Mettre en œuvre la gestion des appareils

Cette page décrit les directives destinées aux fabricants d'appareils pour activer la gestion des appareils sur Android. Pour prendre en charge la gestion des appareils, ceux-ci doivent répondre à toutes les exigences de compatibilité logicielle définies à la section 3.9. Administration des appareils dans le document de définition de compatibilité Android (CDD) . Les directives de mise en œuvre fournies ici ne sont pas exhaustives et servent uniquement de point de départ pour la mise en œuvre de la gestion des appareils Android.

Activer la gestion des appareils

Pour activer la gestion des appareils sur Android, activez ces fonctionnalités :

  • android.software.device_admin
  • android.software.managed_users

Pour confirmer qu'un appareil prend en charge la gestion des appareils, exécutez la commande adb suivante sur un appareil et vérifiez que ces fonctionnalités sont présentes : adb shell pm list features .

Exigences de configuration

Les appareils qui implémentent le provisionnement du propriétaire de l'appareil ou du propriétaire du profil doivent présenter les informations appropriées aux utilisateurs finaux lors de la configuration (expérience prête à l'emploi ou configuration du profil professionnel). AOSP fournit une implémentation de référence . Le provisionnement géré est le flux d'interface utilisateur du cadre Android invoqué lors de la configuration d'un appareil entièrement géré ou d'un profil professionnel pour garantir que les utilisateurs de l'appareil sont correctement informés des implications de la définition d'un propriétaire d'appareil ou d'un profil géré sur l'appareil. Le provisionnement géré exécute les activités suivantes ou les délègue à un titulaire du rôle de gestion des stratégies de périphérique pendant le provisionnement :

  • Chiffre l'appareil (si le cryptage est activé).
  • Établit un utilisateur géré.
  • Désactive les applications facultatives.
  • Définit l’application Device Policy Controller (DPC) Enterprise Mobility Management (EMM) en tant que propriétaire de l’appareil ou propriétaire du profil .

À son tour, l'application DPC effectue les activités suivantes :

  • Ajoute des comptes d'utilisateurs.
  • Applique la conformité aux politiques relatives aux appareils.
  • Active toutes les applications système supplémentaires.

Une fois le provisionnement terminé, le gestionnaire d'intention ADMIN_POLICY_COMPLIANCE de l'application DPC s'exécute dans l'utilisateur de l'appareil entièrement géré (pour le provisionnement du propriétaire de l'appareil ) ou dans l'utilisateur du profil professionnel (pour le provisionnement du propriétaire du profil ). Ensuite, l'application DPC ajoute des comptes et applique les politiques.

Exigences du lanceur

Pour prendre en charge la gestion des appareils, le lanceur doit prendre en charge les applications avec des badges d'icône de travail (fournis dans AOSP pour représenter les applications gérées). Les autres éléments de l'interface utilisateur sur les appareils ou profils gérés, tels que les notifications, doivent utiliser des ressources portant un badge professionnel. Launcher3 dans AOSP prend déjà en charge ces fonctionnalités de badges.

Applications professionnelles par défaut

Par défaut, seules les applications essentielles au bon fonctionnement d'un appareil géré ou d'un profil professionnel sont activées dans le cadre du provisionnement d'entreprise Android. Les fabricants d'appareils peuvent spécifier une liste d'applications par défaut à l'aide de ces fichiers XML :

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Après le provisionnement des appareils, les administrateurs informatiques peuvent utiliser la console EMM ou Google Play géré pour diffuser toutes les applications supplémentaires jugées nécessaires par une organisation.

Dans les modes propriétaire de l'appareil (appareil entièrement géré) et propriétaire du profil (profil professionnel) :

  • Les applications sans icônes de lancement sont considérées comme des composants essentiels du système et sont automatiquement activées par Android.
  • Les applications avec des icônes de lanceur peuvent être activées par défaut lors du provisionnement de l'appareil en ajoutant leurs noms de package sur liste blanche dans vendor_required_apps_managed_[device|profile|user].xml files .
  • Toutes les autres applications sont automatiquement désactivées lors du provisionnement de l'appareil.

Implémentation du propriétaire de l'appareil dans les appareils configurés avec un utilisateur de système sans tête

Android 14 (API niveau 34) introduit la configuration du mode utilisateur du système sans tête où l'utilisateur du système est un utilisateur en arrière-plan et les utilisateurs de premier plan sont des utilisateurs secondaires. Étant donné que la fonctionnalité du propriétaire de l'appareil repose traditionnellement sur le fait que l'utilisateur du système soit également au premier plan, la configuration utilisateur du système sans tête pose certains défis uniques aux appareils entièrement gérés (provisionnement du propriétaire de l'appareil) .

Mode utilisateur du système sans tête

Figure 1. Mode utilisateur du système sans tête.

Sur un appareil en mode utilisateur système sans tête, une application de contrôleur de politique de périphérique (DPC) peut être définie comme propriétaire de l'appareil uniquement si elle prend en charge le mode affilié ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). Le système vérifie si le mode affilié est pris en charge en appelant getHeadlessDeviceOwnerMode() . Le provisionnement des appareils est géré en conséquence selon que l’application DPC prend en charge le provisionnement en mode affilié.