หน้านี้มีรายการฟีเจอร์ Android Enterprise ทั้งหมด
หากต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ของคุณต้องรองรับฟีเจอร์มาตรฐานทั้งหมด () ของชุดโซลูชันอย่างน้อย 1 ชุดก่อนจึงจะพร้อมให้บริการในเชิงพาณิชย์ได้ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์มาตรฐานจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการมาตรฐาน
ฟีเจอร์ขั้นสูงชุดเพิ่มเติมมีให้ใช้งานสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้จะแสดงอยู่ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งานในอุปกรณ์ส่วนตัว โปรไฟล์งานในอุปกรณ์ของบริษัท อุปกรณ์ที่มีการจัดการครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการขั้นสูง
คีย์
| ฟีเจอร์มาตรฐาน รายการ | ฟีเจอร์ขั้นสูง | ฟีเจอร์ที่ไม่บังคับ | ไม่เกี่ยวข้อง |
1. การจัดเตรียมอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานแบบ DPC เป็นหลัก
หลังจากดาวน์โหลด Android Device Policy จาก Google Play แล้ว ผู้ใช้จะจัดสรรโปรไฟล์งานได้
1.1.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อรองรับวิธีการจัดสรรนี้ (ไปที่ การลงทะเบียนและจัดสรรอุปกรณ์)
1.2 การจัดสรรอุปกรณ์ตัวระบุ DPC
การป้อน "afw#" ในวิซาร์ดการตั้งค่าของอุปกรณ์จะจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะ
1.2.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อรองรับวิธีการจัดสรรนี้ (ไปที่การลงทะเบียนและจัดสรรอุปกรณ์)
1.3 การจัดเตรียมอุปกรณ์ NFC
ผู้ดูแลระบบไอทีสามารถใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นได้ โดยเป็นไปตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาแอปของ Play EMM API
1.3.1. EMM ต้องใช้แท็ก NFC Forum ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจากมีการเลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4. การจัดสรรอุปกรณ์ด้วยคิวอาร์โค้ด
คอนโซลของ EMM สามารถสร้างคิวอาร์โค้ดที่ผู้ดูแลระบบไอทีสามารถสแกนเพื่อจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะได้ ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ของ Android Management API
1.4.1. คิวอาร์โค้ดต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) ไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีกำหนดค่าอุปกรณ์ที่ซื้อจากตัวแทนจำหน่ายที่ได้รับอนุญาตล่วงหน้าและจัดการอุปกรณ์เหล่านั้นได้โดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทโดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มตามที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่ผู้ดูแลระบบไอทีกำหนดโดยอัตโนมัติ
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นแบบอัตโนมัติได้ด้วยการลงทะเบียนการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม เมื่อใช้ร่วมกับ URL การลงชื่อเข้าใช้ ผู้ดูแลระบบไอทีสามารถจำกัดการลงทะเบียนไว้เฉพาะบัญชีหรือโดเมนที่ต้องการได้ ตามตัวเลือกการกำหนดค่าที่ EMM นำเสนอ
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.6.2. ข้อกำหนดนี้เลิกใช้งานแล้ว
1.6.3. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถดำเนินการเปิดใช้งานต่อได้ อย่างน้อยที่สุด จะต้องล็อกการเปิดใช้งานไว้เฉพาะกับผู้ใช้ขององค์กรที่ระบุ
1.6.4. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM จะต้องให้ผู้ดูแลระบบไอทีป้อนรายละเอียดการลงทะเบียนล่วงหน้าได้ (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น ผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อไม่ให้ผู้ใช้ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง ในการกำหนดค่าของการตั้งค่าอุปกรณ์พร้อมใช้
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ ฟีเจอร์นี้จะแนะนำผู้ใช้ในการตั้งค่าโปรไฟล์งานหลังจากป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กรระหว่างการตั้งค่าอุปกรณ์หรือในอุปกรณ์ที่เปิดใช้งานแล้ว ไม่ว่าในกรณีใด ระบบจะย้ายข้อมูลข้อมูลประจำตัวของ Workspace ขององค์กรไปยังโปรไฟล์งาน
1.8. การจัดสรรอุปกรณ์ของบัญชี Google
Android Management API ไม่รองรับฟีเจอร์นี้
1.9 การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มได้โดยใช้iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10 โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้โดยการตั้งค่าAllowPersonalUsage
1.10.1. เว้นว่างไว้
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าการดำเนินการเพื่อปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทผ่านPersonalUsagePolicies
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือทั้งอุปกรณ์ได้ผ่านทาง PersonalUsagePolicies
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือทั้งอุปกรณ์ผ่าน PersonalUsagePolicies
1.10.5. ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตหรือรายการแอปพลิเคชันที่บล็อกซึ่งติดตั้งในโปรไฟล์ส่วนตัวได้หรือไม่ได้ผ่านทาง PersonalApplicationPolicy
1.10.6. ผู้ดูแลระบบไอทีสามารถสละสิทธิ์การจัดการอุปกรณ์ของบริษัทได้โดยการนำโปรไฟล์งานออกหรือล้างข้อมูลทั้งอุปกรณ์
1.11 การจัดเตรียมอุปกรณ์เฉพาะ
EMM สามารถลงทะเบียนอุปกรณ์เฉพาะได้โดยไม่ต้องแจ้งให้ผู้ใช้ตรวจสอบสิทธิ์ด้วยบัญชี Google
2. ความปลอดภัยของอุปกรณ์
2.1 มาตรการรักษาความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการรักษาความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากตัวเลือกระดับความซับซ้อน 3 ระดับที่กำหนดไว้ล่วงหน้าในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบาย ต้องบังคับใช้การตั้งค่าเพื่อจัดการคำถามเพื่อความปลอดภัยของอุปกรณ์ (parentProfilePasswordRequirements สำหรับโปรไฟล์งาน ข้อกำหนดด้านรหัสผ่านสำหรับอุปกรณ์ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านควรจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีลำดับซ้ำกัน (4444) หรือลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านตัวอักษร หรือรหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.1.3. นอกจากนี้ คุณยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิมในอุปกรณ์ของบริษัทได้ด้วย
2.2 มาตรการรักษาความปลอดภัยของงาน
ผู้ดูแลระบบไอทีสามารถกำหนดและบังคับใช้มาตรการรักษาความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งานที่แยกต่างหากและมีข้อกำหนดที่แตกต่างจากมาตรการรักษาความปลอดภัยของอุปกรณ์ (2.1.)
2.2.1. นโยบาย ต้องบังคับใช้ข้อกำหนดเพื่อความปลอดภัยสำหรับโปรไฟล์งาน
- โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรกำหนดข้อจำกัดสำหรับโปรไฟล์งานเท่านั้นหากไม่มีการระบุขอบเขต
- ผู้ดูแลระบบไอทีสามารถตั้งค่านี้ในอุปกรณ์ทั้งหมดโดยระบุขอบเขต (ดูข้อกำหนด 2.1)
2.2.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านที่กำหนดไว้ล่วงหน้าต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีลำดับซ้ำกัน (4444) หรือลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านตัวอักษร หรือรหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.2.3. นอกจากนี้ คุณยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิมได้ด้วย
2.3 การจัดการรหัสผ่านขั้นสูง
ผู้ดูแลระบบไอทีสามารถตั้งค่ารหัสผ่านขั้นสูงในอุปกรณ์ได้
2.3.1. จงใจเว้นว่างไว้
2.3.2. เว้นว่างไว้
2.3.3. คุณตั้งการตั้งค่าวงจรการใช้งานรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์ได้
- จงใจเว้นว่าง
- จงใจเว้นว่าง
- จำนวนครั้งที่ป้อนรหัสผ่านไม่สำเร็จสูงสุดสำหรับการล้างข้อมูล: ระบุจำนวนครั้งที่ผู้ใช้ป้อนรหัสผ่านที่ไม่ถูกต้องได้ก่อนที่จะมีการล้างข้อมูลของบริษัทออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.3.4. (Android 8.0 ขึ้นไป) หมดเวลาต้องมีการตรวจสอบสิทธิ์แบบเข้มงวด: ต้องป้อนรหัสผ่านในการตรวจสอบสิทธิ์ที่รัดกุม (เช่น PIN หรือรหัสผ่าน) หลังจากระยะหมดเวลาที่ผู้ดูแลระบบไอทีกําหนด หลังจากหมดเวลาแล้ว ระบบจะปิดวิธีการตรวจสอบสิทธิ์ที่ไม่รัดกุม (เช่น ลายนิ้วมือ การปลดล็อกด้วยใบหน้า) ไว้จนกว่าจะปลดล็อกอุปกรณ์ด้วยรหัสผ่านการตรวจสอบสิทธิ์ที่รัดกุม
2.4 การจัดการล็อกอัจฉริยะ
ผู้ดูแลระบบไอทีสามารถจัดการได้ว่าจะให้เอเจนต์ความน่าเชื่อถือในฟีเจอร์ Smart Lock ของ Android ขยายเวลาปลดล็อกอุปกรณ์ได้นานถึง 4 ชั่วโมงหรือไม่
2.4.1. ผู้ดูแลระบบไอทีจะปิดใช้ Agent การเชื่อถือในอุปกรณ์ได้
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานออกจากอุปกรณ์ที่มีการจัดการจากระยะไกล
2.5.1. อุปกรณ์ต้องล็อกโดยใช้ Android Management API
2.5.2. ต้องล้างข้อมูลอุปกรณ์โดยใช้ Android Management API
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายด้านความปลอดภัย กฎการปฏิบัติตามข้อกำหนดที่ Android Management API กำหนดไว้จะจำกัดการใช้ข้อมูลงานโดยอัตโนมัติ
2.6.1. นโยบายความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีนโยบายรหัสผ่านเป็นอย่างน้อย
2.7. นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยไม่ต้องให้ผู้ดูแลระบบไอทีตั้งค่าหรือปรับแต่งการตั้งค่าในคอนโซลของ EMM เราขอสนับสนุนให้ EMM (แต่ไม่บังคับ) ไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยนสถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. การติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จักจะต้องถูกบล็อก รวมถึงแอปที่ติดตั้งในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน ฟีเจอร์ย่อยนี้รองรับโดยค่าเริ่มต้น
2.7.2. ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง ฟีเจอร์ย่อยนี้รองรับโดยค่าเริ่มต้น
2.8 นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
ไม่อนุญาตให้ดำเนินการอื่นๆ ในอุปกรณ์เฉพาะที่ล็อกไว้
2.8.1. การเปิดเครื่องในโหมดปลอดภัยต้องปิดอยู่โดยค่าเริ่มต้นโดยใช้นโยบาย
(ไปที่ safeBootDisabled)
2.9. การสนับสนุน Play Integrity
ระบบจะตรวจสอบความสมบูรณ์ของ Play โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
2.9.1. เว้นว่างไว้
2.9.2. จงใจเว้นว่างไว้
2.9.3. ผู้ดูแลระบบไอทีตั้งค่าการตอบกลับนโยบายต่างๆ ได้โดยอิงตามค่าของ SecurityRisk ของอุปกรณ์ รวมถึงการบล็อกการจัดสรร การล้างข้อมูลบริษัท และอนุญาตให้ลงทะเบียนดำเนินการต่อ
- บริการ EMM จะบังคับใช้การตอบกลับนโยบายนี้กับผลการตรวจสอบความสมบูรณ์แต่ละครั้ง
2.9.4. จงใจเว้นว่างไว้
2.10. การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดยืนยันแอปในอุปกรณ์ได้ ฟีเจอร์ยืนยันแอปจะสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาซอฟต์แวร์ที่เป็นอันตรายทั้งก่อนและหลังการติดตั้ง ซึ่งช่วยให้มั่นใจได้ว่าแอปที่เป็นอันตรายจะไม่สามารถเข้าถึงข้อมูลของบริษัทได้
2.10.1. คุณต้องเปิดใช้ "ยืนยันแอป" โดยค่าเริ่มต้นโดยใช้นโยบาย (ไปที่ ensureVerifyAppsEnabled)
2.11. การรองรับ Direct Boot
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยที่คุณไม่ต้องติดตั้งใช้งานเพิ่มเติม
2.12. การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อป้องกันข้อมูลสูญหาย
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมสื่อภายนอกแบบมีตัวตนได้โดยใช้นโยบาย (ไปที่ mountPhysicalMediaDisabled)
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์โดยใช้โหมดแผ่รังสี NFC โดยใช้นโยบาย (ไปที่ outgoingBeamDisabled) ฟีเจอร์ย่อยนี้ไม่บังคับเนื่องจาก Android 10 ขึ้นไปไม่รองรับฟังก์ชันโหมดแผ่รังสี NFC อีกต่อไป
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB ได้โดยใช้นโยบาย (ไปที่ usbFileTransferDisabled)
2.13. การบันทึกการรักษาความปลอดภัยระดับองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
3. การจัดการบัญชีและแอป
3.1 การผูก Enterprise
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรได้ ซึ่งจะช่วยให้ EMM ใช้ Managed Google Play เพื่อเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วสามารถเชื่อมโยงโดเมนกับ EMM ได้
3.1.2. เว้นว่างไว้
3.1.3. เว้นว่างไว้
3.1.4. คอนโซล EMM จะแนะนำผู้ดูแลระบบให้ป้อนอีเมลที่ทำงานในขั้นตอนการลงชื่อสมัครใช้ Android และไม่สนับสนุนให้ใช้บัญชี Gmail
3.1.5. EMM จะกรอกอีเมลของผู้ดูแลระบบในขั้นตอนการลงชื่อสมัครใช้ Android ล่วงหน้า
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรที่เรียกว่าบัญชี Managed Google Play ได้แบบเงียบๆ บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้มีกฎการเผยแพร่แอปต่อผู้ใช้แต่ละรายที่ไม่ซ้ำกัน
3.2.1. ระบบจะสร้างบัญชี Managed Google Play (บัญชีผู้ใช้) โดยอัตโนมัติเมื่อจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play ได้ บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Managed Google Play Store โดยอัตโนมัติ และไม่ได้เชื่อมโยงกับผู้ใช้รายเดียว แต่จะใช้บัญชีอุปกรณ์เพื่อระบุอุปกรณ์เครื่องเดียวเพื่อรองรับกฎการจัดจำหน่ายแอปต่ออุปกรณ์ในสถานการณ์อุปกรณ์เฉพาะ
3.3.1. ระบบจะสร้างบัญชี Managed Google Play โดยอัตโนมัติเมื่อจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยที่คุณไม่ต้องติดตั้งใช้งานเพิ่มเติม
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์รุ่นเดิม
เราเลิกใช้งานฟีเจอร์นี้
3.5. การเผยแพร่แอปแบบเงียบ
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปงานในอุปกรณ์แบบเงียบโดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.5.1. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.3. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่จัดการได้
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการโดยอัตโนมัติสำหรับแอปที่รองรับการกำหนดค่าที่มีการจัดการ
3.6.1. คอนโซลของ EMM ต้องเรียกข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการของแอป Play ได้
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าประเภทการกำหนดค่าสำหรับแอป Play ใดก็ได้ (ตามที่กำหนดโดยเฟรมเวิร์ก Android Enterprise) โดยใช้ Android Management API
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้การกำหนดค่ารายการเดียวสำหรับแอปอย่าง Gmail ใช้กับผู้ใช้หลายคนได้
3.7. การจัดการแคตตาล็อกแอป
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.8. การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบแอปและอนุมัติของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ใหม่ของแอปได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปภายในคอนโซลของ EMM ได้โดยใช้ iframe ของ Managed Google Play
3.9 การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
คุณใช้แอป Managed Google Play Store เพื่อติดตั้งและอัปเดตแอปงานได้ โดยค่าเริ่มต้น Managed Google Play Store จะแสดงแอปที่ได้รับอนุมัติสำหรับผู้ใช้ในรายการเดียว เลย์เอาต์นี้เรียกว่าเลย์เอาต์ร้านค้าพื้นฐาน
3.9.1. คอนโซลของ EMM ควรอนุญาตให้ผู้ดูแลระบบไอทีจัดการแอปที่แสดงในเลย์เอาต์ Store พื้นฐานของผู้ใช้ปลายทาง
3.10 การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
3.10.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของ Store ที่เห็นในแอป Managed Google Play Store ได้
3.11. การจัดการใบอนุญาตแอป
เราเลิกใช้งานฟีเจอร์นี้แล้ว
3.12. การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่ฝากไว้กับ Google ผ่านคอนโซล EMM แทนที่จะอัปเดตผ่าน Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แล้วแบบส่วนตัวไปยังองค์กรได้โดยใช้สิ่งต่อไปนี้
3.13. การจัดการแอปส่วนตัวที่โฮสต์เอง
ผู้ดูแลระบบไอทีสามารถตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์เองได้ Google Play ไม่ได้โฮสต์ APK ต่างจากแอปส่วนตัวที่โฮสต์โดย Google แต่ EMM จะช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเอง และช่วยปกป้องแอปที่โฮสต์ด้วยตนเองได้ด้วยการตรวจสอบว่าจะติดตั้งได้เมื่อได้รับอนุญาตจาก Managed Google Play เท่านั้น
3.13.1. คอนโซลของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ของแอปได้โดยเสนอตัวเลือกต่อไปนี้ทั้ง 2 รายการ
- โฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นเซิร์ฟเวอร์ภายในองค์กรหรือเซิร์ฟเวอร์ระบบคลาวด์ก็ได้
- การโฮสต์ APK ภายนอกเซิร์ฟเวอร์ของ EMM ตามที่องค์กรพิจารณาเห็นสมควร ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่าโฮสต์ APK ไว้ที่ใด
3.13.2. คอนโซลของ EMM จะต้องสร้างไฟล์คําจํากัดความ APK ที่เหมาะสมโดยใช้ APK ที่ระบุ และจะต้องแนะนําผู้ดูแลระบบไอทีตลอดกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีจะอัปเดตแอปส่วนตัวที่โฮสต์ด้วยตนเองได้ และคอนโซลของ EMM สามารถเผยแพร่ไฟล์การกำหนด APK ที่อัปเดตได้อย่างเงียบๆ โดยใช้ API การเผยแพร่สำหรับนักพัฒนาแอป Google Play
3.13.4. เซิร์ฟเวอร์ของ EMM จะให้บริการคำขอดาวน์โหลดสำหรับ APK ที่โฮสต์เองซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดยคีย์สาธารณะของแอปส่วนตัว
- เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ดาวน์โหลดคีย์สาธารณะของใบอนุญาตของแอปที่โฮสต์เองจาก Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM เพื่อให้กระบวนการนี้สะดวกขึ้น
3.14. การแจ้งเตือนแบบดึงของ EMM
ฟีเจอร์นี้ใช้ไม่ได้กับ Android Management API ตั้งค่าการแจ้งเตือน Pub/Sub แทน
3.15. ข้อกำหนดการใช้งาน API
EMM ใช้ Android Management API ในระดับที่ใหญ่ขึ้น เพื่อหลีกเลี่ยงรูปแบบการเข้าชมที่อาจส่งผลเสียต่อความสามารถขององค์กรในการจัดการแอปในสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง
3.15.1. EMM ต้องเป็นไปตามขีดจำกัดการใช้งาน Android Management API การไม่แก้ไขลักษณะการทำงานที่เกินหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API โดย Google จะเป็นผู้พิจารณา
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในเวลาที่เจาะจงหรือคล้ายกัน ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้ เช่น การดำเนินการแบบเป็นกลุ่มตามกำหนดเวลาสำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียนไว้ อาจส่งผลให้มีการระงับการใช้ API โดย Google จะเป็นผู้พิจารณา
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่สอดคล้องกัน ไม่สมบูรณ์ หรือจงใจให้ไม่ถูกต้อง ซึ่งไม่ได้พยายามดึงข้อมูลหรือจัดการข้อมูลจริงขององค์กร ลักษณะการทำงานที่ตรงกับรูปแบบการรับส่งข้อมูลนี้อาจส่งผลให้การใช้ API ถูกระงับได้ โดย Google จะพิจารณาตามที่เห็นสมควร
3.16. การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
EMM รองรับฟีเจอร์การจัดการการกำหนดค่าที่มีการจัดการขั้นสูงต่อไปนี้
3.16.1. คอนโซลของ EMM ต้องดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการสูงสุด 4 ระดับที่ซ้อนกันของแอป Play โดยใช้สิ่งต่อไปนี้
- iframe ของ Managed Google Play หรือ
- UI ที่กำหนดเอง
3.16.2. คอนโซลของ EMM ต้องสามารถเรียกข้อมูลและแสดงความคิดเห็นที่ช่องทางแสดงความคิดเห็นของแอปส่งคืนได้ เมื่อผู้ดูแลระบบไอทีเป็นผู้ตั้งค่า
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เฉพาะเจาะจงกับอุปกรณ์และแอปที่เป็นแหล่งที่มาของความคิดเห็น
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานของข้อความประเภทที่เฉพาะเจาะจง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือผู้ดูแลระบบเป็นผู้ตั้งค่าด้วยตนเองโดยใช้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กําหนดเอง
3.17. การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสามารถสร้างและเผยแพร่เว็บแอปในคอนโซล EMM ได้
3.17.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถเผยแพร่ทางลัดไปยังเว็บแอปได้โดยใช้สิ่งต่อไปนี้
3.18. การจัดการวงจรบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของผู้ดูแลระบบไอที รวมถึงกู้คืนจากบัญชีที่หมดอายุโดยอัตโนมัติ
ระบบรองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยไม่จำเป็นต้องใช้งาน EMM เพิ่มเติม
3.19. การจัดการแทร็กแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่กำหนดโดยนักพัฒนาแอปสำหรับแอปหนึ่งๆ ได้
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชัน
3.20 การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
ผู้ดูแลระบบไอทีสามารถอนุญาตให้อัปเดตแอปทันทีหรือเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปใช้การอัปเดตแอปที่มีลําดับความสําคัญสูงเพื่ออัปเดตเมื่อการอัปเดตพร้อมใช้งาน 3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน
3.21. การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอต่อผู้ดูแลระบบไอทีในรูปแบบที่พร้อมเผยแพร่ให้กับผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม URL ของ Play Store)
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์จากแอปงาน
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสําหรับองค์กร
- ข้อความแจ้ง (อนุญาตให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1.) ผู้ดูแลระบบไอทีสามารถตั้งค่าคำตอบสำหรับสิทธิ์ที่ต้องการโดยไม่มีเสียงจากแอปงานซึ่งสร้างโดยใช้ API 23 ขึ้นไป
4.2.1. ผู้ดูแลระบบไอทีต้องสามารถตั้งค่าสถานะการให้สิทธิ์ (เริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ที่แอปงานซึ่งสร้างขึ้นจาก API เวอร์ชัน 23 ขึ้นไปขอ EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้โดยอัตโนมัติ ซึ่งรวมถึง
4.3.1. SSID โดยใช้นโยบาย
4.3.2. รหัสผ่าน โดยใช้นโยบาย
4.4 การจัดการความปลอดภัย Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi สำหรับองค์กรในอุปกรณ์ที่มีฟีเจอร์การรักษาความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. Identity
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์
4.4.3. ใบรับรอง CA
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกันไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าขององค์กร
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรโดยใช้นโยบายในการกำหนดค่าอย่างใดอย่างหนึ่งต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ที่ EMM จัดสรรไม่ได้ (ไปที่
wifiConfigsLockdownEnabled) แต่อาจเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าเองได้ (เช่น เครือข่ายส่วนตัว) - ผู้ใช้จะเพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ไม่ได้ (ไปที่
wifiConfigDisabled) ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ไว้เฉพาะเครือข่ายที่ EMM จัดสรรไว้เท่านั้น
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถตรวจสอบได้ว่ามีเพียงบัญชีขององค์กรที่ได้รับอนุญาตเท่านั้นที่จะโต้ตอบกับข้อมูลของบริษัทได้สำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปเพื่อการทำงาน หรืออีเมล หากไม่มีฟีเจอร์นี้ ผู้ใช้จะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้บริโภคได้ด้วย ซึ่งจะช่วยให้ผู้ใช้แชร์ข้อมูลขององค์กรกับบัญชีส่วนตัวเหล่านั้นได้
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เพิ่มหรือแก้ไขบัญชีได้ (ดู modifyAccountsDisabled)
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ก่อนที่จะจัดสรรให้เสร็จสมบูรณ์ เพื่อให้มั่นใจว่าผู้ใช้ไม่สามารถหลบเลี่ยงนโยบายนี้ด้วยการเพิ่มบัญชีก่อนที่นโยบายจะมีผล
4.7 การจัดการบัญชี Workspace
Android Management API ไม่รองรับฟีเจอร์นี้
4.8 การจัดการใบรับรอง
ช่วยให้ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองในอุปกรณ์เพื่ออนุญาตให้ใช้ทรัพยากรของบริษัท
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวของผู้ใช้ที่ PKI สร้างขึ้นต่อผู้ใช้แต่ละราย คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการ และกระจายใบรับรองที่สร้างขึ้นจากโครงสร้างพื้นฐานนั้น
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งหน่วยงานที่รับรองใบรับรอง (ดู caCerts) ในคีย์สโตร์ที่จัดการได้ อย่างไรก็ตาม ระบบไม่รองรับฟีเจอร์ย่อยนี้
4.9. การจัดการใบรับรองขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอปควรใช้ได้โดยอัตโนมัติ นอกจากนี้ ฟีเจอร์นี้ยังช่วยให้ผู้ดูแลระบบไอทีนำ CA และใบรับรองข้อมูลประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ และป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สำหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองที่แอปจะมีสิทธิ์เข้าถึงแบบเงียบระหว่างรันไทม์ (ไม่รองรับฟีเจอร์ย่อยนี้)
- การเลือกใบรับรองต้องเป็นแบบทั่วไปพอที่จะใช้การกําหนดค่าเดียวกับผู้ใช้ทุกคน ซึ่งผู้ใช้แต่ละรายอาจมีใบรับรองระบุตัวตนเฉพาะผู้ใช้
4.9.2. ผู้ดูแลระบบไอทีจะนำใบรับรองออกจากคีย์สโตร์ที่มีการจัดการได้
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA โดยที่ผู้ใช้ไม่รู้ตัว (ระบบไม่รองรับฟีเจอร์ย่อยนี้)
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบ (ไปที่ credentialsConfigDisabled) ในคีย์สโตร์ที่จัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถให้สิทธิ์ใบรับรองล่วงหน้าสำหรับแอปงานได้โดยใช้ ChoosePrivateKeyRule
4.10. การจัดการใบรับรองที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์และให้สิทธิพิเศษแก่แอปนั้นในการติดตั้งใบรับรองลงในคีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจการจัดการใบรับรอง (ไปที่ delegatedCertInstallerPackage) เพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่มอบสิทธิ์
- EMM อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก (ไม่บังคับ) แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11. การจัดการ VPN ขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อให้มั่นใจว่าข้อมูลจากแอปที่มีการจัดการที่ระบุจะผ่านการตั้งค่า VPN เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่ต้องการเพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลา
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่า "เปิดใช้งาน VPN เสมอ" ให้เป็นรายการที่กำหนดเอง
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สําหรับแอปได้
4.12 การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าสำหรับอุปกรณ์ได้ เนื่องจาก IME จะใช้ร่วมกันทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จะป้องกันไม่ให้ผู้ใช้อนุญาต IME เหล่านั้นเพื่อการใช้งานส่วนตัวด้วย อย่างไรก็ตาม ผู้ดูแลระบบไอทีไม่สามารถบล็อกการใช้ IME ของระบบในโปรไฟล์งานได้ (ดูรายละเอียดเพิ่มเติมที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME (ไปที่ permitted_input_methods) ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อก IME ที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่า IME ของระบบจะได้รับการยกเว้นการจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13 การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ผู้ใช้ตั้งค่าในอุปกรณ์ได้ การจัดการ IME ขั้นสูงจะขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอทีจัดการการใช้ IME ของระบบด้วย ซึ่งโดยทั่วไปผู้ผลิตอุปกรณ์หรือผู้ให้บริการของอุปกรณ์จะเป็นผู้จัดหา
4.13.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME (ไปที่ permitted_input_methods) ที่มีความยาวที่กำหนดเอง (ไม่รวมรายการที่ว่างเปล่า ซึ่งจะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีสร้างรายการที่อนุญาตที่ว่างเปล่า เนื่องจากการตั้งค่านี้จะบล็อก IME ทั้งหมด รวมถึง IME ของระบบไม่ให้ตั้งค่าในอุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาตของ IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามโดยไม่มีการแจ้งเตือนก่อนที่จะใช้รายการที่อนุญาตในอุปกรณ์
4.14 การจัดการบริการการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษที่ผู้ใช้อนุญาตในอุปกรณ์ได้ บริการการช่วยเหลือพิเศษเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ที่มีความพิการหรือไม่สามารถโต้ตอบกับอุปกรณ์ได้อย่างเต็มที่ชั่วคราว แต่ผู้ใช้อาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่สอดคล้องกับนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบได้
4.14.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตบริการการช่วยเหลือพิเศษ (ไปที่ permittedAccessibilityServices) ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษใดก็ได้ เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้จะส่งผลต่อทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- Console อาจแนะนำบริการช่วยเหลือพิเศษที่ทราบหรือแนะนำเพื่อรวมไว้ในรายการที่อนุญาตได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ หรือจะกำหนดการตั้งค่าตำแหน่งในโปรไฟล์งานใน "การตั้งค่า" ก็ได้
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการหาตำแหน่ง (ไปที่ shareLocationDisabled) ภายในโปรไฟล์งาน
4.16. การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการได้ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปขององค์กรจะมีข้อมูลตำแหน่งที่มีความแม่นยำสูงเสมอ นอกจากนี้ ฟีเจอร์นี้ยังช่วยประหยัดแบตเตอรี่ด้วยโดยจำกัดการตั้งค่าตำแหน่งเป็นโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์เป็นโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่ระบุโดยเครือข่าย
- โหมดประหยัดแบตเตอรี่ ซึ่งจำกัดความถี่ในการอัปเดต
- ปิด
4.17. การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการถูกขโมยได้ด้วยการทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นไม่ได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทำให้เกิดความซับซ้อนในการดำเนินงานเมื่อมีการส่งอุปกรณ์คืนให้กับฝ่ายไอที ผู้ดูแลระบบไอทีก็สามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นได้ทั้งหมด
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตอุปกรณ์เป็นค่าเริ่มต้น (ไปที่ factoryResetDisabled) จากการตั้งค่า
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์
(ไปที่ frpAdminEmails) หลังจากรีเซ็ตเป็นค่าเริ่มต้น
- บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดา หรือใช้โดยทั้งองค์กรเพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นได้
(ไปที่0 factoryResetDisabled) สำหรับอุปกรณ์ที่ระบุ
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มการล้างข้อมูลอุปกรณ์ระยะไกล ซึ่งสามารถเลือกล้างข้อมูลการป้องกันการรีเซ็ตได้ ซึ่งจะเป็นการนำการป้องกันการรีเซ็ตเป็นค่าจากโรงงานในอุปกรณ์ที่รีเซ็ตออก
4.18. การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการได้ผ่านการตั้งค่า เช่น การป้องกันการบังคับปิดแอปหรือล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่จัดการแบบกำหนดเองหรือแอปที่จัดการทั้งหมด (ไปที่ uninstallAppsDisabled)
4.18.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชันจากการตั้งค่าได้ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.19 การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ถ่ายภาพหน้าจอเมื่อใช้แอปที่มีการจัดการ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอได้ (ไปที่ screenCaptureDisabled)
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการได้
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์ (ไปที่ cameraDisabled) ได้โดยแอปที่มีการจัดการ
4.21 การเก็บรวบรวมสถิติเครือข่าย
Android Management API ไม่รองรับฟีเจอร์นี้
4.22. การเก็บรวบรวมสถิติเครือข่ายขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
4.23 รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกลอุปกรณ์ที่มีการจัดการได้
4.24 การจัดการวิทยุของระบบ
ช่วยให้ผู้ดูแลระบบไอทีจัดการวิทยุเครือข่ายของระบบและนโยบายการใช้งานที่เกี่ยวข้องได้อย่างละเอียดโดยใช้นโยบาย
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดการออกอากาศจากเครือข่ายมือถือที่ส่งโดยผู้ให้บริการ (ไปที่ cellBroadcastsConfigDisabled)
4.24.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ในการตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายทั้งหมดได้ในการตั้งค่า (ไปที่ networkResetDisabled)
4.24.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์อนุญาตอินเทอร์เน็ตมือถือขณะโรมมิ่งหรือไม่ (ไปที่ dataRoamingDisabled)
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์โทรออกได้หรือไม่ ยกเว้นการโทรฉุกเฉิน (ไปที่ outGoingCallsDisabled)
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์ส่งและรับข้อความได้หรือไม่ (ไปที่ smsDisabled)
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาด้วยการเทอร์เทอร์ (ไปที่ tetheringConfigDisabled)
4.24.8. ผู้ดูแลระบบไอทีสามารถตั้งค่าการหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้น ขณะเสียบปลั๊ก หรือไม่เคย (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.24.9. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่ได้ (ไปที่ bluetoothConfigDisabled)
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถควบคุมฟีเจอร์เสียงของอุปกรณ์แบบเงียบ ซึ่งรวมถึงการปิดเสียงอุปกรณ์ การป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียง และการป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการโดยไม่มีเสียง (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.25.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์ได้ (ไปที่ adjustVolumeDisabled) ซึ่งจะเป็นการปิดเสียงอุปกรณ์ด้วย
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ยกเลิกการปิดเสียงไมโครโฟนของอุปกรณ์ (ไปที่ unmuteMicrophoneDisabled) ได้
4.26. การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบและเขตเวลาอัตโนมัติ ซึ่งจะป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่ เวลา และเขตเวลาของอุปกรณ์ได้
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
สำหรับอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ต่อไปนี้โดยใช้นโยบายเพื่อรองรับกรณีการใช้งานคีออสก์ที่หลากหลาย
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดการล็อกคีย์อุปกรณ์ได้ (ไปที่keyguardDisabled)
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ การบล็อกการแจ้งเตือน และการตั้งค่าด่วน (ไปที่ statusBarDisabled)
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจอของอุปกรณ์เปิดอยู่ขณะที่เสียบปลั๊กอุปกรณ์ (ไปที่ stayOnPluggedModes)
4.27.4. ผู้ดูแลระบบไอทีป้องกันไม่ให้ระบบแสดง UI ของระบบต่อไปนี้ (ไปที่ createWindowsDisabled)
- ข้อความโทสต์
- การซ้อนทับแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปต่างๆ ข้ามบทแนะนำและคำแนะนำอื่นๆ ของระบบในการเริ่มต้นใช้งานครั้งแรกได้ (ไปที่ skip_first_use_hints)
4.28. การจัดการขอบเขตที่รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้
4.28.1. ผู้ดูแลระบบไอทีจะจัดการขอบเขตต่อไปนี้ได้
- การติดตั้งและการจัดการใบรับรอง
- จงใจเว้นว่าง
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกความปลอดภัย (ไม่รองรับโปรไฟล์งานในอุปกรณ์ส่วนตัว)
4.29 การรองรับรหัสเฉพาะสำหรับการลงทะเบียน
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรชีวิตของอุปกรณ์ที่มีโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่แม้จะมีการรีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถรับรหัสเฉพาะการลงทะเบียนได้
4.29.2. รหัสเฉพาะสำหรับการลงทะเบียนนี้ต้องคงอยู่หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้รวมฟีเจอร์เฉพาะองค์กรได้ ผู้ดูแลระบบไอทีสามารถแสดงการสร้างแบรนด์ที่ EMM มีให้ในระหว่างการจัดสรรได้ (ไม่บังคับ)
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ ที่เจาะจงสำหรับองค์กร (ไปที่ termsAndConditions)
5.1.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานข้อกำหนดในการให้บริการเฉพาะของ EMM ที่กำหนดค่าไม่ได้ รวมถึงข้อจำกัดความรับผิดอื่นๆ ได้ (ไปที่ termsAndConditions)
- EMM อาจตั้งค่าการปรับแต่งเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งาน แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเอง
5.1.3. primaryColor เลิกใช้งานแล้วสำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไป
5.2 การปรับแต่งองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
5.3 การปรับแต่งองค์กรขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความที่กำหนดเองที่จะแสดงบนหน้าจอล็อกของอุปกรณ์เสมอ และไม่จำเป็นต้องปลดล็อกอุปกรณ์เพื่อดูข้อความ
5.4.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเอง (ไปที่ deviceOwnerLockScreenInfo)
5.5. การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อพยายามแก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือทำให้ข้อความสนับสนุนทั่วไปที่ EMM ระบุใช้งานได้ คุณปรับแต่งข้อความการสนับสนุนทั้งแบบสั้นและแบบยาวได้ รวมถึงแสดงได้ในกรณีต่างๆ เช่น การพยายามถอนการติดตั้งแอปที่มีการจัดการซึ่งผู้ดูแลระบบไอทีบล็อกการถอนการติดตั้งแล้ว
5.5.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความสนับสนุนที่แสดงต่อผู้ใช้แบบสั้นและแบบยาวได้
5.5.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานข้อความการสนับสนุนแบบสั้นและแบบยาวสำหรับ EMM โดยเฉพาะซึ่งไม่สามารถกำหนดค่าได้ (ไปที่ shortSupportMessage และ longSupportMessage ใน policies)
- EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะของ EMM ที่กำหนดค่าไม่ได้เป็นค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเอง
5.6. การจัดการรายชื่อติดต่อข้ามโปรไฟล์
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การแสดงรายชื่อติดต่อสำหรับงานในโปรไฟล์ส่วนตัว การค้นหารายชื่อติดต่อ และสายเรียกเข้า
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อผ่านบลูทูธของรายชื่อติดต่อสำหรับงาน เช่น การโทรแบบแฮนด์ฟรีในรถยนต์หรือชุดหูฟัง
5.7. การจัดการข้อมูลข้ามโปรไฟล์
ช่วยให้ผู้ดูแลระบบไอทีจัดการประเภทข้อมูลที่แชร์ระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัวได้ ซึ่งช่วยให้ผู้ดูแลระบบสามารถปรับสมดุลระหว่างความสามารถในการใช้งานและความปลอดภัยของข้อมูลได้ตามต้องการ
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่านโยบายการแชร์ข้อมูลข้ามโปรไฟล์เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งานได้ เช่น การแชร์ Intent หรือเว็บลิงก์
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปพลิเคชันจากโปรไฟล์งานสร้างและแสดงวิดเจ็ตบนหน้าจอหลักของโปรไฟล์ส่วนตัวได้ ความสามารถนี้จะปิดอยู่โดยค่าเริ่มต้น แต่สามารถตั้งค่าให้อนุญาตได้โดยใช้ช่อง workProfileWidgets และ workProfileWidgetsDefault
5.7.3. ผู้ดูแลระบบไอทีจะควบคุมความสามารถในการคัดลอก/วางระหว่างโปรไฟล์งานกับโปรไฟล์ส่วนตัวได้
5.8 นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีตั้งค่าและใช้งานอุปกรณ์การอัปเดตระบบผ่านอากาศ (OTA) ได้
5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีตั้งการกำหนดค่า OTA ต่อไปนี้ได้
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมใช้งาน
- เลื่อน: ผู้ดูแลระบบไอทีต้องสามารถเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลกับการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- กำหนดเวลาได้: ผู้ดูแลระบบไอทีต้องกำหนดเวลาอัปเดต OTA ภายในช่วงเวลาบำรุงรักษาประจำวันได้
5.8.2. ระบบจะนำการกำหนดค่า OTA ไปใช้กับอุปกรณ์โดยใช้นโยบาย
5.9. การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปให้อยู่ในหน้าจอตลอดและไม่ให้ผู้ใช้ออกจากแอป
5.9.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถอนุญาตแอปชุดใดก็ได้ให้ติดตั้งและล็อกลงในอุปกรณ์โดยอัตโนมัติ นโยบายอนุญาตให้ตั้งค่าอุปกรณ์เฉพาะ
5.10. การจัดการกิจกรรมที่ต้องการแบบถาวร
ช่วยให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวจัดการ Intent เริ่มต้นสำหรับ Intent ที่ตรงกับตัวกรอง Intent บางรายการได้ ตัวอย่างเช่น ฟีเจอร์นี้จะช่วยให้ผู้ดูแลระบบไอทีเลือกแอปเบราว์เซอร์ที่จะเปิดเว็บลิงก์โดยอัตโนมัติได้ ฟีเจอร์นี้จัดการได้ว่าจะใช้แอป Launcher ใดเมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นเครื่องจัดการ Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่า แต่ไม่สามารถจํากัด Intent ไว้ที่รายการใดก็ได้
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11. การจัดการฟีเจอร์การป้องกันหน้าจอ
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ที่พร้อมให้บริการแก่ผู้ใช้ก่อนที่จะปลดล็อกตัวล็อกอุปกรณ์ (หน้าจอล็อก) และตัวล็อกแบบให้โจทย์งาน (หน้าจอล็อก)
5.11.1.นโยบาย สามารถปิดฟีเจอร์การป้องกันด้วยปุ่มบนอุปกรณ์ต่อไปนี้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่มีการปกปิด
5.11.2. คุณสามารถปิดฟีเจอร์การป้องกันด้วยปุ่มกดต่อไปนี้ของโปรไฟล์งานได้โดยใช้นโยบาย
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12. การจัดการฟีเจอร์การป้องกันหน้าจอสัมผัสขั้นสูง
- กล้องที่ปลอดภัย
- การแจ้งเตือนทั้งหมด
- ไม่ได้ปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์การล็อกปุ่มทั้งหมด
5.13. การซ่อมแซมรีโมต
Android Management API ไม่รองรับฟีเจอร์นี้
5.14. การเรียกข้อมูลที่อยู่ MAC
EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยอัตโนมัติเพื่อใช้ระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กร (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยที่ผู้ใช้ไม่รู้ และเชื่อมโยงที่อยู่ดังกล่าวกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15. การจัดการโหมดล็อกงานขั้นสูง
เมื่อใช้อุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อทำงานต่อไปนี้
5.15.1. อนุญาตให้ติดตั้งและล็อกอุปกรณ์ให้แก่อุปกรณ์หนึ่งๆ โดยไม่ต้องแจ้ง
5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้
- ปุ่มหน้าแรก
- ภาพรวม
- การดำเนินการแบบรวม
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การป้องกันหน้าจอ (หน้าจอล็อก) ฟีเจอร์ย่อยนี้จะเปิดอยู่โดยค่าเริ่มต้นเมื่อติดตั้งใช้งาน 5.15.1
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบ
5.16. นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถตั้งค่าระยะเวลาหยุดทำงานที่เจาะจงเพื่อบล็อกการอัปเดตระบบในอุปกรณ์
5.16.1. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีบล็อกการอัปเดตระบบผ่านอากาศ (OTA) เป็นเวลาช่วงหยุดทำงานที่ระบุ
5.17. การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองที่จะแสดง (ไปที่ wipeReasonMessage) เมื่อล้างโปรไฟล์งาน
5.18 การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการแพ็กเกจที่สื่อสารข้ามขอบเขตโปรไฟล์งานได้โดยการตั้งค่า ConnectedWorkAndPersonalApp
5.19. การอัปเดตระบบด้วยตนเอง
Android Management API ไม่รองรับฟีเจอร์นี้
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM จะต้องโพสต์แผนภายในสิ้นปี 2022 เพื่อยุติการสนับสนุนลูกค้าสำหรับ Device Admin ในอุปกรณ์ GMS ภายในสิ้นไตรมาส 1 ปี 2023
7. การใช้ API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องจัดการโดยใช้ Android Device Policy สำหรับการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน ลูกค้าใหม่ต้องไม่พบตัวเลือกสแต็กเทคโนโลยีที่เลือกเองในระหว่างเวิร์กโฟลว์การเริ่มต้นใช้งานหรือการตั้งค่า
7.2. เครื่องมือควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการลงทะเบียนอุปกรณ์ใหม่ทั้งหมด ทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน