На этой странице представлен полный набор функций Android Enterprise.
Если вы планируете управлять более чем 500 устройствами, ваше решение EMM должно поддерживать все стандартные функции ( ) хотя бы одного набора решений, прежде чем оно станет коммерчески доступным. Решения EMM, прошедшие стандартную проверку функций, перечислены в каталоге корпоративных решений Android как предлагающие стандартный набор управления .
Для каждого набора решений доступен дополнительный набор расширенных функций. Эти функции обозначены на каждой странице набора решений: рабочий профиль , полностью управляемое устройство и выделенное устройство . Решения EMM, прошедшие расширенную проверку функций, перечислены в каталоге корпоративных решений Android как предлагающие расширенный набор управления .
Примечание. Использование Android Management API регулируется политикой допустимого использования .
Ключ
| стандартная функция | дополнительная функция | неприменимо |
1. Подготовка устройства
1.1. Предоставление рабочего профиля DPC-first
Вы можете предоставить рабочий профиль после загрузки ЦОД EMM из Google Play.
1.1.1. ЦОД EMM должен быть общедоступным в Google Play, чтобы пользователи могли установить ЦОД на личной стороне устройства.
1.1.2. После установки ЦОД должен провести пользователя через процесс подготовки рабочего профиля.
1.1.3. После завершения подготовки на личной стороне устройства не может оставаться никакого присутствия руководства .
- Любые политики, введенные во время подготовки, должны быть удалены.
- Привилегии приложения должны быть отозваны.
- ЦОД EMM должен быть как минимум отключен на персональной стороне устройства.
1.2. Предоставление устройства с идентификатором DPC
ИТ-администраторы могут предоставить полностью управляемое или выделенное устройство, используя идентификатор DPC («afw#»), в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Play EMM API .
1.2.1. ЦОД EMM должен быть общедоступным в Google Play. DPC должен быть установлен с помощью мастера настройки устройства путем ввода идентификатора DPC.
1.2.2. После установки ЦОД EMM должен провести пользователя через процесс подготовки полностью управляемого или выделенного устройства.
1.3. Предоставление устройств NFC
Теги NFC могут использоваться ИТ-администраторами для подготовки новых устройств или устройств с заводскими настройками в соответствии с рекомендациями по внедрению, определенными в документации для разработчиков Play EMM API .
1.3.1. EMM должны использовать теги NFC Forum Type 2 с объемом памяти не менее 888 байт. При подготовке необходимо использовать дополнительные возможности подготовки для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство. Регистрационные данные не должны включать конфиденциальную информацию, такую как пароли или сертификаты.
1.3.2. После того как ЦОД EMM назначит себя владельцем устройства, ЦОД должен немедленно открыться и зафиксироваться на экране до тех пор, пока устройство не будет полностью подготовлено.
1.3.3. Мы рекомендуем использовать теги NFC для Android 10 и более поздних версий, поскольку поддержка NFC Beam (также известной как NFC Bump) устарела.
1.4. Предоставление устройства с помощью QR-кода
ИТ-администраторы могут использовать новое устройство или устройство с заводскими настройками для сканирования QR-кода, сгенерированного консолью EMM, для подготовки устройства в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Play EMM API .
1.4.1. QR-код должен использовать дополнительные возможности для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство. Регистрационные данные не должны включать конфиденциальную информацию, такую как пароли или сертификаты.
1.4.2. После того как ЦОД EMM настроит устройство, ЦОД должен немедленно открыться и зафиксироваться на экране до тех пор, пока устройство не будет полностью подготовлено.
1,5. Регистрация без участия пользователя
ИТ-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров , и управлять ими с помощью консоли EMM.
1.5.1. ИТ-администраторы могут подготавливать корпоративные устройства, используя метод автоматической регистрации, описанный в разделе Автоматическая регистрация для ИТ-администраторов .
1.5.2. При первом включении устройства автоматически переводятся настройки, определенные ИТ-администратором.
1.6. Расширенная автоматическая настройка
ИТ-администраторы могут автоматизировать большую часть процесса регистрации устройств, развертывая сведения о регистрации ЦОД посредством автоматической регистрации. ЦОД EMM поддерживает ограничение регистрации определенными учетными записями или доменами в соответствии с параметрами конфигурации, предлагаемыми EMM.
1.6.1. ИТ-администраторы могут подготовить принадлежащее компании устройство, используя метод автоматической регистрации, описанный в разделе «Автоматическая регистрация для ИТ-администраторов» .
1.6.2. После того как ЦОД EMM настроит устройство, ЦОД EMM должен немедленно открыться и зафиксироваться на экране до тех пор, пока устройство не будет полностью подготовлено.
- Это требование не применяется к устройствам, которые используют регистрационные данные автоматической регистрации для полной автоматической подготовки (например, при развертывании выделенного устройства).
1.6.3. Используя регистрационные данные, ЦОД EMM должен гарантировать, что неавторизованные пользователи не смогут продолжить активацию после вызова ЦОД. Как минимум, активация должна быть доступна только пользователям данного предприятия.
1.6.4. Используя регистрационные данные, ЦОД EMM должен предоставить ИТ-администраторам возможность предварительно заполнить регистрационные данные (например, идентификаторы сервера, идентификаторы регистрации), помимо уникальной информации о пользователе или устройстве (например, имя пользователя/пароль, токен активации), чтобы пользователям не нужно вводить данные при активации устройства.
- EMM не должны включать конфиденциальную информацию, такую как пароли или сертификаты, в конфигурацию автоматической регистрации.
1.7. Настройка рабочего профиля аккаунта Google
Для предприятий, использующих Workspace , эта функция помогает пользователям настроить рабочий профиль после ввода своих корпоративных учетных данных Workspace во время настройки устройства или на уже активированном устройстве. В обоих случаях корпоративный идентификатор Workspace будет перенесен в рабочий профиль.
1.7.1. Метод подготовки учетной записи Google предоставляет рабочий профиль в соответствии с определенными рекомендациями по реализации .
1.8 Подготовка устройства к учетной записи Google
Для предприятий, использующих Workspace, эта функция помогает пользователям выполнить установку ЦОД EMM после того, как они введут свои корпоративные учетные данные Workspace во время первоначальной настройки устройства. После установки ЦОД завершает настройку устройства, принадлежащего компании.
1.8.1. Метод подготовки аккаунта Google подготавливает корпоративное устройство в соответствии с определенными рекомендациями по внедрению .
1.8.2. Если EMM не сможет однозначно идентифицировать устройство как корпоративный актив, они не смогут предоставить устройство без запроса в процессе подготовки. Это приглашение должно выполнять действие, отличное от стандартного, например установку флажка или выбор пункта меню, отличного от заданного по умолчанию. Рекомендуется, чтобы EMM мог идентифицировать устройство как корпоративный актив, поэтому запрос не требуется.
1.9. Прямая автоматическая настройка
ИТ-администраторы могут использовать консоль EMM для настройки устройств с автоматическим управлением с помощью iframe с автоматическим управлением .
1.10 Рабочие профили на корпоративных устройствах
EMM могут регистрировать принадлежащие компании устройства, имеющие рабочий профиль.
1.10.1 ИТ-администраторы могут предоставить устройство в качестве рабочего профиля на принадлежащем компании устройстве с помощью QR-кода или автоматической регистрации.
1.10.2 ИТ-администраторы могут устанавливать действия по обеспечению соответствия требованиям для рабочих профилей на корпоративных устройствах.
1.10.3 ИТ-администраторы могут отключить камеру либо в рабочем профиле, либо на всем устройстве.
1.10.4 ИТ-администраторы могут отключить захват экрана либо в рабочем профиле, либо на всем устройстве.
1.10.5 ИТ-администраторы могут установить список разрешенных или заблокированных приложений, которые можно или нельзя устанавливать в личном профиле.
1.10.6 ИТ-администраторы могут отказаться от управления устройством, принадлежащим компании, удалив рабочий профиль или удалив все устройство.
2. Безопасность устройства
2.1. Проблема безопасности устройства
ИТ-администраторы могут задавать и применять проверку безопасности устройства (ПИН-код/шаблон/пароль) из трех предварительно заданных уровней сложности на управляемых устройствах.
2.1.1. Политика должна обеспечивать соблюдение настроек, управляющих проблемами безопасности устройств (parentProfilePasswordRequirements для рабочего профиля, парольRequirements для полностью управляемых и выделенных устройств).
2.1.2. Сложность пароля должна соответствовать следующим уровням сложности пароля:
- PASSWORD_COMPLEXITY_LOW — шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4.
- PASSWORD_COMPLEXITY_HIGH - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей длиной не менее 8 или буквенные или буквенно-цифровые пароли длиной не менее 6.
2.2 Проблема безопасности труда
ИТ-администраторы могут устанавливать и применять проверку безопасности для приложений и данных в рабочем профиле, который является отдельным и имеет другие требования, чем задача безопасности устройства (2.1.).
2.2.1. Политика должна обеспечить соблюдение требований безопасности для рабочего профиля. По умолчанию ИТ-администраторы должны устанавливать ограничения только для рабочего профиля, если область действия не указана. ИТ-администраторы могут установить эти ограничения для всего устройства, указав область (см. требование 2.1).
2.1.2. Сложность пароля должна соответствовать следующим уровням сложности пароля:
- PASSWORD_COMPLEXITY_LOW — шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4.
- PASSWORD_COMPLEXITY_HIGH - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей длиной не менее 8 или буквенные или буквенно-цифровые пароли длиной не менее 6.
2.3. Расширенное управление паролями
2.3.1. [намеренно пусто]
2.3.2. [намеренно пусто]
2.3.3. Следующие настройки жизненного цикла пароля можно установить для каждого экрана блокировки, доступного на устройстве:
- [намеренно пусто]
- [намеренно пусто]
- Максимальное количество неудачных паролей для очистки : указывает, сколько раз пользователи могут ввести неверный пароль, прежде чем корпоративные данные будут удалены с устройства. ИТ-администраторы должны иметь возможность отключить эту функцию.
2.3.4. (Android 8.0+) Тайм-аут, необходимый для строгой аутентификации: пароль надежной аутентификации (например, PIN-код или пароль) необходимо ввести после периода тайм-аута, установленного ИТ-администратором . По истечении времени ожидания методы ненадежной аутентификации (например, отпечаток пальца, разблокировка лицом) отключаются до тех пор, пока устройство не будет разблокировано с помощью пароля надежной аутентификации.
2.4. Умное управление замком
ИТ-администраторы могут управлять тем, каким доверенным агентам в функции Smart Lock Android разрешено разблокировать устройства. ИТ-администраторы могут отключить определенные методы разблокировки, такие как доверенные устройства Bluetooth, распознавание лиц и голоса, или, при желании, полностью отключить эту функцию.
2.4.1. ИТ-администраторы могут отключать агенты доверия Smart Lock независимо для каждого экрана блокировки, доступного на устройстве.
2.4.2. ИТ-администраторы могут выборочно разрешать и настраивать агенты доверия Smart Lock независимо для каждого экрана блокировки, доступного на устройстве, для следующих агентов доверия: Bluetooth, NFC, места, лица, тела и голоса.
- ИТ-администраторы могут изменять доступные параметры конфигурации доверенного агента.
2.5. Очистить и заблокировать
ИТ-администраторы могут использовать консоль EMM для удаленной блокировки и удаления рабочих данных с управляемого устройства.
2.5.1. ЦОД EMM должен блокировать устройства.
2.5.2. ЦОД EMM должен стереть данные с устройств.
2.6. Обеспечение соблюдения требований
Если устройство не соответствует политикам безопасности, рабочие данные автоматически ограничиваются.
2.6.1. Как минимум, политики безопасности, применяемые на устройстве, должны включать политику паролей.
2.7. Политики безопасности по умолчанию
EMM должны применять указанные политики безопасности на устройствах по умолчанию , не требуя от ИТ-администраторов устанавливать какие-либо параметры в консоли EMM. EMM рекомендуется (но не обязательно) не разрешать ИТ-администраторам изменять состояние этих функций безопасности по умолчанию.
2.7.1. ЦОД EMM должен блокировать установку приложений из неизвестных источников, включая приложения, установленные на личной стороне любого устройства Android 8.0+ с рабочим профилем.
2.7.2. ЦОД EMM должен блокировать функции отладки.
2.8. Политики безопасности для выделенных устройств
Выделенные устройства блокируются без возможности выхода, позволяющего выполнять другие действия.
2.8.1. ЦОД EMM по умолчанию должен отключить загрузку в безопасном режиме.
2.8.2. ЦОД EMM должен быть открыт и заблокирован на экране сразу при первой загрузке во время подготовки, чтобы гарантировать отсутствие какого-либо другого взаимодействия с устройством.
2.8.3. ЦОД EMM должен быть установлен в качестве средства запуска по умолчанию, чтобы гарантировать блокировку разрешенных приложений на экране при загрузке в соответствии с определенными рекомендациями по реализации .
2.9. Поддержка честности игры
EMM использует Play Integrity API , чтобы убедиться, что устройства являются действительными устройствами Android.
2.9.1. ЦОД EMM реализует Play Integrity API во время подготовки и по умолчанию завершает предоставление устройства корпоративными данными только тогда, когда возвращенная целостность устройства равна MEETS_STRONG_INTEGRITY .
2.9.2. ЦОД EMM будет выполнять еще одну проверку целостности Play каждый раз, когда устройство регистрируется на сервере EMM, настраиваемом ИТ-администратором. Сервер EMM проверит информацию APK в ответе на проверку целостности и сам ответ перед обновлением корпоративной политики на устройстве.
2.9.3. ИТ-администраторы могут настраивать различные ответные меры политики в зависимости от результатов проверки целостности Play, включая блокировку подготовки, удаление корпоративных данных и разрешение продолжить регистрацию.
- Служба EMM будет применять этот ответ политики для результата каждой проверки целостности.
2.10. Проверьте соблюдение требований к приложениям
ИТ-администраторы могут включить проверку приложений на устройствах. Verify Apps сканирует приложения, установленные на устройствах Android, на наличие вредоносного программного обеспечения до и после их установки, помогая гарантировать, что вредоносные приложения не смогут поставить под угрозу корпоративные данные.
2.10.1. ЦОД EMM должен включать проверку приложений по умолчанию.
2.11. Поддержка прямой загрузки
Приложения не могут работать на только что включенных устройствах Android 7.0 и более поздних версий, пока устройство не будет сначала разблокировано. Поддержка прямой загрузки гарантирует, что ЦОД EMM всегда активен и способен применять политику, даже если устройство не было разблокировано.
2.11.1. ЦОД EMM использует зашифрованное хранилище устройства для выполнения критически важных функций управления до того, как зашифрованное хранилище учетных данных ЦОД будет расшифровано. Функции управления, доступные во время прямой загрузки, должны включать (но не ограничиваться):
- Корпоративная очистка , включая возможность очистки данных защиты от сброса настроек при необходимости.
2.11.2. ЦОД EMM не должен раскрывать корпоративные данные в зашифрованном хранилище устройства.
2.11.3. EMM могут [установить и активировать токен], чтобы включить кнопку «Я забыл пароль» на экране блокировки рабочего профиля. Эта кнопка используется для запроса ИТ-администраторов безопасно сбросить пароль рабочего профиля.
2.12. Управление безопасностью оборудования
ИТ-администраторы могут заблокировать аппаратные элементы корпоративного устройства, чтобы предотвратить потерю данных.
2.12.1. ИТ-администраторы могут запретить пользователям подключать физические внешние носители к своим устройствам.
2.12.2. ИТ-администраторы могут запретить пользователям обмениваться данными со своих устройств с помощью NFC-луча . Эта дополнительная функция является необязательной, поскольку функция луча NFC больше не поддерживается в Android 10 и более поздних версиях.
2.12.3. ИТ-администраторы могут запретить пользователям передавать файлы через USB со своих устройств.
2.13. Ведение журнала безопасности предприятия
ИТ-администраторы могут собирать данные об использовании устройств, которые можно анализировать и программно оценивать на предмет вредоносного или рискованного поведения. Зарегистрированные действия включают активность Android Debug Bridge (adb), открытие приложений и разблокировку экрана.
2.13.1. ИТ-администраторы могут включить ведение журнала безопасности для определенных устройств, а ЦОД EMM должен иметь возможность автоматически получать как журналы безопасности , так и журналы безопасности перед перезагрузкой .
2.13.2. ИТ-администраторы могут просматривать журналы безопасности предприятия для определенного устройства и настраиваемого временного окна в консоли EMM.
2.13.3. ИТ-администраторы могут экспортировать журналы безопасности предприятия из консоли EMM.
3. Управление учетной записью и приложениями
3.1. Регистрация корпоративных управляемых аккаунтов Google Play
ИТ-администраторы могут создать предприятие с управляемыми учетными записями Google Play — организацию, которая позволяет управляемому Google Play распространять приложения на устройства. В консоль EMM необходимо интегрировать следующие этапы регистрации:
3.1.1. Зарегистрируйте предприятие с управляемыми аккаунтами Google Play с помощью Play EMM API .
3.1.2. Консоль EMM должна автоматически предоставить и настроить уникальный ESA для каждого предприятия.
3.1.3. Отмените регистрацию предприятия с управляемыми аккаунтами Google Play с помощью Play EMM API .
3.2. Управляемая подготовка учетной записи Google Play
EMM может автоматически предоставлять корпоративные учетные записи пользователей , называемые управляемыми учетными записями Google Play. Эти учетные записи идентифицируют управляемых пользователей и допускают уникальные правила распространения приложений для каждого пользователя.
3.2.1. ЦОД EMM может автоматически подготовить и активировать управляемую учетную запись Google Play в соответствии с определенными рекомендациями по реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемый аккаунт Google Play типа
userAccountдолжен иметь однозначное сопоставление с реальными пользователями в консоли EMM.
3.3. Предоставление управляемой учетной записи устройства Google Play
EMM может создавать и предоставлять управляемые учетные записи устройств Google Play. Учетные записи устройств поддерживают автоматическую установку приложений из управляемого магазина Google Play и не привязываются к одному пользователю. Вместо этого учетная запись устройства используется для идентификации одного устройства для поддержки правил распространения приложений для каждого устройства в сценариях с выделенными устройствами.
3.3.1. ЦОД EMM может автоматически подготовить и активировать управляемую учетную запись Google Play в соответствии с определенными рекомендациями по реализации . При этом на устройство необходимо добавить управляемую учетную запись Google Play типа deviceAccount .
3.4. Управляемая подготовка учетной записи Google Play для устаревших устройств.
EMM может автоматически предоставлять учетные записи корпоративных пользователей, называемые управляемыми учетными записями Google Play. Эти учетные записи идентифицируют управляемых пользователей и допускают уникальные правила распространения приложений для каждого пользователя.
3.4.1. ЦОД EMM может автоматически подготовить и активировать управляемую учетную запись Google Play в соответствии с определенными рекомендациями по реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемый аккаунт Google Play типа
userAccountдолжен иметь однозначное сопоставление с реальными пользователями в консоли EMM.
3.5. Тихое распространение приложений
ИТ-администраторы могут незаметно распространять рабочие приложения на устройствах пользователей без какого-либо взаимодействия с пользователем.
3.5.1. Консоль EMM должна использовать Play EMM API , чтобы ИТ-администраторы могли устанавливать рабочие приложения на управляемые устройства.
3.5.2. Консоль EMM должна использовать Play EMM API , чтобы ИТ-администраторы могли обновлять рабочие приложения на управляемых устройствах.
3.5.3. Консоль EMM должна использовать Play EMM API , чтобы ИТ-администраторы могли удалять приложения на управляемых устройствах.
3.6. Управляемое управление конфигурацией
ИТ-администраторы могут просматривать и автоматически настраивать управляемые конфигурации для любого приложения, поддерживающего управляемые конфигурации.
3.6.1. Консоль EMM должна иметь возможность получать и отображать параметры управляемой конфигурации любого приложения Play.
- EMM могут вызывать
Products.getAppRestrictionsSchema, чтобы получить схему управляемых конфигураций приложения, или встроить iframe управляемых конфигураций в свою консоль EMM.
3.6.2. Консоль EMM должна позволять ИТ-администраторам устанавливать любой тип конфигурации (как определено платформой Android) для любого приложения Play с помощью Play EMM API .
3.6.3. Консоль EMM должна позволять ИТ-администраторам устанавливать подстановочные знаки (например, $username$ или %emailAddress%), чтобы одну конфигурацию для такого приложения, как Gmail, можно было применять к нескольким пользователям. Управляемые конфигурации iframe автоматически поддерживают это требование.
3.7. Управление каталогом приложений
ИТ-администраторы могут импортировать список приложений, одобренных для их предприятия, из управляемого Google Play ( play.google.com/work ).
3.7.1. В консоли EMM может отображаться список приложений, одобренных к распространению, в том числе:
- Приложения, приобретенные в корпоративном Google Play
- Частные приложения видны ИТ-администраторам
- Программно одобренные приложения
3.8. Программное одобрение приложения
Консоль EMM использует управляемый iframe Google Play для поддержки возможностей обнаружения и утверждения приложений Google Play. ИТ-администраторы могут искать приложения, утверждать приложения и утверждать разрешения для новых приложений, не покидая консоли EMM.
3.8.1. ИТ-администраторы могут искать приложения и утверждать их в консоли EMM с помощью управляемого iframe Google Play .
3.9. Базовое управление планировкой магазина
Управляемое приложение Google Play Store можно использовать на устройствах для установки и обновления рабочих приложений. Базовый макет магазина отображается по умолчанию и содержит список приложений, одобренных для предприятия, которые EMM фильтрует для каждого пользователя в соответствии с политикой.
3.9.1. ИТ-администраторы могут управлять доступными пользователями наборами продуктов , чтобы разрешить просмотр и установку приложений из управляемого магазина Google Play в разделе «Домашний магазин».
3.10. Расширенная конфигурация макета магазина
ИТ-администраторы могут настроить макет магазина, отображаемый в управляемом приложении магазина Google Play на устройствах.
3.10.1. ИТ-администраторы могут выполнять следующие действия в консоли EMM, чтобы настроить макет управляемого магазина Google Play :
- Создайте до 100 страниц макета магазина. Страницы могут иметь произвольное количество локализованных имен страниц.
- Создавайте до 30 кластеров для каждой страницы. Кластеры могут иметь произвольное количество локализованных имен кластеров.
- Назначьте до 100 приложений в каждый кластер.
- Добавьте до 10 быстрых ссылок на каждую страницу.
- Укажите порядок сортировки приложений в кластере и кластеров на странице.
3.11. Управление лицензиями приложений
ИТ-администраторы могут просматривать и управлять лицензиями на приложения, приобретенными в управляемом Google Play, с консоли EMM.
3.11.1. Для платных приложений, одобренных для предприятия, в консоли EMM должно отображаться :
- Количество приобретенных лицензий.
- Количество использованных лицензий и пользователей, использующих лицензии.
- Количество лицензий, доступных для распространения.
3.11.2. ИТ-администраторы могут незаметно назначать лицензии пользователям , не принуждая устанавливать это приложение на какое-либо из устройств пользователей.
3.11.3. ИТ-администраторы могут отменить назначение лицензии на приложение пользователю .
3.12. Управление частными приложениями, размещенными в Google
ИТ-администраторы могут обновлять частные приложения, размещенные в Google, через консоль EMM, а не через консоль Google Play.
3.12.1. ИТ-администраторы могут загружать новые версии приложений, которые уже опубликованы на предприятии в частном порядке, используя:
3.13. Самостоятельное управление частными приложениями
ИТ-администраторы могут настраивать и публиковать самостоятельные частные приложения. В отличие от частных приложений, размещенных в Google, Google Play не размещает APK-файлы. Вместо этого EMM помогает ИТ-администраторам самостоятельно размещать APK-файлы и помогает защитить самостоятельно размещаемые приложения, гарантируя, что их можно будет установить только после авторизации управляемого Google Play.
ИТ-администраторы могут получить подробную информацию в разделе «Поддержка частных приложений» .
3.13.1. Консоль EMM должна помогать ИТ-администраторам размещать APK приложения, предлагая оба следующих варианта:
- Размещение APK на сервере EMM. Сервер может быть локальным или облачным.
- Размещение APK за пределами сервера EMM по усмотрению ИТ-администратора. ИТ-администратор должен указать в консоли EMM место размещения APK.
3.13.2. Консоль EMM должна создать соответствующий файл определения APK, используя предоставленный APK, и должна помогать ИТ-администраторам в процессе публикации.
3.13.3. ИТ-администраторы могут обновлять частные приложения, размещаемые самостоятельно, а консоль EMM может автоматически публиковать обновленные файлы определений APK с помощью API публикации разработчиков Google Play .
3.13.4. Сервер EMM обслуживает только запросы на загрузку самостоятельно размещенного APK, который содержит действительный JWT в файле cookie запроса, подтвержденный открытым ключом частного приложения.
- Чтобы облегчить этот процесс, сервер EMM должен помочь ИТ-администраторам загрузить открытый ключ лицензии локального приложения из консоли разработчиков Google Play и загрузить этот ключ в консоль EMM.
3.14. Уведомления об извлечении EMM
Вместо периодических запросов к Play для выявления прошлых событий, таких как обновление приложения, которое содержит новые разрешения или управляемые конфигурации, уведомления EMM заблаговременно уведомляют EMM о таких событиях в режиме реального времени, позволяя EMM предпринимать автоматические действия и предоставлять персонализированные административные уведомления на основе этих событий. .
3.14.1. EMM должен использовать уведомления EMM Play для получения наборов уведомлений .
3.14.2. EMM должна автоматически уведомлять ИТ-администратора (например, по электронной почте) о следующих событиях уведомления:
-
newPermissionEvent: требуется, чтобы ИТ-администратор утвердил новые разрешения приложения, прежде чем приложение можно будет автоматически установить или обновить на устройствах пользователей. -
appRestrictionsSchemaChangeEvent: может потребовать от ИТ-администратора обновить управляемую конфигурацию приложения для поддержания запланированной функциональности. -
appUpdateEvent: может представлять интерес для ИТ-администраторов, которые хотят убедиться, что обновление приложения не влияет на основные функции рабочего процесса. -
productAvailabilityChangeEvent: может повлиять на возможность установки приложения или получения обновлений приложения. -
installFailureEvent: Play не может автоматически установить приложение на устройство, что позволяет предположить, что в конфигурации устройства что-то препятствует установке. EMM не следует сразу же пытаться снова выполнить автоматическую установку после получения этого уведомления, поскольку собственная логика повторной попытки Play уже не удалась.
3.14.3. EMM автоматически предпринимает соответствующие действия на основе следующих событий уведомления:
-
newDeviceEvent: во время подготовки устройства EMM должны дождаться событияnewDeviceEvent, прежде чем выполнять последующие вызовы API Play EMM для нового устройства, включая автоматическую установку приложений и настройку управляемых конфигураций. -
productApprovalEvent: при получении уведомленияproductApprovalEventEMM должна автоматически обновить список одобренных приложений, импортированных в консоль EMM для распространения на устройства, если есть активный сеанс ИТ-администратора или если список одобренных приложений не перезагружается автоматически в начале каждого из них. Сессия ИТ-администратора.
3.15. Требования к использованию API
EMM реализует API-интерфейсы Google в широком масштабе, избегая шаблонов трафика, которые могут негативно повлиять на способность ИТ-администраторов управлять приложениями в производственных средах.
3.15.1. EMM должен соблюдать ограничения на использование Play EMM API . Если не исправить поведение, выходящее за рамки этих правил, использование API может быть приостановлено по усмотрению Google.
3.15.2. EMM должна распределять трафик от разных предприятий в течение дня, а не консолидировать корпоративный трафик в определенное или одинаковое время. Поведение, соответствующее этому шаблону трафика, например запланированные пакетные операции для каждого зарегистрированного устройства, может привести к приостановке использования API по усмотрению Google.
3.15.3. EMM не должен делать последовательные, неполные или заведомо неправильные запросы, в которых не предпринимаются попытки получить или управлять реальными корпоративными данными. Поведение, соответствующее этому шаблону трафика, может привести к приостановке использования API по усмотрению Google.
3.16. Расширенное управление управляемой конфигурацией
3.16.1. Консоль EMM должна иметь возможность получать и отображать параметры управляемой конфигурации (вложенные до четырех уровней) любого приложения Play, используя:
- Управляемый iFrame Google Play или
- пользовательский интерфейс.
3.16.2. Консоль EMM должна иметь возможность получать и отображать любые отзывы, возвращаемые по каналу обратной связи приложения , после настройки ИТ-администратором.
- Консоль EMM должна позволять ИТ-администраторам связывать определенный элемент отзыва с устройством и приложением, из которого он был получен.
- Консоль EMM должна позволять ИТ-администраторам подписываться на оповещения или отчеты определенных типов сообщений (например, сообщений об ошибках).
3.16.3. Консоль EMM должна отправлять только те значения, которые либо имеют значение по умолчанию, либо заданы администратором вручную с помощью:
- Управляемые конфигурации iframe или
- Пользовательский интерфейс.
3.17. Управление веб-приложением
ИТ-администраторы могут создавать и распространять веб-приложения в консоли EMM.
3.17.1. ИТ-администраторы могут использовать консоль EMM для распространения ярлыков веб-приложений с помощью:
3.18. Управляемое управление жизненным циклом учетной записи Google Play.
EMM может создавать, обновлять и удалять управляемые учетные записи Google Play от имени ИТ-администраторов.
3.18.1. EMM могут управлять жизненным циклом управляемой учетной записи Google Play в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Play EMM API .
3.18.2. EMM могут повторно аутентифицировать управляемые аккаунты Google Play без взаимодействия с пользователем.
3.19. Управление отслеживанием приложений
3.19.1. ИТ-администраторы могут получить список идентификаторов треков, установленных разработчиком для конкретного приложения.
3.19.2. ИТ-администраторы могут настроить устройства на использование определенного пути разработки приложения.
3.20. Расширенное управление обновлениями приложений
3.20.1. ИТ-администраторы могут разрешить приложениям использовать высокоприоритетные обновления приложений, которые будут обновляться, когда обновление будет готово.
3.20.2. ИТ-администраторы могут разрешить приложениям откладывать обновления приложений на 90 дней.
3.21. Управление методами обеспечения
EMM может генерировать конфигурации подготовки и предоставлять их ИТ-администратору в форме, готовой для распространения конечным пользователям (например, QR-код, автоматическая конфигурация, URL-адрес Play Store).
4. Управление устройствами
4.1. Управление политикой разрешений во время выполнения
ИТ-администраторы могут автоматически установить ответ по умолчанию на запросы разрешений во время выполнения, сделанные рабочими приложениями.
4.1.1. ИТ-администраторы должны иметь возможность выбирать из следующих вариантов при настройке политики разрешений среды выполнения по умолчанию для своей организации:
- подсказка (позволяет пользователям выбирать)
- позволять
- отрицать
EMM должен обеспечить соблюдение этих настроек с помощью DPC EMM .
4.2. Управление состоянием предоставления разрешений во время выполнения
После установки политики разрешений во время выполнения по умолчанию (перейдите к разделу 4.1.) ИТ-администраторы могут автоматически задавать ответы на определенные разрешения из любого рабочего приложения, созданного на базе API 23 или более поздней версии.
4.2.1. ИТ-администраторы должны иметь возможность устанавливать состояние предоставления (по умолчанию, предоставить или запретить) любого разрешения, запрашиваемого любым рабочим приложением, созданным на основе API 23 или более поздней версии. EMM должен обеспечить соблюдение этих настроек с помощью DPC EMM .
4.3. Управление конфигурацией Wi-Fi
ИТ-администраторы могут автоматически настраивать корпоративные конфигурации Wi-Fi на управляемых устройствах, в том числе:
4.3.1. SSID через ЦОД EMM .
4.3.2. Пароль через ЦОД EMM .
4.4. Управление безопасностью Wi-Fi
ИТ-администраторы могут настраивать корпоративные конфигурации Wi-Fi на управляемых устройствах, которые включают следующие расширенные функции безопасности:
4.4.1. Идентификация через ЦОД EMM .
4.4.2. Сертификат для авторизации клиентов, через ЦОД ЕММ .
4.4.3. Сертификаты CA через ЦОД EMM .
4.5. Расширенное управление Wi-Fi
ИТ-администраторы могут заблокировать конфигурации Wi-Fi на управляемых устройствах, чтобы пользователи не могли создавать конфигурации или изменять корпоративные конфигурации.
4.5.1. ИТ-администраторы могут заблокировать корпоративные конфигурации Wi-Fi в одной из следующих конфигураций:
- Пользователи не могут изменять какие-либо конфигурации Wi-Fi, предоставленные EMM , но могут добавлять и изменять свои собственные настраиваемые пользователем сети (например, персональные сети).
- Пользователи не могут добавлять или изменять какую-либо сеть Wi-Fi на устройстве , что ограничивает подключение Wi-Fi только теми сетями, которые предоставлены EMM.
4.6. Управление аккаунтом
ИТ-администраторы могут гарантировать, что неавторизованные корпоративные учетные записи не смогут взаимодействовать с корпоративными данными для таких служб, как SaaS-приложения для хранения и повышения производительности, а также электронная почта. Без этой функции личные учетные записи можно добавлять в те корпоративные приложения, которые также поддерживают потребительские учетные записи, что позволяет им обмениваться корпоративными данными с этими личными учетными записями.
4.6.1. ИТ-администраторы могут запретить добавление или изменение учетных записей .
- При применении этой политики на устройстве EMM должны установить это ограничение до завершения подготовки, чтобы гарантировать, что вы не сможете обойти эту политику, добавив учетные записи до ее вступления в силу.
4.7. Управление учетными записями рабочей области
ИТ-администраторы могут гарантировать, что неавторизованные учетные записи Google не смогут взаимодействовать с корпоративными данными. Без этой функции личные учетные записи Google можно добавить в корпоративные приложения Google (например, Google Docs или Google Drive), что позволит им обмениваться корпоративными данными с этими личными учетными записями.
4.7.1. ИТ-администраторы могут указать учетные записи Google для активации во время подготовки после того, как будет установлена блокировка управления учетными записями .
4.7.2. Центр обработки данных EMM должен предложить активировать учетную запись Google и гарантировать, что можно активировать только конкретную учетную запись, указав добавляемую учетную запись .
- На устройствах ниже Android 7.0 ЦОД должен временно отключить ограничение управления учетной записью, прежде чем запрашивать у пользователя .
4.8. Управление сертификатами
Позволяет ИТ-администраторам развертывать сертификаты удостоверений и центры сертификации на устройствах, чтобы разрешить доступ к корпоративным ресурсам.
4.8.1. ИТ-администраторы могут устанавливать сертификаты идентификации пользователей , созданные их PKI, отдельно для каждого пользователя. Консоль EMM должна интегрироваться хотя бы с одной PKI и распространять сертификаты, созданные из этой инфраструктуры.
4.8.2. ИТ-администраторы могут устанавливать центры сертификации в управляемом хранилище ключей.
4.9. Расширенное управление сертификатами
Позволяет ИТ-администраторам автоматически выбирать сертификаты, которые должны использовать определенные управляемые приложения. Эта функция также предоставляет ИТ-администраторам возможность удалять центры сертификации и сертификаты личности с активных устройств. Эта функция не позволяет пользователям изменять учетные данные, хранящиеся в управляемом хранилище ключей.
4.9.1. Для любого приложения, распространяемого на устройства, ИТ-администраторы могут указать сертификат, к которому приложению будет автоматически предоставлен доступ во время выполнения.
- Выбор сертификата должен быть достаточно универсальным, чтобы обеспечить единую конфигурацию, применимую ко всем пользователям, каждый из которых может иметь индивидуальный сертификат удостоверения пользователя.
4.9.2. ИТ-администраторы могут автоматически удалять сертификаты из управляемого хранилища ключей.
4.9.3. ИТ-администраторы могут автоматически удалить сертификат ЦС или все несистемные сертификаты ЦС .
4.9.4. ИТ-администраторы могут запретить пользователям настраивать учетные данные в управляемом хранилище ключей.
4.9.5. ИТ-администраторы могут предварительно выдавать сертификаты для рабочих приложений.
4.10. Делегированное управление сертификатами
ИТ-администраторы могут распространять стороннее приложение для управления сертификатами на устройства и предоставлять этому приложению привилегированный доступ для установки сертификатов в управляемое хранилище ключей.
4.10.1. ИТ-администраторы указывают пакет управления сертификатами, который будет установлен в качестве приложения для делегированного управления сертификатами ЦОД.
- Консоль может дополнительно предлагать известные пакеты управления сертификатами, но должна позволять ИТ-администратору выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.11. Расширенное управление VPN
Позволяет ИТ-администраторам указать Always On VPN, чтобы гарантировать, что данные из указанных управляемых приложений всегда будут проходить через настроенную виртуальную частную сеть (VPN). Примечание. Для этой функции требуется развертывание VPN-клиента, который поддерживает функции Always On и VPN для каждого приложения.
4.11.1. ИТ-администраторы могут указать произвольный пакет VPN для установки в качестве Always On VPN.
- Консоль EMM может дополнительно предлагать известные пакеты VPN, поддерживающие Always On VPN, но не может ограничивать VPN, доступные для конфигурации Always On, каким-либо произвольным списком.
4.11.2. ИТ-администраторы могут использовать управляемые конфигурации, чтобы указать параметры VPN для приложения.
4.12. Управление IME
ИТ-администраторы могут управлять тем, какие методы ввода (IME) можно настроить для устройств. Поскольку IME используется как в рабочем, так и в личном профилях, блокировка использования IME не позволит разрешить использование этих IME и в личных целях. Однако ИТ-администраторы не могут блокировать системные IME в рабочих профилях (более подробную информацию можно найти в разделе расширенного управления IME).
4.12.1. ИТ-администраторы могут настроить список разрешений IME произвольной длины (включая пустой список, блокирующий несистемные IME), который может содержать любые произвольные пакеты IME.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые IME для включения в список разрешений, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.12.2. EMM должен сообщить ИТ-администраторам, что системные IME исключены из управления на устройствах с рабочими профилями.
4.13. Расширенное управление IME
ИТ-администраторы могут управлять тем, какие методы ввода (IME) можно настроить для устройств. Расширенное управление IME расширяет базовую функцию, позволяя ИТ-администраторам также управлять использованием системных IME, которые обычно предоставляются производителем или оператором устройства.
4.13.1. ИТ-администраторы могут настроить список разрешений IME произвольной длины (за исключением пустого списка, который блокирует все IME, включая системные IME), который может содержать любые произвольные пакеты IME.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые IME для включения в список разрешений, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.13.2. EMM должны запретить ИТ-администраторам создавать пустой список разрешений, поскольку этот параметр блокирует настройку всех IME, включая системные IME, на устройстве.
4.13.3. EMM должны гарантировать, что, если список разрешений IME не содержит системных IME, сторонние IME автоматически устанавливаются до применения списка разрешений на устройстве.
4.14. Управление услугами доступности
ИТ-администраторы могут управлять тем, какие службы доступности можно разрешить на устройствах пользователей. Хотя службы доступности являются мощными инструментами для пользователей с ограниченными возможностями или тех, кто временно не может полноценно взаимодействовать со своим устройством, они могут взаимодействовать с корпоративными данными способами, несовместимыми с корпоративной политикой. Эта функция позволяет ИТ-администраторам отключать любую несистемную службу специальных возможностей.
4.14.1. ИТ-администраторы могут настроить список разрешенных служб доступности произвольной длины (включая пустой список, который блокирует несистемные службы доступности), который может содержать любой произвольный пакет службы доступности. Применительно к рабочему профилю это влияет как на личный, так и на рабочий профиль.
- Консоль может дополнительно предлагать известные или рекомендуемые службы специальных возможностей для включения в белый список, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.15. Управление передачей местоположения
4.16. Расширенное управление передачей местоположения
- Высокая точность.
- Только датчики, например GPS, но без учета местоположения, предоставляемого сетью.
- Экономия заряда батареи, что ограничивает частоту обновлений.
- Выключенный.
4.17. Управление защитой от сброса к заводским настройкам
Позволяет ИТ-администраторам защищать принадлежащие компании устройства от кражи, гарантируя, что неавторизованные пользователи не смогут выполнить сброс настроек устройств до заводских настроек. Если защита от сброса к заводским настройкам усложняет эксплуатацию при возврате устройств в ИТ-отдел, ИТ-администраторы также могут полностью отключить защиту от сброса к заводским настройкам.
4.17.1. ИТ-администраторы могут запретить пользователям выполнять сброс настроек устройства к заводским настройкам.
4.17.2. ИТ-администраторы могут указать корпоративные учетные записи разблокировки, которым разрешено инициализировать устройства после сброса настроек.
- Эта учетная запись может быть привязана к отдельному лицу или использоваться всем предприятием для разблокировки устройств.
4.17.3. ИТ-администраторы могут отключить защиту от сброса настроек до заводских настроек для определенных устройств.
4.17.4. ИТ-администраторы могут запустить удаленную очистку устройства, которая при необходимости стирает данные защиты от сброса , тем самым удаляя защиту от сброса настроек на устройстве, сброшенном.
4.18. Расширенное управление приложением
ИТ-администраторы могут запретить пользователю удалять или иным образом изменять управляемые приложения через настройки, например принудительно закрывать приложение или очищать кэш данных приложения.
4.18.1. ИТ-администраторы могут заблокировать удаление любых произвольных управляемых приложений или всех управляемых приложений .
4.18.2. ИТ-администраторы могут запретить пользователям изменять данные приложения в настройках.
4.19. Управление захватом экрана
ИТ-администраторы могут запретить пользователям делать снимки экрана при использовании управляемых приложений. Этот параметр включает блокировку приложений для совместного использования экрана и аналогичных приложений (например, Google Assistant), которые используют возможности создания снимков экрана.
4.19.1. ИТ-администраторы могут запретить пользователям делать снимки экрана .
4.20. Отключить камеры
ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.
4.20.1. ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.
4.21. Сбор сетевой статистики
ИТ-администраторы могут запрашивать статистику использования сети из рабочего профиля устройства. Собранная статистика отражает данные об использовании, предоставленные пользователям в разделе «Использование данных» в настройках. Собранная статистика применима к использованию приложений в рабочем профиле.
4.21.1. ИТ-администраторы могут запрашивать сводную статистику сети для рабочего профиля , для данного устройства и настраиваемого временного окна, а также просматривать эти сведения в консоли EMM.
4.21.2. ИТ-администраторы могут запросить сводную информацию о приложении в статистике использования сети рабочего профиля для данного устройства и настраиваемого временного окна, а также просмотреть эти сведения, упорядоченные по UID, в консоли EMM.
4.21.3. ИТ-администраторы могут запрашивать исторические данные об использовании сети рабочего профиля для данного устройства и настраиваемого временного окна, а также просматривать эти сведения, упорядоченные по UID, в консоли EMM.
4.22. Расширенный сбор сетевой статистики
ИТ-администраторы могут запрашивать статистику использования сети для всего управляемого устройства. Собранная статистика отражает данные об использовании, предоставленные пользователям в разделе «Использование данных» в настройках. Собранная статистика применима к использованию приложений на устройстве.
4.22.1. ИТ-администраторы могут запрашивать сводную статистику сети для всего устройства , для данного устройства и настраиваемого временного окна, а также просматривать эти сведения в консоли EMM.
4.22.2. ИТ-администраторы могут запрашивать сводную статистику использования сети приложений для данного устройства и настраиваемого временного окна, а также просматривать эти сведения, упорядоченные по UID, в консоли EMM.
4.22.3. ИТ-администраторы могут запрашивать исторические данные об использовании сети для данного устройства и настраиваемого временного окна, а также просматривать эти детали, упорядоченные по UID, в консоли EMM.
4.23. Перезагрузите устройство
ИТ-администраторы могут удаленно перезапускать управляемые устройства.
4.23.1. ИТ-администраторы могут удаленно перезагрузить управляемое устройство.
4.24. Управление радиосистемой
Позволяет ИТ-администраторам детально управлять системными сетевыми радиомодулями и соответствующими политиками использования.
4.24.1. ИТ-администраторы могут отключить широковещательную рассылку сотовых сетей , отправляемую поставщиками услуг (например, оповещения AMBER).
4.24.2. ИТ-администраторы могут запретить пользователям изменять настройки мобильной сети в разделе «Настройки» .
4.24.3. ИТ-администраторы могут запретить пользователям сбрасывать настройки сети в разделе «Настройки» .
4.24.4. ИТ-администраторы могут разрешать или запрещать передачу мобильных данных в роуминге .
4.24.5. ИТ-администраторы могут настроить, может ли устройство совершать исходящие телефонные звонки , исключая вызовы служб экстренной помощи.
4.24.6. ИТ-администраторы могут настроить, может ли устройство отправлять и получать текстовые сообщения .
4.24.7. ИТ-администраторы могут запретить пользователям использовать свои устройства в качестве портативной точки доступа с помощью привязки .
4.24.8. ИТ-администраторы могут установить тайм-аут Wi-Fi по умолчанию , только при подключении к сети или никогда .
4.24.9. ИТ-администраторы могут запретить пользователям настраивать или изменять существующие соединения Bluetooth .
4.25. Управление системным звуком
ИТ-администраторы могут незаметно управлять функциями звука устройства, включая отключение звука устройства, запрет пользователям изменять настройки громкости и запрет пользователям включать микрофон устройства.
4.25.1. ИТ-администраторы могут автоматически отключать звук на управляемых устройствах .
4.25.2. ИТ-администраторы могут запретить пользователям изменять настройки громкости устройства .
4.25.3. ИТ-администраторы могут запретить пользователям включать микрофон устройства .
4.26. Управление системными часами
ИТ-администраторы могут управлять настройками часов и часового пояса устройства, а также запрещать пользователям изменять автоматические настройки устройства.
4.26.1. ИТ-администраторы могут принудительно настроить автоматическое время системы , не позволяя пользователю устанавливать дату и время устройства.
4.26.2. ИТ-администраторы могут автоматически отключать или включать автоматическое время и автоматический часовой пояс .
4.27. Расширенные функции выделенного устройства
Предоставляет ИТ-администраторам возможность более детально управлять функциями выделенных устройств для поддержки различных вариантов использования киосков.
4.27.1. ИТ-администраторы могут отключить защиту клавиатуры устройства .
4.27.2. ИТ-администраторы могут отключить строку состояния устройства , заблокировав уведомления и быстрые настройки.
4.27.3. ИТ-администраторы могут заставить экран устройства оставаться включенным, пока устройство подключено к сети.
4.27.4. ИТ-администраторы могут запретить отображение следующих системных интерфейсов :
- Тосты
- Наложения приложений.
4.27.5. ИТ-администраторы могут разрешить системным рекомендациям для приложений пропускать руководство пользователя и другие вводные подсказки при первом запуске.
4.28. Делегированное управление объемом
ИТ-администраторы могут делегировать дополнительные привилегии отдельным пакетам.
4.28.1. ИТ-администраторы могут управлять следующими областями:
- Установка и управление сертификатами
- Управление управляемыми конфигурациями
- Сетевое журналирование
- Журналирование безопасности
4.29. Поддержка идентификаторов, специфичных для регистрации
Начиная с Android 12, рабочие профили больше не будут иметь доступа к идентификаторам оборудования. ИТ-администраторы могут следить за жизненным циклом устройства с помощью рабочего профиля с помощью идентификатора, специфичного для регистрации, который сохраняется после сброса настроек к заводским настройкам.
4.29.1. ИТ-администраторы могут устанавливать и получать идентификатор, специфичный для регистрации.
4.29.2. Этот идентификатор, специфичный для регистрации, должен сохраняться после сброса настроек к заводским настройкам.
5. Удобство использования устройства
5.1. Настройка управляемой подготовки
ИТ-администраторы могут изменить пользовательский интерфейс процесса настройки по умолчанию, включив в него функции, специфичные для предприятия. При необходимости ИТ-администраторы могут отображать брендинг, предоставленный EMM, во время подготовки.
5.1.1. ИТ-администраторы могут настроить процесс подготовки, указав следующие сведения, специфичные для предприятия: корпоративный цвет , логотип предприятия , корпоративные условия обслуживания и другие заявления об отказе от ответственности .
5.1.2. ИТ-администраторы могут развернуть ненастраиваемую настройку, специфичную для EMM, которая включает следующие сведения: цвет EMM , логотип EMM , условия обслуживания EMM и другие заявления об отказе от ответственности .
5.1.3 [ primaryColor ] устарел для корпоративного ресурса на Android 10 и более поздних версиях.
- EMM должны включать Условия предоставления услуг и другие заявления об отказе от ответственности для своего потока подготовки в пакет заявлений об отказе от предоставления системы , даже если настройка, специфичная для EMM, не используется.
- EMM могут установить свои ненастраиваемые, специфичные для EMM настройки по умолчанию для всех развертываний, но должны разрешить ИТ-администраторам настраивать свои собственные настройки.
5.2. Корпоративная настройка
ИТ-администраторы могут настраивать аспекты рабочего профиля с помощью корпоративного брендинга. Например, ИТ-администраторы могут установить в качестве значка пользователя в рабочем профиле корпоративный логотип. Другой пример — настройка цвета фона рабочего задания.
5.2.1. ИТ-администраторы могут установить цвет организации , который будет использоваться в качестве цвета фона рабочего задания.
5.2.2. ИТ-администраторы могут установить отображаемое имя рабочего профиля .
5.2.3. ИТ-администраторы могут установить значок пользователя для рабочего профиля .
5.2.4. ИТ-администраторы могут запретить пользователю изменять значок пользователя рабочего профиля .
5.3. Расширенная корпоративная настройка
ИТ-администраторы могут настраивать управляемые устройства под корпоративный брендинг. Например, ИТ-администраторы могут установить в качестве значка основного пользователя корпоративный логотип или установить обои устройства.
5.3.1. ИТ-администраторы могут установить отображаемое имя для управляемого устройства .
5.3.2. ИТ-администраторы могут установить значок пользователя управляемого устройства .
5.3.3. ИТ-администраторы могут запретить пользователю изменять значок пользователя устройства .
5.3.4. ИТ-администраторы могут установить обои устройства .
5.3.5. ИТ-администраторы могут запретить пользователю изменять обои устройства .
5.4. Сообщения на экране блокировки
ИТ-администраторы могут установить собственное сообщение, которое всегда будет отображаться на экране блокировки устройства и не требует для просмотра разблокировки устройства.
5.4.1. ИТ-администраторы могут установить собственное сообщение на экране блокировки .
5.5. Управление прозрачностью политики
ИТ-администраторы могут настроить текст справки, предоставляемый пользователям, когда они изменяют управляемые настройки на своем устройстве, или развернуть общее сообщение поддержки, предоставленное EMM. Можно настроить как короткие, так и длинные сообщения поддержки. Эти сообщения отображаются, например, при попытке удалить управляемое приложение, удаление которого уже заблокировал ИТ-администратор.
5.5.1. ИТ-администраторы настраивают как короткие , так и длинные сообщения поддержки.
5.5.2. ИТ-администраторы могут развертывать ненастраиваемые короткие и длинные сообщения поддержки, специфичные для EMM.
- EMM может устанавливать свои ненастраиваемые, специфичные для EMM сообщения поддержки в качестве сообщений по умолчанию для всех развертываний, но должен разрешить ИТ-администраторам настраивать свои собственные сообщения.
5.6. Управление межпрофильными контактами
ИТ-администраторы могут контролировать, какие контактные данные могут покинуть рабочий профиль. Приложения для телефонии и обмена сообщениями (SMS) должны работать в личном профиле и требовать доступа к контактным данным рабочего профиля, чтобы обеспечить функциональность для рабочих контактов, но администраторы могут отключить эти функции для защиты рабочих данных.
5.6.1. ИТ-администраторы могут отключить межпрофильный поиск контактов для личных приложений, использующих поставщика системных контактов.
5.6.2. ИТ-администраторы могут отключить межпрофильный поиск идентификатора вызывающего абонента для личных приложений дозвона, которые используют поставщика системных контактов.
5.6.3. ИТ-администраторы могут отключить совместное использование контактов Bluetooth с устройствами Bluetooth , которые используют поставщика системных контактов, например, звонки по громкой связи в автомобиле или через гарнитуру.
5.7. Управление межпрофильными данными
Предоставляет ИТ-администраторам возможность управлять тем, какие данные могут покидать рабочий профиль, помимо функций безопасности рабочего профиля по умолчанию. Благодаря этой функции ИТ-администраторы могут разрешить отдельные типы межпрофильного обмена данными, чтобы повысить удобство использования в ключевых случаях использования. ИТ-администраторы также могут дополнительно защитить корпоративные данные с помощью дополнительных блокировок.
5.7.1. ИТ-администраторы могут настраивать межпрофильные фильтры намерений , чтобы личные приложения могли определять намерения из рабочего профиля, например намерения поделиться намерениями или веб-ссылки.
- Консоль может дополнительно предлагать известные или рекомендуемые фильтры намерений для настройки, но не может ограничивать фильтры намерений каким-либо произвольным списком.
5.7.2. ИТ-администраторы могут разрешить управляемым приложениям отображать виджеты на главном экране.
- Консоль EMM должна предоставлять ИТ-администраторам возможность выбирать из списка приложений, доступных для установки соответствующим пользователям.
5.7.3. ИТ-администраторы могут заблокировать использование копирования и вставки между рабочим и личным профилями .
5.7.4. ИТ-администраторы могут запретить пользователям делиться данными из рабочего профиля с помощью NFC-луча .
5.7.5. ИТ-администраторы могут разрешить личным приложениям открывать веб-ссылки из рабочего профиля .
5.8. Политика обновления системы
ИТ-администраторы могут настраивать и применять обновления системы по беспроводной сети (OTA) для устройств.
5.8.1. Консоль EMM позволяет ИТ-администраторам устанавливать следующие конфигурации OTA:
- Автоматически: устройства получают обновления OTA, когда они становятся доступными.
- Отложить: ИТ-администраторы должны иметь возможность откладывать обновление OTA на срок до 30 дней. Эта политика не влияет на обновления безопасности (например, ежемесячные исправления безопасности).
- Оконный режим: ИТ-администраторы должны иметь возможность планировать OTA-обновления в рамках ежедневного окна обслуживания.
5.8.2. ЦОД EMM применяет к устройствам конфигурации OTA.
5.9. Блокировка управления режимом задач
ИТ-администраторы могут заблокировать приложение или набор приложений на экране и гарантировать, что пользователи не смогут выйти из приложения.
5.9.1. Консоль EMM позволяет ИТ-администраторам молча разрешать установку и блокировку произвольного набора приложений на устройстве. ЦОД EMM поддерживает режим выделенного устройства.
5.10. Постоянное управление предпочтительной деятельностью
Позволяет ИТ-администраторам устанавливать приложение в качестве обработчика намерений по умолчанию для намерений, соответствующих определенному фильтру намерений. Например, позволяя ИТ-администраторам выбирать, какое приложение браузера автоматически открывает веб-ссылки или какое приложение запуска используется при нажатии кнопки «Домой».
5.10.1. ИТ-администраторы могут установить любой пакет в качестве обработчика намерений по умолчанию для любого произвольного фильтра намерений.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые намерения для настройки, но не может ограничивать намерения каким-либо произвольным списком.
- Консоль EMM должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки соответствующим пользователям.
5.11. Управление функциями Keyguard
- доверенные агенты,
- разблокировка по отпечатку пальца,
- неотредактированные уведомления
5.11.2. ЦОД EMM может отключить следующие функции защиты клавиатуры в рабочем профиле:
- разблокировка по отпечатку пальца
- доверенных агентов.
5.12. Расширенное управление функциями защиты клавиатуры
- Защищенная камера
- Все уведомления
- Неотредактированные уведомления
- Доверительные агенты
- Разблокировка по отпечатку пальца
- Все функции защиты клавиатуры
5.13. Удаленная отладка
ИТ-администраторы могут получать ресурсы для отладки с устройств, не требуя дополнительных действий. Примечание. Отчеты об ошибках — это мощный инструмент диагностики проблем, но они могут содержать конфиденциальные данные и, следовательно, требуют согласия пользователя.
5.13.1. ИТ-администраторы могут удаленно запрашивать отчеты об ошибках , просматривать отчеты об ошибках с консоли EMM и загружать отчеты об ошибках с консоли EMM.
5.14. Получение MAC-адреса
EMM может автоматически получить MAC-адрес устройства. MAC-адрес может использоваться для идентификации устройств в других частях инфраструктуры предприятия (например, при идентификации устройств для контроля доступа к сети).
5.14.1. EMM может автоматически получить MAC-адрес устройства и связать его с устройством в консоли EMM.
5.15. Расширенное управление режимом задач блокировки
Когда устройство настроено как выделенное, ИТ-администраторы могут использовать консоль EMM для выполнения следующих задач:
5.15.1. Разрешите тихому привязке одного приложения к устройству через ЦОД EMM .
5.15.2. Включите или отключите следующие функции системного пользовательского интерфейса через ЦОД EMM :
- Главная кнопка
- Обзор
- Глобальные действия
- Уведомления
- Информация о системе/строка состояния
- Keyguard (экран блокировки)
5.15.3. Отключите диалоговые окна системных ошибок через DPC EMM .
5.16. Расширенная политика обновления системы
ИТ-администраторы могут блокировать обновления системы на устройстве на определенный период заморозки.
5.16.1. ЦОД EMM может применять обновления системы по беспроводной сети (OTA) к устройствам в течение определенного периода заморозки.
5.17. Управление прозрачностью политики рабочего профиля
ИТ-администраторы могут настроить сообщение, отображаемое пользователям при удалении рабочего профиля с устройства.
5.17.1. ИТ-администраторы могут предоставить собственный текст, который будет отображаться при удалении рабочего профиля.
5.18. Поддержка подключенных приложений
ИТ-администраторы могут установить список пакетов , которые могут взаимодействовать через границы рабочего профиля.
5.19. Обновления системы вручную
ИТ-администраторы могут вручную установить обновление системы , указав путь к файлу.
6. Прекращение поддержки администратора устройства
6. Прекращение поддержки администратора устройства
EMM должны опубликовать план к концу 2022 года по прекращению поддержки клиентов для администратора устройств на устройствах GMS к концу первого квартала 2023 года.