Ngừng sử dụng quản trị viên thiết bị

Tóm tắt

Android ban đầu giới thiệu tính năng hỗ trợ quản lý thiết bị di động trong Android 2.2. Kể từ đó, nhu cầu của các doanh nghiệp đã thay đổi. Các thiết bị ngày càng truy cập nhiều tài nguyên bảo mật hơn và được dùng trong nhiều trường hợp sử dụng hơn so với API quản trị thiết bị ban đầu của Android được thiết kế cho mục đích đó. Sau đây là một số trường hợp sử dụng:

• Tách biệt dữ liệu công việc khỏi dữ liệu cá nhân trong trường hợp sử dụng hỗn hợp hoặc triển khai sử dụng thiết bị cá nhân (BYOD).
• Phân phối các ứng dụng kinh doanh và quản lý dữ liệu thông qua Google Play, cũng như quản lý các Tài khoản Google cần thiết cho việc này.
• Khoá thiết bị vào kiosk để điều chỉnh cho phù hợp với mục đích sử dụng ứng dụng cụ thể.
• Quản lý chứng chỉ để cho phép truy cập vào các tài nguyên bảo mật PKI.
• Thiết lập VPN cho mỗi ứng dụng và cho từng hồ sơ để hỗ trợ các ứng dụng từ xa của doanh nghiệp trong khi vẫn bảo vệ quyền riêng tư.

Đồng thời, các doanh nghiệp yêu cầu mối quan hệ tin cậy cao hơn so với mục đích hỗ trợ mà quản trị viên thiết bị được thiết kế. Do bất kỳ ứng dụng nào mà người dùng cho phép đều có thể bật quản trị viên thiết bị nên quản trị viên thiết bị không hỗ trợ một số trường hợp sử dụng trong doanh nghiệp, chẳng hạn như:

• Thiết lập tính năng chống đặt lại về trạng thái ban đầu (FRP) để đảm bảo thiết bị vẫn được quản lý và có thể khôi phục khi nhân viên rời đi.
• Đặt lại mật khẩu thiết bị một cách an toàn trên những thiết bị đã mã hoá.
• Ngăn chặn việc xoá quản trị viên thiết bị (bị xoá trong Nougat vì lý do bảo mật).
• Thiết lập mật mã do quản trị viên xác định để khoá người dùng khỏi thiết bị (bị xoá trong Android 7.0 Nougat vì lý do bảo mật).

Quản trị viên thiết bị được coi là một phương pháp quản lý cũ kể từ khi chế độ thiết bị được quản lý (chủ sở hữu thiết bị) và hồ sơ công việc (chủ sở hữu hồ sơ) của Android ra mắt trong Android 5.0. Vì quản trị viên thiết bị không phù hợp để hỗ trợ các yêu cầu doanh nghiệp hiện nay, nên khách hàng và đối tác nên sử dụng chế độ thiết bị được quản lý và hồ sơ công việc để quản lý thiết bị của mình từ nay về sau. Để hỗ trợ quá trình chuyển đổi này và tập trung tài nguyên của chúng tôi vào các tính năng quản lý hiện tại của Android, chúng tôi ngừng sử dụng tính năng quản trị thiết bị cho doanh nghiệp trong bản phát hành Android 9.0 và sẽ loại bỏ các chức năng này trong bản phát hành Android 10.0.

Các chính sách không dùng nữa

Với bản phát hành Android 9.0, các chính sách sau đây được đánh dấu là không dùng nữa khi được quản trị viên thiết bị gọi. Tuy nhiên, các API vẫn tiếp tục hoạt động.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

Kể từ bản phát hành Android 10.0, các chính sách nêu trên sẽ gửi SecurityException khi được quản trị viên thiết bị gọi trên các ứng dụng nhắm đến API cấp 29.

Với bản phát hành Android 11.0, USES_POLICY_RESET_PASSWORD được đánh dấu là không dùng nữa khi được quản trị viên thiết bị gọi và ngừng hoạt động. Thao tác này sẽ gửi một SecurityException trên các ứng dụng nhắm đến API cấp 24 trở lên.

Một số ứng dụng sử dụng tính năng quản trị thiết bị để quản trị thiết bị của người dùng thông thường, chẳng hạn như khoá và xoá sạch dữ liệu trên thiết bị thất lạc. Các chính sách sau đây sẽ tiếp tục có sẵn để cho phép việc này:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

Cập nhật phương thức triển khai

Để thay thế các chính sách bảo vệ bàn phím và mật khẩu được đánh dấu là không dùng nữa ở phần trên, các ứng dụng (bao gồm cả những ứng dụng quản lý việc triển khai ExchangeForeground) phải sử dụng phương thức được mô tả trong phần Kiểm tra chất lượng khoá màn hình.

Tiến trình

Android 9.0: Quản trị viên thiết bị được đánh dấu là không dùng nữa để doanh nghiệp sử dụng thông qua các bản cập nhật tài liệu. Chức năng hiện có sẽ tiếp tục hoạt động cho các ứng dụng nhắm đến API cấp 28, mặc dù bạn không nên dùng chức năng này. Tất cả các đối tác và khách hàng nên di chuyển sang hồ sơ công việc hoặc thiết bị được quản lý toàn bộ trước khi Android 10.0 phát hành.

Android 10.0: Các chính sách trên sẽ không còn áp dụng cho DPC nhắm đến API cấp 29.

Ý nghĩa của điều này đối với quản trị viên CNTT

Các đối tác và khách hàng nên bắt đầu chuẩn bị ngay cho sự thay đổi này. Bạn có thể xác định mức sử dụng của quản trị viên thiết bị qua màn hình (Xem Hình 1 để biết ví dụ), khi kích hoạt tính năng quản lý thiết bị:

Nếu đang sử dụng quản trị viên thiết bị để quản lý thiết bị, bạn có thể sử dụng 2 chiến lược để chuyển sang API quản lý hiện tại của Android. Để đăng ký thiết bị để quản lý, bạn cần có một nhà cung cấp giải pháp Quản lý di động dành cho doanh nghiệp (EMM) có hỗ trợ chế độ hồ sơ công việc của Android (chủ sở hữu hồ sơ) hoặc thiết bị được quản lý (chủ sở hữu thiết bị). Khách hàng nên chọn chế độ quản lý phù hợp nhất với việc triển khai của họ. Trong một số trường hợp, bạn có thể sử dụng đồng thời cả hai chiến lược.

Bạn có thể xem danh sách các dịch vụ tương thích tại đây. Nhà cung cấp phần mềm EMM của bạn có thể cung cấp hướng dẫn cụ thể về các sản phẩm mà họ cung cấp.

Quản lý thiết bị cá nhân (mang theo bên mình)

Chế độ hồ sơ công việc của Android hỗ trợ thiết bị cá nhân. Hồ sơ công việc do EMM triển khai để cung cấp một vùng chứa cấp hệ điều hành giúp phân tách giữa các ứng dụng cá nhân và ứng dụng công việc của người dùng cũng như dữ liệu trên thiết bị của họ. Các tổ chức được hưởng lợi từ khả năng triển khai ứng dụng bằng Managed Google Play, cùng với khả năng đảm bảo tốt hơn rằng dữ liệu không vô tình hoặc cố tình chia sẻ với các ứng dụng trái phép. Quản trị viên CNTT cũng có thể chọn xoá dữ liệu của doanh nghiệp một cách độc lập với tệp của người dùng nếu họ rời khỏi tổ chức.

Quản lý thiết bị thuộc quyền sở hữu của công ty

Các thiết bị Android do công ty sở hữu được hỗ trợ bằng cách triển khai thiết bị ở chế độ thiết bị được quản lý. Một thiết bị được quản lý được đăng ký bằng dịch vụ EMM (quản lý thiết bị di động doanh nghiệp) có thể cung cấp khả năng quản lý toàn bộ vòng đời của thiết bị Android và dữ liệu của thiết bị. Trong đó có tính năng khoá các tính năng phần cứng, bảo vệ khỏi việc đặt lại và huỷ đăng ký về trạng thái ban đầu; xoá và đặt lại từ xa theo quy trình quản trị đối với toàn bộ thiết bị; điều chỉnh các ứng dụng, bao gồm cả tính năng hỗ trợ kiosk hoặc một ứng dụng. Nhìn chung, các tổ chức sử dụng chế độ thiết bị được quản lý sẽ quản trị ít nhất một trong ba loại hình triển khai, mặc dù các loại hình này có thể kết hợp và kết hợp trong toàn bộ nhóm thiết bị của tổ chức tuỳ thuộc vào yêu cầu của họ:

• Chỉ công việc: Quá trình triển khai chỉ công việc thường nhắm đến những trình thực thi sử dụng một thiết bị cho nhiều ứng dụng. Phương thức này không hỗ trợ mục đích cá nhân.
• Hỗ trợ cá nhân: Quá trình triển khai cá nhân thường nhắm đến những nhân viên được chủ lao động cung cấp thiết bị cho họ, nhưng cũng muốn có sự linh hoạt khi sử dụng các ứng dụng cá nhân trên thiết bị đó. Việc triển khai hồ sơ công việc trên thiết bị được quản lý cho phép nhân viên chạy các ứng dụng công việc cùng với các ứng dụng cá nhân mà không ảnh hưởng đến dữ liệu của công ty.
• Thiết bị chuyên dụng: Quá trình triển khai thiết bị chuyên dụng thường bao gồm các thiết bị được quản lý (đôi khi được gọi là "thuộc sở hữu của công ty, sử dụng một lần" hoặc "cosU", khoá phần cứng và ứng dụng nhằm điều chỉnh thiết bị theo chức năng công việc cụ thể mà một nhân viên phải thực hiện.

Bạn nên triển khai các thiết bị do công ty sở hữu dưới dạng thiết bị được quản lý, vì thiết bị này cho phép quản lý toàn bộ vòng đời của thiết bị, bao gồm cả chính sách bảo vệ xoá sạch thiết bị và đặt lại về trạng thái ban đầu.

Hướng dẫn di chuyển cho khách hàng

Sử dụng thiết bị cá nhân: Quản trị viên thiết bị cho việc triển khai hồ sơ công việc

Bạn nên sử dụng hồ sơ công việc cho tất cả thiết bị thuộc sở hữu của cá nhân. Quá trình di chuyển từ quản trị viên thiết bị cũ sang hồ sơ công việc có thể được xử lý mà ít bị gián đoạn nhất. Bạn có thể xử lý việc này bằng cách đẩy các thiết bị cá nhân cài đặt hồ sơ công việc hoặc yêu cầu các thiết bị mới đăng ký với hồ sơ công việc khi các thiết bị hiện có loại bỏ dần các thiết bị hiện có.

Thiết bị do công ty sở hữu: Quản trị viên thiết bị sang thiết bị được quản lý

Bạn nên thiết lập các thiết bị do công ty sở hữu làm thiết bị được quản lý hoàn toàn. Bạn cần đặt lại thiết bị về trạng thái ban đầu để di chuyển thiết bị từ quản trị viên thiết bị sang thiết bị được quản lý. Vì việc này sẽ gây phiền toái cho người dùng nhiều hơn, nên bạn nên áp dụng theo giai đoạn, trong đó thiết bị mới được đăng ký làm thiết bị được quản lý hoàn toàn nhưng thiết bị hiện có sẽ vẫn thuộc quyền quản trị viên thiết bị.

Hình thức di chuyển

Một số chiến lược di chuyển chung được định nghĩa ngắn gọn là:

• Big Bang:Rất nhiều người dùng hiện tại được yêu cầu nâng cấp lên thiết bị được quản lý hoặc hồ sơ công việc trong một hoặc nhiều đợt nâng cấp lớn.

• Áp dụng theo giai đoạn: Người dùng mới và thiết bị mới được định cấu hình bằng các chế độ quản lý mới khi họ đăng ký. Các thiết bị quản trị thiết bị cũ hơn không còn phù hợp với nhóm thiết bị do tự nhiên ngừng hoạt động.

Câu hỏi thường gặp

Còn các thiết bị cũ thì sao?

Khi phát hành Android 10.0, chúng tôi hy vọng tất cả thiết bị chạy phiên bản này sẽ hỗ trợ các chế độ hồ sơ công việc hoặc thiết bị được quản lý. Bạn có thể di chuyển các thiết bị cũ như mô tả trước đó hoặc được quản lý bằng quản trị viên thiết bị cho đến khi thiết bị được thay thế.

Điều gì sẽ xảy ra nếu tôi có các ứng dụng không phải giải pháp quản lý thiết bị di động doanh nghiệp (EMM) sử dụng quyền quản trị thiết bị?

Đôi khi, các ứng dụng như ứng dụng email có thể trở thành quản trị viên thiết bị để phản hồi các chính sách doanh nghiệp được thực thi trên máy chủ email. Những ứng dụng này sẽ phải tuân theo các hạn chế tương tự kể từ bản phát hành Android 10.0: Các ứng dụng này có thể trở thành quản trị viên thiết bị nhưng không thể thực thi chính sách mật khẩu hoặc hạn chế về phần cứng. Tuỳ thuộc vào trường hợp sử dụng, các ứng dụng này có thể:

• Tự tăng cường hồ sơ công việc (trở thành DPC).
• Nhắc người dùng đặt ứng dụng vào một EMM khác (dưới sự kiểm soát của một DPC khác nếu cần).
• Chọn triển khai các hạn chế mật khẩu riêng (trong ứng dụng).

Các ứng dụng này nên có cơ chế phát hiện xem thiết bị có được EMM quản lý hay không và tuân theo nhà cung cấp dịch vụ EMM để quản lý. Bạn có thể thực hiện việc phát hiện này thông qua hoạt động trao đổi mã thông báo thông qua giải pháp Quản lý cấu hình trên thiết bị di động (MCM).

Điều gì xảy ra khi Android 10.0 được phát hành?

Các hành vi không được dùng nữa sẽ ngừng hoạt động và sẽ trả về một ngoại lệ bảo mật cho các ứng dụng chạy Android 10.0 và nhắm đến cấp độ API đó.