Implementare la gestione dei dispositivi

Questa pagina descrive le linee guida per i produttori di dispositivi per abilitare la gestione dei dispositivi su Android. Per supportare la gestione dei dispositivi, i dispositivi devono soddisfare tutti i requisiti di compatibilità software definiti nella sezione 3.9. Amministrazione del dispositivo nel documento di definizione della compatibilità Android (CDD) . Le linee guida per l'implementazione fornite qui non sono esaustive e servono solo come punto di partenza per l'implementazione della gestione dei dispositivi Android.

Abilita la gestione dei dispositivi

Per abilitare la gestione dei dispositivi su Android, abilita queste funzionalità:

  • android.software.device_admin
  • android.software.managed_users

Per confermare che un dispositivo supporta la gestione dei dispositivi, esegui il seguente comando adb su un dispositivo e verifica che tali funzionalità siano presenti: adb shell pm list features .

Requisiti di installazione

I dispositivi che implementano il provisioning del proprietario del dispositivo o del proprietario del profilo devono presentare informative appropriate agli utenti finali durante la configurazione (esperienza predefinita o configurazione del profilo di lavoro). AOSP fornisce un'implementazione di riferimento . Il provisioning gestito è il flusso dell'interfaccia utente del framework Android richiamato durante la configurazione completamente gestita del dispositivo o del profilo di lavoro per garantire che gli utenti del dispositivo siano adeguatamente informati delle implicazioni dell'impostazione di un proprietario del dispositivo o di un profilo gestito sul dispositivo. Il provisioning gestito esegue le seguenti attività o le delega a un titolare del ruolo di gestione delle policy dei dispositivi durante il provisioning:

  • Crittografa il dispositivo (se la crittografia è abilitata).
  • Stabilisce un utente gestito.
  • Disabilita le app opzionali.
  • Imposta l'app Device Policy Controller (DPC) Enterprise Mobility Management (EMM) come proprietario del dispositivo o proprietario del profilo .

A sua volta, l’app DPC svolge le seguenti attività:

  • Aggiunge account utente.
  • Applica la conformità ai criteri del dispositivo.
  • Abilita eventuali app di sistema aggiuntive.

Una volta completato il provisioning, il gestore intent ADMIN_POLICY_COMPLIANCE dell'app DPC viene eseguito nell'utente del dispositivo completamente gestito (per il provisioning del proprietario del dispositivo ) o nell'utente del profilo di lavoro (per il provisioning del proprietario del profilo ). Quindi l'app DPC aggiunge account e applica le policy.

Requisiti del programma di avvio

Per supportare la gestione dei dispositivi, il programma di avvio deve supportare le app con badge con badge con icone di lavoro (fornite in AOSP per rappresentare le applicazioni gestite). Altri elementi dell'interfaccia utente su dispositivi o profili gestiti, come le notifiche, devono utilizzare risorse con badge di lavoro. Launcher3 in AOSP supporta già queste funzionalità di badge.

App di lavoro predefinite

Per impostazione predefinita, solo le applicazioni essenziali per il corretto funzionamento di un dispositivo gestito o di un profilo di lavoro sono abilitate come parte del provisioning aziendale Android. I produttori di dispositivi possono specificare un elenco di app predefinite utilizzando questi file XML:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Dopo il provisioning del dispositivo, gli amministratori IT possono utilizzare la console EMM o la versione gestita di Google Play per inviare eventuali app aggiuntive ritenute necessarie da un'organizzazione.

In entrambe le modalità proprietario del dispositivo (dispositivo completamente gestito) e proprietario del profilo (profilo di lavoro):

  • Le app senza icone di avvio sono considerate componenti vitali del sistema e vengono abilitate automaticamente da Android.
  • Le app con icone di avvio possono essere abilitate per impostazione predefinita durante il provisioning del dispositivo inserendo nell'elenco consentito i nomi dei pacchetti nei vendor_required_apps_managed_[device|profile|user].xml files .
  • Tutte le altre app vengono disabilitate automaticamente durante il provisioning del dispositivo.

Implementazione del proprietario del dispositivo nei dispositivi configurati con utente di sistema headless

Android 14 (livello API 34) introduce la configurazione della modalità utente del sistema headless in cui l'utente del sistema è un utente in background e gli utenti in primo piano sono utenti secondari. Poiché la funzionalità del proprietario del dispositivo si basa tradizionalmente sul fatto che anche l'utente del sistema sia in primo piano, la configurazione dell'utente del sistema headless comporta alcune sfide uniche per i dispositivi completamente gestiti (provisioning del proprietario del dispositivo) .

Modalità utente del sistema headless

Figura 1. Modalità utente del sistema headless.

Su un dispositivo in modalità utente del sistema headless, un'applicazione DPC (Device Policy Controller) può essere impostata come proprietaria del dispositivo solo se supporta la modalità affiliata ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). Il sistema verifica se la modalità affiliata è supportata chiamando getHeadlessDeviceOwnerMode() . Il provisioning del dispositivo viene gestito di conseguenza a seconda che l'applicazione DPC supporti o meno il provisioning in modalità affiliata.