На этой странице представлен полный набор функций Android Enterprise.
Если вы планируете управлять более чем 500 устройствами, ваше решение EMM должно поддерживать все стандартные функции ( ) как минимум одного набора решений, прежде чем оно станет коммерчески доступным. Решения EMM, прошедшие проверку стандартных функций, перечислены в каталоге корпоративных решений Android как предлагающие стандартный набор управления .
Для каждого набора решений доступен дополнительный набор расширенных функций. Эти функции обозначены на странице каждого набора решений: рабочий профиль на личном устройстве , рабочий профиль на корпоративном устройстве , полностью управляемое устройство и выделенное устройство . Решения EMM, прошедшие проверку расширенных функций, указаны в каталоге корпоративных решений Android как предлагающие расширенный набор управления .
Ключ
| стандартная функция | расширенная функция | дополнительная функция | неприменимо |
1. Подготовка устройства
1.1. Подготовка рабочего профиля DPC-first
Вы можете подготовить рабочий профиль после загрузки DPC EMM из Google Play.
1.1.1. DPC EMM должен быть доступен публично в Google Play, чтобы пользователи могли установить DPC на персональную часть устройства.
1.1.2. После установки DPC должен провести пользователя через процесс подготовки рабочего профиля.
1.1.3. После завершения подготовки на персональной стороне устройства не должно оставаться никаких управляющих элементов .
- Любые политики, примененные во время подготовки, должны быть удалены.
- Привилегии приложения должны быть отозваны.
- DPC EMM должен быть, как минимум, отключен на персональной стороне устройства.
1.2. Подготовка устройства DPC-идентификатора
ИТ-администраторы могут подготовить полностью управляемое или выделенное устройство с использованием идентификатора DPC («afw#») в соответствии с рекомендациями по реализации, определенными в документации для разработчиков API Play EMM .
1.2.1. Код DPC для EMM должен быть доступен в Google Play. Код DPC должен быть доступен для установки через мастер настройки устройства путем ввода идентификатора, специфичного для DPC.
1.2.2. После установки ЦОД EMM должен провести пользователя через процесс подготовки полностью управляемого или выделенного устройства.
1.3. Подготовка NFC-устройства
Теги NFC могут использоваться ИТ-администраторами для подготовки новых или сброшенных до заводских настроек устройств в соответствии с рекомендациями по внедрению, изложенными в документации для разработчиков API Play EMM .
1.3.1. Устройства EMM должны использовать метки NFC Forum Type 2 с объёмом памяти не менее 888 байт. Для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство должны использоваться дополнительные функции. Регистрационные данные не должны содержать конфиденциальной информации, такой как пароли или сертификаты.
1.3.2. После того, как DPC EMM назначает себя владельцем устройства, DPC должен немедленно открыться и заблокироваться на экране до полной настройки устройства. 1.3.3. Мы рекомендуем использовать NFC-метки для Android 10 и более поздних версий в связи с прекращением поддержки технологии NFC Beam (также известной как NFC Bump).
1.4. Подготовка устройства с помощью QR-кода
ИТ-администраторы могут использовать новое или сброшенное до заводских настроек устройство для сканирования QR-кода, сгенерированного консолью EMM, для подготовки устройства к работе в соответствии с рекомендациями по реализации, изложенными в документации для разработчиков API Play EMM .
1.4.1. QR-код должен использовать дополнительные функции для передачи устройству неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации. Регистрационные данные не должны содержать конфиденциальную информацию, такую как пароли или сертификаты.
1.4.2. После того, как центр обработки данных (ЦОД) EMM настроит устройство, ЦОД должен немедленно открыться и зафиксироваться на экране до полной настройки устройства.
1.5. Регистрация без участия пользователя
ИТ-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров , и управлять ими с помощью консоли EMM.
1.5.1. ИТ-администраторы могут подготовить принадлежащие компании устройства, используя метод автоматической регистрации, описанный в разделе «Автоматическая регистрация для ИТ-администраторов» .
1.5.2. При первом включении устройства оно автоматически загружается в соответствии с настройками, заданными системным администратором.
1.6. Расширенная автоматическая настройка
ИТ-администраторы могут автоматизировать большую часть процесса регистрации устройств, используя регистрационные данные DPC с помощью автоматической регистрации. DPC EMM поддерживает ограничение регистрации определенными учетными записями или доменами в соответствии с параметрами конфигурации, предлагаемыми EMM.
1.6.1. ИТ-администраторы могут подготовить принадлежащее компании устройство, используя метод автоматической регистрации, описанный в разделе «Автоматическая регистрация для ИТ-администраторов» .
1.6.2. После того, как DPC EMM настроит устройство, DPC EMM должен немедленно открыться и зафиксироваться на экране до полной настройки устройства.
- Это требование не применяется к устройствам, которые используют данные регистрации с нулевым уровнем участия для полной автоматической настройки (например, при развертывании выделенного устройства).
1.6.3. Используя регистрационные данные, центр обработки данных (ЦОД) EMM должен гарантировать, что неавторизованные пользователи не смогут выполнить активацию после вызова ЦОД. Как минимум, активация должна быть ограничена пользователями конкретного предприятия.
1.6.4. Используя регистрационные данные, центр обработки данных EMM должен предоставлять ИТ-администраторам возможность предварительного заполнения регистрационных данных (например, идентификаторов серверов, идентификаторов регистрации), а также уникальной информации о пользователе или устройстве (например, имени пользователя/пароля, токена активации), чтобы пользователям не приходилось вводить данные при активации устройства.
- EMM не должны включать конфиденциальную информацию, такую как пароли или сертификаты, в конфигурацию автоматической регистрации.
1.7. Подготовка рабочего профиля аккаунта Google
Для предприятий, использующих управляемый домен Google , эта функция помогает пользователям настроить рабочий профиль после ввода учётных данных корпоративного Workspace во время настройки устройства или на уже активированном устройстве. В обоих случаях корпоративный идентификатор Workspace будет перенесён в рабочий профиль.
1.7.1. Метод подготовки учетной записи Google обеспечивает рабочий профиль в соответствии с определенными рекомендациями по реализации .
1.8. Подготовка устройства к использованию аккаунта Google
Для предприятий, использующих Workspace, эта функция помогает пользователям установить DPC для EMM после ввода корпоративных учётных данных Workspace при первоначальной настройке устройства. После установки DPC завершает настройку корпоративного устройства.
1.8.1. Метод подготовки учетной записи Google предусматривает подготовку устройства, принадлежащего компании, в соответствии с определенными руководящими принципами реализации .
1.8.2. Если EMM не может однозначно идентифицировать устройство как корпоративный ресурс, оно не может подготовить устройство без запроса в процессе подготовки. Этот запрос должен выполнять действие, отличное от действия по умолчанию, например, устанавливать флажок или выбирать пункт меню, отличный от заданного по умолчанию. Рекомендуется, чтобы EMM мог идентифицировать устройство как корпоративный ресурс, чтобы запрос не требовался.
1.9. Прямая конфигурация с нулевым уровнем прикосновения
ИТ-администраторы могут использовать консоль EMM для настройки устройств с нулевым уровнем сенсорного ввода с помощью iframe с нулевым уровнем сенсорного ввода .
1.10. Рабочие профили на корпоративных устройствах
EMM могут регистрировать принадлежащие компании устройства, имеющие рабочий профиль.
1.10.1. Намеренно пустой.
1.10.2. ИТ-администраторы могут устанавливать действия по обеспечению соответствия для рабочих профилей на корпоративных устройствах.
1.10.3. ИТ-администраторы могут отключить камеру либо в рабочем профиле, либо на всем устройстве.
1.10.4. ИТ-администраторы могут отключить захват экрана как в рабочем профиле, так и на всем устройстве.
1.10.5. ИТ-администраторы могут составить список приложений, которые нельзя установить в личном профиле.
1.10.6. ИТ-администраторы могут отказаться от управления устройством, принадлежащим компании, удалив рабочий профиль или удалив все данные с устройства.
1.11. Выделенное устройство для подготовки
ИТ-администраторы могут регистрировать выделенные устройства без необходимости аутентификации пользователя с помощью учетной записи Google.
2. Безопасность устройства
2.1. Проблема безопасности устройства
ИТ-администраторы могут устанавливать и применять проверку безопасности устройства (PIN-код/шаблон/пароль) из трех предопределенных уровней сложности на управляемых устройствах.
2.1.1. Политика должна обеспечивать соблюдение настроек, управляющих проблемами безопасности устройств (parentProfilePasswordRequirements для рабочего профиля, passwordRequirements для полностью управляемых и выделенных устройств).
2.1.2. Сложность пароля должна соответствовать следующим показателям сложности пароля:
- PASSWORD_COMPLEXITY_LOW - шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4 символов
- PASSWORD_COMPLEXITY_HIGH - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей и длиной не менее 8 символов или буквенные или буквенно-цифровые пароли длиной не менее 6 символов
2.2. Проблема безопасности труда
ИТ-администраторы могут устанавливать и применять отдельный запрос безопасности для приложений и данных в рабочем профиле, который имеет другие требования, чем запрос безопасности устройства (2.1.).
2.2.1. Политика должна обеспечивать проверку безопасности для рабочего профиля. По умолчанию ИТ-администраторы должны устанавливать ограничения только для рабочего профиля, если область действия не указана. ИТ-администраторы могут установить это ограничение для всего устройства, указав область действия (см. требование 2.1).
2.1.2. Сложность пароля должна соответствовать следующим показателям сложности пароля:
- PASSWORD_COMPLEXITY_LOW - шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4 символов
- PASSWORD_COMPLEXITY_HIGH - PIN-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей и длиной не менее 8 символов или буквенные или буквенно-цифровые пароли длиной не менее 6 символов
2.3. Расширенное управление паролем
2.3.1. Намеренно пустой.
2.3.2. Намеренно пустой.
2.3.3. Для каждого экрана блокировки, доступного на устройстве, можно установить следующие параметры жизненного цикла пароля:
- Намеренно пустой
- Намеренно пустой
- Максимальное количество неудачных паролей для стирания : определяет, сколько раз пользователи могут ввести неправильный пароль, прежде чем корпоративные данные будут удалены с устройства. ИТ-администраторы должны иметь возможность отключить эту функцию.
2.4. Управление интеллектуальным замком
ИТ-администраторы могут управлять тем, каким агентам доверия в функции Smart Lock Android разрешено разблокировать устройства. Они могут отключить определенные методы разблокировки, такие как доверенные устройства Bluetooth, распознавание лиц и голоса, или при желании полностью отключить эту функцию.
2.4.1. ИТ-администраторы могут отключать агенты доверия Smart Lock независимо для каждого экрана блокировки, доступного на устройстве.
2.4.2. ИТ-администраторы могут выборочно разрешать и настраивать агенты доверия Smart Lock , независимо для каждого экрана блокировки, доступного на устройстве, для следующих агентов доверия: Bluetooth, NFC, местоположение, лицо, распознавание тела и голос.
- ИТ-администраторы могут изменять доступные параметры конфигурации Trust Agent.
2.5. Протирание и блокировка
ИТ-администраторы могут использовать консоль EMM для удаленной блокировки и удаления рабочих данных с управляемого устройства.
2.5.1. ЦОД ЕММ должен блокировать устройства.
2.5.2. Центр обработки данных EMM должен стирать данные с устройств.
2.6. Обеспечение соблюдения требований
Если устройство не соответствует политикам безопасности, рабочие данные автоматически ограничиваются.
2.6.1. Политики безопасности, применяемые на устройстве, должны как минимум включать политику паролей.
2.7 Политики безопасности по умолчанию
EMM-системы должны по умолчанию применять указанные политики безопасности на устройствах, не требуя от ИТ-администраторов настройки или изменения каких-либо параметров в консоли EMM. EMM-системам рекомендуется (но не обязательно) не позволять ИТ-администраторам изменять состояние этих функций безопасности по умолчанию.
2.7.1. Центр обработки данных EMM должен блокировать установку приложений из неизвестных источников, включая приложения, установленные на персональной стороне любого устройства Android 8.0+ с рабочим профилем.
2.7.2. ЦОД ЕММ должен блокировать отладочные функции.
2.8 Политики безопасности для выделенных устройств
Выделенные устройства блокируются без возможности выхода для выполнения других действий.
2.8.1. DPC EMM должен по умолчанию отключать загрузку в безопасном режиме.
2.8.2. Панель управления ЕММ должна быть открыта и заблокирована на экране сразу же после первой загрузки во время подготовки к работе, чтобы исключить любое другое взаимодействие с устройством.
2.8.3. DPC EMM должен быть установлен в качестве средства запуска по умолчанию, чтобы гарантировать, что разрешенные приложения будут закреплены на экране при загрузке, в соответствии с определенными рекомендациями по реализации .
2.9. Поддержка честности игры
EMM использует API Play Integrity для подтверждения того, что устройства являются допустимыми устройствами Android.
2.9.1. DPC EMM реализует API Play Integrity во время подготовки и по умолчанию завершает подготовку устройства с корпоративными данными только в том случае, если возвращаемая целостность устройства соответствует уровню MEETS_STRONG_INTEGRITY .
2.9.2. Центр обработки данных (DPC) EMM будет выполнять повторную проверку целостности воспроизведения каждый раз при подключении устройства к серверу EMM. Эта проверка настраивается системным администратором. Сервер EMM проверит информацию APK в ответе проверки целостности и сам ответ перед обновлением корпоративной политики на устройстве.
2.9.3. ИТ-администраторы могут настраивать различные ответные меры политики на основе результатов проверки целостности воспроизведения, включая блокировку предоставления услуг, удаление корпоративных данных и разрешение продолжения регистрации.
- Служба EMM будет применять этот ответ политики к результату каждой проверки целостности.
2.9.4. Если первоначальная проверка целостности воспроизведения не удалась или вернула результат, не соответствующий строгой целостности, и если DPC EMM еще не вызвал EnsureWorkingEnvironment , то он должен сделать это и повторить проверку до завершения подготовки.
2.10. Проверка соблюдения правил приложений
ИТ-администраторы могут включить функцию «Проверка приложений» на устройствах. Функция «Проверка приложений» сканирует приложения на устройствах Android на наличие вредоносного ПО до и после их установки, гарантируя, что вредоносные приложения не смогут скомпрометировать корпоративные данные.
2.10.1. Центр обработки данных EMM должен по умолчанию включить функцию проверки приложений.
2.11 Поддержка прямой загрузки
Приложения не могут запускаться на устройствах Android 7.0+, которые только что были включены, пока устройство не будет предварительно разблокировано. Поддержка Direct Boot гарантирует, что DPC EMM всегда активен и способен применять политику, даже если устройство не разблокировано.
2.11.1. Центр обработки данных (ЦОД) EMM использует зашифрованное хранилище устройства для выполнения критически важных функций управления до расшифровки зашифрованного хранилища учетных данных ЦОД. Функции управления, доступные во время прямой загрузки, должны включать (но не ограничиваться):
- Очистка корпоративных данных , включая возможность очистки данных защиты от сброса настроек по умолчанию при необходимости.
2.11.2. Центр обработки данных EMM не должен раскрывать корпоративные данные, находящиеся в зашифрованном хранилище устройства.
2.11.3. EMM-устройства могут настроить и активировать токен для включения кнопки «Забыли пароль» на экране блокировки рабочего профиля. Эта кнопка используется для запроса у ИТ-администраторов безопасного сброса пароля рабочего профиля.
2.12 Управление безопасностью оборудования
ИТ-администраторы могут заблокировать аппаратные элементы корпоративного устройства, чтобы предотвратить потерю данных.
2.12.1. ИТ-администраторы могут запретить пользователям монтировать внешние физические носители на своих устройствах.
2.12.2. ИТ-администраторы могут запретить пользователям обмениваться данными со своих устройств с помощью NFC-датчика . Эта подфункция необязательна, поскольку функция NFC-датчика больше не поддерживается в Android 10 и более поздних версиях.
2.12.3. ИТ-администраторы могут запретить пользователям передавать файлы через USB со своих устройств.
2.13. Ведение журнала безопасности предприятия
ИТ-администраторы могут собирать данные об использовании устройств, которые затем анализируются и программно оцениваются на предмет вредоносного или рискованного поведения. Регистрируются такие действия, как активность Android Debug Bridge (adb), запуск приложений и разблокировка экрана.
2.13.1. ИТ-администраторы могут включить ведение журнала безопасности для определенных устройств, а DPC EMM должен иметь возможность автоматически извлекать как журналы безопасности , так и журналы безопасности до перезагрузки .
2.13.2. ИТ-администраторы могут просматривать журналы безопасности предприятия для заданного устройства и настраиваемого временного окна в консоли EMM.
2.13.3. ИТ-администраторы могут экспортировать журналы безопасности предприятия из консоли EMM.
3. Управление аккаунтами и приложениями
3.1. Корпоративная привязка
ИТ-администраторы могут привязать EMM к своей организации, разрешив EMM использовать управляемый Google Play для распространения приложений на устройства.
3.1.1. Администратор с существующим управляемым доменом Google может привязать свой домен к EMM.
3.1.2. Консоль EMM должна автоматически инициализировать и настроить уникальный ESA для каждого предприятия.
3.1.3. Отменить регистрацию предприятия с помощью API Play EMM .
3.1.4. Консоль EMM предлагает администратору ввести рабочий адрес электронной почты при регистрации на Android и не рекомендует использовать учетную запись Gmail.
3.1.5. EMM автоматически заполняет адрес электронной почты администратора в процессе регистрации на Android.
3.2. Подготовка управляемого аккаунта Google Play
EMM может автоматически создавать корпоративные учётные записи пользователей , называемые управляемыми учётными записями Google Play. Эти учётные записи идентифицируют управляемых пользователей и позволяют применять уникальные правила распространения приложений для каждого пользователя.
3.2.1. Центр обработки данных EMM может автоматически предоставлять и активировать управляемую учетную запись Google Play в соответствии с установленными правилами реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемая учетная запись Google Play типа
userAccountдолжна иметь однозначное соответствие с реальными пользователями в консоли EMM.
3.3. Подготовка учетной записи управляемого устройства Google Play
EMM может создавать и предоставлять управляемые учетные записи устройств Google Play. Учетные записи устройств поддерживают скрытую установку приложений из управляемого магазина Google Play и не привязаны к одному пользователю. Вместо этого учетная запись устройства используется для идентификации одного устройства и поддержки правил распространения приложений для каждого устройства в сценариях с выделенными устройствами.
3.3.1. Центр обработки данных EMM может автоматически предоставить и активировать управляемую учетную запись Google Play в соответствии с установленными правилами реализации . Для этого на устройстве необходимо добавить управляемую учетную запись Google Play типа deviceAccount .
3.4. Управление аккаунтом Google Play для устаревших устройств
EMM может автоматически предоставлять корпоративные учётные записи пользователей, называемые управляемыми учётными записями Google Play. Эти учётные записи идентифицируют управляемых пользователей и позволяют применять уникальные правила распространения приложений для каждого пользователя.
3.4.1. Центр обработки данных EMM может автоматически предоставлять и активировать управляемую учетную запись Google Play в соответствии с установленными правилами реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемая учетная запись Google Play типа
userAccountдолжна иметь однозначное соответствие с реальными пользователями в консоли EMM.
3.5. Тихое распространение приложений
ИТ-администраторы могут незаметно распространять рабочие приложения на устройствах пользователей без какого-либо взаимодействия с ними.
3.5.1. Консоль EMM должна использовать API Play EMM , чтобы позволить ИТ-администраторам устанавливать рабочие приложения на управляемые устройства.
3.5.2. Консоль EMM должна использовать API Play EMM , чтобы позволить ИТ-администраторам обновлять рабочие приложения на управляемых устройствах.
3.5.3. Консоль EMM должна использовать API Play EMM , чтобы позволить ИТ-администраторам удалять приложения на управляемых устройствах.
3.6. Управление конфигурацией
ИТ-администраторы могут просматривать и автоматически настраивать управляемые конфигурации или любое приложение, поддерживающее управляемые конфигурации.
3.6.1. Консоль EMM должна иметь возможность извлекать и отображать управляемые параметры конфигурации любого приложения Play.
- EMM могут вызвать
Products.getAppRestrictionsSchemaдля извлечения схемы управляемых конфигураций приложения или встроить фрейм управляемых конфигураций в свою консоль EMM.
3.6.2. Консоль EMM должна позволять ИТ-администраторам устанавливать любой тип конфигурации (как определено платформой Android) для любого приложения Play с использованием API Play EMM .
3.6.3. Консоль EMM должна позволять ИТ-администраторам задавать подстановочные знаки (например, $username$ или %emailAddress%), чтобы одну конфигурацию приложения, например Gmail, можно было применить к нескольким пользователям. iframe управляемой конфигурации автоматически поддерживает это требование.
3.7 Управление каталогом приложений
ИТ-администраторы могут импортировать список приложений, одобренных для их предприятия, из управляемого Google Play ( play.google.com/work ).
3.7.1. Консоль EMM может отображать список приложений, одобренных для распространения, включая:
- Приложения, купленные в управляемом Google Play
- Частные приложения, видимые ИТ-администраторам
- Программно одобренные приложения
3.8. Программное одобрение приложений
Консоль EMM использует управляемый iframe Google Play для поддержки функций обнаружения и одобрения приложений Google Play. ИТ-администраторы могут искать приложения, одобрять их и утверждать разрешения для новых приложений, не покидая консоль EMM.
3.8.1. ИТ-администраторы могут искать приложения и одобрять их в консоли EMM, используя управляемый iframe Google Play .
3.9. Базовое управление планировкой магазина
Управляемое приложение Google Play Store можно использовать на устройствах для установки и обновления рабочих приложений. По умолчанию отображается базовый макет магазина , в котором перечислены приложения, одобренные для предприятия, которые EMM-системы фильтруют по отдельным пользователям в соответствии с политикой.
3.9.1. ИТ-администраторы могут [управлять доступными пользователям наборами продуктов]/android/work/play/emm-api/samples#grant_a_user_access_to_apps), чтобы разрешить просмотр и установку приложений из управляемого магазина Google Play в разделе «Главная страница магазина».
3.10 Расширенная конфигурация планировки магазина
ИТ-администраторы могут настраивать макет магазина, отображаемый в управляемом приложении Google Play Store на устройствах.
3.10.1. ИТ-администраторы могут выполнять следующие действия в консоли EMM для настройки макета управляемого магазина Google Play :
- Создавайте до 100 страниц макета магазина. Страницы могут иметь произвольное количество локализованных названий.
- Создайте до 30 кластеров для каждой страницы. Кластеры могут иметь произвольное количество локализованных имён.
- Назначьте до 100 приложений в каждый кластер.
- Добавьте до 10 быстрых ссылок на каждую страницу.
- Укажите порядок сортировки приложений внутри кластера и кластеров внутри страницы.
3.11 Управление лицензиями приложений
ИТ-администраторы могут просматривать и управлять лицензиями приложений, приобретенными в управляемом Google Play, с консоли EMM.
3.11.1. Для платных приложений, одобренных для предприятия, консоль EMM должна отображать :
- Количество приобретенных лицензий.
- Количество использованных лицензий и пользователи, использующие эти лицензии.
- Количество лицензий, доступных для распространения.
3.11.2. ИТ-администраторы могут незаметно назначать лицензии пользователям, не требуя принудительной установки приложения на устройства пользователей.
3.11.3. ИТ-администраторы могут отменить назначение лицензии на приложение пользователю .
3.12. Управление частными приложениями, размещенными на платформе Google
ИТ-администраторы могут обновлять частные приложения, размещенные Google, через консоль EMM, а не через консоль Google Play.
3.12.1. ИТ-администраторы могут загружать новые версии приложений, которые уже опубликованы в частном порядке на предприятии, используя:
3.13. Управление собственными частными приложениями
ИТ-администраторы могут настраивать и публиковать собственные приложения. В отличие от приложений, размещаемых в Google, Google Play не размещает APK-файлы. Вместо этого EMM помогает ИТ-администраторам самостоятельно размещать APK-файлы и защищает собственные приложения, проверяя, что их установка возможна только с разрешения управляемого Google Play.
Подробную информацию ИТ-администраторы могут получить в разделе «Поддержка частных приложений» .
3.13.1. Консоль EMM должна помогать ИТ-администраторам размещать APK-файл приложения, предлагая обе из следующих возможностей:
- Размещение APK-файла на сервере EMM. Сервер может быть локальным или облачным.
- Размещение APK-файла вне сервера EMM осуществляется по усмотрению IT-администратора. IT-администратор должен указать в консоли EMM, где будет размещен APK-файл.
3.13.2. Консоль EMM должна генерировать соответствующий файл определения APK с использованием предоставленного APK и должна проводить ИТ-администраторов через процесс публикации.
3.13.3. ИТ-администраторы могут обновлять размещенные на собственном сервере частные приложения, а консоль EMM может в фоновом режиме публиковать обновленные файлы определений APK с помощью API публикации разработчиков Google Play .
3.13.4. Сервер EMM обслуживает только запросы на загрузку размещенного APK-файла, содержащего действительный JWT в cookie-файле запроса, что подтверждено открытым ключом закрытого приложения.
- Чтобы упростить этот процесс, сервер EMM должен предоставить ИТ-администраторам указания по загрузке открытого лицензионного ключа самостоятельно размещенного приложения из консоли Google Play и загрузке этого ключа в консоль EMM.
3.14. Уведомления о получении EMM
Вместо периодического обращения к Play для определения прошлых событий, таких как обновление приложения, содержащее новые разрешения или управляемые конфигурации, уведомления EMM заранее оповещают EMM о таких событиях в режиме реального времени, что позволяет EMM выполнять автоматизированные действия и предоставлять настраиваемые административные уведомления на основе этих событий.
3.14.1. EMM должен использовать уведомления EMM Play для извлечения наборов уведомлений .
3.14.2. Система EMM должна автоматически уведомлять ИТ-администратора (например, посредством автоматического электронного письма) о следующих событиях:
-
newPermissionEvent: требует, чтобы ИТ-администратор одобрил новые разрешения для приложения, прежде чем приложение можно будет незаметно установить или обновить на устройствах пользователей. -
appRestrictionsSchemaChangeEvent: может потребоваться, чтобы ИТ-администратор обновил управляемую конфигурацию приложения для поддержания предполагаемой эффективности. -
appUpdateEvent: может быть интересно ИТ-администраторам, которые хотят убедиться, что обновление приложения не влияет на производительность основного рабочего процесса. -
productAvailabilityChangeEvent: может повлиять на возможность установки приложения или получения обновлений приложения. -
installFailureEvent: Play не удаётся установить приложение на устройство в фоновом режиме. Это может указывать на то, что установка может быть связана с конфигурацией устройства. EMM-менеджерам не следует сразу же повторять попытку установки в фоновом режиме после получения этого уведомления, так как собственная логика повторных попыток Play уже не сработает.
3.14.3. EMM автоматически предпринимает соответствующие действия на основе следующих событий уведомления:
-
newDeviceEvent: во время подготовки устройства EMM должны дождатьсяnewDeviceEvent, прежде чем выполнять последующие вызовы API Play EMM для нового устройства, включая скрытую установку приложений и настройку управляемых конфигураций. -
productApprovalEvent: при получении уведомленияproductApprovalEventсистема EMM должна автоматически обновить список одобренных приложений, импортированных в консоль EMM для распространения на устройства, если есть активный сеанс ИТ-администрирования или если список одобренных приложений не перезагружается автоматически в начале каждого сеанса ИТ-администрирования.
3.15 Требования к использованию API
EMM реализует API Google в необходимом масштабе, избегая моделей трафика, которые могут негативно повлиять на способность ИТ-администраторов управлять приложениями в производственных средах.
3.15.1. EMM должен соблюдать ограничения на использование API Play EMM . Неисправление поведения, выходящего за эти рамки, может привести к приостановке использования API по усмотрению Google.
3.15.2. Система EMM должна распределять трафик от разных предприятий в течение дня, а не консолидировать его в определённое или схожее время. Действия, соответствующие этой схеме трафика, например, запланированные пакетные операции для каждого зарегистрированного устройства, могут привести к приостановке использования API по усмотрению Google.
3.15.3. Система EMM не должна отправлять однородные, неполные или заведомо неверные запросы, не направленные на получение или управление реальными корпоративными данными. Поведение, соответствующее этой модели трафика, может привести к приостановке использования API по усмотрению Google.
3.16 Расширенное управление конфигурацией
3.16.1. Консоль EMM должна иметь возможность извлекать и отображать управляемые параметры конфигурации (до четырёх уровней вложенности) любого приложения Play, используя:
- Управляемый Google Play iFrame , или
- индивидуальный пользовательский интерфейс.
3.16.2. Консоль EMM должна иметь возможность извлекать и отображать любые отзывы, возвращаемые каналом обратной связи приложения , если это настроено ИТ-администратором.
- Консоль EMM должна позволять ИТ-администраторам связывать определенный элемент отзыва с устройством и приложением, из которого он был получен.
- Консоль EMM должна позволять ИТ-администраторам подписываться на оповещения или отчеты определенных типов сообщений (например, сообщений об ошибках).
3.16.3. Консоль EMM должна отправлять только те значения, которые либо имеют значение по умолчанию, либо заданы администратором вручную с помощью:
- Управляемые конфигурации iframe или
- Пользовательский интерфейс.
3.17. Управление веб-приложением
ИТ-администраторы могут создавать и распространять веб-приложения в консоли EMM.
3.17.1. ИТ-администраторы могут использовать консоль EMM для распространения ярлыков веб-приложений с помощью:
3.18. Управляемое управление жизненным циклом учетной записи Google Play.
EMM может создавать, обновлять и удалять управляемые учетные записи Google Play от имени ИТ-администраторов.
3.18.1. EMM могут управлять жизненным циклом управляемой учетной записи Google Play в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Play EMM API .
3.18.2. EMM могут повторно аутентифицировать управляемые аккаунты Google Play без взаимодействия с пользователем.
3.19. Управление отслеживанием приложений
3.19.1. ИТ-администраторы могут получить список идентификаторов треков, установленных разработчиком для конкретного приложения.
3.19.2. ИТ-администраторы могут настроить устройства на использование определенного пути разработки приложения.
3.20. Расширенное управление обновлениями приложений
3.20.1. ИТ-администраторы могут разрешить приложениям использовать высокоприоритетные обновления приложений , которые будут обновляться, когда обновление будет готово.
3.20.2. ИТ-администраторы могут разрешить приложениям откладывать обновления приложений на 90 дней.
3.21. Управление методами обеспечения
EMM может создавать конфигурации подготовки и предоставлять их ИТ-администратору в форме, готовой для распространения конечным пользователям (например, QR-код, автоматическая конфигурация, URL-адрес Play Store).
3.22. Обновление Enterprise-привязки
ИТ-администраторы могут обновить тип привязки предприятия до управляемого предприятия Google Domain, что позволит организации получить доступ к службам и функциям учетной записи Google на зарегистрированных устройствах.
3.22.1. Консоль EMM позволяет ИТ-администратору инициировать обновление существующего предприятия с управляемыми учетными записями Google Play до предприятия с управляемым доменом Google с помощью необходимых API .
3.22.2. EMM должны использовать Pub/Sub для получения уведомлений о событиях обновления, инициированных ИТ-администратором (даже тех, которые происходят за пределами консоли EMM), и обновлять свой пользовательский интерфейс, чтобы отразить эти изменения.
3.23. Управляемая подготовка аккаунта Google
EMM может предоставить устройству корпоративные учетные записи пользователей , называемые управляемыми учетными записями Google. Эти учетные записи идентифицируют управляемых пользователей и разрешают правила распространения приложений, а также разрешают доступ к службам Google. ИТ-администраторы могут дополнительно установить политику, требующую аутентификацию управляемого аккаунта Google во время или после регистрации.
3.23.1. ЦОД EMM может предоставить управляемый аккаунт Google в соответствии с определенными рекомендациями по внедрению .
При этом:
- На устройство будет добавлен управляемый аккаунт Google.
- Управляемый аккаунт Google должен сопоставляться 1 к 1 с реальными пользователями в консоли EMM.
3.23.2. ИТ-администратор может использовать эту политику, чтобы предоставить пользователям возможность войти в управляемый аккаунт Google для регистрации.
3.23.3. ИТ-администратор может использовать эту политику, чтобы контролировать, должен ли пользователь входить в управляемый аккаунт Google для завершения регистрации.
3.23.4. ИТ-администраторы могут дополнительно ограничить процесс обновления определенным идентификатором учетной записи (адресом электронной почты) для данного устройства.
3.24. Управляемое обновление аккаунта Google Play
ИТ-администраторы могут обновить тип учетной записи пользователя до управляемой учетной записи Google , что позволит устройству получать доступ к службам и функциям учетной записи Google на зарегистрированных устройствах.
3.24.1. ИТ-администраторы могут обновить существующую управляемую учетную запись Google Play на устройстве до управляемой учетной записи Google.
3.24.2. ИТ-администраторы могут дополнительно ограничить процесс обновления определенным идентификатором учетной записи (адресом электронной почты) для данного устройства.
4. Управление устройствами
4.1. Управление политикой разрешений во время выполнения
ИТ-администраторы могут автоматически установить ответ по умолчанию на запросы разрешений во время выполнения, сделанные рабочими приложениями.
4.1.1. ИТ-администраторы должны иметь возможность выбирать из следующих вариантов при настройке политики разрешений среды выполнения по умолчанию для своей организации:
- подсказка (позволяет пользователям выбирать)
- позволять
- отрицать
EMM должен обеспечить соблюдение этих настроек с помощью DPC EMM .
4.2. Управление состоянием предоставления разрешений во время выполнения
После установки политики разрешений во время выполнения по умолчанию (перейдите к разделу 4.1.) ИТ-администраторы могут автоматически задавать ответы на определенные разрешения из любого рабочего приложения, созданного на базе API 23 или более поздней версии.
4.2.1. ИТ-администраторы должны иметь возможность устанавливать состояние предоставления (по умолчанию, предоставление или отказ) для любого разрешения, запрашиваемого любым рабочим приложением, созданным на базе API 23 или более поздней версии. EMM должен обеспечить соблюдение этих настроек с помощью DPC EMM .
4.3. Управление конфигурацией Wi-Fi
ИТ-администраторы могут автоматически настраивать корпоративные конфигурации Wi-Fi на управляемых устройствах, в том числе:
4.3.1. SSID с использованием ЦОД EMM .
4.3.2. Пароль, используя ЦОД EMM .
4.4. Управление безопасностью Wi-Fi
ИТ-администраторы могут настраивать корпоративные конфигурации Wi-Fi на управляемых устройствах, которые включают следующие расширенные функции безопасности:
4.4.1. Идентификация с использованием ЦОД EMM .
4.4.2. Сертификат для авторизации клиентов с использованием ЦОД ЕММ .
4.4.3. Сертификат(ы) CA с использованием ЦОД EMM .
4.5. Расширенное управление Wi-Fi
ИТ-администраторы могут заблокировать конфигурации Wi-Fi на управляемых устройствах, чтобы пользователи не могли создавать конфигурации или изменять корпоративные конфигурации.
4.5.1. ИТ-администраторы могут заблокировать корпоративные конфигурации Wi-Fi в одной из следующих конфигураций:
- Пользователи не могут изменять какие-либо конфигурации Wi-Fi, предоставленные EMM , но могут добавлять и изменять свои собственные настраиваемые пользователем сети (например, персональные сети).
- Пользователи не могут добавлять или изменять какую-либо сеть Wi-Fi на устройстве , что ограничивает подключение Wi-Fi только теми сетями, которые предоставлены EMM.
4.6. Управление аккаунтом
ИТ-администраторы могут убедиться, что неавторизованные корпоративные учетные записи не могут взаимодействовать с корпоративными данными для таких служб, как SaaS-приложения для хранения и повышения производительности, а также электронная почта. Без этой функции личные учетные записи можно добавлять в те корпоративные приложения, которые также поддерживают потребительские учетные записи, что позволяет им обмениваться корпоративными данными с этими личными учетными записями.
4.6.1. ИТ-администраторы могут запретить добавление или изменение учетных записей .
- При применении этой политики на устройстве EMM должны установить это ограничение до завершения подготовки, чтобы гарантировать, что вы не сможете обойти эту политику, добавив учетные записи до ее вступления в силу.
4.7. Управление учетными записями рабочей области
Эта функция устарела. См. 3.23. по требованиям замены.
4.8. Управление сертификатами
Позволяет ИТ-администраторам развертывать сертификаты удостоверений и центры сертификации на устройствах, чтобы разрешить доступ к корпоративным ресурсам.
4.8.1. ИТ-администраторы могут устанавливать сертификаты идентификации пользователей , созданные их PKI, отдельно для каждого пользователя. Консоль EMM должна интегрироваться хотя бы с одной PKI и распространять сертификаты, созданные из этой инфраструктуры.
4.8.2. ИТ-администраторы могут устанавливать центры сертификации в управляемом хранилище ключей.
4.9. Расширенное управление сертификатами
Позволяет ИТ-администраторам автоматически выбирать сертификаты, которые должны использовать определенные управляемые приложения. Эта функция также предоставляет ИТ-администраторам возможность удалять центры сертификации и сертификаты личности с активных устройств. Эта функция не позволяет пользователям изменять учетные данные, хранящиеся в управляемом хранилище ключей.
4.9.1. Для любого приложения, распространяемого на устройства, ИТ-администраторы могут указать сертификат, к которому приложению будет автоматически предоставлен доступ во время выполнения.
- Выбор сертификата должен быть достаточно универсальным, чтобы обеспечить единую конфигурацию, применимую ко всем пользователям, каждый из которых может иметь индивидуальный сертификат удостоверения пользователя.
4.9.2. ИТ-администраторы могут автоматически удалять сертификаты из управляемого хранилища ключей.
4.9.3. ИТ-администраторы могут автоматически удалить сертификат ЦС или все несистемные сертификаты ЦС .
4.9.4. ИТ-администраторы могут запретить пользователям настраивать учетные данные в управляемом хранилище ключей.
4.9.5. ИТ-администраторы могут предварительно выдавать сертификаты для рабочих приложений.
4.10. Делегированное управление сертификатами
ИТ-администраторы могут распространять стороннее приложение для управления сертификатами на устройства и предоставлять этому приложению привилегированный доступ для установки сертификатов в управляемое хранилище ключей.
4.10.1. ИТ-администраторы указывают пакет управления сертификатами, который будет установлен в качестве приложения для делегированного управления сертификатами ЦОД.
- Консоль может дополнительно предлагать известные пакеты управления сертификатами, но должна позволять ИТ-администратору выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.11. Расширенное управление VPN
Позволяет ИТ-администраторам указать Always On VPN, чтобы убедиться, что данные из указанных управляемых приложений всегда будут проходить через настроенную VPN.
4.11.1. ИТ-администраторы могут указать произвольный пакет VPN для установки в качестве Always On VPN.
- Консоль EMM может дополнительно предлагать известные пакеты VPN, поддерживающие Always On VPN, но не может ограничивать VPN, доступные для конфигурации Always On, каким-либо произвольным списком.
4.11.2. ИТ-администраторы могут использовать управляемые конфигурации, чтобы указать параметры VPN для приложения.
4.12. Управление IME
ИТ-администраторы могут управлять тем, какие методы ввода (IME) можно настроить для устройств. Поскольку IME используется как в рабочем, так и в личном профилях, блокировка использования IME не позволит разрешить использование этих IME и в личных целях. Однако ИТ-администраторы не могут блокировать системные IME в рабочих профилях (более подробную информацию можно найти в разделе расширенного управления IME).
4.12.1. ИТ-администраторы могут настроить список разрешений IME произвольной длины (включая пустой список, блокирующий несистемные IME), который может содержать любые произвольные пакеты IME.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые IME для включения в список разрешений, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.12.2. EMM должен сообщить ИТ-администраторам, что системные IME исключены из управления на устройствах с рабочими профилями.
4.13. Расширенное управление IME
ИТ-администраторы могут управлять тем, какие методы ввода (IME) можно настроить для устройств. Расширенное управление IME расширяет базовую функцию, позволяя ИТ-администраторам также управлять использованием системных IME, которые обычно предоставляются производителем или оператором устройства.
4.13.1. ИТ-администраторы могут настроить список разрешений IME произвольной длины (за исключением пустого списка, который блокирует все IME, включая системные IME), который может содержать любые произвольные пакеты IME.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые IME для включения в список разрешений, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.13.2. EMM должны запретить ИТ-администраторам создавать пустой список разрешений, поскольку этот параметр блокирует настройку всех IME, включая системные IME, на устройстве.
4.13.3. EMM должны убедиться, что если список разрешений IME не содержит системных IME, сторонние IME устанавливаются автоматически, прежде чем список разрешений будет применен на устройстве.
4.14. Управление услугами доступности
ИТ-администраторы могут управлять тем, какие службы доступности можно разрешить на устройствах пользователей. Хотя службы доступности являются мощными инструментами для пользователей с ограниченными возможностями или тех, кто временно не может полноценно взаимодействовать со своим устройством, они могут взаимодействовать с корпоративными данными способами, несовместимыми с корпоративной политикой. Эта функция позволяет ИТ-администраторам отключать любую несистемную службу специальных возможностей.
4.14.1. ИТ-администраторы могут настроить список разрешений служб доступности произвольной длины (включая пустой список, который блокирует несистемные службы доступности), который может содержать любой произвольный пакет службы доступности. Применительно к рабочему профилю это влияет как на личный, так и на рабочий профиль.
- Консоль может дополнительно предлагать известные или рекомендуемые службы специальных возможностей для включения в белый список, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.15. Управление передачей местоположения
ИТ-администраторы могут запретить пользователям делиться данными о местоположении с приложениями в рабочем профиле. В противном случае параметр местоположения для рабочих профилей можно настроить в настройках.
4.15.1. ИТ-администраторы могут отключить службы определения местоположения в рабочем профиле.
4.16. Расширенное управление передачей местоположения
ИТ-администраторы могут принудительно применить определенный параметр совместного доступа к местоположению на управляемом устройстве. Эта функция может гарантировать, что корпоративные приложения всегда будут иметь доступ к высокоточным данным о местоположении. Эта функция также может гарантировать, что лишняя батарея не будет расходоваться, ограничивая настройки местоположения режимом экономии заряда батареи.
4.16.1. ИТ-администраторы могут настроить службы определения местоположения устройств в каждом из следующих режимов:
- Высокая точность.
- Только датчики, например GPS, но без учета местоположения, предоставляемого сетью.
- Экономия заряда батареи, что ограничивает частоту обновлений.
- Выключенный.
4.17. Управление защитой от сброса к заводским настройкам
Позволяет ИТ-администраторам защищать принадлежащие компании устройства от кражи, гарантируя, что неавторизованные пользователи не смогут выполнить сброс настроек устройств до заводских настроек. Если защита от сброса к заводским настройкам усложняет эксплуатацию при возврате устройств в ИТ-отдел, ИТ-администраторы также могут полностью отключить защиту от сброса к заводским настройкам.
4.17.1. ИТ-администраторы могут запретить пользователям выполнять сброс настроек устройства к заводским настройкам.
4.17.2. ИТ-администраторы могут указать корпоративные учетные записи разблокировки, которым разрешено инициализировать устройства после сброса настроек.
- Эта учетная запись может быть привязана к отдельному лицу или использоваться всем предприятием для разблокировки устройств.
4.17.3. ИТ-администраторы могут отключить защиту от сброса настроек до заводских настроек для определенных устройств.
4.17.4. ИТ-администраторы могут запустить удаленную очистку устройства, которая при необходимости стирает данные защиты от сброса , удаляя таким образом защиту от сброса к заводским настройкам на устройстве, сброшенном.
4.18. Расширенное управление приложением
ИТ-администраторы могут запретить пользователю удалять или иным образом изменять управляемые приложения через «Настройки», например принудительно закрывать приложение или очищать кэш данных приложения.
4.18.1. ИТ-администраторы могут заблокировать удаление любых произвольных управляемых приложений или всех управляемых приложений .
4.18.2. ИТ-администраторы могут запретить пользователям изменять данные приложения в настройках.
4.19. Управление захватом экрана
ИТ-администраторы могут запретить пользователям делать снимки экрана при использовании управляемых приложений. Этот параметр включает блокировку приложений для совместного использования экрана и аналогичных приложений (например, Google Assistant), которые используют возможности создания снимков экрана.
4.19.1. ИТ-администраторы могут запретить пользователям делать снимки экрана .
4.20. Отключить камеры
ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.
4.20.1. ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.
4.21. Сбор сетевой статистики
ИТ-администраторы могут запрашивать статистику использования сети из рабочего профиля устройства. Собранная статистика отражает данные об использовании, предоставленные пользователям в разделе «Использование данных» в настройках. Собранная статистика применима к использованию приложений в рабочем профиле.
4.21.1. ИТ-администраторы могут запрашивать сводную статистику сети для рабочего профиля , для данного устройства и настраиваемого временного окна, а также просматривать эти сведения в консоли EMM.
4.21.2. ИТ-администраторы могут запрашивать сводную информацию о приложении в статистике использования сети рабочего профиля для данного устройства и настраиваемого временного окна, а также просматривать эти сведения, упорядоченные по UID, в консоли EMM.
4.21.3. ИТ-администраторы могут запрашивать исторические данные об использовании сети рабочего профиля для данного устройства и настраиваемого временного окна, а также просматривать эти сведения, упорядоченные по UID, в консоли EMM.
4.22. Расширенный сбор сетевой статистики
ИТ-администраторы могут запрашивать статистику использования сети для всего управляемого устройства. Собранная статистика отражает данные об использовании, предоставленные пользователям в разделе « Использование данных» в настройках. Собранная статистика применима к использованию приложений на устройстве.
4.22.1. ИТ-администраторы могут запрашивать сводную статистику сети для всего устройства , для данного устройства и настраиваемого временного окна, а также просматривать эти сведения в консоли EMM.
4.22.2. ИТ-администраторы могут запрашивать сводную статистику использования сети приложений для данного устройства и настраиваемого временного окна, а также просматривать эти сведения, упорядоченные по UID, в консоли EMM.
4.22.3. ИТ-администраторы могут запрашивать исторические данные об использовании сети для данного устройства и настраиваемого временного окна, а также просматривать эти детали, упорядоченные по UID, в консоли EMM.
4.23. Перезагрузить устройство
ИТ-администраторы могут удаленно перезапускать управляемые устройства.
4.23.1. ИТ-администраторы могут удаленно перезагрузить управляемое устройство.
4.24. Управление радиосистемой
Позволяет ИТ-администраторам детально управлять системными сетевыми радиомодулями и соответствующими политиками использования.
4.24.1. ИТ-администраторы могут отключить широковещательную рассылку сотовых сетей, отправляемую поставщиками услуг (например, оповещения AMBER).
4.24.2. ИТ-администраторы могут запретить пользователям изменять настройки мобильной сети в разделе «Настройки» .
4.24.3. ИТ-администраторы могут запретить пользователям сбрасывать настройки сети в разделе «Настройки» .
4.24.4. ИТ-администраторы могут разрешать или запрещать передачу мобильных данных в роуминге .
4.24.5. ИТ-администраторы могут настроить, может ли устройство совершать исходящие телефонные звонки , исключая вызовы служб экстренной помощи.
4.24.6. ИТ-администраторы могут настроить, может ли устройство отправлять и получать текстовые сообщения .
4.24.7. ИТ-администраторы могут запретить пользователям использовать свои устройства в качестве портативной точки доступа с помощью привязки .
4.24.8. ИТ-администраторы могут установить тайм-аут Wi-Fi по умолчанию , только при подключении к сети или никогда .
4.24.9. ИТ-администраторы могут запретить пользователям настраивать или изменять существующие соединения Bluetooth .
4.25. Управление системным звуком
ИТ-администраторы могут бесшумно управлять функциями звука устройства, в том числе отключать звук устройства, запрещать пользователям изменять настройки громкости и запрещать пользователям включать микрофон устройства.
4.25.1. ИТ-администраторы могут автоматически отключать звук на управляемых устройствах .
4.25.2. ИТ-администраторы могут запретить пользователям изменять настройки громкости устройства .
4.25.3. ИТ-администраторы могут запретить пользователям включать микрофон устройства .
4.26. Управление системными часами
ИТ-администраторы могут управлять настройками часов и часового пояса устройства, а также запрещать пользователям изменять автоматические настройки устройства.
4.26.1. ИТ-администраторы могут принудительно настроить автоматическое время системы , не позволяя пользователю устанавливать дату и время устройства.
4.26.2. ИТ-администраторы могут автоматически отключать или включать автоматическое время и автоматический часовой пояс .
4.27. Расширенные функции выделенного устройства
Предоставляет ИТ-администраторам возможность более детально управлять функциями выделенных устройств для поддержки различных вариантов использования киосков.
4.27.1. ИТ-администраторы могут отключить защиту клавиатуры устройства .
4.27.2. ИТ-администраторы могут отключить строку состояния устройства , заблокировав уведомления и быстрые настройки.
4.27.3. ИТ-администраторы могут заставить экран устройства оставаться включенным, пока устройство подключено к сети.
4.27.4. ИТ-администраторы могут запретить отображение следующих системных интерфейсов :
- Тосты
- Наложения приложений.
4.27.5. ИТ-администраторы могут разрешить системным рекомендациям для приложений пропускать руководство пользователя и другие вводные подсказки при первом запуске.
4.28. Делегированное управление объемом
ИТ-администраторы могут делегировать дополнительные привилегии отдельным пакетам.
4.28.1. ИТ-администраторы могут управлять следующими областями:
- Установка и управление сертификатами
- Намеренно пустой
- Сетевое журналирование
- Ведение журнала безопасности (не поддерживается для рабочего профиля на личном устройстве)
4.29. Поддержка идентификаторов, специфичных для регистрации
Начиная с Android 12, рабочие профили больше не будут иметь доступа к идентификаторам оборудования. ИТ-администраторы могут следить за жизненным циклом устройства с помощью рабочего профиля с помощью идентификатора, специфичного для регистрации, который сохраняется после сброса настроек до заводских.
4.29.1. ИТ-администраторы могут устанавливать и получать идентификатор, специфичный для регистрации.
4.29.2. Этот идентификатор, специфичный для регистрации, должен сохраняться после сброса настроек к заводским настройкам.
4.30. Политика диспетчера учетных данных
ИТ-администраторы могут управлять тем, какие приложения диспетчера учетных данных разрешены или заблокированы, с помощью политики .
4.30.1 ИТ-администраторы могут дополнительно заблокировать все диспетчеры учетных данных на устройстве (или в рабочем профиле).
4.30.2 ИТ-администраторы могут разрешить только предварительно загруженные (системные приложения) менеджеры учетных данных.
4.30.3 ИТ-администраторы могут указать список имен пакетов, которым разрешено предлагать функции диспетчера учетных данных.
4.31. Базовое управление eSIM
Позволяет ИТ-администраторам предоставлять устройству профиль eSIM и управлять его жизненным циклом на устройстве.
4.31.1 ИТ-администраторы могут автоматически предоставить профиль eSIM на устройстве.
4.31.2 ИТ-администраторы могут удалять управляемые eSIM с устройства.
4.31.3 ИТ-администраторы могут запретить пользователям изменять настройки мобильной сети в настройках (перейдите в mobileNetworksConfigDisabled ).
4.31.4 Когда ИТ-администратор выполняет удаленную очистку устройства или рабочего профиля, у него есть возможность также удалить управляемые карты eSIM с устройства. По умолчанию управляемые карты eSIM удаляются из рабочих профилей на личных устройствах, но сохраняются на корпоративных устройствах.
4.31.5 (НЕОБЯЗАТЕЛЬНО) ИТ-администраторы могут получить идентификатор EID (встроенный идентификационный документ) устройства с помощью пользовательского интерфейса консоли EMM (или эквивалентного метода) и экспортировать эти значения.
5. Удобство использования устройства
5.1. Настройка управляемой подготовки
ИТ-администраторы могут изменить пользовательский интерфейс процесса настройки по умолчанию, включив в него функции, специфичные для предприятия. При необходимости ИТ-администраторы могут отображать брендинг, предоставленный EMM, во время подготовки.
5.1.1. ИТ-администраторы могут настроить процесс подготовки, указав следующие сведения, специфичные для предприятия: корпоративный цвет , логотип предприятия , корпоративные условия обслуживания и другие заявления об отказе от ответственности .
5.1.2. ИТ-администраторы могут развернуть ненастраиваемую настройку, специфичную для EMM, которая включает следующие сведения: цвет EMM , логотип EMM , условия обслуживания EMM и другие заявления об отказе от ответственности .
5.1.3 [ primaryColor ] устарел для корпоративного ресурса на Android 10 и более поздних версиях.
- EMM должны включать Условия предоставления услуг и другие заявления об отказе от ответственности для своего потока подготовки в пакет заявлений об отказе от предоставления системы , даже если настройка, специфичная для EMM, не используется.
- EMM могут установить свои ненастраиваемые, специфичные для EMM настройки по умолчанию для всех развертываний, но должны разрешить ИТ-администраторам настраивать свои собственные настройки.
5.2. Корпоративная настройка
ИТ-администраторы могут настраивать аспекты рабочего профиля с помощью корпоративного брендинга. Например, ИТ-администраторы могут установить в качестве значка пользователя в рабочем профиле корпоративный логотип. Другой пример — настройка цвета фона рабочего задания.
5.2.1. ИТ-администраторы могут установить цвет организации , который будет использоваться в качестве цвета фона рабочего задания.
5.2.2. ИТ-администраторы могут установить отображаемое имя рабочего профиля .
5.2.3. ИТ-администраторы могут установить значок пользователя для рабочего профиля .
5.2.4. ИТ-администраторы могут запретить пользователю изменять значок пользователя рабочего профиля .
5.3. Расширенная корпоративная настройка
ИТ-администраторы могут настраивать управляемые устройства под корпоративный брендинг. Например, ИТ-администраторы могут установить в качестве значка основного пользователя корпоративный логотип или установить обои устройства.
5.3.1. ИТ-администраторы могут установить отображаемое имя для управляемого устройства .
5.3.2. ИТ-администраторы могут установить значок пользователя управляемого устройства .
5.3.3. ИТ-администраторы могут запретить пользователю изменять значок пользователя устройства .
5.3.4. ИТ-администраторы могут установить обои устройства .
5.3.5. ИТ-администраторы могут запретить пользователю изменять обои устройства .
5.4. Сообщения на экране блокировки
ИТ-администраторы могут установить собственное сообщение, которое всегда будет отображаться на экране блокировки устройства и не требует для просмотра разблокировки устройства.
5.4.1. ИТ-администраторы могут установить собственное сообщение на экране блокировки .
5.5. Управление прозрачностью политики
ИТ-администраторы могут настроить текст справки, предоставляемый пользователям, когда они изменяют управляемые настройки на своем устройстве, или развернуть общее сообщение поддержки, предоставленное EMM. Можно настроить как короткие, так и длинные сообщения поддержки. Эти сообщения отображаются, например, при попытке удалить управляемое приложение, удаление которого уже заблокировал ИТ-администратор.
5.5.1. ИТ-администраторы настраивают как короткие , так и длинные сообщения поддержки.
5.5.2. ИТ-администраторы могут развертывать ненастраиваемые короткие и длинные сообщения поддержки, специфичные для EMM.
- EMM может устанавливать свои ненастраиваемые, специфичные для EMM сообщения поддержки в качестве сообщений по умолчанию для всех развертываний, но должен разрешить ИТ-администраторам настраивать свои собственные сообщения.
5.6. Управление межпрофильными контактами
ИТ-администраторы могут контролировать, какие контактные данные могут покинуть рабочий профиль. Приложения для телефонии и обмена сообщениями (SMS) должны работать в личном профиле и требовать доступа к контактным данным рабочего профиля, чтобы обеспечить эффективность рабочих контактов, но администраторы могут отключить эти функции для защиты рабочих данных.
5.6.1. ИТ-администраторы могут отключить межпрофильный поиск контактов для личных приложений, использующих поставщика системных контактов.
5.6.2. ИТ-администраторы могут отключить межпрофильный поиск идентификатора вызывающего абонента для личных приложений дозвона, которые используют поставщика системных контактов.
5.6.3. ИТ-администраторы могут отключить совместное использование контактов Bluetooth с устройствами Bluetooth , которые используют поставщика системных контактов, например звонки по громкой связи в автомобиле или через гарнитуру.
5.7. Управление межпрофильными данными
Предоставляет ИТ-администраторам возможность управлять тем, какие данные могут покидать рабочий профиль, помимо функций безопасности рабочего профиля по умолчанию. Благодаря этой функции ИТ-администраторы могут разрешить отдельные типы межпрофильного обмена данными, чтобы повысить удобство использования в ключевых случаях использования. ИТ-администраторы также могут дополнительно защитить корпоративные данные с помощью дополнительных блокировок.
5.7.1. ИТ-администраторы могут настраивать межпрофильные фильтры намерений , чтобы личные приложения могли определять намерения из рабочего профиля, например намерения поделиться намерениями или веб-ссылки.
- Консоль может дополнительно предлагать известные или рекомендуемые фильтры намерений для настройки, но не может ограничивать фильтры намерений каким-либо произвольным списком.
5.7.2. ИТ-администраторы могут разрешить управляемым приложениям отображать виджеты на главном экране.
- Консоль EMM должна предоставлять ИТ-администраторам возможность выбирать из списка приложений, доступных для установки соответствующим пользователям.
5.7.3. ИТ-администраторы могут заблокировать использование копирования и вставки между рабочим и личным профилями .
5.7.4. ИТ-администраторы могут запретить пользователям делиться данными из рабочего профиля с помощью NFC-луча .
5.7.5. ИТ-администраторы могут разрешить личным приложениям открывать веб-ссылки из рабочего профиля .
5.8. Политика обновления системы
ИТ-администраторы могут настраивать и применять обновления системы по беспроводной сети (OTA) для устройств.
5.8.1. Консоль EMM позволяет ИТ-администраторам устанавливать следующие конфигурации OTA:
- Автоматически: устройства устанавливают обновления OTA, когда они становятся доступными.
- Отложить: ИТ-администраторы должны иметь возможность откладывать обновление OTA на срок до 30 дней. Эта политика не влияет на обновления безопасности (например, ежемесячные исправления безопасности).
- Оконный режим: ИТ-администраторы должны иметь возможность планировать OTA-обновления в рамках ежедневного окна обслуживания.
5.8.2. ЦОД EMM применяет к устройствам конфигурации OTA.
5.9. Блокировка управления режимом задач
ИТ-администраторы могут заблокировать приложение или набор приложений на экране и гарантировать, что пользователи не смогут выйти из приложения.
5.9.1. Консоль EMM позволяет ИТ-администраторам молча разрешать установку и блокировку произвольного набора приложений на устройстве. ЦОД EMM поддерживает режим выделенного устройства.
5.10. Постоянное управление предпочтительной деятельностью
Позволяет ИТ-администраторам устанавливать приложение в качестве обработчика намерений по умолчанию для намерений, соответствующих определенному фильтру намерений. Например, позволяя ИТ-администраторам выбирать, какое приложение браузера автоматически открывает веб-ссылки или какое приложение запуска используется при нажатии кнопки «Домой».
5.10.1. ИТ-администраторы могут установить любой пакет в качестве обработчика намерений по умолчанию для любого произвольного фильтра намерений.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые намерения для настройки, но не может ограничивать намерения каким-либо произвольным списком.
- Консоль EMM должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки соответствующим пользователям.
5.11. Управление функциями Keyguard
- доверенные агенты,
- разблокировка по отпечатку пальца,
- неотредактированные уведомления
5.11.2. ЦОД EMM может отключить следующие функции защиты клавиатуры в рабочем профиле:
- разблокировка по отпечатку пальца
- доверенных агентов .
5.12. Расширенное управление функциями защиты клавиатуры
- Защищенная камера
- Все уведомления
- Неотредактированные уведомления
- Доверительные агенты
- Разблокировка по отпечатку пальца
- Все функции защиты клавиатуры
5.13. Удаленная отладка
ИТ-администраторы могут получать ресурсы для отладки с устройств, не требуя дополнительных действий.
5.13.1. IT admins can remotely request bug reports , view bug reports from the EMM's console, and download bug reports from the EMM's console.
5.14. MAC address retrieval
EMMs can silently fetch a device's MAC address. The MAC address can be used to identify devices in other parts of the enterprise infrastructure (for example when identifying devices for network access control).
5.14.1. The EMM can silently retrieve a device's MAC address and can associate it with the device in the EMM's console.
5.15. Advanced lock task mode management
When a device is set up as a dedicated device, IT admins can use the EMM's console to perform the following tasks:
5.15.1. Silently allow a single app to lock to a device using the EMM's DPC .
5.15.2. Turn on or turn off the following System UI features using the EMM's DPC :
- Кнопка «Домой»
- Обзор
- Глобальные действия
- Уведомления
- System info / Status bar
- Keyguard (lock screen)
5.15.3. Turn off System Error dialogs using the EMM's DPC .
5.16. Advanced system update policy
IT admins can block system updates on a device for a specified freeze period.
5.16.1. The EMM's DPC can apply over-the-air (OTA) system updates to devices for a specified freeze period.
5.17. Work profile policy transparency management
IT admins can customize the message displayed to users when removing the work profile from a device.
5.17.1. IT admins can provide custom text to display when a work profile is wiped.
5.18. Connected app support
IT admins can set a list of packages that can communicate across the work profile boundary.
5.19. Manual System Updates
IT admins can manually install a system update by providing a path.
6. Device Admin Deprecation
6.1. Device Admin Deprecation
EMMs are required to post a plan by the end of 2022 ending customer support for Device Admin on GMS devices by the end of Q1 2023.
7. API usage
7.1. Standard policy controller for new bindings
By default devices must be managed using Android Device Policy for any new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology. New customers must not be exposed to an arbitrary choice between technology stacks during any onboarding or setup workflows.
7.2. Standard policy controller for new devices
By default devices must be managed using Android Device Policy for all new device enrollments, for both existing and new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology.