Auf dieser Seite finden Sie eine vollständige Liste der Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () mindestens eines Lösungssatzes unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die Überprüfung der Standardfunktionen bestehen, werden im Enterprise Solutions Directory von Android als Lösungen mit einem Standard Management Set aufgeführt.
Für jede Lösungsgruppe ist ein zusätzlicher Satz erweiterter Funktionen verfügbar. Diese Funktionen sind auf jeder Lösungsseite mit Arbeitsprofil auf privatem Gerät, Arbeitsprofil auf unternehmenseigenem Gerät, vollständig verwaltetes Gerät und Gerät für bestimmte Zwecke gekennzeichnet. EMM-Lösungen, die die Überprüfung der erweiterten Funktionen bestehen, werden im Android Enterprise-Lösungsverzeichnis als Lösungen mit einem erweiterten Verwaltungssatz aufgeführt.
Schlüssel
| Standardfunktion | erweiterte Funktion | optionales Feature | nicht zutreffend |
1. Gerätebereitstellung
1.1 Bereitstellung von Arbeitsprofilen mit DPC
Sie können ein Arbeitsprofil bereitstellen, nachdem Sie den DPC des EMM-Anbieters bei Google Play heruntergeladen haben.
1.1.1. Der DPC des EMM muss öffentlich auf Google Play verfügbar sein, damit Nutzer ihn auf der privaten Seite des Geräts installieren können.
1.1.2. Nach der Installation muss der DPC den Nutzer durch die Bereitstellung eines Arbeitsprofils führen.
1.1.3. Nach Abschluss der Bereitstellung darf auf der privaten Seite des Geräts keine Verwaltungspräsenz mehr vorhanden sein.
- Alle Richtlinien, die während der Bereitstellung eingerichtet wurden, müssen entfernt werden.
- App-Berechtigungen müssen widerrufen werden.
- Der DPC des EMM muss mindestens auf der privaten Seite des Geräts deaktiviert sein.
1.2. Gerätebereitstellung mit DPC-ID
IT‑Administratoren können ein vollständig verwaltetes oder dediziertes Gerät mit einer DPC‑Kennung („afw#“) gemäß den in der Entwicklerdokumentation zur Play EMM API definierten Implementierungsrichtlinien bereitstellen.
1.2.1 Der DPC des EMM muss öffentlich auf Google Play verfügbar sein. Der DPC muss über den Einrichtungsassistenten des Geräts installiert werden können, indem eine DPC-spezifische Kennung eingegeben wird.
1.2.2. Nach der Installation muss der DPC des EMM den Nutzer durch die Bereitstellung eines vollständig verwalteten oder dedizierten Geräts führen.
1.3. NFC-Geräte bereitstellen
IT-Administratoren können NFC-Tags verwenden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den in der Entwicklerdokumentation zur Play EMM API definierten Implementierungsrichtlinien bereitzustellen.
1.3.1 EMMs müssen NFC Forum Type 2-Tags mit mindestens 888 Byte Arbeitsspeicher verwenden. Bei der Bereitstellung müssen Provisioning-Extras verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Nachdem der DPC des EMM sich selbst als Geräteinhaber festgelegt hat, muss er sofort geöffnet und auf dem Bildschirm fixiert werden, bis das Gerät vollständig bereitgestellt ist. 1.3.3 Wir empfehlen die Verwendung von NFC-Tags für Android 10 und höher, da NFC Beam (auch als NFC Bump bezeichnet) eingestellt wurde.
1.4 Gerätebereitstellung per QR‑Code
IT-Administratoren können ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät verwenden, um einen QR-Code zu scannen, der von der EMM-Konsole generiert wurde, um das Gerät gemäß den in der Entwicklerdokumentation zur Play EMM API definierten Implementierungsrichtlinien bereitzustellen.
1.4.1. Der QR-Code muss Provisioning-Extras verwenden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.4.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss er sofort geöffnet werden und sich auf dem Bildschirm sperren, bis das Gerät vollständig bereitgestellt ist.
1.5 Zero-Touch-Registrierung
IT‑Administratoren können Geräte, die bei autorisierten Resellern erworben wurden, vorkonfigurieren und über die EMM‑Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung einrichten. Eine Anleitung dazu finden Sie unter Zero-Touch-Registrierung für IT-Administratoren.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden automatisch die vom IT-Administrator festgelegten Einstellungen angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil des Geräteregistrierungsprozesses automatisieren, indem sie DPC-Registrierungsdetails über die Zero-Touch-Registrierung bereitstellen. Der DPC des EMM unterstützt die Einschränkung der Registrierung auf bestimmte Konten oder Domains gemäß den vom EMM angebotenen Konfigurationsoptionen.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mit der Zero-Touch-Registrierung einrichten. Eine Anleitung dazu finden Sie unter Zero-Touch-Registrierung für IT-Administratoren.
1.6.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss er sofort geöffnet und auf dem Display fixiert werden, bis das Gerät vollständig bereitgestellt ist.
- Diese Anforderung gilt nicht für Geräte, die die Registrierungsdetails der Zero-Touch-Registrierung verwenden, um sich automatisch vollständig bereitzustellen (z. B. bei der Bereitstellung von dedizierten Geräten).
1.6.3. Anhand der Registrierungsdetails muss der DPC des EMM dafür sorgen, dass nicht autorisierte Nutzer die Aktivierung nicht fortsetzen können, sobald der DPC aufgerufen wird. Die Aktivierung muss mindestens auf Nutzer eines bestimmten Unternehmens beschränkt sein.
1.6.4. Anhand der Registrierungsdetails muss es möglich sein, dass der DPC des EMM IT‑Administratoren die Registrierungsdetails (z. B. Server‑IDs, Registrierungs‑IDs) mit Ausnahme von eindeutigen Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) vorab ausfüllen lässt, damit Nutzer beim Aktivieren eines Geräts keine Details eingeben müssen.
- EMMs dürfen in der Konfiguration für die Zero-Touch-Registrierung keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.7. Bereitstellung von Arbeitsprofilen für Google-Konten
Für Unternehmen, die eine verwaltete Google-Domain verwenden, führt diese Funktion Nutzer durch die Einrichtung eines Arbeitsprofils, nachdem sie bei der Geräteeinrichtung oder auf einem bereits aktivierten Gerät ihre Workspace-Anmeldedaten eingegeben haben. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.7.1. Bei der Methode zur Bereitstellung von Google-Konten wird ein Arbeitsprofil gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8. Gerätebereitstellung für Google-Konto
Für Unternehmen, die Workspace verwenden, werden Nutzer bei der Installation des DPC ihres EMM-Anbieters unterstützt, nachdem sie bei der Ersteinrichtung des Geräts ihre Workspace-Anmeldedaten eingegeben haben. Nach der Installation schließt der DPC die Einrichtung eines unternehmenseigenen Geräts ab.
1.8.1. Bei der Methode zur Bereitstellung von Google-Konten wird ein unternehmenseigenes Gerät gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8.2. Sofern das EMM das Gerät nicht eindeutig als unternehmenseigenes Asset identifizieren kann, kann es das Gerät während des Bereitstellungsprozesses nicht ohne Aufforderung bereitstellen. Bei dieser Aufforderung muss eine nicht standardmäßige Aktion ausgeführt werden, z. B. ein Kästchen angeklickt oder eine nicht standardmäßige Menüoption ausgewählt werden. Es wird empfohlen, dass der EMM das Gerät als Unternehmensgerät identifizieren kann, damit die Aufforderung nicht erforderlich ist.
1.9. Direkte Zero-Touch-Konfiguration
IT-Administratoren können die Konsole des EMM-Anbieters verwenden, um Zero-Touch-Geräte mit dem Zero-Touch-iFrame einzurichten.
1.10. Arbeitsprofile auf unternehmenseigenen Geräten
EMM-Anbieter können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren.
1.10.1. Leer gelassen.
1.10.2. IT‑Administratoren können Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3. IT‑Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.4. IT‑Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf einem gesamten Gerät deaktivieren.
1.10.5. IT‑Administratoren können eine Sperrliste von Anwendungen festlegen, die nicht im privaten Profil installiert werden dürfen.
1.10.6. IT‑Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
1.11. Bereitstellung zweckbestimmter Geräte
IT-Administratoren können dedizierte Geräte registrieren, ohne dass der Nutzer aufgefordert wird, sich mit einem Google-Konto zu authentifizieren.
2. Gerätesicherheit
2.1. Sicherheitsmaßnahme für Geräte
IT-Administratoren können eine Sicherheitsabfrage für Geräte (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen auf verwalteten Geräten festlegen und erzwingen.
2.1.1. Die Richtlinie muss Einstellungen erzwingen, mit denen Sicherheitsrisiken auf Geräten verwaltet werden (parentProfilePasswordRequirements für Arbeitsprofile, passwordRequirements für vollständig verwaltete und dedizierte Geräte).
2.1.2. Die Komplexität des Passworts muss den folgenden Komplexitätsstufen entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 Zeichen oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6 Zeichen
2.2. Sicherheitsmaßnahme für das Arbeitsprofil
IT‑Administratoren können eine Sicherheitsabfrage für Apps und Daten im Arbeitsprofil festlegen und erzwingen, die sich von der Sicherheitsabfrage für das Gerät (2.1.) unterscheidet und andere Anforderungen hat.
2.2.1. Die Richtlinie muss die Sicherheitsabfrage für das Arbeitsprofil erzwingen. Standardmäßig sollten IT‑Administratoren Beschränkungen nur für das Arbeitsprofil festlegen, wenn kein Bereich angegeben ist. IT‑Administratoren können dies geräteübergreifend festlegen, indem sie den Bereich angeben (siehe Anforderung 2.1).
2.1.2. Die Passwortkomplexität sollte den folgenden Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 Zeichen oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6 Zeichen
2.3. Erweiterte Verwaltung von Sicherheitscodes
2.3.1. Diese Seite ist bewusst leer.
2.3.2. Leer gelassen.
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden Sperrbildschirm festgelegt werden, der auf einem Gerät verfügbar ist:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl falscher Passworteingaben für das Zurücksetzen auf die Werkseinstellungen: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, welche Trust Agents in der Android-Funktion Smart Lock Geräte entsperren dürfen. IT‑Administratoren können bestimmte Entsperrmethoden wie vertrauenswürdige Bluetooth-Geräte, Gesichtserkennung und Spracherkennung deaktivieren oder die Funktion optional vollständig deaktivieren.
2.4.1. IT-Administratoren können Smart Lock-Trust Agents für jeden auf dem Gerät verfügbaren Sperrbildschirm deaktivieren.
2.4.2. IT-Administratoren können Smart Lock-Trust Agents selektiv zulassen und einrichten, unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm, für die folgenden Trust Agents: Bluetooth, NFC, Orte, Gesicht, Am Körper und Stimme.
- IT-Administratoren können die verfügbaren Konfigurationsparameter für Trust-Agents ändern.
2.5 Löschen und sperren
IT-Administratoren können die EMM-Konsole verwenden, um Arbeitsdaten auf einem verwalteten Gerät per Remotefunktion zu sperren und zu löschen.
2.5.1. Der DPC des EMM muss Geräte sperren.
2.5.2. Der DPC des EMM muss Geräte zurücksetzen.
2.6. Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, werden Arbeitsdaten automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens eine Passwortrichtlinie enthalten.
2.7. Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien auf Geräten standardmäßig erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs werden aufgefordert (sind aber nicht dazu verpflichtet), IT-Administratoren nicht zu erlauben, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Der DPC des EMM muss die Installation von Apps aus unbekannten Quellen blockieren, einschließlich Apps, die auf der privaten Seite eines Android-Geräts ab Version 8.0 mit Arbeitsprofil installiert sind.
2.7.2. Der DPC des EMM muss Debugging-Funktionen blockieren.
2.8. Sicherheitsrichtlinien für zweckbestimmte Geräte
Zweckbestimmte Geräte sind gesperrt und lassen keine anderen Aktionen zu.
2.8.1. Der DPC des EMM muss das Starten im abgesicherten Modus standardmäßig deaktivieren.
2.8.2. Der DPC des EMM muss beim ersten Start während der Bereitstellung sofort geöffnet und auf dem Bildschirm gesperrt werden, damit keine Interaktion mit dem Gerät auf andere Weise erfolgt.
2.8.3. Der DPC des EMM muss als Standard-Launcher festgelegt werden, damit zugelassene Apps beim Starten gemäß den definierten Implementierungsrichtlinien auf dem Bildschirm gesperrt werden.
2.9. Play Integrity-Support
Das EMM verwendet die Play Integrity API, um sicherzustellen, dass es sich bei den Geräten um gültige Android-Geräte handelt.
2.9.1. Der DPC des EMM-Anbieters implementiert die Play Integrity API während der Bereitstellung. Standardmäßig wird die Bereitstellung des Geräts mit Unternehmensdaten nur abgeschlossen, wenn die zurückgegebene Geräteintegrität MEETS_STRONG_INTEGRITY ist.
2.9.2. Der DPC des EMM führt jedes Mal eine weitere Play Integrity-Prüfung durch, wenn ein Gerät beim Server des EMM eincheckt. Dies kann vom IT-Administrator konfiguriert werden. Der EMM-Server überprüft die APK-Informationen in der Antwort auf die Integritätsprüfung und die Antwort selbst, bevor die Unternehmensrichtlinie auf dem Gerät aktualisiert wird.
2.9.3. IT-Administratoren können je nach Ergebnis der Play Integrity-Prüfung verschiedene Richtlinienreaktionen einrichten, z. B. das Blockieren der Bereitstellung, das Löschen von Unternehmensdaten und das Zulassen der Registrierung.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Wenn die erste Play Integrity-Prüfung fehlschlägt oder ein Ergebnis zurückgibt, das nicht den Anforderungen für eine starke Integrität entspricht, muss der DPC des EMM ensureWorkingEnvironment aufrufen und die Prüfung wiederholen, bevor die Bereitstellung abgeschlossen ist, sofern dies noch nicht geschehen ist.
2.10. Funktion „Apps überprüfen“ erzwingen
IT‑Administratoren können Apps überprüfen auf Geräten aktivieren. „Apps überprüfen“ scannt Apps, die auf Android-Geräten installiert sind, vor und nach der Installation auf schädliche Software. So wird sichergestellt, dass schädliche Apps keine Unternehmensdaten gefährden können.
2.10.1. Der DPC des EMM muss die App-Überprüfung standardmäßig aktivieren.
2.11. Unterstützung für Direct Boot
Apps können auf Geräten mit Android 7.0 oder höher, die gerade eingeschaltet wurden, erst ausgeführt werden, wenn das Gerät entsperrt wurde. Die Unterstützung von Direct Boot sorgt dafür, dass der DPC des EMM immer aktiv ist und Richtlinien durchsetzen kann, auch wenn das Gerät nicht entsperrt wurde.
2.11.1. Der DPC des EMM nutzt den geräteverschlüsselten Speicher, um wichtige Verwaltungsfunktionen auszuführen, bevor der anmeldedatenverschlüsselte Speicher des DPC entschlüsselt wurde. Zu den Verwaltungsfunktionen, die während des direkten Starts verfügbar sind, gehören unter anderem:
- Löschen von Unternehmensdaten, einschließlich der Möglichkeit, bei Bedarf Daten zum Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu löschen.
2.11.2. Der DPC des EMM darf keine Unternehmensdaten im verschlüsselten Gerätespeicher offenlegen.
2.11.3. EMMs können ein Token festlegen und aktivieren, um auf dem Sperrbildschirm des Arbeitsprofils die Schaltfläche Passwort vergessen zu aktivieren. Mit dieser Schaltfläche können Sie den IT-Administratoren eine sichere Anfrage zum Zurücksetzen des Passworts für das Arbeitsprofil senden.
2.12. Verwaltung der Hardwaresicherheit
IT‑Administratoren können Hardwarekomponenten eines unternehmenseigenen Geräts sperren, um Datenverlust zu verhindern.
2.12.1. IT-Administratoren können verhindern, dass Nutzer physische externe Medien auf ihrem Gerät einbinden.
2.12.2. IT‑Administratoren können verhindern, dass Nutzer Daten von ihrem Gerät über NFC-Beam freigeben. Diese Unterfunktion ist optional, da die NFC-Beam-Funktion in Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT‑Administratoren können verhindern, dass Nutzer Dateien über USB von ihrem Gerät übertragen.
2.13. Sicherheits-Logging für Unternehmen
IT-Administratoren können Nutzungsdaten von Geräten erfassen, die geparst und programmatisch auf schädliches oder riskantes Verhalten untersucht werden können. Zu den protokollierten Aktivitäten gehören Android Debug Bridge-Aktivitäten (adb), App-Öffnungen und Display-Entsperrungen.
2.13.1. IT‑Administratoren können Sicherheitsprotokollierung für bestimmte Geräte aktivieren. Der DPC des EMM muss sowohl Sicherheitsprotokolle als auch Sicherheitsprotokolle vor dem Neustart automatisch abrufen können.
2.13.2. IT-Administratoren können sich in der EMM-Konsole Sicherheitslogs für Unternehmen für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum ansehen.
2.13.3. IT-Administratoren können Unternehmenssicherheitslogs aus der EMM-Konsole exportieren.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können das EMM an ihre Organisation binden, sodass das EMM Managed Google Play verwenden kann, um Apps auf Geräten bereitzustellen.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an das EMM binden.
3.1.2. In der EMM-Konsole muss für jedes Unternehmen eine eindeutige ESA im Hintergrund bereitgestellt und eingerichtet werden.
3.1.3. Registrierung eines Unternehmens mit der Play EMM API aufheben
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse im Android-Registrierungsablauf einzugeben, und davon abgeraten, ein Gmail-Konto zu verwenden.
3.1.5. Der EMM-Anbieter füllt die E‑Mail-Adresse des Administrators im Android-Registrierungsablauf automatisch aus.
3.2 Bereitstellung von Managed Google Play-Konten
Der EMM-Anbieter kann Nutzerkonten für Unternehmen, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Mit diesen Konten werden verwaltete Nutzer identifiziert und es sind eindeutige App-Bereitstellungsregeln pro Nutzer möglich.
3.2.1. Das DPC des EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien im Hintergrund bereitstellen und aktivieren. Dabei gilt:
- Dem Gerät wird ein verwaltetes Google Play-Konto vom Typ
userAccounthinzugefügt. - Das Managed Google Play-Konto vom Typ
userAccountmuss in der EMM-Konsole einer tatsächlichen Person zugeordnet sein.
3.3 Bereitstellung von Geräte-Konten für Managed Google Play
Der EMM-Anbieter kann Gerätekonten für Managed Google Play erstellen und bereitstellen. Gerätekonten unterstützen die automatische Installation von Apps aus dem Managed Google Play Store und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, um ein einzelnes Gerät zu identifizieren und so Regeln für die App-Verteilung pro Gerät in Szenarien mit zweckgebundenen Geräten zu unterstützen.
3.3.1. Das DPC des EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien im Hintergrund bereitstellen und aktivieren.
Dazu muss dem Gerät ein verwaltetes Google Play-Konto vom Typ deviceAccount hinzugefügt werden.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Der EMM kann Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Mit diesen Konten werden verwaltete Nutzer identifiziert und es können eindeutige App-Bereitstellungsregeln pro Nutzer festgelegt werden.
3.4.1. Der DPC des EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien im Hintergrund bereitstellen und aktivieren. Dabei gilt:
- Dem Gerät wird ein verwaltetes Google Play-Konto vom Typ
userAccounthinzugefügt. - Das Managed Google Play-Konto vom Typ
userAccountmuss in der EMM-Konsole einer tatsächlichen Person zugeordnet sein.
3.5 Automatische App-Bereitstellung
IT-Administratoren können Arbeits-Apps automatisch auf den Geräten der Nutzer bereitstellen, ohne dass die Nutzer etwas tun müssen.
3.5.1. In der EMM-Konsole muss die Play EMM API verwendet werden, damit IT-Administratoren Arbeits-Apps auf verwalteten Geräten installieren können.
3.5.2. In der EMM-Konsole muss die Play EMM API verwendet werden, damit IT-Administratoren Arbeits-Apps auf verwalteten Geräten aktualisieren können.
3.5.3. In der EMM-Konsole muss die Play EMM API verwendet werden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltung der verwalteten Konfiguration
IT‑Administratoren können verwaltete Konfigurationen für jede App, die verwaltete Konfigurationen unterstützt, ansehen und im Hintergrund festlegen.
3.6.1. In der EMM-Konsole müssen die Einstellungen für die verwaltete Konfiguration jeder Play-App abgerufen und angezeigt werden können.
- EMM-Anbieter können
Products.getAppRestrictionsSchemaaufrufen, um das Schema für verwaltete Konfigurationen einer App abzurufen, oder den Frame für verwaltete Konfigurationen in ihre EMM-Konsole einbetten.
3.6.2. In der EMM-Konsole müssen IT-Administratoren mithilfe der Play EMM API jeden Konfigurationstyp (wie im Android-Framework definiert) für jede Play-App festlegen können.
3.6.3. In der EMM-Konsole müssen IT-Administratoren Platzhalter wie $username$ oder %emailAddress% festlegen können, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann. Das iFrame für verwaltete Konfigurationen unterstützt diese Anforderung automatisch.
3.7 App-Katalogverwaltung
IT-Administratoren können eine Liste der für ihr Unternehmen genehmigten Apps aus dem Managed Play Store (play.google.com/work) importieren.
3.7.1. In der EMM‑Konsole kann eine Liste der Apps angezeigt werden, die für die Verteilung genehmigt wurden, darunter:
- Im Managed Google Play Store gekaufte Apps
- Private Apps, die für IT-Administratoren sichtbar sind
- Programmatisch genehmigte Apps
3.8. Programmatische App-Genehmigung
In der EMM-Konsole wird der iFrame von Managed Google Play verwendet, um die Funktionen von Google Play zum Auffinden und Genehmigen von Apps zu unterstützen. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT‑Administratoren können in der EMM‑Konsole mithilfe des iFrame für den Managed Play Store nach Apps suchen und diese genehmigen.
3.9. Einfache Verwaltung des Ladenlayouts
Die Managed Play Store App kann auf Geräten verwendet werden, um Arbeits-Apps zu installieren und zu aktualisieren. Das einfache Store-Layout wird standardmäßig angezeigt und enthält eine Liste der für das Unternehmen genehmigten Apps, die EMMs nutzerbezogen nach Richtlinie filtern.
3.9.1. IT-Administratoren können [die verfügbaren Produktgruppen von Nutzern verwalten]/android/work/play/emm-api/samples#grant_a_user_access_to_apps), um das Ansehen und Installieren von Apps aus dem Managed Google Play Store im Bereich „Startseite des Stores“ zu ermöglichen.
3.10. Erweiterte Konfiguration des Store-Layouts
IT-Administratoren können das Store-Layout anpassen, das in der Managed Play Store App auf Geräten angezeigt wird.
3.10.1. IT‑Administratoren können in der EMM‑Konsole die folgenden Aktionen ausführen, um das Layout des Managed Play Store anzupassen:
- Sie können bis zu 100 Seiten mit Store-Layouts erstellen. Seiten können beliebig viele lokalisierte Seitennamen haben.
- Sie können bis zu 30 Cluster pro Seite erstellen. Clustern kann eine beliebige Anzahl lokalisierter Clusternamen zugewiesen werden.
- Sie können jedem Cluster bis zu 100 Apps zuweisen.
- Sie können jeder Seite bis zu 10 Schnelllinks hinzufügen.
- Geben Sie die Sortierreihenfolge von Apps in einem Cluster und von Clustern auf einer Seite an.
3.11. App-Lizenzverwaltung
IT-Administratoren können in der EMM-Konsole App-Lizenzen, die im Managed Play Store gekauft wurden, ansehen und verwalten.
3.11.1. Für kostenpflichtige Apps, die für ein Unternehmen genehmigt wurden, muss in der EMM-Konsole Folgendes angezeigt werden:
- Die Anzahl der gekauften Lizenzen.
- Die Anzahl der verwendeten Lizenzen und die Nutzer, die die Lizenzen verwenden.
- Die Anzahl der für die Verteilung verfügbaren Lizenzen.
3.11.2. IT-Administratoren können Nutzerlizenzen automatisch zuweisen, ohne dass die App auf den Geräten der Nutzer installiert werden muss.
3.11.3. IT-Administratoren können App-Lizenzen von Nutzern entfernen.
3.12. Verwaltung von von Google gehosteten privaten Apps
IT‑Administratoren können von Google gehostete interne Apps über die EMM‑Konsole anstatt über die Google Play Console aktualisieren.
3.12.1. IT‑Administratoren können neue Versionen von Apps, die bereits privat für das Unternehmen veröffentlicht wurden, mit folgenden Methoden hochladen:
3.13 Selbst gehostete private Apps verwalten
IT‑Administratoren können selbst gehostete interne Apps einrichten und veröffentlichen. Im Gegensatz zu privaten Apps, die von Google gehostet werden, werden die APKs nicht auf Google Play gehostet. Stattdessen hilft das EMM IT-Administratoren, APKs selbst zu hosten, und schützt selbst gehostete Apps, indem es überprüft, ob sie nur installiert werden können, wenn Managed Google Play dies zulässt.
