این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

لیست ویژگی های Android Enterprise

این صفحه مجموعه کاملی از ویژگی‌های Android Enterprise را فهرست می‌کند.

اگر قصد مدیریت بیش از ۵۰۰ دستگاه را دارید، راهکار EMM شما باید از تمام ویژگی‌های استاندارد ( ) حداقل یک مجموعه راهکار پشتیبانی کند تا بتواند به صورت تجاری در دسترس قرار گیرد. توسعه‌دهندگان EMM که مایلند راهکارهایشان در فهرست راهکارهای سازمانی اندروید به عنوان ارائه‌دهنده مجموعه مدیریت استاندارد فهرست شود، باید تأیید ویژگی‌های استاندارد را پشت سر بگذارند و عضو برنامه شرکای سازمانی اندروید ما شوند.

برای هر مجموعه راهکار، مجموعه‌ای اضافی از ویژگی‌های پیشرفته در دسترس است. این ویژگی‌ها در صفحه هر مجموعه راهکار مشخص شده‌اند: نمایه کاری روی دستگاه شخصی ، نمایه کاری روی دستگاه شرکتی ، دستگاه کاملاً مدیریت‌شده و دستگاه اختصاصی . توسعه‌دهندگان EMM که عضو برنامه همکار AE هستند و راهکارهایی دارند که تأیید ویژگی‌های پیشرفته را پشت سر می‌گذارند، در فهرست راهکارهای سازمانی اندروید به عنوان ارائه‌دهنده مجموعه مدیریت پیشرفته فهرست شده‌اند.

کلید

ویژگی استاندارد

ویژگی پیشرفته

ویژگی اختیاری

قابل اجرا نیست

۱. تأمین دستگاه

۱.۱. آماده‌سازی پروفایل کاری با اولویت DPC

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۱+

شما می‌توانید پس از دانلود DPC مربوط به EMM از گوگل پلی، یک پروفایل کاری تهیه کنید .

۱.۱.۱. DPC مربوط به EMM باید به صورت عمومی در گوگل پلی در دسترس باشد تا کاربران بتوانند DPC را روی دستگاه شخصی خود نصب کنند.

۱.۱.۲ پس از نصب، DPC باید کاربر را در فرآیند تهیه پروفایل کاری راهنمایی کند.

۱.۱.۳ پس از تکمیل آماده‌سازی، هیچ حضور مدیریتی نمی‌تواند در سمت شخصی دستگاه باقی بماند .

هرگونه سیاستی که در طول آماده‌سازی اعمال شده است باید حذف شود.
امتیازات برنامه باید لغو شود.
DPC مربوط به EMM حداقل باید در سمت شخصی دستگاه خاموش باشد.

۱.۲. تأمین دستگاه با شناسه DPC

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۶.۰+		۱۲.۰+

مدیران فناوری اطلاعات می‌توانند طبق دستورالعمل‌های پیاده‌سازی تعریف‌شده در مستندات توسعه‌دهنده‌ی Play EMM API ، با استفاده از شناسه‌ی DPC ("afw#") یک دستگاه کاملاً مدیریت‌شده یا اختصاصی را فراهم کنند.

۱.۲.۱. DPC مربوط به EMM باید به صورت عمومی در گوگل پلی در دسترس باشد. DPC باید از طریق ویزارد راه‌اندازی دستگاه و با وارد کردن یک شناسه مخصوص DPC قابل نصب باشد.

۱.۲.۲. پس از نصب، DPC مربوط به EMM باید کاربر را در فرآیند تهیه یک دستگاه کاملاً مدیریت‌شده یا اختصاصی راهنمایی کند.

۱.۳. آماده‌سازی دستگاه NFC

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+		۱۲.۰+

مدیران فناوری اطلاعات می‌توانند از برچسب‌های NFC برای تهیه دستگاه‌های جدید یا تنظیم مجدد کارخانه‌ای طبق دستورالعمل‌های پیاده‌سازی تعریف‌شده در مستندات توسعه‌دهنده Play EMM API استفاده کنند.

۱.۳.۱. دستگاه‌های EMM باید از برچسب‌های NFC Forum Type 2 با حداقل ۸۸۸ بایت حافظه استفاده کنند. بخش تأمین باید از افزونه‌های تأمین برای ارسال جزئیات ثبت‌نام غیرحساس مانند شناسه‌های سرور و شناسه‌های ثبت‌نام به دستگاه استفاده کند. جزئیات ثبت‌نام نباید شامل اطلاعات حساس مانند رمزهای عبور یا گواهی‌ها باشد.

۱.۳.۲. پس از اینکه DPC مربوط به EMM خود را به عنوان مالک دستگاه تنظیم کرد، DPC باید فوراً باز شود و تا زمانی که دستگاه به طور کامل آماده‌سازی شود، خود را به صفحه قفل کند. ۱.۳.۳. به دلیل منسوخ شدن NFC Beam (که با نام NFC Bump نیز شناخته می‌شود)، استفاده از تگ‌های NFC را برای اندروید ۱۰ به بعد توصیه می‌کنیم.

۱.۴. تأمین دستگاه با کد QR

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۷.۰+

مدیران فناوری اطلاعات می‌توانند از دستگاه جدید یا دستگاهی که به تنظیمات کارخانه برگردانده شده است، برای اسکن کد QR تولید شده توسط کنسول EMM استفاده کنند تا دستگاه را مطابق با دستورالعمل‌های پیاده‌سازی تعریف شده در مستندات توسعه‌دهنده Play EMM API ، آماده‌سازی کنند.

۱.۴.۱. کد QR باید از امکانات اضافی برای انتقال جزئیات ثبت‌نام غیرحساس مانند شناسه‌های سرور و شناسه‌های ثبت‌نام به یک دستگاه استفاده کند. جزئیات ثبت‌نام نباید شامل اطلاعات حساس مانند رمزهای عبور یا گواهی‌ها باشد.

۱.۴.۲ پس از اینکه DPC مربوط به EMM دستگاه را راه‌اندازی کرد، DPC باید فوراً باز شود و تا زمانی که دستگاه به طور کامل آماده‌سازی شود، خود را به صفحه قفل کند.

۱.۵. ثبت نام بدون تماس

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۸.۰+ (پیکسل: اندروید ۷.۱+)

مدیران فناوری اطلاعات می‌توانند دستگاه‌های خریداری شده از فروشندگان مجاز را از قبل پیکربندی کرده و با استفاده از کنسول EMM شما، آنها را مدیریت کنند.

۱.۵.۱ مدیران فناوری اطلاعات می‌توانند دستگاه‌های متعلق به شرکت را با استفاده از روش ثبت‌نام بدون تماس، که در بخش ثبت‌نام بدون تماس برای مدیران فناوری اطلاعات شرح داده شده است، تأمین کنند.

۱.۵.۲ وقتی دستگاهی برای اولین بار روشن می‌شود، دستگاه به طور خودکار وارد تنظیمات تعریف شده توسط مدیر فناوری اطلاعات می‌شود.

۱.۶. تأمین پیشرفته بدون نیاز به لمس

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۸.۰+ (پیکسل: اندروید ۷.۱+)

مدیران فناوری اطلاعات می‌توانند با پیاده‌سازی جزئیات ثبت DPC از طریق ثبت بدون تماس، بخش عمده‌ای از فرآیند ثبت دستگاه را خودکار کنند. DPC موجود در EMM، طبق گزینه‌های پیکربندی ارائه شده توسط EMM، از محدود کردن ثبت نام به حساب‌ها یا دامنه‌های خاص پشتیبانی می‌کند.

۱.۶.۱ مدیران فناوری اطلاعات می‌توانند با استفاده از روش ثبت‌نام بدون تماس، که در بخش ثبت‌نام بدون تماس برای مدیران فناوری اطلاعات تشریح شده است، یک دستگاه متعلق به شرکت را تهیه کنند.

۱.۶.۲ پس از اینکه DPC مربوط به EMM دستگاه را راه‌اندازی کرد، DPC مربوط به EMM باید فوراً باز شود و تا زمانی که دستگاه به طور کامل آماده‌سازی شود، خود را به صفحه قفل کند.

این الزام برای دستگاه‌هایی که از جزئیات ثبت‌نام بدون تماس برای آماده‌سازی کامل خود به صورت بی‌صدا استفاده می‌کنند (به عنوان مثال، در یک استقرار دستگاه اختصاصی) لغو می‌شود.

۱.۶.۳ با استفاده از جزئیات ثبت نام، DPC مربوط به EMM باید اطمینان حاصل کند که کاربران غیرمجاز پس از فراخوانی DPC نمی‌توانند فعال‌سازی را ادامه دهند. حداقل، فعال‌سازی باید برای کاربران یک شرکت خاص قفل شود.

۱.۶.۴ با استفاده از جزئیات ثبت نام، DPC مربوط به EMM باید این امکان را برای مدیران فناوری اطلاعات فراهم کند که علاوه بر اطلاعات منحصر به فرد کاربر یا دستگاه (مانند نام کاربری/رمز عبور، توکن فعال‌سازی)، جزئیات ثبت نام (مانند شناسه‌های سرور، شناسه‌های ثبت نام) را از قبل وارد کنند تا کاربران هنگام فعال کردن دستگاه نیازی به وارد کردن جزئیات نداشته باشند.

EMMs must not include sensitive information, such as passwords or certificates, in the zero-touch enrollment's configuration.

۱.۷. تأمین پروفایل کاری حساب گوگل

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

برای شرکت‌هایی که از دامنه گوگل مدیریت‌شده استفاده می‌کنند، این ویژگی کاربران را در راه‌اندازی یک نمایه کاری پس از وارد کردن اعتبارنامه‌های فضای کاری شرکتی خود در حین راه‌اندازی دستگاه یا روی دستگاهی که از قبل فعال شده است، راهنمایی می‌کند. در هر دو مورد، هویت فضای کاری شرکتی به نمایه کاری منتقل می‌شود.

۱.۷.۱ روش تأمین حساب گوگل، یک نمایه کاری را مطابق با دستورالعمل‌های پیاده‌سازی تعریف‌شده ، فراهم می‌کند.

۱.۸. تأمین دستگاه با حساب گوگل

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

برای شرکت‌هایی که از Workspace استفاده می‌کنند، این ویژگی کاربران را پس از وارد کردن اطلاعات کاربری Corporate Workspace خود در هنگام راه‌اندازی اولیه دستگاه، در نصب DPC مربوط به EMM خود راهنمایی می‌کند. پس از نصب، DPC راه‌اندازی دستگاه متعلق به شرکت را تکمیل می‌کند.

۱.۸.۱ روش تأمین حساب گوگل، دستگاهی متعلق به شرکت را طبق دستورالعمل‌های پیاده‌سازی تعریف‌شده تأمین می‌کند.

۱.۸.۲. مگر اینکه EMM بتواند به طور واضح دستگاه را به عنوان یک دارایی شرکتی شناسایی کند، آنها نمی‌توانند بدون یک درخواست در طول فرآیند تأمین، دستگاهی را تأمین کنند. این درخواست باید یک اقدام غیر پیش‌فرض مانند علامت زدن یک کادر انتخاب یا انتخاب یک گزینه منوی غیر پیش‌فرض را انجام دهد. توصیه می‌شود EMM بتواند دستگاه را به عنوان یک دارایی شرکتی شناسایی کند، بنابراین نیازی به این درخواست نیست.

۱.۹ پیکربندی مستقیم بدون تماس

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۸.۰+

مدیران فناوری اطلاعات می‌توانند از کنسول EMM برای راه‌اندازی دستگاه‌های بدون تماس با استفاده از iframe بدون تماس استفاده کنند.

۱.۱۰ پروفایل‌های کاری روی دستگاه‌های متعلق به شرکت

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۸.۰+

EMM ها می‌توانند دستگاه‌های متعلق به شرکت را که دارای مشخصات کاری هستند، ثبت کنند.

۱.۱۰.۱. عمداً خالی گذاشته شده است.

۱.۱۰.۲ مدیران فناوری اطلاعات می‌توانند اقدامات انطباق را برای پروفایل‌های کاری در دستگاه‌های متعلق به شرکت تنظیم کنند.

۱.۱۰.۳ مدیران فناوری اطلاعات می‌توانند دوربین را در پروفایل کاری یا کل دستگاه غیرفعال کنند.

۱.۱۰.۴ مدیران فناوری اطلاعات می‌توانند ضبط صفحه نمایش را در پروفایل کاری یا کل دستگاه غیرفعال کنند.

۱.۱۰.۵ مدیران فناوری اطلاعات می‌توانند فهرستی از برنامه‌هایی که نمی‌توانند در پروفایل شخصی نصب شوند، تنظیم کنند.

۱.۱۰.۶. مدیران فناوری اطلاعات می‌توانند با حذف پروفایل کاری یا پاک کردن کل دستگاه، مدیریت دستگاه متعلق به شرکت را واگذار کنند.

۱.۱۱ تأمین اختصاصی دستگاه

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۸.۰+

مدیران فناوری اطلاعات می‌توانند دستگاه‌های اختصاصی را بدون نیاز به احراز هویت کاربر با حساب گوگل، ثبت کنند.

۲. امنیت دستگاه

۲.۱ چالش امنیتی دستگاه

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

مدیران فناوری اطلاعات می‌توانند یک چالش امنیتی دستگاه (پین/الگو/رمز عبور) را از بین ۳ سطح پیچیدگی از پیش تعریف‌شده در دستگاه‌های مدیریت‌شده تنظیم و اجرا کنند.

۲.۱.۱. سیاست باید تنظیماتی را اعمال کند که چالش‌های امنیتی دستگاه را مدیریت کند (الزامات پروفایل والد، رمز عبور برای پروفایل کاری، الزامات رمز عبور برای دستگاه‌های کاملاً مدیریت‌شده و اختصاصی).

۲.۱.۲ پیچیدگی رمز عبور باید با پیچیدگی‌های رمز عبور زیر مطابقت داشته باشد:

PASSWORD_COMPLEXITY_LOW - الگو یا پین با توالی‌های تکراری (۴۴۴۴) یا مرتب (۱۲۳۴، ۴۳۲۱، ۲۴۶۸).
رمز عبور پیچیده متوسط - پین بدون توالی تکراری (۴۴۴۴) یا مرتب (۱۲۳۴، ۴۳۲۱، ۲۴۶۸)، رمز عبور الفبایی یا عددی با طول حداقل ۴
رمز عبور پیچیده - پین بدون توالی تکراری (۴۴۴۴) یا مرتب (۱۲۳۴، ۴۳۲۱، ۲۴۶۸) و طول حداقل ۸ یا رمزهای عبور الفبایی یا عددی با طول حداقل ۶

۲.۱.۳ محدودیت‌های رمز عبور اضافی همچنین می‌توانند به عنوان تنظیمات قدیمی در دستگاه‌های متعلق به شرکت اعمال شوند.

۲.۲ چالش امنیت کاری

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۷.۰+

مدیران فناوری اطلاعات می‌توانند یک چالش امنیتی برای برنامه‌ها و داده‌ها در پروفایل کاری تنظیم و اجرا کنند که جدا از چالش امنیتی دستگاه (2.1) باشد و الزامات متفاوتی داشته باشد.

۲.۲.۱. سیاست باید چالش امنیتی را برای پروفایل کاری اعمال کند. به طور پیش‌فرض، مدیران فناوری اطلاعات باید محدودیت‌هایی را فقط برای پروفایل کاری تعیین کنند، در صورتی که هیچ محدوده‌ای مشخص نشده باشد. مدیران فناوری اطلاعات می‌توانند با مشخص کردن محدوده، این محدودیت را در کل دستگاه اعمال کنند (به الزام ۲.۱ مراجعه کنید).

۲.۱.۲ پیچیدگی رمز عبور باید با پیچیدگی‌های رمز عبور زیر مطابقت داشته باشد:

PASSWORD_COMPLEXITY_LOW - الگو یا پین با توالی‌های تکراری (۴۴۴۴) یا مرتب (۱۲۳۴، ۴۳۲۱، ۲۴۶۸).
رمز عبور پیچیده متوسط - پین بدون توالی تکراری (۴۴۴۴) یا مرتب (۱۲۳۴، ۴۳۲۱، ۲۴۶۸)، رمز عبور الفبایی یا عددی با طول حداقل ۴
رمز عبور پیچیده - پین بدون توالی تکراری (۴۴۴۴) یا مرتب (۱۲۳۴، ۴۳۲۱، ۲۴۶۸) و طول حداقل ۸ یا رمزهای عبور الفبایی یا عددی با طول حداقل ۶

۲.۲.۳ محدودیت‌های اضافی برای رمز عبور نیز می‌توانند به عنوان تنظیمات قدیمی اعمال شوند.

۲.۳ مدیریت پیشرفته رمز عبور

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

۲.۳.۱ عمداً خالی گذاشته شده است.

۲.۳.۲. عمداً خالی گذاشته شده است.

۲.۳.۳ تنظیمات چرخه عمر رمز عبور زیر را می‌توان برای هر صفحه قفل موجود در یک دستگاه تنظیم کرد:

عمداً خالی
عمداً خالی
حداکثر تعداد دفعاتی که کاربران می‌توانند رمز عبور نادرست را وارد کنند تا داده‌های شرکت از دستگاه پاک شوند. مدیران فناوری اطلاعات باید بتوانند این ویژگی را غیرفعال کنند.

۲.۳.۴. (اندروید ۸.۰+) نیاز به مهلت زمانی برای احراز هویت قوی: یک کد عبور احراز هویت قوی (مانند پین یا رمز عبور) باید پس از یک دوره زمانی تعیین شده توسط مدیر فناوری اطلاعات وارد شود. پس از دوره زمانی، روش‌های احراز هویت غیر قوی (مانند اثر انگشت، باز کردن قفل با چهره) خاموش می‌شوند تا زمانی که دستگاه با یک کد عبور احراز هویت قوی باز شود.

۲.۴ مدیریت قفل هوشمند

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۶.۰+

مدیران فناوری اطلاعات می‌توانند مدیریت کنند که کدام عوامل اعتماد در ویژگی قفل هوشمند اندروید مجاز به باز کردن قفل دستگاه‌ها هستند. مدیران فناوری اطلاعات می‌توانند روش‌های خاص باز کردن قفل مانند دستگاه‌های بلوتوث مورد اعتماد، تشخیص چهره و تشخیص صدا را غیرفعال کنند، یا به صورت اختیاری این ویژگی را به طور کامل خاموش کنند.

۲.۴.۱ مدیران فناوری اطلاعات می‌توانند عوامل اعتماد Smart Lock را به‌طور مستقل برای هر صفحه قفل موجود در دستگاه غیرفعال کنند .

۲.۴.۲ مدیران فناوری اطلاعات می‌توانند به صورت انتخابی، عوامل اعتماد Smart Lock را به طور مستقل برای هر صفحه قفل موجود در دستگاه، برای عوامل اعتماد زیر مجاز و تنظیم کنند : بلوتوث، NFC، مکان‌ها، چهره، روی بدن و صدا.

مدیران فناوری اطلاعات می‌توانند پارامترهای پیکربندی Trust agent موجود را تغییر دهند.

۲.۵ پاک کردن و قفل کردن

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

مدیران فناوری اطلاعات می‌توانند از کنسول EMM برای قفل کردن و پاک کردن داده‌های کاری از یک دستگاه مدیریت‌شده از راه دور استفاده کنند.

۲.۵.۱ DPC مربوط به EMM باید دستگاه‌ها را قفل کند.

۲.۵.۲ DPC مربوط به EMM باید دستگاه‌ها را پاک کند.

۲.۶ اجرای انطباق

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

اگر دستگاهی با سیاست‌های امنیتی مطابقت نداشته باشد، داده‌های کاری به‌طور خودکار محدود می‌شوند.

۲.۶.۱ سیاست‌های امنیتی اعمال‌شده بر روی یک دستگاه، حداقل باید شامل سیاست رمز عبور باشند.

۲.۷ سیاست‌های امنیتی پیش‌فرض

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

EMMها باید سیاست‌های امنیتی مشخص‌شده را به‌طور پیش‌فرض روی دستگاه‌ها اعمال کنند، بدون اینکه مدیران فناوری اطلاعات مجبور باشند تنظیماتی را در کنسول EMM تنظیم یا سفارشی‌سازی کنند. EMMها تشویق می‌شوند (اما الزامی ندارند) که به مدیران فناوری اطلاعات اجازه ندهند وضعیت پیش‌فرض این ویژگی‌های امنیتی را تغییر دهند.

۲.۷.۱ DPC مربوط به EMM باید نصب برنامه‌ها از منابع ناشناخته، از جمله برنامه‌های نصب شده در سمت شخصی هر دستگاه اندروید ۸.۰+ با پروفایل کاری را مسدود کند.

۲.۷.۲. DPC مربوط به EMM باید ویژگی‌های اشکال‌زدایی را مسدود کند.

۲.۸ سیاست‌های امنیتی برای دستگاه‌های اختصاصی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۶.۰+

دستگاه‌های اختصاصی بدون هیچ راه فراری قفل می‌شوند تا اقدامات دیگری انجام شود.

۲.۸.۱ DPC مربوط به EMM باید به طور پیش‌فرض بوت شدن به حالت ایمن را غیرفعال کند.

۲.۸.۲. نمایشگر دیجیتال (DPC) دستگاه EMM باید در اولین بوت و در حین آماده‌سازی، بلافاصله باز و قفل شود تا از عدم تعامل با دستگاه به هیچ روش دیگری اطمینان حاصل شود.

۲.۸.۳. DPC مربوط به EMM باید به عنوان لانچر پیش‌فرض تنظیم شود تا اطمینان حاصل شود که برنامه‌های مجاز، طبق دستورالعمل‌های پیاده‌سازی تعریف‌شده ، هنگام بوت روی صفحه قفل می‌شوند.

۲.۹ پشتیبانی از یکپارچگی بازی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

EMM از API Play Integrity برای اطمینان از معتبر بودن دستگاه‌ها در اندروید استفاده می‌کند.

۲.۹.۱ DPC مربوط به EMM، API مربوط به Play Integrity را در طول آماده‌سازی پیاده‌سازی می‌کند و به‌طور پیش‌فرض، تنها زمانی آماده‌سازی دستگاه را با داده‌های شرکتی تکمیل می‌کند که مقدار بازگشتی یکپارچگی دستگاه MEETS_STRONG_INTEGRITY باشد.

۲.۹.۲. هر بار که دستگاهی با سرور EMM ارتباط برقرار می‌کند، DPC مربوط به EMM یک بررسی یکپارچگی بازی دیگر انجام می‌دهد که توسط مدیر فناوری اطلاعات قابل تنظیم است. سرور EMM قبل از به‌روزرسانی خط‌مشی شرکت روی دستگاه، اطلاعات APK موجود در پاسخ بررسی یکپارچگی و خود پاسخ را تأیید می‌کند.

۲.۹.۳ مدیران فناوری اطلاعات می‌توانند بر اساس نتیجه بررسی صحت عملکرد Play، واکنش‌های سیاستی مختلفی را تنظیم کنند، از جمله مسدود کردن تأمین منابع، پاک کردن داده‌های شرکت و اجازه ادامه ثبت‌نام.

سرویس EMM این پاسخ سیاست را برای نتیجه هر بررسی یکپارچگی اعمال خواهد کرد.

۲.۹.۴ اگر بررسی اولیه یکپارچگی بازی با شکست مواجه شود یا نتیجه‌ای را برگرداند که یکپارچگی قوی را برآورده نمی‌کند، اگر DPC مربوط به EMM قبلاً تابع ensureWorkingEnvironment را فراخوانی نکرده باشد، باید این کار را انجام دهد و قبل از تکمیل آماده‌سازی، بررسی را تکرار کند.

۲.۱۰. تأیید اجرای برنامه‌ها

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

مدیران فناوری اطلاعات می‌توانند قابلیت «تایید برنامه‌ها» را در دستگاه‌ها فعال کنند. «تایید برنامه‌ها» برنامه‌های نصب‌شده روی دستگاه‌های اندروید را قبل و بعد از نصب، از نظر وجود نرم‌افزارهای مضر اسکن می‌کند و به این ترتیب تضمین می‌کند که برنامه‌های مخرب نمی‌توانند داده‌های شرکت را به خطر بیندازند.

۲.۱۰.۱. DPC مربوط به EMM باید به طور پیش‌فرض گزینه‌ی تأیید برنامه‌ها (Verify Apps) را فعال کند.

۲.۱۱ پشتیبانی از بوت مستقیم

نسخه اندروید	Work profile on personally‑owned device	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۷.۰+

برنامه‌ها نمی‌توانند روی دستگاه‌های اندروید ۷.۰+ که تازه روشن شده‌اند اجرا شوند، مگر اینکه دستگاه برای اولین بار قفل‌گشایی شود. پشتیبانی از بوت مستقیم تضمین می‌کند که DPC مربوط به EMM همیشه فعال است و می‌تواند سیاست‌ها را اجرا کند، حتی اگر دستگاه قفل‌گشایی نشده باشد.

۲.۱۱.۱. DPC مربوط به EMM، از حافظه رمزگذاری شده دستگاه برای انجام عملکردهای مدیریتی حیاتی، قبل از رمزگشایی حافظه رمزگذاری شده مربوط به اعتبارنامه DPC، استفاده می‌کند. عملکردهای مدیریتی موجود در طول بوت مستقیم باید شامل (اما نه محدود به) موارد زیر باشد:

پاک‌سازی سازمانی ، شامل قابلیت پاک کردن داده‌های محافظت از تنظیم مجدد کارخانه در صورت لزوم.

۲.۱۱.۲ DPC مربوط به EMM نباید داده‌های شرکتی موجود در حافظه رمزگذاری شده دستگاه را افشا کند.

۲.۱۱.۳. مدیران شبکه می‌توانند توکنی را برای فعال کردن دکمه « رمز عبورم را فراموش کرده‌ام» در صفحه قفل پروفایل کاری تنظیم و فعال کنند. این دکمه برای درخواست از مدیران فناوری اطلاعات جهت تنظیم مجدد ایمن رمز عبور پروفایل کاری استفاده می‌شود.

۲.۱۲ مدیریت امنیت سخت‌افزار

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۱+

مدیران فناوری اطلاعات می‌توانند عناصر سخت‌افزاری یک دستگاه متعلق به شرکت را قفل کنند تا از دست رفتن داده‌ها جلوگیری شود.

۲.۱۲.۱ مدیران فناوری اطلاعات می‌توانند کاربران را از نصب رسانه‌های خارجی فیزیکی روی دستگاهشان منع کنند .

۲.۱۲.۲. مدیران فناوری اطلاعات می‌توانند کاربران را از اشتراک‌گذاری داده‌ها از دستگاه خود با استفاده از NFC beam منع کنند . این زیرویژگی اختیاری است زیرا عملکرد NFC beam دیگر در اندروید ۱۰ و بالاتر پشتیبانی نمی‌شود.

۲.۱۲.۳ مدیران فناوری اطلاعات می‌توانند کاربران را از انتقال فایل‌ها از طریق USB از دستگاه خود منع کنند .

۲.۱۳ ثبت وقایع امنیتی سازمانی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۷.۰+

مدیران فناوری اطلاعات می‌توانند داده‌های مربوط به استفاده از دستگاه‌ها را جمع‌آوری کنند که می‌توان آن‌ها را تجزیه و تحلیل کرد و از نظر رفتار مخرب یا پرخطر از نظر برنامه‌نویسی ارزیابی نمود. فعالیت‌های ثبت‌شده شامل فعالیت Android Debug Bridge (adb)، باز شدن برنامه‌ها و باز شدن قفل صفحه نمایش است.

۲.۱۳.۱ مدیران فناوری اطلاعات می‌توانند ثبت وقایع امنیتی را برای دستگاه‌های خاص فعال کنند و DPC مربوط به EMM باید بتواند هم وقایع امنیتی و هم وقایع امنیتی قبل از راه‌اندازی مجدد را به‌طور خودکار بازیابی کند.

۲.۱۳.۲ مدیران فناوری اطلاعات می‌توانند گزارش‌های امنیتی سازمانی را برای یک دستگاه مشخص و یک پنجره زمانی قابل تنظیم، در کنسول EMM بررسی کنند.

۲.۱۳.۳ مدیران فناوری اطلاعات می‌توانند گزارش‌های امنیتی سازمانی را از کنسول EMM استخراج کنند.

۳. مدیریت حساب و برنامه

۳.۱ اتصال سازمانی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند EMM را به سازمان خود متصل کنند و به EMM اجازه دهند از Google Play مدیریت‌شده برای توزیع برنامه‌ها در دستگاه‌ها استفاده کند.

۳.۱.۱ مدیری که از قبل یک دامنه گوگل مدیریت‌شده دارد، می‌تواند دامنه خود را به EMM متصل کند.

۳.۱.۲ کنسول EMM باید به طور مخفیانه یک ESA منحصر به فرد برای هر سازمان تهیه و تنظیم کند .

۳.۱.۳. لغو عضویت یک شرکت با استفاده از Play EMM API .

۳.۱.۴ کنسول EMM مدیر را راهنمایی می‌کند تا آدرس ایمیل کاری خود را در فرآیند ثبت نام اندروید وارد کند و او را از استفاده از حساب جیمیل منصرف می‌کند.

۳.۱.۵ EMM آدرس ایمیل مدیر را در فرآیند ثبت نام اندروید از قبل پر می‌کند.

۳.۲. مدیریت حساب کاربری گوگل پلی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

EMM می‌تواند به‌طور مخفیانه حساب‌های کاربری سازمانی، به نام حساب‌های مدیریت‌شده گوگل پلی، را فراهم کند. این حساب‌ها کاربران مدیریت‌شده را شناسایی کرده و قوانین توزیع برنامه منحصربه‌فردی را برای هر کاربر مجاز می‌کنند.

۳.۲.۱. DPC مربوط به EMM می‌تواند به طور مخفیانه یک حساب گوگل پلی مدیریت‌شده را طبق دستورالعمل‌های اجرایی تعریف‌شده، ارائه و فعال کند. با انجام این کار:

یک حساب گوگل پلی مدیریت‌شده از نوع userAccount به دستگاه اضافه شده است.
حساب گوگل پلی مدیریت‌شده از نوع userAccount باید در کنسول EMM، نگاشت یک به یک با کاربران واقعی داشته باشد.

۳.۳. مدیریت حساب کاربری دستگاه گوگل پلی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

EMM می‌تواند حساب‌های مدیریت‌شده‌ی دستگاه گوگل پلی را ایجاد و ارائه دهد. حساب‌های دستگاه از نصب بی‌سروصدای برنامه‌ها از فروشگاه مدیریت‌شده‌ی گوگل پلی پشتیبانی می‌کنند و به یک کاربر واحد وابسته نیستند. در عوض، از یک حساب دستگاه برای شناسایی یک دستگاه واحد استفاده می‌شود تا از قوانین توزیع برنامه برای هر دستگاه در سناریوهای اختصاصی دستگاه پشتیبانی شود.

۳.۳.۱. DPC مربوط به EMM می‌تواند به طور مخفیانه یک حساب گوگل پلی مدیریت‌شده را طبق دستورالعمل‌های پیاده‌سازی تعریف‌شده، ارائه و فعال کند. برای انجام این کار، باید یک حساب گوگل پلی مدیریت‌شده از نوع deviceAccount به دستگاه اضافه شود.

۳.۴. مدیریت حساب گوگل پلی برای دستگاه‌های قدیمی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰ و بالاتر

۳.۴.۱. DPC مربوط به EMM می‌تواند به طور مخفیانه یک حساب گوگل پلی مدیریت‌شده را طبق دستورالعمل‌های اجرایی تعریف‌شده، ارائه و فعال کند. با انجام این کار:

یک حساب گوگل پلی مدیریت‌شده از نوع userAccount به دستگاه اضافه شده است.
حساب گوگل پلی مدیریت‌شده از نوع userAccount باید در کنسول EMM، نگاشت یک به یک با کاربران واقعی داشته باشد.

۳.۵ توزیع بی‌سروصدای برنامه

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند برنامه‌های کاری را بدون هیچ گونه تعاملی با کاربران، به صورت مخفیانه روی دستگاه‌های آنها توزیع کنند.

۳.۵.۱ کنسول EMMs باید از API Play EMM استفاده کند تا به مدیران فناوری اطلاعات اجازه دهد برنامه‌های کاری را روی دستگاه‌های مدیریت‌شده نصب کنند.

۳.۵.۲ کنسول EMMs باید از API Play EMM استفاده کند تا به مدیران فناوری اطلاعات اجازه دهد برنامه‌های کاری را روی دستگاه‌های مدیریت‌شده به‌روزرسانی کنند.

۳.۵.۳ کنسول EMMs باید از API Play EMM استفاده کند تا به مدیران فناوری اطلاعات اجازه دهد برنامه‌ها را روی دستگاه‌های مدیریت‌شده حذف نصب کنند.

۳.۶ مدیریت پیکربندی مدیریت‌شده

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی
۵.۰+

مدیران فناوری اطلاعات می‌توانند پیکربندی‌های مدیریت‌شده یا هر برنامه‌ای که از پیکربندی‌های مدیریت‌شده پشتیبانی می‌کند را مشاهده و به‌طور مخفیانه تنظیم کنند.

۳.۶.۱ کنسول EMM باید بتواند تنظیمات پیکربندی مدیریت‌شده‌ی هر برنامه‌ی Play را بازیابی و نمایش دهد.

EMMها می‌توانند Products.getAppRestrictionsSchema برای بازیابی طرحواره پیکربندی مدیریت‌شده یک برنامه فراخوانی کنند یا قاب پیکربندی مدیریت‌شده را در کنسول EMM خود جاسازی کنند .

۳.۶.۲ کنسول EMM باید به مدیران فناوری اطلاعات اجازه دهد تا هر نوع پیکربندی (مطابق با تعریف چارچوب اندروید) را برای هر برنامه Play با استفاده از API Play EMM تنظیم کنند.

۳.۶.۳ کنسول EMM باید به مدیران فناوری اطلاعات اجازه دهد تا کاراکترهای جایگزین (مانند $username$ یا %emailAddress%) را تنظیم کنند تا یک پیکربندی واحد برای برنامه‌ای مانند Gmail بتواند برای چندین کاربر اعمال شود. iframe پیکربندی مدیریت‌شده به‌طور خودکار از این الزام پشتیبانی می‌کند.

۳.۷ مدیریت کاتالوگ برنامه‌ها

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند فهرستی از برنامه‌های تأیید شده برای سازمان خود را از Google Play مدیریت‌شده ( play.google.com/work ) وارد کنند.

۳.۷.۱ کنسول EMM می‌تواند فهرستی از برنامه‌های تأیید شده برای توزیع را نمایش دهد، از جمله:

برنامه‌های خریداری شده در گوگل پلی مدیریت‌شده
برنامه‌های خصوصی که برای مدیران فناوری اطلاعات قابل مشاهده هستند
برنامه‌های تأیید شده از نظر برنامه‌نویسی

۳.۸ تأیید برنامه‌ی کاربردی بر اساس برنامه‌ریزی

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

کنسول EMM از iframe مدیریت‌شده‌ی Google Play برای پشتیبانی از قابلیت‌های کشف و تأیید برنامه‌های Google Play استفاده می‌کند. مدیران فناوری اطلاعات می‌توانند بدون ترک کنسول EMM، برنامه‌ها را جستجو، تأیید و مجوزهای برنامه‌های جدید را تأیید کنند.

۳.۸.۱ مدیران فناوری اطلاعات می‌توانند با استفاده از iframe مدیریت‌شده‌ی گوگل پلی، برنامه‌ها را جستجو کرده و آنها را در کنسول EMM تأیید کنند.

۳.۹ مدیریت اولیه طرح‌بندی فروشگاه

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

برنامه مدیریت‌شده فروشگاه گوگل پلی می‌تواند روی دستگاه‌ها برای نصب و به‌روزرسانی برنامه‌های کاری استفاده شود. طرح‌بندی اولیه فروشگاه به طور پیش‌فرض نمایش داده می‌شود و برنامه‌های تأیید شده برای سازمان را فهرست می‌کند، که EMMها بر اساس سیاست‌ها بر اساس کاربران عادی فیلتر می‌کنند.

۳.۹.۱. مدیران فناوری اطلاعات می‌توانند [مدیریت مجموعه محصولات موجود کاربران]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) اجازه مشاهده و نصب برنامه‌ها را از فروشگاه مدیریت‌شده گوگل پلی در بخش «خانه فروشگاه» بدهند.

۳.۱۰ پیکربندی پیشرفته طرح‌بندی فروشگاه

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند طرح‌بندی فروشگاه را که در برنامه مدیریت‌شده فروشگاه گوگل پلی روی دستگاه‌ها مشاهده می‌شود، سفارشی‌سازی کنند.

۳.۱۰.۱ مدیران فناوری اطلاعات می‌توانند اقدامات زیر را در کنسول EMM برای سفارشی‌سازی طرح‌بندی فروشگاه مدیریت‌شده گوگل پلی انجام دهند:

تا ۱۰۰ صفحه طرح‌بندی فروشگاه ایجاد کنید. صفحات می‌توانند به تعداد دلخواه نام صفحه محلی داشته باشند.
برای هر صفحه حداکثر 30 خوشه ایجاد کنید. خوشه‌ها می‌توانند تعداد دلخواهی از نام‌های خوشه محلی داشته باشند.
حداکثر ۱۰۰ برنامه را به هر خوشه اختصاص دهید.
حداکثر 10 لینک سریع به هر صفحه اضافه کنید.
ترتیب مرتب‌سازی برنامه‌ها را در یک خوشه و خوشه‌های درون یک صفحه مشخص کنید.

۳.۱۱ مدیریت مجوز برنامه

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند مجوزهای برنامه خریداری شده در Google Play مدیریت شده را از کنسول EMM مشاهده و مدیریت کنند.

۳.۱۱.۱ برای برنامه‌های پولی که برای یک سازمان تأیید شده‌اند، کنسول EMM باید موارد زیر را نمایش دهد :

تعداد مجوزهای خریداری شده
تعداد لایسنس‌های مصرف‌شده و کاربرانی که از لایسنس‌ها استفاده می‌کنند.
تعداد مجوزهای موجود برای توزیع

۳.۱۱.۲ مدیران فناوری اطلاعات می‌توانند بدون نیاز به نصب اجباری برنامه روی دستگاه‌های کاربران، بی‌سروصدا به آنها مجوز اختصاص دهند .

۳.۱۱.۳ مدیران فناوری اطلاعات می‌توانند مجوز برنامه را از یک کاربر سلب کنند .

۳.۱۲ مدیریت برنامه خصوصی تحت میزبانی گوگل

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند برنامه‌های خصوصی میزبانی‌شده توسط گوگل را از طریق کنسول EMM به جای کنسول گوگل پلی به‌روزرسانی کنند.

۳.۱۲.۱ مدیران فناوری اطلاعات می‌توانند نسخه‌های جدید برنامه‌هایی را که از قبل به صورت خصوصی منتشر شده‌اند، با استفاده از موارد زیر در سازمان بارگذاری کنند:

۳.۱۳ مدیریت برنامه خصوصی خود-میزبان

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

مدیران فناوری اطلاعات می‌توانند برنامه‌های خصوصی خود-میزبانی‌شده را راه‌اندازی و منتشر کنند. برخلاف برنامه‌های خصوصی تحت میزبانی گوگل، گوگل پلی میزبان APKها نیست. در عوض، EMM به مدیران فناوری اطلاعات کمک می‌کند تا خودشان APKها را میزبانی کنند و با تأیید اینکه برنامه‌های خود-میزبانی‌شده فقط در صورت تأیید توسط گوگل پلی مدیریت‌شده قابل نصب هستند، به محافظت از آنها کمک می‌کند.

مدیران فناوری اطلاعات می‌توانند برای جزئیات بیشتر به پشتیبانی از برنامه‌های خصوصی مراجعه کنند.

۳.۱۳.۱ کنسول EMM باید با ارائه هر دو گزینه زیر، به مدیران فناوری اطلاعات در میزبانی APK برنامه کمک کند:

میزبانی APK روی سرور EMM. این سرور می‌تواند داخلی یا ابری باشد.
میزبانی APK خارج از سرور EMM، به صلاحدید مدیر فناوری اطلاعات. مدیر فناوری اطلاعات باید در کنسول EMM محل میزبانی APK را مشخص کند.

۳.۱۳.۲ کنسول EMM باید با استفاده از APK ارائه شده، یک فایل تعریف APK مناسب تولید کند و مدیران فناوری اطلاعات را در فرآیند انتشار راهنمایی کند.

۳.۱۳.۳ مدیران فناوری اطلاعات می‌توانند برنامه‌های خصوصی خود-میزبان را به‌روزرسانی کنند و کنسول EMM می‌تواند فایل‌های تعریف APK به‌روزرسانی‌شده را با استفاده از API انتشار توسعه‌دهندگان گوگل پلی به‌طور مخفیانه منتشر کند.

۳.۱۳.۴ سرور EMM فقط درخواست‌های دانلود APK خود-میزبانی‌شده‌ای را ارائه می‌دهد که حاوی یک JWT معتبر در کوکی درخواست باشد، که توسط کلید عمومی برنامه خصوصی تأیید شده باشد.

برای تسهیل این فرآیند، سرور EMM باید مدیران فناوری اطلاعات را راهنمایی کند تا کلید عمومی مجوز برنامه خود-میزبان را از کنسول Play Google Play دانلود کرده و این کلید را در کنسول EMM بارگذاری کنند.

۳.۱۴. اعلان‌های pull مربوط به EMM

نسخه اندروید	نمایه کاری روی دستگاه شخصی	نمایه کاری روی دستگاه متعلق به شرکت	دستگاه کاملاً مدیریت شده	دستگاه اختصاصی

به جای اینکه به صورت دوره‌ای از Play برای شناسایی رویدادهای گذشته مانند به‌روزرسانی برنامه‌ای که حاوی مجوزهای جدید یا پیکربندی‌های مدیریت‌شده است، درخواست شود، اعلان‌های EMM به صورت فعال EMMها را در مورد چنین رویدادهایی در زمان واقعی مطلع می‌کنند و به EMMها اجازه می‌دهند تا اقدامات خودکار انجام دهند و اعلان‌های مدیریتی سفارشی را بر اساس این رویدادها ارائه دهند.

۳.۱۴.۱ EMM باید از اعلان‌های EMM مربوط به Play برای دریافت مجموعه اعلان‌ها استفاده کند.

۳.۱۴.۲ EMM باید به طور خودکار (مثلاً از طریق یک ایمیل خودکار) رویدادهای اعلان زیر را به مدیر فناوری اطلاعات اطلاع دهد:

newPermissionEvent : به یک مدیر فناوری اطلاعات نیاز دارد تا مجوزهای برنامه جدید را تأیید کند، قبل از اینکه برنامه بتواند به طور مخفیانه روی دستگاه‌های کاربران نصب یا به‌روزرسانی شود.
appRestrictionsSchemaChangeEvent : ممکن است مدیر فناوری اطلاعات را ملزم به به‌روزرسانی پیکربندی مدیریت‌شده‌ی یک برنامه برای حفظ کارایی مورد نظر کند.
appUpdateEvent : ممکن است برای مدیران فناوری اطلاعات که می‌خواهند تأیید کنند که عملکرد گردش کار اصلی تحت تأثیر به‌روزرسانی برنامه قرار نمی‌گیرد، جالب باشد.
productAvailabilityChangeEvent : ممکن است بر توانایی نصب برنامه یا دریافت به‌روزرسانی‌های برنامه تأثیر بگذارد.
installFailureEvent : Play قادر به نصب بی‌سروصدای یک برنامه روی دستگاه نیست، که نشان می‌دهد ممکن است مشکلی در پیکربندی دستگاه وجود داشته باشد که مانع نصب می‌شود. EMMها نباید بلافاصله پس از دریافت این اعلان، دوباره نصب بی‌سروصدا را امتحان کنند، زیرا منطق تلاش مجدد خود Play از قبل با شکست مواجه شده است.

۳.۱۴.۳. EMM به طور خودکار اقدامات مناسب را بر اساس رویدادهای اعلان زیر انجام می‌دهد:

newDeviceEvent : در طول آماده‌سازی دستگاه، EMMها باید قبل از انجام فراخوانی‌های بعدی Play EMM API برای دستگاه جدید، از جمله نصب بی‌صدای برنامه‌ها و تنظیم پیکربندی‌های مدیریت‌شده، منتظر newDeviceEvent بمانند.
productApprovalEvent : upon receiving a productApprovalEvent notification, EMM must automatically update the list of approved apps imported into the EMM console for distribution to devices if there's an active IT admin session, or if the list of approved apps is not automatically reloaded at the start of each IT admin session.

3.15. API usage requirements

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device

The EMM implements Google's APIs at scale, avoiding traffic patterns that could negatively impact IT admins' ability to manage apps in production environments.

3.15.1. The EMM must adhere to the Play EMM API usage limits. Not correcting behavior that exceeds these guidelines may result in suspension of API use, at Google's discretion.

3.15.2. The EMM should distribute traffic from different enterprises throughout the day, rather than consolidating enterprise traffic at specific or similar times. Behavior that fits this traffic pattern, such as scheduled batch operations for each device enrolled, may result in suspending API use, at Google's discretion.

3.15.3. The EMM shouldn't make consistent, incomplete, or deliberately incorrect requests that make no attempt to retrieve or manage actual enterprise data. Behavior that fits this traffic pattern may result in suspended API use, at Google's discretion.

3.16. Advanced managed configuration management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

3.16.1. The EMM's console must be able to retrieve and display the managed configuration settings (nested up to four levels) of any Play app, using:

The Managed Google Play iFrame , or
a custom UI.

3.16.2. The EMM's console must be able to retrieve and display any feedback returned by an app's feedback channel , when set up by an IT admin.

The EMM's console must allow IT admins to associate a specific feedback item with the device and app it originated from.
The EMM's console must allow IT admins to subscribe to alerts or reports of specific message types (such as error messages).

3.16.3. The EMM's console must only send values that either have a default value or are manually set by the admin using:

The managed configurations iframe, or
A custom UI.

3.17. Web app management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device

IT admins can create and distribute web apps in the EMM console.

3.17.1. IT admins can use the EMM's console to distribute shortcuts to web apps using:

The Managed Google Play iframe , or
the Play EMM API .

3.18. Managed Google Play account lifecycle management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

The EMM can create, update, and delete managed Google Play Accounts on behalf of IT admins.

3.18.1. EMMs can manage the lifecycle of a managed Google Play Account according to the implementation guidelines defined in the Play EMM API developer documentation.

3.18.2. EMMs can reauthenticate managed Google Play Accounts without user interaction.

3.19. Application track management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

3.19.1. IT admins can pull a list of track IDs set by a developer for a particular app.

3.19.2. IT admins can set devices to use a particular development track for an application.

3.20. Advanced application update management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

3.20.1. IT admins can allow apps to use high-priority app updates to be updated when an update is ready.

3.20.2. IT admins can allow apps to have their app updates postponed for 90 days.

3.21. Provisioning methods management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device

The EMM can generate provisioning configurations and present these to the IT admin in a form ready for distribution to end users (such as QR code, zero-touch configuration, Play Store URL).

3.22. Upgrade Enterprise binding

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device

IT admins can upgrade the enterprise binding type to a managed Google Domain enterprise, allowing the organization to access Google Account services and features on enrolled devices.

3.22.1. The EMM console allows the IT admin to trigger the upgrade of an existing managed Google Play Accounts enterprise to a managed Google Domain enterprise using the requisite APIs .

3.22.2. EMMs should use Pub/Sub to receive notifications about IT admin-initiated upgrade events (even those occurring outside the EMM console) and update their UI to reflect these changes.

3.23. Managed Google Account provisioning

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device

The EMM can provision a device with enterprise user accounts , called managed Google Accounts. These accounts identify managed users and allow app distribution rules, and allow access to Google services. IT admins can additionally set a policy to require managed Google Account authentication during or after enrollment.

3.23.1. The EMM's DPC can provision a managed Google Account according to the defined implementation guidelines .

In doing so:

A managed Google Account is added to the device.
The managed Google Account must have a 1 to 1 mapping with actual users in the EMM's console.

3.23.2. The IT admin can use the policy to provide users the option to sign in to a managed Google Account for enrollment.

3.23.3. The IT admin can use the policy to control whether the user is required to sign in to a managed Google Account to complete enrollment.

3.23.4. IT admins can optionally restrict the upgrade flow to a specific account identifier (email address) for a given device.

3.24. Managed Google Play Account upgrade

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device

IT admins can upgrade the user account type to a managed Google Account , allowing the device to access Google Account services and features on enrolled devices.

3.24.1. IT admins can upgrade an existing managed Google Play Account on a device to a managed Google Account.

3.24.2. IT admins can optionally restrict the upgrade flow to a specific account identifier (email address) for a given device.

4. Device management

4.1. Runtime permission policy management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can silently set a default response to runtime permission requests made by work apps.

4.1.1. IT admins must be able to choose from the following options when setting a default runtime permission policy for their organization:

prompt (allows users to choose)
اجازه دادن
انکار کردن

The EMM should enforce these settings using the EMM's DPC .

4.2. Runtime permission grant state management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

After setting a default runtime permission policy (go to 4.1.), IT admins can silently set responses for specific permissions from any work app built on API 23 or higher.

4.2.1. IT admins must be able to set the grant state (default, grant, or deny) of any permission requested by any work app built on API 23 or higher. The EMM should enforce these settings using the EMM's DPC .

4.3. Wi-Fi configuration management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can silently provision enterprise Wi-Fi configurations on managed devices, including:

4.3.1. SSID, using the EMM's DPC .

4.3.2. Password, using the EMM's DPC .

4.4. Wi-Fi security management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can provision enterprise Wi-Fi configurations on managed devices that include the following advanced security features:

4.4.1. Identity, using the EMM's DPC .

4.4.2. Certificate for clients authorization, using the EMM's DPC .

4.4.3. CA certificate(s), using the EMM's DPC .

4.5. Advanced Wi-Fi management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can lock down Wi-Fi configurations on managed devices, to prevent users from creating configurations or modifying corporate configurations.

4.5.1. IT admins can lock down corporate Wi-Fi configurations in either of the following configurations:

Users cannot modify any Wi-Fi configurations provisioned by the EMM , but may add and modify their own user-configurable networks (for example personal networks).
Users cannot add or modify any Wi-Fi network on the device , limiting Wi-Fi connectivity to just those networks provisioned by the EMM.

4.6. Account management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can verify that unauthorized corporate accounts can't interact with corporate data, for services such as SaaS storage and productivity apps, or email. Without this feature, personal accounts can be added to those corporate apps that also support consumer accounts, allowing them to share corporate data with those personal accounts.

4.6.1. IT admins can prevent adding or modifying accounts .

When enforcing this policy on a device, EMMs must set this restriction before provisioning is complete, to ensure you cannot circumvent this policy by adding accounts before the policy is enacted.

4.7. Workspace account management

This feature is deprecated. See 3.23. for replacement requirements.

4.8. Certificate management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

Allows IT admins to deploy identity certificates and certificate authorities to devices to allow access to corporate resources.

4.8.1. IT admins can install user identity certs generated by their PKI on a per-user basis. The EMM's console must integrate with at least one PKI and distribute certificates generated from that infrastructure.

4.8.2. IT admins can install certificate authorities in the managed keystore.

4.9. Advanced certificate management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

Allows IT admins to silently select the certificates that specific managed apps should use. This feature also grants IT admins the ability to remove CAs and identity certs from active devices. This feature prevents users from modifying credentials stored in the managed keystore.

4.9.1. For any app distributed to devices, IT admins can specify a certificate the app will be silently granted access to during runtime.

Certificate selection must be generic enough to allow a single configuration that applies to all users, each of which may have a user-specific identity certificate.

4.9.2. IT admins can silently remove certificates from the managed keystore.

4.9.3. IT admins can silently uninstall a CA certificate , or all non-system CA certificates .

4.9.4. IT admins can prevent users from configuring credentials in the managed keystore.

4.9.5. IT admins can pre-grant certificates for work apps.

4.10. Delegated certificate management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can distribute a third-party certificate management app to devices and grant that app privileged access to install certificates into the managed keystore.

4.10.1. IT admins specify a certificate management package to set as the delegated certificate management app by the DPC.

Console may optionally suggest known certificate management packages, but must allow the IT admin to choose from the list of apps available for install, for applicable users.

4.11. Advanced VPN management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

Allows IT admins to specify an Always On VPN to verify that the data from specified managed apps will always go through a set up VPN.

4.11.1. IT admins can specify an arbitrary VPN package to be set as an Always On VPN.

The EMM's console may optionally suggest known VPN packages that support Always On VPN, but can't restrict the VPNs available for Always On configuration to any arbitrary list.

4.11.2. IT admins can use managed configurations to specify the VPN settings for an app.

4.12. IME management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can manage what input methods (IMEs) can be set up for devices. Since the IME is shared across both work and personal profiles, blocking use of IMEs will prevent allowing those IMEs for personal use as well. IT admins may not, however, block system IMEs on work profiles (go to advanced IME management for more details).

4.12.1. IT admins can set up an IME allowlist of arbitrary length (including an empty list, which blocks non-system IMEs), which may contain any arbitrary IME packages.

The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.

4.12.2. The EMM must inform IT admins that system IMEs are excluded from management on devices with work profiles.

4.13. Advanced IME management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can manage what input methods (IMEs) can be set up for devices. Advanced IME management extends the basic feature by allowing IT admins to manage the use of system IMEs as well, which are typically provided by the device manufacturer or carrier of the device.

4.13.1. IT admins can set up an IME allowlist of arbitrary length (excluding an empty list, which blocks all IMEs including system IMEs), which may contain any arbitrary IME packages.

The EMM's console may optionally suggest known or recommended IMEs to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.

4.13.2. EMMs must prevent IT admins from setting up an empty allowlist, as this setting will block all IMEs including system IMEs from being set up on the device.

4.13.3. EMMs must verify that if an IME allowlist does not contain system IMEs, the third-party IMEs are silently installed before the allowlist is applied on the device.

4.14. Accessibility services management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can manage what accessibility services can be allowed on users' devices. While accessibility services are powerful tools for users with disabilities or those that are temporarily unable to fully interact with their device, they may interact with corporate data in ways that are non-compliant with corporate policy. This feature allows IT admins to turn off any non-system accessibility service.

4.14.1. IT admins can set up an accessibility service allowlist of arbitrary length (including an empty list, which blocks non-system accessibility services), which may contain any arbitrary accessibility service package. When applied to a work profile, this affects both the personal profile and the work profile.

Console may optionally suggest known or recommended accessibility services to include in the allowlist, but must allow IT admins to choose from the list of apps available for install, for applicable users.

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can prevent users from sharing location data with apps in the work profile. Otherwise, the location setting for work profiles is configurable in Settings.

4.15.1. IT admins can disable location services within the work profile.

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can enforce a given Location Sharing setting on a managed device. This feature can ensure that corporate apps always have access to high accuracy location data. This feature can also ensure that extra battery is not consumed by restricting location settings to battery saving mode.

4.16.1. IT admins can set the device location services to each of the following modes:

High accuracy.
Sensors only, for example GPS, but not including network-provided location.
Battery saving, which limits the update frequency.
خاموش.

4.17. Factory reset protection management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۱+

Allows IT admins to protect company-owned devices from theft by ensuring unauthorized users can't factory reset devices. If factory reset protection introduces operational complexities when devices are returned to IT, IT admins can also turn off factory reset protection entirely.

4.17.1. IT admins can prevent users from factory resetting their device from Settings.

4.17.2. IT admins can specify corporate unlock accounts authorized to provision devices after a factory reset.

This account can be tied to an individual, or used by the entire enterprise to unlock devices.

4.17.3. IT admins can disable factory reset protection for specified devices.

4.17.4. IT admins can start a remote device wipe that optionally wipes reset protection data , thus removing factory reset protection on the reset device.

4.18. Advanced app control

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can prevent the user from uninstalling or otherwise modifying managed apps through Settings, for example force closing the app or clearing an app's data cache.

4.18.1. IT admins can block uninstall of any arbitrary managed apps, or all managed apps .

4.18.2. IT admins can prevent users from modifying application data from Settings.

4.19. Screen capture management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can block users from taking screenshots when using managed apps. This setting includes blocking screen sharing apps and similar apps (such as Google Assistant) that use the system screenshot capabilities.

4.19.1. IT admins can prevent users from capturing screenshots .

4.20. Disable cameras

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can turn off use of device cameras by managed apps.

4.20.1. IT admins can turn off use of device cameras by managed apps.

4.21. Network statistics collection

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can query network usage statistics from a device's work profile. The statistics collected reflect the usage data shared with users in the Data usage section of Settings. The collected statistics are applicable to usage of apps within the work profile.

4.21.1. IT admins can query the network statistics summary for a work profile , for a given device and configurable time window, and view these details in the EMM's console.

4.21.2. IT admins can query a summary of an app in the work profile's network use statistics , for a given device and configurable time window, and view these details organized by UID in the EMM's console.

4.21.3. IT admins can query a work profile's network use historical data , for a given device and configurable time window, and view these details organized by UID in the EMM's console.

4.22. Advanced network statistics collection

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can query network usage statistics for an entire managed device. The statistics collected reflect the use data shared with users in the Data Use section of Settings. The statistics collected are applicable to use of apps on the device.

4.22.1. IT admins can query the network statistics summary for an entire device , for a given device and configurable time window, and view these details in the EMM's console.

4.22.2. IT admins can query a summary of app network use statistics , for a given device and configurable time window, and view these details organized by UID in the EMM's console.

4.22.3. IT admins can query the network use historical data , for a given device and configurable time window, and view these details organized by UID in the EMM's console.

4.23. Reboot device

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can remotely restart managed devices.

4.23.1. IT admins can remotely reboot a managed device.

4.24. System radio management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

Allows IT admins granular management over system network radios and associated use policies.

4.24.1. IT admins can disable cell broadcasts sent by service providers (for example, AMBER alerts).

4.24.2. IT admins can prevent users from modifying mobile network settings in Settings .

4.24.3. IT admins can prevent users from resetting network settings in Settings .

4.24.4. IT admins can allow or disallow mobile data while roaming .

4.24.5. IT admins can set up whether the device can make outgoing phone calls , excluding emergency calls.

4.24.6. IT admins can set up whether the device can send and receive text messages .

4.24.7. IT admins can prevent users from using their device as a portable hotspot by tethering .

4.24.8. IT admins can set the Wi-Fi timeout to the default , only while plugged in , or never .

4.24.9. IT admins can prevent users from setting up or modifying existing Bluetooth connections .

4.25. System audio management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can silently manage device audio features, including muting the device, preventing users from changing volume settings, and preventing users from unmuting the device microphone.

4.25.1. IT admins can silently mute managed devices .

4.25.2. IT admins can prevent users from modifying device volume settings .

4.25.3. IT admins can prevent users from unmuting the device microphone .

4.26. System clock management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can manage device clock and time zone settings, and prevent users from modifying automatic device settings.

4.26.1. IT admins can enforce system auto time , preventing the user from setting the date and time of the device.

4.26.2. IT admins can silently turn off or on both auto time and auto timezone .

4.27. Advanced dedicated device features

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

Provides IT admins with the ability to manage more granular dedicated device features to support various kiosk use cases.

4.27.1. IT admins can disable the device keyguard .

4.27.2. IT admins can turn off the device status bar , blocking notifications and Quick Settings.

4.27.3. IT admins can force the device screen to remain on while the device is plugged in.

4.27.4. IT admins can prevent the following system UIs from being displayed:

Toasts
Application overlays.

4.27.5. IT admins can allow the system recommendation for apps to skip their user tutorial and other introductory hints on first start-up.

4.28. Delegated scope management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
8.0+

IT admins are able to delegate extra privileges to individual packages.

4.28.1. IT admins can manage the following scopes:

Certificate installation and management
Deliberately blank
Network logging
Security logging (not supported for work profile on personally-owned device)

4.29. Enrollment-specific ID support

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
12.0+

Starting in Android 12, work profiles will no longer have access to hardware-specific identifiers. IT admins can follow the lifecycle of a device with a work profile through the enrollment-specific ID, which will persist through factory resets.

4.29.1. IT admins can set and obtain an enrollment-specific ID

4.29.2. This enrollment-specific ID must persist through a factory reset

4.30. Credential manager policy

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
14.0+

IT admins can manage which credential manager applications are allowed or blocked using policy .

4.30.1 IT admins can optionally block all credential managers on the device (or within the work profile).

4.30.2 IT admins can specify allowing only pre-loaded (system apps) credential managers.

4.30.3 IT admins can specify a list of package names which are allowed to offer credential manager functionality.

4.31. Basic eSIM management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
14.0+

Allows IT admins to provision a device with an eSIM profile and manage its lifecycle on the device.

4.31.1 IT admins can silently provision an eSIM profile onto a device.

4.31.2 IT admins can delete managed eSIMs from a device.

4.31.3 IT admins can prevent users from modifying mobile network settings in Settings (go to mobileNetworksConfigDisabled ).

4.31.4 When an IT admin performs a remote wipe on a device or a work profile, they have the option to also remove the managed eSIMs from the device. By default, managed eSIMs are removed from work profiles on personally-owned devices, but retained on company-owned devices.

4.31.5 (OPTIONAL) IT admins can retrieve the EID (Embedded Identity Document) identifier of a device using the EMM console UI (or equivalent method) and export these values.

5. Device usability

5.1. Managed provisioning customization

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can modify the default setup flow UX to include enterprise-specific features. Optionally, IT admins can display EMM-provided branding during provisioning.

5.1.1. IT admins can customize the provisioning process by specifying the following enterprise-specific details: enterprise color , enterprise logo , enterprise terms of service and other disclaimers .

5.1.2. IT admins can deploy a non-configurable, EMM-specific customization that includes the following details: EMM color , EMM logo , EMM terms of service and other disclaimers .

5.1.3 [ primaryColor ] has been deprecated for the enterprise resource on Android 10 and higher.

EMMs must include provisioning Terms of Service and other disclaimers for their provisioning flow in the system provisioning disclaimers bundle , even if the EMM-specific customization is not used.
EMMs may set their non-configurable, EMM-specific customization as the default for all deployments, but must allow IT admins to set up their own customization.

5.2. Enterprise customization

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can customize aspects of the work profile with corporate branding. For example, IT admins can set the user icon in the work profile to the corporate logo. Another example is setting up the background color of the work challenge.

5.2.1. IT admins can set the organization color , to be used as the background color of work challenge.

5.2.2. IT admins can set the display name of work profile .

5.2.3. IT admins can set the user icon of the work profile .

5.2.4. IT admins can prevent the user from modifying the work profile user icon .

5.3. Advanced enterprise customization

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can customize managed devices with corporate branding. For example, IT admins can set the primary user icon to the corporate logo, or set the device wallpaper.

5.3.1. IT admins can set the display name for the managed device .

5.3.2. IT admins can set the user icon of the managed device .

5.3.3. IT admins can prevent the user from modifying the device user icon .

5.3.4. IT admins can set the device wallpaper .

5.3.5. IT admins can prevent the user from modifying the device wallpaper .

5.4. Lock screen messages

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can set a custom message that's always displayed on the device lock screen, and does not require device unlock to be viewed.

5.4.1. IT admins can set a custom lock screen message .

5.5. Policy transparency management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can customize the help text provided to users when they modify managed settings on their device, or deploy an EMM-supplied generic support message. Both short and long support messages can be customized. These messages are displayed in instances such as attempting to uninstall a managed app for which an IT admin has already blocked uninstallation.

5.5.1. IT admins customize both the short and long support messages.

5.5.2. IT admins can deploy non-configurable, EMM-specific short and long support messages.

EMM may set their non-configurable, EMM-specific support messages as the default for all deployments, but must allow IT admins to set up their own messages.

5.6. Cross-profile contact management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can control what contact data can leave the work profile. Both telephony and messaging (SMS) apps must run in the personal profile, and require access to work profile contact data to offer efficiency for work contacts, but admins may choose to disable these features to protect work data.

5.6.1. IT admins can disable cross-profile contact search for personal apps that use the system contacts provider.

5.6.2. IT admins can disable cross-profile caller ID lookup for personal dialer apps that use the system contacts provider.

5.6.3. IT admins can disable bluetooth contact sharing with bluetooth devices that use the system contacts provider, for example hands-free calling in cars or headsets.

5.7. Cross-profile data management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

Grants IT admins management over what data can leave the work profile, beyond the default security features of the work profile. With this feature, IT admins can allow select types of cross-profile data sharing to improve usability in key use cases. IT admins can also further protect corporate data with more lockdowns.

5.7.1. IT admins can configure cross-profile intent filters so that personal apps can resolve intent from the work profile such as sharing intents or web links.

Console may optionally suggest known or recommended intent filters for configuration, but can't restrict intent filters to any arbitrary list.

5.7.2. IT admins can allow managed apps that can display widgets on the homescreen.

The EMM's console must provide IT admins the ability to choose from the list of apps that are available for install to applicable users.

5.7.3. IT admins can block the use of copy/paste between the work and personal profiles .

5.7.4. IT admins can block users from sharing data from the work profile using NFC beam .

5.7.5. IT admins can permit personal apps to open web links from the work profile .

5.8. System update policy

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can set up and apply over-the-air (OTA) system updates for devices.

5.8.1. The EMM's console allows IT admins to set the following OTA configurations:

Automatic: Devices install OTA updates when they become available.
Postpone: IT admins must be able to postpone OTA update for up to 30 days. This policy does not affect security updates (eg monthly security patches).
Windowed: IT admins must be able to schedule OTA updates within a daily maintenance window.

5.8.2. The EMM's DPC applies OTA configurations to devices.

5.9. Lock task mode management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۶.۰+

IT admins can lock an app or set of apps to the screen, and ensure that users can't exit the app.

5.9.1. The EMM's console allows IT admins to silently allow an arbitrary set of apps to install and lock to a device. The EMM's DPC allows dedicated device mode.

5.10. Persistent preferred activity management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

Allows IT admins to set an app as the default intent handler for intents that match a certain intent filter. For example, allowing IT admins to choose which browser app automatically opens web links, or which launcher app is used when tapping the home button.

5.10.1. IT admins can set any package as the default intent handler for any arbitrary intent filter.

The EMM's console may optionally suggest known or recommended intents for configuration, but cannot restrict intents to any arbitrary list.
The EMM's console must allow IT admins to choose from the list of apps that are available to install for applicable users.

5.11. Keyguard feature management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can manage the features available to users before unlocking the device keyguard (lock screen) and the work challenge keyguard (lock screen). 5.11.1. The EMM's DPC can turn off the following device keyguard features:

trust agents
fingerprint unlock
unredacted notifications

5.11.2. The EMM's DPC can turn off the following keyguard features in the work profile:

trust agents
fingerprint unlock

5.12. Advanced keyguard feature management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

IT admins can manage advanced device keyguard (lock screen) features on company-owned devices. 5.12.1. IT admins can disable the following device keyguard features:

5.13. Remote debugging

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

IT admins can retrieve debugging resources from devices without requiring extra steps.

5.13.1. IT admins can remotely request bug reports , view bug reports from the EMM's console, and download bug reports from the EMM's console.

5.14. MAC address retrieval

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
7.0+

EMMs can silently fetch a device's MAC address. The MAC address can be used to identify devices in other parts of the enterprise infrastructure (for example when identifying devices for network access control).

5.14.1. The EMM can silently retrieve a device's MAC address and can associate it with the device in the EMM's console.

5.15. Advanced lock task mode management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
9.0+

When a device is set up as a dedicated device, IT admins can use the EMM's console to perform the following tasks:

5.15.1. Silently allow a single app to lock to a device using the EMM's DPC .

5.15.2. Turn on or turn off the following System UI features using the EMM's DPC :

Home button
نمای کلی
Global actions
اعلان‌ها
System info / Status bar
Keyguard (lock screen)

5.15.3. Turn off System Error dialogs using the EMM's DPC .

5.16. Advanced system update policy

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
9.0+

IT admins can block system updates on a device for a specified freeze period.

5.16.1. The EMM's DPC can apply over-the-air (OTA) system updates to devices for a specified freeze period.

5.17. Work profile policy transparency management

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
9.0+

IT admins can customize the message displayed to users when removing the work profile from a device.

5.17.1. IT admins can provide custom text to display when a work profile is wiped.

5.18. Connected app support

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
11.0+

IT admins can set a list of packages that can communicate across the work profile boundary.

5.19. Manual System Updates

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
11.0+

IT admins can manually install a system update by providing a path.

6. Device Admin Deprecation

6.1. Device Admin Deprecation

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

EMMs are required to post a plan by the end of 2022 ending customer support for Device Admin on GMS devices by the end of Q1 2023.

7. API usage

7.1. Standard policy controller for new bindings

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

By default devices must be managed using Android Device Policy for any new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology. New customers must not be exposed to an arbitrary choice between technology stacks during any onboarding or setup workflows.

7.2. Standard policy controller for new devices

نسخه اندروید	Work profile on personally‑owned device	Work profile on company‑owned device	Fully managed device	Dedicated device
۵.۰+

By default devices must be managed using Android Device Policy for all new device enrollments, for both existing and new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology.