Na tej stronie znajdziesz pełny zestaw funkcji Androida Enterprise.
Jeśli chcesz zarządzać ponad 500 urządzeniami, Twoje rozwiązanie EMM musi obsługiwać wszystkie funkcje standardowe () co najmniej jednego zestawu, zanim zostanie udostępnione komercyjnie. Usługi EMM, które przechodzą standardową weryfikację funkcji, są wymienione w katalogu Enterprise Solutions na Androida jako zestawy standardowych funkcji zarządzania.
W przypadku każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Te funkcje są oznaczone na każdej stronie zestawu rozwiązań: profil służbowy, urządzenie w pełni zarządzane i urządzenie specjalne. Rozwiązania EMM, które przejdą weryfikację funkcji, są wymienione w katalogu rozwiązań Enterprise dla Androida jako zestaw zaawansowanych funkcji zarządzania.
Uwaga: korzystanie z interfejsu Android Management API podlega zasadom dopuszczalnego użytkowania.
Klucz
| funkcja standardowa | funkcja opcjonalna | Nie ma zastosowania: |
1. Obsługa administracyjna urządzeń
1.1. Udostępnianie profilu służbowego na potrzeby DPC
Po pobraniu Android Device Policy z Google Play użytkownicy mogą udostępnić profil służbowy.
1.1.1. EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, który umożliwia obsługę tej metody obsługi administracyjnej (przeczytaj artykuł o rejestrowaniu i udostępnianiu urządzeń).
1.2. Obsługa administracyjna urządzeń z identyfikatorem DPC
Wpisanie „afw#” w kreatorze konfiguracji urządzenia spowoduje udostępnienie urządzenia w pełni zarządzanego lub dedykowanego.
1.2.1. EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, który umożliwia obsługę tej metody obsługi administracyjnej (więcej informacji znajdziesz w artykule Rejestrowanie i udostępnianie urządzeń).
1.3. Obsługa administracyjna urządzeń NFC
Administratorzy IT mogą używać tagów NFC do obsługi nowych urządzeń lub urządzeń przywróconych do ustawień fabrycznych zgodnie ze wskazówkami dotyczącymi implementacji opisanymi w dokumentacji interfejsu Play EMM API dla deweloperów.
1.3.1. Dostawcy usług EMM muszą używać tagów forum NFC typu 2 z co najmniej 888 bajtami pamięci. Obsługa administracyjna musi używać dodatków, aby przekazywać do urządzenia niewrażliwe szczegóły rejestracji, takie jak identyfikatory serwera i rejestracje. Dane rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. W przypadku Androida 10 i nowszych zalecamy stosowanie tagów NFC ze względu na wycofanie funkcji NFC Beam (nazywanej też NFC „Bump”).
1.4 Obsługa administracyjna urządzeń z kodem QR
Konsola EMM może wygenerować kod QR, który administratorzy IT mogą zeskanować, aby udostępnić w pełni zarządzane lub dedykowane urządzenie zgodnie ze wskazówkami dotyczącymi implementacji określonymi w dokumentacji dla programistów Android Management API.
1.4.1. Kod QR musi używać dodatków do obsługi administracyjnej, aby przekazywać na urządzenie niepoufne szczegóły rejestracji (takie jak identyfikatory serwera czy identyfikatory rejestracji). Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie konfigurować urządzenia kupione od autoryzowanych sprzedawców i zarządzać nimi w konsoli EMM.
1.5.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch, opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Przy pierwszym włączeniu urządzenia zostają automatycznie wymuszone ustawienia określone przez administratora IT.
1.6. Zaawansowane udostępnianie rejestracji typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzeń za pomocą rejestracji typu zero-touch. W połączeniu z adresami URL logowania administratorzy IT mogą ograniczyć rejestrację do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez EMM.
1.6.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy przy użyciu metody rejestracji typu zero-touch.
1.6.2. To wymaganie zostało wycofane.
1.6.3. Za pomocą adresu URL logowania dostawca usług EMM musi uniemożliwić nieupoważnionym użytkownikom przeprowadzenie aktywacji. Należy ją ograniczyć do użytkowników w danej firmie.
1.6.4. Za pomocą adresu URL logowania usługi EMM muszą umożliwić administratorom IT wstępne wypełnianie szczegółów rejestracji (np. identyfikatorów serwera czy identyfikatorów rejestracji) oprócz unikalnych informacji o użytkowniku lub urządzeniu (np. nazwy użytkownika, hasła czy tokenu aktywacji), aby użytkownicy nie musieli podawać tych informacji podczas aktywacji urządzenia.
- Dostawcy usług EMM nie mogą uwzględniać w konfiguracji rejestracji typu zero-touch informacji poufnych, takich jak hasła czy certyfikaty.
1.7 Obsługa administracyjna profilu służbowego na koncie Google
Interfejs Android Management API nie obsługuje tej funkcji.
1.8 Obsługa administracyjna urządzeń na koncie Google
Interfejs Android Management API nie obsługuje tej funkcji.
1.9 Bezpośrednia konfiguracja rejestracji typu zero-touch
Administratorzy IT mogą w konsoli EMM skonfigurować urządzenia obsługujące rejestrację typu zero-touch za pomocą elementu iframe typu zero-touch.
1.10 Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy przez ustawienie AllowPersonalUsage.
1.10.1. Administratorzy IT mogą udostępnić urządzenie jako profil służbowy na urządzeniu należącym do firmy, używając kodu QR lub rejestracji typu zero-touch.
1.10.2. Administratorzy IT mogą konfigurować działania związane ze zgodnością z przepisami dotyczącymi profili służbowych na urządzeniach należących do firmy za pomocą zasad PersonalUsagePolicies.
1.10.3. Administratorzy IT mogą wyłączyć kamerę w profilu służbowym lub na całym urządzeniu za pomocą zasad PersonalUsagePolicies.
1.10.4. Administratorzy IT mogą wyłączyć zrzuty ekranu w profilu służbowym lub na całym urządzeniu za pomocą zasad PersonalUsagePolicies.
1.10.5. Administratorzy IT mogą ustawiać listy dozwolonych i zablokowanych aplikacji, które można instalować w profilu osobistym za pomocą PersonalApplicationPolicy, lub tych, których nie można instalować.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub czyszcząc całe urządzenie.
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczający logowanie na urządzeniu
Administratorzy IT mogą ustawić i egzekwować zabezpieczenia urządzenia (kod PIN, wzór lub hasło), wybierając jeden z 3 poziomów złożoności na zarządzanych urządzeniach.
2.1.1 Zasady muszą egzekwować ustawienia służące do zarządzania funkcjami zabezpieczającymi urządzenia (parentProfilePasswordRequirements w przypadku profilu służbowego, wymagania dotyczące hasła w przypadku w pełni zarządzanych i dedykowanych urządzeń).
2.1.2. Złożoność haseł powinna być zmapowana na następujące złożoność:
- PASSWORD_COMPLExitY_LOW – wzór lub kod PIN z powtarzającymi się (4444) lub zamówionymi (1234, 4321, 2468) sekwencjami.
- PASSWORD_COMPLExitY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, haseł alfabetycznych lub alfanumerycznych o długości co najmniej 4 znaków
- PASSWORD_COMPLEXY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji i o długości co najmniej 8 haseł lub haseł alfabetycznych i alfanumerycznych o długości co najmniej 6
2.1.3. Dodatkowe ograniczenia dotyczące haseł mogą być też wymuszane jako starsze ustawienia na urządzeniach należących do firmy.
2.2 Kontrola bezpieczeństwa w pracy
Administratorzy IT mogą ustawiać i egzekwować zabezpieczenia w przypadku aplikacji i danych w profilu służbowym, który jest odrębny i ma inne wymagania niż wersja 2.1 testu zabezpieczeń urządzenia.
2.2.1. Zasady muszą egzekwować test zabezpieczający logowanie w profilu służbowym.
- Domyślnie administratorzy IT powinni ustawiać ograniczenia dla profilu służbowego tylko wtedy, gdy nie określono zakresu
- Administratorzy IT mogą ustawić to urządzenie dla całego urządzenia, określając zakres (patrz wymaganie 2.1)
2.2.2. Złożoność haseł powinna być zmapowana na te wstępnie zdefiniowane złożoności haseł:
- PASSWORD_COMPLExitY_LOW – wzór lub kod PIN z powtarzającymi się (4444) lub zamówionymi (1234, 4321, 2468) sekwencjami.
- PASSWORD_COMPLExitY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, haseł alfabetycznych lub alfanumerycznych o długości co najmniej 4 znaków
- PASSWORD_COMPLEXY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji i o długości co najmniej 8 haseł lub haseł alfabetycznych i alfanumerycznych o długości co najmniej 6
2.2.3. Dodatkowe ograniczenia dotyczące haseł mogą być również wymuszane jako ustawienia starszego typu
2.3. Zaawansowane funkcje zarządzania hasłami
Administratorzy IT mogą konfigurować zaawansowane ustawienia haseł na urządzeniach.
2.3.1. [celowo pusta]
2.3.2. [celowo pusta]
2.3.3. Dla każdego ekranu blokady dostępnego na urządzeniu można skonfigurować następujące ustawienia cyklu życia hasła:
- [celowo pusta]
- [celowo pusta]
- Maksymalna liczba nieudanych haseł do wyczyszczenia: określa, ile razy użytkownicy mogą wpisać nieprawidłowe hasło, zanim dane firmowe zostaną wyczyszczone z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.3.4. (Android 8.0 i nowsze) Czas oczekiwania na silne uwierzytelnianie: po okresie oczekiwania ustawionym przez administratora IT musi zostać podane silne hasło uwierzytelniające (np. kod PIN lub hasło). Po upływie tego czasu niesilne metody uwierzytelniania (np. odcisk palca czy rozpoznawanie twarzy) są wyłączone, dopóki urządzenie nie zostanie odblokowane silnym hasłem.
2.4. Zarządzanie inteligentnymi zamkami
Administratorzy IT mogą określać, czy agenty zaufania w funkcji Smart Lock na Androidzie mogą przedłużyć odblokowywanie urządzenia do maksymalnie 4 godzin.
2.4.1. Administratorzy IT mogą wyłączyć agenty zaufania na urządzeniu.
2.5 Wymaż i zablokuj
Administratorzy IT mogą za pomocą konsoli EMM zdalnie blokować i usuwać dane służbowe na zarządzanych urządzeniach.
2.5.1. Urządzenia muszą być zablokowane za pomocą interfejsu Android Management API.
2.5.2. Wyczyść pamięć urządzeń przy użyciu interfejsu Android Management API.
2.6 Egzekwowanie zgodności
Jeśli urządzenie nie jest zgodne z zasadami zabezpieczeń, reguły zgodności wdrożone przez interfejs Android Management API automatycznie ograniczają użycie danych służbowych.
2.6.1. Zasady bezpieczeństwa egzekwowane na urządzeniu muszą zawierać co najmniej zasady dotyczące haseł.
2.7 Domyślne zasady zabezpieczeń
Usługi EMM muszą domyślnie egzekwować określone zasady zabezpieczeń na urządzeniach i nie muszą wymagać od administratorów IT konfigurowania ani dostosowywania żadnych ustawień w konsoli EMM. Zalecamy korzystanie z usług EMM (ale nie jest to wymagane), aby uniemożliwić administratorom IT zmianę domyślnego stanu tych funkcji zabezpieczeń.
2.7.1. Instalowanie aplikacji z nieznanych źródeł musi być zablokowane. Dotyczy to też aplikacji zainstalowanych po stronie osobistej na każdym urządzeniu z Androidem 8.0 lub nowszym z profilem służbowym. Ta funkcja podrzędna jest domyślnie obsługiwana.
2.7.2. Funkcje debugowania muszą być zablokowane. Ta funkcja podrzędna jest obsługiwana domyślnie.
2.8 Zasady zabezpieczeń dla dedykowanych urządzeń
Nie można podejmować żadnych innych działań na zablokowanym urządzeniu specjalnym.
2.8.1. Uruchamianie w trybie awaryjnym musi być domyślnie wyłączone za pomocą zasad (otwórz safeBootDisabled).
2.9 Zespół pomocy Play Integrity
Testy integralności Play są przeprowadzane domyślnie. Nie jest wymagana dodatkowa implementacja.
2.9.1. Celowo pusta.
2.9.2. Celowo pusta.
2.9.3. Administratorzy IT mogą konfigurować różne odpowiedzi dotyczące zasad w zależności od wartości parametru SecurityRisk na urządzeniu, w tym zablokować obsługę administracyjną, wyczyścić firmowe dane czy umożliwić kontynuację rejestracji.
- Usługa EMM będzie egzekwować tę odpowiedź związaną z zasadą w przypadku każdej kontroli integralności.
