בדף הזה מפורטות כל התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הרגילות () של לפחות קבוצת פתרונות אחת לפני שניתן יהיה להפוך אותו לזמין מסחרית. פתרונות EMM שעוברים אימות של תכונות סטנדרטיות מופיעים בספריית הפתרונות לארגונים של Android כפתרונות שמציעים חבילת ניהול סטנדרטית.
לכל חבילת פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מסומנות בכל דף של חבילת פתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. פתרונות EMM שעוברים את האימות של התכונות המתקדמות מופיעים בספריית הפתרונות לארגונים של Android עם הכיתוב חבילת ניהול מתקדמת.
מפתח
| תכונה רגילה אחת () | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת הרשאות למכשיר
1.1. הקצאת פרופיל עבודה קודם ל-DPC
| |
אחרי שמורידים את ה-DPC של ה-EMM מ-Google Play, אפשר להקצות פרופיל עבודה.
1.1.1. ה-DPC של ה-EMM צריך להיות זמין לציבור ב-Google Play כדי שהמשתמשים יוכלו להתקין אותו בצד האישי של המכשיר.
1.1.2. אחרי ההתקנה, ה-DPC צריך להנחות את המשתמש בתהליך של הקצאת פרופיל לצורכי עבודה.
1.1.3. אחרי שהקצאת ההרשאות מסתיימת, לא יכולים להישאר נתונים שקשורים לניהול בצד האישי של המכשיר.
- צריך להסיר את כל כללי המדיניות שהוגדרו במהלך ההקצאה.
- צריך לבטל את ההרשאות של האפליקציה.
- צריך להשבית את ה-DPC של ה-EMM לפחות בצד האישי של המכשיר.
1.2. הקצאת הרשאות למכשיר באמצעות מזהה DPC
| |
|
אדמינים ב-IT יכולים להקצות מכשיר מנוהל או ייעודי באמצעות מזהה DPC (afw#), בהתאם להנחיות ההטמעה שמוגדרות בתיעוד למפתחים של Play EMM API.
1.2.1. בקר ה-DPC של ה-EMM צריך להיות זמין לכולם ב-Google Play. אפשר להתקין את בקר ה-DPC מאשף הגדרת המכשיר על ידי הזנת מזהה ספציפי לבקר ה-DPC.
1.2.2. אחרי ההתקנה, ה-DPC של ה-EMM צריך להנחות את המשתמש בתהליך של הקצאת מכשיר מנוהל מלא או מכשיר ייעודי.
1.3. הקצאת הרשאות למכשירי NFC
| |
|
אדמינים של IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שאופסו להגדרות היצרן, בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. מערכות EMM חייבות להשתמש בתגי NFC Forum Type 2 עם זיכרון של לפחות 888 בייט. הקצאת ההרשאות צריכה להתבצע באמצעות תוספים להקצאת הרשאות, כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. פרטי ההרשמה לא צריכים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. אחרי ש-DPC של EMM מגדיר את עצמו כבעלים של המכשיר, ה-DPC חייב להיפתח באופן מיידי ולנעול את עצמו למסך עד שהמכשיר יוקצה באופן מלא. 1.3.3. אנחנו ממליצים להשתמש בתגי NFC ב-Android מגרסה 10 ואילך, כי הוצאנו משימוש את NFC Beam (שנקרא גם NFC Bump).
1.4. הקצאת הרשאות למכשיר באמצעות קוד QR
| |
אדמינים של IT יכולים להשתמש במכשיר חדש או במכשיר שאופס להגדרות היצרן כדי לסרוק קוד QR שנוצר על ידי מסוף ה-EMM כדי להקצות את המכשיר, בהתאם להנחיות ההטמעה שמוגדרות ב מסמכי התיעוד למפתחים של Play EMM API.
1.4.1. קוד ה-QR צריך להשתמש בתוספות להקצאת הרשאות כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. פרטי ההרשמה לא יכולים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.4.2. אחרי ש-DPC של EMM מגדיר את המכשיר, ה-DPC חייב להיפתח באופן מיידי ולנעול את עצמו למסך עד שהמכשיר יוקצה באופן מלא.
1.5. הרשמה דרך הארגון
| |
אדמינים ב-IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון למנהלי IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, המכשיר עובר אוטומטית להגדרות שהוגדרו על ידי אדמין ה-IT.
1.6. הקצאת הרשאות מתקדמת ללא מגע
| |
אדמינים ב-IT יכולים להפוך חלק ניכר מתהליך רישום המכשירים לאוטומטי באמצעות פריסת פרטי הרישום של DPC דרך רישום ללא מגע. DPC של EMM תומך בהגבלת ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמציע ה-EMM.
1.6.1. מנהלי IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון למנהלי IT.
1.6.2. אחרי ש-DPC של ה-EMM מגדיר את המכשיר, הוא חייב להיפתח מיד ולנעול את עצמו למסך עד שהמכשיר יוקצה באופן מלא.
- הדרישה הזו לא חלה על מכשירים שמשתמשים בפרטי ההרשמה של הרשמה דרך הארגון כדי להקצות לעצמם הרשאות באופן מלא ובשקט (למשל, בהטמעה של מכשיר ייעודי).
1.6.3. באמצעות פרטי ההרשמה, ה-DPC של ה-EMM צריך לוודא שמשתמשים לא מורשים לא יכולים להמשיך בהפעלה אחרי הפעלת ה-DPC. לפחות, ההפעלה צריכה להיות מוגבלת למשתמשים בארגון מסוים.
1.6.4. באמצעות פרטי ההרשמה, כלי ה-DPC של ה-EMM צריך לאפשר לאדמינים ב-IT לאכלס מראש פרטי הרשמה (לדוגמה, מזהי שרת, מזהי הרשמה) מלבד מידע ייחודי על משתמש או מכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור לכלול מידע רגיש, כמו סיסמאות או אישורים, בהגדרות של ההרשמה ללא מגע (ZTE) ב-EMM.
1.7. הקצאת פרופיל עבודה בחשבון Google
| |
בארגונים שמשתמשים בדומיין Google מנוהל, התכונה הזו עוזרת למשתמשים להגדיר פרופיל עבודה אחרי שהם מזינים את פרטי הכניסה שלהם ל-Workspace במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר לפרופיל העבודה.
1.7.1. שיטת ההקצאה של חשבון Google מקצה פרופיל עבודה בהתאם להנחיות ההטמעה המוגדרות.
1.8. הקצאת הרשאות למכשירים בחשבון Google
| |
בארגונים שמשתמשים ב-Workspace, התכונה הזו עוזרת למשתמשים להתקין את DPC של EMM אחרי שהם מזינים את פרטי הכניסה שלהם ל-Workspace העסקי במהלך ההגדרה הראשונית של המכשיר. אחרי ההתקנה, בקר ה-DPC משלים את ההגדרה של מכשיר בבעלות החברה.
1.8.1. שיטת ההקצאה של חשבון Google מקצה מכשיר בבעלות החברה, בהתאם להנחיות ההטמעה המוגדרות.
1.8.2. אלא אם פתרון ה-EMM יכול לזהות באופן חד-משמעי את המכשיר כנכס של החברה, הוא לא יכול להקצות מכשיר בלי להציג בקשה במהלך תהליך ההקצאה. ההנחיה הזו צריכה להוביל לפעולה שהיא לא ברירת מחדל, כמו סימון תיבת סימון או בחירה באפשרות בתפריט שהיא לא ברירת מחדל. מומלץ שמערכת ה-EMM תוכל לזהות את המכשיר כנכס של החברה, כדי שלא יהיה צורך בהצגת הבקשה.
1.9. הגדרה ישירה של הרשמה דרך הארגון
| |
אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי להגדיר מכשירים בהרשמה דרך הארגון באמצעות iframe של הרשמה דרך הארגון.
1.10. פרופילי עבודה במכשירים בבעלות החברה
| |
מערכות EMM יכולות לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה.
1.10.1. השדה ריק בכוונה.
1.10.2. מנהלי IT יכולים להגדיר פעולות תאימות לפרופילי עבודה במכשירים שבבעלות החברה.
1.10.3. מנהלי IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו.
1.10.4. מנהלי IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו.
1.10.5. אדמינים של IT יכולים להגדיר רשימת חסימה של אפליקציות שלא ניתן להתקין בפרופיל האישי.
1.10.6. אדמינים ב-IT יכולים להפסיק את הניהול של מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או איפוס של כל המכשיר.
1.11. הקצאת מכשירים ייעודיים
| |
אדמינים ב-IT יכולים לרשום מכשירים ייעודיים בלי שהמשתמש יתבקש לאמת את עצמו באמצעות חשבון Google.
2. אבטחת המכשיר
2.1. אתגר אבטחה במכשיר
| |
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה למכשיר (קוד אימות, תבנית או סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. המדיניות צריכה לאכוף הגדרות לניהול בעיות אבטחה במכשיר (parentProfilePasswordRequirements לפרופיל עבודה, passwordRequirements למכשירים מנוהלים לחלוטין ולמכשירים ייעודיים).
2.1.2. מורכבות הסיסמה צריכה להיות זהה למורכבות הסיסמה הבאה:
- PASSWORD_COMPLEXITY_LOW - קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפנומריות באורך של 6 תווים לפחות
2.2. אתגר אבטחה בפרופיל העבודה
| |
אדמינים של IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד וכולל דרישות שונות מאתגר האבטחה של המכשיר (2.1).
2.2.1. המדיניות צריכה לאכוף את אתגר האבטחה בפרופיל העבודה. כברירת מחדל, אדמינים של IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא מצוין היקף. אדמינים של IT יכולים להגדיר את ההגבלות לכל המכשיר על ידי ציון ההיקף (ראו דרישה 2.1).
2.1.2. מורכבות הסיסמה צריכה להיות תואמת למורכבויות הסיסמה הבאות:
- PASSWORD_COMPLEXITY_LOW - קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפנומריות באורך של 6 תווים לפחות
2.3. ניהול מתקדם של קודי גישה
| |
2.3.1. במכוון ריק.
2.3.2. השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של הסיסמה לכל מסך נעילה שזמין במכשיר:
- השארת תאים ריקים בכוונה
- השארת תאים ריקים בכוונה
- מספר מקסימלי של סיסמאות שגויות לפני איפוס : מציין את מספר הפעמים שבהן משתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ב-IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.4. ניהול של Smart Lock
| |
אדמינים של IT יכולים לקבוע אילו סביבות אמינות בתכונה Smart Lock של Android יוכלו לבטל את הנעילה של מכשירים. אדמינים של IT יכולים להשבית שיטות ספציפיות לביטול הנעילה, כמו מכשירי Bluetooth מהימנים, זיהוי פנים וזיהוי קולי, או להשבית את התכונה לגמרי.
2.4.1. אדמינים ב-IT יכולים להשבית סוכני מהימנות של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר.
2.4.2. אדמינים של IT יכולים לאפשר ולהגדיר באופן סלקטיבי סוכני מהימנות של Smart Lock באופן עצמאי לכל מסך נעילה שזמין במכשיר, עבור סוכני המהימנות הבאים: Bluetooth, NFC, מיקומים, פנים, על הגוף וקול.
- אדמינים ב-IT יכולים לשנות את הפרמטרים הזמינים להגדרת סוכן מהימן.
2.5. איפוס נתונים ונעילה
| |
אדמינים ב-IT יכולים להשתמש במסוף של מערכת ה-EMM כדי לנעול מרחוק ולאפס את נתוני העבודה במכשיר מנוהל.
2.5.1. ה-DPC של ה-EMM חייב לנעול את המכשירים.
2.5.2. ה-DPC של ה-EMM צריך לאפס את נתוני המכשירים.
2.6. אכיפת התאימות
| |
אם מכשיר לא עומד בדרישות של מדיניות האבטחה, הגישה לנתונים שקשורים לעבודה מוגבלת באופן אוטומטי.
2.6.1. לפחות, מדיניות האבטחה שנאכפת במכשיר חייבת לכלול מדיניות סיסמאות.
2.7. מדיניות אבטחה שמוגדרת כברירת מחדל
| |
ספקי EMM צריכים לאכוף את מדיניות האבטחה שצוינה במכשירים כברירת מחדל, בלי לדרוש מאדמינים של IT להגדיר או להתאים אישית הגדרות במסוף של ספק ה-EMM. מומלץ (אבל לא חובה) שמערכות EMM לא יאפשרו לאדמינים של IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. ה-DPC של ה-EMM חייב לחסום התקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה.
2.7.2. בקר ה-DPC של ה-EMM חייב לחסום את תכונות ניפוי הבאגים.
2.8. מדיניות אבטחה למכשירים ייעודיים
| |
מכשירים ייעודיים נעולים ואין אפשרות לבצע פעולות אחרות.
2.8.1. ה-DPC של ה-EMM צריך להשבית את האתחול למצב בטוח כברירת מחדל.
2.8.2. ה-DPC של ה-EMM צריך להיפתח ולהינעל במסך באופן מיידי במהלך האתחול הראשון של המכשיר, כדי לוודא שלא תהיה אינטראקציה עם המכשיר בשום דרך אחרת.
2.8.3. כדי לוודא שהאפליקציות המותרות נעולות למסך בזמן האתחול, צריך להגדיר את ה-DPC של ה-EMM כמרכז האפליקציות שמוגדר כברירת מחדל, בהתאם להנחיות ההטמעה שמוגדרות.
2.9. תמיכה ב-Play Integrity
ה-EMM משתמש ב-Play Integrity API כדי לוודא שהמכשירים הם מכשירי Android תקינים.
2.9.1. ה-DPC של ה-EMM מטמיע את Play Integrity API במהלך ההקצאה, ובאופן אוטומטי משלים את הקצאת המכשיר עם נתונים ארגוניים רק אם שלמות המכשיר שהוחזרה היא MEETS_STRONG_INTEGRITY.
2.9.2. ה-DPC של ה-EMM יבצע בדיקת תקינות נוספת ב-Play בכל פעם שמכשיר מבצע צ'ק-אין עם השרת של ה-EMM. מנהל ה-IT יכול להגדיר את התדירות של הבדיקות. שרת ה-EMM יאמת את פרטי ה-APK בתגובה של בדיקת התקינות ואת התגובה עצמה לפני עדכון המדיניות הארגונית במכשיר.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות בהתאם לתוצאה של בדיקת תקינות Play, כולל חסימת הקצאת הרשאות, מחיקת נתונים ארגוניים והמשך הרישום.
- שירות ה-EMM יחיל את תגובת המדיניות הזו על התוצאה של כל בדיקת תקינות.
2.9.4. אם בדיקת תקינות Play הראשונית נכשלת או מחזירה תוצאה שלא עומדת בדרישות של תקינות חזקה, אם ה-DPC של ה-EMM לא קרא כבר ל-ensureWorkingEnvironment, הוא חייב לעשות זאת ולחזור על הבדיקה לפני שההקצאה מסתיימת.
2.10. אכיפה של אימות אפליקציות
| |
אדמינים ב-IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android לאיתור תוכנות מזיקות לפני ההתקנה ואחריה, כדי לוודא שאפליקציות זדוניות לא יוכלו לסכן את הנתונים של החברה.
2.10.1. ה-DPC של ה-EMM צריך להפעיל את התכונה 'אימות אפליקציות' כברירת מחדל.
2.11. תמיכה ב-Direct Boot
| |
אי אפשר להפעיל אפליקציות במכשירים עם Android מגרסה 7.0 ואילך שהופעלו זה עתה, עד שמבטלים את הנעילה של המכשיר בפעם הראשונה. תמיכה בהפעלה ישירה מבטיחה ש-DPC של EMM תמיד פעיל ויכול לאכוף מדיניות, גם אם המכשיר לא נפתח.
2.11.1. ה-DPC של ה-EMM משתמש באחסון מוצפן במכשיר כדי לבצע פונקציות ניהול קריטיות לפני שהאחסון המוצפן של פרטי הכניסה של ה-DPC מפוענח. פונקציות הניהול שזמינות במהלך אתחול ישיר צריכות לכלול (אבל לא רק):
- מחיקה ארגונית, כולל היכולת למחוק נתונים של הגנה מפני איפוס להגדרות המקוריות לפי הצורך.
2.11.2. ה-DPC של ה-EMM לא יכול לחשוף נתונים ארגוניים באחסון מוצפן במכשיר.
2.11.3. מערכות EMM יכולות להגדיר ולהפעיל טוקן כדי להפעיל לחצן שכחתי את הסיסמה במסך הנעילה של פרופיל העבודה. הלחצן הזה משמש כדי לבקש מאדמינים ב-IT לאפס באופן מאובטח את הסיסמה של פרופיל העבודה.
2.12. ניהול אבטחה של חומרה
| |
אדמינים ב-IT יכולים לנעול רכיבי חומרה במכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים להרכיב מדיה חיצונית פיזית במכשיר שלהם.
2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות NFC beam . התכונה המשנית הזו היא אופציונלית כי פונקציית ה-NFC beam לא נתמכת יותר ב-Android מגרסה 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום משתמשים מהעברת קבצים באמצעות USB מהמכשיר שלהם.
2.13. רישום פעולות שמשפיעות על אבטחת החשבון בארגון
| |
אדמינים של IT יכולים לאסוף נתוני שימוש ממכשירים שאפשר לנתח ולהעריך באופן פרוגרמטי כדי לזהות התנהגות זדונית או מסוכנת. הפעילויות שנרשמות ביומן כוללות פעילות של ממשק הגישור של Android (adb), פתיחות של אפליקציות וביטול נעילה של המסך.
2.13.1. אדמינים של IT יכולים להפעיל רישום של נתוני אבטחה במכשירים ספציפיים, וה-DPC של ה-EMM צריך להיות מסוגל לאחזר באופן אוטומטי גם יומני אבטחה וגם יומני אבטחה לפני הפעלה מחדש.
2.13.2. אדמינים ב-IT יכולים לבדוק את יומני האבטחה של הארגון עבור מכשיר מסוים וחלון זמן שניתן להגדרה, במסוף של EMM.
2.13.3. אדמינים ב-IT יכולים לייצא יומני אבטחה ארגוניים ממסוף ה-EMM.
3. ניהול חשבונות ואפליקציות
3.1. קישור לארגון
אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים של Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. מסוף ה-EMM צריך להקצות ולהגדיר באופן שקט ESA ייחודי לכל ארגון.
3.1.3. ביטול ההרשמה של ארגון באמצעות Play EMM API.
3.1.4. מסוף ה-EMM מנחה את האדמין להזין את כתובת האימייל שלו לצורכי עבודה בתהליך ההרשמה ל-Android, וממליץ לו לא להשתמש בחשבון Gmail.
3.1.5. פתרון ה-EMM ממלא מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאת הרשאות לחשבון Google Play מנוהל
| |
ה-EMM יכול להקצות בשקט חשבונות משתמשים לארגון, שנקראים חשבונות Google Play לניהול. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללי הפצה ייחודיים של אפליקציות לכל משתמש.
3.2.1. ה-DPC של ה-EMM יכול לספק ולהפעיל חשבון מנוהל ב-Google Play באופן שקט, בהתאם להנחיות ההטמעה המוגדרות. במהלך הפעולה:
- חשבון Google Play מנוהל מסוג
userAccountנוסף למכשיר. - צריך להיות מיפוי של אחד לאחד בין חשבון Google Play לארגונים מסוג
userAccountלבין משתמשים בפועל במסוף ה-EMM.
3.3. הקצאת חשבונות למכשירים ב-Google Play מנוהל
| |
מערכת ה-EMM יכולה ליצור ולספק חשבונות מכשיר ב-Google Play לארגונים . חשבונות מכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא מקושרים למשתמש יחיד. במקום זאת, נעשה שימוש בחשבון מכשיר כדי לזהות מכשיר יחיד, במטרה לתמוך בכללים להפצת אפליקציות לכל מכשיר בתרחישים של מכשירים ייעודיים.
3.3.1. ה-DPC של ה-EMM יכול לספק ולהפעיל חשבון מנוהל ב-Google Play באופן שקט, בהתאם להנחיות ההטמעה המוגדרות.
במהלך התהליך, צריך להוסיף למכשיר חשבון Google Play לארגונים מסוג deviceAccount.
3.4. הקצאת חשבונות Google Play מנוהלים למכשירים מדור קודם
| |
פתרון ה-EMM יכול להקצות בשקט חשבונות משתמשים בארגון, שנקראים חשבונות מנוהלים ב-Google Play. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללי הפצה ייחודיים של אפליקציות לכל משתמש.
3.4.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל בשקט חשבון מנוהל ב-Google Play בהתאם להנחיות ההטמעה המוגדרות . במהלך הפעולה:
- חשבון Google Play מנוהל מסוג
userAccountנוסף למכשיר. - צריך להיות מיפוי של אחד לאחד בין חשבון Google Play לארגונים מסוג
userAccountלבין משתמשים בפועל במסוף ה-EMM.
3.5. הפצה שקטה של אפליקציות
אדמינים ב-IT יכולים להפיץ בשקט אפליקציות עבודה במכשירים של משתמשים ללא אינטראקציה מצד המשתמשים.
3.5.1. מסוף ה-EMM צריך להשתמש ב-Play EMM API כדי לאפשר לאדמינים של IT להתקין אפליקציות לשימוש בעבודה במכשירים מנוהלים.
3.5.2. מסוף ה-EMM חייב להשתמש ב-Play EMM API כדי לאפשר למנהלי IT לעדכן אפליקציות לשימוש בעבודה במכשירים מנוהלים.
3.5.3. מסוף ה-EMM צריך להשתמש ב-Play EMM API כדי לאפשר לאדמינים של IT להסיר אפליקציות במכשירים מנוהלים.
3.6. ניהול הגדרות מנוהלות
| |
אדמינים ב-IT יכולים לראות ולהגדיר בשקט תצורות מנוהלות או כל אפליקציה שתומכת בתצורות מנוהלות.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות הניהול של כל אפליקציה ב-Play.
- פלטפורמות EMM יכולות לקרוא ל-
Products.getAppRestrictionsSchemaכדי לאחזר סכימה של הגדרות מנוהלות של אפליקציה או להטמיע את מסגרת ההגדרות המנוהלות במסוף ה-EMM שלהן.
3.6.2. המסוף של מערכת ה-EMM צריך לאפשר לאדמינים של IT להגדיר כל סוג של הגדרה (כפי שמוגדר במסגרת Android) לכל אפליקציה ב-Play באמצעות Play EMM API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים. ה-iframe של ההגדרה המנוהלת תומך בדרישה הזו באופן אוטומטי.
3.7. ניהול קטלוג האפליקציות
אדמינים ב-IT יכולים לייבא רשימה של אפליקציות שאושרו לארגון שלהם מ-Google Play לארגונים (play.google.com/work).
3.7.1. במסוף ה-EMM אפשר לראות רשימה של אפליקציות שאושרו להפצה, כולל:
- אפליקציות שנרכשו ב-Google Play לארגונים
- אפליקציות פרטיות שגלויות לאדמינים של IT
- אפליקציות שאושרו באופן פרוגרמטי
3.8. אישור אפליקציות פרוגרמטיות
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגילוי אפליקציות ולאישור שלהן. אדמינים של IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת ממסוף ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציית חנות Google Play לארגונים במכשירים כדי להתקין ולעדכן אפליקציות לשימוש בעבודה. פריסת החנות הבסיסית מוצגת כברירת מחדל ומפרטת את האפליקציות שאושרו לארגון, שאותן מערכות EMM מסננות על בסיס משתמשים בהתאם למדיניות.
3.9.1. אדמינים ב-IT יכולים [לנהל את חבילות המוצרים שזמינות למשתמשים]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) כדי לאפשר צפייה באפליקציות והתקנה שלהן מחנות Google Play לארגונים בקטע 'דף הבית של החנות'.
3.10. הגדרה מתקדמת של פריסת החנות
אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציית חנות Google Play לארגונים במכשירים.
3.10.1. אדמינים של IT יכולים לבצע את הפעולות הבאות במסוף של מערכת ה-EMM כדי להתאים אישית את הפריסה של חנות Google Play לארגונים:
- ליצור עד 100 דפים של פריסת החנות. דפים יכולים לכלול מספר שרירותי של שמות דפים מותאמים לשפה מסוימת.
- אפשר ליצור עד 30 אשכולות לכל דף. לכל אשכול יכול להיות מספר שרירותי של שמות אשכולים מקומיים.
- אפשר להקצות עד 100 אפליקציות לכל אשכול.
- אפשר להוסיף עד 10 קישורים מהירים לכל דף.
- מציינים את סדר המיון של האפליקציות באשכול ושל האשכולות בדף.
3.11. ניהול רישיונות לאפליקציות
אדמינים ב-IT יכולים לראות ולנהל רישיונות לאפליקציות שנרכשו ב-Google Play המנוהל מתוך המסוף של EMM.
3.11.1. באפליקציות בתשלום שאושרו לארגון, המסוף של EMM צריך להציג:
- מספר הרישיונות שנרכשו.
- מספר הרישיונות שנצרכו והמשתמשים שצורכים את הרישיונות.
- מספר הרישיונות שזמינים להפצה.
3.11.2. אדמינים ב-IT יכולים להקצות רישיונות למשתמשים בשקט בלי לחייב התקנה של האפליקציה במכשירים של המשתמשים.
3.11.3. אדמינים ב-IT יכולים לבטל הקצאה של רישיון לאפליקציה למשתמש.
3.12. ניהול אפליקציות פרטיות שמתארחות ב-Google
אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. אדמינים ב-IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, ה-EMM עוזר לאדמינים של IT לארח חבילות APK בעצמם, ומגן על אפליקציות שמתארחות בעצמן על ידי אימות האפשרות להתקין אותן רק באישור של Google Play מנוהל.
אדמינים של IT יכולים לעבור אל תמיכה באפליקציות פרטיות לפרטים נוספים.
3.13.1. המסוף של ה-EMM צריך לעזור לאדמינים של IT לארח את קובץ ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת של מערכת ה-EMM. השרת יכול להיות מקומי בארגון או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של EMM, לפי שיקול דעתו של אדמין ה-IT. אדמין ה-IT צריך לציין במסוף ה-EMM איפה מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות באופן עצמאי, ומסוף ה-EMM יכול לפרסם בשקט קובצי הגדרת APK מעודכנים באמצעות Google Play Developer Publishing API.
3.13.4. השרת של ה-EMM משרת רק בקשות להורדה של קובץ ה-APK שמתארח באופן עצמאי ומכיל JWT תקין בקובץ ה-Cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי להקל על התהליך הזה, השרת של ה-EMM צריך להנחות את האדמינים של ה-IT להוריד את המפתח הציבורי של הרישיון של האפליקציה המתארחת בעצמה מ-Google Play Console, ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות EMM pull
במקום לשלוח שאילתות ל-Play באופן תקופתי כדי לזהות אירועים קודמים כמו עדכון של אפליקציה שמכיל הרשאות חדשות או תצורות מנוהלות, התראות מסוג EMM pull מודיעות למערכות EMM באופן יזום על אירועים כאלה בזמן אמת. כך מערכות EMM יכולות לבצע פעולות אוטומטיות ולספק התראות אדמיניסטרטיביות מותאמות אישית על סמך האירועים האלה.
3.14.1. הפתרון לניהול ניידות בארגון צריך להשתמש בהתראות של EMM ב-Play כדי לשלוף קבוצות של התראות.
3.14.2. פתרון ה-EMM צריך לשלוח באופן אוטומטי התראה לאדמין ב-IT (לדוגמה, באמצעות אימייל אוטומטי) על אירועי ההתראה הבאים:
-
newPermissionEvent: נדרש מאדמין IT לאשר הרשאות חדשות לאפליקציה לפני שאפשר להתקין או לעדכן את האפליקציה בשקט במכשירים של המשתמשים. -
appRestrictionsSchemaChangeEvent: יכול להיות שיהיה צורך שאדמין IT יעודכן את ההגדרה המנוהלת של אפליקציה כדי לשמור על היעילות הרצויה. -
appUpdateEvent: יכול להיות שיעניין את מנהלי ה-IT שרוצים לוודא שעדכון האפליקציה לא משפיע על הביצועים של תהליך העבודה המרכזי. productAvailabilityChangeEvent: יכול להיות שתהיה השפעה על היכולת להתקין את האפליקציה או לקבל עדכונים לאפליקציה.-
installFailureEvent: ל-Play אין אפשרות להתקין אפליקציה במכשיר באופן שקט, מה שמצביע על כך שיכול להיות שיש משהו בהגדרת המכשיר שמונע את ההתקנה. מערכות EMM לא צריכות לנסות שוב התקנה שקטה מיד אחרי קבלת ההתראה הזו, כי לוגיקת הניסיון החוזר של Play כבר נכשלה.
3.14.3. מערכת ה-EMM מבצעת באופן אוטומטי פעולות מתאימות על סמך אירועי ההתראות הבאים:
-
newDeviceEvent: במהלך הקצאת הרשאות למכשיר, מערכות EMM צריכות להמתין ל-newDeviceEventלפני ביצוע קריאות נוספות ל-Play EMM API עבור המכשיר החדש, כולל התקנות שקטות של אפליקציות והגדרת תצורות מנוהלות. -
productApprovalEvent: כשמתקבלת הודעה עלproductApprovalEventעדכון, מערכת ה-EMM חייבת לעדכן באופן אוטומטי את רשימת האפליקציות שאושרו ויובאו למסוף ה-EMM להפצה למכשירים, אם יש סשן פעיל של אדמין IT, או אם רשימת האפליקציות שאושרו לא נטענת מחדש באופן אוטומטי בתחילת כל סשן של אדמין IT.
3.15. דרישות לשימוש ב-API
פתרון ה-EMM מטמיע את ממשקי ה-API של Google בהיקף נרחב, וכך נמנעים דפוסי תנועה שעלולים לפגוע ביכולת של אדמינים ב-IT לנהל אפליקציות בסביבות ייצור.
3.15.1. מערכת ה-EMM צריכה לפעול בהתאם למגבלות השימוש ב-Play EMM API. אם לא תתקנו את ההתנהגות שחורגת מההנחיות האלה, Google עשויה להשעות את השימוש ב-API, לפי שיקול דעתה.
3.15.2. פתרון ה-EMM צריך לפזר את התנועה מארגונים שונים במהלך היום, במקום לרכז את התנועה מארגונים בזמנים ספציפיים או דומים. התנהגות שתואמת לדפוס התנועה הזה, כמו פעולות מתוזמנות של אצווה לכל מכשיר רשום, עלולה להוביל להשעיית השימוש ב-API, לפי שיקול הדעת של Google.
3.15.3. מערכת ה-EMM לא צריכה לשלוח בקשות עקביות, לא מלאות או שגויות בכוונה, בלי לנסות לאחזר או לנהל נתונים עסקיים בפועל. התנהגות שתואמת לדפוס התנועה הזה עלולה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
| |
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות התצורה המנוהלות (עד ארבע רמות של קינון) של כל אפליקציה ב-Play, באמצעות:
- ה-iFrame של Google Play לארגונים , או
- ממשק משתמש בהתאמה אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שמוחזר על ידי ערוץ המשוב של האפליקציה, כשהוא מוגדר על ידי אדמין IT.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שממנו הוא נשלח.
- המסוף של מערכת ה-EMM צריך לאפשר לאדמינים ב-IT להירשם לקבלת התראות או דוחות על סוגים ספציפיים של הודעות (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM צריך לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש מותאם אישית.
3.17. ניהול אפליקציות אינטרנט
אדמינים של IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף EMM.
3.17.1. אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבונות Google Play מנוהלים
| |
מערכת ה-EMM יכולה ליצור, לעדכן ולמחוק חשבונות Google Play לארגונים בשם אדמינים של IT.
3.18.1. פתרונות EMM יכולים לנהל את מחזור החיים של חשבון Google Play מנוהל בהתאם להנחיות ההטמעה שמוגדרות בתיעוד למפתחים של Play EMM API.
3.18.2. פתרונות EMM יכולים לבצע אימות מחדש של חשבונות Google מנוהלים ב-Google Play בלי שהמשתמשים יצטרכו לבצע פעולה כלשהי.
3.19. ניהול של קהל יעד מצומצם של אפליקציה
| |
3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי מעקב שהוגדרו על ידי מפתח עבור אפליקציה מסוימת.
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים לשימוש במסלול פיתוח מסוים עבור אפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
| |
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשהעדכון מוכן.
3.20.2. אדמינים של IT יכולים לאפשר לאפליקציות לדחות את העדכונים שלהן למשך 90 ימים.
3.21. ניהול שיטות הקצאת הרשאות
הפתרון לניהול ניידות בארגון יכול ליצור הגדרות הקצאת הרשאות ולהציג אותן לאדמין ה-IT בטופס שמוכן להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה בהרשמה דרך הארגון, כתובת URL בחנות Play).
3.22. שדרוג הקישור ל-Enterprise
אדמינים ב-IT יכולים לשדרג את סוג הקישור לארגון לדומיין מנוהל ב-Google לארגון, וכך לאפשר לארגון לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.
3.22.1. מסוף ה-EMM מאפשר לאדמין ה-IT להפעיל את השדרוג של קבוצת חשבונות קיימת של Google Play לארגונים לדומיין מנוהל ב-Google לארגונים באמצעות ממשקי ה-API הנדרשים.
3.22.2. פלטפורמות EMM צריכות להשתמש ב-Pub/Sub כדי לקבל התראות על אירועי שדרוג שיזמו אדמינים של IT (גם כאלה שמתרחשים מחוץ למסוף ה-EMM) ולעדכן את ממשק המשתמש שלהן בהתאם לשינויים האלה.
3.23. הקצאת חשבונות Google מנוהלים
מערכת ה-EMM יכולה להקצות למכשיר חשבונות משתמשים ארגוניים, שנקראים חשבונות Google מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללים להפצת אפליקציות וגישה לשירותי Google. אדמינים ב-IT יכולים גם להגדיר מדיניות שמחייבת אימות של חשבון Google מנוהל במהלך ההרשמה או אחריה.
3.23.1. ה-DPC של ה-EMM יכול להקצות חשבון Google מנוהל בהתאם להנחיות ההטמעה המוגדרות.
במהלך הפעולה:
- חשבון Google מנוהל נוסף למכשיר.
- צריך להיות מיפוי של אחד לאחד בין חשבון Google המנוהל לבין משתמשים בפועל במסוף של מערכת ה-EMM.
3.23.2. אדמין ה-IT יכול להשתמש במדיניות כדי לספק למשתמשים את האפשרות להיכנס לחשבון Google מנוהל לצורך הרשמה.
3.23.3. אדמין ה-IT יכול להשתמש במדיניות כדי לקבוע אם המשתמש יידרש להיכנס לחשבון Google מנוהל כדי להשלים את ההרשמה.
3.23.4. אדמינים ב-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.
3.24. שדרוג חשבון Google Play לארגונים
אדמינים ב-IT יכולים לשדרג את סוג חשבון המשתמש לחשבון Google מנוהל, ובכך לאפשר למכשיר לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.
3.24.1. אדמינים ב-IT יכולים לשדרג חשבון Google Play לארגונים שקיים במכשיר לחשבון Google מנוהל.
3.24.2. אדמינים ב-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.
4. ניהול מכשירים
4.1. ניהול מדיניות ההרשאות בזמן ריצה
| |
אדמינים ב-IT יכולים להגדיר תשובה שתינתן כברירת מחדל לבקשות גישה שאפליקציות ששייכות לעבודה שולחות בתחילת ההפעלה, בלי שהמשתמשים יצטרכו לאשר אותן.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות מוגדרת כברירת מחדל בזמן ריצה לארגון שלהם:
- הודעה (המשתמשים יכולים לבחור)
- לאפשר
- דחייה
מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.2. ניהול מצב של מתן הרשאה בזמן ריצה
| |
אחרי שמגדירים מדיניות ברירת מחדל של הרשאות בזמן ריצה (עוברים לשלב 4.1), אדמינים ב-IT יכולים להגדיר תשובות להרשאות ספציפיות באופן שקט מכל אפליקציה לעבודה שמבוססת על API ברמה 23 ומעלה.
4.2.1. אדמינים של IT צריכים להיות מסוגלים להגדיר את מצב ההרשאה (ברירת מחדל, אישור או דחייה) של כל הרשאה שמבוקשת על ידי כל אפליקציה לעבודה שמבוססת על API מגרסה 23 ואילך. ה-EMM צריך לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.3. ניהול הגדרות Wi-Fi
| |
אדמינים של IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות בקר ה-DPC של ה-EMM.
4.3.2. סיסמה, באמצעות בקר DPC של EMM.
4.4. ניהול אבטחת Wi-Fi
| |
אדמינים ב-IT יכולים להקצות הגדרות Wi-Fi לארגון במכשירים מנוהלים, כולל תכונות האבטחה המתקדמות הבאות:
4.4.1. זהות, באמצעות בקר DPC של EMM.
4.4.2. אישור להרשאת לקוחות, באמצעות DPC של EMM .
4.4.3. אישורי CA, באמצעות DPC של EMM.
4.5. ניהול מתקדם של Wi-Fi
| |
אדמינים של IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שסופקו על ידי מערכת ה-EMM, אבל הם יכולים להוסיף ולשנות רשתות שניתנות להגדרה על ידי המשתמש (לדוגמה, רשתות אישיות).
- המשתמשים לא יכולים להוסיף או לשנות רשת Wi-Fi במכשיר, ולכן הם יכולים להתחבר רק לרשתות שהוקצו על ידי מערכת ה-EMM.
4.6. ניהול חשבון
| |
אדמינים ב-IT יכולים לוודא שחשבונות ארגוניים לא מורשים לא יכולים ליצור אינטראקציה עם נתונים ארגוניים, בשירותים כמו אחסון SaaS ואפליקציות פרודוקטיביות, או באימייל. בלי התכונה הזו, אפשר להוסיף חשבונות לשימוש אישי לאפליקציות הארגוניות האלה שתומכות גם בחשבונות לצרכן, וכך לאפשר להם לשתף נתונים ארגוניים עם החשבונות לשימוש אישי האלה.
4.6.1. אדמינים ב-IT יכולים למנוע הוספה או שינוי של חשבונות.
- כשמחילים את המדיניות הזו על מכשיר, פתרונות EMM צריכים להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שאי אפשר לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות נכנסת לתוקף.
4.7. ניהול חשבון Workspace
התכונה הזו יצאה משימוש. כאן מפורטות הדרישות להחלפה.
4.8. ניהול אישורים
| |
מאפשר לאדמינים ב-IT לפרוס אישורי זהות ורשויות אישורים במכשירים כדי לאפשר גישה למשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורים של זהויות משתמשים שנוצרו על ידי ה-PKI שלהם על בסיס כל משתמש. המסוף של מערכת ה-EMM צריך להיות משולב עם לפחות PKI אחד, ולחלק אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים במאגר המפתחות המנוהל.
4.9. ניהול מתקדם של אישורים
| |
מאפשר לאדמינים ב-IT לבחור בשקט את האישורים שאפליקציות מנוהלות ספציפיות צריכות להשתמש בהם. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות אישורים ואישורי זהות ממכשירים פעילים. התכונה הזו מונעת ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. אדמינים של IT יכולים לציין אישור לכל אפליקציה שמופצת למכשירים, כדי להעניק לאפליקציה גישה בשקט במהלך זמן הריצה.
- בחירת האישור צריכה להיות כללית מספיק כדי לאפשר הגדרה יחידה שתחול על כל המשתמשים, שלכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים בשקט מחנות המפתחות המנוהלת.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA או את כל אישורי ה-CA שאינם של המערכת באופן שקט.
4.9.4. אדמינים ב-IT יכולים למנוע מהמשתמשים להגדיר פרטי כניסה במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להעניק מראש אישורים לאפליקציות של העבודה.
4.10. ניהול אישורים שהועברו לו סמכויות
| |
אדמינים ב-IT יכולים להפיץ אפליקציה לניהול אישורים של צד שלישי למכשירים ולהעניק לאפליקציה הזו גישת הרשאה להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ממחלקת IT מציינים חבילה לניהול אישורים כדי להגדיר אותה כאפליקציה לניהול אישורים עם הרשאת גישה על ידי DPC.
- המסוף יכול להציע חבילות ידועות לניהול אישורים, אבל הוא חייב לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.11. ניהול מתקדם של VPN
| |
מאפשר לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי לוודא שהנתונים מאפליקציות מנוהלות שצוינו תמיד יעברו דרך VPN שהוגדר.
4.11.1. אדמינים של IT יכולים להגדיר חבילת VPN שרירותית כ-VPN בחיבור תמידי.
- מסוף ה-EMM יכול להציע חבילות VPN מוכרות שתומכות ב-VPN פועל כל הזמן, אבל הוא לא יכול להגביל את שרתי ה-VPN שזמינים להגדרה של VPN פועל כל הזמן לרשימה שרירותית כלשהי.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
| |
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מכיוון ש-IME משותף גם לפרופיל העבודה וגם לפרופיל האישי, חסימת השימוש ב-IME תמנע את השימוש ב-IME גם לשימוש אישי. עם זאת, אדמינים ב-IT לא יכולים לחסום מערכות IME בפרופילים של עבודה (פרטים נוספים זמינים במאמר בנושא ניהול מתקדם של IME).
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים ל-IME באורך שרירותי (כולל רשימה ריקה, שחוסמת ממשקי IME שאינם של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- יכול להיות שבמסוף של ה-EMM יוצעו לכם מקלדות וירטואליות מוכרות או מומלצות כדי לכלול אותן ברשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.12.2. מערכת ה-EMM צריכה להודיע לאדמינים של ה-IT שמערכות IME של המערכת לא נכללות בניהול במכשירים עם פרופילי עבודה.
4.13. ניהול מתקדם של IME
| |
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. ניהול מתקדם של IME הוא הרחבה של התכונה הבסיסית, והוא מאפשר לאדמינים בתחום ה-IT לנהל גם את השימוש ב-IME של המערכת, שבדרך כלל מסופק על ידי יצרן המכשיר או הספק של המכשיר.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל IME של המערכת), שיכולה להכיל כל חבילות IME שרירותיות.
- יכול להיות שבמסוף של ה-EMM יוצעו לכם מקלדות וירטואליות מוכרות או מומלצות כדי לכלול אותן ברשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.13.2. מערכות EMM צריכות למנוע מאדמינים של IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום את כל שיטות הקלט, כולל שיטות קלט של המערכת, כך שלא ניתן יהיה להגדיר אותן במכשיר.
4.13.3. פתרונות EMM צריכים לוודא שאם רשימת ההיתרים של ה-IME לא מכילה IME של המערכת, ה-IME של צד שלישי מותקן בשקט לפני שרשימת ההיתרים מוחלת על המכשיר.
4.14. ניהול שירותי נגישות
| |
אדמינים של IT יכולים לנהל את שירותי הנגישות שאפשר לאשר במכשירי המשתמשים. שירותי נגישות הם כלים יעילים למשתמשים עם מוגבלויות או למשתמשים שלא יכולים באופן זמני לקיים אינטראקציה מלאה עם המכשיר שלהם, אבל הם עשויים לקיים אינטראקציה עם נתונים ארגוניים באופן שלא עומד בדרישות המדיניות הארגונית. התכונה הזו מאפשרת לאדמינים בתחום ה-IT להשבית כל שירות נגישות שאינו שירות מערכת.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילה שרירותית של שירותי נגישות. כשמחילים את ההגדרה הזו על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- יכול להיות שהמסוף יציע שירותי נגישות מוכרים או מומלצים להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.15. ניהול של שיתוף המיקום
| |
אדמינים של IT יכולים למנוע מהמשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום לפרופילים של עבודה בהגדרות.
4.15.1. אדמינים של IT יכולים להשבית את שירותי המיקום בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
| |
אדמינים ב-IT יכולים לאכוף הגדרה מסוימת של שיתוף המיקום במכשיר מנוהל. התכונה הזו יכולה לוודא שלאפליקציות ארגוניות תמיד תהיה גישה לנתוני מיקום ברמת דיוק גבוהה. התכונה הזו יכולה גם לוודא שלא תהיה צריכת סוללה מיותרת, על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שסופק על ידי הרשת.
- חיסכון בסוללה, שמגביל את תדירות העדכון.
- כבוי.
4.17. ניהול הגנה מפני איפוס להגדרות המקוריות
| |
מאפשר לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי הבטחה שמשתמשים לא מורשים לא יוכלו לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבויות תפעוליות כשמכשירים מוחזרים ל-IT, אדמינים ב-IT יכולים גם להשבית את ההגנה מפני איפוס להגדרות המקוריות לחלוטין.
4.17.1. אדמינים ב-IT יכולים למנוע מהמשתמשים לאפס את המכשיר להגדרות המקוריות דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים להגדיר חשבונות ארגוניים לביטול הנעילה שמורשים להקצות מכשירים אחרי איפוס להגדרות היצרן.
- אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו בכל הארגון כדי לבטל את הנעילה של מכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות במכשירים ספציפיים.
4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של המכשיר, ובאופן אופציונלי למחוק את נתוני ההגנה מפני איפוס, וכך להסיר את ההגנה מפני איפוס במכשיר שאופס.
4.18. בקרה מתקדמת על אפליקציות
| |
אדמינים ב-IT יכולים למנוע מהמשתמש להסיר אפליקציות מנוהלות או לשנות אותן בדרכים אחרות דרך ההגדרות. לדוגמה, הם יכולים לסגור את האפליקציה בכוח או לנקות את מטמון הנתונים של האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את ההסרה של אפליקציות מנוהלות שרירותיות, או של כל האפליקציות המנוהלות.
4.18.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות נתוני אפליקציות דרך ההגדרות.
4.19. ניהול צילומי מסך
| |
אדמינים ב-IT יכולים לחסום משתמשים מלצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות צילום המסך של המערכת.
4.19.1. אדמינים ב-IT יכולים למנוע מהמשתמשים לצלם צילומי מסך .
4.20. השבת מצלמות
| |
אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשיר באפליקציות מנוהלות.
4.20.1. אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשירים באפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של הרשת
| |
אדמינים של IT יכולים לשלוח שאילתות לגבי נתונים סטטיסטיים של השימוש ברשת מפרופיל העבודה של מכשיר. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש שמשותפים עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות בפרופיל העבודה.
4.21.1. אדמינים של IT יכולים לשאול שאילתות לגבי סיכום נתוני הרשת של פרופיל עבודה במכשיר נתון ובחלון זמן שניתן להגדרה, ולראות את הפרטים האלה במסוף ה-EMM.
4.21.2. אדמינים ב-IT יכולים להריץ שאילתה על סיכום של אפליקציה בסטטיסטיקות של השימוש ברשת בפרופיל העבודה, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף של EMM.
4.21.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של השימוש ברשת בפרופיל עבודה במכשיר נתון ובחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף ה-EMM.
4.22. איסוף מתקדם של נתונים סטטיסטיים על הרשת
| |
אדמינים ב-IT יכולים לשלוח שאילתות לגבי סטטיסטיקות של שימוש ברשת עבור מכשיר מנוהל שלם. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש שמשותפים עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות במכשיר.
4.22.1. אדמינים של IT יכולים להריץ שאילתה על סיכום נתוני הרשת של מכשיר שלם, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה במסוף של EMM.
4.22.2. אדמינים ב-IT יכולים לשאול שאילתה לגבי סיכום של נתוני השימוש ברשת של האפליקציה, עבור מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף של ה-EMM.
4.22.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של השימוש ברשת, לגבי מכשיר מסוים ולגבי חלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי UID במסוף ה-EMM.
4.23. הפעלת המכשיר מחדש
| |
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים של IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו המערכת
| |
מאפשר לאדמינים של IT לנהל בצורה מפורטת את מכשירי הרדיו של רשת המערכת ואת מדיניות השימוש המשויכת.
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירותים (לדוגמה, התרעות AMBER).
4.24.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות .
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את הגדרות הרשת בהגדרות .
4.24.4. אדמינים ב-IT יכולים לאפשר או לחסום נדידה של נתונים סלולריים .
4.24.5. אדמינים ב-IT יכולים להגדיר אם אפשר להוציא שיחות טלפון מהמכשיר, לא כולל שיחות חירום.
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יכול לשלוח ולקבל הודעות טקסט .
4.24.7. אדמינים של IT יכולים למנוע מהמשתמשים להשתמש במכשיר שלהם כנקודה ניידת לשיתוף אינטרנט (Hotspot) באמצעות שיתוף אינטרנט (Tethering).
4.24.8. אדמינים ב-IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi לברירת המחדל, רק כשהמכשיר מחובר לחשמל או אף פעם.
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר חיבורי Bluetooth או לשנות חיבורים קיימים .
4.25. ניהול אודיו במערכת
| |
אדמינים ב-IT יכולים לנהל בשקט את תכונות האודיו במכשיר, כולל השתקת המכשיר, מניעת שינוי הגדרות עוצמת הקול ומניעת ביטול ההשתקה של המיקרופון במכשיר.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים בלי שהמשתמשים ידעו על כך.
4.25.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את הגדרות עוצמת הקול במכשיר.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים להפסיק את ההשתקה של המיקרופון במכשיר.
4.26. ניהול שעון המערכת
| |
אדמינים ב-IT יכולים לנהל את השעון של המכשיר ואת ההגדרות של אזור הזמן, ולמנוע מהמשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את ההגדרה של זמן אוטומטי במערכת, ולמנוע מהמשתמשים להגדיר את התאריך והשעה במכשיר.
4.26.2. אדמינים ב-IT יכולים להשבית או להפעיל את השעה האוטומטית ואת אזור הזמן האוטומטי בלי שהמשתמשים ידעו על כך.
4.27. תכונות מתקדמות במכשירים ייעודיים
| |
מאפשר לאדמינים ב-IT לנהל תכונות ספציפיות יותר במכשירים ייעודיים כדי לתמוך בתרחישים שונים לשימוש במצב קיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מסך הנעילה של המכשיר.
4.27.2. מנהלי IT יכולים להשבית את סרגל הסטטוס של המכשיר, לחסום התראות והגדרות מהירות.
4.27.3. אדמינים ב-IT יכולים להשאיר את המסך של המכשיר דולק בזמן שהמכשיר מחובר לחשמל.
4.27.4. אדמינים של IT יכולים למנוע את הצגת ממשקי המשתמש של המערכת הבאים:
- הודעות קופצות
- שכבות-על של אפליקציות.
4.27.5. אדמינים ב-IT יכולים לאפשר להמלצות המערכת לאפליקציות לדלג על הדרכות למשתמשים ועל רמזים אחרים להכרת האפליקציה בהפעלה הראשונה.
4.28. ניהול היקף ההרשאות שהועברו
| |
אדמינים של IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- השארת תאים ריקים בכוונה
- רישום התנועה ברשת
- רישום ביומן של פעולות אבטחה (לא נתמך בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה בנושא מזהה ספציפי להרשמה
| |
החל מ-Android 12, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות מזהה ספציפי לרישום, שיישמר גם אחרי איפוס להגדרות היצרן.
4.29.1. אדמינים ב-IT יכולים להגדיר ולקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי הזה לרישום צריך להישמר גם אחרי איפוס להגדרות המקוריות
4.30. מדיניות Credential Manager
| |
אדמינים ב-IT יכולים לנהל את האפליקציות של מנהל פרטי הכניסה שמותרות או חסומות באמצעות מדיניות.
4.30.1 אדמינים של IT יכולים לחסום את כל מנהלי האישורים במכשיר (או בפרופיל העבודה).
4.30.2 אדמינים בתחום ה-IT יכולים לציין שרק מנהלי אישורים שנטענו מראש (אפליקציות מערכת) יורשו לפעול.
4.30.3 אדמינים בתחום ה-IT יכולים לציין רשימה של שמות חבילות שמותר להן להציע פונקציונליות של מנהל אישורים.
4.31. ניהול בסיסי של eSIM
| |
מאפשר למנהלי IT להקצות למכשיר פרופיל eSIM ולנהל את מחזור החיים שלו במכשיר.
4.31.1 אדמינים של IT יכולים להקצות פרופיל eSIM למכשיר ללא התערבות המשתמש.
4.31.2 אדמינים של IT יכולים למחוק כרטיסי eSIM מנוהלים ממכשיר.
4.31.3 אדמינים של IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (עוברים אל mobileNetworksConfigDisabled).
4.31.4 כשמנהל IT מבצע מחיקה מרחוק של מכשיר או פרופיל עבודה, יש לו אפשרות גם להסיר מהמכשיר את כרטיסי ה-eSIM המנוהלים. כברירת מחדל, כרטיסי eSIM מנוהלים מוסרים מפרופילי עבודה במכשירים בבעלות אישית, אבל נשמרים במכשירים בבעלות החברה.
4.31.5 (אופציונלי) אדמינים של IT יכולים לאחזר את מזהה ה-EID (מסמך זהות מוטמע) של מכשיר באמצעות ממשק המשתמש של מסוף ה-EMM (או שיטה מקבילה) ולייצא את הערכים האלה.
5. נוחות השימוש במכשיר
5.1. התאמה אישית של הקצאת הרשאות מנוהלת
| |
אדמינים ב-IT יכולים לשנות את ברירת המחדל של תהליך ההגדרה של חוויית המשתמש כדי לכלול תכונות ספציפיות לארגון. אופציונלית, אדמינים של IT יכולים להציג מיתוג שסופק על ידי EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך הקצאת ההרשאות על ידי ציון הפרטים הבאים שספציפיים לארגון: צבע הארגון, לוגו הארגון, תנאים והגבלות של הארגון והצהרות אחריות אחרות.
5.1.2. אדמינים ב-IT יכולים לפרוס התאמה אישית שלא ניתן להגדיר, ספציפית ל-EMM, שכוללת את הפרטים הבאים: צבע EMM, לוגו EMM, תנאים והגבלות של EMM והצהרות אחריות אחרות.
5.1.3 [primaryColor] הוצא משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
- פתרונות EMM צריכים לכלול את התנאים וההגבלות של הקצאת ההרשאות והצהרות אחריות אחרות לתהליך הקצאת ההרשאות שלהם בחבילת הצהרות האחריות של הקצאת ההרשאות במערכת, גם אם לא נעשה שימוש בהתאמה אישית ספציפית ל-EMM.
- יכול להיות שפתרונות EMM יגדירו את ההתאמה האישית שלהם, שאי אפשר לשנות אותה ושספציפית ל-EMM, כברירת מחדל לכל הפריסות, אבל הם חייבים לאפשר לאדמינים של IT להגדיר התאמה אישית משלהם.
5.2. התאמה אישית של חשבון Enterprise
| |
אדמינים של IT יכולים להתאים אישית היבטים של פרופיל העבודה באמצעות מיתוג ארגוני. לדוגמה, אדמינים של IT יכולים להגדיר את סמל המשתמש בפרופיל העבודה ללוגו של החברה. דוגמה נוספת היא הגדרת צבע הרקע של האתגר בעבודה.
5.2.1. אדמינים ב-IT יכולים להגדיר את צבע הארגון, שישמש כצבע הרקע של האתגרים שקשורים לעבודה.
5.2.2. אדמינים של IT יכולים להגדיר את השם המוצג של פרופיל העבודה .
5.2.3. אדמינים של IT יכולים להגדיר את סמל המשתמש של פרופיל העבודה .
5.2.4. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את סמל המשתמש בפרופיל העבודה.
5.3. התאמה אישית מתקדמת לארגונים
| |
אדמינים ב-IT יכולים להתאים אישית מכשירים מנוהלים באמצעות מיתוג ארגוני. לדוגמה, אדמינים ב-IT יכולים להגדיר את הסמל של המשתמש הראשי ללוגו של החברה, או להגדיר את טפט המכשיר.
5.3.1. אדמינים של IT יכולים להגדיר את השם המוצג של המכשיר המנוהל .
5.3.2. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של המכשיר המנוהל .
5.3.3. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את סמל המשתמש במכשיר .
5.3.4. אדמינים ב-IT יכולים להגדיר את הטפט של המכשיר .
5.3.5. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את הטפט במכשיר .
5.4. הודעות במסך הנעילה
| |
אדמינים של IT יכולים להגדיר הודעה מותאמת אישית שתמיד מוצגת במסך הנעילה של המכשיר, ולא נדרשת ביטול נעילה של המכשיר כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך הנעילה.
5.5. ניהול השקיפות של המדיניות
| |
אדמינים ב-IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם משנים הגדרות מנוהלות במכשיר שלהם, או לפרוס הודעת תמיכה כללית שסופקה על ידי EMM. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות. ההודעות האלה מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שהסרת ההתקנה שלה כבר נחסמה על ידי אדמין IT.
5.5.1. אדמינים ב-IT יכולים להתאים אישית את הודעות התמיכה הקצרות והארוכות.
5.5.2 אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות ספציפיות ל-EMM שלא ניתן להגדיר.
- יכול להיות ש-EMM יגדיר את הודעות התמיכה הספציפיות שלו שאי אפשר לשנות כברירת מחדל לכל הפריסות, אבל הוא חייב לאפשר לאדמינים של IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר בפרופילים שונים
| |
אדמינים ב-IT יכולים לקבוע אילו נתוני אנשי קשר יכולים לצאת מפרופיל העבודה. אפליקציות טלפוניה ואפליקציות להודעות (SMS) צריכות לפעול בפרופיל האישי, וצריכות גישה לנתוני אנשי הקשר בפרופיל העבודה כדי לספק יעילות לאנשי קשר בעבודה, אבל האדמינים יכולים להשבית את התכונות האלה כדי להגן על נתוני העבודה.
5.6.1. אדמינים של IT יכולים להשבית את החיפוש של אנשי קשר בין פרופילים באפליקציות לשימוש אישי שמשתמשות בספק של אנשי הקשר במערכת.
5.6.2. אדמינים של IT יכולים להשבית את החיפוש של מזהה המתקשר בפרופילים שונים באפליקציות אישיות לחיוג שמשתמשות בספק אנשי הקשר של המערכת.
5.6.3. אדמינים של IT יכולים להשבית שיתוף של אנשי קשר באמצעות Bluetooth עם מכשירי Bluetooth שמשתמשים בספק של אנשי הקשר במערכת, למשל שיחות בדיבורית ברכב או אוזניות.
5.7. ניהול נתונים בכמה פרופילים
| |
מאפשר לאדמינים ב-IT לנהל את הנתונים שיכולים לצאת מפרופיל העבודה, מעבר לתכונות האבטחה שמוגדרות כברירת מחדל בפרופיל העבודה. התכונה הזו מאפשרת לאדמינים בתחום ה-IT לאפשר שיתוף של סוגים נבחרים של נתונים בין פרופילים, כדי לשפר את נוחות השימוש בתרחישי שימוש מרכזיים. אדמינים ב-IT יכולים גם להגן על נתוני החברה באמצעות נעילות נוספות.
5.7.1. אדמינים של IT יכולים להגדיר מסנני כוונות בין פרופילים כדי שאפליקציות לשימוש אישי יוכלו לפתור כוונות מפרופיל העבודה, כמו כוונות שיתוף או קישורי אינטרנט.
- יכול להיות שהמסוף יציע מסנני Intent מוכרים או מומלצים להגדרה, אבל הוא לא יכול להגביל את מסנני ה-Intent לרשימה שרירותית כלשהי.
5.7.2. אדמינים של IT יכולים לאפשר לאפליקציות מנוהלות להציג ווידג'טים במסך הבית.
- מסוף ה-EMM צריך לספק לאדמינים ב-IT את האפשרות לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.7.3. אדמינים ממחלקת IT יכולים לחסום את השימוש בהעתקה/הדבקה בין פרופיל העבודה לפרופיל האישי.
5.7.4. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מפרופיל העבודה באמצעות העברת נתונים ב-NFC.
5.7.5. אדמינים של IT יכולים לאפשר לאפליקציות לשימוש אישי לפתוח קישורי אינטרנט מפרופיל העבודה.
5.8. מדיניות עדכוני מערכת
| |
אדמינים ב-IT יכולים להגדיר וליישם עדכוני מערכת OTA (Over-the-Air) למכשירים.
5.8.1. מסוף ה-EMM מאפשר לאדמינים בתחום ה-IT להגדיר את ההגדרות הבאות של OTA:
- אוטומטי: המכשירים מתקינים עדכוני OTA כשהם זמינים.
- דחייה: אדמינים ב-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
- חלון: אדמינים של IT צריכים להיות מסוגלים לתזמן עדכוני OTA במסגרת חלון תחזוקה יומי.
5.8.2. ה-DPC של ה-EMM מחיל הגדרות OTA על מכשירים.
5.9. ניהול מצב משימות נעולות
| |
אדמינים ב-IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, ולוודא שהמשתמשים לא יכולים לצאת מהאפליקציה.
5.9.1. המסוף של EMM מאפשר לאדמינים של IT לאפשר באופן שקט התקנה של קבוצה שרירותית של אפליקציות ולנעול אותן במכשיר. ה-DPC של ה-EMM מאפשר מצב מכשיר ייעודי.
5.10. ניהול מתמשך של פעילויות מועדפות
| |
מאפשר לאדמינים ב-IT להגדיר אפליקציה כרכיב handler שמוגדר כברירת מחדל לכוונות שתואמות למסנן כוונות מסוים. לדוגמה, לאפשר לאדמינים ב-IT לבחור איזו אפליקציית דפדפן תפתח אוטומטית קישורים לאתרים, או איזו אפליקציית מרכז אפליקציות תשמש כשמקישים על לחצן הבית.
5.10.1. אדמינים של IT יכולים להגדיר כל חבילה כ-handler של כוונות כברירת מחדל לכל מסנן כוונות שרירותי.
- יכול להיות שבמסוף של מערכת ה-EMM יוצעו לכם Intents מוכרים או מומלצים להגדרה, אבל אי אפשר להגביל את ה-Intents לרשימה שרירותית כלשהי.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול תכונות של Keyguard
| |
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות ללא צנזורה
5.11.2. ה-DPC של ה-EMM יכול להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של תכונות במסך הנעילה
| |
- מצלמה מאובטחת
- כל ההתראות
- התראות לא מצונזרות
- סביבות אמינות
- פתיחה בטביעת אצבע
- כל התכונות של מסך הנעילה
5.13. ניקוי באגים מרחוק
| |
אדמינים של IT יכולים לאחזר משאבי ניפוי באגים ממכשירים בלי לבצע שלבים נוספים.
5.13.1. אדמינים ב-IT יכולים לבקש מרחוק דוחות על באגים, לצפות בדוחות על באגים במסוף של EMM ולהוריד דוחות על באגים מהמסוף של EMM.
5.14. אחזור כתובת MAC
| |
מערכות EMM יכולות לאחזר את כתובת ה-MAC של המכשיר ללא ידיעת המשתמש. אפשר להשתמש בכתובת ה-MAC כדי לזהות מכשירים בחלקים אחרים של תשתית הארגון (לדוגמה, כשמזהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. מערכת ה-EMM יכולה לאחזר בשקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף של מערכת ה-EMM.
5.15. ניהול מתקדם של מצב משימות נעולות
| |
כשמגדירים מכשיר כמכשיר ייעודי, אדמינים של IT יכולים להשתמש במסוף ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. מאפשרת לאפליקציה אחת לנעול את המכשיר באמצעות DPC של EMM.
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש של המערכת באמצעות DPC של EMM :
- כפתור 'דף הבית'
- סקירה כללית
- פעולות גלובליות
- התראות
- פרטי המערכת / שורת המצב
- מגן מקלדת (מסך הנעילה)
5.15.3. משביתים את תיבות הדו-שיח של שגיאות המערכת באמצעות DPC של EMM.
5.16. מדיניות מתקדמת לעדכוני מערכת
| |
אדמינים ב-IT יכולים לחסום עדכוני מערכת במכשיר לתקופה מוגדרת.
5.16.1. ה-DPC של ה-EMM יכול להחיל עדכוני מערכת OTA (דרך האוויר) על מכשירים לתקופת הקפאה מוגדרת.
5.17. ניהול שקיפות של מדיניות פרופיל העבודה
| |
אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשמסירים את פרופיל העבודה מהמכשיר.
5.17.1. מנהלי IT יכולים לספק טקסט מותאם אישית שיוצג כשפרופיל העבודה יימחק.
5.18. תמיכה באפליקציות מקושרות
| |
אדמינים של IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות של פרופיל העבודה.
5.19. עדכוני מערכת ידניים
| |
אדמינים ב-IT יכולים להתקין עדכון מערכת באופן ידני על ידי ציון נתיב.
6. הוצאה משימוש של ניהול המכשיר
6.1. הוצאה משימוש של ניהול המכשיר
| |
ספקי EMM נדרשים לפרסם תוכנית עד סוף 2022 להפסקת תמיכת הלקוחות בניהול מכשירים במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
| |
כברירת מחדל, מכשירים חדשים חייבים להיות מנוהלים באמצעות Android Device Policy. יכול להיות שפתרונות EMM יספקו אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור הגדרות מתחת לכותרת 'מתקדם' או במונח דומה. לקוחות חדשים לא יכולים להיחשף לבחירה שרירותית בין חבילות טכנולוגיות במהלך תהליכי הצטרפות או הגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
| |
כברירת מחדל, מכשירים חייבים להיות מנוהלים באמצעות Android Device Policy לכל רישומי המכשירים החדשים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שפתרונות EMM יספקו אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או במונח דומה.