere certificati CA e di identità da dispositivi attivi e impedisce agli utenti di modificare le credenziali memorizzate nell'archivio chiavi gestito.
4.9.1. Per qualsiasi app distribuita sui dispositivi, gli amministratori IT possono specificare un certificato a cui l'app avrà accesso silenzioso durante l'esecuzione. (Questa sottofunzionalità non è supportata)
- La selezione dei certificati deve essere sufficientemente generica da consentire una singola configurazione che si applichi a tutti gli utenti, ognuno dei quali potrebbe avere un certificato di identità specifico per l'utente.
4.9.2. Gli amministratori IT possono rimuovere i certificati in modo silenzioso dall'archivio chiavi gestito.
4.9.3. Gli amministratori IT possono disinstallare automaticamente un certificato CA. (Questa funzionalità secondaria non è supportata)
4.9.4. Gli amministratori IT possono impedire agli utenti di configurare le credenziali
(vai a credentialsConfigDisabled) nel keystore gestito.
4.9.5. Gli amministratori IT possono pre-concedere certificati per le app di lavoro utilizzando ChoosePrivateKeyRule.
4.10. Gestione delegata dei certificati
Gli amministratori IT possono distribuire un'app di gestione dei certificati di terze parti sui dispositivi e concedere a questa app l'accesso privilegiato per installare i certificati nell'archivio chiavi gestito.
4.10.1. Gli amministratori IT possono specificare un pacchetto di gestione dei certificati
(vai a delegatedCertInstallerPackage) da impostare come app di gestione dei certificati delegata.
- L'EMM può suggerire facoltativamente pacchetti di gestione dei certificati noti, ma deve consentire all'amministratore IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti applicabili.
4.11. Gestione VPN avanzata
Consente agli amministratori IT di specificare una VPN sempre attiva per garantire che i dati delle app gestite specificate passino sempre attraverso una configurazione della VPN.
4.11.1. Gli amministratori IT possono specificare un pacchetto VPN arbitrario da impostare come VPN sempre attiva.
- La console EMM può suggerire facoltativamente pacchetti VPN noti che supportano la VPN sempre attiva, ma non può limitare le VPN disponibili per la configurazione della VPN sempre attiva a un elenco arbitrario.
4.11.2. Gli amministratori IT possono utilizzare le configurazioni gestite per specificare le impostazioni VPN per un'app.
4.12. Gestione IME
Gli amministratori IT possono gestire quali metodi di immissione (IME) possono essere configurati per i dispositivi. Poiché l'IME è condiviso tra i profili di lavoro e quelli personali, il blocco dell'utilizzo degli IME impedirà agli utenti di consentire l'utilizzo di questi IME anche per uso personale. Tuttavia, gli amministratori IT non possono bloccare l'utilizzo degli IME di sistema nei profili di lavoro (per maggiori dettagli, consulta la gestione avanzata degli IME).
4.12.1. Gli amministratori IT possono configurare un elenco consentito di IME
(vai a permitted_input_methods) di lunghezza arbitraria (incluso un elenco vuoto,
che blocca gli IME non di sistema), che può contenere qualsiasi pacchetto IME arbitrario.
- La console EMM può suggerire facoltativamente IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione, per gli utenti applicabili.
4.12.2. L'EMM deve informare gli amministratori IT che gli IME di sistema sono esclusi dalla gestione sui dispositivi con profili di lavoro.
4.13. Gestione avanzata degli IME
Gli amministratori IT possono gestire i metodi di immissione (IME) che gli utenti possono configurare su un dispositivo. La gestione avanzata degli IME estende la funzionalità di base consentendo agli amministratori IT di gestire anche l'utilizzo degli IME di sistema, in genere forniti dal produttore o dall'operatore del dispositivo.
4.13.1. Gli amministratori IT possono configurare una lista consentita di IME
(vai a permitted_input_methods) di lunghezza arbitraria (esclusa una lista vuota,
che blocca tutti gli IME, inclusi quelli di sistema), che può contenere qualsiasi pacchetto IME
arbitrario.
- La console EMM può suggerire facoltativamente IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione, per gli utenti applicabili.
4.13.2. L'EMM deve impedire agli amministratori IT di configurare una lista consentita vuota, in quanto questa impostazione bloccherà la configurazione di tutti gli IME, inclusi quelli di sistema, sul dispositivo.
4.13.3. L'EMM deve assicurarsi che, se un elenco consentito di IME non contiene IME di sistema, gli IME di terze parti vengano installati automaticamente prima che l'elenco consentito venga applicato sul dispositivo.
4.14. Gestione dei servizi di accessibilità
Gli amministratori IT possono gestire i servizi di accessibilità che gli utenti possono consentire sui dispositivi. I servizi di accessibilità sono strumenti potenti per gli utenti con disabilità o per coloro che non sono temporaneamente in grado di interagire completamente con un dispositivo. Tuttavia, potrebbero interagire con i dati aziendali in modi non conformi alle norme aziendali. Questa funzionalità consente agli amministratori IT di disattivare qualsiasi servizio di accessibilità non di sistema.
4.14.1. Gli amministratori IT possono configurare un elenco consentito di servizi di accessibilità
(vai a permittedAccessibilityServices) di lunghezza arbitraria (incluso un elenco vuoto, che blocca i servizi di accessibilità non di sistema), che può contenere qualsiasi pacchetto di servizi di accessibilità arbitrario. Se applicata a un profilo di lavoro, questa impostazione
influisce sia sul profilo personale sia sul profilo di lavoro.
- La console può suggerire facoltativamente servizi di accessibilità noti o consigliati da includere nella lista consentita, ma deve consentire all'amministratore IT di scegliere dall'elenco delle app disponibili per l'installazione, per gli utenti applicabili.
4.15. Gestione della condivisione della posizione
Gli amministratori IT possono impedire agli utenti di condividere i dati di geolocalizzazione con le app nel profilo di lavoro. In caso contrario, l'impostazione della posizione nel profilo di lavoro è configurabile in Impostazioni.
4.15.1. Gli amministratori IT possono disattivare i servizi di localizzazione
(vai a shareLocationDisabled) all'interno del profilo di lavoro.
4.16. Gestione avanzata della condivisione della posizione
Gli amministratori IT possono applicare una determinata impostazione di condivisione della posizione su un dispositivo gestito. Questa funzionalità può garantire che le app aziendali dispongano sempre di dati sulla posizione di alta precisione. Questa funzionalità può anche garantire che la batteria extra non venga consumata limitando le impostazioni di geolocalizzazione alla modalità di risparmio energetico.
4.16.1. Gli amministratori IT possono impostare i servizi di geolocalizzazione del dispositivo su ciascuna delle seguenti modalità:
- Alta precisione.
- Solo sensori, ad esempio GPS, ma non inclusa la posizione fornita dalla rete.
- Risparmio batteria, che limita la frequenza di aggiornamento.
- Disattivato.
4.17. Gestione della protezione del ripristino dei dati di fabbrica
Consente agli amministratori IT di proteggere i dispositivi di proprietà aziendale dal furto assicurandosi che gli utenti non autorizzati non possano ripristinare i dati di fabbrica dei dispositivi. Se la protezione ripristino dati di fabbrica introduce complessità operative quando i dispositivi vengono restituiti al reparto IT, gli amministratori IT possono disattivare completamente la protezione ripristino dati di fabbrica.
4.17.1. Gli amministratori IT possono impedire agli utenti di ripristinare le impostazioni di fabbrica
(vai a factoryResetDisabled) del dispositivo dalle Impostazioni.
4.17.2. Gli amministratori IT possono specificare gli account aziendali di sblocco autorizzati a
eseguire il provisioning dei dispositivi
(vai a frpAdminEmails) dopo un ripristino dei dati di fabbrica.
- Questo account può essere associato a un singolo utente o utilizzato dall'intera azienda per sbloccare i dispositivi.
4.17.3. Gli amministratori IT possono disattivare la protezione ripristino dati di fabbrica
(vai a 0 factoryResetDisabled) per dispositivi specifici.
4.17.4. Gli amministratori IT possono avviare una cancellazione remota del dispositivo che, facoltativamente, cancella i dati di protezione del ripristino, rimuovendo così la protezione del ripristino dei dati di fabbrica sul dispositivo ripristinato.
4.18. Controllo app avanzato
Gli amministratori IT possono impedire all'utente di disinstallare o modificare in altro modo le app gestite tramite Impostazioni. Ad esempio, impedire la chiusura forzata dell'app o svuotare la cache dei dati di un'app.
4.18.1. Gli amministratori IT possono bloccare la disinstallazione di qualsiasi app gestita arbitraria o di tutte
le app gestite (vai a
uninstallAppsDisabled).
4.18.2. Gli amministratori IT possono impedire agli utenti di modificare i dati delle applicazioni dalle Impostazioni. (L'API Android Management non supporta questa funzionalità secondaria)
4.19. Gestione dell'acquisizione schermo
Gli amministratori IT possono impedire agli utenti di acquisire screenshot quando utilizzano app gestite. Questa impostazione include il blocco delle app di condivisione schermo e di app simili (come l'Assistente Google) che utilizzano le funzionalità di screenshot del sistema.
4.19.1. Gli amministratori IT possono impedire agli utenti di acquisire screenshot
(vai a screenCaptureDisabled).
4.20. Disattivare le fotocamere
Gli amministratori IT possono disattivare l'utilizzo delle fotocamere dei dispositivi da parte delle app gestite.
4.20.1. Gli amministratori IT possono disattivare l'utilizzo delle fotocamere del dispositivo
(vai a cameraDisabled) da parte delle app gestite.
4.21. Raccolta delle statistiche di rete
L'API Android Management non supporta questa funzionalità.
4.22. Raccolta avanzata delle statistiche di rete
L'API Android Management non supporta questa funzionalità.
4.23. Riavvia il dispositivo
Gli amministratori IT possono riavviare da remoto i dispositivi gestiti.
4.23.1. Gli amministratori IT possono riavviare da remoto un dispositivo gestito.
4.24. Gestione della radio di sistema
Fornisce agli amministratori IT una gestione granulare delle radio di rete del sistema e delle norme di utilizzo associate utilizzando i criteri .
4.24.1. Gli amministratori IT possono disattivare le trasmissioni cellulari inviate dai fornitori di servizi (vai a cellBroadcastsConfigDisabled).
4.24.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni di rete mobile in
Impostazioni (vai a mobileNetworksConfigDisabled).
4.24.3. Gli amministratori IT possono impedire agli utenti di reimpostare tutte le impostazioni di rete in
Impostazioni. (vai a networkResetDisabled).
4.24.4. Gli amministratori IT possono configurare se il dispositivo consente l'utilizzo dei dati mobili
in roaming (vai a dataRoamingDisabled).
4.24.5. Gli amministratori IT possono configurare se il dispositivo può effettuare chiamate telefoniche in uscita, escluse le chiamate di emergenza (vai a outGoingCallsDisabled).
4.24.6. Gli amministratori IT possono configurare se il dispositivo può inviare e ricevere messaggi
di testo (vai a smsDisabled).
4.24.7. Gli amministratori IT possono impedire agli utenti di utilizzare il proprio dispositivo come hotspot
portatile tramite tethering (vai a tetheringConfigDisabled).
4.24.8. Gli amministratori IT possono impostare il timeout del Wi-Fi su predefinito, quando è collegato o mai. (L'API Android Management non supporta questa funzionalità secondaria)
4.24.9. Gli amministratori IT possono impedire agli utenti di configurare o modificare le connessioni Bluetooth esistenti (vai a bluetoothConfigDisabled).
