Esta página lista o conjunto completo de recursos do Android Enterprise.
Se você pretende gerenciar mais de 1.000 dispositivos, sua solução de EMM precisa ser compatível com todos os recursos padrão (Diretório de soluções corporativas do Android como uma oferta de um conjunto de gerenciamento padrão.
) de pelo menos uma solução definida antes de ela ser disponibilizada comercialmente. As soluções de EMM que passam na verificação padrão de recursos estão listadas noUm conjunto extra de recursos avançados está disponível para cada conjunto de soluções. Esses recursos são indicados em cada página do conjunto de soluções: perfil de trabalho, dispositivo totalmente gerenciado e dispositivo dedicado. As soluções de EMM que passam na verificação avançada de recursos estão listadas no Diretório de soluções corporativas do Android como uma oferta de um conjunto de gerenciamento avançado.
Chave
Recurso padrão | recurso opcional | não aplicável |
1. Aprovisionamento de dispositivos
1.1. Provisionamento do perfil de trabalho que prioriza o DPC
Depois de fazer o download do Android Device Policy do Google Play, os usuários podem provisionar um perfil de trabalho.
1.1.1. O EMM fornece a um administrador de TI um código QR ou de ativação para ser compatível com esse método de provisionamento. Acesse Registrar e provisionar um dispositivo.
1.2. Provisionamento de dispositivo identificador DPC
Inserir "afw#" no assistente de configuração do dispositivo provisiona um dispositivo totalmente gerenciado ou dedicado.
1.2.1 O EMM fornece a um administrador de TI um código QR ou de ativação para ser compatível com esse método de provisionamento. Acesse Registrar e provisionar um dispositivo.
1.3. Provisionamento do dispositivo NFC
As tags NFC podem ser usadas pelos administradores de TI para provisionar dispositivos novos ou redefinidos para a configuração original, de acordo com as diretrizes de implementação definidas na documentação do desenvolvedor da API Play EMM.
1.3.1 Os EMMs precisam usar as tags NFC Forum Forum 2 com pelo menos 888 bytes de memória. O provisionamento precisa usar extras de provisionamento para transmitir detalhes de registro não confidenciais, como códigos de servidor e de registro para um dispositivo. Os detalhes do registro não podem incluir informações confidenciais, como senhas ou certificados.
1.3.2 Recomendamos o uso de etiquetas NFC para Android 10 em diante devido à descontinuação do NFC Beam (também conhecido como NFC Bump).
1.4. Provisionamento de dispositivo com código QR
O console do EMM pode gerar um código QR que os administradores de TI podem ler para provisionar um dispositivo totalmente gerenciado ou dedicado, de acordo com as diretrizes de implementação definidas na documentação do desenvolvedor da API Android Management.
1.4.1. O código QR precisa usar extras de provisionamento para transmitir detalhes de registro não confidenciais (como códigos de servidor ou de registro) a um dispositivo. Os detalhes do registro não podem incluir informações confidenciais, como senhas ou certificados.
1.5. Registro sem toque
Os administradores de TI podem pré-configurar dispositivos comprados de revendedores autorizados e gerenciá-los usando o console de EMM.
1.5.1 Os administradores de TI podem provisionar dispositivos da empresa usando o método de registro sem toque, descrito em Registro sem toque para administradores de TI.
1.5.2. Quando um dispositivo é ligado pela primeira vez, ele é automaticamente forçado nas configurações definidas pelo administrador de TI.
1.6. Provisionamento avançado sem toque
Os administradores de TI podem automatizar grande parte do processo de registro do dispositivo com o registro sem toque. Combinados com URLs de login, os administradores de TI podem limitar a inscrição a contas ou domínios específicos, de acordo com as opções de configuração oferecidas pelo EMM.
1.6.1 Os administradores de TI podem provisionar um dispositivo da empresa usando o método de registro sem toque.
1.6.2. O uso desse requisito foi suspenso.
1.6.3 Usando o URL de login, o EMM precisa garantir que usuários não autorizados não possam prosseguir com a ativação. No mínimo, a ativação precisa ser bloqueada para usuários de uma determinada empresa.
1.6.4 Usando o URL de login, o EMM precisa permitir que os administradores de TI preencham antecipadamente os detalhes de registro (por exemplo, códigos do servidor, códigos de inscrição) com informações exclusivas do usuário ou do dispositivo (por exemplo, nome de usuário/senha, token de ativação) para que os usuários não precisem inserir detalhes ao ativar um dispositivo.
- Os EMMs não podem incluir informações confidenciais, como senhas ou certificados, na configuração do registro sem toque.
1.7. Provisionamento do perfil de trabalho da Conta do Google
A API Android Management não é compatível com esse recurso.
1.8 Provisionamento de dispositivo de Contas do Google
A API Android Management não é compatível com esse recurso.
1.9. Configuração direta sem toque
Os administradores de TI podem usar o console do EMM para configurar dispositivos sem toque usando o iframe sem toque.
1,10. Perfis de trabalho em dispositivos da empresa
Os EMMs podem inscrever dispositivos da empresa que tenham um perfil de trabalho configurando AllowPersonalUsage.
1.10.1 Os administradores de TI podem provisionar um dispositivo como perfil de trabalho em um dispositivo da empresa usando um código QR ou registro sem toque.
1.10.2. Os administradores de TI podem definir ações de compliance para perfis de trabalho nos dispositivos da empresa usando PersonalUsagePolicies.
1.10.3. Os administradores de TI podem desativar a câmera no perfil de trabalho ou em todo o dispositivo usando PersonalUsagePolicies.
1.10.4 Os administradores de TI podem desativar a captura de tela no perfil de trabalho ou em um dispositivo inteiro por meio de PersonalUsagePolicies.
1.10.5. Os administradores de TI podem definir uma lista de permissões ou uma lista de bloqueio de aplicativos que podem ou não ser instalados no perfil pessoal por meio da PersonalApplicationPolicy.
1.10.6. Os administradores de TI podem renunciar ao gerenciamento de um dispositivo da empresa removendo o perfil de trabalho ou excluindo permanentemente todo o dispositivo.
2. Segurança do dispositivo
2.1. Desafio de segurança de dispositivos
Os administradores de TI podem definir e aplicar um desafio de segurança de dispositivo (PIN/padrão/senha) em uma seleção predefinida de três níveis de complexidade em dispositivos gerenciados.
2.1.1 A política precisa impor configurações que gerenciam os desafios de segurança de dispositivos (parentProfilePasswordRequirements para perfil de trabalho, passwordRequirements para dispositivos totalmente gerenciados e dedicados).
2.1.2. A complexidade da senha deve ser mapeada para as seguintes complexidades:
- PASSWORD_COMPLEXITY_LOW - padrão ou alfinete com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com no mínimo 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e comprimento de pelo menos 8 senhas alfabéticas ou alfanuméricas com tamanho de pelo menos 6
2.1.3. Outras restrições de senha também podem ser aplicadas como configurações legadas em dispositivos da empresa.
2.2 Desafio de segurança de trabalho
Os administradores de TI podem definir e aplicar um desafio de segurança para apps e dados no perfil de trabalho que é separado e tem requisitos diferentes do desafio de segurança do dispositivo (2.1.)
2.2.1. Policy precisa aplicar o desafio de segurança ao perfil de trabalho.
- Por padrão, os administradores de TI devem definir restrições apenas para o perfil de trabalho se nenhum escopo for especificado
- Os administradores de TI podem definir esse escopo para todo o dispositivo especificando o escopo (consulte o requisito 2.1).
2.2.2. A complexidade da senha deve corresponder às seguintes complexidades predefinidas:
- PASSWORD_COMPLEXITY_LOW - padrão ou alfinete com sequências repetidas (4444) ou ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468), senha alfabética ou alfanumérica com no mínimo 4
- PASSWORD_COMPLEXITY_HIGH - PIN sem sequências repetidas (4444) ou ordenadas (1234, 4321, 2468) e comprimento de pelo menos 8 senhas alfabéticas ou alfanuméricas com tamanho de pelo menos 6
2.2.3. Outras restrições de senha também podem ser aplicadas como configurações legadas
2.3. Gerenciamento avançado de senhas
Os administradores de TI podem definir configurações avançadas de senha nos dispositivos.
2.3.1 [intencionalmente em branco]
2.3.2. [intencionalmente em branco]
2.3.3 As seguintes configurações do ciclo de vida da senha podem ser definidas para cada tela de bloqueio disponível em um dispositivo:
- [intencionalmente em branco]
- [intencionalmente em branco]
- Máximo de senhas com falha para exclusão permanente: especifica o número de vezes que os usuários podem digitar uma senha incorreta antes que os dados corporativos sejam excluídos permanentemente do dispositivo. Os administradores de TI precisam desativar esse recurso.
2.3.4 (Android 8.0 e posterior) Tempo limite de autenticação forte obrigatório: uma senha forte de autenticação (como PIN ou senha) deve ser inserida após um período de tempo limite definido por um administrador de TI. Após o tempo limite, os métodos de autenticação não fortes (como impressão digital e desbloqueio facial) ficam desativados até que o dispositivo seja desbloqueado com uma senha de autenticação forte.
2.4. Gerenciamento do Smart Lock
Os administradores de TI podem gerenciar se os agentes de confiança do recurso Smart Lock do Android podem estender o desbloqueio do dispositivo por até quatro horas.
2.4.1. Os administradores de TI podem desativar agentes de confiança no dispositivo.
2.5. Limpar e bloquear
Os administradores de TI podem usar o console do EMM para bloquear e limpar remotamente dados de trabalho de um dispositivo gerenciado.
2.5.1. Os dispositivos precisam ser bloqueados usando a API Android Management.
2.5.2. Os dispositivos precisam ser excluídos permanentemente com a API Android Management.
2.6 Aplicação de compliance
Se um dispositivo não estiver em compliance com as políticas de segurança, as regras de compliance aplicadas pela API Android Management vão restringir automaticamente o uso de dados de trabalho.
2.6.1. No mínimo, as políticas de segurança aplicadas a um dispositivo precisam incluir a política de senha.
2.7. Políticas de segurança padrão
Os EMMs precisam aplicar as políticas de segurança especificadas nos dispositivos por padrão, sem exigir que os administradores de TI definam ou personalizem configurações no console do EMM. Os EMMs são incentivados (mas não obrigatórios) para não permitir que os administradores de TI alterem o estado padrão desses recursos de segurança.
2.7.1. A instalação de apps de fontes desconhecidas precisa ser bloqueada, incluindo apps instalados no lado pessoal de qualquer dispositivo Android 8.0+ com um perfil de trabalho. Este subrecurso é compatível por padrão.
2.7.2. Os recursos de depuração precisam ser bloqueados. Esse subrecurso é compatível por padrão.
2.8 Políticas de segurança para dispositivos dedicados
Nenhuma outra ação é permitida em um dispositivo dedicado bloqueado.
2.8.1. A inicialização no modo de segurança precisa ser desativada por padrão via política
(acesse safeBootDisabled
).
2.9. Suporte de integridade do Google Play
As verificações de integridade do Google Play são feitas por padrão. Nenhuma implementação adicional é necessária.
2.9.1 Deliberadamente em branco.
2.9.2. Deliberadamente em branco.
2.9.3 Os administradores de TI podem configurar respostas de política diferentes com base no valor do SecurityRisk do dispositivo, incluindo bloquear o provisionamento, excluir permanentemente os dados corporativos e permitir a inscrição.
- O serviço de EMM aplicará essa resposta da política ao resultado de cada verificação de integridade.
2,10. Verificar a aplicação do Google Apps
Os administradores de TI podem ativar a opção Verificar apps nos dispositivos. O Verificar apps verifica se há softwares nocivos nos apps instalados nos dispositivos Android antes e depois de serem instalados. Isso ajuda a garantir que apps maliciosos não comprometam os dados corporativos.
2.10.1. Verifique se os apps precisam estar ativados por padrão pela política
(acesse ensureVerifyAppsEnabled
).
2.11. Suporte para inicialização direta
A API Android Management é compatível com esse recurso por padrão. Nenhuma implementação extra é necessária.
2.12. Gerenciamento de segurança de hardware
Os administradores de TI podem bloquear elementos de hardware de um dispositivo da empresa para evitar a perda de dados.
2.12.1. Os administradores de TI podem impedir que os usuários ativem mídia física externa por meio da política (acesse mountPhysicalMediaDisabled
).
2.12.2. Os administradores de TI podem impedir que os usuários compartilhem dados do dispositivo deles usando o beam NFC por meio da política (acesse outgoingBeamDisabled
).
2.12.3. Os administradores de TI podem impedir que os usuários transfiram arquivos via USB (acesse a usbFileTransferDisabled
).
2.13. Geração de registros de segurança empresarial
No momento, a API Android Management não é compatível com esse recurso.
3. Gerenciamento de contas e aplicativos
3.1. Inscrição corporativa nas Contas do Google Play gerenciadas
Os administradores de TI podem criar uma empresa de contas do managed Google Play, uma entidade que permite que o Google Play gerenciado distribua apps para dispositivos. Os seguintes estágios de inscrição precisam ser integrados ao console do EMM:
3.1.1. Inscreva um pacote de contas do Google Play gerenciado usando a API Android Management.
3.2. Provisionamento de conta do Google Play gerenciado
O EMM pode provisionar silenciosamente contas de usuário corporativas, chamadas de contas gerenciadas do Google Play. Essas contas identificam usuários gerenciados e permitem regras exclusivas de distribuição de apps por usuário.
3.2.1. As contas do Google Play gerenciado (contas de usuário) são criadas automaticamente quando os dispositivos são provisionados.
A API Android Management é compatível com esse recurso por padrão. Nenhuma implementação extra é necessária.
3.3. Provisionamento de conta de dispositivo do Google Play gerenciado
O EMM pode criar e provisionar contas gerenciadas de dispositivos do Google Play. As contas de dispositivos são compatíveis com a instalação silenciosa de apps da managed Google Play Store e não são vinculadas a um único usuário. Em vez disso, uma conta de dispositivo é usada para identificar um único dispositivo para oferecer suporte a regras de distribuição de apps por cenário dedicado nos cenários dele.
3.3.1. As contas do managed Google Play são criadas automaticamente quando os dispositivos são provisionados.
A API Android Management é compatível com esse recurso por padrão. Nenhuma implementação extra é necessária.
3.4. Provisionamento de conta do Google Play gerenciado para dispositivos legados
Esse recurso está obsoleto.
3.5. Distribuição silenciosa do app
Os administradores de TI podem distribuir apps de trabalho de forma silenciosa em dispositivos sem qualquer interação do usuário.
3.5.1. O console do EMM precisa usar a API Android Management para permitir que os administradores de TI instalem aplicativos de trabalho em dispositivos gerenciados.
3.5.2. O console do EMM precisa usar a API Android Management para permitir que os administradores de TI atualizem apps de trabalho em dispositivos gerenciados.
3.5.3. O console do EMM precisa usar a API Android Management para permitir que os administradores de TI desinstalem apps em dispositivos gerenciados.
3.6. Gerenciamento de configurações gerenciadas
Os administradores de TI podem visualizar e definir silenciosamente as configurações gerenciadas para qualquer aplicativo compatível com as configurações gerenciadas.
3.6.1. O console do EMM precisa ser capaz de recuperar e exibir as definições de configuração gerenciadas de qualquer app do Google Play.
3.6.2. O console do EMM precisa permitir que os administradores de TI definam qualquer tipo de configuração (conforme definido pelo framework do Android Enterprise) para qualquer app do Google Play usando a API Android Management.
3.6.3. O console do EMM precisa permitir que os administradores de TI definam caracteres curinga (como $username$ ou %emailAddress%) para que uma única configuração de um app, como o Gmail, possa ser aplicada a vários usuários.
3.7. Gerenciamento de catálogo de apps
A API Android Management é compatível com esse recurso por padrão. Nenhuma outra implementação é necessária.
3.8 Aprovação do app programático
O console do EMM usa o iframe gerenciado do Google Play para oferecer suporte aos recursos de descoberta e aprovação de apps do Google Play. Os administradores de TI podem pesquisar apps, aprovar apps e aprovar novas permissões de apps sem sair do console do EMM.
3.8.1. Os administradores de TI podem pesquisar apps e aprová-los no console do EMM usando o iframe gerenciado do Google Play.
3.9. Gerenciamento básico de layout da loja
O app Google Play Store gerenciado pode ser usado para instalar e atualizar apps de trabalho. Por padrão, a managed Google Play Store exibe os aplicativos aprovados para um usuário em uma única lista. Esse layout é conhecido como layout básico de loja.
3.9.1. O console do EMM deve permitir que os administradores de TI gerenciem os aplicativos visíveis no layout básico da loja de um usuário final.
3,10. Configuração avançada do layout da loja
3.10.1. Os administradores de TI podem personalizar o layout da loja no app gerenciado da Google Play Store.
3.11. Gerenciamento de licenças de apps
Esse recurso está obsoleto.
3.12. Gerenciamento de apps particulares hospedados pelo Google
Os administradores de TI podem atualizar os apps particulares hospedados pelo Google por meio do console de EMM em vez do Google Play Console.
3.12.1. Os administradores de TI podem fazer upload de novas versões de aplicativos que já foram publicados de maneira particular para a empresa usando:
3.13. Gerenciamento de aplicativos particulares auto-hospedados
Os administradores de TI podem configurar e publicar apps particulares auto-hospedados. Diferentemente dos apps particulares hospedados pelo Google, o Google Play não hospeda os APKs. Em vez disso, o EMM ajuda os administradores de TI a hospedar APKs por conta própria e protege os aplicativos auto-hospedados, garantindo que eles só possam ser instalados quando autorizado pelo Google Play gerenciado.
3.13.1. O console do EMM precisa ajudar os administradores de TI a hospedar o APK do app, oferecendo as duas opções a seguir:
- Hospedar o APK no servidor do EMM. O servidor pode ser no local ou baseado na nuvem.
- Hospedar o APK fora do servidor de EMM, a critério da empresa. O administrador de TI precisa especificar no console de EMM em que o APK está hospedado.
3.13.2. O console do EMM precisa gerar um arquivo de definição do APK apropriado usando o APK fornecido e orientar os administradores de TI no processo de publicação.
3.13.3. Os administradores de TI podem atualizar aplicativos particulares auto-hospedados, e o console do EMM pode publicar silenciosamente arquivos de definição de APK atualizados usando a API Google Play Developer Publishing.
3.13.4. O servidor do EMM veicula as solicitações de download do APK auto-hospedado que contém um JWT válido no cookie da solicitação, conforme verificado pela chave pública do app particular.
- Para facilitar esse processo, o servidor do EMM precisa orientar os administradores de TI a fazer o download da chave pública de licença do app auto-hospedado do Google Play Console e fazer upload dela no console de EMM.
3.14. Notificações pull do EMM
Este recurso não é aplicável à API Android Management. Configure as notificações do Pub/Sub.
3,15. Requisitos de uso da API
O EMM implementa as APIs Android Management em escala, evitando padrões de tráfego que podem afetar negativamente a capacidade das empresas de gerenciar apps em ambientes de produção.
3.15.1. O EMM precisa aderir aos limites de uso da API Android Management. A não correção do comportamento que exceda essas diretrizes pode resultar na suspensão do uso da API, a critério do Google.
3.15.2. O EMM precisa distribuir o tráfego de diferentes empresas ao longo do dia, em vez de consolidar o tráfego corporativo em horários específicos ou semelhantes. O comportamento adequado a esse padrão de tráfego, como operações programadas em lote para cada dispositivo inscrito, pode resultar na suspensão do uso da API, a critério do Google.
3.15.3. O EMM não pode fazer solicitações consistentes, incompletas ou deliberadamente incorretas que não tentem recuperar ou gerenciar dados reais da empresa. O comportamento adequado a esse padrão de tráfego pode resultar na suspensão do uso da API, a critério do Google.
3,16. Gerenciamento avançado de configurações gerenciadas
O EMM é compatível com os seguintes recursos avançados de gerenciamento de configurações gerenciadas:
3.16.1. O console do EMM precisa conseguir recuperar e exibir os até quatro níveis de configurações aninhadas das configurações de qualquer app do Google Play, usando:
- o iframe do Google Play gerenciado;
- uma IU personalizada.
3.16.2. O console do EMM precisa ser capaz de recuperar e exibir comentários retornados por um canal de comentários de um aplicativo, quando configurados por um administrador de TI.
- O console do EMM precisa permitir que os administradores de TI associem um item de feedback específico ao dispositivo e app de origem.
- O console do EMM precisa permitir que os administradores de TI se inscrevam em alertas ou relatórios de tipos de mensagem específicos (como mensagens de erro).
3.16.3. O console de EMM só pode enviar valores que tenham um valor padrão ou sejam definidos manualmente pelo administrador usando:
- o iframe das configurações gerenciadas; ou
- Uma IU personalizada.
3,17. Gerenciamento de apps da Web
Os administradores de TI podem criar e distribuir apps da Web no console de EMM.
3.17.1. O console de EMM permite que os administradores de TI distribuam atalhos para aplicativos da Web usando:
3,18. Gerenciamento do ciclo de vida da conta do Google Play gerenciado
O EMM pode criar, atualizar e excluir Contas do Google Play gerenciadas em nome dos administradores de TI e recuperar a conta automaticamente após a expiração.
Este recurso é compatível por padrão. Nenhuma implementação adicional de EMM é necessária.
3,19. Gerenciamento do rastreamento de aplicativos
3.19.1. Os administradores de TI podem extrair uma lista de IDs de trilhas definidos por um desenvolvedor para um app específico
3.19.2. Os administradores de TI podem definir dispositivos para usar uma faixa de desenvolvimento específica para um aplicativo.
3,20. Gerenciamento avançado de atualizações do aplicativo
Os administradores de TI podem permitir que os apps sejam atualizados imediatamente ou adiar a atualização por 90 dias.
3.20.1. Os administradores de TI podem permitir que os apps usem atualizações de apps de alta prioridade para serem atualizados quando uma atualização estiver pronta. 3.20.2. Os administradores de TI podem permitir que as atualizações de apps sejam adiadas por 90 dias.
3,21. Gerenciamento de métodos de provisionamento
O EMM pode gerar configurações de provisionamento e apresentá-las ao administrador de TI em um formulário pronto para distribuição aos usuários finais (como código QR, configuração sem toque, URL da Play Store).
4. Gerenciamento de dispositivos
4.1. Gerenciamento da política de permissão de tempo de execução
Os administradores de TI podem definir silenciosamente uma resposta padrão para solicitações de permissão de execução feitas por apps de trabalho.
4.1.1. Os administradores de TI precisam escolher uma das opções a seguir ao definir uma política de permissão de execução padrão para a organização:
- solicitação (permite que os usuários escolham)
- allow
- deny
O EMM deve aplicar essas configurações por meio da política.
4.2. Gerenciamento do estado de concessão de permissão em tempo de execução
Depois de definir uma política de permissão de tempo de execução padrão (vá para 4.1.), Os administradores de TI podem configurar de maneira silenciosa as respostas para permissões específicas de qualquer app de trabalho criado na API 23 ou mais recente.
4.2.1. Os administradores de TI precisam ser capazes de definir o estado de concessão (padrão, concessão ou negação) de qualquer permissão solicitada por qualquer app de trabalho criado na API 23 ou mais recente. O EMM precisa aplicar essas configurações por meio da política.
4.3. Gerenciamento de configuração Wi-Fi
Os administradores de TI podem provisionar silenciosamente as configurações de Wi-Fi empresarial nos dispositivos gerenciados, incluindo:
4.3.1 SSID, via policy.
4.3.2. Senha, por meio da política.
4.4. Gerenciamento de segurança Wi-Fi
Os administradores de TI podem provisionar configurações de Wi-Fi empresariais nos dispositivos que incluem os seguintes recursos de segurança avançados:
4.4.1. Identidade
4.4.2. Certificados para autorização do cliente
4.4.3. Certificados de CA
4.5. Gerenciamento avançado de Wi-Fi
Os administradores de TI podem bloquear configurações de Wi-Fi em dispositivos gerenciados para impedir que os usuários criem configurações ou modifiquem configurações corporativas.
4.5.1. Os administradores de TI podem bloquear configurações Wi-Fi corporativas por meio de política em uma das seguintes configurações:
- Os usuários não podem modificar nenhuma configuração de Wi-Fi provisionada pelo EMM (vão para
wifiConfigsLockdownEnabled
), mas podem adicionar e modificar as próprias redes configuráveis pelo usuário (por exemplo, redes pessoais). - Os usuários não podem adicionar nem modificar qualquer rede Wi-Fi no dispositivo (acesse
wifiConfigDisabled
), limitando a conectividade Wi-Fi apenas às redes provisionadas pelo EMM.
4.6. Gerenciamento da conta
Os administradores de TI podem garantir que apenas contas corporativas autorizadas possam interagir com dados corporativos para serviços como apps de armazenamento e produtividade SaaS ou e-mail. Sem esse recurso, os usuários podem adicionar contas pessoais a apps corporativos que também aceitam contas pessoais, permitindo que compartilhem dados corporativos com essas contas pessoais.
4.6.1. Os administradores de TI podem impedir que os usuários adicionem ou modifiquem contas (consulte modifyAccountsDisabled
).
- Ao aplicar essa política em um dispositivo, os EMMs precisam definir essa restrição antes que o provisionamento seja concluído para garantir que os usuários não possam ignorar essa política adicionando contas antes que ela seja aplicada.
4.7. Gerenciamento da conta do Workspace
A API Android Management não é compatível com esse recurso.
4.8. Gerenciamento de certificados
Permite que os administradores de TI implantem certificados de identidade e autoridades de certificação em dispositivos para permitir o uso de recursos corporativos.
4.8.1. Os administradores de TI podem instalar certificados de identidade do usuário gerados pela ICP por usuário. O console do EMM precisa se integrar a pelo menos uma ICP e distribuir certificados gerados a partir dessa infraestrutura.
4.8.2. Os administradores de TI podem instalar autoridades de certificação
(consulte caCerts
) no keystore gerenciado.
4.9. Gerenciamento avançado de certificados
Permite que os administradores de TI selecionem de maneira silenciosa os certificados que os apps gerenciados específicos precisam usar. Esse recurso também concede aos administradores de TI a capacidade de remover CAs e certificados de identidade de dispositivos ativos e impedir que os usuários modifiquem credenciais armazenadas no keystore gerenciado.
4.9.1. Para qualquer aplicativo distribuído para dispositivos, os administradores de TI podem especificar um certificado que receberá acesso silenciosamente durante o tempo de execução. (Este subrecurso não é compatível no momento)
- A seleção de certificado precisa ser genérica o suficiente para permitir uma única configuração que se aplica a todos os usuários, cada um deles pode ter um certificado de identidade específico do usuário.
4.9.2. Os administradores de TI podem remover certificados silenciosamente do keystore gerenciado.
4.9.3. Os administradores de TI podem desinstalar um certificado de CA silenciosamente. Esse subrecurso não é compatível no momento.
4.9.4. Os administradores de TI podem impedir que os usuários configurem credenciais
(acesse credentialsConfigDisabled
) no keystore gerenciado.
4.9.5. Os administradores de TI podem conceder previamente certificados para aplicativos de trabalho usando ChoosePrivateKeyRule.
4,10. Gerenciamento de certificados delegados
Os administradores de TI podem distribuir um app de gerenciamento de certificados de terceiros nos dispositivos e conceder a eles acesso privilegiado para instalar certificados no keystore gerenciado.
4.10.1. Os administradores de TI podem especificar um pacote de gerenciamento de certificados (acesse delegatedCertInstallerPackage
) a ser definido como o app de gerenciamento de certificados delegado.
- Os EMMs podem sugerir pacotes conhecidos de gerenciamento de certificados, mas precisam permitir que o administrador de TI escolha na lista de apps disponíveis para instalação para os usuários aplicáveis.
4,11. Gerenciamento avançado de VPN
Permite que os administradores de TI especifiquem uma VPN sempre ativa para garantir que os dados de apps gerenciados especificados sempre passem por uma VPN (Rede particular virtual) configurada.
4.11.1. Os administradores de TI podem especificar um pacote de VPN arbitrário para ser definido como uma VPN sempre ativa.
- O console do EMM pode, opcionalmente, sugerir pacotes de VPN conhecidos compatíveis com a VPN sempre ativa, mas não pode restringir as VPNs disponíveis para a configuração "Sempre ativada" para qualquer lista arbitrária.
4.11.2. Os administradores de TI podem usar as configurações gerenciadas para especificar as configurações de VPN de um app.
4,12. Gerenciamento de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) podem ser configurados para dispositivos. Como o IME é compartilhado entre perfis pessoais e de trabalho, o bloqueio do uso de IMEs impede que os usuários também os permitam para uso pessoal. No entanto, os administradores de TI não podem bloquear o uso de IMEs do sistema nos perfis de trabalho. Acesse o gerenciamento avançado de IMEs para ver mais detalhes.
4.12.1. Os administradores de TI podem configurar uma lista de permissões do IME
(acesse permitted_input_methods
) de tamanho arbitrário (incluindo uma lista vazia,
que bloqueia IMEs que não são do sistema), que pode conter qualquer pacote de IME arbitrário.
- O console do EMM pode sugerir IMEs conhecidos ou recomendados para serem incluídos na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de aplicativos disponíveis para instalação para os usuários aplicáveis.
4.12.2. O EMM precisa informar aos administradores de TI que os IMEs do sistema estão excluídos do gerenciamento em dispositivos com perfis de trabalho.
4.13. Gerenciamento avançado de IME
Os administradores de TI podem gerenciar quais métodos de entrada (IMEs) os usuários podem configurar em um dispositivo. O gerenciamento avançado de IME amplia o recurso básico, permitindo que os administradores de TI também gerenciem o uso de IMEs do sistema, que são fornecidos pelo fabricante ou pela operadora do dispositivo.
4.13.1. Os administradores de TI podem configurar uma lista de permissões do IME
(vá para permitted_input_methods
) de duração arbitrária (excluindo uma lista vazia,
que bloqueia todos os IMEs, incluindo IMEs do sistema), que pode conter qualquer pacote
IME arbitrário.
- O console do EMM pode sugerir IMEs conhecidos ou recomendados para serem incluídos na lista de permissões, mas precisa permitir que os administradores de TI escolham na lista de aplicativos disponíveis para instalação para os usuários aplicáveis.
4.13.2. O EMM precisa impedir que os administradores de TI configurem uma lista de permissões vazia, porque essa configuração bloqueará todos os IMEs, incluindo os IMEs do sistema, que serão configurados no dispositivo.
4.13.3. O EMM precisa garantir que, se uma lista de permissões do IME não contiver IMEs do sistema, os IMEs de terceiros serão instalados silenciosamente antes que a lista de permissões seja aplicada ao dispositivo.
4,14. Gerenciamento de serviços de acessibilidade
Os administradores de TI podem gerenciar quais serviços de acessibilidade os usuários podem permitir nos dispositivos. Os serviços de acessibilidade são ferramentas eficientes para usuários com deficiências ou aqueles que são temporariamente impossibilitados de interagir totalmente com um dispositivo. No entanto, eles podem interagir com dados corporativos de maneiras que não estejam em conformidade com a política corporativa. Com esse recurso, os administradores de TI podem desativar qualquer serviço de acessibilidade que não seja do sistema.
4.14.1. Os administradores de TI podem configurar uma lista de permissões de serviço de acessibilidade (acesse permittedAccessibilityServices
) de tamanho arbitrário (incluindo uma lista vazia, que bloqueia serviços de acessibilidade que não são do sistema), que pode conter qualquer pacote de serviços de acessibilidade arbitrários. Quando aplicado a um perfil de trabalho, isso afeta o perfil pessoal e o perfil de trabalho.
- Opcionalmente, o console pode sugerir serviços de acessibilidade conhecidos ou recomendados para serem incluídos na lista de permissões, mas precisa permitir que o administrador de TI escolha entre os apps disponíveis para instalação para os usuários aplicáveis.
4,15. Gerenciamento do Compartilhamento de local
Os administradores de TI podem impedir que os usuários compartilhem dados de local com apps no perfil de trabalho. Caso contrário, a configuração de local no perfil de trabalho poderá ser definida em Configurações.
4.15.1. Os administradores de TI podem desativar os serviços de localização (acesse shareLocationDisabled
) no perfil de trabalho.
4,16. Gerenciamento avançado do Compartilhamento de local
Os administradores de TI podem aplicar uma determinada configuração de compartilhamento de local a um dispositivo gerenciado. Esse recurso pode garantir que os apps corporativos sempre tenham dados de local de alta precisão. Esse recurso também pode restringir o consumo de bateria, restringindo as configurações de localização ao modo de economia de bateria.
4.16.1. Os administradores de TI podem definir os serviços de localização do dispositivo para cada um dos seguintes modos:
- Alta precisão.
- Somente sensores, por exemplo, GPS, mas sem incluir a localização fornecida pela rede.
- Economia de bateria, o que limita a frequência de atualização.
- Desligado.
4,17. Gerenciamento da proteção das configurações originais
Permite que os administradores de TI protejam os dispositivos da empresa contra roubo, garantindo que usuários não autorizados não redefinam os dispositivos para a configuração original. Se essa proteção reduzir a complexidade operacional quando os dispositivos forem devolvidos à TI, os administradores de TI poderão desativar a proteção.
4.17.1. Os administradores de TI podem impedir que os usuários redefinam o dispositivo para a configuração original (acesse factoryResetDisabled
) nas configurações.
4.17.2. Os administradores de TI podem especificar contas de desbloqueio corporativas autorizadas para provisionar dispositivos (acesse frpAdminEmails
) após uma redefinição para a configuração original.
- Essa conta pode ser vinculada a um indivíduo ou usada por toda a empresa para desbloquear dispositivos.
4.17.3. Os administradores de TI podem desativar a proteção contra redefinição para a configuração original (acesse factoryResetDisabled
) para dispositivos especificados.
4.17.4. Os administradores de TI podem iniciar uma limpeza remota de dispositivos que exclui permanentemente os dados de proteção contra redefinição, removendo a proteção de redefinição de fábrica no dispositivo redefinido.
4.18. Controle avançado de apps
Os administradores de TI podem impedir que o usuário desinstale ou modifique os apps gerenciados em "Configurações". Por exemplo, impedir o fechamento forçado do aplicativo ou limpar o cache de dados de um aplicativo.
4.18.1. Os administradores de TI podem bloquear a desinstalação de todos os apps gerenciados arbitrários ou de todos
os apps gerenciados (acesse
uninstallAppsDisabled
).
4.18.2. Os administradores de TI podem impedir que os usuários modifiquem os dados do aplicativo nas configurações. A API Android Management não é compatível com esse subrecurso.
4,19. Gerenciamento de captura de tela
Os administradores de TI podem impedir que os usuários façam capturas de tela quando usam apps gerenciados. Essa configuração inclui o bloqueio de apps de compartilhamento de tela e apps semelhantes (como o Google Assistente) que usam os recursos de captura de tela do sistema.
4.19.1. Os administradores de TI podem impedir que os usuários façam capturas de tela
(acesse screenCaptureDisabled
).
4,20. Desativar câmeras
Os administradores de TI podem desativar o uso das câmeras do dispositivo por apps gerenciados.
4.20.1. Os administradores de TI podem desativar o uso das câmeras do dispositivo (acesse cameraDisabled
) por apps gerenciados.
4,21. Coleta de estatísticas de rede
No momento, a API Android Management não é compatível com esse recurso.
4,22. Coleta avançada de estatísticas de rede
No momento, a API Android Management não é compatível com esse recurso.
4,23. Reinicializar o dispositivo.
Os administradores de TI podem reiniciar dispositivos gerenciados remotamente.
4.23.1. Os administradores de TI podem reinicializar remotamente um dispositivo gerenciado.
4,24. Gerenciamento de rádio do sistema
Fornece aos administradores de TI gerenciamento granular sobre rádios de rede do sistema e políticas de uso associadas por meio da política.
4.24.1. Os administradores de TI podem desativar as transmissões celulares enviadas por provedores de serviços (acesse cellBroadcastsConfigDisabled
).
4.24.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de rede móvel em
Configurações (acesse mobileNetworksConfigDisabled
).
4.24.3. Os administradores de TI podem impedir que os usuários redefinam todas as configurações de rede em "Configurações". (acesse networkResetDisabled
).
4.24.4. Os administradores de TI podem configurar se o dispositivo permite dados móveis em roaming (acesse dataRoamingDisabled
).
4.24.5. Os administradores de TI podem definir se o dispositivo pode fazer chamadas telefônicas, exceto chamadas de emergência (acesse outGoingCallsDisabled
).
4.24.6. Os administradores de TI podem configurar se o dispositivo pode enviar e receber mensagens de texto (acesse smsDisabled
).
4.24.7. Os administradores de TI podem impedir que os usuários usem o dispositivo como um ponto de acesso portátil por tethering (acesse tetheringConfigDisabled
).
4.24.8. Os administradores de TI podem definir o tempo limite de Wi-Fi como padrão, enquanto estão conectados, ou nunca. A API Android Management não é compatível com esse subrecurso.
4.24.9. Os administradores de TI podem impedir que os usuários configurem ou modifiquem conexões Bluetooth atuais (acesse bluetoothConfigDisabled
).
4,25. Gerenciamento de áudio do sistema
Os administradores de TI podem controlar silenciosamente os recursos de áudio do dispositivo, incluindo desativar o som do dispositivo, impedir que os usuários modifiquem as configurações de volume e impedir que os usuários ativem o som do microfone.
4.25.1. Os administradores de TI podem silenciar dispositivos gerenciados silenciosamente. A API Android Management não é compatível com esse subrecurso.
4.25.2. Os administradores de TI podem impedir que os usuários modifiquem as configurações de volume do dispositivo (acesse adjustVolumeDisabled
). Isso também silencia os dispositivos.
4.25.3. Os administradores de TI podem impedir que os usuários ativem o som do microfone
do dispositivo (acesse unmuteMicrophoneDisabled
).
4,26. Gerenciamento do relógio do sistema
Os administradores de TI podem gerenciar as configurações de relógio e fuso horário do dispositivo e impedir que os usuários modifiquem as configurações automáticas do dispositivo.
4.26.1. Os administradores de TI podem impor o horário e o fuso horário automáticos do sistema, impedindo que o usuário defina a data, a hora e o fuso horário do dispositivo.
4,27. Recursos dedicados de dispositivos dedicados
Para dispositivos dedicados, os administradores de TI podem gerenciar os seguintes recursos por meio da política para oferecer suporte a vários casos de uso de quiosques.
4.27.1. Os administradores de TI podem desativar a proteção de tela do dispositivo (acesse keyguardDisabled
).
4.27.2. Os administradores de TI podem desativar a barra de status do dispositivo, bloqueando notificações e configurações rápidas. Acesse statusBarDisabled
.
4.27.3. Os administradores de TI podem forçar a tela do dispositivo a permanecer ativada enquanto o dispositivo está conectado (acesse stayOnPluggedModes
).
4.27.4. Os administradores de TI podem impedir que as seguintes IUs do sistema sejam exibidas (acesse createWindowsDisabled
):
- Avisos
- Sobreposições de aplicativos.
4.27.5. Os administradores de TI podem permitir que a recomendação do sistema para apps pule o
tutorial do usuário e outras dicas introdutórias na primeira inicialização. Acesse
skip_first_use_hints
.
4,28. Gerenciamento de escopo delegado
Os administradores de TI podem delegar privilégios extras a pacotes individuais.
4.28.1. Os administradores de TI podem gerenciar os seguintes escopos:
- Instalação e gerenciamento de certificados
- Gerenciamento de configurações gerenciadas
- Registro de rede
- Registros de segurança
4,29. Suporte a ID específico da inscrição
A partir do Android 12, os perfis de trabalho não terão mais acesso a identificadores específicos de hardware. Os administradores de TI podem seguir o ciclo de vida de um dispositivo com um perfil de trabalho pelo código específico da inscrição, que persistirá após a redefinição para a configuração original.
4.29.1. Os administradores de TI podem receber um ID específico da inscrição
4.29.2. O código específico de registro precisa persistir após uma redefinição para a configuração original
5. Usabilidade do dispositivo
5.1. Personalização do provisionamento gerenciado
Os administradores de TI podem modificar a UX do fluxo de configuração padrão para incluir recursos específicos da empresa. Opcionalmente, os administradores de TI podem exibir a marca fornecida pelo EMM durante o provisionamento.
5.1.1. Os administradores de TI podem personalizar o processo de provisionamento especificando os Termos de Serviço específicos da empresa e outras exonerações de responsabilidade (acesse termsAndConditions
).
5.1.2. Os administradores de TI podem implantar Termos de Serviço não configuráveis e específicos de EMM e outras exonerações de responsabilidade (acesse termsAndConditions
).
- Os EMMs podem definir a personalização não configurável e específica para EMM como padrão para implantações, mas precisam permitir que os administradores de TI configurem a própria personalização.
5.1.3 O primaryColor
foi suspenso para o recurso corporativo no Android 10 e versões mais recentes.
5.2. Personalização para empresas
A API Android Management não é compatível com esse recurso.
5.3. Personalização empresarial avançada
A API Android Management não é compatível com esse recurso.
5.4. Mensagens na tela de bloqueio
Os administradores de TI podem definir uma mensagem personalizada que é sempre exibida na tela de bloqueio do dispositivo e não exige que o desbloqueio seja exibido.
5.4.1. Os administradores de TI podem definir uma mensagem de tela de bloqueio personalizada
(acesse deviceOwnerLockScreenInfo
).
5.5. Gerenciamento da transparência da política
Os administradores de TI podem personalizar o texto de ajuda fornecido aos usuários quando eles tentam modificar as configurações gerenciadas no dispositivo ou implantar uma mensagem de suporte genérica fornecida pelo EMM. As mensagens de suporte curtas e longas podem ser personalizadas e exibidas em instâncias, como tentativas de desinstalação de um app gerenciado em que um administrador de TI já bloqueou a desinstalação.
5.5.1. Os administradores de TI podem personalizar mensagens de suporte curtas e longas para o usuário.
5.5.2. Os administradores de TI podem implantar mensagens de suporte curtas e não configuráveis, específicas de EMM, curtas e longas (acesse shortSupportMessage
e longSupportMessage
em policies
).
- O EMM pode definir as mensagens de suporte não configuráveis e específicas do EMM como padrão para implantações, mas precisa permitir que os administradores de TI configurem as próprias mensagens.
5,6. Gerenciamento de contato entre perfis
5.6.1. Os administradores de TI podem desativar a exibição de contatos de trabalho em pesquisas de contatos de perfil pessoal e chamadas recebidas.
5.6.2. Os administradores de TI podem desativar o compartilhamento de contatos por Bluetooth dos contatos de trabalho, por exemplo, chamadas por viva-voz em carros ou fones de ouvido.
5,7. Gerenciamento de dados entre perfis
Permite que os administradores de TI gerenciem os tipos de dados que podem ser compartilhados entre o perfil profissional e o pessoal, permitindo que eles equilibrem a usabilidade e a segurança dos dados de acordo com os requisitos.
5.7.1. Os administradores de TI podem configurar a política de compartilhamento de dados entre perfis para que apps pessoais possam resolver intents do perfil de trabalho, como intents de compartilhamento ou links da Web.
5.7.2. O gerenciamento de widgets de trabalho ainda não está disponível na API Android Management.
5.7.3. Os administradores de TI podem controlar a capacidade de copiar/colar entre o perfil de trabalho e o pessoal.
5,8. Política de atualização do sistema
Os administradores de TI podem configurar e aplicar dispositivos over the air (OTA) a atualizações de sistemas.
5.8.1. O console do EMM permite que os administradores de TI definam as seguintes configurações OTA:
- Automático: os dispositivos recebem atualizações OTA quando ficam disponíveis.
- Adie: os administradores de TI precisam adiar a atualização OTA por até 30 dias.
- Com janelas: os administradores de TI precisam ser capazes de programar atualizações OTA em uma janela de manutenção diária.
5.8.2. As configurações de OTA são aplicadas aos dispositivos por meio da política.
5,9. Bloquear o gerenciamento do modo de tarefa
Os administradores de TI podem bloquear um app ou conjunto de apps na tela e garantir que os usuários não possam sair do app.
5.9.1. O console do EMM permite que os administradores de TI permitam silenciosamente que um conjunto arbitrário de apps seja instalado e bloqueado em um dispositivo. A política permite a configuração de dispositivos dedicados.
5,10. Gerenciamento de atividade preferencial persistente
Permite que os administradores de TI definam um app como o gerenciador de intents padrão para intents que correspondem a um determinado filtro de intent. Por exemplo, esse recurso permite que os administradores de TI escolham qual aplicativo de navegador abre links da Web automaticamente. Esse recurso pode gerenciar qual app de tela de início é usado ao tocar no botão home.
5.10.1. Os administradores de TI podem definir qualquer pacote como o gerenciador de intent padrão para qualquer filtro de intent arbitrário.
- O console do EMM pode sugerir intents conhecidas ou recomendadas para configuração, mas não pode restringir intents a nenhuma lista arbitrária.
- O console do EMM precisa permitir que os administradores de TI escolham entre os aplicativos disponíveis para instalação para os usuários aplicáveis.
5,11. Gerenciamento de recursos do bloqueio de teclado
Os administradores de TI podem gerenciar os recursos disponíveis para os usuários antes de desbloquear a proteção do dispositivo (tela de bloqueio) e da tela de bloqueio do desafio de trabalho.
5.11.1.Policy pode desativar os seguintes recursos de proteção do teclado do dispositivo:
- agentes de confiança
- desbloqueio com impressão digital
- notificações não editadas
5.11.2. Os seguintes recursos de proteção de teclado do perfil de trabalho podem ser desativados por meio da política:
- agentes de confiança
- desbloqueio com impressão digital
5,12. Gerenciamento avançado de recursos do bloqueio de teclado
- Câmera segura
- Todas as notificações
- Não editado
- Agentes de confiança
- Desbloqueio por impressão digital
- Todos os recursos de proteção de teclado
5,13. Depuração remota
No momento, a API Android Management não é compatível com esse recurso.
5,14. Recuperação de endereço MAC
Os EMMs podem buscar silenciosamente o endereço MAC de um dispositivo para ser usado na identificação de dispositivos em outras partes da infraestrutura empresarial (por exemplo, ao identificar dispositivos para controle de acesso à rede).
5.14.1. O EMM pode recuperar silenciosamente o endereço MAC de um dispositivo e associá-lo ao dispositivo no console do EMM.
5,15. Gerenciamento do modo de tarefa de bloqueio avançado
Com um dispositivo dedicado, os administradores de TI podem usar o console do EMM para realizar as seguintes tarefas:
5.15.1. Permitir silenciosamente que um único app seja instalado e bloqueado em um dispositivo.
5.15.2. Ative ou desative os seguintes recursos da IU do sistema:
- Botão home
- Visão geral
- Ações globais
- Notificações
- Informações do sistema / Barra de status
- Proteção de tela (tela de bloqueio). Este subrecurso é ativado por padrão quando a versão 5.15.1. é implementada.
5.15.3. Desative as Caixas de diálogo de erro do sistema.
5,16. Política de atualização avançada do sistema
Os administradores de TI podem definir um período de congelamento específico para bloquear atualizações do sistema em um dispositivo.
5.16.1. O console do EMM precisa permitir que os administradores de TI bloqueiem as atualizações do sistema over the air (OTA) por um período de congelamento especificado.
5,17. Gerenciamento de transparência da política do perfil de trabalho
Os administradores de TI podem personalizar a mensagem exibida aos usuários ao remover o perfil de trabalho de um dispositivo.
5.17.1. Os administradores de TI podem fornecer um texto personalizado para exibir
(acesse wipeReasonMessage
) quando um perfil de trabalho for excluído permanentemente.
5,18. Suporte a apps conectados
Os administradores de TI podem definir uma lista de pacotes que podem se comunicar por todo o limite do perfil de trabalho definindo ConnectedWorkAndPersonalApp.
5,19. Atualização manual do sistema
A API Android Management não é compatível com esse recurso.
6. Suspensão de uso do administrador do dispositivo
6. Suspensão de uso do administrador do dispositivo
Os EMMs precisam publicar um plano até o final do suporte ao cliente final de 2022 para Administrador do dispositivo em dispositivos GMS até o fim do primeiro trimestre de 2023.