Implémenter la gestion des appareils

Cette page explique aux fabricants d'appareils comment activer leur appareil sur Android. Pour que la gestion des appareils soit possible, les appareils doivent respecter toutes les exigences de compatibilité logicielle définies dans la section 3.9. Administration des appareils dans le document de définition de compatibilité (CDD) Android. Les consignes de mise en œuvre fournies ici ne sont pas exhaustives et servent uniquement un point de départ pour implémenter la gestion des appareils Android.

Activer la gestion des appareils

Pour activer la gestion des appareils sur Android, activez les fonctionnalités suivantes:

  • android.software.device_admin
  • android.software.managed_users

Pour vérifier qu'un appareil est compatible avec la gestion des appareils, exécutez l'adb suivant sur un appareil et vérifiez que ces fonctionnalités sont présentes: adb shell pm list features.

Configuration requise

Les appareils qui implémentent le provisionnement du propriétaire de l'appareil ou du propriétaire du profil doivent disposer divulgations appropriées aux utilisateurs finaux lors de la configuration (expérience ou configuration du profil). AOSP fournit une implémentation de référence. Le provisionnement géré est le flux de l'UI du framework Android appelé lors de l'exécution d'un appareil géré ou d'un profil professionnel pour s'assurer que les utilisateurs disposent des informations sur les conséquences de la définition d'un propriétaire d'appareil ou d'un profil géré sur le appareil. Le provisionnement géré exécute les activités suivantes ou les délègue à un titulaire du rôle de gestion des règles relatives aux appareils lors du provisionnement:

  • Chiffre l'appareil (si le chiffrement est activé).
  • Définit un utilisateur géré.
  • Désactive les applications facultatives.
  • Définit l'outil de contrôle des règles relatives aux appareils (DPC) de gestion de la mobilité en entreprise (EMM) application en tant que propriétaire de l'appareil ou propriétaire du profil.

À son tour, l'application DPC effectue les activités suivantes:

  • Ajoute des comptes utilisateur.
  • Applique la conformité avec les règles relatives aux appareils.
  • Active toutes les applications système supplémentaires.

Une fois le provisionnement terminé, l'intent ADMIN_POLICY_COMPLIANCE de l'application DPC s'exécute au niveau de l'utilisateur d'appareil entièrement géré (par provisionnement propriétaire de l'appareil) ou dans l'utilisateur du profil professionnel (par provisionnement des propriétaires de profils). Ensuite, l'application DPC ajoute des comptes et applique des règles.

Exigences relatives au lanceur d'applications

Pour permettre la gestion des appareils, le lanceur d'applications doit être compatible avec les applications de badges avec des badges d’icône professionnelle (fournis dans AOSP pour représenter les applications gérées). D'autres éléments de l'interface utilisateur sur des profils ou des appareils gérés, tels que doivent utiliser des badges professionnels. Dans AOSP, Launcher3 prend déjà en charge ces fonctionnalités de badge.

Applis professionnelles par défaut

Par défaut, seules les applications essentielles au bon fonctionnement d'une l'appareil ou le profil professionnel sont activés lors du provisionnement d'Android pour les entreprises. Les fabricants d'appareils peuvent spécifier une liste d'applications par défaut à l'aide des fichiers XML suivants:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Une fois les appareils provisionnés, les administrateurs informatiques peuvent utiliser la console EMM ou Google Play d'entreprise pour déployer toute application supplémentaire jugée nécessaire par une organisation.

Propriétaire de l'appareil (appareil entièrement géré) et propriétaire du profil (profil professionnel) modes:

  • Les applications sans icône de lanceur sont considérées comme des composants système essentiels et sont activés automatiquement par Android.
  • Les applications associées à des icônes de lanceur peuvent être activées par défaut sur l'appareil en ajoutant leurs noms de packages à la liste d'autorisation vendor_required_apps_managed_[device|profile|user].xml files
  • Toutes les autres applications sont désactivées automatiquement lors de la préparation de l'appareil.

Implémentation du propriétaire de l'appareil dans les appareils configurés avec un utilisateur système headless

Android 14 (niveau d'API 34) introduit la mode utilisateur système headless configuration dans laquelle l'utilisateur système est un utilisateur en arrière-plan et au premier plan sont des utilisateurs secondaires. En effet, propriétaire de l'appareil fonctionnalité repose traditionnellement sur le fait que l'utilisateur du système se trouve également dans au premier plan, la configuration utilisateur du système headless apporte certaines sur les appareils entièrement gérés (provisionnement par propriétaire de l'appareil).

Mode utilisateur système headless

Figure 1 : Mode utilisateur système headless.

Sur un appareil en mode utilisateur de système headless, outil de contrôle des règles relatives aux appareils (DPC) l'application ne peut être définie comme propriétaire de l'appareil que si elle est compatible avec le mode Affilié. (HEADLESS_DEVICE_OWNER_MODE_AFFILIATED). Le système vérifie si le mode affilié est compatible avec l'appel getHeadlessDeviceOwnerMode(). Le provisionnement de l'appareil est géré en conséquence selon que l'application DPC est compatible avec le provisionnement en mode affilié.