4.25. Gestione dell'audio di sistema
Gli amministratori IT possono controllare silenziosamente le funzionalità audio del dispositivo, incluso disattivare l'audio del dispositivo, impedire agli utenti di modificare le impostazioni del volume e impedire agli utenti di riattivare l'audio del microfono del dispositivo.
4.25.1. Gli amministratori IT possono disattivare l'audio dei dispositivi gestiti. (L'API Android Management non supporta questa funzionalità secondaria)
4.25.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni del volume del dispositivo (vai a adjustVolumeDisabled). In questo modo, i dispositivi vengono silenziati.
4.25.3. Gli amministratori IT possono impedire agli utenti di riattivare l'audio del microfono del dispositivo (vai a unmuteMicrophoneDisabled).
4.26. Gestione dell'orologio di sistema
Gli amministratori IT possono gestire le impostazioni dell'orologio e del fuso orario del dispositivo e impedire agli utenti di modificare le impostazioni automatiche del dispositivo.
4.26.1. Gli amministratori IT possono applicare l'ora e il fuso orario automatici del sistema, impedendo all'utente di impostare la data, l'ora e il fuso orario del dispositivo.
4.27. Funzionalità avanzate per dispositivi dedicati
Per i dispositivi dedicati, gli amministratori IT possono gestire le seguenti funzionalità utilizzando criteri per supportare vari casi d'uso del kiosk.
4.27.1. Gli amministratori IT possono disattivare la protezione tasti del dispositivo (vai a keyguardDisabled).
4.27.2. Gli amministratori IT possono disattivare la barra di stato del dispositivo, bloccando le notifiche e
le Impostazioni rapide (vai a statusBarDisabled).
4.27.3. Gli amministratori IT possono forzare lo schermo del dispositivo a rimanere acceso mentre il dispositivo è
collegato (vai a stayOnPluggedModes).
4.27.4. Gli amministratori IT possono impedire la visualizzazione delle seguenti interfacce utente di sistema (vai a createWindowsDisabled):
- Toast
- Overlay delle applicazioni.
4.27.5. Gli amministratori IT possono consentire al sistema di saltare il tutorial per gli utenti e altri suggerimenti introduttivi all'avvio iniziale (vai a
skip_first_use_hints).
4.28. Gestione degli ambiti delegata
Gli amministratori IT possono delegare privilegi aggiuntivi a singoli pacchetti.
4.28.1. Gli amministratori IT possono gestire i seguenti ambiti:
- Installazione e gestione dei certificati
- Deliberatamente vuoto
- Log di rete
- Registrazione della sicurezza (non supportata per il profilo di lavoro su dispositivi di proprietà personale)
4.29. Supporto dell'ID specifico per la registrazione
A partire da Android 12, i profili di lavoro non avranno più accesso agli identificatori specifici dell'hardware. Gli amministratori IT possono seguire il ciclo di vita di un dispositivo con un profilo di lavoro tramite l'ID specifico della registrazione, che verrà mantenuto durante i ripristini dei dati di fabbrica.
4.29.1. Gli amministratori IT possono ottenere un ID specifico per la registrazione
4.29.2. Questo ID specifico per la registrazione deve rimanere invariato dopo un ripristino dei dati di fabbrica
4.30. Norme del gestore delle credenziali
Gli amministratori IT possono gestire le applicazioni di gestione delle credenziali consentite o bloccate utilizzando il valore predefinito del criterio del provider di credenziali o il criterio del provider di credenziali.
4.30.1 Gli amministratori IT possono bloccare tutti i gestori delle credenziali sul dispositivo (o all'interno del profilo di lavoro) utilizzando i criteri.
4.30.2 Gli amministratori IT possono specificare di consentire solo i gestori delle credenziali precaricati (app di sistema).
4.30.3 Gli amministratori IT possono specificare un elenco di nomi di pacchetti per attivare la funzionalità di gestione delle credenziali.
4.31. Gestione di base delle eSIM
Consente agli amministratori IT di eseguire il provisioning di un dispositivo con un profilo eSIM e di gestirne il ciclo di vita sul dispositivo.
4.31.1 Gli amministratori IT possono eseguire il provisioning silenzioso di un profilo eSIM su un dispositivo utilizzando i criteri.
4.31.2 Gli amministratori IT possono eliminare le eSIM gestite da un dispositivo utilizzando i criteri.
4.31.3 Gli amministratori IT possono impedire agli utenti di modificare le impostazioni di rete mobile in
Impostazioni (vai a mobileNetworksConfigDisabled).
4.31.4 Gli amministratori IT possono inviare da remoto un comando di cancellazione dei dati a un dispositivo o a un profilo di lavoro. Questo comando rimuove facoltativamente le eSIM gestite dal dispositivo. Per impostazione predefinita, le eSIM gestite vengono rimosse dai profili di lavoro sui dispositivi personali, ma vengono conservate sui dispositivi di proprietà aziendale.
4.31.5 Gli amministratori IT possono recuperare l'identificatore EID (Embedded Identity Document) di un dispositivo utilizzando l'interfaccia utente della console EMM (o un metodo equivalente).
5. Usabilità del dispositivo
5.1. Personalizzazione del provisioning gestito
Gli amministratori IT possono modificare l'esperienza utente del flusso di configurazione predefinito per includere funzionalità specifiche dell'azienda. Se vuoi, gli amministratori IT possono visualizzare il branding fornito da EMM durante il provisioning.
5.1.1. Gli amministratori IT possono personalizzare la procedura di provisioning specificando
termini di servizio
e altre dichiarazioni di non responsabilità specifiche per l'azienda (vai a termsAndConditions).
5.1.2. Gli amministratori IT possono implementare
Termini di servizio e altre dichiarazioni di non responsabilità specifiche per EMM
(vai a termsAndConditions).
- Gli EMM possono impostare la propria personalizzazione specifica non configurabile come impostazione predefinita per le implementazioni, ma devono consentire agli amministratori IT di configurare la propria personalizzazione.
5.1.3. primaryColor è stato ritirato per la risorsa aziendale su Android
10 e versioni successive.
5.2. Personalizzazione aziendale
L'API Android Management non supporta questa funzionalità.
5.3. Personalizzazione aziendale avanzata
L'API Android Management non supporta questa funzionalità.
5.4. Messaggi schermata di blocco
Gli amministratori IT possono impostare un messaggio personalizzato che viene sempre visualizzato nella schermata di blocco del dispositivo e non richiede lo sblocco del dispositivo per essere visualizzato.
5.4.1. Gli amministratori IT possono impostare un messaggio personalizzato nella schermata di blocco
(vai a deviceOwnerLockScreenInfo).
5.5. Gestione della trasparenza delle norme
Gli amministratori IT possono personalizzare il testo guida fornito agli utenti quando tentano di modificare le impostazioni gestite sul proprio dispositivo o eseguire il deployment di un messaggio di assistenza generico fornito dall'EMM. I messaggi di assistenza brevi e lunghi possono essere personalizzati e vengono visualizzati in casi come il tentativo di disinstallare un'app gestita per la quale un amministratore IT ha già bloccato la disinstallazione.
5.5.1. Gli amministratori IT possono personalizzare i messaggi di assistenza rivolti agli utenti brevi e lunghi.
5.5.2. Gli amministratori IT possono implementare messaggi di assistenza brevi e lunghi specifici per EMM e non configurabili (vai a shortSupportMessage e longSupportMessage in policies).
- L'EMM può impostare i propri messaggi di assistenza specifici e non configurabili come valore predefinito per le implementazioni, ma deve consentire agli amministratori IT di configurare i propri messaggi.
