หน้านี้จะแสดงชุดฟีเจอร์ทั้งหมดของ Android Enterprise
หากคุณต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ต้องรองรับฟีเจอร์มาตรฐานทั้งหมด () ของโซลูชันอย่างน้อย 1 ชุดก่อนที่จะใช้ในเชิงพาณิชย์ได้ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์มาตรฐานจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ในฐานะชุดการจัดการมาตรฐาน
ชุดโซลูชันแต่ละชุดจะมีฟีเจอร์ขั้นสูงเพิ่มเข้ามา 1 ชุด ฟีเจอร์ต่อไปนี้จะระบุไว้ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งาน อุปกรณ์ที่มีการจัดการครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ในฐานะชุดการจัดการขั้นสูง
หมายเหตุ: การใช้ Android Management API ขึ้นอยู่กับนโยบายการใช้งานที่อนุญาต
คีย์
| ฟีเจอร์มาตรฐาน รายการ | ฟีเจอร์ที่ไม่บังคับ | ไม่เกี่ยวข้อง |
1. การจัดสรรอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานที่ใช้ DPC เป็นหลัก
หลังจากดาวน์โหลด Android Device Policy จาก Google Play แล้ว ผู้ใช้จะจัดสรรโปรไฟล์งานได้
1.1.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อรองรับวิธีการจัดสรรนี้ (ไปที่ การลงทะเบียนและการจัดสรรอุปกรณ์)
1.2 การจัดสรรอุปกรณ์ตัวระบุ DPC
การป้อน "afw#" ในวิซาร์ดการตั้งค่าของอุปกรณ์จะจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะ
1.2.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อรองรับวิธีการจัดสรรนี้ (ไปที่การลงทะเบียนและการจัดสรรอุปกรณ์)
1.3 การจัดสรรอุปกรณ์ NFC
ผู้ดูแลระบบไอทีใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นได้ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Play EMM API
1.3.1. EMM ต้องใช้แท็ก NFC ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งผ่านรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ รายละเอียดการจดทะเบียนไม่ควรมีข้อมูล ที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. เราขอแนะนําให้ใช้แท็ก NFC สําหรับ Android 10 เป็นต้นไปเนื่องจากการเลิกใช้งาน NFCบีม (หรือที่เรียกว่า NFC Bump)
1.4 การจัดสรรอุปกรณ์คิวอาร์โค้ด
คอนโซลของ EMM สามารถสร้างคิวอาร์โค้ดที่ผู้ดูแลระบบไอทีสแกนเพื่อจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะได้ ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Android Management API
1.4.1. คิวอาร์โค้ดต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งผ่านรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) ไปยังอุปกรณ์ รายละเอียดการจดทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อจากตัวแทนจำหน่ายที่ได้รับอนุญาตไว้ล่วงหน้า และจัดการอุปกรณ์ดังกล่าวได้โดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทโดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มตามที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์ครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่ผู้ดูแลระบบไอทีกำหนดโดยอัตโนมัติ
1.6. การจัดสรรการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถดำเนินการหลายขั้นตอนการลงทะเบียนอุปกรณ์โดยอัตโนมัติด้วยการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม เมื่อใช้ร่วมกับ URL การลงชื่อเข้าใช้ ผู้ดูแลระบบไอทีสามารถจำกัดการลงทะเบียนไว้เฉพาะบัญชีหรือโดเมนที่เจาะจงตามตัวเลือกการกำหนดค่าที่ EMM มีให้
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทโดยใช้วิธีการลงทะเบียนอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.6.2. ข้อกำหนดนี้เลิกใช้งานแล้ว
1.6.3. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตจะดำเนินการเปิดใช้งานไม่ได้ อย่างน้อยที่สุด คุณจะต้องล็อกการเปิดใช้งานไว้ สำหรับผู้ใช้ขององค์กรหนึ่งๆ
1.6.4. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM ต้องทำให้ผู้ดูแลระบบไอทีสามารถกรอกรายละเอียดการลงทะเบียนล่วงหน้า (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้ที่ไม่ซ้ำหรืออุปกรณ์ (เช่น ชื่อผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อให้ผู้ใช้ไม่ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง ในการกำหนดค่าของการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
Android Management API ไม่รองรับฟีเจอร์นี้
1.8 การจัดสรรอุปกรณ์ในบัญชี Google
Android Management API ไม่รองรับฟีเจอร์นี้
1.9 การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้ iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10 โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้โดยการตั้งค่า AllowPersonalUsage
1.10.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์เป็นโปรไฟล์งานในอุปกรณ์ของบริษัทโดยใช้คิวอาร์โค้ดหรือการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10.2. ผู้ดูแลระบบไอทีตั้งค่าการดำเนินการเพื่อปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทได้ผ่าน PersonalUsagePolicies
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือทั้งอุปกรณ์ได้ผ่าน PersonalUsagePolicies
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือทั้งอุปกรณ์ได้ผ่าน PersonalUsagePolicies
1.10.5. ผู้ดูแลระบบไอทีสามารถกำหนดรายการที่อนุญาตหรือรายการที่บล็อกของแอปพลิเคชันที่สามารถติดตั้งหรือ ไม่สามารถติดตั้งในโปรไฟล์ส่วนตัวได้ผ่าน PersonalApplicationPolicy
1.10.6. ผู้ดูแลระบบไอทีสามารถละทิ้งการจัดการอุปกรณ์ของบริษัทได้โดยนำโปรไฟล์งานออกหรือล้างข้อมูลทั้งหมดในอุปกรณ์
2. ความปลอดภัยของอุปกรณ์
2.1 คำถามเพื่อความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีตั้งค่าและบังคับใช้คำถามเพื่อความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) ได้จากตัวเลือกความซับซ้อน 3 ระดับที่กำหนดไว้ล่วงหน้าในอุปกรณ์ที่มีการจัดการ
2.1.1 นโยบายต้องบังคับใช้การตั้งค่าเพื่อจัดการการยืนยันตัวตนเพื่อรักษาความปลอดภัยของอุปกรณ์ (parentProfilePasswordrequirements สำหรับโปรไฟล์งาน และ PasswordTerms สำหรับอุปกรณ์ที่มีการจัดการเต็มรูปแบบและอุปกรณ์เฉพาะทาง)
2.1.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านต่อไปนี้
- password_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตามลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLอะไรบ้าง
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และรหัสผ่านความยาวอย่างน้อย 8 อักขระหรือที่เป็นตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6 อักขระ
2.1.3. นอกจากนี้ ยังบังคับใช้การจำกัดรหัสผ่านเพิ่มเติมเป็นการตั้งค่าเดิมในอุปกรณ์ของบริษัทได้ด้วย
2.2 ภารกิจด้านความปลอดภัยในการทำงาน
ผู้ดูแลระบบไอทีสามารถกำหนดและบังคับใช้คำถามเพื่อความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งาน ซึ่งแยกต่างหากและมีข้อกำหนดแตกต่างจากคำถามเพื่อความปลอดภัยของอุปกรณ์ (2.1.)
2.2.1. นโยบายต้องบังคับใช้คำถามเพื่อความปลอดภัยสำหรับโปรไฟล์งาน
- โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรจำกัดสำหรับโปรไฟล์งานเท่านั้นหากไม่ได้ระบุขอบเขตไว้
- ผู้ดูแลระบบไอทีตั้งค่าให้กับทั้งอุปกรณ์ได้โดยการระบุขอบเขต (ดูข้อกำหนดข้อ 2.1)
2.2.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับความซับซ้อนของรหัสผ่านที่กำหนดไว้ล่วงหน้าดังต่อไปนี้
- password_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตามลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLอะไรบ้าง
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468) และรหัสผ่านความยาวอย่างน้อย 8 อักขระหรือที่เป็นตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6 อักขระ
2.2.3. สามารถบังคับใช้การจำกัดรหัสผ่านเพิ่มเติมเป็นการตั้งค่าเดิมได้
2.3 การจัดการรหัสผ่านขั้นสูง
ผู้ดูแลระบบไอทีจะตั้งค่ารหัสผ่านขั้นสูงในอุปกรณ์ได้
2.3.1. [เว้นว่างไว้โดยเจตนา]
2.3.2. [เว้นว่างไว้โดยเจตนา]
2.3.3. คุณตั้งค่าการตั้งค่าวงจรของรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละรายการที่อยู่ในอุปกรณ์ได้
- [เว้นว่างไว้โดยเจตนา]
- [เว้นว่างไว้โดยเจตนา]
- จำนวนรหัสผ่านที่ล้มเหลวสูงสุดสำหรับการล้างข้อมูล: ระบุจำนวนครั้งที่ผู้ใช้สามารถป้อนรหัสผ่านที่ไม่ถูกต้องก่อนที่จะล้างข้อมูลบริษัทออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.3.4. (Android 8.0 ขึ้นไป) หมดเวลาการตรวจสอบสิทธิ์แบบเข้มงวด ต้องป้อนรหัสผ่านการตรวจสอบสิทธิ์ที่รัดกุม (เช่น PIN หรือรหัสผ่าน) หลังจากระยะเวลาที่ผู้ดูแลระบบไอทีกำหนด หลังหมดเวลาดังกล่าว ระบบจะปิดวิธีการตรวจสอบสิทธิ์ที่ไม่เข้มงวด (เช่น ลายนิ้วมือ การปลดล็อกด้วยใบหน้า) จนกว่าจะปลดล็อกอุปกรณ์ด้วยรหัสผ่านการตรวจสอบสิทธิ์ที่รัดกุม
2.4 การจัดการ Smart Lock
ผู้ดูแลระบบไอทีสามารถจัดการได้ว่าจะอนุญาตให้เอเจนต์ความน่าเชื่อถือในฟีเจอร์ Smart Lock ของ Android ขยายระยะเวลาการปลดล็อกอุปกรณ์ได้สูงสุดถึง 4 ชั่วโมงหรือไม่
2.4.1. ผู้ดูแลระบบไอทีจะปิดใช้ ตัวแทนการเชื่อถือในอุปกรณ์ได้
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานจากอุปกรณ์ที่มีการจัดการจากระยะไกลได้
2.5.1. ต้องล็อกอุปกรณ์โดยใช้ Android Management API
2.5.2. ต้องล้างข้อมูลอุปกรณ์โดยใช้ Android Management API
2.6 การบังคับใช้การปฏิบัติตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายความปลอดภัย กฎการปฏิบัติตามข้อกำหนดที่ใช้งานโดย Android Management API จะจำกัดการใช้ข้อมูลงานโดยอัตโนมัติ
2.6.1. อย่างน้อยที่สุด นโยบายความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีนโยบายรหัสผ่าน
2.7 นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายความปลอดภัยที่ระบุในอุปกรณ์ค่าเริ่มต้น โดยไม่ต้องให้ผู้ดูแลระบบไอทีตั้งค่าหรือปรับแต่งการตั้งค่าใดๆ ในคอนโซลของ EMM เราขอแนะนำให้ใช้ EMM (แต่ไม่จำเป็น) เพื่อไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยนสถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. การติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จักต้องถูกบล็อก รวมถึงแอปที่ติดตั้งในโหมดส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน ระบบรองรับฟีเจอร์ย่อยนี้โดยค่าเริ่มต้น
2.7.2. ฟีเจอร์การแก้ไขข้อบกพร่องต้องถูกบล็อก ระบบรองรับฟีเจอร์ย่อยนี้โดยค่าเริ่มต้น
2.8 นโยบายด้านความปลอดภัยสำหรับอุปกรณ์เฉพาะ
ไม่อนุญาตให้ดำเนินการอื่นๆ สำหรับอุปกรณ์เฉพาะที่ล็อกอยู่
2.8.1. การเปิดเครื่องเข้าสู่โหมดปลอดภัยจะต้องปิดอยู่โดยค่าเริ่มต้นผ่านนโยบาย
(ไปที่ safeBootDisabled)
2.9 การสนับสนุนความสมบูรณ์ของ Play
การตรวจสอบความสมบูรณ์ของ Play จะดำเนินการโดยค่าเริ่มต้น โดยไม่ต้องติดตั้งใช้งานเพิ่มเติม
2.9.1. ว่างเปล่าโดยเจตนา
2.9.2. ว่างเปล่าโดยเจตนา
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบสนองเกี่ยวกับนโยบายต่างๆ ตามค่าของ SecurityRisk ของอุปกรณ์ รวมถึงการบล็อกการจัดสรร การล้างข้อมูลบริษัท และการอนุญาตให้ลงทะเบียนเพื่อดำเนินการต่อ
- บริการ EMM จะบังคับใช้การตอบกลับนโยบายนี้สำหรับผลการตรวจสอบความสมบูรณ์แต่ละครั้ง
2.10 การบังคับใช้ยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดยืนยันแอปในอุปกรณ์ "ยืนยันแอป" จะสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาซอฟต์แวร์ที่เป็นอันตรายก่อนและหลังการติดตั้ง เพื่อให้มั่นใจว่าแอปที่เป็นอันตรายจะไม่สามารถบุกรุกข้อมูลของบริษัท
2.10.1. ยืนยันแอปต้องเปิดอยู่โดยค่าเริ่มต้นผ่านนโยบาย
(ไปที่ ensureVerifyAppsEnabled)
2.11 การรองรับ Direct Boot
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยไม่ต้องติดตั้งใช้งานเพิ่มเติม
2.12 การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อการป้องกันข้อมูลรั่วไหล
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมสื่อกายภาพภายนอกผ่านนโยบาย (ไปที่ mountPhysicalMediaDisabled)
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์ของตนโดยใช้การบีม NFC ผ่านนโยบาย (ไปที่ outgoingBeamDisabled) คุณไม่จำเป็นต้องใช้ฟีเจอร์ย่อยนี้ เนื่องจาก Android 10 ขึ้นไปไม่รองรับฟังก์ชันการบีม NFC แล้ว
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB ผ่านนโยบาย (ไปที่ usbFileTransferDisabled)
2.13 การบันทึกการรักษาความปลอดภัยขององค์กร
Android Management API ยังไม่รองรับฟีเจอร์นี้ในขณะนี้
3. การจัดการบัญชีและแอป
3.1 การลงทะเบียนองค์กรบัญชี Managed Google Play สำหรับองค์กร
ผู้ดูแลระบบไอทีสามารถสร้างกลุ่มบัญชี Managed Google Play สำหรับองค์กร ซึ่งเป็นเอนทิตีที่อนุญาตให้ Managed Google Play เผยแพร่แอปไปยังอุปกรณ์ได้ โดยขั้นตอนการลงทะเบียนต่อไปนี้จะต้องผสานรวมกับคอนโซลของ EMM
3.1.1. ลงทะเบียนกลุ่มบัญชี Managed Google Play สำหรับองค์กรโดยใช้ Android Management API
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กร ซึ่งเรียกว่าบัญชี Managed Google Play อย่างเงียบๆ ได้ บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตกฎการเผยแพร่แอปสำหรับผู้ใช้ที่ไม่ซ้ำกัน
3.2.1. บัญชี Managed Google Play (บัญชีผู้ใช้) จะสร้างขึ้นโดยอัตโนมัติ เมื่อมีการจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยไม่ต้องติดตั้งใช้งานเพิ่มเติม
3.3 การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สามารถสร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Managed Google Play Store อย่างเงียบๆ และไม่ผูกกับผู้ใช้รายเดียว แต่บัญชีอุปกรณ์จะใช้สำหรับระบุอุปกรณ์เครื่องเดียวเพื่อรองรับกฎการเผยแพร่แอปต่ออุปกรณ์ในสถานการณ์เฉพาะของอุปกรณ์
3.3.1. บัญชี Managed Google Play จะสร้างขึ้นโดยอัตโนมัติ เมื่อมีการจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยไม่ต้องติดตั้งใช้งานเพิ่มเติม
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์เดิม
ฟีเจอร์นี้เลิกใช้งานแล้ว
3.5 การเผยแพร่แอปเงียบ
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปงานในอุปกรณ์อย่างเงียบๆ ได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.5.1. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการได้
3.5.2. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการได้
3.5.3. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่มีการจัดการ
3.6 การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการโดยไม่ต้องแจ้งให้ทราบสำหรับแอปที่รองรับการกำหนดค่าที่มีการจัดการ
3.6.1. คอนโซลของ EMM ต้องดึงข้อมูลและแสดงการกำหนดค่าที่มีการจัดการของแอป Play แอปใดก็ได้
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าประเภทการกำหนดค่า (ตามที่กำหนดโดยเฟรมเวิร์กของ Android Enterprise) สำหรับแอป Play ใดๆ โดยใช้ Android Management API
3.6.3. โดยคอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้ระบบใช้การกำหนดค่ารายการเดียวสำหรับแอป เช่น Gmail กับผู้ใช้หลายคนได้
3.7 การจัดการแคตตาล็อกแอป
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น โดยไม่ต้องติดตั้งใช้งานเพิ่มเติม
3.8 การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบและการอนุมัติแอปของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ของแอปใหม่ได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาแอปและอนุมัติภายในคอนโซลของ EMM โดยใช้ iframe ของ Managed Google Play ได้
3.9 การจัดการเลย์เอาต์ของร้านค้าขั้นพื้นฐาน
ใช้แอป Managed Google Play Store เพื่อติดตั้งและอัปเดตแอปงานได้ โดยค่าเริ่มต้น Managed Google Play Store จะแสดงแอปที่อนุมัติสำหรับผู้ใช้ในรายการเดียว เลย์เอาต์นี้เรียกว่าเลย์เอาต์พื้นฐานของร้านค้า
3.9.1. คอนโซลของ EMM ควรอนุญาตให้ผู้ดูแลระบบไอทีจัดการแอปที่มองเห็นได้ในเลย์เอาต์ร้านค้าพื้นฐานของผู้ใช้ปลายทาง
3.10 การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
3.10.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของ Store ที่เห็นในแอป Managed Google Play Store ได้
3.11 การจัดการใบอนุญาตแอป
ฟีเจอร์นี้เลิกใช้งานแล้ว
3.12 การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์โดย Google ผ่านคอนโซล EMM แทนผ่านทาง Google Play Console ได้
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แบบส่วนตัวแล้วไปยังองค์กรได้โดยใช้
3.13 การจัดการแอปส่วนตัวที่โฮสต์ด้วยตนเอง
ผู้ดูแลระบบไอทีจะตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์เองได้ Google Play ไม่ได้โฮสต์ APK ซึ่งแตกต่างจากแอปส่วนตัวที่ Google โฮสต์ EMM ช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเองและช่วยปกป้องแอปที่โฮสต์ด้วยตนเองด้วยการตรวจสอบว่าสามารถติดตั้งได้เมื่อได้รับอนุญาตจาก Managed Google Play เท่านั้น
3.13.1. คอนโซลของ EMM ต้องช่วยผู้ดูแลระบบไอทีในการโฮสต์ APK ของแอป โดยเสนอทั้ง 2 ตัวเลือกต่อไปนี้
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นแบบภายในองค์กรหรือในระบบคลาวด์
- การโฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM ขึ้นอยู่กับการพิจารณาตามที่องค์กรเห็นสมควร ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ที่โฮสต์ APK ไว้
3.13.2. คอนโซลของ EMM ต้องสร้างไฟล์การกำหนด APK ที่เหมาะสม โดยใช้ APK ที่ให้ไว้ และต้องแนะนำผู้ดูแลระบบไอทีผ่านขั้นตอนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์ด้วยตนเอง และคอนโซลของ EMM จะเผยแพร่ไฟล์ข้อกำหนด APK ที่อัปเดตแล้วได้แบบเงียบๆ โดยใช้ Google Play API การเผยแพร่สำหรับนักพัฒนาซอฟต์แวร์
3.13.4. เซิร์ฟเวอร์ของ EMM ให้บริการคำขอดาวน์โหลดสำหรับ APK ที่โฮสต์ด้วยตนเอง ซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดยคีย์สาธารณะของแอปส่วนตัว
- เพื่ออำนวยความสะดวกในขั้นตอนนี้ เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ดาวน์โหลดคีย์สาธารณะสำหรับใบอนุญาตของแอปที่โฮสต์ด้วยตนเองจาก Play Google Developers Console แล้วอัปโหลดคีย์นี้ไปยังคอนโซล EMM
3.14 การแจ้งเตือนแบบพุลของ EMM
ฟีเจอร์นี้ใช้ไม่ได้กับ Android Management API ตั้งค่าการแจ้งเตือน Pub/Sub แทน
3.15 ข้อกำหนดการใช้งาน API
EMM นำ Android Management API ไปใช้ในวงกว้าง เพื่อหลีกเลี่ยงรูปแบบการรับส่งข้อมูลที่อาจส่งผลเสียต่อความสามารถขององค์กรในการจัดการแอปในสภาพแวดล้อมการใช้งานจริง
3.15.1. EMM ต้องเป็นไปตามขีดจำกัดการใช้งาน Android Management API การไม่แก้ไขพฤติกรรมที่เกินหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google พิจารณาเห็นสมควร
3.15.2. EMM ควรกระจายการรับส่งข้อมูลจากองค์กรต่างๆ ตลอดทั้งวันแทนการรวมการเข้าชมขององค์กรในเวลาที่เฉพาะเจาะจงหรือในช่วงเวลาที่คล้ายกัน ลักษณะการทำงานที่ตรงกับรูปแบบการรับส่งข้อมูลนี้ เช่น การดำเนินการแบบกลุ่มที่กำหนดเวลาไว้สำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียน อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google พิจารณาเห็นสมควร
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือจงใจทำให้ไม่พยายามดึงหรือจัดการข้อมูลองค์กรจริง ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้อาจส่งผลให้มีการระงับการใช้ API ตามที่ Google พิจารณาเห็นสมควร
3.16 การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
EMM รองรับฟีเจอร์การจัดการการกำหนดค่าที่มีการจัดการขั้นสูงต่อไปนี้
3.16.1. คอนโซลของ EMM ต้องสามารถดึงและแสดงการกำหนดค่าที่มีการจัดการที่ซ้อนกันสูงสุด 4 ระดับของแอป Play แอปใดก็ได้โดยใช้ข้อมูลต่อไปนี้
- iframe ของ Managed Google Play หรือ
- UI ที่กำหนดเอง
3.16.2. คอนโซลของ EMM ต้องเรียกและแสดงความคิดเห็นที่แสดงโดยช่องทางแสดงความคิดเห็นของแอปได้เมื่อผู้ดูแลระบบไอทีตั้งค่าไว้
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เจาะจงกับอุปกรณ์และแอปที่เป็นต้นทางได้
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานประเภทข้อความที่เจาะจง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือที่ผู้ดูแลระบบตั้งค่าด้วยตนเองโดยใช้ข้อมูลต่อไปนี้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กำหนดเอง
3.17 การจัดการเว็บแอป
ผู้ดูแลระบบไอทีจะสร้างและเผยแพร่เว็บแอปได้ในคอนโซล EMM
3.17.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีกระจายทางลัดไปยังเว็บแอปได้โดยใช้สิ่งต่อไปนี้
3.18 การจัดการวงจรการใช้งานบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของผู้ดูแลระบบไอทีได้ และจะกู้คืนโดยอัตโนมัติเมื่อบัญชีหมดอายุ
ฟีเจอร์นี้รองรับโดยค่าเริ่มต้น โดยที่ไม่ต้องติดตั้งใช้งาน EMM เพิ่มเติม
3.19 การจัดการแทร็กแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่นักพัฒนาซอฟต์แวร์กำหนดสำหรับแอปหนึ่งๆ ได้
3.19.2. ผู้ดูแลระบบไอทีจะตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20 การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
ผู้ดูแลระบบไอทีสามารถอนุญาตให้อัปเดตแอปทันทีหรือเลื่อนจากการอัปเดตแอปไปอีก 90 วัน
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปที่ใช้การอัปเดตแอปที่มีลําดับความสําคัญสูง เพื่อทำการอัปเดตเมื่อการอัปเดตพร้อมแล้ว 3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน
3.21 การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอรายการเหล่านี้แก่ผู้ดูแลระบบไอทีในแบบฟอร์มที่พร้อมเผยแพร่แก่ผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด, การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม, URL ของ Play Store)
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์ที่แอปงานสร้างขึ้นได้อย่างเงียบๆ
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสำหรับองค์กร
- (ให้ผู้ใช้เลือกได้)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้ผ่านนโยบาย
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1) ผู้ดูแลระบบไอทีสามารถ ตั้งค่าการตอบกลับสำหรับสิทธิ์ที่ต้องการจากแอปงานที่สร้างด้วย API เวอร์ชัน 23 ขึ้นไปโดยไม่ต้องแจ้ง
4.2.1. ผู้ดูแลระบบไอทีต้องตั้งค่าสถานะการให้สิทธิ์ (ค่าเริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) สิทธิ์ที่แอปงานสร้างขึ้นจาก API 23 ขึ้นไปได้ EMM ควรบังคับใช้การตั้งค่าเหล่านี้ผ่านนโยบาย
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้อย่างเงียบๆ ซึ่งรวมถึงรายการต่อไปนี้
4.3.1. SSID ผ่าน policy
4.3.2. รหัสผ่านผ่านนโยบาย
4.4 การจัดการความปลอดภัย Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีฟีเจอร์การรักษาความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. ข้อมูลระบุตัวตน
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์
4.4.3. ใบรับรอง CA
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการ เพื่อป้องกันไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าของบริษัท
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ของบริษัทผ่านนโยบายในการกำหนดค่าอย่างใดอย่างหนึ่งต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ที่ EMM จัดสรรไม่ได้ (ไปที่
wifiConfigsLockdownEnabled) แต่อาจเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าเองได้ (เช่น เครือข่ายส่วนตัว) - ผู้ใช้เพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ไม่ได้ (ไปที่
wifiConfigDisabled) ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ไว้เฉพาะเครือข่ายที่ EMM จัดสรรเท่านั้น
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถมั่นใจได้ว่าเฉพาะบัญชีที่ได้รับอนุญาตของบริษัทเท่านั้นที่จะโต้ตอบกับข้อมูลของบริษัทสำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปเพื่อการทำงานหรืออีเมลได้ หากไม่มีฟีเจอร์นี้ ผู้ใช้จะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้ใช้ทั่วไปได้ เพื่อให้ผู้ใช้แชร์ข้อมูลบริษัทกับบัญชีส่วนบุคคลเหล่านั้นได้
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เพิ่มหรือแก้ไขบัญชี (ดู modifyAccountsDisabled)
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ก่อนจัดสรรให้เสร็จสมบูรณ์ เพื่อป้องกันไม่ให้ผู้ใช้หลีกเลี่ยงนโยบายนี้ด้วยการเพิ่มบัญชีก่อนที่จะออกนโยบาย
4.7 การจัดการบัญชี Workspace
Android Management API ไม่รองรับฟีเจอร์นี้
4.8 การจัดการใบรับรอง
อนุญาตให้ผู้ดูแลระบบไอทีนำใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองไปใช้กับอุปกรณ์เพื่อให้ใช้ทรัพยากรของบริษัทได้
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลระบุตัวตนของผู้ใช้ซึ่ง PKI สร้างไว้ให้กับผู้ใช้แต่ละคนได้ คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการและแจกจ่ายใบรับรองที่สร้างจากโครงสร้างพื้นฐานนั้น
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งผู้ออกใบรับรอง (ดู caCerts) ในคีย์สโตร์ที่มีการจัดการ แต่ระบบยังไม่รองรับฟีเจอร์ย่อยนี้ในขณะนี้
4.9 การจัดการใบรับรองขั้นสูง
อนุญาตให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการควรใช้อย่างเงียบๆ ฟีเจอร์นี้ยังช่วยให้ผู้ดูแลระบบไอทีนำใบรับรอง CA และใบรับรองข้อมูลประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ได้ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สำหรับแอปที่จัดจำหน่ายไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองที่แอปจะให้สิทธิ์เข้าถึงอย่างเงียบๆ ในระหว่างรันไทม์ได้ (ปัจจุบันระบบยังไม่รองรับฟีเจอร์ย่อยนี้)
- การเลือกใบรับรองต้องเป็นข้อมูลทั่วไปพอที่จะอนุญาตให้มีการกำหนดค่ารายการเดียวที่ใช้กับผู้ใช้ทุกคน โดยใบรับรองแต่ละรายการอาจมีใบรับรองข้อมูลประจำตัวของผู้ใช้โดยเฉพาะ
4.9.2. ผู้ดูแลระบบไอทีจะนำใบรับรองออกจากคีย์สโตร์ที่มีการจัดการได้แบบเงียบ
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA ได้ (ปัจจุบันยังไม่รองรับฟีเจอร์ย่อยนี้)
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบ (ไปที่ credentialsConfigDisabled) ในคีย์สโตร์ที่มีการจัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถมอบใบรับรองล่วงหน้าสำหรับแอปงานโดยใช้ ChoosePrivateKeyRule
4.10 การจัดการใบรับรองที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์ต่างๆ และให้สิทธิ์แก่แอปดังกล่าวในการติดตั้งใบรับรองลงในคีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจการจัดการใบรับรอง (ไปที่ delegatedCertInstallerPackage) เพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่ได้รับมอบสิทธิ์
- EMM อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก แต่จะต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11 การจัดการ VPN ขั้นสูง
อนุญาตให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อให้แน่ใจว่าข้อมูลจากแอปที่มีการจัดการที่ระบุจะผ่านเครือข่ายส่วนตัวเสมือน (VPN) ที่ตั้งไว้เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่กำหนดเองเพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลาได้
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่าแบบเปิดตลอดเวลาให้อยู่ในรายการที่กำหนดเองได้
4.11.2. ผู้ดูแลระบบไอทีจะใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สำหรับแอปได้
4.12 การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีป้อนข้อมูล (IME) ที่สามารถตั้งค่าสำหรับอุปกรณ์ได้ เนื่องจาก IME นั้นแชร์ทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จะป้องกันไม่ให้ผู้ใช้อนุญาตให้ใช้ IME เหล่านั้นสำหรับส่วนตัวได้เช่นกัน อย่างไรก็ตาม ผู้ดูแลระบบไอทีไม่สามารถบล็อกการใช้ IME ของระบบในโปรไฟล์งาน (ดูรายละเอียดเพิ่มเติมได้ที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตของ IME (ไปที่ permitted_input_methods) ที่มีความยาวได้ตามต้องการ (รวมถึงรายการที่ว่างเปล่า ซึ่งบล็อก IME ที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจ IME ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือที่แนะนำให้รวมไว้ในรายการที่อนุญาต แต่จะต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่สามารถติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้องได้
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่าระบบยกเว้น IME ของระบบจากการจัดการอุปกรณ์ที่มีโปรไฟล์งาน
4.13 การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ผู้ใช้ตั้งค่าได้ในอุปกรณ์ การจัดการ IME ขั้นสูงขยายขอบเขตของฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอทีจัดการการใช้ IME ของระบบด้วย ซึ่งโดยมากจะจัดหาผู้ให้บริการหรือผู้ให้บริการอุปกรณ์
4.13.1. ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตของ IME (ไปที่ permitted_input_methods) ที่มีความยาวได้ตามต้องการ (ยกเว้นรายการที่ว่างเปล่า ซึ่งบล็อก IME ทั้งหมดรวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือที่แนะนำให้รวมไว้ในรายการที่อนุญาต แต่จะต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่สามารถติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้องได้
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตที่ว่างเปล่า เนื่องจากการตั้งค่านี้จะบล็อก IME ทั้งหมดรวมถึง IME ของระบบในอุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาตของ IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามให้เงียบๆ ก่อนที่จะใช้รายการที่อนุญาตในอุปกรณ์
4.14 การจัดการบริการการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษที่ผู้ใช้อนุญาตได้ในอุปกรณ์ บริการการช่วยเหลือพิเศษเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ที่มีความพิการหรือที่ไม่สามารถโต้ตอบกับอุปกรณ์ได้อย่างเต็มรูปแบบเป็นการชั่วคราว แต่ก็อาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่สอดคล้องกับนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบได้
4.14.1. ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตสำหรับบริการการช่วยเหลือพิเศษ (ไปที่ permittedAccessibilityServices) ที่มีความยาวได้ตามต้องการ (รวมถึงรายการที่ว่างเปล่า ซึ่งบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ของระบบ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษที่กำหนดเองทั้งหมด เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้จะมีผลกับทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- คอนโซลอาจแนะนำบริการการช่วยเหลือพิเศษที่รู้จักหรือแนะนําให้รวมไว้ในรายการที่อนุญาตได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสําหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีจะป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ ไม่เช่นนั้น คุณจะกำหนดการตั้งค่าตำแหน่งในโปรไฟล์งานได้ในการตั้งค่า
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการตำแหน่ง
(ไปที่ shareLocationDisabled) ภายในโปรไฟล์งาน
4.16 การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งในอุปกรณ์ที่มีการจัดการ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปขององค์กรจะมีข้อมูลตำแหน่งที่แม่นยําสูงอยู่เสมอ ฟีเจอร์นี้ยังดูแลให้ไม่มีการใช้แบตเตอรี่เพิ่มขึ้นด้วยการจำกัดการตั้งค่าตำแหน่งไว้เฉพาะโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์ในโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่ได้จากเครือข่าย
- ประหยัดแบตเตอรี่ ซึ่งจะจำกัดความถี่ในการอัปเดต
- ปิด
4.17 การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการโจรกรรมได้โดยการตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตจะรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นไม่ได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทำให้เกิดความซับซ้อนในการดำเนินงานเมื่อมีการส่งคืนอุปกรณ์ให้กับฝ่ายไอที ผู้ดูแลระบบไอทีจะปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นได้ทั้งหมด
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตเป็นค่าเริ่มต้น (ไปที่ factoryResetDisabled) อุปกรณ์จากการตั้งค่าได้
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีปลดล็อกของบริษัทที่ได้รับสิทธิ์ในการจัดสรรอุปกรณ์ (ไปที่ frpAdminEmails) หลังจากรีเซ็ตเป็นค่าเริ่มต้นแล้ว
- บัญชีนี้สามารถเชื่อมโยงกับบุคคลธรรมดาหรือทั้งองค์กรจะใช้เพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้น (ไปที่ 0 factoryResetDisabled) สำหรับอุปกรณ์ที่ระบุ
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มล้างข้อมูลอุปกรณ์ระยะไกลซึ่งเลือกที่จะล้างข้อมูลการป้องกันการรีเซ็ต ซึ่งจะเป็นการนำการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นออกในอุปกรณ์ที่รีเซ็ตด้วย
4.18 การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการผ่านการตั้งค่าได้ เช่น การป้องกันการบังคับให้ปิดแอป หรือล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่มีการจัดการที่กำหนดเองหรือแอปที่มีการจัดการทั้งหมดได้ (ไปที่ uninstallAppsDisabled)
4.18.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชันได้จากการตั้งค่า (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.19 การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ถ่ายภาพหน้าจอเมื่อใช้แอปที่มีการจัดการ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ประโยชน์จากความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอ
(ไปที่ screenCaptureDisabled)
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์ของแอปที่มีการจัดการได้
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์
(ไปที่ cameraDisabled) ของแอปที่มีการจัดการ
4.21 การรวบรวมสถิติเครือข่าย
Android Management API ยังไม่รองรับฟีเจอร์นี้ในขณะนี้
4.22 การรวบรวมสถิติเครือข่ายขั้นสูง
Android Management API ยังไม่รองรับฟีเจอร์นี้ในขณะนี้
4.23 รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีจะรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.24 การจัดการวิทยุของระบบ
มอบการจัดการแบบละเอียดเกี่ยวกับวิทยุเครือข่ายของระบบและนโยบายการใช้งานที่เกี่ยวข้องผ่านนโยบายสำหรับผู้ดูแลระบบไอที
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดการส่งข้อมูลเตือนภัยทางมือถือ (CB) จากผู้ให้บริการ (ไปที่ cellBroadcastsConfigDisabled) ได้
4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือใน
การตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายทั้งหมดได้ในการตั้งค่า (ไปที่ networkResetDisabled)
4.24.4. ผู้ดูแลระบบไอทีตั้งค่าได้ว่าอุปกรณ์อนุญาตให้ใช้อินเทอร์เน็ตมือถือขณะโรมมิ่งหรือไม่ (ไปที่ dataRoamingDisabled)
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าอุปกรณ์สามารถโทรออกโดยไม่รวมหมายเลขฉุกเฉิน (ไปที่ outGoingCallsDisabled)
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าอุปกรณ์จะส่งและรับ SMS ได้หรือไม่ (ไปที่ smsDisabled)
4.24.7. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาได้โดยการเชื่อมต่ออินเทอร์เน็ตผ่านมือถือ (ไปที่ tetheringConfigDisabled)
4.24.8. ผู้ดูแลระบบไอทีตั้งค่าระยะหมดเวลาของ Wi-Fi ให้เป็นค่าเริ่มต้นขณะที่เสียบปลั๊กอยู่ หรือไม่เช่นนั้นก็ได้ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่ได้ (ไปที่ bluetoothConfigDisabled)
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถควบคุมฟีเจอร์เสียงของอุปกรณ์เงียบๆ รวมถึงการปิดเสียงอุปกรณ์ การป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียง และป้องกันไม่ให้ผู้ใช้เปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีจะปิดเสียงอุปกรณ์ที่มีการจัดการได้ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.25.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์ (ไปที่ adjustVolumeDisabled) ซึ่งจะเป็นการปิดเสียงอุปกรณ์ด้วย
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เปิดเสียงไมโครโฟนของอุปกรณ์ (ไปที่ unmuteMicrophoneDisabled)
4.26 การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีจะจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์ได้
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เขตเวลาอัตโนมัติและเขตเวลาอัตโนมัติของระบบเพื่อป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่ เวลา และเขตเวลาของอุปกรณ์
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
สำหรับอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะจัดการฟีเจอร์ต่อไปนี้ได้ผ่านนโยบายเพื่อรองรับกรณีการใช้งานของคีออสก์ที่หลากหลาย
4.27.1. ผู้ดูแลระบบไอทีปิดตัวล็อกปุ่มอุปกรณ์ได้ (ไปที่keyguardDisabled)
4.27.2. ผู้ดูแลระบบไอทีจะปิดแถบสถานะของอุปกรณ์ การบล็อกการแจ้งเตือน และการตั้งค่าด่วนได้ (ไปที่ statusBarDisabled)
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจออุปกรณ์เปิดอยู่ขณะเสียบปลั๊กอุปกรณ์ได้ (ไปที่ stayOnPluggedModes)
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้แสดง UI ของระบบต่อไปนี้ (ไปที่ createWindowsDisabled)
- ข้อความโทสต์
- การวางซ้อนแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้คำแนะนำระบบสำหรับแอปข้ามบทแนะนำสำหรับผู้ใช้และคำแนะนำอื่นๆ ในการเริ่มต้นใช้งานครั้งแรกได้ (ไปที่ skip_first_use_hints)
4.28 การจัดการขอบเขตที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีจะมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้
4.28.1. ผู้ดูแลระบบไอทีจะจัดการขอบเขตต่อไปนี้ได้
- การติดตั้งและการจัดการใบรับรอง
- การจัดการการกำหนดค่าที่มีการจัดการ
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกความปลอดภัย
4.29 การสนับสนุนรหัสเฉพาะการลงทะเบียน
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรการทำงานของอุปกรณ์ที่มีโปรไฟล์งานด้วยรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่ผ่านการรีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถรับรหัสเฉพาะการลงทะเบียน
4.29.2. รหัสเฉพาะการลงทะเบียนนี้ต้องคงอยู่ผ่านทางการรีเซ็ตเป็นค่าเริ่มต้น
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้รวมฟีเจอร์เฉพาะองค์กร (ไม่บังคับ) ผู้ดูแลระบบไอทีจะแสดงการสร้างแบรนด์ที่ได้จาก EMM ระหว่างการจัดสรรได้
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรโดยระบุข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ เฉพาะองค์กร (ไปที่ termsAndConditions)
5.1.2. ผู้ดูแลระบบไอทีสามารถdeployข้อกำหนดในการให้บริการของ EMM และข้อจำกัดเฉพาะอื่นๆ ที่กำหนดค่าไม่ได้ (ไปที่ termsAndConditions)
- EMM อาจตั้งค่าการปรับแต่ง EMM โดยเฉพาะที่ไม่สามารถกำหนดค่าได้เป็นค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเองได้
5.1.3 primaryColor เลิกใช้งานแล้วสำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไป
5.2 การปรับแต่ง Enterprise
Android Management API ไม่รองรับฟีเจอร์นี้
5.3 การปรับแต่งองค์กรขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีตั้งค่าข้อความที่กำหนดเองซึ่งจะแสดงเสมอบนหน้าจอล็อกของอุปกรณ์ได้ และไม่จำเป็นต้องดูการปลดล็อกอุปกรณ์
5.4.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเองได้ (ไปที่ deviceOwnerLockScreenInfo)
5.5 การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความช่วยเหลือที่มอบให้ผู้ใช้ได้เมื่อพยายามแก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือนำข้อความสนับสนุนทั่วไปที่ EMM จัดหาให้ไปใช้ โดยข้อความสนับสนุนทั้งแบบสั้นและแบบยาวสามารถปรับแต่งได้และจะแสดงในเหตุการณ์ต่างๆ เช่น การพยายามถอนการติดตั้งแอปที่มีการจัดการซึ่งผู้ดูแลระบบไอทีบล็อกการถอนการติดตั้งไปแล้ว
5.5.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความสนับสนุนที่แสดงต่อผู้ใช้ทั้งสั้นและยาวได้
5.5.2. ผู้ดูแลระบบไอทีสามารถทำให้ข้อความการสนับสนุน ทั้งแบบสั้นและแบบยาวที่กำหนดค่าไม่ได้สำหรับ EMM โดยเฉพาะใช้งานได้ (ไปที่ shortSupportMessage และ longSupportMessage ใน policies)
- EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะสำหรับ EMM ที่ไม่สามารถกำหนดค่าได้เป็นค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเองได้
5.6 การจัดการรายชื่อติดต่อข้ามโปรไฟล์
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดการแสดงผู้ติดต่อจากที่ทำงานในการค้นหารายชื่อติดต่อและสายเรียกเข้าของโปรไฟล์ส่วนตัว
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อผ่านบลูทูธของรายชื่อติดต่อสำหรับงาน เช่น การโทรแบบแฮนด์ฟรีในรถหรือชุดหูฟัง
5.7 การจัดการข้อมูลข้ามโปรไฟล์
ช่วยให้ผู้ดูแลระบบไอทีจัดการประเภทข้อมูลที่แชร์ระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัวได้ ทำให้ผู้ดูแลระบบรักษาสมดุลระหว่างความสามารถในการใช้งานและการรักษาความปลอดภัยข้อมูลตามข้อกำหนดของตนได้
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่านโยบายการแชร์ข้อมูลข้ามโปรไฟล์เพื่อให้แอปส่วนตัวแก้ไข Intent จากโปรไฟล์งานได้ เช่น การแชร์ Intent หรือเว็บลิงก์
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปพลิเคชันจากโปรไฟล์งานสร้างและแสดงวิดเจ็ตบนหน้าจอหลักของโปรไฟล์ส่วนตัวได้ ระบบจะปิดฟังก์ชันนี้ไว้โดยค่าเริ่มต้น แต่คุณอาจตั้งค่าให้อนุญาตโดยใช้ช่อง workProfileWidgets และ workProfileWidgetsDefault ได้
5.7.3. ผู้ดูแลระบบไอทีสามารถควบคุมความสามารถในการคัดลอก/วางระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัว
5.8 นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีตั้งค่าและใช้อุปกรณ์การอัปเดตระบบผ่านอากาศ (OTA) ได้
5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีตั้งค่า OTA ต่อไปนี้ได้
- อัตโนมัติ: อุปกรณ์จะได้รับการอัปเดต OTA เมื่อพร้อมให้บริการ
- เลื่อน: ผู้ดูแลระบบไอทีต้องสามารถเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลต่อการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- กรอบเวลา: ผู้ดูแลระบบไอทีต้องกำหนดเวลาการอัปเดต OTA ได้ภายในช่วงเวลาบำรุงรักษารายวัน
5.8.2. การกำหนดค่า OTA จะใช้กับอุปกรณ์ผ่านนโยบาย
5.9 การจัดการโหมดงานล็อก
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปไว้บนหน้าจอ รวมทั้งดูแลให้ผู้ใช้ออกจากแอปไม่ได้
5.9.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีอนุญาตชุดแอปที่กำหนดเองให้ติดตั้งและล็อกอุปกรณ์ได้ นโยบายอนุญาตให้ตั้งค่าอุปกรณ์เฉพาะ
5.10 การจัดการกิจกรรมที่ต้องการแบบถาวร
อนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวแฮนเดิลเริ่มต้นสำหรับ Intent ที่ตรงกับตัวกรอง Intent บางรายการ เช่น ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีเลือกได้ว่าแอปเบราว์เซอร์แอปใดจะเปิดเว็บลิงก์โดยอัตโนมัติ ฟีเจอร์นี้สามารถจัดการได้ว่าจะใช้แอป Launcher ใดเมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นเครื่องจัดการ Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่า แต่จะจำกัด Intent ในรายการที่กำหนดเองไม่ได้
- โดยคอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11 การจัดการฟีเจอร์การล็อกปุ่ม
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ที่มีให้ผู้ใช้ได้ใช้งานก่อนปลดล็อก ตัวล็อกอุปกรณ์ (หน้าจอล็อก) และการล็อกปุ่มทำงาน (หน้าจอล็อก)
5.11.1.นโยบาย สามารถปิดฟีเจอร์การล็อกอุปกรณ์ต่อไปนี้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่ได้ปกปิด
5.11.2. คุณปิดฟีเจอร์การล็อกของโปรไฟล์งานต่อไปนี้ได้ผ่านนโยบาย
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12 การจัดการฟีเจอร์การล็อกขั้นสูง
- กล้องรักษาความปลอดภัย
- การแจ้งเตือนทั้งหมด
- ไม่ได้ปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์การล็อกทั้งหมด
5.13 การซ่อมแซมรีโมต
Android Management API ยังไม่รองรับฟีเจอร์นี้ในขณะนี้
5.14 การดึงข้อมูลที่อยู่ MAC
EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์ได้อย่างเงียบๆ เพื่อนำมาใช้ระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กร (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM จะเรียกข้อมูลที่อยู่ MAC ของอุปกรณ์ได้อย่างเงียบๆ และเชื่อมโยงที่อยู่ดังกล่าวกับอุปกรณ์ได้ในคอนโซลของ EMM
5.15 การจัดการโหมดงานล็อกขั้นสูง
ผู้ดูแลระบบไอทีจะใช้คอนโซลของ EMM เพื่อทำงานต่อไปนี้ได้ด้วยอุปกรณ์เฉพาะ
5.15.1. อนุญาตให้แอปเดียวติดตั้งและล็อกอุปกรณ์โดยไม่ส่งเสียง
5.15.2. เปิดหรือปิดฟีเจอร์ UI ของระบบต่อไปนี้
- ปุ่มหน้าแรก
- ภาพรวม
- การดำเนินการส่วนกลาง
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- ตัวล็อกปุ่มกด (หน้าจอล็อก) ฟีเจอร์ย่อยนี้จะเปิดอยู่โดยค่าเริ่มต้นเมื่อมีการติดตั้งเวอร์ชัน 5.15.1
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบ
5.16 นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถกำหนดช่วงหยุดทำงานที่ระบุเพื่อบล็อกการอัปเดตระบบในอุปกรณ์ได้
5.16.1. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีบล็อกการอัปเดตระบบผ่านอากาศ (OTA) ในช่วงหยุดทำงานที่ระบุ
5.17 การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองที่จะแสดง (ไปที่ wipeReasonMessage) เมื่อล้างข้อมูลโปรไฟล์งาน
5.18 การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถกำหนดรายการแพ็กเกจที่สื่อสารข้ามขอบเขตของโปรไฟล์งานได้โดยการตั้งค่า ConnectedWorkAndPersonalApp
5.19 การอัปเดตระบบด้วยตนเอง
Android Management API ไม่รองรับฟีเจอร์นี้
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM จะต้องโพสต์แพ็กเกจภายในสิ้นปี 2022 เพื่อสิ้นสุดการสนับสนุนลูกค้าสำหรับผู้ดูแลอุปกรณ์ในอุปกรณ์ GMS ภายในสิ้นไตรมาส 1 ปี 2023