Na tej stronie znajdziesz pełną listę funkcji Androida Enterprise.
Jeśli zamierzasz zarządzać ponad 500 urządzeniami, Twoje rozwiązanie EMM musi obsługiwać wszystkie funkcje standardowe () co najmniej jednego zestawu rozwiązań, zanim będzie można je udostępnić komercyjnie. Rozwiązania EMM, które przejdą weryfikację funkcji standardowych, są wymienione w katalogu rozwiązań Android Enterprise jako oferujące standardowy zestaw funkcji zarządzania.
Dla każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Te funkcje są oznaczone na stronie każdego zestawu rozwiązań: profil służbowy na urządzeniu należącym do użytkownika, profil służbowy na urządzeniu należącym do firmy, w pełni zarządzane urządzenie i urządzenie dedykowane. Rozwiązania EMM, które przejdą weryfikację funkcji zaawansowanych, są wymienione w katalogu rozwiązań Android Enterprise jako oferujące zaawansowany zestaw funkcji zarządzania.
Klucz
| funkcja standardowa | zaawansowana funkcja | funkcja opcjonalna | nie dotyczy |
1. Obsługa administracyjna urządzenia
1.1. Obsługa administracyjna profilu służbowego z użyciem DPC
Możesz skonfigurować profil służbowy po pobraniu DPC dostawcy usług EMM z Google Play.
1.1.1. Kontroler zasad dotyczących urządzeń EMM musi być publicznie dostępny w Google Play, aby użytkownicy mogli zainstalować go na osobistej stronie urządzenia.
1.1.2. Po zainstalowaniu DPC musi przeprowadzić użytkownika przez proces udostępniania profilu służbowego.
1.1.3. Po zakończeniu obsługi administracyjnej nie można pozostawić żadnych elementów zarządzania na stronie osobistej urządzenia.
- Wszystkie zasady wprowadzone podczas udostępniania muszą zostać usunięte.
- Uprawnienia aplikacji muszą zostać cofnięte.
- DPC dostawcy EMM musi być co najmniej wyłączony na stronie osobistej urządzenia.
1.2. Obsługa administracyjna urządzenia za pomocą identyfikatora DPC
Administratorzy IT mogą obsługiwać w pełni zarządzane lub dedykowane urządzenia za pomocą identyfikatora DPC („afw#”) zgodnie z wytycznymi dotyczącymi wdrażania określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.2.1. DPC EMM musi być publicznie dostępny w Google Play. DPC musi być możliwy do zainstalowania z poziomu kreatora konfiguracji urządzenia przez wpisanie identyfikatora DPC.
1.2.2. Po zainstalowaniu DPC EMM musi przeprowadzić użytkownika przez proces udostępniania urządzenia w pełni zarządzanego lub urządzenia dedykowanego.
1.3. Obsługa administracyjna urządzenia NFC
Administratorzy IT mogą używać tagów NFC do administrowania nowymi urządzeniami lub takimi, na których przywrócono ustawienia fabryczne, zgodnie z wytycznymi dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.3.1. Platformy EMM muszą używać tagów NFC Forum typu 2 o pamięci co najmniej 888 bajtów. Podczas obsługi administracyjnej należy używać dodatków do obsługi administracyjnej, aby przekazywać na urządzenie niepoufne szczegóły rejestracji, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. Gdy DPC platformy EMM ustawi się jako właściciel urządzenia, musi natychmiast otworzyć się i zablokować na ekranie do czasu pełnego udostępnienia urządzenia. 1.3.3. W przypadku Androida 10 i nowszych wersji zalecamy używanie tagów NFC ze względu na wycofanie funkcji NFC Beam (znanej też jako NFC Bump).
1.4. Obsługa urządzeń za pomocą kodu QR
Administratorzy IT mogą używać nowych urządzeń lub takich, na których przywrócono ustawienia fabryczne, do skanowania kodu QR wygenerowanego przez konsolę EMM w celu obsługi urządzenia zgodnie z wytycznymi dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.4.1. Kod QR musi używać dodatków do aprowizacji, aby przekazywać na urządzenie niepoufne szczegóły rejestracji, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.4.2. Po skonfigurowaniu urządzenia przez kontroler zasad dotyczących urządzeń EMM kontroler musi natychmiast otworzyć się i zablokować na ekranie, dopóki urządzenie nie zostanie w pełni skonfigurowane.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie konfigurować urządzenia kupione u autoryzowanych sprzedawców i zarządzać nimi w konsoli EMM.
1.5.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Gdy urządzenie zostanie włączone po raz pierwszy, automatycznie zostaną na nim wymuszone ustawienia zdefiniowane przez administratora IT.
1.6. Zaawansowane wdrażanie typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzeń, wdrażając szczegóły rejestracji DPC za pomocą rejestracji typu zero-touch. DPC dostawcy EMM obsługuje ograniczanie rejestracji do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez dostawcę EMM.
1.6.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy za pomocą metody rejestracji typu Zero-Touch, opisanej w artykule Rejestracja typu Zero-Touch dla administratorów IT.
1.6.2. Po skonfigurowaniu urządzenia przez kontroler zasad dotyczących urządzeń EMM (DPC) musi on natychmiast otworzyć się i zablokować na ekranie, dopóki urządzenie nie zostanie w pełni skonfigurowane.
- Ten wymóg nie obowiązuje w przypadku urządzeń, które korzystają z rejestracji typu zero-touch, aby w pełni skonfigurować się w trybie cichym (np. w przypadku wdrożenia urządzenia dedykowanego).
1.6.3. Korzystając z danych rejestracyjnych, kontroler zasad urządzeń mobilnych musi zapewnić, że nieautoryzowani użytkownicy nie będą mogli kontynuować aktywacji po wywołaniu kontrolera zasad urządzeń mobilnych. Aktywacja musi być co najmniej ograniczona do użytkowników danej firmy.
1.6.4. Korzystając z informacji o rejestracji, DPC systemu EMM musi umożliwiać administratorom IT wstępne wypełnianie szczegółów rejestracji (np. identyfikatorów serwerów, identyfikatorów rejestracji) z wyjątkiem unikalnych informacji o użytkowniku lub urządzeniu (np. nazwy użytkownika/hasła, tokena aktywacyjnego), aby użytkownicy nie musieli wpisywać szczegółów podczas aktywowania urządzenia.
- W konfiguracji rejestracji bezdotykowej nie mogą się znajdować informacje poufne, takie jak hasła czy certyfikaty.
1.7. Obsługa administracyjna profilu służbowego na koncie Google
W przypadku firm korzystających z zarządzanej domeny Google ta funkcja prowadzi użytkowników przez proces konfigurowania profilu służbowego po wpisaniu firmowych danych logowania do Workspace podczas konfigurowania urządzenia lub na urządzeniu, które jest już aktywowane. W obu przypadkach firmowa tożsamość Workspace zostanie przeniesiona do profilu służbowego.
1.7.1. Metoda udostępniania konta Google udostępnia profil służbowy zgodnie z wytycznymi dotyczącymi zdefiniowanego wdrożenia.
1.8. Obsługa administracyjna urządzeń na koncie Google
W przypadku firm korzystających z Workspace ta funkcja prowadzi użytkowników przez proces instalacji kontrolera zasad urządzenia (DPC) dostawcy usług EMM po tym, jak podczas wstępnej konfiguracji urządzenia wpiszą oni firmowe dane logowania Workspace. Po zainstalowaniu DPC dokończy konfigurowanie urządzenia należącego do firmy.
1.8.1. Metoda udostępniania kont Google umożliwia udostępnianie urządzeń należących do firmy zgodnie z określonymi wytycznymi dotyczącymi wdrażania.
1.8.2. Dopóki system EMM nie będzie w stanie jednoznacznie zidentyfikować urządzenia jako należącego do firmy, nie będzie mógł go udostępnić bez wyświetlania monitu podczas procesu udostępniania. Ten prompt musi wykonywać działanie inne niż domyślne, np. zaznaczać pole wyboru lub wybierać opcję menu inną niż domyślna. Zalecamy, aby system EMM mógł identyfikować urządzenie jako należące do firmy, dzięki czemu nie będzie konieczne wyświetlanie tego komunikatu.
1.9. Bezpośrednia konfiguracja zero-touch
Administratorzy IT mogą konfigurować urządzenia obsługujące rejestrację typu zero-touch w konsoli EMM za pomocą elementu iframe do rejestracji zero-touch.
1.10. Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy.
1.10.1. Celowo puste.
1.10.2. Administratorzy IT mogą ustawiać działania związane z zgodnością w przypadku profili służbowych na urządzeniach należących do firmy.
1.10.3. Administratorzy IT mogą dezaktywować aparat w profilu służbowym lub na całym urządzeniu.
1.10.4. Administratorzy IT mogą wyłączyć zrzuty ekranu w profilu służbowym lub na całym urządzeniu.
1.10.5. Administratorzy IT mogą ustawić listę zablokowanych aplikacji, których nie można zainstalować na profilu osobistym.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub czyszcząc całe urządzenie.
1.11. Obsługa administracyjna urządzeń specjalnych
Administratorzy IT mogą rejestrować urządzenia dedykowane bez konieczności uwierzytelniania użytkownika za pomocą konta Google.
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczający urządzenia
Administratorzy IT mogą ustawiać i wymuszać na urządzeniach zarządzanych wyzwanie związane z bezpieczeństwem urządzenia (kod PIN, wzór lub hasło) z wstępnie zdefiniowanego wyboru 3 poziomów złożoności.
2.1.1. Zasady muszą wymuszać ustawienia zarządzające wyzwaniami związanymi z bezpieczeństwem urządzenia (parentProfilePasswordRequirements w przypadku profilu służbowego, passwordRequirements w przypadku w pełni zarządzanych urządzeń i urządzeń przeznaczonych do jednego celu).
2.1.2. Złożoność hasła musi być zgodna z tymi poziomami złożoności:
- PASSWORD_COMPLEXITY_LOW - wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM - Kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4 znaków
- PASSWORD_COMPLEXITY_HIGH - Kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasła alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.2. Dodatkowa weryfikacja w pracy
Administratorzy IT mogą ustawić i wymusić wyzwanie związane z bezpieczeństwem w przypadku aplikacji i danych w profilu służbowym, które jest oddzielne i ma inne wymagania niż wyzwanie związane z bezpieczeństwem urządzenia (2.1.).
2.2.1. Zasady muszą wymuszać wyzwanie związane z bezpieczeństwem w profilu służbowym. Domyślnie administratorzy IT powinni ustawiać ograniczenia tylko dla profilu służbowego, jeśli nie określono zakresu. Administratorzy IT mogą ustawić to na poziomie całego urządzenia, określając zakres (patrz wymaganie 2.1).
2.1.2. Złożoność hasła powinna odpowiadać tym poziomom złożoności:
- PASSWORD_COMPLEXITY_LOW - wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM - Kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4 znaków
- PASSWORD_COMPLEXITY_HIGH - Kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasła alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.3. Zaawansowane zarządzanie kodami dostępu
2.3.1. Celowo puste.
2.3.2. Celowo puste.
2.3.3. Dla każdego ekranu blokady dostępnego na urządzeniu można ustawić te ustawienia cyklu życia hasła:
- Celowo puste
- Celowo puste
- Maksymalna liczba nieudanych prób podania hasła przed wymazaniem danych: określa, ile razy użytkownicy mogą wpisać nieprawidłowe hasło, zanim dane firmowe zostaną wymazane z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.4. Zarządzanie inteligentnym zamkiem
Administratorzy IT mogą zarządzać tym, które agenty zaufania w funkcji Smart Lock na Androidzie mogą odblokowywać urządzenia. Administratorzy IT mogą wyłączyć określone metody odblokowywania, takie jak zaufane urządzenia Bluetooth, rozpoznawanie twarzy i rozpoznawanie głosu, lub opcjonalnie wyłączyć tę funkcję w całości.
2.4.1. Administratorzy IT mogą wyłączyć agenty zaufania Smart Lock niezależnie dla każdego ekranu blokady dostępnego na urządzeniu.
2.4.2. Administratorzy IT mogą selektywnie zezwalać na korzystanie z agentów zaufania Smart Lock i konfigurować ich działanie niezależnie dla każdego ekranu blokady dostępnego na urządzeniu w przypadku tych agentów zaufania: Bluetooth, NFC, miejsca, twarz, noszenie przy ciele i głos.
- Administratorzy IT mogą modyfikować dostępne parametry konfiguracji agenta zaufania.
2.5. Czyszczenie i blokowanie
Administratorzy IT mogą zdalnie blokować urządzenia zarządzane i usuwać z nich dane służbowe za pomocą konsoli EMM.
2.5.1. Kontroler zasad dotyczących urządzeń EMM musi blokować urządzenia.
2.5.2. Kontroler zasad dotyczących urządzeń EMM musi wyczyścić urządzenia.
2.6. egzekwowanie zgodności,
Jeśli urządzenie nie spełnia zasad dotyczących zabezpieczeń, dostęp do danych służbowych jest automatycznie ograniczany.
2.6.1. Zasady zabezpieczeń egzekwowane na urządzeniu muszą obejmować co najmniej zasady dotyczące haseł.
2.7. Domyślne zasady zabezpieczeń
Platformy EMM muszą domyślnie wymuszać na urządzeniach określone zasady zabezpieczeń, bez konieczności konfigurowania lub dostosowywania przez administratorów IT żadnych ustawień w konsoli EMM. Zaleca się (ale nie jest to wymagane), aby platformy EMM nie zezwalały administratorom IT na zmianę domyślnego stanu tych funkcji zabezpieczeń.
2.7.1. DPC systemu EMM musi blokować instalowanie aplikacji z nieznanych źródeł, w tym aplikacji zainstalowanych w przestrzeni osobistej na dowolnym urządzeniu z Androidem 8.0 lub nowszym z profilem służbowym.
2.7.2. DPC EMM musi blokować funkcje debugowania.
2.8. Zasady zabezpieczeń dotyczące urządzeń specjalnych
Urządzenia specjalne są zablokowane bez możliwości ominięcia blokady, aby umożliwić wykonywanie innych działań.
2.8.1. DPC platformy EMM musi domyślnie wyłączać uruchamianie w trybie awaryjnym.
2.8.2. Podczas pierwszej konfiguracji po uruchomieniu urządzenia aplikacja DPC platformy EMM musi zostać otwarta i zablokowana na ekranie, aby uniemożliwić interakcję z urządzeniem w inny sposób.
2.8.3. Aplikacja DPC systemu EMM musi być ustawiona jako domyślny program uruchamiający, aby zapewnić, że dozwolone aplikacje będą blokowane na ekranie podczas uruchamiania zgodnie z określonymi wytycznymi dotyczącymi implementacji.
2.9. Pomoc dotycząca Play Integrity
EMM używa interfejsu Play Integrity API, aby mieć pewność, że urządzenia są prawidłowe.
2.9.1. DPC platformy EMM implementuje interfejs Play Integrity API podczas udostępniania, a domyślnie kończy udostępnianie urządzenia z danymi firmowymi tylko wtedy, gdy zwrócona integralność urządzenia to MEETS_STRONG_INTEGRITY.
2.9.2. Kontroler zasad dotyczących urządzeń EMM będzie przeprowadzać kolejne sprawdzenie integralności Play za każdym razem, gdy urządzenie będzie się łączyć z serwerem EMM. Częstotliwość tych sprawdzeń może skonfigurować administrator IT. Serwer EMM sprawdzi informacje o pliku APK w odpowiedzi na kontrolę integralności i samą odpowiedź, zanim zaktualizuje zasady firmowe na urządzeniu.
2.9.3. Administratorzy IT mogą skonfigurować różne reakcje na zasady w zależności od wyniku weryfikacji Play Integrity, w tym blokowanie udostępniania, czyszczenie danych firmowych i zezwalanie na rejestrację.
- Usługa EMM będzie egzekwować tę odpowiedź dotyczącą zasad w przypadku wyniku każdego sprawdzania integralności.
2.9.4. Jeśli początkowy test Play Integrity zakończy się niepowodzeniem lub zwróci wynik, który nie spełnia wymagań dotyczących wysokiego poziomu integralności, a DPC EMM nie wywołał jeszcze funkcji ensureWorkingEnvironment, musi to zrobić i powtórzyć test przed zakończeniem wdrażania.
2.10. Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć Weryfikację aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem w poszukiwaniu szkodliwego oprogramowania przed instalacją i po niej, co pomaga zapobiegać naruszaniu bezpieczeństwa danych firmowych przez złośliwe aplikacje.
2.10.1. DPC dostawcy EMM musi domyślnie włączać Weryfikację aplikacji.
2.11. Obsługa bezpośredniego rozruchu
Aplikacje nie mogą działać na urządzeniach z Androidem 7.0 lub nowszym, które zostały dopiero włączone, dopóki nie zostaną odblokowane. Obsługa bezpośredniego uruchamiania zapewnia, że kontroler zasad urządzenia EMM jest zawsze aktywny i może egzekwować zasady, nawet jeśli urządzenie nie zostało odblokowane.
2.11.1. DPC dostawcy EMM korzysta z zaszyfrowanej pamięci urządzenia do wykonywania krytycznych funkcji zarządzania, zanim zaszyfrowana pamięć z danymi logowania DPC zostanie odszyfrowana. Funkcje zarządzania dostępne podczas bezpośredniego uruchamiania muszą obejmować (ale nie ograniczać się do):
- Czyszczenie danych z urządzenia firmowego, w tym możliwość czyszczenia danych ochrony przed przywróceniem ustawień fabrycznych w odpowiednich przypadkach.
2.11.2. DPC usługi EMM nie może udostępniać danych firmowych w zaszyfrowanej pamięci urządzenia.
2.11.3. Systemy EMM mogą ustawiać i aktywować token, aby włączyć przycisk Nie pamiętam hasła na ekranie blokady profilu służbowego. Ten przycisk służy do bezpiecznego resetowania hasła do profilu służbowego przez administratorów IT.
2.12. Zarządzanie zabezpieczeniami sprzętowymi
Administratorzy IT mogą blokować elementy sprzętowe urządzenia należącego do firmy, aby zapobiegać utracie danych.
2.12.1. Administratorzy IT mogą blokować użytkownikom możliwość podłączania fizycznych nośników zewnętrznych do urządzeń.
2.12.2. Administratorzy IT mogą zablokować użytkownikom udostępnianie danych z urządzeń za pomocą NFC beam . Ta funkcja jest opcjonalna, ponieważ funkcja NFC nie jest już obsługiwana w Androidzie 10 i nowszych.
2.12.3. Administratorzy IT mogą blokować użytkownikom przesyłanie plików przez USB z urządzenia.
2.13. Rejestrowanie zdarzeń związanych z bezpieczeństwem w firmie
Administratorzy IT mogą zbierać dane o użytkowaniu z urządzeń, które można analizować i programowo oceniać pod kątem złośliwego lub ryzykownego zachowania. Rejestrowane działania obejmują aktywność w narzędziu Android Debug Bridge (adb), otwieranie aplikacji i odblokowywanie ekranu.
2.13.1. Administratorzy IT mogą włączyć rejestrowanie zdarzeń związanych z bezpieczeństwem na określonych urządzeniach, a DPC systemu EMM musi mieć możliwość automatycznego pobierania zarówno dzienników zdarzeń związanych z bezpieczeństwem, jak i dzienników zdarzeń związanych z bezpieczeństwem sprzed ponownego uruchomienia.
2.13.2. Administratorzy IT mogą przeglądać dzienniki zabezpieczeń przedsiębiorstwa na danym urządzeniu w konfigurowalnym przedziale czasu w konsoli EMM.
2.13.3. Administratorzy IT mogą eksportować dzienniki zabezpieczeń przedsiębiorstwa z konsoli EMM.
3. Zarządzanie kontem i aplikacją
3.1. Powiązanie z firmą
Administratorzy IT mogą powiązać usługę EMM z organizacją, co umożliwi jej korzystanie z zarządzanego Sklepu Google Play do rozpowszechniania aplikacji na urządzeniach.
3.1.1. Administrator z istniejącą zarządzaną domeną Google może powiązać swoją domenę z usługami EMM.
3.1.2. Konsola EMM musi cicho udostępniać i konfigurować unikalny identyfikator ESA dla każdej organizacji.
3.1.3. Wyrejestrować firmę za pomocą interfejsu Play EMM API.
3.1.4. Konsola EMM prowadzi administratora przez proces rejestracji na Androidzie i zachęca go do podania służbowego adresu e-mail, a nie konta Gmail.
3.1.5. Usługa EMM wstępnie wypełnia adres e-mail administratora w procesie rejestracji na Androidzie.
3.2. Obsługa administracyjna kont zarządzanego Sklepu Google Play
Usługa EMM może bez interwencji użytkownika udostępniać firmowe konta użytkowników, zwane kontami w zarządzanym Sklepie Google Play. Konta te identyfikują zarządzanych użytkowników i umożliwiają stosowanie unikalnych reguł rozpowszechniania aplikacji dla poszczególnych użytkowników.
3.2.1. DPC EMM może bez interwencji użytkownika obsługiwać administracyjnie i aktywować zarządzane konto Google Play zgodnie z określonymi wskazówkami dotyczącymi wdrażania. W ten sposób:
- Na urządzeniu jest dodane zarządzane konto Google typu
userAccount. - Konto zarządzanego Sklepu Google Play typu
userAccountmusi być mapowane 1:1 z rzeczywistymi użytkownikami w konsoli EMM.
3.3 Obsługa administracyjna kont urządzeń zarządzanego Sklepu Google Play
Usługi EMM mogą tworzyć i udostępniać zarządzane konta urządzeń w Google Play. Konta urządzeń obsługują dyskretną instalację aplikacji ze Sklepu Google Play i nie są powiązane z jednym użytkownikiem. Zamiast tego konto urządzenia służy do identyfikowania pojedynczego urządzenia w celu obsługi reguł dystrybucji aplikacji na poszczególne urządzenia w scenariuszach z dedykowanymi urządzeniami.
3.3.1. DPC EMM może bez interwencji użytkownika obsługiwać administracyjnie i aktywować zarządzane konto Google Play zgodnie z określonymi wskazówkami dotyczącymi wdrażania.
W tym celu na urządzeniu musi być dodane zarządzane konto Google typu deviceAccount.
3.4. Provisioning kont zarządzanego Sklepu Google Play na starszych urządzeniach
System EMM może bez interwencji użytkownika udostępniać konta użytkowników w organizacji, zwane kontami zarządzanego Sklepu Google Play. Konta te identyfikują zarządzanych użytkowników i umożliwiają stosowanie unikalnych reguł rozpowszechniania aplikacji dla poszczególnych użytkowników.
3.4.1. DPC EMM może bez interwencji użytkownika obsługiwać administracyjnie i aktywować zarządzane konto Google Play zgodnie z określonymi wskazówkami dotyczącymi wdrażania. W ten sposób:
- Na urządzeniu jest dodane zarządzane konto Google typu
userAccount. - Konto zarządzanego Sklepu Google Play typu
userAccountmusi być mapowane 1:1 z rzeczywistymi użytkownikami w konsoli EMM.
3.5 Dyskretne rozpowszechnianie aplikacji
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach użytkowników bez interakcji ze strony użytkownika.
3.5.1. Konsola EMM musi korzystać z interfejsu Play EMM API, aby umożliwić administratorom IT instalowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.2. Konsola EMM musi korzystać z interfejsu Play EMM API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na zarządzanych urządzeniach.
3.5.3. Konsola EMM musi używać interfejsu Play EMM API, aby umożliwić administratorom IT odinstalowywanie aplikacji na zarządzanych urządzeniach.
3.6 Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i cicho ustawiać konfiguracje zarządzane w przypadku dowolnej aplikacji, która obsługuje konfiguracje zarządzane.
3.6.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej dowolnej aplikacji w Google Play.
- Dostawcy usług EMM mogą wywołać funkcję
Products.getAppRestrictionsSchema, aby pobrać schemat konfiguracji zarządzanych aplikacji, lub osadzić ramkę konfiguracji zarządzanych w swojej konsoli EMM.
3.6.2. Konsola EMM musi umożliwiać administratorom IT ustawianie dowolnego typu konfiguracji (zgodnie z definicją platformy Android) dla dowolnej aplikacji w Google Play za pomocą interfejsu Play EMM API.
3.6.3. Konsola EMM musi umożliwiać administratorom IT ustawianie symboli wieloznacznych (np. $username$ lub %emailAddress%), aby jedną konfigurację aplikacji, takiej jak Gmail, można było zastosować do wielu użytkowników. Element iframe konfiguracji zarządzanej automatycznie obsługuje to wymaganie.
3.7. Zarządzanie katalogiem aplikacji
Administratorzy IT mogą zaimportować listę aplikacji zatwierdzonych dla ich firmy z zarządzanego Sklepu Google Play (play.google.com/work).
3.7.1. Konsola EMM może wyświetlać listę aplikacji zatwierdzonych do dystrybucji, w tym:
- Aplikacje kupione w zarządzanym Sklepie Google Play
- Aplikacje prywatne widoczne dla administratorów IT
- Aplikacje zatwierdzone automatycznie
3.8. Automatyzacja zatwierdzania aplikacji
Konsola EMM korzysta z elementu iframe zarządzanego Sklepu Google Play, aby obsługiwać funkcje wyszukiwania i zatwierdzania aplikacji w Google Play. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać je i zatwierdzać nowe uprawnienia aplikacji bez opuszczania konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać i zatwierdzać aplikacje w konsoli EMM za pomocą elementu iframe w zarządzanym Sklepie Google Play.
3.9. Podstawowe zarządzanie układem sklepu
Aplikacja zarządzany Sklep Google Play może być używana na urządzeniach do instalowania i aktualizowania aplikacji służbowych. Domyślnie wyświetlany jest podstawowy układ sklepu, który zawiera listę aplikacji zatwierdzonych dla firmy. Systemy EMM filtrują je na podstawie użytkowników zgodnie z zasadami.
3.9.1. Administratorzy IT mogą [zarządzać dostępnymi zestawami produktów użytkowników]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) aby zezwolić na wyświetlanie i instalowanie aplikacji z zarządzanego Sklepu Google Play w sekcji „Strona główna Sklepu”.
3.10. Zaawansowana konfiguracja układu sklepu
Administratorzy IT mogą dostosowywać układ sklepu widoczny w zarządzanym Sklepie Google Play na urządzeniach.
3.10.1. Aby dostosować układ zarządzanego Sklepu Google Play, administratorzy IT mogą wykonać w konsoli EMM te czynności:
- Utwórz do 100 stron z układem sklepu. Strony mogą mieć dowolną liczbę zlokalizowanych nazw.
- Możesz utworzyć do 30 klastrów na każdą stronę. Klastry mogą mieć dowolną liczbę zlokalizowanych nazw.
- Do każdego klastra możesz przypisać maksymalnie 100 aplikacji.
- Do każdej strony możesz dodać maksymalnie 10 szybkich linków.
- Określ kolejność sortowania aplikacji w klastrze i klastrów na stronie.
3.11. Zarządzanie licencjami na aplikacje
Administratorzy IT mogą wyświetlać licencje na aplikacje kupione w zarządzanym Sklepie Google Play i zarządzać nimi w konsoli EMM.
3.11.1. W przypadku płatnych aplikacji zatwierdzonych dla firmy konsola EMM musi wyświetlać:
- Liczba kupionych licencji.
- Liczba wykorzystanych licencji i użytkownicy, którzy je wykorzystali.
- Liczba licencji dostępnych do dystrybucji.
3.11.2. Administratorzy IT mogą dyskretnie przypisywać licencje użytkownikom bez wymuszania instalacji aplikacji na urządzeniach użytkowników.
3.11.3. Administratorzy IT mogą cofnąć przypisanie licencji na aplikację do użytkownika.
3.12. Zarządzanie aplikacjami prywatnymi hostowanymi w Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM zamiast w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które są już opublikowane prywatnie w przedsiębiorstwie, za pomocą tych narzędzi:
3.13. Zarządzanie samodzielnie hostowanymi aplikacjami prywatnymi
Administratorzy IT mogą konfigurować i publikować własne aplikacje prywatne. W przeciwieństwie do aplikacji prywatnych hostowanych przez Google, Google Play nie hostuje plików APK. Zamiast tego usługa EMM pomaga administratorom IT samodzielnie hostować pliki APK i chronić samodzielnie hostowane aplikacje, sprawdzając, czy można je zainstalować tylko wtedy, gdy zezwoli na to zarządzany Sklep Google Play.
Więcej informacji znajdziesz w artykule Obsługa aplikacji prywatnych.
3.13.1. Konsola EMM musi pomagać administratorom IT w hostowaniu pliku APK aplikacji, oferując obie te opcje:
- hostowanie pliku APK na serwerze EMM; Serwer może być lokalny lub oparty na chmurze.
- Hostowanie pakietu APK poza serwerem EMM, według uznania administratora IT. Administrator IT musi określić w konsoli EMM, gdzie jest hostowany plik APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji APK przy użyciu dostarczonego pliku APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować samodzielnie hostowane aplikacje prywatne, a konsola EMM może cicho publikować zaktualizowane pliki definicji APK za pomocą interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje tylko żądania pobrania samodzielnie hostowanego pakietu APK, które zawierają w pliku cookie żądania prawidłowy token JWT zweryfikowany za pomocą klucza publicznego aplikacji prywatnej.
- Aby ułatwić ten proces, serwer EMM musi poprowadzić administratorów IT przez pobieranie klucza publicznego licencji aplikacji hostowanej samodzielnie z Konsoli Google Play i przesyłanie tego klucza do konsoli EMM.
3.14. Powiadomienia pull EMM
Zamiast okresowo wysyłać do Google Play zapytania o zdarzenia z przeszłości, takie jak aktualizacja aplikacji zawierająca nowe uprawnienia lub zarządzane konfiguracje, powiadomienia EMM typu pull proaktywnie informują systemy EMM o takich zdarzeniach w czasie rzeczywistym. Dzięki temu systemy EMM mogą podejmować automatyczne działania i wysyłać niestandardowe powiadomienia administracyjne na podstawie tych zdarzeń.
3.14.1. Usługa EMM musi korzystać z powiadomień EMM w Google Play, aby pobierać zestawy powiadomień.
3.14.2. Platforma EMM musi automatycznie powiadamiać administratora IT (np. za pomocą automatycznego e-maila) o tych zdarzeniach:
newPermissionEvent: wymaga zatwierdzenia nowych uprawnień aplikacji przez administratora IT, zanim będzie można ją zainstalować lub zaktualizować na urządzeniach użytkowników bez ich udziału.appRestrictionsSchemaChangeEvent: może wymagać od administratora IT zaktualizowania zarządzanej konfiguracji aplikacji, aby zachować zamierzoną wydajność.appUpdateEvent: może być przydatne dla administratorów IT, którzy chcą sprawdzić, czy aktualizacja aplikacji nie wpływa na wydajność podstawowych procesów.productAvailabilityChangeEvent: może mieć wpływ na możliwość zainstalowania aplikacji lub pobrania jej aktualizacji.installFailureEvent: Google Play nie może zainstalować aplikacji na urządzeniu w trybie cichym, co sugeruje, że konfiguracja urządzenia może uniemożliwiać instalację. Po otrzymaniu tego powiadomienia platformy EMM nie powinny od razu ponownie próbować przeprowadzić cichej instalacji, ponieważ logika ponawiania prób w Google Play już zawiodła.
3.14.3. EMM automatycznie podejmuje odpowiednie działania na podstawie tych zdarzeń powiadomień:
newDeviceEvent: Podczas udostępniania urządzenia platformy EMM muszą czekać nanewDeviceEvent, zanim wykonają kolejne wywołania interfejsu Play EMM API dla nowego urządzenia, w tym ciche instalowanie aplikacji i ustawianie konfiguracji zarządzanych.productApprovalEvent: po otrzymaniu powiadomieniaproductApprovalEventplatforma EMM musi automatycznie zaktualizować listę zatwierdzonych aplikacji zaimportowanych do konsoli EMM w celu rozpowszechniania na urządzeniach, jeśli trwa aktywna sesja administratora IT lub jeśli lista zatwierdzonych aplikacji nie jest automatycznie przeładowywana na początku każdej sesji administratora IT.
3.15. Wymagania dotyczące korzystania z interfejsu API
EMM wdraża interfejsy API Google na dużą skalę, unikając wzorców ruchu, które mogłyby negatywnie wpłynąć na możliwość zarządzania aplikacjami w środowiskach produkcyjnych przez administratorów IT.
3.15.1. Usługa EMM musi przestrzegać limitów wykorzystania interfejsu Play EMM API. Niepoprawienie zachowania, które wykracza poza te wytyczne, może według uznania Google skutkować zawieszeniem korzystania z interfejsu API.
3.15.2. System EMM powinien rozkładać ruch z różnych firm w ciągu dnia, zamiast konsolidować ruch firmowy w określonych lub podobnych godzinach. Zachowania pasujące do tego wzorca ruchu, takie jak zaplanowane operacje wsadowe na każdym zarejestrowanym urządzeniu, mogą skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.3. Dostawca usług EMM nie powinien wysyłać spójnych, niepełnych lub celowo nieprawidłowych żądań, które nie mają na celu pobierania ani zarządzania rzeczywistymi danymi przedsiębiorstwa. Zachowania, które pasują do tego wzorca ruchu, mogą skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.16. Zaawansowane zarządzanie konfiguracją zarządzaną
3.16.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej (zagnieżdżonych do 4 poziomów) dowolnej aplikacji w Google Play za pomocą:
- element iframe zarządzanego Sklepu Google Play,
- niestandardowy interfejs.
3.16.2. Konsola EMM musi mieć możliwość pobierania i wyświetlania wszelkich opinii zwracanych przez kanał opinii o aplikacji skonfigurowany przez administratora IT.
- Konsola EMM musi umożliwiać administratorom IT powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z których pochodzi.
- Konsola EMM musi umożliwiać administratorom IT subskrybowanie alertów lub raportów dotyczących określonych typów wiadomości (np. komunikatów o błędach).
3.16.3. Konsola EMM musi wysyłać tylko wartości, które mają wartość domyślną lub są ustawiane ręcznie przez administratora za pomocą:
- element iframe w konfiguracjach zarządzanych;
- niestandardowy interfejs,
3.17. Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i dystrybuować aplikacje internetowe w konsoli EMM.
3.17.1. Administratorzy IT mogą rozpowszechniać skróty do aplikacji internetowych za pomocą konsoli EMM, korzystając z tych metod:
3.18. Zarządzanie cyklem życia konta zarządzanego Sklepu Google Play
Usługa EMM może tworzyć, aktualizować i usuwać konta zarządzanego Sklepu Google Play w imieniu administratorów IT.
3.18.1. Usługi EMM mogą zarządzać cyklem życia konta w zarządzanym Sklepie Google Play zgodnie z wytycznymi dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
3.18.2. Usługi EMM mogą ponownie uwierzytelniać konta w zarządzanym Sklepie Google Play bez interakcji użytkownika.
3.19. Zarządzanie ścieżkami aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera dla konkretnej aplikacji.
3.19.2. Administratorzy IT mogą ustawić, aby urządzenia korzystały z określonej ścieżki deweloperskiej aplikacji.
3.20. Zaawansowane zarządzanie aktualizacjami aplikacji
3.20.1. Administratorzy IT mogą zezwolić aplikacjom na korzystanie z aktualizacji o wysokim priorytecie, aby aktualizować je, gdy tylko będzie dostępna nowa wersja.