5.6. Gestione dei contatti tra profili
5.6.1. Gli amministratori IT possono disattivare la visualizzazione dei contatti di lavoro nelle ricerche di contatti e nelle chiamate in arrivo del profilo personale.
5.6.2. Gli amministratori IT possono disattivare la condivisione dei contatti tramite Bluetooth dei contatti di lavoro, ad esempio le chiamate in vivavoce in auto o le cuffie.
5.7. Gestione dei dati tra profili
Consente agli amministratori IT di gestire i tipi di dati che possono essere condivisi tra i profili di lavoro e personali, consentendo loro di bilanciare usabilità e sicurezza dei dati in base ai propri requisiti.
5.7.1. Gli amministratori IT possono configurare i criteri di condivisione dei dati tra profili in modo che le app personali possano risolvere gli intent dal profilo di lavoro, ad esempio la condivisione di intent o link web.
5.7.2. Gli amministratori IT possono consentire alle applicazioni del profilo di lavoro di creare e
visualizzare widget nella schermata Home del profilo personale. Questa funzionalità
è disattivata per impostazione predefinita, ma può essere impostata su consentita utilizzando i campi workProfileWidgets e workProfileWidgetsDefault.
5.7.3. Gli amministratori IT possono controllare la possibilità di copiare/incollare tra il profilo di lavoro e quello personale.
5.8. Norme sugli aggiornamenti di sistema
Gli amministratori IT possono configurare e applicare aggiornamenti di sistema over-the-air (OTA) ai dispositivi.
5.8.1. La console EMM consente agli amministratori IT di impostare le seguenti configurazioni OTA:
- Automatico: i dispositivi installano gli aggiornamenti OTA quando diventano disponibili.
- Posticipa: gli amministratori IT devono essere in grado di posticipare l'aggiornamento OTA fino a 30 giorni. Questo criterio non influisce sugli aggiornamenti della sicurezza (ad es. le patch di sicurezza mensili).
- A finestre: gli amministratori IT devono essere in grado di pianificare gli aggiornamenti OTA all'interno di un periodo di manutenzione giornaliera.
5.8.2. Le configurazioni OTA vengono applicate ai dispositivi utilizzando criteri .
5.9. Gestione della modalità di blocco attività
Gli amministratori IT possono bloccare una o più app sullo schermo e assicurarsi che gli utenti non possano uscire dall'app.
5.9.1. La console EMM consente agli amministratori IT di consentire l'installazione e il blocco di un insieme arbitrario di app su un dispositivo in modo silenzioso. Il criterio consente di configurare dispositivi dedicati.
5.10. Gestione persistente delle attività preferite
Consente agli amministratori IT di impostare un'app come gestore di intent predefinito per gli intent che corrispondono a un determinato filtro per intent. Ad esempio, questa funzionalità consentirebbe agli amministratori IT di scegliere quale app browser apre automaticamente i link web. Questa funzionalità può gestire l'app di avvio usata quando tocchi il pulsante Home.
5.10.1. Gli amministratori IT possono impostare qualsiasi pacchetto come gestore di intent predefinito per qualsiasi filtro di intent arbitrario.
- La console EMM può suggerire facoltativamente intent noti o consigliati per la configurazione, ma non può limitare gli intent a un elenco arbitrario.
- La console EMM deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti applicabili.
5.11. Gestione delle funzionalità di Keyguard
Gli amministratori IT possono gestire le funzionalità disponibili per gli utenti prima di sbloccare il blocco della tastiera (schermata di blocco) del dispositivo e il blocco della tastiera (schermata di blocco) della sfida di lavoro.
5.11.1.Policy può disattivare le seguenti funzionalità di protezione con chiave del dispositivo:
- agenti di attendibilità
- sblocco con l'impronta
- notifiche non oscurate
5.11.2. Le seguenti funzionalità della schermata di blocco del profilo di lavoro possono essere disattivate utilizzando i criteri :
- agenti di attendibilità
- sblocco con l'impronta
5.12. Gestione avanzata della funzionalità di protezione tasti
- Videocamera sicura
- Tutte le notifiche
- Non oscurato
- Agenti di attendibilità
- Sblocco con l'Impronta
- Tutte le funzionalità di Keyguard
5.13. Debug remoto
L'API Android Management non supporta questa funzionalità.
5.14. Recupero dell'indirizzo MAC
I provider EMM possono recuperare in modo silenzioso l'indirizzo MAC di un dispositivo, da utilizzare per identificare i dispositivi in altre parti dell'infrastruttura aziendale (ad esempio quando si identificano i dispositivi per il controllo dell'accesso alla rete).
5.14.1. L'EMM può recuperare automaticamente l'indirizzo MAC di un dispositivo e associarlo al dispositivo nella console EMM.
5.15. Gestione avanzata della modalità di blocco attività
Con un dispositivo dedicato, gli amministratori IT possono utilizzare la console EMM per eseguire le seguenti attività:
5.15.1. Consenti automaticamente l'installazione e il blocco di una singola app su un dispositivo .
5.15.2. Attiva o disattiva le seguenti funzionalità dell'interfaccia utente di sistema:
- Pulsante Home
- Panoramica
- Azioni globali
- Notifiche
- Informazioni di sistema / Barra di stato
- Keyguard (schermata di blocco). Questa funzionalità secondaria è attivata per impostazione predefinita quando viene implementata la versione 5.15.1.
5.15.3. Disattiva Finestre di dialogo di errore di sistema.
5.16. Criterio di aggiornamento di sistema avanzato
Gli amministratori IT possono impostare un periodo di blocco specifico per bloccare gli aggiornamenti di sistema su un dispositivo.
5.16.1. La console dell'EMM deve consentire agli amministratori IT di bloccare gli aggiornamenti di sistema over-the-air (OTA) per un periodo di blocco specificato.
5.17. Gestione della trasparenza delle norme del profilo di lavoro
Gli amministratori IT possono personalizzare il messaggio visualizzato dagli utenti quando rimuovono il profilo di lavoro da un dispositivo.
5.17.1. Gli amministratori IT possono fornire un testo personalizzato da visualizzare
(vai a wipeReasonMessage) quando viene cancellato un profilo di lavoro.
5.18. Assistenza per le app collegate
Gli amministratori IT possono impostare un elenco di pacchetti che possono comunicare oltre il confine del profilo di lavoro impostando ConnectedWorkAndPersonalApp.
5.19. Aggiornamento manuale del sistema
L'API Android Management non supporta questa funzionalità.
6. Ritiro di Amministrazione dispositivo
6.1. Ritiro di Amministrazione dispositivo
Gli EMM sono tenuti a pubblicare un piano entro la fine del 2022 per terminare l'assistenza clienti per Device Admin sui dispositivi GMS entro la fine del primo trimestre del 2023.
7. Utilizzo delle API
7.1. Policy Controller standard per i nuovi binding
Per impostazione predefinita, i dispositivi devono essere gestiti utilizzando Android Device Policy per tutti i nuovi binding. Le soluzioni EMM potrebbero offrire la possibilità di gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto l'intestazione "Avanzate" o una terminologia simile. I nuovi clienti non devono essere esposti a una scelta arbitraria tra stack tecnologici durante i flussi di lavoro di onboarding o configurazione.
7.2. Controller dei criteri standard per i nuovi dispositivi
Per impostazione predefinita, i dispositivi devono essere gestiti utilizzando Android Device Policy per tutte le nuove registrazioni dei dispositivi, sia per i binding esistenti sia per quelli nuovi. Le soluzioni EMM potrebbero fornire l'opzione per gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto un'intestazione "Avanzate" o una terminologia simile.