Cette page liste l'ensemble des fonctionnalités d'Android Enterprise.
Si vous avez l'intention de gérer plus de 500 appareils, votre solution EMM doit être compatible avec toutes les fonctionnalités standards () d'au moins un ensemble de solutions pour pouvoir être commercialisée. Les solutions EMM qui passent la vérification standard des fonctionnalités sont listées dans l'Enterprise Solutions Directory d'Android comme proposant un ensemble de gestion standard.
Un ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont indiquées sur chaque page d'ensemble de solutions: profil professionnel, appareil entièrement géré et appareil dédié. Les solutions EMM qui réussissent la validation avancée des fonctionnalités sont répertoriées dans le répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion avancée.
Remarque:L'utilisation de l'API Android Management est soumise aux Règles d'utilisation autorisée.
Clé
| Fonctionnalité standard | fonctionnalité facultative | non applicable |
1. Provisionnement des appareils
1.1. Provisionnement du profil professionnel DPC-first
Vous pouvez provisionner un profil professionnel après avoir téléchargé l'outil de contrôle des règles relatives aux appareils (DPC) de l'EMM depuis Google Play.
1.1.1. Le DPC de l'EMM doit être public sur Google Play pour que les utilisateurs puissent l'installer du côté personnel de l'appareil.
1.1.2. Une fois installé, le DPC doit guider l'utilisateur tout au long du processus de provisionnement d'un profil professionnel.
1.1.3. Une fois le provisionnement terminé, aucune présence de gestion ne peut subsister du côté personnel de l'appareil.
- Toutes les règles mises en place lors du provisionnement doivent être supprimées.
- Les droits de l'application doivent être révoqués.
- Le DPC de l'EMM doit être au moins désactivé du côté personnel de l'appareil.
1.2. Provisionnement des appareils par identifiant DPC
Les administrateurs informatiques peuvent provisionner un appareil entièrement géré ou dédié à l'aide d'un identifiant DPC ("afw#"), conformément aux consignes d'implémentation définies dans la documentation pour les développeurs de l'API Play EMM.
1.2.1. L'outil DPC de l'EMM doit être accessible au public sur Google Play. Le DPC doit pouvoir être installé à partir de l'assistant de configuration de l'appareil en saisissant un identifiant spécifique.
1.2.2. Une fois installé, l'outil DPC de l'EMM doit guider l'utilisateur dans le processus de provisionnement d'un appareil entièrement géré ou dédié.
1.3. Provisionnement des appareils NFC
Les tags NFC peuvent être utilisés par les administrateurs informatiques pour provisionner des appareils neufs ou réinitialisés conformément aux consignes d'implémentation définies dans la documentation pour les développeurs de l'API EMM Play.
1.3.1. Les EMM doivent utiliser des tags de forum NFC de type 2 avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des extras de provisionnement pour transmettre à un appareil des informations d'enregistrement non sensibles, telles que les ID de serveur et les ID d'enregistrement. Les détails d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.3.2. Une fois que le DPC du fournisseur EMM s'est désigné comme propriétaire de l'appareil, il doit s'ouvrir immédiatement et se verrouiller à l'écran jusqu'à ce que l'appareil soit entièrement provisionné.
1.3.3. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et versions ultérieures, car la fonctionnalité NFC Beam (également appelée "Bump NFC") a été abandonnée.
1.4. Provisionnement des appareils par code QR
Les administrateurs informatiques peuvent utiliser un appareil neuf ou réinitialisé pour scanner un code QR généré par la console EMM afin de provisionner l'appareil, conformément aux consignes d'implémentation définies dans la documentation pour les développeurs de l'API EMM Play.
1.4.1. Le code QR doit utiliser des extras de provisionnement pour transmettre des informations d'enregistrement non sensibles, telles que les ID de serveur et les ID d'enregistrement, à un appareil. Les détails d'enregistrement ne doivent pas inclure d'informations sensibles telles que des mots de passe ou des certificats.
1.4.2. Une fois l'appareil configuré par le DPC de l'EMM, il doit s'ouvrir immédiatement et se verrouiller à l'écran jusqu'à ce que l'appareil soit entièrement provisionné.
1.5. Enregistrement sans contact
Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs autorisés et les gérer à l'aide de votre console EMM.
1.5.1. Les administrateurs informatiques peuvent provisionner les appareils détenus par l'entreprise à l'aide de la méthode d'enregistrement sans contact décrite dans Enregistrement sans contact pour les administrateurs informatiques.
1.5.2. Lorsqu'un appareil est allumé pour la première fois, les paramètres définis par l'administrateur informatique lui sont automatiquement appliqués.
1.6. Provisionnement sans contact avancé
Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils en déployant les informations d'enregistrement DPC via l'enregistrement sans contact. L'outil DPC de l'EMM permet de limiter l'enregistrement à des comptes ou domaines spécifiques, en fonction des options de configuration proposées par l'EMM.
1.6.1. Les administrateurs informatiques peuvent provisionner un appareil détenu par l'entreprise à l'aide de la méthode d'enregistrement sans contact décrite dans Enregistrement sans contact pour les administrateurs informatiques.
1.6.2. Une fois l'appareil configuré par le DPC de l'EMM, il doit s'ouvrir immédiatement et se verrouiller à l'écran jusqu'à ce que l'appareil soit entièrement provisionné.
- Cette exigence ne s'applique pas aux appareils qui utilisent les informations d'enregistrement de l'enregistrement sans contact pour se provisionner entièrement eux-mêmes en mode silencieux (par exemple, dans un déploiement d'appareil dédié).
1.6.3. À l'aide des détails de l'enregistrement, le DPC de l'EMM doit s'assurer que les utilisateurs non autorisés ne peuvent pas procéder à l'activation une fois qu'il a été invoqué. L'activation doit être verrouillée au minimum pour les utilisateurs d'une entreprise donnée.
1.6.4. À l'aide des détails de l'enregistrement, l'outil DPC de l'EMM doit permettre aux administrateurs informatiques de préremplir les informations d'enregistrement (par exemple, les ID de serveur ou d'enregistrement) en plus des informations uniques sur l'utilisateur ou l'appareil (par exemple, nom d'utilisateur/mot de passe, jeton d'activation), afin que les utilisateurs n'aient pas à saisir d'informations lors de l'activation d'un appareil.
- Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats, dans la configuration de l'enregistrement sans contact.
1.7. Provisionnement du profil professionnel du compte Google
Pour les entreprises qui utilisent Workspace, cette fonctionnalité guide les utilisateurs dans la configuration d'un profil professionnel après avoir saisi leurs identifiants Workspace professionnels lors de la configuration de l'appareil ou sur un appareil déjà activé. Dans les deux cas, l'identité Workspace d'entreprise sera migrée vers le profil professionnel.
1.7.1. La méthode de provisionnement des comptes Google provisionne un profil professionnel conformément aux consignes d'implémentation définies.
1.8 Provisionnement des appareils depuis un compte Google
Pour les entreprises qui utilisent Workspace, cette fonctionnalité guide les utilisateurs tout au long de l'installation du DPC de leur EMM après la saisie de leurs identifiants Workspace professionnels lors de la configuration initiale de l'appareil. Une fois installé, le DPC termine la configuration d'un appareil détenu par l'entreprise.
1.8.1. La méthode de provisionnement des comptes Google provisionne un appareil détenu par l'entreprise conformément aux consignes d'implémentation définies.
1.8.2. À moins que l'EMM ne puisse identifier sans équivoque l'appareil en tant que ressource d'entreprise, il ne peut pas provisionner un appareil sans invite au cours du processus de provisionnement. Cette invite doit effectuer une action autre que celle par défaut, comme cocher une case ou sélectionner une option de menu autre que celle par défaut. Il est recommandé que l'EMM puisse identifier l'appareil en tant que ressource d'entreprise. Ainsi, l'invite ne sera pas nécessaire.
1.9. Configuration sans contact directe
Les administrateurs informatiques peuvent utiliser la console EMM pour configurer des appareils sans contact à l'aide de l'iFrame d'enregistrement sans contact.
1.10 Profils professionnels sur les appareils détenus par l'entreprise
Les EMM peuvent enregistrer des appareils détenus par l'entreprise disposant d'un profil professionnel.
1.10.1 Les administrateurs informatiques peuvent provisionner un appareil en tant que profil professionnel sur un appareil appartenant à l'entreprise à l'aide d'un code QR ou de l'enregistrement sans contact.
1.10.2 Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur les appareils détenus par l'entreprise.
1.10.3 Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou dans l'ensemble de l'appareil.
1.10.4 Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel ou dans l'ensemble d'un appareil.
1.10.5 Les administrateurs informatiques peuvent définir une liste d'autorisation ou de blocage d'applications qui peuvent ou non être installées dans le profil personnel.
1.10.6 Les administrateurs informatiques peuvent renoncer à gérer un appareil détenu par l'entreprise en supprimant le profil professionnel ou en effaçant tout l'appareil.
2. Sécurité des appareils
2.1. Test de sécurité de l'appareil
Les administrateurs informatiques peuvent définir et appliquer une question de sécurité des appareils (code/schéma/mot de passe) parmi une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.
2.1.1. La règle doit appliquer des paramètres de gestion des questions d'authentification à la sécurité de l'appareil (parentProfilePasswordNeeds pour le profil professionnel, passwordrequirements pour les appareils entièrement gérés et dédiés).
2.1.2. La complexité du mot de passe doit correspondre aux complexités suivantes:
- PASSWORD_COMPLEXITY_LOW : schéma ou repère avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code PIN sans répétition (4444) ni ordonné (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'une longueur d'au moins 4
- PASSWORD_COMPLEXITY_HIGH : code PIN sans séquence répétée (4444) ni ordonnée (1234, 4321, 2468), et longueur d'au moins huit, mots de passe alphabétiques ou alphanumériques d'une longueur minimale de six
2.2 Défi de sécurité au travail
Les administrateurs informatiques peuvent définir et appliquer un test de sécurité pour les applications et les données du profil professionnel. Il s'agit d'un élément distinct dont les exigences diffèrent de celles de la question d'authentification de l'appareil (2.1.).
2.2.1. La règle doit appliquer la question de sécurité pour le profil professionnel. Par défaut, les administrateurs informatiques ne doivent définir des restrictions que pour le profil professionnel si aucun champ d'application n'est spécifié. Les administrateurs informatiques peuvent définir cet appareil à l'échelle de l'appareil en spécifiant le champ d'application (voir l'exigence 2.1).
2.1.2. La complexité du mot de passe doit correspondre aux complexités suivantes:
- PASSWORD_COMPLEXITY_LOW : schéma ou repère avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code PIN sans répétition (4444) ni ordonné (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'une longueur d'au moins 4
- PASSWORD_COMPLEXITY_HIGH : code PIN sans séquence répétée (4444) ni ordonnée (1234, 4321, 2468), et longueur d'au moins huit, mots de passe alphabétiques ou alphanumériques d'une longueur minimale de six
2.3. Gestion avancée des codes secrets
2.3.1. [vide intentionnellement]
2.3.2. [vide intentionnellement]
2.3.3. Les paramètres de cycle de vie des mots de passe suivants peuvent être définis pour chaque écran de verrouillage disponible sur un appareil:
- [vide intentionnellement]
- [vide intentionnellement]
- Nombre maximal d'échecs de mots de passe pour l'effacement des données: spécifie le nombre de fois où les utilisateurs peuvent saisir un mot de passe incorrect avant que les données d'entreprise ne soient effacées de l'appareil. Les administrateurs informatiques doivent pouvoir désactiver cette fonctionnalité.
2.3.4. (Android 8.0 et versions ultérieures) Délai d'expiration de l'authentification forte requis: vous devez saisir un code secret d'authentification fort (code ou mot de passe, par exemple) après un délai d'expiration défini par un administrateur informatique. Passé ce délai, les méthodes d'authentification non fortes (empreintes digitales, déverrouillage par reconnaissance faciale, etc.) sont désactivées jusqu'à ce que l'appareil soit déverrouillé avec un code secret d'authentification fort.
2.4. Gestion Smart Lock
Les administrateurs informatiques peuvent gérer les agents de confiance autorisés à déverrouiller les appareils via la fonctionnalité Smart Lock d'Android. Les administrateurs informatiques peuvent désactiver des méthodes de déverrouillage spécifiques telles que les appareils Bluetooth de confiance, la reconnaissance faciale et la reconnaissance vocale, ou désactiver complètement la fonctionnalité.
2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance Smart Lock indépendamment pour chaque écran de verrouillage disponible sur l'appareil.
2.4.2. Les administrateurs informatiques peuvent autoriser et configurer de manière sélective les agents de confiance Smart Lock, indépendamment pour chaque écran de verrouillage disponible sur l'appareil, pour les agents de confiance suivants : Bluetooth, NFC, lieux, visage, appareil et voix.
- Les administrateurs informatiques peuvent modifier les paramètres de configuration de l'agent de confiance disponibles.
2.5. Effacer et verrouiller
Les administrateurs informatiques peuvent utiliser la console EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.
2.5.1. Le DPC d'EMM doit verrouiller les appareils.
2.5.2. Le DPC de l'EMM doit effacer les données des appareils.
2.6. Application de la conformité
Si un appareil n'est pas conforme aux règles de sécurité, les données professionnelles sont automatiquement limitées.
2.6.1. Les règles de sécurité appliquées à un appareil doivent au minimum inclure une règle relative aux mots de passe.
2.7. Règles de sécurité par défaut
Les EMM doivent appliquer les règles de sécurité spécifiées sur les appareils par défaut, sans que les administrateurs informatiques ne configurent ou personnalisent les paramètres dans la console EMM. Les EMM sont encouragés (mais pas obligatoires) pour ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.
2.7.1. Le DPC d'un fournisseur EMM doit bloquer l'installation d'applications provenant de sources inconnues, y compris les applications installées du côté personnel de tout appareil Android 8.0 (ou version ultérieure) disposant d'un profil professionnel.
2.7.2. Le DPC d'EMM doit bloquer les fonctionnalités de débogage.
2.8. Règles de sécurité pour les appareils dédiés
Les appareils dédiés sont verrouillés sans échappement pour permettre d'autres actions.
2.8.1. Le DPC d'un fournisseur EMM doit désactiver par défaut le démarrage en mode sans échec.
2.8.2. Le DPC de l'EMM doit être ouvert et verrouillé à l'écran dès le premier démarrage lors du provisionnement, pour éviter toute interaction avec l'appareil.
2.8.3. L'outil DPC de l'EMM doit être défini comme lanceur d'applications par défaut pour que les applications autorisées soient verrouillées à l'écran au démarrage, conformément aux consignes d'implémentation définies.
2.9. Assistance Play Integrity
L'EMM utilise l'API Play Integrity pour s'assurer que les appareils sont des appareils Android valides.
2.9.1. L'outil DPC de l'EMM implémente l'API Play Integrity lors du provisionnement et ne procède par défaut au provisionnement de l'appareil avec des données d'entreprise que lorsque l'intégrité de l'appareil renvoyée est MEETS_STRONG_INTEGRITY.
2.9.2. Le DPC de l'EMM effectue une autre vérification de Play Integrity chaque fois qu'un appareil se connecte au serveur EMM. Cette vérification est configurable par l'administrateur informatique. Le serveur EMM vérifie les informations de l'APK dans la réponse à la vérification de l'intégrité et dans la réponse elle-même avant de mettre à jour la règle d'entreprise sur l'appareil.
2.9.3. Les administrateurs informatiques peuvent configurer différentes réponses aux règles en fonction du résultat de la vérification Play Integrity, y compris bloquer le provisionnement, effacer les données d'entreprise et autoriser l'enregistrement.
- Le service EMM applique cette réponse de stratégie pour le résultat de chaque contrôle d'intégrité.
2.10. Application de la validation des applications
Les administrateurs informatiques peuvent activer la fonctionnalité Vérifier les applications sur les appareils. La fonctionnalité Vérifier les applications permet d'analyser les applications installées sur les appareils Android afin de détecter les logiciels dangereux avant et après leur installation. Cela permet de s'assurer que les applications malveillantes ne peuvent pas compromettre les données d'entreprise.
2.10.1. L'outil DPC d'EMM doit activer la validation des applications par défaut.
2.11. Compatibilité avec le démarrage direct
Les applications ne peuvent pas s'exécuter sur les appareils Android 7.0 (ou version ultérieure) qui viennent d'être allumés jusqu'au premier déverrouillage de l'appareil. La compatibilité avec le démarrage direct garantit que le DPC de l'EMM est toujours actif et en mesure d'appliquer les règles, même si l'appareil n'a pas été déverrouillé.
2.11.1. Le DPC de l'EMM exploite le stockage chiffré de l'appareil pour effectuer des fonctions de gestion critiques avant que le stockage chiffré par identifiants du DPC ne soit déchiffré. Les fonctions de gestion disponibles lors du démarrage direct doivent inclure (sans s'y limiter):
- Effacement des données de l'entreprise, y compris la possibilité d'effacer les données de protection après réinitialisation, le cas échéant.
2.11.2. Le DPC de l'EMM ne doit pas exposer les données d'entreprise dans le stockage chiffré de l'appareil.
2.11.3. Les EMM peuvent [définir et activer un jeton] pour activer un bouton Mot de passe oublié sur l'écran de verrouillage du profil professionnel. Ce bouton permet de demander aux administrateurs informatiques de réinitialiser de manière sécurisée le mot de passe du profil professionnel.
2.12. Gestion de la sécurité matérielle
Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise pour éviter la perte de données.
2.12.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des supports externes physiques sur leur appareil.
2.12.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil à l'aide de la technologie NFC. Cette sous-fonctionnalité est facultative, car la fonction de faisceau NFC n'est plus compatible avec Android 10 ou version ultérieure.
2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers via USB depuis leur appareil.
2.13. Journalisation de sécurité d'entreprise
Les administrateurs informatiques peuvent collecter des données d'utilisation provenant d'appareils. Celles-ci peuvent ensuite être analysées et évaluées de manière programmatique pour détecter les comportements malveillants ou risqués. Les activités journalisées incluent l'activité Android Debug Bridge (adb), les ouvertures d'applications et les déverrouillages d'écran.
2.13.1. Les administrateurs informatiques peuvent activer la journalisation de sécurité pour des appareils spécifiques, et le DPC de l'EMM doit pouvoir récupérer automatiquement les journaux de sécurité et les journaux de sécurité pré-redémarrage.
2.13.2. Les administrateurs informatiques peuvent consulter les journaux de sécurité d'entreprise pour un appareil donné et une période configurable, dans la console EMM.
2.13.3. Les administrateurs informatiques peuvent exporter les journaux de sécurité de l'entreprise depuis la console EMM.
3. Gestion des comptes et des applications
3.1. Enregistrement d'entreprise avec des comptes Google Play d'entreprise
Les administrateurs informatiques peuvent créer un compte d'entreprise Google Play Accounts, une entité qui permet à Google Play d'entreprise de distribuer des applications sur les appareils. Les étapes d'enregistrement suivantes doivent être intégrées à la console EMM:
3.1.1. Enregistrez un compte d'entreprise Google Play Accounts à l'aide de l'API EMM Play.
3.1.2. La console EMM doit provisionner et configurer en mode silencieux une ESA unique pour chaque entreprise.
3.1.3. Désinscrivez un compte d'entreprise Google Play Accounts à l'aide de l'API EMM Play.
3.2. Provisionnement des comptes Google Play d'entreprise
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et autorisent des règles de distribution uniques des applications par utilisateur.
3.2.1. L'outil DPC de l'EMM peut provisionner et activer en arrière-plan un compte Google Play d'entreprise conformément aux consignes d'implémentation définies. Pour ce faire:
- Un compte Google Play d'entreprise de type
userAccountest ajouté à l'appareil. - Le compte Google Play d'entreprise de type
userAccountdoit disposer d'un mappage direct avec les utilisateurs réels dans la console EMM.
3.3. Provisionnement des comptes d'appareils Google Play d'entreprise
L'EMM peut créer et provisionner des comptes d'appareils Google Play d'entreprise. Les comptes d'appareil permettent d'installer en mode silencieux des applications à partir de la plate-forme Google Play d'entreprise et ne sont pas liés à un seul utilisateur. Au lieu de cela, un compte d'appareil permet d'identifier un seul appareil afin de prendre en charge les règles de distribution par appareil dans des scénarios dédiés.
3.3.1. L'outil DPC de l'EMM peut provisionner et activer en arrière-plan un compte Google Play d'entreprise conformément aux consignes d'implémentation définies.
Pour ce faire, un compte Google Play d'entreprise de type deviceAccount doit être ajouté à l'appareil.
3.4. Gestion des comptes Google Play d'entreprise pour les anciens appareils
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et autorisent des règles uniques de distribution des applications par utilisateur.
3.4.1. L'outil DPC de l'EMM peut provisionner et activer en arrière-plan un compte Google Play d'entreprise conformément aux consignes d'implémentation définies. Pour ce faire:
- Un compte Google Play d'entreprise de type
userAccountest ajouté à l'appareil. - Le compte Google Play d'entreprise de type
userAccountdoit disposer d'un mappage direct avec les utilisateurs réels dans la console EMM.
3.5. Distribution silencieuse d'applications
Les administrateurs informatiques peuvent distribuer des applications professionnelles en mode silencieux sur les appareils des utilisateurs, sans aucune interaction de la part des utilisateurs.
3.5.1. La console EMM doit utiliser l'API Play EMM pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur des appareils gérés.
3.5.2. La console EMM doit utiliser l'API EMM Play pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.
3.5.3. La console EMM doit utiliser l'API EMM Play pour permettre aux administrateurs informatiques de désinstaller des applications sur les appareils gérés.
3.6. Gestion de la configuration gérée
Les administrateurs informatiques peuvent afficher et définir en mode silencieux les configurations gérées de toute application compatible.
3.6.1. La console EMM doit pouvoir récupérer et afficher les paramètres de configuration gérée de n'importe quelle application Play.
- Les EMM peuvent appeler
Products.getAppRestrictionsSchemapour récupérer le schéma des configurations gérées d'une application ou intégrer l'iFrame de configurations gérées dans leur console EMM.
3.6.2. La console EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (tel que défini par le framework Android) pour n'importe quelle application Play à l'aide de l'API EMM Play.
3.6.3. La console EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (tels que $username$ ou %emailAddress%) afin qu'une configuration unique pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs. L'iFrame de configurations gérées est automatiquement compatible avec cette exigence.
3.7. Gestion du catalogue d'applications
Les administrateurs informatiques peuvent importer une liste d'applications approuvées pour leur entreprise à partir de Google Play d'entreprise (play.google.com/work).
3.7.1. La console EMM peut afficher une liste des applications approuvées pour la distribution, y compris:
- Applications achetées dans Google Play d'entreprise
- Applications privées visibles par les administrateurs informatiques
- Applications approuvées par le programmatique
3.8. Approbation programmatique d'applications
La console EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge les fonctionnalités de découverte et d'approbation des applications de Google Play. Les administrateurs informatiques peuvent rechercher des applications, approuver des applications et approuver de nouvelles autorisations sans quitter la console EMM.
3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console EMM à l'aide de l'iFrame Google Play d'entreprise.
3.9. Gestion de base de l'agencement du magasin
L'application Google Play Store d'entreprise peut être utilisée sur les appareils pour installer et mettre à jour des applications professionnelles. La mise en page de base du Play Store est affichée par défaut et répertorie les applications approuvées pour l'entreprise, que les EMM filtrent par utilisateur conformément à une règle.
3.9.1. Les administrateurs informatiques peuvent gérer les ensembles de produits disponibles pour les utilisateurs pour leur permettre d'afficher et d'installer des applications depuis la plate-forme Google Play d'entreprise dans la section "Accueil du Play Store".
3.10. Configuration avancée de l'aménagement du magasin
Les administrateurs informatiques peuvent personnaliser la disposition de la plate-forme affichée dans l'application Google Play Store d'entreprise sur les appareils.
3.10.1. Les administrateurs informatiques peuvent effectuer les actions suivantes dans la console EMM pour personnaliser la mise en page du Google Play Store d'entreprise:
- Créez jusqu'à 100 pages de présentation pour la boutique. Les pages peuvent avoir un nombre arbitraire de noms de pages localisés.
- Créez jusqu'à 30 clusters par page. Les clusters peuvent avoir un nombre arbitraire de noms de clusters localisés.
- Attribuez jusqu'à 100 applications à chaque cluster.
- Ajoutez jusqu'à 10 liens rapides par page.
- Spécifiez l'ordre de tri des applications dans un cluster et des clusters sur une page.
3.11. Gestion des licences d'application
Les administrateurs informatiques peuvent afficher et gérer les licences d'application achetées dans Google Play d'entreprise à partir de la console EMM.
3.11.1. Pour les applications payantes approuvées pour une entreprise, la console EMM doit afficher:
- Nombre de licences achetées.
- le nombre de licences consommées et le nombre d'utilisateurs utilisant ces licences ;
- Nombre de licences disponibles pour la distribution.
3.11.2. Les administrateurs informatiques peuvent attribuer des licences aux utilisateurs en mode silencieux, sans imposer l'installation de cette application sur leurs appareils.
3.11.3. Les administrateurs informatiques peuvent annuler l'attribution d'une licence d'application à un utilisateur.
3.12. Gestion des applications privées hébergées par Google
Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM plutôt que via la Google Play Console.
3.12.1. Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées à titre privé dans l'entreprise à l'aide des outils suivants:
3.13. Gestion des applications privées auto-hébergées
Les administrateurs informatiques peuvent configurer et publier des applications privées auto-hébergées. Contrairement aux applications privées hébergées par Google, Google Play n'héberge pas les APK. Au lieu de cela, l'EMM aide les administrateurs informatiques à héberger eux-mêmes les APK et à protéger les applications auto-hébergées en s'assurant qu'elles ne peuvent être installées qu'avec l'autorisation de Google Play d'entreprise.
Les administrateurs informatiques peuvent consulter la page Prendre en charge les applications privées pour en savoir plus.
3.13.1. La console EMM doit aider les administrateurs informatiques à héberger l'APK de l'application, en proposant les deux options suivantes:
- Hébergement de l'APK sur le serveur EMM. Le serveur peut être sur site ou dans le cloud.
- Hébergement de l'APK en dehors du serveur EMM, à la discrétion de l'administrateur informatique. L'administrateur informatique doit spécifier l'emplacement où l'APK est hébergé dans la console EMM.
3.13.2. La console EMM doit générer un fichier de définition d'APK approprié à l'aide de l'APK fourni et doit guider les administrateurs informatiques tout au long du processus de publication.
3.13.3. Les administrateurs informatiques peuvent mettre à jour les applications privées auto-hébergées, et la console EMM peut publier en mode silencieux des fichiers de définition d'APK mis à jour à l'aide de l'API Google Play Developer Publishing.
3.13.4. Le serveur EMM ne diffuse des requêtes de téléchargement que pour l'APK auto-hébergé contenant un jeton JWT valide dans le cookie de la requête, tel que vérifié par la clé publique de l'application privée.
- Pour faciliter ce processus, le serveur EMM doit inciter les administrateurs informatiques à télécharger la clé publique de licence de l'application auto-hébergée depuis la Google Play Console, puis à importer cette clé dans la console EMM.
3.14. Notifications pull EMM
Au lieu d'interroger régulièrement Play pour identifier des événements passés tels qu'une mise à jour d'application contenant de nouvelles autorisations ou des configurations gérées, les notifications pull EMM notifient de tels événements de manière proactive en temps réel, ce qui permet aux EMM d'effectuer des actions automatisées et de fournir des notifications administratives personnalisées en fonction de ces événements.
3.14.1. L'EMM doit utiliser les notifications EMM de Play pour extraire des ensembles de notifications.
3.14.2. Le fournisseur EMM doit avertir automatiquement un administrateur informatique (par exemple, via un e-mail automatisé) des événements de notification suivants:
newPermissionEvent: un administrateur informatique doit approuver les nouvelles autorisations de l'application pour que celle-ci puisse être installée ou mise à jour en mode silencieux sur les appareils des utilisateurs.appRestrictionsSchemaChangeEvent: peut exiger que l'administrateur informatique mette à jour la configuration gérée d'une application afin de maintenir la fonctionnalité prévue.appUpdateEvent: peut intéresser les administrateurs informatiques qui souhaitent vérifier que la fonctionnalité de base du workflow n'est pas affectée par la mise à jour d'une application.productAvailabilityChangeEvent: peut avoir un impact sur la possibilité d'installer l'application ou de la mettre à jour.installFailureEvent: Play ne peut pas installer d'application silencieuse sur un appareil, ce qui suggère qu'un problème lié à la configuration de l'appareil peut empêcher l'installation. Les EMM ne doivent pas effectuer de nouvelle tentative d'installation silencieuse immédiatement après avoir reçu cette notification, car la logique de nouvelle tentative de Play a déjà échoué.
3.14.3. EMM prend automatiquement les mesures appropriées en fonction des événements de notification suivants:
newDeviceEvent: lors du provisionnement de l'appareil, les EMM doivent attendrenewDeviceEventavant d'effectuer des appels ultérieurs d'API Play EMM pour le nouvel appareil, y compris des installations d'applications silencieuses et des configurations gérées.productApprovalEvent: à la réception d'une notificationproductApprovalEvent, l'EMM doit automatiquement mettre à jour la liste des applications approuvées importées dans la console EMM en vue de leur distribution sur les appareils s'il existe une session d'administration informatique active ou si la liste des applications approuvées n'est pas automatiquement rechargée au début de chaque session d'administrateur informatique.
3.15. Exigences d'utilisation de l'API
L'EMM met en œuvre les API Google à grande échelle, évitant ainsi les tendances de trafic qui pourraient avoir un impact négatif sur la capacité des administrateurs informatiques à gérer les applications dans les environnements de production.
3.15.1. L'EMM doit respecter les limites d'utilisation de l'API EMM Play. Si vous ne corrigez pas un comportement qui ne respecte pas ces consignes, Google peut décider, à sa discrétion, de suspendre l'utilisation de l'API.
3.15.2. L'EMM doit répartir le trafic de différentes entreprises tout au long de la journée, plutôt que de regrouper le trafic de l'entreprise à des moments spécifiques ou similaires. Un comportement qui correspond à ce modèle de trafic, tel que des opérations par lot planifiées pour chaque appareil enregistré, peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.15.3. L'EMM ne doit pas formuler de requêtes cohérentes, incomplètes ou délibérément incorrectes qui ne cherchent pas à récupérer ou à gérer des données d'entreprise réelles. Un comportement qui correspond à ce modèle de trafic peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.16. Gestion avancée de la configuration gérée
3.16.1. La console EMM doit pouvoir récupérer et afficher les paramètres de configuration gérée (imbriqués jusqu'à quatre niveaux) de n'importe quelle application Play, à l'aide des éléments suivants:
- iFrame Google Play d'entreprise ; ou
- une UI personnalisée.
3.16.2. La console EMM doit pouvoir récupérer et afficher tous les commentaires renvoyés par le canal de commentaires d'une application, lorsque cela est configuré par un administrateur informatique.
- La console EMM doit permettre aux administrateurs informatiques d'associer un élément de commentaire spécifique à l'appareil et à l'application d'où il provient.
- La console EMM doit permettre aux administrateurs informatiques de s'abonner à des alertes ou à des rapports de types de messages spécifiques (tels que les messages d'erreur).
3.16.3. La console EMM doit uniquement envoyer des valeurs ayant une valeur par défaut ou définies manuellement par l'administrateur à l'aide des éléments suivants:
- iFrame des configurations gérées ; ou
- UI personnalisée
3.17. Gestion des applications Web
Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.
3.17.1. Les administrateurs informatiques peuvent utiliser la console EMM pour distribuer des raccourcis vers les applications Web en utilisant:
3.18. Gestion du cycle de vie des comptes Google Play d'entreprise
L'EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise pour le compte des administrateurs informatiques.
3.18.1. Les EMM peuvent gérer le cycle de vie d'un compte Google Play d'entreprise conformément aux consignes d'implémentation définies dans la documentation pour les développeurs concernant l'API EMM Play.
3.18.2. Les EMM peuvent réauthentifier les comptes Google Play d'entreprise sans intervention des utilisateurs.
3.19. Gestion des canaux d'applications
3.19.1. Les administrateurs informatiques peuvent extraire une liste d'ID de canal définis par un développeur pour une application spécifique.
3.19.2. Les administrateurs informatiques peuvent configurer les appareils de manière à utiliser un canal de développement particulier pour une application.
3.20. Gestion avancée des mises à jour des applications
3.20.1. Les administrateurs informatiques peuvent autoriser la mise à jour des applications qui utilisent les mises à jour à priorité élevée lorsqu'une mise à jour est disponible.
3.20.2. Les administrateurs informatiques peuvent autoriser le report de mise à jour de 90 jours pour les applications.
3.21. Gestion des méthodes de provisionnement
L'EMM peut générer des configurations de provisionnement et les présenter à l'administrateur informatique sous un formulaire prêt à être distribué aux utilisateurs finaux (par exemple, code QR, configuration sans contact, URL Play Store).
4. Gestion des appareils
4.1. Gestion des règles d'autorisation d'exécution
Les administrateurs informatiques peuvent définir en mode silencieux une réponse par défaut aux demandes d'autorisation d'exécution émises par les applications professionnelles.
4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une stratégie d'autorisation d'exécution par défaut pour leur organisation:
- invite (laisse les utilisateurs choisir)
- allow
- deny
L'EMM doit appliquer ces paramètres à l'aide de l'outil DPC de l'EMM.
4.2. Gestion de l'état d'attribution des autorisations d'exécution
Après avoir défini une stratégie d'autorisation d'exécution par défaut (passer à la version 4.1), Les administrateurs informatiques peuvent définir en silence des réponses pour des autorisations spécifiques à partir de toute application professionnelle créée à l'aide de l'API 23 ou version ultérieure.
4.2.1. Les administrateurs informatiques doivent pouvoir définir l'état d'attribution (par défaut, accord ou refus) de toute autorisation demandée par une application professionnelle créée avec l'API 23 ou version ultérieure. L'EMM doit appliquer ces paramètres à l'aide de l'outil DPC de l'EMM.
4.3. Gestion de la configuration Wi-Fi
Les administrateurs informatiques peuvent provisionner en arrière-plan des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris:
4.3.1. SSID, via le DPC de l'EMM.
4.3.2. Mot de passe, via le DPC de l'EMM
4.4. Gestion de la sécurité Wi-Fi
Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise sur des appareils gérés qui incluent les fonctionnalités de sécurité avancées suivantes:
4.4.1. d'identité, via le DPC de l'EMM.
4.4.2. Certificat d'autorisation du client, via l'outil DPC de l'EMM
4.4.3. un ou plusieurs certificats CA, via le DPC de l'EMM.
4.5. Gestion avancée des réseaux Wi-Fi
Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés afin d'empêcher les utilisateurs de créer des configurations ou de modifier des configurations d'entreprise.
4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise de l'une des façons suivantes:
- Les utilisateurs ne peuvent pas modifier les configurations Wi-Fi provisionnées par l'EMM, mais peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (par exemple, des réseaux personnels).
- Ils ne peuvent pas ajouter ni modifier de réseau Wi-Fi sur l'appareil, limitant ainsi la connectivité Wi-Fi aux seuls réseaux provisionnés par l'EMM.
4.6. Gestion de compte
Les administrateurs informatiques peuvent empêcher les comptes d'entreprise non autorisés d'interagir avec les données d'entreprise pour des services tels que la messagerie et les applications de stockage et de productivité SaaS. Sans cette fonctionnalité, il est possible d'ajouter des comptes personnels aux applications d'entreprise compatibles avec les comptes personnels, ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.
4.6.1. Les administrateurs informatiques peuvent empêcher l'ajout ou la modification de comptes.
- Lors de l'application de cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement, afin que vous ne puissiez pas contourner cette règle en ajoutant des comptes avant qu'elle ne soit appliquée.
4.7. Gestion des comptes Workspace
Les administrateurs informatiques peuvent s'assurer que les comptes Google non autorisés ne peuvent pas interagir avec les données d'entreprise. Sans cette fonctionnalité, des comptes Google personnels peuvent être ajoutés aux applications Google d'entreprise (par exemple, Google Docs ou Google Drive), ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.
4.7.1. Les administrateurs informatiques peuvent spécifier les comptes Google à activer lors du provisionnement, une fois le verrouillage de la gestion des comptes en place.
4.7.2. L'outil DPC de l'EMM doit inviter à activer le compte Google et s'assurer que seul le compte spécifique peut être activé en spécifiant le compte à ajouter.
- Sur les appareils antérieurs à Android 7.0, le DPC doit désactiver temporairement la restriction de gestion des comptes avant d'inviter l'utilisateur.
4.8. Gestion des certificats
Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification sur les appareils pour leur permettre d'accéder aux ressources de l'entreprise.
4.8.1. Les administrateurs informatiques peuvent installer des certificats d'identité d'utilisateur générés par leur PKI pour chaque utilisateur. La console EMM doit s'intégrer à au moins une ICP et distribuer les certificats générés à partir de cette infrastructure.
4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification dans le keystore géré.
4.9. Gestion avancée des certificats
Permet aux administrateurs informatiques de sélectionner silencieusement les certificats que des applications gérées spécifiques doivent utiliser. Cette fonctionnalité permet également aux administrateurs informatiques de supprimer des autorités de certification et des certificats d'identité des appareils actifs. Cette fonctionnalité empêche les utilisateurs de modifier les identifiants stockés dans le keystore géré.
4.9.1. Pour toute application distribuée sur des appareils, les administrateurs informatiques peuvent spécifier un certificat auquel l'application se verra accorder l'accès silencieux pendant l'exécution.
- Le certificat sélectionné doit être suffisamment générique pour permettre une configuration unique s'appliquant à tous les utilisateurs, chacun pouvant disposer d'un certificat d'identité spécifique à l'utilisateur.
4.9.2. Les administrateurs informatiques peuvent supprimer des certificats silencieusement du keystore géré.
4.9.3. Les administrateurs informatiques peuvent automatiquement désinstaller un certificat CA ou tous les certificats CA non système.
4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants dans le keystore géré.
4.9.5. Les administrateurs informatiques peuvent accorder à l'avance des certificats pour les applications professionnelles.
4.10. Gestion déléguée des certificats
Les administrateurs informatiques peuvent distribuer une application tierce de gestion des certificats sur les appareils et lui accorder un accès privilégié pour installer des certificats dans le keystore géré.
4.10.1. Les administrateurs informatiques spécifient un package de gestion des certificats à définir comme application de gestion des certificats déléguées par le DPC.
- La console peut éventuellement suggérer des packages de gestion des certificats connus, mais elle doit permettre à l'administrateur informatique de choisir parmi la liste des applications pouvant être installées pour les utilisateurs concernés.
4.11. Gestion avancée du VPN
Permet aux administrateurs informatiques de spécifier un VPN permanent afin de garantir que les données des applications gérées spécifiées passent toujours par un réseau privé virtuel (VPN) configuré.
4.11.1. Les administrateurs informatiques peuvent spécifier un package VPN arbitraire à définir comme VPN permanent.
- La console EMM peut éventuellement suggérer des packages VPN connus compatibles avec le VPN permanent, mais ne peut pas limiter les VPN disponibles pour la configuration Always On à une liste arbitraire.
4.11.2. Les administrateurs informatiques peuvent utiliser des configurations gérées pour spécifier les paramètres VPN d'une application.
4.12. Gestion IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. Étant donné que l'IME est partagé à la fois entre les profils professionnel et personnel, le blocage de l'utilisation d'IME empêche également de les utiliser à des fins personnelles. Toutefois, les administrateurs informatiques ne peuvent pas bloquer les IME du système sur les profils professionnels (consultez la gestion avancée des IME pour en savoir plus).
4.12.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME de longueur arbitraire (y compris une liste vide, qui bloque les IME hors système), qui peut contenir n'importe quel package IME arbitraire.
- La console EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir dans la liste des applications disponibles à installer, pour les utilisateurs concernés.
4.12.2. L'EMM doit informer les administrateurs informatiques que les IME du système ne peuvent pas être gérés sur les appareils dotés de profils professionnels.
4.13. Gestion IME avancée
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. La gestion IME avancée étend les fonctionnalités de base en permettant aux administrateurs informatiques de gérer également l'utilisation des IME système, qui sont généralement fournis par le fabricant ou l'opérateur de l'appareil.
4.13.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME de longueur arbitraire (à l'exception d'une liste vide, qui bloque tous les IME, y compris les IME système), qui peut contenir n'importe quel package IME arbitraire.
- La console EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir dans la liste des applications disponibles à installer, pour les utilisateurs concernés.
4.13.2. Les EMM doivent empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, car ce paramètre empêche tous les IME, y compris les IME système, d'être configurés sur l'appareil.
4.13.3. Les EMM doivent s'assurer que si une liste d'autorisation IME ne contient pas d'IME système, les IME tiers sont installés en mode silencieux avant que la liste d'autorisation ne soit appliquée sur l'appareil.
4.14. Gestion des services d'accessibilité
Les administrateurs informatiques peuvent gérer les services d'accessibilité autorisés sur les appareils des utilisateurs. Bien que les services d'accessibilité soient de puissants outils pour les utilisateurs handicapés ou ceux qui ne peuvent temporairement pas interagir avec leur appareil, ils peuvent interagir avec les données d'entreprise d'une manière non conforme à la politique de l'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de désactiver tout service d'accessibilité hors système.
4.14.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité de longueur arbitraire (y compris une liste vide, qui bloque les services d'accessibilité hors système), qui peut contenir n'importe quel package de services d'accessibilité arbitraire. Lorsqu'il est appliqué à un profil professionnel, il s'applique à la fois au profil personnel et au profil professionnel.
- La console peut éventuellement suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de faire leur choix dans la liste des applications pouvant être installées pour les utilisateurs concernés.
4.15. Gestion du partage de position
4.16. Gestion avancée du partage de position
- Haute précision.
- Capteurs uniquement, par exemple le GPS, à l'exclusion de la localisation fournie par le réseau.
- Économie de batterie, qui limite la fréquence des mises à jour.
- Désactivé.
4.17. Gestion de la protection après réinitialisation
Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en veillant à ce que les utilisateurs non autorisés ne puissent pas rétablir la configuration d'usine des appareils. Si la protection contre le rétablissement de la configuration d'usine entraîne des complexités opérationnelles lors du retour des appareils au service informatique, les administrateurs informatiques peuvent également désactiver complètement cette protection.
4.17.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine de leur appareil depuis les paramètres.
4.17.2. Les administrateurs informatiques peuvent spécifier les comptes de déverrouillage d'entreprise autorisés à provisionner des appareils après une réinitialisation.
- Ce compte peut être associé à une personne ou utilisé par l'ensemble de l'entreprise pour déverrouiller des appareils.
4.17.3. Les administrateurs informatiques peuvent désactiver la protection contre le rétablissement de la configuration d'usine pour les appareils spécifiés.
4.17.4. Les administrateurs informatiques peuvent lancer un effacement de données de l'appareil à distance qui peut éventuellement effacer les données de protection après réinitialisation, supprimant ainsi la protection après réinitialisation de l'appareil.
4.18. Contrôle avancé des applications
Les administrateurs informatiques peuvent empêcher les utilisateurs de désinstaller ou de modifier les applications gérées via les paramètres, par exemple en forçant la fermeture de l'application ou en vidant le cache de données d'une application.
4.18.1. Les administrateurs informatiques peuvent bloquer la désinstallation de toutes les applications gérées arbitraires ou de toutes les applications gérées.
4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données d'application dans les paramètres.
4.19. Gestion des captures d'écran
Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran lorsqu'ils se servent d'applications gérées. Ce paramètre permet de bloquer les applications de partage d'écran et les applications similaires (telles que l'Assistant Google) qui exploitent les fonctionnalités de capture d'écran du système.
4.19.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de faire des captures d'écran.
4.20. Désactiver les appareils photo
Les administrateurs informatiques peuvent désactiver l'utilisation des appareils photo par les applications gérées.
4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des appareils photo des appareils par les applications gérées.
4.21. Collecte des statistiques du réseau
Les administrateurs informatiques peuvent interroger les statistiques d'utilisation du réseau à partir du profil professionnel d'un appareil. Les statistiques collectées reflètent les données d'utilisation partagées avec les utilisateurs dans la section Consommation des données des paramètres. Les statistiques collectées s'appliquent à l'utilisation des applications dans le profil professionnel.
4.21.1. Les administrateurs informatiques peuvent interroger le récapitulatif des statistiques réseau d'un profil professionnel pour un appareil donné et une période configurable, puis afficher ces détails dans la console EMM.
4.21.2. Les administrateurs informatiques peuvent interroger le résumé d'une application dans les statistiques d'utilisation du réseau du profil professionnel pour un appareil donné et sur une période configurable, puis afficher ces informations organisées par UID dans la console EMM.
4.21.3. Les administrateurs informatiques peuvent interroger le réseau d'un profil professionnel sur l'utilisation des données historiques pour un appareil donné et sur une période configurable, puis afficher ces informations organisées par UID dans la console EMM.
4.22. Collecte avancée de statistiques réseau
Les administrateurs informatiques peuvent interroger les statistiques d'utilisation du réseau pour l'ensemble d'un appareil géré. Les statistiques collectées reflètent les données d'utilisation partagées avec les utilisateurs dans la section Utilisation des données des paramètres. Les statistiques collectées s'appliquent à l'utilisation des applications sur l'appareil.
4.22.1. Les administrateurs informatiques peuvent interroger le récapitulatif des statistiques réseau pour un appareil entier, pour un appareil donné et sur une période configurable, puis afficher ces détails dans la console EMM.
4.22.2. Les administrateurs informatiques peuvent interroger un résumé des statistiques d'utilisation du réseau d'applications pour un appareil donné et sur une période configurable, puis afficher ces informations organisées par UID dans la console EMM.
4.22.3. Les administrateurs informatiques peuvent interroger le réseau sur les données historiques d'utilisation pour un appareil donné et sur une période configurable, puis afficher ces informations organisées par UID dans la console EMM.
4.23. Redémarrer l'appareil
Les administrateurs informatiques peuvent redémarrer les appareils gérés à distance.
4.23.1. Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.
4.24. Gestion radio du système
Permet aux administrateurs informatiques de gérer de manière précise les signaux radio du réseau système et les règles d'utilisation associées.
4.24.1. Les administrateurs informatiques peuvent désactiver les diffusions cellulaires envoyées par les fournisseurs de services (par exemple, les alertes enlèvement).
4.24.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres du réseau mobile dans les paramètres.
4.24.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser les paramètres réseau dans les paramètres.
4.24.4. Les administrateurs informatiques peuvent autoriser ou interdire les données mobiles en itinérance.
4.24.5. Les administrateurs informatiques peuvent configurer l'appareil pour passer des appels téléphoniques sortants, à l'exception des appels d'urgence.
4.24.6. Les administrateurs informatiques peuvent définir si l'appareil peut envoyer et recevoir des SMS.
4.24.7. Grâce au partage de connexion, les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil comme point d'accès mobile.
4.24.8. Les administrateurs informatiques peuvent définir le délai d'expiration du Wi-Fi sur par défaut, uniquement lorsque l'appareil est branché ou jamais.
4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier des connexions Bluetooth existantes.
4,25 Gestion audio du système
Les administrateurs informatiques peuvent gérer en mode silencieux les fonctionnalités audio de l'appareil, y compris couper le son de l'appareil, empêcher les utilisateurs de modifier les paramètres de volume et empêcher les utilisateurs de réactiver le micro de l'appareil.
4.25.1. Les administrateurs informatiques peuvent désactiver le son des appareils gérés en mode silencieux.
4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de volume des appareils.
4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le micro de l'appareil.
4.26. Gestion de l'horloge système
Les administrateurs informatiques peuvent gérer les paramètres d'horloge et de fuseau horaire de l'appareil, et empêcher les utilisateurs de modifier automatiquement les paramètres de l'appareil.
4.26.1. Les administrateurs informatiques peuvent appliquer l'heure automatique du système, ce qui empêche l'utilisateur de définir la date et l'heure de l'appareil.
4.26.2. Les administrateurs informatiques peuvent activer ou désactiver silencieusement l'heure automatique et le fuseau horaire automatique.
4.27. Fonctionnalités avancées des appareils dédiés
Permet aux administrateurs informatiques de gérer des fonctionnalités plus précises des appareils dédiés afin de prendre en charge divers cas d'utilisation des kiosques.
4.27.1. Les administrateurs informatiques peuvent désactiver le verrouillage du clavier de l'appareil.
4.27.2. Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, bloquant ainsi les notifications et les Réglages rapides.
4.27.3. Les administrateurs informatiques peuvent forcer l'écran de l'appareil à rester allumé lorsque l'appareil est branché.
4.27.4. Les administrateurs informatiques peuvent empêcher l'affichage des interfaces utilisateur système suivantes:
- Toasts
- Superpositions d'applications
4.27.5. Les administrateurs informatiques peuvent autoriser la recommandation système pour les applications à ignorer le tutoriel utilisateur et d'autres conseils d'introduction au premier démarrage.
4.28. Gestion déléguée des champs d'application
Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.
4.28.1. Les administrateurs informatiques peuvent gérer les champs d'application suivants:
- Installation et gestion des certificats
- Gestion des configurations gérées
- Journalisation réseau
- Journalisation de sécurité
4.29. Prise en charge des ID spécifiques à l'inscription
À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil avec un profil professionnel via l'ID d'enregistrement, lequel est conservé lors du rétablissement de la configuration d'usine.
4.29.1. Les administrateurs informatiques peuvent définir et obtain un ID spécifique à l'enregistrement.
4.29.2. Cet identifiant spécifique à l'enregistrement doit être conservé lors du rétablissement de la configuration d'usine
5. Ergonomie des appareils
5.1. Personnalisation du provisionnement géré
Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités spécifiques à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par EMM lors du provisionnement.
5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant les détails suivants spécifiques à l'entreprise: couleur de l'entreprise, logo de l'entreprise, conditions d'utilisation de l'entreprise et autres clauses de non-responsabilité.
5.1.2. Les administrateurs informatiques peuvent déployer une personnalisation non configurable spécifique à EMM qui inclut les informations suivantes: couleur EMM, logo EMM, Conditions d'utilisation EMM et autres clauses de non-responsabilité.
5.1.3 [primaryColor] est obsolète pour la ressource Enterprise sur Android 10 ou version ultérieure.
- Les EMM doivent inclure les conditions d'utilisation et d'autres clauses de non-responsabilité concernant leur flux de provisionnement dans le bundle de clauses de non-responsabilité concernant le provisionnement du système, même si la personnalisation spécifique à EMM n'est pas utilisée.
- Les EMM peuvent définir leur personnalisation non configurable spécifique à EMM comme étant la valeur par défaut pour tous les déploiements, mais doivent autoriser les administrateurs informatiques à configurer leur propre personnalisation.
5.2. Personnalisation pour les entreprises
Les administrateurs informatiques peuvent personnaliser certains aspects du profil professionnel avec le branding de l'entreprise. Par exemple, les administrateurs informatiques peuvent définir l'icône utilisateur du profil professionnel sur le logo de l'entreprise. Un autre exemple consiste à configurer la couleur d'arrière-plan d'un défi de travail.
5.2.1. Les administrateurs informatiques peuvent définir la couleur de l'organisation à utiliser comme couleur d'arrière-plan du défi professionnel.
5.2.2. Les administrateurs informatiques peuvent définir le nom à afficher du profil professionnel.
5.2.3. Les administrateurs informatiques peuvent définir l'icône d'utilisateur du profil professionnel.
5.2.4. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'icône d'utilisateur du profil professionnel.
5.3. Personnalisation avancée pour les entreprises
Les administrateurs informatiques peuvent personnaliser les appareils gérés avec l'image de l'entreprise. Par exemple, les administrateurs informatiques peuvent définir l'icône de l'utilisateur principal sur le logo de l'entreprise ou le fond d'écran de l'appareil.
5.3.1. Les administrateurs informatiques peuvent définir le nom à afficher de l'appareil géré.
5.3.2. Les administrateurs informatiques peuvent définir l'icône utilisateur de l'appareil géré.
5.3.3. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier l'icône de l'appareil.
5.3.4. Les administrateurs informatiques peuvent définir le fond d'écran de l'appareil.
5.3.5. Les administrateurs informatiques peuvent empêcher l'utilisateur de modifier le fond d'écran de l'appareil.
5.4. Messages sur l'écran de verrouillage
Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur l'écran de verrouillage de l'appareil et qui n'a pas besoin de déverrouiller l'appareil pour être affiché.
5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage.
5.5. Gestion de la transparence des règles
Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils modifient les paramètres gérés sur leur appareil ou déployer un message d'assistance générique fourni par EMM. Les messages d'assistance courts et longs peuvent être personnalisés. Ces messages s'affichent, par exemple lorsque vous tentez de désinstaller une application gérée pour laquelle un administrateur informatique a déjà bloqué la désinstallation.
5.5.1. Les administrateurs informatiques personnalisent les messages d'assistance courts et longs.
5.5.2. Les administrateurs informatiques peuvent déployer des messages d'assistance courts et longs non configurables et spécifiques à EMM.
- Le fournisseur EMM peut définir ses messages d'assistance spécifiques, non configurables comme étant la valeur par défaut pour tous les déploiements, mais doit autoriser les administrateurs informatiques à configurer leurs propres messages.
5.6. Gestion des contacts interprofils
Les administrateurs informatiques peuvent contrôler les données de contact autorisées à quitter le profil professionnel. Les applications de téléphonie et de messagerie (SMS) doivent toutes deux s'exécuter dans le profil personnel et nécessiter l'accès aux données des contacts du profil professionnel pour proposer une fonctionnalité de contact professionnel. Toutefois, les administrateurs peuvent choisir de désactiver ces fonctionnalités pour protéger les données professionnelles.
5.6.1. Les administrateurs informatiques peuvent désactiver la recherche de contacts dans tous les profils pour les applications personnelles qui utilisent le fournisseur de contacts système.
5.6.2. Les administrateurs informatiques peuvent désactiver la recherche dans tous les profils du numéro de l'appelant pour les applications de téléphonie personnelle qui utilisent le fournisseur de contacts système.
5.6.3. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth avec les appareils Bluetooth qui utilisent le fournisseur de contacts système (par exemple, les appels mains libres dans les voitures ou les casques).
5.7. Gestion des données interprofils
Permet aux administrateurs informatiques de gérer les données qui peuvent quitter le profil professionnel, au-delà des fonctionnalités de sécurité par défaut du profil professionnel. Grâce à cette fonctionnalité, les administrateurs informatiques peuvent autoriser certains types de partage de données entre les profils afin d'améliorer la facilité d'utilisation dans les principaux cas d'utilisation. Les administrateurs informatiques peuvent aussi renforcer la protection des données d'entreprise en appliquant davantage de confinements.
5.7.1. Les administrateurs informatiques peuvent configurer des filtres d'intent interprofils afin que les applications personnelles puissent résoudre les intents du profil professionnel, tels que les intents de partage ou les liens Web.
- La console peut éventuellement suggérer des filtres d'intent connus ou recommandés pour la configuration, mais ne peut pas les limiter à une liste arbitraire.
5.7.2. Les administrateurs informatiques peuvent autoriser les applications gérées pouvant afficher des widgets sur l'écran d'accueil.
- La console EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications pouvant être installées pour les utilisateurs concernés.
5.7.3. Les administrateurs informatiques peuvent bloquer l'utilisation du copier-coller entre les profils professionnel et personnel.
5.7.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager les données du profil professionnel à l'aide du faisceau NFC.
5.7.5. Les administrateurs informatiques peuvent autoriser les applications personnelles à ouvrir des liens Web à partir du profil professionnel.
5.8. Règle de mise à jour du système
Les administrateurs informatiques peuvent configurer et appliquer les mises à jour système Over The Air (OTA) pour les appareils.
5.8.1. La console EMM permet aux administrateurs informatiques de définir les configurations OTA suivantes:
- Automatique: les appareils reçoivent les mises à jour OTA lorsqu'elles sont disponibles.
- Reporter: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA pendant 30 jours maximum. Cette règle n'affecte pas les mises à jour de sécurité (par exemple, les correctifs de sécurité mensuels).
- Fenêtre: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA dans un intervalle de maintenance quotidien.
5.8.2. L'outil DPC d'EMM applique les configurations OTA aux appareils.
5.9. Verrouiller la gestion du mode tâche
Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran, et s'assurer que les utilisateurs ne peuvent pas quitter l'application.
5.9.1. La console EMM permet aux administrateurs informatiques d'autoriser silencieusement l'installation d'un ensemble arbitraire d'applications sur un appareil et de les verrouiller. Le DPC d'EMM autorise un mode d'appareil dédié.
5.10. Gestion persistante des activités préférées
Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents correspondant à un certain filtre d'intent. Par exemple, les administrateurs informatiques peuvent choisir l'application de navigateur qui ouvre automatiquement les liens Web, ou l'application de lanceur à utiliser lorsqu'ils appuient sur le bouton d'accueil.
5.10.1. Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour tout filtre d'intent arbitraire.
- La console EMM peut éventuellement suggérer des intents connus ou recommandés pour la configuration, mais ne peut pas limiter les intents à une liste arbitraire.
- La console EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications que les utilisateurs concernés peuvent installer.
5.11. Gestion des fonctionnalités KeyGuard
- agents de confiance
- déverrouillage par empreinte digitale
- notifications non masquées
5.11.2. Le DPC d'EMM peut désactiver les fonctionnalités de verrouillage du clavier suivantes dans le profil professionnel:
- agents de confiance
- déverrouillage par empreinte digitale
5.12. Gestion avancée des fonctionnalités de verrouillage du clavier
- Caméra sécurisée
- Toutes les notifications
- Notifications non masquées
- Agents de confiance
- Déverrouillage par empreinte digitale
- Toutes les fonctionnalités de verrouillage du clavier
5.13. Débogage à distance
Les administrateurs informatiques peuvent récupérer les ressources de débogage des appareils sans nécessiter d'étapes supplémentaires.
5.13.1. Les administrateurs informatiques peuvent demander des rapports de bugs à distance, afficher les rapports de bugs depuis la console EMM et les télécharger depuis la console EMM.
5.14. Récupération des adresses MAC
Les EMM peuvent récupérer l'adresse MAC d'un appareil en mode silencieux. L'adresse MAC peut être utilisée pour identifier des appareils dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification des appareils pour le contrôle d'accès au réseau).
5.14.1. Le fournisseur EMM peut récupérer silencieusement l'adresse MAC d'un appareil et l'associer à l'appareil dans la console EMM.
5.15. Gestion avancée du mode tâches verrouillées
Lorsqu'un appareil est configuré en tant qu'appareil dédié, les administrateurs informatiques peuvent utiliser la console EMM pour effectuer les tâches suivantes:
5.15.1. Autoriser en mode silencieux une application unique à se verrouiller sur un appareil via le DPC de l'EMM
5.15.2. Activez ou désactivez les fonctionnalités suivantes de l'interface utilisateur système via le DPC de l'EMM:
- Bouton "Accueil"
- Présentation
- Actions générales
- Notifications
- Informations système / Barre d'état
- Protection du clavier (écran de verrouillage)
5.15.3. Désactivez les boîtes de dialogue d'erreur système via le DPC de l'EMM.
5.16. Règle avancée de mise à jour du système
Les administrateurs informatiques peuvent bloquer les mises à jour du système sur un appareil pendant une période de blocage spécifiée.
5.16.1. Le DPC d'EMM peut appliquer des mises à jour du système Over The Air (OTA) aux appareils pendant une période de blocage spécifiée.
5.17. Gestion de la transparence des règles du profil professionnel
Les administrateurs informatiques peuvent personnaliser le message affiché lorsque les utilisateurs suppriment le profil professionnel d'un appareil.
5.17.1. Les administrateurs informatiques peuvent fournir du texte personnalisé à afficher lorsqu'un profil professionnel est effacé.
5.18. Assistance pour les applications connectées
Les administrateurs informatiques peuvent définir une liste de packages pouvant communiquer au-delà des limites du profil professionnel.
5.19. Mises à jour manuelles du système
Les administrateurs informatiques peuvent installer manuellement une mise à jour du système en fournissant un chemin de fichier.
6. Abandon de l'outil d'administration des appareils
6. Abandon de l'outil d'administration des appareils
Les fournisseurs EMM doivent publier un forfait d'ici la fin de l'année 2022. Fin de l'assistance pour l'Administrateur des appareils sur les appareils GMS d'ici la fin du 1er trimestre 2023.