Weitere Informationen finden Sie im Hilfeartikel Private Apps unterstützen.
3.13.1. In der Konsole des EMM-Anbieters muss IT-Administratoren die Möglichkeit geboten werden, das App-APK zu hosten. Dazu müssen die folgenden Optionen verfügbar sein:
- Das APK wird auf dem Server des EMM gehostet. Der Server kann lokal oder cloudbasiert sein.
- Das APK wird außerhalb des Servers des EMM gehostet. Das liegt im Ermessen des IT-Administrators. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. In der Konsole des EMM muss eine entsprechende APK-Definitionsdatei mit dem bereitgestellten APK generiert werden. Außerdem müssen IT-Administratoren durch den Veröffentlichungsprozess geführt werden.
3.13.3. IT-Administratoren können selbst gehostete interne Apps aktualisieren und die EMM-Konsole kann aktualisierte APK-Definitionsdateien mit der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der Server des EMM verarbeitet nur Downloadanfragen für das selbst gehostete APK, die ein gültiges JWT im Cookie der Anfrage enthalten, das mit dem öffentlichen Schlüssel der privaten App überprüft wurde.
- Um diesen Prozess zu vereinfachen, muss der Server des EMM-Anbieters IT-Administratoren anleiten, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3.14. EMM-Pull-Benachrichtigungen
Anstatt Play regelmäßig abzufragen, um vergangene Ereignisse wie ein App-Update mit neuen Berechtigungen oder verwalteten Konfigurationen zu ermitteln, werden EMMs durch Pull-Benachrichtigungen proaktiv und in Echtzeit über solche Ereignisse informiert. So können EMMs automatisierte Aktionen ausführen und benutzerdefinierte administrative Benachrichtigungen basierend auf diesen Ereignissen bereitstellen.
3.14.1. Der EMM-Anbieter muss die EMM-Benachrichtigungen von Google Play verwenden, um Benachrichtigungssätze abzurufen.
3.14.2. Der EMM muss einen IT-Administrator automatisch über die folgenden Benachrichtigungsereignisse informieren (z. B. per automatisierter E-Mail):
newPermissionEvent: Ein IT-Administrator muss neue App-Berechtigungen genehmigen, bevor die App auf den Geräten der Nutzer im Hintergrund installiert oder aktualisiert werden kann.appRestrictionsSchemaChangeEvent: Möglicherweise muss der IT-Administrator die verwaltete Konfiguration einer App aktualisieren, um die beabsichtigte Effizienz aufrechtzuerhalten.appUpdateEvent: Für IT-Administratoren, die prüfen möchten, ob die Leistung wichtiger Workflows durch das App-Update beeinträchtigt wird.productAvailabilityChangeEvent: Kann sich auf die Möglichkeit auswirken, die App zu installieren oder App-Updates zu erhalten.installFailureEvent: Play kann eine App nicht im Hintergrund auf einem Gerät installieren. Das deutet darauf hin, dass die Gerätekonfiguration die Installation verhindert. EMMs sollten nach Erhalt dieser Benachrichtigung nicht sofort versuchen, eine stille Installation noch einmal durchzuführen, da die eigene Wiederholungslogik von Google Play bereits fehlgeschlagen ist.
3.14.3. EMM ergreift automatisch geeignete Maßnahmen basierend auf den folgenden Benachrichtigungsereignissen:
newDeviceEvent: Während der Gerätebereitstellung müssen EMMs aufnewDeviceEventwarten, bevor sie nachfolgende Play EMM API-Aufrufe für das neue Gerät ausführen, einschließlich der automatischen App-Installation und der Festlegung verwalteter Konfigurationen.productApprovalEvent: Beim Empfang einerproductApprovalEvent-Benachrichtigung muss das EMM-System die Liste der genehmigten Apps, die in die EMM-Konsole importiert wurden, automatisch aktualisieren, wenn eine aktive IT-Administratorsitzung vorhanden ist oder wenn die Liste der genehmigten Apps nicht automatisch zu Beginn jeder IT-Administratorsitzung neu geladen wird.
3.15. Anforderungen für die API-Nutzung
Das EMM implementiert die APIs von Google im großen Maßstab und vermeidet Traffic-Muster, die die Fähigkeit von IT-Administratoren, Apps in Produktionsumgebungen zu verwalten, beeinträchtigen könnten.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Play EMM API einhalten. Wenn Sie das Verhalten, das gegen diese Richtlinien verstößt, nicht korrigieren, kann dies nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt ihn zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Verhalten, das diesem Traffic-Muster entspricht, z. B. geplante Batchvorgänge für jedes registrierte Gerät, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.15.3. Der EMM sollte keine konsistenten, unvollständigen oder bewusst falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Verhalten, das diesem Traffic-Muster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16. Erweiterte Verwaltung verwalteter Konfigurationen
3.16.1. In der EMM-Konsole müssen die Einstellungen für die verwaltete Konfiguration (bis zu vier Ebenen) jeder Play-App abgerufen und angezeigt werden können. Dazu sind folgende Methoden erforderlich:
- Das iFrame von Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die EMM-Konsole muss in der Lage sein, jegliches Feedback abzurufen und anzuzeigen, das von einem Feedback-Channel einer App zurückgegeben wird, wenn dieser von einem IT-Administrator eingerichtet wurde.
- In der EMM-Konsole müssen IT-Administratoren ein bestimmtes Feedbackelement dem Gerät und der App zuordnen können, von dem bzw. der es stammt.
- In der EMM-Konsole müssen IT-Administratoren Benachrichtigungen oder Berichte zu bestimmten Nachrichtentypen (z. B. Fehlermeldungen) abonnieren können.
3.16.3. In der EMM-Konsole dürfen nur Werte gesendet werden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt werden. Dazu sind folgende Methoden zu verwenden:
- iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte Benutzeroberfläche.
3.17. Verwaltung von Web-Apps
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und bereitstellen.
3.17.1. IT-Administratoren können über die EMM-Konsole Verknüpfungen zu Web-Apps verteilen. Dazu haben sie folgende Möglichkeiten:
- iFrame von Managed Google Play oder
- die Play EMM API.
3.18. Lebenszyklusverwaltung von verwalteten Google Play-Konten
Der EMM-Dienst kann im Namen von IT-Administratoren Managed Google Play-Konten erstellen, aktualisieren und löschen.
3.18.1. EMMs können den Lebenszyklus eines verwalteten Google Play-Kontos gemäß den in der Entwicklerdokumentation zur Play EMM API definierten Implementierungsrichtlinien verwalten.
3.18.2. EMMs können Managed Google Play-Konten ohne Nutzerinteraktion neu authentifizieren.
3.19. Verwaltung von App-Tracks
3.19.1. IT‑Administratoren können eine Liste der von einem Entwickler für eine bestimmte App festgelegten Track-IDs abrufen.
3.19.2. IT‑Administratoren können Geräte so einstellen, dass für eine Anwendung ein bestimmter Entwicklungs-Track verwendet wird.
3.20. Erweiterte Verwaltung von Anwendungsupdates
3.20.1. IT-Administratoren können Apps erlauben, App-Updates mit hoher Priorität zu verwenden, damit sie aktualisiert werden, sobald ein Update verfügbar ist.
3.20.2. IT-Administratoren können zulassen, dass App-Updates für 90 Tage aufgeschoben werden.
3.21. Bereitstellungsmethoden verwalten
Der EMM-Anbieter kann Bereitstellungskonfigurationen generieren und dem IT-Administrator in einem Format präsentieren, das für die Verteilung an Endnutzer geeignet ist, z. B. als QR-Code, Zero-Touch-Konfiguration oder Play Store-URL.
3.22. Enterprise-Bindung aktualisieren
IT-Administratoren können den Bindungstyp für Unternehmen auf eine verwaltete Google-Domain umstellen, damit die Organisation auf registrierten Geräten auf Google-Kontodienste und -Funktionen zugreifen kann.
3.22.1. Über die EMM-Konsole kann der IT-Administrator das Upgrade einer vorhandenen Kontogruppe für Managed Google Play auf eine Kontogruppe für eine verwaltete Google-Domain mithilfe der erforderlichen APIs auslösen.
