หน้านี้แสดงชุดฟีเจอร์ทั้งหมดของ Android Enterprise
หากคุณต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ต้องรองรับ ฟีเจอร์มาตรฐานทั้งหมด () ของชุดโซลูชันอย่างน้อย 1 ชุดก่อนจึงจะพร้อมให้บริการในเชิงพาณิชย์ โซลูชัน EMM ที่ ผ่านการยืนยันฟีเจอร์มาตรฐานจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่ามีชุดการจัดการมาตรฐาน
ชุดฟีเจอร์ขั้นสูงเพิ่มเติมพร้อมให้บริการสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้ จะระบุไว้ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งานใน อุปกรณ์ส่วนตัว โปรไฟล์ งานในอุปกรณ์ของ บริษัท อุปกรณ์ที่มีการจัดการ ครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการ ยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่ามีชุดการจัดการขั้นสูง
คีย์
| ฟีเจอร์มาตรฐาน | ฟีเจอร์ขั้นสูง | ฟีเจอร์เสริม | ไม่เกี่ยวข้อง |
1. การจัดสรรอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานแบบ DPC-first
หลังจากดาวน์โหลด Android Device Policy จาก Google Play แล้ว ผู้ใช้จะจัดสรร โปรไฟล์งานได้
1.1.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อ รองรับวิธีการจัดสรรนี้ (ไปที่ การลงทะเบียนและการจัดสรรอุปกรณ์)
1.2 การจัดสรรอุปกรณ์โดยใช้ตัวระบุ DPC
การป้อน "afw#" ในตัวช่วยการตั้งค่าของอุปกรณ์จะจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรือ อุปกรณ์เฉพาะ
1.2.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อรองรับ วิธีการจัดสรรนี้ (ไปที่การลงทะเบียนและการจัดสรรอุปกรณ์)
1.3 การจัดสรรอุปกรณ์ NFC
ผู้ดูแลระบบไอทีสามารถใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้น ตามหลักเกณฑ์การติดตั้งใช้งานที่กำหนดไว้ใน เอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
1.3.1. EMM ต้องใช้แท็ก NFC Forum ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียน ไปยังอุปกรณ์ รายละเอียดการลงทะเบียน ไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจากมีการ เลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4. การจัดสรรอุปกรณ์ด้วยคิวอาร์โค้ด
คอนโซลของ EMM สามารถสร้างคิวอาร์โค้ดที่ผู้ดูแลระบบไอทีสแกนเพื่อจัดสรร อุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะได้ตามหลักเกณฑ์การติดตั้งใช้งาน ที่กำหนดไว้ในเอกสารคู่มือสำหรับนักพัฒนาซอฟต์แวร์ Android Management API
1.4.1. คิวอาร์โค้ดต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) ไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน หรือใบรับรอง
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อจาก ตัวแทนจำหน่ายที่ได้รับอนุญาตล่วงหน้าและจัดการอุปกรณ์เหล่านั้นโดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม ที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่ผู้ดูแลระบบไอทีกำหนดโดยอัตโนมัติ
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นอัตโนมัติได้ด้วยการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม เมื่อใช้ร่วมกับ URL การลงชื่อเข้าใช้ ผู้ดูแลระบบไอทีจะจำกัดการลงทะเบียนให้เฉพาะบัญชีหรือโดเมนที่เจาะจงได้ตาม ตัวเลือกการกำหนดค่าที่ EMM มีให้
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทโดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.6.2. ข้อกำหนดนี้เลิกใช้งานแล้ว
1.6.3. EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถดำเนินการเปิดใช้งานต่อได้โดยใช้URL การลงชื่อเข้าใช้ อย่างน้อยที่สุด การเปิดใช้งานต้องจำกัดไว้สำหรับผู้ใช้ขององค์กรที่กำหนด
1.6.4. การใช้URL การลงชื่อเข้าใช้ EMM ต้องช่วยให้ ผู้ดูแลระบบไอทีสามารถป้อนรายละเอียดการลงทะเบียนล่วงหน้า (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น ชื่อผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อให้ผู้ใช้ไม่ต้องป้อนรายละเอียด เมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่ใส่ข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือ ใบรับรอง ในการกำหนดค่าการลงทะเบียนแบบไม่มีการแตะ
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ ฟีเจอร์นี้จะแนะนำ ผู้ใช้ตลอดการตั้งค่าโปรไฟล์งานหลังจากป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กร ระหว่างการตั้งค่าอุปกรณ์หรือในอุปกรณ์ที่เปิดใช้งานแล้ว ในทั้ง 2 กรณี ระบบจะย้ายข้อมูลประจำตัว Workspace ขององค์กรไปยัง โปรไฟล์งาน
1.8. การจัดสรรอุปกรณ์ที่เชื่อมโยงกับบัญชี Google
Android Management API ไม่รองรับฟีเจอร์นี้
1.9 การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้ iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10. โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้โดยการตั้งค่า AllowPersonalUsage
1.10.1. จงใจเว้นว่าง
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าการดำเนินการด้านการปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทผ่านPersonalUsagePolicies
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือ ทั้งอุปกรณ์ผ่านPersonalUsagePolicies
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือ ทั้งอุปกรณ์ผ่าน PersonalUsagePolicies
1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่บล็อกของแอปพลิเคชันที่ติดตั้งไม่ได้ ในโปรไฟล์ส่วนตัวผ่าน PersonalApplicationPolicy
1.10.6. ผู้ดูแลระบบไอทีสามารถสละสิทธิ์การจัดการอุปกรณ์ของบริษัทได้โดย นำโปรไฟล์งานออกหรือล้างข้อมูลทั้งอุปกรณ์
1.11 การจัดสรรอุปกรณ์เฉพาะ
ผู้ดูแลระบบไอทีสามารถลงทะเบียนอุปกรณ์เฉพาะได้โดยไม่ต้องแจ้งให้ผู้ใช้ ตรวจสอบสิทธิ์ด้วยบัญชี Google
2. ความปลอดภัยของอุปกรณ์
2.1 การยืนยันตัวตนเพื่อความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถกำหนดและบังคับใช้การยืนยันความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากการเลือกที่กำหนดไว้ล่วงหน้า 3 ระดับความซับซ้อนในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบาย ต้องบังคับใช้การตั้งค่าที่จัดการความท้าทายด้านความปลอดภัยของอุปกรณ์ (parentProfilePasswordRequirements สำหรับโปรไฟล์งาน, passwordRequirements สำหรับ อุปกรณ์ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือ ตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) รหัสผ่านตัวอักษร หรือรหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4 อักขระ
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำ (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 อักขระ หรือรหัสผ่านตัวอักษรหรือ รหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6 อักขระ
2.1.3. นอกจากนี้ ยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิม ในอุปกรณ์ของบริษัทได้ด้วย
2.2 มาตรการรักษาความปลอดภัยของที่ทำงาน
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้การตรวจสอบความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งาน ซึ่งแยกต่างหากและมีข้อกำหนดที่แตกต่างจากการตรวจสอบความปลอดภัยของอุปกรณ์ (2.1)
2.2.1. นโยบาย ต้องบังคับใช้คำถามด้านความปลอดภัยสำหรับโปรไฟล์งาน
- โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรกำหนดข้อจำกัดสำหรับโปรไฟล์งานเท่านั้น หากไม่ได้ระบุขอบเขต
- ผู้ดูแลระบบไอทีสามารถตั้งค่านี้ทั่วทั้งอุปกรณ์ได้โดยการระบุขอบเขต (ดู ข้อกำหนด 2.1)
2.2.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านที่กำหนดไว้ล่วงหน้าต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือ ตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) รหัสผ่านตัวอักษร หรือรหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4 อักขระ
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำ (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 อักขระ หรือรหัสผ่านตัวอักษรหรือ รหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6 อักขระ
2.2.3. นอกจากนี้ คุณยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิมได้ด้วย
2.3 การจัดการรหัสผ่านขั้นสูง
ผู้ดูแลระบบไอทีสามารถตั้งค่ารหัสผ่านขั้นสูงในอุปกรณ์ได้
2.3.1. จงใจเว้นว่าง
2.3.2. จงใจเว้นว่าง
2.3.3. คุณตั้งค่าการตั้งค่าวงจรการใช้งานรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์ได้
- จงใจเว้นว่าง
- จงใจเว้นว่าง
- รหัสผ่านที่ป้อนผิดพลาดสูงสุดสำหรับการล้างข้อมูล: ระบุจำนวนครั้งที่ผู้ใช้ สามารถป้อนรหัสผ่านที่ไม่ถูกต้องก่อนที่จะมีการล้างข้อมูลของบริษัทออกจาก อุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.3.4. (Android 8.0 ขึ้นไป) การหมดเวลาที่ต้องมีการตรวจสอบสิทธิ์ที่รัดกุม: ต้องป้อนรหัสผ่านสำหรับการตรวจสอบสิทธิ์ที่รัดกุม (เช่น PIN หรือรหัสผ่าน) หลังจากระยะเวลาการหมดเวลาที่กำหนดโดยผู้ดูแลระบบไอที หลังจากระยะหมดเวลา ระบบจะปิดวิธีการตรวจสอบสิทธิ์ที่ไม่เข้มงวด (เช่น ลายนิ้วมือ ปลดล็อกด้วยใบหน้า) จนกว่าจะปลดล็อกอุปกรณ์ด้วยรหัสผ่านสำหรับการตรวจสอบสิทธิ์ที่มีความปลอดภัยสูง
2.4 การจัดการ Smart Lock
ผู้ดูแลระบบไอทีสามารถจัดการได้ว่าจะอนุญาตให้เอเจนต์ความน่าเชื่อถือในฟีเจอร์ Smart Lock ของ Android ขยายเวลาการปลดล็อกอุปกรณ์ได้สูงสุด 4 ชั่วโมงหรือไม่
2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ เอเจนต์ความน่าเชื่อถือในอุปกรณ์ได้
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานจากระยะไกลใน อุปกรณ์ที่มีการจัดการ
2.5.1. ต้องล็อกอุปกรณ์โดยใช้ Android Management API
2.5.2. ต้องล้างข้อมูลในอุปกรณ์โดยใช้ Android Management API
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายด้านความปลอดภัย กฎการปฏิบัติตามข้อกำหนด ที่กำหนดโดย Android Management API จะจำกัดการใช้ข้อมูลงานโดยอัตโนมัติ
2.6.1. นโยบายการรักษาความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีอย่างน้อย นโยบายรหัสผ่าน
2.7 นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยไม่ต้องกำหนดให้ผู้ดูแลระบบไอทีตั้งค่าหรือปรับแต่งการตั้งค่าใดๆ ในคอนโซลของ EMM เราขอแนะนำ (แต่ไม่บังคับ) ให้ EMM ไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยน สถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. ต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก รวมถึงแอปที่ติดตั้งในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน ระบบจะรองรับฟีเจอร์ย่อยนี้โดยค่าเริ่มต้น
2.7.2. ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง ฟีเจอร์ย่อยนี้ รองรับโดยค่าเริ่มต้น
2.8. นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
ไม่อนุญาตให้ดำเนินการอื่นๆ ในอุปกรณ์เฉพาะที่ล็อกไว้
2.8.1. โดยค่าเริ่มต้นจะต้องปิดการบูตในโหมดปลอดภัยโดยใช้นโยบาย
(ไปที่ safeBootDisabled)
2.9. การสนับสนุน Play Integrity
ระบบจะตรวจสอบความสมบูรณ์ของ Play โดยค่าเริ่มต้น ไม่จำเป็นต้องมีการติดตั้งใช้งานเพิ่มเติม
2.9.1. จงใจเว้นว่าง
2.9.2. จงใจเว้นว่าง
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบสนองตามนโยบายต่างๆ ตามค่าของSecurityRisk ของอุปกรณ์ ซึ่งรวมถึงการบล็อกการจัดสรร การล้างข้อมูลของบริษัท และการอนุญาตให้ การลงทะเบียนดำเนินการต่อ
- บริการ EMM จะบังคับใช้การตอบกลับตามนโยบายนี้สำหรับผลลัพธ์ของ การตรวจสอบความสมบูรณ์แต่ละครั้ง
2.9.4. จงใจเว้นว่าง
2.10. การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดตรวจสอบแอป ในอุปกรณ์ได้ ฟีเจอร์ยืนยันแอปจะสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาซอฟต์แวร์ที่เป็นอันตรายก่อนและหลังการติดตั้ง เพื่อช่วยให้มั่นใจว่าแอปที่เป็นอันตรายจะไม่สามารถบุกรุกข้อมูลของบริษัทได้
2.10.1. ต้องเปิดฟีเจอร์ตรวจสอบแอปโดยค่าเริ่มต้นโดยใช้นโยบาย
(ไปที่ ensureVerifyAppsEnabled)
2.11. การรองรับ Direct Boot
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
2.12. การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อให้มั่นใจถึง การป้องกันการสูญเสียข้อมูล
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ติดตั้งสื่อภายนอกจริงได้โดยใช้นโยบาย (ไปที่
mountPhysicalMediaDisabled)
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์โดยใช้ NFC
beam โดยใช้นโยบาย
(ไปที่ outgoingBeamDisabled) ฟีเจอร์ย่อยนี้เป็นฟีเจอร์ที่ไม่บังคับเนื่องจากระบบไม่รองรับฟังก์ชัน NFC beam
ใน Android 10 ขึ้นไปอีกต่อไป
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB โดยใช้นโยบาย (ไปที่
usbFileTransferDisabled)
2.13. การบันทึกความปลอดภัยขององค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
3. การจัดการบัญชีและแอป
3.1 การเชื่อมโยงองค์กร
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรของตน เพื่ออนุญาตให้ EMM ใช้ Managed Google Play ในการเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วสามารถเชื่อมโยงโดเมนกับ EMM ได้
3.1.2. จงใจเว้นว่าง
3.1.3. จงใจเว้นว่าง
3.1.4. คอนโซล EMM จะแนะนำให้ผู้ดูแลระบบป้อนอีเมลที่ทำงานใน ขั้นตอนการลงชื่อสมัครใช้ Android และไม่แนะนำให้ใช้บัญชี Gmail
3.1.5. EMM จะกรอกอีเมลของผู้ดูแลระบบล่วงหน้าในขั้นตอนการลงชื่อสมัครใช้ Android
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรโดยอัตโนมัติ ซึ่งเรียกว่าบัญชี Managed Google Play บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอปที่ไม่ซ้ำกันต่อผู้ใช้แต่ละราย
3.2.1. ระบบจะสร้างบัญชี Managed Google Play (บัญชีผู้ใช้) โดยอัตโนมัติ เมื่อมีการจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สามารถสร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play ได้ บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Managed Google Play Store โดยอัตโนมัติ และไม่ได้เชื่อมโยงกับผู้ใช้รายเดียว แต่จะใช้บัญชีอุปกรณ์เพื่อระบุ อุปกรณ์เครื่องเดียวเพื่อรองรับกฎการเผยแพร่แอปต่ออุปกรณ์ในสถานการณ์ อุปกรณ์เฉพาะ
3.3.1. ระบบจะสร้างบัญชี Managed Google Play โดยอัตโนมัติเมื่อมีการจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์รุ่นเดิม
เราจะเลิกใช้งานฟีเจอร์นี้
3.5. การเผยแพร่แอปแบบเงียบ
ผู้ดูแลระบบไอทีสามารถแจกจ่ายแอปงานในอุปกรณ์แบบเงียบโดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.5.1. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซลของ EMM ต้องใช้ Android Management API เพื่อให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการได้
3.5.3. คอนโซลของ EMM ต้องใช้ Android Management API เพื่อให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่จัดการได้
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการแบบเงียบสำหรับแอปที่ รองรับการกำหนดค่าที่มีการจัดการ
3.6.1. คอนโซลของ EMM ต้องดึง และแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการของแอป Play ได้
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีกำหนดค่าประเภทใดก็ได้ (ตามที่กำหนดโดยเฟรมเวิร์ก Android Enterprise) สำหรับแอป Play ใดก็ได้โดยใช้ Android Management API
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้ใช้การกำหนดค่าเดียวสำหรับแอป เช่น Gmail กับผู้ใช้หลายรายได้
3.7 การจัดการแคตตาล็อกแอป
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้อง ติดตั้งใช้งานเพิ่มเติม
3.8. การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบและอนุมัติแอปของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ใหม่ของแอปได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปภายในคอนโซลของ EMM โดยใช้ iframe ของ Managed Google Play
3.9 การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
คุณใช้แอป Managed Google Play Store เพื่อติดตั้งและอัปเดตแอปงานได้ โดยค่าเริ่มต้น Managed Google Play Store จะแสดงแอปที่ได้รับอนุมัติสำหรับผู้ใช้ในรายการเดียว เลย์เอาต์นี้เรียกว่าเลย์เอาต์ร้านค้าพื้นฐาน
3.9.1. คอนโซลของ EMM ควรอนุญาตให้ผู้ดูแลระบบไอทีจัดการแอปที่แสดงในเลย์เอาต์ร้านค้าพื้นฐานของผู้ใช้ปลายทาง
3.10. การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
3.10.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของ Store ที่เห็นในแอป Managed Google Play Store ได้
3.11. การจัดการใบอนุญาตแอป
เราจะเลิกใช้งานฟีเจอร์นี้
3.12. การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์โดย Google ผ่านคอนโซล EMM แทน การอัปเดตผ่าน Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แล้ว แบบส่วนตัวไปยังองค์กรได้โดยใช้
3.13. การจัดการแอปส่วนตัวที่โฮสต์เอง
ผู้ดูแลระบบไอทีสามารถตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์เองได้ Google Play ไม่ได้โฮสต์ APK ซึ่งแตกต่างจากแอปส่วนตัวที่ Google โฮสต์ แต่ EMM จะช่วยผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเอง และช่วยปกป้องแอปที่โฮสต์ด้วยตนเอง โดยตรวจสอบว่าแอปจะติดตั้งได้ก็ต่อเมื่อได้รับอนุญาตจาก Managed Google Play เท่านั้น
3.13.1. คอนโซลของ EMM ต้องช่วยผู้ดูแลระบบไอทีโฮสต์ APK ของแอปโดยมีตัวเลือกต่อไปนี้
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจอยู่ภายในองค์กรหรือ ใช้ระบบคลาวด์
- การโฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM ตามที่องค์กรเห็นสมควร ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่ามีการโฮสต์ APK ไว้ที่ใด
3.13.2. คอนโซลของ EMM ต้องสร้างไฟล์คำจำกัดความ APK ที่เหมาะสมโดยใช้ APK ที่ระบุ และต้องแนะนำผู้ดูแลระบบไอทีตลอดกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์ด้วยตนเอง และคอนโซลของ EMM สามารถเผยแพร่ไฟล์คำจำกัดความ APK ที่อัปเดตแล้วแบบเงียบๆ ได้โดยใช้ Google Play Developer Publishing API
3.13.4. เซิร์ฟเวอร์ของ EMM จะแสดงคำขอดาวน์โหลด APK ที่โฮสต์ด้วยตนเอง ซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดย คีย์สาธารณะของแอปส่วนตัว
- เพื่ออำนวยความสะดวกในกระบวนการนี้ เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ ดาวน์โหลดคีย์สาธารณะของใบอนุญาตของแอปที่โฮสต์ด้วยตนเองจาก Play Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM
3.14. การแจ้งเตือนแบบดึงข้อมูลของ EMM
ฟีเจอร์นี้ใช้ไม่ได้กับ Android Management API ตั้งค่า การแจ้งเตือน Pub/Sub แทน
3.15. ข้อกำหนดในการใช้งาน API
EMM ใช้ Android Management API ในวงกว้างเพื่อหลีกเลี่ยงรูปแบบการเข้าชม ที่อาจส่งผลเสียต่อความสามารถขององค์กรในการจัดการแอปใน สภาพแวดล้อมการผลิต
3.15.1. EMM ต้องปฏิบัติตามขีดจำกัดการใช้งาน Android Management API การไม่แก้ไขลักษณะการทำงานที่เกินหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google เห็นสมควร
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในช่วงเวลาที่เฉพาะเจาะจงหรือคล้ายกัน พฤติกรรมที่สอดคล้องกับรูปแบบการเข้าชมนี้ เช่น การดำเนินการแบบกลุ่มที่กำหนดเวลาไว้ สำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียน อาจส่งผลให้มีการระงับการใช้ API ตามดุลยพินิจของ Google
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่สมบูรณ์หรือไม่ถูกต้องอย่างสม่ำเสมอหรือโดยจงใจ ซึ่งไม่ได้พยายามดึงหรือจัดการข้อมูลจริงขององค์กร พฤติกรรมที่สอดคล้องกับรูปแบบการเข้าชมนี้อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google เห็นสมควร
3.16 การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
EMM รองรับฟีเจอร์การจัดการการกำหนดค่าที่มีการจัดการขั้นสูงต่อไปนี้
3.16.1. คอนโซลของ EMM ต้องดึงและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการซ้อนกันได้สูงสุด 4 ระดับของแอป Play ใดก็ได้โดยใช้
- iframe ของ Managed Google Play หรือ
- UI ที่กำหนดเอง
3.16.2. คอนโซลของ EMM ต้องเรียกและแสดงความคิดเห็น ที่ช่องทางแสดงความคิดเห็นของแอป ส่งคืนได้ เมื่อผู้ดูแลระบบไอทีตั้งค่า
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เฉพาะเจาะจง กับอุปกรณ์และแอปที่เป็นแหล่งที่มาของความคิดเห็นนั้น
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานของ ข้อความประเภทใดประเภทหนึ่ง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือค่าที่ผู้ดูแลระบบตั้งค่าด้วยตนเอง โดยใช้ค่าต่อไปนี้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กำหนดเอง
3.17 การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสามารถสร้างและเผยแพร่เว็บแอปในคอนโซล EMM ได้
3.17.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีกระจายทางลัดไปยังเว็บแอปได้ โดยใช้สิ่งต่อไปนี้
3.18. การจัดการวงจรของบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของผู้ดูแลระบบไอที รวมถึงกู้คืนจากการหมดอายุของบัญชีโดยอัตโนมัติ
ฟีเจอร์นี้รองรับโดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งาน EMM เพิ่มเติม
3.19. การจัดการแทร็กของแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่นักพัฒนาแอปตั้งค่าไว้สำหรับแอปหนึ่งๆ
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้เส้นทางการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20. การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
ผู้ดูแลระบบไอทีสามารถอนุญาตให้อัปเดตแอปได้ทันทีหรือเลื่อนการอัปเดตออกไปเป็นเวลา 90 วัน
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปใช้การอัปเดตแอปที่มีลำดับความสำคัญสูงเพื่ออัปเดตเมื่อพร้อมใช้งาน 3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปออกไปได้ 90 วัน
3.21. การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอต่อผู้ดูแลระบบไอที ในรูปแบบที่พร้อมสำหรับการเผยแพร่ไปยังผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม, URL ของ Play Store)
3.22. อัปเกรดการเชื่อมโยงกับองค์กร
ผู้ดูแลระบบไอทีสามารถอัปเกรดประเภทการเชื่อมโยงองค์กรเป็นโดเมน Google ที่มีการจัดการ สำหรับองค์กรได้ ซึ่งจะช่วยให้องค์กรเข้าถึงบริการและ ฟีเจอร์ของบัญชี Google ในอุปกรณ์ที่ลงทะเบียนได้
3.22.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถทริกเกอร์การอัปเกรดกลุ่มบัญชี Managed Google Play สำหรับองค์กรที่มีอยู่เป็นกลุ่มบัญชี Google Domain สำหรับองค์กรที่มีการจัดการโดยใช้ API ที่จำเป็น
3.22.2. EMM ควรใช้ Pub/Sub เพื่อรับการแจ้งเตือนเกี่ยวกับเหตุการณ์การอัปเกรดที่ผู้ดูแลระบบไอทีเริ่ม (แม้ว่าจะเกิดขึ้นภายนอกคอนโซล EMM) และอัปเดต UI เพื่อแสดงการเปลี่ยนแปลงเหล่านี้
3.23 การจัดสรรบัญชี Google ที่มีการจัดการ
EMM สามารถจัดสรรอุปกรณ์ด้วยบัญชีผู้ใช้ขององค์กรที่เรียกว่าบัญชี Google ที่มีการจัดการ บัญชีเหล่านี้ระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอป รวมถึงอนุญาตให้เข้าถึงบริการของ Google นอกจากนี้ ผู้ดูแลระบบไอทียังสามารถตั้งค่านโยบายเพื่อกำหนดให้มีการตรวจสอบสิทธิ์บัญชี Google ที่มีการจัดการระหว่างหรือหลังการลงทะเบียนได้ด้วย
3.23.1. EMM สามารถจัดสรรบัญชี Google ที่มีการจัดการตาม หลักเกณฑ์การติดตั้งใช้งานที่กำหนดไว้
โดยมีวิธีการดังนี้
- เพิ่มบัญชี Google ที่มีการจัดการลงในอุปกรณ์
- บัญชี Google ที่มีการจัดการต้องมีการแมปแบบ 1 ต่อ 1 กับผู้ใช้จริงใน คอนโซลของ EMM
3.23.2. ผู้ดูแลระบบไอทีสามารถใช้นโยบายนี้เพื่อให้ผู้ใช้มีตัวเลือกในการลงชื่อเข้าใช้ บัญชี Google ที่มีการจัดการเพื่อลงทะเบียน
3.23.3. ผู้ดูแลระบบไอทีสามารถใช้นโยบายเพื่อควบคุมว่าผู้ใช้ต้องลงชื่อเข้าใช้บัญชี Google ที่มีการจัดการเพื่อทำการลงทะเบียนให้เสร็จสมบูรณ์หรือไม่
3.23.4. ผู้ดูแลระบบไอทีสามารถเลือกจำกัดขั้นตอนการอัปเกรดให้ใช้ได้กับตัวระบุบัญชี (อีเมล) ที่เฉพาะเจาะจงสำหรับอุปกรณ์หนึ่งๆ ได้
3.24. การอัปเกรดบัญชี Managed Google Play
ผู้ดูแลระบบไอทีสามารถอัปเกรดประเภท บัญชีผู้ใช้ เป็นบัญชี Google ที่มีการจัดการ ซึ่งจะช่วยให้อุปกรณ์เข้าถึงบริการและฟีเจอร์ของบัญชี Google ในอุปกรณ์ที่ลงทะเบียนได้
3.24.1. ผู้ดูแลระบบไอทีสามารถอัปเกรดบัญชี Managed Google Play ที่มีอยู่บนอุปกรณ์เป็นบัญชี Google ที่มีการจัดการได้
3.24.2. ผู้ดูแลระบบไอทีสามารถเลือกจำกัดขั้นตอนการอัปเกรดให้ใช้ได้กับตัวระบุบัญชี (อีเมล) ที่เฉพาะเจาะจงสำหรับอุปกรณ์หนึ่งๆ ได้
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์ ที่แอปงานสร้างขึ้นได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้ได้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสำหรับองค์กร
- พรอมต์ (อนุญาตให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1) ผู้ดูแลระบบไอทีสามารถ ตั้งค่าการตอบกลับสำหรับสิทธิ์ที่เฉพาะเจาะจงจากแอปงานใดก็ได้ที่สร้างขึ้นใน API 23 ขึ้นไปโดยไม่แจ้งให้ผู้ใช้ทราบ
4.2.1. ผู้ดูแลระบบไอทีต้องตั้งค่าสถานะการให้สิทธิ์ (ค่าเริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ใดก็ตามที่แอปงานสร้างขึ้นบน API 23 ขึ้นไปร้องขอได้ EMM ควรกำหนดการตั้งค่าเหล่านี้โดยใช้นโยบาย
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้โดยไม่แจ้งให้ผู้ใช้ทราบ ซึ่งรวมถึง
4.3.1. SSID โดยใช้นโยบาย
4.4 การจัดการความปลอดภัยของ Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ระดับองค์กรในอุปกรณ์ที่มีฟีเจอร์ด้านความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. Identity
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์
4.4.3. ใบรับรอง CA
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกัน ไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าของบริษัท
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรได้โดยใช้นโยบายในการกำหนดค่าต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ที่ EMM จัดสรรให้ไม่ได้ (ไปที่
wifiConfigsLockdownEnabled) แต่ อาจเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าเองได้ (เช่น เครือข่ายส่วนตัว) - ผู้ใช้จะเพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ไม่ได้
(ไปที่
wifiConfigDisabled) ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ให้ใช้ได้เฉพาะเครือข่ายที่ EMM จัดสรรให้เท่านั้น
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถตรวจสอบว่ามีเพียงบัญชีบริษัทที่ได้รับอนุญาตเท่านั้นที่โต้ตอบกับ ข้อมูลของบริษัทได้สำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปเพิ่มประสิทธิภาพ หรือ อีเมล หากไม่มีฟีเจอร์นี้ ผู้ใช้จะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้บริโภคได้ด้วย ซึ่งจะทำให้ผู้ใช้แชร์ข้อมูลขององค์กรกับบัญชีส่วนตัวเหล่านั้นได้
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เพิ่มหรือแก้ไข
บัญชี
(ดู modifyAccountsDisabled) ได้
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM ต้องตั้งค่าข้อจำกัดนี้ ก่อนการจัดสรรจะเสร็จสมบูรณ์ เพื่อให้มั่นใจว่าผู้ใช้จะไม่สามารถหลีกเลี่ยงนโยบายนี้ ได้ด้วยการเพิ่มบัญชีก่อนที่นโยบายจะมีผล
4.7 การจัดการบัญชี Workspace
ฟีเจอร์นี้เลิกใช้งานแล้ว ดู3.23 สำหรับข้อกำหนดในการเปลี่ยน
4.8 การจัดการใบรับรอง
อนุญาตให้ผู้ดูแลระบบไอทีนำใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองไปใช้งานใน อุปกรณ์เพื่อให้ใช้ทรัพยากรของบริษัทได้
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวผู้ใช้ ที่สร้างโดย PKI ของตนเองในระดับผู้ใช้แต่ละราย คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการและแจกจ่ายใบรับรองที่สร้างจากโครงสร้างพื้นฐานนั้น
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งหน่วยงานออกใบรับรอง
(ดู caCerts) ในที่เก็บคีย์ที่จัดการได้ อย่างไรก็ตาม ระบบไม่รองรับฟีเจอร์ย่อยนี้
4.9 การจัดการใบรับรองขั้นสูง
อนุญาตให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอป ควรใช้ได้โดยไม่ต้องแจ้งให้ผู้ใช้ทราบ นอกจากนี้ ฟีเจอร์นี้ยังให้สิทธิ์ผู้ดูแลระบบไอทีในการนำ ใบรับรอง CA และใบรับรองข้อมูลประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ และป้องกันไม่ให้ผู้ใช้แก้ไข ข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สำหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรอง ที่แอปจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติในระหว่างรันไทม์ (ไม่รองรับฟีเจอร์ย่อยนี้)
- การเลือกใบรับรองต้องเป็นแบบทั่วไปมากพอที่จะอนุญาตให้มีการกำหนดค่าเดียว ซึ่งใช้กับผู้ใช้ทั้งหมด โดยผู้ใช้แต่ละรายอาจมี ใบรับรองระบุตัวตนที่เฉพาะเจาะจงสำหรับผู้ใช้
4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออก จากที่เก็บคีย์ที่จัดการได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA โดยไม่แจ้งให้ทราบได้ (ระบบไม่รองรับฟีเจอร์ย่อยนี้)
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบ
(ไปที่ credentialsConfigDisabled) ในที่เก็บคีย์ที่มีการจัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถให้สิทธิ์ล่วงหน้าสำหรับใบรับรองสำหรับแอปงานได้โดยใช้ ChoosePrivateKeyRule
4.10 การจัดการใบรับรองที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์และ ให้สิทธิพิเศษแก่แอปนั้นในการติดตั้งใบรับรองใน คีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจการจัดการใบรับรอง
(ไปที่ delegatedCertInstallerPackage) เพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่ได้รับมอบสิทธิ์
- EMM อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก (ไม่บังคับ) แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อม ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11 การจัดการ VPN ขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อให้มั่นใจว่าข้อมูลจาก แอปที่มีการจัดการที่ระบุจะเชื่อมต่อผ่านการตั้งค่า VPN เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่กำหนดเอง เพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลาได้
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่ใช้ได้สำหรับการกำหนดค่าแบบเปิดตลอดเวลา ให้เป็นรายการใดๆ ได้
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สำหรับ แอป
4.12. การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าได้สำหรับ อุปกรณ์ เนื่องจากมีการแชร์ IME ทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จะป้องกันไม่ให้ผู้ใช้ใช้ IME เหล่านั้นสำหรับโปรไฟล์ส่วนตัว ด้วยเช่นกัน อย่างไรก็ตาม ผู้ดูแลระบบไอทีอาจบล็อกการใช้ IME ของระบบในโปรไฟล์งานไม่ได้ (ดูรายละเอียดเพิ่มเติมได้ที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตของ IME
(ไปที่ permitted_input_methods) ที่มีความยาวตามต้องการ (รวมถึงรายการที่ว่างเปล่า
ซึ่งจะบล็อก IME ที่ไม่ใช่ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่าระบบจะยกเว้น IME ของระบบจากการจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13 การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ผู้ใช้ตั้งค่าในอุปกรณ์ได้ การจัดการ IME ขั้นสูงจะขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอที จัดการการใช้ IME ของระบบได้ด้วย ซึ่งโดยปกติแล้วผู้ผลิตอุปกรณ์ หรือผู้ให้บริการเครือข่ายของอุปกรณ์จะเป็นผู้จัดหาให้
4.13.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตของ IME
(ไปที่ permitted_input_methods) ที่มีความยาวตามต้องการ (ไม่รวมรายการที่ว่างเปล่า
ซึ่งจะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตที่ว่างเปล่า เนื่องจาก การตั้งค่านี้จะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ ไม่ให้ตั้งค่าใน อุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาตพิเศษของ IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามโดยอัตโนมัติก่อนที่จะใช้รายการที่อนุญาตพิเศษ ในอุปกรณ์
4.14 การจัดการบริการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษ ที่ผู้ใช้สามารถอนุญาตในอุปกรณ์ได้ บริการช่วยเหลือพิเศษเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ ที่มีความพิการหรือผู้ที่โต้ตอบกับอุปกรณ์ ได้อย่างไม่เต็มที่ชั่วคราว อย่างไรก็ตาม ผู้ใช้ดังกล่าวอาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ ไม่เป็นไปตามนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบได้
4.14.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตของบริการการช่วยเหลือพิเศษ
(ไปที่ permittedAccessibilityServices) ที่มีความยาวเท่าใดก็ได้ (รวมถึงรายการที่ว่างเปล่า
ซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ของระบบ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษใดก็ได้ เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้
จะมีผลกับทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- คอนโซลอาจแนะนำบริการช่วยเหลือพิเศษที่รู้จักหรือแนะนำให้ใส่ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ มิเช่นนั้น คุณจะกำหนดค่าการตั้งค่าตำแหน่งในโปรไฟล์งานได้ใน การตั้งค่า
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการตำแหน่ง
(ไปที่ shareLocationDisabled) ภายในโปรไฟล์งานได้
4.16 การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการได้ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปขององค์กรจะมีข้อมูลตำแหน่งที่มีความแม่นยำสูงเสมอ ฟีเจอร์นี้ยังช่วยให้มั่นใจได้ว่าแบตเตอรี่จะไม่หมดไปโดยไม่จำเป็นด้วยการจำกัดการตั้งค่าตำแหน่งให้อยู่ในโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์ เป็นโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่เครือข่ายระบุ
- การประหยัดแบตเตอรี่ ซึ่งจำกัดความถี่ในการอัปเดต
- ปิด
4.17 การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการถูกขโมยได้โดยการตรวจสอบว่า ผู้ใช้ที่ไม่ได้รับอนุญาตจะไม่สามารถรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น ทำให้การดำเนินงานมีความซับซ้อนเมื่อมีการส่งคืนอุปกรณ์ให้แก่ฝ่ายไอที ผู้ดูแลระบบไอที สามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทั้งหมดได้
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตเป็นค่าเริ่มต้น
(ไปที่ factoryResetDisabled) อุปกรณ์จากการตั้งค่าได้
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีปลดล็อกของบริษัทที่ได้รับอนุญาตให้
จัดสรรอุปกรณ์
(ไปที่ frpAdminEmails) หลังจากรีเซ็ตเป็นค่าเริ่มต้น
- บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดาหรือใช้โดยทั้งองค์กร เพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
(ไปที่0 factoryResetDisabled) สำหรับอุปกรณ์ที่ระบุ
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มล้างข้อมูลในอุปกรณ์จากระยะไกล ซึ่งจะล้างข้อมูลการป้องกันการรีเซ็ตได้ (ไม่บังคับ) จึงเป็นการนำการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น ออกจากอุปกรณ์ที่รีเซ็ต
4.18 การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการผ่านการตั้งค่า เช่น การป้องกันการบังคับปิดแอปหรือ การล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่มีการจัดการใดๆ หรือแอปที่มีการจัดการทั้งหมด (ไปที่
uninstallAppsDisabled)
4.18.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชัน จากการตั้งค่าได้ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.19. การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้จับภาพหน้าจอเมื่อใช้แอปที่มีการจัดการได้ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการบันทึกภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอ
(ไปที่ screenCaptureDisabled)
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการได้
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์
(ไปที่ cameraDisabled) โดยแอปที่มีการจัดการ
4.21 การเก็บรวบรวมสถิติด้านเครือข่าย
Android Management API ไม่รองรับฟีเจอร์นี้
4.22 การรวบรวมสถิติด้านเครือข่ายขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
4.23 รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกล อุปกรณ์ที่จัดการได้
4.24 การจัดการวิทยุของระบบ
ช่วยให้ผู้ดูแลระบบไอทีจัดการวิทยุเครือข่ายของระบบได้อย่างละเอียดและ นโยบายการใช้งานที่เกี่ยวข้องโดยใช้นโยบาย
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดการออกอากาศทางโทรศัพท์มือถือที่ผู้ให้บริการส่งได้ (ไปที่ cellBroadcastsConfigDisabled)
4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ใน
การตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายทั้งหมดใน
การตั้งค่า (ไปที่ networkResetDisabled)
4.24.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าอุปกรณ์จะอนุญาตให้ใช้อินเทอร์เน็ตมือถือหรือไม่
ขณะโรมมิ่ง (ไปที่ dataRoamingDisabled)
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะโทรออกได้หรือไม่ โดยไม่รวมการโทรฉุกเฉิน (ไปที่ outGoingCallsDisabled)
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะส่งและรับข้อความ
ได้หรือไม่ (ไปที่ smsDisabled)
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาโดยการเชื่อมต่ออินเทอร์เน็ต (ไปที่ tetheringConfigDisabled)
4.24.8. ผู้ดูแลระบบไอทีสามารถตั้งค่าการหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้น ขณะเสียบปลั๊ก หรือ ไม่หมดเวลา (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่ได้ (ไปที่ bluetoothConfigDisabled)
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถควบคุมฟีเจอร์เสียงของอุปกรณ์โดยไม่แจ้งให้ทราบ ซึ่งรวมถึงการปิดเสียงอุปกรณ์ การป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียง และการป้องกันไม่ให้ผู้ใช้เปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการได้โดยไม่แจ้งให้ผู้ใช้ทราบ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.25.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์ (ไปที่ adjustVolumeDisabled) ซึ่งจะปิดเสียงอุปกรณ์ด้วย
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ยกเลิกการปิดเสียงไมโครโฟนของอุปกรณ์ (ไปที่ unmuteMicrophoneDisabled)
4.26. การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้ แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติและเขตเวลาอัตโนมัติของระบบ เพื่อป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่ เวลา และเขตเวลาของ อุปกรณ์
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
สำหรับอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ต่อไปนี้ได้โดยใช้นโยบายเพื่อรองรับ Use Case ของคีออสก์ต่างๆ
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดการป้องกันด้วยรหัสผ่านของอุปกรณ์ได้ (ไปที่ keyguardDisabled)
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ ซึ่งจะบล็อกการแจ้งเตือนและ
การตั้งค่าด่วน (ไปที่ statusBarDisabled)
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจออุปกรณ์เปิดอยู่ขณะเสียบปลั๊กอุปกรณ์ (ไปที่ stayOnPluggedModes)
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้UI ของระบบ
ต่อไปนี้แสดงได้ (ไปที่ createWindowsDisabled)
- ข้อความโทสต์
- การซ้อนทับแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้คำแนะนำของระบบสำหรับแอปข้ามบทแนะนำสำหรับผู้ใช้และคำแนะนำเบื้องต้นอื่นๆ เมื่อเริ่มต้นใช้งานครั้งแรกได้ (ไปที่
skip_first_use_hints)
4.28. การจัดการขอบเขตที่มอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแพ็กเกจแต่ละรายการได้
4.28.1. ผู้ดูแลระบบไอทีสามารถจัดการขอบเขตต่อไปนี้ได้
- การติดตั้งและการจัดการใบรับรอง
- จงใจเว้นว่าง
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกความปลอดภัย (ไม่รองรับโปรไฟล์งานในอุปกรณ์ส่วนตัว)
4.29. การสนับสนุนด้านบัตรประจำตัวสำหรับการลงทะเบียน
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรของอุปกรณ์ ที่มีโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่ แม้จะรีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีจะขอรับรหัสเฉพาะการลงทะเบียนได้
4.29.2. รหัสเฉพาะการลงทะเบียนนี้ต้องคงอยู่แม้จะรีเซ็ตเป็นค่าเริ่มต้น
4.30 นโยบายเครื่องมือจัดการข้อมูลเข้าสู่ระบบ
ผู้ดูแลระบบไอทีสามารถจัดการแอปพลิเคชันเครื่องมือจัดการข้อมูลเข้าสู่ระบบที่ได้รับอนุญาตหรือถูกบล็อกได้โดยใช้ค่าเริ่มต้นของนโยบายผู้ให้บริการข้อมูลเข้าสู่ระบบหรือนโยบายผู้ให้บริการข้อมูลเข้าสู่ระบบ
4.30.1 ผู้ดูแลระบบไอทีสามารถบล็อกเครื่องมือจัดการข้อมูลเข้าสู่ระบบทั้งหมดในอุปกรณ์ (หรือภายในโปรไฟล์งาน) ได้โดยใช้นโยบาย
4.30.2 ผู้ดูแลระบบไอทีสามารถระบุการอนุญาตเฉพาะตัวจัดการข้อมูลเข้าสู่ระบบที่โหลดไว้ล่วงหน้า (แอประบบ) ได้
4.30.3 ผู้ดูแลระบบไอทีสามารถระบุรายการชื่อแพ็กเกจเพื่อเปิดใช้ฟังก์ชันการทำงานของเครื่องมือจัดการข้อมูลเข้าสู่ระบบได้
4.31 การจัดการ eSIM ขั้นพื้นฐาน
ช่วยให้ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ที่มีโปรไฟล์ eSIM และจัดการ วงจรของอุปกรณ์ในอุปกรณ์ได้
4.31.1 ผู้ดูแลระบบไอทีสามารถจัดสรรโปรไฟล์ eSIM ลงในอุปกรณ์โดยอัตโนมัติได้โดยใช้นโยบาย
4.31.2 ผู้ดูแลระบบไอทีสามารถลบ eSIM ที่มีการจัดการออกจากอุปกรณ์ได้โดยใช้นโยบาย
4.31.3 ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ใน
การตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.31.4 ผู้ดูแลระบบไอทีสามารถส่งคำสั่งล้างข้อมูลไปยังอุปกรณ์หรือโปรไฟล์งานจากระยะไกลได้ คำสั่งนี้จะนำ eSIM ที่มีการจัดการออกจากอุปกรณ์โดยไม่บังคับ โดยค่าเริ่มต้น ระบบจะนำ eSIM ที่มีการจัดการออกจากโปรไฟล์งานในอุปกรณ์ส่วนตัว แต่จะ เก็บไว้ในอุปกรณ์ของบริษัท
4.31.5 ผู้ดูแลระบบไอทีสามารถดึงตัวระบุ EID (เอกสารระบุตัวตนแบบฝัง) ของ อุปกรณ์ได้โดยใช้ UI ของคอนโซล EMM (หรือวิธีที่เทียบเท่า)
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้มีฟีเจอร์เฉพาะขององค์กรได้ ผู้ดูแลระบบไอทีสามารถเลือกแสดงการสร้างแบรนด์ที่ EMM จัดหาให้ ในระหว่างการจัดสรรได้
5.1.1. ผู้ดูแลระบบไอทีปรับแต่งกระบวนการจัดสรรได้โดยระบุข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ เฉพาะองค์กร (ไปที่ termsAndConditions)
5.1.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งาน
ข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ ที่กำหนดค่าไม่ได้และเฉพาะ EMM
(ไปที่ termsAndConditions)
- EMM อาจตั้งค่าการปรับแต่งเฉพาะ EMM ที่กำหนดค่าไม่ได้เป็นค่าเริ่มต้นสำหรับการติดตั้งใช้งาน แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเองได้
5.1.3. primaryColor เลิกใช้งานสำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไปแล้ว
5.2 การปรับแต่งสำหรับองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
5.3 การปรับแต่งระดับองค์กรขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความที่กำหนดเองซึ่งจะแสดงบนหน้าจอล็อกของอุปกรณ์เสมอ และไม่ต้องปลดล็อกอุปกรณ์เพื่อดู
5.4.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเอง
(ไปที่ deviceOwnerLockScreenInfo)
5.5 การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อผู้ใช้พยายาม แก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือนำข้อความสนับสนุนทั่วไปที่ EMM จัดหาให้ไปใช้ คุณปรับแต่งข้อความสนับสนุนทั้งแบบสั้นและแบบยาวได้ และข้อความจะ แสดงในกรณีต่างๆ เช่น เมื่อพยายามถอนการติดตั้งแอปที่มีการจัดการซึ่ง ผู้ดูแลระบบไอทีได้บล็อกการถอนการติดตั้งไว้แล้ว
5.5.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความสนับสนุนที่แสดงต่อผู้ใช้ทั้งแบบสั้นและแบบยาวได้
5.5.2. ผู้ดูแลระบบไอทีสามารถติดตั้งข้อความสนับสนุนแบบสั้นและยาวที่กำหนดค่าไม่ได้และเฉพาะ EMM (ไปที่ shortSupportMessage และ longSupportMessage ใน
policies)
- EMM อาจตั้งค่าข้อความสนับสนุนที่กำหนดค่าไม่ได้และเฉพาะ EMM เป็นค่าเริ่มต้นสำหรับการติดตั้งใช้งาน แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเอง
5.6 การจัดการรายชื่อติดต่อข้ามโปรไฟล์
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การแสดงรายชื่อติดต่อสำหรับงานในการค้นหารายชื่อติดต่อและสายเรียกเข้าในโปรไฟล์ส่วนตัว
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อสำหรับงานผ่านบลูทูธ ได้ เช่น การโทรแบบแฮนด์ฟรีในรถยนต์หรือชุดหูฟัง
5.7. การจัดการข้อมูลข้ามโปรไฟล์
อนุญาตให้ผู้ดูแลระบบไอทีจัดการประเภทข้อมูลที่แชร์ระหว่างโปรไฟล์งาน และโปรไฟล์ส่วนตัวได้ เพื่อให้ผู้ดูแลระบบปรับสมดุลความสามารถในการใช้งานและความปลอดภัยของข้อมูล ตามข้อกำหนดของตน
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่านโยบายการแชร์ข้อมูลข้ามโปรไฟล์ เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งานได้ เช่น Intent การแชร์หรือลิงก์เว็บ
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปพลิเคชันจากโปรไฟล์งานสร้างและ
แสดงวิดเจ็ตบนหน้าจอหลักของโปรไฟล์ส่วนตัวได้ ความสามารถนี้
จะปิดอยู่โดยค่าเริ่มต้น แต่สามารถตั้งค่าเป็นอนุญาตได้โดยใช้ฟิลด์ workProfileWidgets และ workProfileWidgetsDefault
5.7.3. ผู้ดูแลระบบไอทีสามารถควบคุมความสามารถในการคัดลอก/วางระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัว
5.8. นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีสามารถตั้งค่าและใช้การอัปเดตระบบผ่านอากาศ (OTA) กับอุปกรณ์ได้
5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีกำหนดค่า OTA ต่อไปนี้ได้
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมใช้งาน
- เลื่อน: ผู้ดูแลระบบไอทีต้องเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลต่อการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- แบบช่วงเวลา: ผู้ดูแลระบบไอทีต้องสามารถกำหนดเวลาการอัปเดต OTA ภายในช่วงเวลาบำรุงรักษาประจำวันได้
5.8.2. ระบบจะใช้การกำหนดค่า OTA กับอุปกรณ์ที่ใช้นโยบาย
5.9. การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปให้อยู่บนหน้าจอและไม่ให้ผู้ใช้ ออกจากแอป
5.9.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีอนุญาตให้ติดตั้งและล็อกแอปชุดใดก็ได้ในอุปกรณ์โดยไม่แจ้งให้ผู้ใช้ทราบ นโยบายอนุญาตให้ตั้งค่าอุปกรณ์เฉพาะ
5.10. การจัดการกิจกรรมที่ต้องการอย่างต่อเนื่อง
อนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวแฮนเดิล Intent เริ่มต้นสำหรับ Intent ที่ ตรงกับตัวกรอง Intent ที่เฉพาะเจาะจง ตัวอย่างเช่น ฟีเจอร์นี้จะช่วยให้ผู้ดูแลระบบไอที เลือกแอปเบราว์เซอร์ที่จะเปิดเว็บลิงก์โดยอัตโนมัติได้ ฟีเจอร์นี้ช่วย จัดการแอป Launcher ที่ใช้เมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้ให้เป็นตัวแฮนเดิลเจตนาเริ่มต้น สำหรับตัวกรองเจตนาใดก็ได้
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่าโดยไม่บังคับ แต่ไม่สามารถจำกัด Intent ให้กับรายการใดๆ ได้
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอป ที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11. การจัดการฟีเจอร์ Keyguard
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ที่ผู้ใช้เข้าถึงได้ก่อนปลดล็อก การล็อกอุปกรณ์ (หน้าจอล็อก) และการล็อกความท้าทายในการทำงาน (หน้าจอล็อก)
5.11.1.นโยบาย สามารถปิดฟีเจอร์ Keyguard ของอุปกรณ์ต่อไปนี้ได้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่ได้ปิดบังข้อมูล
5.11.2. คุณปิดฟีเจอร์ Keyguard ต่อไปนี้ของโปรไฟล์งานได้โดยใช้นโยบาย
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12. การจัดการฟีเจอร์ Keyguard ขั้นสูง
- กล้องที่ปลอดภัย
- การแจ้งเตือนทั้งหมด
- ไม่ได้รับการปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์ทั้งหมดของ Keyguard
5.13 การซ่อมแซมรีโมต
Android Management API ไม่รองรับฟีเจอร์นี้
5.14. การดึงข้อมูลที่อยู่ MAC
EMM สามารถดึงที่อยู่ MAC ของอุปกรณ์โดยไม่แจ้งให้ทราบเพื่อใช้ระบุอุปกรณ์ ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กร (เช่น เมื่อระบุ อุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยไม่แจ้งให้ผู้ใช้ทราบ และเชื่อมโยงกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15 การจัดการโหมดล็อกงานขั้นสูง
เมื่อใช้อุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะใช้คอนโซลของ EMM เพื่อทำงานต่อไปนี้ได้
5.15.1. อนุญาตให้แอปเดียวติดตั้งและล็อกในอุปกรณ์โดยไม่แจ้งให้ทราบ
5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้
- ปุ่มหน้าแรก
- ภาพรวม
- การดำเนินการทั่วโลก
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การล็อกปุ่มกด (หน้าจอล็อก) ระบบจะเปิดใช้ฟีเจอร์ย่อยนี้โดยค่าเริ่มต้นเมื่อมีการติดตั้งใช้งาน 5.15.1
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบ
5.16. นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถกำหนดช่วงหยุดทำงานเพื่อบล็อกการอัปเดตระบบในอุปกรณ์ได้
5.16.1. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีบล็อกการอัปเดตระบบผ่านอากาศ (OTA) สำหรับช่วงหยุดทำงานที่ระบุ
5.17. การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์ได้
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองเพื่อแสดง
(ไปที่ wipeReasonMessage) เมื่อมีการล้างข้อมูลโปรไฟล์งาน
5.18. การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการแพ็กเกจที่สื่อสารข้ามขอบเขตโปรไฟล์งานได้โดยการตั้งค่า ConnectedWorkAndPersonalApp
5.19 การอัปเดตระบบด้วยตนเอง
Android Management API ไม่รองรับฟีเจอร์นี้
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM ต้องโพสต์แผนภายในสิ้นปี 2022 เพื่อสิ้นสุดการสนับสนุนลูกค้าสำหรับผู้ดูแลระบบอุปกรณ์ในอุปกรณ์ GMS ภายในสิ้นไตรมาสที่ 1 ปี 2023
7. การใช้งาน API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการเชื่อมโยงใหม่ EMM อาจมีตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กำหนดเองใน ส่วนการตั้งค่าภายใต้หัวข้อ "ขั้นสูง" หรือคำศัพท์ที่คล้ายกัน ลูกค้าใหม่ ต้องไม่ได้รับตัวเลือกแบบสุ่มระหว่างกลุ่มเทคโนโลยีในระหว่าง เวิร์กโฟลว์การเริ่มต้นใช้งานหรือการตั้งค่า
7.2. ตัวควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการลงทะเบียนอุปกรณ์ใหม่ทั้งหมด ทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจมี ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กำหนดเองในส่วนการตั้งค่าภายใต้หัวข้อ "ขั้นสูง" หรือคำศัพท์ที่คล้ายกัน