Questa pagina elenca l'insieme completo delle funzionalità di Android Enterprise.
Se intendi gestire più di 500 dispositivi, la tua soluzione EMM deve supportare tutte le funzionalità standard () di almeno un set di soluzioni prima di poter essere resa disponibile a livello commerciale. Le soluzioni EMM che superano la verifica delle funzionalità standard sono elencate nella directory di soluzioni Enterprise di Android come offerte di un set di gestione standard.
Per ogni set di soluzioni è disponibile un set aggiuntivo di funzionalità avanzate. Queste funzionalità sono indicate in ogni pagina del set di soluzioni: profilo di lavoro su dispositivo di proprietà personale, profilo di lavoro su dispositivo di proprietà dell'azienda, dispositivo completamente gestito e dispositivo dedicato. Le soluzioni EMM che superano la verifica delle funzionalità avanzate sono elencate nella directory di soluzioni aziendali di Android come offerte di un set di gestione avanzata.
Chiave
| standard feature | advanced feature | funzionalità facoltativa | non applicabile |
1. Provisioning del dispositivo
1.1. Provisioning del profilo di lavoro DPC-first
Puoi eseguire il provisioning di un profilo di lavoro dopo aver scaricato il DPC dell'EMM da Google Play.
1.1.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play in modo che gli utenti possano installarlo nella parte personale del dispositivo.
1.1.2. Una volta installato, il DPC deve guidare l'utente nella procedura di provisioning di un profilo di lavoro.
1.1.3. Una volta completato il provisioning, non può rimanere alcuna presenza di gestione sul lato personale del dispositivo.
- Tutti i criteri implementati durante il provisioning devono essere rimossi.
- I privilegi dell'app devono essere revocati.
- Il DPC dell'EMM deve essere disattivato almeno sul lato personale del dispositivo.
1.2. Provisioning dispositivo con identificatore DPC
Gli amministratori IT possono eseguire il provisioning di un dispositivo completamente gestito o dedicato utilizzando un identificatore DPC ("afw#"), in base alle linee guida per l'implementazione definite nella documentazione per gli sviluppatori dell'API EMM di Google Play.
1.2.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play. Il DPC deve essere installabile dalla configurazione guidata del dispositivo inserendo un identificatore specifico del DPC.
1.2.2. Una volta installato, il DPC dell'EMM deve guidare l'utente nella procedura di provisioning di un dispositivo completamente gestito o dedicato.
1.3. Provisioning del dispositivo NFC
I tag NFC possono essere utilizzati dagli amministratori IT per eseguire il provisioning di dispositivi nuovi o di cui sono stati ripristinati i dati di fabbrica in base alle linee guida per l'implementazione definite nella documentazione per sviluppatori dell'API EMM di Google Play.
1.3.1. Gli EMM devono utilizzare tag NFC Forum di tipo 2 con almeno 888 byte di memoria. Il provisioning deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID registrazione. I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.3.2. Dopo che il DPC dell'EMM si imposta come proprietario del dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il dispositivo non è completamente sottoposto a provisioning. 1.3.3. Consigliamo l'utilizzo di tag NFC per Android 10 e versioni successive a causa del ritiro di NFC Beam (noto anche come NFC Bump).
1.4. Provisioning dei dispositivi con codice QR
Gli amministratori IT possono utilizzare un dispositivo nuovo o di cui sono stati ripristinati i dati di fabbrica per scansionare un codice QR generato dalla console EMM per eseguire il provisioning del dispositivo, in base alle linee guida per l'implementazione definite nella documentazione per gli sviluppatori dell'API Play EMM.
1.4.1. Il codice QR deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID registrazione. I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.4.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, il DPC deve aprirsi immediatamente e bloccarsi sullo schermo finché il dispositivo non è completamente sottoposto al provisioning.
1.5. Registrazione zero-touch
Gli amministratori IT possono preconfigurare i dispositivi acquistati da rivenditori autorizzati e gestirli utilizzando la console EMM.
1.5.1. Gli amministratori IT possono eseguire il provisioning dei dispositivi di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch, descritto nell'articolo Registrazione zero-touch per gli amministratori IT.
1.5.2. Quando un dispositivo viene acceso per la prima volta, viene forzato automaticamente nelle impostazioni definite dall'amministratore IT.
1.6. Provisioning zero-touch avanzato
Gli amministratori IT possono automatizzare gran parte della procedura di registrazione dei dispositivi distribuendo i dettagli di registrazione del DPC tramite la registrazione zero-touch. Il DPC dell'EMM supporta la limitazione della registrazione a account o domini specifici, in base alle opzioni di configurazione offerte dall'EMM.
1.6.1. Gli amministratori IT possono eseguire il provisioning di un dispositivo di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch, descritto nella pagina Registrazione zero-touch per gli amministratori IT.
1.6.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il dispositivo non è completamente provisionato.
- Questo requisito non è necessario per i dispositivi che utilizzano i dettagli di registrazione zero-touch per eseguire il provisioning completo in modalità silenziosa (ad esempio, in un'implementazione di dispositivi dedicati).
1.6.3. Utilizzando i dettagli di registrazione, il DPC dell'EMM deve garantire che gli utenti non autorizzati non possano procedere con l'attivazione una volta richiamato il DPC. Come minimo, l'attivazione deve essere limitata agli utenti di una determinata azienda.
1.6.4. Utilizzando i dettagli di registrazione, il DPC dell'EMM deve consentire agli amministratori IT di precompilare i dettagli di registrazione (ad esempio ID server, ID registrazione) a parte le informazioni univoche dell'utente o del dispositivo (ad esempio nome utente/password, token di attivazione), in modo che gli utenti non debbano inserire i dettagli quando attivano un dispositivo.
- Le EMM non devono includere informazioni sensibili, come password o certificati, nella configurazione della registrazione zero-touch.
1.7. Provisioning del profilo di lavoro dell'Account Google
Per le aziende che utilizzano un dominio Google gestito, questa funzionalità guida gli utenti nella configurazione di un profilo di lavoro dopo aver inserito le credenziali aziendali di Workspace durante la configurazione del dispositivo o su un dispositivo già attivato. In entrambi i casi, l'identità Workspace aziendale verrà migrata nel profilo di lavoro.
1.7.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un profilo di lavoro, in base alle linee guida di implementazione definite.
1.8. Provisioning dei dispositivi collegati all'Account Google
Per le aziende che utilizzano Workspace, questa funzionalità guida gli utenti durante l'installazione del DPC del proprio EMM dopo che hanno inserito le credenziali aziendali di Workspace durante la configurazione iniziale del dispositivo. Una volta installato, il DPC completa la configurazione di un dispositivo di proprietà dell'azienda.
1.8.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un dispositivo di proprietà dell'azienda in base alle linee guida di implementazione definite.
1.8.2. A meno che l'EMM non possa identificare inequivocabilmente il dispositivo come risorsa aziendale, non può eseguirne il provisioning senza una richiesta durante la procedura di provisioning. Questo prompt deve eseguire un'azione non predefinita, ad esempio selezionare una casella di controllo o un'opzione di menu non predefinita. È consigliabile che l'EMM sia in grado di identificare il dispositivo come risorsa aziendale, in modo da non dover visualizzare la richiesta.
1.9. Configurazione zero-touch diretta
Gli amministratori IT possono utilizzare la console EMM per configurare i dispositivi zero-touch utilizzando l'iframe zero-touch.
1.10. Profili di lavoro sui dispositivi di proprietà aziendale
I provider EMM possono registrare i dispositivi di proprietà aziendale che hanno un profilo di lavoro.
1.10.1. Deliberatamente vuoto.
1.10.2. Gli amministratori IT possono impostare azioni di conformità per i profili di lavoro sui dispositivi di proprietà aziendale.
1.10.3. Gli amministratori IT possono disattivare la fotocamera nel profilo di lavoro o nell'intero dispositivo.
1.10.4. Gli amministratori IT possono disattivare l'acquisizione di schermate nel profilo di lavoro o in un intero dispositivo.
1.10.5. Gli amministratori IT possono impostare un elenco bloccato di applicazioni che non possono essere installate nel profilo personale.
1.10.6. Gli amministratori IT possono rinunciare alla gestione di un dispositivo di proprietà aziendale rimuovendo il profilo di lavoro o cancellando i dati dell'intero dispositivo.
1.11. Provisioning dei dispositivi dedicati
Gli amministratori IT possono registrare dispositivi dedicati senza che all'utente venga chiesto di autenticarsi con un Account Google.
2. Sicurezza del dispositivo
2.1. Verifica di sicurezza del dispositivo
Gli amministratori IT possono impostare e applicare una verifica di sicurezza del dispositivo (PIN/sequenza/password) da una selezione predefinita di 3 livelli di complessità sui dispositivi gestiti.
