На этой странице представлен полный набор функций Android Enterprise.
Если вы планируете управлять более чем 500 устройствами, ваше решение EMM должно поддерживать все стандартные функции ( ) хотя бы одного набора решений, прежде чем оно станет коммерчески доступным. Решения EMM, прошедшие стандартную проверку функций, перечислены в каталоге корпоративных решений Android как предлагающие стандартный набор управления .
Для каждого набора решений доступен дополнительный набор расширенных функций. Эти функции обозначены на каждой странице набора решений: рабочий профиль , полностью управляемое устройство и выделенное устройство . Решения EMM, прошедшие расширенную проверку функций, перечислены в каталоге корпоративных решений Android как предлагающие расширенный набор управления .
Примечание. Использование Android Management API регулируется политикой допустимого использования .
Ключ
| стандартная функция | дополнительная функция | неприменимо |
1. Подготовка устройства
1.1. Предоставление рабочего профиля DPC-first
После загрузки Android Device Policy из Google Play пользователи могут создать рабочий профиль.
1.1.1. EMM предоставляет ИТ-администратору QR-код или код активации для поддержки этого метода подготовки (перейдите к регистрации и подготовке устройства ).
1.2. Предоставление устройства с идентификатором DPC
Ввод «afw#» в мастере настройки устройства обеспечивает полностью управляемое или выделенное устройство.
1.2.1. EMM предоставляет ИТ-администратору QR-код или код активации для поддержки этого метода подготовки (перейдите к регистрации и подготовке устройства ).
1.3. Предоставление устройств NFC
Теги NFC могут использоваться ИТ-администраторами для подготовки новых устройств или устройств с заводскими настройками в соответствии с рекомендациями по внедрению, определенными в документации для разработчиков Play EMM API .
1.3.1. EMM должны использовать теги NFC Forum Type 2 с объемом памяти не менее 888 байт. При подготовке необходимо использовать дополнительные возможности подготовки для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство. Регистрационные данные не должны включать конфиденциальную информацию, такую как пароли или сертификаты.
1.3.2. Мы рекомендуем использовать теги NFC для Android 10 и более поздних версий, поскольку поддержка NFC Beam (также известной как NFC Bump) устарела.
1.4. Предоставление устройства с помощью QR-кода
Консоль EMM может генерировать QR-код, который ИТ-администраторы могут сканировать для предоставления полностью управляемого или выделенного устройства в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Android Management API .
1.4.1. QR-код должен использовать дополнительные возможности подготовки для передачи неконфиденциальных регистрационных данных (таких как идентификаторы серверов, идентификаторы регистрации) на устройство. Регистрационные данные не должны включать конфиденциальную информацию, такую как пароли или сертификаты.
1,5. Регистрация без участия пользователя
ИТ-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров , и управлять ими с помощью консоли EMM.
1.5.1. ИТ-администраторы могут подготавливать корпоративные устройства, используя метод автоматической регистрации, описанный в разделе Автоматическая регистрация для ИТ-администраторов .
1.5.2. При первом включении устройства автоматически переводятся настройки, определенные ИТ-администратором.
1.6. Расширенная автоматическая настройка
ИТ-администраторы могут автоматизировать большую часть процесса регистрации устройств с помощью автоматической регистрации. В сочетании с URL-адресами для входа ИТ-администраторы могут ограничить регистрацию определенными учетными записями или доменами в соответствии с параметрами конфигурации, предлагаемыми EMM.
1.6.1. ИТ-администраторы могут подготовить принадлежащее компании устройство, используя метод автоматической регистрации .
1.6.2. Это требование устарело.
1.6.3. Используя URL-адрес для входа , EMM должен гарантировать, что неавторизованные пользователи не смогут продолжить активацию. Как минимум, активация должна быть доступна только пользователям данного предприятия.
1.6.4. Используя URL-адрес для входа , EMM должен предоставить ИТ-администраторам возможность предварительно заполнить регистрационные данные (например, идентификаторы сервера, идентификаторы регистрации), помимо уникальной информации о пользователе или устройстве (например, имя пользователя/пароль, токен активации), поэтому что пользователям не нужно вводить данные при активации устройства.
- EMM не должны включать конфиденциальную информацию, такую как пароли или сертификаты, в конфигурацию автоматической регистрации.
1.7. Настройка рабочего профиля аккаунта Google
API управления Android не поддерживает эту функцию.
1.8 Подготовка устройства к учетной записи Google
API управления Android не поддерживает эту функцию.
1.9. Прямая автоматическая настройка
ИТ-администраторы могут использовать консоль EMM для настройки устройств с автоматическим управлением с помощью iframe с автоматическим управлением .
1.10. Рабочие профили на корпоративных устройствах
EMM могут регистрировать принадлежащие компании устройства, имеющие рабочий профиль, установив AllowPersonalUsage .
1.10.1. ИТ-администраторы могут предоставить устройство в качестве рабочего профиля на принадлежащем компании устройстве с помощью QR-кода или автоматической регистрации.
1.10.2. ИТ-администраторы могут устанавливать действия по обеспечению соответствия для рабочих профилей на корпоративных устройствах с помощью PersonalUsagePolicies .
1.10.3. ИТ-администраторы могут деактивировать камеру либо в рабочем профиле, либо на всем устройстве с помощью PersonalUsagePolicies .
1.10.4. ИТ-администраторы могут отключить захват экрана либо в рабочем профиле, либо на всем устройстве с помощью PersonalUsagePolicies .
1.10.5. ИТ-администраторы могут установить список разрешенных или заблокированных приложений, которые можно или нельзя устанавливать в личном профиле с помощью PersonalApplicationPolicy .
1.10.6. ИТ-администраторы могут отказаться от управления корпоративным устройством, удалив рабочий профиль или удалив все устройство.
2. Безопасность устройства
2.1. Проблема безопасности устройства
ИТ-администраторы могут задавать и применять проверку безопасности устройства (ПИН-код/шаблон/пароль) из трех предварительно заданных уровней сложности на управляемых устройствах.
2.1.1 Политика должна обеспечивать соблюдение настроек, управляющих проблемами безопасности устройств (parentProfilePasswordRequirements для рабочего профиля, парольRequirements для полностью управляемых и выделенных устройств).
2.1.2. Сложность пароля должна соответствовать следующим уровням сложности пароля:
- PASSWORD_COMPLEXITY_LOW — шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4.
- PASSWORD_COMPLEXITY_HIGH - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей длиной не менее 8 или буквенные или буквенно-цифровые пароли длиной не менее 6.
2.1.3. Дополнительные ограничения пароля также можно применить в качестве устаревших настроек на корпоративных устройствах.
2.2 Проблема безопасности труда
ИТ-администраторы могут устанавливать и применять проверку безопасности для приложений и данных в рабочем профиле, который является отдельным и имеет другие требования, чем задача безопасности устройства (2.1.).
2.2.1. Политика должна обеспечить соблюдение требований безопасности для рабочего профиля.
- По умолчанию ИТ-администраторы должны устанавливать ограничения только для рабочего профиля, если область действия не указана.
- ИТ-администраторы могут настроить это значение для всего устройства, указав область действия (см. требование 2.1).
2.2.2. Сложность пароля должна соответствовать следующим предопределенным сложностям паролей:
- PASSWORD_COMPLEXITY_LOW — шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4.
- PASSWORD_COMPLEXITY_HIGH - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей длиной не менее 8 или буквенные или буквенно-цифровые пароли длиной не менее 6.
2.2.3. Дополнительные ограничения пароля также могут быть применены в качестве устаревших настроек.
2.3. Расширенное управление паролями
ИТ-администраторы могут настраивать расширенные настройки паролей на устройствах.
2.3.1. [намеренно пусто]
2.3.2. [намеренно пусто]
2.3.3. Следующие настройки жизненного цикла пароля можно установить для каждого экрана блокировки, доступного на устройстве:
- [намеренно пусто]
- [намеренно пусто]
- Максимальное количество неудачных паролей для очистки: указывает, сколько раз пользователи могут ввести неверный пароль, прежде чем корпоративные данные будут удалены с устройства. ИТ-администраторы должны иметь возможность отключить эту функцию.
2.3.4. (Android 8.0+) Тайм-аут, необходимый для строгой аутентификации: пароль надежной аутентификации (например, PIN-код или пароль) необходимо ввести после периода тайм-аута, установленного ИТ-администратором . По истечении времени ожидания методы ненадежной аутентификации (например, отпечаток пальца, разблокировка лицом) отключаются до тех пор, пока устройство не будет разблокировано с помощью пароля надежной аутентификации.
2.4. Умное управление замком
ИТ-администраторы могут управлять тем, разрешено ли доверенным агентам в функции Android Smart Lock продлевать разблокировку устройства до четырех часов.
2.4.1. ИТ-администраторы могут отключить агенты доверия на устройстве.
2.5. Очистить и заблокировать
ИТ-администраторы могут использовать консоль EMM для удаленной блокировки и удаления рабочих данных с управляемого устройства.
2.5.1. Устройства должны быть заблокированы с помощью Android Management API .
2.5.2. Устройства необходимо очистить с помощью Android Management API .
2.6. Обеспечение соблюдения требований
Если устройство не соответствует политикам безопасности, правила соответствия, установленные Android Management API, автоматически ограничивают использование рабочих данных.
2.6.1. Как минимум, политики безопасности, применяемые на устройстве, должны включать политику паролей.
2.7. Политики безопасности по умолчанию
EMM должны применять указанные политики безопасности на устройствах по умолчанию , не требуя от ИТ-администраторов устанавливать какие-либо параметры в консоли EMM. EMM рекомендуется (но не обязательно) не разрешать ИТ-администраторам изменять состояние этих функций безопасности по умолчанию.
2.7.1. Необходимо заблокировать установку приложений из неизвестных источников, включая приложения, установленные на личной стороне любого устройства Android 8.0+ с рабочим профилем. Эта подфункция поддерживается по умолчанию .
2.7.2. Функции отладки должны быть заблокированы. Эта подфункция поддерживается по умолчанию.
2.8. Политики безопасности для выделенных устройств
Никакие другие действия с заблокированным выделенным устройством не допускаются.
2.8.1. Загрузка в безопасном режиме должна быть отключена по умолчанию с помощью политики (перейдите в safeBootDisabled ).
2.9. Поддержка честности игры
Проверки целостности игры выполняются по умолчанию. Никакой дополнительной реализации не требуется.
2.9.1. Намеренно пусто.
2.9.2. Намеренно пусто.
2.9.3. ИТ-администраторы могут настраивать различные ответные меры политики в зависимости от значения SecurityRisk устройства, включая блокировку подготовки, удаление корпоративных данных и разрешение продолжить регистрацию.
- Служба EMM будет применять этот ответ политики для результата каждой проверки целостности.
2.10. Проверьте соблюдение требований к приложениям
ИТ-администраторы могут включить проверку приложений на устройствах. Verify Apps сканирует приложения, установленные на устройствах Android, на наличие вредоносного программного обеспечения до и после их установки, помогая гарантировать, что вредоносные приложения не смогут поставить под угрозу корпоративные данные.
2.10.1. Убедитесь, что приложения должны быть включены по умолчанию с помощью политики (перейдите к ensureVerifyAppsEnabled ).
2.11. Поддержка прямой загрузки
API управления Android поддерживает эту функцию по умолчанию. Никакой дополнительной реализации не требуется.
2.12. Управление безопасностью оборудования
ИТ-администраторы могут заблокировать аппаратные элементы корпоративного устройства, чтобы предотвратить потерю данных.
2.12.1. ИТ-администраторы могут блокировать пользователям подключение физических внешних носителей с помощью политики (перейдите к mountPhysicalMediaDisabled ).
2.12.2. ИТ-администраторы могут заблокировать пользователям обмен данными со своих устройств с помощью луча NFC с помощью политики (перейдите к outgoingBeamDisabled ). Эта дополнительная функция является необязательной, поскольку функция луча NFC больше не поддерживается в Android 10 и более поздних версиях.
2.12.3. ИТ-администраторы могут блокировать пользователям передачу файлов через USB с помощью политики (перейдите к usbFileTransferDisabled ).
2.13. Ведение журнала безопасности предприятия
API управления Android в настоящее время не поддерживает эту функцию.
3. Управление учетной записью и приложениями
3.1. Регистрация корпоративных управляемых аккаунтов Google Play
ИТ-администраторы могут создать предприятие с управляемыми учетными записями Google Play — организацию, которая позволяет управляемому Google Play распространять приложения на устройства. В консоль EMM необходимо интегрировать следующие этапы регистрации:
3.1.1. Зарегистрируйте управляемую корпоративную учетную запись Google Play с помощью Android Management API .
3.2. Управляемая подготовка аккаунта Google Play
EMM может автоматически предоставлять учетные записи корпоративных пользователей, называемые управляемыми учетными записями Google Play. Эти учетные записи идентифицируют управляемых пользователей и допускают уникальные правила распространения приложений для каждого пользователя.
3.2.1. Управляемые учетные записи Google Play (учетные записи пользователей) создаются автоматически при подготовке устройств.
API управления Android поддерживает эту функцию по умолчанию. Никакой дополнительной реализации не требуется.
3.3. Предоставление управляемой учетной записи устройства Google Play
EMM может создавать и предоставлять управляемые учетные записи устройств Google Play. Учетные записи устройств поддерживают автоматическую установку приложений из управляемого магазина Google Play и не привязываются к одному пользователю. Вместо этого учетная запись устройства используется для идентификации одного устройства для поддержки правил распространения приложений для каждого устройства в сценариях с выделенными устройствами.
3.3.1. Управляемые учетные записи Google Play создаются автоматически при подготовке устройств.
API управления Android поддерживает эту функцию по умолчанию. Никакой дополнительной реализации не требуется.
3.4. Управляемая подготовка учетной записи Google Play для устаревших устройств.
Эта функция устарела.
3.5. Тихое распространение приложений
ИТ-администраторы могут незаметно распространять рабочие приложения на устройствах без какого-либо взаимодействия с пользователем.
3.5.1. Консоль EMM должна использовать Android Management API , чтобы ИТ-администраторы могли устанавливать рабочие приложения на управляемые устройства.
3.5.2. Консоль EMM должна использовать API управления Android , чтобы ИТ-администраторы могли обновлять рабочие приложения на управляемых устройствах.
3.5.3. Консоль EMM должна использовать API управления Android , чтобы ИТ-администраторы могли удалять приложения на управляемых устройствах.
3.6. Управляемое управление конфигурацией
ИТ-администраторы могут просматривать и автоматически настраивать управляемые конфигурации для любого приложения, поддерживающего управляемые конфигурации.
3.6.1. Консоль EMM должна иметь возможность получать и отображать параметры управляемой конфигурации любого приложения Play.
3.6.2. Консоль EMM должна позволять ИТ-администраторам устанавливать любой тип конфигурации (как определено платформой Android Enterprise) для любого приложения Play с помощью Android Management API .
3.6.3. Консоль EMM должна позволять ИТ-администраторам устанавливать подстановочные знаки (например, $username$ или %emailAddress%), чтобы одну конфигурацию для такого приложения, как Gmail, можно было применять к нескольким пользователям.
3.7. Управление каталогом приложений
API управления Android поддерживает эту функцию по умолчанию. Никакой дополнительной реализации не требуется.
3.8. Программное одобрение приложения
Консоль EMM использует управляемый iframe Google Play для поддержки возможностей обнаружения и утверждения приложений Google Play. ИТ-администраторы могут искать приложения, утверждать приложения и утверждать разрешения для новых приложений, не покидая консоли EMM.
3.8.1. ИТ-администраторы могут искать приложения и утверждать их в консоли EMM с помощью управляемого iframe Google Play .
3.9. Базовое управление планировкой магазина
Управляемое приложение Google Play Store можно использовать для установки и обновления рабочих приложений. По умолчанию в управляемом магазине Google Play приложения, одобренные для пользователя, отображаются в одном списке. Эта планировка называется базовой планировкой магазина .
3.9.1. Консоль EMM должна позволять ИТ-администраторам управлять приложениями, видимыми в базовом макете магазина конечного пользователя.
3.10. Расширенная конфигурация макета магазина
3.10.1. ИТ-администраторы могут настроить макет магазина , отображаемый в управляемом приложении Google Play Store.
3.11. Управление лицензиями приложений
Эта функция устарела.
3.12. Управление частными приложениями, размещенными в Google
ИТ-администраторы могут обновлять частные приложения, размещенные в Google, через консоль EMM, а не через консоль Google Play.
3.12.1. ИТ-администраторы могут загружать новые версии приложений, которые уже опубликованы на предприятии в частном порядке, используя:
3.13. Самостоятельное управление частными приложениями
ИТ-администраторы могут настраивать и публиковать самостоятельные частные приложения. В отличие от частных приложений, размещенных в Google, Google Play не размещает APK-файлы. Вместо этого EMM помогает ИТ-администраторам самостоятельно размещать APK-файлы и помогает защитить самостоятельно размещаемые приложения, гарантируя, что их можно будет установить только после авторизации управляемого Google Play.
3.13.1. Консоль EMM должна помогать ИТ-администраторам размещать APK приложения, предлагая оба следующих варианта:
- Размещение APK на сервере EMM. Сервер может быть локальным или облачным.
- Размещение APK за пределами сервера EMM по усмотрению компании. ИТ-администратор должен указать в консоли EMM место размещения APK.
3.13.2. Консоль EMM должна создать соответствующий файл определения APK, используя предоставленный APK, и должна помогать ИТ-администраторам в процессе публикации.
3.13.3. ИТ-администраторы могут обновлять частные приложения, размещаемые самостоятельно, а консоль EMM может автоматически публиковать обновленные файлы определений APK с помощью API публикации разработчиков Google Play .
3.13.4. Сервер EMM обслуживает запросы на загрузку самостоятельно размещенного APK, который содержит действительный JWT в файле cookie запроса, что подтверждается открытым ключом частного приложения.
- Чтобы облегчить этот процесс, сервер EMM должен помочь ИТ-администраторам загрузить открытый ключ лицензии локального приложения из консоли разработчиков Google Play и загрузить этот ключ в консоль EMM.
3.14. Уведомления об извлечении EMM
Эта функция неприменима к API управления Android. Вместо этого настройте уведомления Pub/Sub .
3.15. Требования к использованию API
EMM реализует API-интерфейсы управления Android в большом масштабе, избегая шаблонов трафика, которые могут негативно повлиять на способность предприятий управлять приложениями в производственных средах.
3.15.1. EMM должен соблюдать ограничения на использование Android Management API . Если не исправить поведение, выходящее за рамки этих правил, использование API может быть приостановлено по усмотрению Google.
3.15.2. EMM должна распределять трафик от разных предприятий в течение дня, а не консолидировать корпоративный трафик в определенное или одинаковое время. Поведение, соответствующее этому шаблону трафика, например запланированные пакетные операции для каждого зарегистрированного устройства, может привести к приостановке использования API по усмотрению Google.
3.15.3. EMM не должен делать последовательные, неполные или заведомо неправильные запросы, в которых не предпринимаются попытки получить или управлять реальными корпоративными данными. Поведение, соответствующее этому шаблону трафика, может привести к приостановке использования API по усмотрению Google.
3.16. Расширенное управление управляемой конфигурацией
EMM поддерживает следующие расширенные функции управления управляемой конфигурацией:
3.16.1. Консоль EMM должна иметь возможность извлекать и отображать до четырех уровней вложенных параметров управляемой конфигурации любого приложения Play, используя:
- Управляемый iframe Google Play или
- пользовательский интерфейс.
3.16.2. Консоль EMM должна иметь возможность получать и отображать любые отзывы, возвращаемые по каналу обратной связи приложения , после настройки ИТ-администратором.
- Консоль EMM должна позволять ИТ-администраторам связывать определенный элемент отзыва с устройством и приложением, из которого он был получен.
- Консоль EMM должна позволять ИТ-администраторам подписываться на оповещения или отчеты определенных типов сообщений (например, сообщений об ошибках).
3.16.3. Консоль EMM должна отправлять только те значения, которые либо имеют значение по умолчанию, либо заданы администратором вручную с помощью:
- Управляемые конфигурации iframe или
- Пользовательский интерфейс.
3.17. Управление веб-приложением
ИТ-администраторы могут создавать и распространять веб-приложения в консоли EMM.
3.17.1. Консоль EMM позволяет ИТ-администраторам распространять ярлыки веб-приложений с помощью:
3.18. Управляемое управление жизненным циклом учетной записи Google Play.
EMM может создавать, обновлять и удалять управляемые учетные записи Google Play от имени ИТ-администраторов, а также автоматически восстанавливать их после истечения срока действия учетной записи.
Эта функция поддерживается по умолчанию. Никакой дополнительной реализации EMM не требуется.
3.19. Управление отслеживанием приложений
3.19.1. ИТ-администраторы могут получить список идентификаторов треков , установленных разработчиком для конкретного приложения.
3.19.2. ИТ-администраторы могут настроить устройства на использование определенного пути разработки приложения.
3.20. Расширенное управление обновлениями приложений
ИТ-администраторы могут разрешить немедленное обновление приложений или отложить их обновление на 90 дней.
3.20.1. ИТ-администраторы могут разрешить приложениям использовать высокоприоритетные обновления приложений, которые будут обновляться, когда обновление будет готово. 3.20.2. ИТ-администраторы могут разрешить приложениям откладывать обновления приложений на 90 дней.
3.21. Управление методами обеспечения
EMM может генерировать конфигурации подготовки и предоставлять их ИТ-администратору в форме, готовой для распространения конечным пользователям (например, QR-код, автоматическая конфигурация, URL-адрес Play Store).
4. Управление устройствами
4.1. Управление политикой разрешений во время выполнения
ИТ-администраторы могут автоматически установить ответ по умолчанию на запросы разрешений во время выполнения, сделанные рабочими приложениями.
4.1.1. ИТ-администраторы должны иметь возможность выбирать из следующих вариантов при настройке политики разрешений среды выполнения по умолчанию для своей организации:
- подсказка (позволяет пользователям выбирать)
- позволять
- отрицать
EMM должен обеспечить соблюдение этих настроек с помощью политики .
4.2. Управление состоянием предоставления разрешений во время выполнения
После установки политики разрешений во время выполнения по умолчанию (перейдите к разделу 4.1.) ИТ-администраторы могут автоматически задавать ответы на определенные разрешения из любого рабочего приложения, созданного на базе API 23 или более поздней версии.
4.2.1. ИТ-администраторы должны иметь возможность устанавливать состояние предоставления (по умолчанию, предоставить или запретить) любого разрешения, запрашиваемого любым рабочим приложением, созданным на основе API 23 или более поздней версии. EMM должен обеспечить соблюдение этих настроек с помощью политики .
4.3. Управление конфигурацией Wi-Fi
ИТ-администраторы могут автоматически настраивать корпоративные конфигурации Wi-Fi на управляемых устройствах, в том числе:
4.3.1. SSID, через политику .
4.3.2. Пароль через политику .
4.4. Управление безопасностью Wi-Fi
ИТ-администраторы могут настраивать корпоративные конфигурации Wi-Fi на устройствах, которые включают следующие расширенные функции безопасности:
4.4.1. Личность
4.4.2. Сертификаты для авторизации клиента
4.4.3. Сертификаты ЦС
4.5. Расширенное управление Wi-Fi
ИТ-администраторы могут заблокировать конфигурации Wi-Fi на управляемых устройствах, чтобы пользователи не могли создавать конфигурации или изменять корпоративные конфигурации.
4.5.1. ИТ-администраторы могут блокировать корпоративные конфигурации Wi-Fi с помощью политики в одной из следующих конфигураций:
- Пользователи не могут изменять какие-либо конфигурации Wi-Fi, предоставленные EMM (перейдите к
wifiConfigsLockdownEnabled), но могут добавлять и изменять свои собственные настраиваемые пользователем сети (например, персональные сети). - Пользователи не могут добавлять или изменять какую-либо сеть Wi-Fi на устройстве (перейдите к
wifiConfigDisabled), что ограничивает подключение Wi-Fi только теми сетями, которые предоставлены EMM.
4.6. Управление аккаунтом
ИТ-администраторы могут гарантировать, что только авторизованные корпоративные учетные записи смогут взаимодействовать с корпоративными данными для таких служб, как SaaS-приложения для хранения и повышения производительности, а также электронная почта. Без этой функции пользователи могут добавлять личные учетные записи в те корпоративные приложения, которые также поддерживают потребительские учетные записи, что позволяет им обмениваться корпоративными данными с этими личными учетными записями.
4.6.1. ИТ-администраторы могут запретить пользователям добавлять или изменять учетные записи ( modifyAccountsDisabled ).
- При применении этой политики на устройстве EMM должны установить это ограничение до завершения подготовки, чтобы гарантировать, что пользователи не смогут обойти эту политику, добавляя учетные записи до того, как политика будет введена в действие.
4.7. Управление учетными записями рабочей области
API управления Android не поддерживает эту функцию.
4.8. Управление сертификатами
Позволяет ИТ-администраторам развертывать сертификаты удостоверений и центры сертификации на устройствах, чтобы разрешить использование корпоративных ресурсов.
4.8.1. ИТ-администраторы могут устанавливать сертификаты идентификации пользователей , созданные их PKI, отдельно для каждого пользователя. Консоль EMM должна интегрироваться хотя бы с одной PKI и распространять сертификаты, созданные из этой инфраструктуры.
4.8.2. ИТ-администраторы могут устанавливать центры сертификации (см. caCerts ) в управляемом хранилище ключей. Однако эта подфункция в настоящее время не поддерживается.
4.9. Расширенное управление сертификатами
Позволяет ИТ-администраторам автоматически выбирать сертификаты, которые должны использовать определенные управляемые приложения. Эта функция также предоставляет ИТ-администраторам возможность удалять центры сертификации и сертификаты идентификации с активных устройств и запрещать пользователям изменять учетные данные, хранящиеся в управляемом хранилище ключей.
4.9.1. Для любого приложения, распространяемого на устройства, ИТ-администраторы могут указать сертификат, к которому приложению будет автоматически предоставлен доступ во время выполнения. (Эта подфункция в настоящее время не поддерживается)
- Выбор сертификата должен быть достаточно универсальным, чтобы обеспечить единую конфигурацию, применимую ко всем пользователям, каждый из которых может иметь индивидуальный сертификат удостоверения пользователя.
4.9.2. ИТ-администраторы могут автоматически удалять сертификаты из управляемого хранилища ключей.
4.9.3. ИТ-администраторы могут автоматически удалить сертификат CA. (Эта подфункция в настоящее время не поддерживается)
4.9.4. ИТ-администраторы могут запретить пользователям настраивать учетные данные (перейдите к credentialsConfigDisabled ) в управляемом хранилище ключей.
4.9.5. ИТ-администраторы могут предварительно выдавать сертификаты для рабочих приложений с помощью ChoosePrivateKeyRule .
4.10. Делегированное управление сертификатами
ИТ-администраторы могут распространять стороннее приложение для управления сертификатами на устройства и предоставлять этому приложению привилегированный доступ для установки сертификатов в управляемое хранилище ключей.
4.10.1. ИТ-администраторы могут указать пакет управления сертификатами (перейдите к delegatedCertInstallerPackage ), который будет установлен в качестве приложения для управления делегированными сертификатами.
- EMM может дополнительно предлагать известные пакеты управления сертификатами, но должен позволять ИТ-администратору выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.11. Расширенное управление VPN
Позволяет ИТ-администраторам указать Always On VPN, чтобы гарантировать, что данные из указанных управляемых приложений всегда будут проходить через настроенную виртуальную частную сеть (VPN). Примечание. Для этой функции требуется развертывание VPN-клиента, который поддерживает функции Always On и VPN для каждого приложения.
4.11.1. ИТ-администраторы могут указать произвольный пакет VPN для установки в качестве Always On VPN.
- Консоль EMM может дополнительно предлагать известные пакеты VPN, поддерживающие Always On VPN, но не может ограничивать VPN, доступные для конфигурации Always On, каким-либо произвольным списком.
4.11.2. ИТ-администраторы могут использовать управляемые конфигурации, чтобы указать параметры VPN для приложения.
4.12. Управление IME
ИТ-администраторы могут управлять тем, какие методы ввода (IME) можно настроить для устройств. Поскольку IME используется как в рабочем, так и в личном профилях, блокировка использования IME не позволит пользователям разрешить использование этих IME и в личных целях. Однако ИТ-администраторы не могут блокировать использование системных IME в рабочих профилях (более подробную информацию можно найти в разделе расширенного управления IME).
4.12.1. ИТ-администраторы могут настроить список разрешений IME (Перейти к permitted_input_methods ) произвольной длины (включая пустой список, который блокирует несистемные IME), который может содержать любые произвольные пакеты IME.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые IME для включения в список разрешений, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.12.2. EMM должен сообщить ИТ-администраторам, что системные IME исключены из управления на устройствах с рабочими профилями.
4.13. Расширенное управление IME
ИТ-администраторы могут управлять тем, какие методы ввода (IME) пользователи могут настраивать на устройстве. Расширенное управление IME расширяет базовую функцию, позволяя ИТ-администраторам также управлять использованием системных IME, которые обычно предоставляет производитель устройства или оператор связи.
4.13.1. ИТ-администраторы могут настроить список разрешений IME (перейдите к permitted_input_methods ) произвольной длины (за исключением пустого списка, который блокирует все IME, включая системные IME), который может содержать любые произвольные пакеты IME.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые IME для включения в список разрешений, но должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.13.2. EMM должен запретить ИТ-администраторам создавать пустой список разрешений, поскольку этот параметр блокирует настройку всех IME, включая системные IME, на устройстве.
4.13.3. EMM должен гарантировать, что если список разрешений IME не содержит системных IME, сторонние IME будут автоматически установлены до применения списка разрешений на устройстве.
4.14. Управление услугами доступности
ИТ-администраторы могут управлять тем, какие службы доступности пользователи могут разрешить на устройствах. Службы доступности — это мощные инструменты для пользователей с ограниченными возможностями или тех, кто временно не может полноценно взаимодействовать с устройством. Однако они могут взаимодействовать с корпоративными данными способами, несовместимыми с корпоративной политикой. Эта функция позволяет ИТ-администраторам отключать любую несистемную службу специальных возможностей.
4.14.1. ИТ-администраторы могут настроить список разрешенных служб доступности (перейдите к permittedAccessibilityServices ) произвольной длины (включая пустой список, который блокирует несистемные службы доступности), который может содержать любой произвольный пакет службы доступности. Применительно к рабочему профилю это влияет как на личный, так и на рабочий профиль.
- Консоль может дополнительно предлагать известные или рекомендуемые службы специальных возможностей для включения в белый список, но должна позволять ИТ-администратору выбирать из списка приложений, доступных для установки, для соответствующих пользователей.
4.15. Управление передачей местоположения
ИТ-администраторы могут запретить пользователям делиться данными о местоположении с приложениями в рабочем профиле. В противном случае параметр местоположения в рабочем профиле можно настроить в настройках.
4.15.1. ИТ-администраторы могут отключить службы определения местоположения (перейдите в shareLocationDisabled ») в рабочем профиле.
4.16. Расширенное управление передачей местоположения
ИТ-администраторы могут принудительно применить определенный параметр совместного доступа к местоположению на управляемом устройстве. Эта функция может гарантировать, что корпоративные приложения всегда будут иметь данные о местоположении с высокой точностью. Эта функция также может гарантировать, что лишняя батарея не будет расходоваться, ограничивая настройки местоположения режимом экономии заряда батареи.
4.16.1. ИТ-администраторы могут настроить службы определения местоположения устройств в каждом из следующих режимов:
- Высокая точность.
- Только датчики, например GPS, но без учета местоположения, предоставляемого сетью.
- Экономия заряда батареи, что ограничивает частоту обновлений.
- Выключенный.
4.17. Управление защитой от сброса к заводским настройкам
Позволяет ИТ-администраторам защищать принадлежащие компании устройства от кражи, гарантируя, что неавторизованные пользователи не смогут выполнить сброс настроек устройств до заводских настроек. Если защита от сброса к заводским настройкам усложняет эксплуатацию при возврате устройств в ИТ-отдел, ИТ-администраторы могут полностью отключить защиту от сброса к заводским настройкам.
4.17.1. ИТ-администраторы могут запретить пользователям выполнять сброс настроек к заводским настройкам (перейдите к factoryResetDisabled ) на своем устройстве в настройках.
4.17.2. ИТ-администраторы могут указать корпоративные учетные записи разблокировки, которым разрешено инициализировать устройства (перейдите на frpAdminEmails ) после сброса настроек.
- Эта учетная запись может быть привязана к отдельному лицу или использоваться всем предприятием для разблокировки устройств.
4.17.3. ИТ-администраторы могут отключить защиту от сброса настроек (перейдите к 0 factoryResetDisabled ) для определенных устройств.
4.17.4. ИТ-администраторы могут запустить удаленную очистку устройства , которая при необходимости стирает данные защиты от сброса, удаляя таким образом защиту от сброса настроек на устройстве сброшенного устройства.
4.18. Расширенное управление приложением
ИТ-администраторы могут запретить пользователю удалять или иным образом изменять управляемые приложения через «Настройки». Например, предотвращение принудительного закрытия приложения или очистка кэша данных приложения.
4.18.1. ИТ-администраторы могут заблокировать удаление любых произвольных управляемых приложений или всех управляемых приложений (перейдите к uninstallAppsDisabled ).
4.18.2. ИТ-администраторы могут запретить пользователям изменять данные приложения в настройках. (API управления Android не поддерживает эту подфункцию)
4.19. Управление захватом экрана
ИТ-администраторы могут запретить пользователям делать снимки экрана при использовании управляемых приложений. Этот параметр включает блокировку приложений для совместного использования экрана и аналогичных приложений (например, Google Assistant), которые используют возможности создания снимков экрана.
4.19.1. ИТ-администраторы могут запретить пользователям делать снимки экрана (перейдите к screenCaptureDisabled ).
4.20. Отключить камеры
ИТ-администраторы могут отключить использование камер устройств управляемыми приложениями.
4.20.1. ИТ-администраторы могут отключить использование камер устройств (перейдите в cameraDisabled ) управляемыми приложениями.
4.21. Сбор сетевой статистики
API управления Android в настоящее время не поддерживает эту функцию.
4.22. Расширенный сбор сетевой статистики
API управления Android в настоящее время не поддерживает эту функцию.
4.23. Перезагрузите устройство
ИТ-администраторы могут удаленно перезапускать управляемые устройства.
4.23.1. ИТ-администраторы могут удаленно перезагрузить управляемое устройство.
4.24. Управление радиосистемой
Предоставляет ИТ-администраторам детальное управление системными сетевыми радиомодулями и соответствующими политиками использования с помощью политики .
4.24.1. ИТ-администраторы могут отключить широковещательную рассылку сотовых сетей, отправляемую поставщиками услуг (перейдите в cellBroadcastsConfigDisabled ).
4.24.2. ИТ-администраторы могут запретить пользователям изменять настройки мобильной сети в настройках (перейдите в mobileNetworksConfigDisabled ).
4.24.3. ИТ-администраторы могут запретить пользователям сбрасывать все настройки сети в разделе «Настройки». (перейдите в networkResetDisabled ).
4.24.4. ИТ-администраторы могут настроить, будет ли устройство разрешать передачу мобильных данных в роуминге (перейдите к dataRoamingDisabled ).
4.24.5. ИТ-администраторы могут настроить, может ли устройство совершать исходящие телефонные звонки, исключая экстренные вызовы (перейдите к outGoingCallsDisabled ).
4.24.6. ИТ-администраторы могут настроить, может ли устройство отправлять и получать текстовые сообщения (перейдите к smsDisabled ).
4.24.7. ИТ-администраторы могут запретить пользователям использовать свои устройства в качестве портативной точки доступа с помощью модема (перейдите к tetheringConfigDisabled ).
4.24.8. ИТ-администраторы могут установить время ожидания Wi-Fi по умолчанию при подключении к сети или никогда. (API управления Android не поддерживает эту подфункцию)
4.24.9. ИТ-администраторы могут запретить пользователям настраивать или изменять существующие подключения Bluetooth (перейдите к bluetoothConfigDisabled ).
4.25. Управление системным звуком
ИТ-администраторы могут бесшумно управлять функциями звука устройства , в том числе отключать звук устройства, запрещать пользователям изменять настройки громкости и запрещать пользователям включать микрофон устройства.
4.25.1. ИТ-администраторы могут автоматически отключать звук на управляемых устройствах. (API управления Android не поддерживает эту подфункцию)
4.25.2. ИТ-администраторы могут запретить пользователям изменять настройки громкости устройства (перейдите к adjustVolumeDisabled ). Это также отключает звук на устройствах.
4.25.3. ИТ-администраторы могут запретить пользователям включать микрофон устройства (перейдите к unmuteMicrophoneDisabled ).
4.26. Управление системными часами
ИТ-администраторы могут управлять настройками часов и часового пояса устройства, а также запрещать пользователям изменять автоматические настройки устройства.
4.26.1. ИТ-администраторы могут принудительно настроить автоматическое время и часовой пояс системы , не позволяя пользователю устанавливать дату, время и часовой пояс устройства.
4.27. Расширенные функции выделенного устройства
Для выделенных устройств ИТ-администраторы могут управлять следующими функциями с помощью политики для поддержки различных вариантов использования киоска.
4.27.1. ИТ-администраторы могут отключить защиту клавиатуры устройства (перейдите в keyguardDisabled ).
4.27.2. ИТ-администраторы могут отключить строку состояния устройства, заблокировав уведомления и быстрые настройки (перейдите в statusBarDisabled ).
4.27.3. ИТ-администраторы могут заставить экран устройства оставаться включенным, пока устройство подключено к сети (перейдите к stayOnPluggedModes ).
4.27.4. ИТ-администраторы могут запретить отображение следующих системных интерфейсов (перейдите к createWindowsDisabled ):
- Тосты
- Наложения приложений.
4.27.5. ИТ-администраторы могут разрешить системным рекомендациям для приложений пропускать руководство пользователя и другие вводные подсказки при первом запуске (перейдите к skip_first_use_hints ).
4.28. Делегированное управление объемом
ИТ-администраторы могут делегировать дополнительные привилегии отдельным пакетам.
4.28.1. ИТ-администраторы могут управлять следующими областями :
- Установка и управление сертификатами
- Управление управляемыми конфигурациями
- Сетевое журналирование
- Журналирование безопасности
4.29. Поддержка идентификаторов для конкретной регистрации
Начиная с Android 12, рабочие профили больше не будут иметь доступа к идентификаторам оборудования. ИТ-администраторы могут следить за жизненным циклом устройства с помощью рабочего профиля с помощью идентификатора, специфичного для регистрации, который сохраняется после сброса настроек к заводским настройкам.
4.29.1. ИТ-администраторы могут получить идентификатор, специфичный для регистрации.
4.29.2. Этот идентификатор, специфичный для регистрации, должен сохраняться после сброса настроек к заводским настройкам.
5. Удобство использования устройства
5.1. Настройка управляемой подготовки
ИТ-администраторы могут изменить пользовательский интерфейс процесса настройки по умолчанию, включив в него функции, специфичные для предприятия. При необходимости ИТ-администраторы могут отображать брендинг, предоставленный EMM, во время подготовки.
5.1.1. ИТ-администраторы могут настроить процесс подготовки, указав Условия обслуживания для конкретного предприятия и другие заявления об отказе от ответственности (перейдите к termsAndConditions ).
5.1.2. ИТ-администраторы могут применять ненастраиваемые Условия обслуживания, специфичные для EMM, и другие заявления об отказе от ответственности (перейдите к termsAndConditions ).
- EMM могут установить свои ненастраиваемые, специфичные для EMM настройки в качестве настроек по умолчанию для развертываний, но должны разрешить ИТ-администраторам настраивать свои собственные настройки.
5.1.3 primaryColor устарел для корпоративного ресурса на Android 10 и более поздних версиях.
5.2. Корпоративная настройка
API управления Android не поддерживает эту функцию.
5.3. Расширенная корпоративная настройка
API управления Android не поддерживает эту функцию.
5.4. Сообщения на экране блокировки
ИТ-администраторы могут установить собственное сообщение, которое всегда будет отображаться на экране блокировки устройства и не требует для просмотра разблокировки устройства.
5.4.1. ИТ-администраторы могут установить собственное сообщение на экране блокировки (перейдите в deviceOwnerLockScreenInfo ).
5.5. Управление прозрачностью политики
ИТ-администраторы могут настроить текст справки, предоставляемый пользователям, когда они пытаются изменить управляемые настройки на своем устройстве, или развернуть общее сообщение поддержки, предоставленное EMM. Можно настроить как короткие, так и длинные сообщения поддержки, которые отображаются в таких случаях, как попытка удалить управляемое приложение, для которого ИТ-администратор уже заблокировал удаление.
5.5.1. ИТ-администраторы могут настраивать короткие и длинные сообщения поддержки для пользователей .
5.5.2. ИТ-администраторы могут развертывать ненастраиваемые короткие и длинные сообщения поддержки, предназначенные для EMM (перейдите к shortSupportMessage и longSupportMessage в policies ).
- EMM может устанавливать свои ненастраиваемые, специфичные для EMM сообщения поддержки в качестве сообщений по умолчанию для развертываний, но должен разрешить ИТ-администраторам настраивать свои собственные сообщения.
5.6. Управление межпрофильными контактами
5.6.1. ИТ-администраторы могут отключить отображение рабочих контактов при поиске контактов в личном профиле и входящих вызовах .
5.6.2. ИТ-администраторы могут отключить совместное использование рабочих контактов через Bluetooth , например звонки по громкой связи в автомобиле или через гарнитуру.
5.7. Управление межпрофильными данными
Позволяет ИТ-администраторам управлять типами данных, которые могут использоваться совместно рабочим и личным профилями, позволяя администраторам сбалансировать удобство использования и безопасность данных в соответствии со своими требованиями.
5.7.1. ИТ-администраторы могут настроить политику совместного использования данных между профилями , чтобы личные приложения могли определять намерения из рабочего профиля, например намерения совместного использования или веб-ссылки.
5.7.2. ИТ-администраторы могут разрешить приложениям из рабочего профиля создавать и отображать виджеты на главном экране личного профиля. По умолчанию эта функция отключена, но ее можно разрешить с помощью полей workProfileWidgets и workProfileWidgetsDefault .
5.7.3. ИТ-администраторы могут контролировать возможность копирования и вставки между рабочим и личным профилями .
5.8. Политика обновления системы
ИТ-администраторы могут настраивать и применять устройства обновления системы по беспроводной сети (OTA).
5.8.1. Консоль EMM позволяет ИТ-администраторам устанавливать следующие конфигурации OTA:
- Автоматически: устройства получают обновления OTA, когда они становятся доступными.
- Отложить: ИТ-администраторы должны иметь возможность откладывать обновление OTA на срок до 30 дней. Эта политика не влияет на обновления безопасности (например, ежемесячные исправления безопасности).
- Оконный режим: ИТ-администраторы должны иметь возможность планировать OTA-обновления в рамках ежедневного окна обслуживания.
5.8.2. Конфигурации OTA применяются к устройствам посредством политики .
5.9. Блокировка управления режимом задач
ИТ-администраторы могут заблокировать приложение или набор приложений на экране и гарантировать, что пользователи не смогут выйти из приложения.
5.9.1. Консоль EMM позволяет ИТ-администраторам молча разрешать установку и блокировку произвольного набора приложений на устройстве. Политика позволяет настраивать выделенные устройства.
5.10. Постоянное управление предпочтительной деятельностью
Позволяет ИТ-администраторам устанавливать приложение в качестве обработчика намерений по умолчанию для намерений, соответствующих определенному фильтру намерений. Например, эта функция позволит ИТ-администраторам выбирать, какое приложение браузера автоматически открывает веб-ссылки. Эта функция позволяет управлять тем, какое приложение запуска используется при нажатии кнопки «Домой».
5.10.1. ИТ-администраторы могут установить любой пакет в качестве обработчика намерений по умолчанию для любого произвольного фильтра намерений.
- Консоль EMM может дополнительно предлагать известные или рекомендуемые намерения для настройки, но не может ограничивать намерения каким-либо произвольным списком.
- Консоль EMM должна позволять ИТ-администраторам выбирать из списка приложений, доступных для установки соответствующим пользователям.
5.11. Управление функциями Keyguard
ИТ-администраторы могут управлять функциями, доступными пользователям, прежде чем разблокировать защиту клавиатуры устройства (экран блокировки) и защиту клавиатуры рабочего задания (экран блокировки).
5.11.1. Политика может отключить следующие функции защиты клавиатуры устройства:
- трастовые агенты
- разблокировка по отпечатку пальца
- неотредактированные уведомления
5.11.2. Следующие функции защиты рабочего профиля можно отключить с помощью политики :
- трастовые агенты
- разблокировка по отпечатку пальца
5.12. Расширенное управление функциями защиты клавиатуры
- Защищенная камера.
- Все уведомления.
- Неотредактированные
- агенты доверия
- . Разблокировка по отпечатку пальца.
- Все функции защиты клавиатуры.
5.13. Удаленная отладка
API управления Android в настоящее время не поддерживает эту функцию.
5.14. Получение MAC-адреса
EMM могут автоматически получать MAC-адрес устройства, который будет использоваться для идентификации устройств в других частях корпоративной инфраструктуры (например, при идентификации устройств для контроля доступа к сети).
5.14.1. EMM может автоматически получить MAC-адрес устройства и связать его с устройством в консоли EMM.
5.15. Расширенное управление режимом задач блокировки
Имея выделенное устройство, ИТ-администраторы могут использовать консоль EMM для выполнения следующих задач:
5.15.1. Разрешить установку и блокировку одного приложения на устройстве в автоматическом режиме.
5.15.2. Включите или отключите следующие функции системного пользовательского интерфейса:
- Главная кнопка
- Обзор
- Глобальные действия
- Уведомления
- Информация о системе/строка состояния
- Keyguard (экран блокировки). Эта подфункция включена по умолчанию в версии 5.15.1. реализован.
5.15.3. Отключите диалоговые окна системных ошибок .
5.16. Расширенная политика обновления системы
ИТ-администраторы могут установить определенный период заморозки для блокировки обновлений системы на устройстве.
5.16.1. Консоль EMM должна позволять ИТ-администраторам блокировать обновления системы по беспроводной сети (OTA) на определенный период заморозки .
5.17. Управление прозрачностью политики рабочего профиля
ИТ-администраторы могут настроить сообщение, отображаемое пользователям при удалении рабочего профиля с устройства.
5.17.1. ИТ-администраторы могут предоставить собственный текст для отображения (перейдите к wipeReasonMessage ) при удалении рабочего профиля.
5.18. Поддержка подключенных приложений
ИТ-администраторы могут задать список пакетов, которые могут взаимодействовать через границы рабочего профиля, установив ConnectedWorkAndPersonalApp .
5.19. Обновление системы вручную
API управления Android не поддерживает эту функцию.
6. Прекращение поддержки администратора устройства
6. Прекращение поддержки администратора устройства
Компании EMM должны опубликовать план к концу 2022 года, прекращающий поддержку клиентов для администратора устройств на устройствах GMS к концу первого квартала 2023 года.