Esta página lista o conjunto completo de recursos do Android Enterprise.
Se você pretende gerenciar mais de 500 dispositivos, sua solução de EMM precisa oferecer suporte a todos os recursos padrão () de pelo menos um conjunto de soluções antes de ser disponibilizada comercialmente. As soluções de EMM que passam na verificação de recursos padrão são listadas no Enterprise Solutions Directory do Android como oferecendo um conjunto de gerenciamento padrão.
Um conjunto extra de recursos avançados está disponível para cada conjunto de soluções. Esses recursos são indicados em cada página do conjunto de soluções: perfil de trabalho em dispositivo pessoal , perfil de trabalho em dispositivo da empresa, dispositivo totalmente gerenciado e dispositivo dedicado. As soluções de EMM que passam na verificação de recursos avançados são listadas no Enterprise Solutions Directory do Android como oferecendo um conjunto de gerenciamento avançado.
Chave
| recurso padrão | Recurso avançado do | recurso opcional | não relevante |
1. Provisionamento de dispositivos
1.1. Provisionamento do perfil de trabalho com prioridade para o DPC
Você pode provisionar um perfil de trabalho depois de baixar o DPC do EMM no Google Play.
1.1.1. O DPC do EMM precisa estar disponível publicamente no Google Play para que os usuários possam instalá-lo no lado pessoal do dispositivo.
1.1.2. Depois de instalado, o DPC precisa orientar o usuário no processo de provisionamento de um perfil de trabalho.
1.1.3. Depois que o provisionamento for concluído, nenhuma presença de gerenciamento poderá permanecer no lado pessoal do dispositivo.
- Todas as políticas implementadas durante o provisionamento precisam ser removidas.
- Os privilégios do app precisam ser revogados.
- A DPC do EMM precisa estar desativada, no mínimo, no lado pessoal do dispositivo.
1.2. Provisionamento de dispositivo com identificador de DPC
Os admins de TI podem provisionar um dispositivo totalmente gerenciado ou dedicado usando um identificador de DPC ("afw#"), de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
1.2.1. O DPC do EMM precisa estar disponível publicamente no Google Play. O DPC precisa ser instalável no assistente de configuração do dispositivo inserindo um identificador específico do DPC.
1.2.2. Depois de instalado, o DPC do EMM precisa orientar o usuário no processo de provisionamento de um dispositivo totalmente gerenciado ou dedicado.
1.3. Provisionamento de dispositivos NFC
As tags NFC podem ser usadas por administradores de TI para provisionar dispositivos novos ou redefinidos para a configuração original de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
1.3.1. Os EMMs precisam usar tags do Fórum NFC tipo 2 com pelo menos 888 bytes de memória. O provisionamento precisa usar extras para transmitir detalhes de registro não sensíveis, como IDs de servidor e de inscrição, para um dispositivo. Os detalhes do registro não podem incluir informações sensíveis, como senhas ou certificados.
1.3.2. Depois que o DPC do EMM se define como proprietário do dispositivo, ele precisa abrir imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado. 1.3.3. Recomendamos o uso de tags NFC para o Android 10 e versões mais recentes devido à descontinuação do NFC Beam (também conhecido como NFC Bump).
1.4. Provisionamento de dispositivos com QR code
Os administradores de TI podem usar um dispositivo novo ou redefinido para a configuração de fábrica e ler um QR code gerado pelo console do EMM para provisionar o dispositivo, de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API EMM do Google Play.
1.4.1. O código QR precisa usar extras de provisionamento para transmitir detalhes de registro não sensíveis, como IDs de servidor e de inscrição, a um dispositivo. Os detalhes do registro não podem incluir informações sensíveis, como senhas ou certificados.
1.4.2. Depois que o DPC do EMM configurar o dispositivo, ele precisará abrir imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado.
1.5. Registro sem toque
Os administradores de TI podem pré-configurar dispositivos comprados de revendedores autorizados e gerenciá-los usando o console do EMM.
1.5.1. Os administradores de TI podem provisionar dispositivos da empresa usando o método de registro sem toque, descrito em Registro sem toque para administradores de TI.
1.5.2. Quando um dispositivo é ligado pela primeira vez, ele é automaticamente forçado a usar as configurações definidas pelo administrador de TI.
1.6. Provisionamento avançado sem toque
Os administradores de TI podem automatizar grande parte do processo de inscrição de dispositivos implantando os detalhes de registro do DPC pelo registro sem toque. A DPC da EMM permite limitar o registro a contas ou domínios específicos, de acordo com as opções de configuração oferecidas pela EMM.
1.6.1. Os administradores de TI podem provisionar um dispositivo corporativo usando o método de registro sem toque, conforme descrito em Registro sem toque para administradores de TI.
1.6.2. Depois que o DPC do EMM configurar o dispositivo, ele precisará abrir imediatamente e se bloquear na tela até que o dispositivo seja totalmente provisionado.
- Esse requisito é dispensado para dispositivos que usam detalhes de registro do registro sem toque para se provisionarem totalmente de forma silenciosa (por exemplo, em uma implantação de dispositivo dedicada).
1.6.3. Usando os detalhes de registro, a DPC da EMM precisa garantir que usuários não autorizados não possam prosseguir com a ativação depois que a DPC for invocada. No mínimo, a ativação precisa ser restrita aos usuários de uma determinada empresa.
1.6.4. Usando os detalhes de registro, o DPC do EMM precisa permitir que os administradores de TI preencham previamente os detalhes de registro (por exemplo, IDs de servidor, IDs de registro) além de informações exclusivas do usuário ou do dispositivo (por exemplo, nome de usuário/senha, token de ativação), para que os usuários não precisem inserir detalhes ao ativar um dispositivo.
- Os EMMs não podem incluir informações sensíveis, como senhas ou certificados, na configuração do provisionamento sem toque.
1.7. Provisionamento do perfil de trabalho da Conta do Google
Para empresas que usam um domínio gerenciado do Google, esse recurso orienta os usuários na configuração de um perfil de trabalho depois de inserir as credenciais corporativas do Workspace durante a configuração do dispositivo ou em um dispositivo que já está ativado. Em ambos os casos, a identidade corporativa do Workspace será migrada para o perfil de trabalho.
1.7.1. O método de provisionamento da Conta do Google provisiona um perfil de trabalho de acordo com as diretrizes de implementação definidas.
1.8. Provisionamento de dispositivos da Conta do Google
Para empresas que usam o Workspace, esse recurso orienta os usuários na instalação do DPC do EMM depois que eles inserem as credenciais corporativas do Workspace durante a configuração inicial do dispositivo. Depois de instalado, o DPC conclui a configuração de um dispositivo da empresa.
1.8.1. O método de provisionamento da Conta do Google provisiona um dispositivo da empresa, de acordo com as diretrizes de implementação definidas.
1.8.2. A menos que o EMM possa identificar o dispositivo como um recurso corporativo, ele não poderá provisionar um dispositivo sem um comando durante o processo de provisionamento. Essa solicitação precisa realizar uma ação não padrão, como marcar uma caixa de seleção ou escolher uma opção de menu não padrão. Recomendamos que a EMM consiga identificar o dispositivo como um recurso corporativo para que não seja necessário fazer a solicitação.
1.9. Configuração direta sem toque
Os administradores de TI podem usar o console do EMM para configurar dispositivos sem toque com o iframe sem toque.
1.10. Perfis de trabalho em dispositivos corporativos
Os EMMs podem registrar dispositivos da empresa que têm um perfil de trabalho.
1.10.1. Em branco propositalmente.
1.10.2. Os administradores de TI podem definir ações de compliance para perfis de trabalho em dispositivos corporativos.
1.10.3. Os admins de TI podem desativar a câmera no perfil de trabalho ou em todo o dispositivo.
1.10.4. Os administradores de TI podem desativar a captura de tela no perfil de trabalho ou em um dispositivo inteiro.
1.10.5. Os admins de TI podem definir uma lista de bloqueio de aplicativos que não podem ser instalados no perfil pessoal.
1.10.6. Os administradores de TI podem abrir mão do gerenciamento de um dispositivo corporativo removendo o perfil de trabalho ou limpando todo o dispositivo.
1.11. Provisionamento de dispositivos dedicados
Os administradores de TI podem registrar dispositivos dedicados sem que o usuário precise fazer a autenticação com uma Conta do Google.
2. Segurança do dispositivo
2.1. Desafio de segurança do dispositivo
Os administradores de TI podem definir e aplicar um desafio de segurança do dispositivo (PIN/padrão/senha) em uma seleção predefinida de três níveis de complexidade em dispositivos gerenciados.
2.1.1. A política precisa aplicar configurações que gerenciam desafios de segurança do dispositivo (parentProfilePasswordRequirements para perfil de trabalho, passwordRequirements para dispositivos totalmente gerenciados e dedicados).
2.1.2. A complexidade da senha precisa corresponder a uma das seguintes opções:
- PASSWORD_COMPLEXITY_LOW - padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com comprimento de pelo menos 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e um comprimento de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com um comprimento de pelo menos 6
2.2. Desafio de segurança de trabalho
Os administradores de TI podem definir e aplicar um desafio de segurança para apps e dados no perfil de trabalho que é separado e tem requisitos diferentes do desafio de segurança do dispositivo (2.1.).
2.2.1. A política precisa aplicar o desafio de segurança para o perfil de trabalho. Por padrão, os administradores de TI só devem definir restrições para o perfil de trabalho se nenhum escopo for especificado. Os administradores de TI podem definir isso em todo o dispositivo especificando o escopo (consulte o requisito 2.1).
2.1.2. A complexidade da senha precisa corresponder a uma das seguintes opções:
- PASSWORD_COMPLEXITY_LOW - padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com comprimento de pelo menos 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e um comprimento de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com um comprimento de pelo menos 6
2.3. Gerenciamento avançado de senhas
2.3.1. Intencionalmente em branco.
2.3.2. Em branco propositalmente.
2.3.3. As seguintes configurações de ciclo de vida da senha podem ser definidas para cada tela de bloqueio disponível em um dispositivo:
- Deliberadamente em branco
- Deliberadamente em branco
- Número máximo de senhas inválidas para limpeza : especifica quantas vezes os usuários podem inserir uma senha incorreta antes que os dados corporativos sejam excluídos permanentemente do dispositivo. Os administradores de TI precisam poder desativar esse recurso.
2.4. Gerenciamento de fechaduras inteligentes
Os administradores de TI podem gerenciar quais agentes de confiança no recurso Smart Lock do Android têm permissão para desbloquear dispositivos. Os admins de TI podem desativar métodos específicos de desbloqueio, como dispositivos Bluetooth confiáveis, reconhecimento facial e reconhecimento de voz, ou desativar o recurso por completo.
2.4.1. Os administradores de TI podem desativar os agentes de confiança do Smart Lock de forma independente para cada tela de bloqueio disponível no dispositivo.
2.4.2. Os administradores de TI podem permitir e configurar seletivamente agentes de confiança do Smart Lock, de forma independente para cada tela de bloqueio disponível no dispositivo, para os seguintes agentes de confiança: Bluetooth, NFC, lugares, rosto, no corpo e voz.
- Os administradores de TI podem modificar os parâmetros de configuração do agente de confiança disponíveis.
2.5. Excluir permanentemente e bloquear
Os administradores de TI podem usar o console do EMM para bloquear e excluir remotamente os dados de trabalho de um dispositivo gerenciado.
2.5.1. O DPC do EMM precisa bloquear os dispositivos.
2.5.2. O DPC do EMM precisa limpar os dispositivos.
2.6. Aplicação de compliance
Se um dispositivo não estiver em conformidade com as políticas de segurança, os dados de trabalho serão restringidos automaticamente.
2.6.1. No mínimo, as políticas de segurança aplicadas a um dispositivo precisam incluir uma política de senhas.
2.7. Políticas de segurança padrão
Os EMMs precisam aplicar as políticas de segurança especificadas aos dispositivos por padrão, sem exigir que os admins de TI configurem ou personalizem as configurações no console do EMM. É recomendável (mas não obrigatório) que os EMMs não permitam que os administradores de TI mudem o estado padrão desses recursos de segurança.
2.7.1. O DPC da EMM precisa bloquear a instalação de apps de fontes desconhecidas, incluindo apps instalados no lado pessoal de qualquer dispositivo Android 8.0 ou mais recente com um perfil de trabalho.
2.7.2. O DPC do EMM precisa bloquear recursos de depuração.
2.8. Políticas de segurança para dispositivos dedicados
Os dispositivos dedicados são bloqueados sem uma saída para permitir outras ações.
2.8.1. A DPC da EMM precisa desativar a inicialização no modo de segurança por padrão.
2.8.2. O DPC da EMM precisa ser aberto e bloqueado na tela imediatamente na primeira inicialização durante o provisionamento para garantir que não haja interação com o dispositivo de nenhuma outra forma.
2.8.3. O DPC do EMM precisa ser definido como o iniciador padrão para garantir que os apps permitidos sejam bloqueados na tela na inicialização, de acordo com as diretrizes de implementação definidas.
2.9. Suporte da Play Integrity
O EMM usa a API Play Integrity para garantir que os dispositivos sejam Android válidos.
2.9.1. O DPC da EMM implementa a API Play Integrity durante o provisionamento e, por padrão, só conclui o provisionamento do dispositivo com dados corporativos quando a integridade do dispositivo retornada é MEETS_STRONG_INTEGRITY .
2.9.2. O DPC do EMM vai realizar outra verificação da integridade do Play sempre que um dispositivo fizer check-in com o servidor do EMM, que pode ser configurado pelo administrador de TI. O servidor de EMM verifica as informações do APK na resposta da verificação de integridade e a própria resposta antes de atualizar a política corporativa no dispositivo.
2.9.3. Os administradores de TI podem configurar diferentes respostas de política com base no resultado da verificação do Play Integrity, incluindo o bloqueio do provisionamento, a limpeza de dados corporativos e a permissão para que o registro continue.
- O serviço de EMM vai aplicar essa resposta de política para o resultado de cada verificação de integridade.
2.9.4. Se a verificação inicial da Play Integrity falhar ou retornar um resultado que não atenda a uma integridade forte, e se o DPC do EMM ainda não tiver chamado ensureWorkingEnvironment, ele precisará fazer isso e repetir a verificação antes que o provisionamento seja concluído.
2.10. Verificar a aplicação de apps
Os administradores de TI podem ativar a Verificação de apps nos dispositivos. O recurso "Verificar apps" verifica se há software nocivo nos apps instalados em dispositivos Android antes e depois da instalação, ajudando a garantir que apps maliciosos não comprometam os dados corporativos.
2.10.1. O DPC do EMM precisa ativar o recurso "Verificar apps" por padrão.
2.11. Suporte à inicialização direta
Os apps não podem ser executados em dispositivos Android 7.0 ou mais recentes que foram ligados recentemente até que o dispositivo seja desbloqueado pela primeira vez. O suporte à inicialização direta garante que a DPC do EMM esteja sempre ativa e possa aplicar a política, mesmo que o dispositivo não tenha sido desbloqueado.
2.11.1. A DPC da EMM usa o armazenamento criptografado do dispositivo para realizar funções críticas de gerenciamento antes que o armazenamento criptografado de credenciais da DPC seja descriptografado. As funções de gerenciamento disponíveis durante a inicialização direta precisam incluir (mas não se limitam a):
- Limpeza empresarial, incluindo a capacidade de limpar os dados de proteção contra redefinição de fábrica conforme apropriado.
2.11.2. O DPC do EMM não pode expor dados corporativos no armazenamento criptografado do dispositivo.
2.11.3. As EMMs podem definir e ativar um token para ativar um botão esqueci minha senha na tela de bloqueio do perfil de trabalho. Esse botão é usado para solicitar que os administradores de TI redefinam com segurança a senha do perfil de trabalho.
2.12. Gerenciamento de segurança de hardware
Os administradores de TI podem bloquear elementos de hardware de um dispositivo corporativo para garantir a prevenção contra perda de dados.
2.12.1. Os administradores de TI podem impedir que os usuários montem mídias físicas externas no dispositivo.
2.12.2. Os administradores de TI podem impedir que os usuários compartilhem dados do dispositivo usando o NFC Beam . Esse subrecurso é opcional porque a função de transmissão por NFC não é mais compatível com o Android 10 e versões mais recentes.
2.12.3. Os administradores de TI podem impedir que os usuários transfiram arquivos por USB do dispositivo.
2.13. Geração de registros de segurança do Enterprise
Os administradores de TI podem coletar dados de uso de dispositivos que podem ser analisados e avaliados programaticamente em busca de comportamentos nocivos ou de risco. As atividades registradas incluem a atividade do Android Debug Bridge (adb), aberturas de apps e desbloqueios de tela.
2.13.1. Os admins de TI podem ativar a geração de registros de segurança para dispositivos específicos, e o DPC do EMM precisa conseguir extrair automaticamente os registros de segurança e os registros de segurança pré-reinicialização.
2.13.2. No console do EMM, os admins de TI podem analisar os registros de segurança corporativa de um determinado dispositivo e um período configurável.
2.13.3. Os administradores de TI podem exportar registros de segurança corporativa do console do EMM.
3. Gerenciamento de contas e apps
3.1. Vinculação empresarial
Os administradores de TI podem vincular o EMM à organização, permitindo que ele use o Google Play gerenciado para distribuir apps aos dispositivos.
3.1.1. Um admin com um Managed Google Domain pode vincular o domínio ao EMM.
3.1.2. O console do EMM precisa provisionar e configurar silenciosamente uma ESA exclusiva para cada empresa.
3.1.3. Remova o registro de uma empresa usando a API EMM do Google Play.
3.1.4. O console de EMM orienta o administrador a inserir o endereço de e-mail do trabalho no fluxo de inscrição do Android e desaconselha o uso de uma conta do Gmail.
3.1.5. O EMM preenche automaticamente o endereço de e-mail do administrador no fluxo de inscrição do Android.
3.2. Provisionamento de contas do Google Play gerenciado
O EMM pode provisionar silenciosamente contas de usuário corporativas, chamadas de contas do Google Play gerenciado. Essas contas identificam usuários gerenciados e permitem regras exclusivas de distribuição de apps por usuário.
3.2.1. O DPC do EMM pode provisionar e ativar silenciosamente uma conta gerenciada do Google Play de acordo com as diretrizes de implementação definidas. Ao fazer isso:
- Uma conta do Google Play gerenciado do tipo
userAccounté adicionada ao dispositivo. - A conta do Google Play gerenciado do tipo
userAccountprecisa ter um mapeamento de um para um com usuários reais no console do EMM.
3.3. Provisionamento de contas de dispositivos do Google Play gerenciado
O EMM pode criar e provisionar contas de dispositivo do Google Play gerenciado. As contas de dispositivo permitem a instalação silenciosa de apps da Google Play gerenciada e não estão vinculadas a um único usuário. Em vez disso, uma conta de dispositivo é usada para identificar um único dispositivo e oferecer suporte a regras de distribuição de apps por dispositivo em cenários de dispositivo dedicado.
3.3.1. O DPC do EMM pode provisionar e ativar silenciosamente uma conta gerenciada do Google Play
de acordo com as diretrizes de implementação definidas.
Ao fazer isso, uma conta do Google Play gerenciado do tipo deviceAccount precisa ser adicionada
ao dispositivo.
3.4. Provisionamento de contas do Google Play gerenciado para dispositivos legados
O EMM pode provisionar contas de usuário corporativas de forma silenciosa, chamadas de contas do Google Play gerenciado. Essas contas identificam usuários gerenciados e permitem regras de distribuição de apps exclusivas por usuário.
3.4.1. O DPC do EMM pode provisionar e ativar silenciosamente uma conta gerenciada do Google Play de acordo com as diretrizes de implementação definidas . Ao fazer isso:
- Uma conta do Google Play gerenciado do tipo
userAccounté adicionada ao dispositivo. - A conta do Google Play gerenciado do tipo
userAccountprecisa ter um mapeamento de um para um com usuários reais no console do EMM.
3.5. Distribuição silenciosa de apps
Os administradores de TI podem distribuir apps de trabalho silenciosamente nos dispositivos dos usuários sem nenhuma interação deles.
3.5.1. O console de EMM precisa usar a API Play EMM para permitir que os administradores de TI instalem apps de trabalho em dispositivos gerenciados.
3.5.2. O console de EMMs precisa usar a API EMM do Google Play para permitir que os administradores de TI atualizem apps de trabalho em dispositivos gerenciados.
3.5.3. O console de EMMs precisa usar a API Play EMM para permitir que os administradores de TI desinstalem apps em dispositivos gerenciados.
3.6. Gerenciamento de configuração gerenciada
Os administradores de TI podem visualizar e definir silenciosamente configurações gerenciadas ou qualquer app que seja compatível com elas.
3.6.1. O console de EMM precisa conseguir recuperar e mostrar as configurações de configuração gerenciada de qualquer app do Google Play.
- Os EMMs podem chamar
Products.getAppRestrictionsSchemapara recuperar um esquema de configurações gerenciadas de um app ou incorporar o frame de configurações gerenciadas no console de EMM.
3.6.2. O console do EMM precisa permitir que os administradores de TI definam qualquer tipo de configuração (conforme definido pelo framework do Android) para qualquer app do Google Play usando a API Play EMM.
3.6.3. O console do EMM precisa permitir que os administradores de TI definam caracteres curinga (como $username$ ou %emailAddress%) para que uma única configuração de um app, como o Gmail, possa ser aplicada a vários usuários. O iframe de configuração gerenciada suporta automaticamente esse requisito.
3.7. Gerenciamento do catálogo de apps
Os administradores de TI podem importar uma lista de apps aprovados para a empresa pelo Google Play gerenciado (play.google.com/work).
3.7.1. O console da EMM pode mostrar uma lista de apps aprovados para distribuição, incluindo:
- Apps comprados no Google Play gerenciado
- Apps particulares visíveis para administradores de TI
- Apps aprovados de forma programática
3.8. Aprovação programática de apps
O console do EMM usa o iframe do Google Play gerenciado para oferecer suporte aos recursos de descoberta e aprovação de apps do Google Play. Os administradores de TI podem pesquisar e aprovar apps e novas permissões de apps sem sair do console do EMM.
3.8.1. Os administradores de TI podem pesquisar e aprovar apps no console do EMM usando o iframe do Google Play gerenciado.
3.9. Gerenciamento básico do layout da loja
O app Google Play gerenciado pode ser usado em dispositivos para instalar e atualizar apps de trabalho. O layout básico da loja é exibido por padrão e lista apps aprovados para a empresa, que os EMMs filtram por usuário de acordo com a política.
3.9.1. Os administradores de TI podem [gerenciar os conjuntos de produtos disponíveis dos usuários]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) para permitir a visualização e instalação de aplicativos na Google Play gerenciada na seção "Página inicial da loja".
3.10. Configuração avançada do layout da loja
Os administradores de TI podem personalizar o layout da loja no app Google Play gerenciado em dispositivos.
3.10.1. Os administradores de TI podem realizar as seguintes ações no console do EMM para personalizar o layout da Google Play Store gerenciada:
- Crie até 100 páginas de layout da loja. As páginas podem ter um número arbitrário de nomes de páginas localizadas.
- Crie até 30 clusters para cada página. Os clusters podem ter um número arbitrário de nomes localizados.
- Atribua até 100 apps a cada cluster.
- Adicione até 10 links rápidos a cada página.
- Especifique a ordem de classificação dos apps em um cluster e dos clusters em uma página.
3.11. Gerenciamento de licenças de apps
Os administradores de TI podem ver e gerenciar as licenças de apps compradas no Google Play gerenciado pelo console do EMM.
3.11.1. Para apps pagos aprovados para uma empresa, o console do EMM precisa mostrar:
- O número de licenças compradas.
- O número de licenças consumidas e os usuários que as consomem.
- O número de licenças disponíveis para distribuição.
3.11.2. Os administradores de TI podem atribuir licenças aos usuários de forma silenciosa sem forçar a instalação do app em nenhum dos dispositivos dos usuários.
3.11.3. Os administradores de TI podem remover a atribuição de uma licença de app a um usuário.
3.12. Gerenciamento de apps particulares hospedados pelo Google
Os administradores de TI podem atualizar apps particulares hospedados no Google pelo console de EMM em vez do Google Play Console.
3.12.1. Os administradores de TI podem fazer upload de novas versões de apps já publicados de forma particular para a empresa usando:
3.13. Gerenciamento de apps particulares auto-hospedados
Os administradores de TI podem configurar e publicar apps particulares auto-hospedados. Ao contrário dos apps particulares hospedados pelo Google, o Google Play não hospeda os APKs. Em vez disso, o EMM ajuda os admins de TI a hospedar os próprios APKs e a proteger os apps auto-hospedados. Para isso, verifica se eles só podem ser instalados quando autorizados pelo Google Play gerenciado.
Os administradores de TI podem acessar Suporte a apps particulares para mais detalhes.
3.13.1. O console da EMM precisa ajudar os administradores de TI a hospedar o APK do app, oferecendo as duas opções a seguir:
- Hospedar o APK no servidor do EMM. O servidor pode ser local ou baseado na nuvem.
- Hospedagem do APK fora do servidor do EMM, a critério do administrador de TI. O administrador de TI precisa especificar no console de EMM onde o APK está hospedado.
3.13.2. O console do EMM precisa gerar um arquivo de definição de APK adequado usando o APK fornecido e orientar os admins de TI no processo de publicação.
3.13.3. Os administradores de TI podem atualizar apps particulares auto-hospedados, e o console do EMM pode publicar silenciosamente arquivos de definição de APK atualizados usando a API Google Play Developer Publishing.
3.13.4. O servidor da EMM atende apenas a solicitações de download do APK auto-hospedado que contém um JWT válido no cookie da solicitação, conforme verificado pela chave pública do app particular.
- Para facilitar esse processo, o servidor do EMM precisa orientar os administradores de TI a baixar a chave pública de licença do app auto-hospedado no Google Play Console e fazer upload dessa chave no console do EMM.
3.14. Notificações de solicitação de EMM
Em vez de consultar periodicamente o Google Play para identificar eventos passados, como uma atualização de app que contém novas permissões ou configurações gerenciadas, as notificações por pull do EMM notificam proativamente os EMMs sobre esses eventos em tempo real, permitindo que eles realizem ações automatizadas e enviem notificações administrativas personalizadas com base nesses eventos.
3.14.1. O EMM precisa usar as notificações de EMM do Google Play para extrair conjuntos de notificações.
3.14.2. A EMM precisa notificar automaticamente um administrador de TI (por exemplo, por um e-mail automatizado) dos seguintes eventos de notificação:
newPermissionEvent: exige que um administrador de TI aprove novas permissões de apps antes que eles possam ser instalados ou atualizados silenciosamente nos dispositivos dos usuários.appRestrictionsSchemaChangeEvent: pode exigir que o administrador de TI atualize a configuração gerenciada de um app para manter a eficiência pretendida.appUpdateEvent: pode ser interessante para administradores de TI que querem validar se o desempenho do fluxo de trabalho principal não é afetado pela atualização do app.productAvailabilityChangeEvent: pode afetar a capacidade de instalar o app ou receber atualizações dele.installFailureEvent: o Google Play não consegue instalar um app silenciosamente em um dispositivo, o que sugere que pode haver algo na configuração do dispositivo que está impedindo a instalação. As EMMs não devem tentar uma instalação silenciosa novamente imediatamente após receber essa notificação, já que a lógica de nova tentativa do Google Play já terá falhado.
3.14.3. O EMM toma automaticamente as medidas adequadas com base nos seguintes eventos de notificação:
newDeviceEvent: durante o provisionamento do dispositivo, os EMMs precisam aguardarnewDeviceEventantes de fazer chamadas subsequentes da API EMM do Google Play para o novo dispositivo, incluindo instalações silenciosas de apps e definição de configurações gerenciadas.productApprovalEvent: ao receber uma notificaçãoproductApprovalEvent, o EMM precisa atualizar automaticamente a lista de apps aprovados importados para o console do EMM para distribuição aos dispositivos se houver uma sessão ativa de admin de TI ou se a lista de apps aprovados não for recarregada automaticamente no início de cada sessão de admin de TI.
3.15. Requisitos de uso da API
O EMM implementa as APIs do Google em grande escala, evitando padrões de tráfego que podem afetar negativamente a capacidade dos administradores de TI de gerenciar apps em ambientes de produção.
3.15.1. O EMM precisa obedecer aos limites de uso da API Play EMM. Se você não corrigir o comportamento que excede essas diretrizes, o uso da API poderá ser suspenso a critério do Google.
3.15.2. O EMM precisa distribuir o tráfego de diferentes empresas ao longo do dia, em vez de consolidar o tráfego empresarial em horários específicos ou semelhantes. Comportamentos que se encaixam nesse padrão de tráfego, como operações em lote programadas para cada dispositivo inscrito, podem resultar na suspensão do uso da API, a critério do Google.
3.15.3. O EMM não pode fazer solicitações consistentes, incompletas ou deliberadamente incorretas que não tentam recuperar ou gerenciar dados empresariais reais. Comportamentos que se encaixam nesse padrão podem resultar na suspensão do uso da API, a critério do Google.
3.16. Gerenciamento avançado de configurações gerenciadas
3.16.1. O console de EMM precisa conseguir recuperar e mostrar as configurações de configuração gerenciada (aninhadas até quatro níveis) de qualquer app do Google Play usando:
- O iframe do Google Play gerenciado , ou
- uma interface personalizada.
3.16.2. O console da EMM precisa recuperar e mostrar qualquer feedback retornado por um canal de feedback do app , quando configurado por um administrador de TI.
- O console do EMM precisa permitir que os administradores de TI associem um item de feedback específico ao dispositivo e ao app de origem.
- O console da EMM precisa permitir que os administradores de TI se inscrevam em alertas ou relatórios de tipos específicos de mensagens (como mensagens de erro).
3.16.3. O console do EMM só pode enviar valores que tenham um valor padrão ou sejam definidos manualmente pelo administrador usando:
- O iframe de configurações gerenciadas ou
- Uma interface personalizada.
3.17. Gerenciamento de apps da Web
Os administradores de TI podem criar e distribuir apps da Web no console de EMM.
3.17.1. Os administradores de TI podem usar o console do EMM para distribuir atalhos para apps da Web usando:
3.18. Gerenciamento do ciclo de vida da conta do Google Play gerenciado
O EMM pode criar, atualizar e excluir contas do Google Play gerenciado em nome dos admins de TI.
3.18.1. Os EMMs podem gerenciar o ciclo de vida de uma conta do Google Play gerenciado de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
3.18.2. Os EMMs podem reautenticar contas do Google Play gerenciado sem interação do usuário.
3.19. Gerenciamento de faixas de aplicativos
3.19.1. Os administradores de TI podem extrair uma lista de IDs de faixa definidos por um desenvolvedor para um app específico.
3.19.2. Os administradores de TI podem configurar os dispositivos para usar uma faixa de desenvolvimento específica de um aplicativo.
3.20. Gerenciamento avançado de atualizações de aplicativos
3.20.1. Os administradores de TI podem permitir que os apps usem atualizações de alta prioridade para serem atualizados quando uma atualização estiver pronta.
3.20.2. Os administradores de TI podem permitir que os apps tenham as atualizações adiadas por 90 dias.
3.21. Gerenciamento de métodos de provisionamento
O EMM pode gerar configurações de provisionamento e apresentá-las ao admin de TI em um formato pronto para distribuição aos usuários finais (como QR code, configuração sem toque, URL da Play Store).
3.22. Fazer upgrade da vinculação do Enterprise
Os admins de TI podem fazer upgrade do tipo de vinculação corporativa para um Managed Google Domain Enterprise, permitindo que a organização acesse serviços e recursos da Conta do Google em dispositivos inscritos.
3.22.1. O console de EMM permite que o admin de TI acione o upgrade de um pacote de contas do Google Play gerenciado para um Managed Google Domain usando as APIs necessárias .
3.22.2. Os EMMs precisam usar o Pub/Sub para receber notificações sobre eventos de upgrade iniciados pelo admin de TI (mesmo aqueles que ocorrem fora do console de EMM) e atualizar a interface para refletir essas mudanças.
3.23. Provisionamento de Contas do Google gerenciadas
O EMM pode provisionar um dispositivo com contas de usuário corporativas, chamadas de Contas do Google gerenciadas. Essas contas identificam usuários gerenciados e permitem regras de distribuição de apps e acesso aos Serviços do Google. Os administradores de TI também podem definir uma política para exigir a autenticação da Conta do Google gerenciada durante ou após o registro.
3.23.1. O DPC do EMM pode provisionar uma Conta do Google gerenciada de acordo com as diretrizes de implementação definidas.
Ao fazer isso:
- Uma Conta do Google gerenciada é adicionada ao dispositivo.
- A Conta do Google gerenciada precisa ter um mapeamento individual com os usuários reais no console do EMM.
3.23.2. O administrador de TI pode usar a política para oferecer aos usuários a opção de fazer login em uma Conta do Google gerenciada para inscrição.
3.23.3. O administrador de TI pode usar a política para controlar se o usuário precisa fazer login em uma Conta do Google gerenciada para concluir o registro.
3.23.4. Os administradores de TI podem restringir o fluxo de upgrade a um identificador de conta específico (endereço de e-mail) para um determinado dispositivo.
3.24. Upgrade da conta do Google Play gerenciado
Os administradores de TI podem fazer upgrade do tipo de conta de usuário para uma Conta do Google gerenciada, permitindo que o dispositivo acesse os serviços e recursos da Conta do Google em dispositivos registrados.
3.24.1. Os admins de TI podem fazer upgrade de uma conta do Google Play gerenciado em um dispositivo para uma Conta do Google gerenciada.
3.24.2. Os administradores de TI podem restringir o fluxo de upgrade a um identificador de conta específico (endereço de e-mail) para um determinado dispositivo.
4. Gerenciamento de dispositivos
4.1. Gerenciamento de políticas de permissão de tempo de execução
Os administradores de TI podem definir silenciosamente uma resposta padrão para solicitações de permissão de tempo de execução feitas por apps de trabalho.
4.1.1. Os administradores de TI precisam poder escolher entre as seguintes opções ao definir uma política de permissão de execução padrão para a organização:
- Solicitação (permite que os usuários escolham)
- allow
- deny
O EMM precisa aplicar essas configurações usando o DPC do EMM.
4.2. Gerenciamento do estado de concessão de permissões de execução
Depois de definir uma política padrão de permissão de execução (acesse 4.1), Os administradores de TI podem definir respostas silenciosamente para permissões específicas de qualquer app de trabalho criado na API 23 ou mais recente.
4.2.1. Os administradores de TI precisam conseguir definir o estado de concessão (padrão, conceder ou negar) de qualquer permissão solicitada por qualquer app de trabalho criado na API 23 ou mais recente. O EMM precisa aplicar essas configurações usando o DPC do EMM .
4.3. Gerenciamento de configuração do Wi-Fi
Os administradores de TI podem provisionar silenciosamente configurações de Wi-Fi corporativo em dispositivos gerenciados, incluindo:
4.3.1. SSID, usando a DPC do EMM.
4.3.2. Senha, usando o DPC do EMM.
4.4. Gerenciamento de segurança do Wi-Fi
Os administradores de TI podem provisionar configurações de Wi-Fi corporativo em dispositivos gerenciados que incluem os seguintes recursos avançados de segurança:
4.4.1. Identidade, usando o DPC do EMM.
4.4.2. Certificado para autorização de clientes, usando o DPC da EMM .
4.4.3. Certificados de CA, usando o DPC da EMM.
4.5. Gerenciamento avançado de Wi-Fi
Os administradores de TI podem bloquear as configurações de Wi-Fi em dispositivos gerenciados para impedir que os usuários criem configurações ou modifiquem as corporativas.
4.5.1. Os administradores de TI podem bloquear as configurações de Wi-Fi corporativo em uma das seguintes configurações:
- Os usuários não podem modificar nenhuma configuração de Wi-Fi provisionada pelo EMM, mas podem adicionar e modificar as próprias redes configuráveis pelo usuário (por exemplo, redes pessoais).
- Os usuários não podem adicionar ou modificar nenhuma rede Wi-Fi no dispositivo, limitando a conectividade Wi-Fi apenas às redes provisionadas pelo EMM.
4.6. Gerenciamento da conta
Os administradores de TI podem verificar se contas corporativas não autorizadas não conseguem interagir com dados corporativos, como serviços de armazenamento SaaS e apps de produtividade ou e-mail. Sem esse recurso, as contas pessoais podem ser adicionadas aos apps corporativos que também aceitam contas pessoais, permitindo que eles compartilhem dados corporativos com essas contas pessoais.
4.6.1. Os admins de TI podem impedir que os usuários adicionem ou modifiquem contas.
- Ao aplicar essa política em um dispositivo, os EMMs precisam definir essa restrição antes da conclusão do provisionamento para garantir que não seja possível burlar essa política adicionando contas antes da entrada em vigor dela.
4.7. Gerenciamento de contas do Workspace
Esse recurso foi descontinuado. Consulte 3.23 para ver os requisitos de substituição.
4.8. Gerenciamento de certificados
Permite que os administradores de TI implantem certificados de identidade e autoridades de certificação em dispositivos para permitir o acesso a recursos corporativos.
4.8.1. Os administradores de TI podem instalar certificados de identidade do usuário gerados pela ICP em uma base por usuário. O console da EMM precisa ser integrado a pelo menos uma PKI e distribuir certificados gerados nessa infraestrutura.
4.8.2. Os administradores de TI podem instalar autoridades certificadoras no keystore gerenciado.
4.9. Gerenciamento avançado de certificados
Permite que os administradores de TI selecionem silenciosamente os certificados que apps gerenciados específicos devem usar. Esse recurso também permite que os admins de TI removam CAs e certificados de identidade de dispositivos ativos. Esse recurso impede que os usuários modifiquem credenciais armazenadas no keystore gerenciado.
4.9.1. Para qualquer app distribuído aos dispositivos, os administradores de TI podem especificar um certificado a que o app terá acesso concedido silenciosamente durante a execução.
- A seleção de certificados precisa ser genérica o suficiente para permitir uma única configuração que se aplique a todos os usuários, cada um dos quais pode ter um certificado de identidade específico do usuário.
4.9.2. Os administradores de TI podem remover certificados do keystore gerenciado sem que o usuário perceba.
4.9.3. Os administradores de TI podem desinstalar um certificado de CA ou todos os certificados de CA que não são do sistema de forma silenciosa.
4.9.4. Os administradores de TI podem impedir que os usuários configurem credenciais no keystore gerenciado.
4.9.5. Os administradores de TI podem conceder certificados previamente para apps de trabalho.
4.10. Gerenciamento delegado de certificados
Os administradores de TI podem distribuir um app de gerenciamento de certificados de terceiros para dispositivos e conceder a esse app acesso privilegiado para instalar certificados no keystore gerenciado.
4.10.1. Os administradores de TI especificam um pacote de gerenciamento de certificados para definir como o app de gerenciamento de certificados delegado pela DPC.
- O console pode sugerir pacotes conhecidos de gerenciamento de certificados, mas precisa permitir que o administrador de TI escolha na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.11. Gerenciamento avançado de VPN
Permite que os administradores de TI especifiquem uma VPN sempre ativa para verificar se os dados dos apps gerenciados especificados sempre passam por uma VPN configurada.
4.11.1. Os administradores de TI podem especificar um pacote de VPN arbitrário para ser definido como uma VPN sempre ativa.
- O console do EMM pode sugerir pacotes de VPN conhecidos que oferecem suporte à VPN sempre ativa, mas não pode restringir as VPNs disponíveis para configuração da VPN sempre ativa a uma lista arbitrária.
4.11.2. Os administradores de TI podem usar configurações gerenciadas para especificar as configurações de VPN de um app.
4.12. Gerenciamento de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) podem ser configurados para dispositivos. Como o IME é compartilhado entre perfis de trabalho e pessoais, bloquear o uso de IMEs também impede o uso pessoal desses IMEs. No entanto, os administradores de TI não podem bloquear IMEs do sistema em perfis de trabalho. Acesse o gerenciamento avançado de IMEs para mais detalhes.
4.12.1. Os administradores de TI podem configurar uma lista de permissões de IME de comprimento arbitrário (incluindo uma lista vazia, que bloqueia IMEs não relacionados ao sistema) que pode conter qualquer pacote de IME arbitrário.
- O console da EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.12.2. O EMM precisa informar aos administradores de TI que os IME do sistema são excluídos do gerenciamento em dispositivos com perfis de trabalho.
4.13. Gerenciamento avançado de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) podem ser configurados para dispositivos. O gerenciamento avançado de IME estende o recurso básico, permitindo que os administradores de TI gerenciem o uso de IMEs do sistema também, que normalmente são fornecidos pelo fabricante ou operadora do dispositivo.
4.13.1. Os administradores de TI podem configurar uma lista de permissões de IME de comprimento arbitrário (exceto uma lista vazia, que bloqueia todos os IMEs, incluindo os do sistema), que pode conter qualquer pacote de IME arbitrário.
- O console da EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.13.2. As EMMs precisam impedir que os admins de TI configurem uma lista de permissões vazia, já que essa configuração bloqueia a configuração de todos os IME, incluindo os do sistema, no dispositivo.
4.13.3. As EMMs precisam verificar se uma lista de permissões de IME não contém IMEs do sistema e se os IMEs de terceiros são instalados silenciosamente antes da aplicação da lista de permissões no dispositivo.
4.14. Gerenciamento de serviços de acessibilidade
Os administradores de TI podem gerenciar quais serviços de acessibilidade podem ser permitidos nos dispositivos dos usuários. Embora os serviços de acessibilidade sejam ferramentas poderosas para usuários com deficiência ou que não podem interagir totalmente com o dispositivo, eles podem interagir com dados corporativos de maneiras que não estão em conformidade com a política da empresa. Com esse recurso, os administradores de TI podem desativar qualquer serviço de acessibilidade que não seja do sistema.
4.14.1. Os administradores de TI podem configurar uma lista de permissões de serviços de acessibilidade de comprimento arbitrário (incluindo uma lista vazia, que bloqueia serviços de acessibilidade não relacionados ao sistema), que pode conter qualquer pacote de serviço de acessibilidade arbitrário. Quando aplicado a um perfil de trabalho, isso afeta o perfil pessoal e o de trabalho.
- O console pode sugerir serviços de acessibilidade conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.15. Gerenciamento do Compartilhamento de local
Os administradores de TI podem impedir que os usuários compartilhem dados de local com apps no perfil de trabalho. Caso contrário, a configuração de local para perfis de trabalho pode ser feita em Configurações.
4.15.1. Os administradores de TI podem desativar os Serviços de localização no perfil de trabalho.
4.16. Gerenciamento avançado do Compartilhamento de local
Os administradores de TI podem aplicar uma determinada configuração de Compartilhamento de local em um dispositivo gerenciado. Esse recurso garante que os apps corporativos sempre tenham acesso a dados de localização de alta precisão. Esse recurso também pode garantir que a bateria extra não seja consumida restringindo as configurações de local ao modo de economia de bateria.
4.16.1. Os administradores de TI podem definir os serviços de localização do dispositivo em cada um dos seguintes modos:
- Alta precisão.
- Apenas sensores, por exemplo, GPS, mas não incluindo a localização fornecida pela rede.
- Economia de bateria, que limita a frequência de atualização.
- Desligado.
4.17. Gerenciamento da proteção contra redefinição de fábrica
Permite que os administradores de TI protejam os dispositivos corporativos contra roubo, garantindo que usuários não autorizados não possam redefinir os dispositivos para a configuração de fábrica. Se a proteção contra redefinição de fábrica introduzir complexidades operacionais quando os dispositivos forem devolvidos à TI, os administradores de TI também poderão desativar totalmente a proteção contra redefinição de fábrica.
4.17.1. Os administradores de TI podem impedir que os usuários façam uma redefinição de fábrica do dispositivo nas Configurações.
4.17.2. Os administradores de TI podem especificar contas de desbloqueio corporativo autorizadas a provisionar dispositivos após uma redefinição de fábrica.
- Essa conta pode ser vinculada a uma pessoa ou usada por toda a empresa para desbloquear dispositivos.
4.17.3. Os administradores de TI podem desativar a proteção contra redefinição de fábrica em dispositivos específicos.
4.17.4. Os administradores de TI podem iniciar uma limpeza remota do dispositivo que, opcionalmente, apaga os dados de proteção contra redefinição, removendo a proteção contra redefinição de fábrica no dispositivo redefinido.
4.18. Controle avançado de apps
Os administradores de TI podem impedir que o usuário desinstale ou modifique apps gerenciados em "Configurações", por exemplo, forçando o fechamento do app ou limpando o cache de dados de um app.
4.18.1. Os administradores de TI podem bloquear a desinstalação de qualquer app gerenciado arbitrário ou de todos os apps gerenciados.
4.18.2. Os administradores de TI podem impedir que os usuários modifiquem os dados do aplicativo em "Configurações".
4.19. Gerenciamento de captura de tela
Os administradores de TI podem impedir que os usuários façam capturas de tela ao usar apps gerenciados. Essa configuração inclui o bloqueio de apps de compartilhamento de tela e semelhantes (como o Google Assistente) que usam os recursos de captura de tela do sistema.
4.19.1. Os administradores de TI podem impedir que os usuários façam capturas de tela .
4.20. Desativar câmeras
Os administradores de TI podem desativar o uso das câmeras do dispositivo por apps gerenciados.
4.20.1. Os administradores de TI podem desativar o uso das câmeras do dispositivo por apps gerenciados.
4.21. Coleta de estatísticas da rede
Os administradores de TI podem consultar estatísticas de uso de rede no perfil de trabalho de um dispositivo. As estatísticas coletadas refletem os dados de uso compartilhados com os usuários na seção Uso de dados das Configurações. As estatísticas coletadas são aplicáveis ao uso de apps no perfil de trabalho.
4.21.1. Os administradores de TI podem consultar o resumo das estatísticas de rede de um perfil de trabalho, de um determinado dispositivo e período configurável, e conferir esses detalhes no console do EMM.
4.21.2. Os administradores de TI podem consultar um resumo das estatísticas de uso da rede de um app no perfil de trabalho, para um determinado dispositivo e período configurável, e ver esses detalhes organizados por UID no console do EMM.
4.21.3. Os administradores de TI podem consultar dados históricos de uso da rede de um perfil de trabalho para um determinado dispositivo e período configurável, além de ver esses detalhes organizados por UID no console do EMM.
4.22. Coleta avançada de estatísticas de rede
Os administradores de TI podem consultar estatísticas de uso da rede de um dispositivo gerenciado inteiro. As estatísticas coletadas refletem os dados de uso compartilhados com os usuários na seção Uso de dados das Configurações. As estatísticas coletadas são aplicáveis ao uso de apps no dispositivo.
4.22.1. Os administradores de TI podem consultar o resumo das estatísticas de rede de um dispositivo inteiro, de um dispositivo específico e de um período configurável, e ver esses detalhes no console do EMM.
4.22.2. Os administradores de TI podem consultar um resumo das estatísticas de uso da rede de apps para um determinado dispositivo e período configurável, além de conferir esses detalhes organizados por UID no console da EMM.
4.22.3. Os administradores de TI podem consultar os dados históricos de uso da rede de um determinado dispositivo e período configurável e ver esses detalhes organizados por UID no console do EMM.
4.23. Reiniciar dispositivo
Os administradores de TI podem reiniciar remotamente os dispositivos gerenciados.
4.23.1. Os administradores de TI podem reiniciar remotamente um dispositivo gerenciado.
4.24. Gerenciamento de rádio do sistema
Permite que os administradores de TI façam o gerenciamento granular dos rádios de rede do sistema e das políticas de uso associadas.
4.24.1. Os administradores de TI podem desativar as transmissões de célula enviadas por provedores de serviços, como alertas AMBER.
4.24.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel em "Configurações" .
4.24.3. Os administradores de TI podem impedir que os usuários redefinam as configurações de rede em "Configurações" .
4.24.4. Os administradores de TI podem permitir ou não o uso de dados móveis em roaming .
4.24.5. Os administradores de TI podem configurar se o dispositivo pode fazer ligações, exceto para emergências.
4.24.6. Os administradores de TI podem configurar se o dispositivo pode enviar e receber mensagens de texto .
4.24.7. Os administradores de TI podem impedir que os usuários usem o dispositivo como um hotspot portátil com tethering .
4.24.8. Os administradores de TI podem definir o tempo limite do Wi-Fi como padrão, somente quando conectado ou nunca.
4.24.9. Os administradores de TI podem impedir que os usuários configurem ou modifiquem conexões Bluetooth .
4.25. Gerenciamento de áudio do sistema
Os administradores de TI podem gerenciar silenciosamente os recursos de áudio do dispositivo, incluindo desativar o som do dispositivo, impedir que os usuários mudem as configurações de volume e impedir que os usuários ativem o som do microfone do dispositivo.
4.25.1. Os administradores de TI podem desativar o som dos dispositivos gerenciados sem que o usuário perceba.
4.25.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de volume do dispositivo.
4.25.3. Os administradores de TI podem impedir que os usuários ativam o som do microfone do dispositivo.
4.26. Gerenciamento do relógio do sistema
Os admins de TI podem gerenciar as configurações de relógio e fuso horário do dispositivo e impedir que os usuários modifiquem as configurações automáticas do dispositivo.
4.26.1. Os administradores de TI podem forçar a hora automática do sistema, impedindo que o usuário defina a data e a hora do dispositivo.
4.26.2. Os administradores de TI podem ativar ou desativar silenciosamente o horário automático e o fuso horário automático.
4.27. Recursos avançados de dispositivos dedicados
Oferece aos administradores de TI a capacidade de gerenciar recursos mais granulares de dispositivos dedicados para oferecer suporte a vários casos de uso de quiosques.
4.27.1. Os administradores de TI podem desativar o bloqueio de tela do dispositivo.
4.27.2. Os administradores de TI podem desativar a barra de status do dispositivo, bloqueando notificações e Configurações rápidas.
4.27.3. Os administradores de TI podem forçar a tela do dispositivo a permanecer ligada enquanto ele estiver conectado.
4.27.4. Os administradores de TI podem impedir que as seguintes interfaces do sistema sejam mostradas:
- Avisos
- Sobreposições de apps.
4.27.5. Os administradores de TI podem permitir que a recomendação do sistema para apps pule o tutorial do usuário e outras dicas introdutórias na primeira inicialização.
4.28. Gerenciamento de escopo delegado
Os administradores de TI podem delegar privilégios extras a pacotes individuais.
4.28.1. Os administradores de TI podem gerenciar os seguintes escopos:
- Instalação e gerenciamento de certificados
- Deliberadamente em branco
- Geração de registros de rede
- Registro de segurança (não compatível com perfil de trabalho em dispositivos pessoais)
4.29. Suporte a IDs específicos de inscrição
A partir do Android 12, os perfis de trabalho não terão mais acesso a identificadores específicos de hardware. Os administradores de TI podem acompanhar o ciclo de vida de um dispositivo com um perfil de trabalho usando o ID específico de registro, que persiste mesmo após redefinições para a configuração original.
4.29.1. Os administradores de TI podem definir e receber um ID específico de inscrição.
4.29.2. Esse ID específico de inscrição precisa persistir após uma redefinição de fábrica.
4.30. Política do gerenciador de credenciais
Os administradores de TI podem gerenciar quais aplicativos de gerenciador de credenciais são permitidos ou bloqueados usando uma política.
4.30.1 Os administradores de TI podem bloquear todos os gerenciadores de credenciais no dispositivo (ou no perfil de trabalho).
4.30.2 Os administradores de TI podem especificar que apenas gerenciadores de credenciais pré-carregados (apps do sistema) sejam permitidos.
4.30.3 Os administradores de TI podem especificar uma lista de nomes de pacotes que podem oferecer funcionalidade do gerenciador de credenciais.
4.31. Gerenciamento básico de eSIM
Permite que os administradores de TI provisionem um dispositivo com um perfil de eSIM e gerenciem o ciclo de vida dele no dispositivo.
4.31.1 Os administradores de TI podem provisionar silenciosamente um perfil de eSIM em um dispositivo.
4.31.2 Os administradores de TI podem excluir eSIMs gerenciados de um dispositivo.
4.31.3 Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel em
Configurações (acesse mobileNetworksConfigDisabled).
4.31.4 Quando um administrador de TI faz uma exclusão permanente remota em um dispositivo ou perfil de trabalho, ele também pode remover os eSIMs gerenciados do dispositivo. Por padrão, os eSIMs gerenciados são removidos dos perfis de trabalho em dispositivos pessoais, mas são mantidos em dispositivos da empresa.
4.31.5 (OPCIONAL) Os administradores de TI podem recuperar o identificador EID (Embedded Identity Document) de um dispositivo usando a interface do console de EMM (ou método equivalente) e exportar esses valores.
5. Usabilidade do dispositivo
5.1. Personalização do provisionamento gerenciado
Os administradores de TI podem modificar a UX do fluxo de configuração padrão para incluir recursos específicos da empresa. Como opção, os administradores de TI podem mostrar a marca fornecida pelo EMM durante o provisionamento.
5.1.1. Os administradores de TI podem personalizar o processo de provisionamento especificando os seguintes detalhes específicos da empresa: cor da empresa, logotipo da empresa, Termos de Serviço da empresa e outras exonerações de responsabilidade.
5.1.2. Os administradores de TI podem implantar uma personalização não configurável e específica do EMM que inclui os seguintes detalhes: cor do EMM, logo do EMM, termos de serviço do EMM e outras exonerações de responsabilidade.
5.1.3 [primaryColor] foi descontinuado para o recurso empresarial no
Android 10 e versões mais recentes.
- Os EMMs precisam incluir Termos de Serviço de provisionamento e outras exonerações de responsabilidade para o fluxo de provisionamento no pacote de exonerações de responsabilidade de provisionamento do sistema, mesmo que a personalização específica do EMM não seja usada.
- Os EMMs podem definir a personalização não configurável e específica do EMM como o padrão para todas as implantações, mas precisam permitir que os administradores de TI configurem a própria personalização.
5.2. Personalização empresarial
Os administradores de TI podem personalizar aspectos do perfil de trabalho com branding corporativo. Por exemplo, os administradores de TI podem definir o ícone do usuário no perfil de trabalho como o logotipo corporativo. Outro exemplo é definir a cor de fundo do desafio de trabalho.
5.2.1. Os administradores de TI podem definir a cor da organização para usar como cor de fundo do desafio de trabalho.
5.2.2. Os administradores de TI podem definir o nome de exibição do perfil de trabalho.
5.2.3. Os administradores de TI podem definir o ícone do usuário do perfil de trabalho.
5.2.4. Os administradores de TI podem impedir que o usuário modifique o ícone do perfil de trabalho.
5.3. Personalização avançada para empresas
Os administradores de TI podem personalizar dispositivos gerenciados com o branding corporativo. Por exemplo, os administradores de TI podem definir o ícone do usuário principal como o logotipo corporativo ou o plano de fundo do dispositivo.
5.3.1. Os administradores de TI podem definir o nome de exibição do dispositivo gerenciado.
5.3.2. Os administradores de TI podem definir o ícone do usuário do dispositivo gerenciado .
5.3.3. Os administradores de TI podem impedir que o usuário modifique o ícone do usuário do dispositivo .
5.3.4. Os administradores de TI podem definir o plano de fundo do dispositivo .
5.3.5. Os administradores de TI podem impedir que o usuário modifique o papel de parede do dispositivo.
5.4. Mensagens na tela de bloqueio
Os administradores de TI podem definir uma mensagem personalizada que é sempre exibida na tela de bloqueio do dispositivo e não exige desbloqueio para ser visualizada.
5.4.1. Os administradores de TI podem definir uma mensagem personalizada na tela de bloqueio.
5.5. Gerenciamento da transparência da política
Os administradores de TI podem personalizar o texto de ajuda fornecido aos usuários quando eles modificam as configurações gerenciadas no dispositivo ou implantar uma mensagem de suporte genérica fornecida pelo EMM. As mensagens de suporte curtas e longas podem ser personalizadas. Essas mensagens são exibidas em casos como a tentativa de desinstalar um app gerenciado para o qual um administrador de TI já bloqueou a desinstalação.
5.5.1. Os administradores de TI personalizam as mensagens de suporte curtas e longas.
5.5.2. Os administradores de TI podem implantar mensagens de suporte curtas e longas não configuráveis e específicas para EMM.
- O EMM pode definir as mensagens de suporte não configuráveis e específicas do EMM como padrão para todas as implantações, mas precisa permitir que os administradores de TI configurem as próprias mensagens.
5.6. Gerenciamento de contatos entre perfis
Os administradores de TI podem controlar quais dados de contato podem sair do perfil de trabalho. Os apps de telefonia e mensagens (SMS) precisam ser executados no perfil pessoal e exigem acesso aos dados de contato do perfil de trabalho para oferecer eficiência aos contatos de trabalho. No entanto, os administradores podem desativar esses recursos para proteger os dados de trabalho.
5.6.1. Os admins de TI podem desativar a pesquisa de contatos entre perfis para apps pessoais que usam o provedor de contatos do sistema.
5.6.2. Os admins de TI podem desativar a pesquisa de identificador de chamadas entre perfis para apps de telefone pessoais que usam o provedor de contatos do sistema.
5.6.3. Os administradores de TI podem desativar o compartilhamento de contatos por Bluetooth com dispositivos Bluetooth que usam o provedor de contatos do sistema, como chamadas em viva-voz em carros ou fones de ouvido.
5.7. Gerenciamento de dados em vários perfis
Concede aos admins de TI o gerenciamento de quais dados podem sair do perfil de trabalho, além dos recursos de segurança padrão do perfil de trabalho. Com esse recurso, os administradores de TI podem permitir tipos específicos de compartilhamento de dados entre perfis para melhorar a usabilidade em casos de uso importantes. Os administradores de TI também podem proteger ainda mais os dados corporativos com mais bloqueios.
5.7.1. Os administradores de TI podem configurar filtros de intent entre perfis para que apps pessoais possam resolver intents do perfil de trabalho, como compartilhamento de intents ou links da Web.
- O console pode sugerir filtros de intent conhecidos ou recomendados para configuração, mas não pode restringir filtros de intent a uma lista arbitrária.
5.7.2. Os administradores de TI podem permitir apps gerenciados que podem mostrar widgets na tela inicial.
- O console da EMM precisa oferecer aos administradores de TI a capacidade de escolher na lista de apps disponíveis para instalação aos usuários aplicáveis.
5.7.3. Os administradores de TI podem bloquear o uso de copiar/colar entre os perfis de trabalho e pessoal.
5.7.4. Os administradores de TI podem impedir que os usuários compartilhem dados do perfil de trabalho usando o envio por NFC.
5.7.5. Os administradores de TI podem permitir que apps pessoais abram links da Web no perfil de trabalho.
5.8. Política de atualização do sistema
Os administradores de TI podem configurar e aplicar atualizações do sistema over the air (OTA) para dispositivos.
5.8.1. O console do EMM permite que os administradores de TI definam as seguintes configurações de OTA:
- Automático: os dispositivos instalam atualizações OTA quando elas ficam disponíveis.
- Adiar: os administradores de TI precisam poder adiar a atualização OTA por até 30 dias. Essa política não afeta atualizações de segurança (por exemplo, patches de segurança mensais).
- Em janelas: os administradores de TI precisam programar atualizações OTA em uma janela de manutenção diária.
5.8.2. O DPC do EMM aplica configurações OTA aos dispositivos.
5.9. Gerenciamento do modo de bloqueio de atividade
Os administradores de TI podem bloquear um app ou um conjunto de apps na tela e garantir que os usuários não possam sair do app.
5.9.1. O console do EMM permite que os administradores de TI autorizem silenciosamente a instalação e o bloqueio de um conjunto arbitrário de apps em um dispositivo. O DPC da EMM permite o modo de dispositivo dedicado.
5.10. Gerenciamento persistente de atividades preferidas
Permite que os administradores de TI definam um app como o gerenciador de intents padrão para intents que correspondam a um determinado filtro de intent. Por exemplo, permitir que os administradores de TI escolham qual app de navegador abre automaticamente os links da Web ou qual app de tela de início é usado ao tocar no botão home.
5.10.1. Os administradores de TI podem definir qualquer pacote como o gerenciador de intents padrão para qualquer filtro de intent arbitrário.
- O console do EMM pode sugerir intents conhecidas ou recomendadas para configuração, mas não pode restringir intents a uma lista arbitrária.
- O console do EMM precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação para os usuários aplicáveis.
5.11. Gerenciamento de recursos do Keyguard
- agentes de confiança
- desbloqueio com impressão digital
- notificações não editadas
5.11.2. O DPC do EMM pode desativar os seguintes recursos da tela de bloqueio no perfil de trabalho:
- agentes de confiança
- desbloqueio com impressão digital
5.12. Gerenciamento avançado de recursos de proteção de tela
- Câmera segura
- Todas as notificações
- Notificações sem redação
- Agentes de confiança
- Desbloqueio por impressão digital
- Todos os recursos do keyguard
5.13. Depuração remota
Os administradores de TI podem recuperar recursos de depuração de dispositivos sem precisar de etapas extras.
5.13.1. Os administradores de TI podem solicitar relatórios de bugs remotamente, ver e baixar relatórios de bugs no console do EMM.
5.14. Recuperação de endereço MAC
Os EMMs podem buscar silenciosamente o endereço MAC de um dispositivo. O endereço MAC pode ser usado para identificar dispositivos em outras partes da infraestrutura empresarial, por exemplo, ao identificar dispositivos para controle de acesso à rede.
5.14.1. O EMM pode recuperar silenciosamente o endereço MAC de um dispositivo e associá-lo ao dispositivo no console do EMM.
5.15. Gerenciamento avançado do modo de bloqueio de atividade
Quando um dispositivo é configurado como dedicado, os administradores de TI podem usar o console da EMM para realizar as seguintes tarefas:
5.15.1. Permitir silenciosamente que um único app seja bloqueado em um dispositivo usando o DPC do EMM.
5.15.2. Ative ou desative os seguintes recursos da interface do sistema usando o DPC do EMM :
- Botão "Início"
- Visão geral
- Ações globais
- Notificações
- Informações do sistema / Barra de status
- Bloqueio do teclado (tela de bloqueio)
5.15.3. Desative as caixas de diálogo de erro do sistema usando o DPC do EMM.
5.16. Política avançada de atualização do sistema
Os administradores de TI podem bloquear atualizações do sistema em um dispositivo por um período de congelamento especificado.
5.16.1. O DPC do EMM pode aplicar atualizações do sistema OTA (over-the-air) aos dispositivos durante um período de congelamento especificado.
5.17. Gerenciamento da transparência da política do perfil de trabalho
Os administradores de TI podem personalizar a mensagem exibida aos usuários ao remover o perfil de trabalho de um dispositivo.
5.17.1. Os administradores de TI podem fornecer um texto personalizado para exibição quando um perfil de trabalho é excluído permanentemente.
5.18. Suporte para apps conectados
Os administradores de TI podem definir uma lista de pacotes que podem se comunicar além do limite do perfil de trabalho.
5.19. Atualizações manuais do sistema
Os administradores de TI podem instalar uma atualização do sistema manualmente fornecendo um caminho.
6. Descontinuação do Administrador do dispositivo
6.1. Descontinuação do Administrador do dispositivo
Os EMMs precisam postar um plano até o final de 2022 para encerrar o suporte ao cliente para administrador de dispositivos em dispositivos GMS até o final do primeiro trimestre de 2023.
7. Uso da API
7.1. Controlador de políticas padrão para novas vinculações
Por padrão, os dispositivos precisam ser gerenciados com o Android Device Policy para novas vinculações. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado em uma área de configurações com o título "Avançado" ou terminologia semelhante. Os novos clientes não podem ser expostos a uma escolha arbitrária entre stacks de tecnologia durante qualquer fluxo de trabalho de integração ou configuração.
7.2. Controlador de política padrão para novos dispositivos
Por padrão, os dispositivos precisam ser gerenciados usando o Android Device Policy em todos os registros de novos dispositivos, tanto para vinculações atuais quanto novas. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado em uma área de configurações com o título "Avançado" ou terminologia semelhante.