Auf dieser Seite finden Sie eine vollständige Liste der Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen (Android Enterprise-Lösungsverzeichnis als Anbieter eines Standardverwaltungssets aufgeführt.
) von mindestens einem Lösungssatz unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die Überprüfung der Standardfunktionen bestehen, sind imFür jede Lösungssammlung sind zusätzliche erweiterte Funktionen verfügbar. Diese Funktionen werden auf jeder Seite der Lösungssammlung angegeben: Arbeitsprofil auf einem privaten Gerät, Arbeitsprofil auf einem unternehmenseigenen Gerät, vollständig verwaltetes Gerät und eigenes Gerät. EMM-Lösungen, die die Überprüfung erweiterter Funktionen bestehen, sind im Android Enterprise-Lösungsverzeichnis als Anbieter eines erweiterten Verwaltungssets aufgeführt.
Schlüssel
Standardfunktion | erweiterte Funktion | Optionale Funktion | nicht zutreffend |
1. Gerätebereitstellung
1.1. Bereitstellung von Arbeitsprofilen über den Dienstanbieter
Nach dem Herunterladen von Android Device Policy von Google Play können Nutzer ein Arbeitsprofil bereitstellen.
1.1.1. Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.2. Gerätebereitstellung mit DPC-ID
Wenn Sie im Einrichtungsassistenten des Geräts „afw#“ eingeben, wird ein vollständig verwaltetes oder dediziertes Gerät bereitgestellt.
1.2.1. Der EMM-Administrator stellt IT-Administratoren zur Unterstützung dieser Bereitstellungsmethode einen QR-Code oder Aktivierungscode zur Verfügung (siehe Gerät registrieren und bereitstellen).
1.3. NFC-Gerätebereitstellung
NFC-Tags können von IT-Administratoren verwendet werden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den Implementierungsrichtlinien in der Entwicklerdokumentation der Play EMM API bereitzustellen.
1.3.1. EMMs müssen NFC Forum Type 2-Tags mit mindestens 888 Byte Arbeitsspeicher verwenden. Bei der Bereitstellung müssen Bereitstellungsextras verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Wir empfehlen die Verwendung von NFC-Tags ab Android 10, da NFC Beam (auch NFC Bump genannt) eingestellt wird.
1.4 Bereitstellung von QR-Code-Geräten
Die EMM-Konsole kann einen QR-Code generieren, den IT-Administratoren scannen können, um gemäß den in der Entwicklerdokumentation für die Android Management API definierten Implementierungsrichtlinien ein vollständig verwaltetes oder dediziertes Gerät bereitzustellen.
1.4.1. Der QR-Code muss Bereitstellungs-Extras verwenden, um nicht vertrauliche Registrierungsdetails (z. B. Server-IDs, Registrierungs-IDs) an ein Gerät weiterzugeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte, die bei autorisierten Resellern gekauft wurden, vorkonfigurieren und über die EMM-Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierungsmethode bereitstellen, die im Hilfeartikel Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden die vom IT-Administrator festgelegten Einstellungen automatisch angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil der Geräteregistrierung mit der Zero-Touch-Registrierung automatisieren. In Kombination mit Anmelde-URLs können IT-Administratoren die Registrierung gemäß den Konfigurationsoptionen des EMM auf bestimmte Konten oder Domains beschränken.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mit der Zero-Touch-Registrierungsmethode bereitstellen.
1.6.2. Diese Anforderung ist nicht mehr erforderlich.
1.6.3. Über die Anmelde-URL muss der EMM-Anbieter dafür sorgen, dass nicht autorisierte Nutzer die Aktivierung nicht fortsetzen können. Die Aktivierung muss mindestens auf Nutzer eines bestimmten Unternehmens beschränkt sein.
1.6.4. Mithilfe der Anmelde-URL muss der EMM es IT-Administratoren ermöglichen, mit Ausnahme von Informationen zu einzelnen Nutzern oder Geräten (z. B. Nutzername/Passwort, Aktivierungstoken) Registrierungsdetails (z. B. Server-IDs, Registrierungs-IDs) im Voraus auszufüllen, damit Nutzer bei der Aktivierung eines Geräts keine Details eingeben müssen.
- EMMs dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate in die Konfiguration der Zero-Touch-Registrierung aufnehmen.
1.7. Bereitstellung von Arbeitsprofilen für Google-Konten
In Unternehmen, die eine verwaltete Google-Domain verwenden, werden Nutzer mit dieser Funktion durch die Einrichtung eines Arbeitsprofils geführt, nachdem sie während der Geräteeinrichtung oder auf einem bereits aktivierten Gerät ihre Workspace-Anmeldedaten eingegeben haben. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.8. Gerätebereitstellung über das Google-Konto
Diese Funktion wird von der Android Management API nicht unterstützt.
1.9. Direkte Zero-Touch-Konfiguration
IT-Administratoren können über die Konsole des EMM-Anbieters Zero-Touch-Geräte mit dem Zero-Touch-iFrame einrichten.
1.10. Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren, indem sie AllowPersonalUsage festlegen.
1.10.1. Absichtlich leer
1.10.2. IT-Administratoren können über PersonalUsagePolicies Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3. IT-Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät über PersonalUsagePolicies deaktivieren.
1.10.4. IT-Administratoren können die Bildschirmaufnahme über PersonalUsagePolicies entweder im Arbeitsprofil oder auf einem gesamten Gerät deaktivieren.
1.10.5. IT-Administratoren können eine Zulassungs- oder Sperrliste für Anwendungen festlegen, die im privaten Profil über PersonalApplicationPolicy installiert werden dürfen oder nicht.
1.10.6. IT-Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
1.11. Bereitstellung dedizierter Geräte
EMMs können spezielle Geräte registrieren, ohne dass der Nutzer aufgefordert wird, sich mit einem Google-Konto zu authentifizieren.
2. Gerätesicherheit
2.1. Sicherheitsherausforderung für Geräte
IT-Administratoren können auf verwalteten Geräten eine Gerätesicherheitsabfrage (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen festlegen und erzwingen.
2.1.1. Die Richtlinie muss Einstellungen erzwingen, die die Gerätesicherheit betreffen (parentProfilePasswordRequirements für Arbeitsprofile, passwordRequirements für vollständig verwaltete und spezielle Geräte).
2.1.2. Die Passwortkomplexität sollte folgenden Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und eine Länge von mindestens 8 oder alphanumerische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.1.3. Zusätzliche Passworteinschränkungen können auch als Legacy-Einstellungen auf unternehmenseigenen Geräten erzwungen werden.
2.2. Sicherheitsmaßnahme für die Arbeit
IT-Administratoren können eine Sicherheitsanfrage für Apps und Daten im Arbeitsprofil festlegen und erzwingen, die unabhängig ist und andere Anforderungen als die Gerätesicherheitsanfrage (2.1) hat.
2.2.1. Die Richtlinie muss die Sicherheitsabfrage für das Arbeitsprofil erzwingen.
- Standardmäßig sollten IT-Administratoren nur für das Arbeitsprofil Einschränkungen festlegen, wenn kein Bereich angegeben ist.
- IT-Administratoren können dies für das gesamte Gerät festlegen, indem sie den Bereich angeben (siehe Anforderung 2.1).
2.2.2. Die Passwortkomplexität sollte den folgenden vordefinierten Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.2.3. Zusätzliche Passwortbeschränkungen können auch als alte Einstellungen erzwungen werden.
2.3. Erweiterte Sicherheitscodeverwaltung
IT-Administratoren können erweiterte Passworteinstellungen auf Geräten einrichten.
2.3.1. Bewusst leer.
2.3.2. Bewusst leer.
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden auf einem Gerät verfügbaren Sperrbildschirm festgelegt werden:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passwörter für das Löschen: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor geschäftliche Daten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.3.4. (Android 8.0 und höher) Zeitüberschreitung für die erforderliche starke Authentifizierung: Nach einer vom IT-Administrator festgelegten Zeitüberschreitung muss ein starker Authentifizierungscode (z. B. eine PIN oder ein Passwort) eingegeben werden. Nach Ablauf des Zeitlimits werden nicht sichere Authentifizierungsmethoden wie Fingerabdruck oder Gesichtserkennung deaktiviert, bis das Gerät mit einem Sicherheitscode für die starke Authentifizierung entsperrt wird.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, ob Trust Agents in der Smart Lock-Funktion von Android das Entsperren des Geräts um bis zu vier Stunden verlängern dürfen.
2.4.1. IT-Administratoren können Trust Agents auf dem Gerät deaktivieren.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole geschäftliche Daten auf einem verwalteten Gerät per Fernzugriff sperren und löschen.
2.5.1. Geräte müssen über die Android Management API gesperrt werden.
2.5.2. Geräte müssen mit der Android Management API gelöscht werden.
2.6 Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, werden die Compliance-Regeln, die von der Android Management API festgelegt wurden, automatisch angewendet, um die Verwendung von Arbeitsdaten einzuschränken.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens eine Passwortrichtlinie enthalten.
2.7 Standard-Sicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs werden empfohlen (aber nicht verpflichtet), IT-Administratoren nicht zu erlauben, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Die Installation von Apps aus unbekannten Quellen muss blockiert werden, einschließlich Apps, die auf der privaten Seite eines Geräts mit Android 8.0 oder höher mit Arbeitsprofil installiert sind. Diese Unterfunktion wird standardmäßig unterstützt.
2.7.2. Funktionen zur Fehlerbehebung müssen blockiert werden. Diese Unterfunktion wird standardmäßig unterstützt.
2.8. Sicherheitsrichtlinien für spezielle Geräte
Für ein gesperrtes zweckbestimmtes Gerät sind keine anderen Aktionen zulässig.
2.8.1. Das Starten im abgesicherten Modus muss standardmäßig über die Richtlinie deaktiviert werden (safeBootDisabled
aufrufen).
2.9. Play Integrity-Support
Play Integrity-Prüfungen werden standardmäßig durchgeführt. Eine zusätzliche Implementierung ist nicht erforderlich.
2.9.1. Bewusst leer.
2.9.2. Bewusst leer.
2.9.3. IT-Administratoren können je nach Wert des SecurityRisk des Geräts unterschiedliche Richtlinienantworten einrichten. Dazu gehören das Blockieren der Bereitstellung, das Löschen von Unternehmensdaten und das Fortsetzen der Registrierung.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Absichtlich leer
2.10. Funktion „Apps überprüfen“ erzwingen
IT-Administratoren können die Option Apps überprüfen auf Geräten aktivieren. Mit der Funktion "Apps überprüfen" werden auf Android-Geräten installierte Apps vor und nach der Installation auf schädliche Software gescannt. So wird sichergestellt, dass Unternehmensdaten nicht durch schädliche Apps kompromittiert werden können.
2.10.1. Die App-Überprüfung muss standardmäßig über die Richtlinie aktiviert sein (ensureVerifyAppsEnabled
).
2.11. Unterstützung für Direct Boot
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
2.12. Hardwaresicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverluste zu verhindern.
2.12.1. IT-Administratoren können mithilfe einer Richtlinie (mountPhysicalMediaDisabled
) verhindern, dass Nutzer physische externe Medien bereitstellen.
2.12.2. IT-Administratoren können mithilfe einer Richtlinie (outgoingBeamDisabled
) festlegen, dass Nutzer keine Daten von ihrem Gerät per NFC-Beaming freigeben dürfen. Diese Unterfunktion ist optional, da die NFC-Beaming-Funktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können die Übertragung von Dateien über USB mithilfe einer Richtlinie blockieren (usbFileTransferDisabled
).
2:13 Logging für Enterprise Security
Diese Funktion wird von der Android Management API nicht unterstützt.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können den EMM an ihre Organisation binden, damit der EMM Apps über Managed Google Play auf Geräten bereitstellen kann.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an den EMM binden.
3.1.2. Absichtlich leer
3.1.3. Absichtlich leer.
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse in den Android-Registrierungsvorgang einzugeben. Die Verwendung eines Gmail-Kontos wird nicht empfohlen.
3.1.5. Die EMM-Konsole füllt die E-Mail-Adresse des Administrators im Android-Registrierungsprozess vorab aus.
3.2. Bereitstellung von Managed Google Play-Konten
Die EMM kann Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Diese Konten identifizieren verwaltete Nutzer und ermöglichen eindeutige Anwendungsverteilungsregeln pro Nutzer.
3.2.1. Managed Google Play-Konten (Nutzerkonten) werden bei der Bereitstellung von Geräten automatisch erstellt.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.3 Bereitstellung von Gerätekonten für Managed Google Play
Der EMM-Anbieter kann Managed Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten unterstützen das automatische Installieren von Apps aus dem Managed Google Play Store und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, um ein einzelnes Gerät zu identifizieren und App-Vertriebsregeln pro Gerät in speziellen Geräteszenarien zu unterstützen.
3.3.1. Managed Google Play-Konten werden automatisch erstellt, wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Diese Funktion wird eingestellt.
3.5 Automatische App-Bereitstellung
IT-Administratoren können geschäftliche Apps ohne Nutzerinteraktion automatisch auf Geräten bereitstellen.
3.5.1. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationsverwaltung
IT-Administratoren können verwaltete Konfigurationen für jede App ansehen und im Hintergrund festlegen, die verwaltete Konfiguration unterstützt.
3.6.1. Die Konsole des EMM muss die verwalteten Konfigurationseinstellungen jeder Play-App abrufen und anzeigen können.
3.6.2. Über die EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, für jede Play-App mithilfe der Android Management API jeden Konfigurationstyp (wie vom Android Enterprise-Framework definiert) festzulegen.
3.6.3. In der EMM-Konsole müssen IT-Administratoren Platzhalter (z. B. $username$ oder %emailAddress%) festlegen, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann.
3.7. App-Katalogverwaltung
Die Android Management API unterstützt diese Funktion standardmäßig. Eine zusätzliche Implementierung ist nicht erforderlich.
3.8. Programmatische App-Genehmigung
In der EMM-Konsole wird der iFrame von Managed Google Play verwendet, um die Funktionen zum Erkennen und Genehmigen von Apps von Google Play zu unterstützen. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können nach Apps suchen und sie in der EMM-Konsole über den iFrame von Managed Google Play genehmigen.
3.9. Einfache Verwaltung des Store-Layouts
Mit dem Managed Google Play Store können geschäftliche Apps installiert und aktualisiert werden. Standardmäßig werden im Managed Google Play Store Apps, die für einen Nutzer genehmigt wurden, in einer einzigen Liste angezeigt. Dieses Layout wird als einfaches Store-Layout bezeichnet.
3.9.1. Über die Konsole der EMM-Lösung sollten IT-Administratoren die Apps verwalten können, die im einfachen Store-Layout eines Endnutzers angezeigt werden.
3.10. Erweiterte Konfiguration des Store-Layouts
3.10.1. IT-Administratoren können das Store-Layout für die Managed Google Play Store App anpassen.
3.11. App-Lizenzverwaltung
Diese Funktion wird eingestellt.
3:12. Von Google gehostete private Apps verwalten
IT-Administratoren können von Google gehostete interne Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Anwendungen, die bereits privat im Unternehmen veröffentlicht wurden, über Folgendes hochladen:
3.13. Verwaltung selbst gehosteter privater Apps
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs nicht von Google Play gehostet. Stattdessen unterstützt die EMM-Lösung IT-Administratoren beim Hosten von APKs und beim Schutz selbst gehosteter Apps, indem sichergestellt wird, dass sie nur installiert werden können, wenn sie von Managed Google Play autorisiert wurden.
3.13.1. Die Konsole des EMM-Anbieters muss IT-Administratoren beim Hosten des App-APK unterstützen und mindestens eine der folgenden Optionen bieten:
- Das APK auf dem Server des EMM hosten Der Server kann lokal oder cloudbasiert sein.
- Das APK wird nach Ermessen des Unternehmens außerhalb des EMM-Servers gehostet. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. Die Konsole des EMM muss eine entsprechende APK-Definitiondatei mit dem bereitgestellten APK generieren und IT-Administratoren durch den Veröffentlichungsprozess führen.
3.13.3. IT-Administratoren können selbst gehostete interne Apps aktualisieren und die Konsole des EMM kann aktualisierte APK-Definitionen mithilfe der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der Server des EMM sendet Downloadanfragen für das selbst gehostete APK, das ein gültiges JWT im Cookie der Anfrage enthält, wie vom öffentlichen Schlüssel der privaten App bestätigt.
- Um diesen Prozess zu vereinfachen, müssen IT-Administratoren auf dem EMM-Server angewiesen werden, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3.14. EMM-Pull-Benachrichtigungen
Diese Funktion ist nicht für die Android Management API verfügbar. Richte stattdessen Pub/Sub-Benachrichtigungen ein.
3:15. Anforderungen an die API-Nutzung
Die EMM implementiert Android Management APIs im großen Maßstab und vermeidet Traffic-Muster, die sich negativ auf die Fähigkeit von Unternehmen auswirken könnten, Apps in Produktionsumgebungen zu verwalten.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Android Management API einhalten. Wird das Verhalten nicht über diese Richtlinien hinaus korrigiert, liegt dies möglicherweise im Ermessen von Google und kann dazu führen, dass die API-Nutzung ausgesetzt wird.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt den Traffic von Unternehmen zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Ein Verhalten, das diesem Traffic-Muster entspricht, wie z. B. geplante Batchvorgänge für jedes registrierte Gerät, kann dazu führen, dass die API-Nutzung nach Ermessen von Google ausgesetzt wird.
3.15.3. Die EMM darf keine fortlaufenden, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Traffic-Muster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3:16. Erweiterte Verwaltung verwalteter Konfigurationen
Der EMM-Anbieter unterstützt die folgenden erweiterten Funktionen zur Verwaltung verwalteter Konfigurationen:
3.16.1. Die Konsole des EMM muss die verwalteten Konfigurationseinstellungen einer beliebigen Play-App bis zu vier Ebenen verschachtelt abrufen und anzeigen können. Dazu sind folgende Optionen erforderlich:
- den iFrame von Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die Konsole des EMM muss in der Lage sein, alles Feedback abzurufen und anzuzeigen, das vom Feedbackkanal einer App zurückgegeben wird, wenn es von einem IT-Administrator eingerichtet wurde.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von dem bzw. der es stammt.
- Die Konsole der EMM-Lösung muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte zu bestimmten Nachrichtentypen (z. B. Fehlermeldungen) zu abonnieren.
3.16.3. Die Konsole der EMM darf nur Werte senden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt wurden, und zwar mit:
- Der iFrame der verwalteten Konfigurationen oder
- Eine benutzerdefinierte UI.
3.17. Web-App-Verwaltung
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und verteilen.
3.17.1. Über die EMM-Konsole können IT-Administratoren Verknüpfungen zu Web-Apps mithilfe der folgenden Methoden verteilen:
- den iFrame von Managed Google Play
- oder die Android Management API verwenden.
3.18. Lebenszyklusverwaltung für Managed Google Play-Konten
Der EMM kann Managed Google Play-Konten im Namen von IT-Administratoren erstellen, aktualisieren und löschen und Konten nach Ablauf automatisch wiederherstellen.
Diese Funktion wird standardmäßig unterstützt. Es ist keine zusätzliche EMM-Implementierung erforderlich.
3.19. Verwaltung von App-Tracks
3.19.1. IT-Administratoren können eine Liste der Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT-Administratoren können festlegen, dass auf Geräten ein bestimmter Entwicklungspfad für eine Anwendung verwendet wird.
3.20. Erweiterte Verwaltung von Anwendungsupdates
IT-Administratoren können festlegen, dass Apps sofort oder erst nach 90 Tagen aktualisiert werden.
3.20.1. IT-Administratoren können Apps erlauben, App-Updates mit hoher Priorität zu verwenden, um aktualisiert zu werden, sobald ein Update verfügbar ist. 3.20.2. IT-Administratoren können zulassen, dass App-Updates um 90 Tage verschoben werden.
3:21. Verwaltung der Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und dem IT-Administrator in einem für die Verteilung an Endnutzer geeigneten Format präsentieren (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können im Hintergrund eine Standardantwort auf Anfragen zu Laufzeitberechtigungen festlegen, die von geschäftlichen Anwendungen gestellt werden.
4.1.1. IT-Administratoren müssen beim Festlegen einer standardmäßigen Richtlinie für Laufzeitberechtigungen für ihre Organisation eine der folgenden Optionen auswählen können:
- Prompt (Nutzer können auswählen)
- allow
- deny
Der EMM-Anbieter sollte diese Einstellungen mithilfe einer Richtlinie erzwingen.
4.2. Verwaltung des Status der Laufzeitberechtigung
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1.), IT-Administratoren können für jede geschäftliche App, die auf API 23 oder höher basiert, im Hintergrund Antworten für bestimmte Berechtigungen festlegen.
4.2.1. IT-Administratoren müssen den Berechtigungsstatus (Standard, Gewähren oder Ablehnen) für jede Berechtigung festlegen können, die von einer Arbeits-App angefordert wird, die auf API 23 oder höher basiert. Der EMM-Anbieter sollte diese Einstellungen mithilfe einer Richtlinie erzwingen.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen, darunter:
4.3.1. SSID, mithilfe von policy
4.3.2. Passwort, Richtlinie verwenden.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können WLAN-Konfigurationen für Unternehmen auf Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen bieten:
4.4.1. Identität
4.4.2. Zertifikate für die Clientautorisierung
4.4.3. CA-Zertifikate
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT-Administratoren können Unternehmens-WLAN-Konfigurationen mithilfe einer Richtlinie in einer der folgenden Konfigurationen sperren:
- Nutzer können keine WLAN-Konfigurationen ändern, die vom EMM bereitgestellt wurden (siehe
wifiConfigsLockdownEnabled
). Sie können jedoch eigene von Nutzern konfigurierbare Netzwerke hinzufügen und ändern, z. B. private Netzwerke. - Nutzer können auf dem Gerät kein WLAN hinzufügen oder ändern (
wifiConfigDisabled
). Die WLAN-Verbindung ist auf die Netzwerke beschränkt, die vom EMM bereitgestellt werden.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nur autorisierte Unternehmenskonten mit Unternehmensdaten interagieren können, z. B. für Dienste wie SaaS-Speicher, Produktivitätsanwendungen oder E-Mails. Ohne diese Funktion können Nutzer den Unternehmensanwendungen, die auch Privatnutzerkonten unterstützen, private Konten hinzufügen und Unternehmensdaten für diese privaten Konten freigeben.
4.6.1. IT-Administratoren können verhindern, dass Nutzer Konten hinzufügen oder ändern (siehe modifyAccountsDisabled
).
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung vor Abschluss der Bereitstellung festlegen, damit Nutzer diese Richtlinie nicht umgehen können, indem sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Kontoverwaltung
Die Android Management API unterstützt diese Funktion nicht.
4.8. Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um die Nutzung von Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können von ihrer PKI generierte Zertifikate für die Nutzeridentität pro Nutzer installieren. Die Konsole der EMM muss mit mindestens einer PKI integriert sein und von dieser Infrastruktur generierte Zertifikate verteilen.
4.8.2. IT-Administratoren können Zertifizierungsstellen (siehe caCerts
) im verwalteten Schlüsselspeicher installieren. Diese Unterfunktion wird jedoch nicht unterstützt.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, die Zertifikate, die von bestimmten verwalteten Apps verwendet werden sollen, automatisch auszuwählen. Mit dieser Funktion können IT-Administratoren auch Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen und verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher ändern.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT-Administratoren ein Zertifikat angeben, über das der App während der Laufzeit automatisch Zugriff gewährt wird. (Diese Unterfunktion wird nicht unterstützt)
- Die Zertifikatsauswahl muss allgemein genug sein, um eine einzelne Konfiguration zu ermöglichen, die für alle Nutzer gilt, von denen jeder ein nutzerspezifisches Identitätszertifikat haben kann.
4.9.2. IT-Administratoren können Zertifikate im verwalteten Schlüsselspeicher stumm entfernen.
4.9.3. IT-Administratoren können ein CA-Zertifikat im Hintergrund deinstallieren. (Dieses Unterfeature wird nicht unterstützt.)
4.9.4. IT-Administratoren können verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher konfigurieren (credentialsConfigDisabled
).
4.9.5. IT-Administratoren können mit ChoosePrivateKeyRule Zertifikate für geschäftliche Apps vorab gewähren.
4:10. Delegierte Zertifikatverwaltung
IT-Administratoren können die Zertifikatsverwaltungs-App eines Drittanbieters an Geräte verteilen und dieser App privilegierten Zugriff gewähren, um Zertifikate im verwalteten Schlüsselspeicher zu installieren.
4.10.1. IT-Administratoren können ein Zertifikatverwaltungspaket (delegatedCertInstallerPackage
) angeben, das als delegierte Zertifikatverwaltungs-App festgelegt werden soll.
- Die EMM-Lösung kann optional bekannte Pakete zur Zertifikatsverwaltung vorschlagen, muss aber dem IT-Administrator die Möglichkeit geben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein durchgehend aktives VPN angeben, damit die Daten aus bestimmten verwalteten Apps immer über eine VPN-Einrichtung laufen.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket angeben, das als Always On-VPN eingerichtet werden soll.
- Die Konsole des EMM kann optional bekannte VPN-Pakete vorschlagen, die durchgehend aktives VPN unterstützen. Die für die durchgehend aktive Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen die VPN-Einstellungen für eine App angeben.
4.12. IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Da die IME sowohl für beruflich genutzte als auch für private Profile verwendet wird, können Nutzer diese IMEs nicht für die private Nutzung zulassen, wenn die Verwendung von IMEs blockiert wird. IT-Administratoren können die Verwendung von System-IMEs in Arbeitsprofilen jedoch nicht blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste (permitted_input_methods
) beliebiger Länge einrichten, einschließlich einer leeren Liste, die nicht systemeigene IMEs blockiert. Sie kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.12.2. Der EMM-Anbieter muss IT-Administratoren darüber informieren, dass System-IMEs von der Verwaltung auf Geräten mit Arbeitsprofilen ausgeschlossen sind.
4.13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) Nutzer auf einem Gerät einrichten können. Mit der erweiterten IME-Verwaltung wird die grundlegende Funktion erweitert. IT-Administratoren können außerdem die Verwendung von System-IMEs verwalten, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine Zulassungsliste für Eingabemethoden (permitted_input_methods
) beliebiger Länge einrichten, mit Ausnahme einer leeren Liste, die alle Eingabemethoden einschließlich der System-IMEs blockiert. Die Liste kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.13.2. Die EMM-Lösung muss verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da dadurch die Einrichtung aller Eingabemethoden, einschließlich der System-IME, auf dem Gerät blockiert wird.
4.13.3. Der EMM-Anbieter muss dafür sorgen, dass, wenn eine Zulassungsliste für Eingabemethoden nicht die System-IMEs enthält, die IMEs von Drittanbietern automatisch installiert werden, bevor die Zulassungsliste auf dem Gerät angewendet wird.
4.14. Bedienungshilfen verwalten
IT-Administratoren können festlegen, welche Bedienungshilfen Nutzer auf Geräten zulassen können. Bedienungshilfen sind leistungsstarke Tools für Nutzer mit Beeinträchtigungen oder für Nutzer, die vorübergehend nicht vollständig mit einem Gerät interagieren können. Sie können jedoch mit Unternehmensdaten auf eine Weise interagieren, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle Bedienungshilfen deaktivieren, die nicht zum System gehören.
4.14.1. IT-Administratoren können eine Zulassungsliste für Dienste zur Barrierefreiheit (permittedAccessibilityServices
) beliebiger Länge einrichten, einschließlich einer leeren Liste, die Dienste zur Barrierefreiheit blockiert, die nicht zum System gehören. Sie kann beliebige Pakete für Dienste zur Barrierefreiheit enthalten. Wenn diese Einstellung auf ein Arbeitsprofil angewendet wird, wirkt sie sich sowohl auf das private als auch auf das Arbeitsprofil aus.
- Die Console kann optional bekannte oder empfohlene Dienste zur Barrierefreiheit vorschlagen, die in die Zulassungsliste aufgenommen werden sollen. Sie muss es dem IT-Administrator jedoch ermöglichen, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.15. Standortfreigabe verwalten
IT-Administratoren können verhindern, dass Nutzer Standortdaten für Apps im Arbeitsprofil freigeben. Andernfalls kann die Standorteinstellung im Arbeitsprofil in den Einstellungen konfiguriert werden.
4.15.1. IT-Administratoren können die Standortdienste im Arbeitsprofil deaktivieren (shareLocationDisabled
aufrufen).
4:16. Erweiterte Standortfreigabeverwaltung
IT-Administratoren können eine bestimmte Standortfreigabeeinstellung auf einem verwalteten Gerät erzwingen. Mit dieser Funktion können Sie dafür sorgen, dass geschäftliche Apps immer Standortdaten mit hoher Genauigkeit haben. Außerdem kann diese Funktion dafür sorgen, dass der Akku nicht unnötig belastet wird, indem die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts auf einen der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber keine vom Netzwerk bereitgestellten Standorte.
- Akkusparmodus, der die Aktualisierungshäufigkeit einschränkt.
- Deaktiviert.
4.17. Verwaltung des Schutzes vor Zurücksetzen auf Werkseinstellungen
Ermöglicht IT-Administratoren, unternehmenseigene Geräte vor Diebstahl zu schützen, indem verhindert wird, dass nicht autorisierte Nutzer Geräte auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz für zurückgesetzte Geräte zu operativen Komplikationen führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz für zurückgesetzte Geräte vollständig deaktivieren.
4.17.1. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer ihr Gerät auf die Werkseinstellungen zurücksetzen (gehen Sie zu factoryResetDisabled
).
4.17.2. IT-Administratoren können Unternehmensentsperrkonten angeben, die zum Bereitstellen von Geräten nach einem Zurücksetzen auf die Werkseinstellungen berechtigt sind (frpAdminEmails
).
- Dieses Konto kann mit einer Person verknüpft oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können den Schutz für zurückgesetzte Geräte für bestimmte Geräte deaktivieren (factoryResetDisabled
).
4.17.4. IT-Administratoren können ein Remote-Gerätelöschen starten, bei dem optional Daten zum Schutz vor Zurücksetzen gelöscht werden. Dadurch wird der Schutz vor Zurücksetzen auf das Gerät entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern. So lässt sich beispielsweise verhindern, dass die App geschlossen oder der Datencache einer App geleert wird.
4.18.1. IT-Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren (uninstallAppsDisabled
).
4.18.2. IT-Administratoren können verhindern, dass Nutzer Anwendungsdaten in den Einstellungen ändern. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.19. Verwaltung von Bildschirmaufnahmen
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Mit dieser Einstellung werden auch Apps zur Bildschirmfreigabe und ähnliche Apps (z. B. Google Assistant) blockiert, die die Screenshot-Funktionen des Systems verwenden.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen. Weitere Informationen finden Sie unter screenCaptureDisabled
.
4.20. Kameras deaktivieren
IT-Administratoren können die Verwendung der Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Nutzung der Gerätekameras (cameraDisabled
) durch verwaltete Apps deaktivieren.
4.21. Erfassung von Netzwerkstatistiken
Die Android Management API unterstützt diese Funktion nicht.
4.22. Erweiterte Netzwerkstatistiken erfassen
Diese Funktion wird von der Android Management API nicht unterstützt.
4.23. Gerät neu starten
IT-Administratoren können verwaltete Geräte aus der Ferne neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4.24. Verwaltung von Systemradios
Bietet IT-Administratoren eine detaillierte Verwaltung über Systemnetzwerkfunkschnittstellen und die zugehörigen Nutzungsrichtlinien mithilfe von Richtlinien .
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Mobilfunk-Broadcasts deaktivieren (cellBroadcastsConfigDisabled
).
4.24.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für Mobilfunknetze in den Einstellungen (mobileNetworksConfigDisabled
) ändern.
4.24.3. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer alle Netzwerkeinstellungen zurücksetzen. (networkResetDisabled
aufrufen).
4.24.4. IT-Administratoren können festlegen, ob das Gerät beim Roaming mobile Daten zulässt (siehe dataRoamingDisabled
).
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe ausgenommen Notrufe tätigen kann (siehe outGoingCallsDisabled
).
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen darf (smsDisabled
).
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät als mobilen Hotspot verwenden, indem sie Tethering deaktivieren (tetheringConfigDisabled
).
4.24.8. IT-Administratoren können die WLAN-Zeitüberschreitung auf „Standard“, „Angeschlossen“ oder „Nie“ festlegen. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.24.9. IT-Administratoren können verhindern, dass Nutzer Bluetooth-Verbindungen einrichten oder ändern (bluetoothConfigDisabled
).
4.25. Systemaudioverwaltung
IT-Administratoren können die Audiofunktionen des Geräts stummschalten, z. B. das Gerät stummschalten, verhindern, dass Nutzer die Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer das Mikrofon des Geräts entsperren.
4.25.1. IT-Administratoren können verwaltete Geräte stummschalten. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Gerätelautstärkeeinstellungen ändern (adjustVolumeDisabled
). Dadurch werden die Geräte auch stummgeschaltet.
4.25.3. IT-Administratoren können verhindern, dass Nutzer die Stummschaltung des Gerätemikrofons aufheben (siehe unmuteMicrophoneDisabled
).
4.26. Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Uhrzeit und Zeitzone des Systems erzwingen, sodass Nutzer das Datum, die Uhrzeit und die Zeitzone des Geräts nicht mehr festlegen können.
4.27. Erweiterte Funktionen auf zweckbestimmten Geräten
Für spezielle Geräte können IT-Administratoren die folgenden Funktionen mithilfe einer Richtlinie verwalten, um verschiedene Kiosk-Anwendungsfälle zu unterstützen.
4.27.1. IT-Administratoren können den Gerätesperrer deaktivieren (keyguardDisabled
).
4.27.2. IT-Administratoren können die Statusleiste des Geräts deaktivieren und so Benachrichtigungen und die Schnelleinstellungen blockieren (statusBarDisabled
aufrufen).
4.27.3. IT-Administratoren können festlegen, dass das Display des Geräts eingeschaltet bleibt, solange es angeschlossen ist (stayOnPluggedModes
).
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden (createWindowsDisabled
aufrufen):
- Toasts
- Anwendungs-Overlays
4.27.5. IT-Administratoren können der Systemempfehlung für Apps erlauben, die Nutzeranleitung und andere einführende Hinweise beim ersten Start zu überspringen (siehe skip_first_use_hints
).
4.28. Delegierte Bereichsverwaltung
IT-Administratoren können einzelnen Paketen zusätzliche Berechtigungen zuweisen.
4.28.1. IT-Administratoren können die folgenden Umfänge verwalten:
- Zertifikatinstallation und ‑verwaltung
- Absichtlich leer
- Netzwerkprotokollierung
- Sicherheitsprotokollierung (nicht unterstützt für Arbeitsprofile auf privaten Geräten)
4.29. Unterstützung für studienspezifische Ausweise
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische Kennungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil anhand der Registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine Registrierkonto-spezifische ID abrufen
4.29.2. Diese Registrierungsspezifische ID muss auch nach einem Zurücksetzen auf die Werkseinstellungen erhalten bleiben.
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT-Administratoren können die UX des standardmäßigen Einrichtungsvorgangs ändern, um unternehmensspezifische Funktionen einzubinden. Optional können IT-Administratoren bei der Bereitstellung von EMM bereitgestelltes Branding verwenden.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie unternehmensspezifische Nutzungsbedingungen und andere Haftungsausschlüsse angeben (termsAndConditions
).
5.1.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische Nutzungsbedingungen und andere Haftungsausschlüsse bereitstellen (termsAndConditions
).
- EMMs können ihre nicht konfigurierbaren, EMM-spezifischen Anpassungen als Standard für Bereitstellungen festlegen, müssen aber IT-Administratoren die Möglichkeit geben, ihre eigenen Anpassungen einzurichten.
5.1.3. primaryColor
wurde für die Enterprise-Ressource unter Android 10 und höher eingestellt.
5.2. Anpassung für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
5.3. Erweiterte Anpassungen für Unternehmen
Diese Funktion wird von der Android Management API nicht unterstützt.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird und nicht erst nach dem Entsperren des Geräts sichtbar wird.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen (deviceOwnerLockScreenInfo
).
5.5. Management der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie versuchen, verwaltete Einstellungen auf ihrem Gerät zu ändern, oder eine von der EMM bereitgestellte generische Supportmitteilung bereitstellen. Sowohl kurze als auch lange Supportmitteilungen können angepasst werden und werden beispielsweise angezeigt, wenn versucht wird, eine verwaltete App zu deinstallieren, für die die Deinstallation bereits von einem IT-Administrator blockiert wurde.
5.5.1. IT-Administratoren können kurze und lange nutzerseitige Supportnachrichten anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische, kurze und lange Supportnachrichten bereitstellen (gehen Sie zu shortSupportMessage
und longSupportMessage
in policies
).
- EMM-Anbieter können ihre nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standard für Bereitstellungen festlegen, müssen aber IT-Administratoren erlauben, ihre eigenen Nachrichten einzurichten.
5.6. Profilübergreifende Kontaktverwaltung
5.6.1. IT-Administratoren können die Anzeige geschäftlicher Kontakte in Kontaktsuchen und bei eingehenden Anrufen im privaten Profil deaktivieren.
5.6.2. IT-Administratoren können die Bluetooth-Kontaktfreigabe für geschäftliche Kontakte deaktivieren, z. B. die Freisprechfunktion für Anrufe in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
Ermöglicht IT-Administratoren die Verwaltung der Datentypen, die zwischen Arbeits- und privaten Profilen geteilt werden können. So können Administratoren Nutzerfreundlichkeit und Datensicherheit entsprechend ihren Anforderungen in Einklang bringen.
5.7.1. IT-Administratoren können Richtlinien für die profilübergreifende Datenfreigabe konfigurieren, damit private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. Intents zur Freigabe oder Weblinks.
5.7.2. IT-Administratoren können Apps aus dem Arbeitsprofil erlauben, Widgets zu erstellen und auf dem Startbildschirm des privaten Profils anzuzeigen. Diese Funktion ist standardmäßig deaktiviert, kann aber mit den Feldern workProfileWidgets
und workProfileWidgetsDefault
aktiviert werden.
5.7.3. IT-Administratoren können festlegen, ob zwischen dem Arbeits- und dem privaten Profil kopiert und eingefügt werden darf.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) auf Geräten einrichten und anwenden.
5.8.1. Über die EMM-Konsole können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: OTA-Updates werden auf den Geräten installiert, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie hat keine Auswirkungen auf Sicherheitsupdates (z.B. monatliche Sicherheitspatches).
- Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. OTA-Konfigurationen werden auf Geräte mithilfe der Richtlinie angewendet.
5.9. Verwaltung des Modus „Gesperrte Aufgabe“
IT-Administratoren können eine App oder mehrere Apps auf dem Bildschirm sperren und dafür sorgen, dass Nutzer die App nicht schließen können.
5.9.1. Über die EMM-Konsole können IT-Administratoren die Installation und Sperrung beliebiger Apps auf einem Gerät automatisch zulassen. Eine Richtlinie ermöglicht die Einrichtung zweckbestimmter Geräte.
5.10. Dauerhafte Verwaltung bevorzugter Aktivitäten
Ermöglicht es IT-Administratoren, eine App als Standard-Intent-Handler für Intents festzulegen, die einem bestimmten Intent-Filter entsprechen. Mit dieser Funktion können IT-Administratoren beispielsweise festlegen, welche Browser-App Weblinks automatisch öffnet. Mit dieser Funktion können Sie festlegen, welche Launcher-App beim Tippen auf die Startbildschirmtaste verwendet wird.
5.10.1. IT-Administratoren können beliebige Pakete als Standard-Intent-Handler festlegen für beliebige Intent-Filter.
- Die Konsole des EMM-Anbieters kann optional bekannte oder empfohlene Intents zur Konfiguration vorschlagen, aber Intents nicht auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren Apps aus der Liste auswählen können, die für die Installation für die entsprechenden Nutzer verfügbar sind.
5.11. Verwaltung der Sperrbildschirmfunktionen
IT-Administratoren können die Funktionen verwalten, die Nutzern vor dem Entsperren des Geräte-Keyguards (Sperrbildschirms) und des Keyguards für die arbeitsbezogenen Herausforderungen (Sperrbildschirm) zur Verfügung stehen.
5.11.1.Richtlinie kann die folgenden Keyguard-Funktionen für Geräte deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
- ungeschwärzte Benachrichtigungen
5.11.2. Die folgenden Sperrfunktionen des Arbeitsprofils können über eine Richtlinie deaktiviert werden:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12. Erweiterte Verwaltung der Sperrbildschirmfunktionen
- Kamera sichern
- Alle Benachrichtigungen
- Unredacted
- Trust Agents
- Entsperren mit Fingerabdruck
- Alle Funktionen des Keyguards
5.13. Remote-Debugging
Diese Funktion wird von der Android Management API nicht unterstützt.
5:14. MAC-Adresse abrufen
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren, z. B. bei der Identifizierung von Geräten für die Netzwerkzugriffssteuerung.
5.14.1. Der EMM-Anbieter kann die MAC-Adresse eines Geräts im Hintergrund abrufen und sie dem Gerät in der EMM-Konsole zuordnen.
5.15. Erweiterte Verwaltung des Modus „Gesperrte Aufgabe“
Mit einem speziellen Gerät können IT-Administratoren über die Konsole des EMM-Anbieters die folgenden Aufgaben ausführen:
5.15.1. Sie können die Installation und Sperrung einer einzelnen App auf einem Gerät automatisch zulassen.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden Funktionen der System-UI:
- Startbildschirmtaste
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm) Diese Unterfunktion ist standardmäßig aktiviert, wenn 5.15.1 implementiert ist.
5.15.3. Deaktivieren Sie Systemfehlerdialogfelder.
5.16. Richtlinie für erweiterte Systemupdates
IT-Administratoren können eine bestimmte Zeit festlegen, in der Systemupdates auf einem Gerät blockiert werden.
5.16.1. Die Konsole des EMM-Anbieters muss es IT-Administratoren ermöglichen, Over-the-air-Systemupdates (OTA) für einen festgelegten Zeitraum zu blockieren.
5.17. Verwaltung der Transparenz von Richtlinien für Arbeitsprofile
IT-Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn das Arbeitsprofil von einem Gerät entfernt wird.
5.17.1. IT-Administratoren können benutzerdefinierten Text zur Verfügung stellen (siehe wipeReasonMessage
), wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung für verbundene Apps
IT-Administratoren können eine Liste von Paketen festlegen, die über die Begrenzung des Arbeitsprofils kommunizieren können. Dazu legen sie ConnectedWorkAndPersonalApp fest.
5:19. Manuelles Systemupdate
Diese Funktion wird von der Android Management API nicht unterstützt.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, mit dem der Kundensupport für die Geräteverwaltung auf GMS-Geräten bis Ende des ersten Quartals 2023 eingestellt wird.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte für alle neuen Bindungen mit Android Device Policy verwaltet werden. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten. Neue Kunden dürfen während des Onboardings oder der Einrichtung nicht zwischen verschiedenen Technologie-Stacks wählen.
7.2. Standard-Richtliniencontroller für neue Geräte
Standardmäßig müssen Geräte für alle neuen Geräteregistrierungen mit Android Device Policy verwaltet werden, sowohl für vorhandene als auch für neue Bindungen. EMMs können Geräte mithilfe eines benutzerdefinierten DPCs in einem Einstellungsbereich unter der Überschrift „Erweitert“ oder einer ähnlichen Terminologie verwalten.