רשימת התכונות ב-Android Enterprise

בדף הזה מפורטות כל התכונות של Android Enterprise.

אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הרגילות () של לפחות חבילת פתרונות אחת לפני שניתן יהיה להפוך אותו לזמין מסחרית. מפתחי EMM שרוצים שהפתרונות שלהם יופיעו בספריית הפתרונות לארגונים של Android כפתרונות שמציעים חבילת ניהול סטנדרטית צריכים לעבור אימות של תכונות סטנדרטיות ולהצטרף לתוכנית השותפים של Android Enterprise.

לכל חבילת פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מסומנות בכל דף של חבילת פתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. מפתחי EMM שהם חברים בתוכנית השותפים של AE ומציעים פתרונות שעוברים אימות של תכונות מתקדמות, מופיעים בספריית הפתרונות לארגונים של Android כמי שמציעים חבילת ניהול מתקדמת.

מפתח

תכונה רגילה אחת () תכונה מתקדמת תכונה אופציונלית לא רלוונטי

1. הקצאת הרשאות למכשיר

1.1. הקצאת פרופיל עבודה עם DPC

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.1+

אחרי שמורידים את ה-DPC של ה-EMM מ-Google Play, אפשר להקצות פרופיל עבודה.

1.1.1. ה-DPC של ה-EMM צריך להיות זמין לציבור ב-Google Play כדי שהמשתמשים יוכלו להתקין אותו בצד האישי של המכשיר.

1.1.2. אחרי ההתקנה, ה-DPC צריך להנחות את המשתמש בתהליך של הקצאת פרופיל לצורכי עבודה.

1.1.3. אחרי שהקצאת ההרשאות מסתיימת, לא יכולים להישאר נתונים שקשורים לניהול בצד האישי של המכשיר.

  • צריך להסיר את כל כללי המדיניות שהוגדרו במהלך ההקצאה.
  • צריך לבטל את ההרשאות של האפליקציה.
  • ה-DPC של ה-EMM צריך להיות מושבת לפחות בצד האישי של המכשיר.

1.2. הקצאת הרשאות למכשיר באמצעות מזהה DPC

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+
12.0+

אדמינים ב-IT יכולים להקצות מכשיר מנוהל או ייעודי באמצעות מזהה DPC ‏(afw#), בהתאם להנחיות ההטמעה שמוגדרות בתיעוד למפתחים של Play EMM API.

1.2.1. בקר ה-DPC של ה-EMM צריך להיות זמין לכולם ב-Google Play. אפשר להתקין את בקר ה-DPC באמצעות אשף הגדרת המכשיר, על ידי הזנת מזהה ספציפי לבקר ה-DPC.

1.2.2. אחרי ההתקנה, ה-DPC של ה-EMM צריך להנחות את המשתמש בתהליך של הקצאת מכשיר מנוהל מלא או מכשיר ייעודי.

1.3. הקצאת הרשאות למכשירי NFC

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+
12.0+

אדמינים של IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שאופסו להגדרות היצרן, בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.

1.3.1. פתרונות EMM חייבים להשתמש בתגי NFC Forum Type 2 עם זיכרון של לפחות 888 בייט. הקצאת ההרשאות צריכה להתבצע באמצעות תוספים להקצאת הרשאות, כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. פרטי ההרשמה לא צריכים לכלול מידע רגיש, כמו סיסמאות או אישורים.

1.3.2. אחרי ש-DPC של EMM מגדיר את עצמו כבעלים של המכשיר, הוא חייב להיפתח מיד ולהינעל במסך עד שהמכשיר יוקצה באופן מלא. 1.3.3. אנחנו ממליצים להשתמש בתגי NFC ב-Android מגרסה 10 ואילך, כי הוצאנו משימוש את NFC Beam (שנקרא גם NFC Bump).

1.4. הקצאת הרשאות למכשיר באמצעות קוד QR

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים של IT יכולים להשתמש במכשיר חדש או במכשיר שאופס להגדרות המפעל כדי לסרוק קוד QR שנוצר על ידי מסוף ה-EMM כדי להקצות את המכשיר, בהתאם להנחיות ההטמעה שמוגדרות ב מסמכי התיעוד למפתחים של Play EMM API.

1.4.1. קוד ה-QR צריך להשתמש בתוספות להקצאת הרשאות כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. פרטי ההרשמה לא יכולים לכלול מידע רגיש, כמו סיסמאות או אישורים.

1.4.2. אחרי ש-DPC של EMM מגדיר את המכשיר, ה-DPC חייב להיפתח מיד ולנעול את עצמו למסך עד שהמכשיר יוקצה באופן מלא.

1.5. הרשמה דרך הארגון

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
8.0 ואילך (Pixel: ‏ Android 7.1 ואילך)

אדמינים ב-IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.

1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון למנהלי IT.

1.5.2. כשמפעילים מכשיר בפעם הראשונה, המכשיר עובר אוטומטית להגדרות שהוגדרו על ידי אדמין ה-IT.

1.6. הקצאת הרשאות מתקדמת ללא מגע

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
8.0 ואילך (Pixel: ‏ Android 7.1 ואילך)

אדמינים בתחום ה-IT יכולים להפוך חלק ניכר מתהליך רישום המכשירים לאוטומטי באמצעות פריסת פרטי רישום של DPC דרך רישום ללא מגע. ‫DPC של EMM תומך בהגבלת ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמוצעות על ידי EMM.

1.6.1. מנהלי IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון למנהלי IT.

1.6.2. אחרי ש-DPC של EMM מגדיר את המכשיר, ה-DPC של ה-EMM חייב להיפתח מיד ולנעול את עצמו למסך עד שהמכשיר יוקצה באופן מלא.

  • הדרישה הזו לא חלה על מכשירים שמשתמשים בפרטי רישום של הרשמה דרך הארגון כדי להקצות את עצמם באופן מלא בשקט (למשל, בהטמעה של מכשיר ייעודי).

1.6.3. באמצעות פרטי ההרשמה, ה-DPC של ה-EMM צריך לוודא שמשתמשים לא מורשים לא יכולים להמשיך בהפעלה אחרי הפעלת ה-DPC. לפחות, ההפעלה צריכה להיות מוגבלת למשתמשים בארגון מסוים.

1.6.4. באמצעות פרטי ההרשמה, ה-DPC של ה-EMM צריך לאפשר לאדמינים ב-IT למלא מראש פרטי הרשמה (לדוגמה, מזהי שרת, מזהי הרשמה) מלבד מידע ייחודי על משתמש או מכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.

  • אסור לכלול מידע רגיש, כמו סיסמאות או אישורים, בהגדרות של ההרשמה ללא מגע (ZTE) ב-EMM.

1.7. הקצאת פרופיל עבודה בחשבון Google

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

בארגונים שמשתמשים בדומיין Google מנוהל, התכונה הזו עוזרת למשתמשים להגדיר פרופיל עבודה אחרי שהם מזינים את פרטי הכניסה שלהם ל-Workspace במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר לפרופיל העבודה.

1.7.1. שיטת ההקצאה של חשבון Google מקצה פרופיל עבודה בהתאם להנחיות ההטמעה המוגדרות.

‫1.8. הקצאת הרשאות למכשירים בחשבון Google

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

בארגונים שמשתמשים ב-Workspace, התכונה הזו עוזרת למשתמשים להתקין את ה-DPC של ה-EMM שלהם אחרי שהם מזינים את פרטי הכניסה שלהם ל-Workspace העסקי במהלך ההגדרה הראשונית של המכשיר. אחרי ההתקנה, ה-DPC משלים את ההגדרה של מכשיר בבעלות החברה.

1.8.1. שיטת ההקצאה של חשבון Google מקצה מכשיר בבעלות החברה, בהתאם להנחיות ההטמעה המוגדרות.

1.8.2. אלא אם פתרון ה-EMM יכול לזהות באופן חד משמעי את המכשיר כנכס של החברה, הוא לא יכול להקצות מכשיר בלי להציג בקשה במהלך תהליך ההקצאה. ההנחיה הזו צריכה לבצע פעולה שאינה ברירת מחדל, כמו סימון תיבת סימון או בחירה באפשרות בתפריט שאינה ברירת מחדל. מומלץ שמערכת ה-EMM תוכל לזהות את המכשיר כנכס של החברה, כדי שלא יהיה צורך בהצגת הבקשה.

‫1.9. הגדרה ישירה של הרשמה דרך הארגון

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
8.0+

אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי להגדיר מכשירים בהרשמה דרך הארגון באמצעות iframe של הרשמה דרך הארגון.

‫1.10. פרופילי עבודה במכשירים בבעלות החברה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
8.0+

מערכות EMM יכולות לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה.

1.10.1. השדה ריק בכוונה.

1.10.2. מנהלי IT יכולים להגדיר פעולות תאימות לפרופילי עבודה במכשירים שבבעלות החברה.

1.10.3. מנהלי IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו.

1.10.4. מנהלי IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו.

1.10.5. אדמינים של IT יכולים להגדיר רשימת חסימה של אפליקציות שלא ניתן להתקין בפרופיל האישי.

1.10.6. מנהלי IT יכולים להפסיק את הניהול של מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או איפוס הנתונים במכשיר כולו.

‫1.11. הקצאת מכשירים ייעודיים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
8.0+

אדמינים של IT יכולים לרשום מכשירים ייעודיים בלי שהמשתמש יתבקש לאמת את החשבון שלו ב-Google.


2. אבטחת המכשיר

2.1. אתגר אבטחה במכשיר

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה למכשיר (קוד סודי/תבנית/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים מנוהלים.

2.1.1. המדיניות צריכה לאכוף הגדרות לניהול אתגרי אבטחה במכשיר (parentProfilePasswordRequirements לפרופיל עבודה, passwordRequirements למכשירים בבעלות מלאה ולמכשירים ייעודיים).

2.1.2. מורכבות הסיסמה צריכה להיות זהה למורכבות הסיסמה הבאה:

  • PASSWORD_COMPLEXITY_LOW - קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, ‏ 4321, ‏ 2468).
  • PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או רצפים בסדר עולה או יורד (1234,‏ 4321,‏ 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
  • PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234,‏ 4321,‏ 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.1.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כמדיניות מדור קודם במכשירים בבעלות החברה.

2.2. אתגר אבטחה בפרופיל העבודה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד וכולל דרישות שונות מאתגר האבטחה של המכשיר (2.1).

2.2.1. המדיניות צריכה לאכוף את אתגר האבטחה בפרופיל העבודה. כברירת מחדל, אדמינים של IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא מצוין היקף. אדמינים של IT יכולים להגדיר את ההגבלות האלה לכל המכשיר על ידי ציון ההיקף (ראו דרישה 2.1).

2.1.2. מורכבות הסיסמה צריכה להיות תואמת למורכבויות הסיסמה הבאות:

  • PASSWORD_COMPLEXITY_LOW - קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, ‏ 4321, ‏ 2468).
  • PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או רצפים בסדר עולה או יורד (1234,‏ 4321,‏ 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
  • PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234,‏ 4321,‏ 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.2.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כהגדרות מדור קודם

2.3. ניהול מתקדם של קודי גישה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

2.3.1. Deliberately blank.

2.3.2. השדה ריק בכוונה.

2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של הסיסמה לכל מסך נעילה שזמין במכשיר:

  1. הושאר ריק בכוונה
  2. הושאר ריק בכוונה
  3. Maximum failed passwords for wipe : מציין את מספר הפעמים שבהן משתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ממחלקת IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.3.4. ‫(Android 8.0+) דרישה לזמן קצוב לתפוגה של אימות חזק: צריך להזין קוד אימות חזק (כמו קוד אימות או סיסמה) אחרי תקופת זמן קצוב לתפוגה שהוגדרה על ידי אדמין IT. אחרי תקופת ההמתנה, שיטות אימות לא חזקות (כמו טביעת אצבע, זיהוי פנים) מושבתות עד שהנעילה של המכשיר מבוטלת באמצעות קוד גישה חזק לאימות.

2.4. ניהול של Smart Lock

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים של IT יכולים לקבוע אילו סביבות אמינות בתכונה Smart Lock של Android יוכלו לבטל את הנעילה של המכשירים. אדמינים של IT יכולים להשבית שיטות ספציפיות לביטול הנעילה, כמו מכשירי Bluetooth מהימנים, זיהוי פנים וזיהוי קולי, או להשבית את התכונה כולה.

2.4.1. אדמינים ב-IT יכולים להשבית סוכני מהימנות של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר.

2.4.2. אדמינים של IT יכולים לאפשר ולהגדיר באופן סלקטיבי סוכני מהימנות של Smart Lock , בנפרד לכל מסך נעילה שזמין במכשיר, לסוכני המהימנות הבאים: Bluetooth,‏ NFC,‏ מיקומים, פנים, על הגוף וקול.

2.5. איפוס נתונים ונעילה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים להשתמש במסוף של EMM כדי לנעול מרחוק ולאפס נתוני עבודה ממכשיר מנוהל.

2.5.1. ה-DPC של ה-EMM חייב לנעול את המכשירים.

2.5.2. ה-DPC של ה-EMM צריך לאפס את הנתונים במכשירים.

2.6. אכיפת התאימות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אם מכשיר לא עומד בדרישות של מדיניות האבטחה, הגישה לנתוני העבודה מוגבלת באופן אוטומטי.

2.6.1. לפחות, מדיניות האבטחה שנאכפת במכשיר חייבת לכלול מדיניות סיסמאות.

2.7. מדיניות אבטחה שמוגדרת כברירת מחדל

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

ספקי EMM צריכים לאכוף את מדיניות האבטחה שצוינה במכשירים כברירת מחדל, בלי לדרוש מאדמינים של IT להגדיר או להתאים אישית הגדרות במסוף של ספק ה-EMM. מומלץ (אבל לא חובה) שמערכות EMM לא יאפשרו לאדמינים של IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.

2.7.1. ה-DPC של ה-EMM חייב לחסום התקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר עם פרופיל עבודה ב-Android 8.0 ואילך.

2.7.2. בקר ה-DPC של ה-EMM צריך לחסום את תכונות ניפוי הבאגים.

‫2.8. מדיניות אבטחה למכשירים ייעודיים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

מכשירים ייעודיים נעולים ואין אפשרות לבצע פעולות אחרות.

2.8.1. ה-DPC של ה-EMM צריך להשבית את האפשרות לאתחול במצב בטוח כברירת מחדל.

2.8.2. כדי לוודא שלא תהיה אינטראקציה עם המכשיר בשום דרך אחרת, צריך לפתוח את ה-DPC של ה-EMM ולנעול אותו למסך מיד אחרי האתחול הראשון במהלך ההקצאה.

2.8.3. ה-DPC של ה-EMM צריך להיות מוגדר כמרכז האפליקציות שמוגדר כברירת מחדל כדי להבטיח שהאפליקציות המותרות יינעלו למסך בזמן האתחול, בהתאם להנחיות ההטמעה המוגדרות.

‫2.9. תמיכה ב-Play Integrity

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

ה-EMM משתמש ב-Play Integrity API כדי לוודא שהמכשירים הם מכשירי Android תקינים.

2.9.1. ה-DPC של ה-EMM מטמיע את Play Integrity API במהלך ההקצאה, ובאופן אוטומטי משלים את הקצאת המכשיר עם נתונים ארגוניים רק אם שלמות המכשיר שהוחזרה היא MEETS_STRONG_INTEGRITY .

2.9.2. ה-DPC של ה-EMM יבצע בדיקת תקינות נוספת ב-Play בכל פעם שמכשיר יתחבר לשרת ה-EMM. האדמין ב-IT יכול להגדיר את התדירות של הבדיקות האלה. שרת ה-EMM יאמת את פרטי ה-APK בתשובה של בדיקת התקינות ואת התשובה עצמה לפני שיעדכן את המדיניות הארגונית במכשיר.

2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות בהתאם לתוצאה של בדיקת תקינות Play, כולל חסימת הקצאת הרשאות, מחיקת נתונים ארגוניים והמשך הרישום.

  • שירות ה-EMM יאכוף את תגובת המדיניות הזו לגבי התוצאה של כל בדיקת תקינות.

2.9.4. אם בדיקת תקינות Play הראשונית נכשלת או מחזירה תוצאה שלא עומדת בדרישות של תקינות חזקה, אם ה-DPC של ה-EMM לא קרא כבר ל-ensureWorkingEnvironment, הוא חייב לעשות זאת ולחזור על הבדיקה לפני שההקצאה מסתיימת.

‫2.10. אכיפה של אימות אפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android לאיתור תוכנות מזיקות לפני ההתקנה ואחריה, כדי לוודא שאפליקציות זדוניות לא יוכלו לסכן את הנתונים של החברה.

2.10.1. ה-DPC של ה-EMM צריך להפעיל את התכונה 'אימות אפליקציות' כברירת מחדל.

‫2.11. תמיכה ב-Direct Boot

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אי אפשר להפעיל אפליקציות במכשירים עם Android מגרסה 7.0 ואילך שהופעלו זה עתה, עד שמבטלים את הנעילה של המכשיר בפעם הראשונה. תמיכה בהפעלה ישירה מבטיחה ש-DPC של EMM תמיד פעיל ויכול לאכוף מדיניות, גם אם המכשיר לא נפתח.

2.11.1. ה-DPC של ה-EMM ממנף אחסון מוצפן במכשיר כדי לבצע פונקציות ניהול קריטיות לפני שהאחסון המוצפן של פרטי הכניסה של ה-DPC מפוענח. פונקציות הניהול שזמינות במהלך האתחול הישיר חייבות לכלול (אבל לא רק):

2.11.2. ה-DPC של ה-EMM לא יכול לחשוף נתונים ארגוניים באחסון המוצפן של המכשיר.

2.11.3. מערכות EMM יכולות להגדיר ולהפעיל טוקן כדי להפעיל לחצן שכחתי את הסיסמה במסך הנעילה של פרופיל העבודה. הלחצן הזה משמש כדי לבקש מאדמינים ממחלקת IT לאפס באופן מאובטח את הסיסמה של פרופיל העבודה.

‫2.12. ניהול אבטחה של חומרה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.1+

אדמינים ב-IT יכולים לנעול רכיבי חומרה במכשיר בבעלות החברה כדי למנוע אובדן נתונים.

2.12.1. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לטעון מדיה חיצונית פיזית במכשיר שלהם.

2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות NFC beam . התכונה המשנית הזו היא אופציונלית כי פונקציית NFC beam לא נתמכת יותר ב-Android מגרסה 10 ואילך.

2.12.3. אדמינים ממחלקת IT יכולים לחסום משתמשים מהעברת קבצים באמצעות USB מהמכשיר שלהם.

‫2.13. רישום פעולות שמשפיעות על אבטחת החשבון בארגון

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים של IT יכולים לאסוף נתוני שימוש ממכשירים שאפשר לנתח אותם ולהעריך באופן פרוגרמטי התנהגות זדונית או מסוכנת. הפעילויות שנרשמות ביומן כוללות פעילות של Android Debug Bridge‏ (adb), פתיחות של אפליקציות וביטול נעילה של המסך.

2.13.1. אדמינים ב-IT יכולים להפעיל רישום של נתוני אבטחה במכשירים ספציפיים, וה-DPC של ה-EMM צריך להיות מסוגל לאחזר באופן אוטומטי גם יומני אבטחה וגם יומני אבטחה לפני הפעלה מחדש.

2.13.2. אדמינים בתחום ה-IT יכולים לבדוק את יומני האבטחה של הארגון עבור מכשיר מסוים וחלון זמן שניתן להגדרה, במסוף של EMM.

2.13.3. אדמינים ב-IT יכולים לייצא יומני אבטחה ארגוניים ממסוף ה-EMM.


3. ניהול החשבון והאפליקציות

3.1. קישור לארגון

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.

3.1.1. אדמין עם דומיין מנוהל קיים של Google יכול לקשר את הדומיין שלו ל-EMM.

3.1.2. מסוף ה-EMM צריך להקצות ולהגדיר באופן שקט ESA ייחודי לכל ארגון.

3.1.3. ביטול ההרשמה של ארגון באמצעות Play EMM API.

3.1.4. מסוף ה-EMM מנחה את האדמין להזין את כתובת האימייל שלו לצורכי עבודה בתהליך ההרשמה ל-Android, וממליץ לו לא להשתמש בחשבון Gmail.

3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.

3.2. הקצאת חשבונות Google Play מנוהלים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

ה-EMM יכול להקצות בשקט חשבונות משתמשים לארגון, שנקראים חשבונות Google Play לארגונים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללי הפצה ייחודיים של אפליקציות לכל משתמש.

3.2.1. ה-DPC של ה-EMM יכול לספק ולהפעיל חשבון מנוהל ב-Google Play באופן שקוף, בהתאם להנחיות ההטמעה המוגדרות. במהלך הפעולה:

  • חשבון Google Play מנוהל מסוג userAccount נוסף למכשיר.
  • חשבון Google Play לארגונים מסוג userAccount צריך להיות ממופה אחד לאחד עם משתמשים בפועל במסוף ה-EMM.

‫3.3. הקצאת חשבונות במכשירים ב-Google Play מנוהל

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

מערכת ה-EMM יכולה ליצור ולספק חשבונות מכשיר ב-Google Play לארגונים . חשבונות מכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא משויכים למשתמש יחיד. במקום זאת, נעשה שימוש בחשבון מכשיר כדי לזהות מכשיר יחיד, כדי לתמוך בכללים להפצת אפליקציות לכל מכשיר בתרחישים של מכשירים ייעודיים.

3.3.1. ה-DPC של ה-EMM יכול לספק ולהפעיל חשבון מנוהל ב-Google Play באופן שקוף, בהתאם להנחיות ההטמעה המוגדרות. במהלך הפעולה הזו, צריך להוסיף למכשיר חשבון Google Play לארגונים מסוג deviceAccount.

3.4. הקצאת חשבונות Google Play מנוהלים למכשירים מדור קודם

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0 ומגרסאות ישנות יותר

ה-EMM יכול להקצות בשקט חשבונות משתמשים ארגוניים, שנקראים חשבונות Google Play מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללי הפצה ייחודיים של אפליקציות לכל משתמש.

3.4.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל בשקט חשבון מנוהל ב-Google Play בהתאם להנחיות ההטמעה המוגדרות . במהלך הפעולה:

    1. חשבון Google Play מנוהל מסוג userAccount נוסף למכשיר.
    2. חשבון Google Play לארגונים מסוג userAccount צריך להיות ממופה אחד לאחד עם משתמשים בפועל במסוף ה-EMM.

3.5. הפצה שקטה של אפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים להפיץ בשקט אפליקציות עבודה במכשירים של משתמשים ללא אינטראקציה מצד המשתמשים.

3.5.1. מסוף ה-EMM חייב להשתמש ב-Play EMM API כדי לאפשר לאדמינים של IT להתקין אפליקציות לשימוש בעבודה במכשירים מנוהלים.

3.5.2. מסוף ה-EMM חייב להשתמש ב-Play EMM API כדי לאפשר למנהלי IT לעדכן אפליקציות לשימוש בעבודה במכשירים מנוהלים.

3.5.3. מסוף ה-EMM צריך להשתמש ב-Play EMM API כדי לאפשר לאדמינים של IT להסיר אפליקציות במכשירים מנוהלים.

‫3.6. ניהול הגדרות מנוהלות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לראות ולהגדיר בשקט הגדרות מנוהלות או כל אפליקציה שתומכת בהגדרות מנוהלות.

3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות הניהול של כל אפליקציה ב-Play.

3.6.2. מסוף ה-EMM צריך לאפשר לאדמינים בתחום ה-IT להגדיר כל סוג של הגדרה (כפי שמוגדר במסגרת Android) לכל אפליקציה ב-Play באמצעות Play EMM API.

3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו ‎$username$ או ‎ %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים. ה-iframe של ההגדרה המנוהלת תומך בדרישה הזו באופן אוטומטי.

3.7. ניהול קטלוג האפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים לייבא רשימה של אפליקציות שאושרו לארגון שלהם מ-Google Play לארגונים (play.google.com/work).

3.7.1. במסוף ה-EMM אפשר לראות רשימה של אפליקציות שאושרו להפצה, כולל:

‫3.8. אישור אפליקציות פרוגרמטיות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגילוי ולאישור אפליקציות. אדמינים של IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת ממסוף ה-EMM.

3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות iframe של Google Play לארגונים.

‫3.9. ניהול בסיסי של פריסת החנות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אפשר להשתמש באפליקציית חנות Google Play לארגונים במכשירים כדי להתקין ולעדכן אפליקציות לעבודה. פריסת החנות הבסיסית מוצגת כברירת מחדל ומפרטת את האפליקציות שאושרו לארגון, שפתרונות EMM מסננים על בסיס משתמשים בהתאם למדיניות.

3.9.1. אדמינים ב-IT יכולים [לנהל את ערכות המוצרים שהמשתמשים יכולים להשתמש בהן]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) כדי לאפשר למשתמשים לראות ולהתקין אפליקציות מחנות Google Play לארגונים בקטע 'דף הבית של החנות'.

‫3.10. הגדרה מתקדמת של פריסת החנות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציית חנות Google Play לארגונים במכשירים.

3.10.1. אדמינים של IT יכולים לבצע את הפעולות הבאות במסוף ה-EMM כדי להתאים אישית את הפריסה של חנות Google Play לארגונים:

  • ליצור עד 100 דפים של פריסת החנות. דפים יכולים להכיל מספר שרירותי של שמות דפים מותאמים לשפות שונות.
  • אפשר ליצור עד 30 אשכולות לכל דף. לכל אשכול יכול להיות מספר שרירותי של שמות אשכולים מקומיים.
  • אפשר להקצות עד 100 אפליקציות לכל אשכול.
  • אפשר להוסיף עד 10 קישורים מהירים לכל דף.
  • מציינים את סדר המיון של האפליקציות באשכול ושל האשכולות בדף.

‫3.11. ניהול רישיונות לאפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים של IT יכולים לראות ולנהל רישיונות לאפליקציות שנרכשו ב-Google Play לניהול מתוך המסוף של ה-EMM.

3.11.1. באפליקציות בתשלום שאושרו לארגון, המסוף של EMM צריך להציג:

  • מספר הרישיונות שנרכשו.
  • מספר הרישיונות בשימוש והמשתמשים שצורכים את הרישיונות.
  • מספר הרישיונות שזמינים להפצה.

3.11.2. אדמינים ב-IT יכולים להקצות רישיונות למשתמשים בשקט בלי לחייב התקנה של האפליקציה במכשירים של המשתמשים.

3.11.3. אדמינים ב-IT יכולים לבטל הקצאה של רישיון לאפליקציה למשתמש.

‫3.12. ניהול אפליקציות פרטיות שמתארחות ב-Google

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.

3.12.1. אדמינים ב-IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:

‫3.13. ניהול אפליקציות פרטיות באירוח עצמי

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, פתרון ה-EMM עוזר לאדמינים ב-IT לארח חבילות APK בעצמם, ומגן על אפליקציות שמתארחות באופן עצמאי על ידי אימות האפשרות להתקין אותן רק באישור של Google Play מנוהל.

אדמינים בתחום ה-IT יכולים לקרוא פרטים נוספים במאמר בנושא תמיכה באפליקציות פרטיות.

3.13.1. המסוף של ה-EMM צריך לעזור לאדמינים ב-IT לארח את קובץ ה-APK של האפליקציה, באמצעות שתי האפשרויות הבאות:

  • אירוח קובץ ה-APK בשרת ה-EMM. השרת יכול להיות מקומי בארגון או מבוסס-ענן.
  • אירוח קובץ ה-APK מחוץ לשרת של EMM, לפי שיקול דעתו של מנהל ה-IT. אדמין ה-IT צריך לציין במסוף ה-EMM איפה מתארח קובץ ה-APK.

3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.

3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות באופן עצמאי, ומסוף ה-EMM יכול לפרסם בשקט קובצי הגדרת APK מעודכנים באמצעות Google Play Developer Publishing API.

3.13.4. השרת של מערכת ה-EMM משרת רק בקשות להורדה של קובץ ה-APK שמתארח באופן עצמאי ומכיל JWT תקין בקובץ ה-Cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.

  • כדי להקל על התהליך הזה, השרת של ה-EMM צריך להנחות את מנהלי ה-IT להוריד את המפתח הציבורי של הרישיון של האפליקציה המתארחת באופן עצמאי מ-Play Console, ולהעלות את המפתח הזה למסוף ה-EMM.

‫3.14. התראות Pull ב-EMM

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

במקום לשלוח שאילתות ל-Play באופן תקופתי כדי לזהות אירועים קודמים כמו עדכון אפליקציה שמכיל הרשאות חדשות או תצורות מנוהלות, הודעות Pull של EMM מודיעות למערכות EMM באופן יזום על אירועים כאלה בזמן אמת. כך מערכות EMM יכולות לבצע פעולות אוטומטיות ולספק התראות אדמיניסטרטיביות מותאמות אישית על סמך האירועים האלה.

3.14.1. הפתרון לניהול ניידות בארגון צריך להשתמש בהתראות EMM של Play כדי לשלוף קבוצות של התראות.

3.14.2. מערכת ה-EMM צריכה לשלוח באופן אוטומטי הודעה לאדמין IT (לדוגמה, באמצעות אימייל אוטומטי) על אירועי ההתראה הבאים:

  • newPermissionEvent: נדרש מאדמין IT לאשר הרשאות חדשות לאפליקציה לפני שאפשר להתקין או לעדכן אותה בשקט במכשירי המשתמשים.
  • appRestrictionsSchemaChangeEvent: יכול להיות שיהיה צורך שאדמין IT יעודכן את ההגדרה המנוהלת של אפליקציה כדי לשמור על היעילות הרצויה.
  • appUpdateEvent: יכול לעניין אדמינים ב-IT שרוצים לוודא שעדכון האפליקציה לא משפיע על הביצועים של תהליך העבודה העיקרי.
  • productAvailabilityChangeEvent: יכול להיות שתהיה השפעה על היכולת להתקין את האפליקציה או לקבל עדכונים לאפליקציה.
  • installFailureEvent: ל-Play אין אפשרות להתקין אפליקציה במכשיר ללא אישור המשתמש, מה שמצביע על כך שיכול להיות שיש משהו בהגדרת המכשיר שמונע את ההתקנה. מערכות EMM לא צריכות לנסות שוב התקנה שקטה מיד אחרי קבלת ההתראה הזו, כי לוגיקת הניסיון החוזר של Play כבר נכשלה.

3.14.3. מערכת ה-EMM מבצעת באופן אוטומטי פעולות מתאימות על סמך אירועי ההתראות הבאים:

  • newDeviceEvent: במהלך הקצאת ההרשאות למכשיר, מערכות EMM צריכות להמתין ל-newDeviceEvent לפני שהן מבצעות קריאות נוספות ל-Play EMM API עבור המכשיר החדש, כולל התקנות שקטות של אפליקציות והגדרת תצורות מנוהלות.
  • productApprovalEvent: כשמתקבלת הודעה productApprovalEvent , מערכת ה-EMM צריכה לעדכן באופן אוטומטי את רשימת האפליקציות שאושרו ויובאו למסוף ה-EMM להפצה למכשירים, אם יש סשן פעיל של אדמין IT, או אם רשימת האפליקציות שאושרו לא נטענת מחדש באופן אוטומטי בתחילת כל סשן של אדמין IT.

‫3.15. דרישות לשימוש ב-API

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

פתרון ה-EMM מטמיע את ממשקי ה-API של Google בהיקף נרחב, וכך נמנעים דפוסי תנועה שעלולים לפגוע ביכולת של אדמינים ב-IT לנהל אפליקציות בסביבות ייצור.

3.15.1. הפתרון לניהול ניידות בארגון חייב לפעול בהתאם למגבלות השימוש ב-Play EMM API. אם לא תתקנו את ההתנהגות שחורגת מההנחיות האלה, Google עשויה להשעות את השימוש ב-API, לפי שיקול דעתה.

3.15.2. מערכת ה-EMM צריכה לפזר את התנועה מארגונים שונים במהלך היום, במקום לרכז את התנועה מארגונים בזמנים ספציפיים או דומים. התנהגות שתואמת לדפוס התנועה הזה, כמו פעולות מתוזמנות של אצווה לכל מכשיר רשום, עלולה להוביל להשעיית השימוש ב-API, לפי שיקול הדעת של Google.

3.15.3. מערכת ה-EMM לא צריכה לשלוח בקשות עקביות, לא מלאות או שגויות בכוונה, בלי לנסות לאחזר או לנהל נתונים עסקיים בפועל. התנהגות שתואמת לדפוס התנועה הזה עלולה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.

‫3.16. ניהול מתקדם של הגדרות מנוהלות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות הניהול (עד ארבע רמות) של כל אפליקציה ב-Play, באמצעות:

3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שמוחזר על ידי ערוץ המשוב של האפליקציה, כשהוא מוגדר על ידי אדמין IT.

  • מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שממנו הוא נשלח.
  • המסוף של ה-EMM צריך לאפשר לאדמינים של IT להירשם לקבלת התראות או דוחות על סוגים ספציפיים של הודעות (כמו הודעות שגיאה).

3.16.3. מסוף ה-EMM צריך לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:

  • ה-iframe של ההגדרות המנוהלות, או
  • ממשק משתמש בהתאמה אישית.

‫3.17. ניהול אפליקציות אינטרנט

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים של IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף EMM.

3.17.1. אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:

3.18. ניהול מחזור החיים של חשבון Google Play מנוהל

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

מערכת ה-EMM יכולה ליצור, לעדכן ולמחוק חשבונות Google Play לארגונים בשם אדמינים של IT.

3.18.1. פתרונות EMM יכולים לנהל את מחזור החיים של חשבון Google Play מנוהל בהתאם להנחיות ההטמעה שמוגדרות בתיעוד למפתחים של Play EMM API.

3.18.2. פתרונות EMM יכולים לבצע אימות מחדש של חשבונות Google מנוהלים ב-Google Play בלי שהמשתמשים יצטרכו לבצע פעולה כלשהי.

3.19. ניהול מסלולי אפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי מעקב שהוגדרו על ידי מפתח עבור אפליקציה מסוימת.

3.19.2. אדמינים ממחלקת IT יכולים להגדיר מכשירים לשימוש במסלול פיתוח מסוים עבור אפליקציה.

‫3.20. ניהול מתקדם של עדכוני אפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

3.20.1. אדמינים ממחלקת IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשיש עדכון מוכן.

3.20.2. אדמינים ב-IT יכולים לאפשר לאפליקציות לדחות את העדכונים שלהן למשך 90 יום.

‫3.21. ניהול שיטות הקצאת הרשאות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

הפתרון לניהול ניידות בארגון יכול ליצור הגדרות הקצאת הרשאות ולהציג אותן לאדמין ה-IT בטופס שמוכן להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL בחנות Play).

‫3.22. שדרוג הקישור ל-Enterprise

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים לשדרג את סוג הקישור לארגון לדומיין מנוהל ב-Google לארגון, וכך לאפשר לארגון לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.

3.22.1. מסוף ה-EMM מאפשר לאדמין ה-IT להפעיל את השדרוג של קבוצת חשבונות קיימת של Google Play לארגונים לדומיין מנוהל ב-Google באמצעות ממשקי ה-API הנדרשים.

3.22.2. פתרונות EMM צריכים להשתמש ב-Pub/Sub כדי לקבל התראות על אירועי שדרוג שהופעלו על ידי אדמינים של IT (גם כאלה שמתרחשים מחוץ למסוף ה-EMM) ולעדכן את ממשק המשתמש שלהם בהתאם לשינויים האלה.

‫3.23. הקצאת חשבונות Google מנוהלים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

מערכת ה-EMM יכולה להקצות למכשיר חשבונות משתמשים ארגוניים, שנקראים חשבונות Google מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללים להפצת אפליקציות וגישה לשירותי Google. אדמינים ב-IT יכולים גם להגדיר מדיניות שמחייבת אימות של חשבון Google מנוהל במהלך ההרשמה או אחריה.

3.23.1. ה-DPC של ה-EMM יכול להקצות חשבון Google מנוהל בהתאם להנחיות ההטמעה.

במהלך הפעולה:

  • חשבון Google מנוהל נוסף למכשיר.
  • צריך להיות מיפוי של אחד לאחד בין חשבון Google המנוהל לבין משתמשים בפועל במסוף של מערכת ה-EMM.

3.23.2. אדמינים ב-IT יכולים להשתמש במדיניות כדי לספק למשתמשים את האפשרות להיכנס לחשבון Google מנוהל לצורך רישום.

3.23.3. אדמינים ב-IT יכולים להשתמש במדיניות כדי לקבוע אם המשתמש נדרש להיכנס לחשבון Google מנוהל כדי להשלים את ההרשמה.

3.23.4. אדמינים ב-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.

‫3.24. שדרוג חשבון Google Play לארגונים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי

אדמינים ב-IT יכולים לשדרג את סוג חשבון המשתמש לחשבון Google מנוהל, ובכך לאפשר למכשיר לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.

3.24.1. אדמינים ב-IT יכולים לשדרג חשבון קיים ב-Google Play לארגונים במכשיר לחשבון Google מנוהל.

3.24.2. אדמינים ב-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.


4. ניהול מכשירים

4.1. ניהול מדיניות ההרשאות בזמן ריצה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים של IT יכולים להגדיר תשובה שתינתן כברירת מחדל לבקשות גישה שאפליקציות ששייכות לפרופיל העבודה שולחות בתחילת ההפעלה, בלי שהמשתמשים יצטרכו לאשר אותן.

4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות ברירת מחדל בזמן ריצה לארגון שלהם:

  • הצגת בקשה (המשתמשים יכולים לבחור)
  • לאפשר
  • דחייה

מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.

4.2. ניהול מצב של מתן הרשאה בזמן ריצה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אחרי שמגדירים מדיניות ברירת מחדל להרשאות בזמן ריצה (עוברים לשלב 4.1), אדמינים של IT יכולים להגדיר תשובות להרשאות ספציפיות באופן שקט מכל אפליקציה לעבודה שנבנתה על API בגרסה 23 ומעלה.

4.2.1. אדמינים של IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת מחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי כל אפליקציה לעבודה שמבוססת על API מגרסה 23 ואילך. פתרון ה-EMM צריך לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.

4.3. ניהול הגדרות ה-Wi-Fi

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ב-IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:

4.3.1. SSID, באמצעות ה-DPC של ה-EMM.

4.3.2. סיסמה, באמצעות DPC של EMM.

4.4. ניהול אבטחת Wi-Fi

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ממחלקת IT יכולים להקצות הגדרות Wi-Fi ארגוניות במכשירים מנוהלים שכוללות את תכונות האבטחה המתקדמות הבאות:

4.4.1. זהות, באמצעות DPC של EMM.

4.4.2. אישור להרשאת לקוחות, באמצעות DPC של EMM .

4.4.3. אישורי CA, באמצעות DPC של EMM.

4.5. ניהול מתקדם של Wi-Fi

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.

4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באחת מההגדרות הבאות:

4.6. ניהול חשבון

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לוודא שחשבונות ארגוניים לא מורשים לא יכולים ליצור אינטראקציה עם נתונים ארגוניים, בשירותים כמו אחסון SaaS ואפליקציות פרודוקטיביות, או באימייל. בלי התכונה הזו, אפשר להוסיף חשבונות לשימוש אישי לאפליקציות הארגוניות האלה שתומכות גם בחשבונות לצרכן, וכך לאפשר שיתוף של נתונים ארגוניים עם החשבונות לשימוש אישי.

4.6.1. אדמינים ב-IT יכולים למנוע הוספה או שינוי של חשבונות.

  • כשמחילים את המדיניות הזו על מכשיר, פתרונות EMM צריכים להגדיר את ההגבלה הזו לפני שהקצאת ההרשאות מסתיימת, כדי לוודא שאי אפשר לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות נכנסת לתוקף.

4.7. ניהול חשבון Workspace

התכונה הזו יצאה משימוש. בסעיף 3.23 מפורטות הדרישות להחלפה.

4.8. ניהול אישורים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

מאפשר לאדמינים ב-IT לפרוס אישורי זהות ורשויות אישורים במכשירים כדי לאפשר גישה למשאבים ארגוניים.

4.8.1. אדמינים ב-IT יכולים להתקין אישורים של זהויות משתמשים שנוצרו על ידי ה-PKI שלהם על בסיס כל משתמש. המסוף של מערכת ה-EMM חייב להיות משולב עם לפחות PKI אחד, ולהפיץ אישורים שנוצרו מהתשתית הזו.

4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים במאגר המפתחות המנוהל.

4.9. ניהול מתקדם של אישורים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

מאפשר לאדמינים ב-IT לבחור בשקט את האישורים שאפליקציות מנוהלות ספציפיות צריכות להשתמש בהם. התכונה הזו גם מאפשרת לאדמינים בצוות ה-IT להסיר רשויות אישורים (CA) ואישורי זהות ממכשירים פעילים. התכונה הזו מונעת ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.

4.9.1. אדמינים ב-IT יכולים לציין אישור לכל אפליקציה שמופצת למכשירים, כדי שהאפליקציה תקבל גישה שקטה במהלך ההפעלה.

  • בחירת האישור צריכה להיות כללית מספיק כדי לאפשר הגדרה יחידה שתחול על כל המשתמשים, שלכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.

4.9.2. אדמינים ב-IT יכולים להסיר אישורים בשקט מחנות המפתחות המנוהלת.

4.9.3. אדמינים ב-IT יכולים להסיר אישור CA או את כל אישורי ה-CA שאינם של המערכת.

4.9.4. אדמינים ב-IT יכולים למנוע מהמשתמשים להגדיר פרטי כניסה במאגר המפתחות המנוהל.

4.9.5. אדמינים ב-IT יכולים להעניק מראש אישורים לאפליקציות לשימוש בעבודה.

‫4.10. ניהול אישורים בהרשאת גישה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ב-IT יכולים להפיץ אפליקציה לניהול אישורים של צד שלישי למכשירים ולהעניק לאפליקציה הזו גישה מיוחדת להתקנת אישורים במאגר המפתחות המנוהל.

4.10.1. אדמינים ממחלקת ה-IT מציינים חבילה לניהול אישורים כדי להגדיר אותה כאפליקציה לניהול אישורים עם הרשאת גישה על ידי ה-DPC.

  • המסוף יכול להציע חבילות ידועות לניהול אישורים, אבל הוא חייב לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.

‫4.11. ניהול מתקדם של VPN

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

מאפשר לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי לוודא שהנתונים מאפליקציות מנוהלות שצוינו תמיד יעברו דרך VPN שהוגדר.

4.11.1. אדמינים ב-IT יכולים להגדיר חבילת VPN שרירותית כ-VPN עם חיבור קבוע.

  • יכול להיות שמסוף ה-EMM יציע חבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל הוא לא יכול להגביל את שרתי ה-VPN שזמינים להגדרה של VPN שפועל כל הזמן לרשימה שרירותית כלשהי.

4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות אישיות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.

‫4.12. ניהול IME

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מכיוון ש-IME משותף גם לפרופיל העבודה וגם לפרופיל האישי, חסימת השימוש ב-IME תמנע את השימוש ב-IME גם לשימוש אישי. אבל אדמינים של IT לא יכולים לחסום מערכות IME במערכת בפרופילים של עבודה (פרטים נוספים זמינים במאמר בנושא ניהול מתקדם של IME).

4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים ל-IME באורך שרירותי (כולל רשימה ריקה, שחוסמת ממשקי IME שאינם של המערכת), שיכולה להכיל חבילות IME שרירותיות.

  • יכול להיות שמסוף ה-EMM יציע מקלדות וירטואליות מוכרות או מומלצות להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.

4.12.2. ה-EMM צריך להודיע לאדמינים ממחלקת ה-IT שמערכות IME לא נכללות בניהול במכשירים עם פרופילי עבודה.

‫4.13. ניהול מתקדם של IME

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. ניהול מתקדם של IME מרחיב את התכונה הבסיסית ומאפשר לאדמינים בתחום ה-IT לנהל גם את השימוש ב-IME של המערכת, שבדרך כלל מסופק על ידי יצרן המכשיר או הספק של המכשיר.

4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים ל-IME באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל מערכות IME), שיכולה להכיל חבילות IME שרירותיות.

  • יכול להיות שמסוף ה-EMM יציע מקלדות וירטואליות מוכרות או מומלצות להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.

4.13.2. מערכות EMM צריכות למנוע מאדמינים של IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום את כל שיטות הקלט, כולל שיטות קלט של המערכת, כך שלא ניתן יהיה להגדיר אותן במכשיר.

4.13.3. פתרונות EMM צריכים לוודא שאם רשימת ההיתרים של IME לא מכילה IME של המערכת, ה-IME של צד שלישי מותקן בשקט לפני שרשימת ההיתרים מוחלת על המכשיר.

‫4.14. ניהול שירותי נגישות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים של IT יכולים לקבוע אילו שירותי נגישות יקבלו אישור במכשירי המשתמשים. שירותי הנגישות הם כלים יעילים למשתמשים עם מוגבלויות או למשתמשים שלא יכולים באופן זמני לקיים אינטראקציה מלאה עם המכשיר שלהם, אבל הם עשויים לקיים אינטראקציה עם נתונים ארגוניים באופן שלא עומד בדרישות המדיניות הארגונית. התכונה הזו מאפשרת לאדמינים של IT להשבית כל שירות נגישות שאינו שירות מערכת.

4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילה שרירותית של שירותי נגישות. כשמחילים את ההגדרה הזו על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.

  • יכול להיות שהמסוף יציע שירותי נגישות מוכרים או מומלצים להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.

‫4.15. ניהול של שיתוף המיקום

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים של IT יכולים למנוע מהמשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום לפרופילים של עבודה בהגדרות.

4.15.1. אדמינים של IT יכולים להשבית את שירותי המיקום בפרופיל העבודה.

‫4.16. ניהול מתקדם של שיתוף המיקום

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לאכוף הגדרה מסוימת של שיתוף מיקום במכשיר מנוהל. התכונה הזו יכולה לוודא שלאפליקציות ארגוניות תמיד תהיה גישה לנתוני מיקום ברמת דיוק גבוהה. התכונה הזו יכולה גם להגביל את הגדרות המיקום למצב חיסכון בסוללה, כדי לוודא שלא תהיה צריכת סוללה מיותרת.

4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:

  • רמת דיוק גבוהה.
  • חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שסופק על ידי הרשת.
  • חיסכון בסוללה, שמגביל את תדירות העדכון.
  • כבוי.

‫4.17. ניהול הגנה מפני איפוס להגדרות המקוריות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.1+

אדמינים של IT יכולים להגן על מכשירים בבעלות החברה מפני גניבה, ולוודא שמשתמשים לא מורשים לא יכולים לאפס את המכשירים להגדרות המקוריות. אם ההגנה למקרה של איפוס להגדרות המקוריות יוצרת מורכבויות תפעוליות כשמכשירים מוחזרים ל-IT, אדמינים ב-IT יכולים גם להשבית את ההגנה למקרה של איפוס להגדרות המקוריות לחלוטין.

4.17.1. אדמינים ב-IT יכולים למנוע מהמשתמשים לאפס את המכשיר להגדרות המקוריות דרך ההגדרות.

4.17.2. אדמינים ב-IT יכולים לציין חשבונות ארגוניים לביטול הנעילה שמורשים להקצות מכשירים אחרי איפוס להגדרות היצרן.

  • אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו בכל הארגון כדי לבטל את הנעילה של מכשירים.

4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות במכשירים ספציפיים.

4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של מכשיר, שכוללת גם מחיקה של נתונים לגבי ההתחברות למכשיר אחרי איפוס להגדרות המקוריות (אופציונלי), וכך להסיר את ההגנה מפני איפוס להגדרות המקוריות במכשיר שאופס.

‫4.18. בקרה מתקדמת על אפליקציות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים למנוע מהמשתמש להסיר או לשנות אפליקציות מנוהלות בדרכים אחרות דרך ההגדרות. לדוגמה, הם יכולים לכפות סגירה של האפליקציה או לנקות את מטמון הנתונים של האפליקציה.

4.18.1. אדמינים ב-IT יכולים לחסום את ההסרה של אפליקציות מנוהלות שרירותיות, או של כל האפליקציות המנוהלות.

4.18.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות נתונים של אפליקציות דרך ההגדרות.

‫4.19. ניהול צילומי מסך

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לחסום משתמשים מלצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות של המערכת ליצירת צילומי מסך.

4.19.1. אדמינים ב-IT יכולים למנוע מהמשתמשים לצלם צילומי מסך .

‫4.20. השבת מצלמות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשיר באפליקציות מנוהלות.

4.20.1. אדמינים בתחום ה-IT יכולים להשבית את השימוש במצלמות המכשיר באפליקציות מנוהלות.

‫4.21. איסוף נתונים סטטיסטיים של הרשת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים של IT יכולים לשלוח שאילתות לגבי נתוני סטטיסטיקה של שימוש ברשת מפרופיל העבודה של מכשיר. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש שמשותפים עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות בפרופיל העבודה.

4.21.1. אדמינים של IT יכולים לשאול שאילתות לגבי סיכום נתונים סטטיסטיים של רשת עבור פרופיל עבודה, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה במסוף ה-EMM.

4.21.2. אדמינים ב-IT יכולים להריץ שאילתה על סיכום של אפליקציה בסטטיסטיקות של השימוש ברשת בפרופיל העבודה, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף של EMM.

4.21.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של השימוש ברשת בפרופיל עבודה, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף ה-EMM.

‫4.22. איסוף מתקדם של נתונים סטטיסטיים על הרשת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ב-IT יכולים לשלוח שאילתות לגבי סטטיסטיקות של שימוש ברשת עבור מכשיר מנוהל שלם. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש שמשותפים עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות במכשיר.

4.22.1. אדמינים של IT יכולים להריץ שאילתה על סיכום נתוני הרשת של מכשיר שלם , עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה במסוף של EMM.

4.22.2. אדמינים ב-IT יכולים לשאול שאילתה לגבי סיכום של נתוני השימוש ברשת של האפליקציה, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף של EMM.

4.22.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של השימוש ברשת עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף ה-EMM.

‫4.23. הפעלת המכשיר מחדש

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים ב-IT יכולים להפעיל מחדש מכשירים מנוהלים מרחוק.

4.23.1. אדמינים של IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.

‫4.24. ניהול רדיו המערכת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

מאפשר לאדמינים ב-IT לנהל בצורה מפורטת את מכשירי הרדיו של רשת המערכת ואת כללי המדיניות שקשורים לשימוש בהם.

4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירותים (לדוגמה, התרעות AMBER).

4.24.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות .

4.24.3. אדמינים ב-IT יכולים למנוע מהמשתמשים לאפס את הגדרות הרשת בהגדרות .

4.24.4. אדמינים ב-IT יכולים לאפשר או לחסום נדידה של נתונים סלולריים .

4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יכול להוציא שיחות טלפון, לא כולל שיחות חירום.

4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יכול לשלוח ולקבל הודעות טקסט .

4.24.7. אדמינים ב-IT יכולים למנוע מהמשתמשים להשתמש במכשיר שלהם כנקודה ניידת לשיתוף אינטרנט (Hotspot) באמצעות שיתוף אינטרנט (Tethering) .

4.24.8. אדמינים של IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi לברירת המחדל, רק כשהמכשיר מחובר לחשמל או אף פעם.

4.24.9. אדמינים ב-IT יכולים למנוע מהמשתמשים להגדיר חיבורי Bluetooth או לשנות חיבורים קיימים .

‫4.25. ניהול האודיו של המערכת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לנהל בשקט את תכונות האודיו במכשיר, כולל השתקת המכשיר, מניעת שינוי הגדרות עוצמת הקול ומניעת ביטול ההשתקה של המיקרופון במכשיר.

4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים בלי שהמשתמשים ידעו על כך.

4.25.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את הגדרות עוצמת הקול במכשיר.

4.25.3. אדמינים ב-IT יכולים למנוע מהמשתמשים להפסיק את ההשתקה של המיקרופון במכשיר.

‫4.26. ניהול השעון של המערכת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

אדמינים ב-IT יכולים לנהל את השעון של המכשיר ואת ההגדרות של אזור הזמן, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.

4.26.1. אדמינים ב-IT יכולים לאכוף את ההגדרה של זמן אוטומטי במערכת, ולמנוע מהמשתמשים להגדיר את התאריך והשעה במכשיר.

4.26.2. אדמינים של IT יכולים להשבית או להפעיל את השעה האוטומטית ואת אזור הזמן האוטומטי בלי שהמשתמשים ידעו על כך.

‫4.27. תכונות מתקדמות במכשיר ייעודי

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

מאפשר לאדמינים ב-IT לנהל תכונות ספציפיות יותר במכשירים ייעודיים כדי לתמוך בתרחישי שימוש שונים בקיוסקים.

4.27.1. אדמינים ב-IT יכולים להשבית את מסך הנעילה של המכשיר.

4.27.2. מנהלי IT יכולים להשבית את סרגל הסטטוס של המכשיר, ובכך לחסום את ההתראות ואת ההגדרות המהירות.

4.27.3. אדמינים ב-IT יכולים לכפות על מסך המכשיר להישאר דולק בזמן שהמכשיר מחובר לחשמל.

4.27.4. אדמינים ממחלקת IT יכולים למנוע את ההצגה של ממשקי המשתמש של המערכת הבאים:

  • Toast
  • שכבות-על של אפליקציות.

4.27.5. אדמינים ב-IT יכולים לאפשר להמלצות המערכת לאפליקציות לדלג על ההדרכה למשתמש ועל רמזים אחרים למתחילים בהפעלה הראשונה.

‫4.28. ניהול היקף ההרשאות שהועברו

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
8.0+

אדמינים של IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.

4.28.1. אדמינים ממחלקת IT יכולים לנהל את ההיקפים הבאים:

‫4.29. תמיכה במזהים ספציפיים להרשמה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
12.0+

החל מ-Android 12, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים של IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי לרישום, שיישמר גם אחרי איפוס להגדרות היצרן.

4.29.1. אדמינים ב-IT יכולים להגדיר ולקבל מזהה ספציפי להרשמה

4.29.2. המזהה הספציפי הזה לרישום צריך להישמר גם אחרי איפוס להגדרות המקוריות

‫4.30. מדיניות Credential Manager

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
15.0+

אדמינים ב-IT יכולים לנהל את האפליקציות של מנהל האישורים שמותרות או חסומות באמצעות מדיניות.

‫4.30.1 אדמינים של IT יכולים לחסום את כל מנהלי פרטי הכניסה במכשיר (או בפרופיל העבודה).

‫4.30.2 Deliberately blank.

‫4.30.3 אדמינים של IT יכולים לציין רשימה של שמות חבילות שמותר להן להציע פונקציונליות של מנהל אישורים.

‫4.31. ניהול בסיסי של eSIM

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
14.0+

מאפשר למנהלי IT להקצות למכשיר פרופיל eSIM ולנהל את מחזור החיים שלו במכשיר.

‫4.31.1 אדמינים של IT יכולים להקצות פרופיל eSIM למכשיר ללא התערבות המשתמש.

‫4.31.2 אדמינים של IT יכולים למחוק כרטיסי eSIM מנוהלים ממכשיר.

‫4.31.3 אדמינים בתחום ה-IT יכולים למנוע מהמשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (עוברים אל mobileNetworksConfigDisabled).

‫4.31.4 כשאדמין IT מבצע מחיקה מרחוק של מכשיר או פרופיל עבודה, יש לו אפשרות גם להסיר את כרטיסי ה-eSIM המנוהלים מהמכשיר. כברירת מחדל, כרטיסי eSIM מנוהלים מוסרים מפרופילי עבודה במכשירים בבעלות אישית, אבל נשמרים במכשירים בבעלות החברה.

‫4.31.5 (אופציונלי) אדמינים של IT יכולים לאחזר את מזהה ה-EID (מסמך זהות מוטמע) של מכשיר באמצעות ממשק המשתמש של מסוף ה-EMM (או שיטה מקבילה) ולייצא את הערכים האלה.


5. נוחות השימוש במכשיר

5.1. התאמה אישית של הקצאת הרשאות מנוהלת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים ב-IT יכולים לשנות את ברירת המחדל של תהליך ההגדרה של חוויית המשתמש כדי לכלול תכונות ספציפיות לארגון. אופציונלי: אדמינים ב-IT יכולים להציג מיתוג שסופק על ידי EMM במהלך הקצאת ההרשאות.

5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך הקצאת ההרשאות על ידי ציון הפרטים הבאים שספציפיים לארגון: צבע הארגון, לוגו הארגון, תנאים והגבלות של הארגון והצהרות אחריות אחרות.

5.1.2. אדמינים ב-IT יכולים לפרוס התאמה אישית ספציפית ל-EMM שלא ניתן להגדרה, שכוללת את הפרטים הבאים: צבע EMM, לוגו EMM, תנאים והגבלות של EMM והצהרות אחריות אחרות.

‫5.1.3 [primaryColor] הוצאה משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.

  • פתרונות EMM צריכים לכלול את התנאים וההגבלות של הקצאת ההרשאות והצהרות אחריות אחרות לתהליך הקצאת ההרשאות שלהם בחבילת הצהרות האחריות של הקצאת ההרשאות של המערכת, גם אם לא נעשה שימוש בהתאמה האישית הספציפית ל-EMM.
  • יכול להיות שפתרונות EMM יגדירו את ההתאמה האישית שלהם, שאי אפשר לשנות אותה ושספציפית ל-EMM, כברירת מחדל לכל הפריסות, אבל הם חייבים לאפשר לאדמינים של IT להגדיר התאמה אישית משלהם.

5.2. התאמה אישית של Enterprise

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים של IT יכולים להתאים אישית היבטים של פרופיל העבודה באמצעות מיתוג ארגוני. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש בפרופיל העבודה ללוגו של החברה. דוגמה נוספת היא הגדרת צבע הרקע של אתגר העבודה.

5.2.1. אדמינים ממחלקת IT יכולים להגדיר את צבע הארגון, שישמש כצבע הרקע של האתגרים שקשורים לעבודה.

5.2.2. אדמינים של IT יכולים להגדיר את השם המוצג של פרופיל העבודה .

5.2.3. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של פרופיל העבודה .

5.2.4. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את סמל המשתמש בפרופיל לצורכי עבודה.

5.3. התאמה אישית מתקדמת לארגונים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים ב-IT יכולים להתאים אישית מכשירים מנוהלים באמצעות מיתוג ארגוני. לדוגמה, אדמינים ב-IT יכולים להגדיר את הסמל של המשתמש הראשי ללוגו של החברה, או להגדיר את טפט המכשיר.

5.3.1. אדמינים של IT יכולים להגדיר את השם המוצג של המכשיר המנוהל .

5.3.2. אדמינים ממחלקת IT יכולים להגדיר את סמל המשתמש של המכשיר המנוהל .

5.3.3. אדמינים ממחלקת IT יכולים למנוע מהמשתמש לשנות את סמל המשתמש במכשיר .

5.3.4. אדמינים של IT יכולים להגדיר את הטפט של המכשיר .

5.3.5. אדמינים ממחלקת IT יכולים למנוע מהמשתמש לשנות את הטפט במכשיר .

5.4. הודעות במסך הנעילה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים של IT יכולים להגדיר הודעה מותאמת אישית שמוצגת תמיד במסך הנעילה של המכשיר, ולא נדרש ביטול נעילה כדי לראות אותה.

5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך הנעילה.

5.5. ניהול שקיפות המדיניות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים ב-IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם משנים הגדרות מנוהלות במכשיר שלהם, או לפרוס הודעת תמיכה כללית שסופקה על ידי EMM. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות. ההודעות האלה מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שאדמין IT כבר חסם את ההסרה שלה.

5.5.1. אדמינים ב-IT יכולים להתאים אישית את הודעות התמיכה הקצרות והארוכות.

5.5.2. אדמינים של IT יכולים לפרוס הודעות תמיכה קצרות וארוכות ספציפיות ל-EMM שלא ניתן להגדיר.

  • יכול להיות ש-EMM יגדיר את הודעות התמיכה הספציפיות שלו שאי אפשר לשנות כברירת מחדל לכל הפריסות, אבל הוא חייב לאפשר לאדמינים של IT להגדיר הודעות משלהם.

‫5.6. ניהול אנשי קשר בין פרופילים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים ממחלקת ה-IT יכולים לקבוע אילו נתוני אנשי קשר יכולים לצאת מפרופיל העבודה. אפליקציות של טלפוניה והודעות (SMS) חייבות לפעול בפרופיל האישי, ונדרשת להן גישה לנתוני אנשי הקשר בפרופיל העבודה כדי להציע יעילות לאנשי קשר בעבודה, אבל האדמינים יכולים להשבית את התכונות האלה כדי להגן על נתוני העבודה.

5.6.1. אדמינים ב-IT יכולים להשבית את החיפוש של אנשי קשר בין פרופילים באפליקציות לשימוש אישי שמשתמשות בספק אנשי הקשר של המערכת.

5.6.2. אדמינים של IT יכולים להשבית את החיפוש של פרטי המתקשר בפרופילים שונים באפליקציות אישיות לחיוג שמשתמשות בספק אנשי הקשר של המערכת.

5.6.3. אדמינים של IT יכולים להשבית שיתוף של אנשי קשר באמצעות Bluetooth עם מכשירי Bluetooth שמשתמשים בספק של אנשי הקשר במערכת, למשל שיחות בדיבורית ברכב או אוזניות.

‫5.7. ניהול נתונים בפרופילים שונים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

מאפשר לאדמינים ב-IT לנהל את הנתונים שיכולים לצאת מפרופיל העבודה, מעבר לתכונות האבטחה שמוגדרות כברירת מחדל בפרופיל העבודה. התכונה הזו מאפשרת לאדמינים בתחום ה-IT לאפשר שיתוף של סוגים מסוימים של נתונים בין פרופילים, כדי לשפר את נוחות השימוש בתרחישי שימוש מרכזיים. אדמינים ב-IT יכולים גם להגן על נתוני החברה באמצעות נעילות נוספות.

5.7.1. אדמינים ממחלקת IT יכולים להגדיר מסנני כוונות בין פרופילים כדי שאפליקציות לשימוש אישי יוכלו לפתור כוונות מפרופיל העבודה, כמו כוונות שיתוף או קישורי אינטרנט.

  • יכול להיות שהמסוף יציע מסנני Intent מוכרים או מומלצים להגדרה, אבל הוא לא יכול להגביל את מסנני ה-Intent לרשימה שרירותית כלשהי.

5.7.2. אדמינים של IT יכולים לאפשר לאפליקציות מנוהלות להציג ווידג'טים במסך הבית.

  • מסוף ה-EMM צריך לספק לאדמינים ב-IT את האפשרות לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.

5.7.3. אדמינים ממחלקת ה-IT יכולים לחסום את השימוש בהעתקה/הדבקה בין פרופיל העבודה לפרופיל האישי.

5.7.4. אדמינים ממחלקת IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהפרופיל לצורכי עבודה באמצעות העברה ב-NFC.

5.7.5. אדמינים של IT יכולים לאפשר לאפליקציות לשימוש אישי לפתוח קישורי אינטרנט מפרופיל העבודה.

5.8. מדיניות עדכוני מערכת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ב-IT יכולים להגדיר וליישם עדכוני מערכת OTA (Over-the-Air) למכשירים.

5.8.1. מסוף ה-EMM מאפשר לאדמינים של IT להגדיר את ההגדרות הבאות של OTA:

  • אוטומטי: העדכונים יותקנו במכשירים ברגע שהם יהיו זמינים.
  • דחייה: אדמינים בתחום ה-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
  • חלון זמן: אדמינים של IT צריכים להיות מסוגלים לתזמן עדכוני OTA בחלון זמן יומי לתחזוקה.

5.8.2. ה-DPC של ה-EMM מחיל הגדרות OTA על מכשירים.

5.9. ניהול מצב משימות נעולות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
6.0+

אדמינים ב-IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, ולוודא שהמשתמשים לא יכולים לצאת מהאפליקציה.

5.9.1. המסוף של EMM מאפשר לאדמינים בתחום ה-IT לאשר בשקט התקנה של קבוצה שרירותית של אפליקציות ולנעול אותן במכשיר. ה-DPC של ה-EMM מאפשר מצב מכשיר ייעודי.

‫5.10. ניהול מתמשך של פעילויות מועדפות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

מאפשר לאדמינים ב-IT להגדיר אפליקציה כרכיב handler שמוגדר כברירת מחדל לכוונות שתואמות למסנן כוונות מסוים. לדוגמה, לאפשר לאדמינים ב-IT לבחור איזו אפליקציית דפדפן תפתח אוטומטית קישורים לאתרים, או איזו אפליקציית מרכז אפליקציות תשמש כשמקישים על לחצן הבית.

5.10.1. אדמינים של IT יכולים להגדיר כל חבילה כ-handler של כוונות כברירת מחדל לכל מסנן כוונות שרירותי.

  • מסוף ה-EMM עשוי להציע intents מוכרים או מומלצים להגדרה, אבל הוא לא יכול להגביל את ה-intents לרשימה שרירותית כלשהי.
  • מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.

‫5.11. ניהול התכונה Keyguard

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎
אדמינים ממחלקת IT יכולים לנהל את התכונות שזמינות למשתמשים לפני ביטול הנעילה של האבטחה של המכשיר (מסך הנעילה) והאבטחה של פרופיל העבודה (מסך הנעילה). 5.11.1. ה-DPC של ה-EMM יכול להשבית את התכונות הבאות של מסך הנעילה במכשיר:
  • סביבות אמינות
  • ביטול נעילה באמצעות טביעת אצבע
  • התראות שלא צונזרו

5.11.2. ה-DPC של ה-EMM יכול להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה:

  • סביבות אמינות
  • ביטול נעילה באמצעות טביעת אצבע

‫5.12. ניהול מתקדם של תכונות במסך הנעילה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+
אדמינים ב-IT יכולים לנהל תכונות מתקדמות של מסך הנעילה במכשירים בבעלות החברה. 5.12.1. אדמינים ממחלקת IT יכולים להשבית את התכונות הבאות של מסך הנעילה במכשיר:

‫5.13. ניקוי באגים מרחוק

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

אדמינים של IT יכולים לאחזר משאבי ניפוי באגים ממכשירים בלי לבצע שלבים נוספים.

5.13.1. אדמינים של IT יכולים לבקש מרחוק דוחות על באגים, לצפות בדוחות על באגים במסוף של EMM ולהוריד דוחות על באגים מהמסוף של EMM.

‫5.14. אחזור כתובת MAC

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
7.0+‎

מערכות EMM יכולות לאחזר את כתובת ה-MAC של המכשיר ללא ידיעת המשתמש. אפשר להשתמש בכתובת ה-MAC כדי לזהות מכשירים בחלקים אחרים של תשתית הארגון (לדוגמה, כשמזהים מכשירים לצורך בקרת גישה לרשת).

5.14.1. מערכת ה-EMM יכולה לאחזר בשקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף של מערכת ה-EMM.

‫5.15. ניהול מתקדם של מצב משימות נעולות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
9.0+‎

כשמגדירים מכשיר כמכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי לבצע את המשימות הבאות:

5.15.1. מאפשרת לאפליקציה אחת להינעל למכשיר באופן שקט באמצעות ה-DPC של ה-EMM.

5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש של המערכת באמצעות DPC של EMM :

  • כפתור 'דף הבית'
  • סקירה כללית
  • פעולות גלובליות
  • התראות
  • פרטי המערכת / שורת הסטטוס
  • מגן מקלדת (מסך הנעילה)

5.15.3. משביתים את תיבות הדו-שיח של שגיאות המערכת באמצעות DPC של EMM.

‫5.16. מדיניות מתקדמת לעדכוני מערכת

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
9.0+‎

אדמינים ב-IT יכולים לחסום עדכוני מערכת במכשיר לתקופה מוגדרת.

5.16.1. ה-DPC של ה-EMM יכול להחיל עדכוני מערכת OTA (דרך האוויר) על מכשירים לתקופת הקפאה מוגדרת.

‫5.17. ניהול שקיפות של מדיניות פרופיל העבודה

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
9.0+‎

אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.

5.17.1. אדמינים ממחלקת ה-IT יכולים לספק טקסט מותאם אישית שיוצג כשפרופיל העבודה יימחק.

‫5.18. תמיכה באפליקציות מקושרות

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
11.0+

אדמינים ממחלקת IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות של פרופיל העבודה.

‫5.19. עדכוני מערכת ידניים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
11.0+

אדמינים ב-IT יכולים להתקין עדכון מערכת באופן ידני על ידי ציון נתיב.

6. הוצאה משימוש של ניהול המכשיר

6.1. הוצאה משימוש של ניהול המכשיר

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

ספקי EMM נדרשים לפרסם תוכנית עד סוף 2022 להפסקת תמיכת לקוחות בDevice Admin במכשירי GMS עד סוף הרבעון הראשון של 2023.

7. שימוש ב-API

7.1. בקר מדיניות רגיל לקישורים חדשים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

כברירת מחדל, מכשירים חדשים צריכים להיות מנוהלים באמצעות Android Device Policy. יכול להיות שפתרונות EMM יספקו אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע שנקרא 'מתקדם' או במונח דומה. לקוחות חדשים לא יכולים להיחשף לבחירה שרירותית בין חבילות טכנולוגיות במהלך תהליכי ההצטרפות או ההגדרה.

7.2. בקר מדיניות רגיל למכשירים חדשים

גרסת Android
פרופיל עבודה במכשיר בבעלות אישית
פרופיל עבודה במכשיר בבעלות החברה
מכשיר מנוהל
מכשיר ייעודי
5.0+

כברירת מחדל, מכשירים חייבים להיות מנוהלים באמצעות Android Device Policy לכל רישומי המכשירים החדשים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שבמערכות EMM תהיה אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע שנקרא 'מתקדם' או במונח דומה.