Auf dieser Seite finden Sie alle Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () von mindestens einem Lösungssatz unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die standardmäßige Funktionsüberprüfung bestehen, werden im Enterprise Solutions Directory von Android als Standardverwaltungsgruppe aufgeführt.
Für jeden Lösungssatz ist ein zusätzlicher Satz erweiterter Funktionen verfügbar. Diese Funktionen sind auf den einzelnen Lösungsseiten angegeben: Arbeitsprofil, vollständig verwaltetes Gerät und dediziertes Gerät. EMM-Lösungen, die die erweiterte Funktionsüberprüfung bestehen, werden im Enterprise Solutions Directory von Android als Advanced Management Set angeboten.
Hinweis:Die Verwendung der Android Management API unterliegt der zulässigen Nutzungsrichtlinie.
Schlüssel
| -Standardfeature | Optionales Feature für | nicht zutreffend |
1. Gerätebereitstellung
1.1. DPC-First-Arbeitsprofil-Bereitstellung
Nachdem Nutzer Android Device Policy bei Google Play heruntergeladen haben, können sie ein Arbeitsprofil bereitstellen.
1.1.1. Der EMM stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.2. Bereitstellung von DPC-Kennungen
Wenn Sie im Einrichtungsassistenten des Geräts „afw#“ eingeben, wird ein vollständig verwaltetes oder dediziertes Gerät bereitgestellt.
1.2.1. Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.3. Bereitstellung von NFC-Geräten
IT-Administratoren können NFC-Tags verwenden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den Implementierungsrichtlinien bereitzustellen, die in der Entwicklerdokumentation zur Play EMM API definiert sind.
1.3.1. EMM-Anbieter müssen Tags vom Typ 2 des NFC-Forums mit mindestens 888 Byte Arbeitsspeicher verwenden. Bei der Bereitstellung müssen Extras für die Bereitstellung verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Wir empfehlen die Verwendung von NFC-Tags ab Android 10, da NFC Beam (auch als „NFC Bump“ bezeichnet) eingestellt wird.
1.4 Gerätebereitstellung per QR-Code
Die EMM-Konsole kann einen QR-Code generieren, den IT-Administratoren scannen können, um ein vollständig verwaltetes oder dediziertes Gerät gemäß den Implementierungsrichtlinien bereitzustellen, die in der Entwicklerdokumentation zur Android Management API definiert sind.
1.4.1. Im QR-Code müssen zusätzliche Funktionen verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs oder Registrierungs-IDs an ein Gerät zu übergeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte, die von autorisierten Resellern erworben wurden, vorkonfigurieren und über die EMM-Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung bereitstellen, die unter Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Beim ersten Einschalten eines Geräts werden automatisch die vom IT-Administrator festgelegten Einstellungen angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
Mit der Zero-Touch-Registrierung können IT-Administratoren einen Großteil der Geräteregistrierung automatisieren. In Kombination mit Anmelde-URLs können IT-Administratoren die Registrierung entsprechend den vom EMM angebotenen Konfigurationsoptionen auf bestimmte Konten oder Domains beschränken.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mithilfe der Zero-Touch-Registrierung bereitstellen.
1.6.2. Diese Anforderung wurde eingestellt.
1.6.3. Mithilfe der Anmelde-URL muss der EMM sicherstellen, dass nicht autorisierte Nutzer nicht mit der Aktivierung fortfahren können. Die Aktivierung muss mindestens auf die Nutzer des jeweiligen Unternehmens beschränkt sein.
1.6.4. Mithilfe der Anmelde-URL muss der EMM es IT-Administratoren ermöglichen, neben eindeutigen Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) Registrierungsdetails (z. B. Instanzserver-IDs, Registrierungs-IDs) im Voraus auszufüllen, damit Nutzer bei der Aktivierung eines Geräts keine Details eingeben müssen.
- EMMs dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate in die Konfiguration der Zero-Touch-Registrierung aufnehmen.
1.7 Bereitstellung des Arbeitsprofils für ein Google-Konto
Die Android Management API unterstützt diese Funktion nicht.
1.8 Gerätebereitstellung über ein Google-Konto
Die Android Management API unterstützt diese Funktion nicht.
1.9 Direkte Zero-Touch-Konfiguration
IT-Administratoren können in der EMM-Konsole mit dem Zero-Touch-iFrame Zero-Touch-Geräte einrichten.
1.10 Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil über die Einstellung AllowPersonalUsage registrieren.
1.10.1. IT-Administratoren können ein Gerät per QR-Code oder mit Zero-Touch-Registrierung als Arbeitsprofil auf einem unternehmenseigenen Gerät bereitstellen.
1.10.2. IT-Administratoren können über PersonalUsagePolicies Complianceaktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3. IT-Administratoren können die Kamera über PersonalUsagePolicies oder das gesamte Gerät deaktivieren.
1.10.4. IT-Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf einem gesamten Gerät über PersonalUsagePolicies deaktivieren.
1.10.5. IT-Administratoren können über PersonalApplicationPolicy eine Zulassungsliste oder Sperrliste für Anwendungen festlegen, die im privaten Profil installiert werden dürfen oder nicht.
1.10.6. IT-Administratoren können auf die Verwaltung eines unternehmenseigenen Geräts verzichten, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
2. Gerätesicherheit
2.1. Herausforderung der Gerätesicherheit
IT-Administratoren können auf verwalteten Geräten eine Sicherheitsabfrage (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen festlegen und erzwingen.
2.1.1 In den Richtlinien müssen Einstellungen zur Verwaltung der Sicherheitsanforderungen für Geräte erzwungen werden (parentProfilePasswordVoraussetzungen für Arbeitsprofile, Passwortanforderungen für vollständig verwaltete und zweckbestimmte Geräte).
2.1.2. Die Passwortkomplexität sollte den folgenden Komplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder Markierung mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und mindestens 8 Länge oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.1.3. Auf unternehmenseigenen Geräten können über alte Einstellungen auch zusätzliche Passwortbeschränkungen erzwungen werden.
2.2 Herausforderung der Arbeitssicherheit
IT-Administratoren können eine Sicherheitsabfrage für Apps und Daten im Arbeitsprofil einrichten und erzwingen, die unabhängig ist und andere Anforderungen als die Identitätsbestätigung für Geräte hat (2.1.).
2.2.1. Die Sicherheitsmaßnahme für das Arbeitsprofil muss durch eine Richtlinie erzwungen werden.
- IT-Administratoren sollten Einschränkungen standardmäßig nur für das Arbeitsprofil festlegen, wenn kein Umfang angegeben ist
- IT-Administratoren können dies für das gesamte Gerät festlegen, indem sie den Umfang angeben (siehe Anforderung 2.1).
2.2.2. Die Passwortkomplexität sollte den folgenden vordefinierten Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder Markierung mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und mindestens 8 Länge oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.2.3. Zusätzliche Passwortbeschränkungen können auch über die alten Einstellungen erzwungen werden.
2.3. Erweiterte Sicherheitscodeverwaltung
IT-Administratoren können erweiterte Passworteinstellungen auf Geräten einrichten.
2.3.1. [absichtlich leer]
2.3.2. [absichtlich leer]
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden auf einem Gerät verfügbaren Sperrbildschirm festgelegt werden:
- [absichtlich leer]
- [absichtlich leer]
- Maximale Anzahl fehlgeschlagener Passwörter für das Löschen: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.3.4. Android 8.0 und höher) Zeitlimit für erforderliche starke Authentifizierung: Ein starker Authentifizierungs-Sicherheitscode (z. B. PIN oder Passwort) muss nach einem von einem IT-Administrator festgelegten Zeitlimit eingegeben werden. Nach dem Zeitlimit werden nicht starke Authentifizierungsmethoden wie die Entsperrung per Fingerabdruck oder Gesichtserkennung deaktiviert, bis das Gerät mit einem starken Sicherheitscode für die Authentifizierung entsperrt wird.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, ob Trust Agents in der Smart Lock-Funktion von Android die Geräteentsperrung auf bis zu vier Stunden verlängern dürfen.
2.4.1. IT-Administratoren können Trust-Agents auf dem Gerät deaktivieren.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole Arbeitsdaten per Fernzugriff von einem verwalteten Gerät sperren und von dort löschen.
2.5.1. Geräte müssen über die Android Management API gesperrt werden.
2.5.2. Löschen Sie die Gerätedaten mithilfe der Android Management API.
2.6 Durchsetzung der Compliance
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, wird die Verwendung von Arbeitsdaten durch die Complianceregeln der Android Management API automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens Passwortrichtlinien enthalten.
2.7 Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs wird empfohlen (aber nicht erforderlich), IT-Administratoren nicht zu gestatten, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Die Installation von Apps aus unbekannten Quellen muss blockiert werden. Dies gilt auch für Apps, die auf der privaten Seite von Geräten mit Android 8.0 oder höher mit Arbeitsprofil installiert werden. Diese Unterfunktion wird standardmäßig unterstützt.
2.7.2. Debugging-Features müssen blockiert werden. Dieses Unterfeature wird standardmäßig unterstützt.
2.8 Sicherheitsrichtlinien für dedizierte Geräte
Für gesperrte dedizierte Geräte sind keine anderen Aktionen zulässig.
2.8.1. Das Starten im abgesicherten Modus muss standardmäßig über Richtlinie deaktiviert werden (siehe safeBootDisabled).
2.9 Play Integrity-Support
Die Play-Integritätsprüfungen werden standardmäßig durchgeführt. Eine zusätzliche Implementierung ist nicht erforderlich.
2.9.1. Das Feld absichtlich leer.
2.9.2. Das Feld absichtlich leer.
2.9.3. IT-Administratoren können je nach Wert des SecurityRisk des Geräts verschiedene Richtlinienantworten einrichten, einschließlich der Blockierung der Bereitstellung, des Löschens von Unternehmensdaten und der Fortsetzung der Registrierung.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.10 Erzwingung der App-Überprüfung
IT-Administratoren können Apps überprüfen auf Geräten aktivieren. Bei der Funktion "Apps überprüfen" werden auf Android-Geräten installierte Apps vor und nach der Installation auf schädliche Software geprüft. So wird sichergestellt, dass schädliche Apps keine Unternehmensdaten kompromittieren können.
2.10.1. „Apps überprüfen“ muss standardmäßig über Richtlinie aktiviert sein (Gehen Sie zu ensureVerifyAppsEnabled).
2.11 Unterstützung für Direct Boot
Die Android Management API unterstützt diese Funktion standardmäßig. Eine zusätzliche Implementierung ist nicht erforderlich.
2.12 Hardware-Sicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverlust zu verhindern.
2.12.1. IT-Administratoren können die Bereitstellung physischer externer Medien über eine Richtlinie durch Nutzer blockieren (siehe mountPhysicalMediaDisabled).
2.12.2. IT-Administratoren können Nutzer daran hindern, Daten von ihrem Gerät mithilfe von NFC-Beam über eine Richtlinie freizugeben (siehe outgoingBeamDisabled). Diese Unterfunktion ist optional, da die NFC-Beamfunktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können Nutzer über eine Richtlinie daran hindern, Dateien über USB zu übertragen (siehe usbFileTransferDisabled).
2.13 Logging für die Unternehmenssicherheit
Die Android Management API unterstützt diese Funktion derzeit nicht.
3. Konto- und App-Verwaltung
3.1. Kontogruppe für Managed Google Play
IT-Administratoren können eine Kontogruppe für Managed Google Play erstellen – eine Entität, die es Managed Google Play ermöglicht, Apps an Geräte zu verteilen. Die folgenden Registrierungsphasen müssen in die EMM-Konsole integriert werden:
3.1.1. Sie können mit der Android Management API eine Kontogruppe für Managed Google Play registrieren.
3.2. Bereitstellung eines verwalteten Google Play-Kontos
Der EMM kann im Hintergrund Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, bereitstellen. Diese Konten identifizieren verwaltete Nutzer und lassen eindeutige App-Verteilungsregeln pro Nutzer zu.
3.2.1. Managed Google Play-Konten (Nutzerkonten) werden bei der Bereitstellung von Geräten automatisch erstellt.
Die Android Management API unterstützt diese Funktion standardmäßig. Eine zusätzliche Implementierung ist nicht erforderlich.
3.3 Bereitstellung von verwalteten Google Play-Gerätekonten
Der EMM kann Managed Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten ermöglichen die automatische Installation von Apps aus dem Managed Google Play Store und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto zur Identifizierung eines einzelnen Geräts verwendet, um in Szenarien mit dedizierten Geräten App-Bereitstellungsregeln pro Gerät zu unterstützen.
3.3.1. Managed Google Play-Konten werden automatisch erstellt, wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Eine zusätzliche Implementierung ist nicht erforderlich.
3.4. Bereitstellung von verwalteten Google Play-Konten für alte Geräte
Diese Funktion wurde eingestellt.
3.5 Bereitstellung von Apps im Hintergrund
IT-Administratoren können geschäftliche Apps automatisch und ohne Nutzerinteraktion auf Geräten verteilen.
3.5.1. In der EMM-Konsole muss die Android Management API verwendet werden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. In der EMM-Konsole muss die Android Management API verwendet werden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. In der EMM-Konsole muss die Android Management API verwendet werden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationsverwaltung
IT-Administratoren können verwaltete Konfigurationen für jede Anwendung, die verwaltete Konfigurationen unterstützt, ansehen und im Hintergrund festlegen.
3.6.1. Die EMM-Konsole muss die Möglichkeit haben, die Einstellungen der verwalteten Konfiguration für jede Play-App abrufen und anzeigen zu können.
3.6.2. IT-Administratoren müssen in der EMM-Konsole die Möglichkeit haben, mit der Android Management API einen beliebigen Konfigurationstyp (wie im Android Enterprise-Framework definiert) für jede Play-App festzulegen.
3.6.3. In der EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, Platzhalter wie $username$ oder %emailAddress% festzulegen, damit eine einzelne Konfiguration für eine Anwendung wie Gmail auf mehrere Nutzer angewendet werden kann.
3.7 App-Katalogverwaltung
Die Android Management API unterstützt diese Funktion standardmäßig. Eine zusätzliche Implementierung ist nicht erforderlich.
3.8 Freigabe programmatischer Apps
Die EMM-Konsole verwendet den iFrame von Managed Google Play, um die Funktionen zur Erkennung und Genehmigung von Apps in Google Play zu unterstützen. IT-Administratoren können nach Anwendungen suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können mit dem iFrame für Managed Google Play nach Apps suchen und sie in der EMM-Konsole genehmigen.
3.9 Einfache Verwaltung von Store-Layouts
Mit der Managed Google Play Store App können geschäftliche Apps installiert und aktualisiert werden. Standardmäßig werden die für einen Nutzer genehmigten Apps im Managed Google Play Store in einer einzigen Liste angezeigt. Dieses Layout wird als grundlegendes Store-Layout bezeichnet.
3.9.1. Die EMM-Konsole sollte es IT-Administratoren ermöglichen, die Apps zu verwalten, die im grundlegenden Store-Layout des Endnutzers sichtbar sind.
3.10 Erweiterte Konfiguration des Store-Layouts
3.10.1. IT-Administratoren können das Store-Layout anpassen, das in der Managed Google Play Store App angezeigt wird.
3.11 App-Lizenzverwaltung
Diese Funktion wurde eingestellt.
3.12 Von Google gehostete Verwaltung privater Apps
IT-Administratoren können von Google gehostete private Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Anwendungen, die bereits privat im Unternehmen veröffentlicht wurden, mit einem der folgenden Methoden hochladen:
3.13 Selbst gehostete Verwaltung privater Apps
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs bei Google Play nicht gehostet. Stattdessen hilft der EMM IT-Administratoren beim Hosten von APKs selbst und trägt zum Schutz selbst gehosteter Apps bei, da diese nur installiert werden können, wenn sie von Managed Google Play autorisiert wurden.
3.13.1. Die EMM-Konsole muss IT-Administratoren beim Hosten des App-APKs helfen, indem sie die beiden folgenden Optionen bietet:
- APK auf dem EMM-Server hosten Der Server kann lokal oder cloudbasierter Server sein.
- Das Hosten des APK außerhalb des EMM-Servers liegt im Ermessen des Unternehmens. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. Die EMM-Konsole muss eine entsprechende APK-Definitionsdatei mit dem bereitgestellten APK generieren und IT-Administratoren durch den Veröffentlichungsprozess führen.
3.13.3. IT-Administratoren können selbst gehostete private Apps aktualisieren und die EMM-Konsole kann aktualisierte APK-Definitionsdateien mit der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der EMM-Server stellt Downloadanfragen für das selbst gehostete APK bereit, das im Cookie der Anfrage ein gültiges JWT enthält, wie durch den öffentlichen Schlüssel der privaten App verifiziert.
- Zur Erleichterung dieses Vorgangs muss der EMM-Server die IT-Administratoren dazu auffordern, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Play Google Developers Console herunterzuladen und diesen Schlüssel in die EMM-Konsole hochzuladen.
3.14 EMM-Pull-Benachrichtigungen
Diese Funktion ist nicht auf die Android Management API anwendbar. Richten Sie stattdessen Pub/Sub-Benachrichtigungen ein.
3.15 Anforderungen an die API-Nutzung
Der EMM implementiert umfangreiche Android Management APIs und vermeidet so Trafficmuster, die sich negativ auf die Fähigkeit von Unternehmen zur Verwaltung von Apps in Produktionsumgebungen auswirken könnten.
3.15.1. EMM-Anbieter müssen die Nutzungslimits für die Android Management API einhalten. Wird ein Verhalten, das gegen diese Richtlinien verstößt, nicht korrigiert, kann dies nach eigenem Ermessen zur Sperrung der API-Nutzung führen.
3.15.2. EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilt verteilen, anstatt den Unternehmenstraffic zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Ein Verhalten, das diesem Trafficmuster entspricht, z. B. geplante Batchvorgänge für jedes registrierte Gerät, kann dazu führen, dass die API-Nutzung nach Ermessen von Google ausgesetzt wird.
3.15.3. Das EMM sollte keine konsistenten, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Trafficmuster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16 Erweiterte verwaltete Konfigurationsverwaltung
Das EMM unterstützt die folgenden erweiterten Funktionen für die verwaltete Konfigurationsverwaltung:
3.16.1. Die EMM-Konsole muss die bis zu vier Ebenen verschachtelter verwalteter Konfigurationseinstellungen jeder Play-App abrufen und anzeigen können. Dazu werden folgende Elemente verwendet:
- den iFrame von Managed Google Play oder
- eine benutzerdefinierte UI.
3.16.2. Die EMM-Konsole muss Feedback abrufen und anzeigen können, das über den Feedback-Kanal einer App zurückgegeben und von einem IT-Administrator eingerichtet wurde.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von denen es stammt.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte bestimmter Nachrichtentypen (z. B. Fehlermeldungen) zu abonnieren.
3.16.3. Über die EMM-Konsole dürfen nur Werte gesendet werden, die entweder einen Standardwert haben oder manuell vom Administrator festgelegt wurden. Dazu müssen folgende Methoden verwendet werden:
- iFrame für verwaltete Konfigurationen
- Eine benutzerdefinierte Benutzeroberfläche.
3.17 Verwaltung von Webanwendungen
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und verteilen.
3.17.1. Mit der EMM-Konsole können IT-Administratoren Verknüpfungen auf Web-Apps verteilen. Dazu werden folgende Elemente verwendet:
- iFrame für Managed Google Play
- oder die Android Management API verwenden.
3.18 Verwaltung des Lebenszyklus von Managed Google Play-Konten
Der EMM kann Managed Google Play-Konten im Namen von IT-Administratoren erstellen, aktualisieren und löschen und nach Ablauf des Kontos automatisch wiederherstellen.
Diese Funktion wird standardmäßig unterstützt. Es ist keine zusätzliche EMM-Implementierung erforderlich.
3.19 App-Track-Verwaltung
3.19.1. IT-Administratoren können eine Liste mit Track-IDs abrufen, die ein Entwickler für eine bestimmte App festgelegt hat.
3.19.2. IT-Administratoren können Geräte so einstellen, dass ein bestimmter Entwicklungs-Track für eine Anwendung verwendet wird.
3.20 Erweiterte Verwaltung von Anwendungsupdates
IT-Administratoren können zulassen, dass Apps sofort aktualisiert werden, oder sie um 90 Tage verzögern.
3.20.1. IT-Administratoren können zulassen, dass Apps über App-Updates mit hoher Priorität aktualisiert werden, sobald ein Update verfügbar ist. 3.20.2. IT-Administratoren können zulassen, dass App-Updates um 90 Tage verschoben werden.
3.21 Verwaltung von Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und diese dem IT-Administrator in einem Formular präsentieren, das an Endnutzer weitergegeben werden kann (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können im Hintergrund eine Standardantwort auf Laufzeitberechtigungsanfragen von geschäftlichen Apps festlegen.
4.1.1. IT-Administratoren müssen beim Festlegen einer Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation eine der folgenden Optionen auswählen können:
- Aufforderung (Nutzer können auswählen)
- allow
- deny
Der EMM sollte diese Einstellungen über eine Richtlinie erzwingen.
4.2. Statusverwaltung für das Gewähren von Laufzeitberechtigungen
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1.), IT-Administratoren können von jeder geschäftlichen App, die auf API 23 oder höher basiert, im Hintergrund Antworten für bestimmte Berechtigungen festlegen.
4.2.1. IT-Administratoren müssen in der Lage sein, den Erteilungsstatus (Standard, Gewähren oder Ablehnung) für jede Berechtigung festzulegen, die von jeder geschäftlichen App angefordert wird, die auf API 23 oder höher basiert. Der EMM sollte diese Einstellungen über eine Richtlinie erzwingen.
4.3. Verwaltung der WLAN-Konfiguration
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten automatisch bereitstellen, darunter:
4.3.1. SSID, gemäß den Richtlinien.
4.3.2. Passwort, über Richtlinie.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können WLAN-Konfigurationen von Unternehmen auf Geräten mit den folgenden erweiterten Sicherheitsfunktionen bereitstellen:
4.4.1. Identität
4.4.2. Zertifikate für die Clientautorisierung
4.4.3. CA-Zertifikate
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT-Administratoren können die WLAN-Konfigurationen des Unternehmens über eine Richtlinie in einer der folgenden Konfigurationen sperren:
- Nutzer können die vom EMM bereitgestellten WLAN-Konfigurationen nicht ändern (siehe
wifiConfigsLockdownEnabled). Sie können jedoch eigene, vom Nutzer konfigurierbare Netzwerke (z. B. persönliche Netzwerke) hinzufügen und ändern. - Nutzer können auf dem Gerät kein WLAN hinzufügen oder ändern (siehe
wifiConfigDisabled). Dadurch wird die WLAN-Verbindung auf die vom EMM bereitgestellten Netzwerke beschränkt.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nur autorisierte Unternehmenskonten mit Unternehmensdaten interagieren können, z. B. für Dienste wie SaaS-Speicher und Produktivitäts-Apps oder E-Mails. Ohne dieses Feature können Nutzer den Unternehmens-Apps, die auch Privatnutzerkonten unterstützen, private Konten hinzufügen, um Unternehmensdaten für diese privaten Konten freizugeben.
4.6.1. IT-Administratoren können verhindern, dass Nutzer Konten hinzufügen oder ändern (siehe modifyAccountsDisabled).
- Wird diese Richtlinie auf einem Gerät erzwungen, müssen EMMs diese Einschränkung vor Abschluss der Bereitstellung festlegen, damit Nutzer diese Richtlinie nicht umgehen können, indem sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Kontoverwaltung
Die Android Management API unterstützt diese Funktion nicht.
4.8. Zertifikatsverwaltung
Damit können IT-Administratoren Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitstellen, um die Verwendung von Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können Zertifikate zur Nutzeridentität installieren, die von ihrer PKI generiert wurden. Die EMM-Konsole muss mit mindestens einer PKI verknüpft sein und Zertifikate verteilen, die von dieser Infrastruktur generiert wurden.
4.8.2. IT-Administratoren können im verwalteten Schlüsselspeicher Zertifizierungsstellen installieren (siehe caCerts). Diese Unterfunktion wird jedoch derzeit nicht unterstützt.
4.9. Erweiterte Zertifikatsverwaltung
IT-Administratoren können im Hintergrund die Zertifikate auswählen, die bestimmte verwaltete Apps verwenden sollen. Mit dieser Funktion können IT-Administratoren außerdem Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen und verhindern, dass Nutzer Anmeldedaten ändern, die im verwalteten Schlüsselspeicher gespeichert sind.
4.9.1. IT-Administratoren können für jede auf Geräten vertriebene App ein Zertifikat angeben, dem die App während der Laufzeit unbemerkt Zugriff gewährt. (Diese Unterfunktion wird derzeit nicht unterstützt.)
- Die Zertifikatsauswahl muss so generisch sein, dass eine Konfiguration für alle Nutzer möglich ist und jeder ein nutzerspezifisches Identitätszertifikat haben kann.
4.9.2. IT-Administratoren können im Hintergrund Zertifikate aus dem verwalteten Schlüsselspeicher entfernen.
4.9.3. IT-Administratoren können CA-Zertifikate im Hintergrund deinstallieren. (Diese Unterfunktion wird derzeit nicht unterstützt.)
4.9.4. IT-Administratoren können verhindern, dass Nutzer im verwalteten Schlüsselspeicher Anmeldedaten konfigurieren (siehe credentialsConfigDisabled).
4.9.5. IT-Administratoren können Zertifikate für geschäftliche Apps vorab mit ChoosePrivateKeyRule gewähren.
4.10 Delegierte Zertifikatsverwaltung
IT-Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung an Geräte verteilen und dieser App privilegierten Zugriff gewähren, um Zertifikate im verwalteten Schlüsselspeicher zu installieren.
4.10.1. IT-Administratoren können ein Zertifikatsverwaltungspaket angeben (siehe delegatedCertInstallerPackage), das als delegierte App zur Zertifikatsverwaltung festgelegt wird.
- EMM-Anbieter können optional bekannte Zertifikatsverwaltungspakete vorschlagen, müssen dem IT-Administrator jedoch die Möglichkeit geben, aus der Liste der zur Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.11 Erweiterte VPN-Verwaltung
Mit dieser Funktion können IT-Administratoren ein durchgehend aktives VPN festlegen, um dafür zu sorgen, dass die Daten bestimmter verwalteter Anwendungen immer durch ein eingerichtetes virtuelles privates Netzwerk (VPN) laufen.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket angeben, das als durchgehend aktives VPN festgelegt werden soll.
- Die EMM-Konsole kann optional bekannte VPN-Pakete vorschlagen, die Always On VPN unterstützen. Die für die Always On-Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen die VPN-Einstellungen für eine Anwendung festlegen.
4.12 IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Da der IME sowohl für Arbeits- als auch für private Profile genutzt wird, verhindert die Blockierung der Verwendung von IMEs, dass Nutzer diese IMEs auch für den persönlichen Gebrauch zulassen. IT-Administratoren können die Verwendung von System-IMEs in Arbeitsprofilen jedoch nicht blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste (unter permitted_input_methods) mit beliebiger Länge einrichten (einschließlich einer leeren Liste, die System-IMEs blockiert), die beliebige IME-Pakete enthalten kann.
- Die EMM-Konsole kann optional bekannte oder empfohlene IMEs für die Zulassungsliste vorschlagen. IT-Administratoren müssen jedoch die Möglichkeit haben, Apps aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.12.2. Der EMM muss IT-Administratoren darüber informieren, dass System-IMEs auf Geräten mit Arbeitsprofilen von der Verwaltung ausgeschlossen sind.
4.13 Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) Nutzer auf einem Gerät einrichten können. Die erweiterte IME-Verwaltung erweitert die grundlegenden Funktionen, indem sie es IT-Administratoren ermöglicht, die Verwendung von System-IMEs sowie den Gerätehersteller oder Mobilfunkanbieter des Geräts in der Regel zu verwalten.
4.13.1. IT-Administratoren können eine IME-Zulassungsliste (siehe permitted_input_methods) beliebiger Länge einrichten. Eine leere Liste schließt alle IMEs einschließlich System-IMEs aus, die beliebige IMEI-Pakete enthalten können.
- Die EMM-Konsole kann optional bekannte oder empfohlene IMEs für die Zulassungsliste vorschlagen. IT-Administratoren müssen jedoch die Möglichkeit haben, Apps aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4.13.2. EMM muss verhindern, dass IT-Administratoren eine leere Zulassungsliste erstellen, da mit dieser Einstellung alle IMEs, einschließlich System-IMEs, auf dem Gerät nicht eingerichtet werden können.
4.13.3. Wenn eine IME-Zulassungsliste keine System-IMEs enthält, muss das EMM-Anbieter dafür sorgen, dass die Drittanbieter-IMEs automatisch installiert werden, bevor die Zulassungsliste auf das Gerät angewendet wird.
4:14 Verwaltung von Bedienungshilfen
IT-Administratoren können festlegen, welche Bedienungshilfen Nutzer auf Geräten zulassen dürfen. Bedienungshilfen sind leistungsstarke Tools für Nutzer mit Beeinträchtigungen oder Personen, die vorübergehend nicht vollständig mit einem Gerät interagieren können. Sie interagieren jedoch möglicherweise auf eine Weise mit Unternehmensdaten, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle systemfremden Bedienungshilfen deaktivieren.
4.14.1. IT-Administratoren können eine Zulassungsliste für Bedienungshilfen (siehe permittedAccessibilityServices) mit beliebiger Länge einrichten (einschließlich einer leeren Liste, die systemunabhängige Bedienungshilfen blockiert). Diese kann beliebige Dienstpakete zur Barrierefreiheit enthalten. Bei Anwendung auf ein Arbeitsprofil wirkt sich das sowohl auf das private als auch das Arbeitsprofil aus.
- In der Console können auch bekannte oder empfohlene Bedienungshilfen vorgeschlagen werden, die in die Zulassungsliste aufgenommen werden sollen. Der IT-Administrator muss jedoch die Möglichkeit haben, eine Auswahl aus der Liste der für die Installation verfügbaren Apps für die entsprechenden Nutzer auszuwählen.
4:15 Verwaltung der Standortfreigabe
IT-Administratoren können verhindern, dass Nutzer Standortdaten für Anwendungen im Arbeitsprofil freigeben. Andernfalls kann die Standorteinstellung im Arbeitsprofil in den Einstellungen konfiguriert werden.
4.15.1. IT-Administratoren können Standortdienste im Arbeitsprofil deaktivieren (siehe shareLocationDisabled).
4.16 Erweiterte Standortfreigabe
IT-Administratoren können bestimmte Einstellungen für die Standortfreigabe auf verwalteten Geräten erzwingen. Diese Funktion sorgt dafür, dass Unternehmens-Apps immer genaue Standortdaten haben. Durch die Beschränkung der Standorteinstellungen auf den Energiesparmodus wird außerdem der Akku entlastet.
4.16.1. IT-Administratoren können die Standortdienste für das Gerät auf einen der folgenden Modi einstellen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber ohne den vom Netzwerk bereitgestellten Standort.
- Der Energiesparmodus schränkt die Updatehäufigkeit ein.
- Deaktiviert.
4:17 Verwaltung des Schutzes für zurückgesetzte Geräte
IT-Administratoren können unternehmenseigene Geräte vor Diebstahl schützen, indem sichergestellt wird, dass unbefugte Nutzer keine Geräte auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz vor Zurücksetzen auf Werkseinstellungen bei der Rückgabe von Geräten an die IT-Abteilung zu operativer Komplexität führt, können IT-Administratoren diesen Schutz vollständig deaktivieren.
4.17.1. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer ihr Gerät auf die Werkseinstellungen zurücksetzen. Rufen Sie dazu factoryResetDisabled auf.
4.17.2. IT-Administratoren können nach dem Zurücksetzen auf die Werkseinstellungen Unternehmenskonten zum Entsperren von Geräten angeben, die zur Bereitstellung von Geräten autorisiert sind (siehe frpAdminEmails).
- Dieses Konto kann an eine Person gebunden oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können für bestimmte Geräte den Schutz für das Zurücksetzen auf die Werkseinstellungen deaktivieren (siehe 0 factoryResetDisabled).
4.17.4. IT-Administratoren können eine Remote-Löschung von Geräten starten, bei der optional die Schutzdaten gelöscht werden, sodass der Schutz auf dem zurückgesetzten Gerät dadurch entfernt wird.
4.18. Erweiterte App-Steuerung
IT-Administratoren können über die Einstellungen verhindern, dass Nutzer verwaltete Anwendungen deinstallieren oder anderweitig ändern. Sie können z. B. verhindern, dass das Schließen der App erzwungen oder der Daten-Cache einer App geleert wird.
4.18.1. IT-Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren. Weitere Informationen finden Sie unter uninstallAppsDisabled.
4.18.2. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer Anwendungsdaten ändern. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4:19 Bildschirmaufnahmen verwalten
IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen, wenn sie verwaltete Apps verwenden. Mit dieser Einstellung werden Apps zur Bildschirmfreigabe und ähnliche Apps wie Google Assistant blockiert, die die Screenshot-Funktionen des Systems nutzen.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen (siehe screenCaptureDisabled).
4.20 Kameras deaktivieren
IT-Administratoren können die Nutzung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Verwendung von Gerätekameras durch verwaltete Apps deaktivieren. Rufen Sie dazu cameraDisabled auf.
4:21 Erfassung von Netzwerkstatistiken
Die Android Management API unterstützt diese Funktion derzeit nicht.
4.22 Erweiterte Erfassung von Netzwerkstatistiken
Die Android Management API unterstützt diese Funktion derzeit nicht.
4:23 Gerät neu starten
IT-Administratoren können verwaltete Geräte per Fernzugriff neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4:24 Funksteuerung des Systems
Bietet IT-Administratoren eine detaillierte Verwaltung von Systemnetzwerk-Funkschnittstellen und die damit verbundenen Nutzungsrichtlinien über Richtlinien.
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Cell Broadcasts deaktivieren (siehe cellBroadcastsConfigDisabled).
4.24.2. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer Einstellungen für Mobilfunknetze ändern (unter mobileNetworksConfigDisabled).
4.24.3. IT-Administratoren können in den Einstellungen verhindern, dass Nutzer alle Netzwerkeinstellungen zurücksetzen. (siehe networkResetDisabled).
4.24.4. IT-Administratoren können festlegen, ob das Gerät beim Roaming mobile Daten zulässt (siehe dataRoamingDisabled).
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe tätigen kann. Notrufe sind ausgenommen (siehe outGoingCallsDisabled).
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen kann (unter smsDisabled).
4.24.7. IT-Administratoren können durch Tethering verhindern, dass Nutzer ihr Gerät als portablen Hotspot verwenden (siehe tetheringConfigDisabled).
4.24.8. IT-Administratoren können das WLAN-Zeitlimit auf die Standardeinstellung, die Verbindung zum WLAN oder niemals festlegen. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.24.9. IT-Administratoren können verhindern, dass Nutzer vorhandene Bluetooth-Verbindungen einrichten oder ändern (siehe bluetoothConfigDisabled).
4:25 System-Audioverwaltung
IT-Administratoren können ohne Sprachausgabe die Audiofunktionen des Geräts steuern, u. a. das Gerät stummschalten, verhindern, dass Nutzer Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer die Stummschaltung des Gerätemikrofons aufheben.
4.25.1. IT-Administratoren können verwaltete Geräte stummschalten. (Die Android Management API unterstützt diese Unterfunktion nicht.)
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für die Gerätelautstärke ändern. Rufen Sie dazu adjustVolumeDisabled auf. Dadurch werden die Geräte auch stummgeschaltet.
4.25.3. IT-Administratoren können verhindern, dass Nutzer die Stummschaltung des Gerätemikrofons aufheben (siehe unmuteMicrophoneDisabled).
4:26 Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Uhr und Zeitzone der Geräte verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Systemzeit und die automatische Zeitzone erzwingen, um zu verhindern, dass Nutzer Datum, Uhrzeit und Zeitzone des Geräts festlegen.
4:27 Erweiterte Funktionen für zweckbestimmte Geräte
Bei dedizierten Geräten können IT-Administratoren die folgenden Funktionen über Richtlinien verwalten, um verschiedene Anwendungsfälle für Kioske zu unterstützen.
4.27.1. IT-Administratoren können den Keyguard des Geräts deaktivieren (siehe keyguardDisabled).
4.27.2. IT-Administratoren können die Gerätestatusleiste deaktivieren und Benachrichtigungen und Schnelleinstellungen blockieren (unter statusBarDisabled).
4.27.3. IT-Administratoren können erzwingen, dass der Gerätebildschirm eingeschaltet bleibt, während das Gerät angeschlossen ist (siehe stayOnPluggedModes).
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden (siehe createWindowsDisabled):
- Toast
- Anwendungs-Overlays
4.27.5. IT-Administratoren können zulassen, dass die Systemempfehlungen für Anwendungen die Nutzeranleitung und andere einführende Hinweise beim ersten Start überspringen (siehe skip_first_use_hints).
4:28 Delegierte Projektumfangverwaltung
IT-Administratoren können zusätzliche Berechtigungen an einzelne Pakete delegieren.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Installation und Verwaltung von Zertifikaten
- Verwaltung verwalteter Konfigurationen
- Netzwerk-Logging
- Sicherheits-Logging
4:29 ID-Support für Registrierungsstellen
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische Kennungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil über die registrierungsspezifische ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine registrierungsspezifische ID erhalten
4.29.2. Diese für die Registrierung spezifische ID muss beim Zurücksetzen auf die Werkseinstellungen beibehalten werden
5. Nutzerfreundlichkeit von Geräten
5.1. Anpassung der verwalteten Bereitstellung
IT-Administratoren können den Standardeinrichtungsablauf so anpassen, dass unternehmensspezifische Funktionen einbezogen werden. Optional können IT-Administratoren das von EMM bereitgestellte Branding während der Bereitstellung anzeigen lassen.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie unternehmensspezifische Nutzungsbedingungen und andere Haftungsausschlüsse festlegen (siehe termsAndConditions).
5.1.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische Nutzungsbedingungen und andere Haftungsausschlüsse deploy (siehe termsAndConditions).
- EMM-Anbieter können ihre nicht konfigurierbare, EMM-spezifische Anpassung als Standard für Bereitstellungen festlegen, müssen jedoch IT-Administratoren die Möglichkeit geben, ihre eigenen Anpassungen vorzunehmen.
5.1.3 primaryColor wurde für die Enterprise-Ressource unter Android 10 und höher eingestellt.
5.2. Anpassung für Unternehmen
Die Android Management API unterstützt diese Funktion nicht.
5.3. Erweiterte Unternehmensanpassung
Die Android Management API unterstützt diese Funktion nicht.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird, ohne das Gerät entsperren zu müssen.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen (unter deviceOwnerLockScreenInfo).
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie versuchen, verwaltete Einstellungen auf ihrem Gerät zu ändern, oder eine von einem EMM bereitgestellte allgemeine Supportnachricht bereitstellen. Sowohl kurze als auch lange Supportnachrichten können angepasst werden. Sie werden beispielsweise bei dem Versuch, eine verwaltete Anwendung zu deinstallieren, angezeigt, für die ein IT-Administrator die Deinstallation bereits blockiert hat.
5.5.1. IT-Administratoren können kurze und lange an Nutzer gerichtete Supportnachrichten anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische, kurze und lange Supportnachrichten bereitstellen (siehe shortSupportMessage und longSupportMessage in policies).
- EMM-Anbieter können nicht konfigurierbare, EMM-spezifische Supportnachrichten als Standard für Bereitstellungen festlegen, aber IT-Administratoren müssen die Möglichkeit haben, eigene Nachrichten einzurichten.
5.6 Profilübergreifende Kontaktverwaltung
5.6.1. IT-Administratoren können die Anzeige von Arbeitskontakten in der Kontaktsuche und bei eingehenden Anrufen im privaten Profil deaktivieren.
5.6.2. IT-Administratoren können die Bluetooth-Kontaktfreigabe für geschäftliche Kontakte deaktivieren, z. B. die Freisprechfunktion in Autos oder Headsets.
5.7 Profilübergreifende Datenverwaltung
Damit können IT-Administratoren die Datentypen verwalten, die zwischen Arbeitsprofilen und privaten Profilen geteilt werden können. So können Administratoren ein Gleichgewicht zwischen Nutzerfreundlichkeit und Datensicherheit gemäß ihren Anforderungen finden.
5.7.1. IT-Administratoren können Richtlinien zur profilübergreifenden Datenfreigabe so konfigurieren, dass private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. das Teilen von Intents oder Weblinks.
5.7.2. IT-Administratoren können zulassen, dass Anwendungen aus dem Arbeitsprofil Widgets erstellen und auf dem Startbildschirm des privaten Profils anzeigen. Die Funktion ist standardmäßig deaktiviert, kann aber über die Felder workProfileWidgets und workProfileWidgetsDefault auf „Zugelassen“ gesetzt werden.
5.7.3. IT-Administratoren können die Möglichkeit zum Kopieren und Einfügen zwischen Arbeits- und privaten Profilen festlegen.
5.8 Richtlinie für Systemupdates
IT-Administratoren können Geräte für OTA-Systemupdates einrichten und anwenden.
5.8.1. In der EMM-Konsole können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: Geräte erhalten OTA-Updates, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen die Möglichkeit haben, OTA-Updates um bis zu 30 Tage zu verschieben. Diese Richtlinie wirkt sich nicht auf Sicherheitsupdates (z.B. monatliche Sicherheitspatches) aus.
- Mit Fenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. OTA-Konfigurationen werden über eine Richtlinie auf Geräte angewendet.
5.9 Verwaltung des Aufgabenmodus sperren
IT-Administratoren können eine oder mehrere Apps auf dem Bildschirm sperren und dafür sorgen, dass Nutzer die App nicht beenden können.
5.9.1. Mit der EMM-Konsole können IT-Administratoren eine beliebige Gruppe von Apps unbemerkt installieren und auf einem Gerät sperren. Die Richtlinie erlaubt die Einrichtung zweckbestimmter Geräte.
5.10 Dauerhafte Verwaltung bevorzugter Aktivitäten
Damit können IT-Administratoren eine App als standardmäßigen Intent-Handler für Intents festlegen, die einem bestimmten Intent-Filter entsprechen. Mit dieser Funktion können IT-Administratoren beispielsweise festlegen, welche Browser-App automatisch Weblinks öffnet. Mit dieser Funktion kann festgelegt werden, welche Launcher-App verwendet wird, wenn auf die Startbildschirmtaste getippt wird.
5.10.1. IT-Administratoren können für jeden beliebigen Intent-Filter beliebige Pakete als standardmäßigen Intent-Handler festlegen.
- Die EMM-Konsole kann optional bekannte oder empfohlene Intents für die Konfiguration vorschlagen, aber keine Intents auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren Apps aus der Liste auswählen können, die für die entsprechenden Nutzer installiert werden können.
5.11 Keyguard-Funktionen verwalten
IT-Administratoren können die Funktionen verwalten, die Nutzern zur Verfügung stehen, bevor der Keyguard (Sperrbildschirm) des Geräts und der Keyguard für die Arbeitsprofile entsperrt werden.
5.11.1.Richtlinien können die folgenden Keyguard-Funktionen für Geräte deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
- nicht entfernte Benachrichtigungen
5.11.2. Die folgenden Keyguard-Funktionen des Arbeitsprofils können über eine Richtlinie deaktiviert werden:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12 Erweiterte Keyguard-Funktionsverwaltung
- Sichere Kamera
- Alle Benachrichtigungen
- Nicht entfernt
- Trust Agents
- Entsperren mit Fingerabdruck
- Alle Keyguard-Funktionen
5.13 Remote-Debugging
Die Android Management API unterstützt diese Funktion derzeit nicht.
5.14 MAC-Adressabruf
EMMs können im Hintergrund die MAC-Adresse eines Geräts abrufen, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren, z. B. zur Identifizierung von Geräten für die Netzwerkzugriffssteuerung.
5.14.1. Der EMM kann die MAC-Adresse eines Geräts im Hintergrund abrufen und sie dem Gerät in der EMM-Konsole zuordnen.
5.15 Erweiterte Verwaltung des Modus zum Sperren von Aufgaben
Mit einem dedizierten Gerät können IT-Administratoren die EMM-Konsole zur Ausführung der folgenden Aufgaben verwenden:
5.15.1. Sie können zulassen, dass eine einzelne App installiert und auf einem Gerät gesperrt wird.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden Funktionen der System-UI:
- Startbildschirmtaste
- Overview
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm) Diese Unterfunktion ist standardmäßig aktiviert, wenn 5.15.1. implementiert wird.
5.15.3. Deaktivieren Sie Fenster zu Systemfehlern.
5.16 Richtlinie für erweiterte Systemupdates
IT-Administratoren können eine bestimmte Sperrzeit festlegen, um Systemupdates auf einem Gerät zu blockieren.
5.16.1. IT-Administratoren müssen in der EMM-Konsole die Möglichkeit haben, OTA-Systemupdates für einen festgelegten Zeitraum zu blockieren.
5.17 Arbeitsprofil-Richtlinientransparenz verwalten
IT-Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn sie das Arbeitsprofil von einem Gerät entfernen.
5.17.1. IT-Administratoren können benutzerdefinierten Text angeben, der angezeigt werden soll, wenn ein Arbeitsprofil gelöscht wird. Rufen Sie dazu wipeReasonMessage auf.
5.18 Unterstützung verbundener Apps
IT-Administratoren können eine Liste der Pakete erstellen, die über die Grenzen des Arbeitsprofils hinweg kommunizieren können. Dazu legen sie ConnectedWorkAndPersonalApp fest.
5.19 Manuelles Systemupdate
Die Android Management API unterstützt diese Funktion nicht.
6. Einstellung von Device Admin
6. Einstellung von Device Admin
EMM-Anbieter müssen bis Ende 2022 einen Plan veröffentlichen und den Kundensupport für Device Admin auf GMD-Geräten bis Ende des 1. Quartals 2023 einstellen.