2.10 Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć Weryfikacja aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem pod kątem szkodliwego oprogramowania przed i po ich zainstalowaniu, co pozwala mieć pewność, że złośliwe aplikacje nie będą miały dostępu do firmowych danych.
2.10.1. Weryfikacja aplikacji musi być domyślnie włączona za pomocą zasad (otwórz ensureVerifyAppsEnabled).
2.11 Obsługa bezpośredniego rozruchu
Interfejs Android Management API domyślnie obsługuje tę funkcję. Nie jest wymagana dodatkowa implementacja.
2.12 Zarządzanie zabezpieczeniami sprzętu
Administratorzy IT mogą blokować elementy sprzętu należącego do firmy, aby zapobiec utracie danych.
2.12.1. Administratorzy IT mogą zablokować użytkownikom możliwość podłączania fizycznych nośników zewnętrznych przy użyciu zasad (otwórz stronę mountPhysicalMediaDisabled).
2.12.2. Administratorzy IT mogą zablokować użytkownikom możliwość udostępniania danych z urządzenia za pomocą zbliżeniowo komunikacji NFC
w ramach zasad
(przejdź do outgoingBeamDisabled). Ta podrzędna funkcja jest opcjonalna, ponieważ funkcja zbliżeniowa NFC
nie jest już obsługiwana w Androidzie 10 i nowszych.
2.12.3. Administratorzy IT mogą zablokować użytkownikom możliwość przesyłania plików przez USB przy użyciu zasad (otwórz stronę usbFileTransferDisabled).
2.13 Logowanie zabezpieczeń firmy
Interfejs Android Management API nie obsługuje obecnie tej funkcji.
3. Zarządzanie kontem i aplikacjami
3.1. Rejestrowanie grupy kont zarządzanego Sklepu Google Play
Administratorzy IT mogą utworzyć grupę kont zarządzanego Sklepu Google Play, czyli jednostkę, która umożliwia zarządzany Sklep Google Play rozpowszechnianie aplikacji na urządzeniach. Z konsolą EMM trzeba zintegrować te etapy rejestracji:
3.1.1. Zarejestruj grupę kont zarządzanego Sklepu Google Play za pomocą interfejsu Android Management API.
3.2. Obsługa administracyjna zarządzanych kont Google Play
Usługi EMM mogą dyskretnie udostępniać firmowe konta użytkowników (tzw. zarządzane konta Google Play). Te konta identyfikują użytkowników zarządzanych i dopuszczają unikalne reguły dystrybucji aplikacji dla poszczególnych użytkowników.
3.2.1. Konta użytkowników w zarządzanym Sklepie Google Play są tworzone automatycznie przy obsłudze administracyjnej urządzeń.
Interfejs Android Management API domyślnie obsługuje tę funkcję. Nie jest wymagana dodatkowa implementacja.
3.3. Obsługa administracyjna kont urządzeń w zarządzanym Sklepie Google Play
Dostawca usług EMM może tworzyć i udostępniać konta urządzeń zarządzanych z Google Play. Konta urządzeń umożliwiają dyskretne instalowanie aplikacji z zarządzanego Sklepu Google Play i nie są powiązane z pojedynczym użytkownikiem. Zamiast tego konto urządzenia służy do identyfikowania pojedynczego urządzenia do obsługi reguł dystrybucji aplikacji dla tego urządzenia w różnych sytuacjach.
3.3.1. Konta w zarządzanym Sklepie Google Play są tworzone automatycznie podczas obsługi administracyjnej urządzeń.
Interfejs Android Management API domyślnie obsługuje tę funkcję. Nie jest wymagana dodatkowa implementacja.
3.4. Obsługa administracyjna zarządzanych kont Google Play na starszych urządzeniach
Ta funkcja została wycofana.
3.5. Rozpowszechnianie aplikacji w tle
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach bez udziału użytkownika.
3.5.1. Konsola EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT instalowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.2. Konsola EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.3. Konsola EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT odinstalowanie aplikacji z urządzeń zarządzanych.
3.6. Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i dyskretnie ustawiać konfiguracje zarządzane w przypadku każdej aplikacji, która obsługuje konfiguracje zarządzane.
3.6.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej dowolnej aplikacji Google Play.
3.6.2. Konsola EMM musi pozwalać administratorom IT na ustawianie dowolnego typu konfiguracji (zgodnie z definicją w ramach platformy Android Enterprise) dla dowolnej aplikacji w Google Play przy użyciu Android Management API.
3.6.3. Konsola EMM musi pozwalać administratorom IT na ustawianie symboli wieloznacznych (np. $username$ lub %emailAddress%), aby pojedynczą konfigurację aplikacji, taką jak Gmail, można zastosować do wielu użytkowników.
3.7 Zarządzanie katalogiem aplikacji
Interfejs Android Management API domyślnie obsługuje tę funkcję. Nie jest wymagana dodatkowa implementacja.
3.8 Automatyczne zatwierdzanie aplikacji
Konsola EMM korzysta z elementu iframe zarządzanego Sklepu Google Play do obsługi funkcji Google Play dotyczących wykrywania i zatwierdzania aplikacji. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać aplikacje i zatwierdzać nowe uprawnienia aplikacji bez opuszczania konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać i zatwierdzać aplikacje w konsoli EMM, korzystając z elementu iframe zarządzanego Sklepu Google Play.
3.9 Podstawowe funkcje zarządzania układem sklepu
Za pomocą zarządzanego Sklepu Google Play możesz instalować i aktualizować aplikacje służbowe. Domyślnie w zarządzanym Sklepie Google Play aplikacje zatwierdzone dla danego użytkownika są wyświetlane na jednej liście. Ten układ jest nazywany podstawowym układem sklepu.
3.9.1. Konsola EMM powinna umożliwiać administratorom IT zarządzanie aplikacjami widocznymi w podstawowym układzie sklepu użytkownika.
3.10 Zaawansowana konfiguracja układu sklepu
3.10.1. Administratorzy IT mogą dostosowywać układ sklepu widoczny w aplikacji zarządzanego Sklepu Google Play.
3.11 Zarządzanie licencjami na aplikację
Ta funkcja została wycofana.
3.12 Zarządzanie aplikacjami prywatnymi hostowanymi przez Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM, a nie w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które zostały już opublikowane prywatnie w firmie, przy użyciu:
3.13 Zarządzanie własnymi aplikacjami prywatnymi
Administratorzy IT mogą konfigurować i publikować własne aplikacje prywatne. W przeciwieństwie do aplikacji prywatnych hostowanych przez Google Google Play nie przechowuje plików APK. Zamiast tego EMM pomaga administratorom IT samodzielnie hostować pakiety APK i chroni aplikacje własne, ponieważ umożliwia ich instalowanie tylko po autoryzacji w zarządzanym Sklepie Google Play.
3.13.1. Konsola EMM musi pomagać administratorom IT w hostowaniu pakietu APK aplikacji, udostępniając obie te opcje:
- Umieszczenie pakietu APK na serwerze EMM. Serwer może być lokalny lub działający w chmurze.
- Hostowanie pakietu APK poza serwerem EMM według uznania firmy. Administrator IT musi określić w konsoli EMM, gdzie jest hostowany plik APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji pakietu APK przy użyciu dostarczonego pliku APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować własne aplikacje prywatne, a konsola EMM może dyskretnie publikować zaktualizowane pliki definicji pakietu APK przy użyciu interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje żądania pobrania hostowanego przez siebie pliku APK, który zawiera prawidłowy token JWT w pliku cookie żądania zweryfikowanym za pomocą klucza publicznego aplikacji prywatnej.
- Aby usprawnić ten proces, serwer EMM musi poprosić administratorów IT o pobranie klucza publicznego licencji Twojej aplikacji hostowanej z konsoli Google Play i przesłanie tego klucza do konsoli EMM.
3.14 Powiadomienia push w usługach EMM
Ta funkcja nie ma zastosowania w przypadku interfejsu Android Management API. Zamiast tego skonfiguruj powiadomienia Pub/Sub.
3.15 Wymagania dotyczące używania interfejsu API
Usługi EMM wdrażają interfejsy Android Management API na dużą skalę, co pozwala uniknąć wzorców ruchu, które mogłyby negatywnie wpływać na możliwość zarządzania aplikacjami w środowiskach produkcyjnych firm.
3.15.1. Dostawca usług EMM musi przestrzegać limitów wykorzystania Android Management API. Jeśli nie poprawisz sposobu działania, które będzie niezgodne z wytycznymi, Google może według własnego uznania zawiesić korzystanie z interfejsu API.
3.15.2. Usługi EMM powinny rozprowadzać ruch z różnych firm w ciągu dnia, a nie konsolidować ruch przedsiębiorstwa o określonych lub podobnych porach. Zachowanie pasujące do tego wzorca ruchu, takie jak zaplanowane operacje zbiorcze dla każdego zarejestrowanego urządzenia, może spowodować zawieszenie korzystania z interfejsu API, według własnego uznania Google.
3.15.3. Dostawca usług EMM nie może wysyłać spójnych, niepełnych ani celowo niepoprawnych żądań, które nie powodują próby pobrania rzeczywistych danych firmy ani zarządzania nimi. Zachowanie pasujące do tego wzorca ruchu może, według własnego uznania Google, spowodować zawieszenie możliwości korzystania z interfejsu API.
3.16 Zaawansowane funkcje zarządzania konfiguracją zarządzaną
Usługi EMM obsługują te zaawansowane funkcje zarządzania konfiguracją zarządzaną:
3.16.1. Konsola EMM musi być w stanie pobierać i wyświetlać maksymalnie 4 poziomy zagnieżdżonych ustawień zarządzanej konfiguracji dowolnej aplikacji Google Play:
- element iframe zarządzanego Sklepu Google Play,
- niestandardowy interfejs użytkownika.
3.16.2. Gdy administrator IT skonfiguruje usługę EMM, konsola EMM musi mieć możliwość pobierania i wyświetlania wszystkich opinii zwróconych przez kanał opinii o aplikacji.
- Konsola EMM musi pozwalać administratorom IT na powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z którego on pochodzi.
- Konsola EMM musi pozwalać administratorom IT na subskrybowanie alertów lub raportów dotyczących określonych typów komunikatów (np. komunikatów o błędach).
3.16.3. Konsola EMM może wysyłać tylko wartości, które mają wartość domyślną lub są ustawiane ręcznie przez administratora przy użyciu:
- element iframe konfiguracji zarządzanych;
- Niestandardowy interfejs użytkownika.
3.17 Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i rozpowszechniać aplikacje internetowe w konsoli EMM.
3.17.1. Konsola EMM umożliwia administratorom IT rozpowszechnianie skrótów do aplikacji internetowych przy użyciu:
3.18 Zarządzanie cyklem życia zarządzanego konta Google Play
Usługi EMM mogą tworzyć, aktualizować i usuwać konta zarządzanego Sklepu Google Play w imieniu administratorów IT oraz automatycznie przywracać konta po wygaśnięciu konta.
Ta funkcja jest domyślnie obsługiwana. Nie jest wymagana dodatkowa implementacja usług EMM.
3.19 Zarządzanie ścieżkami aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera dla konkretnej aplikacji.
3.19.2. Administratorzy IT mogą skonfigurować urządzenia tak, aby korzystały z określonej ścieżki programistycznej na potrzeby aplikacji.
3.20 Zaawansowane zarządzanie aktualizacjami aplikacji
Administratorzy IT mogą zezwolić na natychmiastowe aktualizowanie aplikacji lub przełożyć ich aktualizację o 90 dni.
3.20.1. Administratorzy IT mogą zezwolić na używanie przez aplikacje aktualizacji aplikacji o wysokim priorytecie, gdy aktualizacja jest gotowa. 3.20.2. Administratorzy IT mogą zezwolić na odkładanie aktualizacji aplikacji o 90 dni.
3.21 Zarządzanie metodami obsługi administracyjnej
Usługi EMM mogą generować konfiguracje obsługi administracyjnej i prezentować je administratorowi IT w postaci gotowej do udostępnienia użytkownikom (np. kodu QR, konfiguracji typu zero-touch czy adresu URL w Sklepie Play).
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami uprawnień środowiska wykonawczego
Administratorzy IT mogą dyskretnie ustawić odpowiedź domyślną na prośby o przyznanie uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Podczas ustawiania domyślnych zasad dotyczących uprawnień czasu działania w swojej organizacji administratorzy IT muszą mieć możliwość wyboru jednej z tych opcji:
- prompt (pozwala użytkownikom wybrać)
- allow
- odmów
Usługi EMM powinny egzekwować te ustawienia za pomocą zasad.
4.2. Zarządzanie stanem przyznania uprawnień środowiska wykonawczego
Po ustawieniu domyślnej zasady uprawnień czasu działania (przejdź do wersji 4.1) Administratorzy IT mogą dyskretnie ustawiać odpowiedzi dla określonych uprawnień w dowolnej aplikacji służbowej opartej na interfejsie API w wersji 23 lub nowszej.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu uwierzytelnienia (domyślny, przyznawania lub odmowy) wszystkich uprawnień, których żąda dowolna aplikacja do pracy oparta na interfejsie API 23 lub nowszym. Usługi EMM powinny egzekwować te ustawienia za pomocą zasad.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą dyskretnie udostępniać firmowe konfiguracje Wi-Fi na urządzeniach zarządzanych, w tym:
4.3.1. identyfikatora SSID przez zasady,
4.3.2. Hasło: poprzez zasady.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać firmowe konfiguracje Wi-Fi na urządzeniach wyposażonych w te zaawansowane funkcje zabezpieczeń:
4.4.1. Tożsamość
4.4.2. Certyfikaty do autoryzacji klienta
4.4.3. Certyfikaty CA
4.5 Zaawansowane funkcje zarządzania Wi-Fi
Administratorzy IT mogą blokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą blokować firmowe konfiguracje Wi-Fi za pomocą zasad w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnianych przez dostawcę usług EMM (przejdź na stronę
wifiConfigsLockdownEnabled), ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkowników (na przykład sieci osobiste). - Użytkownicy nie mogą dodawać ani modyfikować żadnej sieci Wi-Fi na urządzeniu (otwórz stronę
wifiConfigDisabled). Łączność Wi-Fi zostanie ograniczona tylko do sieci obsługiwanych przez dostawcę usług EMM.
4.6 Zarządzanie kontem
Administratorzy IT mogą sprawić, że tylko autoryzowane firmowe konta będą miały dostęp do firmowych danych, takich jak SaaS, aplikacje zwiększające produktywność czy poczta e-mail. Bez tej funkcji użytkownicy mogą dodawać konta osobiste do tych aplikacji firmowych, które obsługują również konta dla klientów indywidualnych, co pozwala im udostępniać firmowe dane tym kontom.
4.6.1. Administratorzy IT mogą uniemożliwić użytkownikom dodawanie i modyfikowanie kont (patrz modifyAccountsDisabled).
- Gdy egzekwujesz tę zasadę na urządzeniu, dostawcy usług EMM muszą ustawić to ograniczenie przed ukończeniem obsługi administracyjnej, aby użytkownicy nie mogli obejść tej zasady przez dodanie kont przed wprowadzeniem zasady.
4.7 Zarządzanie kontem Workspace
Interfejs Android Management API nie obsługuje tej funkcji.
4.8 Zarządzanie certyfikatami
Umożliwia administratorom IT wdrażanie certyfikatów tożsamości i urzędów certyfikacji na urządzeniach w celu korzystania z zasobów firmowych.
4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkowników wygenerowane przez ich klucz publiczny dla poszczególnych użytkowników. Konsola EMM musi być zintegrowana z co najmniej jedną infrastrukturą klucza publicznego i rozpowszechniać certyfikaty wygenerowane z tej infrastruktury.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji (patrz caCerts) w zarządzanym magazynie kluczy. Ta podfunkcja nie jest jednak obecnie obsługiwana.
4.9 Zaawansowane funkcje zarządzania certyfikatami
Umożliwia administratorom IT dyskretne wybieranie certyfikatów, których powinny używać określone aplikacje zarządzane. Dzięki tej funkcji administratorzy IT mogą też usuwać certyfikaty tożsamości i urzędy certyfikacji z aktywnych urządzeń oraz uniemożliwić użytkownikom modyfikowanie danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzenia administratorzy IT mogą określić certyfikat – aplikacja otrzyma dyskretny dostęp w czasie działania. (Ta podfunkcja nie jest obecnie obsługiwana)
- Wybór certyfikatu musi być na tyle ogólny, aby umożliwić zastosowanie pojedynczej konfiguracji mającej zastosowanie do wszystkich użytkowników, z których każdy może mieć certyfikat tożsamości konkretnego użytkownika.
4.9.2. Administratorzy IT mogą dyskretnie usuwać certyfikaty z zarządzanego magazynu kluczy.
4.9.3. Administratorzy IT mogą dyskretnie odinstalować certyfikat CA. (Ta podfunkcja nie jest obecnie obsługiwana)
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie danych logowania (otwórz stronę credentialsConfigDisabled) w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą wstępnie przyznawać certyfikaty dla aplikacji służbowych za pomocą funkcji ChoosePrivateKeyRule.
4.10 Zarządzanie delegowanymi certyfikatami
Administratorzy IT mogą rozpowszechniać na urządzeniach zewnętrzne aplikacje do zarządzania certyfikatami i przyznawać im uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT mogą określić pakiet zarządzania certyfikatami (przejdź do sekcji delegatedCertInstallerPackage), który zostanie ustawiony jako aplikacja do zarządzania delegowanymi certyfikatami.
- Dostawcy usług EMM mogą opcjonalnie proponować znane pakiety do zarządzania certyfikatami, ale muszą zezwolić administratorowi IT na wybranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.11 Zaawansowane funkcje zarządzania siecią VPN
Pozwala administratorom IT określić stały VPN, aby zapewnić, że dane z określonych aplikacji zarządzanych są zawsze przekazywane przez skonfigurowaną wirtualną sieć prywatną (VPN).
4.11.1. Administratorzy IT mogą określić dowolny pakiet VPN, który ma być ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie proponować znane pakiety VPN, które obsługują stały VPN, ale nie może ograniczać dostępu do sieci VPN dostępnych w przypadku takiej konfiguracji do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych do określania ustawień VPN dla aplikacji.
4.12 Zarządzanie IME
Administratorzy IT mogą zarządzać metodami wprowadzania (IME) na urządzeniach. Ponieważ edytor IME jest współużytkowany przez profile służbowe i osobiste, zablokowanie dostępu do nich uniemożliwi użytkownikom zezwalanie na korzystanie z nich również do użytku osobistego. Administratorzy IT mogą jednak nie blokować używania systemowych IME w profilach służbowych (więcej informacji znajdziesz w zaawansowanym zarządzaniu IME).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (otwórz permitted_input_methods) o dowolnej długości (w tym pustą listę, która blokuje edytory IME spoza systemu), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie zasugerować znane lub zalecane edytory do dodania do listy dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.12.2. Dostawca usług EMM musi poinformować administratorów IT, że edytory IME systemu są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13 Zaawansowane funkcje zarządzania edytorem IME
Administratorzy IT mogą zarządzać metodami wprowadzania (IME), które użytkownicy mogą konfigurować na urządzeniu. Zaawansowane funkcje zarządzania edytorami IME rozszerzają podstawowe funkcje, umożliwiając administratorom IT zarządzanie korzystaniem z edytorów IME systemu, czyli od producenta lub operatora urządzenia.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (otwórz permitted_input_methods) o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie IME, w tym systemowe edytory), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie zasugerować znane lub zalecane edytory do dodania do listy dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.13.2. Usługi EMM muszą uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie blokuje konfigurowanie na urządzeniu wszystkich IME, w tym systemowych IME.
4.13.3. Jeśli lista dozwolonych IME nie zawiera systemowych IME, zewnętrzne IME są instalowane dyskretnie przed zastosowaniem ich do listy dozwolonych na urządzeniu.
4.14 Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, jakie usługi ułatwień dostępu mogą być dozwolone na urządzeniach przez użytkowników. Usługi ułatwień dostępu to zaawansowane narzędzia dla użytkowników z niepełnosprawnościami lub osób, które tymczasowo nie mogą w pełni korzystać z urządzenia. Mogą jednak wchodzić w interakcje z danymi firm w sposób niezgodny z zasadami firmy. Ta funkcja pozwala administratorom IT na wyłączanie wszystkich usług ułatwień dostępu niesystemowych.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu (otwórz permittedAccessibilityServices) o dowolnej długości (w tym pustą listę, która blokuje usługi ułatwień dostępu niesystemowe), która może zawierać dowolne pakiety usług ułatwień dostępu. Jeśli zastosujesz konfigurację do profilu służbowego, będzie to miało wpływ zarówno na profil osobisty, jak i służbowy.
- Konsola może opcjonalnie zaproponować dodanie znanych lub zalecanych usług ułatwień dostępu do listy dozwolonych, ale musi umożliwić administratorowi IT wybór aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
4.15 Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom w profilu służbowym. Możesz też skonfigurować lokalizację w profilu służbowym w Ustawieniach.
4.15.1. Administratorzy IT mogą wyłączyć usługi lokalizacyjne (kliknij shareLocationDisabled) w profilu służbowym.
4.16 Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą egzekwować określone ustawienie udostępniania lokalizacji na urządzeniu zarządzanym. Dzięki tej funkcji aplikacje firmowe zawsze mają wysoką dokładność danych o lokalizacji. Ta funkcja może też ograniczyć wykorzystanie dodatkowej baterii, ograniczając ustawienia lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacji urządzenia na każdy z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, bez uwzględniania lokalizacji podawanej przez sieć.
- oszczędzanie baterii, które ogranicza częstotliwość aktualizacji;
- Wyłączone.
4.17 Zarządzanie ochroną przed przywróceniem do ustawień fabrycznych
Umożliwia administratorom IT ochronę urządzeń należących do firmy przed kradzieżą przez uniemożliwienie nieupoważnionym użytkownikom przywrócenia urządzeń do ustawień fabrycznych. Jeśli ochrona przed przywróceniem do ustawień fabrycznych po zwróceniu urządzenia do działu IT utrudnia obsługę urządzenia, administratorzy IT mogą całkowicie wyłączyć tę ochronę.
4.17.1. Administratorzy IT mogą uniemożliwić użytkownikom przywracanie ustawień fabrycznych
(kliknij factoryResetDisabled) w Ustawieniach.
4.17.2. Administratorzy IT mogą określić konta umożliwiające odblokowanie firm, które mają uprawnienia do obsługi administracyjnej urządzeń (wejdź na stronę frpAdminEmails) po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z konkretną osobą lub może być używane przez całą firmę do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przywracania ustawień fabrycznych
(przejdź do 0 factoryResetDisabled) na określonych urządzeniach.
4.17.4. Administratorzy IT mogą rozpocząć zdalne czyszczenie pamięci urządzenia, aby opcjonalnie wyczyścić dane związane z ochroną przywracania, usuwając w ten sposób ochronę przed zresetowaniem do ustawień fabrycznych.
4.18 Zaawansowane sterowanie aplikacjami
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowywanie zarządzanych aplikacji lub modyfikowanie ich w inny sposób w Ustawieniach. Zapobiega to na przykład wymuszaniu zamknięcia aplikacji lub wyczyszczeniu pamięci podręcznej aplikacji.
4.18.1. Administratorzy IT mogą zablokować odinstalowanie dowolnych aplikacji zarządzanych lub wszystkich aplikacji zarządzanych (kliknij uninstallAppsDisabled).
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w Ustawieniach. (Interfejs Android Management API nie obsługuje tej podfunkcji)
4.19 Zarządzanie zrzutami ekranu
Administratorzy IT mogą blokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z aplikacji zarządzanych. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (np. Asystenta Google), które korzystają z systemowych funkcji robienia zrzutów ekranu.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu (kliknij screenCaptureDisabled).
4.20 Wyłączanie aparatów
Administratorzy IT mogą wyłączyć możliwość korzystania z kamer urządzenia przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć korzystanie z kamer urządzeń (otwórz stronę cameraDisabled) przez aplikacje zarządzane.
4.21 Zbieranie statystyk sieci
Interfejs Android Management API nie obsługuje obecnie tej funkcji.
4.22 Zbieranie zaawansowanych statystyk sieci
Interfejs Android Management API nie obsługuje obecnie tej funkcji.
4.23 Uruchom urządzenie ponownie
Administratorzy IT mogą zdalnie ponownie uruchamiać zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie restartować zarządzane urządzenia.
4.24 Zarządzanie systemem radiowym
Zapewnia administratorom IT szczegółowe zarządzanie za pomocą funkcji radiowych systemu i powiązanych zasad użytkowania dzięki zasadom.
4.24.1. Administratorzy IT mogą wyłączyć komunikaty z sieci komórkowej wysyłane przez dostawców usług (kliknij cellBroadcastsConfigDisabled).
4.24.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach (kliknij mobileNetworksConfigDisabled).
4.24.3. Administratorzy IT mogą uniemożliwić użytkownikom resetowanie wszystkich ustawień sieci w Ustawieniach. (przejdź do networkResetDisabled).
4.24.4. Administratorzy IT mogą określić, czy urządzenie zezwala na mobilną transmisję danych w roamingu (kliknij dataRoamingDisabled).
4.24.5. Administratorzy IT mogą określić, czy urządzenie może nawiązywać wychodzące połączenia telefoniczne (z wyjątkiem połączeń alarmowych (kliknij outGoingCallsDisabled).
4.24.6. Administratorzy IT mogą określić, czy urządzenie może wysyłać i odbierać SMS-y (kliknij smsDisabled).
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z urządzenia jako mobilnego hotspotu przez tethering (przejdź do sekcji tetheringConfigDisabled).
4.24.8. Administratorzy IT mogą ustawić domyślny limit czasu Wi-Fi, gdy urządzenie jest podłączone do zasilania lub nigdy. (Interfejs Android Management API nie obsługuje tej podfunkcji)
4.24.9. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie i modyfikowanie istniejących połączeń Bluetooth (kliknij bluetoothConfigDisabled).
4.25 Systemowe zarządzanie dźwiękiem
Administratorzy IT mogą cicho sterować funkcjami dźwięku urządzenia, w tym wyciszać urządzenie, blokować użytkownikom możliwość modyfikowania ustawień głośności i uniemożliwiać użytkownikom wyłączenie wyciszenia mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą dyskretnie wyciszać zarządzane urządzenia. (Interfejs Android Management API nie obsługuje tej podfunkcji)
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia (otwórz adjustVolumeDisabled). Spowoduje to też wyciszenie urządzeń.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyłączenie wyciszenia mikrofonu urządzenia (otwórz unmuteMicrophoneDisabled).
4.26. Systemowe zarządzanie zegarem
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej na urządzeniu oraz uniemożliwić użytkownikom zmienianie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą wymuszać stosowanie automatycznego ustawiania czasu i automatycznej strefy czasowej w systemie, uniemożliwiając użytkownikowi ustawienie daty, godziny i strefy czasowej urządzenia.
4.27. Zaawansowane funkcje urządzeń specjalnych
W przypadku urządzeń specjalnych administratorzy IT mogą zarządzać wymienionymi poniżej funkcjami za pomocą zasad, aby obsługiwać różne przypadki użycia kiosku.
4.27.1. Administratorzy IT mogą wyłączyć blokadę klawiszy urządzenia (kliknij keyguardDisabled).
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokować powiadomienia i szybkie ustawienia (otwórz statusBarDisabled).
4.27.3. Administratorzy IT mogą wymusić pozostawienie ekranu włączonego urządzenia, gdy jest ono podłączone do zasilania (otwórz stayOnPluggedModes).
4.27.4. Administratorzy IT mogą zablokować wyświetlanie tych interfejsów systemu (otwórz createWindowsDisabled):
- Tosty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na to, aby rekomendacja systemowa dotycząca aplikacji pomijała samouczek użytkownika i inne wskazówki wprowadzające przy pierwszym uruchomieniu (kliknij skip_first_use_hints).
4.28 Zarządzanie zakresem przekazanym
Administratorzy IT mogą przekazywać dodatkowe uprawnienia do poszczególnych pakietów.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalacja certyfikatów i zarządzanie nimi
- Zarządzanie konfiguracjami zarządzanymi
- Rejestrowanie sieciowe
- Logowanie zabezpieczeń
4.29 Obsługa identyfikatora właściwa dla rejestracji
Od Androida 12 profile służbowe nie będą już miały dostępu do identyfikatorów sprzętowych. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym za pomocą identyfikatora rejestracji, który zostanie zachowany po przywróceniu ustawień fabrycznych.
4.29.1. Administratorzy IT mogą uzyskać identyfikator właściwy dla rejestracji
4.29.2. Ten identyfikator powiązany z rejestracją musi zostać zachowany po przywróceniu ustawień fabrycznych
5. Wykorzystanie urządzenia
5.1. Dostosowywanie obsługi administracyjnej
Administratorzy IT mogą zmienić domyślny UX procesu konfiguracji, aby uwzględnić funkcje przeznaczone dla firm. Opcjonalnie administratorzy IT mogą wyświetlać podczas obsługi administracyjnej marki udostępnione przez usługi EMM.
5.1.1. Administratorzy IT mogą dostosować proces obsługi administracyjnej, określając warunki korzystania z usługi odpowiednie dla firm i inne wyłączenia odpowiedzialności (kliknij termsAndConditions).
5.1.2. Administratorzy IT mogą deploy niekonfigurowalne warunki korzystania z usług EMM oraz inne wyłączenia odpowiedzialności (kliknij termsAndConditions).
- Dostawcy usług EMM mogą ustawić swoje niekonfigurowalne, specyficzne dla usług EMM ustawienia jako domyślne dla wdrożeń, ale muszą umożliwić administratorom IT wprowadzanie własnych ustawień.
Wersja 5.1.3 primaryColor została wycofana w przypadku zasobów firmowych w Androidzie 10 i nowszych.
5.2. Dostosowywanie dla firm
Interfejs Android Management API nie obsługuje tej funkcji.
5.3. Zaawansowane opcje dostosowywania dla firm
Interfejs Android Management API nie obsługuje tej funkcji.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który będzie zawsze wyświetlany na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia.
5.4.1. Administratorzy IT mogą ustawić niestandardową wiadomość na ekranie blokady (otwórz stronę deviceOwnerLockScreenInfo).
5.5 Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosować tekst pomocy wyświetlany użytkownikom, gdy próbują zmienić ustawienia zarządzane na urządzeniu lub wdrożyć ogólny komunikat pomocy dostarczony przez dostawcę usług EMM. Można dostosowywać zarówno krótkie, jak i długie komunikaty pomocy. Są one wyświetlane w przypadkach takich jak próba odinstalowania aplikacji zarządzanej, której administrator IT zablokował już jej odinstalowanie.
5.5.1. Administratorzy IT mogą dostosowywać krótkie i długie wiadomości dla użytkowników.
5.5.2. Administratorzy IT mogą wdrażać niekonfigurowalne, dotyczące usług EMM, krótkie i długie wiadomości do zespołu pomocy (przejdź do shortSupportMessage i longSupportMessage w policies).
- Usługi EMM mogą ustawić jako domyślne niekonfigurowalne wiadomości pomocy związane z usługami EMM, ale muszą zezwolić administratorom IT na konfigurowanie własnych wiadomości.
5.6 Zarządzanie kontaktami na różnych profilach
5.6.1. Administratorzy IT mogą wyłączyć wyświetlanie kontaktów służbowych w profilu osobistym w wynikach wyszukiwania kontaktów i połączeniach przychodzących.
5.6.2. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth kontaktów służbowych, na przykład rozmowy bez użycia rąk w samochodach lub zestawach słuchawkowych.
5.7 Zarządzanie danymi na różnych profilach
Umożliwia administratorom IT zarządzanie typami danych, które można udostępniać między profilami służbowymi i osobistymi. Dzięki temu mogą zachować równowagę między użytecznością a bezpieczeństwem danych zgodnie z potrzebami.
5.7.1. Administratorzy IT mogą skonfigurować zasady udostępniania danych między profilami tak, aby aplikacje osobiste mogły rozwiązywać intencje z profilu służbowego, takie jak zamiary udostępniania czy linki internetowe.
5.7.2. Administratorzy IT mogą zezwolić aplikacjom z profilu służbowego na tworzenie i wyświetlanie widżetów na ekranie głównym profilu osobistego. Ta funkcja jest domyślnie wyłączona, ale można ją włączyć za pomocą pól workProfileWidgets i workProfileWidgetsDefault.
5.7.3. Administratorzy IT mogą kontrolować możliwość kopiowania i wklejania danych między profilem służbowym a osobistym.
5.8 Zasady dotyczące aktualizacji systemu
Administratorzy IT mogą konfigurować i stosować bezprzewodowe urządzenia z aktualizacjami systemu.
5.8.1. Konsola EMM umożliwia administratorom IT ustawienie tych konfiguracji internetowych aktualizacji:
- Automatycznie: urządzenia otrzymują aktualizacje OTA, gdy staną się dostępne.
- Odłóż: administratorzy IT muszą mieć możliwość odroczenia aktualizacji OTA o maksymalnie 30 dni. Ta zasada nie ma wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okno: administratorzy IT muszą mieć możliwość planowania aktualizacji OTA w ciągu codziennego okresu konserwacji.
5.8.2. Konfiguracje internetowych funkcji OTA są stosowane do urządzeń za pomocą zasad.
5.9 Zablokuj zarządzanie trybem zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie, uniemożliwiając użytkownikom ich zamknięcie.
5.9.1. Konsola EMM umożliwia administratorom IT dyskretne zezwalanie na instalację i blokowanie dowolnego zestawu aplikacji na urządzeniu. Zasady umożliwiają konfigurowanie dedykowanych urządzeń.
5.10 Trwałe zarządzanie preferowanymi działaniami
Pozwala administratorom IT ustawić aplikację jako domyślny moduł obsługi intencji pasujących do określonego filtra intencji. Dzięki tej funkcji administratorzy IT mogą na przykład wybrać, która przeglądarka automatycznie otwiera linki internetowe. Ta funkcja może określać, która aplikacja uruchamiająca ma być używana po kliknięciu przycisku ekranu głównego.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji w przypadku dowolnego filtra intencji.
- Konsola EMM może opcjonalnie proponować znane lub zalecane intencje konfiguracji, ale nie może ograniczać intencji do dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
5.11 Zarządzanie funkcjami zabezpieczającymi
Administratorzy IT mogą zarządzać funkcjami dostępnymi dla użytkowników przed odblokowaniem blokady urządzenia (ekranu blokady) i blokady klawiszy wyzwania służbowego (ekranu blokady).
5.11.1.Zasady mogą wyłączyć te funkcje blokady urządzenia:
- agenty zaufania
- odblokowywanie odciskiem palca
- niezredagowane powiadomienia
5.11.2. Te funkcje zabezpieczające dostępne w profilu służbowym można wyłączyć przy użyciu zasad:
- agenty zaufania
- odblokowywanie odciskiem palca
5.12 Zaawansowane funkcje zarządzania kluczami
- Kamera zabezpieczona
- Wszystkie powiadomienia
- Niezmienione
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje blokady klawiatury
5.13 Debugowanie zdalne
Interfejs Android Management API nie obsługuje obecnie tej funkcji.
5.14 Pobranie adresu MAC
Usługi EMM mogą dyskretnie pobierać adres MAC urządzenia, aby używać go do identyfikowania urządzeń w innych częściach infrastruktury biznesowej (na przykład przy identyfikowaniu urządzeń na potrzeby kontroli dostępu do sieci).
5.14.1. Usługi EMM mogą cicho pobrać adres MAC urządzenia i powiązać go z urządzeniem w konsoli EMM.
5.15 Zaawansowane zarządzanie trybem zadań blokowania
Za pomocą dedykowanego urządzenia administratorzy IT mogą używać konsoli EMM do wykonywania tych czynności:
5.15.1. Możesz dyskretnie zainstalować i zablokować pojedynczą aplikację na urządzeniu.
5.15.2. Włącz lub wyłącz te funkcje interfejsu systemu:
- Przycisk strony głównej
- Overview
- Działania globalne
- Powiadomienia
- Informacje o systemie / pasek stanu
- Blokada klawiszy (ekran blokady) Ta podfunkcja jest domyślnie włączona po wdrożeniu wersji 5.15.1.
5.15.3. Wyłącz Okna błędów systemu.
5.16 Zasady zaawansowanych aktualizacji systemu
Administratorzy IT mogą ustawić określony okres blokady do blokowania aktualizacji systemu na urządzeniu.
5.16.1. Konsola EMM musi umożliwiać administratorom IT blokowanie bezprzewodowych aktualizacji systemu przez określony okres blokady.
5.17 Zarządzanie przejrzystością zasad w profilu służbowym
Administratorzy IT mogą dostosować komunikat wyświetlany użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą określić niestandardowy tekst do wyświetlenia (przejdź na stronę wipeReasonMessage), gdy profil służbowy zostanie wyczyszczony.
5.18 Obsługa połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą się komunikować w granicach profilu służbowego, ustawiając ConnectedWorkAndPersonalApp.
5.19 Ręczna aktualizacja systemu
Interfejs Android Management API nie obsługuje tej funkcji.
6. Wycofanie funkcji administratora urządzenia
6. Wycofanie funkcji administratora urządzenia
Dostawcy usług EMM są zobowiązani do opublikowania abonamentu do końca 2022 roku. Zakończenie obsługi klienta administratora urządzeń na urządzeniach GMS do końca I kwartału 2023 r.