Questa pagina elenca tutte le funzionalità di Android Enterprise.
Se intendi gestire più di 500 dispositivi, la soluzione EMM deve supportare tutte le funzionalità standard () di almeno un insieme di soluzioni prima di poter essere resa disponibile sul mercato. Le soluzioni EMM che superano la verifica delle funzionalità standard sono elencate nella Enterprise Solutions Directory di Android tra le opzioni di Set di gestione standard.
Per ogni set di soluzioni è disponibile un set aggiuntivo di funzionalità avanzate. Queste funzionalità sono indicate in ogni pagina del set di soluzioni: profilo di lavoro, dispositivo completamente gestito e dispositivo dedicato. Le soluzioni EMM che superano la verifica delle funzionalità avanzate sono elencate nell'Enterprise Solutions Directory di Android come set di gestione avanzata.
Nota: l'uso dell'API Android Management è soggetto alle norme di utilizzo consentite.
Chiave
| funzionalità standard | funzionalità facoltativa | non applicabile |
1. Provisioning dei dispositivi
1.1. Provisioning del profilo di lavoro DPC-first
Puoi eseguire il provisioning di un profilo di lavoro dopo aver scaricato il DPC dell'EMM da Google Play.
1.1.1. Il DPC (controller criteri dispositivi) dell'EMM deve essere disponibile pubblicamente su Google Play in modo che gli utenti possano installarlo sul lato personale del dispositivo.
1.1.2. Una volta installato, il DPC deve guidare l'utente nella procedura di provisioning di un profilo di lavoro.
1.1.3. Una volta completato il provisioning, non può rimanere alcuna presenza di gestione sul lato personale del dispositivo.
- È necessario rimuovere tutti i criteri applicati durante il provisioning.
- I privilegi dell'app devono essere revocati.
- Il DPC del provider EMM deve essere almeno disattivato sul lato personale del dispositivo.
1.2. Provisioning dei dispositivi con identificatore DPC
Gli amministratori IT possono eseguire il provisioning di un dispositivo completamente gestito o dedicato utilizzando un identificatore DPC ("afw#"), in base alle linee guida per l'implementazione definite nella documentazione per gli sviluppatori dell'API EMM di Google Play.
1.2.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play. Il DPC deve essere installabile dalla configurazione guidata del dispositivo inserendo un identificatore specifico del DPC.
1.2.2. Dopo l'installazione, il DPC dell'EMM deve guidare l'utente nel processo di provisioning di un dispositivo completamente gestito o dedicato.
1.3. Provisioning dispositivo NFC
I tag NFC possono essere utilizzati dagli amministratori IT per eseguire il provisioning di dispositivi nuovi o di cui sono stati ripristinati i dati di fabbrica in base alle linee guida di implementazione definite nella documentazione per gli sviluppatori dell'API EMM di Google Play.
1.3.1. I provider EMM devono utilizzare tag NFC Forum di tipo 2 con almeno 888 byte di memoria. Il provisioning deve utilizzare extra di provisioning per passare a un dispositivo dettagli di registrazione non sensibili, come ID server e ID di registrazione. I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.3.2. Dopo che il DPC dell'EMM si impostato come proprietario del dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il provisioning del dispositivo non è stato completato.
1.3.3. Consigliamo di utilizzare i tag NFC per Android 10 e versioni successive a causa del ritiro di NFC Beam (noto anche come NFC Bump).
1.4 Provisioning del dispositivo con codice QR
Gli amministratori IT possono usare un dispositivo nuovo o di cui hanno ripristinato i dati di fabbrica per scansionare un codice QR generato dalla console EMM per il provisioning del dispositivo, in base alle linee guida di implementazione definite nella documentazione per gli sviluppatori dell'API EMM di Google Play.
1.4.1. Il codice QR deve utilizzare funzionalità extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID di registrazione. I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.4.2. Dopo che il DPC (controller criteri dispositivi) dell'EMM ha configurato il dispositivo, quest'ultimo deve aprirsi immediatamente e bloccarsi sullo schermo finché il provisioning del dispositivo non è stato completato.
1.5. Registrazione zero-touch
Gli amministratori IT possono preconfigurare i dispositivi acquistati da rivenditori autorizzati e gestirli utilizzando la console EMM.
1.5.1. Gli amministratori IT possono eseguire il provisioning dei dispositivi di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch, descritto in Registrazione zero-touch per gli amministratori IT.
1.5.2. Quando un dispositivo viene acceso per la prima volta, viene forzato automaticamente alle impostazioni definite dall'amministratore IT.
1.6. Provisioning zero-touch avanzato
Gli amministratori IT possono automatizzare gran parte del processo di registrazione dei dispositivi implementando i dettagli della registrazione DPC tramite la registrazione zero-touch. Il DPC dell'EMM supporta la registrazione soltanto ad account o domini specifici, in base alle opzioni di configurazione offerte dall'EMM.
1.6.1. Gli amministratori IT possono eseguire il provisioning di un dispositivo di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch descritto in Registrazione zero-touch per gli amministratori IT.
1.6.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, quest'ultimo deve aprirsi immediatamente e bloccarsi sullo schermo fino al completamento del provisioning del dispositivo.
- Questo requisito non viene concesso per i dispositivi che utilizzano i dettagli di registrazione della registrazione zero-touch per eseguire il provisioning automatico in modalità automatica (ad esempio in un deployment di dispositivi dedicato).
1.6.3. Utilizzando i dettagli di registrazione, il DPC (controller criteri dispositivi) dell'EMM deve garantire che gli utenti non autorizzati non possano procedere con l'attivazione una volta richiamato il DPC (controller criteri dispositivi). Come minimo, l'attivazione deve essere bloccata per gli utenti di una determinata azienda.
1.6.4. Utilizzando i dettagli di registrazione, il DPC dell'EMM deve consentire agli amministratori IT di precompilare i dettagli di registrazione (ad esempio, ID server, ID di registrazione) oltre alle informazioni su dispositivo o utente unico (ad esempio nome utente/password, token di attivazione), in modo che gli utenti non debbano inserire dettagli quando attivano un dispositivo.
- I provider EMM non devono includere informazioni sensibili, come password o certificati, nella configurazione della registrazione zero-touch.
1.7 Provisioning del profilo di lavoro dell'Account Google
Per le aziende che utilizzano Workspace, questa funzionalità guida gli utenti nella configurazione di un profilo di lavoro dopo aver inserito le credenziali di Workspace aziendali durante la configurazione del dispositivo o su un dispositivo già attivato. In entrambi i casi, verrà eseguita la migrazione dell'identità aziendale di Workspace al profilo di lavoro.
1.7.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un profilo di lavoro, in base alle linee guida di implementazione definite.
1.8 Provisioning dei dispositivi con l'Account Google
Per le aziende che utilizzano Workspace, questa funzionalità guida gli utenti nell'installazione del DPC (controller criteri dispositivi) dell'EMM dopo che hanno inserito le credenziali di Workspace aziendali durante la configurazione iniziale del dispositivo. Una volta installato, il DPC completa la configurazione di un dispositivo di proprietà dell'azienda.
1.8.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un dispositivo di proprietà dell'azienda, in base alle linee guida di implementazione definite.
1.8.2. A meno che l'EMM non possa identificare in modo inequivocabile il dispositivo come una risorsa aziendale, non può eseguire il provisioning di un dispositivo senza un messaggio durante il processo di provisioning. Questo prompt deve eseguire un'azione non predefinita, ad esempio selezionare una casella di controllo o un'opzione di menu non predefinita. È consigliabile che l'EMM sia in grado di identificare il dispositivo come asset aziendale, quindi non c'è bisogno di alcun messaggio.
1.9 Configurazione zero-touch diretta
Gli amministratori IT possono utilizzare la console EMM per configurare i dispositivi zero-touch utilizzando l'iframe zero-touch.
1.10 Profili di lavoro sui dispositivi di proprietà dell'azienda
Le EMM possono registrare i dispositivi di proprietà dell'azienda che hanno un profilo di lavoro.
1.10.1 Gli amministratori IT possono eseguire il provisioning di un dispositivo come profilo di lavoro su un dispositivo di proprietà dell'azienda utilizzando un codice QR o la registrazione zero-touch.
1.10.2 Gli amministratori IT possono impostare azioni di conformità per i profili di lavoro sui dispositivi di proprietà dell'azienda.
1.10.3 Gli amministratori IT possono disattivare la videocamera nel profilo di lavoro o sull'intero dispositivo.
1.10.4 Gli amministratori IT possono disattivare l'acquisizione di schermate nel profilo di lavoro o su un intero dispositivo.
1.10.5 Gli amministratori IT possono impostare una lista consentita o una lista bloccata di applicazioni che possono o non possono essere installate nel profilo personale.
1.10.6 Gli amministratori IT possono rinunciare alla gestione di un dispositivo di proprietà dell'azienda rimuovendo il profilo di lavoro o cancellando l'intero dispositivo.
2. Sicurezza dispositivo
2.1. Verifica della sicurezza del dispositivo
Gli amministratori IT possono impostare e applicare una verifica di sicurezza del dispositivo (PIN/pattern/password) da una selezione predefinita di 3 livelli di complessità sui dispositivi gestiti.
2.1.1. Il criterio deve applicare le impostazioni che gestiscono le verifiche di sicurezza dei dispositivi (parentProfilePasswordReports per il profilo di lavoro, passwordRequisiti per i dispositivi completamente gestiti e dedicati).
2.1.2. La complessità della password deve essere corrispondente alle seguenti complessità delle password:
- PASSWORD_COMPLEXITY_LOW: sequenza o segnaposto con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN senza sequenze di ripetizioni (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica di almeno 4 caratteri.
- PASSWORD_COMPLEXITY_HIGH: PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e con una lunghezza di almeno otto password o password alfabetiche o alfanumeriche di almeno 6 caratteri.
2.2 La sfida relativa alla sicurezza sul lavoro
Gli amministratori IT possono impostare e applicare in modo forzato una verifica di sicurezza per le app e i dati nel profilo di lavoro che è separato e ha requisiti diversi da quella della verifica della sicurezza del dispositivo (2.1.).
2.2.1. Il criterio deve applicare la verifica di sicurezza per il profilo di lavoro. Per impostazione predefinita, gli amministratori IT devono impostare limitazioni solo per il profilo di lavoro se non viene specificato alcun ambito Gli amministratori IT possono impostare questo livello a livello di dispositivo specificando l'ambito (vedi il requisito 2.1)
2.1.2. La complessità della password deve essere corrispondente alle seguenti complessità delle password:
- PASSWORD_COMPLEXITY_LOW: sequenza o segnaposto con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN senza sequenze di ripetizioni (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica di almeno 4 caratteri.
- PASSWORD_COMPLEXITY_HIGH: PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e con una lunghezza di almeno otto password o password alfabetiche o alfanumeriche di almeno 6 caratteri.
2.3. Gestione avanzata dei passcode
2.3.1. [intenzionalmente vuoto]
2.3.2. [intenzionalmente vuoto]
2.3.3. Per ogni schermata di blocco disponibile su un dispositivo è possibile configurare le seguenti impostazioni del ciclo di vita delle password:
- [intenzionalmente vuoto]
- [intenzionalmente vuoto]
- Numero massimo di password non riuscite per la cancellazione dei dati: specifica il numero di volte in cui gli utenti possono inserire una password errata prima che i dati aziendali vengano cancellati dal dispositivo. Gli amministratori IT devono essere in grado di disattivare questa funzionalità.
2.3.4. (Android 8.0 e versioni successive) Timeout richiesta per l'autenticazione avanzata: è necessario inserire un passcode di autenticazione efficace (ad esempio PIN o password) dopo un periodo di timeout impostato da un amministratore IT. Dopo il periodo di timeout, i metodi di autenticazione non avanzati (come l'impronta e lo Sblocco con il Volto) vengono disattivati finché il dispositivo non viene sbloccato con un passcode di autenticazione efficace.
2.4. Gestione delle serrature smart
Gli amministratori IT possono gestire quali agenti di attendibilità nella funzionalità Smart Lock di Android sono autorizzati a sbloccare i dispositivi. Gli amministratori IT possono disattivare metodi di sblocco specifici, come dispositivi Bluetooth attendibili, riconoscimento del volto e riconoscimento vocale, oppure disattivare completamente la funzionalità.
2.4.1. Gli amministratori IT possono disattivare gli agenti di attendibilità Smart Lock, in modo indipendente per ogni schermata di blocco disponibile sul dispositivo.
2.4.2. Gli amministratori IT possono consentire e configurare in modo selettivo gli agenti di attendibilità Smart Lock, in modo indipendente per ogni schermata di blocco disponibile sul dispositivo, per i seguenti agenti di attendibilità: Bluetooth, NFC, luoghi, volto, Dispositivo con te e voce.
- Gli amministratori IT possono modificare i parametri di configurazione disponibili dell'agente di attendibilità.
2.5 Cancellazione e blocco
Gli amministratori IT possono utilizzare la console EMM per bloccare e cancellare da remoto i dati di lavoro da un dispositivo gestito.
2.5.1. Il DPC dell'EMM deve bloccare i dispositivi.
2.5.2. Il DPC dell'EMM deve cancellare i dati dei dispositivi.
2.6 Applicazione della conformità
Se un dispositivo non è conforme alle norme di sicurezza, i dati di lavoro vengono limitati automaticamente.
2.6.1. Come minimo, i criteri di sicurezza applicati a un dispositivo devono includere criteri per le password.
2.7 Criteri di sicurezza predefiniti
Le EMM devono applicare i criteri di sicurezza specificati sui dispositivi per impostazione predefinita, senza richiedere agli amministratori IT di configurare o personalizzare le impostazioni nella console EMM. I provider EMM sono invitati (ma non obbligatori) a non consentire agli amministratori IT di modificare lo stato predefinito di queste funzionalità di sicurezza.
2.7.1. Il DPC dell'EMM deve bloccare l'installazione di app da origini sconosciute, incluse le app installate sul lato personale di qualsiasi dispositivo Android 8.0 o versioni successive con un profilo di lavoro.
2.7.2. Il DPC dell'EMM deve bloccare le funzionalità di debug.
2.8 Criteri di sicurezza per i dispositivi dedicati
I dispositivi dedicati vengono bloccati senza uno scappamento per consentire altre azioni.
2.8.1. Per impostazione predefinita, il DPC dell'EMM deve disattivare l'avvio in modalità provvisoria.
2.8.2. Il DPC dell'EMM deve essere aperto e bloccato sullo schermo immediatamente al primo avvio durante il provisioning, per garantire l'assenza di interazioni con il dispositivo in altro modo.
2.8.3. Il DPC dell'EMM deve essere impostato come programma di avvio predefinito per garantire che le app consentite siano bloccate sullo schermo all'avvio, in base alle linee guida di implementazione definite.
2.9 Assistenza di Play Integrity
L'EMM utilizza l'API Play Integrity per garantire che i dispositivi siano dispositivi Android validi.
2.9.1. Il DPC dell'EMM implementa l'API Play Integrity durante il provisioning e, per impostazione predefinita, completa il provisioning del dispositivo con i dati aziendali solo quando l'integrità del dispositivo restituita è MEETS_STRONG_INTEGRITY.
2.9.2. Il DPC dell'EMM eseguirà un altro controllo di Play Integrity ogni volta che un dispositivo accede al server EMM, configurabile dall'amministratore IT. Il server EMM verificherà le informazioni sull'APK nella risposta del controllo dell'integrità e nella risposta stessa prima di aggiornare il criterio aziendale sul dispositivo.
2.9.3. Gli amministratori IT possono configurare diverse risposte ai criteri in base all'esito del controllo di Play Integrity, ad esempio il blocco del provisioning, la cancellazione dei dati aziendali e la possibilità di continuare la registrazione.
- Il servizio EMM applicherà questa risposta ai criteri per il risultato di ogni controllo di integrità.
2.10 Applicazione forzata di Verifica app
Gli amministratori IT possono attivare la funzionalità Verifica app sui dispositivi. Verifica app analizza le app installate sui dispositivi Android per individuare software dannoso prima e dopo l'installazione, contribuendo a garantire che le app dannose non possano compromettere i dati aziendali.
2.10.1. Il DPC dell'EMM deve attivare la verifica delle app per impostazione predefinita.
2.11 Supporto dell'avvio diretto
Le app non possono essere eseguite sui dispositivi con Android 7.0 e versioni successive appena accesi fino al primo sblocco del dispositivo. Il supporto dell'avvio diretto assicura che il DPC dell'EMM sia sempre attivo e in grado di applicare i criteri, anche se il dispositivo non è stato sbloccato.
2.11.1. Il DPC (controller criteri dispositivi) dell'EMM sfrutta l'archiviazione criptata del dispositivo per eseguire funzioni di gestione critiche prima che l'archiviazione criptata delle credenziali del DPC venga decriptata. Le funzioni di gestione disponibili durante l'avvio diretto devono includere (a titolo esemplificativo):
- Cancellazione dei dati aziendali, inclusa la possibilità di cancellare i dati di protezione per il ripristino dei dati di fabbrica, a seconda dei casi.
2.11.2. Il DPC dell'EMM non deve esporre i dati aziendali all'interno dello spazio di archiviazione criptato del dispositivo.
2.11.3. I provider EMM possono [impostare e attivare un token] per attivare un pulsante Ho dimenticato la password nella schermata di blocco del profilo di lavoro. Questo pulsante viene utilizzato per richiedere agli amministratori IT di reimpostare in sicurezza la password del profilo di lavoro.
2.12 Gestione della sicurezza hardware
Gli amministratori IT possono bloccare gli elementi hardware di un dispositivo di proprietà dell'azienda per garantire la prevenzione della perdita di dati.
2.12.1. Gli amministratori IT possono impedire agli utenti di montare supporti esterni fisici sul proprio dispositivo.
2.12.2. Gli amministratori IT possono impedire agli utenti di condividere dati dal proprio dispositivo utilizzando la trasmissione NFC. Questa funzionalità secondaria è facoltativa perché la funzione di trasmissione NFC non è più supportata in Android 10 e versioni successive.
2.12.3. Gli amministratori IT possono impedire agli utenti di trasferire file tramite USB dal proprio dispositivo.
2.13 Logging di sicurezza aziendale
Gli amministratori IT possono raccogliere dati sull'utilizzo dai dispositivi che possono essere analizzati e valutati in modo programmatico per rilevare eventuali comportamenti dannosi o rischiosi. Le attività registrate includono attività di Android Debug Bridge (adb), apertura di app e sblocco dello schermo.
2.13.1. Gli amministratori IT possono attivare il logging di sicurezza per dispositivi specifici e il DPC dell'EMM deve essere in grado di recuperare automaticamente sia i log di sicurezza sia i log di sicurezza di pre-riavvio.
2.13.2. Gli amministratori IT possono esaminare i log di sicurezza aziendali per un determinato dispositivo e una finestra temporale configurabile nella console EMM.
2.13.3. Gli amministratori IT possono esportare i log di sicurezza aziendali dalla console EMM.
3. Gestione account e app
3.1. Registrazione aziendale per gli account Google Play gestiti
Gli amministratori IT possono creare un account Google Play gestito per l'azienda, un'entità che consente alla versione gestita di Google Play di distribuire app ai dispositivi. Le seguenti fasi di registrazione devono essere integrate nella console EMM:
3.1.1. Registra un account Google Play gestito per l'azienda utilizzando l'API Play EMM.
3.1.2. La console dell'EMM deve eseguire in modalità silenziosa il provisioning e la configurazione di un'ESA univoca per ogni azienda.
3.1.3. Annulla la registrazione di account Google Play gestiti per l'azienda utilizzando l'API EMM di Google Play.
3.2. Provisioning dell'account della versione gestita di Google Play
L'EMM può eseguire automaticamente il provisioning degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione di app univoche per utente.
3.2.1. Il DPC dell'EMM può eseguire in modalità silenziosa il provisioning e l'attivazione di un account Google Play gestito in base alle linee guida di implementazione definite. In questo modo:
- Un account Google Play gestito di tipo
userAccountviene aggiunto al dispositivo. - L'account Google Play gestito di tipo
userAccountdeve avere una mappatura 1 a 1 con gli utenti effettivi nella console EMM.
3.3 Provisioning degli account del dispositivo nella versione gestita di Google Play
Il provider EMM può creare ed eseguire il provisioning di account dispositivo Google Play gestiti. Gli account dispositivo supportano l'installazione automatica delle app dalla versione gestita di Google Play Store e non sono associati a un singolo utente. Viene invece utilizzato un account dispositivo per identificare un singolo dispositivo che supporti le regole di distribuzione delle app per dispositivo in scenari dedicati.
3.3.1. Il DPC dell'EMM può eseguire in modalità silenziosa il provisioning e l'attivazione di un account Google Play gestito in base alle linee guida di implementazione definite.
Per farlo, è necessario aggiungere al dispositivo un account Google Play gestito di tipo deviceAccount.
3.4. Provisioning degli account della versione gestita di Google Play per i dispositivi precedenti
L'EMM può eseguire automaticamente il provisioning degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app univoche per utente.
3.4.1. Il DPC dell'EMM può eseguire in modalità silenziosa il provisioning e l'attivazione di un account Google Play gestito in base alle linee guida di implementazione definite. In questo modo:
- Un account Google Play gestito di tipo
userAccountviene aggiunto al dispositivo. - L'account Google Play gestito di tipo
userAccountdeve avere una mappatura 1 a 1 con gli utenti effettivi nella console EMM.
3.5. Distribuzione di app silenziosa
Gli amministratori IT possono distribuire automaticamente le app di lavoro sui dispositivi degli utenti senza alcuna interazione dell'utente.
3.5.1. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di installare app di lavoro sui dispositivi gestiti.
3.5.2. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di aggiornare le app di lavoro sui dispositivi gestiti.
3.5.3. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di disinstallare le app sui dispositivi gestiti.
3.6. Gestione delle configurazioni gestite
Gli amministratori IT possono visualizzare e impostare automaticamente le configurazioni gestite per qualsiasi app che supporta le configurazioni gestite.
3.6.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita di qualsiasi app Play.
- Gli EMM possono chiamare
Products.getAppRestrictionsSchemaper recuperare lo schema di configurazioni gestite di un'app o incorporare l'iframe delle configurazioni gestite nella propria console EMM.
3.6.2. La console EMM deve consentire agli amministratori IT di impostare qualsiasi tipo di configurazione (come definito dal framework Android) per qualsiasi app Google Play utilizzando l'API EMM di Google Play.
3.6.3. La console dell'EMM deve consentire agli amministratori IT di impostare caratteri jolly (ad esempio $username$ o %emailAddress%) in modo che possa essere applicata una singola configurazione per un'app, ad esempio Gmail, a più utenti. L'iframe delle configurazioni gestite supporta automaticamente questo requisito.
3.7 Gestione del catalogo di app
Gli amministratori IT possono importare un elenco di app approvate per la loro azienda dalla versione gestita di Google Play (play.google.com/work).
3.7.1. La console EMM può visualizzare un elenco di app approvate per la distribuzione, tra cui:
- App acquistate nella versione gestita di Google Play
- App private visibili agli amministratori IT
- App approvate a livello di programmazione
3.8 Approvazione dell'app di pubblicità programmatica
La console EMM utilizza l'iframe della versione gestita di Google Play per supportare le funzionalità di rilevamento e approvazione delle app di Google Play. Gli amministratori IT possono cercare e approvare le app e approvare nuove autorizzazioni app senza uscire dalla console EMM.
3.8.1. Gli amministratori IT possono cercare le app e approvarle nella console EMM utilizzando l'iframe della versione gestita di Google Play.
3.9 Gestione di base della disposizione dei negozi
La versione gestita dell'app Google Play Store può essere utilizzata sui dispositivi per installare e aggiornare le app di lavoro. Il layout di base del negozio viene visualizzato per impostazione predefinita ed elenca le app approvate per l'azienda, che i provider EMM filtrano in base al singolo utente in base alle norme.
3.9.1. Gli amministratori IT possono gestire i set di prodotti disponibili degli utenti per consentire la visualizzazione e l'installazione di applicazioni dalla versione gestita di Google Play Store nella sezione "Home page dello Store".
3.10 Configurazione avanzata del layout del negozio
Gli amministratori IT possono personalizzare il layout dello store visualizzato nella versione gestita dell'app Google Play Store sui dispositivi.
3.10.1. Gli amministratori IT possono eseguire le seguenti azioni nella console dell'EMM per personalizzare il layout della versione gestita di Google Play Store:
- Creare fino a 100 pagine di layout dello store. Le pagine possono avere un numero arbitrario di nomi di pagina localizzati.
- Crea fino a 30 cluster per ogni pagina. I cluster possono avere un numero arbitrario di nomi di cluster localizzati.
- Assegna fino a 100 app a ogni cluster.
- Aggiungi fino a 10 link rapidi a ogni pagina.
- Specifica l'ordinamento delle app all'interno di un cluster e dei cluster all'interno di una pagina.
3.11 Gestione delle licenze delle app
Gli amministratori IT possono visualizzare e gestire le licenze delle app acquistate nella versione gestita di Google Play dalla console EMM.
3.11.1. Per le app a pagamento approvate per un'azienda, la console EMM deve visualizzare:
- Il numero di licenze acquistate.
- Il numero di licenze consumate e gli utenti che le utilizzano.
- Il numero di licenze disponibili per la distribuzione.
3.11.2. Gli amministratori IT possono assegnare tranquillamente le licenze agli utenti senza forzare l'installazione dell'app sui dispositivi degli utenti.
3.11.3. Gli amministratori IT possono annullare l'assegnazione di una licenza di app a un utente.
3.12 Gestione delle app private in hosting su Google
Gli amministratori IT possono aggiornare le app private ospitate da Google tramite la console EMM anziché tramite Google Play Console.
3.12.1. Gli amministratori IT possono caricare nuove versioni delle app già pubblicate privatamente per l'azienda utilizzando:
3.13 Gestione delle app private in self-hosting
Gli amministratori IT possono configurare e pubblicare app private ospitate autonomamente. A differenza delle app private ospitate da Google, Google Play non ospita gli APK. L'EMM aiuta gli amministratori IT a ospitare gli APK in modo autonomo e contribuisce a proteggere le app ospitate autonomamente garantendo che possano essere installate solo se autorizzate dalla versione gestita di Google Play.
Gli amministratori IT possono consultare la pagina Supporto delle app private per maggiori dettagli.
3.13.1. La console EMM deve aiutare gli amministratori IT a ospitare l'APK dell'app, offrendo entrambe le seguenti opzioni:
- Hosting dell'APK sul server EMM. Il server può essere on-premise o basato su cloud.
- Hosting dell'APK al di fuori del server EMM, a discrezione dell'amministratore IT. L'amministratore IT deve specificare nella console EMM in cui è ospitato l'APK.
3.13.2. La console EMM deve generare un file di definizione dell'APK appropriato utilizzando l'APK fornito e deve guidare gli amministratori IT nella procedura di pubblicazione.
3.13.3. Gli amministratori IT possono aggiornare le app private ospitate autonomamente e la console EMM può pubblicare automaticamente file di definizione degli APK aggiornati utilizzando l'API Developer Publishing di Google Play.
3.13.4. Il server EMM gestisce solo le richieste di download per l'APK self-hosted che contiene un JWT valido nel cookie della richiesta, come verificato dalla chiave pubblica dell'app privata.
- Per facilitare questo processo, il server EMM deve aiutare gli amministratori IT a scaricare la chiave pubblica della licenza dell'app ospitata autonomamente da Play Google Developers Console e a caricare questa chiave nella console EMM.
3.14 Notifiche pull EMM
Invece di inviare periodicamente query a Google Play per identificare eventi passati come un aggiornamento dell'app che contiene nuove autorizzazioni o configurazioni gestite, le notifiche pull EMM notificano proattivamente gli eventi EMM in tempo reale, consentendo agli EMM di eseguire azioni automatizzate e fornire notifiche amministrative personalizzate in base a questi eventi.
3.14.1. L'EMM deve usare le notifiche EMM di Google Play per eseguire il pull dei set di notifiche.
3.14.2. EMM deve informare automaticamente un amministratore IT (ad esempio tramite un'email automatica) dei seguenti eventi di notifica:
newPermissionEvent: richiede l'approvazione delle nuove autorizzazioni app da parte di un amministratore IT affinché l'app possa essere installata o aggiornata automaticamente sui dispositivi degli utenti.appRestrictionsSchemaChangeEvent: può richiedere all'amministratore IT di aggiornare la configurazione gestita di un'app per mantenere la funzionalità prevista.appUpdateEvent: potrebbe interessare gli amministratori IT che vogliono verificare che la funzionalità di base del flusso di lavoro non sia influenzata dall'aggiornamento dell'app.productAvailabilityChangeEvent: potrebbe influire sulla possibilità di installare l'app o di utilizzare gli aggiornamenti dell'app.installFailureEvent: Google Play non è in grado di installare automaticamente un'app su un dispositivo, il che indica la possibile presenza di qualcosa nella configurazione del dispositivo che impedisce l'installazione. I provider EMM non devono ritentare subito l'installazione automatica dopo aver ricevuto questa notifica, poiché la logica di nuovo tentativo di Google Play avrà già un errore.
3.14.3. L'EMM adotta automaticamente le azioni appropriate in base ai seguenti eventi di notifica:
newDeviceEvent: durante il provisioning del dispositivo, gli EMM devono attenderenewDeviceEventprima di effettuare chiamate API EMM di Play successive per il nuovo dispositivo, incluse le installazioni di app invisibili e l'impostazione di configurazioni gestite.productApprovalEvent: dopo aver ricevuto una notificaproductApprovalEvent, EMM deve aggiornare automaticamente l'elenco delle app approvate importate nella console EMM per la distribuzione sui dispositivi, se è presente una sessione di amministrazione IT attiva o se l'elenco delle app approvate non viene ricaricato automaticamente all'inizio di ogni sessione di amministrazione IT.
3.15 Requisiti di utilizzo delle API
L'EMM implementa le API di Google su larga scala, evitando modelli di traffico che potrebbero influire negativamente sulla capacità degli amministratori IT di gestire le app in ambienti di produzione.
3.15.1. L'EMM deve rispettare i limiti di utilizzo dell'API EMM di Google Play. La mancata correzione di un comportamento che supera queste linee guida potrebbe comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.2. L'EMM dovrebbe distribuire il traffico proveniente da diverse aziende nell'arco della giornata, anziché consolidare il traffico aziendale in momenti specifici o simili. Un comportamento conforme a questo modello di traffico, come le operazioni batch pianificate per ogni dispositivo registrato, potrebbe comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.3. L'EMM non deve effettuare richieste coerenti, incomplete o deliberatamente errate che non tentano di recuperare o gestire i dati aziendali effettivi. Un comportamento che corrisponde a questo modello di traffico può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.16 Gestione avanzata delle configurazioni
3.16.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita (nidificate fino a quattro livelli) di qualsiasi app Google Play utilizzando:
- L'iframe della versione gestita di Google Play oppure
- una UI personalizzata.
3.16.2. La console dell'EMM deve essere in grado di recuperare e visualizzare i feedback restituiti dal canale per i feedback dell'app, se configurato da un amministratore IT.
- La console EMM deve consentire agli amministratori IT di associare un elemento di feedback specifico al dispositivo e all'app da cui ha avuto origine.
- La console EMM deve consentire agli amministratori IT di abbonarsi ad avvisi o report su tipi di messaggi specifici (ad esempio, messaggi di errore).
3.16.3. La console EMM deve inviare solo valori che hanno un valore predefinito o che sono impostati manualmente dall'amministratore utilizzando:
- L'iframe delle configurazioni gestite
- Un'interfaccia utente personalizzata.
3.17 Gestione delle app web
Gli amministratori IT possono creare e distribuire app web nella console EMM.
3.17.1. Gli amministratori IT possono utilizzare la console EMM per distribuire scorciatoie alle app web utilizzando:
3.18 Gestione del ciclo di vita dell'account Google Play gestito
Il provider EMM può creare, aggiornare ed eliminare gli account della versione gestita di Google Play per conto degli amministratori IT.
3.18.1. I provider EMM possono gestire il ciclo di vita di un account Google Play gestito in base alle linee guida di implementazione definite nella documentazione per gli sviluppatori dell'API EMM di Google Play.
3.18.2. I provider EMM possono autenticare nuovamente gli account Google Play gestiti senza interazione da parte dell'utente.
3.19 Gestione del canale di applicazioni
3.19.1. Gli amministratori IT possono estrarre un elenco di ID canale impostati da uno sviluppatore per una determinata app.
3.19.2. Gli amministratori IT possono impostare i dispositivi in modo che utilizzino un determinato canale di sviluppo per un'applicazione.
3.20 Gestione avanzata degli aggiornamenti delle applicazioni
3.20.1. Gli amministratori IT possono consentire alle app di utilizzare aggiornamenti delle app con priorità elevata da aggiornare quando è pronto un aggiornamento.
3.20.2. Gli amministratori IT possono consentire di posticipare gli aggiornamenti delle app di 90 giorni.
3.21 Gestione dei metodi di provisioning
L'EMM può generare configurazioni di provisioning e presentarle all'amministratore IT in un modulo pronto per la distribuzione agli utenti finali (ad esempio codice QR, configurazione zero-touch, URL del Play Store).
4. Gestione dispositivi
4.1. Gestione dei criteri di autorizzazione di runtime
Gli amministratori IT possono impostare in modalità silenziosa una risposta predefinita alle richieste di autorizzazione di runtime effettuate dalle app di lavoro.
4.1.1. Gli amministratori IT devono poter scegliere tra le seguenti opzioni quando impostano un criterio di autorizzazione di runtime predefinito per la propria organizzazione:
- richiesta (consente agli utenti di scegliere)
- allow
- deny
L'EMM dovrebbe applicare queste impostazioni utilizzando il DPC dell'EMM.
4.2. Gestione dello stato di concessione delle autorizzazioni di runtime
Dopo aver impostato un criterio di autorizzazione di runtime predefinito (vai alla versione 4.1), Gli amministratori IT possono impostare in silenzio risposte per autorizzazioni specifiche da qualsiasi app di lavoro basata sull'API 23 o versioni successive.
4.2.1. Gli amministratori IT devono essere in grado di impostare lo stato di autorizzazione (predefinito, concesso o negato) di qualsiasi autorizzazione richiesta da qualsiasi app di lavoro basata sull'API 23 o versioni successive. L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM.
4.3. Gestione della configurazione Wi-Fi
Gli amministratori IT possono eseguire automaticamente il provisioning di configurazioni Wi-Fi aziendali sui dispositivi gestiti, tra cui:
4.3.1. SSID, tramite il DPC (controller criteri dispositivi) dell'EMM.
4.3.2. Password, tramite il DPC dell'EMM.
4.4. Gestione della sicurezza del Wi-Fi
Gli amministratori IT possono eseguire il provisioning di configurazioni Wi-Fi aziendali sui dispositivi gestiti che includono le seguenti funzionalità di sicurezza avanzate:
4.4.1. Identità, tramite il DPC (controller criteri dispositivi) dell'EMM.
4.4.2. Certificato per l'autorizzazione dei client, tramite il DPC dell'EMM.
4.4.3. certificati CA tramite il DPC dell'EMM.
4.5. Gestione Wi-Fi avanzata
Gli amministratori IT possono bloccare le configurazioni Wi-Fi sui dispositivi gestiti per impedire agli utenti di creare configurazioni o modificare le configurazioni aziendali.
4.5.1. Gli amministratori IT possono bloccare le configurazioni Wi-Fi aziendali in una delle seguenti configurazioni:
- Gli utenti non possono modificare nessuna configurazione Wi-Fi di cui è stato eseguito il provisioning dall'EMM, ma possono aggiungere e modificare le proprie reti configurabili dall'utente (ad esempio le reti personali).
- Gli utenti non possono aggiungere o modificare alcuna rete Wi-Fi sul dispositivo, il che limita la connettività Wi-Fi solo alle reti di cui è stato eseguito il provisioning dall'EMM.
4.6. Gestione dell'account
Gli amministratori IT possono garantire che gli account aziendali non autorizzati non possano interagire con i dati aziendali, per servizi come le app di produttività e archiviazione SaaS o l'email. Senza questa funzionalità, è possibile aggiungere account personali alle app aziendali che supportano anche gli account consumer, consentendo loro di condividere i dati aziendali con questi account personali.
4.6.1. Gli amministratori IT possono impedire l'aggiunta o la modifica degli account.
- Quando applichi questo criterio su un dispositivo, i provider EMM devono impostare questa limitazione prima del completamento del provisioning, per garantire che tu non possa aggirare questo criterio aggiungendo account prima dell'applicazione del criterio.
4.7. Gestione dell'account Workspace
Gli amministratori IT possono garantire che gli Account Google non autorizzati non possano interagire con i dati aziendali. Senza questa funzionalità, è possibile aggiungere Account Google personali alle app Google aziendali (ad esempio Documenti Google o Google Drive) per consentire loro di condividere dati aziendali con questi account personali.
4.7.1. Gli amministratori IT possono specificare gli Account Google da attivare durante il provisioning, dopo l'implementazione del blocco della gestione degli account.
4.7.2. Il DPC dell'EMM deve chiedere di attivare l'Account Google e assicurarsi che sia possibile attivare solo l'account specifico specificando l'account da aggiungere.
- Sui dispositivi precedenti ad Android 7.0, il DPC deve disattivare temporaneamente la limitazione della gestione degli account prima di inviare una richiesta all'utente.
4.8. Gestione dei certificati
Consente agli amministratori IT di eseguire il deployment dei certificati di identità e delle autorità di certificazione nei dispositivi per consentire l'accesso alle risorse aziendali.
4.8.1. Gli amministratori IT possono installare certificati di identità utente generati dalla propria infrastruttura a chiave pubblica in base ai singoli utenti. La console dell'EMM deve integrarsi con almeno un'infrastruttura a chiave pubblica e distribuire i certificati generati da questa infrastruttura.
4.8.2. Gli amministratori IT possono installare autorità di certificazione nell'archivio chiavi gestito.
4.9. Gestione avanzata dei certificati
Consente agli amministratori IT di selezionare in modo invisibile all'utente i certificati che devono essere utilizzati da specifiche app gestite. Questa funzionalità consente inoltre agli amministratori IT di rimuovere certificati CA e di identità dai dispositivi attivi. Questa funzionalità impedisce agli utenti di modificare le credenziali archiviate nell'archivio chiavi gestito.
4.9.1. Per qualsiasi app distribuita ai dispositivi, gli amministratori IT possono specificare un certificato a cui concedere l'accesso in silenzio all'app durante il runtime.
- La selezione dei certificati deve essere sufficientemente generica per consentire una singola configurazione valida per tutti gli utenti, ognuno dei quali può avere un certificato di identità specifico per l'utente.
4.9.2. Gli amministratori IT possono rimuovere i certificati dall'archivio chiavi gestito in modalità silenziosa.
4.9.3. Gli amministratori IT possono disinstallare un certificato CA o tutti i certificati CA non di sistema in modalità invisibile.
4.9.4. Gli amministratori IT possono impedire agli utenti di configurare le credenziali nell'archivio chiavi gestito.
4.9.5. Gli amministratori IT possono pre-concedere i certificati per le app di lavoro.
4.10 Gestione delegata dei certificati
Gli amministratori IT possono distribuire ai dispositivi un'app per la gestione dei certificati di terze parti e concedere a questa app l'accesso privilegiato per installare i certificati nell'archivio chiavi gestito.
4.10.1. Gli amministratori IT specificano un pacchetto di gestione dei certificati da impostare come app delegata di gestione dei certificati dal DPC.
- La console può facoltativamente suggerire pacchetti di gestione dei certificati noti, ma deve consentire all'amministratore IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti applicabili.
4.11 Gestione avanzata della VPN
Consente agli amministratori IT di specificare una VPN sempre attiva per garantire che i dati delle app gestite specificate passino sempre attraverso una rete privata virtuale (VPN) configurata.
4.11.1. Gli amministratori IT possono specificare un pacchetto VPN arbitrario da impostare come VPN sempre attiva.
- La console EMM può facoltativamente suggerire pacchetti VPN noti che supportano la VPN sempre attiva, ma non può limitare le VPN disponibili per la configurazione sempre attiva a un elenco arbitrario.
4.11.2. Gli amministratori IT possono utilizzare configurazioni gestite per specificare le impostazioni VPN per un'app.
4.12 Gestione IME
Gli amministratori IT possono gestire quali metodi di immissione (IME) possono essere configurati per i dispositivi. Poiché l'IME è condiviso sia tra i profili di lavoro che tra i profili personali, se blocchi l'utilizzo degli IME non sarà consentito nemmeno l'uso di questi IME per uso personale. Gli amministratori IT non possono, tuttavia, bloccare gli IME di sistema sui profili di lavoro (vai alla gestione avanzata degli IME per maggiori dettagli).
4.12.1. Gli amministratori IT possono configurare una lista consentita IME di lunghezza arbitraria (incluso un elenco vuoto, che blocca gli IME non di sistema), che può contenere pacchetti IME arbitrari.
- La console EMM può facoltativamente suggerire IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
4.12.2. L'EMM deve informare gli amministratori IT che gli IME di sistema sono esclusi dalla gestione sui dispositivi con profili di lavoro.
4.13 Gestione avanzata degli IME
Gli amministratori IT possono gestire quali metodi di immissione (IME) possono essere configurati per i dispositivi. La gestione avanzata degli IME estende la funzionalità di base consentendo agli amministratori IT di gestire anche l'utilizzo degli IME di sistema, che in genere sono forniti dal produttore o dall'operatore del dispositivo.
4.13.1. Gli amministratori IT possono configurare una lista consentita IME di lunghezza arbitraria (escluso un elenco vuoto, che blocca tutti gli IME, inclusi gli IME di sistema), che potrebbe contenere pacchetti IME arbitrari.
- La console EMM può facoltativamente suggerire IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
4.13.2. I provider EMM devono impedire agli amministratori IT di configurare una lista consentita vuota, poiché questa impostazione impedirà la configurazione di tutti gli IME di sistema sul dispositivo.
4.13.3. Gli EMM devono assicurarsi che, se una lista consentita di IME non contiene IME di sistema, questi vengono installati automaticamente prima che la lista consentita venga applicata al dispositivo.
4.14 Gestione dei servizi di accessibilità
Gli amministratori IT possono gestire quali servizi di accessibilità possono essere consentiti sui dispositivi degli utenti. Sebbene i servizi di accessibilità siano strumenti efficaci per gli utenti con disabilità o per quelli che non sono temporaneamente in grado di interagire completamente con il dispositivo, possono interagire con i dati aziendali in modi non conformi alle norme aziendali. Questa funzionalità consente agli amministratori IT di disattivare qualsiasi servizio di accessibilità non di sistema.
4.14.1. Gli amministratori IT possono configurare una lista consentita per i servizi di accessibilità di lunghezza arbitraria (incluso un elenco vuoto, che blocca i servizi di accessibilità non di sistema), che può contenere qualsiasi pacchetto di servizi di accessibilità arbitrario. Quando viene applicata a un profilo di lavoro, influisce sia sul profilo personale sia sul profilo di lavoro.
- La console può facoltativamente suggerire servizi di accessibilità noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti interessati.
4.15 Gestione della Condivisione della posizione
4.16 Gestione avanzata della Condivisione della posizione
- Alta precisione.
- Solo sensori, ad esempio il GPS, ma esclusa la posizione fornita dalla rete.
- Basso consumo, che limita la frequenza di aggiornamento.
- Disattivato.
4.17 Gestione protezione ripristino dati di fabbrica
Consente agli amministratori IT di proteggere i dispositivi di proprietà dell'azienda dai furti assicurando che gli utenti non autorizzati non possano ripristinare i dati di fabbrica dei dispositivi. Se la protezione dal ripristino dei dati di fabbrica presenta complessità operative quando i dispositivi vengono restituiti al reparto IT, gli amministratori IT possono anche disattivare completamente la protezione dal ripristino dei dati di fabbrica.
4.17.1. Gli amministratori IT possono impedire agli utenti di ripristinare i dati di fabbrica del dispositivo dalle Impostazioni.
4.17.2. Gli amministratori IT possono specificare gli account di sblocco aziendali autorizzati a eseguire il provisioning dei dispositivi dopo un ripristino dei dati di fabbrica.
- Questo account può essere associato a un singolo utente o utilizzato dall'intera azienda per sbloccare dispositivi.
4.17.3. Gli amministratori IT possono disattivare la protezione ripristino dei dati di fabbrica per i dispositivi specificati.
4.17.4. Gli amministratori IT possono avviare un'operazione di cancellazione dei dati del dispositivo da remoto che, facoltativamente, cancella i dati di protezione del ripristino, rimuovendo così la protezione dal ripristino dei dati di fabbrica sul dispositivo ripristinato.
4.18. Controllo avanzato delle app
Gli amministratori IT possono impedire all'utente di disinstallare o modificare in altro modo le app gestite tramite le Impostazioni, ad esempio forzare la chiusura dell'app o svuotare la cache dei dati di un'app.
4.18.1. Gli amministratori IT possono bloccare la disinstallazione di qualsiasi app gestita arbitraria o di tutte le app gestite.
4.18.2. Gli amministratori IT possono impedire agli utenti di modificare i dati delle applicazioni dalle Impostazioni.
4.19 Gestione acquisizione schermo
Gli amministratori IT possono impedire agli utenti di acquisire screenshot quando utilizzano app gestite. Questa impostazione include il blocco delle app di condivisione schermo e di app simili (come l'Assistente Google) che sfruttano le funzionalità degli screenshot di sistema.
4.19.1. Gli amministratori IT possono impedire agli utenti di acquisire screenshot.
4.20 Disattivare le fotocamere
Gli amministratori IT possono disattivare l'uso della fotocamera dei dispositivi da parte delle app gestite.
4.20.1. Gli amministratori IT possono disattivare l'utilizzo della fotocamera dei dispositivi da parte delle app gestite.
4.21 Raccolta delle statistiche di rete
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete dal profilo di lavoro di un dispositivo. Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nella sezione Utilizzo dati delle Impostazioni. Le statistiche raccolte si applicano all'utilizzo delle app all'interno del profilo di lavoro.
4.21.1. Gli amministratori IT possono eseguire una query sul riepilogo delle statistiche di rete per un profilo di lavoro per un determinato dispositivo e una finestra temporale configurabile, nonché visualizzare questi dettagli nella console EMM.
4.21.2. Gli amministratori IT possono eseguire una query su un riepilogo delle app nelle statistiche sull'utilizzo della rete del profilo di lavoro per un determinato dispositivo e una finestra temporale configurabile, nonché visualizzare questi dettagli organizzati per UID nella console EMM.
4.21.3. Gli amministratori IT possono interrogare i dati storici sull'utilizzo della rete di un profilo di lavoro per un determinato dispositivo e una finestra temporale configurabile, nonché visualizzare questi dettagli organizzati per UID nella console EMM.
4.22 Raccolta di statistiche di rete avanzate
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete per un intero dispositivo gestito. Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nella sezione Utilizzo dei dati delle Impostazioni. Le statistiche raccolte si applicano all'uso delle app sul dispositivo.
4.22.1. Gli amministratori IT possono eseguire una query sul riepilogo delle statistiche di rete per un intero dispositivo per un determinato dispositivo e una finestra temporale configurabile, nonché visualizzare questi dettagli nella console EMM.
4.22.2. Gli amministratori IT possono eseguire una query su un riepilogo delle statistiche sull'utilizzo della rete delle app per un determinato dispositivo e una finestra temporale configurabile, nonché visualizzare questi dettagli organizzati per UID nella console EMM.
4.22.3. Gli amministratori IT possono eseguire query sull'utilizzo dei dati storici della rete, per un determinato dispositivo e una finestra temporale configurabile, e visualizzare questi dettagli organizzati per UID nella console EMM.
4.23 Riavvia il dispositivo
Gli amministratori IT possono riavviare i dispositivi gestiti da remoto.
4.23.1. Gli amministratori IT possono riavviare da remoto un dispositivo gestito.
4.24 Gestione radio di sistema
Consente agli amministratori IT una gestione granulare delle radio di rete del sistema e dei criteri di utilizzo associati.
4.24.1. Gli amministratori IT possono disattivare le cell broadcast inviate dai fornitori di servizi (ad esempio, gli avvisi AMBER).
4.24.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni della rete mobile in Impostazioni.
4.24.3. Gli amministratori IT possono impedire agli utenti di reimpostare le impostazioni di rete nelle Impostazioni.
4.24.4. Gli amministratori IT possono consentire o impedire i dati mobili durante il roaming.
4.24.5. Gli amministratori IT possono configurare se il dispositivo può effettuare chiamate in uscita, escluse le chiamate di emergenza.
4.24.6. Gli amministratori IT possono configurare se il dispositivo può inviare e ricevere SMS.
4.24.7. Gli amministratori IT possono impedire agli utenti di utilizzare il proprio dispositivo come hotspot portatile tramite tethering.
4.24.8. Gli amministratori IT possono impostare il timeout del Wi-Fi sul valore predefinito, solo quando sono collegati o mai.
4.24.9. Gli amministratori IT possono impedire agli utenti di configurare o modificare le connessioni Bluetooth esistenti.
4.25 Gestione dell'audio di sistema
Gli amministratori IT possono gestire in silenzio le funzionalità audio del dispositivo, ad esempio disattivare l'audio del dispositivo, impedire agli utenti di modificare le impostazioni del volume e agli utenti di riattivare l'audio del microfono del dispositivo.
4.25.1. Gli amministratori IT possono disattivare l'audio dei dispositivi gestiti senza alcun avviso.
4.25.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni del volume dei dispositivi.
4.25.3. Gli amministratori IT possono impedire agli utenti di riattivare il microfono del dispositivo.
4.26 Gestione dell'orologio di sistema
Gli amministratori IT possono gestire le impostazioni dell'orologio e del fuso orario dei dispositivi e impedire agli utenti di modificare le impostazioni automatiche dei dispositivi.
4.26.1. Gli amministratori IT possono applicare l'ora automatica del sistema, impedendo all'utente di impostare la data e l'ora del dispositivo.
4.26.2. Gli amministratori IT possono disattivare o attivare in modo invisibile sia la ora automatica sia il fuso orario automatico.
4.27 Funzionalità avanzate dei dispositivi dedicati
Offre agli amministratori IT la possibilità di gestire funzionalità dedicate dei dispositivi più granulari per supportare vari casi d'uso dei kiosk.
4.27.1. Gli amministratori IT possono disattivare il blocco tastiera del dispositivo.
4.27.2. Gli amministratori IT possono disattivare la barra di stato del dispositivo, bloccare le notifiche e le impostazioni rapide.
4.27.3. Gli amministratori IT possono forzare lo schermo del dispositivo a rimanere attivo mentre il dispositivo è collegato.
4.27.4. Gli amministratori IT possono impedire la visualizzazione delle seguenti UI di sistema:
- Toast
- Overlay applicazione.
4.27.5. Gli amministratori IT possono consentire alle app di saltare il tutorial per l'utente e altri suggerimenti introduttivi al primo avvio.
4.28 Gestione degli ambiti delegati
Gli amministratori IT possono delegare privilegi aggiuntivi a singoli pacchetti.
4.28.1. Gli amministratori IT possono gestire i seguenti ambiti:
- Installazione e gestione dei certificati
- Gestione delle configurazioni gestite
- Logging di rete
- Logging di sicurezza
4.29 Assistenza per ID specifico per la registrazione
A partire da Android 12, i profili di lavoro non avranno più accesso a identificatori specifici per l'hardware. Gli amministratori IT possono seguire il ciclo di vita di un dispositivo con un profilo di lavoro tramite l'ID specifico per la registrazione, che verrà mantenuto tramite il ripristino dei dati di fabbrica.
4.29.1. Gli amministratori IT possono impostare e obtain un ID specifico per la registrazione
4.29.2. Questo ID specifico per la registrazione deve essere mantenuto tramite il ripristino dei dati di fabbrica
5. Usabilità del dispositivo
5.1. Personalizzazione del provisioning gestito
Gli amministratori IT possono modificare l'UX del flusso di configurazione predefinito per includere funzionalità specifiche per l'azienda. Facoltativamente, gli amministratori IT possono mostrare il branding fornito da EMM durante il provisioning.
5.1.1. Gli amministratori IT possono personalizzare il processo di provisioning specificando i seguenti dettagli specifici dell'azienda: colore aziendale, logo aziendale, termini di servizio aziendali e altri disclaimer.
5.1.2. Gli amministratori IT possono eseguire il deployment di una personalizzazione specifica EMM non configurabile che include i seguenti dettagli: colore EMM, logo EMM, Termini di servizio EMM e altri disclaimer.
La versione 5.1.3 [primaryColor] è stata ritirata per la risorsa aziendale su Android 10 e versioni successive.
- Gli EMM devono includere Termini di servizio e altri disclaimer per il loro flusso di provisioning nel pacchetto di disclaimer per il provisioning del sistema, anche se non viene utilizzata la personalizzazione specifica dell'EMM.
- I provider EMM possono impostare la personalizzazione specifica EMM non configurabile come predefinita per tutti i deployment, ma devono consentire agli amministratori IT di impostare la propria personalizzazione.
5.2. Personalizzazione aziendale
Gli amministratori IT possono personalizzare gli aspetti del profilo di lavoro con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona utente nel profilo di lavoro sul logo aziendale. Un altro esempio è l'impostazione del colore di sfondo della sfida lavorativa.
5.2.1. Gli amministratori IT possono impostare il colore dell'organizzazione, da utilizzare come colore di sfondo per una sfida di lavoro.
5.2.2. Gli amministratori IT possono impostare il nome visualizzato del profilo di lavoro.
5.2.3. Gli amministratori IT possono impostare l'icona utente del profilo di lavoro.
5.2.4. Gli amministratori IT possono impedire all'utente di modificare l'icona utente del profilo di lavoro.
5.3. Personalizzazione aziendale avanzata
Gli amministratori IT possono personalizzare i dispositivi gestiti con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona dell'utente principale sul logo aziendale o lo sfondo del dispositivo.
5.3.1. Gli amministratori IT possono impostare il nome visualizzato per il dispositivo gestito.
5.3.2. Gli amministratori IT possono impostare l'icona utente del dispositivo gestito.
5.3.3. Gli amministratori IT possono impedire all'utente di modificare l'icona utente del dispositivo.
5.3.4. Gli amministratori IT possono impostare lo sfondo del dispositivo.
5.3.5. Gli amministratori IT possono impedire all'utente di modificare lo sfondo del dispositivo.
5.4. Messaggi della schermata di blocco
Gli amministratori IT possono impostare un messaggio personalizzato che viene sempre mostrato nella schermata di blocco del dispositivo e non richiede la visualizzazione dello sblocco del dispositivo.
5.4.1. Gli amministratori IT possono impostare un messaggio personalizzato per la schermata di blocco.
5.5. Gestione della trasparenza delle norme
Gli amministratori IT possono personalizzare il testo della guida fornito agli utenti quando modificano le impostazioni gestite sul proprio dispositivo o eseguono il deployment di un messaggio di assistenza generico fornito da EMM. I messaggi di assistenza lunghi e brevi possono essere personalizzati. Questi messaggi vengono visualizzati in casi come il tentativo di disinstallare un'app gestita per la quale un amministratore IT ha già bloccato la disinstallazione.
5.5.1. Gli amministratori IT personalizzano i messaggi di assistenza breve e lungo.
5.5.2. Gli amministratori IT possono eseguire il deployment di messaggi di assistenza breve e lunghi specifici per EMM non configurabili.
- EMM può impostare i messaggi di assistenza specifici per EMM non configurabili come predefiniti per tutti i deployment, ma deve consentire agli amministratori IT di configurare i propri messaggi.
5.6 Gestione dei contatti di più profili
Gli amministratori IT possono controllare quali dati di contatto possono essere rimossi dal profilo di lavoro. Le app di telefonia e di messaggistica (SMS) devono essere eseguite nel profilo personale e devono richiedere l'accesso ai dati dei contatti del profilo di lavoro per offrire funzionalità ai contatti di lavoro. Tuttavia, gli amministratori possono scegliere di disattivare queste funzionalità per proteggere i dati di lavoro.
5.6.1. Gli amministratori IT possono disattivare la ricerca dei contatti in più profili per le app personali che utilizzano il fornitore di contatti di sistema.
5.6.2. Gli amministratori IT possono disattivare la ricerca dell'ID chiamante tra più profili per le app tastiera personale che utilizzano il provider di contatti di sistema.
5.6.3. Gli amministratori IT possono disattivare la condivisione dei contatti Bluetooth con i dispositivi Bluetooth che utilizzano il fornitore di contatti di sistema, ad esempio le chiamate in vivavoce in auto o cuffie.
5.7 Gestione dei dati con più profili
Consente agli amministratori IT di gestire i dati che possono lasciare il profilo di lavoro, oltre alle funzionalità di sicurezza predefinite del profilo di lavoro. Con questa funzionalità, gli amministratori IT possono consentire determinati tipi di condivisione dei dati tra profili per migliorare l'usabilità in casi d'uso chiave. Gli amministratori IT possono anche proteggere ulteriormente i dati aziendali con altri blocchi.
5.7.1. Gli amministratori IT possono configurare filtri per intent in più profili in modo che le app personali possano risolvere intent dal profilo di lavoro, ad esempio condivisione di intent o link web.
- La console può facoltativamente suggerire filtri per intent noti o consigliati per la configurazione, ma non può limitare i filtri per intent a un elenco arbitrario.
5.7.2. Gli amministratori IT possono consentire le app gestite che possono visualizzare widget sulla schermata Home.
- La console EMM deve offrire agli amministratori IT la possibilità di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
5.7.3. Gli amministratori IT possono bloccare l'utilizzo del copia/incolla tra il profilo di lavoro e quello personale.
5.7.4. Gli amministratori IT possono impedire agli utenti di condividere dati dal profilo di lavoro utilizzando il raggio NFC.
5.7.5. Gli amministratori IT possono consentire alle app personali di aprire link web dal profilo di lavoro.
5.8 Criterio di aggiornamento di sistema
Gli amministratori IT possono configurare e applicare aggiornamenti di sistema over-the-air (OTA) per i dispositivi.
5.8.1. La console EMM consente agli amministratori IT di impostare le seguenti configurazioni OTA:
- Automatico: i dispositivi ricevono aggiornamenti OTA quando diventano disponibili.
- Rimanda: gli amministratori IT devono essere in grado di posticipare l'aggiornamento OTA per un massimo di 30 giorni. Questo criterio non influisce sugli aggiornamenti della sicurezza (ad esempio le patch di sicurezza mensili).
- Con finestra: gli amministratori IT devono essere in grado di pianificare aggiornamenti OTA entro un periodo di manutenzione giornaliera.
5.8.2. Il DPC dell'EMM applica le configurazioni OTA ai dispositivi.
5.9 Gestione della modalità di blocco attività
Gli amministratori IT possono bloccare un'app o un insieme di app sullo schermo e assicurarsi che gli utenti non possano uscire dall'app.
5.9.1. La console EMM consente agli amministratori IT di consentire automaticamente a un insieme arbitrario di app di installare e bloccare un dispositivo. Il DPC dell'EMM consente la modalità dispositivo dedicata.
5.10 Gestione delle attività preferite permanenti
Consente agli amministratori IT di impostare un'app come gestore di intent predefinito per gli intent che corrispondono a un determinato filtro per intent. Ad esempio, consenti agli amministratori IT di scegliere quale app del browser aprire automaticamente i link web o quale app di avvio applicazioni usare quando si tocca il pulsante Home.
5.10.1. Gli amministratori IT possono impostare qualsiasi pacchetto come gestore di intent predefinito per qualsiasi filtro per intent arbitrario.
- La console EMM può facoltativamente suggerire intent noti o consigliati per la configurazione, ma non può limitare gli intent a un elenco arbitrario.
- La console EMM deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
5.11 Gestione delle funzionalità di keyguard
- agenti di attendibilità
- sblocco con l'impronta
- notifiche non oscurate
5.11.2. Il DPC dell'EMM può disattivare le seguenti funzionalità di blocco tastiera nel profilo di lavoro:
- agenti di attendibilità
- sblocco con l'impronta
5.12 Gestione avanzata delle funzionalità di blocco tastiera
- Proteggi la fotocamera
- Tutte le notifiche
- Notifiche non oscurate
- Agenti di attendibilità
- Sblocco con l'impronta
- Tutte le funzionalità di keyguard
5.13 Debug remoto
Gli amministratori IT possono recuperare le risorse di debug dai dispositivi senza richiedere passaggi aggiuntivi.
5.13.1. Gli amministratori IT possono richiedere da remoto le segnalazioni di bug, visualizzare le segnalazioni di bug dalla console EMM e scaricare le segnalazioni di bug dalla console dell'EMM.
5.14 Recupero degli indirizzi MAC
I provider EMM possono recuperare in modalità silenziosa l'indirizzo MAC di un dispositivo. L'indirizzo MAC può essere utilizzato per identificare i dispositivi in altre parti dell'infrastruttura aziendale (ad esempio per identificare i dispositivi per il controllo dell'accesso alla rete).
5.14.1. L'EMM può recuperare in silenzio l'indirizzo MAC di un dispositivo e associarlo al dispositivo nella console EMM.
5.15 Gestione avanzata della modalità di blocco attività
Quando un dispositivo viene configurato come dedicato, gli amministratori IT possono utilizzare la console EMM per eseguire le seguenti attività:
5.15.1. Consenti in modalità silenziosa il blocco di un dispositivo a una singola app tramite il DPC dell'EMM.
5.15.2. Attiva o disattiva le seguenti funzionalità dell'interfaccia utente di sistema tramite il DPC dell'EMM:
- Pulsante Home
- Panoramica
- Azioni globali
- Notifiche
- Informazioni sul sistema / barra di stato
- Keyguard (schermata di blocco)
5.15.3. Disattiva le finestre di dialogo Errori di sistema tramite il DPC dell'EMM.
5.16 Criterio di aggiornamento del sistema avanzato
Gli amministratori IT possono bloccare gli aggiornamenti di sistema su un dispositivo per un periodo di blocco specificato.
5.16.1. Il DPC dell'EMM può applicare aggiornamenti di sistema over-the-air (OTA) ai dispositivi per un periodo di blocco specificato.
5.17 Gestione della trasparenza delle norme del profilo di lavoro
Gli amministratori IT possono personalizzare il messaggio mostrato agli utenti quando rimuovono il profilo di lavoro da un dispositivo.
5.17.1. Gli amministratori IT possono fornire testo personalizzato da visualizzare quando un profilo di lavoro viene cancellato.
5.18 Supporto per app collegate
Gli amministratori IT possono impostare un elenco di pacchetti che possono comunicare attraverso il confine del profilo di lavoro.
5.19 Aggiornamenti di sistema manuali
Gli amministratori IT possono installare manualmente un aggiornamento di sistema fornendo un percorso file.
6. Ritiro dell'amministratore del dispositivo
6. Ritiro dell'amministratore del dispositivo
Gli EMM sono tenuti a pubblicare un piano entro la fine del 2022, che terminerà l'assistenza clienti per l'amministratore dispositivo sui dispositivi GMS entro la fine del primo trimestre del 2023.