רשימת התכונות ב-Android Enterprise

ה-DPC של ה-EMM חייב להיות זמין לציבור ב-Google Play, כדי שהמשתמשים יוכלו להתקין את ה-DPC בצד האישי של המכשיר.

1.1.2. לאחר ההתקנה, ה-DPC צריך להנחות את המשתמש בתהליך של הקצאת פרופיל העבודה.

1.1.3. בסיום ההקצאה, לא יכולה להישאר נוכחות ניהול בצד האישי של המכשיר.

• יש להסיר כל מדיניות שהוגדרה במהלך ניהול התצורה.
• צריך לשלול את ההרשאות הניתנות לאפליקציה.
• לכל הפחות, צריך להשבית את בקר ה-DPC של ה-EMM בצד האישי של המכשיר.

1.2.1. ה-DPC של ה-EMM חייב להיות זמין באופן ציבורי ב-Google Play. כדי להתקין את ה-DPC דרך אשף הגדרת המכשיר, יש להזין מזהה ספציפי לבקרת DPC.

1.3.1. ספקי EMM חייבים להשתמש בתגים מסוג 2 של פורום NFC עם זיכרון של 888 בייטים לפחות. כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרתים ומזהי הרשמה, יש להשתמש בתוספות של הקצאות. פרטי הרישום לא צריכים לכלול מידע רגיש, כמו סיסמאות או אישורים.

1.3.2. אחרי שה-DPC של ה-EMM מגדיר את עצמו כבעלים של המכשיר, בקר ה-DPC חייב להיפתח מיד ולנעול את עצמו במסך עד שהמכשיר יותאם במלואו.

1.4.1. קוד ה-QR צריך לכלול תוספות להקצאה כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרתים ומזהי רישום. פרטי הרישום לא יכולים לכלול מידע רגיש, כמו סיסמאות או אישורים.

1.4.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC צריך להיפתח מיד ולנעול את עצמו במסך עד שהמכשיר יותאם במלואו.

1.5.1. אדמינים ב-IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמפורטת במאמר הרשמה דרך הארגון לאדמינים ב-IT.

1.6.1. אדמינים ב-IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון לאדמינים ב-IT.

1.6.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC של ה-EMM צריך להיפתח מיד ולנעול את עצמו במסך עד להקצאה מלאה של המכשיר.

• השירות הזה מוותר על מכשירים שמשתמשים בפרטי הרשמה דרך הארגון כדי להקצות את עצמם באופן מלא בשקט (למשל, בפריסת מכשיר ייעודית).

1.6.3. תוך שימוש בפרטי הרישום, ה-DPC של ה-EMM חייב להבטיח שמשתמשים לא מורשים לא יוכלו להמשיך בהפעלה לאחר הפעלת ה-DPC. לכל הפחות, צריך להגביל את ההפעלה למשתמשים בארגון מסוים.

1.6.4. בעזרת פרטי הרישום, ה-DPC של ה-EMM צריך לאפשר לאדמינים ב-IT לאכלס מראש את פרטי הרישום (למשל, מזהי שרת, מזהי הרשמה) בנוסף למידע ייחודי על המשתמש או המכשיר (למשל, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשמפעילים מכשיר.

• אסור לכלול ב-EMM מידע רגיש, כמו סיסמאות או אישורים, בתצורה של ההרשמה דרך הארגון.

1.8.1. שיטת ההקצאה של חשבון Google מקצה מכשיר בבעלות החברה, בהתאם להנחיות ההטמעה המוגדרות.

1.8.2. אלא אם ה-EMM לא יכול לזהות באופן חד-משמעי את המכשיר כנכס ארגוני, הוא לא יכול להקצות מכשיר ללא הודעה במהלך תהליך ההקצאה. ההנחיה הזו צריכה לבצע פעולה שלא מוגדרת כברירת מחדל, כמו סימון תיבה או בחירה של אפשרות בתפריט שלא מוגדרת כברירת מחדל. מומלץ שה-EMM יוכל לזהות את המכשיר כנכס ארגוני, לכן לא צריך את הבקשה.

1.10.1 מנהלי IT יכולים להגדיר מכשיר בתור פרופיל עבודה במכשיר בבעלות החברה, באמצעות קוד QR או הרשמה דרך הארגון.

1.10.2 מנהלי IT יכולים להגדיר פעולות תאימות לפרופילים של עבודה במכשירים בבעלות החברה.

1.10.3 אדמינים ב-IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו.

1.10.4 מנהלי IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו.

1.10.5 מנהלי IT יכולים להגדיר רשימת היתרים או רשימת חסימה של אפליקציות שאפשר או שאי אפשר להתקין בפרופיל האישי.

2.1.1. המדיניות חייבת לאכוף הגדרות לניהול אתגרי אבטחה במכשיר (parentProfilePasswordדרישות לפרופיל עבודה, דרישות סיסמה למכשירים שמנוהלים באופן מלא ומכשירים ייעודיים).

2.1.2. מורכבות הסיסמה חייבת להתאים למורכבים הבאים של סיסמאות:

• PASSWORD_COMPLEXITY_LOW - דפוס או סיכה עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
• PASSWORD_COMPLEXITY_MEDIUM - קוד אימות ללא חזרה (4444) או רצף (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 לפחות
• PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או רצפים לפי סדר (1234, 4321, 2468) ובאורך של 8 סיסמאות או סיסמאות אלפאנומריות לפחות, באורך של 6 לפחות

2.2.1. המדיניות חייבת לאכוף את אתגר האבטחה בפרופיל העבודה. כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא צוין היקף. אדמינים ב-IT יכולים להגדיר את ההיקף הזה ברמת המכשיר על ידי ציון ההיקף שלו (לעיון בדרישה 2.1)

2.1.2. מורכבות הסיסמה צריכה להתאים למורכבים הבאים של סיסמאות:

• PASSWORD_COMPLEXITY_LOW - דפוס או סיכה עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
• PASSWORD_COMPLEXITY_MEDIUM - קוד אימות ללא חזרה (4444) או רצף (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 לפחות
• PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או רצפים לפי סדר (1234, 4321, 2468) ובאורך של 8 סיסמאות או סיסמאות אלפאנומריות לפחות, באורך של 6 לפחות

2.3.2. [הדף ריק]

2.3.3. ניתן לקבוע את ההגדרות הבאות של מחזור החיים של סיסמה עבור כל מסך נעילה הזמין במכשיר:

1. [הדף ריק]
2. [הדף ריק]
3. מספר מקסימלי של סיסמאות שנכשלו למחיקה: המדיניות הזו מציינת את מספר הפעמים שמשתמשים יכולים להזין סיסמה שגויה לפני שהנתונים הארגוניים נמחקים מהמכשיר. לאדמינים ב-IT צריכה להיות אפשרות להשבית את התכונה הזו.

2.3.4. (Android 8.0 ואילך) זמן קצוב לתפוגה של נדרש אימות חזק: יש להזין קוד סיסמה חזק לאימות (כמו קוד אימות או סיסמה) לאחר פרק זמן הקצוב לתפוגה שהוגדר על ידי מנהל IT. לאחר פרק הזמן הקצוב לתפוגה, שיטות אימות לא חזקות (כמו טביעת אצבע ופתיחה ע"י זיהוי הפנים) יושבתו עד לביטול נעילת המכשיר באמצעות קוד סיסמה חזק לאימות.

2.4.1. אדמינים ב-IT יכולים להשבית את הסביבות האמינות של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר.

2.4.2. מנהלי IT יכולים להתיר ולהגדיר באופן סלקטיבי סוכנים מהימנים של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר, לסביבות האמינות הבאות: Bluetooth, NFC, מקומות, פנים, נשיאה על הגוף וקול.

• אדמינים ב-IT יכולים לשנות את הפרמטרים הזמינים של הגדרת סביבה אמינה.

2.5.1. ה-DPC של ה-EMM צריך לנעול את המכשירים.

2.7.1. ה-DPC של ה-EMM חייב לחסום התקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה.

2.8.1. ה-DPC של ה-EMM חייב להשבית את האתחול במצב בטוח כברירת מחדל.

2.8.2. כדי להבטיח שלא תהיה אינטראקציה עם המכשיר בשום דרך אחרת, יש לפתוח את ה-DPC של ה-EMM ולנעול אותו במסך מיד במהלך ההפעלה הראשונה.

ה-EMM משתמש ב-Play Integrity API כדי לוודא שמכשירים הם מכשירי Android תקפים.

2.9.1. בקר ה-DPC של ה-EMM מטמיע את Play Integrity API במהלך ההקצאה, ומשלים כברירת מחדל את ההקצאה של המכשיר לנתונים ארגוניים רק כשרמת התקינות של המכשיר מוחזרת MEETS_STRONG_INTEGRITY.

2.9.2. ה-DPC של ה-EMM יבצע בדיקת תקינות נוספת של Play בכל פעם שהמכשיר יתחבר לשרת ה-EMM, שאדמין ה-IT יכול להגדיר. שרת ה-EMM יאמת את פרטי ה-APK בתגובה של בדיקת התקינות ובתגובה עצמה, לפני עדכון המדיניות הארגונית במכשיר.

2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך התוצאה של בדיקת התקינות ב-Play, כולל חסימה של ניהול ההקצאות, איפוס הנתונים הארגוניים ואישור להמשיך בהרשמה.

• שירות ה-EMM יאכוף את התגובה הזו למדיניות בהתאם לתוצאה של כל בדיקת תקינות.

2.11.1. ה-DPC של ה-EMM מנצל את האחסון המוצפן של המכשיר כדי לבצע פונקציות ניהול קריטיות, לפני פענוח האחסון המוצפן של פרטי הכניסה ב-DPC. פונקציות הניהול הזמינות במהלך ההפעלה הישירה חייבות לכלול (בין היתר):

• איפוס נתונים בארגון, כולל היכולת לאפס את נתוני ההגנה מפני איפוס להגדרות המקוריות, לפי הצורך.

2.11.2. אסור שה-DPC של ה-EMM יחשוף נתונים ארגוניים באחסון המוצפן של המכשיר.

2.12.1. אדמינים ב-IT יכולים לחסום משתמשים להתקין מדיה פיזית חיצונית במכשיר שלהם.

2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות אלגוריתם NFC. תכונת המשנה הזו היא אופציונלית כי ב-Android מגרסה 10 ואילך כבר אין תמיכה בפונקציית אלומה של NFC.

2.13.1. אדמינים ב-IT יכולים להפעיל רישום ביומן אבטחה במכשירים ספציפיים, והבקר ה-DPC של ה-EMM צריך להיות מסוגל לאחזר באופן אוטומטי גם יומני אבטחה וגם יומני אבטחה לפני הפעלה מחדש.

2.13.2. אדמינים ב-IT יכולים לבדוק במסוף ה-EMM את יומני האבטחה של הארגון במכשיר מסוים ובחלון זמן שאפשר להגדיר.

3.1.1. רישום הארגון של חשבונות Google Play מנוהלים באמצעות ממשק API של Google Play לניהול מכשירים ניידים.

3.1.2. המסוף של EMM צריך להקצות ולהגדיר ESA באופן שקט לכל ארגון.

3.2.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן שקט, בהתאם להנחיות ההטמעה המוגדרות. כך:

• למכשיר נוסף חשבון Google Play מנוהל מסוג userAccount.
• בחשבון Google Play לארגונים מסוג userAccount חייב להיות מיפוי מסוג '1-1' עם המשתמשים בפועל במסוף של ה-EMM.

3.4.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן שקט, בהתאם להנחיות ההטמעה המוגדרות. כך:

1. למכשיר נוסף חשבון Google Play מנוהל מסוג userAccount.
2. בחשבון Google Play לארגונים מסוג userAccount חייב להיות מיפוי מסוג '1-1' עם המשתמשים בפועל במסוף של ה-EMM.

3.5.1. מסוף ה-EMM צריך להשתמש ב-Play EMM API כדי לאפשר לאדמינים ב-IT להתקין אפליקציות לעבודה במכשירים מנוהלים.

3.5.2. מסוף ה-EMM חייב להשתמש בממשק ה-API של Play EMM כדי לאפשר לאדמינים ב-IT לעדכן אפליקציות לעבודה במכשירים מנוהלים.

3.6.1. המסוף של ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות התצורה המנוהלות של כל אפליקציית Play.

• ספקי EMM יכולים להפעיל את Products.getAppRestrictionsSchema כדי לאחזר את הסכימה של ההגדרות המנוהלות של האפליקציה, או להטמיע iframe של ההגדרות המנוהלות במסוף ה-EMM.

3.6.2. המסוף של ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר כל סוג הגדרה (כפי שמוגדר ב-Android framework) לכל אפליקציה של Play באמצעות Play EMM API.

3.6.3. מסוף ה-EMM צריך לאפשר למנהלי IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שניתן יהיה להחיל הגדרה יחידה לאפליקציה, כמו Gmail, על מספר משתמשים. ה-iframe של ההגדרות המנוהלות תומך בדרישה הזו באופן אוטומטי.

3.7.1. המסוף של ה-EMM יכול להציג רשימה של אפליקציות שאושרו להפצה, כולל:

• אפליקציות שנרכשו ב-Google Play לארגונים
• אפליקציות פרטיות גלויות למנהלי IT
• אפליקציות שאושרו באופן פרוגרמטי

3.10.1. אדמינים ב-IT יכולים לבצע את הפעולות הבאות במסוף ה-EMM כדי להתאים אישית את הפריסה של חנות Google Play לארגונים:

• ליצור עד 100 דפים בפריסת חנות. לדפים יכול להיות מספר שרירותי של שמות דפים שמותאמים לשוק המקומי.
• ליצור עד 30 אשכולות לכל דף. לאשכולות יכול להיות מספר שרירותי של שמות אשכולות שהותאמו לשוק המקומי.
• אפשר להקצות עד 100 אפליקציות לכל אשכול.
• אפשר להוסיף עד 10 קישורים מהירים לכל דף.
• ציון סדר המיון של אפליקציות באשכול ואשכולות בתוך דף.

3.11.1. באפליקציות בתשלום שאושרו ברמת הארגון, במסוף ה-EMM צריך להופיע:

• מספר הרישיונות שנרכשו.
• מספר הרישיונות שנצרכו והמשתמשים שצורכים את הרישיונות.
• מספר הרישיונות הזמינים להפצה.

3.11.2. אדמינים ב-IT יכולים להקצות רישיונות למשתמשים בלי לאלץ את התקנת האפליקציה באף אחד מהמכשירים של המשתמשים.

3.12.1. אדמינים ב-IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:

אדמינים ב-IT יכולים לקרוא פרטים נוספים במאמר תמיכה באפליקציות פרטיות.

3.13.1. המסוף של EMM חייב לעזור למנהלי IT לארח את ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:

• אירוח ה-APK בשרת של ה-EMM. השרת יכול להיות מקומי או מבוסס ענן.
• אירוח ה-APK מחוץ לשרת ה-EMM, לפי שיקול דעתו של מנהל ה-IT. האדמין ב-IT צריך לציין במסוף ה-EMM את המיקום שבו מתארח ה-APK.

3.13.2. המסוף של ה-EMM צריך ליצור קובץ מתאים של הגדרת APK באמצעות ה-APK שסופק, ועליו להנחות את מנהלי ה-IT בתהליך הפרסום.

3.13.3. מנהלי IT יכולים לעדכן אפליקציות פרטיות באירוח עצמי, והמסוף של EMM יכול לפרסם באופן שקט קובצי הגדרות APK מעודכנים באמצעות Google Play Developer Publishing API.

3.13.4. שרת ה-EMM שולח בקשות הורדה רק ל-APK באירוח עצמי שמכיל JWT חוקי בתוך קובץ ה-Cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.

• כדי להקל על התהליך, השרת של ה-EMM צריך להנחות מנהלי IT בכדי להוריד את המפתח הציבורי של הרישיון של האפליקציה באירוח עצמי מ-Play Google Developers Console, ולהעלות את המפתח הזה למסוף ה-EMM.

3.14.1. ה-EMM חייב להשתמש בהתראות EMM של Play כדי למשוך קבוצות התראות.

3.14.2. ספק ה-EMM צריך להודיע אוטומטית לאדמין ב-IT (למשל באמצעות אימייל אוטומטי) על אירועי ההתראות הבאים:

• newPermissionEvent: כדי שתהיה אפשרות להתקין את האפליקציה או לעדכן אותה במכשירים של משתמשים, צריך שאדמין ב-IT יאשר את ההרשאות החדשות שלה.
• appRestrictionsSchemaChangeEvent: יכול להיות שיהיה צורך לבקש מאדמין ב-IT לעדכן את ההגדרות המנוהלות של האפליקציה כדי לשמור על הפונקציונליות הרצויה.
• appUpdateEvent: אדמינים ב-IT שרוצים לוודא שהפונקציונליות העיקרית של תהליך העבודה לא מושפעת מעדכון האפליקציה.
• productAvailabilityChangeEvent: עלולה להיות השפעה על היכולת להתקין את האפליקציה או לבצע עדכוני אפליקציה.
• installFailureEvent: אין ל-Play אפשרות להתקין אפליקציה במכשיר במצב שקט. יש חשד שמשהו בהגדרות המכשיר מונע את ההתקנה. ספקי EMM לא צריכים לנסות שוב לבצע התקנה שקטה באופן מיידי אחרי קבלת ההודעה הזו, כי הלוגיקה של הניסיונות החוזרים של Play כבר תיכשל.

3.14.3. ה-EMM נוקט באופן אוטומטי את הפעולות המתאימות בהתאם לאירועי ההתראות הבאים:

• newDeviceEvent: במהלך הקצאת מכשירים, ספקי EMM חייבים להמתין ל-newDeviceEvent לפני ביצוע קריאות נוספות ל-API של Play EMM במכשיר החדש, כולל התקנות של אפליקציות שקטות והגדרה של הגדרות מנוהלות.
• productApprovalEvent: כשמקבלים התראה על productApprovalEvent, ספק ה-EMM חייב לעדכן אוטומטית את רשימת האפליקציות שאושרו שיובאו למסוף ה-EMM כדי להפיץ אותן למכשירים, אם יש פעילות פעילה של אדמין ב-IT או אם רשימת האפליקציות שאושרו לא נטענת מחדש באופן אוטומטי בתחילת כל סשן של אדמין ב-IT.

3.15.1. ספק ה-EMM חייב לפעול בהתאם למגבלות השימוש של Play EMM API. אם לא תתקנו התנהגות שחורגת מההנחיות האלה, ייתכן שנשעה את השימוש ב-API, לפי שיקול דעתה של Google.

3.15.2. ה-EMM צריך לפזר את התנועה מארגונים שונים לאורך היום, במקום לאחד את התנועה בארגון בזמנים ספציפיים או דומים. התנהגות שמתאימה לדפוס תעבורת הנתונים הזה, כמו פעולות מתוזמנות באצווה לכל מכשיר רשום, עשויה לגרום להשעיית השימוש ב-API, לפי שיקול דעתה של Google.

• טכנולוגיית iFrame מנוהלת ב-Google Play או
• ממשק משתמש מותאם אישית.

3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שהוחזר על ידי ערוץ המשוב של האפליקציה, כשהוא הוגדר על ידי אדמין ב-IT.

• המסוף של ה-EMM חייב לאפשר למנהלי IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שמהם הוא הגיע.
• המסוף של EMM צריך לאפשר לאדמינים ב-IT להירשם לקבלת התראות או דיווחים על סוגי הודעות ספציפיים (כמו הודעות שגיאה).

3.16.3. מסוף ה-EMM צריך לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהוגדרו באופן ידני על ידי האדמין באמצעות:

• ה-iframe של ההגדרות המנוהלות, או
• ממשק משתמש בהתאמה אישית.

3.17.1. אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:

3.18.1. ספקי EMM יכולים לנהל את מחזור החיים של חשבון Google Play מנוהל בהתאם להנחיות ההטמעה שמפורטות במסמכי התיעוד למפתחים בנושא Play EMM API.

3.18.2. ספקי EMM יכולים לאמת מחדש חשבונות Google Play מנוהלים ללא אינטראקציה של המשתמש.

3.20.2. אדמינים ב-IT יכולים לאפשר דחייה של עדכוני אפליקציות למשך 90 יום.

4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשמגדירים מדיניות ברירת מחדל להרשאות בתחילת הפעלה עבור הארגון:

• הנחיה (המשתמשים יכולים לבחור)
• לאפשר
• דחייה

4.3.1. SSID, דרך ה-DPC של EMM.

4.4.1. זהות, דרך הבקר DPC של EMM.

4.4.2. אישור עבור הרשאת לקוחות, דרך ה-DPC של EMM.

4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi בארגון בכל אחת מהתצורות האלה:

• המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצו על ידי ה-EMM, אבל יכולים להוסיף ולשנות רשתות משלהם שניתן להגדיר (למשל רשתות אישיות).
• המשתמשים לא יכולים להוסיף או לשנות רשתות Wi-Fi במכשיר, וכך להגביל את קישוריות ה-Wi-Fi רק לרשתות שהוקצו על ידי ה-EMM.

4.6.1. מנהלי IT יכולים למנוע הוספה או שינוי של חשבונות.

• כשאוכפים את המדיניות הזו במכשיר, ספקי EMM חייבים להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שלא תהיה אפשרות לעקוף את המדיניות הזו על-ידי הוספת חשבונות לפני שהמדיניות נחקקת.

4.7.1. אדמינים ב-IT יכולים להגדיר חשבונות Google להפעלה במהלך ההקצאה, אחרי הנעילה של ניהול החשבון.

4.7.2. ה-DPC של ה-EMM צריך לשלוח בקשה להפעלת חשבון Google, ולוודא שאפשר להפעיל רק את החשבון הספציפי באמצעות ציון החשבון שרוצים להוסיף.

• במכשירים עם גרסת Android 7.0 ומטה, ה-DPC צריך להשבית באופן זמני את הגבלת ניהול החשבון לפני שליחת בקשה למשתמש.

4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים שנוצרו על ידי ה-PKI על בסיס משתמש ספציפי. המסוף של ה-EMM צריך להשתלב עם PKI אחד לפחות ולהפיץ את האישורים שנוצרו מהתשתית הזו.

4.9.1. לכל אפליקציה שמופצת למכשירים, מנהלי IT יכולים לציין אישור שהאפליקציה תקבל גישה אליו באופן שקט במהלך זמן הריצה.

• בחירת האישור צריכה להיות כללית מספיק כדי לאפשר הגדרה יחידה החלה על כל המשתמשים, ולכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.

4.9.2. אדמינים ב-IT יכולים להסיר אישורים ממאגר המפתחות המנוהל באופן שקט.

4.9.3. אדמינים ב-IT יכולים להסיר את ההתקנה של אישור CA או את כל אישורי ה-CA שאינם של המערכת.

4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה במאגר המפתחות המנוהל.

4.9.5. אדמינים ב-IT יכולים להעניק אישורים מראש לאפליקציות לעבודה.

4.10.1. מנהלי IT מציינים חבילת ניהול אישורים שמוגדרת כאפליקציה לניהול אישורים מואצלת על ידי ה-DPC.

• יכול להיות שהמסוף יציע חבילות ידועות לניהול אישורים, אבל הוא חייב לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.

4.11.1. מנהלי IT יכולים לציין חבילת VPN שרירותית שתישמר כ-VPN שפועל כל הזמן.

• המסוף של ה-EMM יכול באופן אופציונלי להציע חבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל לא יכול להגביל את רשתות ה-VPN הזמינות להגדרה תמידית לרשימה שרירותית כלשהי.

4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לקבוע את הגדרות ה-VPN של אפליקציה.

4.12.1. מנהלי IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (כולל רשימה ריקה, שחוסמת רכיבי IME שאינם של מערכת), שעשויה להכיל חבילות IME שרירותיות.

• המסוף של EMM יכול באופן אופציונלי להציע רכיבי IME מוכרים או מומלצים שייכללו ברשימת ההיתרים, אבל חייב לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.

4.13.1. מנהלי IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל רכיבי ה-IME, כולל רכיבי IME של המערכת), שעשויה להכיל חבילות IME שרירותיות.

• המסוף של EMM יכול באופן אופציונלי להציע רכיבי IME מוכרים או מומלצים שייכללו ברשימת ההיתרים, אבל חייב לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.

4.13.2. ספקי EMM חייבים למנוע ממנהלי IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום במכשיר את ההגדרה של כל רכיבי ה-IME, כולל רכיבי IME של המערכת.

4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים לשירותי נגישות באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם של המערכת), שיכול להכיל כל חבילת שירותי נגישות שרירותית. אם מחילים אותם על פרופיל עבודה, הם משפיעים גם על הפרופיל האישי וגם על פרופיל העבודה.

• יכול להיות שבמסוף יוצגו הצעות לשירותי נגישות מוכרים או מומלצים להוספה לרשימת ההיתרים, אבל אדמינים ב-IT יוכלו לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור המשתמשים הרלוונטיים.

• רמת דיוק גבוהה.
• חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שמספקת הרשת.
• חיסכון בסוללה, שמגביל את תדירות העדכון.
• כבוי.

4.17.1. מנהלי IT יכולים למנוע ממשתמשים לאפס את המכשיר שלהם להגדרות המקוריות בהגדרות.

4.17.2. אדמינים ב-IT יכולים לציין חשבונות עסקיים שבהם יש הרשאה להקצאת מכשירים אחרי איפוס להגדרות המקוריות.

• אפשר לקשר את החשבון הזה לאדם פרטי, או לארגון כולו כדי לבטל את הנעילה של מכשירים.

4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות במכשירים ספציפיים.

4.17.4. אדמינים ב-IT יכולים להתחיל איפוס נתונים במכשיר מרחוק, שיכול למחוק את נתוני ההגנה מפני איפוס וכך להסיר מהמכשיר את ההגנה מפני איפוס להגדרות המקוריות.

4.18.1. אדמינים ב-IT יכולים לחסום את אפשרות ההסרה של אפליקציות מנוהלות שרירותיות, או של כל האפליקציות המנוהלות.

4.21.1. אדמינים ב-IT יכולים לבצע שאילתה בסיכום הנתונים הסטטיסטיים של הרשת לגבי פרופיל עבודה, לגבי מכשיר נתון וחלון זמן שאפשר להגדיר, ולראות את הפרטים האלה במסוף של EMM.

4.21.2. אדמינים ב-IT יכולים לשלוח שאילתה בסיכום הנתונים הסטטיסטיים של השימוש ברשת של פרופיל העבודה לגבי מכשיר נתון וחלון זמן שניתן להגדיר, ולראות את הפרטים האלה כפי שהם מאורגנים לפי UID במסוף של ה-EMM.

4.21.3. אדמינים ב-IT יכולים לשלוח בקשה לגבי הרשת של פרופיל עבודה שמשתמש בנתונים היסטוריים, בהתאם למכשיר נתון וחלון זמן שאפשר להגדיר, ולראות את הפרטים האלה כשהם מאורגנים לפי UID במסוף של ה-EMM.

4.22.1. אדמינים ב-IT יכולים לבצע שאילתה בסיכום הנתונים הסטטיסטיים של הרשת לגבי מכשיר שלם, לגבי מכשיר נתון וחלון זמן שאפשר להגדיר, ולראות את הפרטים האלה במסוף של EMM.

4.22.2. אדמינים ב-IT יכולים לשלוח שאילתה לסיכום הנתונים הסטטיסטיים לגבי השימוש ברשת האפליקציות במכשיר נתון ולחלון זמן שאפשר להגדיר, ולראות את הפרטים האלה כשהם מאורגנים לפי UID במסוף של ה-EMM.

אדמינים ב-IT יכולים להפעיל מחדש מכשירים מנוהלים מרחוק.

4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.

4.24.1. אדמינים ב-IT יכולים להשבית את השידורים הסלולריים שנשלחים על ידי ספקי שירות (לדוגמה, התראות AMBER).

4.24.2. מנהלי IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות.

4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את הגדרות הרשת בהגדרות.

4.24.4. אדמינים ב-IT יכולים לאפשר או לאסור שימוש בחבילת גלישה בזמן נדידה.

4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות טלפון יוצאות, לא כולל שיחות חירום.

4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט.

4.24.7. מנהלי IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כנקודה לשיתוף אינטרנט בנייד באמצעות שיתוף אינטרנט בין מכשירים.

4.24.8. אדמינים ב-IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi לברירת המחדל, רק כשהוא מחובר לחשמל, או אף פעם.

4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים במצב שקט.

4.25.2. מנהלי IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשיר.

4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון של המכשיר.

4.26.1. אדמינים ב-IT יכולים לאכוף את השעה האוטומטית של המערכת ולמנוע מהמשתמש להגדיר את התאריך והשעה במכשיר.

4.26.2. אדמינים ב-IT יכולים להשבית או להפעיל באופן שקט גם את הזמן האוטומטי וגם את אזור הזמן האוטומטי.

4.27.1. מנהלי IT יכולים להשבית את מגן המקשים של המכשיר.

4.27.2. אדמינים ב-IT יכולים להשבית את שורת הסטטוס של המכשיר ולחסום את ההתראות ואת ההגדרות המהירות.

4.27.3. אדמינים ב-IT יכולים לאלץ את מסך המכשיר להמשיך לפעול כשהמכשיר מחובר לחשמל.

4.27.4. אדמינים ב-IT יכולים למנוע את ההצגה של ממשקי המשתמש הבאים של המערכת:

• טוסטים
• שכבות-על של אפליקציות.

מנהלי IT יכולים להעניק הרשאות נוספות לחבילות נפרדות.

4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:

• התקנה וניהול של אישורים
• ניהול הגדרות מנוהלות
• רישום רשת ביומן
• רישום ביומן אבטחה

החל מגרסה Android 12, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחר מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישמר גם לאחר איפוס להגדרות המקוריות

4.29.1. אדמינים ב-IT יכולים להגדיר וobtain מזהה ספציפי להרשמה

4.29.2. המזהה הספציפי לרישום הזה צריך לפעול גם באיפוס להגדרות המקוריות

5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון הפרטים הבאים ברמת הארגון: צבע הארגון, הלוגו של הארגון, התנאים וההגבלות של הארגון וכתבי ויתור אחרים.

5.1.2. אדמינים ב-IT יכולים לפרוס התאמה אישית ספציפית ל-EMM, שלא ניתנת להגדרה, שכוללת את הפרטים הבאים: צבע EMM, לוגו EMM, התנאים וההגבלות של EMM וכתבי ויתור אחרים.

הגרסה 5.1.3 [primaryColor] הוצאה משימוש עבור המשאב הארגוני ב-Android מגרסה 10 ואילך.

• ספקי EMM חייבים לכלול את התנאים וההגבלות של ניהול ההקצאות וכתבי ויתור אחרים לתהליך ההקצאה בחבילת כתבי הוויתור להקצאת הרשאות מערכת, גם אם לא נעשה שימוש בהתאמה האישית הספציפית ל-EMM.
• ספקי EMM יכולים להגדיר התאמה אישית ספציפית ל-EMM, שלא ניתנת להגדרה, כברירת המחדל בכל הפריסות, אבל עליהם לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.

5.2.1. אדמינים ב-IT יכולים להגדיר את צבע הארגון שישמש כצבע הרקע של אתגר העבודה.

5.2.2. אדמינים ב-IT יכולים להגדיר את השם המוצג של פרופיל העבודה.

5.2.3. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של פרופיל העבודה.

5.2.4. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את סמל המשתמש בפרופיל העבודה.

5.3.1. אדמינים ב-IT יכולים להגדיר את השם המוצג של המכשיר המנוהל.

5.3.2. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של המכשיר המנוהל.

5.3.3. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את סמל המשתמש במכשיר.

5.3.4. אדמינים ב-IT יכולים להגדיר את הטפט במכשיר.

5.3.5. אדמינים ב-IT יכולים למנוע מהמשתמש לשנות את הטפט במכשיר.

5.5.1. אדמינים ב-IT מתאימים אישית את הודעות התמיכה הקצרות והארוכות.

5.5.2. אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות שספציפיות ל-EMM.

• שירות EMM יכול להגדיר את הודעות התמיכה הספציפיות ל-EMM כברירת מחדל עבור כל הפריסות, אבל עליו לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.

5.6.1. אדמינים ב-IT יכולים להשבית את החיפוש של אנשי קשר בחשבונות שונים לאפליקציות אישיות שמשתמשות בספק אנשי הקשר של המערכת.

5.6.2. אדמינים ב-IT יכולים להשבית את החיפוש של מספר המתקשר בחשבונות שונים באפליקציות של חייגן אישי שמשתמשות בספק אנשי הקשר של המערכת.

5.6.3. אדמינים ב-IT יכולים להשבית את השיתוף של אנשי קשר ב-Bluetooth עם מכשירי Bluetooth שמשתמשים בספק אנשי הקשר של המערכת. למשל, להתקשר באמצעות הפעלה קולית ברכבים או באוזניות.

5.7.1. אדמינים ב-IT יכולים להגדיר מסנני Intents חוצי-פרופילים כדי שאפליקציות אישיות יוכלו לטפל בכוונה מפרופיל העבודה כמו שיתוף כוונות או קישורי אינטרנט.

• יכול להיות שהמסוף יציע מסנני Intent מוכרים או מומלצים להגדרה, אבל לא יוכל להגביל מסנני Intent לרשימה שרירותית כלשהי.

5.7.2. מנהלי IT יכולים להתיר אפליקציות מנוהלות שיכולות להציג ווידג'טים במסך הבית.

• המסוף של EMM צריך לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה למשתמשים רלוונטיים.

5.7.3. אדמינים ב-IT יכולים לחסום את השימוש בהעתקה ובהדבקה בין הפרופיל בעבודה לבין הפרופיל האישי.

5.7.4. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מפרופיל העבודה באמצעות קרן NFC.

5.7.5. אדמינים ב-IT יכולים לאפשר לאפליקציות לשימוש אישי לפתוח קישורים לדפי אינטרנט אחרים מפרופיל העבודה.

5.8.1. המסוף של EMM מאפשר לאדמינים ב-IT להגדיר את הגדרות ה-OTA הבאות:

• אוטומטי: מכשירים מקבלים עדכוני OTA כשהם זמינים.
• דחייה: לאדמינים ב-IT צריכה להיות אפשרות לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
• חלון זמן: אדמינים ב-IT צריכים להיות מסוגלים לתזמן עדכוני OTA במסגרת חלון תחזוקה יומי.

5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה בתור ה-handler של ה-Intent שמוגדר כברירת מחדל לכל מסנן שרירותי של Intent.

• המסוף של EMM יכול להציע כוונות Intent ידועות או מומלצות להגדרה, אבל הוא לא יכול להגביל אובייקטים לרשימה שרירותית כלשהי.
• המסוף של EMM צריך לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.

• סביבות אמינות
• ביטול נעילה באמצעות טביעת אצבע
• התראות לא מצונזרות

5.11.2. בקר ה-DPC של EMM יכול להשבית את תכונות שמירת המפתח הבאות בפרופיל העבודה:

• סביבות אמינות
• ביטול נעילה באמצעות טביעת אצבע

• מצלמה מאובטחת
• כל ההתראות
• התראות לא מצונזרות
• סביבות אמינות
• ביטול הנעילה בטביעת אצבע
• כל תכונות מגן המקלדת

5.14.1. ה-EMM יכול לאחזר את כתובת ה-MAC של המכשיר בשקט, ולשייך אותה למכשיר במסוף ה-EMM.

5.15.1. אישור שקט לאפליקציה אחת להינעל במכשיר דרך בקר ה-DPC של EMM.

5.15.2. הפעלה או השבתה של התכונות הבאות בממשק המשתמש של המערכת דרך ה-DPC של ה-EMM:

• לחצן 'דף הבית'
• סקירה כללית
• פעולות גלובליות
• התראות
• פרטי מערכת / שורת סטטוס
• מגן מקלדת (מסך נעילה)

5.15.3. משביתים את תיבות הדו-שיח 'שגיאת מערכת' דרך ה-DPC של EMM.

5.17.1. אדמינים ב-IT יכולים לספק טקסט מותאם אישית להצגה אחרי איפוס הנתונים בפרופיל עבודה.