3.20.2. Administratorzy IT mogą zezwolić na odkładanie aktualizacji aplikacji na 90 dni.
3.21. Zarządzanie metodami obsługi administracyjnej
Usługa EMM może generować konfiguracje obsługi administracyjnej i przekazywać je administratorowi IT w formie gotowej do rozpowszechniania wśród użytkowników (np. kod QR, konfiguracja zero-touch, adres URL w Sklepie Play).
3.22. Uaktualnianie powiązania Enterprise
Administratorzy IT mogą uaktualnić typ powiązania firmy do zarządzanej domeny Google firmy, co umożliwi organizacji dostęp do usług i funkcji konta Google na zarejestrowanych urządzeniach.
3.22.1. Konsola EMM umożliwia administratorowi IT wywołanie uaktualnienia istniejącej grupy kont zarządzanego Sklepu Google Play do grupy zarządzanej domeny Google za pomocą wymaganych interfejsów API.
3.22.2. Platformy EMM powinny używać Pub/Sub do otrzymywania powiadomień o zdarzeniach przejścia na wyższą opcję zainicjowanych przez administratora IT (nawet tych, które występują poza konsolą EMM) i aktualizować interfejs, aby odzwierciedlał te zmiany.
3.23. Obsługa administracyjna zarządzanych kont Google
Usługa EMM może udostępniać na urządzeniu firmowe konta użytkowników, czyli zarządzane konta Google. Konta te identyfikują zarządzanych użytkowników i umożliwiają stosowanie reguł rozpowszechniania aplikacji oraz dostęp do usług Google. Administratorzy IT mogą też ustawić zasadę, która wymaga uwierzytelniania zarządzanego konta Google podczas rejestracji lub po niej.
3.23.1. DPC usługi EMM może udostępnić zarządzane konto Google zgodnie z wytycznymi dotyczącymi wdrożenia.
W ten sposób:
- Zarządzane konto Google zostanie dodane do urządzenia.
- Zarządzane konto Google musi być bezpośrednio zmapowane na rzeczywistych użytkowników w konsoli EMM.
3.23.2. Administrator IT może użyć tej zasady, aby umożliwić użytkownikom logowanie się na zarządzane konto Google w celu rejestracji.
3.23.3. Administrator IT może użyć tej zasady, aby określić, czy użytkownik musi zalogować się na zarządzane konto Google, aby dokończyć rejestrację.
3.23.4. Administratorzy IT mogą opcjonalnie ograniczyć proces uaktualniania do konkretnego identyfikatora konta (adresu e-mail) na danym urządzeniu.
3.24. Uaktualnianie konta zarządzanego Sklepu Google Play
Administratorzy IT mogą zmienić typ konta użytkownika na zarządzane konto Google, dzięki czemu urządzenie będzie miało dostęp do usług i funkcji konta Google na zarejestrowanych urządzeniach.
3.24.1. Administratorzy IT mogą uaktualnić istniejące konto zarządzanego Sklepu Google Play na urządzeniu do zarządzanego konta Google.
3.24.2. Administratorzy IT mogą opcjonalnie ograniczyć proces uaktualniania do konkretnego identyfikatora konta (adresu e-mail) na danym urządzeniu.
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami dotyczącymi uprawnień w czasie działania
Administratorzy IT mogą w trybie cichym ustawić domyślną odpowiedź na żądania przyznania uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Administratorzy IT muszą mieć możliwość wyboru jednej z tych opcji podczas ustawiania domyślnych zasad uprawnień w czasie działania w organizacji:
- prompt (pozwala użytkownikom wybrać)
- allow
- odmówić,
EMM powinien wymuszać te ustawienia za pomocą DPC EMM.
4.2. Zarządzanie stanem przyznania uprawnień w czasie działania
Po ustawieniu domyślnych zasad dotyczących uprawnień czasu działania (przejdź do sekcji 4.1) Administratorzy IT mogąbez interwencji użytkownika ustawiać odpowiedzi na określone uprawnienia w przypadku dowolnej aplikacji służbowej opartej na interfejsie API w wersji 23 lub nowszej.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu przyznania (domyślny, przyznany lub odrzucony) dowolnego uprawnienia, o które prosi dowolna aplikacja służbowa oparta na interfejsie API w wersji 23 lub nowszej. EMM powinien wymuszać te ustawienia za pomocą DPC EMM.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą bez interwencji użytkownika udostępniać konfiguracje Wi-Fi dla przedsiębiorstw na urządzeniach zarządzanych, w tym:
4.3.1. SSID za pomocą DPC usługi EMM.
4.3.2. hasło za pomocą DPC EMM.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać konfiguracje Wi-Fi dla firm na zarządzanych urządzeniach, które zawierają te zaawansowane funkcje zabezpieczeń:
4.4.1. tożsamość za pomocą DPC usługi EMM;
4.4.2. Certyfikat do autoryzacji klientów za pomocą DPC EMM.
4.4.3. certyfikaty CA przy użyciu DPC EMM.
4.5. Zaawansowane zarządzanie Wi-Fi
Administratorzy IT mogą blokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą blokować konfiguracje firmowej sieci Wi-Fi w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnionych przez EMM, ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkownika (np. sieci osobiste).
- Użytkownicy nie mogą dodawać ani modyfikować żadnych sieci Wi-Fi na urządzeniu, co ogranicza łączność Wi-Fi tylko do sieci udostępnianych przez usługę EMM.
4.6. Zarządzanie kontem
Administratorzy IT mogą sprawdzić, czy nieautoryzowane konta firmowe nie mogą wchodzić w interakcje z danymi firmowymi w usługach takich jak pamięć masowa SaaS, aplikacje zwiększające produktywność czy poczta e-mail. Bez tej funkcji konta osobiste można dodawać do aplikacji firmowych, które obsługują też konta konsumenckie, co umożliwia udostępnianie danych firmowych na tych kontach osobistych.
4.6.1. Administratorzy IT mogą zablokować dodawanie i modyfikowanie kont.
- Podczas egzekwowania tej zasady na urządzeniu platformy EMM muszą ustawić to ograniczenie przed zakończeniem aprowizacji, aby uniemożliwić obejście tej zasady przez dodanie kont przed jej wprowadzeniem.
4.7. Zarządzanie kontem Workspace
Ta funkcja została wycofana. Wymagania dotyczące wymiany znajdziesz w sekcji 3.23.
4.8. Zarządzanie certyfikatami
Umożliwia administratorom IT wdrażanie na urządzeniach certyfikatów tożsamości i urzędów certyfikacji, aby zapewnić dostęp do firmowych zasobów.
4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkownika wygenerowane przez infrastrukturę kluczy publicznych na kontach poszczególnych użytkowników. Konsola EMM musi być zintegrowana z co najmniej jedną infrastrukturą PKI i dystrybuować certyfikaty wygenerowane w ramach tej infrastruktury.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji w zarządzanym magazynie kluczy.
4.9. Zaawansowane zarządzanie certyfikatami
Umożliwia administratorom IT ciche wybieranie certyfikatów, których powinny używać określone aplikacje zarządzane. Ta funkcja umożliwia też administratorom IT usuwanie urzędów certyfikacji i certyfikatów tożsamości z aktywnych urządzeń. Ta funkcja uniemożliwia użytkownikom modyfikowanie danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzeniach administratorzy IT mogą określić certyfikat, do którego aplikacja będzie mieć cichy dostęp podczas działania.
- Wybór certyfikatu musi być wystarczająco ogólny, aby umożliwić pojedynczą konfigurację, która ma zastosowanie do wszystkich użytkowników, z których każdy może mieć certyfikat tożsamości specyficzny dla użytkownika.
4.9.2. Administratorzy IT mogą usuwać certyfikaty z zarządzanego magazynu kluczy bez powiadamiania użytkowników.
4.9.3. Administratorzy IT mogą odinstalować certyfikat CA lub wszystkie certyfikaty CA inne niż systemowe bez interwencji użytkownika.
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie danych logowania w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą wcześniej przyznawać certyfikaty aplikacjom służbowym.
4.10. Delegowane zarządzanie certyfikatami
Administratorzy IT mogą rozpowszechniać na urządzeniach aplikacje innych firm do zarządzania certyfikatami i przyznawać im uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT określają pakiet zarządzania certyfikatami, który ma być ustawiony jako delegowana aplikacja do zarządzania certyfikatami przez kontroler zasad dotyczących urządzeń.
- Konsola może opcjonalnie sugerować znane pakiety do zarządzania certyfikatami, ale musi umożliwiać administratorowi IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.11. Zaawansowane zarządzanie siecią VPN
Umożliwia administratorom IT określenie stałej sieci VPN, aby mieć pewność, że dane z określonych aplikacji zarządzanych będą zawsze przesyłane przez skonfigurowaną sieć VPN.