3.22.2. EMMs sollten Pub/Sub verwenden, um Benachrichtigungen zu von IT‑Administratoren initiierten Upgradeereignissen zu erhalten (auch zu solchen, die außerhalb der EMM‑Konsole stattfinden), und ihre Benutzeroberfläche entsprechend aktualisieren.
3.23. Bereitstellung verwalteter Google-Konten
Der EMM kann ein Gerät mit Unternehmensnutzerkonten, sogenannten verwalteten Google-Konten, bereitstellen. Mit diesen Konten werden verwaltete Nutzer identifiziert und es werden Regeln für die App-Verteilung sowie der Zugriff auf Google-Dienste ermöglicht. IT-Administratoren können außerdem eine Richtlinie festlegen, die die Authentifizierung mit einem verwalteten Google-Konto während oder nach der Registrierung erzwingt.
3.23.1. Das DPC des EMM kann ein verwaltetes Google-Konto gemäß den definierten Implementierungsrichtlinien bereitstellen.
Dabei gilt:
- Dem Gerät wird ein verwaltetes Google-Konto hinzugefügt.
- Das verwaltete Google-Konto muss in der EMM-Konsole 1:1 tatsächlichen Nutzern zugeordnet sein.
3.23.2. Der IT-Administrator kann mit der Richtlinie Nutzern die Möglichkeit geben, sich zur Registrierung in einem verwalteten Google-Konto anzumelden.
3.23.3. Der IT-Administrator kann mit der Richtlinie festlegen, ob der Nutzer sich zur Registrierung in einem verwalteten Google-Konto anmelden muss.
3.23.4. IT‑Administratoren können den Upgradevorgang optional auf eine bestimmte Konto‑ID (E‑Mail-Adresse) für ein bestimmtes Gerät beschränken.
3.24. Upgrade für verwaltetes Google Play-Konto
IT-Administratoren können den Nutzerkontotyp auf ein verwaltetes Google-Konto hochstufen, damit das Gerät auf registrierten Geräten auf Google-Kontodienste und ‑funktionen zugreifen kann.
3.24.1. IT-Administratoren können ein vorhandenes Managed Google Play-Konto auf einem Gerät auf ein verwaltetes Google-Konto upgraden.
3.24.2. IT‑Administratoren können den Upgradevorgang optional auf eine bestimmte Konto‑ID (E‑Mail-Adresse) für ein bestimmtes Gerät beschränken.
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können eine Standardantwort auf Anfragen von Arbeits-Apps zu Laufzeitberechtigungen festlegen, ohne dass der Nutzer davon benachrichtigt wird.
4.1.1. IT-Administratoren müssen bei der Festlegung einer Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation aus den folgenden Optionen auswählen können:
- Aufforderung (Nutzer können auswählen)
- allow
- deny
Das EMM sollte diese Einstellungen mit dem DPC des EMM erzwingen.
4.2. Verwaltung des Status der Erteilung von Laufzeitberechtigungen
Nachdem Sie eine standardmäßige Richtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1), IT‑Administratoren können Antworten für bestimmte Berechtigungen für jede Arbeits-App, die auf API 23 oder höher basiert, im Hintergrund festlegen.
4.2.1. IT‑Administratoren müssen den Status der Erteilung (Standard, Erteilen oder Ablehnen) für jede Berechtigung festlegen können, die von einer beliebigen Arbeits-App angefordert wird, die auf API 23 oder höher basiert. Der EMM sollte diese Einstellungen mit dem DPC des EMM erzwingen.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen, darunter:
4.3.1. SSID über den DPC des EMM.
4.3.2. Passwort über den DPC des EMM.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können auf verwalteten Geräten WLAN-Konfigurationen für Unternehmen bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen enthalten:
4.4.1. Identität mit dem DPC des EMM.
4.4.2. Zertifikat für die Autorisierung von Clients über den DPC des EMM.
4.4.3. CA-Zertifikate über den DPC des EMM.
4.5. Erweiterte WLAN-Verwaltung
IT‑Administratoren können WLAN‑Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT‑Administratoren können Unternehmens-WLAN-Konfigurationen in einer der folgenden Konfigurationen sperren:
- Nutzer können keine vom EMM bereitgestellten WLAN-Konfigurationen ändern, aber eigene vom Nutzer konfigurierbare Netzwerke (z. B. private Netzwerke) hinzufügen und ändern.
- Nutzer können kein WLAN auf dem Gerät hinzufügen oder ändern. Die WLAN-Verbindung ist also auf die vom EMM bereitgestellten Netzwerke beschränkt.
4.6. Kontoverwaltung
IT-Administratoren können überprüfen, ob unautorisierte Unternehmenskonten nicht mit Unternehmensdaten interagieren können, z. B. in SaaS-Speicher- und Produktivitäts-Apps oder in E-Mails. Ohne diese Funktion können private Konten den Unternehmens-Apps hinzugefügt werden, die auch Privatnutzerkonten unterstützen. So können Unternehmensdaten für diese privaten Konten freigegeben werden.
4.6.1. IT‑Administratoren können verhindern, dass Konten hinzugefügt oder geändert werden.
- Wenn EMMs diese Richtlinie auf einem Gerät erzwingen, müssen sie diese Einschränkung festlegen, bevor die Bereitstellung abgeschlossen ist. So wird verhindert, dass Sie diese Richtlinie umgehen, indem Sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Kontoverwaltung
Diese Funktion ist veraltet. Informationen zu den Anforderungen an den Ersatz finden Sie unter 3.23.
4.8. Zertifikatsverwaltung
Ermöglicht IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um den Zugriff auf Unternehmensressourcen zu ermöglichen.
4.8.1. IT‑Administratoren können von ihrer PKI generierte Zertifikate für Nutzeridentitäten für jeden Nutzer einzeln installieren. Die EMM-Konsole muss in mindestens eine PKI eingebunden sein und Zertifikate verteilen, die aus dieser Infrastruktur generiert wurden.
4.8.2. IT‑Administratoren können Zertifizierungsstellen im verwalteten Schlüsselspeicher installieren.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht IT‑Administratoren, die Zertifikate, die bestimmte verwaltete Apps verwenden sollen, im Hintergrund auszuwählen. Außerdem können IT-Administratoren mit dieser Funktion CAs und Identitätszertifikate von aktiven Geräten entfernen. Diese Funktion verhindert, dass Nutzer Anmeldedaten ändern, die im verwalteten Keystore gespeichert sind.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT‑Administratoren ein Zertifikat angeben, auf das die App während der Laufzeit stillschweigend Zugriff erhält.
- Die Zertifikatauswahl muss so allgemein gehalten sein, dass eine einzelne Konfiguration für alle Nutzer möglich ist, die jeweils ein nutzerspezifisches Identitätszertifikat haben können.
4.9.2. IT‑Administratoren können Zertifikate im Hintergrund aus dem verwalteten Keystore entfernen.
4.9.3. IT-Administratoren können CA-Zertifikate oder alle Nicht-System-CA-Zertifikate im Hintergrund deinstallieren.
4.9.4. IT‑Administratoren können verhindern, dass Nutzer Anmeldedaten im verwalteten Keystore konfigurieren.
4.9.5. IT‑Administratoren können Zertifikate für Arbeits-Apps vorab erteilen.
4.10. Delegierte Zertifikatsverwaltung
IT‑Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung auf Geräten bereitstellen und dieser App privilegierten Zugriff zur Installation von Zertifikaten im verwalteten Schlüsselspeicher gewähren.
4.10.1. IT‑Administratoren geben ein Zertifikatsverwaltungspaket an, das vom DPC als delegierte Zertifikatsverwaltungs-App festgelegt werden soll.
- Die Konsole kann optional bekannte Pakete für die Zertifikatsverwaltung vorschlagen, muss dem IT‑Administrator aber erlauben, aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein Always On-VPN festlegen, um zu prüfen, ob die Daten von bestimmten verwalteten Apps immer über ein eingerichtetes VPN übertragen werden.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket als Always On-VPN festlegen.
- In der Konsole des EMM können optional bekannte VPN-Pakete vorgeschlagen werden, die „Durchgehend aktives VPN“ unterstützen. Die für die Konfiguration von „Durchgehend aktives VPN“ verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT‑Administratoren können verwaltete Konfigurationen verwenden, um die VPN‑Einstellungen für eine App festzulegen.
4.12. IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (Input Method Editors, IMEs) für Geräte eingerichtet werden können. Da die IME sowohl für Arbeits- als auch für private Profile freigegeben ist, wird durch das Blockieren der Verwendung von IMEs auch die private Nutzung dieser IMEs verhindert. IT-Administratoren dürfen jedoch keine System-IMEs in Arbeitsprofilen blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten (einschließlich einer leeren Liste, die Nicht-System-IMEs blockiert), die beliebige IME-Pakete enthalten kann.
- In der Konsole des EMM können optional bekannte oder empfohlene IMEs vorgeschlagen werden, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
4.12.2. Der EMM muss IT-Administratoren darüber informieren, dass System-IMEs auf Geräten mit Arbeitsprofilen nicht verwaltet werden können.
4.13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (Input Method Editors, IMEs) für Geräte eingerichtet werden können. Die erweiterte IME-Verwaltung erweitert die grundlegende Funktion, indem sie IT-Administratoren die Verwaltung der Verwendung von System-IMEs ermöglicht, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten. Eine leere Liste ist jedoch nicht zulässig, da sie alle IMEs, einschließlich System-IMEs, blockiert. Die Liste kann beliebige IME-Pakete enthalten.
- In der Konsole des EMM können optional bekannte oder empfohlene IMEs vorgeschlagen werden, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer zur Installation verfügbar sind.
4.13.2. EMMs müssen verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da diese Einstellung die Einrichtung aller IME-Apps, einschließlich der System-IME-Apps, auf dem Gerät blockiert.
4.13.3. EMMs müssen prüfen, ob die Zulassungsliste für IME keine System-IMEs enthält. In diesem Fall müssen die Drittanbieter-IMEs vor der Anwendung der Zulassungsliste auf dem Gerät im Hintergrund installiert werden.
4.14. Verwaltung von Bedienungshilfen
IT-Administratoren können verwalten, welche Bedienungshilfen auf den Geräten der Nutzer zulässig sind. Dienste für Barrierefreiheit sind zwar leistungsstarke Tools für Nutzer mit Behinderungen oder für Nutzer, die vorübergehend nicht in der Lage sind, vollständig mit ihrem Gerät zu interagieren, sie können aber auf Unternehmensdaten in einer Weise zugreifen, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle Bedienungshilfen deaktivieren, die nicht zum System gehören.
4.14.1. IT-Administratoren können eine Zulassungsliste für Barrierefreiheitsdienste beliebiger Länge einrichten (einschließlich einer leeren Liste, die Nicht-System-Barrierefreiheitsdienste blockiert), die ein beliebiges Barrierefreiheitsdienstpaket enthalten kann. Wenn diese Einstellung auf ein Arbeitsprofil angewendet wird, wirkt sie sich sowohl auf das private als auch auf das Arbeitsprofil aus.
- Die Konsole kann optional bekannte oder empfohlene Barrierefreiheitsdienste vorschlagen, die in die Zulassungsliste aufgenommen werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.15. Standortfreigabe verwalten
IT‑Administratoren können verhindern, dass Nutzer Standortdaten für Apps im Arbeitsprofil freigeben. Andernfalls kann die Standorteinstellung für Arbeitsprofile in den Einstellungen konfiguriert werden.
4.15.1. IT‑Administratoren können die Standortdienste im Arbeitsprofil deaktivieren.
4.16. Erweiterte Verwaltung der Standortfreigabe
IT‑Administratoren können eine bestimmte Einstellung für die Standortfreigabe auf einem verwalteten Gerät erzwingen. Mit dieser Funktion kann sichergestellt werden, dass Unternehmens-Apps immer auf hochgenaue Standortdaten zugreifen können. Diese Funktion kann auch dafür sorgen, dass nicht unnötig Akku verbraucht wird, indem die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts für jeden der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber ohne vom Netzwerk bereitgestellten Standort.
- Akkusparmodus, der die Aktualisierungshäufigkeit begrenzt.
- Deaktiviert.
4.17. Schutz für zurückgesetzte Geräte verwalten
IT‑Administratoren können unternehmenseigene Geräte vor Diebstahl schützen, indem sie dafür sorgen, dass nicht autorisierte Nutzer Geräte nicht auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz für zurückgesetzte Geräte zu betrieblichen Komplikationen führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz für zurückgesetzte Geräte auch vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer ihr Gerät über die Einstellungen auf die Werkseinstellungen zurücksetzen.
4.17.2. IT‑Administratoren können Unternehmenskonten zum Entsperren angeben, die berechtigt sind, Geräte nach dem Zurücksetzen auf die Werkseinstellungen bereitzustellen.
- Dieses Konto kann mit einer Einzelperson verknüpft oder von der gesamten Organisation zum Entsperren von Geräten verwendet werden.
4.17.3. IT‑Administratoren können den Schutz für zurückgesetzte Geräte für bestimmte Geräte deaktivieren.
4.17.4. IT‑Administratoren können das Löschen von Daten auf einem Gerät per Remote-Zugriff starten. Dabei werden optional Daten zum Schutz für zurückgesetzte Geräte gelöscht, wodurch der Schutz für zurückgesetzte Geräte auf dem zurückgesetzten Gerät entfernt wird.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern, z. B. das Schließen der App erzwingen oder den Datencache einer App leeren.
4.18.1. IT‑Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren.
4.18.2. IT‑Administratoren können verhindern, dass Nutzer Anwendungsdaten über die Einstellungen ändern.
4.19. Screenshots verwalten
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Diese Einstellung umfasst das Blockieren von Apps zur Bildschirmfreigabe und ähnlichen Apps (z. B. Google Assistant), die die Systemfunktionen für Screenshots verwenden.
4.19.1. IT‑Administratoren können verhindern, dass Nutzer Screenshots aufnehmen.
4.20. Kameras deaktivieren
IT‑Administratoren können die Verwendung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT‑Administratoren können die Verwendung von Gerätekameras durch verwaltete Apps deaktivieren.
4.21. Erfassung von Netzwerkstatistiken
IT‑Administratoren können Statistiken zur Netzwerknutzung aus dem Arbeitsprofil eines Geräts abrufen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die Nutzern im Abschnitt Datennutzung der Einstellungen angezeigt werden. Die erhobenen Statistiken beziehen sich auf die Nutzung von Apps im Arbeitsprofil.
4.21.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein Arbeitsprofil abfragen, für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum, und diese Details in der EMM-Konsole ansehen.
4.21.2. IT-Administratoren können eine Zusammenfassung der Statistiken zur Netzwerknutzung einer App im Arbeitsprofil für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum abfragen und diese Details nach UID organisiert in der EMM-Konsole ansehen.
4.21.3. IT-Administratoren können Verlaufsdaten zur Netzwerknutzung eines Arbeitsprofils abfragen. Dies ist für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum möglich. Die Details werden nach UID in der EMM-Konsole organisiert.
4.22. Erfassung erweiterter Netzwerkstatistiken
IT‑Administratoren können Statistiken zur Netzwerknutzung für ein vollständig verwaltetes Gerät abfragen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die Nutzern im Abschnitt Datennutzung der Einstellungen angezeigt werden. Die erhobenen Statistiken beziehen sich auf die Nutzung von Apps auf dem Gerät.
4.22.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein gesamtes Gerät für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum abfragen und sich diese Details in der EMM-Konsole ansehen.
4.22.2. IT-Administratoren können eine Zusammenfassung der Statistiken zur App-Netzwerknutzung für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum abfragen und diese Details nach UID organisiert in der EMM-Konsole ansehen.
4.22.3. IT-Administratoren können Verlaufsdaten zur Netzwerknutzung für ein bestimmtes Gerät und einen konfigurierbaren Zeitraum abfragen und diese Details nach UID in der EMM-Konsole aufrufen.
4.23. Gerät neu starten
IT‑Administratoren können verwaltete Geräte per Remote-Zugriff neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Remote-Zugriff neu starten.
4.24. Systemfunkverwaltung
Ermöglicht IT-Administratoren die detaillierte Verwaltung von Systemnetzwerkfunkgeräten und zugehörigen Nutzungsrichtlinien.
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Cell Broadcasts deaktivieren, z. B. AMBER Alerts.
4.24.2. IT-Administratoren können verhindern, dass Nutzer Mobilfunknetz-Einstellungen in den Einstellungen ändern.
4.24.3. IT-Administratoren können verhindern, dass Nutzer die Netzwerkeinstellungen in den Einstellungen zurücksetzen.
4.24.4. IT‑Administratoren können mobile Daten beim Roaming zulassen oder nicht zulassen.
4.24.5. IT-Administratoren können festlegen, ob mit dem Gerät ausgehende Anrufe getätigt werden können. Notrufe sind davon ausgenommen.
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen kann.
4.24.7. IT‑Administratoren können verhindern, dass Nutzer ihr Gerät als tragbaren Hotspot verwenden.
4.24.8. IT‑Administratoren können das WLAN-Zeitlimit auf Standard, nur bei angeschlossenem Gerät oder nie festlegen.
4.24.9. IT‑Administratoren können verhindern, dass Nutzer Bluetooth-Verbindungen einrichten oder vorhandene Verbindungen ändern.
4.25. System-Audioverwaltung
IT‑Administratoren können Audiofunktionen von Geräten im Hintergrund verwalten, z. B. Geräte stummschalten, verhindern, dass Nutzer Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer das Mikrofon des Geräts wieder aktivieren.
4.25.1. IT‑Administratoren können verwaltete Geräte automatisch stummschalten.
4.25.2. IT‑Administratoren können verhindern, dass Nutzer die Lautstärkeeinstellungen des Geräts ändern.
4.25.3. IT‑Administratoren können verhindern, dass Nutzer die Stummschaltung des Gerätemikrofons aufheben.
4.26. Verwaltung der Systemuhr
IT‑Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT‑Administratoren können die automatische Systemzeit erzwingen und so verhindern, dass Nutzer das Datum und die Uhrzeit des Geräts festlegen.
4.26.2. IT-Administratoren können sowohl automatische Zeit als auch automatische Zeitzone im Hintergrund deaktivieren oder aktivieren.
4.27. Erweiterte Funktionen auf zweckbestimmten Geräten
IT-Administratoren können detailliertere Funktionen für dedizierte Geräte verwalten, um verschiedene Kiosk-Anwendungsfälle zu unterstützen.
4.27.1. IT‑Administratoren können die Geräteschlüssel-Guard deaktivieren.
4.27.2. IT-Administratoren können die Gerätestatusleiste deaktivieren und so Benachrichtigungen und Schnelleinstellungen blockieren.
4.27.3. IT-Administratoren können erzwingen, dass das Display des Geräts eingeschaltet bleibt, während das Gerät angeschlossen ist.
4.27.4. IT‑Administratoren können verhindern, dass die folgenden System-Benutzeroberflächen angezeigt werden:
- Toasts
- App-Overlays
4.27.5. IT‑Administratoren können zulassen, dass bei der ersten Einrichtung die Systemempfehlung für Apps das Nutzer-Tutorial und andere Einführungshinweise überspringt.
4.28. Delegierte Bereichsverwaltung
IT-Administratoren können einzelnen Paketen zusätzliche Berechtigungen zuweisen.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Zertifikatsinstallation und ‑verwaltung
- Absichtlich leer
- Netzwerk-Logging
- Sicherheitsprotokollierung (wird für Arbeitsprofile auf privaten Geräten nicht unterstützt)
4.29. ID-Support für die Registrierung
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische IDs. IT-Administratoren können den Lebenszyklus eines Geräts mit Arbeitsprofil anhand der registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT‑Administratoren können eine registrierungsspezifische ID festlegen und abrufen.
4.29.2. Diese registrierungsspezifische ID muss auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleiben.
4.30. Richtlinie für Anmeldedaten-Manager
IT‑Administratoren können mit einer Richtlinie verwalten, welche Anmeldedaten-Manager-Anwendungen zulässig oder blockiert sind.
4.30.1 IT‑Administratoren können optional alle Anmeldedaten-Manager auf dem Gerät (oder im Arbeitsprofil) blockieren.
4.30.2 IT‑Administratoren können festlegen, dass nur vorinstallierte (System‑Apps) Anmeldedatenmanager zulässig sind.
4.30.3 IT-Administratoren können eine Liste mit Paketnamen angeben, die die Funktion „Credential Manager“ anbieten dürfen.
4.31. Einfache eSIM‑Verwaltung
IT-Administratoren können ein Gerät mit einem eSIM-Profil bereitstellen und dessen Lebenszyklus auf dem Gerät verwalten.
4.31.1 IT‑Administratoren können ein eSIM-Profil automatisch auf einem Gerät bereitstellen.
4.31.2 IT‑Administratoren können verwaltete eSIMs von einem Gerät löschen.
4.31.3 IT-Administratoren können verhindern, dass Nutzer die Mobilfunknetz-Einstellungen in den Einstellungen ändern (mobileNetworksConfigDisabled).
4.31.4 Wenn ein IT‑Administrator ein Gerät oder ein Arbeitsprofil per Remote-Löschvorgang löscht, hat er die Möglichkeit, auch die verwalteten eSIMs vom Gerät zu entfernen. Standardmäßig werden verwaltete eSIMs aus Arbeitsprofilen auf privaten Geräten entfernt, auf unternehmenseigenen Geräten jedoch beibehalten.
4.31.5 (OPTIONAL) IT-Administratoren können die EID-Kennzeichnung (Embedded Identity Document) eines Geräts über die EMM-Konsolen-UI (oder eine entsprechende Methode) abrufen und diese Werte exportieren.
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT‑Administratoren können die Standard-UX für den Einrichtungsablauf ändern, um unternehmensspezifische Funktionen einzubinden. Optional können IT‑Administratoren während der Bereitstellung das vom EMM bereitgestellte Branding anzeigen lassen.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie die folgenden unternehmensspezifischen Details angeben: Unternehmensfarbe, Unternehmenslogo, Nutzungsbedingungen des Unternehmens und andere Haftungsausschlüsse.
5.1.2. IT-Administratoren können eine nicht konfigurierbare, EMM-spezifische Anpassung bereitstellen, die die folgenden Details enthält: EMM-Farbe, EMM-Logo, EMM-Nutzungsbedingungen und andere Rechtshinweise.
5.1.3 [primaryColor] wurde für die Unternehmensressource unter Android 10 und höher eingestellt.
- EMMs müssen Nutzungsbedingungen für die Bereitstellung und andere Haftungsausschlüsse für ihren Bereitstellungsablauf im Bundle mit Haftungsausschlüssen für die Systembereitstellung enthalten, auch wenn die EMM-spezifische Anpassung nicht verwendet wird.
- EMMs können ihre nicht konfigurierbare, EMM-spezifische Anpassung als Standard für alle Bereitstellungen festlegen, müssen IT-Administratoren aber die Möglichkeit geben, eigene Anpassungen vorzunehmen.
5.2. Anpassung für Unternehmen
IT-Administratoren können Aspekte des Arbeitsprofils mit Corporate Branding anpassen. IT-Administratoren können beispielsweise das Nutzersymbol im Arbeitsprofil auf das Unternehmenslogo festlegen. Ein weiteres Beispiel ist das Festlegen der Hintergrundfarbe der Arbeitsaufgabe.
5.2.1. IT‑Administratoren können die Organisationsfarbe festlegen, die als Hintergrundfarbe für Arbeitsherausforderungen verwendet wird.
5.2.2. IT‑Administratoren können den Anzeigenamen des Arbeitsprofils festlegen.
5.2.3. IT‑Administratoren können das Nutzersymbol des Arbeitsprofils festlegen.
5.2.4. IT‑Administratoren können verhindern, dass Nutzer das Nutzersymbol des Arbeitsprofils ändern.
5.3. Erweiterte Anpassungsmöglichkeiten für Unternehmen
IT‑Administratoren können verwaltete Geräte mit Corporate Branding anpassen. IT-Administratoren können beispielsweise das Symbol des primären Nutzers auf das Unternehmenslogo oder den Gerätehintergrund festlegen.
5.3.1. IT‑Administratoren können den Anzeigenamen für das verwaltete Gerät festlegen.
5.3.2. IT-Administratoren können das Nutzersymbol des verwalteten Geräts festlegen.
5.3.3. IT‑Administratoren können verhindern, dass Nutzer das Gerätenutzersymbol ändern.
5.3.4. IT‑Administratoren können das Gerätehintergrundbild festlegen.
5.3.5. IT‑Administratoren können verhindern, dass Nutzer das Gerätehintergrundbild ändern.
5.4. Sperrbildschirmnachrichten
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird und für die keine Entsperrung des Geräts erforderlich ist.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen.
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie verwaltete Einstellungen auf ihrem Gerät ändern, oder eine allgemeine Supportnachricht bereitstellen, die von ihrem EMM-Anbieter bereitgestellt wird. Sowohl kurze als auch lange Supportnachrichten können angepasst werden. Diese Meldungen werden in Fällen wie dem Versuch angezeigt, eine verwaltete App zu deinstallieren, für die ein IT-Administrator die Deinstallation bereits blockiert hat.
5.5.1. IT-Administratoren können sowohl die kurzen als auch die langen Supportnachrichten anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische kurze und lange Supportnachrichten bereitstellen.
- EMM-Anbieter können ihre nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standard für alle Bereitstellungen festlegen, müssen IT-Administratoren aber die Möglichkeit geben, eigene Nachrichten einzurichten.
5.6. Profilübergreifende Kontaktverwaltung
IT-Administratoren können festlegen, welche Kontaktdaten das Arbeitsprofil verlassen dürfen. Sowohl Telefonie- als auch Messaging-Apps (SMS) müssen im privaten Profil ausgeführt werden und benötigen Zugriff auf Kontaktdaten des Arbeitsprofils, um die Arbeit mit geschäftlichen Kontakten zu erleichtern. Administratoren können diese Funktionen jedoch deaktivieren, um geschäftliche Daten zu schützen.
5.6.1. IT‑Administratoren können die profilübergreifende Kontaktsuche deaktivieren für private Apps, die den Systemkontakteanbieter verwenden.
5.6.2. IT‑Administratoren können die profilübergreifende Anrufer‑ID-Suche für persönliche Telefonie-Apps deaktivieren, die den Systemkontakteanbieter verwenden.
5.6.3. IT-Administratoren können die Bluetooth-Kontaktfreigabe für Bluetooth-Geräte deaktivieren, die den Systemkontakteanbieter verwenden, z. B. Freisprecheinrichtungen in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
IT‑Administratoren können damit über die Standardsicherheitsfunktionen des Arbeitsprofils hinaus verwalten, welche Daten das Arbeitsprofil verlassen dürfen. Mit dieser Funktion können IT-Administratoren bestimmte Arten der profilübergreifenden Datenfreigabe zulassen, um die Benutzerfreundlichkeit in wichtigen Anwendungsfällen zu verbessern. IT‑Administratoren können Unternehmensdaten auch durch weitere Sperrungen schützen.
5.7.1. IT‑Administratoren können profilübergreifende Intent-Filter konfigurieren, damit private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. Freigabe-Intents oder Weblinks.
- Die Console kann optional bekannte oder empfohlene Intent-Filter für die Konfiguration vorschlagen, aber Intent-Filter nicht auf eine beliebige Liste beschränken.
5.7.2. IT‑Administratoren können verwaltete Apps zulassen, die Widgets auf dem Startbildschirm anzeigen können.
- In der Konsole des EMM-Anbieters müssen IT-Administratoren aus der Liste der Apps auswählen können, die für die Installation für die entsprechenden Nutzer verfügbar sind.
5.7.3. IT‑Administratoren können das Kopieren und Einfügen zwischen dem Arbeits- und dem privaten Profil blockieren.
5.7.4. IT‑Administratoren können verhindern, dass Nutzer Daten aus dem Arbeitsprofil über NFC-Beam freigeben.
5.7.5. IT‑Administratoren können zulassen, dass private Apps Weblinks aus dem Arbeitsprofil öffnen.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) für Geräte einrichten und anwenden.
5.8.1. In der EMM-Konsole können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: Geräte installieren OTA-Updates, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie hat keine Auswirkungen auf Sicherheitsupdates, z.B. monatliche Sicherheitspatches.
- Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. Der DPC des EMM wendet OTA-Konfigurationen auf Geräte an.
5.9. Verwaltung des Modus „Gesperrte Aufgabe“
IT-Administratoren können eine oder mehrere Apps auf dem Bildschirm sperren und dafür sorgen, dass Nutzer die App nicht schließen können.
5.9.1. In der Konsole des EMM können IT-Administratoren die Installation und Sperrung einer beliebigen Anzahl von Apps auf einem Gerät automatisch zulassen. Der DPC des EMM unterstützt den Modus für dedizierte Geräte.
5.10. Dauerhafte Verwaltung bevorzugter Aktivitäten
IT‑Administratoren können eine App als Standard-Intent-Handler für Intents festlegen, die einem bestimmten Intent-Filter entsprechen. So können IT-Administratoren beispielsweise auswählen, welche Browser-App Weblinks automatisch öffnet oder welche Launcher-App verwendet wird, wenn auf die Schaltfläche „Startseite“ getippt wird.
5.10.1. IT‑Administratoren können ein beliebiges Paket als Standard-Intent-Handler für einen beliebigen Intent-Filter festlegen.
- In der EMM-Konsole können optional bekannte oder empfohlene Intents für die Konfiguration vorgeschlagen werden, aber Intents können nicht auf eine beliebige Liste beschränkt werden.
- In der Konsole des EMM muss es IT‑Administratoren möglich sein, aus der Liste der Apps auszuwählen, die für die entsprechenden Nutzer installiert werden können.
5.11. Keyguard-Funktionen verwalten
- Trust Agents
- Entsperren mit Fingerabdruck
- nicht geschwärzte Benachrichtigungen
5.11.2. Das DPC des EMM kann die folgenden Keyguard-Funktionen im Arbeitsprofil deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12. Erweiterte Verwaltung von Keyguard-Funktionen
- Sichere Kamera
- Alle Benachrichtigungen
- Nicht geschwärzte Benachrichtigungen
- Trust Agents
- Entsperren mit Fingerabdruck
- Alle Keyguard-Funktionen
5.13. Remote-Debugging
IT-Administratoren können Debugging-Ressourcen von Geräten abrufen, ohne dass zusätzliche Schritte erforderlich sind.
5.13.1. IT-Administratoren können Fehlerberichte aus der Ferne anfordern, Fehlerberichte in der EMM-Konsole ansehen und Fehlerberichte aus der EMM-Konsole herunterladen.
5.14. Abrufen von MAC-Adressen
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen. Die MAC-Adresse kann verwendet werden, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren, z. B. zur Identifizierung von Geräten für die Netzwerkzugriffssteuerung.
5.14.1. Der EMM-Anbieter kann die MAC-Adresse eines Geräts im Hintergrund abrufen und sie in der Konsole des EMM-Anbieters dem Gerät zuordnen.
5.15. Erweiterte Verwaltung des Modus „Gesperrte Aufgabe“
Wenn ein Gerät als dediziertes Gerät eingerichtet ist, können IT-Administratoren in der EMM-Konsole die folgenden Aufgaben ausführen:
5.15.1. Eine einzelne App kann über den DPC des EMM im Hintergrund für ein Gerät zugelassen werden.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden System-UI-Funktionen mit dem DPC des EMM:
- Startbildschirmtaste
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm)
5.15.3. Deaktivieren Sie Systemfehlermeldungen über den DPC des EMM.
5.16. Erweiterte Richtlinie für Systemupdates
IT-Administratoren können Systemupdates auf einem Gerät für einen bestimmten Zeitraum blockieren.
5.16.1. Der DPC des EMM kann OTA-Systemupdates (Over The Air) für einen bestimmten Einfrierzeitraum auf Geräte anwenden.
5.17. Verwaltung der Transparenz von Richtlinien für Arbeitsprofile
IT‑Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn das Arbeitsprofil von einem Gerät entfernt wird.
5.17.1. IT-Administratoren können benutzerdefinierten Text angeben, der angezeigt wird, wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung verbundener Apps
IT‑Administratoren können eine Liste von Paketen festlegen, die über die Grenzen des Arbeitsprofils hinweg kommunizieren können.
5.19. Manuelle Systemupdates
IT-Administratoren können ein Systemupdate manuell installieren, indem sie einen Pfad angeben.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, um den Kundensupport für Geräteadministrator auf GMS-Geräten bis Ende des ersten Quartals 2023 einzustellen.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte mit Android Device Policy verwaltet werden, wenn neue Bindungen erstellt werden. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Einstellungsbereich unter der Überschrift „Erweitert“ oder ähnlichen Begriffen zu verwalten. Neukunden dürfen während der Onboarding- oder Einrichtungsworkflows nicht mit einer beliebigen Auswahl zwischen Technologie-Stacks konfrontiert werden.
7.2. Standard-Policy Controller für neue Geräte
Standardmäßig müssen Geräte bei allen neuen Geräteregistrierungen mit Android Device Policy verwaltet werden, sowohl für bestehende als auch für neue Bindungen. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Einstellungsbereich unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten.