בדף הזה מפורטת כל התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם חייב לתמוך בכל התכונות הסטנדרטיות () של לפחות קבוצה אחת של פתרון כדי שיהיה זמין באופן מסחרי. פתרונות EMM שעברו אימות סטנדרטי של תכונות, מופיעים ב-Enterprise Solutions Directory ב-Android, בתור קבוצת ניהול רגילה.
קבוצה נוספת של תכונות מתקדמות זמינה לכל קבוצת פתרונות. התכונות האלה מופיעות בכל דף של קבוצת פתרונות: פרופיל עבודה, מכשיר שמנוהל באופן מלא ומכשיר ייעודי. פתרונות EMM שעוברים את האימות של התכונות המתקדמות מופיעים ב-Enterprise Solutions Directory ב-Android, בתור ערכת ניהול מתקדמת.
הערה: השימוש ב-Android Management API כפוף למדיניות השימוש המותר.
מפתח
| תכונה רגילה אחת () | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשירים
1.1. ניהול הקצאות ידני של פרופיל עבודה ב-DPC
אחרי שמורידים את Android Device Policy מ-Google Play, המשתמשים יוכלו לנהל את התצורה של פרופיל העבודה.
1.1.1. ה-EMM מספק לאדמין ב-IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ניהול ההקצאות הזו (מידע נוסף זמין במאמר רישום והקצאה של מכשיר).
1.2. הקצאת מכשיר עם מזהה DPC
אם מזינים "afw#" באשף ההגדרה של המכשיר, מקצים מכשיר ייעודי או מנוהל באופן מלא.
1.2.1. ה-EMM מספק לאדמין ב-IT קוד QR או קוד הפעלה לתמיכה בשיטה הזו לניהול ההקצאות (מידע נוסף זמין במאמר רישום והקצאה של מכשיר).
1.3. ניהול תצורה של מכשיר NFC
אדמינים ב-IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שאופסו להגדרות המקוריות, בהתאם להנחיות ההטמעה שמפורטות בתיעוד למפתחים של Play EMM API.
1.3.1. ספקי EMM חייבים להשתמש בתגים מסוג 2 של פורום NFC עם זיכרון של 888 בייטים לפחות. כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרתים ומזהי הרשמה, יש להשתמש בתוספות של הקצאות. פרטי הרישום לא צריכים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. מומלץ להשתמש בתגי NFC ל-Android מגרסה 10 ואילך בעקבות ההוצאה משימוש של תכונת NFC בזמן אמת (שנקראת גם Bump NFC).
1.4 ניהול תצורה של מכשיר עם קוד QR
המסוף של EMM יכול ליצור קוד QR שאדמינים ב-IT יכולים לסרוק כדי להקצות מכשיר ייעודי או מנוהל באופן מלא, בהתאם להנחיות ההטמעה שמפורטות ב מסמכי התיעוד למפתחים בנושא Android Management API.
1.4.1. קוד ה-QR צריך לכלול תוספות להקצאה כדי להעביר למכשיר פרטי רישום לא רגישים (כמו מזהי שרתים ומזהי רישום). פרטי הרישום לא יכולים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.5. הרשמה דרך הארגון
מנהלי IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. אדמינים ב-IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמפורטת במאמר הרשמה דרך הארגון לאדמינים ב-IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, הוא נאכף אוטומטית בהגדרות שנקבעו על ידי מנהל ה-IT.
1.6. הקצאת הרשאות ידנית מתקדמת דרך הארגון
אדמינים ב-IT יכולים להפוך חלק גדול מתהליך הרישום של המכשיר לאוטומטי, באמצעות הרשמה דרך הארגון. בשילוב עם כתובות URL לכניסה, אדמינים ב-IT יכולים להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמוצעות על ידי ה-EMM.
1.6.1. אדמינים ב-IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון.
1.6.2. הדרישה הזו הוצאה משימוש.
1.6.3. באמצעות כתובת ה-URL לכניסה, ספק ה-EMM צריך לוודא שמשתמשים לא מורשים לא יוכלו להמשיך בהפעלה. לכל הפחות, עליכם לנעול את ההפעלה למשתמשים בארגון מסוים.
1.6.4. באמצעות כתובת ה-URL לכניסה, ספק ה-EMM צריך לאפשר לאדמינים ב-IT לאכלס מראש את פרטי הרישום (למשל, מזהי שרת, מזהי הרשמה) בנוסף למידע ייחודי על המשתמש או המכשיר (למשל, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשמפעילים מכשיר.
- אסור לכלול ב-EMM מידע רגיש, כמו סיסמאות או אישורים, בתצורה של ההרשמה דרך הארגון.
1.7 ניהול תצורה של פרופיל עבודה בחשבון Google
Android Management API לא תומך בתכונה הזו.
1.8 הקצאת מכשירים בחשבון Google
Android Management API לא תומך בתכונה הזו.
1.9 הגדרה ישירה דרך הארגון
אדמינים ב-IT יכולים להשתמש במסוף של EMM כדי להגדיר מכשירים ללא מגע באמצעות ה-iframe ללא מגע.
1.10 פרופילי עבודה במכשירים בבעלות החברה
ספקי EMM יכולים לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה באמצעות הגדרת AllowPersonalUsage.
אדמינים ב-IT יכולים להקצות מכשיר כפרופיל עבודה במכשיר בבעלות חברה, באמצעות קוד QR או הרשמה דרך הארגון.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילי עבודה במכשירים בבעלות החברה באמצעות PersonalUsagePolicies.
1.10.3. אדמינים ב-IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו דרך PersonalUsagePolicies.
1.10.4. אדמינים ב-IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר במלואו באמצעות PersonalUsagePolicies.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת היתרים או רשימת חסימה של אפליקציות שאפשר או לא ניתן להתקין בפרופיל האישי דרך PersonalApplicationPolicy.
1.10.6. אדמינים ב-IT יכולים לבטל את הניהול של מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או איפוס הנתונים במכשיר כולו.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה במכשיר (קוד אימות/דפוס/סיסמה) מתוך בחירה מוגדרת מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1 המדיניות חייבת לאכוף הגדרות לניהול אתגרי אבטחה במכשיר (parentProfilePasswordדרישות לפרופיל עבודה, דרישות סיסמה למכשירים שמנוהלים באופן מלא ומכשירים ייעודיים).
2.1.2. מורכבות הסיסמה צריכה להתאים למורכבים הבאים של סיסמאות:
- Password_COMPLיציאה_LOW – דפוס או קוד אימות עם רצפים חוזרים (4444) או רצפים מסודרים (1234, 4321, 2468).
- Password_COMPLיציאה_MEDIUM – קוד אימות ללא חזרה (4444) או רצפים לפי סדר (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 לפחות
- Password_COMPLCENTERY_LOW – קוד אימות ללא רצפים חוזרים (4444) או רצפים לפי סדר (1234, 4321, 2468) ובאורך של 8 סיסמאות או סיסמאות אלפאנומריות לפחות, באורך של 6 לפחות
2.1.3. ניתן לאכוף הגבלות נוספות על סיסמאות גם כהגדרות מדור קודם במכשירים בבעלות החברה.
2.2 אתגר אבטחה בעבודה
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה באפליקציות ובנתונים בפרופיל העבודה בנפרד בעל דרישות שונות מאלה של אתגר האבטחה במכשיר (2.1).
2.2.1. המדיניות חייבת לאכוף את אתגר האבטחה בפרופיל העבודה.
- כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא צוין היקף.
- אדמינים ב-IT יכולים להגדיר את ההיקף הזה ברמת המכשיר על ידי ציון ההיקף שלהם (לפי דרישה 2.1).
2.2.2. מורכבות הסיסמה צריכה להתבסס על מורכבות הסיסמאות המוגדרות מראש הבאות:
- Password_COMPLיציאה_LOW – דפוס או קוד אימות עם רצפים חוזרים (4444) או רצפים מסודרים (1234, 4321, 2468).
- Password_COMPLיציאה_MEDIUM – קוד אימות ללא חזרה (4444) או רצפים לפי סדר (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 לפחות
- Password_COMPLCENTERY_LOW – קוד אימות ללא רצפים חוזרים (4444) או רצפים לפי סדר (1234, 4321, 2468) ובאורך של 8 סיסמאות או סיסמאות אלפאנומריות לפחות, באורך של 6 לפחות
2.2.3. ניתן לאכוף הגבלות סיסמה נוספות כהגדרות מדור קודם
2.3. ניהול מתקדם של קודי גישה
אדמינים ב-IT יכולים לקבוע הגדרות סיסמה מתקדמות במכשירים.
2.3.1. [הדף ריק]
2.3.2. [הדף ריק]
2.3.3. ניתן לקבוע את ההגדרות הבאות של מחזור החיים של סיסמה עבור כל מסך נעילה הזמין במכשיר:
- [הדף ריק]
- [הדף ריק]
- מספר מקסימלי של סיסמאות שנכשלו לאפס: מציין את מספר הפעמים שמשתמשים יכולים להזין סיסמה שגויה לפני שהנתונים הארגוניים נמחקים מהמכשיר. לאדמינים ב-IT צריכה להיות אפשרות להשבית את התכונה הזו.
2.3.4. (Android 8.0 ואילך) זמן קצוב לתפוגה של נדרש אימות חזק: יש להזין קוד סיסמה חזק לאימות (כמו קוד אימות או סיסמה) לאחר פרק זמן הקצוב לתפוגה שהוגדר על ידי מנהל IT. לאחר פרק הזמן הקצוב לתפוגה, שיטות אימות לא חזקות (כמו טביעת אצבע ופתיחה ע"י זיהוי הפנים) יושבתו עד לביטול נעילת המכשיר באמצעות קוד סיסמה חזק לאימות.
2.4 ניהול Smart Lock
אדמינים ב-IT יכולים לקבוע אם סביבות אמינות בתכונה Smart Lock של Android יורשו להאריך את ביטול הנעילה של המכשיר עד ארבע שעות.
2.4.1. אדמינים ב-IT יכולים להשבית סוכנים מהימנים במכשיר.
2.5 איפוס ונעילה
אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי לנעול מרחוק את נתוני העבודה ממכשירים מנוהלים ולמחוק את הנתונים האלה.
2.5.1. יש לנעול את המכשירים באמצעות Android Management API.
2.5.2. צריך לאפס את נתוני המכשירים באמצעות Android Management API.
2.6 אכיפת תאימות
אם מכשיר לא עומד בדרישות של מדיניות האבטחה, כללי התאימות הגדירו באופן אוטומטי על ידי Android Management API, שמגבילים באופן אוטומטי את השימוש בנתוני העבודה.
2.6.1. לכל הפחות, מדיניות האבטחה שנאכףה על המכשיר חייבת לכלול מדיניות סיסמאות.
2.7 מדיניות ברירת מחדל לאבטחה
ספקי EMM חייבים לאכוף את מדיניות האבטחה שצוינה במכשירים כברירת מחדל כברירת מחדל, בלי לדרוש מאדמינים ב-IT להגדיר או להתאים אישית הגדרות במסוף של ה-EMM. מומלץ (אבל לא חובה) לספקי EMM לא לאפשר לאדמינים ב-IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. יש לחסום התקנת אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה. תכונת המשנה הזו נתמכת כברירת מחדל.
2.7.2. יש לחסום תכונות לניפוי באגים. תכונת המשנה הזו נתמכת כברירת מחדל.
2.8 מדיניות אבטחה למכשירים ייעודיים
אין לבצע פעולות אחרות במכשיר ייעודי הנעול.
2.8.1. חובה לכבות את ההפעלה במצב בטוח כברירת מחדל דרך policy
(אל safeBootDisabled).
2.9 תמיכה ב-Play Integrity
בדיקות תקינות של Play מתבצעות כברירת מחדל. לא נדרשת הטמעה נוספת.
2.9.1. ריק מכוון.
2.9.2. ריק מכוון.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך הערך של SecurityRisk במכשיר, כולל חסימה של הקצאת הרשאות ידנית, מחיקת נתונים ארגוניים ומתן אפשרות להרשמה להמשיך.
- שירות ה-EMM יאכוף את התגובה הזו למדיניות בהתאם לתוצאה של כל בדיקת תקינות.
2.10 אכיפה של אימות אפליקציות
אדמינים ב-IT יכולים להפעיל את האפשרות אימות אפליקציות במכשירים. האפשרות 'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ואחרי ההתקנה שלהן, כדי לוודא שאפליקציות זדוניות לא יוכלו לסכן את הנתונים הארגוניים.
2.10.1. חובה להפעיל את האפשרות 'אימות אפליקציות' כברירת מחדל דרך מדיניות
(כניסה אל ensureVerifyAppsEnabled).
2.11. תמיכה ב-Direct Boot
Android Management API תומך בתכונה הזו כברירת מחדל. אין צורך בהטמעה נוספת.
2.12. ניהול אבטחת חומרה
אדמינים ב-IT יכולים לנעול רכיבי חומרה במכשירים בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים כך שלא יוכלו לטעון מדיה פיזית חיצונית באמצעות מדיניות (נכנסים אל mountPhysicalMediaDisabled).
2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות אלגוריתם NFC דרך מדיניות (כניסה אל outgoingBeamDisabled). תכונת המשנה הזו היא אופציונלית כי פונקציית הזום של NFC כבר לא נתמכת ב-Android מגרסה 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים להעביר קבצים ב-USB באמצעות מדיניות (כניסה אל usbFileTransferDisabled).
2.13. רישום ביומן האבטחה בארגון
Android Management API לא תומך כרגע בתכונה הזו.
3. ניהול חשבון ואפליקציות
3.1. רישום ארגוני של חשבונות Google Play מנוהלים
אדמינים ב-IT יכולים ליצור ארגון של חשבונות Google Play מנוהלים – ישות שמאפשרת ל-Google Play לארגונים להפיץ אפליקציות למכשירים. צריך לשלב את שלבי ההרשמה הבאים במסוף של ה-EMM:
3.1.1. רישום ארגוני של חשבונות Google Play מנוהלים באמצעות Android Management API.
3.2. ניהול תצורה של חשבון Google Play לארגונים
ה-EMM יכול לבצע באופן שקט הקצאה של חשבונות משתמשים ארגוניים, שנקראים 'חשבונות Google Play מנוהלים'. בחשבונות האלה מזהים משתמשים מנוהלים, ומאפשרים להם להגדיר כללי הפצה ייחודיים לכל משתמש.
3.2.1. חשבונות Google Play מנוהלים (חשבונות משתמשים) נוצרים באופן אוטומטי כשהמכשירים מוקצים.
Android Management API תומך בתכונה הזו כברירת מחדל. אין צורך בהטמעה נוספת.
3.3. ניהול הקצאות ידני של חשבונות במכשירי Google Play לארגונים
ה-EMM יכול ליצור ולנהל חשבונות מנוהלים במכשירי Google Play. חשבונות מכשירים תומכים בהתקנה שקטה של אפליקציות מחנות Google Play לארגונים, והם לא קשורים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזיהוי מכשיר יחיד שתומך בכללי הפצה של אפליקציות לכל מכשיר, בתרחישים ייעודיים למכשירים.
3.3.1. חשבונות Google Play מנוהלים נוצרים באופן אוטומטי כשמוגדרים מכשירים.
Android Management API תומך בתכונה הזו כברירת מחדל. אין צורך בהטמעה נוספת.
3.4. הקצאת הרשאות ידנית של חשבון Google Play לארגונים במכשירים מדור קודם
התכונה הזו הוצאה משימוש.
3.5 הפצת אפליקציות שקטות
אדמינים ב-IT יכולים להפיץ אפליקציות עבודה במכשירים ללא אינטראקציה עם המשתמש באופן שקט.
3.5.1. המסוף של ה-EMM חייב להשתמש בממשק ה-API לניהול Android כדי לאפשר לאדמינים ב-IT להתקין אפליקציות לעבודה במכשירים מנוהלים.
3.5.2. המסוף של ה-EMM חייב להשתמש בAndroid Management API כדי לאפשר לאדמינים ב-IT לעדכן אפליקציות לעבודה במכשירים מנוהלים.
3.5.3. מסוף ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר לאדמינים ב-IT להסיר אפליקציות ממכשירים מנוהלים.
3.6. ניהול הגדרות מנוהלות
אדמינים ב-IT יכולים להציג הגדרות מנוהלות ולהגדיר אותן באופן שקט לכל אפליקציה שתומכת בהגדרות מנוהלות.
3.6.1. המסוף של ה-EMM צריך להיות מסוגל לאחזר ולהציג את ההגדרות האישיות המנוהלות של כל אפליקציית Play.
3.6.2. המסוף של ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר כל סוג הגדרה (כפי שמוגדר ב-Android Enterprise framework) לכל אפליקציה ב-Play באמצעות Android Management API.
3.6.3. מסוף ה-EMM צריך לאפשר למנהלי IT להגדיר תווים כלליים לחיפוש (למשל $username$ או %emailAddress%) כדי שניתן יהיה להחיל הגדרה יחידה לאפליקציה, כמו Gmail, על מספר משתמשים.
3.7 ניהול קטלוג אפליקציות
Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.8 אישור פרוגרמטי של אפליקציות
במסוף של ה-EMM נעשה שימוש ב-iframe המנוהל של Google Play כדי לתמוך ביכולות הגילוי והאישור של האפליקציות של Google Play. אדמינים ב-IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות, בלי לצאת מהמסוף של ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות iframe מנוהל של Google Play.
3.9 ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה המנוהלת של חנות Google Play כדי להתקין ולעדכן אפליקציות לעבודה. כברירת מחדל, מוצגות בחנות Google Play לארגונים אפליקציות שאושרו עבור משתמש ברשימה אחת. הפריסה הזו נקראת פריסה בסיסית של חנות.
3.9.1. המסוף של ה-EMM צריך לאפשר למנהלי IT לנהל את האפליקציות שמוצגות בפריסת החנות הבסיסית של משתמש הקצה.
3.10 הגדרה מתקדמת של פריסת החנות
3.10.1. אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציה המנוהלת של חנות Google Play.
3.11 ניהול רישיונות לאפליקציות
התכונה הזו הוצאה משימוש.
3.12 ניהול אפליקציות פרטיות שמתארחות ב-Google
אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google באמצעות מסוף ה-EMM, במקום דרך Google Play Console.
3.12.1. אדמינים ב-IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13 ניהול אפליקציות פרטיות באירוח עצמי
מנהלי IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, Google Play לא מארח את חבילות ה-APK. במקום זאת, ה-EMM עוזר למנהלי IT לארח בעצמם חבילות APK, ולהגן על אפליקציות באירוח עצמי, בכך שהוא מוודא שאפשר להתקין אותן רק אם יש הרשאה לכך על ידי Google Play לארגונים.
3.13.1. המסוף של EMM חייב לעזור למנהלי IT לארח את ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח ה-APK בשרת של ה-EMM. השרת יכול להיות מקומי או מבוסס ענן.
- אירוח ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעתו של הארגון. האדמין ב-IT צריך לציין במסוף ה-EMM את המיקום שבו מתארח ה-APK.
3.13.2. המסוף של ה-EMM צריך ליצור קובץ מתאים של הגדרת APK באמצעות ה-APK שסופק, ועליו להנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. מנהלי IT יכולים לעדכן אפליקציות פרטיות באירוח עצמי, והמסוף של EMM יכול לפרסם באופן שקט קובצי הגדרות APK מעודכנים באמצעות Google Play Developer Publishing API.
3.13.4. השרת של ה-EMM שולח בקשות הורדה ל-APK באירוח עצמי שמכיל JWT חוקי בתוך קובץ ה-Cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי להקל על התהליך, השרת של ה-EMM צריך להנחות מנהלי IT בכדי להוריד את המפתח הציבורי של הרישיון של האפליקציה באירוח עצמי מ-Play Google Developers Console, ולהעלות את המפתח הזה למסוף ה-EMM.
3.14 התראות משיכה של EMM
התכונה הזו לא רלוונטית ל-Android Management API. הגדרת התראות ב-Pub/Sub במקום זאת.
3.15 דרישות השימוש ב-API
ה-EMM מטמיע את ממשקי Android Management API בקנה מידה נרחב, כדי להימנע מדפוסי תעבורת נתונים שעלולים להשפיע לרעה על היכולת של ארגונים לנהל אפליקציות בסביבות ייצור.
3.15.1. ה-EMM חייב לפעול בהתאם למגבלות השימוש של Android Management API. אם לא תתקנו התנהגות שחורגת מההנחיות האלה, ייתכן שנשעה את השימוש ב-API, לפי שיקול דעתה של Google.
3.15.2. ה-EMM צריך לפזר את התנועה מארגונים שונים לאורך היום, במקום לאחד את התנועה בארגון בזמנים ספציפיים או דומים. התנהגות שמתאימה לדפוס תעבורת הנתונים הזה, כמו פעולות מתוזמנות באצווה לכל מכשיר רשום, עשויה לגרום להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. ה-EMM לא יכול לשלוח בקשות עקביות, חלקיות או שגויות במכוון, שלא מאפשרות לאחזר או לנהל את הנתונים הארגוניים בפועל. התנהגות שמתאימה לדפוס התנועה הזה עלולה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16 ניהול מתקדם של הגדרות אישיות
ה-EMM תומך בתכונות המתקדמות הבאות לניהול הגדרות אישיות:
3.16.1. המסוף של EMM צריך להיות מסוגל לאחזר ולהציג עד ארבע רמות של הגדרות מקוננות של הגדרות אישיות מנוהלות של כל אפליקציית Play, באמצעות:
- ה-iframe המנוהל של Google Play, או
- ממשק משתמש מותאם אישית.
3.16.2. המסוף של EMM חייב להיות מסוגל לאחזר ולהציג כל משוב שהוחזר על ידי ערוץ המשוב של האפליקציה, כאשר הוא הוגדר על ידי מנהל IT.
- המסוף של ה-EMM חייב לאפשר למנהלי IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שמהם הוא הגיע.
- המסוף של EMM צריך לאפשר לאדמינים ב-IT להירשם לקבלת התראות או דיווחים על סוגי הודעות ספציפיים (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM צריך לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהוגדרו באופן ידני על ידי האדמין באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
מנהלי IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף EMM.
3.17.1. מסוף EMM מאפשר למנהלי IT להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
- באמצעות iframe של Google Play לארגונים,
- או Android Management API.
3.18. ניהול מחזור החיים של חשבון Google Play לארגונים
ה-EMM יכול ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים בשם מנהלי ה-IT, ולשחזר באופן אוטומטי חשבונות Google Play.
התכונה הזו נתמכת כברירת מחדל. אין צורך בהטמעה נוספת של EMM.
3.19. ניהול מסלולי אפליקציה
3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי מסלולים שהוגדרו על ידי המפתח לאפליקציה ספציפית
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים לשימוש במסלול פיתוח מסוים לאפליקציה.
3.20 ניהול מתקדם של עדכוני אפליקציות
אדמינים ב-IT יכולים לאפשר עדכון מיידי של אפליקציות או לדחות את העדכון שלהן למשך 90 יום.
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכונים בעדיפות גבוהה לאפליקציות כשעדכון מוכן. 3.20.2. אדמינים ב-IT יכולים לאפשר דחייה של עדכוני אפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאת הרשאות ידנית
ה-EMM יכול ליצור הגדרות של ניהול הקצאות ולהציג אותן לאדמין ב-IT בטופס מוכן להפצה למשתמשי קצה (למשל: קוד QR, הגדרה דרך הארגון, כתובת URL בחנות Play).
4. ניהול מכשירים
4.1. ניהול מדיניות ההרשאות בזמן ריצה
אדמינים ב-IT יכולים להגדיר באופן שקט תגובת ברירת מחדל לבקשות הרשאה בתחילת ההפעלה, שנשלחות על ידי אפליקציות לעבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשמגדירים מדיניות ברירת מחדל להרשאות בתחילת הפעלה עבור הארגון:
- הנחיה (המשתמשים יכולים לבחור)
- לאפשר
- דחייה
ה-EMM צריך לאכוף את ההגדרות האלה באמצעות מדיניות.
4.2. ניהול מצב של הענקת הרשאות בזמן ריצה
אחרי שמגדירים ברירת מחדל למדיניות ההרשאות בתחילת ההפעלה (עוברים ל-4.1), אדמינים ב-IT יכולים להגדיר בקלות תשובות להרשאות ספציפיות מכל אפליקציה לעבודה שמבוססת על API 23 ואילך.
4.2.1. אדמינים ב-IT צריכים להיות מסוגלים להגדיר את מצב ההרשאה (ברירת מחדל, הענקה או דחייה) של כל הרשאה שנדרשת על ידי כל אפליקציה לעבודה שמבוססת על API מגרסה 23 ואילך. ה-EMM צריך לאכוף את ההגדרות האלה באמצעות מדיניות.
4.3. ניהול הגדרות Wi-Fi
אדמינים ב-IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות מדיניות.
4.3.2. סיסמה, דרך מדיניות.
4.4. ניהול אבטחת Wi-Fi
אדמינים ב-IT יכולים להקצות הגדרות Wi-Fi לארגונים במכשירים שכוללים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהות
4.4.2. אישורים עבור הרשאת לקוח
4.4.3. אישורי CA
4.5. ניהול מתקדם של Wi-Fi
אדמינים ב-IT יכולים לנעול הגדרות Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות אישיות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi בארגון באמצעות מדיניות באחת מהתצורות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצו על ידי ה-EMM (יש לעבור אל
wifiConfigsLockdownEnabled), אבל הם יכולים להוסיף ולשנות רשתות משלהם שניתן להגדיר על ידי המשתמש (למשל רשתות אישיות). - המשתמשים לא יכולים להוסיף או לשנות רשתות Wi-Fi במכשיר
(מעבר אל
wifiConfigDisabled), וכך קישוריות ה-Wi-Fi מוגבלת רק לרשתות שהוקצו על ידי ה-EMM.
4.6. ניהול החשבון
אדמינים ב-IT יכולים לוודא שרק חשבונות ארגוניים מורשים יכולים לנהל אינטראקציה עם הנתונים הארגוניים, לשירותים כמו אפליקציות אחסון SaaS ופרודוקטיביות, או אימייל. בלי התכונה הזו, המשתמשים יכולים להוסיף חשבונות אישיים לאפליקציות הארגוניות שתומכות גם בחשבונות פרטיים, מה שמאפשר להם לשתף נתונים ארגוניים עם החשבונות האישיים.
4.6.1. אדמינים ב-IT יכולים למנוע ממשתמשים להוסיף או לשנות חשבונות (מידע נוסף: modifyAccountsDisabled).
- כשאוכפים את המדיניות הזו במכשיר, ספקי EMM חייבים להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי להבטיח שהמשתמשים לא יוכלו לעקוף את המדיניות הזו על-ידי הוספת חשבונות לפני שהמדיניות נחקקת.
4.7. ניהול חשבון Workspace
Android Management API לא תומך בתכונה הזו.
4.8. ניהול אישורים
אדמינים ב-IT יכולים לפרוס במכשירים אישורי זהות ורשויות אישורים כדי לאפשר שימוש במשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים שנוצרו על ידי ה-PKI שלהם לפי משתמש. המסוף של ה-EMM צריך להשתלב עם PKI אחד לפחות ולהפיץ אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים (ראו caCerts) במאגר המפתחות המנוהל. עם זאת, תכונת המשנה הזו לא נתמכת כרגע.
4.9. ניהול אישורים מתקדם
אדמינים ב-IT יכולים לבחור באופן שקט את האישורים שאפליקציות מנוהלות ספציפיות צריכים להשתמש בהן. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות CA ואישורי זהות ממכשירים פעילים, ולמנוע ממשתמשים לשנות את פרטי הכניסה ששמורים במאגר המפתחות המנוהל.
4.9.1. מנהלי IT יכולים לציין אישור לכל אפליקציה שמופצת למכשירים, והם יקבלו גישה שקטה במהלך זמן הריצה. (תכונת המשנה הזו לא נתמכת כרגע)
- בחירת האישורים צריכה להיות כללית מספיק כדי לאפשר הגדרה יחידה החלה על כל המשתמשים, ולכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים ממאגר המפתחות המנוהל באופן שקט.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA באופן שקט. (תכונת המשנה הזו לא נתמכת כרגע)
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה (נכנסים אל credentialsConfigDisabled) במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להעניק מראש אישורים לאפליקציות לעבודה באמצעות ChoosePrivateKeyRule.
4.10 ניהול אישורים שהוענקה
אדמינים ב-IT יכולים להפיץ אפליקציות לניהול אישורים של צד שלישי למכשירים ולהעניק להן הרשאות גישה להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT יכולים להגדיר חבילת ניהול אישורים (להיכנס לכתובת delegatedCertInstallerPackage) בתור אפליקציה לניהול אישורים שהוענקה.
- ה-EMM יכול להציע חבילות ידועות לניהול אישורים, אבל חייב לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.
4.11. ניהול מתקדם של VPN
אדמינים ב-IT יכולים להגדיר VPN שפועל כל הזמן, כדי להבטיח שהנתונים מהאפליקציות המנוהלות שצוינו תמיד יעברו דרך הגדרת רשת וירטואלית פרטית (VPN).
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית בתור 'VPN שפועל כל הזמן'.
- המסוף של ה-EMM יכול באופן אופציונלי להציע חבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל לא יכול להגביל את רשתות ה-VPN הזמינות להגדרה תמידית לרשימה שרירותית כלשהי.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לקבוע את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
מנהלי IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר למכשירים. מאחר שה-IME משותף גם לפרופילים של עבודה וגם לפרופילים אישיים, חסימת השימוש ב-IME תמנע מהמשתמשים לאפשר את השימוש ברכיבי ה-IME האלה גם לשימוש אישי. עם זאת, מנהלי IT לא יכולים לחסום את השימוש ב-IME של המערכת בפרופילים של עבודה (לפרטים נוספים, היכנסו לניהול מתקדם של IME).
4.12.1. מנהלי IT יכולים להגדיר רשימת היתרים של IME (עבור אל permitted_input_methods) באורך שרירותי (כולל רשימה ריקה, שחוסמת רכיבי IME שאינם של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- המסוף של EMM יכול באופן אופציונלי להציע רכיבי IME מוכרים או מומלצים שייכללו ברשימת ההיתרים, אבל חייב לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.
4.12.2. ה-EMM צריך להודיע לאדמינים ב-IT שרכיבי IME של המערכת לא ייכללו בניהול במכשירים עם פרופילים של עבודה.
4.13. ניהול מתקדם של IME
מנהלי IT יכולים לנהל את שיטות הקלט (IME) שמשתמשים יכולים להגדיר במכשיר. ניהול מתקדם של IME מרחיב את התכונה הבסיסית בכך שהוא מאפשר גם למנהלי IT לנהל את השימוש ברכיבי IME של המערכת, שמספקים יצרן המכשיר או הספק של המכשיר בדרך כלל.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (עוברים אל permitted_input_methods) באורך שרירותי (לא כולל רשימה ריקה,
שחוסמת את כל רכיבי ה-IME, כולל רכיבי IME של המערכת), שעשויים להכיל חבילות IME שרירותיות.
- המסוף של EMM יכול באופן אופציונלי להציע רכיבי IME מוכרים או מומלצים שייכללו ברשימת ההיתרים, אבל חייב לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.
4.13.2. ספק EMM צריך למנוע ממנהלי IT להגדיר רשימת היתרים ריקה, מפני שההגדרה הזו תחסום במכשיר את ההגדרה של כל רכיבי ה-IME, כולל רכיבי IME של המערכת.
4.13.3. ספק EMM חייב לוודא שאם רשימת ההיתרים של IME לא מכילה רכיבי IME של המערכת, רכיבי IME של צד שלישי יותקנו באופן שקט לפני החלת רשימת ההיתרים על המכשיר.
4.14. ניהול שירותי נגישות
אדמינים ב-IT יכולים לקבוע מה המשתמשים בשירותי נגישות יוכלו לאפשר במכשירים. שירותי נגישות הם כלים חזקים במיוחד למשתמשים עם מוגבלויות או כאלה שאין להם באופן זמני אפשרות לבצע אינטראקציה מלאה עם המכשיר. עם זאת, הם עשויים לקיים אינטראקציה עם נתוני הארגון באופן שמנוגד למדיניות הארגון. התכונה הזאת מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שאינו של המערכת.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים לשירותי נגישות (נכנסים אל permittedAccessibilityServices) באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם של המערכת). הרשימה עשויה להכיל כל חבילת שירותי נגישות שרירותית. אם מחילים אותם על פרופיל עבודה, הם משפיעים גם על הפרופיל האישי וגם על פרופיל העבודה.
- יכול להיות שבמסוף יוצגו הצעות לשירותי נגישות מוכרים או מומלצים להוספה לרשימת ההיתרים, אבל האדמין ב-IT יכול לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור המשתמשים הרלוונטיים.
4.15. ניהול של שיתוף מיקום
אדמינים ב-IT יכולים למנוע ממשתמשים לשתף את נתוני המיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר לשנות את הגדרת המיקום בפרופיל העבודה ב'הגדרות'.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום (נכנסים אל shareLocationDisabled) בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף מיקום
אדמינים ב-IT יכולים לאכוף הגדרה מסוימת של שיתוף מיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח שלאפליקציות של החברה תמיד יהיו נתוני מיקום ברמת דיוק גבוהה. התכונה הזו גם עוזרת למנוע צריכה של סוללה נוספת על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום במכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שמספקת הרשת.
- חיסכון בסוללה, שמגביל את תדירות העדכון.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה הזו מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, כי למשתמשים לא מורשים לא תהיה אפשרות לאפס מכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות היצרן גורמת למורכבות תפעולית כשמחזירים מכשירים ל-IT, אדמינים ב-IT יכולים להשבית לגמרי את ההגנה מפני איפוס להגדרות המקוריות.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס להגדרות המקוריות (להיכנס אל factoryResetDisabled) את המכשיר שלהם בהגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות בארגון שמורשים להקצות מכשירים (דרך frpAdminEmails) אחרי איפוס להגדרות המקוריות.
- אפשר לקשר את החשבון הזה לאדם פרטי, או לארגון כולו כדי לבטל את הנעילה של מכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות (עוברים אל factoryResetDisabled) במכשירים שצוינו.
4.17.4. אדמינים ב-IT יכולים להתחיל איפוס נתונים במכשיר מרוחק, שמאפס באופן אופציונלי את נתוני ההגנה מפני איפוס, וכך להסיר מהמכשיר את ההגנה מפני איפוס להגדרות המקוריות.
4.18. שליטה מתקדמת באפליקציות
אדמינים ב-IT יכולים למנוע מהמשתמש להסיר אפליקציות מנוהלות או לשנות אותן דרך ההגדרות. לדוגמה, מניעה של סגירת האפליקציה או ניקוי מטמון הנתונים של האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום הסרה של אפליקציות מנוהלות שרירותיות, או של כל האפליקציות המנוהלות (כניסה אל uninstallAppsDisabled).
4.18.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את נתוני האפליקציות בהגדרות. (Android Management API לא תומך בתכונת המשנה הזו)
4.19. ניהול של צילום מסך
אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות שיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות צילום המסך של המערכת.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך (נכנסים אל screenCaptureDisabled).
4.20 השבתת מצלמות
אדמינים ב-IT יכולים להשבית את השימוש במצלמות שבמכשיר על ידי אפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות המכשיר
(לעבור אל cameraDisabled) באפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של הרשת
Android Management API לא תומך כרגע בתכונה הזו.
4.22 איסוף נתונים סטטיסטיים מתקדם של הרשת
Android Management API לא תומך כרגע בתכונה הזו.
4.23 הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מכשירים מנוהלים מרחוק.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24 ניהול רדיו של המערכת
מספק לאדמינים ב-IT ניהול מפורט של מכשירי רדיו של רשתות ושל כללי מדיניות שימוש משויכים באמצעות מדיניות.
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירות (יש לעבור אל cellBroadcastsConfigDisabled).
4.24.2. מנהלי IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (מעבר אל mobileNetworksConfigDisabled).
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את כל הגדרות הרשת בהגדרות. (יש לעבור אל networkResetDisabled).
4.24.4. אדמינים ב-IT יכולים להגדיר אם המכשיר יאפשר חבילת גלישה בזמן נדידה (נכנסים אל dataRoamingDisabled).
4.24.5. אדמינים ב-IT יכולים לקבוע אם המכשיר יוכל לבצע שיחות טלפון יוצאות, לא כולל שיחות חירום (יש לעבור אל outGoingCallsDisabled).
4.24.6. אדמינים ב-IT יכולים לקבוע אם המכשיר יוכל לשלוח ולקבל הודעות טקסט (נכנסים אל smsDisabled).
4.24.7. מנהלי IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כנקודה לשיתוף אינטרנט (Hotspot) באמצעות שיתוף אינטרנט בין מכשירים (יש לעבור אל tetheringConfigDisabled).
4.24.8. אדמינים ב-IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi לברירת המחדל, כשהוא מחובר לחשמל או אף פעם. (Android Management API לא תומך בתכונת המשנה הזו)
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר או לשנות חיבורי Bluetooth קיימים (יש לעבור אל bluetoothConfigDisabled).
4.25 ניהול אודיו במערכת
אדמינים ב-IT יכולים לשלוט בתכונות האודיו של המכשיר, כולל השתקת המכשיר, למנוע מהמשתמשים לשנות את הגדרות עוצמת הקול ולמנוע מהמשתמשים לבטל את ההשתקה של המיקרופון של המכשיר.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים ברקע. (Android Management API לא תומך בתכונת המשנה הזו)
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול של המכשיר (יש לעבור אל adjustVolumeDisabled), וגם להשתיק את המכשירים.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון של המכשיר (נכנסים אל unmuteMicrophoneDisabled).
4.26 ניהול שעוני המערכת
אדמינים ב-IT יכולים לנהל את ההגדרות של שעון המכשיר ואזור הזמן, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את השעה האוטומטית של המערכת ואת אזור הזמן האוטומטי, וכך למנוע מהמשתמשים להגדיר את התאריך, השעה ואזור הזמן של המכשיר.
4.27 תכונות ייעודיות מתקדמות למכשירים
במכשירים ייעודיים, אדמינים ב-IT יכולים לנהל את התכונות הבאות באמצעות מדיניות כדי לתמוך בתרחישים שונים לדוגמה במצב קיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מגן המפתחות במכשיר (יש לעבור אל keyguardDisabled).
4.27.2. אדמינים ב-IT יכולים להשבית את שורת הסטטוס במכשיר, חסימת ההתראות וההגדרות המהירות (כניסה אל statusBarDisabled).
4.27.3. אדמינים ב-IT יכולים לאלץ את מסך המכשיר להישאר דלוק בזמן שהמכשיר מחובר לחשמל (כניסה אל stayOnPluggedModes).
4.27.4. אדמינים ב-IT יכולים למנוע את ההצגה של ממשקי המשתמש הבאים של המערכת (עוברים אל createWindowsDisabled):
- טוסטים
- שכבות-על של אפליקציות.
4.27.5. אדמינים ב-IT יכולים לאפשר להמלצה של המערכת לאפליקציות לדלג על המדריך למשתמש ועל רמזים מקדימים אחרים בהפעלה הראשונה (כניסה אל skip_first_use_hints).
4.28 ניהול היקפי הרשאות שהוקצו
מנהלי IT יכולים להעניק הרשאות נוספות לחבילות נפרדות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- ניהול הגדרות מנוהלות
- רישום התנועה ברשת
- רישום ביומן אבטחה
4.29 תמיכה בתעודות מזהות ספציפיות להרשמה
החל מגרסה Android 12, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחר מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישמר גם לאחר איפוס להגדרות המקוריות
4.29.1. אדמינים ב-IT יכולים לקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי לרישום הזה צריך לפעול גם באיפוס להגדרות המקוריות
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול תצורה מנוהל
אדמינים ב-IT יכולים לשנות את חוויית המשתמש של תהליך ההגדרה שמוגדר כברירת מחדל כך שיכלול תכונות ספציפיות לארגון. לחלופין, אדמינים ב-IT יכולים להציג מיתוג של ה-EMM במהלך ניהול ההקצאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון תנאים והגבלות ספציפיים לארגון וכתבי ויתור אחרים (יש לעבור אל termsAndConditions).
5.1.2. אדמינים ב-IT יכולים deploy תנאים והגבלות ספציפיים ל-EMM שאינם ניתנים להגדרה וכן כתבי ויתור אחרים (יש לעבור אל termsAndConditions).
- ספקי EMM יכולים להגדיר התאמה אישית ספציפית ל-EMM, שלא ניתן להגדיר, כברירת מחדל לפריסות, אבל חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.1.3 הוצאנו משימוש את primaryColor למשאב הארגוני ב-Android 10 ואילך.
5.2. התאמה אישית של הארגון
Android Management API לא תומך בתכונה הזו.
5.3. התאמה אישית מתקדמת לארגון
Android Management API לא תומך בתכונה הזו.
5.4. הודעות במסך הנעילה
אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית שתמיד מוצגת במסך הנעילה של המכשיר, ולא צריך לבטל את נעילת המכשיר כדי להציג אותם.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך הנעילה
(יש לעבור אל deviceOwnerLockScreenInfo).
5.5. ניהול שקיפות המדיניות
אדמינים ב-IT יכולים להתאים אישית את טקסט העזרה שנשלח למשתמשים כשהם מנסים לשנות הגדרות מנוהלות במכשיר שלהם, או לפרוס הודעת תמיכה כללית שמסופקת על ידי ה-EMM. אפשר להתאים אישית את הודעות התמיכה הקצרות והארוכות, והן מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שאדמין IT כבר חסם את ההסרה שלה.
5.5.1. אדמינים ב-IT יכולים להתאים אישית הודעות תמיכה למשתמשים קצרות וארוכות.
5.5.2. אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות, שספציפיות ל-EMM, שלא ניתנות להגדרה (יש להיכנס אל shortSupportMessage ואל longSupportMessage בpolicies).
- שירות EMM יכול להגדיר את הודעות התמיכה הספציפיות ל-EMM כברירת מחדל לפריסות, אבל עליו לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.
5.6 ניהול אנשי קשר במספר פרופילים
5.6.1. אדמינים ב-IT יכולים להשבית את ההצגה של אנשי קשר מהעבודה בפרופיל האישי בשיחות ובחיפושים של אנשי קשר.
5.6.2. אדמינים ב-IT יכולים להשבית את השיתוף של אנשי קשר ב-Bluetooth של אנשי קשר בעבודה, למשל להתקשר באמצעות הפעלה קולית במכוניות או באוזניות.
5.7 ניהול נתונים במספר פרופילים
אדמינים ב-IT יכולים לנהל את סוגי הנתונים שאפשר לשתף בין הפרופיל האישי לפרופיל העבודה, וכך לאזן בין נוחות השימוש ואבטחת הנתונים בהתאם לדרישות שלהם.
5.7.1. אדמינים ב-IT יכולים להגדיר את מדיניות שיתוף הנתונים בין פרופילים כדי שאפליקציות אישיות יוכלו לפענח כוונות מפרופיל העבודה, כמו שיתוף כוונות או קישורים.
5.7.2. אדמינים ב-IT יכולים לאפשר לאפליקציות מפרופיל העבודה ליצור ולהציג ווידג'טים במסך הבית של הפרופיל האישי. הפונקציונליות הזו מושבתת כברירת מחדל, אבל אפשר להגדיר אותה לשימוש בשדות workProfileWidgets ו-workProfileWidgetsDefault.
5.7.3. אדמינים ב-IT יכולים לשלוט ביכולת להעתיק ולהדביק את פרופיל העבודה לפרופיל האישי.
5.8 מדיניות עדכון המערכת
אדמינים ב-IT יכולים להגדיר עדכוני מערכת בחיבור אלחוטי (OTA).
5.8.1. המסוף של EMM מאפשר לאדמינים ב-IT להגדיר את הגדרות ה-OTA הבאות:
- אוטומטי: מכשירים מקבלים עדכוני OTA כשהם זמינים.
- דחייה: לאדמינים ב-IT צריכה להיות אפשרות לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
- חלון זמן: אדמינים ב-IT צריכים להיות מסוגלים לתזמן עדכוני OTA במסגרת חלון תחזוקה יומי.
5.8.2. הגדרות OTA מוחלות על מכשירים באמצעות מדיניות.
5.9 נעילת ניהול מצב המשימה
אדמינים ב-IT יכולים לנעול אפליקציה או קבוצת אפליקציות במסך ולוודא שהמשתמשים לא יוכלו לצאת מהאפליקציה.
5.9.1. המסוף של EMM מאפשר לאדמינים ב-IT לאשר באופן שקט קבוצה אקראית של אפליקציות להתקין מכשיר ולנעול אותו. המדיניות מאפשרת להגדיר מכשירים ייעודיים.
5.10 ניהול קבוע של פעילות מועדפת
אדמינים ב-IT יכולים להגדיר אפליקציה כ-handler של Intent שמוגדר כברירת מחדל, עבור אובייקטים מסוג Intent שתואמים למסנן מסוים של Intent. לדוגמה, התכונה הזו תאפשר לאדמינים ב-IT לבחור איזו אפליקציית דפדפן תפתח אוטומטית קישורים לדפי אינטרנט אחרים. בעזרת התכונה הזו אפשר לקבוע איזו אפליקציית מרכז אפליקציות תהיה בשימוש כשמקישים על לחצן דף הבית.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה בתור ה-handler של ה-Intent שמוגדר כברירת מחדל לכל מסנן Intent שרירותי.
- המסוף של EMM יכול להציע כוונות Intent ידועות או מומלצות להגדרה, אבל הוא לא יכול להגביל אובייקטים לרשימה שרירותית כלשהי.
- המסוף של EMM צריך לאפשר למנהלי IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה עבור משתמשים רלוונטיים.
5.11. ניהול תכונות KeyGuard
מנהלי IT יכולים לנהל את התכונות הזמינות למשתמשים לפני שהם מבטלים את נעילת המפתחות במכשיר (מסך הנעילה) ואת מגן המקשים של אתגר העבודה (מסך הנעילה).
5.11.1.Policy יכול להשבית את תכונות מגן המקשים הבאות במכשיר:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות לא מצונזרות
5.11.2. כדי להשבית את תכונות ההגנה על מפתחות הבאות בפרופיל העבודה, אפשר להשתמש במדיניות:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12 ניהול מתקדם של תכונת מגן המקלדת
- מצלמה מאובטחת
- כל ההתראות
- לא מצונזרת
- סביבות מהימנות
- ביטול הנעילה בטביעת אצבע
- כל תכונות מגן המקשים
5.13. ניקוי באגים מרחוק
Android Management API לא תומך כרגע בתכונה הזו.
5.14. אחזור כתובת MAC
ספקי EMM יכולים לשלוף באופן שקט את כתובת ה-MAC של המכשיר כדי לזהות מכשירים בחלקים אחרים של התשתית הארגונית (לדוגמה, בזמן זיהוי מכשירים לבקרת הגישה לרשת).
5.14.1. ה-EMM יכול לאחזר באופן שקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף ה-EMM.
5.15. ניהול מתקדם של מצב משימות הנעילה
עם מכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. מאשרים באופן שקט להתקין אפליקציה אחת ולנעול אותה במכשיר.
5.15.2. מפעילים או משביתים את התכונות הבאות בממשק המשתמש של המערכת:
- לחצן דף הבית
- סקירה כללית
- פעולות גלובליות
- התראות
- פרטי מערכת / שורת סטטוס
- מגן מקשים (מסך נעילה). התכונה הזאת מופעלת כברירת מחדל כשגרסה 5.15.1 מוטמעת.
5.15.3. משביתים את האפשרות תיבות דו-שיח של שגיאות מערכת.
5.16. מדיניות בנושא עדכוני מערכת מתקדמים
אדמינים ב-IT יכולים להגדיר תקופת הקפאה ספציפית לחסימה של עדכוני מערכת במכשיר.
5.16.1. המסוף של EMM צריך לאפשר לאדמינים ב-IT לחסום עדכוני מערכת בחיבור אלחוטי (OTA) למשך תקופת ההקפאה שצוינה.
5.17. ניהול שקיפות המדיניות של פרופיל העבודה
אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.
5.17.1. אדמינים ב-IT יכולים לספק טקסט מותאם אישית להצגה
(עוברים אל wipeReasonMessage) כשמוחקים פרופיל עבודה.
5.18. תמיכה באפליקציות מקושרות
אדמינים ב-IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר בין הגבולות של פרופיל העבודה על ידי הגדרה של ConnectedWorkAndPersonalApp.
5.19. עדכון מערכת ידני
Android Management API לא תומך בתכונה הזו.
6. הוצאה משימוש של אדמין מכשירים
6. הוצאה משימוש של אדמין מכשירים
ספקי EMM נדרשים לפרסם תוכנית עד סוף 2022, שתסתיים באדמין במכשירים במכשירי GMS, עד סוף הרבעון הראשון של 2023.