2.1.1. Il criterio deve applicare le impostazioni di gestione delle sfide di sicurezza del dispositivo (parentProfilePasswordRequirements per il profilo di lavoro, passwordRequirements per dispositivi completamente gestiti e dedicati).
2.1.2. La complessità della password deve corrispondere alle seguenti complessità della password:
- PASSWORD_COMPLEXITY_LOW - sequenza o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze di ripetizioni (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica con una lunghezza di almeno 4 caratteri
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze di ripetizioni (4444) o ordinate (1234, 4321, 2468) e una lunghezza di almeno 8 caratteri o password alfabetiche o alfanumeriche con una lunghezza di almeno 6 caratteri
2.2. Verifica di sicurezza per il lavoro
Gli amministratori IT possono impostare e applicare una verifica di sicurezza per app e dati nel profilo di lavoro separata e con requisiti diversi da quella di sicurezza del dispositivo (2.1).
2.2.1. Il criterio deve applicare la verifica di sicurezza per il profilo di lavoro. Per impostazione predefinita, gli amministratori IT devono impostare restrizioni solo per il profilo di lavoro se non viene specificato alcun ambito. Gli amministratori IT possono impostare questa restrizione a livello di dispositivo specificando l'ambito (vedi requisito 2.1).
2.1.2. La complessità della password deve corrispondere alle seguenti complessità della password:
- PASSWORD_COMPLEXITY_LOW - sequenza o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze di ripetizioni (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica con una lunghezza di almeno 4 caratteri
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze di ripetizioni (4444) o ordinate (1234, 4321, 2468) e una lunghezza di almeno 8 caratteri o password alfabetiche o alfanumeriche con una lunghezza di almeno 6 caratteri
2.3. Gestione avanzata dei passcode
2.3.1. Deliberatamente vuoto.
2.3.2. Deliberatamente vuoto.
2.3.3. Per ogni schermata di blocco disponibile su un dispositivo è possibile impostare le seguenti impostazioni del ciclo di vita della password:
- Deliberatamente vuoto
- Deliberatamente vuoto
- Numero massimo di password errate per la cancellazione : specifica il numero di volte in cui gli utenti possono inserire una password errata prima che i dati aziendali vengano cancellati dal dispositivo. Gli amministratori IT devono poter disattivare questa funzionalità.
2.4. Gestione delle serrature smart
Gli amministratori IT possono gestire quali agenti di attendibilità nella funzionalità Smart Lock di Android sono autorizzati a sbloccare i dispositivi. Gli amministratori IT possono disattivare metodi di sblocco specifici come dispositivi Bluetooth attendibili, riconoscimento del volto e riconoscimento vocale oppure, facoltativamente, disattivare completamente la funzionalità.
2.4.1. Gli amministratori IT possono disattivare gli agenti di attendibilità Smart Lock, in modo indipendente per ogni schermata di blocco disponibile sul dispositivo.
2.4.2. Gli amministratori IT possono consentire e configurare selettivamente gli agenti di attendibilità Smart Lock, in modo indipendente per ogni schermata di blocco disponibile sul dispositivo, per i seguenti agenti di attendibilità: Bluetooth, NFC, luoghi, volto, contatto con il corpo e voce.
- Gli amministratori IT possono modificare i parametri di configurazione dell'agente Trust disponibile.
2.5. Cancella e blocca
Gli amministratori IT possono utilizzare la console dell'EMM per bloccare e cancellare da remoto i dati di lavoro da un dispositivo gestito.
2.5.1. Il DPC dell'EMM deve bloccare i dispositivi.
2.5.2. Il DPC dell'EMM deve cancellare i dati dai dispositivi.
2.6. Applicazione della conformità
Se un dispositivo non è conforme alle norme di sicurezza, i dati di lavoro vengono limitati automaticamente.
2.6.1. Come minimo, le norme sulla sicurezza applicate a un dispositivo devono includere norme relative alle password.
2.7. Policy di sicurezza predefinite
Gli EMM devono applicare le norme di sicurezza specificate sui dispositivi per impostazione predefinita, senza richiedere agli amministratori IT di configurare o personalizzare alcuna impostazione nella console dell'EMM. I provider EMM sono incoraggiati (ma non obbligati) a non consentire agli amministratori IT di modificare lo stato predefinito di queste funzionalità di sicurezza.
2.7.1. Il DPC dell'EMM deve bloccare l'installazione di app da origini sconosciute, incluse le app installate nella parte personale di qualsiasi dispositivo Android 8.0+ con un profilo di lavoro.
2.7.2. Il DPC dell'EMM deve bloccare le funzionalità di debug.
2.8. Criteri di sicurezza per i dispositivi dedicati
I dispositivi dedicati sono bloccati senza possibilità di uscita per consentire altre azioni.
2.8.1. Il DPC dell'EMM deve disattivare l'avvio in modalità provvisoria per impostazione predefinita.
2.8.2. Il DPC dell'EMM deve essere aperto e bloccato sullo schermo immediatamente al primo avvio durante il provisioning, per garantire che non ci sia interazione con il dispositivo in nessun altro modo.
2.8.3. Il DPC dell'EMM deve essere impostato come Avvio app predefinito per garantire che le app consentite siano bloccate sullo schermo all'avvio, in base alle linee guida per l'implementazione definite.
2.9. Supporto di Play Integrity
La soluzione EMM utilizza l'API Play Integrity per assicurarsi che i dispositivi siano Android validi.
2.9.1. Il DPC dell'EMM implementa l'API Play Integrity durante il provisioning e, per impostazione predefinita, completa il provisioning del dispositivo con i dati aziendali solo quando l'integrità del dispositivo restituita è MEETS_STRONG_INTEGRITY.
2.9.2. Il DPC dell'EMM eseguirà un altro controllo Play Integrity ogni volta che un dispositivo esegue il check-in con il server dell'EMM, configurabile dall'amministratore IT. Il server EMM verificherà le informazioni dell'APK nella risposta al controllo dell'integrità e la risposta stessa prima di aggiornare le norme aziendali sul dispositivo.
2.9.3. Gli amministratori IT possono configurare risposte ai criteri diverse in base al risultato del controllo Play Integrity, tra cui il blocco del provisioning, la cancellazione dei dati aziendali e l'autorizzazione della registrazione.
- Il servizio EMM applicherà questa risposta alle norme per il risultato di ogni controllo dell'integrità.
2.9.4. Se il controllo Play Integrity iniziale non va a buon fine o restituisce un risultato che non soddisfa l'integrità avanzata, se il DPC dell'EMM non ha ancora chiamato ensureWorkingEnvironment deve farlo e ripetere il controllo prima che il provisioning venga completato.
2.10. Applicazione forzata di Verifica app
Gli amministratori IT possono attivare Verifica app sui dispositivi. Verifica app esegue la scansione delle app installate sui dispositivi Android per rilevare software dannosi prima e dopo l'installazione, contribuendo a garantire che le app dannose non possano compromettere i dati aziendali.
2.10.1. Il DPC dell'EMM deve attivare Verifica app per impostazione predefinita.
2.11. Supporto di Avvio diretto
Le app non possono essere eseguite sui dispositivi Android 7.0 e versioni successive appena accesi finché il dispositivo non viene sbloccato per la prima volta. Il supporto dell'avvio diretto garantisce che il DPC dell'EMM sia sempre attivo e in grado di applicare i criteri, anche se il dispositivo non è stato sbloccato.
2.11.1. Il DPC dell'EMM utilizza lo spazio di archiviazione criptato del dispositivo per eseguire funzioni di gestione critiche prima che lo spazio di archiviazione criptato delle credenziali del DPC venga decriptato. Le funzioni di gestione disponibili durante l'avvio diretto devono includere (ma non sono limitate a):
- Cancellazione aziendale, inclusa la possibilità di cancellare i dati di protezione del ripristino dei dati di fabbrica come opportuno.
2.11.2. Il DPC dell'EMM non deve esporre i dati aziendali all'interno dello spazio di archiviazione criptato del dispositivo.
2.11.3. Gli EMM possono impostare e attivare un token per attivare un pulsante Ho dimenticato la password nella schermata di blocco del profilo di lavoro. Questo pulsante viene utilizzato per richiedere agli amministratori IT di reimpostare in modo sicuro la password del profilo di lavoro.
2.12. Gestione della sicurezza hardware
Gli amministratori IT possono bloccare gli elementi hardware di un dispositivo di proprietà aziendale per garantire la prevenzione della perdita di dati.
2.12.1. Gli amministratori IT possono impedire agli utenti di montare supporti esterni fisici sul proprio dispositivo.
2.12.2. Gli amministratori IT possono impedire agli utenti di condividere i dati dal proprio dispositivo utilizzando NFC beam . Questa funzionalità secondaria è facoltativa, in quanto la funzione di trasferimento NFC non è più supportata in Android 10 e versioni successive.
2.12.3. Gli amministratori IT possono impedire agli utenti di trasferire file tramite USB dal proprio dispositivo.
2.13. Logging di sicurezza aziendale
Gli amministratori IT possono raccogliere dati di utilizzo dai dispositivi che possono essere analizzati e valutati in modo programmatico per rilevare comportamenti dannosi o rischiosi. Le attività registrate includono l'attività di Android Debug Bridge (adb), le aperture di app e gli sblocchi dello schermo.
2.13.1. Gli amministratori IT possono abilitare la registrazione della sicurezza per dispositivi specifici e il DPC dell'EMM deve essere in grado di recuperare automaticamente sia i log di sicurezza sia i log di sicurezza pre-riavvio.
2.13.2. Gli amministratori IT possono esaminare i log di sicurezza aziendale per un determinato dispositivo e un intervallo di tempo configurabile nella console EMM.
2.13.3. Gli amministratori IT possono esportare i log di sicurezza aziendale dalla console EMM.
3. Gestione di account e app
3.1. Associazione aziendale
Gli amministratori IT possono collegare l'EMM alla propria organizzazione, consentendo all'EMM di utilizzare Google Play gestito per distribuire app ai dispositivi.
3.1.1. Un amministratore con un dominio Google gestito esistente può associare il proprio dominio all'EMM.
3.1.2. La console EMM deve eseguire il provisioning e configurare in modo invisibile un ESA univoco per ogni azienda.
3.1.3. Annulla la registrazione di un'azienda utilizzando l'API Play EMM.
3.1.4. La console EMM guida l'amministratore a inserire il proprio indirizzo email di lavoro nel flusso di registrazione di Android e lo sconsiglia di utilizzare un account Gmail.
3.1.5. EMM precompila l'indirizzo email dell'amministratore nel flusso di registrazione di Android.
3.2. Provisioning dell'account Google Play gestito
Il provider EMM può eseguire il provisioning automatico degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app uniche per utente.
3.2.1. Il DPC dell'EMM può eseguire il provisioning e attivare automaticamente un account Google Play gestito in base alle linee guida di implementazione definite. In questo modo:
- Un account Google Play gestito di tipo
userAccountviene aggiunto al dispositivo. - L'account Google Play gestito di tipo
userAccountdeve avere una mappatura 1:1 con gli utenti effettivi nella console EMM.
3.3 Provisioning dell'account dispositivo Google Play gestito
L'EMM può creare e fornire account dispositivo Google Play gestiti . Gli account dispositivo supportano l'installazione invisibile delle app dal Google Play Store gestito e non sono collegati a un singolo utente. Viene invece utilizzato un account dispositivo per identificare un singolo dispositivo per supportare le regole di distribuzione delle app per dispositivo in scenari di dispositivi dedicati.
3.3.1. Il DPC dell'EMM può eseguire il provisioning e attivare automaticamente un account Google Play gestito
in base alle linee guida di implementazione definite.
In questo modo, al dispositivo deve essere aggiunto un account Google Play gestito di tipo deviceAccount.
3.4. Provisioning dell'account Google Play gestito per i dispositivi legacy
L'EMM può eseguire il provisioning silenzioso degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app uniche per utente.
3.4.1. Il DPC dell'EMM può eseguire il provisioning e attivare in modo silenzioso un account Google Play gestito in base alle linee guida di implementazione definite . In questo modo:
- Un account Google Play gestito di tipo
userAccountviene aggiunto al dispositivo. - L'account Google Play gestito di tipo
userAccountdeve avere una mappatura 1:1 con gli utenti effettivi nella console EMM.
3.5. Distribuzione invisibile delle app
Gli amministratori IT possono distribuire in modalità invisibile le app di lavoro sui dispositivi degli utenti senza alcuna interazione da parte di questi ultimi.
3.5.1. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di installare app di lavoro sui dispositivi gestiti.
3.5.2. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di aggiornare le app di lavoro sui dispositivi gestiti.
3.5.3. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di disinstallare le app sui dispositivi gestiti.
3.6. Gestione della configurazione gestita
Gli amministratori IT possono visualizzare e impostare automaticamente configurazioni gestite o qualsiasi app che supporta le configurazioni gestite.
3.6.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita di qualsiasi app Google Play.
- I provider EMM possono chiamare
Products.getAppRestrictionsSchemaper recuperare uno schema di configurazioni gestite di un'app o incorporare il frame delle configurazioni gestite nella loro console EMM.
3.6.2. La console dell'EMM deve consentire agli amministratori IT di impostare qualsiasi tipo di configurazione (come definito dal framework Android) per qualsiasi app Play utilizzando l'API Play EMM.
3.6.3. La console dell'EMM deve consentire agli amministratori IT di impostare caratteri jolly (ad esempio $username$ o %emailAddress%) in modo che una singola configurazione per un'app come Gmail possa essere applicata a più utenti. L'iframe di configurazione gestita supporta automaticamente questo requisito.
3.7. Gestione del catalogo delle app
Gli amministratori IT possono importare un elenco di app approvate per la loro azienda dalla versione gestita di Google Play (play.google.com/work).
3.7.1. La console EMM può visualizzare un elenco di app approvate per la distribuzione, tra cui:
- App acquistate nella versione gestita di Google Play
- App private visibili agli amministratori IT
- App approvate in modo programmatico
3.8. Approvazione programmatica delle app
La console EMM utilizza l'iframe della versione gestita di Google Play per supportare le funzionalità di individuazione e approvazione delle app di Google Play. Gli amministratori IT possono cercare app, approvare app e approvare nuove autorizzazioni per le app senza uscire dalla console EMM.
3.8.1. Gli amministratori IT possono cercare le app e approvarle nella console EMM utilizzando l'iframe della versione gestita di Google Play.
3.9. Gestione di base del layout del negozio
L'app Google Play Store gestito può essere utilizzata sui dispositivi per installare e aggiornare le app di lavoro. Il layout di base dello store viene visualizzato per impostazione predefinita ed elenca le app approvate per l'azienda, che gli EMM filtrano in base agli utenti in conformità alle norme.
3.9.1. Gli amministratori IT possono [gestire i set di prodotti disponibili per gli utenti]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) per consentire la visualizzazione e l'installazione di applicazioni dalla versione gestita di Google Play Store nella sezione "Home dello Store".
3.10. Configurazione avanzata del layout dello store
Gli amministratori IT possono personalizzare il layout dello store visualizzato nella versione gestita dell'app Google Play Store sui dispositivi.
3.10.1. Gli amministratori IT possono eseguire le seguenti azioni nella console EMM per personalizzare il layout del Google Play Store gestito:
- Crea fino a 100 pagine di layout dello Store. Le pagine possono avere un numero arbitrario di nomi di pagine localizzati.
- Crea fino a 30 cluster per ogni pagina. I cluster possono avere un numero arbitrario di nomi di cluster localizzati.
- Assegna fino a 100 app a ogni cluster.
- Aggiungi fino a 10 link rapidi a ogni pagina.
- Specifica l'ordine di ordinamento delle app all'interno di un cluster e dei cluster all'interno di una pagina.
3.11. Gestione delle licenze app
Gli amministratori IT possono visualizzare e gestire le licenze delle app acquistate nella versione gestita di Google Play dalla console EMM.
3.11.1. Per le app a pagamento approvate per un'azienda, la console EMM deve mostrare:
- Il numero di licenze acquistate.
- Il numero di licenze utilizzate e gli utenti che le utilizzano.
- Il numero di licenze disponibili per la distribuzione.
3.11.2. Gli amministratori IT possono assegnare licenze agli utenti in modalità invisibile senza forzare l'installazione dell'app sui dispositivi degli utenti.
3.11.3. Gli amministratori IT possono annullare l'assegnazione di una licenza app a un utente.
3.12. Gestione delle app private ospitate da Google
Gli amministratori IT possono aggiornare le app private ospitate da Google tramite la console EMM anziché tramite Google Play Console.
3.12.1. Gli amministratori IT possono caricare privatamente nuove versioni di app già pubblicate nell'azienda utilizzando:
3.13. Gestione delle app private in self-hosting
Gli amministratori IT possono configurare e pubblicare app private in self-hosting. A differenza delle app private ospitate da Google, Google Play non ospita gli APK. Al contrario, l'EMM aiuta gli amministratori IT a ospitare gli APK e a proteggere le app autootspitate verificando che possano essere installate solo se autorizzate da Google Play gestito.
