Внедрить управление устройствами

На этой странице описываются рекомендации для производителей устройств по включению управления устройствами на Android. Для поддержки управления устройствами устройства должны соответствовать всем требованиям совместимости программного обеспечения, определенным в разделе 3.9. Администрирование устройств в документе определения совместимости Android (CDD) . Рекомендации по внедрению, представленные здесь, не являются исчерпывающими и служат только отправной точкой для внедрения управления устройствами Android.

Включить управление устройством

Чтобы включить управление устройствами на Android, включите следующие функции:

  • android.software.device_admin
  • android.software.managed_users

Чтобы убедиться, что устройство поддерживает управление устройствами, выполните следующую команду adb на устройстве и проверьте наличие этих функций: adb shell pm list features .

Требования к установке

Устройства, реализующие подготовку владельца устройства или владельца профиля, должны предоставлять соответствующие раскрытия конечным пользователям во время настройки (внешний опыт или настройка рабочего профиля). AOSP предоставляет эталонную реализацию . Управляемая подготовка — это поток пользовательского интерфейса Android Framework, вызываемый во время настройки полностью управляемого устройства или рабочего профиля, чтобы гарантировать, что пользователи устройств надлежащим образом проинформированы о последствиях настройки владельца устройства или управляемого профиля на устройстве. Управляемая подготовка выполняет следующие действия или делегирует их держателю роли управления политикой устройства во время подготовки:

  • Шифрует устройство (если шифрование включено).
  • Создает управляемого пользователя.
  • Отключает необязательные приложения.
  • Устанавливает приложение контроллера политик устройств (DPC) Enterprise Mobility Management (EMM) в качестве владельца устройства или владельца профиля .

В свою очередь приложение DPC выполняет следующие действия:

  • Добавляет учетные записи пользователей.
  • Обеспечивает соблюдение политики устройства.
  • Включает любые дополнительные системные приложения.

После завершения подготовки обработчик намерений ADMIN_POLICY_COMPLIANCE приложения DPC запускается в полностью управляемом пользователе устройства (для подготовки владельца устройства ) или в пользователе рабочего профиля (для подготовки владельца профиля ). Затем приложение DPC добавляет учетные записи и применяет политики.

Требования к пусковой установке

Для поддержки управления устройствами Launcher должен поддерживать приложения с рабочими значками (предоставленными в AOSP для представления управляемых приложений). Другие элементы пользовательского интерфейса на управляемых устройствах или профилях, такие как уведомления, должны использовать рабочие значки активов. Launcher3 в AOSP уже поддерживает эти функции значков.

Рабочие приложения по умолчанию

По умолчанию только приложения, необходимые для корректной работы управляемого устройства или рабочего профиля, включены как часть корпоративной подготовки Android. Производители устройств могут указать список приложений по умолчанию с помощью следующих XML-файлов:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

После подготовки устройства ИТ-администраторы могут использовать консоль EMM или управляемый Google Play для установки любых дополнительных приложений, которые организация посчитает необходимыми.

В режимах владельца устройства (полностью управляемое устройство) и владельца профиля (рабочий профиль):

  • Приложения без иконок запуска считаются жизненно важными компонентами системы и автоматически включаются Android.
  • Приложения со значками запуска можно включить по умолчанию во время подготовки устройства, добавив имена их пакетов в vendor_required_apps_managed_[device|profile|user].xml files .
  • Все остальные приложения автоматически отключаются во время подготовки устройства.

Реализация владельца устройства в устройствах, настроенных с использованием пользователя безголовой системы

Android 14 (уровень API 34) представляет конфигурацию пользовательского режима системы headless , где системный пользователь является фоновым пользователем, а пользователи переднего плана являются вторичными пользователями. Поскольку функциональность владельца устройства традиционно основана на том, что системный пользователь также находится на переднем плане, конфигурация пользователя системы headless приносит определенные уникальные проблемы для полностью управляемых устройств (подготовка владельца устройства) .

Режим пользователя системы Headless

Рисунок 1. Режим пользователя системы Headless.

На устройстве пользовательского режима системы headless приложение контроллера политики устройства (DPC) может быть установлено в качестве владельца устройства, только если оно поддерживает аффилированный режим ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). Система проверяет, поддерживается ли аффилированный режим, вызывая getHeadlessDeviceOwnerMode() . Подготовка устройства выполняется соответствующим образом в зависимости от того, поддерживает ли приложение DPC подготовку аффилированного режима.

,

На этой странице описываются рекомендации для производителей устройств по включению управления устройствами на Android. Для поддержки управления устройствами устройства должны соответствовать всем требованиям совместимости программного обеспечения, определенным в разделе 3.9. Администрирование устройств в документе определения совместимости Android (CDD) . Рекомендации по внедрению, представленные здесь, не являются исчерпывающими и служат только отправной точкой для внедрения управления устройствами Android.

Включить управление устройством

Чтобы включить управление устройствами на Android, включите следующие функции:

  • android.software.device_admin
  • android.software.managed_users

Чтобы убедиться, что устройство поддерживает управление устройствами, выполните следующую команду adb на устройстве и проверьте наличие этих функций: adb shell pm list features .

Требования к установке

Устройства, реализующие подготовку владельца устройства или владельца профиля, должны предоставлять соответствующие раскрытия конечным пользователям во время настройки (внешний опыт или настройка рабочего профиля). AOSP предоставляет эталонную реализацию . Управляемая подготовка — это поток пользовательского интерфейса Android Framework, вызываемый во время настройки полностью управляемого устройства или рабочего профиля, чтобы гарантировать, что пользователи устройств надлежащим образом проинформированы о последствиях настройки владельца устройства или управляемого профиля на устройстве. Управляемая подготовка выполняет следующие действия или делегирует их держателю роли управления политикой устройства во время подготовки:

  • Шифрует устройство (если шифрование включено).
  • Создает управляемого пользователя.
  • Отключает необязательные приложения.
  • Устанавливает приложение контроллера политик устройств (DPC) Enterprise Mobility Management (EMM) в качестве владельца устройства или владельца профиля .

В свою очередь приложение DPC выполняет следующие действия:

  • Добавляет учетные записи пользователей.
  • Обеспечивает соблюдение политики устройства.
  • Включает любые дополнительные системные приложения.

После завершения подготовки обработчик намерений ADMIN_POLICY_COMPLIANCE приложения DPC запускается в полностью управляемом пользователе устройства (для подготовки владельца устройства ) или в пользователе рабочего профиля (для подготовки владельца профиля ). Затем приложение DPC добавляет учетные записи и применяет политики.

Требования к пусковой установке

Для поддержки управления устройствами Launcher должен поддерживать приложения с рабочими значками (предоставленными в AOSP для представления управляемых приложений). Другие элементы пользовательского интерфейса на управляемых устройствах или профилях, такие как уведомления, должны использовать рабочие значки активов. Launcher3 в AOSP уже поддерживает эти функции значков.

Рабочие приложения по умолчанию

По умолчанию только приложения, необходимые для корректной работы управляемого устройства или рабочего профиля, включены как часть корпоративной подготовки Android. Производители устройств могут указать список приложений по умолчанию с помощью следующих XML-файлов:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

После подготовки устройства ИТ-администраторы могут использовать консоль EMM или управляемый Google Play для установки любых дополнительных приложений, которые организация посчитает необходимыми.

В режимах владельца устройства (полностью управляемое устройство) и владельца профиля (рабочий профиль):

  • Приложения без иконок запуска считаются жизненно важными компонентами системы и автоматически включаются Android.
  • Приложения со значками запуска можно включить по умолчанию во время подготовки устройства, добавив имена их пакетов в vendor_required_apps_managed_[device|profile|user].xml files .
  • Все остальные приложения автоматически отключаются во время подготовки устройства.

Реализация владельца устройства в устройствах, настроенных с использованием пользователя безголовой системы

Android 14 (уровень API 34) представляет конфигурацию пользовательского режима системы headless , где системный пользователь является фоновым пользователем, а пользователи переднего плана являются вторичными пользователями. Поскольку функциональность владельца устройства традиционно основана на том, что системный пользователь также находится на переднем плане, конфигурация пользователя системы headless приносит определенные уникальные проблемы для полностью управляемых устройств (подготовка владельца устройства) .

Режим пользователя системы Headless

Рисунок 1. Режим пользователя системы Headless.

На устройстве пользовательского режима системы headless приложение контроллера политики устройства (DPC) может быть установлено в качестве владельца устройства, только если оно поддерживает аффилированный режим ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). Система проверяет, поддерживается ли аффилированный режим, вызывая getHeadlessDeviceOwnerMode() . Подготовка устройства выполняется соответствующим образом в зависимости от того, поддерживает ли приложение DPC подготовку аффилированного режима.