หน้านี้แสดงชุดฟีเจอร์ทั้งหมดของ Android Enterprise
หากต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ของคุณต้องรองรับ ฟีเจอร์มาตรฐานทั้งหมด () ของชุดโซลูชันอย่างน้อย 1 ชุดก่อนจึงจะ พร้อมให้บริการในเชิงพาณิชย์ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์มาตรฐาน จะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่ามีชุดการจัดการมาตรฐาน
ชุดฟีเจอร์ขั้นสูงเพิ่มเติมพร้อมให้บริการสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้ จะระบุไว้ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งานใน อุปกรณ์ส่วนตัว โปรไฟล์งานในอุปกรณ์ของบริษัท อุปกรณ์ที่มีการจัดการ ครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ในฐานะโซลูชันที่นำเสนอชุดการจัดการขั้นสูง
คีย์
| ฟีเจอร์มาตรฐาน | ฟีเจอร์ขั้นสูง | ฟีเจอร์เสริม | ไม่เกี่ยวข้อง |
1. การจัดสรรอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานแบบ DPC-first
คุณจัดสรรโปรไฟล์งานได้หลังจากดาวน์โหลด DPC ของ EMM จาก Google Play
1.1.1. DPC ของ EMM ต้องพร้อมให้บริการแบบสาธารณะใน Google Play เพื่อให้ผู้ใช้ ติดตั้ง DPC ในฝั่งส่วนตัวของอุปกรณ์ได้
1.1.2. เมื่อติดตั้งแล้ว DPC ต้องแนะนำผู้ใช้ตลอดกระบวนการ การจัดสรรโปรไฟล์งาน
1.1.3. หลังจากจัดสรรเสร็จสมบูรณ์แล้ว จะไม่มีการจัดการใดๆ เหลืออยู่ในส่วน ส่วนตัวของอุปกรณ์
- คุณต้องนำนโยบายที่ใช้ในระหว่างการจัดสรรออก
- ต้องเพิกถอนสิทธิ์ของแอป
- DPC ของ EMM ต้องปิดอย่างน้อยในฝั่งส่วนตัวของอุปกรณ์
1.2 การจัดสรรอุปกรณ์โดยใช้ตัวระบุ DPC
ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะโดยใช้ตัวระบุ DPC ("afw#") ตามหลักเกณฑ์การติดตั้งใช้งานที่กำหนดไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
1.2.1. DPC ของ EMM ต้องพร้อมให้บริการแบบสาธารณะใน Google Play DPC ต้อง ติดตั้งได้จากวิซาร์ดการตั้งค่าอุปกรณ์โดยป้อนตัวระบุเฉพาะของ DPC
1.2.2. เมื่อติดตั้งแล้ว DPC ของ EMM ต้องแนะนำผู้ใช้ตลอดกระบวนการ จัดสรรอุปกรณ์ที่มีการจัดการเต็มรูปแบบหรืออุปกรณ์เฉพาะ
1.3 การจัดสรรอุปกรณ์ NFC
ผู้ดูแลระบบไอทีใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นได้ ตามหลักเกณฑ์การใช้งาน ที่กำหนดไว้ใน เอกสารประกอบสำหรับนักพัฒนาแอป Play EMM API
1.3.1. EMM ต้องใช้แท็ก NFC Forum ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียน ไปยังอุปกรณ์ รายละเอียดการลงทะเบียน ไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. หลังจากที่ DPC ของ EMM ตั้งค่าตัวเองเป็นเจ้าของอุปกรณ์แล้ว DPC จะต้องเปิดขึ้น ทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าจะมีการจัดสรรอุปกรณ์อย่างเต็มรูปแบบ 1.3.3. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจาก มีการเลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4. การจัดสรรอุปกรณ์ด้วยคิวอาร์โค้ด
ผู้ดูแลระบบไอทีสามารถใช้อุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นเพื่อสแกนคิวอาร์โค้ดที่สร้างขึ้นโดย คอนโซลของ EMM เพื่อจัดสรรอุปกรณ์ตามแนวทางการติดตั้งใช้งาน ที่กำหนดไว้ใน เอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
1.4.1. คิวอาร์โค้ดต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียน ไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน หรือใบรับรอง
1.4.2. หลังจาก DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC จะต้องเปิด ทันทีและล็อกตัวเองไว้ที่หน้าจอจนกว่าจะมีการจัดสรรอุปกรณ์อย่างเต็มรูปแบบ
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อจากตัวแทนจำหน่ายที่ได้รับอนุญาตล่วงหน้าและจัดการอุปกรณ์เหล่านั้น โดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม ที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่ผู้ดูแลระบบไอทีกำหนดโดยอัตโนมัติ
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นอัตโนมัติได้โดยการติดตั้งรายละเอียดการลงทะเบียน DPC ผ่านการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม DPC ของ EMM รองรับ การจำกัดการลงทะเบียนไว้เฉพาะบัญชีหรือโดเมนที่เจาะจงตาม ตัวเลือกการกำหนดค่าที่ EMM เสนอ
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม ที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.6.2. หลังจาก DPC ของ EMM ตั้งค่าอุปกรณ์แล้ว DPC ของ EMM ต้อง เปิดทันทีและล็อกตัวเองไว้กับหน้าจอจนกว่าจะมีการจัดสรรอุปกรณ์อย่างเต็มรูปแบบ
- ข้อกำหนดนี้จะได้รับการยกเว้นสำหรับอุปกรณ์ที่ใช้รายละเอียดการลงทะเบียนการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม เพื่อจัดสรรตัวเองอย่างเต็มรูปแบบโดยอัตโนมัติ (เช่น ในการติดตั้งใช้งานอุปกรณ์เฉพาะ)
1.6.3. เมื่อใช้รายละเอียดการลงทะเบียน DPC ของ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถเปิดใช้งานต่อได้เมื่อเรียกใช้ DPC การเปิดใช้งานต้องจำกัดไว้สำหรับผู้ใช้ขององค์กรที่กำหนดเป็นอย่างน้อย
1.6.4. DPC ของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีสามารถป้อนรายละเอียดการลงทะเบียนล่วงหน้า (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น ชื่อผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อให้ผู้ใช้ไม่ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่ใส่ข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือ ใบรับรอง ในการกำหนดค่าการลงทะเบียนแบบไม่มีการแตะ
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ ฟีเจอร์นี้จะแนะนำผู้ใช้ตลอดการตั้งค่าโปรไฟล์งานหลังจากป้อน ข้อมูลเข้าสู่ระบบ Workspace ขององค์กรในระหว่างการตั้งค่าอุปกรณ์หรือในอุปกรณ์ที่ เปิดใช้งานแล้ว ในทั้ง 2 กรณี ระบบจะย้ายข้อมูลประจำตัว Workspace ขององค์กรไปยังโปรไฟล์งาน
1.7.1. วิธีการจัดสรรบัญชี Google จะจัดสรรโปรไฟล์งาน ตามหลักเกณฑ์การติดตั้งใช้งานที่กำหนด
1.8. การจัดสรรอุปกรณ์ที่เชื่อมโยงกับบัญชี Google
สำหรับองค์กรที่ใช้ Workspace ฟีเจอร์นี้จะแนะนำผู้ใช้ตลอดขั้นตอนการ ติดตั้ง DPC ของ EMM หลังจากที่ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กร ในระหว่างการตั้งค่าอุปกรณ์ครั้งแรก เมื่อติดตั้งแล้ว DPC จะตั้งค่า อุปกรณ์ของบริษัทให้เสร็จสมบูรณ์
1.8.1. วิธีการจัดสรรบัญชี Google จะจัดสรรอุปกรณ์ของบริษัท ตามหลักเกณฑ์การติดตั้งใช้งานที่กำหนด
1.8.2. หาก EMM ระบุอุปกรณ์เป็นทรัพย์สินขององค์กรได้อย่างชัดเจน ก็จะจัดสรรอุปกรณ์ได้โดยไม่ต้องแจ้งให้ทราบในระหว่างกระบวนการจัดสรร พรอมต์นี้ต้องดำเนินการที่ไม่ใช่ค่าเริ่มต้น เช่น เลือกช่องทำเครื่องหมายหรือเลือกตัวเลือกเมนูที่ไม่ใช่ค่าเริ่มต้น เราขอแนะนำ ให้ EMM ระบุอุปกรณ์เป็นสินทรัพย์ของบริษัทเพื่อไม่ให้ ต้องแสดงข้อความแจ้ง
1.9 การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้ iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10. โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้
1.10.1. จงใจเว้นว่าง
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าการดำเนินการตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทได้
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือ ทั้งอุปกรณ์
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือ ทั้งอุปกรณ์
1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่ถูกบล็อกของแอปพลิเคชันที่ติดตั้งไม่ได้ ในโปรไฟล์ส่วนตัว
1.10.6. ผู้ดูแลระบบไอทีสามารถสละสิทธิ์การจัดการอุปกรณ์ของบริษัทได้โดยการนำ โปรไฟล์งานออกหรือล้างข้อมูลทั้งอุปกรณ์
1.11 การจัดสรรอุปกรณ์เฉพาะ
ผู้ดูแลระบบไอทีสามารถลงทะเบียนอุปกรณ์เฉพาะได้โดยไม่ต้องแจ้งให้ผู้ใช้ ตรวจสอบสิทธิ์ด้วยบัญชี Google
2. ความปลอดภัยของอุปกรณ์
2.1 การยืนยันตัวตนเพื่อความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถกำหนดและบังคับใช้การยืนยันความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากการเลือกที่กำหนดไว้ล่วงหน้า 3 ระดับความซับซ้อนในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบายต้องบังคับใช้การตั้งค่าที่จัดการความท้าทายด้านความปลอดภัยของอุปกรณ์ (parentProfilePasswordRequirements สำหรับโปรไฟล์งาน, passwordRequirements สำหรับ อุปกรณ์ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านต้องสอดคล้องกับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) รหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4 อักขระ
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำ (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 อักขระ หรือรหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6 อักขระ
2.2 มาตรการรักษาความปลอดภัยของที่ทำงาน
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้การตรวจสอบความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งาน ซึ่งแยกต่างหากและมีข้อกำหนดที่แตกต่างจากการตรวจสอบความปลอดภัยของอุปกรณ์ (2.1)
2.2.1. นโยบายต้องบังคับใช้การตรวจสอบความปลอดภัยสำหรับโปรไฟล์งาน โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรตั้งค่าการจำกัดสำหรับโปรไฟล์งานเท่านั้น หากไม่ได้ระบุขอบเขต ผู้ดูแลระบบไอทีจะตั้งค่านี้ทั่วทั้งอุปกรณ์ได้โดยการระบุขอบเขต (ดูข้อกำหนด 2.1)
2.1.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) รหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4 อักขระ
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำ (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 อักขระ หรือรหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6 อักขระ
2.3 การจัดการรหัสผ่านขั้นสูง
2.3.1. จงใจเว้นว่าง
2.3.2. จงใจเว้นว่าง
2.3.3. คุณตั้งค่าวงจรของรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอ ที่มีในอุปกรณ์ได้
- จงใจเว้นว่าง
- จงใจเว้นว่าง
- จำนวนครั้งสูงสุดที่ป้อนรหัสผ่านผิดพลาดได้ก่อนที่จะล้างข้อมูล : ระบุจำนวนครั้งที่ผู้ใช้ป้อนรหัสผ่านไม่ถูกต้องได้ก่อนที่ระบบจะ ล้างข้อมูลขององค์กรออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.4 การจัดการ Smart Lock
ผู้ดูแลระบบไอทีสามารถจัดการได้ว่าจะอนุญาตให้เอเจนต์ความน่าเชื่อถือในฟีเจอร์ Smart Lock ของ Android ปลดล็อกอุปกรณ์ใดบ้าง ผู้ดูแลระบบไอทีสามารถปิดวิธีการปลดล็อกที่เฉพาะเจาะจง เช่น อุปกรณ์บลูทูธที่เชื่อถือได้ การจดจำใบหน้า และการจดจำเสียงพูด หรือจะปิดฟีเจอร์ทั้งหมดก็ได้
2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ เอเจนต์ความน่าเชื่อถือของ Smart Lock แยกกันสำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์
2.4.2. ผู้ดูแลระบบไอทีสามารถเลือกอนุญาตและตั้งค่าเอเจนต์ความน่าเชื่อถือของ Smart Lock แยกกันสำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์ สำหรับเอเจนต์ความน่าเชื่อถือต่อไปนี้ ได้แก่ บลูทูธ, NFC, สถานที่, ใบหน้า, การตรวจหาการสวมใส่ และเสียง
- ผู้ดูแลระบบไอทีสามารถแก้ไข พารามิเตอร์การกำหนดค่าตัวแทนที่เชื่อถือได้
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานจากระยะไกลใน อุปกรณ์ที่มีการจัดการ
2.5.1. DPC ของ EMM ต้องล็อกอุปกรณ์
2.5.2. DPC ของ EMM ต้องล้างข้อมูลในอุปกรณ์
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายความปลอดภัย ระบบจะจำกัดข้อมูลงานโดยอัตโนมัติ
2.6.1. นโยบายการรักษาความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีอย่างน้อย นโยบายรหัสผ่าน
2.7 นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยไม่ต้องกำหนดให้ผู้ดูแลระบบไอทีตั้งค่าหรือปรับแต่งการตั้งค่าใดๆ ในคอนโซลของ EMM เราขอแนะนำ (แต่ไม่บังคับ) ให้ EMM ไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยน สถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. DPC ของ EMM ต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก ซึ่งรวมถึงแอปที่ติดตั้งในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน
2.7.2. DPC ของ EMM ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง
2.8. นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
อุปกรณ์เฉพาะจะล็อกไว้โดยไม่ให้หลุดออกไปเพื่ออนุญาตการดำเนินการอื่นๆ
2.8.1. DPC ของ EMM ต้องปิดการบูตเข้าสู่โหมดปลอดภัยโดยค่าเริ่มต้น
2.8.2. ต้องเปิดและล็อก DPC ของ EMM ไว้ที่หน้าจอทันทีใน การบูตครั้งแรกระหว่างการจัดสรร เพื่อให้แน่ใจว่าจะไม่มีการโต้ตอบกับอุปกรณ์ ในลักษณะอื่น
2.8.3. ต้องตั้งค่า DPC ของ EMM เป็นตัวเรียกใช้เริ่มต้นเพื่อให้แน่ใจว่าระบบจะล็อกแอปที่อนุญาตไว้กับหน้าจอเมื่อเปิดเครื่องตามหลักเกณฑ์การติดตั้งใช้งานที่กำหนดไว้
2.9. การสนับสนุน Play Integrity
EMM ใช้ Play Integrity API เพื่อให้มั่นใจว่าอุปกรณ์เป็นอุปกรณ์ Android ที่ถูกต้อง
2.9.1. DPC ของ EMM จะใช้ Play Integrity API ในระหว่างการจัดสรร และโดยค่าเริ่มต้นจะจัดสรรอุปกรณ์ที่มีข้อมูลของบริษัทให้เสร็จสมบูรณ์เมื่อความสมบูรณ์ของอุปกรณ์ที่แสดงผลคือ MEETS_STRONG_INTEGRITY เท่านั้น
2.9.2. DPC ของ EMM จะทำการตรวจสอบความสมบูรณ์ของ Play อีกครั้งทุกครั้งที่อุปกรณ์ เช็คอินกับเซิร์ฟเวอร์ของ EMM ซึ่งผู้ดูแลระบบไอทีสามารถกำหนดค่าได้ เซิร์ฟเวอร์ EMM จะยืนยันข้อมูล APK ในการตอบกลับการตรวจสอบความสมบูรณ์และการตอบกลับ เองก่อนที่จะอัปเดตนโยบายขององค์กรในอุปกรณ์
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบสนองต่อนโยบายที่แตกต่างกันตามผลลัพธ์ของ การตรวจสอบความสมบูรณ์ของ Play ซึ่งรวมถึงการบล็อกการจัดสรร การล้างข้อมูลขององค์กร และการอนุญาตให้ดำเนินการลงทะเบียนต่อ
- บริการ EMM จะบังคับใช้การตอบกลับตามนโยบายนี้สำหรับผลลัพธ์ของ การตรวจสอบความสมบูรณ์แต่ละครั้ง
2.9.4. หากการตรวจสอบความสมบูรณ์ของ Play ครั้งแรกไม่สำเร็จหรือแสดงผลลัพธ์ที่ไม่เป็นไปตามความสมบูรณ์ที่แข็งแกร่ง หาก DPC ของ EMM ยังไม่ได้เรียกใช้ ensureWorkingEnvironment ก็จะต้องเรียกใช้และทำการตรวจสอบซ้ำก่อนการจัดสรรจะเสร็จสมบูรณ์
2.10. การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดตรวจสอบแอป ในอุปกรณ์ได้ ฟีเจอร์ยืนยันแอปจะสแกนซอฟต์แวร์ที่เป็นอันตรายในแอปที่ติดตั้งในอุปกรณ์ Android ก่อนและหลังการติดตั้ง เพื่อช่วยให้มั่นใจว่าแอปที่เป็นอันตรายจะไม่สามารถบุกรุกข้อมูลของบริษัทได้
2.10.1. DPC ของ EMM ต้องเปิดฟีเจอร์ตรวจสอบแอปโดยค่าเริ่มต้น
2.11. การรองรับ Direct Boot
แอปจะทำงานในอุปกรณ์ Android 7.0 ขึ้นไปที่เพิ่งเปิดเครื่องไม่ได้จนกว่าจะปลดล็อก อุปกรณ์ก่อน การรองรับการบูตโดยตรง ช่วยให้มั่นใจได้ว่า DPC ของ EMM จะทำงานอยู่เสมอและบังคับใช้นโยบายได้ แม้ว่าอุปกรณ์จะยังไม่ได้ปลดล็อกก็ตาม
2.11.1. DPC ของ EMM ใช้ประโยชน์จากพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์เพื่อทำหน้าที่จัดการที่สำคัญ ก่อนที่จะถอดรหัสพื้นที่เก็บข้อมูลที่เข้ารหัสของข้อมูลเข้าสู่ระบบของ DPC ฟังก์ชันการจัดการที่พร้อมใช้งานในระหว่างการบูตโดยตรงต้องมี (แต่ไม่จำกัดเพียง)
- ล้างข้อมูลระดับองค์กร รวมถึงความสามารถในการ ล้างข้อมูลการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นตาม ความเหมาะสม
2.11.2. DPC ของ EMM ต้องไม่เปิดเผยข้อมูลบริษัทภายในพื้นที่เก็บข้อมูลที่เข้ารหัสของอุปกรณ์
2.11.3. EMM สามารถตั้งค่าและเปิดใช้งานโทเค็น เพื่อเปิดปุ่มลืมรหัสผ่านในหน้าจอล็อกของโปรไฟล์งาน ปุ่มนี้ใช้เพื่อขอให้ผู้ดูแลระบบไอทีรีเซ็ตรหัสผ่านของโปรไฟล์งานอย่างปลอดภัย
2.12. การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อให้มั่นใจถึง การป้องกันการสูญเสียข้อมูล
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ติดตั้งสื่อภายนอกจริง ในอุปกรณ์ของตน
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์ของตนเองโดยใช้ NFC Beam ได้ ฟีเจอร์ย่อยนี้เป็นฟีเจอร์ที่ไม่บังคับเนื่องจากระบบไม่รองรับฟังก์ชันการแชร์ผ่าน NFC ใน Android 10 ขึ้นไปอีกต่อไป
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB จากอุปกรณ์ของตนได้
2.13. การบันทึกความปลอดภัยขององค์กร
ผู้ดูแลระบบไอทีสามารถรวบรวมข้อมูลการใช้งานจากอุปกรณ์ที่แยกวิเคราะห์ได้ และประเมินพฤติกรรมที่เป็นอันตรายหรือมีความเสี่ยงโดยอัตโนมัติ กิจกรรมที่บันทึกไว้ รวมถึงกิจกรรม Android Debug Bridge (adb), การเปิดแอป และการปลดล็อกหน้าจอ
2.13.1. ผู้ดูแลระบบไอทีสามารถเปิดใช้การบันทึกความปลอดภัย สำหรับอุปกรณ์ที่เฉพาะเจาะจง และ DPC ของ EMM ต้องสามารถดึงข้อมูลทั้งบันทึก ความปลอดภัย และบันทึกความปลอดภัยก่อนรีบูตได้โดยอัตโนมัติ
2.13.2. ผู้ดูแลระบบไอทีสามารถตรวจสอบบันทึกความปลอดภัยขององค์กร สำหรับอุปกรณ์ที่ต้องการและกรอบเวลาที่กำหนดค่าได้ในคอนโซลของ EMM
2.13.3. ผู้ดูแลระบบไอทีสามารถส่งออกบันทึกความปลอดภัยขององค์กรจากคอนโซลของ EMM ได้
3. การจัดการบัญชีและแอป
3.1 การเชื่อมโยงองค์กร
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรของตน เพื่ออนุญาตให้ EMM ใช้ Managed Google Play ในการเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วสามารถเชื่อมโยงโดเมนกับ EMM ได้
3.1.2. คอนโซลของ EMM ต้องจัดสรรและตั้งค่า ESA ที่ไม่ซ้ำกัน โดยอัตโนมัติ สำหรับแต่ละองค์กร
3.1.3. ยกเลิกการลงทะเบียนองค์กรโดยใช้ Play EMM API
3.1.4. คอนโซล EMM จะแนะนำให้ผู้ดูแลระบบป้อนอีเมลที่ทำงานใน ขั้นตอนการลงชื่อสมัครใช้ Android และไม่แนะนำให้ใช้บัญชี Gmail
3.1.5. EMM จะป้อนอีเมลของผู้ดูแลระบบล่วงหน้าในขั้นตอนการลงชื่อสมัครใช้ Android
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กร ที่เรียกว่าบัญชี Managed Google Play ได้โดยอัตโนมัติ บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและ อนุญาตให้ใช้กฎการเผยแพร่แอปที่ไม่ซ้ำกันต่อผู้ใช้
3.2.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการได้โดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่กำหนดไว้ โดยมีวิธีการดังนี้
- เพิ่มบัญชี Google Play ที่มีการจัดการประเภท
userAccountลงใน อุปกรณ์ - บัญชี Managed Google Play ประเภท
userAccountต้องมีการแมปแบบ 1 ต่อ 1 กับผู้ใช้จริงในคอนโซลของ EMM
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สามารถสร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Play Store ที่มีการจัดการแบบเงียบ และไม่ได้เชื่อมโยงกับผู้ใช้รายเดียว แต่จะใช้บัญชีอุปกรณ์เพื่อ ระบุอุปกรณ์เครื่องเดียวเพื่อรองรับกฎการเผยแพร่แอปต่ออุปกรณ์ใน สถานการณ์อุปกรณ์เฉพาะ
3.3.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการได้โดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่กำหนดไว้
โดยคุณต้องเพิ่มบัญชี Google Play ที่มีการจัดการประเภท deviceAccount ลงในอุปกรณ์
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์รุ่นเดิม
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรโดยอัตโนมัติ ซึ่งเรียกว่าบัญชี Managed Google Play บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอปที่ไม่ซ้ำกันต่อผู้ใช้แต่ละราย
3.4.1. DPC ของ EMM สามารถจัดสรรและเปิดใช้งานบัญชี Google Play ที่มีการจัดการได้โดยอัตโนมัติตามหลักเกณฑ์การใช้งานที่กำหนด โดยมีวิธีการดังนี้
- เพิ่มบัญชี Google Play ที่มีการจัดการประเภท
userAccountลงใน อุปกรณ์ - บัญชี Managed Google Play ประเภท
userAccountต้องมีการแมปแบบ 1 ต่อ 1 กับผู้ใช้จริงในคอนโซลของ EMM
3.5. การเผยแพร่แอปแบบเงียบ
ผู้ดูแลระบบไอทีสามารถกระจายแอปงานไปยังอุปกรณ์ของผู้ใช้แบบเงียบโดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.5.1. คอนโซล EMM ต้องใช้ Play EMM API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซล EMM ต้องใช้ Play EMM API เพื่อให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการได้
3.5.3. คอนโซล EMM ต้องใช้ Play EMM API เพื่อให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่มีการจัดการได้
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการหรือแอปที่ รองรับการกำหนดค่าที่มีการจัดการได้โดยอัตโนมัติ
3.6.1. คอนโซลของ EMM ต้องดึงและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการของแอป Play ได้
- EMM สามารถเรียกใช้
Products.getAppRestrictionsSchemaเพื่อดึงข้อมูลสคีมาการกำหนดค่าที่มีการจัดการของแอป หรือฝังเฟรมการกำหนดค่าที่มีการจัดการในคอนโซล EMM ได้
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีกำหนดค่าประเภทใดก็ได้ (ตามที่กำหนดโดยเฟรมเวิร์ก Android) สำหรับแอป Play ใดก็ได้โดยใช้ Play EMM API
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้ใช้การกำหนดค่าเดียวสำหรับแอป เช่น Gmail กับผู้ใช้หลายรายได้ iframe ของการกำหนดค่าที่มีการจัดการ จะรองรับข้อกำหนดนี้โดยอัตโนมัติ
3.7 การจัดการแคตตาล็อกแอป
ผู้ดูแลระบบไอทีสามารถนำเข้ารายชื่อแอปที่ได้รับอนุมัติสำหรับองค์กรจาก Managed Google Play (play.google.com/work)
3.7.1. คอนโซลของ EMM สามารถแสดงรายการแอปที่ได้รับอนุมัติสำหรับการ จัดจำหน่าย ซึ่งรวมถึง
- แอปที่ซื้อใน Managed Google Play
- แอปส่วนตัวที่ผู้ดูแลระบบไอทีมองเห็น
- แอปที่ได้รับอนุมัติ แบบเป็นโปรแกรม
3.8. การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบและอนุมัติแอปของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ใหม่ของแอปได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปภายในคอนโซลของ EMM โดยใช้ iframe ของ Managed Google Play
3.9 การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
คุณใช้แอป Managed Google Play Store ในอุปกรณ์เพื่อติดตั้ง และอัปเดตแอปงานได้ เลย์เอาต์ร้านค้าพื้นฐานจะแสดงโดยค่าเริ่มต้นและแสดงรายการ แอปที่ได้รับอนุมัติสำหรับองค์กร ซึ่ง EMM จะกรองตามผู้ใช้แต่ละราย ตามนโยบาย
3.9.1. ผู้ดูแลระบบไอทีสามารถ[จัดการชุดผลิตภัณฑ์ที่ผู้ใช้ใช้ได้]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) เพื่ออนุญาตให้ดูและติดตั้งแอปพลิเคชันจาก Managed Google Play Store ในส่วน "หน้าแรกของ Store"
3.10. การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
ผู้ดูแลระบบไอทีปรับแต่งเลย์เอาต์ของ Store ที่แสดงในแอป Managed Google Play Store ในอุปกรณ์ได้
3.10.1. ผู้ดูแลระบบไอทีสามารถดำเนินการต่อไปนี้ในคอนโซลของ EMM เพื่อปรับแต่งเลย์เอาต์ของ Managed Google Play Store
- สร้างหน้าเลย์เอาต์ของร้านค้าได้สูงสุด 100 หน้า หน้าเว็บมีชื่อหน้าเว็บที่แปลแล้วได้ไม่จำกัดจำนวน
- สร้างคลัสเตอร์ได้สูงสุด 30 รายการต่อหน้า คลัสเตอร์จะมีชื่อคลัสเตอร์ที่แปลแล้วกี่ชื่อก็ได้
- กำหนดแอปได้สูงสุด 100 แอปให้กับแต่ละคลัสเตอร์
- เพิ่มลิงก์ด่วนได้สูงสุด 10 รายการในแต่ละหน้า
- ระบุลำดับการจัดเรียงของแอปภายในคลัสเตอร์และคลัสเตอร์ภายใน หน้า
3.11. การจัดการใบอนุญาตแอป
ผู้ดูแลระบบไอทีสามารถดูและจัดการใบอนุญาตแอปที่ซื้อใน Managed Google Play จากคอนโซลของ EMM
3.11.1. สำหรับแอปที่ต้องซื้อซึ่งได้รับอนุมัติสำหรับองค์กร คอนโซลของ EMM ต้อง แสดงข้อมูลต่อไปนี้
- จำนวนใบอนุญาตที่ซื้อ
- จำนวนใบอนุญาตที่ใช้และผู้ใช้ที่ใช้ใบอนุญาต
- จำนวนใบอนุญาตที่พร้อมสำหรับการเผยแพร่
3.11.2. ผู้ดูแลระบบไอทีสามารถมอบหมายใบอนุญาตให้ผู้ใช้แบบเงียบ โดยไม่ต้องบังคับให้ติดตั้งแอปนั้นในอุปกรณ์ของผู้ใช้
3.11.3. ผู้ดูแลระบบไอทีสามารถยกเลิกการมอบหมายใบอนุญาตแอปจาก ผู้ใช้ได้
3.12. การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์โดย Google ผ่านคอนโซล EMM แทน การอัปเดตผ่าน Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แล้ว แบบส่วนตัวไปยังองค์กรได้โดยใช้
3.13. การจัดการแอปส่วนตัวที่โฮสต์เอง
ผู้ดูแลระบบไอทีสามารถตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์เองได้ Google Play ไม่ได้โฮสต์ APK ซึ่งแตกต่างจากแอปส่วนตัวที่ Google โฮสต์ แต่ EMM จะช่วยผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเอง และช่วยปกป้องแอปที่โฮสต์ด้วยตนเอง โดยการยืนยันว่าแอปจะติดตั้งได้ก็ต่อเมื่อได้รับอนุญาตจาก Managed Google Play เท่านั้น
ผู้ดูแลระบบไอทีสามารถไปที่รองรับแอปส่วนตัว เพื่อดูรายละเอียด
3.13.1. คอนโซลของ EMM ต้องช่วยผู้ดูแลระบบไอทีโฮสต์ APK ของแอปโดยมีตัวเลือกต่อไปนี้
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจอยู่ภายในองค์กรหรือ ใช้ระบบคลาวด์
- โฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM ตามที่ผู้ดูแลระบบไอทีเห็นสมควร ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่ามีการโฮสต์ APK ไว้ที่ใด
3.13.2. คอนโซลของ EMM ต้องสร้างไฟล์คำจำกัดความ APK ที่เหมาะสมโดยใช้ APK ที่ระบุ และต้องแนะนำผู้ดูแลระบบไอทีตลอดกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์ด้วยตนเอง และคอนโซลของ EMM สามารถเผยแพร่ไฟล์คำจำกัดความ APK ที่อัปเดตได้โดยอัตโนมัติโดยใช้ Google Play Developer Publishing API
3.13.4. เซิร์ฟเวอร์ของ EMM จะให้บริการคำขอดาวน์โหลดเฉพาะ APK ที่โฮสต์ด้วยตนเอง ซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอตามที่ยืนยันโดย คีย์สาธารณะของแอปส่วนตัว
- เพื่ออำนวยความสะดวกในกระบวนการนี้ เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ ดาวน์โหลดคีย์สาธารณะของใบอนุญาตของแอปที่โฮสต์ด้วยตนเองจาก Play Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM
3.14. การแจ้งเตือนแบบดึงข้อมูลของ EMM
แทนที่จะต้องค้นหา Play เป็นระยะๆ เพื่อระบุเหตุการณ์ในอดีต เช่น การอัปเดตแอป ที่มีสิทธิ์ใหม่หรือการกำหนดค่าที่มีการจัดการ EMM จะดึง การแจ้งเตือนเพื่อแจ้งให้ EMM ทราบถึงเหตุการณ์ดังกล่าวแบบเรียลไทม์ ซึ่งช่วยให้ EMM ดำเนินการอัตโนมัติและส่งการแจ้งเตือนการดูแลระบบที่กำหนดเอง ตามเหตุการณ์เหล่านี้ได้
3.14.1. EMM ต้องใช้การแจ้งเตือน EMM ของ Play เพื่อดึงชุดการแจ้งเตือน
3.14.2. EMM ต้องแจ้งผู้ดูแลระบบไอทีโดยอัตโนมัติ (เช่น ทางอีเมลอัตโนมัติ) เกี่ยวกับเหตุการณ์การแจ้งเตือนต่อไปนี้
newPermissionEvent: กำหนดให้ผู้ดูแลระบบไอทีต้องอนุมัติสิทธิ์ใหม่ของแอป ก่อนจึงจะติดตั้งหรืออัปเดตแอปในอุปกรณ์ของผู้ใช้ได้โดยอัตโนมัติappRestrictionsSchemaChangeEvent: อาจต้องให้ผู้ดูแลระบบไอทีอัปเดต การกำหนดค่าที่มีการจัดการของแอปเพื่อรักษาประสิทธิภาพตามที่ต้องการappUpdateEvent: อาจเป็นประโยชน์ต่อผู้ดูแลระบบไอทีที่ต้องการตรวจสอบว่าการอัปเดตแอปจะไม่ส่งผลต่อประสิทธิภาพของเวิร์กโฟลว์หลักproductAvailabilityChangeEvent: อาจส่งผลต่อความสามารถในการติดตั้งแอป หรือรับการอัปเดตแอปinstallFailureEvent: Play ไม่สามารถติดตั้งแอปในอุปกรณ์ ได้โดยอัตโนมัติ ซึ่งอาจเป็นเพราะการกำหนดค่าอุปกรณ์ บางอย่างที่ป้องกันไม่ให้ติดตั้ง EMM ไม่ควรพยายามติดตั้งแบบเงียบอีกครั้งทันทีหลังจากได้รับการแจ้งเตือนนี้ เนื่องจากตรรกะการลองใหม่ของ Play เองจะล้มเหลวไปแล้ว
3.14.3. EMM จะดำเนินการที่เหมาะสมโดยอัตโนมัติตามเหตุการณ์การแจ้งเตือนต่อไปนี้
newDeviceEvent: ในระหว่างการจัดสรรอุปกรณ์ EMM ต้องรอnewDeviceEventก่อนที่จะทำการเรียก Play EMM API ครั้งต่อๆ ไปสำหรับอุปกรณ์ใหม่ รวมถึงการติดตั้งแอปแบบเงียบและการตั้งค่าที่มีการจัดการproductApprovalEvent: เมื่อได้รับproductApprovalEventการแจ้งเตือน EMM ต้องอัปเดตรายการแอปที่อนุมัติซึ่งนำเข้า ไปยังคอนโซล EMM โดยอัตโนมัติเพื่อเผยแพร่ไปยังอุปกรณ์ หากมีเซสชันผู้ดูแลระบบไอทีที่ใช้งานอยู่ หรือหากระบบไม่ได้โหลดรายการแอปที่อนุมัติซ้ำโดยอัตโนมัติเมื่อ เริ่มเซสชันผู้ดูแลระบบไอทีแต่ละเซสชัน
3.15. ข้อกำหนดในการใช้งาน API
EMM จะใช้ API ของ Google ในวงกว้างเพื่อหลีกเลี่ยงรูปแบบการเข้าชมที่อาจส่งผลเสียต่อความสามารถของผู้ดูแลระบบไอทีในการจัดการแอปในสภาพแวดล้อมการผลิต
3.15.1. EMM ต้องปฏิบัติตามขีดจำกัดการใช้งาน Play EMM API การไม่แก้ไขลักษณะการทำงานที่เกินหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google เห็นสมควร
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในช่วงเวลาที่เฉพาะเจาะจงหรือคล้ายกัน พฤติกรรมที่สอดคล้องกับรูปแบบการเข้าชมนี้ เช่น การดำเนินการแบบกลุ่มที่กำหนดเวลาไว้ สำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียน อาจส่งผลให้มีการระงับการใช้ API ตามดุลยพินิจของ Google
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่สมบูรณ์หรือไม่ถูกต้องอย่างสม่ำเสมอหรือโดยจงใจ ซึ่งไม่ได้พยายามดึงหรือจัดการข้อมูลจริงขององค์กร พฤติกรรมที่สอดคล้องกับรูปแบบการเข้าชมนี้อาจส่งผลให้การใช้ API ถูกระงับ ตามที่ Google พิจารณาเห็นสมควร
3.16 การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
3.16.1. คอนโซลของ EMM ต้องดึงและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการ (ซ้อนกันได้สูงสุด 4 ระดับ) ของแอป Play ได้โดยใช้
- iframe ของ Managed Google Play หรือ
- UI ที่กำหนดเอง
3.16.2. คอนโซลของ EMM ต้องเรียกและแสดงความคิดเห็น ที่ช่องทางแสดงความคิดเห็นของแอป ส่งคืนได้ เมื่อผู้ดูแลระบบไอทีตั้งค่า
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เฉพาะเจาะจง กับอุปกรณ์และแอปที่เป็นแหล่งที่มาของความคิดเห็นนั้น
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานของ ข้อความประเภทใดประเภทหนึ่ง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือค่าที่ผู้ดูแลระบบตั้งค่าด้วยตนเอง โดยใช้ค่าต่อไปนี้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กำหนดเอง
3.17 การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสามารถสร้างและเผยแพร่เว็บแอปในคอนโซล EMM ได้
3.17.1. ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อกระจายทางลัดไปยังเว็บแอป โดยใช้สิ่งต่อไปนี้
3.18. การจัดการวงจรของบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของ ผู้ดูแลระบบไอที
3.18.1. EMM สามารถจัดการวงจรของบัญชี Managed Google Play ตามหลักเกณฑ์การติดตั้งใช้งานที่กำหนดไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
3.18.2. EMM สามารถตรวจสอบสิทธิ์บัญชี Managed Google Play อีกครั้งได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.19. การจัดการแทร็กของแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่นักพัฒนาแอปตั้งค่าไว้สำหรับ แอปใดแอปหนึ่งได้
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20. การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปใช้การอัปเดตแอปที่มีลำดับความสำคัญสูงเพื่ออัปเดตเมื่อพร้อม
3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปออกไปได้ 90 วัน
3.21. การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอต่อผู้ดูแลระบบไอที ในรูปแบบที่พร้อมสำหรับการเผยแพร่ไปยังผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม, URL ของ Play Store)
3.22. อัปเกรดการเชื่อมโยงกับองค์กร
ผู้ดูแลระบบไอทีสามารถอัปเกรดประเภทการเชื่อมโยงองค์กรเป็นโดเมน Google ที่มีการจัดการ สำหรับองค์กรได้ ซึ่งจะช่วยให้องค์กรเข้าถึงบริการและ ฟีเจอร์ของบัญชี Google ในอุปกรณ์ที่ลงทะเบียนได้
3.22.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถทริกเกอร์การอัปเกรดกลุ่มบัญชี Managed Google Play สำหรับองค์กรที่มีอยู่เป็นกลุ่มบัญชี Google Domain สำหรับองค์กรที่มีการจัดการโดยใช้ API ที่จำเป็น
3.22.2. EMM ควรใช้ Pub/Sub เพื่อรับการแจ้งเตือนเกี่ยวกับเหตุการณ์การอัปเกรดที่ผู้ดูแลระบบไอทีเริ่ม (แม้ว่าจะเกิดขึ้นภายนอกคอนโซล EMM) และอัปเดต UI เพื่อแสดงการเปลี่ยนแปลงเหล่านี้
3.23 การจัดสรรบัญชี Google ที่มีการจัดการ
EMM สามารถจัดสรรอุปกรณ์ด้วยบัญชีผู้ใช้ขององค์กรที่เรียกว่าบัญชี Google ที่มีการจัดการ บัญชีเหล่านี้ระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอป รวมถึงอนุญาตให้เข้าถึงบริการของ Google นอกจากนี้ ผู้ดูแลระบบไอทียังสามารถตั้งค่านโยบายเพื่อกำหนดให้มีการตรวจสอบสิทธิ์บัญชี Google ที่มีการจัดการระหว่างหรือหลังการลงทะเบียนได้ด้วย
3.23.1. DPC ของ EMM สามารถจัดสรรบัญชี Google ที่มีการจัดการตาม หลักเกณฑ์การติดตั้งใช้งานที่กำหนด
โดยมีวิธีการดังนี้
- เพิ่มบัญชี Google ที่มีการจัดการลงในอุปกรณ์
- บัญชี Google ที่มีการจัดการต้องมีการแมปแบบ 1 ต่อ 1 กับผู้ใช้จริงใน คอนโซลของ EMM
3.23.2. ผู้ดูแลระบบไอทีสามารถใช้นโยบายนี้เพื่อให้ผู้ใช้มีตัวเลือกในการลงชื่อเข้าใช้ บัญชี Google ที่มีการจัดการเพื่อลงทะเบียน
3.23.3. ผู้ดูแลระบบไอทีสามารถใช้นโยบายเพื่อควบคุมว่าผู้ใช้ต้องลงชื่อเข้าใช้บัญชี Google ที่มีการจัดการเพื่อทำการลงทะเบียนให้เสร็จสมบูรณ์หรือไม่
3.23.4. ผู้ดูแลระบบไอทีสามารถเลือกจำกัดขั้นตอนการอัปเกรดให้ใช้ได้กับตัวระบุบัญชี (อีเมล) ที่เฉพาะเจาะจงสำหรับอุปกรณ์หนึ่งๆ ได้
3.24. การอัปเกรดบัญชี Managed Google Play
ผู้ดูแลระบบไอทีสามารถอัปเกรดประเภท บัญชีผู้ใช้เป็นบัญชี Google ที่มีการจัดการ เพื่อให้อุปกรณ์เข้าถึงบริการและฟีเจอร์ของบัญชี Google ในอุปกรณ์ที่ลงทะเบียนได้
3.24.1. ผู้ดูแลระบบไอทีสามารถอัปเกรดบัญชี Managed Google Play ที่มีอยู่บนอุปกรณ์เป็นบัญชี Google ที่มีการจัดการได้
3.24.2. ผู้ดูแลระบบไอทีสามารถเลือกจำกัดขั้นตอนการอัปเกรดให้ใช้ได้กับตัวระบุบัญชี (อีเมล) ที่เฉพาะเจาะจงสำหรับอุปกรณ์หนึ่งๆ ได้
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์ ที่แอปงานสร้างขึ้นได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้ได้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสำหรับองค์กร
- พรอมต์ (อนุญาตให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้ DPC ของ EMM
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1) ผู้ดูแลระบบไอทีสามารถ ตั้งค่าการตอบกลับสำหรับสิทธิ์ที่เฉพาะเจาะจงจากแอปงานใดก็ได้ที่สร้างขึ้นใน API 23 ขึ้นไปโดยไม่แจ้งให้ผู้ใช้ทราบ
4.2.1. ผู้ดูแลระบบไอทีต้องตั้งค่าสถานะการให้สิทธิ์ (ค่าเริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ใดก็ตามที่แอปงานสร้างขึ้นบน API 23 ขึ้นไปร้องขอได้ EMM ควรกำหนดการตั้งค่าเหล่านี้โดยใช้ DPC ของ EMM
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้โดยไม่แจ้งให้ผู้ใช้ทราบ ซึ่งรวมถึง
4.3.1. SSID โดยใช้ DPC ของ EMM
4.3.2. รหัสผ่านโดยใช้ DPC ของ EMM
4.4 การจัดการความปลอดภัยของ Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการซึ่ง มีฟีเจอร์การรักษาความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. ข้อมูลประจำตัวโดยใช้ DPC ของ EMM
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์โดยใช้ DPC ของ EMM
4.4.3. ใบรับรอง CA โดยใช้ DPC ของ EMM
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกัน ไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าของบริษัท
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรในการกำหนดค่าต่อไปนี้อย่างใดอย่างหนึ่ง
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ที่ EMM จัดสรรให้ไม่ได้ แต่สามารถเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าเองได้ (เช่น เครือข่ายส่วนตัว)
- ผู้ใช้จะเพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ไม่ได้ ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ให้ใช้ได้เฉพาะเครือข่ายที่ EMM จัดสรรให้เท่านั้น
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถยืนยันได้ว่าบัญชีขององค์กรที่ไม่ได้รับอนุญาตไม่สามารถโต้ตอบกับ ข้อมูลขององค์กรได้สำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปเพิ่มประสิทธิภาพ หรือ อีเมล หากไม่มีฟีเจอร์นี้ ระบบจะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้บริโภคด้วยได้ ซึ่งจะทำให้แอปเหล่านั้นแชร์ข้อมูลขององค์กรกับบัญชีส่วนตัวได้
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันการเพิ่มหรือแก้ไขบัญชีได้
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM ต้องตั้งค่าข้อจํากัดนี้ ก่อนการจัดสรรจะเสร็จสมบูรณ์ เพื่อให้มั่นใจว่าคุณจะไม่สามารถหลีกเลี่ยงนโยบายนี้ ได้ด้วยการเพิ่มบัญชีก่อนที่นโยบายจะมีผล
4.7 การจัดการบัญชี Workspace
ฟีเจอร์นี้เลิกใช้งานแล้ว ดู3.23 สำหรับข้อกำหนดในการเปลี่ยน
4.8 การจัดการใบรับรอง
ช่วยให้ผู้ดูแลระบบไอทีนำใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองไปใช้งานใน อุปกรณ์เพื่อให้เข้าถึงทรัพยากรของบริษัทได้
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวผู้ใช้ที่ PKI สร้างขึ้นในระดับผู้ใช้แต่ละราย คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการและ แจกจ่ายใบรับรองที่สร้างจากโครงสร้างพื้นฐานนั้น
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งหน่วยงานออกใบรับรอง ในคีย์สโตร์ที่มีการจัดการ
4.9 การจัดการใบรับรองขั้นสูง
อนุญาตให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอป ควรใช้ได้โดยไม่ต้องแจ้งให้ผู้ใช้ทราบ นอกจากนี้ ฟีเจอร์นี้ยังช่วยให้ผู้ดูแลระบบไอทีนำ CA และ ใบรับรองประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ได้ด้วย ฟีเจอร์นี้จะป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สำหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองที่แอปจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติ ในระหว่างรันไทม์
- การเลือกใบรับรองต้องเป็นแบบทั่วไปมากพอที่จะอนุญาตให้มีการกำหนดค่าเดียว ซึ่งใช้กับผู้ใช้ทั้งหมด ซึ่งแต่ละคนอาจมีใบรับรองประจำตัวที่เฉพาะเจาะจงสำหรับผู้ใช้
4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออก จากที่เก็บคีย์ที่จัดการได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA หรือใบรับรอง CA ทั้งหมดที่ไม่ใช่ของระบบได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบ ในที่เก็บคีย์ที่มีการจัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถให้สิทธิ์ล่วงหน้าสำหรับใบรับรองสำหรับ แอปงาน
4.10 การจัดการใบรับรองที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์ และให้สิทธิพิเศษแก่แอปนั้นในการติดตั้งใบรับรองในคีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีกำหนดแพ็กเกจการจัดการใบรับรองเพื่อตั้งค่าเป็น แอปการจัดการใบรับรองที่ได้รับมอบหมายโดย DPC
- คอนโซลอาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก (ไม่บังคับ) แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11 การจัดการ VPN ขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อยืนยันว่าข้อมูลจาก แอปที่มีการจัดการที่ระบุจะเชื่อมต่อผ่าน VPN ที่ตั้งค่าไว้เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่กำหนดเอง เพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลาได้
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่ใช้ได้สำหรับการกำหนดค่าแบบเปิดตลอดเวลา ให้เป็นรายการใดๆ ได้
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สำหรับ แอปได้
4.12. การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าได้สำหรับ อุปกรณ์ เนื่องจากมีการแชร์ IME ทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จะเป็นการป้องกันไม่ให้ใช้ IME เหล่านั้นสำหรับโปรไฟล์ส่วนตัวด้วย อย่างไรก็ตาม ผู้ดูแลระบบไอทีอาจไม่บล็อก IME ของระบบในโปรไฟล์งาน (ดูรายละเอียดเพิ่มเติมได้ที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตของ IME ที่มีความยาวเท่าใดก็ได้ (รวมถึงรายการที่ว่างเปล่า ซึ่งจะบล็อก IME ที่ไม่ใช่ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่าระบบจะยกเว้น IME ของระบบจากการจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13 การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าได้สำหรับ อุปกรณ์ การจัดการ IME ขั้นสูงจะขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอที จัดการการใช้ IME ของระบบได้ด้วย ซึ่งโดยปกติแล้วจะมาจาก ผู้ผลิตอุปกรณ์หรือผู้ให้บริการเครือข่ายของอุปกรณ์
4.13.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME ที่มีความยาวเท่าใดก็ได้ (ไม่รวมรายการที่ว่างเปล่า ซึ่งจะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตที่ว่างเปล่า เนื่องจาก การตั้งค่านี้จะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ ไม่ให้ตั้งค่าใน อุปกรณ์
4.13.3. EMM ต้องยืนยันว่าหากรายการที่อนุญาตพิเศษของ IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามโดยอัตโนมัติก่อนที่จะใช้รายการที่อนุญาตพิเศษ ในอุปกรณ์
4.14 การจัดการบริการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษ ที่อนุญาตในอุปกรณ์ของผู้ใช้ได้ แม้ว่าบริการการช่วยเหลือพิเศษจะเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ที่มีความพิการหรือผู้ที่โต้ตอบกับอุปกรณ์ได้อย่างไม่เต็มที่ชั่วคราว แต่บริการดังกล่าวอาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่เป็นไปตามนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ของระบบได้
4.14.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตของบริการการช่วยเหลือพิเศษ ที่มีความยาวตามต้องการ (รวมถึงรายการที่ว่างเปล่าซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบ ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษใดก็ได้ เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้จะมีผลกับทั้งโปรไฟล์ส่วนตัว และโปรไฟล์งาน
- คอนโซลอาจแนะนำบริการช่วยเหลือพิเศษที่รู้จักหรือแนะนำให้ใส่ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ มิเช่นนั้น คุณจะกำหนดค่าการตั้งค่าตำแหน่งสำหรับโปรไฟล์งานได้ใน การตั้งค่า
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการตำแหน่ง ภายในโปรไฟล์งาน
4.16 การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการได้ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปของบริษัทจะเข้าถึงข้อมูลตำแหน่งที่มีความแม่นยำสูงได้เสมอ ฟีเจอร์นี้ยังช่วยให้มั่นใจได้ว่าแบตเตอรี่จะไม่หมดเร็ว โดยการจำกัดการตั้งค่าตำแหน่งเป็นโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์ เป็นโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่เครือข่ายระบุ
- การประหยัดแบตเตอรี่ ซึ่งจำกัดความถี่ในการอัปเดต
- ปิด
4.17 การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการถูกขโมยได้โดยการตรวจสอบว่า ผู้ใช้ที่ไม่ได้รับอนุญาตจะไม่สามารถรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น ทำให้การดำเนินงานซับซ้อนเมื่อมีการส่งคืนอุปกรณ์ให้แก่ฝ่ายไอที ผู้ดูแลระบบไอที สามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทั้งหมดได้เช่นกัน
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตเป็นค่าเริ่มต้น อุปกรณ์จากการตั้งค่า
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์ หลังจากรีเซ็ตเป็นค่าเริ่มต้นได้
- บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดาหรือใช้โดยทั้งองค์กร เพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้น สำหรับอุปกรณ์ที่ระบุได้
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มการล้างข้อมูลในอุปกรณ์จากระยะไกล ซึ่งจะล้างข้อมูลการป้องกันการรีเซ็ตด้วยหรือไม่ก็ได้ ซึ่งจะนำการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นในอุปกรณ์ที่รีเซ็ตออก
4.18 การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการ ผ่านการตั้งค่าได้ เช่น บังคับปิดแอปหรือล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่มีการจัดการใดก็ได้ หรือแอปที่มีการจัดการทั้งหมด
4.18.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชัน จากการตั้งค่า
4.19. การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้จับภาพหน้าจอเมื่อใช้แอปที่มีการจัดการได้ การตั้งค่านี้รวมถึงการบล็อกแอปแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอ
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการได้
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์ โดยแอปที่มีการจัดการ
4.21 การเก็บรวบรวมสถิติด้านเครือข่าย
ผู้ดูแลระบบไอทีสามารถค้นหาสถิติการใช้งานเครือข่ายจากโปรไฟล์งานของอุปกรณ์ได้ สถิติที่รวบรวมจะแสดงข้อมูลการใช้งานที่แชร์กับผู้ใช้ในส่วนการใช้งานข้อมูลของการตั้งค่า สถิติที่รวบรวมได้จะใช้กับการ ใช้งานแอปภายในโปรไฟล์งาน
4.21.1. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปสถิติเครือข่ายสำหรับโปรไฟล์งาน สำหรับอุปกรณ์ที่กำหนดและกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ใน คอนโซลของ EMM
4.21.2. ผู้ดูแลระบบไอทีสามารถค้นหาสรุปของแอปในสถิติการใช้เครือข่ายของโปรไฟล์งาน สำหรับอุปกรณ์ที่กำหนดและกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ ซึ่งจัดระเบียบตาม UID ในคอนโซลของ EMM
4.21.3. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลย้อนหลังเกี่ยวกับการใช้งานเครือข่ายของโปรไฟล์งาน สำหรับอุปกรณ์ที่กำหนดและกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ ซึ่งจัดระเบียบตาม UID ในคอนโซลของ EMM
4.22 การรวบรวมสถิติด้านเครือข่ายขั้นสูง
ผู้ดูแลระบบไอทีสามารถค้นหาสถิติการใช้งานเครือข่ายของอุปกรณ์ที่มีการจัดการทั้งเครื่องได้ สถิติที่รวบรวมจะแสดงข้อมูลการใช้งานที่แชร์กับผู้ใช้ในส่วนการใช้ข้อมูล ของการตั้งค่า สถิติที่รวบรวมได้จะมีผลกับการใช้แอป ในอุปกรณ์
4.22.1. ผู้ดูแลระบบไอทีสามารถค้นหาสถิติเครือข่ายสรุปสำหรับอุปกรณ์ทั้งเครื่อง สำหรับอุปกรณ์ที่กำหนดและกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ในคอนโซลของ EMM
4.22.2. ผู้ดูแลระบบไอทีสามารถค้นหาสถิติสรุปการใช้เครือข่ายของแอป พลิเคชัน สำหรับอุปกรณ์ที่กำหนดและกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ ที่จัดระเบียบตาม UID ในคอนโซลของ EMM
4.22.3. ผู้ดูแลระบบไอทีสามารถค้นหาข้อมูลย้อนหลังเกี่ยวกับการใช้งานเครือข่าย สำหรับอุปกรณ์ที่กำหนดและกรอบเวลาที่กำหนดค่าได้ รวมถึงดูรายละเอียดเหล่านี้ ซึ่งจัดระเบียบตาม UID ในคอนโซลของ EMM
4.23 รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกล อุปกรณ์ที่จัดการได้
4.24 การจัดการวิทยุของระบบ
อนุญาตให้ผู้ดูแลระบบไอทีจัดการวิทยุเครือข่ายของระบบและ นโยบายการใช้งานที่เกี่ยวข้องได้อย่างละเอียด
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การแจ้งเตือนฉุกเฉิน ที่ส่งโดยผู้ให้บริการ (เช่น การแจ้งเตือน AMBER)
4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือในการตั้งค่า ได้
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายในการตั้งค่า ได้
4.24.4. ผู้ดูแลระบบไอทีสามารถอนุญาตหรือไม่อนุญาตอินเทอร์เน็ตมือถือขณะโรมมิ่ง
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะโทรออกได้หรือไม่ โดยไม่รวมการโทรฉุกเฉิน
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าว่าอุปกรณ์จะส่งและรับข้อความได้หรือไม่
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาโดยการเชื่อมต่ออินเทอร์เน็ต
4.24.8. ผู้ดูแลระบบไอทีสามารถตั้งค่าหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้น ขณะเสียบปลั๊กเท่านั้น หรือไม่เลย
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์เสียงของอุปกรณ์ได้โดยไม่แจ้งให้ผู้ใช้ทราบ ซึ่งรวมถึงการปิดเสียง อุปกรณ์ การป้องกันไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าระดับเสียง และการป้องกันไม่ให้ผู้ใช้ เปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.25.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์ได้
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ยกเลิกการปิดเสียงไมโครโฟนของอุปกรณ์ได้
4.26. การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้ แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบ เพื่อป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่และเวลาของอุปกรณ์
4.26.2. ผู้ดูแลระบบไอทีสามารถปิดหรือเปิดทั้งเวลาอัตโนมัติ และเขตเวลาอัตโนมัติได้โดยไม่แจ้งให้ทราบ
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
ช่วยให้ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ของอุปกรณ์เฉพาะที่ละเอียดยิ่งขึ้น เพื่อรองรับกรณีการใช้งานคีออสก์ต่างๆ
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ Keyguard ของอุปกรณ์ได้
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ เพื่อบล็อกการแจ้งเตือนและการตั้งค่าด่วนได้
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจออุปกรณ์เปิดอยู่ ขณะเสียบปลั๊กอุปกรณ์ได้
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้UI ของระบบ ต่อไปนี้แสดงได้
- ข้อความโทสต์
- การซ้อนทับแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้คำแนะนำของระบบสำหรับแอปข้ามบทแนะนำสำหรับผู้ใช้และคำแนะนำเบื้องต้นอื่นๆ เมื่อเริ่มต้นใช้งานครั้งแรกได้
4.28. การจัดการขอบเขตที่มอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแพ็กเกจแต่ละรายการได้
4.28.1. ผู้ดูแลระบบไอทีสามารถจัดการ ขอบเขตต่อไปนี้ได้
- การติดตั้งและการจัดการใบรับรอง
- จงใจเว้นว่าง
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกความปลอดภัย (ไม่รองรับโปรไฟล์งานในอุปกรณ์ส่วนตัว)
4.29. การสนับสนุนเกี่ยวกับบัตรประจำตัวสำหรับการลงทะเบียนโดยเฉพาะ
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรของอุปกรณ์ ที่มีโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่ แม้จะรีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าและรับ รหัสเฉพาะการลงทะเบียน
4.29.2. รหัสเฉพาะการลงทะเบียนนี้ต้องคงอยู่แม้จะรีเซ็ตเป็นค่าเริ่มต้น
4.30 นโยบายเครื่องมือจัดการข้อมูลเข้าสู่ระบบ
ผู้ดูแลระบบไอทีสามารถจัดการแอปพลิเคชันเครื่องมือจัดการข้อมูลเข้าสู่ระบบที่อนุญาตหรือ บล็อกได้โดยใช้นโยบาย
4.30.1 ผู้ดูแลระบบไอทีสามารถเลือกบล็อกเครื่องมือจัดการข้อมูลเข้าสู่ระบบทั้งหมดในอุปกรณ์ (หรือภายในโปรไฟล์งาน)
4.30.2 ผู้ดูแลระบบไอทีสามารถระบุการอนุญาตเฉพาะตัวจัดการข้อมูลเข้าสู่ระบบที่โหลดไว้ล่วงหน้า (แอประบบ) ได้
4.30.3 ผู้ดูแลระบบไอทีสามารถระบุรายการชื่อแพ็กเกจที่ได้รับอนุญาตให้เสนอ ฟังก์ชันการทำงานของเครื่องมือจัดการข้อมูลเข้าสู่ระบบ
4.31 การจัดการ eSIM ขั้นพื้นฐาน
ช่วยให้ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ที่มีโปรไฟล์ eSIM และจัดการ วงจรของอุปกรณ์ในอุปกรณ์ได้
4.31.1 ผู้ดูแลระบบไอทีสามารถจัดสรรโปรไฟล์ eSIM ลงในอุปกรณ์ได้โดยไม่แจ้งให้ผู้ใช้ทราบ
4.31.2 ผู้ดูแลระบบไอทีสามารถลบ eSIM ที่มีการจัดการออกจากอุปกรณ์ได้
4.31.3 ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ใน
การตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.31.4 เมื่อผู้ดูแลระบบไอทีทำการล้างข้อมูลจากระยะไกลในอุปกรณ์หรือโปรไฟล์งาน ผู้ดูแลระบบจะมีตัวเลือกในการนำ eSIM ที่มีการจัดการออกจากอุปกรณ์ด้วย โดยค่าเริ่มต้น ระบบจะนำ eSIM ที่มีการจัดการออกจากโปรไฟล์งานในอุปกรณ์ส่วนตัว แต่จะ เก็บไว้ในอุปกรณ์ของบริษัท
4.31.5 (ไม่บังคับ) ผู้ดูแลระบบไอทีสามารถดึงตัวระบุ EID (เอกสารระบุตัวตนแบบฝัง) ของอุปกรณ์ได้โดยใช้ UI ของคอนโซล EMM (หรือวิธีที่เทียบเท่า) และ ส่งออกค่าเหล่านี้
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้มีฟีเจอร์เฉพาะขององค์กรได้ ผู้ดูแลระบบไอทีสามารถเลือกแสดงการสร้างแบรนด์ที่ EMM จัดหาให้ ในระหว่างการจัดสรรได้
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุรายละเอียดเฉพาะสำหรับองค์กรต่อไปนี้ สีขององค์กร โลโก้ขององค์กร ข้อกำหนดในการให้บริการขององค์กรและข้อจำกัดความรับผิดอื่นๆ
5.1.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานการปรับแต่งเฉพาะ EMM ที่กำหนดค่าไม่ได้ ซึ่งมีรายละเอียดต่อไปนี้ สี EMM, โลโก้ EMM, ข้อกำหนดในการให้บริการของ EMM และข้อจำกัดความรับผิดอื่นๆ
5.1.3 [primaryColor] เลิกใช้งานแล้วสำหรับทรัพยากรขององค์กรใน
Android 10 ขึ้นไป
- EMM ต้องระบุข้อกำหนดในการให้บริการสำหรับการจัดสรรและข้อจำกัดความรับผิดอื่นๆ สำหรับขั้นตอนการจัดสรรในชุดข้อจำกัดความรับผิดในการจัดสรร ระบบ แม้ว่าจะไม่ได้ใช้การปรับแต่งเฉพาะ EMM ก็ตาม
- EMM อาจตั้งค่าการปรับแต่งเฉพาะ EMM ที่กำหนดค่าไม่ได้เป็นค่าเริ่มต้นสำหรับการติดตั้งใช้งานทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเอง
5.2 การปรับแต่งสำหรับองค์กร
ผู้ดูแลระบบไอทีสามารถปรับแต่งลักษณะต่างๆ ของโปรไฟล์งานด้วยการแสดงแบรนด์ของบริษัท เช่น ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ในโปรไฟล์งานเป็น โลโก้ของบริษัทได้ อีกตัวอย่างหนึ่งคือการตั้งค่าสีพื้นหลังของ ความท้าทายในการทำงาน
5.2.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าสีขององค์กร เพื่อใช้เป็นสีพื้นหลังของความท้าทายในที่ทำงาน
5.2.2. ผู้ดูแลระบบไอทีสามารถตั้งชื่อที่แสดงของโปรไฟล์งาน
5.2.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของโปรไฟล์งาน
5.2.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้โปรไฟล์งาน ได้
5.3 การปรับแต่งระดับองค์กรขั้นสูง
ผู้ดูแลระบบไอทีสามารถปรับแต่งอุปกรณ์ที่มีการจัดการด้วยการแสดงแบรนด์ขององค์กร เช่น ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้หลักเป็นโลโก้ของบริษัท หรือตั้งค่า วอลเปเปอร์ของอุปกรณ์
5.3.1. ผู้ดูแลระบบไอทีสามารถตั้งชื่อที่แสดงสำหรับอุปกรณ์ที่มีการจัดการ
5.3.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าไอคอนผู้ใช้ของอุปกรณ์ที่มีการจัดการ
5.3.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขไอคอนผู้ใช้อุปกรณ์ ได้
5.3.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าวอลเปเปอร์ของอุปกรณ์
5.3.5. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขวอลเปเปอร์ของอุปกรณ์ ได้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความที่กำหนดเองซึ่งจะแสดงบนหน้าจอล็อกของอุปกรณ์เสมอ และไม่ต้องปลดล็อกอุปกรณ์เพื่อดู
5.4.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเองได้
5.5 การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อผู้ใช้แก้ไข การตั้งค่าที่มีการจัดการในอุปกรณ์ หรือนำข้อความสนับสนุนทั่วไปที่ EMM จัดหาให้ไปใช้ คุณปรับแต่งข้อความสนับสนุนทั้งแบบสั้นและยาวได้ ข้อความเหล่านี้ จะแสดงในกรณีต่างๆ เช่น การพยายามถอนการติดตั้งแอปที่มีการจัดการ ซึ่งผู้ดูแลระบบไอทีได้บล็อกการถอนการติดตั้งไปแล้ว
5.5.1. ผู้ดูแลระบบไอทีปรับแต่งทั้งข้อความสนับสนุนแบบสั้น และแบบยาว
5.5.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานข้อความสนับสนุนสั้นและยาวที่กำหนดค่าไม่ได้และเฉพาะ EMM ได้
- EMM อาจตั้งค่าข้อความสนับสนุนที่กำหนดค่าไม่ได้และเฉพาะ EMM เป็น ค่าเริ่มต้นสำหรับการติดตั้งใช้งานทั้งหมด แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเอง ได้
5.6 การจัดการรายชื่อติดต่อข้ามโปรไฟล์
ผู้ดูแลระบบไอทีสามารถควบคุมข้อมูลรายชื่อติดต่อที่ออกจากโปรไฟล์งานได้ ทั้งแอปโทรศัพท์และแอปส่งข้อความ (SMS) ต้องทำงานในโปรไฟล์ส่วนตัว และต้องมีสิทธิ์เข้าถึงข้อมูลรายชื่อติดต่อในโปรไฟล์งานเพื่อเพิ่มประสิทธิภาพสำหรับรายชื่อติดต่อสำหรับงาน แต่ผู้ดูแลระบบอาจเลือกปิดใช้ฟีเจอร์เหล่านี้เพื่อปกป้องข้อมูลงานได้
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหารายชื่อติดต่อข้ามโปรไฟล์ สำหรับแอปส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบได้
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การค้นหาหมายเลขผู้โทรข้ามโปรไฟล์ สำหรับแอปโทรศัพท์ส่วนตัวที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบได้
5.6.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อผ่านบลูทูธกับอุปกรณ์บลูทูธ ที่ใช้ผู้ให้บริการรายชื่อติดต่อของระบบ เช่น การโทรแบบแฮนด์ฟรีในรถยนต์ หรือชุดหูฟัง
5.7. การจัดการข้อมูลข้ามโปรไฟล์
ให้สิทธิ์ผู้ดูแลระบบไอทีในการจัดการข้อมูลที่สามารถออกจากโปรไฟล์งานได้ นอกเหนือจาก ฟีเจอร์ความปลอดภัยเริ่มต้นของโปรไฟล์งาน ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอที อนุญาตการแชร์ข้อมูลข้ามโปรไฟล์บางประเภทเพื่อปรับปรุงความสามารถในการใช้งานใน Use Case ที่สำคัญ นอกจากนี้ ผู้ดูแลระบบไอทียังปกป้องข้อมูลบริษัทได้มากขึ้นด้วยการล็อกดาวน์เพิ่มเติม
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่าตัวกรอง Intent ข้ามโปรไฟล์ เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งาน เช่น Intent การแชร์หรือ ลิงก์เว็บ
- Console อาจแนะนำตัวกรอง Intent ที่รู้จักหรือแนะนำสำหรับการ กำหนดค่า (ไม่บังคับ) แต่ไม่สามารถจำกัดตัวกรอง Intent ให้กับรายการใดๆ ได้
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตแอปที่มีการจัดการซึ่งแสดงวิดเจ็ตได้ในหน้าจอหลัก
- คอนโซลของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีเลือกจากรายการ แอปที่พร้อมให้ติดตั้งแก่ผู้ใช้ที่เกี่ยวข้องได้
5.7.3. ผู้ดูแลระบบไอทีสามารถบล็อกการใช้การคัดลอก/วางระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัว
5.7.4. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากโปรไฟล์งานโดยใช้การบีม NFC
5.7.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปส่วนตัวเปิดลิงก์เว็บจากโปรไฟล์งานได้
5.8. นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีสามารถตั้งค่าและใช้การอัปเดตระบบผ่านอากาศ (OTA) กับ อุปกรณ์ได้
5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีกำหนดค่า OTA ต่อไปนี้ได้
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมใช้งาน
- เลื่อน: ผู้ดูแลระบบไอทีต้องเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลต่อการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- แบบช่วงเวลา: ผู้ดูแลระบบไอทีต้องสามารถกำหนดเวลาการอัปเดต OTA ภายในช่วงเวลาบำรุงรักษาประจำวันได้
5.8.2. DPC ของ EMM ใช้การกำหนดค่า OTA กับอุปกรณ์
5.9. การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปให้อยู่บนหน้าจอและไม่ให้ผู้ใช้ ออกจากแอป
5.9.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีอนุญาตให้ติดตั้งและล็อกแอปชุดใดก็ได้ในอุปกรณ์โดยไม่แจ้งให้ผู้ใช้ทราบ DPC ของ EMM อนุญาตโหมดอุปกรณ์เฉพาะ
5.10. การจัดการกิจกรรมที่ต้องการอย่างต่อเนื่อง
อนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวแฮนเดิล Intent เริ่มต้นสำหรับ Intent ที่ ตรงกับตัวกรอง Intent ที่เฉพาะเจาะจง เช่น อนุญาตให้ผู้ดูแลระบบไอทีเลือกแอปเบราว์เซอร์ที่จะเปิดลิงก์เว็บโดยอัตโนมัติ หรือเลือกแอปตัวเรียกใช้ที่จะใช้เมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้ให้เป็นตัวแฮนเดิล Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่าโดยไม่บังคับ แต่ไม่สามารถจำกัด Intent ให้กับรายการใดๆ ได้
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอป ที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11. การจัดการฟีเจอร์ Keyguard
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่ได้ปิดบังข้อมูล
5.11.2. DPC ของ EMM สามารถปิดฟีเจอร์ Keyguard ที่สำคัญต่อไปนี้ในโปรไฟล์งานได้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12. การจัดการฟีเจอร์ Keyguard ขั้นสูง
- กล้องที่ปลอดภัย
- การแจ้งเตือนทั้งหมด
- การแจ้งเตือน ที่ไม่มีการปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์ทั้งหมดของ Keyguard
5.13 การซ่อมแซมรีโมต
ผู้ดูแลระบบไอทีสามารถดึงข้อมูลทรัพยากรการแก้ไขข้อบกพร่องจากอุปกรณ์ได้โดยไม่ต้องทำตามขั้นตอนเพิ่มเติม
5.13.1. ผู้ดูแลระบบไอทีสามารถขอรายงานข้อบกพร่องจากระยะไกล ดูรายงานข้อบกพร่องจากคอนโซลของ EMM และดาวน์โหลดรายงานข้อบกพร่องจากคอนโซลของ EMM
5.14. การดึงข้อมูลที่อยู่ MAC
EMM สามารถดึงที่อยู่ MAC ของอุปกรณ์ได้โดยไม่แจ้งให้ทราบ คุณใช้ที่อยู่ MAC เพื่อ ระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กรได้ (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยไม่แจ้งให้ทราบและเชื่อมโยงกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15 การจัดการโหมดล็อกงานขั้นสูง
เมื่อตั้งค่าอุปกรณ์เป็นอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะใช้คอนโซลของ EMM เพื่อทำงานต่อไปนี้ได้
5.15.1. อนุญาตให้แอปเดียวล็อกอุปกรณ์โดยใช้ DPC ของ EMM โดยไม่แจ้งให้ทราบ
5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้โดยใช้ DPC ของ EMM
- ปุ่มหน้าหลัก
- ภาพรวม
- การดำเนินการส่วนกลาง
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การล็อกปุ่มกด (หน้าจอล็อก)
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบโดยใช้ DPC ของ EMM
5.16. นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถบล็อกการอัปเดตระบบในอุปกรณ์ในช่วงหยุดทำงานที่ระบุได้
5.16.1. DPC ของ EMM สามารถใช้การอัปเดตระบบผ่านอากาศ (OTA) กับอุปกรณ์ในช่วง ระยะเวลาหยุดชั่วคราวที่ระบุได้
5.17. การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์ได้
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองเพื่อแสดงเมื่อมีการล้างข้อมูลโปรไฟล์งาน
5.18. การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการแพ็กเกจที่สามารถ สื่อสารข้ามขอบเขตโปรไฟล์งานได้
5.19 การอัปเดตระบบด้วยตนเอง
ผู้ดูแลระบบไอทีสามารถติดตั้งการอัปเดตระบบด้วยตนเองได้โดยระบุเส้นทาง
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM ต้องโพสต์แผนภายในสิ้นปี 2022 เพื่อสิ้นสุดการสนับสนุนลูกค้า สำหรับผู้ดูแลระบบอุปกรณ์ ในอุปกรณ์ GMS ภายในสิ้นไตรมาสที่ 1 ปี 2023
7. การใช้งาน API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการเชื่อมโยงใหม่ EMM อาจมีตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กำหนดเองใน ส่วนการตั้งค่าภายใต้หัวข้อ "ขั้นสูง" หรือคำศัพท์ที่คล้ายกัน ลูกค้าใหม่ ต้องไม่ได้รับตัวเลือกแบบสุ่มระหว่างกลุ่มเทคโนโลยีในระหว่าง เวิร์กโฟลว์การเริ่มต้นใช้งานหรือการตั้งค่า
7.2. ตัวควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการลงทะเบียนอุปกรณ์ใหม่ทั้งหมด ทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจมี ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กำหนดเองในส่วนการตั้งค่าภายใต้หัวข้อ "ขั้นสูง" หรือคำศัพท์ที่คล้ายกัน