Esta página lista o conjunto completo de recursos do Android Enterprise.
Se você pretende gerenciar mais de 500 dispositivos, sua solução de EMM precisa ser compatível com todos os recursos padrão () de pelo menos um conjunto de soluções antes de ser disponibilizada comercialmente. As soluções de EMM que passam pela verificação de recursos padrão estão listadas no Diretório de soluções empresariais do Android como oferecendo um conjunto de gerenciamento padrão.
Um conjunto extra de recursos avançados está disponível para cada conjunto de soluções. Esses recursos são indicados em cada página do conjunto de soluções: perfil de trabalho em dispositivo pessoal, perfil de trabalho em dispositivo da empresa, dispositivo totalmente gerenciado e dispositivo dedicado. As soluções de EMM que passam pela verificação de recursos avançados são listadas no Diretório de soluções empresariais do Android como oferecendo um Conjunto de gerenciamento avançado.
Chave
| recurso padrão | Recurso avançado do | recurso opcional | não relevante |
1. Provisionamento de dispositivos
1.1. Provisionamento do perfil de trabalho com prioridade para o DPC
Depois de baixar o Android Device Policy no Google Play, os usuários podem provisionar um perfil de trabalho.
1.1.1. O EMM fornece a um admin de TI um QR code ou um código de ativação para oferecer suporte a esse método de provisionamento. Acesse inscrever e provisionar um dispositivo.
1.2. Provisionamento de dispositivo com identificador de DPC
Ao inserir "afw#" no assistente de configuração do dispositivo, você provisiona um dispositivo totalmente gerenciado ou dedicado.
1.2.1. O EMM fornece a um administrador de TI um QR code ou um código de ativação para oferecer suporte a esse método de provisionamento. Acesse inscrever e provisionar um dispositivo.
1.3. Provisionamento de dispositivos NFC
As tags NFC podem ser usadas por administradores de TI para provisionar dispositivos novos ou redefinidos para a configuração original, de acordo com as diretrizes de implementação definidas na documentação para desenvolvedores da API Play EMM.
1.3.1. Os EMMs precisam usar tags do Fórum NFC tipo 2 com pelo menos 888 bytes de memória. O provisionamento precisa usar extras para transmitir detalhes de registro não sensíveis, como IDs de servidor e de inscrição, para um dispositivo. Os detalhes do registro não podem incluir informações sensíveis, como senhas ou certificados.
1.3.2. Recomendamos o uso de tags NFC para o Android 10 e versões mais recentes devido à descontinuação do NFC Beam (também conhecido como NFC Bump).
1.4. Provisionamento de dispositivos com QR code
O console do EMM pode gerar um QR code que os administradores de TI podem ler para provisionar um dispositivo totalmente gerenciado ou dedicado, de acordo com as diretrizes de implementação definidas na documentação do desenvolvedor da API Android Management.
1.4.1. O QR code precisa usar extras de provisionamento para transmitir detalhes de registro não sensíveis (como IDs de servidor e de inscrição) a um dispositivo. Os detalhes do registro não podem incluir informações sensíveis, como senhas ou certificados.
1.5. Registro sem toque
Os administradores de TI podem pré-configurar dispositivos comprados de revendedores autorizados e gerenciá-los usando o console de EMM.
1.5.1. Os administradores de TI podem provisionar dispositivos da empresa usando o método de registro sem toque, descrito em Registro sem toque para administradores de TI.
1.5.2. Quando um dispositivo é ligado pela primeira vez, ele é automaticamente forçado a usar as configurações definidas pelo administrador de TI.
1.6. Provisionamento avançado sem toque
Os administradores de TI podem automatizar grande parte do processo de registro de dispositivos com o registro sem toque. Combinado com URLs de login , os administradores de TI podem limitar a inscrição a contas ou domínios específicos, de acordo com as opções de configuração oferecidas pelo EMM.
1.6.1. Os administradores de TI podem provisionar um dispositivo da empresa usando o método de registro sem toque.
1.6.2. Esse requisito foi descontinuado.
1.6.3. Usando o URL de login , o EMM precisa garantir que usuários não autorizados não possam continuar com a ativação. No mínimo, a ativação precisa ser restrita aos usuários de uma determinada empresa.
1.6.4. Usando o URL de login, o EMM precisa permitir que os administradores de TI preencham previamente os detalhes de registro (por exemplo, IDs de servidor, IDs de inscrição), além de informações exclusivas de usuário ou dispositivo (por exemplo, nome de usuário/senha, token de ativação), para que os usuários não precisem inserir detalhes ao ativar um dispositivo.
- Os EMMs não podem incluir informações sensíveis, como senhas ou certificados, na configuração do provisionamento sem toque.
1.7. Provisionamento do perfil de trabalho da Conta do Google
Para empresas que usam um domínio gerenciado do Google, esse recurso orienta os usuários na configuração de um perfil de trabalho depois de inserir as credenciais corporativas do Workspace durante a configuração do dispositivo ou em um dispositivo já ativado. Em ambos os casos, a identidade corporativa do Workspace será migrada para o perfil de trabalho.
1.8. Provisionamento de dispositivos da Conta do Google
A API Android Management não é compatível com esse recurso.
1.9. Configuração direta sem toque
Os administradores de TI podem usar o console do EMM para configurar dispositivos sem toque usando o iframe sem toque .
1.10. Perfis de trabalho em dispositivos corporativos
Os EMMs podem registrar dispositivos da empresa que têm um perfil de trabalho definindo AllowPersonalUsage .
1.10.1. Em branco propositalmente.
1.10.2. Os administradores de TI podem definir ações de compliance para perfis de trabalho em dispositivos corporativos usando PersonalUsagePolicies.
1.10.3. Os administradores de TI podem desativar a câmera no perfil de trabalho ou em todo o dispositivo usando PersonalUsagePolicies.
1.10.4. Os administradores de TI podem desativar a captura de tela no perfil de trabalho ou em um dispositivo inteiro usando PersonalUsagePolicies.
1.10.5. Os administradores de TI podem definir uma lista de bloqueio de aplicativos que não podem ser instalados no perfil pessoal usando a PersonalApplicationPolicy.
1.10.6. Os admins de TI podem abrir mão do gerenciamento de um dispositivo corporativo removendo o perfil de trabalho ou limpando todo o dispositivo.
1.11. Provisionamento de dispositivos dedicados
Os administradores de TI podem registrar dispositivos dedicados sem que o usuário precise fazer a autenticação com uma Conta do Google.
2. Segurança do dispositivo
2.1. Desafio de segurança do dispositivo
Os administradores de TI podem definir e aplicar um desafio de segurança do dispositivo (PIN/padrão/senha) em uma seleção predefinida de três níveis de complexidade em dispositivos gerenciados.
2.1.1. A política precisa aplicar configurações que gerenciam desafios de segurança do dispositivo (parentProfilePasswordRequirements para perfil de trabalho, passwordRequirements para dispositivos totalmente gerenciados e dedicados).
2.1.2. A complexidade da senha precisa corresponder às seguintes complexidades:
- PASSWORD_COMPLEXITY_LOW: padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com comprimento de pelo menos quatro caracteres.
- PASSWORD_COMPLEXITY_HIGH: PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e com comprimento de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com comprimento de pelo menos 6.
2.1.3. Outras restrições de senha também podem ser aplicadas como configurações legadas em dispositivos da empresa.
2.2. Desafio de segurança de trabalho
Os administradores de TI podem definir e aplicar um desafio de segurança para apps e dados no perfil de trabalho que é separado e tem requisitos diferentes do desafio de segurança do dispositivo (2.1.).
2.2.1. A política precisa aplicar o desafio de segurança ao perfil de trabalho.
- Por padrão, os administradores de TI precisam definir restrições apenas para o perfil de trabalho se nenhum escopo for especificado.
- Os administradores de TI podem definir isso em todo o dispositivo especificando o escopo (consulte o requisito 2.1).
2.2.2. A complexidade da senha precisa ser mapeada para as seguintes complexidades de senha predefinidas:
- PASSWORD_COMPLEXITY_LOW: padrão ou PIN com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com comprimento de pelo menos quatro caracteres.
- PASSWORD_COMPLEXITY_HIGH: PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e com comprimento de pelo menos 8 ou senhas alfabéticas ou alfanuméricas com comprimento de pelo menos 6.
2.2.3. Outras restrições de senha também podem ser aplicadas como configurações legadas.
2.3. Gerenciamento avançado de senhas
Os administradores de TI podem configurar opções avançadas de senha nos dispositivos.
2.3.1. Em branco propositalmente.
2.3.2. Em branco propositalmente.
2.3.3. As seguintes configurações do ciclo de vida da senha podem ser definidas para cada tela de bloqueio disponível em um dispositivo:
- Deliberadamente em branco
- Deliberadamente em branco
- Número máximo de senhas incorretas para exclusão permanente: especifica quantas vezes os usuários podem inserir uma senha incorreta antes que os dados corporativos sejam excluídos permanentemente do dispositivo. Os administradores de TI precisam poder desativar esse recurso.
2.3.4. (Android 8.0 ou mais recente) Tempo limite necessário para autenticação forte: uma senha de autenticação forte (como PIN ou senha) precisa ser inserida após um período de tempo limite definido por um administrador de TI. Após o período de tempo limite, os métodos de autenticação não fortes (como impressão digital e desbloqueio facial) são desativados até que o dispositivo seja desbloqueado com uma senha de autenticação forte.
2.4. Gerenciamento de fechaduras inteligentes
Os administradores de TI podem gerenciar se os agentes de confiança no recurso Smart Lock do Android podem estender o desbloqueio do dispositivo por até quatro horas.
2.4.1. Os administradores de TI podem desativar agentes de confiança no dispositivo.
2.5. Excluir permanentemente e bloquear
Os administradores de TI podem usar o console do EMM para bloquear e excluir remotamente os dados de trabalho de um dispositivo gerenciado.
2.5.1. Os dispositivos precisam ser bloqueados usando a API Android Management.
2.5.2. Os dispositivos precisam ser apagados usando a API Android Management.
2.6. Aplicação de compliance
Se um dispositivo não estiver em conformidade com as políticas de segurança, as regras de conformidade implementadas pela API Android Management vão restringir automaticamente o uso de dados de trabalho.
2.6.1. No mínimo, as políticas de segurança aplicadas a um dispositivo precisam incluir uma política de senhas.
2.7. Políticas de segurança padrão
Os EMMs precisam aplicar as políticas de segurança especificadas aos dispositivos por padrão, sem exigir que os admins de TI configurem ou personalizem as configurações no console do EMM. É recomendável (mas não obrigatório) que os EMMs não permitam que os administradores de TI mudem o estado padrão desses recursos de segurança.
2.7.1. A instalação de apps de fontes desconhecidas precisa ser bloqueada, incluindo apps instalados no lado pessoal de qualquer dispositivo Android 8.0 ou mais recente com um perfil de trabalho. Esse subrecurso é compatível por padrão.
2.7.2. Os recursos de depuração precisam ser bloqueados. Esse subrecurso é compatível por padrão.
2.8. Políticas de segurança para dispositivos dedicados
Nenhuma outra ação é permitida em um dispositivo dedicado bloqueado.
2.8.1. A inicialização no modo de segurança precisa ser desativada por padrão usando a política (acesse safeBootDisabled).
2.9. Suporte da Play Integrity
As verificações da Play Integrity são feitas por padrão. Nenhuma implementação extra é necessária.
2.9.1. Em branco propositalmente.
2.9.2. Em branco propositalmente.
2.9.3. Os administradores de TI podem configurar diferentes respostas de política com base no valor do SecurityRisk do dispositivo, incluindo o bloqueio do provisionamento, a limpeza de dados corporativos e a permissão para que o registro continue.
- O serviço de EMM vai aplicar essa resposta de política para o resultado de cada verificação de integridade.
2.9.4. Em branco propositalmente.
2.10. Verificar a aplicação de apps
Os administradores de TI podem ativar a opção Verificar apps nos dispositivos. O recurso "Verificar apps" verifica se há software nocivo nos apps instalados em dispositivos Android antes e depois da instalação, ajudando a garantir que apps maliciosos não comprometam os dados corporativos.
2.10.1. A opção "Verificar apps" precisa estar ativada por padrão usando a política
(acesse ensureVerifyAppsEnabled).
2.11. Suporte à inicialização direta
A API Android Management oferece suporte a esse recurso por padrão. Nenhuma implementação extra é necessária.
2.12. Gerenciamento de segurança de hardware
Os administradores de TI podem bloquear elementos de hardware de um dispositivo corporativo para garantir a prevenção contra perda de dados.
2.12.1. Os administradores de TI podem impedir que os usuários montem mídia externa física usando a política (acesse mountPhysicalMediaDisabled).
2.12.2. Os administradores de TI podem impedir que os usuários compartilhem dados do dispositivo usando o NFC
beam com a política
(acesse outgoingBeamDisabled). Esse subrecurso é opcional porque a função NFC beam
não é mais compatível com o Android 10 e versões mais recentes.
2.12.3. Os administradores de TI podem bloquear a transferência de arquivos por USB usando uma
política (acesse
usbFileTransferDisabled).
2.13. Geração de registros de segurança do Enterprise
A API Android Management não é compatível com esse recurso.
3. Gerenciamento de contas e apps
3.1. Vinculação empresarial
Os administradores de TI podem vincular o EMM à organização, permitindo que ele use o Google Play gerenciado para distribuir apps aos dispositivos.
3.1.1. Um admin com um Managed Google Domain pode vincular o domínio ao EMM.
3.1.2. Em branco propositalmente.
3.1.3. Em branco propositalmente.
3.1.4. O console de EMM orienta o administrador a inserir o endereço de e-mail do trabalho no fluxo de inscrição do Android e desaconselha o uso de uma conta do Gmail.
3.1.5. O EMM preenche automaticamente o endereço de e-mail do administrador no fluxo de inscrição do Android.
3.2. Provisionamento de contas do Google Play gerenciado
O EMM pode provisionar contas de usuário corporativas de forma silenciosa, chamadas de contas do Google Play gerenciado. Essas contas identificam usuários gerenciados e permitem regras de distribuição de apps exclusivas por usuário.
3.2.1. As contas do Google Play gerenciado (contas de usuário) são criadas automaticamente quando os dispositivos são provisionados.
A API Android Management oferece suporte a esse recurso por padrão. Nenhuma implementação extra é necessária.
3.3. Provisionamento de contas de dispositivos do Google Play gerenciado
O EMM pode criar e provisionar contas de dispositivo do Google Play gerenciado. As contas de dispositivo permitem a instalação silenciosa de apps da Google Play Store gerenciada e não estão vinculadas a um único usuário. Em vez disso, uma conta de dispositivo é usada para identificar um único dispositivo e oferecer suporte a regras de distribuição de apps por dispositivo em cenários dedicados.
3.3.1. As contas do Google Play gerenciado são criadas automaticamente quando os dispositivos são provisionados.
A API Android Management oferece suporte a esse recurso por padrão. Nenhuma implementação extra é necessária.
3.4. Provisionamento de contas do Google Play gerenciado para dispositivos legados
Esse recurso foi descontinuado.
3.5. Distribuição silenciosa de apps
Os administradores de TI podem distribuir apps de trabalho silenciosamente em dispositivos sem interação do usuário.
3.5.1. O console da EMM precisa usar a API Android Management para permitir que os administradores de TI instalem apps de trabalho em dispositivos gerenciados.
3.5.2. O console do EMM precisa usar a API Android Management para permitir que os administradores de TI atualizem apps de trabalho em dispositivos gerenciados.
3.5.3. O console do EMM precisa usar a API Android Management para permitir que os administradores de TI desinstalem apps em dispositivos gerenciados.
3.6. Gerenciamento de configuração gerenciada
Os administradores de TI podem ver e definir configurações gerenciadas silenciosamente para qualquer app que seja compatível com esse recurso.
3.6.1. O console de EMM precisa recuperar e mostrar as configurações gerenciadas de qualquer app do Google Play.
3.6.2. O console do EMM precisa permitir que os administradores de TI definam qualquer tipo de configuração (conforme definido pelo framework do Android Enterprise) para qualquer app do Google Play usando a API Android Management.
3.6.3. O console do EMM precisa permitir que os administradores de TI definam caracteres curinga (como $username$ ou %emailAddress%) para que uma única configuração de um app como o Gmail possa ser aplicada a vários usuários.
3.7. Gerenciamento do catálogo de apps
A API Android Management oferece suporte a esse recurso por padrão. Nenhuma implementação adicional é necessária.
3.8. Aprovação programática de apps
O console do EMM usa o iframe do Google Play gerenciado para oferecer suporte aos recursos de descoberta e aprovação de apps do Google Play. Os administradores de TI podem pesquisar e aprovar apps e novas permissões de apps sem sair do console do EMM.
3.8.1. Os administradores de TI podem pesquisar e aprovar apps no console do EMM usando o iframe do Google Play gerenciado.
3.9. Gerenciamento básico do layout da loja
O app Google Play gerenciado pode ser usado para instalar e atualizar apps de trabalho. Por padrão, a Google Play Store gerenciada mostra os apps aprovados para um usuário em uma única lista. Esse layout é chamado de layout básico da loja.
3.9.1. O console do EMM permite que os administradores de TI gerenciem os apps visíveis no layout básico da loja de um usuário final.
3.10. Configuração avançada do layout da loja
3.10.1. Os administradores de TI podem personalizar o layout da loja no app Google Play gerenciado.
3.11. Gerenciamento de licenças de apps
Esse recurso foi descontinuado.
3.12. Gerenciamento de apps particulares hospedados pelo Google
Os administradores de TI podem atualizar apps particulares hospedados no Google pelo console de EMM em vez do Google Play Console.
3.12.1. Os administradores de TI podem fazer upload de novas versões de apps já publicados de forma particular para a empresa usando:
3.13. Gerenciamento de apps particulares auto-hospedados
Os administradores de TI podem configurar e publicar apps particulares auto-hospedados. Ao contrário dos apps particulares hospedados pelo Google, o Google Play não hospeda os APKs. Em vez disso, o EMM ajuda os admins de TI a hospedar os próprios APKs e proteger os apps auto-hospedados, garantindo que eles só possam ser instalados quando autorizados pelo Google Play gerenciado.
3.13.1. O console da EMM precisa ajudar os administradores de TI a hospedar o APK do app, oferecendo as duas opções a seguir:
- Hospedar o APK no servidor do EMM. O servidor pode ser local ou baseado na nuvem.
- Hospedagem do APK fora do servidor do EMM, a critério da empresa. O administrador de TI precisa especificar no console de EMM onde o APK está hospedado.
3.13.2. O console do EMM precisa gerar um arquivo de definição de APK adequado usando o APK fornecido e orientar os admins de TI no processo de publicação.
3.13.3. Os administradores de TI podem atualizar apps particulares auto-hospedados, e o console do EMM pode publicar silenciosamente arquivos de definição de APK atualizados usando a API Google Play Developer Publishing .
3.13.4. O servidor da EMM atende às solicitações de download do APK auto-hospedado que contém um JWT válido no cookie da solicitação, conforme verificado pela chave pública do app particular.
- Para facilitar esse processo, o servidor do EMM precisa orientar os administradores de TI a baixar a chave pública de licença do app auto-hospedado no Google Play Console e fazer upload dessa chave no console do EMM.
3.14. Notificações de solicitação de EMM
Esse recurso não se aplica à API Android Management. Configure as notificações do Pub/Sub.
3.15. Requisitos de uso da API
O EMM implementa APIs do Android Management em grande escala, evitando padrões de tráfego que podem afetar negativamente a capacidade das empresas de gerenciar apps em ambientes de produção.
3.15.1. O EMM precisa obedecer aos limites de uso da API Android Management. Se você não corrigir o comportamento que excede essas diretrizes, o uso da API poderá ser suspenso a critério do Google.
3.15.2. O EMM precisa distribuir o tráfego de diferentes empresas ao longo do dia, em vez de consolidar o tráfego empresarial em horários específicos ou semelhantes. Comportamentos que se encaixam nesse padrão de tráfego, como operações em lote programadas para cada dispositivo inscrito, podem resultar na suspensão do uso da API, a critério do Google.
3.15.3. A EMM não pode fazer solicitações consistentes, incompletas ou deliberadamente incorretas que não tentam recuperar ou gerenciar dados corporativos reais. O comportamento que se encaixa nesse padrão de tráfego pode resultar na suspensão do uso da API, a critério do Google.
3.16. Gerenciamento avançado de configurações gerenciadas
O EMM é compatível com os seguintes recursos avançados de gerenciamento de configuração gerenciada:
3.16.1. O console de EMM precisa conseguir recuperar e mostrar até quatro níveis de configurações de configuração gerenciada aninhadas de qualquer app do Google Play usando:
- O iframe do Google Play gerenciado ou
- uma interface personalizada.
3.16.2. O console da EMM precisa recuperar e mostrar qualquer feedback retornado por um canal de feedback do app , quando configurado por um administrador de TI.
- O console do EMM precisa permitir que os administradores de TI associem um item de feedback específico ao dispositivo e ao app de origem.
- O console da EMM precisa permitir que os administradores de TI se inscrevam em alertas ou relatórios de tipos específicos de mensagens (como mensagens de erro).
3.16.3. O console do EMM só pode enviar valores que tenham um valor padrão ou sejam definidos manualmente pelo administrador usando:
- O iframe de configurações gerenciadas ou
- Uma interface personalizada.
3.17. Gerenciamento de apps da Web
Os administradores de TI podem criar e distribuir apps da Web no console de EMM.
3.17.1. Com o console do EMM, os administradores de TI podem distribuir atalhos para apps da Web usando:
3.18. Gerenciamento do ciclo de vida da conta do Google Play gerenciado
O EMM pode criar, atualizar e excluir contas do Google Play gerenciado em nome dos admins de TI e se recuperar automaticamente do vencimento da conta.
Esse recurso é compatível por padrão. Nenhuma implementação extra de EMM é necessária.
3.19. Gerenciamento de faixas de aplicativos
3.19.1. Os administradores de TI podem extrair uma lista de IDs de faixa definidos por um desenvolvedor para um app específico.
3.19.2. Os administradores de TI podem usar uma faixa de desenvolvimento específica em um aplicativo.
3.20. Gerenciamento avançado de atualizações de aplicativos
Os administradores de TI podem permitir que os apps sejam atualizados imediatamente ou adiar a atualização por 90 dias.
3.20.1. Os administradores de TI podem permitir que os apps usem atualizações de alta prioridade para serem atualizados quando uma atualização estiver pronta. 3.20.2. Os administradores de TI podem permitir que os apps tenham as atualizações adiadas por 90 dias.
3.21. Gerenciamento de métodos de provisionamento
O EMM pode gerar configurações de provisionamento e apresentá-las ao admin de TI em um formato pronto para distribuição aos usuários finais (como QR code, configuração sem toque, URL da Play Store).
3.22. Fazer upgrade da vinculação do Enterprise
Os admins de TI podem fazer upgrade do tipo de vinculação corporativa para um Managed Google Domain Enterprise, permitindo que a organização acesse serviços e recursos da Conta do Google em dispositivos inscritos.
3.22.1. O console de EMM permite que o admin de TI acione o upgrade de um pacote de contas do Google Play gerenciado para um Managed Google Domain usando as APIs necessárias .
3.22.2. Os EMMs precisam usar o Pub/Sub para receber notificações sobre eventos de upgrade iniciados pelo admin de TI (mesmo aqueles que ocorrem fora do console de EMM) e atualizar a interface para refletir essas mudanças.
3.23. Provisionamento de Contas do Google gerenciadas
O EMM pode provisionar um dispositivo com contas de usuário corporativas, chamadas de Contas do Google gerenciadas. Essas contas identificam usuários gerenciados e permitem regras de distribuição de apps e acesso aos Serviços do Google. Os administradores de TI também podem definir uma política para exigir a autenticação da Conta do Google gerenciada durante ou após o registro.
3.23.1. O EMM pode provisionar uma Conta do Google gerenciada de acordo com as diretrizes de implementação definidas.
Ao fazer isso:
- Uma Conta do Google gerenciada é adicionada ao dispositivo.
- A Conta do Google gerenciada precisa ter um mapeamento individual com os usuários reais no console do EMM.
3.23.2. O administrador de TI pode usar a política para oferecer aos usuários a opção de fazer login em uma Conta do Google gerenciada para inscrição.
3.23.3. O administrador de TI pode usar a política para controlar se o usuário precisa fazer login em uma Conta do Google gerenciada para concluir o registro.
3.23.4. Os administradores de TI podem restringir o fluxo de upgrade a um identificador de conta específico (endereço de e-mail) para um determinado dispositivo.
3.24. Upgrade da conta do Google Play gerenciado
Os admins de TI podem fazer upgrade do tipo de conta de usuário para uma Conta do Google gerenciada, permitindo que o dispositivo acesse os serviços e recursos da Conta do Google em dispositivos inscritos.
3.24.1. Os admins de TI podem fazer upgrade de uma conta do Google Play gerenciado em um dispositivo para uma Conta do Google gerenciada.
3.24.2. Os administradores de TI podem restringir o fluxo de upgrade a um identificador de conta específico (endereço de e-mail) para um determinado dispositivo.
4. Gerenciamento de dispositivos
4.1. Gerenciamento de políticas de permissão de tempo de execução
Os administradores de TI podem definir silenciosamente uma resposta padrão para solicitações de permissão de tempo de execução feitas por apps de trabalho.
4.1.1. Os administradores de TI precisam poder escolher entre as seguintes opções ao definir uma política de permissão de execução padrão para a organização:
- Solicitação (permite que os usuários escolham)
- allow
- deny
O EMM precisa aplicar essas configurações usando uma política .
4.2. Gerenciamento do estado de concessão de permissões de execução
Depois de definir uma política padrão de permissão de execução (acesse 4.1), Os administradores de TI podem definir respostas silenciosamente para permissões específicas de qualquer app de trabalho criado na API 23 ou mais recente.
4.2.1. Os administradores de TI precisam conseguir definir o estado de concessão (padrão, conceder ou negar) de qualquer permissão solicitada por qualquer app de trabalho criado na API 23 ou mais recente. O EMM precisa aplicar essas configurações usando uma política.
4.3. Gerenciamento de configuração do Wi-Fi
Os administradores de TI podem provisionar silenciosamente configurações de Wi-Fi corporativo em dispositivos gerenciados, incluindo:
4.3.1. SSID, usando política.
4.3.2. Senha, usando a política.
4.4. Gerenciamento de segurança do Wi-Fi
Os administradores de TI podem provisionar configurações de Wi-Fi corporativas em dispositivos que incluem os seguintes recursos de segurança avançada:
4.4.1. Identidade
4.4.2. Certificados para autorização do cliente
4.4.3. Certificados de CA
4.5. Gerenciamento avançado de Wi-Fi
Os administradores de TI podem bloquear as configurações de Wi-Fi em dispositivos gerenciados para impedir que os usuários criem configurações ou modifiquem as corporativas.
4.5.1. Os administradores de TI podem bloquear as configurações de Wi-Fi corporativo usando uma política em uma das seguintes configurações:
- Os usuários não podem modificar nenhuma configuração de Wi-Fi provisionada pelo EMM (acesse
wifiConfigsLockdownEnabled), mas podem adicionar e modificar as próprias redes configuráveis pelo usuário (por exemplo, redes pessoais). - Os usuários não podem adicionar nem modificar nenhuma rede Wi-Fi no dispositivo
(acesse
wifiConfigDisabled), limitando a conectividade Wi-Fi apenas às redes provisionadas pelo EMM.
4.6. Gerenciamento da conta
Os administradores de TI podem garantir que apenas contas corporativas autorizadas interajam com dados corporativos, para serviços como armazenamento SaaS e apps de produtividade ou e-mail. Sem esse recurso, os usuários podem adicionar contas pessoais aos apps corporativos que também aceitam contas pessoais, permitindo que eles compartilhem dados corporativos com essas contas pessoais.
4.6.1. Os administradores de TI podem impedir que os usuários adicionem ou modifiquem contas (consulte modifyAccountsDisabled).
- Ao aplicar essa política em um dispositivo, os EMMs precisam definir essa restrição antes da conclusão do provisionamento para garantir que os usuários não possam burlar essa política adicionando contas antes da entrada em vigor.
4.7. Gerenciamento de contas do Workspace
Esse recurso foi descontinuado. Consulte 3.23 para ver os requisitos de substituição.
4.8. Gerenciamento de certificados
Permite que os administradores de TI implantem certificados de identidade e autoridades de certificação em dispositivos para permitir o uso de recursos corporativos.
4.8.1. Os administradores de TI podem instalar certificados de identidade do usuário gerados pela ICP para cada usuário. O console da EMM precisa se integrar a pelo menos uma PKI e distribuir certificados gerados nessa infraestrutura.
4.8.2. Os administradores de TI podem instalar autoridades certificadoras (consulte caCerts) no keystore gerenciado. No entanto, esse subrecurso não é compatível
.
4.9. Gerenciamento avançado de certificados
Permite que os administradores de TI selecionem silenciosamente os certificados que apps gerenciados específicos devem usar. Esse recurso também permite que os admins de TI removam CAs e certificados de identidade de dispositivos ativos e evitem que os usuários modifiquem as credenciais armazenadas no keystore gerenciado.
4.9.1. Para qualquer app distribuído aos dispositivos, os administradores de TI podem especificar um certificado que o app vai receber acesso silenciosamente durante a execução. (Este subrecurso não é compatível)
- A seleção de certificados precisa ser genérica o suficiente para permitir uma única configuração que se aplique a todos os usuários, cada um dos quais pode ter um certificado de identidade específico do usuário.
4.9.2. Os administradores de TI podem remover certificados de maneira silenciosa do keystore gerenciado.
4.9.3. Os administradores de TI podem desinstalar um certificado de CA sem aviso prévio. (Este subrecurso não é compatível)
4.9.4. Os admins de TI podem impedir que os usuários configurem credenciais
(acesse credentialsConfigDisabled) no keystore gerenciado.
4.9.5. Os administradores de TI podem pré-conceder certificados para apps de trabalho usando ChoosePrivateKeyRule.
4.10. Gerenciamento delegado de certificados
Os administradores de TI podem distribuir um app de gerenciamento de certificados de terceiros para dispositivos e conceder a ele acesso privilegiado para instalar certificados no keystore gerenciado.
4.10.1. Os administradores de TI podem especificar um pacote de gerenciamento de certificados (acesse delegatedCertInstallerPackage) para ser definido como o app delegado de gerenciamento de certificados.
- Os EMMs podem sugerir pacotes conhecidos de gerenciamento de certificados, mas precisam permitir que o administrador de TI escolha na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.11. Gerenciamento avançado de VPN
Permite que os administradores de TI especifiquem uma VPN sempre ativa para garantir que os dados dos apps gerenciados especificados sempre passem por uma configuração de VPN.
4.11.1. Os administradores de TI podem especificar um pacote de VPN arbitrário para ser definido como uma VPN sempre ativa.
- O console do EMM pode sugerir pacotes de VPN conhecidos que oferecem suporte à VPN sempre ativa, mas não pode restringir as VPNs disponíveis para configuração da VPN sempre ativa a uma lista arbitrária.
4.11.2. Os administradores de TI podem usar configurações gerenciadas para especificar as configurações de VPN de um app.
4.12. Gerenciamento de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) podem ser configurados para dispositivos. Como o IME é compartilhado entre perfis de trabalho e pessoais, bloquear o uso de IMEs também impede que os usuários permitam o uso deles para fins pessoais. No entanto, os administradores de TI não podem bloquear o uso de IMEs do sistema em perfis de trabalho. Acesse o gerenciamento avançado de IMEs para mais detalhes.
4.12.1. Os administradores de TI podem configurar uma lista de permissões de IME
(acesse permitted_input_methods) de comprimento arbitrário (incluindo uma lista vazia,
que bloqueia IMEs não relacionados ao sistema), que pode conter qualquer pacote de IME arbitrário.
- O console da EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.12.2. O EMM precisa informar aos administradores de TI que os IME do sistema são excluídos do gerenciamento em dispositivos com perfis de trabalho.
4.13. Gerenciamento avançado de IME
Os administradores de TI podem gerenciar os métodos de entrada (IMEs) que os usuários podem configurar em um dispositivo. O gerenciamento avançado de IME estende o recurso básico, permitindo que os administradores de TI gerenciem o uso de IMEs do sistema também, que geralmente são fornecidos pelo fabricante ou pela operadora do dispositivo.
4.13.1. Os administradores de TI podem configurar uma lista de permissões de IME
(acesse permitted_input_methods) de comprimento arbitrário (exceto uma lista vazia,
que bloqueia todos os IMEs, incluindo os do sistema), que pode conter qualquer pacote de IME
arbitrário.
- O console da EMM pode sugerir IMEs conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.13.2. O EMM precisa impedir que os admins de TI configurem uma lista de permissões vazia, já que essa configuração bloqueia a configuração de todos os IME, incluindo os do sistema, no dispositivo.
4.13.3. A EMM precisa garantir que, se uma lista de permissões de IME não contiver IMEs do sistema, os IMEs de terceiros serão instalados silenciosamente antes que a lista de permissões seja aplicada ao dispositivo.
4.14. Gerenciamento de serviços de acessibilidade
Os administradores de TI podem gerenciar quais serviços de acessibilidade os usuários podem permitir nos dispositivos. Os serviços de acessibilidade são ferramentas poderosas para usuários com deficiências ou que estão temporariamente impossibilitados de interagir totalmente com um dispositivo. No entanto, eles podem interagir com dados corporativos de maneiras que não estão em conformidade com a política da empresa. Com esse recurso, os administradores de TI podem desativar qualquer serviço de acessibilidade que não seja do sistema.
4.14.1. Os administradores de TI podem configurar uma lista de permissões de serviços de acessibilidade (acesse permittedAccessibilityServices) de comprimento arbitrário, incluindo uma lista vazia, que bloqueia serviços de acessibilidade não relacionados ao sistema, e que pode conter qualquer pacote de serviço de acessibilidade arbitrário. Quando aplicado a um perfil de trabalho, isso afeta tanto o perfil pessoal quanto o de trabalho.
- O console pode sugerir serviços de acessibilidade conhecidos ou recomendados para incluir na lista de permissões, mas precisa permitir que o administrador de TI escolha na lista de apps disponíveis para instalação, para os usuários aplicáveis.
4.15. Gerenciamento do Compartilhamento de local
Os administradores de TI podem impedir que os usuários compartilhem dados de local com apps no perfil de trabalho. Caso contrário, a configuração de local no perfil de trabalho pode ser feita em Configurações.
4.15.1. Os administradores de TI podem desativar os serviços de localização (acesse shareLocationDisabled) no perfil de trabalho.
4.16. Gerenciamento avançado do Compartilhamento de local
Os administradores de TI podem aplicar uma determinada configuração de Compartilhamento de local em um dispositivo gerenciado. Esse recurso garante que os apps corporativos sempre tenham dados de localização de alta precisão. Esse recurso também pode garantir que a bateria extra não seja consumida restringindo as configurações de local ao modo de economia de bateria.
4.16.1. Os administradores de TI podem definir os serviços de localização do dispositivo em cada um dos seguintes modos:
- Alta precisão.
- Apenas sensores, por exemplo, GPS, mas não incluindo a localização fornecida pela rede.
- Economia de bateria, que limita a frequência de atualização.
- Desligado.
4.17. Gerenciamento da proteção contra redefinição de fábrica
Permite que os administradores de TI protejam os dispositivos corporativos contra roubo, garantindo que usuários não autorizados não possam redefinir os dispositivos para a configuração de fábrica. Se a proteção contra redefinição de fábrica introduzir complexidades operacionais quando os dispositivos forem devolvidos à TI, os administradores de TI poderão desativar totalmente a proteção contra redefinição de fábrica.
4.17.1. Os administradores de TI podem impedir que os usuários façam a redefinição de fábrica
(acesse factoryResetDisabled) do dispositivo nas Configurações.
4.17.2. Os admins de TI podem especificar contas corporativas de desbloqueio autorizadas a
provisionar dispositivos
(acesse frpAdminEmails) após uma redefinição de fábrica.
- Essa conta pode ser vinculada a uma pessoa ou usada por toda a empresa para desbloquear dispositivos.
4.17.3. Os administradores de TI podem desativar a proteção contra redefinição de fábrica
(acesse 0 factoryResetDisabled) em dispositivos específicos.
4.17.4. Os administradores de TI podem iniciar uma limpeza remota do dispositivo que opcionalmente limpa os dados de proteção contra redefinição, removendo assim a proteção contra redefinição de fábrica no dispositivo redefinido.
4.18. Controle avançado de apps
Os administradores de TI podem impedir que o usuário desinstale ou modifique apps gerenciados em "Configurações". Por exemplo, impedir o fechamento forçado do app ou limpar o cache de dados de um app.
4.18.1. Os admins de TI podem bloquear a desinstalação de qualquer app gerenciado arbitrário ou de todos os apps gerenciados (acesse uninstallAppsDisabled).
4.18.2. Os administradores de TI podem impedir que os usuários modifiquem os dados do aplicativo nas configurações. A API Android Management não oferece suporte a esse subrecurso.
4.19. Gerenciamento de captura de tela
Os administradores de TI podem impedir que os usuários façam capturas de tela ao usar apps gerenciados. Essa configuração inclui o bloqueio de apps de compartilhamento de tela e semelhantes (como o Google Assistente) que usam os recursos de captura de tela do sistema.
4.19.1. Os administradores de TI podem impedir que os usuários façam capturas de tela
(acesse screenCaptureDisabled).
4.20. Desativar câmeras
Os administradores de TI podem desativar o uso das câmeras do dispositivo por apps gerenciados.
4.20.1. Os administradores de TI podem desativar o uso das câmeras do dispositivo
(acesse cameraDisabled) por apps gerenciados.
4.21. Coleta de estatísticas da rede
A API Android Management não é compatível com esse recurso.
4.22. Coleta avançada de estatísticas de rede
A API Android Management não é compatível com esse recurso.
4.23. Reiniciar dispositivo
Os administradores de TI podem reiniciar remotamente os dispositivos gerenciados.
4.23.1. Os administradores de TI podem reiniciar remotamente um dispositivo gerenciado.
4.24. Gerenciamento de rádio do sistema
Oferece aos administradores de TI gerenciamento granular de rádios de rede do sistema e políticas de uso associadas usando políticas .
4.24.1. Os administradores de TI podem desativar as transmissões de célula enviadas por provedores de serviços (acesse cellBroadcastsConfigDisabled).
4.24.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel em
Configurações (acesse mobileNetworksConfigDisabled).
4.24.3. Os administradores de TI podem impedir que os usuários redefinam todas as configurações de rede em "Configurações". (acesse networkResetDisabled).
4.24.4. Os administradores de TI podem configurar se o dispositivo permite dados móveis
em roaming (acesse dataRoamingDisabled).
4.24.5. Os administradores de TI podem configurar se o dispositivo pode fazer ligações, exceto para emergências (acesse outGoingCallsDisabled).
4.24.6. Os administradores de TI podem configurar se o dispositivo pode enviar e receber mensagens de texto (acesse smsDisabled).
4.24.7. Os administradores de TI podem impedir que os usuários usem o dispositivo como um hotspot portátil por tethering (acesse tetheringConfigDisabled).
4.24.8. Os administradores de TI podem definir o tempo limite do Wi-Fi como padrão, enquanto o dispositivo está conectado ou nunca. A API Android Management não oferece suporte a esse subrecurso.
4.24.9. Os administradores de TI podem impedir que os usuários configurem ou modifiquem conexões Bluetooth (acesse bluetoothConfigDisabled).
4.25. Gerenciamento de áudio do sistema
Os administradores de TI podem controlar silenciosamente os recursos de áudio do dispositivo, incluindo silenciar o dispositivo, impedir que os usuários modifiquem as configurações de volume e impedir que os usuários ativem o som do microfone do dispositivo.
4.25.1. Os administradores de TI podem silenciar dispositivos gerenciados sem que o usuário perceba. A API Android Management não oferece suporte a esse subrecurso.
4.25.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de volume do dispositivo (acesse adjustVolumeDisabled). Isso também silencia os dispositivos.
4.25.3. Os administradores de TI podem impedir que os usuários ativem o som do microfone do dispositivo (acesse unmuteMicrophoneDisabled).
4.26. Gerenciamento do relógio do sistema
Os admins de TI podem gerenciar as configurações de relógio e fuso horário do dispositivo e impedir que os usuários modifiquem as configurações automáticas do dispositivo.
4.26.1. Os administradores de TI podem aplicar a hora e o fuso horário automáticos do sistema, impedindo que o usuário defina a data, a hora e o fuso horário do dispositivo.
4.27. Recursos avançados de dispositivos dedicados
Para dispositivos dedicados, os administradores de TI podem gerenciar os seguintes recursos usando políticas para oferecer suporte a vários casos de uso de quiosques.
4.27.1. Os administradores de TI podem desativar o bloqueio de tela do dispositivo (acesse keyguardDisabled).
4.27.2. Os administradores de TI podem desativar a barra de status do dispositivo, bloqueando notificações e
Configurações rápidas (acesse statusBarDisabled).
4.27.3. Os administradores de TI podem forçar a tela do dispositivo a permanecer ligada enquanto ele está
conectado (acesse stayOnPluggedModes).
4.27.4. Os administradores de TI podem impedir que as seguintes interfaces do sistema sejam mostradas (acesse createWindowsDisabled):
- Avisos
- Sobreposições de apps.
4.27.5. Os administradores de TI podem permitir que a recomendação do sistema para apps pule o tutorial do usuário e outras dicas introdutórias na primeira inicialização (acesse skip_first_use_hints).
4.28. Gerenciamento de escopo delegado
Os administradores de TI podem delegar privilégios extras a pacotes individuais.
4.28.1. Os administradores de TI podem gerenciar os seguintes escopos:
- Instalação e gerenciamento de certificados
- Deliberadamente em branco
- Registro de rede
- Registro de segurança (não compatível com perfil de trabalho em dispositivos pessoais)
4.29. Suporte a IDs específicos de inscrição
A partir do Android 12, os perfis de trabalho não terão mais acesso a identificadores específicos de hardware. Os administradores de TI podem acompanhar o ciclo de vida de um dispositivo com um perfil de trabalho usando o ID específico de registro, que persiste mesmo após redefinições para a configuração original.
4.29.1. Os administradores de TI podem receber um ID específico de inscrição
4.29.2. Esse ID específico de inscrição precisa persistir após uma redefinição de fábrica.
4.30. Política do gerenciador de credenciais
Os administradores de TI podem gerenciar quais aplicativos de gerenciamento de credenciais são permitidos ou bloqueados usando o padrão da política de provedor de credenciais ou a política de provedor de credenciais.
4.30.1 Os administradores de TI podem bloquear todos os gerenciadores de credenciais no dispositivo (ou no perfil de trabalho) usando uma política.
4.30.2 Os administradores de TI podem especificar que apenas gerenciadores de credenciais pré-carregados (apps do sistema) sejam permitidos.
4.30.3 Os administradores de TI podem especificar uma lista de nomes de pacotes para ativar a funcionalidade do gerenciador de credenciais.
4.31. Gerenciamento básico de eSIM
Permite que os administradores de TI provisionem um dispositivo com um perfil de eSIM e gerenciem o ciclo de vida dele no dispositivo.
4.31.1 Os administradores de TI podem provisionar silenciosamente um perfil de eSIM em um dispositivo usando uma política.
4.31.2 Os administradores de TI podem excluir eSIMs gerenciados de um dispositivo usando uma política.
4.31.3 Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel em
Configurações (acesse mobileNetworksConfigDisabled).
4.31.4 Os administradores de TI podem enviar remotamente um comando de exclusão permanente para um dispositivo ou perfil de trabalho. Esse comando remove os eSIMs gerenciados do dispositivo, se você quiser. Por padrão, os eSIMs gerenciados são removidos dos perfis de trabalho em dispositivos pessoais, mas são mantidos em dispositivos da empresa.
4.31.5 Os administradores de TI podem recuperar o identificador EID (Embedded Identity Document) de um dispositivo usando a interface do console de EMM (ou método equivalente).
5. Usabilidade do dispositivo
5.1. Personalização do provisionamento gerenciado
Os administradores de TI podem modificar a UX do fluxo de configuração padrão para incluir recursos específicos da empresa. Como opção, os administradores de TI podem mostrar a marca fornecida pelo EMM durante o provisionamento.
5.1.1. Os admins de TI podem personalizar o processo de provisionamento especificando
Termos de Serviço e outras exonerações de responsabilidade específicos da empresa (acesse termsAndConditions).
5.1.2. Os administradores de TI podem implantar
Termos de Serviço não configuráveis e específicos do EMM e outras exonerações de responsabilidade
(acesse termsAndConditions).
- Os EMMs podem definir a personalização não configurável e específica do EMM como o padrão para implantações, mas precisam permitir que os administradores de TI configurem a própria personalização.
5.1.3. O primaryColor foi descontinuado para o recurso empresarial no Android 10 e versões mais recentes.
5.2. Personalização empresarial
A API Android Management não é compatível com esse recurso.
5.3. Personalização avançada para empresas
A API Android Management não é compatível com esse recurso.
5.4. Mensagens na tela de bloqueio
Os administradores de TI podem definir uma mensagem personalizada que é sempre exibida na tela de bloqueio do dispositivo e não exige desbloqueio para ser visualizada.
5.4.1. Os administradores de TI podem definir uma mensagem personalizada na tela de bloqueio
(acesse deviceOwnerLockScreenInfo).
5.5. Gerenciamento da transparência da política
Os administradores de TI podem personalizar o texto de ajuda fornecido aos usuários quando eles tentam modificar as configurações gerenciadas no dispositivo ou implantar uma mensagem de suporte genérica fornecida pelo EMM. As mensagens de suporte curtas e longas podem ser personalizadas e são mostradas em casos como a tentativa de desinstalar um app gerenciado em que um administrador de TI já bloqueou a desinstalação.
5.5.1. Os administradores de TI podem personalizar mensagens de suporte ao usuário curtas e longas.
5.5.2. Os administradores de TI podem implantar mensagens de suporte curtas e longas não configuráveis e específicas do EMM. Acesse shortSupportMessage e longSupportMessage em policies.
- O EMM pode definir as mensagens de suporte não configuráveis e específicas do EMM como padrão para implantações, mas precisa permitir que os administradores de TI configurem as próprias mensagens.
5.6. Gerenciamento de contatos entre perfis
5.6.1. Os admins de TI podem desativar a exibição de contatos de trabalho em pesquisas de contatos e chamadas recebidas no perfil pessoal.
5.6.2. Os administradores de TI podem desativar o compartilhamento de contatos por Bluetooth de contatos de trabalho, por exemplo, chamadas sem usar as mãos em carros ou fones de ouvido.
5.7. Gerenciamento de dados em vários perfis
Permite que os administradores de TI gerenciem os tipos de dados que podem ser compartilhados entre os perfis de trabalho e pessoal, permitindo que os administradores equilibrem a usabilidade e a segurança de dados de acordo com os requisitos.
5.7.1. Os administradores de TI podem configurar uma política de compartilhamento de dados entre perfis para que os apps pessoais possam resolver intents do perfil de trabalho, como intents de compartilhamento ou links da Web.
5.7.2. Os administradores de TI podem permitir que os aplicativos do perfil de trabalho criem e
mostrem widgets na tela inicial do perfil pessoal. Essa funcionalidade
fica desativada por padrão, mas pode ser definida como permitida usando os campos workProfileWidgets e workProfileWidgetsDefault.
5.7.3. Os admins de TI podem controlar a capacidade de copiar/colar entre os perfis de trabalho e pessoal.
5.8. Política de atualização do sistema
Os administradores de TI podem configurar e aplicar atualizações do sistema over the air (OTA) dispositivos.
5.8.1. O console do EMM permite que os administradores de TI definam as seguintes configurações de OTA:
- Automático: os dispositivos instalam atualizações OTA quando elas ficam disponíveis.
- Adiar: os administradores de TI precisam poder adiar a atualização OTA por até 30 dias. Essa política não afeta atualizações de segurança (por exemplo, patches de segurança mensais).
- Em janelas: os administradores de TI precisam programar atualizações OTA em uma janela de manutenção diária.
5.8.2. As configurações de OTA são aplicadas aos dispositivos usando política .
5.9. Gerenciamento do modo de bloqueio de atividade
Os administradores de TI podem bloquear um app ou um conjunto de apps na tela e garantir que os usuários não possam sair do app.
5.9.1. O console do EMM permite que os administradores de TI autorizem silenciosamente a instalação e o bloqueio de um conjunto arbitrário de apps em um dispositivo. A política permite configurar dispositivos dedicados.
5.10. Gerenciamento persistente de atividades preferidas
Permite que os administradores de TI definam um app como o gerenciador de intents padrão para intents que correspondam a um determinado filtro de intent. Por exemplo, esse recurso permite que os administradores de TI escolham qual app de navegador abre automaticamente os links da Web. Esse recurso pode gerenciar qual app de tela de início é usado ao tocar no botão home.
5.10.1. Os administradores de TI podem definir qualquer pacote como o gerenciador de intents padrão para qualquer filtro de intent arbitrário.
- O console do EMM pode sugerir intents conhecidas ou recomendadas para configuração, mas não pode restringir intents a uma lista arbitrária.
- O console do EMM precisa permitir que os administradores de TI escolham na lista de apps disponíveis para instalação para os usuários aplicáveis.
5.11. Gerenciamento de recursos do Keyguard
Os administradores de TI podem gerenciar os recursos disponíveis para os usuários antes de desbloquear a proteção de teclado do dispositivo (tela de bloqueio) e a proteção de teclado do desafio de trabalho (tela de bloqueio).
5.11.1.Política pode desativar os seguintes recursos de bloqueio de tela do dispositivo:
- agentes de confiança
- desbloqueio com impressão digital
- notificações não editadas
5.11.2. Os seguintes recursos da tela de bloqueio do perfil de trabalho podem ser desativados usando a política:
- agentes de confiança
- desbloqueio com impressão digital
5.12. Gerenciamento avançado de recursos de proteção de tela
- Câmera segura
- Todas as notificações
- Sem edição
- Agentes de confiança
- Desbloqueio por impressão digital
- Todos os recursos do keyguard
5.13. Depuração remota
A API Android Management não é compatível com esse recurso.
5.14. Recuperação de endereço MAC
Os EMMs podem buscar silenciosamente o endereço MAC de um dispositivo para identificar dispositivos em outras partes da infraestrutura empresarial (por exemplo, ao identificar dispositivos para controle de acesso à rede).
5.14.1. O EMM pode recuperar silenciosamente o endereço MAC de um dispositivo e associá-lo ao dispositivo no console do EMM.
5.15. Gerenciamento avançado do modo de bloqueio de atividade
Com um dispositivo dedicado, os administradores de TI podem usar o console da EMM para realizar as seguintes tarefas:
5.15.1. Permitir silenciosamente que um único app seja instalado e bloqueado em um dispositivo.
5.15.2. Ative ou desative os seguintes recursos da interface do sistema:
- Botão "Página inicial"
- Visão geral
- Ações globais
- Notificações
- Informações do sistema / Barra de status
- Keyguard (tela de bloqueio). Esse subrecurso é ativado por padrão quando a versão 5.15.1 é implementada.
5.15.3. Desative a opção Caixas de diálogo de erro do sistema.
5.16. Política avançada de atualização do sistema
Os administradores de TI podem definir um período de congelamento específico para bloquear atualizações do sistema em um dispositivo.
5.16.1. O console do EMM precisa permitir que os administradores de TI bloqueiem atualizações do sistema over-the-air (OTA) por um período de congelamento especificado.
5.17. Gerenciamento da transparência da política do perfil de trabalho
Os administradores de TI podem personalizar a mensagem exibida aos usuários ao remover o perfil de trabalho de um dispositivo.
5.17.1. Os administradores de TI podem fornecer texto personalizado para mostrar
(acesse wipeReasonMessage) quando um perfil de trabalho é excluído permanentemente.
5.18. Suporte para apps conectados
Os administradores de TI podem definir uma lista de pacotes que podem se comunicar entre o limite do perfil de trabalho definindo ConnectedWorkAndPersonalApp.
5.19. Atualização manual do sistema
A API Android Management não é compatível com esse recurso.
6. Descontinuação do Administrador do dispositivo
6.1. Descontinuação do Administrador do dispositivo
As EMMs precisam postar um plano até o final de 2022 para encerrar o suporte ao cliente para Administrador do dispositivo em dispositivos GMS até o final do primeiro trimestre de 2023.
7. Uso da API
7.1. Controlador de políticas padrão para novas vinculações
Por padrão, os dispositivos precisam ser gerenciados com o Android Device Policy para novas vinculações. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado em uma área de configurações com um título "Avançado" ou terminologia semelhante. Os novos clientes não podem ser expostos a uma escolha arbitrária entre stacks de tecnologia durante qualquer fluxo de trabalho de integração ou configuração.
7.2. Controlador de política padrão para novos dispositivos
Por padrão, os dispositivos precisam ser gerenciados com o Android Device Policy em todos os novos registros de dispositivos, tanto para vinculações atuais quanto novas. Os EMMs podem oferecer a opção de gerenciar dispositivos usando um DPC personalizado em uma área de configurações com o título "Avançado" ou terminologia semelhante.