Implementar la gestión de dispositivos

Esta página describe pautas para que los fabricantes de dispositivos habiliten la administración de dispositivos en Android. Para admitir la administración de dispositivos, los dispositivos deben cumplir con todos los requisitos de compatibilidad de software definidos en la sección 3.9. Administración de dispositivos en el documento de definición de compatibilidad de Android (CDD) . Las pautas de implementación proporcionadas aquí no son exhaustivas y sirven solo como punto de partida para implementar la administración de dispositivos Android.

Habilitar la administración de dispositivos

Para habilitar la administración de dispositivos en Android, habilite estas funciones:

  • android.software.device_admin
  • android.software.managed_users

Para confirmar que un dispositivo admite la administración de dispositivos, ejecute el siguiente comando adb en un dispositivo y verifique que esas características estén presentes: adb shell pm list features .

Requisitos de configuración

Los dispositivos que implementan el aprovisionamiento de propietario de dispositivo o propietario de perfil deben presentar información adecuada a los usuarios finales durante la configuración (experiencia lista para usar o configuración de perfil de trabajo). AOSP proporciona una implementación de referencia . El aprovisionamiento administrado es el flujo de la interfaz de usuario del marco de Android que se invoca durante la configuración del perfil de trabajo o del dispositivo completamente administrado para garantizar que los usuarios del dispositivo estén adecuadamente informados sobre las implicaciones de configurar un propietario de dispositivo o un perfil administrado en el dispositivo. El aprovisionamiento administrado realiza las siguientes actividades o las delega a un titular de función de administración de políticas de dispositivo durante el aprovisionamiento:

  • Cifra el dispositivo (si el cifrado está habilitado).
  • Establece un usuario administrado.
  • Desactiva aplicaciones opcionales.
  • Establece la aplicación Controlador de políticas de dispositivos (DPC) de Enterprise Mobility Management (EMM) como propietario del dispositivo o propietario del perfil .

A su vez, la aplicación DPC realiza las siguientes actividades:

  • Agrega cuentas de usuario.
  • Hace cumplir la política del dispositivo.
  • Habilita cualquier aplicación adicional del sistema.

Una vez que se completa el aprovisionamiento, el controlador de intenciones ADMIN_POLICY_COMPLIANCE de la aplicación DPC se ejecuta en el usuario del dispositivo completamente administrado (para el aprovisionamiento del propietario del dispositivo ) o en el usuario del perfil de trabajo (para el aprovisionamiento del propietario del perfil ). Luego, la aplicación DPC agrega cuentas y aplica políticas.

Requisitos del lanzador

Para admitir la administración de dispositivos, el Iniciador debe admitir aplicaciones con insignias con íconos de trabajo (proporcionados en AOSP para representar aplicaciones administradas). Otros elementos de la interfaz de usuario en dispositivos o perfiles administrados, como las notificaciones, deben utilizar recursos con insignia de trabajo. Launcher3 en AOSP ya admite estas funciones de creación de credenciales.

Aplicaciones de trabajo predeterminadas

De forma predeterminada, solo las aplicaciones esenciales para el funcionamiento correcto de un dispositivo administrado o perfil de trabajo están habilitadas como parte del aprovisionamiento empresarial de Android. Los fabricantes de dispositivos pueden especificar una lista de aplicaciones predeterminadas utilizando estos archivos XML:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Después del aprovisionamiento del dispositivo, los administradores de TI pueden usar la consola EMM o Google Play administrado para impulsar cualquier aplicación adicional que una organización considere necesaria.

Tanto en el modo propietario del dispositivo (dispositivo totalmente administrado) como en el modo propietario del perfil (perfil de trabajo):

  • Las aplicaciones sin íconos de inicio se consideran componentes vitales del sistema y Android las habilita automáticamente.
  • Las aplicaciones con íconos de inicio se pueden habilitar de forma predeterminada durante el aprovisionamiento del dispositivo al incluir en la lista de permitidos los nombres de sus paquetes en vendor_required_apps_managed_[device|profile|user].xml files .
  • Todas las demás aplicaciones se desactivan automáticamente durante el aprovisionamiento del dispositivo.

Implementación del propietario del dispositivo en dispositivos configurados con un usuario del sistema sin cabeza

Android 14 (nivel de API 34) introduce la configuración del modo de usuario del sistema sin cabeza , donde el usuario del sistema es un usuario en segundo plano y los usuarios en primer plano son usuarios secundarios. Debido a que la funcionalidad del propietario del dispositivo tradicionalmente depende de que el usuario del sistema también esté en primer plano, la configuración del usuario del sistema sin cabeza plantea ciertos desafíos únicos para los dispositivos totalmente administrados (aprovisionamiento del propietario del dispositivo) .

Modo de usuario del sistema sin cabeza

Figura 1. Modo de usuario del sistema sin cabeza.

En un dispositivo en modo de usuario de sistema sin cabeza, una aplicación de controlador de políticas de dispositivo (DPC) se puede configurar como propietario del dispositivo solo si admite el modo afiliado ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). El sistema comprueba si se admite el modo afiliado llamando a getHeadlessDeviceOwnerMode() . El aprovisionamiento de dispositivos se maneja en consecuencia dependiendo de si la aplicación DPC admite el aprovisionamiento en modo afiliado.