4.11.1. Administratorzy IT mogą wskazać dowolny pakiet VPN, który ma być ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie sugerować znane pakiety VPN, które obsługują stałą sieć VPN, ale nie może ograniczać sieci VPN dostępnych do konfiguracji stałej sieci VPN do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych do określania ustawień sieci VPN dla aplikacji.
4.12. Zarządzanie IME
Administratorzy IT mogą zarządzać metodami wprowadzania (IME), które można skonfigurować na urządzeniach. Ponieważ edytor IME jest współdzielony przez profile służbowe i osobiste, zablokowanie jego użycia uniemożliwi korzystanie z niego również na profilu osobistym. Administratorzy IT nie mogą jednak blokować systemowych edytorów IME w profilach służbowych (więcej informacji znajdziesz w sekcji zaawansowanego zarządzania edytorami IME).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (w tym pustą listę, która blokuje IME inne niż systemowe). Może ona zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane klawiatury IME do dodania do listy dozwolonych, ale musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.12.2. System EMM musi informować administratorów IT, że systemowe edytory IME są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13. Zaawansowane zarządzanie edytorem IME
Administratorzy IT mogą zarządzać metodami wprowadzania (IME), które można skonfigurować na urządzeniach. Zaawansowane zarządzanie IME rozszerza podstawową funkcję, ponieważ umożliwia administratorom IT zarządzanie także korzystaniem z systemowych IME, które są zwykle dostarczane przez producenta urządzenia lub operatora.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych klawiatur IME o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie klawiatury IME, w tym klawiatury systemowe). Może ona zawierać dowolne pakiety klawiatur IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane klawiatury IME do dodania do listy dozwolonych, ale musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.13.2. Systemy EMM muszą uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie blokuje wszystkie edytory IME, w tym edytory IME systemu, przed skonfigurowaniem na urządzeniu.
4.13.3. Systemy EMM muszą sprawdzać, czy jeśli lista dozwolonych IME nie zawiera systemowych IME, IME innych firm są instalowane w trybie cichym przed zastosowaniem listy dozwolonych na urządzeniu.
4.14. Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, jakie usługi ułatwień dostępu mogą być dozwolone na urządzeniach użytkowników. Usługi ułatwień dostępu to przydatne narzędzia dla użytkowników z niepełnosprawnościami lub tych, którzy tymczasowo nie mogą w pełni korzystać z urządzenia. Mogą one jednak wchodzić w interakcje z danymi firmowymi w sposób niezgodny z zasadami firmy. Ta funkcja umożliwia administratorom IT wyłączanie wszystkich usług ułatwień dostępu innych niż systemowe.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu o dowolnej długości (w tym pustą listę, która blokuje usługi ułatwień dostępu inne niż systemowe), która może zawierać dowolny pakiet usług ułatwień dostępu. Gdy jest stosowana w profilu służbowym, ma wpływ zarówno na profil osobisty, jak i na profil służbowy.
- Konsola może opcjonalnie sugerować znane lub zalecane usługi ułatwień dostępu, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.15. Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom w profilu służbowym. W przeciwnym razie ustawienia lokalizacji dla profili służbowych można skonfigurować w Ustawieniach.
4.15.1. Administratorzy IT mogą wyłączyć usługi lokalizacyjne w profilu służbowym.
4.16. Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą wymusić określone ustawienie udostępniania lokalizacji na zarządzanym urządzeniu. Ta funkcja może zapewnić, że aplikacje firmowe będą zawsze miały dostęp do danych o lokalizacji o wysokiej dokładności. Ta funkcja może też zapobiegać nadmiernemu zużyciu baterii przez ograniczenie ustawień lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacyjne urządzenia w każdym z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, ale bez lokalizacji dostarczanej przez sieć.
- Oszczędzanie baterii, które ogranicza częstotliwość aktualizacji.
- Wyłączone.
4.17. Zarządzanie ochroną przed przywróceniem do ustawień fabrycznych
Umożliwia administratorom IT ochronę urządzeń należących do firmy przed kradzieżą, ponieważ uniemożliwia nieuprawnionym użytkownikom przywracanie urządzeń do ustawień fabrycznych. Jeśli ochrona przed przywróceniem do ustawień fabrycznych utrudnia działanie urządzeń zwracanych do działu IT, administratorzy IT mogą też całkowicie wyłączyć tę ochronę.
4.17.1. Administratorzy IT mogą uniemożliwić użytkownikom przywracanie ustawień fabrycznych urządzenia z poziomu Ustawień.
4.17.2. Administratorzy IT mogą określić konta firmowe, które są uprawnione do konfigurowania urządzeń po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z osobą fizyczną lub używane przez całe przedsiębiorstwo do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przed przywróceniem do ustawień fabrycznych na określonych urządzeniach.
4.17.4. Administratorzy IT mogą zdalnie wymazać dane z urządzenia, co opcjonalnie usuwa dane ochrony przed przywróceniem do ustawień fabrycznych, a tym samym wyłącza tę ochronę na urządzeniu.
4.18. Zaawansowana kontrola aplikacji
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowywanie lub modyfikowanie zarządzanych aplikacji w ustawieniach, np. wymuszanie zamknięcia aplikacji lub czyszczenie pamięci podręcznej danych aplikacji.
4.18.1. Administratorzy IT mogą zablokować odinstalowywanie dowolnych zarządzanych aplikacji lub wszystkich zarządzanych aplikacji.
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w Ustawieniach.
4.19. Zarządzanie zrzutami ekranu
Administratorzy IT mogą blokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z zarządzanych aplikacji. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (takich jak Asystent Google), które korzystają z funkcji zrzutów ekranu.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu.
4.20. Wyłączanie aparatów
Administratorzy IT mogą wyłączyć korzystanie z aparatów urządzeń przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć korzystanie z aparatów urządzeń przez aplikacje zarządzane.
4.21. Zbieranie statystyk sieci
Administratorzy IT mogą wysyłać zapytania o statystyki użytkowania sieci z profilu służbowego urządzenia. Zbierane statystyki odzwierciedlają dane o użytkowaniu udostępniane użytkownikom w sekcji Wykorzystanie danych w Ustawieniach. Zebrane statystyki dotyczą korzystania z aplikacji w profilu służbowym.
4.21.1. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk sieciowych profilu służbowego na danym urządzeniu w konfigurowalnym przedziale czasu i wyświetlać te informacje w konsoli EMM.
4.21.2. Administratorzy IT mogą wykonywać zapytania o podsumowanie statystyk wykorzystania sieci przez aplikację w profilu służbowym na danym urządzeniu w konfigurowalnym przedziale czasu i wyświetlać te szczegóły uporządkowane według identyfikatora UID w konsoli EMM.
4.21.3. Administratorzy IT mogą wysyłać zapytania o dane historyczne dotyczące wykorzystania sieci przez profil służbowy na danym urządzeniu w konfigurowalnym przedziale czasu i wyświetlać te informacje uporządkowane według identyfikatora UID w konsoli EMM.
4.22. Zaawansowane zbieranie statystyk sieci
Administratorzy IT mogą wysyłać zapytania o statystyki użytkowania sieci na całym zarządzanym urządzeniu. Zbierane statystyki odzwierciedlają dane o korzystaniu udostępniane użytkownikom w sekcji Użycie danych w Ustawieniach. Zbierane statystyki dotyczą korzystania z aplikacji na urządzeniu.
4.22.1. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk sieci dla całego urządzenia w przypadku danego urządzenia i konfigurowalnego przedziału czasu oraz wyświetlać te szczegóły w konsoli EMM.
4.22.2. Administratorzy IT mogą wyświetlać podsumowanie statystyk wykorzystania sieci przez aplikacje na danym urządzeniu w określonym przedziale czasu oraz przeglądać te informacje uporządkowane według identyfikatora UID w konsoli EMM.
4.22.3. Administratorzy IT mogą wysyłać zapytania o dane historyczne dotyczące wykorzystania sieci w przypadku danego urządzenia i konfigurowalnego przedziału czasu oraz wyświetlać te szczegóły uporządkowane według identyfikatora UID w konsoli EMM.
4.23. Uruchom ponownie urządzenie
Administratorzy IT mogą zdalnie ponownie uruchamiać zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie zrestartować zarządzane urządzenie.
4.24. Zarządzanie radiem systemowym
Umożliwia administratorom IT szczegółowe zarządzanie radiami sieciowymi systemu i powiązanymi z nimi zasadami użytkowania.
4.24.1. Administratorzy IT mogą wyłączyć transmisje komórkowe wysyłane przez dostawców usług (np. alerty AMBER).
4.24.2. Administratorzy IT mogą uniemożliwiać użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach.
4.24.3. Administratorzy IT mogą uniemożliwiać użytkownikom resetowanie ustawień sieci w Ustawieniach.
4.24.4. Administratorzy IT mogą zezwalają na mobilną transmisję danych w roamingu lub ją blokować.
4.24.5. Administratorzy IT mogą skonfigurować, czy urządzenie może wykonywać połączenia wychodzące, z wyjątkiem połączeń alarmowych.
4.24.6. Administratorzy IT mogą skonfigurować, czy urządzenie może wysyłać i odbierać SMS-y.
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z urządzenia jako przenośnego hotspotu przez tethering.
4.24.8. Administratorzy IT mogą ustawić limit czasu Wi-Fi na domyślny, tylko podczas podłączenia do zasilania lub nigdy.
4.24.9. Administratorzy IT mogą uniemożliwiać użytkownikom konfigurowanie lub modyfikowanie istniejących połączeń Bluetooth.
4.25. Zarządzanie dźwiękiem systemowym
Administratorzy IT mogą w sposób niewidoczny zarządzać funkcjami audio urządzenia, w tym wyciszać urządzenie, uniemożliwiać użytkownikom zmianę ustawień głośności i wyłączanie wyciszenia mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą wyciszać zarządzane urządzenia bez powiadamiania użytkowników.
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyłączanie wyciszenia mikrofonu urządzenia.
4.26. Zarządzanie zegarem systemowym
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej urządzenia oraz uniemożliwiać użytkownikom modyfikowanie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą wymuszać automatyczne ustawianie czasu systemowego, uniemożliwiając użytkownikowi ustawienie daty i godziny na urządzeniu.
4.26.2. Administratorzy IT mogą w sposób niewidoczny dla użytkowników włączać i wyłączać automatyczny czas i automatyczną strefę czasową.
4.27. Zaawansowane funkcje urządzeń specjalnych
Umożliwia administratorom IT zarządzanie bardziej szczegółowymi funkcjami urządzenia dedykowanego w celu obsługi różnych przypadków użycia kiosków.
4.27.1. Administratorzy IT mogą wyłączyć blokadę klawiatury urządzenia.
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokując powiadomienia i szybkie ustawienia.
4.27.3. Administratorzy IT mogą wymusić pozostawienie ekranu urządzenia włączonego, gdy urządzenie jest podłączone do zasilania.
4.27.4. Administratorzy IT mogą uniemożliwić wyświetlanie tych interfejsów systemu:
- Tosty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na to, aby rekomendacja systemowa dotycząca aplikacji pomijała samouczek dla użytkownika i inne wskazówki wprowadzające przy pierwszym uruchomieniu.
4.28. Zarządzanie zakresem delegowanym
Administratorzy IT mogą delegować dodatkowe uprawnienia do poszczególnych pakietów.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalowanie certyfikatów i zarządzanie nimi
- Celowo puste
- Rejestrowanie sieciowe
- Logowanie zabezpieczeń (nieobsługiwane w przypadku profilu służbowego na urządzeniu należącym do użytkownika)
4.29. Pomoc dotycząca identyfikatora rejestracji
Od Androida 12 profile służbowe nie będą już mieć dostępu do identyfikatorów specyficznych dla sprzętu. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym za pomocą identyfikatora rejestracji, który pozostaje niezmieniony po przywróceniu ustawień fabrycznych.
4.29.1. Administratorzy IT mogą ustawiać i uzyskiwać identyfikator przypisany do rejestracji.
4.29.2. Ten identyfikator przypisany do rejestracji musi być zachowany po przywróceniu urządzenia do ustawień fabrycznych.
4.30. Zasady menedżera danych logowania
Administratorzy IT mogą zarządzać tym, które aplikacje menedżera danych logowania są dozwolone lub blokowane, za pomocą zasad.
4.30.1 Administratorzy IT mogą opcjonalnie blokować wszystkie menedżery danych logowania na urządzeniu (lub w ramach profilu służbowego).
4.30.2 Administratorzy IT mogą określić, że dozwolone są tylko wstępnie załadowane (aplikacje systemowe) menedżery danych logowania.
4.30.3 Administratorzy IT mogą określić listę nazw pakietów, które mogą oferować funkcje menedżera danych logowania.
4.31. Podstawowe zarządzanie kartami eSIM
Umożliwia administratorom IT udostępnianie urządzenia z profilem eSIM i zarządzanie jego cyklem życia na urządzeniu.
4.31.1 Administratorzy IT mogą bez interwencji użytkownika udostępniać profil eSIM na urządzeniu.
4.31.2 Administratorzy IT mogą usuwać zarządzane karty eSIM z urządzenia.
4.31.3 Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach (kliknij mobileNetworksConfigDisabled).
4.31.4 Gdy administrator IT zdalnie wyczyści urządzenie lub profil służbowy, może też usunąć z urządzenia zarządzane karty eSIM. Domyślnie zarządzane karty eSIM są usuwane z profili służbowych na urządzeniach należących do pracowników, ale zachowywane na urządzeniach należących do firmy.
4.31.5. (OPCJONALNIE) Administratorzy IT mogą pobrać identyfikator EID (Embedded Identity Document) urządzenia za pomocą interfejsu konsoli EMM (lub równoważnej metody) i wyeksportować te wartości.
5. Wykorzystanie urządzenia
5.1. Dostosowywanie zarządzanego udostępniania
Administratorzy IT mogą modyfikować domyślny interfejs procesu konfiguracji, aby uwzględniał funkcje specyficzne dla przedsiębiorstwa. Opcjonalnie administratorzy IT mogą wyświetlać branding dostarczony przez EMM podczas wdrażania.
5.1.1. Administratorzy IT mogą dostosować proces wdrażania, podając te szczegóły dotyczące przedsiębiorstwa: kolor firmowy, logo firmy, warunki korzystania z usługi i inne wyłączenia odpowiedzialności.
5.1.2. Administratorzy IT mogą wdrożyć niekonfigurowalne dostosowanie specyficzne dla usługi EMM, które zawiera te szczegóły: kolor usługi EMM, logo usługi EMM, warunki korzystania z usługi EMM i inne wyłączenia odpowiedzialności.
5.1.3 [primaryColor] został wycofany w przypadku zasobu firmowego na urządzeniach z Androidem 10 lub nowszym.
- Usługi EMM muszą zawierać warunki usługi dotyczące wdrażania i inne wyłączenia odpowiedzialności w przypadku procesu wdrażania w pakiecie wyłączeń odpowiedzialności dotyczących wdrażania systemu, nawet jeśli nie jest używane dostosowanie specyficzne dla usługi EMM.
- Usługi EMM mogą ustawić swoje niekonfigurowalne, specyficzne dla EMM dostosowanie jako domyślne dla wszystkich wdrożeń, ale muszą zezwalać administratorom IT na konfigurowanie własnych dostosowań.
5.2. Dostosowywanie dla firm
Administratorzy IT mogą dostosowywać aspekty profilu służbowego, dodając firmowe logotypy. Administratorzy IT mogą na przykład ustawić ikonę użytkownika w profilu służbowym na logo firmy. Inny przykład to ustawienie koloru tła wyzwania związanego z pracą.
5.2.1. Administratorzy IT mogą ustawić kolor organizacji, który będzie używany jako kolor tła wyzwania służbowego.
5.2.2. Administratorzy IT mogą ustawiać wyświetlaną nazwę profilu służbowego.
5.2.3. Administratorzy IT mogą ustawić ikonę użytkownika profilu służbowego.
5.2.4. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony użytkownika profilu służbowego.
5.3. Zaawansowane opcje dostosowywania dla firm
Administratorzy IT mogą dostosowywać urządzenia zarządzane, dodając firmowe logotypy. Na przykład administratorzy IT mogą ustawić jako ikonę głównego użytkownika logo firmy lub ustawić tapetę urządzenia.
5.3.1. Administratorzy IT mogą ustawić wyświetlaną nazwę zarządzanego urządzenia.
5.3.2. Administratorzy IT mogą ustawić ikonę użytkownika zarządzanego urządzenia.
5.3.3. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony użytkownika urządzenia.
5.3.4. Administratorzy IT mogą ustawiać tapetę urządzenia.
5.3.5. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie tapety urządzenia.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który jest zawsze wyświetlany na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia, aby można go było zobaczyć.
5.4.1. Administratorzy IT mogą ustawić niestandardowy komunikat na ekranie blokady.
5.5. Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosowywać tekst pomocy wyświetlany użytkownikom, gdy modyfikują ustawienia zarządzane na urządzeniu, lub wdrażać ogólny komunikat pomocy dostarczony przez EMM. Możesz dostosować zarówno krótkie, jak i długie komunikaty pomocy. Te komunikaty są wyświetlane w sytuacjach takich jak próba odinstalowania zarządzanej aplikacji, dla której administrator IT zablokował już odinstalowanie.
5.5.1. Administratorzy IT mogą dostosowywać zarówno krótkie, jak i długie wiadomości pomocy.
5.5.2. Administratorzy IT mogą wdrażać niekonfigurowalne, specyficzne dla EMM krótkie i długie komunikaty pomocy.
- Usługa EMM może ustawić swoje niekonfigurowalne, specyficzne dla niej wiadomości pomocy jako domyślne dla wszystkich wdrożeń, ale musi zezwalać administratorom IT na konfigurowanie własnych wiadomości.
5.6. Zarządzanie kontaktami na różnych profilach
Administratorzy IT mogą kontrolować, jakie dane kontaktowe mogą opuszczać profil służbowy. Aplikacje do telefonowania i wysyłania wiadomości (SMS) muszą działać na profilu osobistym i wymagać dostępu do danych kontaktowych profilu służbowego, aby zapewnić wydajność w przypadku kontaktów służbowych. Administratorzy mogą jednak wyłączyć te funkcje, aby chronić dane służbowe.
5.6.1. Administratorzy IT mogą wyłączyć wyszukiwanie kontaktów w różnych profilach w przypadku aplikacji osobistych, które korzystają z dostawcy kontaktów systemowych.
5.6.2. Administratorzy IT mogą wyłączyć wyszukiwanie identyfikatora dzwoniącego w różnych profilach w przypadku osobistych aplikacji do wybierania numerów, które korzystają z dostawcy kontaktów systemowych.
5.6.3. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth na urządzeniach Bluetooth, które korzystają z dostawcy kontaktów systemowych, np. w przypadku zestawów głośnomówiących w samochodach lub słuchawek.
5.7. Zarządzanie danymi w wielu profilach
Umożliwia administratorom IT zarządzanie danymi, które mogą opuszczać profil służbowy, poza domyślnymi funkcjami zabezpieczeń profilu służbowego. Dzięki tej funkcji administratorzy IT mogą zezwalać na udostępnianie określonych typów danych między profilami, aby zwiększyć użyteczność w kluczowych przypadkach użycia. Administratorzy IT mogą też dodatkowo chronić dane firmowe, stosując więcej ograniczeń.
5.7.1. Administratorzy IT mogą konfigurować filtry intencji między profilami, aby aplikacje osobiste mogły rozpoznawać intencje z profilu służbowego, takie jak intencje udostępniania czy linki do stron internetowych.
- Konsola może opcjonalnie sugerować znane lub zalecane filtry intencji do konfiguracji, ale nie może ograniczać filtrów intencji do żadnej dowolnej listy.
5.7.2. Administratorzy IT mogą zezwolić na wyświetlanie widżetów przez zarządzane aplikacje na ekranie głównym.
- Konsola EMM musi umożliwiać administratorom IT wybieranie z listy aplikacji, które są dostępne do zainstalowania przez odpowiednich użytkowników.
5.7.3. Administratorzy IT mogą zablokować możliwość kopiowania i wklejania danych między profilem służbowym a profilem osobistym.
5.7.4. Administratorzy IT mogą zablokować użytkownikom możliwość udostępniania danych z profilu służbowego za pomocą modułu NFC.
5.7.5. Administratorzy IT mogą zezwalać aplikacjom osobistym na otwieranie linków internetowych z profilu służbowego.
5.8. Zasady aktualizacji systemu
Administratorzy IT mogą konfigurować i stosować aktualizacje bezprzewodowe (OTA) na urządzeniach.
5.8.1. Konsola usługi EMM umożliwia administratorom IT ustawianie tych konfiguracji OTA:
- Automatyczne: urządzenia instalują aktualizacje OTA, gdy tylko staną się dostępne.
- Odłożenie: administratorzy IT muszą mieć możliwość odłożenia aktualizacji OTA na okres do 30 dni. Ta zasada nie ma wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okresowe: administratorzy IT muszą mieć możliwość zaplanowania aktualizacji OTA w ramach codziennego okresu konserwacji.
5.8.2. Kontroler zasad dotyczących urządzeń EMM stosuje konfiguracje OTA na urządzeniach.
5.9. Zarządzanie trybem blokowania zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie, aby użytkownicy nie mogli ich zamknąć.
5.9.1. Konsola EMM umożliwia administratorom IT ciche zezwalanie na instalowanie dowolnego zestawu aplikacji i blokowanie ich na urządzeniu. DPC EMM umożliwia tryb urządzenia dedykowanego.
5.10. Stałe zarządzanie działaniami priorytetowymi
Umożliwia administratorom IT ustawienie aplikacji jako domyślnego modułu obsługi intencji, które pasują do określonego filtra intencji. Na przykład umożliwia administratorom IT wybieranie, która aplikacja przeglądarki ma automatycznie otwierać linki internetowe lub która aplikacja uruchamiająca ma być używana po kliknięciu przycisku ekranu głównego.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji dla dowolnego filtra intencji.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane intencje do konfiguracji, ale nie może ograniczać intencji do żadnej dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybieranie z listy aplikacji, które mogą zainstalować odpowiedni użytkownicy.
5.11. Zarządzanie funkcjami Keyguard
- agenty zaufania,
- odblokowywanie odciskiem palca
- niezredagowane powiadomienia,
5.11.2. DPC dostawcy usług EMM może wyłączyć w profilu służbowym te funkcje ekranu blokady:
- agenty zaufania,
- odblokowywanie odciskiem palca
5.12. Zaawansowane zarządzanie funkcjami blokady klawiatury
- Kamera bezpieczeństwa
- Wszystkie powiadomienia
- Nieocenzurowane powiadomienia
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje ochrony klawiatury
5.13. Debugowanie zdalne
Administratorzy IT mogą pobierać z urządzeń zasoby do debugowania bez konieczności wykonywania dodatkowych czynności.
5.13.1. Administratorzy IT mogą zdalnie prosić o zgłoszenia błędów, wyświetlać je w konsoli EMM i pobierać z niej.
5.14. Pobieranie adresu MAC
Platformy EMM mogą w trybie cichym pobierać adres MAC urządzenia. Adres MAC może być używany do identyfikowania urządzeń w innych częściach infrastruktury przedsiębiorstwa (np. podczas identyfikowania urządzeń na potrzeby kontroli dostępu do sieci).
5.14.1. Usługa EMM może cicho pobrać adres MAC urządzenia i powiązać go z urządzeniem w konsoli EMM.
5.15. Zaawansowane zarządzanie trybem blokowania zadań
Gdy urządzenie jest skonfigurowane jako urządzenie dedykowane, administratorzy IT mogą wykonywać w konsoli EMM te czynności:
5.15.1. Ciche zezwolenie pojedynczej aplikacji na blokowanie urządzenia za pomocą kontrolera zasad dotyczących urządzeń (DPC) platformy EMM.
5.15.2. Włącz lub wyłącz te funkcje interfejsu systemu za pomocą kontrolera zasad urządzeń mobilnych (DPC) platformy EMM:
- Przycisk Ekran główny
- Przegląd
- Działania globalne
- Powiadomienia
- Informacje o systemie / pasek stanu
- Blokada klawiszy (ekran blokady)
5.15.3. Wyłącz okna dialogowe błędów systemu za pomocą DPC platformy EMM.
5.16. Zaawansowane zasady aktualizacji systemu
Administratorzy IT mogą blokować aktualizacje systemu na urządzeniu przez określony okres blokady.
5.16.1. DPC systemu EMM może stosować aktualizacje bezprzewodowe (OTA) na urządzeniach przez określony okres zamrożenia.
5.17. Zarządzanie przejrzystością zasad profilu służbowego
Administratorzy IT mogą dostosowywać wiadomości wyświetlane użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą podać niestandardowy tekst do wyświetlenia, gdy profil służbowy zostanie wyczyszczony.
5.18. Pomoc dotycząca połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą komunikować się poza granicami profilu służbowego.
5.19. Ręczne aktualizacje systemu
Administratorzy IT mogą ręcznie zainstalować aktualizację systemu, podając ścieżkę.
6. Wycofanie aplikacji do zarządzania urządzeniem
6.1. Wycofanie aplikacji do zarządzania urządzeniem
Dostawcy usług EMM muszą opublikować plan do końca 2022 r., w którym zakończą obsługę klienta w zakresie administratora urządzenia na urządzeniach z GMS do końca I kwartału 2023 r.
7. Wykorzystanie interfejsu API
7.1. Standardowy kontroler zasad dla nowych powiązań
Domyślnie urządzenia muszą być zarządzane za pomocą Android Device Policy w przypadku wszystkich nowych powiązań. Systemy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowego kontrolera zasad dotyczących urządzeń (DPC) w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym. Nowi klienci nie mogą być narażeni na arbitralny wybór między stosami technologicznymi w trakcie żadnego procesu wprowadzania ani konfiguracji.
7.2. Standardowy kontroler zasad na nowych urządzeniach
Domyślnie urządzenia muszą być zarządzane przy użyciu aplikacji Android Device Policy w przypadku wszystkich nowych rejestracji urządzeń, zarówno w przypadku istniejących, jak i nowych powiązań. Platformy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowego kontrolera zasad dotyczących urządzeń w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym.