این صفحه مجموعه کاملی از ویژگیهای Android Enterprise را فهرست میکند.
اگر قصد دارید بیش از 500 دستگاه را مدیریت کنید، راه حل EMM شما باید از تمام ویژگی های استاندارد ( ) حداقل یک مجموعه راه حل قبل از اینکه به صورت تجاری در دسترس باشد، پشتیبانی کند. راهحلهای EMM که تأیید ویژگی استاندارد را تأیید میکنند، در فهرست راهحلهای سازمانی Android بهعنوان مجموعه مدیریت استاندارد فهرستشده هستند.
یک مجموعه اضافی از ویژگی های پیشرفته برای هر مجموعه راه حل موجود است. این ویژگی ها در هر صفحه مجموعه راه حل مشخص می شوند: نمایه کاری در دستگاه شخصی ، نمایه کاری در دستگاه متعلق به شرکت ، دستگاه کاملاً مدیریت شده و دستگاه اختصاصی . راهحلهای EMM که تأیید ویژگیهای پیشرفته را انجام میدهند، در فهرست راهحلهای سازمانی Android بهعنوان مجموعه مدیریت پیشرفته فهرستشده هستند.
کلید
| ویژگی استاندارد | ویژگی پیشرفته | ویژگی اختیاری | قابل اجرا نیست |
1. تهیه دستگاه
1.1. DPC-first تهیه نمایه کاری
میتوانید پس از دانلود DPC EMM از Google Play، یک نمایه کاری تهیه کنید .
1.1.1. DPC EMM باید به صورت عمومی در Google Play در دسترس باشد تا کاربران بتوانند DPC را در قسمت شخصی دستگاه نصب کنند.
1.1.2. پس از نصب، DPC باید کاربر را از طریق فرآیند تهیه نمایه کاری راهنمایی کند.
1.1.3. پس از تکمیل آماده سازی، هیچ حضور مدیریتی نمی تواند در سمت شخصی دستگاه باقی بماند .
- هر گونه خط مشی اعمال شده در حین تهیه باید حذف شود.
- امتیازات برنامه باید لغو شود.
- DPC EMM باید حداقل در سمت شخصی دستگاه خاموش باشد.
1.2. تهیه دستگاه شناسه DPC
سرپرستان فناوری اطلاعات میتوانند یک دستگاه کاملاً مدیریت شده یا اختصاصی را با استفاده از شناسه DPC ("afw#") بر اساس دستورالعملهای پیادهسازی تعریفشده در مستندات برنامهنویس Play EMM API تهیه کنند.
1.2.1. DPC EMM باید به صورت عمومی در Google Play در دسترس باشد. DPC باید از طریق جادوگر تنظیم دستگاه با وارد کردن یک شناسه مخصوص DPC قابل نصب باشد.
1.2.2. پس از نصب، DPC EMM باید کاربر را از طریق فرآیند تهیه یک دستگاه کاملاً مدیریت شده یا اختصاصی راهنمایی کند.
1.3. تامین دستگاه NFC
تگهای NFC میتوانند توسط سرپرستان فناوری اطلاعات برای ارائه دستگاههای جدید یا بازنشانی کارخانهای طبق دستورالعملهای پیادهسازی تعریفشده در مستندات برنامهنویس Play EMM API استفاده شوند.
1.3.1. EMM ها باید از برچسب های انجمن NFC نوع 2 با حداقل 888 بایت حافظه استفاده کنند. تهیه باید از امکانات اضافی تهیه برای ارسال جزئیات ثبت نام غیر حساس مانند شناسه سرور و شناسه ثبت نام به دستگاه استفاده کند. جزئیات ثبت نام نباید شامل اطلاعات حساس مانند رمز عبور یا گواهی باشد.
1.3.2. پس از اینکه DPC EMM خود را به عنوان مالک دستگاه تنظیم کرد، DPC باید فوراً باز شود و تا زمانی که دستگاه کاملاً آماده شود، روی صفحه قفل شود. 1.3.3. به دلیل منسوخ شدن پرتو NFC (همچنین به عنوان NFC Bump نیز شناخته می شود) استفاده از برچسب های NFC را برای اندروید 10 به بعد توصیه می کنیم.
1.4. تهیه دستگاه کد QR
سرپرستان فناوری اطلاعات میتوانند از دستگاه جدید یا بازنشانی کارخانهای برای اسکن کد QR تولید شده توسط کنسول EMM برای تهیه دستگاه، مطابق دستورالعملهای پیادهسازی تعریفشده در مستندات برنامهنویس Play EMM API استفاده کنند.
1.4.1. کد QR باید از امکانات اضافی برای ارسال جزئیات ثبت نام غیر حساس مانند شناسه های سرور و شناسه های ثبت نام به دستگاه استفاده کند. جزئیات ثبت نام نباید شامل اطلاعات حساس مانند رمز عبور یا گواهی باشد.
1.4.2. پس از اینکه DPC EMM دستگاه را راه اندازی کرد، DPC باید فوراً باز شود و تا زمانی که دستگاه به طور کامل آماده شود، روی صفحه قفل شود.
1.5. ثبت نام بدون لمس
سرپرستان فناوری اطلاعات میتوانند دستگاههای خریداریشده از نمایندگیهای مجاز را از قبل پیکربندی کنند و با استفاده از کنسول EMM شما آنها را مدیریت کنند.
1.5.1. سرپرستان فناوری اطلاعات میتوانند دستگاههای متعلق به شرکت را با استفاده از روش ثبتنام بدون لمس، که در ثبتنام Zero-touch برای سرپرستان فناوری اطلاعات مشخص شده است، تهیه کنند.
1.5.2. هنگامی که یک دستگاه برای اولین بار روشن می شود، دستگاه به طور خودکار به تنظیمات تعریف شده توسط سرپرست فناوری اطلاعات وادار می شود.
1.6. ارائه پیشرفته بدون لمس
مدیران فناوری اطلاعات میتوانند بسیاری از فرآیند ثبتنام دستگاه را با استفاده از جزئیات ثبت نام DPC از طریق ثبتنام بدون لمس، خودکار کنند. DPC EMM از محدود کردن ثبت نام به حساب ها یا دامنه های خاص، با توجه به گزینه های پیکربندی ارائه شده توسط EMM پشتیبانی می کند.
1.6.1. سرپرستان فناوری اطلاعات میتوانند یک دستگاه متعلق به شرکت را با استفاده از روش ثبت نام بدون لمس، که ثبت نام بدون لمس برای سرپرستان فناوری اطلاعات است، تهیه کنند.
1.6.2. پس از اینکه DPC EMM دستگاه را راه اندازی کرد، DPC EMM باید فوراً باز شود و تا زمانی که دستگاه به طور کامل آماده شود، روی صفحه قفل شود.
- این الزام برای دستگاههایی که از جزئیات ثبتنام بدون لمس استفاده میکنند تا بهطور کامل خود را بیصدا ارائه کنند، لغو میشود (مثلاً در استقرار دستگاه اختصاصی).
1.6.3. با استفاده از جزئیات ثبت نام، DPC EMM باید اطمینان حاصل کند که کاربران غیرمجاز نمی توانند پس از فراخوانی DPC به فعال سازی ادامه دهند. حداقل، فعال سازی باید برای کاربران یک شرکت خاص قفل شود.
1.6.4. با استفاده از جزئیات ثبت نام، DPC EMM باید این امکان را برای مدیران فناوری اطلاعات فراهم کند که جزئیات ثبت نام (به عنوان مثال شناسه های سرور، شناسه های ثبت نام) را به غیر از اطلاعات منحصر به فرد کاربر یا دستگاه (به عنوان مثال نام کاربری/گذرواژه، کد فعال سازی) از قبل پر کنند تا کاربران مجبور نباشند هنگام فعال کردن دستگاه، جزئیات را وارد کنند.
- EMM ها نباید اطلاعات حساسی مانند گذرواژه ها یا گواهی ها را در پیکربندی ثبت نام بدون لمس داشته باشند.
1.7. تهیه نمایه کاری حساب Google
برای شرکتهایی که از دامنه مدیریتشده Google استفاده میکنند، این ویژگی کاربران را پس از وارد کردن اطلاعات کاربری Workspace شرکتی در حین راهاندازی دستگاه یا در دستگاهی که قبلاً فعال شده است، از طریق راهاندازی نمایه کاری راهنمایی میکند. در هر دو مورد، هویت Workspace شرکتی به نمایه کاری منتقل میشود.
1.7.1. روش تهیه حساب Google یک نمایه کاری را مطابق دستورالعملهای پیادهسازی تعریفشده ارائه میکند.
1.8. تهیه دستگاه حساب Google
برای شرکتهایی که از Workspace استفاده میکنند، این ویژگی کاربران را از طریق نصب DPC EMM خود پس از وارد کردن اعتبارنامه Workspace شرکتی خود در طول راهاندازی اولیه دستگاه راهنمایی میکند. پس از نصب، DPC راه اندازی یک دستگاه متعلق به شرکت را تکمیل می کند.
1.8.1. روش تأمین حساب Google دستگاهی را که متعلق به شرکت است، مطابق دستورالعملهای پیادهسازی تعریفشده ارائه میکند.
1.8.2. مگر اینکه EMM بتواند به طور صریح دستگاه را به عنوان دارایی شرکت شناسایی کند، آنها نمی توانند دستگاهی را بدون اعلان در طول فرآیند تهیه ارائه کنند. این اعلان باید یک اقدام غیر پیشفرض مانند علامت زدن یک چک باکس یا انتخاب یک انتخاب منوی غیر پیشفرض انجام دهد. توصیه می شود EMM بتواند دستگاه را به عنوان یک دارایی شرکتی شناسایی کند، بنابراین نیازی به درخواست نیست.
1.9. پیکربندی بدون لمس مستقیم
سرپرستان فناوری اطلاعات میتوانند از کنسول EMM برای راهاندازی دستگاههای لمس صفر با استفاده از iframe صفر لمسی استفاده کنند.
1.10. نمایه های کاری در دستگاه های متعلق به شرکت
EMM ها می توانند دستگاه های متعلق به شرکت را که نمایه کاری دارند ثبت نام کنند.
1.10.1. عمدا خالی
1.10.2. سرپرستان فناوری اطلاعات میتوانند اقدامات انطباق را برای نمایههای کاری در دستگاههای متعلق به شرکت تنظیم کنند.
1.10.3. سرپرستان فناوری اطلاعات میتوانند دوربین را در نمایه کاری یا کل دستگاه غیرفعال کنند.
1.10.4. سرپرستان فناوری اطلاعات میتوانند ضبط صفحه را در نمایه کاری یا کل دستگاه غیرفعال کنند.
1.10.5. مدیران فناوری اطلاعات میتوانند فهرستی از برنامههای کاربردی را که نمیتوانند در نمایه شخصی نصب کنند، تنظیم کنند.
1.10.6. مدیران فناوری اطلاعات میتوانند با حذف نمایه کاری یا پاک کردن کل دستگاه، مدیریت دستگاه متعلق به شرکت را رها کنند.
1.11. تهیه دستگاه اختصاصی
سرپرستان فناوری اطلاعات میتوانند دستگاههای اختصاصی را بدون اینکه از کاربر خواسته شود با حساب Google احراز هویت کند، ثبتنام کنند.
2. امنیت دستگاه
2.1. چالش امنیتی دستگاه
مدیران فناوری اطلاعات میتوانند یک چالش امنیتی دستگاه (PIN/الگو/رمز عبور) را از مجموعه از پیش تعریفشدهای از ۳ سطح پیچیدگی در دستگاههای مدیریتشده تنظیم و اجرا کنند.
2.1.1. خطمشی باید تنظیمات را برای مدیریت چالشهای امنیتی دستگاه (ParentProfilePasswordRequirements برای نمایه کاری، نیازهای رمز عبور برای دستگاههای کاملاً مدیریتشده و اختصاصی) اعمال کند.
2.1.2. پیچیدگی رمز عبور باید به پیچیدگی های رمز عبور زیر منطبق شود:
- PASSWORD_COMPLEXITY_LOW - الگو یا سنجاق با توالی های تکرار شونده (4444) یا مرتب شده (1234، 4321، 2468).
- PASSWORD_COMPLEXITY_MEDIUM - پین بدون تکرار (4444) یا ترتیب (1234، 4321، 2468) توالی، گذرواژه الفبایی یا الفبای عددی با طول حداقل 4
- PASSWORD_COMPLEXITY_HIGH - پین بدون تکرار (4444) یا مرتب شده (1234، 4321، 2468) توالی و طول حداقل 8 یا گذرواژه الفبایی یا الفبای عددی با طول حداقل 6
2.2. چالش امنیت کار
سرپرستان فناوری اطلاعات میتوانند چالش امنیتی برای برنامهها و دادههای موجود در نمایه کاری که مجزا است و نیازمندیهای متفاوت با چالش امنیتی دستگاه (2.1.) است، تنظیم و اجرا کنند.
2.2.1. خطمشی باید چالش امنیتی را برای نمایه کاری اعمال کند. بهطور پیشفرض، سرپرستان فناوری اطلاعات باید محدودیتهایی را فقط برای نمایه کاری تعیین کنند، در صورتی که هیچ محدودهای مشخص نشده باشد، سرپرستان فناوری اطلاعات میتوانند با تعیین محدوده، این دستگاه را در کل دستگاه تنظیم کنند (شرایط 2.1 را ببینید).
2.1.2. پیچیدگی رمز عبور باید به پیچیدگی های رمز عبور زیر منطبق شود:
- PASSWORD_COMPLEXITY_LOW - الگو یا سنجاق با توالی های تکرار شونده (4444) یا مرتب شده (1234، 4321، 2468).
- PASSWORD_COMPLEXITY_MEDIUM - پین بدون تکرار (4444) یا ترتیب (1234، 4321، 2468) توالی، گذرواژه الفبایی یا الفبای عددی با طول حداقل 4
- PASSWORD_COMPLEXITY_HIGH - پین بدون تکرار (4444) یا مرتب شده (1234، 4321، 2468) توالی و طول حداقل 8 یا گذرواژه الفبایی یا الفبای عددی با طول حداقل 6
2.3. مدیریت رمز عبور پیشرفته
2.3.1. عمدا خالی
2.3.2. عمدا خالی
2.3.3. تنظیمات چرخه عمر رمز عبور زیر را می توان برای هر صفحه قفل موجود در دستگاه تنظیم کرد:
- عمدا خالی
- عمدا خالی
- حداکثر گذرواژههای ناموفق برای پاک کردن : تعداد دفعاتی را که کاربران میتوانند قبل از پاک شدن دادههای شرکت از دستگاه، رمز عبور نادرست وارد کنند را مشخص میکند. مدیران فناوری اطلاعات باید بتوانند این ویژگی را خاموش کنند.
2.4. مدیریت قفل هوشمند
سرپرستان فناوری اطلاعات میتوانند مدیریت کنند که چه عواملی در قابلیت Smart Lock Android مجاز به باز کردن قفل دستگاهها هستند. سرپرستان فناوری اطلاعات میتوانند روشهای خاص باز کردن قفل مانند دستگاههای بلوتوث قابل اعتماد، تشخیص چهره، و تشخیص صدا را خاموش کنند یا بهطور اختیاری این ویژگی را به طور کامل خاموش کنند.
2.4.1. سرپرستان فناوری اطلاعات می توانند نمایندگان اعتماد Smart Lock را به طور مستقل برای هر صفحه قفل موجود در دستگاه غیرفعال کنند .
2.4.2. سرپرستهای فناوری اطلاعات میتوانند بهطور انتخابی به نمایندگان اعتماد Smart Lock، بهطور مستقل برای هر صفحه قفل موجود در دستگاه، برای نمایندگان اعتماد زیر اجازه و راهاندازی کنند : بلوتوث، NFC، مکانها، چهره، روی بدن و صدا.
- مدیران فناوری اطلاعات میتوانند پارامترهای پیکربندی عامل اعتماد موجود را تغییر دهند.
2.5. پاک کن و قفل کن
سرپرستان فناوری اطلاعات می توانند از کنسول EMM برای قفل کردن و پاک کردن داده های کاری از راه دور از یک دستگاه مدیریت شده استفاده کنند.
2.5.1. DPC EMM باید دستگاه ها را قفل کند.
2.5.2. DPC EMM باید دستگاه ها را پاک کند.
2.6. اجرای انطباق
اگر دستگاهی با خط مشی های امنیتی مطابقت نداشته باشد، داده های کاری به طور خودکار محدود می شوند.
2.6.1. حداقل، سیاست های امنیتی اعمال شده بر روی یک دستگاه باید شامل خط مشی رمز عبور باشد.
2.7. سیاست های امنیتی پیش فرض
EMM باید خطمشیهای امنیتی مشخصشده را بهطور پیشفرض روی دستگاهها اعمال کند، بدون اینکه سرپرستان فناوری اطلاعات را ملزم به تنظیم یا سفارشی کردن تنظیمات در کنسول EMM کنند. EMM ها تشویق می شوند (اما الزامی نیستند) که به مدیران فناوری اطلاعات اجازه ندهند وضعیت پیش فرض این ویژگی های امنیتی را تغییر دهند.
2.7.1. DPC EMM باید نصب برنامهها از منابع ناشناس را مسدود کند، از جمله برنامههایی که در قسمت شخصی هر دستگاه Android نسخه ۸.۰ و بالاتر با نمایه کاری نصب شدهاند .
2.7.2. DPC EMM باید ویژگی های اشکال زدایی را مسدود کند.
2.8. سیاست های امنیتی برای دستگاه های اختصاصی
دستگاههای اختصاصی بدون راهحل قفل میشوند تا امکان انجام کارهای دیگر فراهم شود.
2.8.1. DPC EMM باید به طور پیش فرض راه اندازی را به حالت ایمن خاموش کند.
2.8.2. DPC EMM باید بلافاصله در اولین راهاندازی در حین آمادهسازی باز و روی صفحه قفل شود تا از هیچ گونه تعاملی با دستگاه اطمینان حاصل شود.
2.8.3. DPC EMM باید بهعنوان راهانداز پیشفرض تنظیم شود تا اطمینان حاصل شود که برنامههای مجاز در هنگام بوت روی صفحه قفل میشوند، طبق دستورالعملهای پیادهسازی تعریفشده .
2.9. پشتیبانی از یکپارچگی بازی
EMM از Play Integrity API استفاده میکند تا مطمئن شود دستگاهها دستگاههای Android معتبر هستند.
2.9.1. DPC EMM، Play Integrity API را در حین تأمین پیادهسازی میکند، و بهطور پیشفرض تنها زمانی که یکپارچگی دستگاه برگرداندهشده METS_STRONG_INTEGRITY باشد، تهیه دستگاه را با دادههای شرکت کامل میکند.
2.9.2. DPC EMM هر بار که دستگاهی با سرور EMM بررسی میشود، یک بررسی یکپارچگی Play دیگر انجام میدهد که توسط سرپرست فناوری اطلاعات قابل تنظیم است. سرور EMM قبل از بهروزرسانی خطمشی شرکت در دستگاه، اطلاعات APK را در پاسخ بررسی یکپارچگی و خود پاسخ تأیید میکند.
2.9.3. سرپرستان فناوری اطلاعات میتوانند پاسخهای خطمشی مختلفی را بر اساس نتیجه بررسی یکپارچگی Play تنظیم کنند، از جمله مسدود کردن ارائه، پاک کردن دادههای شرکت و اجازه دادن به ادامه ثبتنام.
- سرویس EMM این پاسخ خط مشی را برای نتیجه هر بررسی یکپارچگی اعمال می کند.
2.9.4. اگر بررسی اولیه Play Integrity ناموفق باشد یا نتیجهای را برگرداند که دارای یکپارچگی قوی نیست، اگر DPC EMM قبلا SecurityWorkingEnvironment را فراخوانی نکرده است، باید این کار را انجام دهد و قبل از تکمیل تدارک، بررسی را تکرار کند.
2.10. اجرای برنامه ها را تأیید کنید
سرپرستان فناوری اطلاعات میتوانند تأیید برنامهها را در دستگاهها روشن کنند. تأیید برنامهها، برنامههای نصبشده در دستگاههای Android را قبل و بعد از نصب، از نظر نرمافزار مضر اسکن میکند و به اطمینان حاصل میشود که برنامههای مخرب نمیتوانند دادههای شرکت را به خطر بیندازند.
2.10.1. DPC EMM باید به طور پیشفرض Verify Apps را روشن کند.
2.11. پشتیبانی مستقیم از بوت
تا زمانی که قفل دستگاه برای اولین بار باز نشود، برنامهها نمیتوانند در دستگاههای Android نسخه ۷.۰ و بالاتر که به تازگی روشن شدهاند اجرا شوند. پشتیبانی از راهاندازی مستقیم تضمین میکند که DPC EMM همیشه فعال است و میتواند خطمشی را اعمال کند، حتی اگر قفل دستگاه باز نشده باشد.
2.11.1. DPC EMM از حافظه رمزگذاری شده دستگاه برای انجام عملکردهای مدیریتی حیاتی قبل از رمزگشایی حافظه رمزگذاری شده اعتبار DPC استفاده می کند. توابع مدیریتی موجود در هنگام راهاندازی مستقیم باید شامل (اما محدود به موارد زیر نیست):
- پاک کردن سازمانی ، از جمله قابلیت پاک کردن دادههای حفاظتی بازنشانی کارخانه در صورت لزوم.
2.11.2. DPC EMM نباید دادههای شرکتی را در فضای ذخیرهسازی رمزگذاریشده دستگاه افشا کند.
2.11.3. EMM ها می توانند رمزی را تنظیم و فعال کنند تا دکمه رمز عبور فراموش شده را در صفحه قفل نمایه کاری روشن کند. از این دکمه برای درخواست از مدیران فناوری اطلاعات برای بازنشانی ایمن رمز عبور نمایه کاری استفاده میشود.
2.12. مدیریت امنیت سخت افزار
مدیران فناوری اطلاعات میتوانند عناصر سختافزاری دستگاههای متعلق به شرکت را قفل کنند تا از جلوگیری از دست دادن داده اطمینان حاصل کنند.
2.12.1. مدیران فناوری اطلاعات می توانند کاربران را از نصب رسانه خارجی فیزیکی بر روی دستگاه خود مسدود کنند .
2.12.2. مدیران فناوری اطلاعات میتوانند کاربران را از اشتراکگذاری دادههای دستگاه خود با استفاده از پرتو NFC مسدود کنند . این ویژگی فرعی اختیاری است زیرا عملکرد پرتو NFC دیگر در اندروید 10 و بالاتر پشتیبانی نمیشود.
2.12.3. مدیران فناوری اطلاعات می توانند کاربران را از انتقال فایل ها از طریق USB از دستگاه خود مسدود کنند .
2.13. ثبت امنیت سازمانی
مدیران فناوری اطلاعات میتوانند دادههای استفاده را از دستگاههایی جمعآوری کنند که میتوان آنها را تجزیه و از نظر رفتار مخرب یا مخاطرهآمیز به صورت برنامهریزی ارزیابی کرد. فعالیتهای ثبتشده شامل فعالیت Android Debug Bridge (adb)، باز شدن برنامه و باز کردن قفل صفحه است.
2.13.1. سرپرستان فناوری اطلاعات میتوانند گزارشهای امنیتی را برای دستگاههای خاص فعال کنند و DPC EMM باید بتواند هم گزارشهای امنیتی و هم گزارشهای امنیتی را از قبل راهاندازی مجدد بهطور خودکار بازیابی کند.
2.13.2. مدیران فناوری اطلاعات میتوانند گزارشهای امنیتی سازمانی را برای یک دستگاه معین و پنجره زمانی قابل تنظیم، در کنسول EMM بررسی کنند.
2.13.3. مدیران فناوری اطلاعات میتوانند گزارشهای امنیتی سازمانی را از کنسول EMM صادر کنند.
3. مدیریت حساب و برنامه
3.1. الزام آور سازمانی
سرپرستان فناوری اطلاعات میتوانند EMM را به سازمان خود متصل کنند و به EMM اجازه دهند از Google Play مدیریت شده برای توزیع برنامهها در دستگاهها استفاده کند.
3.1.1. یک سرپرست با دامنه Google مدیریت شده موجود میتواند دامنه خود را به EMM متصل کند.
3.1.2. کنسول EMM باید بی سر و صدا یک ESA منحصر به فرد را برای هر شرکت تهیه و راه اندازی کند .
3.1.3. با استفاده از Play EMM API ثبت نام یک شرکت را لغو کنید.
3.1.4. کنسول EMM ادمین را راهنمایی می کند تا آدرس ایمیل کاری خود را در جریان ثبت نام اندروید وارد کند و آنها را از استفاده از حساب Gmail منصرف می کند.
3.1.5. EMM آدرس ایمیل سرپرست را از قبل در جریان ثبت نام Android پر می کند.
3.2. تهیه حساب Google Play مدیریت شده
EMM میتواند بیصدا حسابهای کاربری سازمانی، به نام حسابهای مدیریتشده Google Play را ارائه کند. این حسابها کاربران مدیریتشده را شناسایی میکنند و قوانین توزیع برنامه را برای هر کاربر منحصربفرد میسازند.
3.2.1. DPC EMM میتواند بیصدا یک حساب مدیریتشده Google Play را طبق دستورالعملهای پیادهسازی تعریفشده ارائه و فعال کند. در انجام این کار:
- یک حساب Google Play مدیریت شده از نوع
userAccountبه دستگاه اضافه می شود. - حساب مدیریت شده Google Play از نوع
userAccountباید دارای نقشه برداری 1 به 1 با کاربران واقعی در کنسول EMM باشد.
3.3. تهیه حساب دستگاه Google Play مدیریت شده
EMM میتواند حسابهای دستگاه Google Play مدیریت شده ایجاد و ارائه کند. حسابهای دستگاه از نصب بیصدا برنامهها از فروشگاه مدیریتشده Google Play پشتیبانی میکنند و به یک کاربر وابسته نیستند. در عوض، یک حساب دستگاه برای شناسایی یک دستگاه واحد برای پشتیبانی از قوانین توزیع برنامه در هر دستگاه در سناریوهای دستگاه اختصاصی استفاده میشود.
3.3.1. DPC EMM میتواند بیصدا یک حساب مدیریتشده Google Play را طبق دستورالعملهای پیادهسازی تعریفشده ارائه و فعال کند. برای انجام این کار، یک حساب Google Play مدیریت شده از نوع deviceAccount باید به دستگاه اضافه شود.
3.4. تهیه حساب Google Play مدیریت شده برای دستگاههای قدیمی
EMM میتواند بیصدا حسابهای کاربری سازمانی، به نام حسابهای مدیریتشده Google Play را ارائه کند. این حسابها کاربران مدیریتشده را شناسایی میکنند و قوانین توزیع برنامه را برای هر کاربر منحصربفرد میسازند.
3.4.1. DPC EMM میتواند بیصدا یک حساب مدیریتشده Google Play را طبق دستورالعملهای پیادهسازی تعریفشده ارائه و فعال کند. در انجام این کار:
- یک حساب Google Play مدیریت شده از نوع
userAccountبه دستگاه اضافه می شود. - حساب مدیریت شده Google Play از نوع
userAccountباید دارای نقشه برداری 1 به 1 با کاربران واقعی در کنسول EMM باشد.
3.5. توزیع برنامه بی صدا
ادمینهای فناوری اطلاعات میتوانند برنامههای کاری را بیصدا در دستگاههای کاربران بدون هیچ گونه تعاملی با کاربر توزیع کنند.
3.5.1. کنسول EMMs باید از Play EMM API استفاده کند تا به سرپرستان فناوری اطلاعات اجازه دهد برنامههای کاری را در دستگاههای مدیریتشده نصب کنند.
3.5.2. کنسول EMMs باید از Play EMM API استفاده کند تا به سرپرستان فناوری اطلاعات اجازه دهد برنامههای کاری را در دستگاههای مدیریتشده بهروزرسانی کنند.
3.5.3. کنسول EMMs باید از Play EMM API استفاده کند تا به سرپرستان فناوری اطلاعات اجازه دهد برنامهها را در دستگاههای مدیریتشده حذف نصب کنند.
3.6. مدیریت پیکربندی مدیریت شده
سرپرستان فناوری اطلاعات میتوانند پیکربندیهای مدیریتشده یا هر برنامهای را که از پیکربندیهای مدیریتشده پشتیبانی میکند، مشاهده و تنظیم کنند.
3.6.1. کنسول EMM باید بتواند تنظیمات پیکربندی مدیریت شده هر برنامه Play را بازیابی و نمایش دهد.
- EMM ها می توانند با
Products.getAppRestrictionsSchemaتماس بگیرند تا طرح پیکربندی های مدیریت شده یک برنامه را بازیابی کنند یا قاب پیکربندی های مدیریت شده را در کنسول EMM خود جاسازی کنند .
3.6.2. کنسول EMM باید به سرپرستان فناوری اطلاعات اجازه دهد تا با استفاده از Play EMM API، هر نوع پیکربندی (همانطور که در چارچوب Android تعریف شده است) را برای هر برنامه Play تنظیم کنند.
3.6.3. کنسول EMM باید به مدیران فناوری اطلاعات اجازه دهد تا حروف عام را تنظیم کنند (مانند $username$ یا %emailAddress%) تا بتوان یک پیکربندی واحد برای برنامهای مانند Gmail را برای چندین کاربر اعمال کرد. پیکربندی مدیریت شده iframe به طور خودکار از این نیاز پشتیبانی می کند.
3.7. مدیریت کاتالوگ برنامه
سرپرستان فناوری اطلاعات میتوانند فهرستی از برنامههای تأیید شده برای شرکت خود را از Google Play مدیریتشده ( play.google.com/work ) وارد کنند.
3.7.1. کنسول EMM میتواند فهرستی از برنامههای تأیید شده برای توزیع را نمایش دهد، از جمله:
- برنامههای خریداریشده در Google Play مدیریتشده
- برنامه های خصوصی قابل مشاهده برای مدیران فناوری اطلاعات
- برنامه های مورد تایید برنامه
3.8. تأیید برنامه برنامهای
کنسول EMM از iframe مدیریت شده Google Play برای پشتیبانی از قابلیتهای کشف و تأیید برنامه Google Play استفاده میکند. سرپرستان فناوری اطلاعات میتوانند برنامهها را جستجو کنند، برنامهها را تأیید کنند، و مجوزهای برنامه جدید را بدون خروج از کنسول EMM تأیید کنند.
3.8.1. سرپرستان فناوری اطلاعات میتوانند با استفاده از iframe مدیریتشده Google Play، برنامهها را در کنسول EMM جستجو کرده و تأیید کنند.
3.9. مدیریت چیدمان فروشگاهی اولیه
برنامه مدیریت شده Google Play Store را می توان در دستگاه ها برای نصب و به روز رسانی برنامه های کاری استفاده کرد. طرحبندی اصلی فروشگاه بهطور پیشفرض نمایش داده میشود و برنامههای تأییدشده برای شرکت را فهرست میکند، که EMMها بر اساس خطمشیها، بر اساس کاربران همتا فیلتر میکنند.
3.9.1. سرپرستهای فناوری اطلاعات میتوانند [مجموعههای محصولات موجود کاربران را مدیریت کنند]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) اجازه مشاهده و نصب برنامهها را از فروشگاه Google Play مدیریت شده در بخش «فروشگاه خانه» بدهند.
3.10. پیکربندی طرحبندی فروشگاه پیشرفته
سرپرستان فناوری اطلاعات میتوانند طرحبندی فروشگاهی را که در برنامه فروشگاه مدیریتشده Google Play در دستگاهها مشاهده میشود، سفارشی کنند.
3.10.1. سرپرستان فناوری اطلاعات میتوانند اقدامات زیر را در کنسول EMM برای سفارشی کردن طرحبندی فروشگاه Google Play مدیریت شده انجام دهند:
- حداکثر 100 صفحه طرح فروشگاه ایجاد کنید. صفحات می توانند تعداد دلخواه نام صفحه محلی داشته باشند.
- برای هر صفحه حداکثر 30 خوشه ایجاد کنید. خوشه ها می توانند تعداد دلخواه نام خوشه های محلی داشته باشند.
- حداکثر 100 برنامه را به هر خوشه اختصاص دهید.
- حداکثر 10 پیوند سریع به هر صفحه اضافه کنید.
- ترتیب مرتبسازی برنامهها را در یک کلاستر و خوشهها در یک صفحه را مشخص کنید.
3.11. مدیریت مجوز برنامه
سرپرستان فناوری اطلاعات می توانند مجوزهای برنامه خریداری شده در Google Play مدیریت شده را از کنسول EMM مشاهده و مدیریت کنند.
3.11.1. برای برنامههای پولی تأیید شده برای یک شرکت، کنسول EMM باید موارد زیر را نمایش دهد :
- تعداد مجوزهای خریداری شده
- تعداد مجوزهای مصرف شده و کاربرانی که مجوزها را مصرف می کنند.
- تعداد مجوزهای موجود برای توزیع
3.11.2. مدیران فناوری اطلاعات میتوانند بیصدا مجوزهایی را به کاربران اختصاص دهند بدون اینکه مجبور شوند آن برنامه را روی دستگاههای کاربران نصب کنند.
3.11.3. سرپرستان فناوری اطلاعات می توانند مجوز برنامه را از یک کاربر لغو کنند .
3.12. مدیریت برنامه های خصوصی میزبانی شده توسط گوگل
سرپرستان فناوری اطلاعات میتوانند برنامههای خصوصی میزبانی شده توسط Google را از طریق کنسول EMM بهروزرسانی کنند و نه از طریق کنسول Google Play.
3.12.1. سرپرستان فناوری اطلاعات میتوانند نسخههای جدید برنامههایی را که قبلاً بهصورت خصوصی منتشر شدهاند، با استفاده از:
3.13. مدیریت برنامه خصوصی با میزبانی خود
مدیران فناوری اطلاعات میتوانند برنامههای خصوصی خود میزبانی شده را راهاندازی و منتشر کنند. برخلاف برنامههای خصوصی میزبانی شده توسط Google، Google Play فایلهای APK را میزبانی نمیکند. درعوض، EMM به سرپرستان فناوری اطلاعات کمک میکند تا خود فایلهای APK را میزبانی کنند و با تأیید اینکه برنامههای خود میزبانیشده فقط در صورت مجوز توسط Google Play مدیریتشده میتوانند نصب شوند، به محافظت از آنها کمک میکند.
مدیران فناوری اطلاعات می توانند برای جزئیات بیشتر به پشتیبانی از برنامه های خصوصی مراجعه کنند.
3.13.1. کنسول EMM باید با ارائه هر دو گزینه زیر به مدیران فناوری اطلاعات کمک کند تا APK برنامه را میزبانی کنند:
- میزبانی APK در سرور EMM. سرور می تواند در بستر یا مبتنی بر ابر باشد.
- میزبانی APK در خارج از سرور EMM، به صلاحدید سرپرست فناوری اطلاعات. سرپرست فناوری اطلاعات باید در کنسول EMM محل میزبانی APK را مشخص کند.
3.13.2. کنسول EMM باید یک فایل تعریف APK مناسب با استفاده از APK ارائه شده ایجاد کند و باید مدیران فناوری اطلاعات را در فرآیند انتشار راهنمایی کند.
3.13.3. سرپرستان فناوری اطلاعات میتوانند برنامههای خصوصی میزبانی شده خود را بهروزرسانی کنند، و کنسول EMM میتواند بهطور بیصدا فایلهای تعریف APK بهروزرسانیشده را با استفاده از Google Play Developer Publishing API منتشر کند.
3.13.4. سرور EMM فقط درخواستهای دانلود را برای APK خود میزبانی ارائه میکند که حاوی یک JWT معتبر در کوکی درخواست است، همانطور که توسط کلید عمومی برنامه خصوصی تأیید شده است.
- برای تسهیل این فرآیند، سرور EMM باید سرپرستان فناوری اطلاعات را راهنمایی کند تا کلید عمومی مجوز برنامه خود میزبان را از کنسول Play Google Play دانلود کنند و این کلید را در کنسول EMM بارگذاری کنند.
3.14. اعلان های کشش EMM
به جای پرس و جوی دورهای Play برای شناسایی رویدادهای گذشته مانند بهروزرسانی برنامهای که حاوی مجوزهای جدید یا پیکربندیهای مدیریتشده است، اعلانهای کششی EMM بهطور فعالانه EMM را از چنین رویدادهایی در زمان واقعی مطلع میکند و به EMM اجازه میدهد تا اقدامات خودکار انجام دهد و اعلانهای اداری سفارشی را بر اساس این رویدادها ارائه دهد.
3.14.1. EMM باید از اعلانهای EMM Play برای جمعآوری مجموعههای اعلان استفاده کند.
3.14.2. EMM باید به طور خودکار یک سرپرست فناوری اطلاعات (به عنوان مثال از طریق یک ایمیل خودکار) را از رویدادهای اعلان زیر مطلع کند:
-
newPermissionEvent: به یک سرپرست فناوری اطلاعات نیاز دارد تا مجوزهای برنامه جدید را قبل از نصب بیصدا یا بهروزرسانی برنامه در دستگاههای کاربران تأیید کند. -
appRestrictionsSchemaChangeEvent: ممکن است به سرپرست فناوری اطلاعات نیاز داشته باشد که پیکربندی مدیریت شده برنامه را برای حفظ کارایی مورد نظر به روز کند. -
appUpdateEvent: ممکن است مورد توجه مدیران فناوری اطلاعات باشد که می خواهند تأیید کنند که عملکرد جریان کار اصلی تحت تأثیر به روز رسانی برنامه قرار نمی گیرد. -
productAvailabilityChangeEvent: ممکن است بر توانایی نصب برنامه یا دریافت بهروزرسانی برنامه تأثیر بگذارد. -
installFailureEvent: Play قادر به نصب بیصدا یک برنامه بر روی دستگاه نیست، این نشان میدهد که ممکن است چیزی در مورد پیکربندی دستگاه وجود داشته باشد که مانع از نصب شود. EMM ها نباید بلافاصله پس از دریافت این اعلان، نصب بی صدا را دوباره امتحان کنند، زیرا منطق تلاش مجدد خود Play قبلاً شکست خورده است.
3.14.3. EMM به طور خودکار اقدامات مناسب را بر اساس رویدادهای اعلان زیر انجام می دهد:
-
newDeviceEvent: در طول تهیه دستگاه، EMMها باید قبل از برقراری تماسهای بعدی Play EMM API برای دستگاه جدید، از جمله نصب برنامههای بیصدا و تنظیم پیکربندیهای مدیریتشده، منتظرnewDeviceEventباشند. -
productApprovalEvent: پس از دریافت اعلانproductApprovalEvent، EMM باید بهطور خودکار فهرست برنامههای تأییدشده وارد شده به کنسول EMM را برای توزیع در دستگاهها بهروزرسانی کند، اگر جلسه سرپرست فناوری اطلاعات فعال باشد، یا اگر فهرست برنامههای تأییدشده بهطور خودکار در شروع هر جلسه سرپرست فناوری اطلاعات بارگیری مجدد نشود.
3.15. الزامات استفاده از API
EMM APIهای Google را در مقیاس پیادهسازی میکند و از الگوهای ترافیکی که میتواند بر توانایی مدیران فناوری اطلاعات برای مدیریت برنامهها در محیطهای تولید تأثیر منفی بگذارد، اجتناب میکند.
3.15.1. EMM باید به محدودیتهای استفاده از Play EMM API پایبند باشد. اصلاح نکردن رفتاری که فراتر از این دستورالعملها باشد ممکن است به صلاحدید Google منجر به تعلیق استفاده از API شود.
3.15.2. EMM باید ترافیک شرکت های مختلف را در طول روز توزیع کند، نه اینکه ترافیک سازمانی را در زمان های خاص یا مشابه یکپارچه کند. Behavior that fits this traffic pattern, such as scheduled batch operations for each device enrolled, may result in suspending API use, at Google's discretion.
3.15.3. The EMM shouldn't make consistent, incomplete, or deliberately incorrect requests that make no attempt to retrieve or manage actual enterprise data. Behavior that fits this traffic pattern may result in suspended API use, at Google's discretion.
3.16. Advanced managed configuration management
3.16.1. The EMM's console must be able to retrieve and display the managed configuration settings (nested up to four levels) of any Play app, using:
- The Managed Google Play iFrame , or
- a custom UI.
3.16.2. The EMM's console must be able to retrieve and display any feedback returned by an app's feedback channel , when set up by an IT admin.
- The EMM's console must allow IT admins to associate a specific feedback item with the device and app it originated from.
- The EMM's console must allow IT admins to subscribe to alerts or reports of specific message types (such as error messages).
3.16.3. The EMM's console must only send values that either have a default value or are manually set by the admin using:
- The managed configurations iframe, or
- A custom UI.
3.17. Web app management
IT admins can create and distribute web apps in the EMM console.
3.17.1. IT admins can use the EMM's console to distribute shortcuts to web apps using:
- The Managed Google Play iframe , or
- the Play EMM API .
3.18. Managed Google Play account lifecycle management
The EMM can create, update, and delete managed Google Play Accounts on behalf of IT admins.
3.18.1. EMMs can manage the lifecycle of a managed Google Play Account according to the implementation guidelines defined in the Play EMM API developer documentation.
3.18.2. EMMs can reauthenticate managed Google Play Accounts without user interaction.
3.19. Application track management
3.19.1. IT admins can pull a list of track IDs set by a developer for a particular app.
3.19.2. IT admins can set devices to use a particular development track for an application.
3.20. Advanced application update management
3.20.1. IT admins can allow apps to use high-priority app updates to be updated when an update is ready.
3.20.2. IT admins can allow apps to have their app updates postponed for 90 days.
3.21. Provisioning methods management
The EMM can generate provisioning configurations and present these to the IT admin in a form ready for distribution to end users (such as QR code, zero-touch configuration, Play Store URL).
3.22. Upgrade Enterprise binding
IT admins can upgrade the enterprise binding type to a managed Google Domain enterprise, allowing the organization to access Google Account services and features on enrolled devices.
3.22.1. The EMM console allows the IT admin to trigger the upgrade of an existing managed Google Play Accounts enterprise to a managed Google Domain enterprise using the requisite APIs .
3.22.2. EMMs should use Pub/Sub to receive notifications about IT admin-initiated upgrade events (even those occurring outside the EMM console) and update their UI to reflect these changes.
3.23. Managed Google Account provisioning
The EMM can provision a device with enterprise user accounts , called managed Google Accounts. These accounts identify managed users and allow app distribution rules, and allow access to Google services. IT admins can additionally set a policy to require managed Google Account authentication during or after enrollment.
3.23.1. The EMM's DPC can provision a managed Google Account according to the defined implementation guidelines .
In doing so:
- A managed Google Account is added to the device.
- The managed Google Account must have a 1 to 1 mapping with actual users in the EMM's console.
3.23.2. The IT admin can use the policy to provide users the option to sign in to a managed Google Account for enrollment.
3.23.3. The IT admin can use the policy to control whether the user is required to sign in to a managed Google Account to complete enrollment.
3.23.4. IT admins can optionally restrict the upgrade flow to a specific account identifier (email address) for a given device.
3.24. Managed Google Play Account upgrade
IT admins can upgrade the user account type to a managed Google Account , allowing the device to access Google Account services and features on enrolled devices.
3.24.1. IT admins can upgrade an existing managed Google Play Account on a device to a managed Google Account.
3.24.2. IT admins can optionally restrict the upgrade flow to a specific account identifier (email address) for a given device.
4. Device management
4.1. Runtime permission policy management
IT admins can silently set a default response to runtime permission requests made by work apps.
4.1.1. IT admins must be able to choose from the following options when setting a default runtime permission policy for their organization:
- prompt (allows users to choose)
- اجازه می دهد
- انکار کند
The EMM should enforce these settings using the EMM's DPC .
4.2. Runtime permission grant state management
After setting a default runtime permission policy (go to 4.1.), IT admins can silently set responses for specific permissions from any work app built on API 23 or higher.
4.2.1. IT admins must be able to set the grant state (default, grant, or deny) of any permission requested by any work app built on API 23 or higher. The EMM should enforce these settings using the EMM's DPC .
4.3. Wi-Fi configuration management
IT admins can silently provision enterprise Wi-Fi configurations on managed devices, including:
4.3.1. SSID, using the EMM's DPC .
4.3.2. Password, using the EMM's DPC .
4.4. Wi-Fi security management
IT admins can provision enterprise Wi-Fi configurations on managed devices that include the following advanced security features:
4.4.1. Identity, using the EMM's DPC .
4.4.2. Certificate for clients authorization, using the EMM's DPC .
4.4.3. CA certificate(s), using the EMM's DPC .
4.5. Advanced Wi-Fi management
IT admins can lock down Wi-Fi configurations on managed devices, to prevent users from creating configurations or modifying corporate configurations.
4.5.1. IT admins can lock down corporate Wi-Fi configurations in either of the following configurations:
- Users cannot modify any Wi-Fi configurations provisioned by the EMM , but may add and modify their own user-configurable networks (for example personal networks).
- Users cannot add or modify any Wi-Fi network on the device , limiting Wi-Fi connectivity to just those networks provisioned by the EMM.
4.6. مدیریت حساب
IT admins can verify that unauthorized corporate accounts can't interact with corporate data, for services such as SaaS storage and productivity apps, or email. Without this feature, personal accounts can be added to those corporate apps that also support consumer accounts, allowing them to share corporate data with those personal accounts.
4.6.1. IT admins can prevent adding or modifying accounts .
- When enforcing this policy on a device, EMMs must set this restriction before provisioning is complete, to ensure you cannot circumvent this policy by adding accounts before the policy is enacted.
4.7. Workspace account management
This feature is deprecated. See 3.23. for replacement requirements.
4.8. مدیریت گواهی
Allows IT admins to deploy identity certificates and certificate authorities to devices to allow access to corporate resources.
4.8.1. IT admins can install user identity certs generated by their PKI on a per-user basis. The EMM's console must integrate with at least one PKI and distribute certificates generated from that infrastructure.
4.8.2. IT admins can install certificate authorities in the managed keystore.
4.9. Advanced certificate management
Allows IT admins to silently select the certificates that specific managed apps should use. This feature also grants IT admins the ability to remove CAs and identity certs from active devices. This feature prevents users from modifying credentials stored in the managed keystore.
4.9.1. For any app distributed to devices, IT admins can specify a certificate the app will be silently granted access to during runtime.
- Certificate selection must be generic enough to allow a single configuration that applies to all users, each of which may have a user-specific identity certificate.
4.9.2. IT admins can silently remove certificates from the managed keystore.
4.9.3. IT admins can silently uninstall a CA certificate , or all non-system CA certificates .
4.9.4. IT admins can prevent users from configuring credentials in the managed keystore.
4.9.5. IT admins can pre-grant certificates for work apps.
4.10. Delegated certificate management
IT admins can distribute a third-party certificate management app to devices and grant that app privileged access to install certificates into the managed keystore.
4.10.1. IT admins specify a certificate management package to set as the delegated certificate management app by the DPC.
- Console may optionally suggest known certificate management packages, but must allow the IT admin to choose from the list of apps available for install, for applicable users.
4.11. Advanced VPN management
Allows IT admins to specify an Always On VPN to verify that the data from specified managed apps will always go through a set up VPN.
4.11.1. IT admins can specify an arbitrary VPN package to be set as an Always On VPN.
- The EMM's console may optionally suggest known VPN packages that support Always On VPN, but can't restrict the VPNs available for Always On configuration to any arbitrary list.
4.11.2. IT admins can use managed configurations to specify the VPN settings for an app.
4.12. IME management
IT admins can manage what input methods (IMEs) can be set up for devices. Since the IME is shared across both work and personal profiles, blocking use of IMEs will prevent allowing those IMEs for personal use as well. IT admins may not, however, block system IMEs on work profiles (go to advanced IME management for more details).
4.12.1. IT admins can set up an IME allowlist of arbitrary length (including an empty list, which blocks non-system IMEs), which may contain any arbitrary IME packages.
- The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.
4.12.2. The EMM must inform IT admins that system IMEs are excluded from management on devices with work profiles.
4.13. Advanced IME management
IT admins can manage what input methods (IMEs) can be set up for devices. Advanced IME management extends the basic feature by allowing IT admins to manage the use of system IMEs as well, which are typically provided by the device manufacturer or carrier of the device.
4.13.1. IT admins can set up an IME allowlist of arbitrary length (excluding an empty list, which blocks all IMEs including system IMEs), which may contain any arbitrary IME packages.
- The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.
4.13.2. EMMs must prevent IT admins from setting up an empty allowlist, as this setting will block all IMEs including system IMEs from being set up on the device.
4.13.3. EMMs must verify that if an IME allowlist does not contain system IMEs, the third-party IMEs are silently installed before the allowlist is applied on the device.
4.14. Accessibility services management
IT admins can manage what accessibility services can be allowed on users' devices. While accessibility services are powerful tools for users with disabilities or those that are temporarily unable to fully interact with their device, they may interact with corporate data in ways that are non-compliant with corporate policy. This feature allows IT admins to turn off any non-system accessibility service.
4.14.1. IT admins can set up an accessibility service allowlist of arbitrary length (including an empty list, which blocks non-system accessibility services), which may contain any arbitrary accessibility service package. When applied to a work profile, this affects both the personal profile and the work profile.
- Console may optionally suggest known or recommended accessibility services to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.
4.15. Location Sharing management
IT admins can prevent users from sharing location data with apps in the work profile. Otherwise, the location setting for work profiles is configurable in Settings.
4.15.1. IT admins can disable location services within the work profile.
4.16. Advanced Location Sharing management
IT admins can enforce a given Location Sharing setting on a managed device. This feature can ensure that corporate apps always have access to high accuracy location data. This feature can also ensure that extra battery is not consumed by restricting location settings to battery saving mode.
4.16.1. IT admins can set the device location services to each of the following modes:
- دقت بالا.
- Sensors only, for example GPS, but not including network-provided location.
- Battery saving, which limits the update frequency.
- خاموش
4.17. Factory reset protection management
Allows IT admins to protect company-owned devices from theft by ensuring unauthorized users can't factory reset devices. If factory reset protection introduces operational complexities when devices are returned to IT, IT admins can also turn off factory reset protection entirely.
4.17.1. IT admins can prevent users from factory resetting their device from Settings.
4.17.2. IT admins can specify corporate unlock accounts authorized to provision devices after a factory reset.
- This account can be tied to an individual, or used by the entire enterprise to unlock devices.
4.17.3. IT admins can disable factory reset protection for specified devices.
4.17.4. IT admins can start a remote device wipe that optionally wipes reset protection data , thus removing factory reset protection on the reset device.
4.18. Advanced app control
IT admins can prevent the user from uninstalling or otherwise modifying managed apps through Settings, for example force closing the app or clearing an app's data cache.
4.18.1. IT admins can block uninstall of any arbitrary managed apps, or all managed apps .
4.18.2. IT admins can prevent users from modifying application data from Settings.
4.19. Screen capture management
IT admins can block users from taking screenshots when using managed apps. This setting includes blocking screen sharing apps and similar apps (such as Google Assistant) that use the system screenshot capabilities.
4.19.1. IT admins can prevent users from capturing screenshots .
4.20. Disable cameras
IT admins can turn off use of device cameras by managed apps.
4.20.1. IT admins can turn off use of device cameras by managed apps.
4.21. Network statistics collection
IT admins can query network usage statistics from a device's work profile. The statistics collected reflect the usage data shared with users in the Data usage section of Settings. The collected statistics are applicable to usage of apps within the work profile.
4.21.1. IT admins can query the network statistics summary for a work profile , for a given device and configurable time window, and view these details in the EMM's console.
4.21.2. IT admins can query a summary of an app in the work profile's network use statistics , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.21.3. IT admins can query a work profile's network use historical data , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.22. Advanced network statistics collection
IT admins can query network usage statistics for an entire managed device. The statistics collected reflect the use data shared with users in the Data Use section of Settings. The statistics collected are applicable to use of apps on the device.
4.22.1. IT admins can query the network statistics summary for an entire device , for a given device and configurable time window, and view these details in the EMM's console.
4.22.2. IT admins can query a summary of app network use statistics , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.22.3. IT admins can query the network use historical data , for a given device and configurable time window, and view these details organized by UID in the EMM's console.
4.23. Reboot device
IT admins can remotely restart managed devices.
4.23.1. IT admins can remotely reboot a managed device.
4.24. System radio management
Allows IT admins granular management over system network radios and associated use policies.
4.24.1. IT admins can disable cell broadcasts sent by service providers (for example, AMBER alerts).
4.24.2. IT admins can prevent users from modifying mobile network settings in Settings .
4.24.3. IT admins can prevent users from resetting network settings in Settings .
4.24.4. IT admins can allow or disallow mobile data while roaming .
4.24.5. IT admins can set up whether the device can make outgoing phone calls , excluding emergency calls.
4.24.6. IT admins can set up whether the device can send and receive text messages .
4.24.7. IT admins can prevent users from using their device as a portable hotspot by tethering .
4.24.8. IT admins can set the Wi-Fi timeout to the default , only while plugged in , or never .
4.24.9. IT admins can prevent users from setting up or modifying existing Bluetooth connections .
4.25. System audio management
IT admins can silently manage device audio features, including muting the device, preventing users from changing volume settings, and preventing users from unmuting the device microphone.
4.25.1. IT admins can silently mute managed devices .
4.25.2. IT admins can prevent users from modifying device volume settings .
4.25.3. IT admins can prevent users from unmuting the device microphone .
4.26. System clock management
IT admins can manage device clock and time zone settings, and prevent users from modifying automatic device settings.
4.26.1. IT admins can enforce system auto time , preventing the user from setting the date and time of the device.
4.26.2. IT admins can silently turn off or on both auto time and auto timezone .
4.27. Advanced dedicated device features
Provides IT admins with the ability to manage more granular dedicated device features to support various kiosk use cases.
4.27.1. IT admins can disable the device keyguard .
4.27.2. IT admins can turn off the device status bar , blocking notifications and Quick Settings.
4.27.3. IT admins can force the device screen to remain on while the device is plugged in.
4.27.4. IT admins can prevent the following system UIs from being displayed:
- نان تست
- Application overlays.
4.27.5. IT admins can allow the system recommendation for apps to skip their user tutorial and other introductory hints on first start-up.
4.28. Delegated scope management
IT admins are able to delegate extra privileges to individual packages.
4.28.1. IT admins can manage the following scopes:
- Certificate installation and management
- Deliberately blank
- ثبت شبکه
- Security logging (not supported for work profile on personally-owned device)
4.29. Enrollment-specific ID support
Starting in Android 12, work profiles will no longer have access to hardware-specific identifiers. IT admins can follow the lifecycle of a device with a work profile through the enrollment-specific ID, which will persist through factory resets.
4.29.1. IT admins can set and obtain an enrollment-specific ID
4.29.2. This enrollment-specific ID must persist through a factory reset
4.30. Credential manager policy
IT admins can manage which credential manager applications are allowed or blocked using policy .
4.30.1 IT admins can optionally block all credential managers on the device (or within the work profile).
4.30.2 IT admins can specify allowing only pre-loaded (system apps) credential managers.
4.30.3 IT admins can specify a list of package names which are allowed to offer credential manager functionality.
4.31. Basic eSIM management
Allows IT admins to provision a device with an eSIM profile and manage its lifecycle on the device.
4.31.1 IT admins can silently provision an eSIM profile onto a device.
4.31.2 IT admins can delete managed eSIMs from a device.
4.31.3 IT admins can prevent users from modifying mobile network settings in Settings (go to mobileNetworksConfigDisabled ).
4.31.4 When an IT admin performs a remote wipe on a device or a work profile, they have the option to also remove the managed eSIMs from the device. By default, managed eSIMs are removed from work profiles on personally-owned devices, but retained on company-owned devices.
4.31.5 (OPTIONAL) IT admins can retrieve the EID (Embedded Identity Document) identifier of a device using the EMM console UI (or equivalent method) and export these values.
5. Device usability
5.1. Managed provisioning customization
IT admins can modify the default setup flow UX to include enterprise-specific features. Optionally, IT admins can display EMM-provided branding during provisioning.
5.1.1. IT admins can customize the provisioning process by specifying the following enterprise-specific details: enterprise color , enterprise logo , enterprise terms of service and other disclaimers .
5.1.2. IT admins can deploy a non-configurable, EMM-specific customization that includes the following details: EMM color , EMM logo , EMM terms of service and other disclaimers .
5.1.3 [ primaryColor ] has been deprecated for the enterprise resource on Android 10 and higher.
- EMMs must include provisioning Terms of Service and other disclaimers for their provisioning flow in the system provisioning disclaimers bundle , even if the EMM-specific customization is not used.
- EMMs may set their non-configurable, EMM-specific customization as the default for all deployments, but must allow IT admins to set up their own customization.
5.2. Enterprise customization
IT admins can customize aspects of the work profile with corporate branding. For example, IT admins can set the user icon in the work profile to the corporate logo. Another example is setting up the background color of the work challenge.
5.2.1. IT admins can set the organization color , to be used as the background color of work challenge.
5.2.2. IT admins can set the display name of work profile .
5.2.3. IT admins can set the user icon of the work profile .
5.2.4. IT admins can prevent the user from modifying the work profile user icon .
5.3. Advanced enterprise customization
IT admins can customize managed devices with corporate branding. For example, IT admins can set the primary user icon to the corporate logo, or set the device wallpaper.
5.3.1. IT admins can set the display name for the managed device .
5.3.2. IT admins can set the user icon of the managed device .
5.3.3. IT admins can prevent the user from modifying the device user icon .
5.3.4. IT admins can set the device wallpaper .
5.3.5. IT admins can prevent the user from modifying the device wallpaper .
5.4. Lock screen messages
IT admins can set a custom message that's always displayed on the device lock screen, and does not require device unlock to be viewed.
5.4.1. IT admins can set a custom lock screen message .
5.5. Policy transparency management
IT admins can customize the help text provided to users when they modify managed settings on their device, or deploy an EMM-supplied generic support message. Both short and long support messages can be customized. These messages are displayed in instances such as attempting to uninstall a managed app for which an IT admin has already blocked uninstallation.
5.5.1. IT admins customize both the short and long support messages.
5.5.2. IT admins can deploy non-configurable, EMM-specific short and long support messages.
- EMM may set their non-configurable, EMM-specific support messages as the default for all deployments, but must allow IT admins to set up their own messages.
5.6. Cross-profile contact management
IT admins can control what contact data can leave the work profile. Both telephony and messaging (SMS) apps must run in the personal profile, and require access to work profile contact data to offer efficiency for work contacts, but admins may choose to disable these features to protect work data.
5.6.1. IT admins can disable cross-profile contact search for personal apps that use the system contacts provider.
5.6.2. IT admins can disable cross-profile caller ID lookup for personal dialer apps that use the system contacts provider.
5.6.3. IT admins can disable bluetooth contact sharing with bluetooth devices that use the system contacts provider, for example hands-free calling in cars or headsets.
5.7. Cross-profile data management
Grants IT admins management over what data can leave the work profile, beyond the default security features of the work profile. With this feature, IT admins can allow select types of cross-profile data sharing to improve usability in key use cases. IT admins can also further protect corporate data with more lockdowns.
5.7.1. IT admins can configure cross-profile intent filters so that personal apps can resolve intent from the work profile such as sharing intents or web links.
- Console may optionally suggest known or recommended intent filters for configuration, but can't restrict intent filters to any arbitrary list.
5.7.2. IT admins can allow managed apps that can display widgets on the homescreen.
- The EMM's console must provide IT admins the ability to choose from the list of apps that are available for install to applicable users.
5.7.3. IT admins can block the use of copy/paste between the work and personal profiles .
5.7.4. IT admins can block users from sharing data from the work profile using NFC beam .
5.7.5. IT admins can permit personal apps to open web links from the work profile .
5.8. System update policy
IT admins can set up and apply over-the-air (OTA) system updates for devices.
5.8.1. The EMM's console allows IT admins to set the following OTA configurations:
- Automatic: Devices install OTA updates when they become available.
- Postpone: IT admins must be able to postpone OTA update for up to 30 days. This policy does not affect security updates (eg monthly security patches).
- Windowed: IT admins must be able to schedule OTA updates within a daily maintenance window.
5.8.2. The EMM's DPC applies OTA configurations to devices.
5.9. Lock task mode management
IT admins can lock an app or set of apps to the screen, and ensure that users can't exit the app.
5.9.1. The EMM's console allows IT admins to silently allow an arbitrary set of apps to install and lock to a device. The EMM's DPC allows dedicated device mode.
5.10. Persistent preferred activity management
Allows IT admins to set an app as the default intent handler for intents that match a certain intent filter. For example, allowing IT admins to choose which browser app automatically opens web links, or which launcher app is used when tapping the home button.
5.10.1. IT admins can set any package as the default intent handler for any arbitrary intent filter.
- The EMM's console may optionally suggest known or recommended intents for configuration, but cannot restrict intents to any arbitrary list.
- The EMM's console must allow IT admins to choose from the list of apps that are available to install for applicable users.
5.11. Keyguard feature management
- trust agents
- fingerprint unlock
- unredacted notifications
5.11.2. The EMM's DPC can turn off the following keyguard features in the work profile:
- trust agents
- fingerprint unlock
5.12. Advanced keyguard feature management
- Secure camera
- All notifications
- Unredacted notifications
- Trust agents
- Fingerprint unlock
- All keyguard features
5.13. اشکال زدایی از راه دور
IT admins can retrieve debugging resources from devices without requiring extra steps.
5.13.1. IT admins can remotely request bug reports , view bug reports from the EMM's console, and download bug reports from the EMM's console.
5.14. MAC address retrieval
EMMs can silently fetch a device's MAC address. The MAC address can be used to identify devices in other parts of the enterprise infrastructure (for example when identifying devices for network access control).
5.14.1. The EMM can silently retrieve a device's MAC address and can associate it with the device in the EMM's console.
5.15. Advanced lock task mode management
When a device is set up as a dedicated device, IT admins can use the EMM's console to perform the following tasks:
5.15.1. Silently allow a single app to lock to a device using the EMM's DPC .
5.15.2. Turn on or turn off the following System UI features using the EMM's DPC :
- دکمه صفحه اصلی
- نمای کلی
- اقدامات جهانی
- اطلاعیه ها
- System info / Status bar
- Keyguard (lock screen)
5.15.3. Turn off System Error dialogs using the EMM's DPC .
5.16. Advanced system update policy
IT admins can block system updates on a device for a specified freeze period.
5.16.1. The EMM's DPC can apply over-the-air (OTA) system updates to devices for a specified freeze period.
5.17. Work profile policy transparency management
IT admins can customize the message displayed to users when removing the work profile from a device.
5.17.1. IT admins can provide custom text to display when a work profile is wiped.
5.18. Connected app support
IT admins can set a list of packages that can communicate across the work profile boundary.
5.19. Manual System Updates
IT admins can manually install a system update by providing a path.
6. Device Admin Deprecation
6.1. Device Admin Deprecation
EMMs are required to post a plan by the end of 2022 ending customer support for Device Admin on GMS devices by the end of Q1 2023.
7. API usage
7.1. Standard policy controller for new bindings
By default devices must be managed using Android Device Policy for any new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology. New customers must not be exposed to an arbitrary choice between technology stacks during any onboarding or setup workflows.
7.2. Standard policy controller for new devices
By default devices must be managed using Android Device Policy for all new device enrollments, for both existing and new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology.