Na tej stronie znajdziesz pełną listę funkcji Androida Enterprise.
Jeśli zamierzasz zarządzać ponad 500 urządzeniami, Twoje rozwiązanie EMM musi obsługiwać wszystkie funkcje standardowe () co najmniej jednego zestawu rozwiązań, zanim będzie można je udostępnić komercyjnie. Rozwiązania EMM, które przejdą weryfikację funkcji standardowych, są wymienione w katalogu rozwiązań dla firm Androida jako oferujące standardowy zestaw funkcji zarządzania.
Dla każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Te funkcje są oznaczone na każdej stronie zestawu rozwiązań: profil służbowy na urządzeniu należącym do użytkownika, profil służbowy na urządzeniu należącym do firmy, w pełni zarządzane urządzenie i urządzenie dedykowane. Rozwiązania EMM, które przejdą weryfikację funkcji zaawansowanych, są wymienione w katalogu rozwiązań dla firm jako oferujące zaawansowany zestaw funkcji zarządzania.
Klucz
| funkcja standardowa | zaawansowana funkcja | funkcja opcjonalna | nie dotyczy |
1. Obsługa administracyjna urządzenia
1.1. Obsługa administracyjna profilu służbowego z użyciem DPC
Po pobraniu aplikacji Android Device Policy z Google Play użytkownicy mogą skonfigurować profil służbowy.
1.1.1. Dostawca usług EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, aby obsługiwać tę metodę wdrażania (więcej informacji znajdziesz w artykule rejestrowanie i wdrażanie urządzenia).
1.2. Obsługa administracyjna urządzenia za pomocą identyfikatora DPC
Wpisanie „afw#” w kreatorze konfiguracji urządzenia powoduje udostępnienie urządzenia w pełni zarządzanego lub dedykowanego.
1.2.1. Dostawca usług EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, aby obsługiwać tę metodę wdrażania (więcej informacji znajdziesz w artykule Rejestrowanie i wdrażanie urządzenia).
1.3. Obsługa administracyjna urządzenia NFC
Administratorzy IT mogą używać tagów NFC do administrowania nowymi urządzeniami lub takimi, na których przywrócono ustawienia fabryczne, zgodnie z wytycznymi dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.3.1. Platformy EMM muszą używać tagów NFC Forum typu 2 o pamięci co najmniej 888 bajtów. Podczas obsługi administracyjnej należy używać dodatków do obsługi administracyjnej, aby przekazywać na urządzenie niepoufne szczegóły rejestracji, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. W przypadku Androida 10 i nowszych wersji zalecamy używanie tagów NFC ze względu na wycofanie NFC Beam (znanego też jako NFC Bump).
1.4. Obsługa urządzeń za pomocą kodu QR
Konsola dostawcy usług EMM może generować kod QR, który administratorzy IT mogą skanować, aby obsługiwać w pełni zarządzane lub dedykowane urządzenia zgodnie z wytycznymi dotyczącymi implementacji określonymi w dokumentacji dla programistów interfejsu Android Management API.
1.4.1. Kod QR musi używać dodatków do obsługi, aby przekazywać na urządzenie niepoufne szczegóły rejestracji (takie jak identyfikatory serwera czy identyfikatory rejestracji). Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie konfigurować urządzenia kupione od autoryzowanych sprzedawców i zarządzać nimi za pomocą konsoli EMM.
1.5.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Gdy urządzenie zostanie włączone po raz pierwszy, automatycznie zostaną na nim wymuszone ustawienia zdefiniowane przez administratora IT.
1.6. Zaawansowane wdrażanie typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzeń za pomocą rejestracji typu zero-touch. W połączeniu z adresami URL logowania administratorzy IT mogą ograniczyć rejestrację do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez EMM.
1.6.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy za pomocą rejestracji typu zero-touch.
1.6.2. To wymaganie zostało wycofane.
1.6.3. Korzystając z adresu URL logowania, system EMM musi uniemożliwiać nieautoryzowanym użytkownikom kontynuowanie aktywacji. Aktywacja musi być co najmniej ograniczona do użytkowników danej firmy.
1.6.4. Korzystając z adresu URL logowania, system EMM musi umożliwiać administratorom IT wstępne wypełnianie szczegółów rejestracji (np. identyfikatorów serwerów, identyfikatorów rejestracji) z wyjątkiem unikalnych informacji o użytkowniku lub urządzeniu (np. nazwy użytkownika/hasła, tokena aktywacyjnego), aby użytkownicy nie musieli wpisywać szczegółów podczas aktywowania urządzenia.
- W konfiguracji rejestracji bezdotykowej nie mogą się znajdować informacje poufne, takie jak hasła czy certyfikaty.
1.7. Obsługa administracyjna profilu służbowego na koncie Google
W przypadku przedsiębiorstw korzystających z zarządzanej domeny Google ta funkcja prowadzi użytkowników przez proces konfigurowania profilu służbowego po wpisaniu firmowych danych logowania Workspace podczas konfigurowania urządzenia lub na urządzeniu, które jest już aktywne. W obu przypadkach firmowa tożsamość Workspace zostanie przeniesiona do profilu służbowego.
1.8. Obsługa administracyjna urządzeń na koncie Google
Interfejs Android Management API nie obsługuje tej funkcji.
1.9. Bezpośrednia konfiguracja zero-touch
Administratorzy IT mogą konfigurować urządzenia obsługujące rejestrację typu zero-touch w konsoli EMM za pomocą elementu iframe do rejestracji zero-touch.
1.10. Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy, ustawiając wartość AllowPersonalUsage .
1.10.1. Celowo puste.
1.10.2. Administratorzy IT mogą ustawiać działania związane z zgodnością w przypadku profili służbowych na urządzeniach należących do firmy za pomocą PersonalUsagePolicies.
1.10.3. Administratorzy IT mogą wyłączyć aparat w profilu służbowym lub na całym urządzeniu za pomocą PersonalUsagePolicies.
1.10.4. Administratorzy IT mogą wyłączyć zrzuty ekranu w profilu służbowym lub na całym urządzeniu za pomocą PersonalUsagePolicies.
1.10.5. Administratorzy IT mogą ustawić listę zablokowanych aplikacji, których nie można zainstalować w profilu osobistym, za pomocą PersonalApplicationPolicy.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub czyszcząc całe urządzenie.
1.11. Obsługa administracyjna urządzeń specjalnych
Administratorzy IT mogą rejestrować urządzenia dedykowane bez konieczności uwierzytelniania użytkownika za pomocą konta Google.
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczający urządzenia
Administratorzy IT mogą ustawiać i wymuszać na urządzeniach zarządzanych wyzwanie związane z bezpieczeństwem urządzenia (kod PIN, wzór lub hasło) z wstępnie zdefiniowanego wyboru 3 poziomów złożoności.
2.1.1. Zasady muszą wymuszać ustawienia zarządzające wyzwaniami związanymi z bezpieczeństwem urządzenia (parentProfilePasswordRequirements w przypadku profilu służbowego, passwordRequirements w przypadku urządzeń w pełni zarządzanych i urządzeń dedykowanych).
2.1.2. Złożoność hasła powinna odpowiadać tym poziomom złożoności:
- PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4 znaków
- PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasła alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.1.3. Dodatkowe ograniczenia dotyczące haseł można też wymusić jako starsze ustawienia na urządzeniach należących do firmy.
2.2. Dodatkowa weryfikacja w pracy
Administratorzy IT mogą ustawić i wymusić wyzwanie związane z bezpieczeństwem w przypadku aplikacji i danych w profilu służbowym, które jest oddzielne i ma inne wymagania niż wyzwanie związane z bezpieczeństwem urządzenia (2.1.).
2.2.1. Zasady muszą wymuszać test zabezpieczający w profilu służbowym.
- Domyślnie administratorzy IT powinni ustawiać ograniczenia tylko w przypadku profilu służbowego, jeśli nie określono zakresu.
- Administratorzy IT mogą ustawić to na poziomie całego urządzenia, określając zakres (patrz wymaganie 2.1).
2.2.2. Złożoność hasła powinna odpowiadać tym predefiniowanym poziomom złożoności:
- PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4 znaków
- PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasła alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.2.3. Mogą też obowiązywać dodatkowe ograniczenia dotyczące haseł jako ustawienia starszego typu.
2.3. Zaawansowane zarządzanie kodami dostępu
Administratorzy IT mogą konfigurować zaawansowane ustawienia haseł na urządzeniach.
2.3.1. Celowo puste.
2.3.2. Celowo puste.
2.3.3. Dla każdego ekranu blokady dostępnego na urządzeniu można skonfigurować te ustawienia cyklu życia hasła:
- Celowo puste
- Celowo puste
- Maksymalna liczba nieudanych prób podania hasła przed wyczyszczeniem pamięci: określa, ile razy użytkownicy mogą podać nieprawidłowe hasło, zanim dane firmowe zostaną wyczyszczone z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.3.4. (Android 8.0+) Wymagany limit czasu silnego uwierzytelniania: po okresie limitu czasu ustawionym przez administratora IT należy wpisać kod dostępu do silnego uwierzytelniania (np. kod PIN lub hasło). Po upływie czasu oczekiwania słabe metody uwierzytelniania (takie jak odcisk palca czy rozpoznawanie twarzy) są wyłączane do momentu odblokowania urządzenia za pomocą silnego hasła uwierzytelniającego.
2.4. Zarządzanie inteligentnym zamkiem
Administratorzy IT mogą zarządzać tym, czy agenty zaufania w funkcji Smart Lock na Androidzie mogą przedłużać odblokowanie urządzenia do 4 godzin.
2.4.1. Administratorzy IT mogą wyłączyć zaufane usługi na urządzeniu.
2.5. Czyszczenie i blokowanie
Administratorzy IT mogą zdalnie blokować urządzenia zarządzane i usuwać z nich dane służbowe za pomocą konsoli EMM.
2.5.1. Urządzenia muszą być blokowane przy użyciu Android Management API.
2.5.2. Urządzenia muszą zostać wyczyszczone przy użyciu Android Management API.
2.6. egzekwowanie zgodności,
Jeśli urządzenie nie spełnia zasad dotyczących zabezpieczeń, reguły zgodności wdrożone przez interfejs Android Management API automatycznie ograniczają korzystanie z danych służbowych.
2.6.1. Zasady zabezpieczeń egzekwowane na urządzeniu muszą obejmować co najmniej zasady dotyczące haseł.
2.7. Domyślne zasady zabezpieczeń
Platformy EMM muszą domyślnie wymuszać na urządzeniach określone zasady zabezpieczeń, bez konieczności konfigurowania lub dostosowywania przez administratorów IT żadnych ustawień w konsoli EMM. Zaleca się (ale nie jest to wymagane), aby platformy EMM nie zezwalały administratorom IT na zmianę domyślnego stanu tych funkcji zabezpieczeń.
2.7.1. Instalowanie aplikacji z nieznanych źródeł musi być zablokowane, w tym aplikacji zainstalowanych w przestrzeni osobistej na urządzeniu z Androidem w wersji 8.0 lub nowszej z profilem służbowym. Ta funkcja jest obsługiwana domyślnie.
2.7.2. Funkcje debugowania muszą być zablokowane. Ta funkcja dodatkowa jest domyślnie obsługiwana.
2.8. Zasady zabezpieczeń dotyczące urządzeń specjalnych
Na zablokowanym urządzeniu specjalnym nie można wykonywać żadnych innych działań.
2.8.1. Uruchamianie w trybie awaryjnym musi być domyślnie wyłączone za pomocą zasady (kliknij safeBootDisabled).
2.9. Pomoc dotycząca Play Integrity
Sprawdzanie Play Integrity jest domyślnie włączone. Nie musisz niczego dodatkowo wdrażać.
2.9.1. Celowo puste.
2.9.2. Celowo puste.
2.9.3. Administratorzy IT mogą skonfigurować różne reakcje na zasady w zależności od wartości SecurityRisk urządzenia, w tym blokowanie udostępniania, usuwanie danych firmowych i zezwalanie na rejestrację.
- Usługa EMM będzie egzekwować tę odpowiedź dotyczącą zasad w przypadku wyniku każdego sprawdzania integralności.
2.9.4. Celowo puste.
2.10. Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć Weryfikację aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem pod kątem szkodliwego oprogramowania przed instalacją i po niej, co pomaga zapobiegać naruszaniu bezpieczeństwa danych firmowych przez złośliwe aplikacje.
2.10.1. Weryfikacja aplikacji musi być domyślnie włączona za pomocą zasad (przejdź do ensureVerifyAppsEnabled).
2.11. Obsługa bezpośredniego rozruchu
Interfejs Android Management API obsługuje tę funkcję domyślnie. Nie musisz niczego dodatkowo wdrażać.
2.12. Zarządzanie zabezpieczeniami sprzętowymi
Administratorzy IT mogą blokować elementy sprzętowe urządzenia należącego do firmy, aby zapobiegać utracie danych.
2.12.1. Administratorzy IT mogą zablokować użytkownikom możliwość podłączania fizycznych nośników zewnętrznych za pomocą zasad (przejdź do
mountPhysicalMediaDisabled).
2.12.2. Administratorzy IT mogą zablokować użytkownikom możliwość udostępniania danych z urządzeń za pomocą NFC, korzystając z zasad (przejdź do outgoingBeamDisabled). Ta funkcja dodatkowa jest opcjonalna, ponieważ funkcja NFC nie jest już obsługiwana w Androidzie 10 i nowszych wersjach.
2.12.3. Administratorzy IT mogą blokować użytkownikom przesyłanie plików przez USB za pomocą zasad (przejdź do usbFileTransferDisabled).
2.13. Rejestrowanie zdarzeń związanych z bezpieczeństwem w firmie
Interfejs Android Management API nie obsługuje tej funkcji.
3. Zarządzanie kontem i aplikacją
3.1. Powiązanie z firmą
Administratorzy IT mogą powiązać usługę EMM z organizacją, co umożliwi jej korzystanie z zarządzanego Sklepu Google Play do rozpowszechniania aplikacji na urządzeniach.
3.1.1. Administrator z istniejącą zarządzaną domeną Google może powiązać swoją domenę z usługami EMM.
3.1.2. Celowo puste.
3.1.3. Celowo puste.
3.1.4. Konsola EMM prowadzi administratora przez proces rejestracji na Androidzie i zachęca go do podania służbowego adresu e-mail, a nie konta Gmail.
3.1.5. EMM wstępnie wypełnia adres e-mail administratora w procesie rejestracji na Androidzie.
3.2. Obsługa administracyjna kont zarządzanego Sklepu Google Play
System EMM może bez interwencji użytkownika udostępniać konta użytkowników w organizacji, zwane kontami zarządzanego Sklepu Google Play. Konta te identyfikują zarządzanych użytkowników i umożliwiają stosowanie unikalnych reguł rozpowszechniania aplikacji dla poszczególnych użytkowników.
3.2.1. Konta zarządzanego Sklepu Google Play (konta użytkowników) są tworzone automatycznie podczas obsługi administracyjnej urządzeń.
Interfejs Android Management API obsługuje tę funkcję domyślnie. Nie musisz niczego dodatkowo wdrażać.
3.3 Obsługa administracyjna kont urządzeń zarządzanego Sklepu Google Play
Usługi EMM mogą tworzyć i udostępniać konta urządzeń w zarządzanym Sklepie Google Play. Konta urządzeń umożliwiają ciche instalowanie aplikacji z zarządzanego Sklepu Google Play i nie są powiązane z jednym użytkownikiem. Zamiast tego konto urządzenia służy do identyfikowania pojedynczego urządzenia w celu obsługi reguł rozpowszechniania aplikacji na poszczególnych urządzeniach w przypadku urządzeń dedykowanych.
3.3.1. Konta zarządzanego Sklepu Google Play są tworzone automatycznie podczas konfigurowania urządzeń.
Interfejs Android Management API obsługuje tę funkcję domyślnie. Nie musisz niczego dodatkowo wdrażać.
3.4. Provisioning kont zarządzanego Sklepu Google Play na starszych urządzeniach
Ta funkcja została wycofana.
3.5 Dyskretne rozpowszechnianie aplikacji
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach bez interakcji ze strony użytkownika.
3.5.1. Konsola EMM musi korzystać z interfejsu Android Management API, aby umożliwić administratorom IT instalowanie aplikacji służbowych na zarządzanych urządzeniach.
3.5.2. Konsola EMM musi korzystać z interfejsu Android Management API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na zarządzanych urządzeniach.
3.5.3. Konsola EMM musi korzystać z interfejsu Android Management API, aby umożliwić administratorom IT odinstalowywanie aplikacji na zarządzanych urządzeniach.
3.6 Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i cicho ustawiać konfiguracje zarządzane w przypadku dowolnej aplikacji, która je obsługuje.
3.6.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej dowolnej aplikacji w Google Play.
3.6.2. Konsola EMM musi umożliwiać administratorom IT ustawianie dowolnego typu konfiguracji (zgodnie z platformą Android Enterprise) dla dowolnej aplikacji w Google Play za pomocą interfejsu Android Management API.
3.6.3. Konsola EMM musi umożliwiać administratorom IT ustawianie symboli wieloznacznych (np. $username$ lub %emailAddress%), aby jedną konfigurację aplikacji, takiej jak Gmail, można było zastosować do wielu użytkowników.
3.7. Zarządzanie katalogiem aplikacji
Interfejs Android Management API obsługuje tę funkcję domyślnie. Nie musisz niczego dodatkowo wdrażać.
3.8. Automatyzacja zatwierdzania aplikacji
Konsola EMM korzysta z elementu iframe zarządzanego Sklepu Google Play, aby obsługiwać funkcje wyszukiwania i zatwierdzania aplikacji w Google Play. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać je i zatwierdzać nowe uprawnienia aplikacji bez opuszczania konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać i zatwierdzać aplikacje w konsoli EMM za pomocą elementu iframe w zarządzanym Sklepie Google Play.
3.9. Podstawowe zarządzanie układem sklepu
Aplikacja zarządzany Sklep Google Play umożliwia instalowanie i aktualizowanie aplikacji służbowych. Domyślnie zarządzany Sklep Google Play wyświetla aplikacje zatwierdzone dla użytkownika na jednej liście. Ten układ nazywamy podstawowym układem sklepu.
3.9.1. Konsola EMM powinna umożliwiać administratorom IT zarządzanie aplikacjami widocznymi w podstawowym układzie sklepu użytkownika.
3.10. Zaawansowana konfiguracja układu sklepu
3.10.1. Administratorzy IT mogą dostosować widok sklepu w aplikacji zarządzany Sklep Google Play.
3.11. Zarządzanie licencjami na aplikacje
Ta funkcja została wycofana.
3.12. Zarządzanie aplikacjami prywatnymi hostowanymi w Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM zamiast w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które są już opublikowane prywatnie w przedsiębiorstwie, za pomocą tych narzędzi:
3.13. Zarządzanie samodzielnie hostowanymi aplikacjami prywatnymi
Administratorzy IT mogą konfigurować i publikować własne aplikacje prywatne. W przeciwieństwie do aplikacji prywatnych hostowanych przez Google, Google Play nie hostuje plików APK. Zamiast tego usługa EMM pomaga administratorom IT samodzielnie hostować pakiety APK i chronić aplikacje hostowane samodzielnie, zapewniając, że można je zainstalować tylko wtedy, gdy zezwoli na to zarządzany Sklep Google Play.
3.13.1. Konsola EMM musi pomagać administratorom IT w hostowaniu pliku APK aplikacji, oferując obie te opcje:
- hostowanie pliku APK na serwerze EMM; Serwer może być lokalny lub oparty na chmurze.
- Hostowanie pakietu APK poza serwerem EMM, według uznania firmy. Administrator IT musi określić w konsoli EMM, gdzie jest hostowany plik APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji APK przy użyciu dostarczonego pliku APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować samodzielnie hostowane aplikacje prywatne, a konsola EMM może cicho publikować zaktualizowane pliki definicji APK za pomocą interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje żądania pobrania pakietu APK hostowanego samodzielnie, które zawierają prawidłowy token JWT w pliku cookie żądania, zweryfikowany przez klucz publiczny aplikacji prywatnej.
- Aby ułatwić ten proces, serwer EMM musi poprowadzić administratorów IT przez pobieranie klucza publicznego licencji aplikacji hostowanej samodzielnie z Konsoli Google Play i przesyłanie tego klucza do konsoli EMM.
3.14. Powiadomienia pull EMM
Ta funkcja nie ma zastosowania do interfejsu Android Management API. Zamiast tego skonfiguruj powiadomienia Pub/Sub.
3.15. Wymagania dotyczące korzystania z interfejsu API
Dostawca EMM wdraża interfejsy Android Management API na dużą skalę, unikając wzorców ruchu, które mogłyby negatywnie wpłynąć na możliwość zarządzania aplikacjami w środowiskach produkcyjnych.
3.15.1. Usługa EMM musi przestrzegać limitów użycia interfejsu Android Management API. Niepoprawienie zachowania, które wykracza poza te wytyczne, może według uznania Google skutkować zawieszeniem korzystania z interfejsu API.
3.15.2. System EMM powinien rozkładać ruch z różnych firm w ciągu dnia, zamiast konsolidować ruch firmowy w określonych lub podobnych godzinach. Zachowania pasujące do tego wzorca ruchu, takie jak zaplanowane operacje wsadowe na każdym zarejestrowanym urządzeniu, mogą skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.3. EMM nie powinien wysyłać spójnych, niepełnych lub celowo nieprawidłowych żądań, które nie mają na celu pobierania ani zarządzania rzeczywistymi danymi przedsiębiorstwa. Zachowanie, które pasuje do tego wzorca ruchu, może spowodować zawieszenie korzystania z interfejsu API według uznania Google.
3.16. Zaawansowane zarządzanie konfiguracją zarządzaną
Usługa EMM obsługuje te zaawansowane funkcje zarządzania konfiguracją zarządzaną:
3.16.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania maksymalnie 4 poziomów zagnieżdżonych ustawień konfiguracji zarządzanej dowolnej aplikacji w Google Play za pomocą:
- element iframe zarządzanego Sklepu Google Play,
- niestandardowy interfejs.
3.16.2. Konsola EMM musi mieć możliwość pobierania i wyświetlania wszelkich opinii zwracanych przez kanał opinii o aplikacji skonfigurowany przez administratora IT.
- Konsola EMM musi umożliwiać administratorom IT powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z których pochodzi.
- Konsola EMM musi umożliwiać administratorom IT subskrybowanie alertów lub raportów dotyczących określonych typów wiadomości (np. komunikatów o błędach).
3.16.3. Konsola EMM musi wysyłać tylko wartości, które mają wartość domyślną lub są ręcznie ustawiane przez administratora za pomocą:
- element iframe w konfiguracjach zarządzanych;
- niestandardowy interfejs,
3.17. Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i dystrybuować aplikacje internetowe w konsoli EMM.
3.17.1. Konsola EMM umożliwia administratorom IT rozpowszechnianie skrótów do aplikacji internetowych za pomocą:
3.18. Zarządzanie cyklem życia konta zarządzanego Sklepu Google Play
Usługa EMM może tworzyć, aktualizować i usuwać konta w zarządzanym Sklepie Google Play w imieniu administratorów IT oraz automatycznie przywracać konta po wygaśnięciu.
Ta funkcja jest obsługiwana domyślnie. Nie jest wymagana żadna dodatkowa implementacja EMM.
3.19. Zarządzanie ścieżkami aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera dla konkretnej aplikacji.
3.19.2. Administratorzy IT mogą ustawić, aby urządzenia korzystały z określonej ścieżki rozwoju aplikacji.
3.20. Zaawansowane zarządzanie aktualizacjami aplikacji
Administratorzy IT mogą zezwolić na natychmiastową aktualizację aplikacji lub odłożyć ją na 90 dni.
3.20.1. Administratorzy IT mogą zezwolić aplikacjom na korzystanie z aktualizacji aplikacji o wysokim priorytecie, aby były aktualizowane, gdy tylko będzie dostępna nowa wersja. 3.20.2. Administratorzy IT mogą zezwolić na odkładanie aktualizacji aplikacji na 90 dni.
3.21. Zarządzanie metodami obsługi administracyjnej
Usługa EMM może generować konfiguracje obsługi administracyjnej i przekazywać je administratorowi IT w formie gotowej do rozpowszechniania wśród użytkowników (np. kod QR, konfiguracja zero-touch, adres URL w Sklepie Play).
3.22. Uaktualnianie powiązania Enterprise
Administratorzy IT mogą uaktualnić typ powiązania firmy do zarządzanej domeny Google firmy, co umożliwi organizacji dostęp do usług i funkcji konta Google na zarejestrowanych urządzeniach.
3.22.1. Konsola EMM umożliwia administratorowi IT wywołanie uaktualnienia istniejącej grupy kont zarządzanego Sklepu Google Play do grupy zarządzanej domeny Google za pomocą wymaganych interfejsów API.
3.22.2. Platformy EMM powinny używać Pub/Sub do otrzymywania powiadomień o zdarzeniach przejścia na wyższą opcję zainicjowanych przez administratora IT (nawet tych, które występują poza konsolą EMM) i aktualizować interfejs, aby odzwierciedlał te zmiany.
3.23. Obsługa administracyjna zarządzanych kont Google
Usługa EMM może udostępniać na urządzeniu firmowe konta użytkowników, czyli zarządzane konta Google. Konta te identyfikują zarządzanych użytkowników i umożliwiają stosowanie reguł rozpowszechniania aplikacji oraz dostęp do usług Google. Administratorzy IT mogą też ustawić zasadę, która wymaga uwierzytelniania zarządzanego konta Google podczas rejestracji lub po niej.
3.23.1. Usługa EMM może udostępnić zarządzane konto Google zgodnie z określonymi wytycznymi dotyczącymi implementacji.
W ten sposób:
- Zarządzane konto Google zostanie dodane do urządzenia.
- Zarządzane konto Google musi być bezpośrednio zmapowane na rzeczywistych użytkowników w konsoli EMM.
3.23.2. Administrator IT może użyć tej zasady, aby umożliwić użytkownikom logowanie się na zarządzane konto Google w celu rejestracji.
3.23.3. Administrator IT może użyć tej zasady, aby określić, czy użytkownik musi zalogować się na zarządzane konto Google, aby dokończyć rejestrację.
3.23.4. Administratorzy IT mogą opcjonalnie ograniczyć proces uaktualniania do konkretnego identyfikatora konta (adresu e-mail) na danym urządzeniu.
3.24. Uaktualnianie konta zarządzanego Sklepu Google Play
Administratorzy IT mogą przekształcić konto użytkownika w zarządzane konto Google, co umożliwi urządzeniu dostęp do usług i funkcji konta Google na zarejestrowanych urządzeniach.
3.24.1. Administratorzy IT mogą uaktualnić istniejące konta zarządzanego Sklepu Google Play na urządzeniu do zarządzanego konta Google.
3.24.2. Administratorzy IT mogą opcjonalnie ograniczyć proces uaktualniania do konkretnego identyfikatora konta (adresu e-mail) na danym urządzeniu.
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami dotyczącymi uprawnień w czasie działania
Administratorzy IT mogą w trybie cichym ustawić domyślną odpowiedź na żądania przyznania uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Administratorzy IT muszą mieć możliwość wyboru jednej z tych opcji podczas ustawiania domyślnych zasad uprawnień w czasie działania w organizacji:
- prompt (pozwala użytkownikom wybrać)
- allow
- odmówić,
EMM powinien wymuszać te ustawienia za pomocą zasad.
