สรุป
เดิม Android เริ่มรองรับการจัดการอุปกรณ์เคลื่อนที่ใน Android 2.2 นับตั้งแต่นั้นมา ความต้องการขององค์กรก็เปลี่ยนแปลงไป อุปกรณ์ต่างๆ เข้าถึงทรัพยากรลับเพิ่มมากขึ้นและมีการใช้งานในกรณีการใช้งานที่หลากหลายมากขึ้นกว่าที่ API ผู้ดูแลระบบอุปกรณ์เดิมของ Android ออกแบบมา ตัวอย่างกรณีการใช้งานเหล่านี้
- การแยกข้อมูลงานจากข้อมูลส่วนตัวในลักษณะการใช้งานแบบผสมหรือการนำอุปกรณ์มาใช้เอง
- การเผยแพร่แอปพลิเคชันทางธุรกิจและการจัดการข้อมูลของตนผ่าน Google Play และการจัดการบัญชี Google ที่จำเป็นสำหรับการดำเนินการนี้
- การล็อกอุปกรณ์เป็นคีออสก์เพื่อปรับแต่งการใช้งานตามแอปพลิเคชันที่กำหนด
- การจัดการใบรับรองเพื่ออนุญาตการเข้าถึงทรัพยากรที่ปลอดภัยของ PKI
- การสร้าง VPN แบบต่อแอปและต่อโปรไฟล์เพื่อรองรับแอปพลิเคชันขององค์กรระยะไกล พร้อมกับปกป้องความเป็นส่วนตัว
ในขณะเดียวกัน องค์กรต่างๆ ก็ต้องการความสัมพันธ์ของความน่าเชื่อถือในระดับที่สูงกว่าที่ผู้ดูแลระบบอุปกรณ์ออกแบบมาเพื่อรองรับ เนื่องจากแอปพลิเคชันใดก็ได้ที่ผู้ใช้ให้สิทธิ์เปิดใช้ผู้ดูแลระบบอุปกรณ์ได้ จึงไม่รองรับกรณีการใช้งานขององค์กรหลายกรณี เช่น
- การตั้งค่าการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น (FRP) เพื่อให้แน่ใจว่าอุปกรณ์จะยังคงได้รับการจัดการและจะกู้คืนได้เมื่อพนักงานลาออก
- รีเซ็ตรหัสผ่านอุปกรณ์อย่างปลอดภัยในอุปกรณ์ที่เข้ารหัส
- ป้องกันการนำผู้ดูแลระบบของอุปกรณ์ออก (นำออกใน Nougat เพื่อความปลอดภัย)
- ตั้งรหัสผ่านที่ผู้ดูแลระบบกำหนดเพื่อล็อกไม่ให้ผู้ใช้เข้าถึงอุปกรณ์ (นำออกใน Android 7.0 Nougat เพื่อความปลอดภัย)
เราถือว่าผู้ดูแลระบบอุปกรณ์เป็นวิธีการจัดการเดิมนับตั้งแต่มีการเปิดตัวโหมดในอุปกรณ์ที่มีการจัดการ (เจ้าของอุปกรณ์) และโปรไฟล์งาน (เจ้าของโปรไฟล์) ใน Android ใน Android 5.0 เนื่องจากผู้ดูแลระบบอุปกรณ์ไม่เหมาะสมที่จะรองรับข้อกำหนดระดับองค์กรในปัจจุบัน เราจึงขอแนะนำให้ลูกค้าและพาร์ทเนอร์นำโหมดอุปกรณ์ที่มีการจัดการและโปรไฟล์งานไปใช้จัดการอุปกรณ์นับจากนี้เป็นต้นไป เราได้เลิกใช้งานผู้ดูแลอุปกรณ์สำหรับการใช้งานในองค์กรในรุ่น Android 9.0 และจะนำฟังก์ชันเหล่านี้ออกใน Android รุ่น 10.0 เพื่อรองรับการเปลี่ยนแปลงนี้และทุ่มเททรัพยากรของเราไปยังฟีเจอร์การจัดการปัจจุบันของ Android
นโยบายที่เลิกใช้งาน
ในการเปิดตัว Android 9.0 นโยบายต่อไปนี้จะถูกทำเครื่องหมายว่าเลิกใช้งานแล้วเมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้ แต่ API จะยังคงทำงานต่อไป
USES_POLICY_DISABLE_CAMERAUSES_POLICY_DISABLE_KEYGUARD_FEATURESUSES_POLICY_EXPIRE_PASSWORDUSES_POLICY_LIMIT_PASSWORD
ตั้งแต่การเปิดตัว Android 10.0 นโยบายที่กล่าวถึงข้างต้นจะมี SecurityException เมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้ในแอปที่กำหนดเป้าหมายเป็น API ระดับ 29
ในการเปิดตัว Android 11.0 มีการทำเครื่องหมาย USES_POLICY_RESET_PASSWORD ว่า "เลิกใช้งาน" เมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้และหยุดทำงาน
โดยจะแสดง SecurityException ในแอปที่กำหนดเป้าหมาย API ระดับ 24 ขึ้นไป
แอปพลิเคชันบางอย่างใช้ผู้ดูแลระบบอุปกรณ์สำหรับการดูแลอุปกรณ์ของผู้บริโภค เช่น การล็อกและล้างข้อมูลอุปกรณ์ที่สูญหาย นโยบายต่อไปนี้จะยังคงใช้งานได้ต่อไป เพื่อเปิดใช้ฟีเจอร์นี้
อัปเดตการติดตั้งใช้งาน
หากต้องการเปลี่ยนนโยบายคีย์การ์ดและรหัสผ่านที่มีเครื่องหมายว่าเลิกใช้งานในส่วนด้านบน แอป ซึ่งรวมถึงแอปที่จัดการการทำให้ใช้งานได้ของ Exchange ActiveSync ควรใช้วิธีการที่อธิบายไว้ในการตรวจสอบคุณภาพการล็อกหน้าจอ
ลำดับเวลา
Android 9.0: ผู้ดูแลระบบอุปกรณ์ได้รับการทำเครื่องหมายว่าเลิกใช้งานสำหรับการใช้งานในองค์กรผ่านการอัปเดตเอกสารประกอบ ฟังก์ชันการทำงานที่มีอยู่จะยังคงทำงานสำหรับแอปพลิเคชันที่กำหนดเป้าหมายเป็น API ระดับ 28 ต่อไป แม้ว่าเราจะไม่แนะนำให้ใช้ พาร์ทเนอร์และลูกค้าทุกรายควรย้ายข้อมูลไปยังโปรไฟล์งานหรืออุปกรณ์ที่มีการจัดการครบวงจรก่อนที่จะเปิดตัว Android 10.0
Android 10.0: นโยบายข้างต้นจะใช้กับ DPC ที่กำหนดเป้าหมายเป็น API ระดับ 29 ไม่ได้อีกต่อไป
ผลกระทบต่อผู้ดูแลระบบไอที
เราขอแนะนำให้พาร์ทเนอร์และลูกค้าเริ่มเตรียมตัวรับการเปลี่ยนแปลงนี้ตั้งแต่ตอนนี้ การใช้งานของผู้ดูแลระบบอุปกรณ์สามารถระบุได้จากหน้าจอ (ดูตัวอย่างในรูปที่ 1) เมื่อเปิดใช้งานการจัดการอุปกรณ์
หากคุณกำลังใช้ผู้ดูแลระบบอุปกรณ์ในการจัดการอุปกรณ์ จะมี 2 กลยุทธ์ที่พร้อมจะย้ายไปยัง API การจัดการปัจจุบันของ Android หากต้องการลงทะเบียนอุปกรณ์เพื่อรับการจัดการ คุณต้องมีผู้ให้บริการ Enterprise Mobility Management (EMM) ที่รองรับโปรไฟล์งานของ Android (เจ้าของโปรไฟล์) หรือโหมดอุปกรณ์ที่มีการจัดการ (เจ้าของอุปกรณ์) ลูกค้าควรเลือกโหมดการจัดการที่เหมาะกับการติดตั้งใช้งานมากที่สุด ในบางกรณี อาจมีการใช้ทั้ง 2 กลยุทธ์พร้อมกัน
ดูรายการข้อเสนอที่เข้ากันได้ได้ที่นี่ ผู้ให้บริการซอฟต์แวร์ EMM จะให้คำแนะนำที่เฉพาะเจาะจงเกี่ยวกับข้อเสนอผลิตภัณฑ์ได้
การจัดการอุปกรณ์ส่วนตัว (นำอุปกรณ์มาใช้เอง)
โหมดโปรไฟล์งานของ Android รองรับอุปกรณ์ส่วนตัว EMM จะติดตั้งใช้งานโปรไฟล์งานเพื่อมอบคอนเทนเนอร์ระดับระบบปฏิบัติการที่แยกระหว่างแอปพลิเคชันและข้อมูลส่วนตัวของผู้ใช้ในอุปกรณ์ องค์กรต่างๆ จะได้รับประโยชน์จากความสามารถในการทำให้แอปพลิเคชันใช้งานได้โดยใช้ Managed Google Play ควบคู่ไปกับความมั่นใจมากขึ้นว่าข้อมูลไม่ได้ถูกแชร์กับแอปพลิเคชันที่ไม่ได้รับอนุญาตโดยไม่ได้ตั้งใจหรือตั้งใจ นอกจากนี้ ผู้ดูแลระบบไอทียังสามารถเลือกล้างข้อมูลองค์กรโดยแยกจากไฟล์ของผู้ใช้ได้ในกรณีที่ผู้ใช้ออกจากองค์กร
การจัดการอุปกรณ์ของบริษัท
รองรับอุปกรณ์ Android ของบริษัทโดยการทำให้อุปกรณ์ใช้งานได้ในโหมดอุปกรณ์ที่มีการจัดการ อุปกรณ์ที่มีการจัดการจะได้รับการลงทะเบียนโดยใช้ EMM ซึ่งสามารถจัดการวงจรการใช้งานได้เต็มรูปแบบผ่านอุปกรณ์ Android และข้อมูลในอุปกรณ์ ซึ่งรวมถึงการล็อกฟีเจอร์ฮาร์ดแวร์ การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นและยกเลิกการลงทะเบียน การล้างข้อมูลและรีเซ็ตอุปกรณ์ทั้งหมดจากระยะไกลสำหรับการดูแลระบบ และการปรับแต่งแอปพลิเคชัน รวมถึงการสนับสนุนสำหรับการทำให้คีออสก์หรือแอปพลิเคชันเดียวใช้งานได้ โดยทั่วไป องค์กรที่ใช้โหมดอุปกรณ์ที่มีการจัดการจะดูแลการทำให้ใช้งานได้อย่างน้อย 1 ใน 3 ประเภท แม้ว่ากลุ่มเหล่านี้จะมีการผสมและจับคู่ได้ทั่วทั้งกลุ่มอุปกรณ์ขององค์กร ทั้งนี้ขึ้นอยู่กับข้อกำหนด
- ทำงานเท่านั้น: โดยทั่วไปแล้ว การทำงานเท่านั้นจะกำหนดเป้าหมายผู้ปฏิบัติงานที่ใช้อุปกรณ์สำหรับแอปพลิเคชันต่างๆ วิธีนี้ไม่รองรับการใช้งานส่วนตัว
- เปิดใช้แบบส่วนตัว: โดยทั่วไปแล้ว การทำให้ใช้งานได้ที่เปิดใช้ส่วนตัวจะกำหนดเป้าหมายเป็นผู้ปฏิบัติงานที่นายจ้างมีอุปกรณ์ที่บริษัทจัดหาให้ แต่ต้องการความยืดหยุ่นในการใช้แอปพลิเคชันส่วนตัวในอุปกรณ์ด้วย การทำให้โปรไฟล์งานใช้งานได้ในอุปกรณ์ที่มีการจัดการช่วยให้พนักงานเรียกใช้แอปพลิเคชันงานไปพร้อมๆ กับแอปพลิเคชันส่วนตัวได้โดยไม่กระทบต่อข้อมูลของบริษัท
- อุปกรณ์เฉพาะ: โดยทั่วไปแล้ว การทำให้อุปกรณ์ใช้งานได้โดยเฉพาะจะรวมถึงอุปกรณ์ที่มีการจัดการ ซึ่งบางครั้งเรียกว่า "อุปกรณ์ของบริษัท ใช้งานครั้งเดียว" หรือ "COSU" ซึ่งล็อกฮาร์ดแวร์และแอปพลิเคชันเพื่อปรับแต่งอุปกรณ์ให้เหมาะกับการทำงานที่พนักงานต้องทำ
เราขอแนะนำให้ใช้งานอุปกรณ์ของบริษัทเป็นอุปกรณ์ที่มีการจัดการ เนื่องจากจะช่วยให้จัดการวงจรของอุปกรณ์ทั้งหมด รวมถึงนโยบายป้องกันการล้างข้อมูลอุปกรณ์ทั้งหมดและการรีเซ็ตเป็นค่าเริ่มต้นได้
คำแนะนำในการย้ายข้อมูลสำหรับลูกค้า
การนำอุปกรณ์มาใช้เอง: ผู้ดูแลระบบอุปกรณ์ในการทำให้โปรไฟล์งานใช้งานได้
เราขอแนะนําให้ใช้โปรไฟล์งานกับอุปกรณ์ที่ใช้ส่วนตัวทุกเครื่อง การย้ายข้อมูลจากผู้ดูแลระบบอุปกรณ์เดิมไปยังโปรไฟล์งานสามารถทำได้โดยไม่มีการหยุดชะงัก ซึ่งจัดการได้ด้วยการพุชอุปกรณ์ส่วนตัวให้ติดตั้งโปรไฟล์งาน หรือกำหนดให้อุปกรณ์ใหม่ลงทะเบียนด้วยโปรไฟล์งานเนื่องจากอุปกรณ์ที่มีอยู่เลิกใช้กลุ่มอุปกรณ์แล้ว
อุปกรณ์ของบริษัท: ผู้ดูแลระบบอุปกรณ์ของอุปกรณ์ที่มีการจัดการ
เราขอแนะนำให้ตั้งค่าอุปกรณ์ของบริษัทให้เป็นอุปกรณ์ที่มีการจัดการครบวงจร การย้ายข้อมูลอุปกรณ์จากผู้ดูแลอุปกรณ์ไปยังอุปกรณ์ที่มีการจัดการต้องรีเซ็ตเป็นค่าเริ่มต้น เนื่องจากการดำเนินการนี้จะรบกวนผู้ใช้มากกว่า จึงขอแนะนำให้ทยอยนำมาใช้งาน โดยอุปกรณ์ใหม่จะลงทะเบียนเป็นอุปกรณ์ที่มีการจัดการครบวงจร แต่เหลือผู้ดูแลระบบอุปกรณ์เดิมไว้
ประเภทของการย้ายข้อมูล
กลยุทธ์การย้ายข้อมูลทั่วไปมีดังนี้
Big bang: มีการขอให้กลุ่มผู้ใช้เดิมจำนวนมากอัปเกรดไปใช้อุปกรณ์ที่มีการจัดการหรือโปรไฟล์งานในการอัปเกรดคราวละมากๆ อย่างน้อย 1 ครั้ง
การใช้งานแบบค่อยเป็นค่อยไป: ผู้ใช้ใหม่และอุปกรณ์ใหม่จะได้รับการกำหนดค่าด้วยโหมดการจัดการใหม่เมื่อลงทะเบียนไว้ อุปกรณ์ดูแลระบบของอุปกรณ์รุ่นเก่า จะเลิกใช้งานในกลุ่มเนื่องจากถดถอยตามธรรมชาติ
คำถามที่พบบ่อย
แล้วอุปกรณ์รุ่นเก่าล่ะ
เมื่อเปิดตัว Android 10.0 แล้ว เราคาดว่าอุปกรณ์ทั้งหมดที่ใช้รองรับอุปกรณ์ที่มีการจัดการหรือโหมดโปรไฟล์งาน คุณสามารถย้ายข้อมูลอุปกรณ์รุ่นเก่าตามที่อธิบายไว้ก่อนหน้านี้หรือได้รับการจัดการโดยใช้ผู้ดูแลระบบอุปกรณ์จนกว่าจะมีการเปลี่ยนอุปกรณ์
จะเกิดอะไรขึ้นหากฉันมีแอปที่ไม่ใช่ EMM ที่ใช้ผู้ดูแลระบบอุปกรณ์
บางครั้งแอปพลิเคชันอย่างแอปพลิเคชันอีเมลอาจกลายเป็นผู้ดูแลระบบอุปกรณ์เพื่อตอบสนองต่อนโยบายขององค์กรที่บังคับใช้ในเซิร์ฟเวอร์อีเมล แอปพลิเคชันเหล่านี้จะอยู่ภายใต้ข้อจำกัดเดียวกันจากการเปิดตัว Android 10.0 กล่าวคือ แอปพลิเคชันเหล่านั้นอาจกลายเป็นผู้ดูแลอุปกรณ์ แต่จะไม่สามารถบังคับใช้นโยบายรหัสผ่านหรือข้อจำกัดด้านฮาร์ดแวร์ แอปพลิเคชันเหล่านี้อาจมีลักษณะดังนี้ ทั้งนี้ขึ้นอยู่กับกรณีการใช้งาน
- เพิ่มโปรไฟล์การทำงานของโปรไฟล์งานด้วยตนเอง (เปลี่ยนเป็น DPC)
- แจ้งให้ผู้ใช้ตั้งค่าแอปพลิเคชันไปยัง EMM อื่น (ภายใต้การควบคุมของ DPC อื่นหากจำเป็น)
- เลือกใช้การจำกัดรหัสผ่านของตนเอง (ในแอป)
เราขอแนะนำให้แอปเหล่านี้มีกลไกในการตรวจสอบว่า EMM เป็นผู้จัดการอุปกรณ์หรือไม่ และเปลี่ยนไปใช้การจัดการจากผู้ให้บริการ EMM การตรวจจับนี้ทำได้ผ่านการแลกเปลี่ยนโทเค็นผ่านการจัดการการกำหนดค่าอุปกรณ์เคลื่อนที่ (MCM)
จะเกิดอะไรขึ้นเมื่อเปิดตัว Android 10.0
ลักษณะการทำงานที่เลิกใช้งานแล้วจะหยุดทำงานและจะแสดงผลข้อยกเว้นด้านความปลอดภัย สำหรับแอปที่ใช้ Android 10.0 และกำหนดเป้าหมายเป็น API ระดับนั้น