设备管理弃用

总结

Android 最初是在 Android 2.2 中引入对移动设备管理的支持。从那时起，企业的需求不断变化。与 Android 的原始 Device Admin API 相比，设备访问的机密资源越来越多，越来越多地被用于各种用例中。其中一些用例包括：

• 在混合部署或自带设备中部署将工作数据与个人数据分开。
• 通过 Google Play 分发业务应用并管理其数据，并管理为此需要的 Google 帐号。
• 将设备锁定在自助服务终端中，针对特定应用量身定制。
• 允许访问 PKI 安全资源的证书管理。
• 构建按应用和个人资料的 VPN，以便在保护隐私的同时为远程企业应用提供支持。

与此同时，企业要求信任关系比设备管理员设计的支持关系更高。由于设备管理器可由用户授权的任何应用启用，因此它不支持多个企业用例，例如：

• 设置恢复出厂设置保护 (FRP)，以确保设备保持受管理状态，并且可以在员工离职后恢复。
• 安全重置已加密设备上的设备密码。
• 阻止移除设备管理员（出于安全考虑，已在 Nougat 中移除）。
• 建立管理员定义的密码，使用户无法登录设备（出于安全考虑，已在 Android 7.0 Nougat 中移除）。

自 Android 5.0 中引入 Android 的受管理设备（设备所有者）和工作资料（资料所有者）模式以来，设备管理一直被视为旧式管理方法。由于设备管理功能不太适合支持当今的企业要求，因此我们建议客户和合作伙伴从现在开始采用受管设备和工作资料模式来管理设备。为了支持这种转换并将资源集中用于 Android 的当前管理功能，我们废弃了适用于 Android 9.0 版本中企业用途的设备管理员，并且将在 Android 10.0 版本中移除这些功能。

已弃用的政策

Android 9.0 发布后，以下政策在设备管理员调用时会被标记为“已弃用”，但这些 API 会继续正常运行。

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

从 Android 10.0 版本开始，当设备管理员在面向 API 级别 29 的应用上调用上述政策时，会抛出 SecurityException。

随着 Android 11.0 的发布，USES_POLICY_RESET_PASSWORD 在设备管理员调用时会被标记为已废弃，并且会停止运行。它会针对以 API 级别 24 及更高级别为目标平台的应用抛出 SecurityException。

有些应用使用设备管理员进行消费者设备管理，例如锁定和擦除丢失的设备。您可以继续使用以下政策来启用此功能：

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

更新实现

如需替换上一部分标记为已废弃的键盘锁和密码政策，应用（包括管理 Exchange ActiveSync 部署的应用）应使用屏幕锁定质量检查中所述的方法。

时间线

Android 9.0：通过更新文档，设备管理已标记为已弃用，可供企业使用。现有功能可继续适用于以 API 级别 28 为目标平台的应用，但不建议这样做。在 Android 10.0 发布之前，所有合作伙伴和客户都应迁移到工作资料或完全受管设备。

Android 10.0：以上政策不再适用于以 API 级别 29 为目标的 DPC。

这对 IT 管理员的影响

我们建议合作伙伴和客户立即开始为此次变更做好准备。在激活设备管理时，可以通过屏幕识别设备管理（请参阅图 1 的示例）：

如果您目前使用设备管理器来管理设备，有两种策略可以迁移到 Android 的当前管理 API。如需注册设备以便进行管理，您需要一个支持 Android 的工作资料（资料所有者）或受管设备（设备所有者）模式的企业移动管理 (EMM) 提供商。客户应选择最适合其部署的管理模式。在某些情况下，您可以同时采用这两种策略。

如需查看兼容产品的列表，请点击此处。您的 EMM 软件提供商可以就其产品/服务提供具体指导。

管理个人（自带）设备

Android 的工作资料模式支持个人设备。工作资料由 EMM 部署，以提供操作系统级容器，将用户的工作与个人应用以及设备上的数据分隔开来。组织能够受益于使用 Google Play 企业版部署应用，以及更好地保证数据不会意外或专门与未经授权的应用共享。如果 IT 管理员离开组织，他们也可以有选择地独立于用户自己的文件擦除企业数据。

管理公司自有设备

通过在受管设备模式下部署设备，支持公司自有 Android 设备。托管设备使用 EMM 进行注册，而 EMM 能够对 Android 设备及其数据进行全面的生命周期管理。这包括锁定硬件功能、防范恢复出厂设置和取消注册、管理远程擦除和重置整个设备，以及定制应用（包括支持自助服务终端或单一应用部署）。通常，使用受管设备模式的组织至少会管理以下三种部署类型之一，但它们可以在整个舰队中混合和匹配，具体取决于其要求：

• 仅限工作：仅工作部署通常针对使用设备执行各种应用的工作器。此方法不支持个人用途。
• 个人启用：个人部署通常定位有雇主为其提供设备的员工，但希望也灵活使用设备上的个人应用。通过在受管设备上部署工作资料，员工可以在个人应用的同时运行工作应用，而不会影响公司数据。
• 专用设备：专用设备部署通常包含受管设备（有时称为“企业自有、一次性使用”或“COSU”），它们会锁定硬件和应用以根据员工必须执行的特定工作功能定制设备。

我们建议将公司自有设备部署为受管设备，这样就可以管理整个设备生命周期，包括设备完全擦除和恢复出厂设置保护政策。

面向客户的迁移指南

BYOD：设备管理员对工作资料的部署

我们建议所有个人设备都使用工作资料。只需极少的中断，即可处理从旧版设备管理服务到工作资料的迁移。可以通过推送个人设备来安装工作资料，或者让新设备在工作资料中逐步退出现有设备，从而解决此问题。

公司自有设备：设备管理服务的受管设备

我们建议将公司自有设备设置为完全受管设备。 将设备从设备管理服务迁移到受管理的设备需要恢复出厂设置。 由于这对用户的干扰会更大，因此我们建议分阶段采用，即新设备注册为全代管式设备，而现有设备则由设备管理员管理。

迁移类型

一些常规迁移策略的简要定义如下：

• 大：大部分现有用户需要通过一次或多次大型升级来升级到受管设备或工作资料。

• 分阶段采用：新用户和新设备在注册时配置了新的管理模式。较旧的设备管理设备会因自然丢失而退出设备组。

常见问题解答

较旧的设备呢？

Android 10.0 发布后，我们预计所有运行 Android 10.0 的设备都支持托管设备或工作资料模式。旧设备可如前所述进行迁移，也可使用设备管理服务进行管理，直到它们被替换为止。

如果我有使用 EMM 的非 EMM 应用，该怎么办？

有时，为了响应电子邮件服务器上强制执行的企业政策，电子邮件应用等应用可能会成为设备管理员。这些应用将受到与 Android 10.0 版本相同的限制：它们可能会成为设备管理员，但无法强制执行密码政策或硬件限制。根据用例，这些应用可能会：

• 膨胀工作资料本身（成为 DPC）。
• 提示用户将应用设置到另一个 EMM 中（如果需要，由另一个 DPC 控制）。
• 选择实现自己的（应用内）密码限制。

我们建议这些应用采用一种机制来检测设备是否由 EMM 管理，并服从 EMM 提供商进行管理。此检测可以通过移动配置管理 (MCM) 中的令牌交换来实现。

Android 10.0 发布后会怎么样？

对于搭载 Android 10.0 且以该 API 级别为目标平台的应用，已弃用的行为将停止运行，并返回安全异常。