Gli amministratori IT possono consultare la sezione Supportare le app private per maggiori dettagli.
3.13.1. La console EMM deve aiutare gli amministratori IT a ospitare l'APK dell'app offrendo entrambe le seguenti opzioni:
- Ospitare l'APK sul server dell'EMM. Il server può essere on-premise o basato sul cloud.
- Ospitare l'APK al di fuori del server dell'EMM, a discrezione dell'amministratore IT. L'amministratore IT deve specificare nella console EMM dove è ospitato l'APK.
3.13.2. La console dell'EMM deve generare un file di definizione APK appropriato utilizzando l'APK fornito e deve guidare gli amministratori IT durante la procedura di pubblicazione.
3.13.3. Gli amministratori IT possono aggiornare le app private self-hosted e la console EMM può pubblicare in modo silenzioso i file di definizione APK aggiornati utilizzando l'API Google Play Developer Publishing.
3.13.4. Il server dell'EMM gestisce solo le richieste di download dell'APK autogestito che contiene un JWT valido all'interno del cookie della richiesta, verificato dalla chiave pubblica dell'app privata.
- Per facilitare questo processo, il server dell'EMM deve guidare gli amministratori IT a scaricare la chiave pubblica della licenza dell'app autogestita da Google Play Console e a caricarla nella console EMM.
3.14. Notifiche pull EMM
Anziché eseguire periodicamente query su Google Play per identificare eventi passati, ad esempio un aggiornamento dell'app che contiene nuove autorizzazioni o configurazioni gestite, le notifiche push EMM avvisano in modo proattivo gli EMM di questi eventi in tempo reale, consentendo agli EMM di intraprendere azioni automatizzate e fornire notifiche amministrative personalizzate in base a questi eventi.
3.14.1. L'EMM deve utilizzare le notifiche EMM di Google Play per recuperare i set di notifiche.
3.14.2. EMM deve notificare automaticamente a un amministratore IT (ad esempio tramite un'email automatica) i seguenti eventi di notifica:
newPermissionEvent: richiede l'approvazione di nuove autorizzazioni dell'app da parte di un amministratore IT prima che l'app possa essere installata o aggiornata automaticamente sui dispositivi degli utenti.appRestrictionsSchemaChangeEvent: potrebbe essere necessario che l'amministratore IT aggiorni la configurazione gestita di un'app per mantenere l'efficienza prevista.appUpdateEvent: potrebbe interessare gli amministratori IT che vogliono verificare che le prestazioni del flusso di lavoro principale non siano interessate dall'aggiornamento dell'app.productAvailabilityChangeEvent: potrebbe influire sulla possibilità di installare l'app o ricevere aggiornamenti.installFailureEvent: Play non è in grado di installare automaticamente un'app su un dispositivo, il che suggerisce che la configurazione del dispositivo impedisce l'installazione. Gli EMM non devono tentare immediatamente una nuova installazione silenziosa dopo aver ricevuto questa notifica, poiché la logica di ripetizione di Google Play non è andata a buon fine.
3.14.3. EMM esegue automaticamente le azioni appropriate in base ai seguenti eventi di notifica:
newDeviceEvent: durante il provisioning del dispositivo, le soluzioni EMM devono attenderenewDeviceEventprima di effettuare chiamate successive all'API Play EMM per il nuovo dispositivo, incluse le installazioni silenziose di app e l'impostazione di configurazioni gestite.productApprovalEvent: dopo aver ricevuto una notificaproductApprovalEvent, l'EMM deve aggiornare automaticamente l'elenco delle app approvate importate nella console EMM per la distribuzione ai dispositivi se è presente una sessione di amministratore IT attiva o se l'elenco delle app approvate non viene ricaricato automaticamente all'inizio di ogni sessione di amministratore IT.
3.15. Requisiti di utilizzo delle API
L'EMM implementa le API di Google su larga scala, evitando modelli di traffico che potrebbero influire negativamente sulla capacità degli amministratori IT di gestire le app negli ambienti di produzione.
3.15.1. Il provider EMM deve rispettare i limiti di utilizzo dell'API EMM di Google Play. La mancata correzione del comportamento che supera queste linee guida può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.2. L'EMM deve distribuire il traffico di diverse aziende durante la giornata, anziché consolidarlo in orari specifici o simili. Un comportamento che rientra in questo pattern di traffico, ad esempio operazioni batch pianificate per ogni dispositivo registrato, può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.3. L'EMM non deve effettuare richieste coerenti, incomplete o intenzionalmente errate che non tentano di recuperare o gestire i dati aziendali effettivi. Un comportamento che rientra in questo pattern di traffico può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.16. Gestione avanzata della configurazione gestita
3.16.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita (nidificate fino a quattro livelli) di qualsiasi app Google Play utilizzando:
- L'iframe della versione gestita di Google Play o
- un'interfaccia utente personalizzata.
3.16.2. La console EMM deve essere in grado di recuperare e visualizzare qualsiasi feedback restituito da un canale di feedback dell'app , se configurato da un amministratore IT.
- La console dell'EMM deve consentire agli amministratori IT di associare un elemento di feedback specifico al dispositivo e all'app da cui proviene.
- La console dell'EMM deve consentire agli amministratori IT di iscriversi ad avvisi o report di tipi di messaggi specifici (ad esempio messaggi di errore).
3.16.3. La console EMM deve inviare solo valori che hanno un valore predefinito o sono impostati manualmente dall'amministratore utilizzando:
- L'iframe delle configurazioni gestite o
- Un'interfaccia utente personalizzata.
3.17. Gestione delle app web
Gli amministratori IT possono creare e distribuire app web nella console EMM.
3.17.1. Gli amministratori IT possono utilizzare la console EMM per distribuire scorciatoie alle app web utilizzando:
3.18. Gestione del ciclo di vita dell'account Google Play gestito
L'EMM può creare, aggiornare ed eliminare account Google Play gestiti per conto degli amministratori IT.
3.18.1. I provider EMM possono gestire il ciclo di vita di un account Google Play gestito in base alle linee guida per l'implementazione definite nella documentazione per gli sviluppatori dell'API Play EMM.
3.18.2. I provider EMM possono eseguire nuovamente l'autenticazione degli account Google Play gestiti senza interazione dell'utente.
3.19. Gestione dei canali delle app
3.19.1. Gli amministratori IT possono estrarre un elenco di ID traccia impostati da uno sviluppatore per una determinata app.
3.19.2. Gli amministratori IT possono impostare i dispositivi in modo che utilizzino un track di sviluppo specifico per un'applicazione.
3.20. Gestione avanzata degli aggiornamenti delle applicazioni
3.20.1. Gli amministratori IT possono consentire alle app di utilizzare gli aggiornamenti delle app ad alta priorità per essere aggiornate quando un aggiornamento è pronto.
3.20.2. Gli amministratori IT possono consentire alle app di posticipare gli aggiornamenti delle app per 90 giorni.
3.21. Gestione dei metodi di provisioning
L'EMM può generare configurazioni di provisioning e presentarle all'amministratore IT in un formato pronto per la distribuzione agli utenti finali (ad esempio codice QR, configurazione zero-touch, URL del Play Store).
3.22. Eseguire l'upgrade del binding Enterprise
Gli amministratori IT possono eseguire l'upgrade del tipo di binding aziendale a un'azienda con dominio Google gestito, consentendo all'organizzazione di accedere ai servizi e alle funzionalità dell'Account Google sui dispositivi registrati.
3.22.1. La console EMM consente all'amministratore IT di attivare l'upgrade di un account Google Play gestito per l'azienda a un dominio Google gestito per l'azienda utilizzando le API richieste .
3.22.2. Gli EMM devono utilizzare Pub/Sub per ricevere notifiche sugli eventi di upgrade avviati dall'amministratore IT (anche quelli che si verificano al di fuori della console EMM) e aggiornare la propria UI per riflettere queste modifiche.
3.23. Provisioning dell'Account Google gestito
Il provider EMM può eseguire il provisioning di un dispositivo con account utente aziendali, chiamati Account Google gestiti. Questi account identificano gli utenti gestiti e consentono le regole di distribuzione delle app e l'accesso ai servizi Google. Gli amministratori IT possono inoltre impostare un criterio per richiedere l'autenticazione dell'Account Google gestito durante o dopo la registrazione.
3.23.1. Il DPC dell'EMM può eseguire il provisioning di un Account Google gestito in base alle linee guida per l'implementazione definite.
In questo modo:
- Un Account Google gestito viene aggiunto al dispositivo.
- L'Account Google gestito deve avere una mappatura 1:1 con gli utenti effettivi nella console EMM.
3.23.2. L'amministratore IT può utilizzare la policy per offrire agli utenti la possibilità di accedere a un Account Google gestito per la registrazione.
3.23.3. L'amministratore IT può utilizzare la policy per controllare se l'utente è tenuto ad accedere a un Account Google gestito per completare la registrazione.
3.23.4. Gli amministratori IT possono facoltativamente limitare il flusso di upgrade a un identificatore di account specifico (indirizzo email) per un determinato dispositivo.
3.24. Upgrade dell'account Google Play gestito
Gli amministratori IT possono eseguire l'upgrade del tipo di account utente a un Account Google gestito, consentendo al dispositivo di accedere ai servizi e alle funzionalità dell'Account Google sui dispositivi registrati.
3.24.1. Gli amministratori IT possono eseguire l'upgrade di un account Google Play gestito esistente su un dispositivo a un Account Google gestito.
3.24.2. Gli amministratori IT possono facoltativamente limitare il flusso di upgrade a un identificatore di account specifico (indirizzo email) per un determinato dispositivo.
4. Gestione dispositivi
4.1. Gestione delle norme di autorizzazione di runtime
Gli amministratori IT possono impostare automaticamente una risposta predefinita alle richieste di autorizzazione di runtime effettuate dalle app di lavoro.
4.1.1. Gli amministratori IT devono poter scegliere tra le seguenti opzioni quando impostano una policy predefinita per le autorizzazioni di runtime per la loro organizzazione:
- prompt (consente agli utenti di scegliere)
- allow
- deny
L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM.
4.2. Gestione dello stato di concessione delle autorizzazioni di runtime
Dopo aver impostato un criterio di autorizzazione di runtime predefinito (vai al punto 4.1), Gli amministratori IT possono impostare automaticamente le risposte per autorizzazioni specifiche di qualsiasi app di lavoro creata sull'API 23 o versioni successive.
4.2.1. Gli amministratori IT devono essere in grado di impostare lo stato di concessione (predefinito, concessione o rifiuto) di qualsiasi autorizzazione richiesta da qualsiasi app di lavoro creata sull'API 23 o versioni successive. L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM .
4.3. Gestione della configurazione Wi-Fi
Gli amministratori IT possono eseguire il provisioning silenzioso delle configurazioni Wi-Fi aziendali sui dispositivi gestiti, tra cui:
4.3.1. SSID, utilizzando il DPC dell'EMM.
4.3.2. Password, utilizzando il DPC dell'EMM.
4.4. Gestione della sicurezza del Wi-Fi
Gli amministratori IT possono eseguire il provisioning delle configurazioni Wi-Fi aziendali sui dispositivi gestiti che includono le seguenti funzionalità di sicurezza avanzate:
4.4.1. Identità, utilizzando il DPC dell'EMM.
4.4.2. Certificato per l'autorizzazione dei client, utilizzando il DPC dell'EMM .
4.4.3. Certificati CA, utilizzando il DPC dell'EMM.
4.5. Gestione avanzata del Wi-Fi
Gli amministratori IT possono bloccare le configurazioni Wi-Fi sui dispositivi gestiti per impedire agli utenti di creare configurazioni o modificare quelle aziendali.
4.5.1. Gli amministratori IT possono bloccare le configurazioni Wi-Fi aziendali in una delle seguenti configurazioni:
- Gli utenti non possono modificare alcuna configurazione Wi-Fi fornita dall'EMM, ma possono aggiungere e modificare le proprie reti configurabili dall'utente (ad esempio le reti personali).
- Gli utenti non possono aggiungere o modificare alcuna rete Wi-Fi sul dispositivo, limitando la connettività Wi-Fi solo alle reti di cui è stato eseguito il provisioning dalla soluzione EMM.
4.6. Gestione account
Gli amministratori IT possono verificare che gli account aziendali non autorizzati non possano interagire con i dati aziendali per servizi come l'archiviazione SaaS e le app di produttività o l'email. Senza questa funzionalità, gli account personali possono essere aggiunti alle app aziendali che supportano anche gli account consumer, consentendo loro di condividere i dati aziendali con questi account personali.
4.6.1. Gli amministratori IT possono impedire l'aggiunta o la modifica di account.
- Quando applicano questa norma su un dispositivo, gli EMM devono impostare questa limitazione prima che il provisioning sia completato, per assicurarsi di non poter aggirare questa norma aggiungendo account prima che venga emanata.
4.7. Gestione degli account Workspace
Questa funzionalità è stata ritirata. Consulta la sezione 3.23 per i requisiti di sostituzione.
4.8. Gestione dei certificati
Consente agli amministratori IT di eseguire il deployment dei certificati di identità e delle autorità di certificazione sui dispositivi per consentire l'accesso alle risorse aziendali.
4.8.1. Gli amministratori IT possono installare i certificati di identità utente generati dalla propria PKI per ogni utente. La console EMM deve integrarsi con almeno una PKI e distribuire i certificati generati da questa infrastruttura.
4.8.2. Gli amministratori IT possono installare le autorità di certificazione nell'archivio chiavi gestito.
4.9. Gestione avanzata dei certificati
Consente agli amministratori IT di selezionare automaticamente i certificati che devono essere utilizzati da app gestite specifiche. Questa funzionalità consente inoltre agli amministratori IT di rimuovere le CA e i certificati di identità dai dispositivi attivi. Questa funzionalità impedisce agli utenti di modificare le credenziali archiviate nel keystore gestito.
4.9.1. Per qualsiasi app distribuita ai dispositivi, gli amministratori IT possono specificare un certificato a cui l'app concederà l'accesso silenzioso durante il runtime.
- La selezione dei certificati deve essere sufficientemente generica da consentire una singola configurazione che si applichi a tutti gli utenti, ognuno dei quali potrebbe avere un certificato di identità specifico per l'utente.
4.9.2. Gli amministratori IT possono rimuovere i certificati dal keystore gestito in modalità silenziosa.
4.9.3. Gli amministratori IT possono disinstallare un certificato CA o tutti i certificati CA non di sistema in modalità silenziosa.
4.9.4. Gli amministratori IT possono impedire agli utenti di configurare le credenziali nel keystore gestito.
4.9.5. Gli amministratori IT possono concedere in anticipo certificati per le app di lavoro.
4.10. Gestione delegata dei certificati
Gli amministratori IT possono distribuire un'app di gestione dei certificati di terze parti sui dispositivi e concedere a questa app l'accesso privilegiato per installare i certificati nell'archivio chiavi gestito.
4.10.1. Gli amministratori IT specificano un pacchetto di gestione dei certificati da impostare come app di gestione dei certificati delegata dal DPC.
- La console può suggerire facoltativamente pacchetti di gestione dei certificati noti, ma deve consentire all'amministratore IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti applicabili.
4.11. Gestione VPN avanzata
Consente agli amministratori IT di specificare una VPN sempre attiva per verificare che i dati delle app gestite specificate passino sempre attraverso una VPN configurata.
4.11.1. Gli amministratori IT possono specificare un pacchetto VPN arbitrario da impostare come VPN sempre attiva.
- La console EMM può suggerire facoltativamente pacchetti VPN noti che supportano la VPN sempre attiva, ma non può limitare le VPN disponibili per la configurazione della VPN sempre attiva a un elenco arbitrario.
4.11.2. Gli amministratori IT possono utilizzare le configurazioni gestite per specificare le impostazioni VPN per un'app.
4.12. Gestione IME
Gli amministratori IT possono gestire quali metodi di immissione (IME) possono essere configurati per i dispositivi. Poiché l'IME è condiviso tra i profili di lavoro e quelli personali, il blocco dell'utilizzo degli IME impedirà l'utilizzo di questi IME anche per l'uso personale. Tuttavia, gli amministratori IT non possono bloccare gli IME di sistema sui profili di lavoro (per maggiori dettagli, consulta la gestione avanzata degli IME).
4.12.1. Gli amministratori IT possono configurare un elenco consentito di IME di lunghezza arbitraria (incluso un elenco vuoto, che blocca gli IME non di sistema), che può contenere qualsiasi pacchetto IME arbitrario.
- La console EMM può suggerire facoltativamente IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione, per gli utenti applicabili.
4.12.2. L'EMM deve informare gli amministratori IT che gli IME di sistema sono esclusi dalla gestione sui dispositivi con profili di lavoro.
4.13. Gestione avanzata degli IME
Gli amministratori IT possono gestire quali metodi di immissione (IME) possono essere configurati per i dispositivi. La gestione avanzata degli IME estende la funzionalità di base consentendo agli amministratori IT di gestire anche l'utilizzo degli IME di sistema, in genere forniti dal produttore del dispositivo o dall'operatore del dispositivo.
4.13.1. Gli amministratori IT possono configurare un elenco consentito di IME di lunghezza arbitraria (escluso un elenco vuoto, che blocca tutti gli IME, inclusi gli IME di sistema), che può contenere qualsiasi pacchetto IME arbitrario.
- La console EMM può suggerire facoltativamente IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione, per gli utenti applicabili.
4.13.2. Gli EMM devono impedire agli amministratori IT di configurare una lista consentita vuota, in quanto questa impostazione bloccherà la configurazione di tutte le IME, incluse quelle di sistema, sul dispositivo.
4.13.3. Gli EMM devono verificare che, se una lista consentita di IME non contiene IME di sistema, gli IME di terze parti vengano installati automaticamente prima che la lista consentita venga applicata sul dispositivo.
4.14. Gestione dei servizi di accessibilità
Gli amministratori IT possono gestire i servizi di accessibilità che possono essere consentiti sui dispositivi degli utenti. Sebbene i servizi di accessibilità siano strumenti potenti per gli utenti con disabilità o per coloro che non sono temporaneamente in grado di interagire completamente con il proprio dispositivo, potrebbero interagire con i dati aziendali in modi non conformi alle norme aziendali. Questa funzionalità consente agli amministratori IT di disattivare qualsiasi servizio di accessibilità non di sistema.
4.14.1. Gli amministratori IT possono configurare un elenco consentito di servizi di accessibilità di lunghezza arbitraria (incluso un elenco vuoto, che blocca i servizi di accessibilità non di sistema), che può contenere qualsiasi pacchetto di servizi di accessibilità arbitrario. Se applicata a un profilo di lavoro, questa impostazione influisce sia sul profilo personale sia sul profilo di lavoro.
- La console può suggerire facoltativamente servizi di accessibilità noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione, per gli utenti applicabili.
4.15. Gestione della condivisione della posizione
Gli amministratori IT possono impedire agli utenti di condividere i dati di geolocalizzazione con le app nel profilo di lavoro. In caso contrario, l'impostazione della posizione per i profili di lavoro è configurabile in Impostazioni.
4.15.1. Gli amministratori IT possono disattivare i servizi di geolocalizzazione all'interno del profilo di lavoro.
4.16. Gestione avanzata della condivisione della posizione
Gli amministratori IT possono applicare una determinata impostazione di condivisione della posizione su un dispositivo gestito. Questa funzionalità può garantire che le app aziendali abbiano sempre accesso a dati sulla posizione ad alta precisione. Questa funzionalità può anche garantire che la batteria extra non venga consumata limitando le impostazioni di localizzazione alla modalità di risparmio energetico.
4.16.1. Gli amministratori IT possono impostare i servizi di geolocalizzazione del dispositivo su ciascuna delle seguenti modalità:
- Alta precisione.
- Solo sensori, ad esempio GPS, ma non inclusa la posizione fornita dalla rete.
- Risparmio batteria, che limita la frequenza di aggiornamento.
- Disattivato.
4.17. Gestione della protezione del ripristino dei dati di fabbrica
Consente agli amministratori IT di proteggere i dispositivi di proprietà aziendale dal furto assicurandosi che gli utenti non autorizzati non possano ripristinare i dati di fabbrica dei dispositivi. Se la protezione ripristino dati di fabbrica introduce complessità operative quando i dispositivi vengono restituiti al reparto IT, gli amministratori IT possono anche disattivare completamente la protezione ripristino dati di fabbrica.
4.17.1. Gli amministratori IT possono impedire agli utenti di ripristinare le impostazioni di fabbrica del proprio dispositivo da Impostazioni.
4.17.2. Gli amministratori IT possono specificare gli account di sblocco aziendale autorizzati a eseguire il provisioning dei dispositivi dopo un ripristino dei dati di fabbrica.
- Questo account può essere associato a un singolo utente o utilizzato dall'intera azienda per sbloccare i dispositivi.
4.17.3. Gli amministratori IT possono disattivare la protezione ripristino dati di fabbrica per dispositivi specifici.
4.17.4. Gli amministratori IT possono avviare una cancellazione remota del dispositivo che, facoltativamente, cancella i dati di protezione del ripristino, rimuovendo così la protezione ripristino dati di fabbrica sul dispositivo ripristinato.
4.18. Controllo app avanzato
Gli amministratori IT possono impedire all'utente di disinstallare o modificare in altro modo le app gestite tramite Impostazioni, ad esempio forzando la chiusura dell'app o cancellando la cache dei dati di un'app.
4.18.1. Gli amministratori IT possono bloccare la disinstallazione di qualsiasi app gestita arbitraria o di tutte le app gestite.
4.18.2. Gli amministratori IT possono impedire agli utenti di modificare i dati delle applicazioni dalle Impostazioni.
4.19. Gestione dell'acquisizione schermo
Gli amministratori IT possono impedire agli utenti di acquisire screenshot quando utilizzano app gestite. Questa impostazione include il blocco delle app di condivisione schermo e di app simili (come l'Assistente Google) che utilizzano le funzionalità di screenshot del sistema.
4.19.1. Gli amministratori IT possono impedire agli utenti di acquisire screenshot .
4.20. Disattivare le fotocamere
Gli amministratori IT possono disattivare l'utilizzo delle fotocamere dei dispositivi da parte delle app gestite.
4.20.1. Gli amministratori IT possono disattivare l'utilizzo delle videocamere dei dispositivi da parte delle app gestite.
4.21. Raccolta delle statistiche di rete
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete dal profilo di lavoro di un dispositivo. Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nella sezione Utilizzo dei dati delle Impostazioni. Le statistiche raccolte si applicano all'utilizzo delle app all'interno del profilo di lavoro.
4.21.1. Gli amministratori IT possono interrogare il riepilogo delle statistiche di rete per un profilo di lavoro, per un determinato dispositivo e un intervallo di tempo configurabile, e visualizzare questi dettagli nella console EMM.
4.21.2. Gli amministratori IT possono interrogare un riepilogo delle statistiche sull'utilizzo della rete di un'app nel profilo di lavoro, per un determinato dispositivo e un intervallo di tempo configurabile, e visualizzare questi dettagli organizzati per UID nella console EMM.
4.21.3. Gli amministratori IT possono interrogare i dati storici sull'utilizzo della rete di un profilo di lavoro, per un determinato dispositivo e un intervallo di tempo configurabile, e visualizzare questi dettagli organizzati per UID nella console EMM.
4.22. Raccolta avanzata delle statistiche di rete
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete per un intero dispositivo gestito. Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nella sezione Utilizzo dei dati delle Impostazioni. Le statistiche raccolte si applicano all'utilizzo delle app sul dispositivo.
4.22.1. Gli amministratori IT possono interrogare il riepilogo delle statistiche di rete per un intero dispositivo, per un determinato dispositivo e un intervallo di tempo configurabile, e visualizzare questi dettagli nella console EMM.
4.22.2. Gli amministratori IT possono interrogare un riepilogo delle statistiche sull'utilizzo della rete delle app, per un determinato dispositivo e un intervallo di tempo configurabile, e visualizzare questi dettagli organizzati per UID nella console EMM.
4.22.3. Gli amministratori IT possono interrogare i dati storici sull'utilizzo della rete, per un determinato dispositivo e un intervallo di tempo configurabile, e visualizzare questi dettagli organizzati per UID nella console EMM.
4.23. Riavvia il dispositivo
Gli amministratori IT possono riavviare da remoto i dispositivi gestiti.
4.23.1. Gli amministratori IT possono riavviare da remoto un dispositivo gestito.
4.24. Gestione della radio di sistema
Consente agli amministratori IT di gestire in modo granulare le radio di rete del sistema e le norme di utilizzo associate.
4.24.1. Gli amministratori IT possono disattivare le trasmissioni cellulari inviate dai fornitori di servizi (ad esempio, gli avvisi AMBER).
4.24.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni di rete mobile in Impostazioni .
4.24.3. Gli amministratori IT possono impedire agli utenti di reimpostare le impostazioni di rete in Impostazioni .
4.24.4. Gli amministratori IT possono consentire o impedire l'utilizzo dei dati mobili in roaming .
4.24.5. Gli amministratori IT possono configurare se il dispositivo può effettuare chiamate in uscita, escluse le chiamate di emergenza.
4.24.6. Gli amministratori IT possono configurare se il dispositivo può inviare e ricevere messaggi di testo .
4.24.7. Gli amministratori IT possono impedire agli utenti di utilizzare il proprio dispositivo come hotspot portatile tramite tethering .
4.24.8. Gli amministratori IT possono impostare il timeout del Wi-Fi su predefinito , solo quando è collegato o mai .
4.24.9. Gli amministratori IT possono impedire agli utenti di configurare o modificare le connessioni Bluetooth esistenti .
4.25. Gestione dell'audio di sistema
Gli amministratori IT possono gestire silenziosamente le funzionalità audio del dispositivo, tra cui disattivare l'audio del dispositivo, impedire agli utenti di modificare le impostazioni del volume e impedire agli utenti di riattivare l'audio del microfono del dispositivo.
4.25.1. Gli amministratori IT possono disattivare l'audio dei dispositivi gestiti in modalità silenziosa.
4.25.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni del volume del dispositivo.
4.25.3. Gli amministratori IT possono impedire agli utenti di riattivare l'audio del microfono del dispositivo.
4.26. Gestione dell'orologio di sistema
Gli amministratori IT possono gestire le impostazioni dell'orologio e del fuso orario del dispositivo e impedire agli utenti di modificare le impostazioni automatiche del dispositivo.
4.26.1. Gli amministratori IT possono applicare l'ora automatica del sistema, impedendo all'utente di impostare la data e l'ora del dispositivo.
4.26.2. Gli amministratori IT possono attivare o disattivare automaticamente sia l'ora automatica sia il fuso orario automatico.
4.27. Funzionalità avanzate per dispositivi dedicati
Consente agli amministratori IT di gestire funzionalità più granulari dei dispositivi dedicati per supportare vari casi d'uso dei chioschi.
4.27.1. Gli amministratori IT possono disattivare la protezione tasti del dispositivo.
4.27.2. Gli amministratori IT possono disattivare la barra di stato del dispositivo, bloccando le notifiche e le Impostazioni rapide.
4.27.3. Gli amministratori IT possono forzare l'accensione dello schermo del dispositivo mentre il dispositivo è collegato.
4.27.4. Gli amministratori IT possono impedire la visualizzazione delle seguenti interfacce utente di sistema:
- Toast
- Overlay delle applicazioni.
4.27.5. Gli amministratori IT possono consentire al sistema di saltare il tutorial per gli utenti e altri suggerimenti introduttivi al primo avvio.
4.28. Gestione degli ambiti delegata
Gli amministratori IT possono delegare privilegi aggiuntivi a singoli pacchetti.
4.28.1. Gli amministratori IT possono gestire i seguenti ambiti:
- Installazione e gestione dei certificati
- Deliberatamente vuoto
- Log di rete
- Registrazione della sicurezza (non supportata per il profilo di lavoro su dispositivi di proprietà personale)
4.29. Supporto dell'ID specifico per la registrazione
A partire da Android 12, i profili di lavoro non avranno più accesso agli identificatori specifici dell'hardware. Gli amministratori IT possono seguire il ciclo di vita di un dispositivo con un profilo di lavoro tramite l'ID specifico della registrazione, che verrà mantenuto durante i ripristini dei dati di fabbrica.
4.29.1. Gli amministratori IT possono impostare e ottenere un ID specifico per la registrazione
4.29.2. Questo ID specifico per la registrazione deve essere mantenuto dopo un ripristino dei dati di fabbrica
4.30. Norme del gestore delle credenziali
Gli amministratori IT possono gestire le applicazioni di gestione delle credenziali consentite o bloccate utilizzando i criteri.
4.30.1 Gli amministratori IT possono bloccare facoltativamente tutti i gestori delle credenziali sul dispositivo (o all'interno del profilo di lavoro).
4.30.2 Gli amministratori IT possono specificare di consentire solo i gestori delle credenziali precaricati (app di sistema).
4.30.3 Gli amministratori IT possono specificare un elenco di nomi di pacchetti autorizzati a offrire la funzionalità di gestione delle credenziali.
4.31. Gestione di base delle eSIM
Consente agli amministratori IT di eseguire il provisioning di un dispositivo con un profilo eSIM e di gestirne il ciclo di vita sul dispositivo.
4.31.1 Gli amministratori IT possono eseguire il provisioning silenzioso di un profilo eSIM su un dispositivo.
4.31.2 Gli amministratori IT possono eliminare le eSIM gestite da un dispositivo.
4.31.3 Gli amministratori IT possono impedire agli utenti di modificare le impostazioni di rete mobile in
Impostazioni (vai a mobileNetworksConfigDisabled).
4.31.4 Quando un amministratore IT esegue la cancellazione da remoto di un dispositivo o di un profilo di lavoro, ha la possibilità di rimuovere anche le eSIM gestite dal dispositivo. Per impostazione predefinita, le eSIM gestite vengono rimosse dai profili di lavoro sui dispositivi personali, ma vengono conservate sui dispositivi di proprietà aziendale.
4.31.5 (FACOLTATIVO) Gli amministratori IT possono recuperare l'identificatore EID (Embedded Identity Document) di un dispositivo utilizzando l'interfaccia utente della console EMM (o un metodo equivalente) ed esportare questi valori.
5. Usabilità del dispositivo
5.1. Personalizzazione del provisioning gestito
Gli amministratori IT possono modificare l'esperienza utente del flusso di configurazione predefinito per includere funzionalità specifiche dell'azienda. Se vuoi, gli amministratori IT possono visualizzare il branding fornito da EMM durante il provisioning.
5.1.1. Gli amministratori IT possono personalizzare il processo di provisioning specificando i seguenti dettagli specifici dell'azienda: colore dell'azienda, logo dell'azienda, termini di servizio dell'azienda e altre dichiarazioni di non responsabilità.
5.1.2. Gli amministratori IT possono implementare una personalizzazione specifica per EMM non configurabile che include i seguenti dettagli: colore EMM, logo EMM, termini di servizio EMM e altre dichiarazioni di non responsabilità.
5.1.3 [primaryColor] è stato ritirato per la risorsa aziendale su
Android 10 e versioni successive.
- Gli EMM devono includere i Termini di servizio di provisioning e altre dichiarazioni di non responsabilità per il flusso di provisioning nel bundle di dichiarazioni di non responsabilità per il provisioning di sistema, anche se la personalizzazione specifica dell'EMM non viene utilizzata.
- I provider EMM possono impostare la propria personalizzazione specifica non configurabile come impostazione predefinita per tutte le implementazioni, ma devono consentire agli amministratori IT di configurare la propria personalizzazione.
5.2. Personalizzazione aziendale
Gli amministratori IT possono personalizzare alcuni aspetti del profilo di lavoro con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona utente nel profilo di lavoro sul logo aziendale. Un altro esempio è l'impostazione del colore di sfondo della sfida di lavoro.
5.2.1. Gli amministratori IT possono impostare il colore dell'organizzazione, da utilizzare come colore di sfondo della sfida di lavoro.
5.2.2. Gli amministratori IT possono impostare il nome visualizzato del profilo di lavoro .
5.2.3. Gli amministratori IT possono impostare l'icona utente del profilo di lavoro .
5.2.4. Gli amministratori IT possono impedire all'utente di modificare l'icona utente del profilo di lavoro .
5.3. Personalizzazione aziendale avanzata
Gli amministratori IT possono personalizzare i dispositivi gestiti con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona dell'utente principale sul logo aziendale o impostare lo sfondo del dispositivo.
5.3.1. Gli amministratori IT possono impostare il nome visualizzato per il dispositivo gestito .
5.3.2. Gli amministratori IT possono impostare l'icona utente del dispositivo gestito .
5.3.3. Gli amministratori IT possono impedire all'utente di modificare l'icona utente del dispositivo.
5.3.4. Gli amministratori IT possono impostare lo sfondo del dispositivo .
5.3.5. Gli amministratori IT possono impedire all'utente di modificare lo sfondo del dispositivo.
5.4. Messaggi schermata di blocco
Gli amministratori IT possono impostare un messaggio personalizzato che viene sempre visualizzato nella schermata di blocco del dispositivo e non richiede lo sblocco del dispositivo per essere visualizzato.
5.4.1. Gli amministratori IT possono impostare un messaggio personalizzato nella schermata di blocco.
5.5. Gestione della trasparenza delle norme
Gli amministratori IT possono personalizzare il testo guida fornito agli utenti quando modificano le impostazioni gestite sul proprio dispositivo o eseguire il deployment di un messaggio di assistenza generico fornito dall'EMM. I messaggi di assistenza brevi e lunghi possono essere personalizzati. Questi messaggi vengono visualizzati in casi come il tentativo di disinstallare un'app gestita per la quale un amministratore IT ha già bloccato la disinstallazione.
5.5.1. Gli amministratori IT personalizzano i messaggi di assistenza brevi e lunghi.
5.5.2. Gli amministratori IT possono implementare messaggi di assistenza brevi e lunghi non configurabili e specifici per EMM.
- EMM può impostare i propri messaggi di assistenza non configurabili e specifici come valore predefinito per tutte le implementazioni, ma deve consentire agli amministratori IT di configurare i propri messaggi.
5.6. Gestione dei contatti tra profili
Gli amministratori IT possono controllare quali dati di contatto possono uscire dal profilo di lavoro. Le app di telefonia e messaggistica (SMS) devono essere eseguite nel profilo personale e richiedono l'accesso ai dati di contatto del profilo di lavoro per offrire efficienza per i contatti di lavoro, ma gli amministratori possono scegliere di disattivare queste funzionalità per proteggere i dati di lavoro.
5.6.1. Gli amministratori IT possono disattivare la ricerca dei contatti tra profili per le app personali che utilizzano il provider di contatti di sistema.
5.6.2. Gli amministratori IT possono disattivare la ricerca dell'ID chiamante cross-profilo per le app Telefono personali che utilizzano il provider di contatti di sistema.
5.6.3. Gli amministratori IT possono disattivare la condivisione dei contatti Bluetooth con i dispositivi Bluetooth che utilizzano il provider di contatti di sistema, ad esempio le chiamate in vivavoce in auto o le cuffie.
5.7. Gestione dei dati tra profili
Consente agli amministratori IT di gestire i dati che possono uscire dal profilo di lavoro, oltre alle funzionalità di sicurezza predefinite del profilo di lavoro. Con questa funzionalità, gli amministratori IT possono consentire la condivisione di determinati tipi di dati tra profili per migliorare l'usabilità in casi d'uso chiave. Gli amministratori IT possono anche proteggere ulteriormente i dati aziendali con ulteriori blocchi.
5.7.1. Gli amministratori IT possono configurare i filtri di intent cross-profile in modo che le app personali possano risolvere l'intent dal profilo di lavoro, ad esempio gli intent di condivisione o i link web.
- Console può suggerire facoltativamente filtri per intent noti o consigliati per la configurazione, ma non può limitare i filtri per intent a un elenco arbitrario.
5.7.2. Gli amministratori IT possono consentire alle app gestite di visualizzare i widget nella schermata Home.
- La console EMM deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione agli utenti applicabili.
5.7.3. Gli amministratori IT possono bloccare l'utilizzo di copia/incolla tra i profili di lavoro e personali.
5.7.4. Gli amministratori IT possono impedire agli utenti di condividere i dati dal profilo di lavoro utilizzando la trasmissione NFC.
5.7.5. Gli amministratori IT possono consentire alle app personali di aprire link web dal profilo di lavoro.
5.8. Norme sugli aggiornamenti di sistema
Gli amministratori IT possono configurare e applicare aggiornamenti di sistema over-the-air (OTA) per i dispositivi.
5.8.1. La console EMM consente agli amministratori IT di impostare le seguenti configurazioni OTA:
- Automatico: i dispositivi installano gli aggiornamenti OTA quando diventano disponibili.
- Posticipa: gli amministratori IT devono essere in grado di posticipare l'aggiornamento OTA fino a 30 giorni. Questo criterio non influisce sugli aggiornamenti della sicurezza (ad es. le patch di sicurezza mensili).
- A finestre: gli amministratori IT devono essere in grado di pianificare gli aggiornamenti OTA all'interno di un periodo di manutenzione giornaliera.
5.8.2. L'app DPC dell'EMM applica le configurazioni OTA ai dispositivi.
5.9. Gestione della modalità di blocco attività
Gli amministratori IT possono bloccare una o più app sullo schermo e assicurarsi che gli utenti non possano uscire dall'app.
5.9.1. La console EMM consente agli amministratori IT di consentire l'installazione e il blocco di un insieme arbitrario di app su un dispositivo in modo silenzioso. Il DPC dell'EMM consente la modalità dispositivo dedicato.
5.10. Gestione persistente delle attività preferite
Consente agli amministratori IT di impostare un'app come gestore di intent predefinito per gli intent che corrispondono a un determinato filtro per intent. Ad esempio, consentendo agli amministratori IT di scegliere quale app browser apre automaticamente i link web o quale app di avvio app viene utilizzata quando si tocca il pulsante Home.
5.10.1. Gli amministratori IT possono impostare qualsiasi pacchetto come gestore di intent predefinito per qualsiasi filtro di intent arbitrario.
- La console EMM può suggerire facoltativamente intent noti o consigliati per la configurazione, ma non può limitare gli intent a un elenco arbitrario.
- La console EMM deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti applicabili.
5.11. Gestione delle funzionalità di Keyguard
- agenti di attendibilità
- sblocco con l'impronta
- notifiche non oscurate
5.11.2. Il DPC dell'EMM può disattivare le seguenti funzionalità di protezione della tastiera nel profilo di lavoro:
- agenti di attendibilità
- sblocco con l'impronta
5.12. Gestione avanzata della funzionalità di protezione tasti
- Videocamera sicura
- Tutte le notifiche
- Notifiche non oscurate
- Agenti di attendibilità
- Sblocco con l'impronta
- Tutte le funzionalità della protezione con tastierino
5.13. Debug remoto
Gli amministratori IT possono recuperare le risorse di debug dai dispositivi senza richiedere passaggi aggiuntivi.
5.13.1. Gli amministratori IT possono richiedere da remoto segnalazioni di bug, visualizzare le segnalazioni di bug dalla console EMM e scaricarle dalla console EMM.
5.14. Recupero dell'indirizzo MAC
Gli EMM possono recuperare automaticamente l'indirizzo MAC di un dispositivo. L'indirizzo MAC può essere utilizzato per identificare i dispositivi in altre parti dell'infrastruttura aziendale (ad esempio quando si identificano i dispositivi per il controllo dell'accesso alla rete).
5.14.1. L'EMM può recuperare in modo silenzioso l'indirizzo MAC di un dispositivo e associarlo al dispositivo nella console dell'EMM.
5.15. Gestione avanzata della modalità di blocco attività
Quando un dispositivo viene configurato come dispositivo dedicato, gli amministratori IT possono utilizzare la console EMM per eseguire le seguenti attività:
5.15.1. Consenti in modo invisibile a una singola app di bloccare un dispositivo utilizzando il DPC dell'EMM.
5.15.2. Attiva o disattiva le seguenti funzionalità dell'Ottimizzatore UI di sistema utilizzando il DPC dell'EMM :
- Pulsante Home
- Panoramica
- Azioni globali
- Notifiche
- Informazioni di sistema / Barra di stato
- Keyguard (schermata di blocco)
5.15.3. Disattiva le finestre di dialogo di errore di sistema utilizzando il DPC dell'EMM.
5.16. Criterio di aggiornamento di sistema avanzato
Gli amministratori IT possono bloccare gli aggiornamenti di sistema su un dispositivo per un periodo di blocco specificato.
5.16.1. Il DPC dell'EMM può applicare aggiornamenti di sistema over-the-air (OTA) ai dispositivi per un periodo di blocco specificato.
5.17. Gestione della trasparenza delle norme del profilo di lavoro
Gli amministratori IT possono personalizzare il messaggio visualizzato dagli utenti quando rimuovono il profilo di lavoro da un dispositivo.
5.17.1. Gli amministratori IT possono fornire un testo personalizzato da visualizzare quando viene cancellato un profilo di lavoro.
5.18. Assistenza per le app collegate
Gli amministratori IT possono impostare un elenco di pacchetti che possono comunicare oltre il confine del profilo di lavoro.
5.19. Aggiornamenti di sistema manuali
Gli amministratori IT possono installare manualmente un aggiornamento di sistema fornendo un percorso.
6. Ritiro di Amministrazione dispositivo
6.1. Ritiro di Amministrazione dispositivo
I fornitori di servizi di gestione della mobilità aziendale (EMM) sono tenuti a pubblicare un piano entro la fine del 2022 per terminare l'assistenza clienti per Amministrazione dispositivo sui dispositivi GMS entro la fine del primo trimestre del 2023.
7. Utilizzo delle API
7.1. Policy Controller standard per i nuovi binding
Per impostazione predefinita, i dispositivi devono essere gestiti utilizzando Android Device Policy per tutti i nuovi binding. Le soluzioni EMM potrebbero offrire la possibilità di gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto un'intestazione "Avanzate" o una terminologia simile. I nuovi clienti non devono essere esposti a una scelta arbitraria tra stack tecnologici durante i flussi di lavoro di onboarding o configurazione.
7.2. Controller dei criteri standard per i nuovi dispositivi
Per impostazione predefinita, i dispositivi devono essere gestiti utilizzando Android Device Policy per tutte le nuove registrazioni di dispositivi, sia per i binding esistenti sia per quelli nuovi. Le soluzioni EMM potrebbero fornire l'opzione per gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto un'intestazione "Avanzate" o una terminologia simile.