Liste des fonctionnalités Android Enterprise

Cette page présente l'ensemble des fonctionnalités d'Android Enterprise.

Si vous avez l'intention de gérer plus de 1 000 appareils, votre solution EMM doit être compatible avec toutes les fonctionnalités standards () d'au moins un ensemble de solutions pour pouvoir être commercialisée. Les solutions EMM qui passent avec succès la validation standard des fonctionnalités sont listées dans le répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion standard.

Un ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont décrites sur chaque page d'ensemble de solutions: profil professionnel, appareil entièrement géré et appareil dédié. Les solutions EMM qui passent avec succès la validation avancée des fonctionnalités sont listées dans le répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion avancée.

Clé

Fonctionnalité standard fonctionnalité facultative non applicable

1. Provisionnement des appareils

1.1. Provisionnement des profils professionnels basés sur l'outil DPC

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.1+

Après avoir téléchargé Android Device Policy depuis Google Play, les utilisateurs peuvent provisionner un profil professionnel.

1.1.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation pour permettre cette méthode de provisionnement (consultez la section Enregistrer et provisionner un appareil).

1.2. Provisionnement des appareils par identifiant DPC

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

La saisie de "afw#" dans l'assistant de configuration de l'appareil permet de provisionner un appareil entièrement géré ou dédié.

1.2.1. La solution EMM fournit à un administrateur informatique un code QR ou un code d'activation pour permettre cette méthode de provisionnement (consultez Enregistrer et provisionner un appareil).

1.3. Provisionnement des appareils NFC

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent utiliser des tags NFC pour provisionner des appareils neufs ou réinitialisés, conformément aux consignes d'implémentation définies dans la documentation pour les développeurs de l'API EMM Play.

1.3.1. Les EMM doivent utiliser des tags NFC de type 2 avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des extras de provisionnement pour transmettre à un appareil des détails d'enregistrement non sensibles, tels que les ID de serveur et les ID d'enregistrement. Les détails de l'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.

1.3.2. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et versions ultérieures, car la fonctionnalité NFC Beam (ou "bump NFC") a été abandonnée.

1.4. Provisionnement de l'appareil par code QR

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

La console EMM peut générer un code QR que les administrateurs informatiques peuvent scanner pour provisionner un appareil entièrement géré ou dédié, conformément aux instructions d'implémentation définies dans la documentation pour les développeurs de l' API Android Management.

1.4.1. Le code QR doit utiliser des extras de provisionnement pour transmettre des informations d'enregistrement non sensibles (telles que des ID de serveur ou d'enregistrement) à un appareil. Les détails d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.

1.5. Enregistrement sans contact

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
8.0 et versions ultérieures (Pixel 7.1 et versions ultérieures)

Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs autorisés et les gérer à l'aide de votre console EMM.

1.5.1. Les administrateurs informatiques peuvent provisionner des appareils détenus par l'entreprise à l'aide de la méthode d'enregistrement sans contact, décrite dans Enregistrement sans contact pour les administrateurs informatiques.

1.5.2. Lorsqu'un appareil est allumé pour la première fois, les paramètres définis par l'administrateur informatique lui sont automatiquement appliqués.

1.6. Provisionnement sans contact avancé

Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils grâce à l'enregistrement sans contact. Lorsqu'elles sont associées à des URL de connexion, les administrateurs informatiques peuvent limiter l'inscription à des comptes ou à des domaines spécifiques, en fonction des options de configuration proposées par l'EMM.

1.6.1. Les administrateurs informatiques peuvent provisionner un appareil détenu par l'entreprise à l'aide de la méthode d'enregistrement sans contact.

1.6.2. Cette exigence est obsolète.

1.6.3. À l'aide de l'URL de connexion, l'EMM doit s'assurer que les utilisateurs non autorisés ne peuvent pas procéder à l'activation. L'activation doit au minimum être réservée aux utilisateurs d'une entreprise donnée.

1.6.4. À l'aide de l'URL de connexion, l'EMM doit permettre aux administrateurs informatiques de préremplir les informations d'enregistrement (par exemple, les ID de serveur ou d'enregistrement) en plus des informations uniques sur l'utilisateur ou l'appareil (par exemple, nom d'utilisateur/mot de passe, jeton d'activation), afin que les utilisateurs n'aient pas à saisir d'informations lors de l'activation d'un appareil.

  • Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats, dans la configuration de l'enregistrement sans contact.

1.7. Provisionnement du profil professionnel du compte Google

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

L'API Android Management n'est pas compatible avec cette fonctionnalité.

1.8 Préparation des appareils via le compte Google

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

L'API Android Management n'est pas compatible avec cette fonctionnalité.

1.9. Configuration sans contact directe

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
8.0+

Les administrateurs informatiques peuvent utiliser la console EMM pour configurer des appareils sans contact à l'aide de l'iFrame sans contact.

1.10. Profils professionnels sur les appareils détenus par l'entreprise

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
8.0+

Les EMM peuvent enregistrer des appareils détenus par l'entreprise disposant d'un profil professionnel en définissant AllowPersonalUsage.

1.10.1. Les administrateurs informatiques peuvent provisionner un appareil en tant que profil professionnel sur un appareil détenu par l'entreprise à l'aide d'un code QR ou de l'enregistrement sans contact.

1.10.2. Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur les appareils détenus par l'entreprise via PersonalUsagePolicies.

1.10.3. Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou sur l'ensemble de l'appareil via PersonalUsagePolicies.

1.10.4. Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel ou sur un appareil entier via PersonalUsagePolicies.

1.10.5. Les administrateurs informatiques peuvent définir une liste d'autorisation ou de blocage d'applications qui peuvent ou non être installées dans le profil personnel via PersonalApplicationPolicy.

1.10.6. Les administrateurs informatiques peuvent renoncer à la gestion d'un appareil détenu par l'entreprise en supprimant le profil professionnel ou en effaçant tout l'appareil.


2. Sécurité des appareils

2.1. Test de sécurité de l'appareil

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent définir et appliquer une question d'authentification à la sécurité des appareils (code/schéma/mot de passe) à partir d'une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.

2.1.1 Les règles doivent appliquer les paramètres de gestion des questions d'authentification pour les appareils (parentProfilePasswordExigences pour le profil professionnel, motdepasse requis pour les appareils entièrement gérés et dédiés).

2.1.2. La complexité du mot de passe doit correspondre aux complexités suivantes:

  1. PASSWORD_COMPLAUTHY_LOW : schéma ou repère avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468).
  2. PASSWORD_COMPL suivante
  3. PASSWORD_COMPLAUTHY_HIGH : code sans séquences répétées (4444) ni ordonnées (1234, 4321, 2468), et longueur d'au moins huit mots de passe, ou mots de passe alphabétiques ou alphanumériques d'une longueur minimale de six

2.1.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant que paramètres sur les appareils détenus par l'entreprise.

2.2 Test de sécurité au travail

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Les administrateurs informatiques peuvent définir et appliquer une vérification de sécurité pour les applications et les données du profil professionnel qui est distincte et dont les exigences diffèrent de celles de la question d'authentification de l'appareil (2.1.).

2.2.1. La stratégie doit appliquer la question de sécurité pour le profil professionnel.

  1. Par défaut, les administrateurs informatiques ne doivent définir des restrictions que pour le profil professionnel si aucun champ d'application n'est spécifié.
  2. Les administrateurs informatiques peuvent définir ce paramètre au niveau de l'appareil en spécifiant le champ d'application (voir l'exigence 2.1).

2.2.2. La complexité du mot de passe doit correspondre aux niveaux de complexité prédéfinis suivants:

  1. PASSWORD_COMPLAUTHY_LOW : schéma ou repère avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468).
  2. PASSWORD_COMPL suivante
  3. PASSWORD_COMPLAUTHY_HIGH : code sans séquences répétées (4444) ni ordonnées (1234, 4321, 2468), et longueur d'au moins huit mots de passe, ou mots de passe alphabétiques ou alphanumériques d'une longueur minimale de six

2.2.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant que paramètres existants.

2.3. Gestion avancée des codes secrets

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent configurer les paramètres de mot de passe avancés sur les appareils.

2.3.1. [intentionnellement vide]

2.3.2. [intentionnellement vide]

2.3.3. Les paramètres de cycle de vie des mots de passe suivants peuvent être définis pour chaque écran de verrouillage disponible sur un appareil:

  1. [intentionnellement vide]
  2. [intentionnellement vide]
  3. Nombre maximal d'échecs de mots de passe pour l'effacement: nombre de fois où les utilisateurs peuvent saisir un mot de passe incorrect avant que les données d'entreprise soient effacées de l'appareil. Les administrateurs informatiques doivent être en mesure de désactiver cette fonctionnalité.

2.3.4. (Android 8.0 et versions ultérieures) Délai d'expiration requis pour l'authentification forte: vous devez saisir un code secret d'authentification forte (tel qu'un code ou un mot de passe) après un délai d'expiration défini par un administrateur informatique. Passé ce délai, les méthodes d'authentification non sécurisées (empreintes digitales, déverrouillage par reconnaissance faciale, etc.) sont désactivées jusqu'à ce que l'appareil soit déverrouillé avec un code secret d'authentification sécurisé.

2.4. Gestion Smart Lock

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent décider si les agents de confiance associés à la fonctionnalité Smart Lock d'Android sont autorisés à prolonger le déverrouillage de l'appareil jusqu'à quatre heures.

2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance sur l'appareil.

2.5. Effacer et verrouiller

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent utiliser la console EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.

2.5.1. Les appareils doivent être verrouillés à l'aide de l'API Android Management.

2.5.2. Les données des appareils doivent être effacées à l'aide de l'API Android Management.

2.6. Application des exigences de conformité

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Si un appareil n'est pas conforme aux règles de sécurité, les règles de conformité mises en place par l'API Android Management limitent automatiquement l'utilisation des données professionnelles.

2.6.1. Les règles de sécurité appliquées à un appareil doivent, au minimum, inclure une stratégie relative aux mots de passe.

2.7. Règles de sécurité par défaut

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les EMM doivent appliquer les règles de sécurité spécifiées sur les appareils par défaut, sans que les administrateurs informatiques n'aient à configurer ou à personnaliser des paramètres dans la console EMM. Il est recommandé (mais pas obligatoire) aux EMM de ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.

2.7.1. L'installation d'applications provenant de sources inconnues doit être bloquée, y compris celles installées du côté personnel de tout appareil Android 8.0 (ou version ultérieure) disposant d'un profil professionnel. Cette sous-fonctionnalité est compatible par défaut.

2.7.2. Les fonctionnalités de débogage doivent être bloquées. Cette sous-fonctionnalité est compatible par défaut.

2.8. Règles de sécurité pour les appareils dédiés

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Aucune autre action n'est autorisée sur un appareil dédié verrouillé.

2.8.1. Le démarrage en mode sans échec doit être désactivé par défaut via une règle (accédez à safeBootDisabled).

2.9. Assistance Play Integrity

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Les vérifications de l'intégrité de Play sont effectuées par défaut. Aucune implémentation supplémentaire n'est requise.

2.9.1. Délibérément vide.

2.9.2. Délibérément vide.

2.9.3. Les administrateurs informatiques peuvent configurer différentes réponses de stratégie en fonction de la valeur du SecurityRisk de l'appareil, y compris le blocage du provisionnement, l'effacement des données d'entreprise et l'autorisation de poursuivre l'enregistrement.

  • Le service EMM applique cette réponse de stratégie pour le résultat de chaque vérification d'intégrité.

2.10. Application de la vérification des applications

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent activer la fonctionnalité Valider les applications sur les appareils. La fonctionnalité Vérifier les applications analyse les applications installées sur les appareils Android pour détecter les logiciels malveillants avant et après leur installation, ce qui permet de s'assurer que les applications malveillantes ne peuvent pas compromettre les données d'entreprise.

2.10.1. La fonctionnalité Vérifier les applications doit être activée par défaut via une règle (accédez à ensureVerifyAppsEnabled).

2.11. Compatibilité avec le démarrage direct

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

L'API Android Management prend en charge cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.

2.12. Gestion de la sécurité matérielle

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.1+

Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise afin d'éviter toute perte de données.

2.12.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des supports physiques externes via une règle (consultez mountPhysicalMediaDisabled).

2.12.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil à l'aide d'une règle (consultez outgoingBeamDisabled). Cette sous-fonctionnalité est facultative, car elle n'est plus compatible avec Android 10 ou version ultérieure.

2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers via USB via une règle (consultez usbFileTransferDisabled).

2.13. Journaux de sécurité d'entreprise

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

L'API Android Management n'est actuellement pas compatible avec cette fonctionnalité.


3. Gestion des comptes et des applications

3.1. Inscription d'entreprise à des comptes Google Play d'entreprise

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Les administrateurs informatiques peuvent créer un compte d'entreprise Google Play Accounts, une entité qui permet à Google Play d'entreprise de distribuer des applications sur les appareils. Les étapes d'inscription suivantes doivent être intégrées à la console EMM:

3.1.1. Enregistrez un compte d'entreprise Google Play Accounts à l'aide de l'API Android Management.

3.2. Provisionnement des comptes Google Play d'entreprise

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

L'EMM peut provisionner de manière autonome des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et autorisent des règles de distribution d'application uniques par utilisateur.

3.2.1. Les comptes Google Play d'entreprise (comptes utilisateur) sont créés automatiquement lors du provisionnement des appareils.

L'API Android Management prend en charge cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.

3.3. Provisionnement des comptes d'appareils Google Play d'entreprise

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Le fournisseur EMM peut créer et provisionner des comptes d'appareils Google Play d'entreprise. Les comptes d'appareil sont compatibles avec l'installation d'applications silencieuses à partir du Google Play Store d'entreprise et ne sont pas liés à un seul utilisateur. Au lieu de cela, un compte d'appareil est utilisé pour identifier un seul appareil afin de respecter les règles de distribution des applications par appareil dans les scénarios d'appareil dédiés.

3.3.1. Les comptes Google Play d'entreprise sont créés automatiquement lors du provisionnement des appareils.

L'API Android Management prend en charge cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.

3.4. Provisionnement des comptes Google Play d'entreprise pour les anciens appareils

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Cette fonctionnalité est obsolète.

3.5. Distribution silencieuse des applications

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Les administrateurs informatiques peuvent distribuer des applications professionnelles en mode silencieux sur des appareils, sans aucune interaction de l'utilisateur.

3.5.1. La console EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur des appareils gérés.

3.5.2. La console EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.

3.5.3. La console EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques de désinstaller des applications sur les appareils gérés.

3.6. Gestion de la configuration gérée

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent afficher et définir de manière silencieuse les configurations gérées de toutes les applications compatibles avec ces configurations.

3.6.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérée de n'importe quelle application Play.

3.6.2. La console EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (tel que défini par le framework Android Enterprise) pour n'importe quelle application Play à l'aide de l'API Android Management.

3.6.3. La console EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (tels que $username$ ou %emailAddress%) afin qu'une configuration unique pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs.

3.7. Gestion du catalogue d'applications

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

L'API Android Management prend en charge cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.

3.8. Approbation programmatique des applications

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

La console EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge les fonctionnalités de découverte et d'approbation des applications de Google Play. Les administrateurs informatiques peuvent rechercher des applications, approuver des applications et approuver de nouvelles autorisations sans quitter la console EMM.

3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console EMM à l'aide de l'iFrame Google Play d'entreprise.

3.9. Gestion de base de l'aménagement du magasin

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

L'application Google Play Store d'entreprise permet d'installer et de mettre à jour des applications professionnelles. Par défaut, le Google Play Store d'entreprise affiche les applications approuvées pour un utilisateur dans une seule liste. On parle alors de mise en page de base du magasin.

3.9.1. La console EMM doit permettre aux administrateurs informatiques de gérer les applications visibles dans la disposition de base du Play Store d'un utilisateur final.

3.10. Configuration avancée de l'agencement du magasin

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

3.10.1. Les administrateurs informatiques peuvent personnaliser la disposition du Play Store dans l'application Google Play Store d'entreprise.

3.11. Gestion des licences d'application

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Cette fonctionnalité est obsolète.

3.12. Gestion des applications privées hébergées par Google

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM plutôt que via la Google Play Console.

3.12.1. Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées de manière privée dans l'entreprise à l'aide des outils suivants:

3.13. Gestion des applications privées auto-hébergées

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Les administrateurs informatiques peuvent configurer et publier des applications privées auto-hébergées. Contrairement aux applications privées hébergées par Google, Google Play n'héberge pas les APK. Au lieu de cela, l'EMM aide les administrateurs informatiques à héberger eux-mêmes des APK et contribue à protéger les applications auto-hébergées en s'assurant qu'elles ne peuvent être installées qu'avec l'autorisation de Google Play d'entreprise.

3.13.1. La console EMM doit aider les administrateurs informatiques à héberger l'APK de l'application en proposant les deux options suivantes:

  • Hébergement de l'APK sur le serveur EMM. Le serveur peut être sur site ou dans le cloud.
  • Hébergement de l'APK en dehors du serveur de l'EMM, à la discrétion de l'entreprise. L'administrateur informatique doit spécifier où l'APK est hébergé dans la console EMM.

3.13.2. La console EMM doit générer un fichier de définition d'APK approprié à l'aide de l'APK fourni et doit guider les administrateurs informatiques tout au long du processus de publication.

3.13.3. Les administrateurs informatiques peuvent mettre à jour des applications privées auto-hébergées, et la console EMM peut publier en mode silencieux des fichiers de définition d'APK mis à jour à l'aide de l'API Google Play Developer Publishing.

3.13.4. Le serveur de l'EMM diffuse les requêtes de téléchargement pour l'APK auto-hébergé qui contient un jeton JWT valide dans le cookie de la requête, tel que vérifié par la clé publique de l'application privée.

  • Pour faciliter ce processus, le serveur EMM doit indiquer aux administrateurs informatiques qu'ils doivent télécharger la clé publique de licence de l'application auto-hébergée depuis la Google Play Console, puis importer cette clé dans la console EMM.

3.14. Notifications d'extraction EMM

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Cette fonctionnalité n'est pas applicable à l'API Android Management. Configurez les notifications Pub/Sub à la place.

3.15. Exigences d'utilisation de l'API

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

L'EMM implémente les API Android Management à grande échelle, évitant ainsi les modèles de trafic susceptibles d'avoir un impact négatif sur la capacité des entreprises à gérer les applications dans les environnements de production.

3.15.1. L'EMM doit respecter les limites d'utilisation de l'API Android Management. Toute correction d'un comportement allant à l'encontre de ces consignes peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.

3.15.2. L'EMM doit répartir le trafic de différentes entreprises tout au long de la journée, plutôt que de le regrouper à des heures spécifiques ou similaires. Un comportement qui correspond à ce modèle de trafic, tel que des opérations par lot planifiées pour chaque appareil enregistré, peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.

3.15.3. L'EMM ne doit pas effectuer de requêtes cohérentes, incomplètes ou délibérément incorrectes qui ne tentent pas de récupérer ni de gérer des données d'entreprise réelles. Un comportement qui correspond à ce modèle de trafic peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.

3.16. Gestion avancée des configurations gérées

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

La solution EMM est compatible avec les fonctionnalités avancées de gestion de la configuration gérée suivantes:

3.16.1. La console EMM doit pouvoir récupérer et afficher jusqu'à quatre niveaux de paramètres de configuration gérée imbriqués de n'importe quelle application Play, à l'aide des éléments suivants:

3.16.2. La console EMM doit pouvoir récupérer et afficher tous les commentaires renvoyés par le canal de commentaires d'une application, une fois configuré par un administrateur informatique.

  • La console EMM doit permettre aux administrateurs informatiques d'associer un commentaire spécifique à l'appareil et à l'application d'où il provient.
  • La console de l'EMM doit permettre aux administrateurs informatiques de s'abonner à des alertes ou à des rapports de types de messages spécifiques (tels que les messages d'erreur).

3.16.3. La console de l'EMM ne doit envoyer que les valeurs ayant une valeur par défaut ou définies manuellement par l'administrateur à l'aide des éléments suivants:

  • iFrame des configurations gérées ; ou
  • UI personnalisée

3.17. Gestion des applications Web

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié

Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.

3.17.1. La console EMM permet aux administrateurs informatiques de distribuer des raccourcis vers des applications Web en utilisant:

3.18. Gestion du cycle de vie des comptes Google Play d'entreprise

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

L'EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise au nom des administrateurs informatiques, et les récupérer automatiquement après l'expiration du compte.

Cette fonctionnalité est compatible par défaut. Aucune implémentation EMM supplémentaire n'est requise.

3.19. Gestion des canaux d'application

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

3.19.1. Les administrateurs informatiques peuvent extraire la liste des ID de canal définis par un développeur pour une application spécifique.

3.19.2. Les administrateurs informatiques peuvent configurer les appareils afin qu'ils utilisent un canal de développement particulier pour une application.

3.20. Gestion avancée des mises à jour des applications

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent autoriser la mise à jour immédiate des applications ou reporter leur mise à jour de 90 jours.

3.20.1. Les administrateurs informatiques peuvent autoriser la mise à jour des applications à utiliser les mises à jour à priorité élevée lorsqu'elles sont disponibles. 3.20.2. Les administrateurs informatiques peuvent autoriser le report de mise à jour des applications de 90 jours.

3.21. Gestion des méthodes de provisionnement

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Maman

L'EMM peut générer des configurations de provisionnement et les présenter à l'administrateur informatique sous un formulaire prêt à être distribué aux utilisateurs finaux (code QR, configuration sans contact, URL Play Store, etc.).


4. Gestion des appareils

4.1. Gestion des règles d'autorisation d'exécution

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent définir silencieusement une réponse par défaut aux demandes d'autorisation d'exécution émises par des applications professionnelles.

4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une stratégie d'autorisation d'exécution par défaut pour leur organisation:

  • invite (permet aux utilisateurs de choisir)
  • allow
  • deny

L'EMM doit appliquer ces paramètres par le biais d'une règle.

4.2. Gestion de l'état d'attribution des autorisations d'exécution

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Après avoir défini une stratégie d'autorisation d'exécution par défaut (passez à la version 4.1), Les administrateurs informatiques peuvent définir en mode silencieux des réponses pour des autorisations spécifiques à partir de n'importe quelle application professionnelle créée à partir de l'API 23 ou version ultérieure.

4.2.1. Les administrateurs informatiques doivent pouvoir définir l'état d'attribution (par défaut, autorisation ou refus) de toute autorisation demandée par une application professionnelle basée sur l'API 23 ou version ultérieure. Le fournisseur EMM doit appliquer ces paramètres via une règle.

4.3. Gestion de la configuration Wi-Fi

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent provisionner de manière silencieuse des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris:

4.3.1. SSID, via la règle.

4.3.2. Mot de passe, via la règle

4.4. Gestion de la sécurité Wi-Fi

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise sur des appareils qui incluent les fonctionnalités de sécurité avancées suivantes:

4.4.1. Identité

4.4.2. Certificats d'autorisation client

4.4.3. Certificats CA

4.5. Gestion Wi-Fi avancée

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés afin d'empêcher les utilisateurs de créer des configurations ou de modifier des configurations d'entreprise.

4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise via une règle dans l'une des configurations suivantes:

  • Les utilisateurs ne peuvent pas modifier les configurations Wi-Fi provisionnées par l'EMM (accédez à wifiConfigsLockdownEnabled), mais peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (des réseaux personnels, par exemple).
  • Les utilisateurs ne peuvent pas ajouter ni modifier de réseau Wi-Fi sur l'appareil (accédez à wifiConfigDisabled). La connectivité Wi-Fi est alors limitée aux seuls réseaux provisionnés par l'EMM.

4.6. Gestion de compte

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent faire en sorte que seuls les comptes d'entreprise autorisés puissent interagir avec les données d'entreprise pour des services tels que la messagerie et les applications de stockage et de productivité SaaS. Sans cette fonctionnalité, les utilisateurs peuvent ajouter des comptes personnels aux applications d'entreprise qui acceptent également les comptes personnels, ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.

4.6.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'ajouter ou de modifier des comptes (voir modifyAccountsDisabled).

  • Lors de l'application de cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement, afin que les utilisateurs ne puissent pas contourner cette règle en ajoutant des comptes avant qu'elle ne soit appliquée.

4.7. Gestion des comptes Workspace

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

L'API Android Management n'est pas compatible avec cette fonctionnalité.

4.8. Gestion des certificats

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification sur les appareils pour permettre l'utilisation des ressources d'entreprise.

4.8.1. Les administrateurs informatiques peuvent installer des certificats d'identité des utilisateurs générés par leur PKI pour chaque utilisateur. La console de l'EMM doit intégrer au moins une ICP et distribuer les certificats générés à partir de cette infrastructure.

4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification (voir caCerts) dans le keystore géré. Toutefois, cette sous-fonctionnalité n'est pas compatible pour le moment.

4.9. Gestion avancée des certificats

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Permet aux administrateurs informatiques de sélectionner silencieusement les certificats que des applications gérées spécifiques doivent utiliser. Cette fonctionnalité permet également aux administrateurs informatiques de supprimer des autorités de certification et des certificats d'identité des appareils actifs, et d'empêcher les utilisateurs de modifier les identifiants stockés dans le keystore géré.

4.9.1. Pour toute application distribuée sur des appareils, les administrateurs informatiques peuvent spécifier un certificat auquel l'accès sera accordé en mode silencieux pendant l'exécution. (Cette sous-fonctionnalité n'est pas prise en charge pour le moment.)

  • La sélection du certificat doit être suffisamment générique pour permettre une configuration unique qui s'applique à tous les utilisateurs, chacun pouvant disposer d'un certificat d'identité spécifique à l'utilisateur.

4.9.2. Les administrateurs informatiques peuvent supprimer des certificats silencieusement du keystore géré.

4.9.3. Les administrateurs informatiques peuvent désinstaller un certificat CA en mode silencieux. (Cette sous-fonctionnalité n'est pas disponible pour le moment)

4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants (accédez à credentialsConfigDisabled) dans le keystore géré.

4.9.5. Les administrateurs informatiques peuvent pré-accorder des certificats pour les applications professionnelles à l'aide de ChoosePrivateKeyRule.

4.10. Gestion déléguée des certificats

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent distribuer une application tierce de gestion des certificats sur les appareils et lui accorder un accès privilégié pour installer des certificats dans le keystore géré.

4.10.1. Les administrateurs informatiques peuvent spécifier un package de gestion des certificats (accédez à delegatedCertInstallerPackage) à définir comme application de gestion des certificats déléguée.

  • Les EMM peuvent éventuellement suggérer des packages de gestion des certificats connus, mais doivent permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à l'installation, pour les utilisateurs concernés.

4.11. Gestion avancée du VPN

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Permet aux administrateurs informatiques de spécifier un VPN permanent afin de garantir que les données des applications gérées spécifiées passent toujours par un réseau privé virtuel (VPN) configuré.

4.11.1. Les administrateurs informatiques peuvent spécifier un package VPN arbitraire défini comme VPN permanent.

  • La console EMM peut éventuellement suggérer des packages VPN connus compatibles avec le VPN permanent, mais ne peut pas limiter les VPN disponibles pour la configuration permanente à une liste arbitraire.

4.11.2. Les administrateurs informatiques peuvent utiliser des configurations gérées pour spécifier les paramètres VPN d'une application.

4.12. Gestion IME

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. Étant donné que l'IME est partagé à la fois entre les profils professionnel et personnel, le blocage de l'utilisation d'IME empêche les utilisateurs de les autoriser pour un usage personnel. Toutefois, les administrateurs informatiques ne peuvent pas bloquer l'utilisation des IME système sur les profils professionnels (consultez la gestion avancée des IME pour plus de détails).

4.12.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME (accédez à permitted_input_methods) de longueur arbitraire (y compris une liste vide, qui bloque les IME hors système), qui peut contenir n'importe quel package IME arbitraire.

  • La console EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à l'installation, pour les utilisateurs concernés.

4.12.2. L'EMM doit informer les administrateurs informatiques que les IME du système sont exclus de la gestion sur les appareils dotés de profils professionnels.

4.13. Gestion IME avancée

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent gérer les modes de saisie (IME) que les utilisateurs peuvent configurer sur un appareil. La gestion avancée des IME étend la fonctionnalité de base en permettant aux administrateurs informatiques de gérer également l'utilisation des IME système, qui sont généralement fournis par le fabricant ou l'opérateur de l'appareil.

4.13.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME (accédez à permitted_input_methods) de longueur arbitraire (en excluant une liste vide, qui bloque tous les IME, y compris les IME système), qui peut contenir n'importe quel package IME arbitraire.

  • La console EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à l'installation, pour les utilisateurs concernés.

4.13.2. Le fournisseur EMM doit empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, car ce paramètre empêche tous les IME, y compris les IME système, d'être configurés sur l'appareil.

4.13.3. L'EMM doit s'assurer que si une liste d'autorisation IME ne contient pas d'IME système, les IME tiers sont installés en mode silencieux avant que la liste d'autorisation ne soit appliquée sur l'appareil.

4.14. Gestion des services d'accessibilité

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent gérer les services d'accessibilité que les utilisateurs peuvent autoriser sur les appareils. Les services d'accessibilité sont des outils puissants pour les utilisateurs handicapés ou ceux qui sont temporairement incapables d'interagir avec un appareil. Toutefois, ils peuvent interagir avec les données de l'entreprise d'une manière non conforme au règlement de l'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de désactiver tout service d'accessibilité hors système.

4.14.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité (accédez à permittedAccessibilityServices) de longueur arbitraire (y compris une liste vide, qui bloque les services d'accessibilité hors système), qui peut contenir n'importe quel package de services d'accessibilité arbitraire. Lorsqu'il est appliqué à un profil professionnel, il s'applique à la fois au profil personnel et au profil professionnel.

  • La console peut éventuellement suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à l'installation, pour les utilisateurs concernés.

4.15. Gestion du partage de position

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données de localisation avec les applications du profil professionnel. Sinon, le paramètre de localisation dans le profil professionnel peut être configuré dans les paramètres.

4.15.1. Les administrateurs informatiques peuvent désactiver les services de localisation (accédez à shareLocationDisabled) dans le profil professionnel.

4.16. Gestion avancée du partage de position

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent appliquer un paramètre donné de partage de position sur un appareil géré. Cette fonctionnalité garantit que les applications d'entreprise disposent toujours de données de localisation très précises. Cette fonctionnalité permet également de limiter la consommation de batterie en limitant les paramètres de localisation au mode Économie de batterie.

4.16.1. Les administrateurs informatiques peuvent définir les services de localisation de l'appareil sur chacun des modes suivants:

  • Haute précision.
  • Capteurs uniquement (GPS, par exemple), mais non la localisation fournie par le réseau
  • Économie de batterie, qui limite la fréquence des mises à jour.
  • Désactivé.

4.17. Gestion de la protection après rétablissement de la configuration d'usine

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.1+

Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en veillant à ce que les utilisateurs non autorisés ne puissent pas rétablir la configuration d'usine des appareils. Si la protection contre le rétablissement de la configuration d'usine entraîne des complexités opérationnelles lorsque les appareils sont renvoyés au service informatique, les administrateurs informatiques peuvent la désactiver complètement.

4.17.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine de leur appareil (accédez à factoryResetDisabled) dans les paramètres.

4.17.2. Les administrateurs informatiques peuvent spécifier le ou les comptes de déverrouillage d'entreprise autorisés à provisionner des appareils (accédez à frpAdminEmails) après une réinitialisation.

  • Ce compte peut être associé à une personne ou utilisé par l'ensemble de l'entreprise pour déverrouiller des appareils.

4.17.3. Les administrateurs informatiques peuvent désactiver la protection après réinitialisation (accédez à 0 factoryResetDisabled) pour les appareils spécifiés.

4.17.4. Les administrateurs informatiques peuvent lancer un effacement à distance de l'appareil qui efface éventuellement les données de protection après réinitialisation, supprimant ainsi la protection après réinitialisation de l'appareil.

4.18.  Contrôle avancé des applis

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent empêcher les utilisateurs de désinstaller ou de modifier des applications gérées via les paramètres. Il peut s'agir, par exemple, d'empêcher la fermeture forcée de l'application ou de vider le cache de données d'une application.

4.18.1. Les administrateurs informatiques peuvent bloquer la désinstallation de toutes les applications gérées arbitraires ou de toutes les applications gérées (consultez uninstallAppsDisabled).

4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données d'application à partir des paramètres. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)

4.19. Gestion des captures d'écran

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent empêcher les utilisateurs d'effectuer des captures d'écran lorsqu'ils utilisent des applications gérées. Ce paramètre permet de bloquer les applications de partage d'écran et les applications similaires (comme l'Assistant Google) qui exploitent les fonctionnalités de capture d'écran du système.

4.19.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de capturer des captures d'écran (consultez screenCaptureDisabled).

4.20. Désactiver les appareils photo

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Dépendant
8.0+
5.0+
5.0+

Les administrateurs informatiques peuvent désactiver l'utilisation des appareils photo par les applications gérées.

4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des caméras des appareils (accédez à cameraDisabled) pour les applications gérées.

4.21. Collecte des statistiques du réseau

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

L'API Android Management n'est actuellement pas compatible avec cette fonctionnalité.

4.22. Collecte de statistiques avancées sur le réseau

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

L'API Android Management n'est actuellement pas compatible avec cette fonctionnalité.

4.23. Redémarrer l'appareil

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Les administrateurs informatiques peuvent redémarrer les appareils gérés à distance.

4.23.1. Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.

4.24. Gestion radio du système

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Fournit aux administrateurs informatiques une gestion précise des signaux radio du réseau système et des règles d'utilisation associées via une règle.

4.24.1. Les administrateurs informatiques peuvent désactiver les diffusions cellulaires envoyées par les fournisseurs de services (accédez à cellBroadcastsConfigDisabled).

4.24.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres du réseau mobile dans les paramètres (accédez à mobileNetworksConfigDisabled).

4.24.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser tous les paramètres réseau dans les paramètres. (Accédez à networkResetDisabled.)

4.24.4. Les administrateurs informatiques peuvent déterminer si l'appareil autorise les données mobiles en itinérance (consultez dataRoamingDisabled).

4.24.5. Les administrateurs informatiques peuvent déterminer si l'appareil peut passer des appels sortants, à l'exception des appels d'urgence (accédez à outGoingCallsDisabled).

4.24.6. Les administrateurs informatiques peuvent configurer si l'appareil peut envoyer et recevoir des SMS (accédez à smsDisabled).

4.24.7. Les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil en tant que point d'accès mobile en activant le partage de connexion (consultez tetheringConfigDisabled).

4.24.8. Les administrateurs informatiques peuvent définir le délai d'inactivité du Wi-Fi par défaut, lorsqu'il est branché, ou jamais. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)

4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier des connexions Bluetooth existantes (accédez à bluetoothConfigDisabled).

4.25. Gestion audio du système

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Les administrateurs informatiques peuvent contrôler en mode silencieux les fonctionnalités audio de l'appareil, y compris désactiver le son de l'appareil et empêcher les utilisateurs de modifier les paramètres de volume et de réactiver le micro de l'appareil.

4.25.1. Les administrateurs informatiques peuvent couper le son des appareils gérés en mode silencieux. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)

4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de volume des appareils (accédez à adjustVolumeDisabled). Cela permet également de couper le son des appareils.

4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le micro de l'appareil (consultez unmuteMicrophoneDisabled).

4.26. Gestion de l'horloge système

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Dépendant
8.0+
5.0+
5.0+

Les administrateurs informatiques peuvent gérer les paramètres d'horloge et de fuseau horaire de l'appareil, et empêcher les utilisateurs de modifier les paramètres automatiques de l'appareil.

4.26.1. Les administrateurs informatiques peuvent appliquer l'heure et le fuseau horaire automatiques du système, ce qui empêche l'utilisateur de définir la date, l'heure et le fuseau horaire de l'appareil.

4.27. Fonctionnalités avancées des appareils dédiés

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Pour les appareils dédiés, les administrateurs informatiques peuvent gérer les fonctionnalités suivantes via une règle répondant à différents cas d'utilisation des kiosques.

4.27.1. Les administrateurs informatiques peuvent désactiver la protection du clavier de l'appareil (consultez keyguardDisabled).

4.27.2. Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, bloquer les notifications et les réglages rapides (accédez à statusBarDisabled).

4.27.3. Les administrateurs informatiques peuvent forcer l'affichage de l'écran de l'appareil lorsque celui-ci est branché (consultez stayOnPluggedModes).

4.27.4. Les administrateurs informatiques peuvent empêcher l'affichage des UI système suivantes (accédez à createWindowsDisabled):

  • Toasts
  • Superpositions d'applications.

4.27.5. Les administrateurs informatiques peuvent autoriser la recommandation système pour les applications à ignorer le tutoriel utilisateur et d'autres conseils d'introduction au premier démarrage (consultez skip_first_use_hints).

4.28. Gestion déléguée de la portée

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
8.0+

Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.

4.28.1. Les administrateurs informatiques peuvent gérer les champs d'application suivants:

  • Installation et gestion des certificats
  • Gestion des configurations gérées
  • Journalisation réseau
  • Journaux de sécurité

4.29. Prise en charge des ID spécifiques à l'inscription

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 12.0 ou ultérieure

À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil doté d'un profil professionnel via l'ID d'enregistrement, lequel persistera lors du rétablissement de la configuration d'usine

4.29.1. Les administrateurs informatiques peuvent obtenir un identifiant spécifique à l'enregistrement.

4.29.2. Cet identifiant spécifique à l'inscription doit être conservé lors du rétablissement de la configuration d'usine


5. Ergonomie des appareils

5.1. Personnalisation du provisionnement géré

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités spécifiques à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par EMM lors du provisionnement.

5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant des conditions d'utilisation propres à l'entreprise et d'autres clauses de non-responsabilité (consultez termsAndConditions).

5.1.2. Les administrateurs informatiques peuvent deploy des conditions d'utilisation non configurables et spécifiques à EMM, ainsi que d'autres clauses de non-responsabilité (accédez à termsAndConditions).

  • Les EMM peuvent définir leur personnalisation spécifique non configurable comme la valeur par défaut pour les déploiements, mais doivent permettre aux administrateurs informatiques de le faire eux-mêmes.

5.1.3 primaryColor a été abandonné pour la ressource d'entreprise sur Android 10 ou version ultérieure.

5.2. Personnalisation pour les entreprises

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

L'API Android Management n'est pas compatible avec cette fonctionnalité.

5.3. Personnalisation avancée pour les entreprises

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

L'API Android Management n'est pas compatible avec cette fonctionnalité.

5.4. Messages sur l'écran de verrouillage

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur l'écran de verrouillage de l'appareil et qui ne nécessite pas le déverrouillage de l'appareil pour être affiché.

5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage (accédez à deviceOwnerLockScreenInfo).

5.5. Gestion de la transparence des règles

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Maman
7.0+

Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils tentent de modifier des paramètres gérés sur leur appareil ou de déployer un message d'assistance générique fourni par un EMM. Les messages d'assistance courts et longs peuvent être personnalisés et s'affichent lorsque vous tentez de désinstaller une application gérée pour laquelle un administrateur informatique a déjà bloqué la désinstallation.

5.5.1. Les administrateurs informatiques peuvent personnaliser les messages d'assistance courts et longs destinés aux utilisateurs.

5.5.2. Les administrateurs informatiques peuvent déployer des messages d'assistance courts, longs et non configurables, spécifiques à un EMM, (consultez shortSupportMessage et longSupportMessage dans policies).

  • Le fournisseur EMM peut définir ses messages d'assistance spécifiques et non configurables comme messages par défaut pour les déploiements, mais doit autoriser les administrateurs informatiques à configurer leurs propres messages.

5.6. Gestion des contacts dans tous les profils

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

5.6.1. Les administrateurs informatiques peuvent désactiver l'affichage des contacts professionnels dans les recherches de contacts et les appels entrants.

5.6.2. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth des contacts professionnels, par exemple les appels mains libres dans les voitures ou les casques.

5.7. Gestion des données interprofils

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Permet aux administrateurs informatiques de gérer les types de données pouvant être partagées entre le profil professionnel et le profil personnel. Ils peuvent ainsi trouver le bon équilibre entre facilité d'utilisation et sécurité des données en fonction de leurs besoins.

5.7.1. Les administrateurs informatiques peuvent configurer des règles de partage des données entre les profils afin que les applications personnelles puissent résoudre les intents du profil professionnel, tels que les intents de partage ou les liens Web.

5.7.2. La gestion des widgets professionnels n'est pas encore disponible dans l'API Android Management.

5.7.3. Les administrateurs informatiques peuvent contrôler la possibilité de copier-coller entre les profils professionnel et personnel.

5.8. Règle de mise à jour du système

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent configurer et appliquer des mises à jour système Over The Air (OTA) sur les appareils.

5.8.1. La console EMM permet aux administrateurs informatiques de définir les configurations OTA suivantes:

  • Automatique: les appareils reçoivent les mises à jour OTA lorsqu'elles sont disponibles.
  • Reporter: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA jusqu'à 30 jours. Cette règle n'affecte pas les mises à jour de sécurité (par exemple, les correctifs de sécurité mensuels).
  • Fenêtre: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA dans un intervalle de maintenance quotidien.

5.8.2. Les configurations OTA sont appliquées aux appareils via une règle.

5.9. Verrouiller la gestion du mode tâche

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Version 6.0 ou ultérieure

Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran et s'assurer que les utilisateurs ne peuvent pas quitter l'application.

5.9.1. La console EMM permet aux administrateurs informatiques d'autoriser silencieusement un ensemble arbitraire d'applications à installer et à verrouiller un appareil. L'option Règle permet de configurer des appareils dédiés.

5.10. Gestion persistante des activités préférées

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+

Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents correspondant à un filtre d'intent donné. Par exemple, cette fonctionnalité permet aux administrateurs informatiques de choisir quelle application de navigateur ouvre automatiquement les liens Web. Cette fonctionnalité permet de gérer l'application de lanceur d'applications à utiliser lorsque vous appuyez sur le bouton d'accueil.

5.10.1. Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour tout filtre d'intent arbitraire.

  • La console EMM peut éventuellement suggérer des intents connus ou recommandés pour la configuration, mais ne peut pas limiter les intents à une liste arbitraire.
  • La console EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications que les utilisateurs concernés peuvent installer.

5.11. Gestion des fonctionnalités de protection du clavier

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Les administrateurs informatiques peuvent gérer les fonctionnalités disponibles pour les utilisateurs avant de déverrouiller le verrouillage du clavier de l'appareil (écran de verrouillage) et le verrouillage du clavier pour le défi professionnel (écran de verrouillage).

5.11.1.La fonctionnalité Policy peut désactiver les fonctionnalités suivantes de protection du clavier de l'appareil:

  • agents de confiance
  • déverrouillage par empreinte digitale
  • notifications non masquées

5.11.2. Les fonctionnalités de verrouillage du clavier suivantes du profil professionnel peuvent être désactivées à l'aide d'une règle:

  • agents de confiance
  • déverrouillage par empreinte digitale

5.12. Gestion avancée des fonctionnalités de verrouillage du clavier

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
5.0+
Les administrateurs informatiques peuvent gérer les fonctionnalités avancées de verrouillage du clavier (écran de verrouillage) sur les appareils détenus par l'entreprise. 5.12.1. Les administrateurs informatiques peuvent désactiver les fonctionnalités suivantes de protection du clavier de l'appareil via une règle :
  • Caméra sécurisée
  • Toutes les notifications
  • Non masqué
  • Agents de confiance
  • Fingerprint Unlock
  • Toutes les fonctionnalités de verrouillage du clavier

5.13. Débogage à distance

L'API Android Management n'est actuellement pas compatible avec cette fonctionnalité.

5.14. Récupération des adresses MAC

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
7.0+

Les EMM peuvent récupérer silencieusement l'adresse MAC d'un appareil pour l'identifier dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification d'appareils pour le contrôle des accès réseau).

5.14.1. Le fournisseur EMM peut récupérer en mode silencieux l'adresse MAC d'un appareil et l'associer à l'appareil dans la console EMM.

5.15. Gestion avancée du mode tâches verrouillées

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
9.0+

Avec un appareil dédié, les administrateurs informatiques peuvent utiliser la console EMM pour effectuer les tâches suivantes:

5.15.1. Autoriser l'installation et le verrouillage d'une seule application sur un appareil en mode silencieux

5.15.2. Activez ou désactivez les fonctionnalités suivantes de l'UI du système:

5.15.3. Désactivez Boîtes de dialogue d'erreur système.

5.16. Règle avancée de mise à jour du système

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
9.0+

Les administrateurs informatiques peuvent définir une période de blocage spécifique pour bloquer les mises à jour du système sur un appareil.

5.16.1. La console de l'EMM doit permettre aux administrateurs informatiques de bloquer les mises à jour du système Over The Air (OTA) pendant une période de blocage spécifiée.

5.17. Gestion de la transparence des règles du profil professionnel

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
9.0+

Les administrateurs informatiques peuvent personnaliser le message affiché lorsque les utilisateurs suppriment le profil professionnel d'un appareil.

5.17.1. Les administrateurs informatiques peuvent fournir du texte personnalisé à afficher (accédez à wipeReasonMessage) lorsqu'un profil professionnel est effacé.

5.18. Assistance pour les applications connectées

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
11.0+

Les administrateurs informatiques peuvent définir une liste de packages pouvant communiquer au-delà des limites du profil professionnel en définissant ConnectedWorkAndPersonalApp.

5.19. Mise à jour manuelle du système

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
11.0+

L'API Android Management n'est pas compatible avec cette fonctionnalité.

6. Abandon de Device Admin

6. Abandon de Device Admin

Version d'Android
Profil professionnel
Appareil entièrement géré
Appareil dédié
Maman
5.0+

Les EMM doivent publier un forfait d'ici la fin de l'année 2022 et mettre fin au service client pour Device Admin sur les appareils GMS d'ici la fin du 1er trimestre 2023.