En esta página, se enumera el conjunto completo de funciones de Android Enterprise.
Si pretendes administrar más de 500 dispositivos, tu solución de EMM debe admitir todas las funciones estándar () de al menos un conjunto de soluciones antes de que pueda estar disponible comercialmente. Las soluciones de EMM que aprueban la verificación de funciones estándar se enumeran en el Directorio de soluciones empresariales de Android como una oferta de conjunto de administración estándar.
Hay un conjunto adicional de funciones avanzadas disponible para cada conjunto de soluciones. Estas funciones se indican en cada página del conjunto de soluciones: perfil de trabajo, dispositivo completamente administrado y dispositivo dedicado. Las soluciones de EMM que aprueban la verificación de funciones avanzadas se enumeran en el Directorio de soluciones empresariales de Android como una oferta de Conjunto de administración avanzada.
Nota: El uso de la API de Android Management está sujeto a la política de uso permitido.
Clave
| Función estándar de | función opcional | no aplicable |
1. Aprovisionamiento de dispositivos
1.1. Aprovisionamiento de perfiles de trabajo centrados en el DPC
Puedes aprovisionar un perfil de trabajo después de descargar el DPC de EMM desde Google Play.
1.1.1. El DPC de EMM debe estar disponible públicamente en Google Play para que los usuarios puedan instalar el DPC en el lado personal del dispositivo.
1.1.2. Una vez instalado, el DPC debe guiar al usuario en el proceso de aprovisionamiento de un perfil de trabajo.
1.1.3. Una vez que se complete el aprovisionamiento, no puede permanecer ningún administrador en el lado personal del dispositivo.
- Se deben quitar todas las políticas establecidas durante el aprovisionamiento.
- Se deben revocar los privilegios de la app.
- El DPC del EMM debe estar, como mínimo, desactivado en el lado personal del dispositivo.
1.2. Aprovisionamiento de dispositivos con identificador de DPC
Los administradores de TI pueden aprovisionar un dispositivo completamente administrado o dedicado mediante un identificador de DPC ("afw#"), según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de EMM de Play.
1.2.1. El DPC de EMM debe estar disponible públicamente en Google Play. El DPC debe poder instalarse desde el asistente de configuración del dispositivo ingresando un identificador específico del DPC.
1.2.2. Una vez instalado, el DPC de EMM debe guiar al usuario en el proceso de aprovisionar un dispositivo dedicado o completamente administrado.
1.3. Provisión de dispositivos NFC
Los administradores de TI pueden usar etiquetas NFC para aprovisionar dispositivos nuevos o que se restablezcan la configuración de fábrica según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de EMM de Play.
1.3.1. Los EMM deben usar etiquetas NFC de tipo 2 de foro con al menos 888 bytes de memoria. El aprovisionamiento debe usar elementos adicionales de aprovisionamiento para pasar detalles de registro no sensibles, como los ID de servidor y de inscripción, a un dispositivo. Los detalles de registro no deben incluir información sensible, como contraseñas o certificados.
1.3.2. Una vez que el DPC del EMM se establece como propietario del dispositivo, el DPC debe abrirse inmediatamente y bloquearse en la pantalla hasta que el dispositivo esté completamente aprovisionado.
1.3.3. Recomendamos el uso de etiquetas NFC para Android 10 y versiones posteriores, debido a que NFC Beam (también conocido como NFC Bump) dejó de estar disponible.
1.4. Aprovisionamiento de dispositivos con códigos QR
Los administradores de TI pueden usar un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica para escanear un código QR generado por la consola de EMM para aprovisionar el dispositivo, según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de EMM de Play.
1.4.1. El código QR debe usar elementos de aprovisionamiento adicionales para pasar detalles de registro no sensibles, como los IDs de servidor y los de inscripción, a un dispositivo. Los detalles de registro no deben incluir información sensible, como contraseñas o certificados.
1.4.2. Después de que el DPC del EMM configura el dispositivo, el DPC debe abrirse de inmediato y bloquearse en la pantalla hasta que el dispositivo esté completamente aprovisionado.
1.5. Inscripción automática
Los administradores de TI pueden configurar previamente los dispositivos que se compraron a revendedores autorizados y administrarlos con tu consola de EMM.
1.5.1. Los administradores de TI pueden aprovisionar dispositivos empresariales con el método de inscripción automática que se describe en Inscripción automática para administradores de TI.
1.5.2. Cuando se enciende un dispositivo por primera vez, se lo fuerza automáticamente a la configuración que definió el administrador de TI.
1.6. Aprovisionamiento avanzado de inscripción automática
Los administradores de TI pueden automatizar gran parte del proceso de inscripción de dispositivos implementando los detalles de registro del DPC a través de la inscripción automática. El DPC de EMM admite la limitación de la inscripción a cuentas o dominios específicos, según las opciones de configuración que ofrece EMM.
1.6.1. Los administradores de TI pueden aprovisionar un dispositivo empresarial con el método de inscripción automática que se describe en Inscripción automática para administradores de TI.
1.6.2. Después de que el DPC de EMM configura el dispositivo, el DPC de EMM debe abrirse de inmediato y bloquearse en la pantalla hasta que el dispositivo esté completamente aprovisionado.
- Este requisito no se aplica a los dispositivos que usan detalles del registro de la inscripción automática para aprovisionarse por completo de forma silenciosa (por ejemplo, en una implementación de dispositivo dedicada).
1.6.3. Con los detalles de registro, el DPC de EMM debe garantizar que los usuarios no autorizados no puedan continuar con la activación una vez que se invoque el DPC. Como mínimo, la activación debe limitarse a los usuarios de una empresa determinada.
1.6.4. Con los detalles de registro, el DPC de EMM debe permitir que los administradores de TI prepropaguen los detalles de registro (por ejemplo, los IDs de servidor de la instancia, los IDs de inscripción) además de la información única del usuario o dispositivo (por ejemplo, nombre de usuario/contraseña, token de activación), para que los usuarios no tengan que ingresar detalles al activar un dispositivo.
- Los EMM no deben incluir información sensible, como contraseñas o certificados, en la configuración de la inscripción automática.
1.7 Aprovisionamiento de perfiles de trabajo de la Cuenta de Google
Para las empresas que usan Workspace, esta función guía a los usuarios a través de la configuración de un perfil de trabajo después de ingresar sus credenciales corporativas de Workspace durante la configuración del dispositivo o en un dispositivo que ya está activado. En ambos casos, la identidad corporativa del lugar de trabajo se migrará al perfil de trabajo.
1.7.1. El método de aprovisionamiento de la Cuenta de Google aprovisiona un perfil de trabajo según los lineamientos de implementación definidos.
1.8 Provisión de dispositivos de la Cuenta de Google
Para las empresas que usan Workspace, esta función guía a los usuarios a través de la instalación del DPC de EMM después de que ingresan sus credenciales corporativas de Workspace durante la configuración inicial del dispositivo. Una vez instalado, el DPC completa la configuración de un dispositivo empresarial.
1.8.1. El método de aprovisionamiento de la Cuenta de Google aprovisiona un dispositivo empresarial, según los lineamientos de implementación definidos.
1.8.2. A menos que el EMM pueda identificar inequívocamente el dispositivo como un activo corporativo, no puede aprovisionar un dispositivo sin un mensaje durante el proceso de aprovisionamiento. Este mensaje debe realizar una acción no predeterminada, como marcar una casilla de verificación o seleccionar una opción de menú no predeterminada. Se recomienda que el EMM pueda identificar el dispositivo como un recurso corporativo, por lo que no es necesario enviar el mensaje.
1,9 Configuración directa de inscripción automática
Los administradores de TI pueden usar la consola de EMM para configurar dispositivos de inscripción automática con el iframe de inscripción automática.
1.10 Perfiles de trabajo en dispositivos de la empresa
Las EMM pueden inscribir dispositivos de la empresa que tengan un perfil de trabajo.
1.10.1 Los administradores de TI pueden aprovisionar un dispositivo como perfil de trabajo en un dispositivo empresarial mediante un código QR o la inscripción automática.
1.10.2 Los administradores de TI pueden establecer acciones de cumplimiento para los perfiles de trabajo en dispositivos empresariales.
1.10.3 Los administradores de TI pueden desactivar la cámara en el perfil de trabajo o en todo el dispositivo.
1.10.4 Los administradores de TI pueden desactivar la captura de pantalla en el perfil de trabajo o en un dispositivo completo.
1.10.5 Los administradores de TI pueden configurar una lista de entidades permitidas o bloqueadas de aplicaciones que pueden o no instalarse en el perfil personal.
1.10.6 Los administradores de TI pueden renunciar a la administración de un dispositivo empresarial quitando el perfil de trabajo o limpiando todo el dispositivo.
2. Seguridad del dispositivo
2.1. Desafío de seguridad del dispositivo
Los administradores de TI pueden establecer y aplicar un desafío de seguridad del dispositivo (PIN/patrón/contraseña) a partir de una selección predefinida de 3 niveles de complejidad en dispositivos administrados.
2.1.1. La política debe aplicar la configuración de administración de desafíos de seguridad del dispositivo (parentProfilePasswordRequirements para el perfil de trabajo, passwordRequirements para dispositivos completamente administrados y dedicados).
2.1.2. La complejidad de la contraseña debe generar las siguientes complejidades:
- PASSWORD_COMPLEXITY_LOW: patrón o pin con secuencias repetitivas (4444) u ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y contraseña alfabética o alfanumérica con 4 caracteres como mínimo
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetitivas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8 o contraseñas alfanuméricas o alfanuméricas de al menos 6.
2.2 Desafío de seguridad laboral
Los administradores de TI pueden establecer y aplicar un desafío de seguridad para apps y datos en el perfil de trabajo que sea independiente y tenga requisitos diferentes a los del desafío de seguridad del dispositivo (2.1.).
2.2.1. La política debe aplicar la comprobación de seguridad para el perfil de trabajo. De forma predeterminada, los administradores de TI deben establecer restricciones solo para el perfil de trabajo si no se especifica ningún permiso. Los administradores de TI pueden establecer este permiso en todo el dispositivo si especifican el alcance (consulta el requisito 2.1).
2.1.2. La complejidad de la contraseña debe generar las siguientes complejidades:
- PASSWORD_COMPLEXITY_LOW: patrón o pin con secuencias repetitivas (4444) u ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y contraseña alfabética o alfanumérica con 4 caracteres como mínimo
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetitivas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8 o contraseñas alfanuméricas o alfanuméricas de al menos 6.
2.3. Administración avanzada de contraseñas
2.3.1. [intencionalmente en blanco]
2.3.2. [intencionalmente en blanco]
2.3.3. Las siguientes opciones de configuración del ciclo de vida de las contraseñas pueden establecerse para cada pantalla de bloqueo disponible en un dispositivo:
- [intencionalmente en blanco]
- [intencionalmente en blanco]
- Cantidad máxima de contraseñas fallidas para la limpieza: Especifica la cantidad de veces que los usuarios pueden ingresar una contraseña incorrecta antes de que se limpien los datos corporativos del dispositivo. Los administradores de TI deben poder desactivar esta función.
2.3.4. (Android 8.0 y versiones posteriores) Tiempo de espera requerido de autenticación sólida: Se debe ingresar una contraseña de autenticación segura (como un PIN o una contraseña) después del período de tiempo de espera que establezca un administrador de TI. Después del tiempo de espera, se desactivarán los métodos de autenticación que no sean seguros (como la huella dactilar, el desbloqueo facial) hasta que el dispositivo se desbloquee con una contraseña de autenticación segura.
2.4. Administración de Smart Lock
Los administradores de TI pueden administrar qué agentes de confianza en la función Smart Lock de Android pueden desbloquear dispositivos. Los administradores de TI pueden desactivar métodos de desbloqueo específicos, como dispositivos Bluetooth de confianza, reconocimiento facial y de voz, o, de manera opcional, desactivar la función por completo.
2.4.1. Los administradores de TI pueden inhabilitar los agentes de confianza de Smart Lock, independientemente de cada pantalla de bloqueo disponible en el dispositivo.
2.4.2. Los administradores de TI pueden permitir y configurar de forma selectiva agentes de confianza de Smart Lock, de forma independiente para cada pantalla bloqueada disponible en el dispositivo, para los siguientes agentes de confianza: Bluetooth, NFC, lugares, rostro, cuerpo y voz.
- Los administradores de TI pueden modificar los parámetros de configuración disponibles del agente de confianza.
2.5. Eliminación y bloqueo
Los administradores de TI pueden usar la consola de EMM para bloquear y borrar de forma remota los datos laborales de un dispositivo administrado.
2.5.1. El DPC de EMM debe bloquear dispositivos.
2.5.2. El DPC de EMM debe limpiar los dispositivos.
2.6 Aplicación de cumplimiento
Si un dispositivo no cumple con las políticas de seguridad, los datos de trabajo se restringen automáticamente.
2.6.1. Como mínimo, las políticas de seguridad que se aplican en un dispositivo deben incluir la política de contraseñas.
Políticas de seguridad predeterminadas
Las EMM deben aplicar las políticas de seguridad especificadas en los dispositivos de forma predeterminada, sin necesidad de que los administradores de TI establezcan o personalicen ningún parámetro de configuración en la consola de EMM. Se recomienda (aunque no es obligatorio) que los EMM no permitan que los administradores de TI cambien el estado predeterminado de estas funciones de seguridad.
2.7.1. El DPC de EMM debe bloquear la instalación de apps de fuentes desconocidas, incluidas las apps instaladas desde el lado personal de cualquier dispositivo Android 8.0 y versiones posteriores con un perfil de trabajo.
2.7.2. El DPC de EMM debe bloquear las funciones de depuración.
2.8 Políticas de seguridad para dispositivos exclusivos
Los dispositivos exclusivos se bloquean sin escape para permitir otras acciones.
2.8.1. El DPC de EMM debe desactivar el inicio en modo seguro de forma predeterminada.
2.8.2. El DPC de EMM debe abrirse y bloquearse en la pantalla inmediatamente durante el primer inicio durante el aprovisionamiento para garantizar que no se interactúe con el dispositivo de ninguna otra manera.
2.8.3. El DPC de EMM debe configurarse como selector predeterminado para garantizar que las apps permitidas estén bloqueadas en la pantalla durante el inicio, de acuerdo con los lineamientos de implementación definidos.
2.9 Asistencia de Play Integrity
La EMM usa la API de Play Integrity para garantizar que los dispositivos sean dispositivos Android válidos.
2.9.1. El DPC de EMM implementa la API de Play Integrity durante el aprovisionamiento y, de forma predeterminada, solo completa el aprovisionamiento del dispositivo con datos corporativos cuando la integridad del dispositivo que se muestra es MEETS_STRONG_INTEGRITY.
2.9.2. El DPC de EMM realizará otra verificación de Play Integrity cada vez que un dispositivo se registre en el servidor de EMM, que puede configurar el administrador de TI. El servidor de EMM verificará la información del APK en la respuesta de verificación de integridad y la respuesta en sí antes de actualizar la política corporativa en el dispositivo.
2.9.3. Los administradores de TI pueden configurar diferentes respuestas de políticas según el resultado de la verificación de Play Integrity, lo que incluye bloquear el aprovisionamiento, limpiar los datos corporativos y permitir que la inscripción continúe.
- El servicio de EMM aplicará esta respuesta de política para el resultado de cada verificación de integridad.
2.10 Aplicación forzosa de la función Verificar aplicaciones
Los administradores de TI pueden activar la función Verificar aplicaciones en los dispositivos. Verificar aplicaciones analiza las apps instaladas en los dispositivos Android en busca de software dañino antes y después de su instalación, lo que ayuda a garantizar que las apps maliciosas no puedan comprometer los datos corporativos.
2.10.1. El DPC de EMM debe activar la verificación de apps de forma predeterminada.
2.11. Compatibilidad con inicio directo
Las apps no se pueden ejecutar en dispositivos con Android 7.0 y versiones posteriores que se acaban de encender hasta que se desbloqueen por primera vez. La compatibilidad con el inicio directo garantiza que el DPC de EMM esté siempre activo y pueda aplicar la política de manera forzosa, incluso si no se desbloqueó el dispositivo.
2.11.1. El DPC de EMM aprovecha el almacenamiento encriptado por dispositivo para realizar funciones de administración críticas antes de que se desencripte el almacenamiento encriptado con credenciales del DPC. Las funciones de administración disponibles durante el inicio directo deben incluir (entre otras):
- Limpieza empresarial, incluida la capacidad de borrar los datos de protección de restablecimiento de la configuración de fábrica según corresponda.
2.11.2. El DPC de EMM no debe exponer datos corporativos dentro del almacenamiento encriptado por dispositivo.
2.11.3. Los EMM pueden [configurar y activar un token] para activar un botón Olvidé mi contraseña en la pantalla de bloqueo del perfil de trabajo. Este botón se usa para solicitar a los administradores de TI que restablezcan de forma segura la contraseña del perfil de trabajo.
2.12 Administración de seguridad del hardware
Los administradores de TI pueden bloquear elementos de hardware de un dispositivo empresarial para garantizar la prevención de la pérdida de datos.
2.12.1. Los administradores de TI pueden impedir que los usuarios activen contenido multimedia externo físico en sus dispositivos.
2.12.2. Los administradores de TI pueden impedir que los usuarios compartan datos desde sus dispositivos con la transmisión NFC. Esta función secundaria es opcional, ya que la función de transmisión NFC ya no se admite en Android 10 y versiones posteriores.
2.12.3. Los administradores de TI pueden impedir que los usuarios transfieran archivos mediante USB desde sus dispositivos.
2,13 Registro de seguridad empresarial
Los administradores de TI pueden recopilar datos de uso de dispositivos que se pueden analizar y evaluar de manera programática para detectar comportamientos maliciosos o riesgosos. Las actividades registradas incluyen la actividad de Android Debug Bridge (adb), la apertura de la app y los desbloqueos de pantalla.
2.13.1. Los administradores de TI pueden habilitar el registro de seguridad para dispositivos específicos, y el DPC de EMM debe poder recuperar automáticamente los registros de seguridad y los registros de seguridad previos al reinicio.
2.13.2. Los administradores de TI pueden revisar los registros de seguridad empresariales para un dispositivo determinado y un período configurable en la consola de EMM.
2.13.3. Los administradores de TI pueden exportar los registros de seguridad empresarial desde la consola de EMM.
3. Administración de cuentas y apps
3.1. Inscripción a empresas de cuentas de Google Play administrado
Los administradores de TI pueden crear una empresa de cuentas de Google Play administradas, una entidad que permite que Google Play administrado distribuya apps a los dispositivos. Las siguientes etapas de inscripción deben integrarse en la consola de EMM:
3.1.1. Inscribe una empresa con Cuentas de Google Play administrada mediante la API de EMM de Play.
3.1.2. La consola de EMM debe aprovisionar y configurar en silencio un ESA único para cada empresa.
3.1.3. Dar de baja una empresa de Cuentas de Google Play administrada a través de la API de EMM de Play
3.2. Aprovisionamiento de cuentas de Google Play administrado
La EMM puede aprovisionar de forma silenciosa cuentas de usuario empresariales, denominadas cuentas de Google Play administradas. Estas cuentas identifican usuarios administrados y permiten reglas de distribución de apps únicas y por usuario.
3.2.1. El DPC de EMM puede aprovisionar y activar silenciosamente una cuenta de Google Play administrada según los lineamientos de implementación definidos. Cuando lo hagas, ten en cuenta lo siguiente:
- Se agrega una cuenta de Google Play administrada de tipo
userAccountal dispositivo. - La cuenta de Google Play administrada del tipo
userAccountdebe tener una asignación 1 a 1 con usuarios reales en la consola de EMM.
3.3. Aprovisionamiento de cuentas de dispositivos de Google Play administrado
El EMM puede crear y aprovisionar cuentas de dispositivos de Google Play administradas. Las cuentas de dispositivos admiten la instalación silenciosa de apps desde Google Play Store administrado y no están vinculadas a un solo usuario. En su lugar, se usa una cuenta de dispositivo para identificar un solo dispositivo que admita reglas de distribución de apps por dispositivo en situaciones de dispositivos dedicados.
3.3.1. El DPC de EMM puede aprovisionar y activar silenciosamente una cuenta de Google Play administrada según los lineamientos de implementación definidos.
De esta manera, se debe agregar al dispositivo una cuenta de Google Play administrado de tipo deviceAccount.
3.4. Aprovisionamiento de cuentas de Google Play administrado para dispositivos heredados
EMM puede aprovisionar sin aviso las cuentas de usuario empresarial, llamadas cuentas administradas de Google Play. Estas cuentas identifican a los usuarios administrados y permiten reglas de distribución de apps únicas y por usuario.
3.4.1. El DPC de EMM puede aprovisionar y activar silenciosamente una cuenta de Google Play administrada según los lineamientos de implementación definidos. Cuando lo hagas, ten en cuenta lo siguiente:
- Se agrega una cuenta de Google Play administrada de tipo
userAccountal dispositivo. - La cuenta de Google Play administrada del tipo
userAccountdebe tener una asignación 1 a 1 con usuarios reales en la consola de EMM.
3.5. Distribución de apps silenciosa
Los administradores de TI pueden distribuir apps de trabajo de forma silenciosa en los dispositivos de los usuarios sin interacción.
3.5.1. La consola de EMM debe usar la API de Play EMM para permitir que los administradores de TI instalen apps de trabajo en dispositivos administrados.
3.5.2. La consola de EMM debe usar la API de Play EMM para permitir que los administradores de TI actualicen apps de trabajo en dispositivos administrados.
3.5.3. La consola de EMM debe usar la API de Play EMM para permitir que los administradores de TI desinstalen apps en los dispositivos administrados.
3.6. Administración de configuración administrada
Los administradores de TI pueden ver y establecer de forma silenciosa la configuración administrada para cualquier app que admita las configuraciones administradas.
3.6.1. La consola de EMM debe poder recuperar y mostrar la configuración administrada de cualquier app de Play.
- Los EMM pueden llamar a
Products.getAppRestrictionsSchemapara recuperar el esquema de configuraciones administradas de una app o incorporar el iframe de las configuraciones administradas en su consola de EMM.
3.6.2. La consola de EMM debe permitir a los administradores de TI establecer cualquier tipo de configuración (según lo define el framework de Android) para cualquier app de Play mediante la API de EMM de Play.
3.6.3. En la consola de EMM, se debe permitir que los administradores de TI establezcan comodines (como $username$ o %emailAddress%) para que se pueda aplicar una sola configuración de una app, como Gmail, a varios usuarios. El iframe de configuraciones administradas admite este requisito automáticamente.
3.7 Administración del catálogo de apps
Los administradores de TI pueden importar una lista de apps aprobadas para empresas desde Google Play administrado (play.google.com/work).
3.7.1. En la consola de EMM, se puede mostrar una lista de apps aprobadas para su distribución, que incluye lo siguiente:
- Apps que se compraron en Google Play administrado
- Apps privadas visibles para los administradores de TI
- Apps aprobadas de manera programática
3.8 Aprobación de apps programáticas
La consola de EMM usa el iframe de Google Play administrado para admitir las capacidades de descubrimiento y aprobación de apps de Google Play. Los administradores de TI pueden buscar y aprobar apps, así como aprobar nuevos permisos de apps sin salir de la consola de EMM.
3.8.1. Los administradores de TI pueden buscar apps y aprobarlas en la consola de EMM mediante el iframe de Google Play administrado.
3.9 Administración básica del diseño de la tienda
La app de Google Play Store administrado se puede usar en dispositivos para instalar y actualizar apps de trabajo. El diseño básico de la tienda se muestra de forma predeterminada y enumera las apps aprobadas para la empresa, que las EMM filtran por usuario según la política.
3.9.1. Los administradores de TI pueden administrar los conjuntos de productos disponibles de los usuarios para permitir la visualización y la instalación de aplicaciones desde Google Play Store administrado en la sección "Página principal de la tienda".
3.10. Configuración avanzada del diseño de la tienda
Los administradores de TI pueden personalizar el diseño de la tienda que se ve en la app administrada de Google Play Store en los dispositivos.
3.10.1. Los administradores de TI pueden realizar las siguientes acciones en la consola de EMM para personalizar el diseño de Google Play Store administrado:
- Crea hasta 100 páginas de diseño de la tienda. Las páginas pueden tener una cantidad arbitraria de nombres localizados.
- Crea hasta 30 clústeres por página. Los clústeres pueden tener una cantidad arbitraria de nombres de clúster localizados.
- Asigna hasta 100 apps a cada clúster.
- Agrega hasta 10 vínculos rápidos a cada página.
- Especifica el orden de clasificación de las apps dentro de un clúster y clústeres dentro de una página.
3.11. Administración de licencias de la app
Los administradores de TI pueden ver y administrar las licencias de apps compradas en Google Play administrado desde la consola de EMM.
3.11.1. En el caso de las aplicaciones pagadas que se aprueban para empresas, la consola de EMM debe mostrar lo siguiente:
- Indica la cantidad de licencias compradas.
- La cantidad de licencias consumidas y los usuarios que las consumen.
- La cantidad de licencias disponibles para la distribución.
3.11.2. Los administradores de TI pueden asignar licencias a los usuarios de forma silenciosa sin forzar la instalación de esa app en ninguno de los dispositivos de los usuarios.
3.11.3. Los administradores de TI pueden anular la asignación de una licencia de la app a un usuario.
3.12 Administración de apps privadas alojadas en Google
Los administradores de TI pueden actualizar las apps privadas alojadas en Google a través de la consola de EMM en lugar de Google Play Console.
3.12.1. Los administradores de TI pueden subir versiones nuevas de las apps que ya se publicaron de forma privada para la empresa mediante lo siguiente:
3,13 Administración de apps privadas autoalojadas
Los administradores de TI pueden configurar y publicar apps privadas autoalojadas. A diferencia de las apps privadas alojadas en Google, Google Play no aloja los APK. En cambio, el EMM ayuda a los administradores de TI a alojar los APK y a proteger las apps alojadas en una ubicación propia, ya que garantiza que solo se puedan instalar cuando estén autorizados por Google Play administrado.
Los administradores de TI pueden ir a Cómo admitir apps privadas para obtener más detalles.
3.13.1. La consola de EMM debe ayudar a los administradores de TI a alojar el APK de la app ofreciendo estas dos opciones:
- Alojar el APK en el servidor de EMM El servidor puede ser local o estar basado en la nube.
- Alojar el APK fuera del servidor de EMM, a discreción del administrador de TI El administrador de TI debe especificar en la consola de EMM dónde se aloja el APK.
3.13.2. La consola de EMM debe generar un archivo de definición APK apropiado con el APK proporcionado y debe guiar a los administradores de TI en el proceso de publicación.
3.13.3. Los administradores de TI pueden actualizar apps privadas autoalojadas, y la consola de EMM puede publicar en silencio archivos de definición APK actualizados a través de la API de Google Play Developer Publishing.
3.13.4. El servidor de EMM solo entrega solicitudes de descarga para el APK autoalojado que contiene un JWT válido dentro de la cookie de la solicitud, según lo verificado por la clave pública de la app privada.
- Para facilitar este proceso, el servidor de EMM debe guiar a los administradores de TI a que descarguen la clave pública de la licencia de la app alojada en una ubicación propia desde Play Google Developers Console y a que suban esta clave a la consola de EMM.
3.14. Notificaciones de extracción de EMM
En lugar de consultar periódicamente a Play para identificar eventos pasados, como la actualización de una app que contiene permisos nuevos o configuraciones administradas, las notificaciones de extracción de EMM notifican de forma proactiva a los EMM sobre esos eventos en tiempo real, lo que les permite a los EMM tomar acciones automatizadas y proporcionar notificaciones administrativas personalizadas basadas en estos eventos.
3.14.1. El EMM debe usar las notificaciones de EMM de Play para extraer conjuntos de notificaciones.
3.14.2. EMM debe notificar automáticamente a un administrador de TI (por ejemplo, mediante un correo electrónico automatizado) sobre los siguientes eventos de notificación:
newPermissionEvent: Requiere que un administrador de TI apruebe nuevos permisos de la app para que esta pueda instalarse o actualizarse de forma silenciosa en los dispositivos de los usuarios.appRestrictionsSchemaChangeEvent: Es posible que se requiera que el administrador de TI actualice la configuración administrada de una app para mantener la funcionalidad prevista.appUpdateEvent: Puede ser de interés para los administradores de TI que deseen validar que la funcionalidad principal del flujo de trabajo no se vea afectada por la actualización de la app.productAvailabilityChangeEvent: Puede afectar la capacidad de instalar la app o de recibir actualizaciones.installFailureEvent: Play no puede instalar una app de forma silenciosa en un dispositivo, lo que sugiere que puede haber algo relacionado con la configuración del dispositivo que impide la instalación. Los EMM no deberían intentar realizar una instalación silenciosa de inmediato después de recibir esta notificación, ya que la lógica de reintento de Play ya habrá fallado.
3.14.3. EMM toma automáticamente las medidas adecuadas en función de los siguientes eventos de notificación:
newDeviceEvent: Durante el aprovisionamiento del dispositivo, las EMM deben esperar anewDeviceEventantes de realizar llamadas posteriores a la API de EMM de Play para el dispositivo nuevo, incluidas las instalaciones silenciosas de apps y la configuración de configuraciones administradas.productApprovalEvent: Al recibir una notificación deproductApprovalEvent, EMM debe actualizar automáticamente la lista de apps aprobadas importadas a la consola de EMM para su distribución a dispositivos si hay una sesión activa de administrador de TI o si la lista de apps aprobadas no se vuelve a cargar de forma automática al inicio de cada sesión de administrador de TI.
3,15 Requisitos de uso de la API
EMM implementa las APIs de Google a gran escala y evita patrones de tráfico que puedan afectar de forma negativa la capacidad de los administradores de TI para administrar apps en entornos de producción.
3.15.1. El EMM debe cumplir con los límites de uso de la API de Play EMM. Si no se corrige el comportamiento que excede estos lineamientos, es posible que se suspenda el uso de la API a discreción de Google.
3.15.2. El EMM debe distribuir el tráfico de diferentes empresas a lo largo del día, en lugar de consolidar el tráfico empresarial en momentos específicos o similares. El comportamiento que se ajusta a este patrón de tráfico, como las operaciones por lotes programadas para cada dispositivo inscrito, puede provocar la suspensión del uso de la API, a discreción de Google.
3.15.3. El EMM no debe realizar solicitudes coherentes, incompletas o deliberadamente incorrectas que no intenten recuperar o administrar datos empresariales reales. Un comportamiento que se ajuste a este patrón de tráfico puede dar lugar a la suspensión del uso de la API, a discreción de Google.
3.16 Administración avanzada de configuraciones administradas
3.16.1. La consola de EMM debe poder recuperar y mostrar la configuración administrada (anidada hasta cuatro niveles) de cualquier app de Play mediante lo siguiente:
- El iframe de Google Play administrado
- una IU personalizada.
3.16.2. La consola de EMM debe poder recuperar y mostrar cualquier comentario que muestre un canal de comentarios de la app cuando lo configure un administrador de TI.
- La consola de EMM debe permitir que los administradores de TI asocien un elemento de comentarios específico con el dispositivo y la app desde los que se originó.
- La consola de EMM debe permitir que los administradores de TI se suscriban a alertas o informes de tipos de mensajes específicos (como mensajes de error).
3.16.3. La consola de EMM solo debe enviar valores que tengan un valor predeterminado o que el administrador haya establecido manualmente mediante lo siguiente:
- El iframe de configuraciones administradas
- Una IU personalizada
3,17 Administración de apps web
Los administradores de TI pueden crear y distribuir apps web en la consola de EMM.
3.17.1. Los administradores de TI pueden usar la consola de EMM para distribuir accesos directos a apps web por medio de lo siguiente:
3,18 Administración del ciclo de vida de la cuenta de Google Play administrado
El EMM puede crear, actualizar y borrar cuentas de Google Play administradas en nombre de los administradores de TI.
3.18.1. Los EMM pueden administrar el ciclo de vida de una cuenta de Google Play administrada según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de EMM de Play.
3.18.2. Los EMM pueden volver a autenticar las cuentas de Google Play administradas sin interacción del usuario.
3,19 Administración de segmentos de aplicaciones
3.19.1. Los administradores de TI pueden obtener una lista de los IDs de segmento que estableció un desarrollador para una app en particular.
3.19.2. Los administradores de TI pueden configurar los dispositivos de modo que usen un segmento de desarrollo en particular para una aplicación.
3,20 Administración avanzada de actualizaciones de aplicaciones
3.20.1. Los administradores de TI pueden permitir que las apps usen actualizaciones de apps de prioridad alta para que se actualicen cuando haya una actualización lista.
3.20.2. Los administradores de TI pueden permitir que las apps se pospongan las actualizaciones durante 90 días.
3,21 Administración de métodos de aprovisionamiento
El EMM puede generar parámetros de configuración de aprovisionamiento y presentárselos al administrador de TI en un formulario listo para su distribución a usuarios finales (como código QR, configuración de inscripción automática, URL de Play Store).
4. Administración del dispositivo
4.1. Administración de políticas de permisos de tiempo de ejecución
Los administradores de TI pueden establecer de forma silenciosa una respuesta predeterminada para las solicitudes de permisos de tiempo de ejecución que realizan las apps de trabajo.
4.1.1. Los administradores de TI deben poder elegir entre las siguientes opciones cuando configuren una política de permisos de tiempo de ejecución predeterminada para su organización:
- mensaje (permite a los usuarios elegir)
- allow
- deny
El EMM debe aplicar esta configuración mediante el DPC de EMM.
4.2. Administración del estado de otorgamiento de permisos de tiempo de ejecución
Después de configurar una política de permisos de tiempo de ejecución predeterminada (ve a la versión 4.1). Los administradores de TI pueden configurar de forma silenciosa respuestas para permisos específicos de cualquier app de trabajo compilada en la API 23 o en versiones posteriores.
4.2.1. Los administradores de TI deben poder establecer el estado de otorgamiento (predeterminado, otorgamiento o denegación) de cualquier permiso que solicite cualquier app de trabajo compilada en el nivel de API 23 o superior. El EMM debe aplicar esta configuración mediante el DPC de EMM.
4.3. Administración de la configuración de Wi-Fi
Los administradores de TI pueden aprovisionar de forma silenciosa la configuración de Wi-Fi empresarial en dispositivos administrados, lo que incluye lo siguiente:
4.3.1. SSID, mediante el DPC de EMM
4.3.2. Contraseña, a través del DPC de EMM
4.4. Administración de seguridad de Wi-Fi
Los administradores de TI pueden aprovisionar parámetros de configuración de Wi-Fi empresariales en dispositivos administrados que incluyan las siguientes funciones de seguridad avanzadas:
4.4.1. Identidad, a través del DPC de EMM
4.4.2. Certificado para autorización de clientes, a través del DPC de EMM
4.4.3. Certificados de la AC a través del DPC de EMM
4.5. Administración avanzada de Wi-Fi
Los administradores de TI pueden bloquear la configuración de Wi-Fi en los dispositivos administrados para evitar que los usuarios creen configuraciones o modifiquen configuraciones corporativas.
4.5.1. Los administradores de TI pueden bloquear las configuraciones de Wi-Fi corporativas en cualquiera de las siguientes configuraciones:
- Los usuarios no pueden modificar ninguna configuración de Wi-Fi aprovisionada por EMM, pero pueden agregar y modificar sus propias redes configurables por el usuario (por ejemplo, redes personales).
- Los usuarios no pueden agregar ni modificar ninguna red Wi-Fi en el dispositivo, lo que limita la conectividad Wi-Fi solo a aquellas redes aprovisionadas por EMM.
4.6. Administración de cuentas
Los administradores de TI pueden asegurarse de que las cuentas corporativas no autorizadas no puedan interactuar con los datos corporativos en servicios como el almacenamiento de SaaS y las apps de productividad o el correo electrónico. Sin esta función, se pueden agregar cuentas personales a las apps corporativas que también admiten cuentas personales, lo que les permite compartir datos corporativos con esas cuentas personales.
4.6.1. Los administradores de TI pueden impedir que se agreguen o modifiquen cuentas.
- Cuando se aplica esta política a un dispositivo, los EMM deben establecer esta restricción antes de que se complete el aprovisionamiento para asegurarse de que no puedas eludir esta política agregando cuentas antes de que se aplique la política.
4.7. Administración de cuentas de Workspace
Los administradores de TI pueden asegurarse de que las Cuentas de Google no autorizadas no puedan interactuar con los datos corporativos. Sin esta función, se pueden agregar Cuentas de Google personales a las apps de Google corporativas (por ejemplo, Documentos de Google o Google Drive), lo que les permite compartir datos corporativos con esas cuentas personales.
4.7.1. Los administradores de TI pueden especificar Cuentas de Google para que se activen durante el aprovisionamiento, después de que se aplique el bloqueo de la administración de cuentas.
4.7.2. El DPC de EMM debe solicitar que se active la Cuenta de Google y asegurarse de que solo se pueda activar la cuenta específica especificando la cuenta que se agregará.
- En dispositivos con versiones anteriores a Android 7.0, el DPC debe desactivar temporalmente la restricción de administración de la cuenta antes de pedirle al usuario.
4.8. Administración de certificados
Permite a los administradores de TI implementar certificados de identidad y autoridades certificadoras en los dispositivos para permitir el acceso a recursos corporativos.
4.8.1. Los administradores de TI pueden instalar certificados de identidad de usuario generados por su PKI por usuario. La consola de EMM debe integrarse al menos en una PKI y distribuir los certificados generados desde esa infraestructura.
4.8.2. Los administradores de TI pueden instalar autoridades certificadoras en el almacén de claves administrado.
4.9. Administración avanzada de certificados
Permite que los administradores de TI seleccionen sin aviso los certificados que deben usar apps administradas específicas. Con esta función, los administradores de TI también pueden quitar AC y certificados de identidad de los dispositivos activos. Esta función evita que los usuarios modifiquen las credenciales almacenadas en el almacén de claves administrado.
4.9.1. Para cualquier app que se distribuya a los dispositivos, los administradores de TI pueden especificar un certificado al que se le otorgará acceso silenciosamente a la app durante el tiempo de ejecución.
- La selección de certificados debe ser lo suficientemente genérica como para permitir una sola configuración que se aplique a todos los usuarios, cada una de las cuales puede tener un certificado de identidad específico del usuario.
4.9.2. Los administradores de TI pueden quitar certificados de forma silenciosa del almacén de claves administrado.
4.9.3. Los administradores de TI pueden desinstalar de forma silenciosa un certificado de la AC o todos los certificados de la AC que no sean del sistema.
4.9.4. Los administradores de TI pueden impedir que los usuarios configuren credenciales en el almacén de claves administrado.
4.9.5. Los administradores de TI pueden otorgar certificados de forma previa para las apps de trabajo.
4.10 Administración de certificados delegada
Los administradores de TI pueden distribuir una app de administración de certificados de terceros en los dispositivos y otorgarle a esa app acceso privilegiado para instalar certificados en el almacén de claves administrado.
4.10.1. Los administradores de TI especifican un paquete de administración de certificados para establecerlo como la app de administración de certificados delegada por el DPC.
- De manera opcional, la consola puede sugerir paquetes conocidos de administración de certificados, pero debe permitir que el administrador de TI elija una opción de la lista de apps disponibles para su instalación (para los usuarios correspondientes).
4.11 Administración avanzada de VPN
Permite que los administradores de TI especifiquen una VPN siempre activada para garantizar que los datos de las apps administradas especificadas pasen siempre por una red privada virtual (VPN) configurada.
4.11.1. Los administradores de TI pueden especificar un paquete de VPN arbitrario para que se configure como una VPN siempre activada.
- La consola de EMM puede sugerir de manera opcional paquetes de VPN conocidos que admitan la VPN siempre activada, pero no puede restringir las VPN disponibles para la configuración siempre activa a ninguna lista arbitraria.
4.11.2. Los administradores de TI pueden usar configuraciones administradas para especificar la configuración de VPN de una app.
4.12 Administración de IME
Los administradores de TI pueden administrar qué métodos de entrada (IME) se pueden configurar para los dispositivos. Dado que el IME se comparte entre los perfiles de trabajo y personales, bloquear el uso de IME evitará que esos IME también se permitan para uso personal. Sin embargo, los administradores de TI no pueden bloquear los IME del sistema en los perfiles de trabajo (consulta la administración avanzada de IME para obtener más detalles).
4.12.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME de longitud arbitraria (incluida una lista vacía, que bloquea los IME que no son del sistema), que puede contener cualquier paquete de IME arbitrario.
- La consola de EMM puede sugerir de manera opcional IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan una opción de la lista de apps disponibles para instalar para los usuarios correspondientes.
4.12.2. El EMM debe informar a los administradores de TI que los IME del sistema se excluyen de la administración en dispositivos con perfiles de trabajo.
4.13 Administración avanzada de IME
Los administradores de TI pueden administrar qué métodos de entrada (IME) se pueden configurar para los dispositivos. La administración avanzada de IME amplía la función básica, ya que permite que los administradores de TI también administren el uso de los IME del sistema, lo que suele proporcionar el fabricante o el proveedor del dispositivo.
4.13.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME de longitud arbitraria (excepto una lista vacía, que bloquea todos los IME, incluidos los IME del sistema), que puede contener cualquier paquete de IME arbitrario.
- La consola de EMM puede sugerir de manera opcional IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan una opción de la lista de apps disponibles para instalar para los usuarios correspondientes.
4.13.2. Los EMM deben evitar que los administradores de TI configuren una lista de entidades permitidas vacía, ya que este parámetro bloqueará la configuración de todos los IME, incluidos los IME del sistema en el dispositivo.
4.13.3. Los EMM deben asegurarse de que, si una lista de entidades permitidas de IME no contenga los IME del sistema, los IME de terceros se instalan de forma silenciosa antes de que se aplique la lista de entidades permitidas al dispositivo.
4.14 Administración de servicios de accesibilidad
Los administradores de TI pueden administrar qué servicios de accesibilidad se pueden permitir en los dispositivos de los usuarios. Si bien los servicios de accesibilidad son herramientas potentes para los usuarios con discapacidades o aquellos que no pueden interactuar por completo con su dispositivo temporalmente, pueden interactuar con los datos corporativos de maneras que no cumplen con la política corporativa. Esta función permite que los administradores de TI desactiven cualquier servicio de accesibilidad que no sea del sistema.
4.14.1. Los administradores de TI pueden configurar una lista de servicios de accesibilidad permitidos de longitud arbitraria (incluida una lista vacía, que bloquea los servicios de accesibilidad que no son del sistema), que puede contener cualquier paquete arbitrario de servicios de accesibilidad. Cuando se aplica a un perfil de trabajo, se ven afectados tanto el perfil personal como el perfil de trabajo.
- De manera opcional, la consola puede sugerir servicios de accesibilidad conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan apps de la lista de apps disponibles para instalar de los usuarios correspondientes.
4.15 Administración de Compartir ubicación
4.16 Administración avanzada de Compartir ubicación
- Precisión alta.
- Solo sensores (por ejemplo, el GPS), sin incluir la ubicación proporcionada por la red
- Ahorro de batería, que limita la frecuencia de actualización
- Desactivado
4.17 Administración de la protección contra el restablecimiento de la configuración de fábrica
Permite que los administradores de TI protejan de robos los dispositivos de la empresa, ya que garantiza que los usuarios no autorizados no puedan restablecer la configuración de fábrica de los dispositivos. Si la protección contra el restablecimiento de la configuración de fábrica presenta complejidades operativas cuando se devuelven los dispositivos al equipo de TI, los administradores de TI también pueden desactivar por completo la protección contra el restablecimiento de la configuración de fábrica.
4.17.1. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de fábrica de sus dispositivos desde Configuración.
4.17.2. Los administradores de TI pueden especificar las cuentas de desbloqueo corporativas autorizadas para aprovisionar dispositivos después de un restablecimiento de la configuración de fábrica.
- Esta cuenta puede vincularse a una persona o usarla toda la empresa para desbloquear dispositivos.
4.17.3. Los administradores de TI pueden inhabilitar la protección contra el restablecimiento de la configuración de fábrica para dispositivos específicos.
4.17.4. Los administradores de TI pueden iniciar una limpieza remota del dispositivo que, de manera opcional, borra los datos de protección de restablecimiento, lo que quita la protección contra el restablecimiento de la configuración de fábrica del dispositivo de restablecimiento.
4.18. Control avanzado de apps
Los administradores de TI pueden evitar que el usuario desinstale o modifique de alguna otra manera las apps administradas en la configuración, por ejemplo, forzar el cierre de la app o borrar su caché de datos.
4.18.1. Los administradores de TI pueden bloquear la desinstalación de cualquier app administrada arbitraria o todas las apps administradas.
4.18.2. Los administradores de TI pueden evitar que los usuarios modifiquen los datos de la aplicación desde Configuración.
4.19 Administración de capturas de pantalla
Los administradores de TI pueden impedir que los usuarios tomen capturas de pantalla cuando usen apps administradas. Esta configuración incluye el bloqueo de apps para compartir pantalla y apps similares (como Asistente de Google) que aprovechan las capacidades de captura de pantalla del sistema.
4.19.1. Los administradores de TI pueden impedir que los usuarios realicen capturas de pantalla.
4.20 Desactivar cámaras
Los administradores de TI pueden desactivar el uso de las cámaras del dispositivo por parte de las apps administradas.
4.20.1. Los administradores de TI pueden desactivar el uso de las cámaras del dispositivo con las apps administradas.
4.21 Recopilación de estadísticas de red
Los administradores de TI pueden consultar las estadísticas de uso de la red desde el perfil de trabajo de un dispositivo. Las estadísticas recopiladas reflejan los datos de uso que se comparten con los usuarios en la sección Uso de datos de la Configuración. Las estadísticas recopiladas se aplican al uso de apps dentro del perfil de trabajo.
4.21.1. Los administradores de TI pueden consultar el resumen de estadísticas de red de un perfil de trabajo para un dispositivo determinado y un período configurable, y ver estos detalles en la consola de EMM.
4.21.2. Los administradores de TI pueden consultar un resumen de una app en la red del perfil de trabajo que usa estadísticas, para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola de EMM.
4.21.3. Los administradores de TI pueden consultar la red de un perfil de trabajo, usar datos históricos para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola de EMM.
4.22 Recopilación avanzada de estadísticas de red
Los administradores de TI pueden consultar las estadísticas de uso de la red de un dispositivo administrado completo. Las estadísticas recopiladas reflejan los datos de uso que se comparten con los usuarios en la sección Uso de datos de la Configuración. Las estadísticas recopiladas se aplican al uso de apps en el dispositivo.
4.22.1. Los administradores de TI pueden consultar el resumen de estadísticas de red de un dispositivo completo para un dispositivo determinado y un período configurable, y ver estos detalles en la consola de EMM.
4.22.2. Los administradores de TI pueden consultar un resumen de las estadísticas de uso de la red de apps para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola de EMM.
4.22.3. Los administradores de TI pueden consultar la red que usa datos históricos para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola de EMM.
4,23 Reiniciar el dispositivo
Los administradores de TI pueden reiniciar de forma remota los dispositivos administrados.
4.23.1. Los administradores de TI pueden reiniciar de forma remota un dispositivo administrado.
4.24 Administración de radio del sistema
Permite a los administradores de TI una administración detallada de las radios de la red del sistema y las políticas de uso asociadas.
4.24.1. Los administradores de TI pueden inhabilitar las transmisiones móviles que envían los proveedores de servicios (por ejemplo, las alertas AMBER).
4.24.2. Los administradores de TI pueden evitar que los usuarios modifiquen los parámetros de configuración de la red móvil en Configuración.
4.24.3. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de red en Configuración.
4.24.4. Los administradores de TI pueden permitir o inhabilitar los datos móviles en roaming.
4.24.5. Los administradores de TI pueden configurar si el dispositivo puede realizar llamadas telefónicas salientes, excepto llamadas de emergencia.
4.24.6. Los administradores de TI pueden configurar si el dispositivo puede enviar y recibir mensajes de texto.
4.24.7. Los administradores de TI pueden evitar que los usuarios usen sus dispositivos como hotspots portátiles mediante una conexión mediante dispositivo móvil.
4.24.8. Los administradores de TI pueden establecer el tiempo de espera de Wi-Fi en el valor predeterminado, solo mientras está conectado o nunca.
4.24.9. Los administradores de TI pueden evitar que los usuarios configuren o modifiquen conexiones Bluetooth existentes.
4,25 Administración de audio del sistema
Los administradores de TI pueden administrar de forma silenciosa las funciones de audio del dispositivo, lo que incluye silenciarlo, evitar que los usuarios cambien la configuración de volumen y activar el sonido del micrófono del dispositivo.
4.25.1. Los administradores de TI pueden silenciar los dispositivos administrados de forma silenciosa.
4.25.2. Los administradores de TI pueden impedir que los usuarios modifiquen la configuración del volumen de los dispositivos.
4.25.3. Los administradores de TI pueden impedir que los usuarios activen el sonido del micrófono del dispositivo.
4.26 Administración del reloj del sistema
Los administradores de TI pueden administrar la configuración del reloj y la zona horaria del dispositivo, así como evitar que los usuarios modifiquen la configuración automática del dispositivo.
4.26.1. Los administradores de TI pueden aplicar la hora automática del sistema para evitar que el usuario configure la fecha y hora del dispositivo.
4.26.2. Los administradores de TI pueden activar o desactivar de forma silenciosa la hora automática y la zona horaria automática.
4,27 Funciones avanzadas dedicadas a los dispositivos
Les proporciona a los administradores de TI la capacidad de administrar funciones más detalladas y dedicadas de los dispositivos para admitir varios casos de uso de kiosco.
4.27.1. Los administradores de TI pueden inhabilitar el bloqueo del dispositivo.
4.27.2. Los administradores de TI pueden desactivar la barra de estado del dispositivo y bloquear las notificaciones y la configuración rápida.
4.27.3. Los administradores de TI pueden forzar la pantalla del dispositivo para que permanezca encendida mientras el dispositivo está conectado.
4.27.4. Los administradores de TI pueden impedir que se muestren las siguientes IUs del sistema:
- Avisos
- Superposiciones de aplicaciones
4.27.5. Los administradores de TI pueden permitir que la recomendación del sistema para las apps omita su instructivo del usuario y otras sugerencias introductorias cuando se inician por primera vez.
4,28 Gestión de alcance delegada
Los administradores de TI pueden delegar privilegios adicionales a paquetes individuales.
4.28.1. Los administradores de TI pueden administrar los siguientes permisos:
- Instalación y administración de certificados
- Administración de configuraciones administradas
- Registro de red
- Registro de seguridad
4,29 Compatibilidad con ID específico de inscripción
A partir de Android 12, los perfiles de trabajo ya no tendrán acceso a los identificadores específicos de hardware. Los administradores de TI pueden seguir el ciclo de vida de un dispositivo con un perfil de trabajo a través del ID específico de inscripción, que persistirá cuando se restablezca la configuración de fábrica
4.29.1. Los administradores de TI pueden establecer y obtain un ID específico para la inscripción
4.29.2. Este ID específico de inscripción debe persistir después de restablecer la configuración de fábrica
5. Usabilidad del dispositivo
5.1. Personalización del aprovisionamiento administrado
Los administradores de TI pueden modificar la UX del flujo de configuración predeterminada para incluir funciones específicas de la empresa. De manera opcional, los administradores de TI pueden mostrar el desarrollo de la marca proporcionado por EMM durante el aprovisionamiento.
5.1.1. Los administradores de TI pueden personalizar el proceso de aprovisionamiento especificando los siguientes detalles específicos de la empresa: color de la empresa, logotipo de la empresa, Condiciones del Servicio empresariales y otras renuncias de responsabilidad.
5.1.2. Los administradores de TI pueden implementar una personalización no configurable y específica de EMM que incluye los siguientes detalles: color de EMM, logotipo de EMM, Condiciones del Servicio de EMM y otras renuncias de responsabilidad.
5.1.3 [primaryColor] dejó de estar disponible para el recurso empresarial en Android 10 y versiones posteriores.
- Las EMM deben incluir las Condiciones del Servicio de aprovisionamiento y otras renuncias de responsabilidad para su flujo de aprovisionamiento en el paquete de renuncias de responsabilidad de aprovisionamiento del sistema, incluso si no se usa la personalización específica de EMM.
- Los EMM pueden establecer su personalización no configurable y específica de EMM como la predeterminada para todas las implementaciones, pero deben permitir que los administradores de TI establezcan su propia personalización.
5.2. Personalización empresarial
Los administradores de TI pueden personalizar aspectos del perfil de trabajo con un desarrollo de la marca corporativo. Por ejemplo, los administradores de TI pueden establecer el ícono de usuario en el perfil de trabajo como el logotipo corporativo. Otro ejemplo es la configuración del color de fondo del desafío de trabajo.
5.2.1. Los administradores de TI pueden establecer el color de la organización para usarlo como color de fondo del desafío de trabajo.
5.2.2. Los administradores de TI pueden establecer el nombre visible del perfil de trabajo.
5.2.3. Los administradores de TI pueden configurar el ícono de usuario del perfil de trabajo.
5.2.4. Los administradores de TI pueden evitar que el usuario modifique el ícono de usuario del perfil de trabajo.
5.3. Personalización empresarial avanzada
Los administradores de TI pueden personalizar los dispositivos administrados con marcas corporativas. Por ejemplo, los administradores de TI pueden establecer el ícono de usuario principal como el logotipo corporativo o establecer el fondo de pantalla del dispositivo.
5.3.1. Los administradores de TI pueden establecer el nombre visible del dispositivo administrado.
5.3.2. Los administradores de TI pueden configurar el ícono de usuario del dispositivo administrado.
5.3.3. Los administradores de TI pueden evitar que el usuario modifique el ícono de usuario del dispositivo.
5.3.4. Los administradores de TI pueden establecer el fondo de pantalla del dispositivo.
5.3.5. Los administradores de TI pueden evitar que el usuario modifique el fondo de pantalla del dispositivo.
5.4. Mensajes en la pantalla de bloqueo
Los administradores de TI pueden configurar un mensaje personalizado que se muestre siempre en la pantalla de bloqueo del dispositivo y que no requiera el desbloqueo del dispositivo para visualizarse.
5.4.1. Los administradores de TI pueden configurar un mensaje personalizado en la pantalla de bloqueo.
5.5. Administración de la transparencia de las políticas
Los administradores de TI pueden personalizar el texto de ayuda que se proporciona a los usuarios cuando modifican la configuración administrada en sus dispositivos o implementan un mensaje de asistencia genérico proporcionado por EMM. Se pueden personalizar los mensajes de asistencia cortos y largos. Estos mensajes se muestran en casos en los que se intenta desinstalar una app administrada para la cual un administrador de TI ya bloqueó la desinstalación.
5.5.1. Los administradores de TI personalizan los mensajes de asistencia cortos y largos.
5.5.2. Los administradores de TI pueden implementar mensajes de asistencia cortos y largos no configurables y específicos de EMM.
- EMM puede establecer sus mensajes de asistencia no configurables y específicos de EMM como la opción predeterminada para todas las implementaciones, pero debe permitir que los administradores de TI configuren sus propios mensajes.
5.6 Administración de contactos del perfil sincronizado
Los administradores de TI pueden controlar qué datos de contacto pueden salir del perfil de trabajo. Las apps de telefonía y mensajería (SMS) deben ejecutarse en el perfil personal y requerir acceso a los datos de contacto del perfil de trabajo para ofrecer funcionalidad a los contactos laborales, pero los administradores pueden inhabilitar estas funciones para proteger los datos laborales.
5.6.1. Los administradores de TI pueden inhabilitar la búsqueda de contactos en perfiles sincronizados para las apps personales que usan el proveedor de contactos del sistema.
5.6.2. Los administradores de TI pueden inhabilitar la búsqueda del identificador de llamadas del perfil sincronizado para las apps de marcador personal que usan el proveedor de contactos del sistema.
5.6.3. Los administradores de TI pueden inhabilitar el uso compartido de contactos por Bluetooth con dispositivos Bluetooth que usen el proveedor de contactos del sistema, por ejemplo, realizar llamadas con manos libres en automóviles o auriculares.
5.7 Administración de datos del perfil sincronizado
Otorga a los administradores de TI la administración de los datos que pueden salir del perfil de trabajo, más allá de las funciones de seguridad predeterminadas del perfil de trabajo. Con esta función, los administradores de TI pueden permitir determinados tipos de uso compartido de datos en perfiles sincronizados para mejorar la usabilidad en casos de uso clave. Los administradores de TI también pueden proteger los datos corporativos con más bloqueos.
5.7.1. Los administradores de TI pueden configurar filtros de intents de perfiles sincronizados para que las apps personales puedan resolver intents del perfil de trabajo, como el uso compartido de intents o vínculos web.
- De manera opcional, la consola puede sugerir filtros de intents conocidos o recomendados para la configuración, pero no puede restringir estos filtros a ninguna lista arbitraria.
5.7.2. Los administradores de TI pueden permitir que las apps administradas muestren widgets en la pantalla principal.
- La consola de EMM debe proporcionar a los administradores de TI la capacidad de elegir una aplicación de la lista que están disponibles para su instalación por parte de los usuarios aplicables.
5.7.3. Los administradores de TI pueden bloquear el uso de la función de copiar y pegar entre el perfil personal y el de trabajo.
5.7.4. Los administradores de TI pueden impedir que los usuarios compartan datos del perfil de trabajo con Beam NFC.
5.7.5. Los administradores de TI pueden permitir que las apps personales abran vínculos web desde el perfil de trabajo.
5.8 Política de actualización del sistema
Los administradores de TI pueden configurar y aplicar actualizaciones del sistema inalámbricas (OTA) para los dispositivos.
5.8.1. La consola de EMM permite a los administradores de TI establecer las siguientes configuraciones de OTA:
- Automática: Los dispositivos reciben actualizaciones inalámbricas cuando están disponibles.
- Posponer: Los administradores de TI deben poder posponer la actualización inalámbrica por hasta 30 días. Esta política no afecta las actualizaciones de seguridad (p.ej., los parches de seguridad mensuales).
- Con ventanas: Los administradores de TI deben poder programar actualizaciones inalámbricas dentro de un período de mantenimiento diario.
5.8.2. El DPC de EMM aplica configuraciones inalámbricas a los dispositivos.
5.9 Administración del modo de tareas bloqueadas
Los administradores de TI pueden bloquear una app o un conjunto de apps en la pantalla y asegurarse de que los usuarios no puedan salir de ella.
5.9.1. La consola de EMM permite a los administradores de TI permitir, de manera silenciosa, que un conjunto arbitrario de apps se instale y bloquee en un dispositivo. El DPC de EMM permite el modo de dispositivo dedicado.
5.10 Administración de actividades preferidas persistentes
Permite a los administradores de TI configurar una app como el controlador de intents predeterminado para los intents que coinciden con un filtro de intents determinado. Por ejemplo, permitir que los administradores de TI elijan qué app de navegador abre automáticamente los vínculos web o qué app de selector se usa cuando presionan el botón de inicio.
5.10.1. Los administradores de TI pueden configurar cualquier paquete como el controlador de intents predeterminado para cualquier filtro de intents arbitrario.
- La consola de EMM puede sugerir de manera opcional intents conocidos o recomendados para la configuración, pero no puede restringir intents a ninguna lista arbitraria.
- En la consola de EMM, los administradores de TI pueden elegir entre las apps de la lista que están disponibles para instalar para los usuarios aplicables.
5.11 Administración de funciones de bloqueo de teclado
- agentes de confianza
- desbloqueo con huella dactilar
- notificaciones sin ocultar
5.11.2. El DPC de EMM puede desactivar las siguientes funciones de bloqueo de teclado en el perfil de trabajo:
- agentes de confianza
- desbloqueo con huella dactilar
5.12 Administración avanzada de funciones de bloqueo de teclado
- Bloquear cámara
- Todas las notificaciones
- Notificaciones sin ocultar
- Agentes de confianza
- Desbloqueo con huellas dactilares
- Todas las funciones del bloqueo de teclado
5,13 Depuración remota
Los administradores de TI pueden recuperar recursos de depuración de los dispositivos sin necesidad de realizar pasos adicionales.
5.13.1. Los administradores de TI pueden solicitar informes de errores de forma remota, ver informes de errores desde la consola de EMM y descargar informes de errores desde la consola de EMM.
5.14 Recuperación de direcciones MAC
Las EMM pueden recuperar sin aviso la dirección MAC de un dispositivo. La dirección MAC se puede usar para identificar dispositivos en otras partes de la infraestructura de la empresa (por ejemplo, cuando se identifican dispositivos para el control de acceso a la red).
5.14.1. El EMM puede recuperar silenciosamente la dirección MAC de un dispositivo y puede asociarla con el dispositivo en la consola de EMM.
5,15 Administración avanzada del modo de tareas bloqueadas
Cuando un dispositivo se configura como un dispositivo dedicado, los administradores de TI pueden usar la consola de EMM para realizar las siguientes tareas:
5.15.1. Permite que una sola app se bloquee en un dispositivo sin aviso mediante el DPC de EMM.
5.15.2. Activa o desactiva las siguientes funciones de la IU del sistema a través del DPC de EMM:
- Botón Home
- Descripción general
- Acciones generales
- Notificaciones
- Información del sistema / Barra de estado
- Bloqueo del teclado (pantalla de bloqueo)
5.15.3. Desactiva los diálogos de error del sistema a través del DPC de EMM.
5.16 Política de actualización avanzada del sistema
Los administradores de TI pueden bloquear las actualizaciones del sistema de un dispositivo durante un período sin actualización específico.
5.16.1. El DPC de EMM puede aplicar actualizaciones del sistema de forma inalámbrica (OTA) a los dispositivos durante un período sin actualización específico.
5,17 Administración de transparencia de la política del perfil de trabajo
Los administradores de TI pueden personalizar el mensaje que se muestra a los usuarios cuando quitan el perfil de trabajo de un dispositivo.
5.17.1. Los administradores de TI pueden proporcionar texto personalizado para mostrar cuando se limpia un perfil de trabajo.
5,18 Compatibilidad con apps conectadas
Los administradores de TI pueden configurar una lista de paquetes que pueden comunicarse a través del límite del perfil de trabajo.
5,19 Actualizaciones manuales del sistema
Los administradores de TI pueden instalar manualmente una actualización del sistema proporcionando una ruta de archivo.
6. Baja del administrador de dispositivos
6. Baja del administrador de dispositivos
Los EMM deben publicar un plan para fines de 2022 y dejar de brindar asistencia al cliente para el administrador de dispositivos en dispositivos con GMS a fines del 1er trim. de 2023.