Penghentian admin perangkat

Ringkasan

Android awalnya memperkenalkan dukungan untuk pengelolaan perangkat seluler di Android 2.2. Sejak saat itu, kebutuhan perusahaan telah berubah. Perangkat semakin mengakses resource yang lebih rahasia dan digunakan dalam berbagai kasus penggunaan yang lebih luas daripada yang dirancang untuk API admin perangkat asli Android. Beberapa kasus penggunaan ini mencakup:

• Pemisahan data kerja dari data pribadi dalam penggunaan campuran atau deployment BYOD.
• Mendistribusikan aplikasi bisnis dan mengelola datanya melalui Google Play dan mengelola Akun Google yang diperlukan untuk hal ini.
• Mengunci perangkat ke kios guna menyesuaikannya untuk penggunaan aplikasi tertentu.
• Pengelolaan sertifikat untuk mengizinkan akses ke resource aman IKP.
• Pembuatan VPN per aplikasi dan per profil untuk mendukung aplikasi perusahaan jarak jauh sambil melindungi privasi.

Secara bersamaan, perusahaan telah menuntut hubungan kepercayaan yang lebih tinggi daripada yang dirancang untuk didukung oleh admin perangkat. Karena dapat diaktifkan oleh aplikasi apa pun yang diotorisasi oleh pengguna, admin perangkat tidak mendukung beberapa kasus penggunaan perusahaan, seperti:

• Menyetel perlindungan reset ke setelan pabrik (FRP) untuk memastikan perangkat tetap terkelola dan dapat dipulihkan saat karyawan keluar dari perusahaan.
• Peresetan sandi perangkat yang aman pada perangkat terenkripsi.
• Mencegah penghapusan administrator perangkat (dihapus di Nougat karena alasan keamanan).
• Pembuatan kode sandi yang ditetapkan admin untuk mengunci pengguna dari perangkat (dihapus di Android 7.0 Nougat karena alasan keamanan).

Admin perangkat telah dianggap sebagai pendekatan pengelolaan lama sejak mode perangkat terkelola (pemilik perangkat) dan profil kerja (pemilik profil) Android diperkenalkan di Android 5.0. Karena admin perangkat tidak cocok untuk mendukung persyaratan perusahaan saat ini, sebaiknya pelanggan dan partner mengadopsi mode perangkat dan profil kerja terkelola untuk mengelola perangkat mereka mulai sekarang. Untuk mendukung transisi ini dan memfokuskan resource ke fitur pengelolaan Android saat ini, kami menghentikan penggunaan admin perangkat untuk penggunaan perusahaan dalam rilis Android 9.0 dan kami akan menghapus fungsi ini dalam rilis Android 10.0.

Kebijakan yang tidak digunakan lagi

Dengan dirilisnya Android 9.0, kebijakan berikut ditandai sebagai tidak digunakan lagi saat dipanggil oleh admin perangkat, tetapi API tetap berfungsi.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

Mulai rilis Android 10.0, kebijakan yang disebutkan di atas akan memunculkan SecurityException saat dipanggil oleh admin perangkat di aplikasi yang menargetkan API level 29.

Dengan dirilisnya Android 11.0, USES_POLICY_RESET_PASSWORD ditandai sebagai tidak digunakan lagi saat dipanggil oleh admin perangkat dan berhenti berfungsi. Ini akan menampilkan SecurityException pada aplikasi yang menargetkan API level 24 dan yang lebih tinggi.

Beberapa aplikasi menggunakan admin perangkat untuk administrasi perangkat konsumen, misalnya mengunci dan menghapus total perangkat yang hilang. Kebijakan berikut akan terus tersedia untuk memungkinkannya:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

Mengupdate penerapan Anda

Untuk mengganti kebijakan keyguard dan sandi yang ditandai sebagai tidak digunakan lagi di bagian di atas, aplikasi—termasuk yang mengelola deployment Exchange ActiveSync—harus menggunakan metode yang dijelaskan dalam Pemeriksaan kualitas kunci layar.

Lini Waktu

Android 9.0: Admin perangkat ditandai sebagai tidak digunakan lagi untuk penggunaan perusahaan melalui update pada dokumentasi. Fungsi yang ada terus berfungsi untuk aplikasi yang menargetkan API level 28, meskipun penggunaannya tidak disarankan. Semua partner dan pelanggan harus bermigrasi ke profil kerja atau perangkat yang terkelola sepenuhnya sebelum rilis Android 10.0.

Android 10.0: Kebijakan di atas tidak akan tersedia lagi untuk DPC yang menargetkan API level 29.

Artinya bagi admin IT

Sebaiknya partner dan pelanggan mulai mempersiapkan diri untuk perubahan ini sekarang. Penggunaan admin perangkat dapat diidentifikasi dengan layar (Lihat Gambar 1 untuk contoh), saat mengaktifkan pengelolaan perangkat:

Jika saat ini Anda menggunakan admin perangkat untuk mengelola perangkat, ada dua strategi yang tersedia untuk dipindahkan ke API pengelolaan Android saat ini. Untuk mendaftarkan perangkat pengelolaan, Anda memerlukan penyedia Pengelolaan Mobilitas Perusahaan (EMM) yang mendukung mode profil kerja Android (pemilik profil) atau perangkat terkelola (pemilik perangkat). Pelanggan harus memilih mode pengelolaan yang paling sesuai dengan deployment mereka. Dalam beberapa kasus, kedua strategi tersebut dapat diterapkan secara bersamaan.

Daftar penawaran yang kompatibel tersedia di sini. Penyedia software EMM dapat memberikan panduan khusus tentang penawaran produk mereka.

Mengelola perangkat pribadi (bawa perangkat Anda sendiri)

Perangkat pribadi didukung dengan mode profil kerja Android. Profil kerja di-deploy oleh EMM untuk menyediakan container level OS yang menyediakan pemisahan antara aplikasi dan data pribadi serta data pengguna di perangkat mereka. Organisasi mendapat manfaat dari kemampuan untuk men-deploy aplikasi menggunakan Google Play terkelola bersama dengan jaminan yang lebih besar bahwa data tidak sengaja, atau dibagikan dengan sengaja ke aplikasi yang tidak sah. Administrator IT juga dapat menghapus data perusahaan secara selektif dan terpisah dari file pengguna jika mereka keluar dari organisasi.

Mengelola perangkat milik perusahaan

Perangkat Android milik perusahaan didukung dengan men-deploy perangkat dalam mode perangkat terkelola. Perangkat terkelola terdaftar menggunakan EMM, yang dapat menyediakan pengelolaan siklus proses penuh atas perangkat Android dan datanya. Hal ini meliputi kunci total fitur hardware, perlindungan terhadap reset ke setelan pabrik dan pembatalan pendaftaran, penghapusan jarak jauh administratif dan reset seluruh perangkat, serta penyesuaian aplikasi termasuk dukungan untuk deployment aplikasi atau kios. Umumnya, organisasi yang menggunakan mode perangkat terkelola akan mengelola setidaknya satu dari tiga jenis deployment, meskipun organisasi ini dapat dicampur dan dicocokkan di seluruh inventaris organisasi, bergantung pada persyaratannya:

• Khusus kerja: Deployment khusus kerja umumnya menargetkan pekerja yang menggunakan perangkat untuk berbagai aplikasi. Penggunaan pribadi tidak didukung dengan metode ini.
• Diaktifkan secara pribadi: Deployment yang diaktifkan secara pribadi umumnya menargetkan pekerja yang memiliki perangkat yang disediakan kepada mereka oleh perusahaan mereka, tetapi ingin fleksibilitas untuk juga menggunakan aplikasi pribadi di perangkat. Dengan men-deploy profil kerja di perangkat terkelola, karyawan dapat menjalankan aplikasi kerja bersama aplikasi pribadi tanpa mengorbankan data perusahaan.
• Perangkat khusus: Deployment perangkat khusus umumnya mencakup perangkat terkelola, terkadang disebut "milik perusahaan, sekali pakai", atau "COSU", yang mengunci hardware dan aplikasi untuk menyesuaikan perangkat dengan fungsi kerja tertentu yang harus dilakukan karyawan.

Sebaiknya perangkat milik perusahaan di-deploy sebagai perangkat terkelola, karena perangkat tersebut dapat mengelola seluruh siklus proses perangkat, termasuk kebijakan perlindungan menyeluruh dan reset perangkat ke setelan pabrik.

Panduan migrasi untuk pelanggan

BYOD: Admin perangkat untuk deployment profil kerja

Sebaiknya gunakan profil kerja untuk semua perangkat milik pribadi. Migrasi dari admin perangkat lama ke profil kerja dapat ditangani dengan gangguan yang minimal. Hal ini dapat ditangani dengan mengirim perangkat pribadi untuk menginstal profil kerja, atau dengan membuat perangkat baru mendaftar dengan profil kerja karena perangkat yang ada akan dihapus dari perangkat.

Perangkat milik perusahaan: Admin perangkat ke perangkat terkelola

Sebaiknya perangkat milik perusahaan disiapkan sebagai perangkat yang terkelola sepenuhnya. Memigrasikan perangkat dari admin perangkat ke perangkat terkelola memerlukan reset ke setelan pabrik. Karena hal ini lebih mengganggu pengguna, kami menyarankan adopsi bertahap, di mana perangkat baru didaftarkan sebagai perangkat yang terkelola sepenuhnya tetapi perangkat yang ada dibiarkan di admin perangkat.

Jenis migrasi

Beberapa strategi migrasi umum didefinisikan secara singkat sebagai:

• Big bang: Populasi besar pengguna yang sudah ada diminta untuk mengupgrade ke perangkat terkelola atau profil kerja dalam satu atau beberapa gelombang upgrade yang besar.

• Adopsi bertahap: Pengguna baru dan perangkat baru dikonfigurasi dengan mode pengelolaan baru saat mereka terdaftar. Perangkat admin perangkat yang lebih lama akan usang dari inventaris melalui pengurangan alami.

Pertanyaan Umum (FAQ)

Bagaimana dengan perangkat yang lebih lama?

Saat Android 10.0 dirilis, kami berharap semua perangkat yang menjalankannya mendukung perangkat terkelola atau mode profil kerja. Perangkat lama dapat dimigrasikan seperti yang dijelaskan sebelumnya atau dikelola menggunakan admin perangkat hingga perangkat diganti.

Bagaimana jika saya memiliki aplikasi yang disediakan oleh non-EMM yang menggunakan admin perangkat?

Terkadang, aplikasi seperti aplikasi email dapat menjadi admin perangkat sebagai respons terhadap kebijakan perusahaan yang diterapkan pada server email. Aplikasi ini akan tunduk pada batasan yang sama dengan rilis Android 10.0: Aplikasi tersebut dapat menjadi admin perangkat, tetapi tidak dapat menerapkan kebijakan sandi atau batasan hardware. Bergantung pada kasus penggunaan, aplikasi ini dapat:

• Meng-inflate profil kerja itu sendiri (menjadi DPC).
• Minta pengguna untuk menyiapkan aplikasi ke EMM lain (di bawah kontrol DPC lain jika diperlukan).
• Memilih untuk menerapkan batasan sandi mereka sendiri (dalam aplikasi).

Sebaiknya aplikasi ini memiliki mekanisme untuk mendeteksi apakah perangkat dikelola oleh EMM dan mematuhi penyedia EMM untuk pengelolaan. Deteksi ini dapat dicapai melalui pertukaran token melalui Pengelolaan Konfigurasi Seluler (MCM).

Apa yang terjadi saat Android 10.0 dirilis?

Perilaku yang tidak digunakan lagi akan berhenti berfungsi dan akan menampilkan pengecualian keamanan untuk aplikasi yang menjalankan Android 10.0 dan menargetkan API level tersebut.