4.2. Zarządzanie stanem przyznania uprawnień w czasie działania
Po ustawieniu domyślnych zasad dotyczących uprawnień czasu działania (przejdź do sekcji 4.1) Administratorzy IT mogąbez interwencji użytkownika ustawiać odpowiedzi na określone uprawnienia w przypadku dowolnej aplikacji służbowej opartej na interfejsie API w wersji 23 lub nowszej.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu przyznania (domyślny, przyznany lub odrzucony) dowolnego uprawnienia, o które prosi dowolna aplikacja służbowa oparta na interfejsie API w wersji 23 lub nowszej. Platforma EMM powinna wymuszać te ustawienia za pomocą zasad.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą bez interwencji użytkownika udostępniać konfiguracje Wi-Fi dla przedsiębiorstw na urządzeniach zarządzanych, w tym:
4.3.1. SSID przy użyciu zasad.
4.3.2. hasło zgodnie z zasadami.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać na urządzeniach konfiguracje Wi-Fi dla przedsiębiorstw, które obejmują te zaawansowane funkcje zabezpieczeń:
4.4.1. Tożsamość
4.4.2. Certyfikaty do autoryzacji klienta
4.4.3. Certyfikaty CA
4.5. Zaawansowane zarządzanie Wi-Fi
Administratorzy IT mogą blokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą blokować konfiguracje firmowej sieci Wi-Fi za pomocą zasad w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnionych przez usługę EMM (przejdź do
wifiConfigsLockdownEnabled), ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkownika (np. sieci osobiste). - Użytkownicy nie mogą dodawać ani modyfikować żadnych sieci Wi-Fi na urządzeniu (przejdź do
wifiConfigDisabled), co ogranicza łączność Wi-Fi tylko do sieci udostępnianych przez usługę EMM.
4.6. Zarządzanie kontem
Administratorzy IT mogą mieć pewność, że tylko autoryzowane konta firmowe mają dostęp do danych firmowych w przypadku usług takich jak pamięć masowa SaaS, aplikacje zwiększające produktywność czy poczta e-mail. Bez tej funkcji użytkownicy mogą dodawać konta osobiste do aplikacji firmowych, które obsługują też konta konsumenckie, co umożliwia im udostępnianie danych firmowych na tych kontach osobistych.
4.6.1. Administratorzy IT mogą uniemożliwić użytkownikom dodawanie lub modyfikowanie kont (patrz modifyAccountsDisabled).
- Podczas egzekwowania tej zasady na urządzeniu platformy EMM muszą ustawić to ograniczenie przed zakończeniem aprowizacji, aby użytkownicy nie mogli obejść tej zasady, dodając konta przed jej wprowadzeniem.
4.7. Zarządzanie kontem Workspace
Ta funkcja została wycofana. Wymagania dotyczące wymiany znajdziesz w sekcji 3.23.
4.8. Zarządzanie certyfikatami
Umożliwia administratorom IT wdrażanie na urządzeniach certyfikatów tożsamości i urzędów certyfikacji, aby umożliwić korzystanie z zasobów firmowych.
4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkownika wygenerowane przez infrastrukturę kluczy publicznych dla poszczególnych użytkowników. Konsola EMM musi być zintegrowana z co najmniej jedną infrastrukturą PKI i dystrybuować certyfikaty wygenerowane w ramach tej infrastruktury.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji (patrz caCerts) w zarządzanym magazynie kluczy. Ta funkcja dodatkowa nie jest jednak obsługiwana.
4.9. Zaawansowane zarządzanie certyfikatami
Umożliwia administratorom IT ciche wybieranie certyfikatów, których powinny używać określone aplikacje zarządzane. Ta funkcja umożliwia też administratorom IT usuwanie certyfikatów CA i certyfikatów tożsamości z aktywnych urządzeń oraz uniemożliwianie użytkownikom modyfikowania danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzeniach administratorzy IT mogą określić certyfikat, do którego aplikacja będzie miała cichy dostęp w czasie działania. (Ta funkcja nie jest obsługiwana)
- Wybór certyfikatu musi być wystarczająco ogólny, aby umożliwić pojedynczą konfigurację, która będzie stosowana do wszystkich użytkowników, z których każdy może mieć certyfikat tożsamości specyficzny dla użytkownika.
4.9.2. Administratorzy IT mogą usuwać certyfikaty z zarządzanego magazynu kluczy bez powiadamiania użytkowników.
4.9.3. Administratorzy IT mogą bez powiadomienia odinstalować certyfikat CA. (Ta funkcja dodatkowa nie jest obsługiwana)
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie danych logowania (przejdź do credentialsConfigDisabled) w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą wstępnie przyznawać certyfikaty aplikacjom służbowym za pomocą funkcji ChoosePrivateKeyRule.
4.10. Delegowane zarządzanie certyfikatami
Administratorzy IT mogą zainstalować na urządzeniach aplikację do zarządzania certyfikatami innych firm i przyznać jej uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT mogą określić pakiet do zarządzania certyfikatami (przejdź do delegatedCertInstallerPackage), który ma być ustawiony jako aplikacja do zarządzania certyfikatami z uprawnieniami delegowanymi.
- Usługi EMM mogą opcjonalnie sugerować znane pakiety do zarządzania certyfikatami, ale muszą umożliwiać administratorowi IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.11. Zaawansowane zarządzanie siecią VPN
Umożliwia administratorom IT określenie stałego VPN, aby mieć pewność, że dane z określonych aplikacji zarządzanych będą zawsze przesyłane przez skonfigurowaną sieć VPN.
4.11.1. Administratorzy IT mogą wskazać dowolny pakiet VPN, który ma być ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie sugerować znane pakiety VPN, które obsługują stałą sieć VPN, ale nie może ograniczać sieci VPN dostępnych do konfiguracji stałej sieci VPN do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych do określania ustawień VPN dla aplikacji.
4.12. Zarządzanie IME
Administratorzy IT mogą zarządzać metodami wprowadzania (IME), które można skonfigurować na urządzeniach. Ponieważ edytor IME jest współdzielony przez profile służbowe i osobiste, zablokowanie jego użycia uniemożliwi użytkownikom korzystanie z niego również w przypadku profili osobistych. Administratorzy IT nie mogą jednak blokować używania systemowych edytorów IME w profilach służbowych (więcej informacji znajdziesz w sekcji zaawansowanego zarządzania edytorami IME).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (przejdź do permitted_input_methods) o dowolnej długości (w tym pustą listę, która blokuje IME inne niż systemowe). Może ona zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane klawiatury IME do dodania do listy dozwolonych, ale musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.12.2. System EMM musi informować administratorów IT, że systemowe edytory IME są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13. Zaawansowane zarządzanie edytorem IME
Administratorzy IT mogą zarządzać metodami wprowadzania (IME), które użytkownicy mogą konfigurować na urządzeniu. Zaawansowane zarządzanie edytorami IME rozszerza podstawową funkcję, umożliwiając administratorom IT zarządzanie również edytorami IME systemu, które zwykle są dostarczane przez producenta urządzenia lub operatora.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych klawiatur IME (przejdź do permitted_input_methods) o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie klawiatury IME, w tym systemowe), która może zawierać dowolne pakiety klawiatur IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane klawiatury IME do dodania do listy dozwolonych, ale musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.13.2. System EMM musi uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie zablokuje wszystkie edytory IME, w tym edytory IME systemu, które można skonfigurować na urządzeniu.
4.13.3. Dostawca usług EMM musi zadbać o to, aby w przypadku, gdy biała lista edytorów IME nie zawiera systemowych edytorów IME, edytory IME innych firm były instalowane w trybie cichym przed zastosowaniem białej listy na urządzeniu.
4.14. Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, na jakie usługi ułatwień dostępu użytkownicy mogą zezwalać na urządzeniach. Usługi ułatwień dostępu to przydatne narzędzia dla użytkowników z niepełnosprawnościami lub osób, które tymczasowo nie mogą w pełni korzystać z urządzenia. Mogą jednak wchodzić w interakcje z danymi firmowymi w sposób niezgodny z zasadami firmy. Ta funkcja umożliwia administratorom IT wyłączenie dowolnej usługi ułatwień dostępu innej niż systemowa.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu (przejdź do permittedAccessibilityServices) o dowolnej długości (w tym pustą listę, która blokuje usługi ułatwień dostępu inne niż systemowe). Może ona zawierać dowolny pakiet usług ułatwień dostępu. Gdy to ustawienie jest stosowane do profilu służbowego, wpływa zarówno na profil osobisty, jak i służbowy.
- Konsola może opcjonalnie sugerować znane lub zalecane usługi ułatwień dostępu, które można dodać do listy dozwolonych, ale musi umożliwiać administratorowi IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.15. Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom w profilu służbowym. W przeciwnym razie ustawienie lokalizacji w profilu służbowym można skonfigurować w Ustawieniach.
4.15.1. Administratorzy IT mogą wyłączyć usługi lokalizacyjne (przejdź do shareLocationDisabled) w profilu służbowym.
4.16. Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą wymusić określone ustawienie udostępniania lokalizacji na zarządzanym urządzeniu. Ta funkcja może zapewnić, że aplikacje firmowe zawsze będą miały dane o lokalizacji o wysokiej dokładności. Ta funkcja może też zapobiegać nadmiernemu zużyciu baterii przez ograniczenie ustawień lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacyjne urządzenia w każdym z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, ale bez lokalizacji dostarczanej przez sieć.
- Oszczędzanie baterii, które ogranicza częstotliwość aktualizacji.
- Wyłączone.
4.17. Zarządzanie ochroną przed przywróceniem do ustawień fabrycznych
Umożliwia administratorom IT ochronę urządzeń należących do firmy przed kradzieżą, ponieważ nieuprawnieni użytkownicy nie mogą przywrócić na nich ustawień fabrycznych. Jeśli ochrona przed przywróceniem do ustawień fabrycznych utrudnia działanie urządzeń zwracanych do działu IT, administratorzy IT mogą całkowicie wyłączyć tę ochronę.
4.17.1. Administratorzy IT mogą uniemożliwić użytkownikom przywracanie ustawień fabrycznych (przejdź do factoryResetDisabled) na urządzeniu z poziomu Ustawień.
4.17.2. Administratorzy IT mogą określić konta firmowe, które mogą udostępniać urządzenia (przejdź do frpAdminEmails) po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z osobą fizyczną lub używane przez całe przedsiębiorstwo do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przed przywróceniem do ustawień fabrycznych (przejdź do 0 factoryResetDisabled) na określonych urządzeniach.
4.17.4. Administratorzy IT mogą rozpocząć zdalne czyszczenie urządzenia, które opcjonalnie usuwa dane ochrony przed przywróceniem do ustawień fabrycznych, a tym samym usuwa ochronę przed przywróceniem do ustawień fabrycznych na wyczyszczonym urządzeniu.
4.18. Zaawansowana kontrola aplikacji
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowywanie zarządzanych aplikacji lub modyfikowanie ich w ustawieniach. Na przykład zapobiegać wymuszonemu zamknięciu aplikacji lub wyczyszczeniu pamięci podręcznej danych aplikacji.
4.18.1. Administratorzy IT mogą zablokować odinstalowywanie dowolnych zarządzanych aplikacji lub wszystkich zarządzanych aplikacji (kliknij uninstallAppsDisabled).
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w Ustawieniach. (Interfejs Android Management API nie obsługuje tej funkcji)
4.19. Zarządzanie zrzutami ekranu
Administratorzy IT mogą blokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z zarządzanych aplikacji. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (takich jak Asystent Google), które korzystają z funkcji zrzutów ekranu w systemie.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu (przejdź do sekcji screenCaptureDisabled).
4.20. Wyłączanie aparatów
Administratorzy IT mogą wyłączyć korzystanie z aparatów urządzeń przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć korzystanie z aparatów na urządzeniach (przejdź do cameraDisabled) przez zarządzane aplikacje.
4.21. Zbieranie statystyk sieci
Interfejs Android Management API nie obsługuje tej funkcji.
4.22. Zaawansowane zbieranie statystyk sieci
Interfejs Android Management API nie obsługuje tej funkcji.
4.23. Uruchom ponownie urządzenie
Administratorzy IT mogą zdalnie ponownie uruchamiać zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie zrestartować zarządzane urządzenie.
4.24. Zarządzanie radiem systemowym
Umożliwia administratorom IT szczegółowe zarządzanie radiami sieciowymi systemu i powiązanymi zasadami użytkowania za pomocą zasad.
4.24.1. Administratorzy IT mogą wyłączyć transmisje komórkowe wysyłane przez dostawców usług (cellBroadcastsConfigDisabled).
4.24.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach (kliknij mobileNetworksConfigDisabled).
4.24.3. Administratorzy IT mogą uniemożliwić użytkownikom resetowanie wszystkich ustawień sieciowych w Ustawieniach. (przejdź do networkResetDisabled).
4.24.4. Administratorzy IT mogą skonfigurować, czy urządzenie zezwala na mobilną transmisję danych w roamingu (przejdź do dataRoamingDisabled).
4.24.5. Administratorzy IT mogą skonfigurować, czy urządzenie może wykonywać połączenia wychodzące, z wyjątkiem połączeń alarmowych (przejdź do sekcji outGoingCallsDisabled).
4.24.6. Administratorzy IT mogą skonfigurować, czy urządzenie może wysyłać i odbierać wiadomości tekstowe (smsDisabled).
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z urządzenia jako przenośnego hotspotu przez tethering (przejdź do sekcji tetheringConfigDisabled).
4.24.8. Administratorzy IT mogą ustawić limit czasu Wi-Fi na domyślny, gdy urządzenie jest podłączone do zasilania, lub nigdy. (Interfejs Android Management API nie obsługuje tej funkcji)
4.24.9. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie lub modyfikowanie istniejących połączeń Bluetooth (więcej informacji znajdziesz w artykule bluetoothConfigDisabled).
4.25. Zarządzanie dźwiękiem systemowym
Administratorzy IT mogą cicho kontrolować funkcje audio urządzenia, w tym wyciszać urządzenie, uniemożliwiać użytkownikom modyfikowanie ustawień głośności i wyłączanie wyciszenia mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą wyciszać zarządzane urządzenia bez powiadamiania użytkowników. (Interfejs Android Management API nie obsługuje tej funkcji)
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia (przejdź do adjustVolumeDisabled). Spowoduje to również wyciszenie urządzeń.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyłączanie wyciszenia mikrofonu urządzenia (przejdź do unmuteMicrophoneDisabled).
4.26. Zarządzanie zegarem systemowym
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej urządzenia oraz uniemożliwiać użytkownikom modyfikowanie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą wymuszać automatyczne ustawianie czasu i strefy czasowej, uniemożliwiając użytkownikom ustawianie daty, godziny i strefy czasowej na urządzeniu.
4.27. Zaawansowane funkcje urządzeń specjalnych
W przypadku urządzeń dedykowanych administratorzy IT mogą zarządzać tymi funkcjami za pomocą zasad, aby obsługiwać różne przypadki użycia kiosków.
4.27.1. Administratorzy IT mogą wyłączyć blokadę klawiatury urządzenia (przejdź do sekcji keyguardDisabled).
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokując powiadomienia i szybkie ustawienia (statusBarDisabled).
4.27.3. Administratorzy IT mogą wymusić, aby ekran urządzenia pozostawał włączony, gdy urządzenie jest podłączone do zasilania (przejdź do stayOnPluggedModes).
4.27.4. Administratorzy IT mogą zapobiegać wyświetlaniu tych interfejsów systemu (przejdź do createWindowsDisabled):
- Tosty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na to, aby rekomendacje systemowe dotyczące aplikacji pomijały samouczek użytkownika i inne wskazówki wprowadzające przy pierwszym uruchomieniu (przejdź do sekcji skip_first_use_hints).
4.28. Zarządzanie zakresem delegowanym
Administratorzy IT mogą delegować dodatkowe uprawnienia do poszczególnych pakietów.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalowanie certyfikatów i zarządzanie nimi
- Celowo puste
- Rejestrowanie sieciowe
- Logowanie zabezpieczeń (nieobsługiwane w przypadku profilu służbowego na urządzeniu należącym do użytkownika)
4.29. Pomoc dotycząca identyfikatora rejestracji
Od Androida 12 profile służbowe nie będą już mieć dostępu do identyfikatorów specyficznych dla sprzętu. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym za pomocą identyfikatora rejestracji, który pozostaje niezmieniony po przywróceniu ustawień fabrycznych.
4.29.1. Administratorzy IT mogą uzyskać identyfikator rejestracji
4.29.2. Ten identyfikator przypisany do rejestracji musi być zachowany po przywróceniu urządzenia do ustawień fabrycznych.
4.30. Zasady menedżera danych logowania
Administratorzy IT mogą zarządzać aplikacjami do zarządzania danymi logowania, które są dozwolone lub blokowane, za pomocą domyślnych zasad dostawcy danych logowania lub zasad dostawcy danych logowania.
4.30.1 Administratorzy IT mogą blokować wszystkie menedżery danych logowania na urządzeniu (lub w ramach profilu służbowego) za pomocą zasad.
4.30.2 Administratorzy IT mogą określić, że dozwolone są tylko wstępnie załadowane (aplikacje systemowe) menedżery danych logowania.
4.30.3 Administratorzy IT mogą określić listę nazw pakietów, aby włączyć funkcję menedżera danych logowania.
4.31. Podstawowe zarządzanie kartami eSIM
Umożliwia administratorom IT udostępnianie urządzenia z profilem eSIM i zarządzanie jego cyklem życia na urządzeniu.
4.31.1 Administratorzy IT mogą bez interwencji użytkownika udostępniać profil eSIM na urządzeniu za pomocą zasad.
4.31.2 Administratorzy IT mogą usuwać zarządzane karty eSIM z urządzenia za pomocą zasad.
4.31.3 Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach (kliknij mobileNetworksConfigDisabled).
4.31.4 Administratorzy IT mogą zdalnie wysyłać polecenie czyszczenia do urządzenia lub profilu służbowego. To polecenie opcjonalnie usuwa z urządzenia zarządzane karty eSIM. Domyślnie zarządzane karty eSIM są usuwane z profili służbowych na urządzeniach należących do pracowników, ale zachowywane na urządzeniach należących do firmy.
4.31.5 Administratorzy IT mogą pobrać identyfikator EID (Embedded Identity Document) urządzenia za pomocą interfejsu konsoli EMM (lub równoważnej metody).
5. Wykorzystanie urządzenia
5.1. Dostosowywanie zarządzanego udostępniania
Administratorzy IT mogą modyfikować domyślny interfejs procesu konfiguracji, aby uwzględniał funkcje specyficzne dla przedsiębiorstwa. Opcjonalnie administratorzy IT mogą wyświetlać branding dostarczony przez EMM podczas wdrażania.
5.1.1. Administratorzy IT mogą dostosować proces wdrażania, określając warunki usługi i inne wyłączenia odpowiedzialności dotyczące firmy (przejdź do termsAndConditions).
5.1.2. Administratorzy IT mogą wdrażać
niekonfigurowalne Warunki usługi i inne wyłączenia odpowiedzialności dotyczące usług EMM
(przejdź do termsAndConditions).
- Usługi EMM mogą ustawić swoje niekonfigurowalne, specyficzne dla nich dostosowanie jako domyślne wdrożenie, ale muszą zezwalać administratorom IT na konfigurowanie własnych dostosowań.
5.1.3. primaryColor został wycofany w przypadku zasobów firmowych na urządzeniach z Androidem w wersji 10 lub nowszej.
5.2. Dostosowywanie dla firm
Interfejs Android Management API nie obsługuje tej funkcji.
5.3. Zaawansowane opcje dostosowywania dla firm
Interfejs Android Management API nie obsługuje tej funkcji.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który jest zawsze wyświetlany na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia, aby można go było zobaczyć.
5.4.1. Administratorzy IT mogą ustawić niestandardowy komunikat na ekranie blokady (przejdź do deviceOwnerLockScreenInfo).
5.5. Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosować tekst pomocy wyświetlany użytkownikom, gdy próbują oni zmodyfikować ustawienia zarządzane na urządzeniu, lub wdrożyć ogólny komunikat o pomocy dostarczony przez platformę EMM. Zarówno krótkie, jak i długie wiadomości pomocy można dostosowywać. Wyświetlają się one w sytuacjach takich jak próba odinstalowania aplikacji zarządzanej, w przypadku której administrator IT zablokował już odinstalowanie.
5.5.1. Administratorzy IT mogą dostosowywać krótkie i długie komunikaty pomocy wyświetlane użytkownikom.
5.5.2. Administratorzy IT mogą wdrażać krótkie i długie komunikaty pomocy, których nie można skonfigurować i które są przeznaczone dla platformy EMM (przejdź do shortSupportMessage i longSupportMessage w policies).
- Usługa EMM może ustawić swoje niekonfigurowalne, specyficzne dla niej wiadomości pomocy jako domyślne wdrożenia, ale musi zezwalać administratorom IT na konfigurowanie własnych wiadomości.
5.6. Zarządzanie kontaktami na różnych profilach
5.6.1. Administratorzy IT mogą wyłączyć wyświetlanie kontaktów służbowych w profilu osobistym podczas wyszukiwania kontaktów i połączeń przychodzących.
5.6.2. Administratorzy IT mogą wyłączyć udostępnianie kontaktów służbowych przez Bluetooth, np. połączenia w trybie głośnomówiącym w samochodach lub zestawach słuchawkowych.
5.7. Zarządzanie danymi w wielu profilach
Umożliwia administratorom IT zarządzanie typami danych, które mogą być udostępniane między profilami służbowymi a osobistymi, co pozwala im dostosowywać równowagę między użytecznością a bezpieczeństwem danych do swoich wymagań.
5.7.1. Administratorzy IT mogą skonfigurować zasady udostępniania danych między profilami, aby aplikacje osobiste mogły obsługiwać intencje z profilu służbowego, takie jak intencje udostępniania czy linki do stron internetowych.
5.7.2. Administratorzy IT mogą zezwolić aplikacjom z profilu służbowego na tworzenie i wyświetlanie widżetów na ekranie głównym profilu osobistego. Ta funkcja jest domyślnie wyłączona, ale można ją włączyć za pomocą pól workProfileWidgets i workProfileWidgetsDefault.
5.7.3. Administratorzy IT mogą kontrolować możliwość kopiowania i wklejania danych między profilem służbowym a profilem osobistym.
5.8. Zasady aktualizacji systemu
Administratorzy IT mogą konfigurować i stosować aktualizacje bezprzewodowe (OTA) na urządzeniach.
5.8.1. Konsola usługi EMM umożliwia administratorom IT ustawianie tych konfiguracji OTA:
- Automatyczne: urządzenia instalują aktualizacje OTA, gdy tylko staną się dostępne.
- Odłożenie: administratorzy IT muszą mieć możliwość odłożenia aktualizacji OTA na okres do 30 dni. Ta zasada nie ma wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okresowe: administratorzy IT muszą mieć możliwość zaplanowania aktualizacji OTA w ramach codziennego okresu konserwacji.
5.8.2. Konfiguracje OTA są stosowane na urządzeniach za pomocą zasad.
5.9. Zarządzanie trybem blokowania zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie, aby użytkownicy nie mogli ich zamknąć.
5.9.1. Konsola EMM umożliwia administratorom IT ciche zezwalanie na instalowanie dowolnego zestawu aplikacji i blokowanie ich na urządzeniu. Zasady umożliwiają konfigurowanie urządzeń dedykowanych.
5.10. Stałe zarządzanie działaniami priorytetowymi
Umożliwia administratorom IT ustawienie aplikacji jako domyślnego modułu obsługi intencji, które pasują do określonego filtra intencji. Na przykład ta funkcja umożliwia administratorom IT wybieranie przeglądarki, która ma automatycznie otwierać linki internetowe. Ta funkcja może zarządzać aplikacją uruchamiającą, która jest używana po naciśnięciu przycisku ekranu głównego.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji w przypadku dowolnego filtra intencji.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane intencje do konfiguracji, ale nie może ograniczać intencji do żadnej dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybieranie z listy aplikacji, które mogą zainstalować odpowiedni użytkownicy.
5.11. Zarządzanie funkcjami Keyguard
Administratorzy IT mogą zarządzać funkcjami dostępnymi dla użytkowników przed odblokowaniem zabezpieczeń urządzenia (ekranu blokady) i zabezpieczeń profilu służbowego (ekranu blokady).
5.11.1.Zasady mogą wyłączyć te funkcje blokady ekranu urządzenia:
- agenty zaufania,
- odblokowywanie odciskiem palca
- niezredagowane powiadomienia,
5.11.2. Następujące funkcje ekranu blokady profilu służbowego można wyłączyć za pomocą zasad:
- agenty zaufania,
- odblokowywanie odciskiem palca
5.12. Zaawansowane zarządzanie funkcjami blokady klawiatury
- Zabezpieczanie kamery
- Wszystkie powiadomienia
- Nieusunięte
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje ochrony klawiatury
5.13. Debugowanie zdalne
Interfejs Android Management API nie obsługuje tej funkcji.
5.14. Pobieranie adresu MAC
Usługi EMM mogą w sposób niewidoczny pobierać adres MAC urządzenia, który służy do identyfikowania urządzeń w innych częściach infrastruktury przedsiębiorstwa (np. podczas identyfikowania urządzeń na potrzeby kontroli dostępu do sieci).
5.14.1. Usługa EMM może cicho pobrać adres MAC urządzenia i powiązać go z urządzeniem w konsoli EMM.
5.15. Zaawansowane zarządzanie trybem blokowania zadań
W przypadku urządzeń dedykowanych administratorzy IT mogą wykonywać w konsoli EMM te czynności:
5.15.1. Ciche zezwolenie na zainstalowanie jednej aplikacji i zablokowanie jej na urządzeniu.
5.15.2. Włącz lub wyłącz te funkcje interfejsu systemu:
- Przycisk ekranu głównego
- Omówienie
- Działania globalne
- Powiadomienia
- Informacje o systemie / Pasek stanu
- Keyguard (ekran blokady). Ta funkcja jest domyślnie włączona, gdy wdrożona jest wersja 5.15.1.
5.15.3. Wyłącz opcję Okna błędów systemowych.
5.16. Zaawansowane zasady aktualizacji systemu
Administratorzy IT mogą ustawić określony okres blokady, aby zablokować aktualizacje systemu na urządzeniu.
5.16.1. Konsola EMM musi umożliwiać administratorom IT blokowanie aktualizacji systemu bezprzewodowych (OTA) w określonym okresie blokady.
5.17. Zarządzanie przejrzystością zasad profilu służbowego
Administratorzy IT mogą dostosowywać wiadomości wyświetlane użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą podać niestandardowy tekst do wyświetlenia (przejdź do wipeReasonMessage), gdy profil służbowy zostanie wyczyszczony.
5.18. Pomoc dotycząca połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą komunikować się poza granicami profilu służbowego, ustawiając ConnectedWorkAndPersonalApp.
5.19. Ręczna aktualizacja systemu
Interfejs Android Management API nie obsługuje tej funkcji.
6. Wycofanie aplikacji do zarządzania urządzeniem
6.1. Wycofanie aplikacji do zarządzania urządzeniem
Dostawcy usług EMM muszą opublikować plan do końca 2022 r., w którym zakończą obsługę klienta w zakresie administratora urządzenia na urządzeniach z GMS do końca I kwartału 2023 r.
7. Wykorzystanie interfejsu API
7.1. Standardowy kontroler zasad dla nowych powiązań
Domyślnie urządzenia muszą być zarządzane za pomocą Android Device Policy w przypadku wszystkich nowych powiązań. Systemy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowego kontrolera zasad dotyczących urządzeń w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym. Nowi klienci nie mogą być narażeni na arbitralny wybór między stosami technologicznymi w trakcie żadnego procesu wprowadzania ani konfiguracji.
7.2. Standardowy kontroler zasad na nowych urządzeniach
Domyślnie urządzenia muszą być zarządzane przy użyciu Android Device Policy w przypadku wszystkich nowych rejestracji urządzeń, zarówno w przypadku istniejących, jak i nowych powiązań. Systemy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowego kontrolera zasad dotyczących urządzeń w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym.