Implementieren Sie die Geräteverwaltung

Auf dieser Seite werden Richtlinien für Gerätehersteller beschrieben, um die Geräteverwaltung auf Android zu aktivieren. Um die Geräteverwaltung zu unterstützen, müssen Geräte alle in Abschnitt 3.9 definierten Softwarekompatibilitätsanforderungen erfüllen. Geräteverwaltung im Android Compatibility Definition Document (CDD) . Die hier bereitgestellten Implementierungsrichtlinien erheben keinen Anspruch auf Vollständigkeit und dienen lediglich als Ausgangspunkt für die Implementierung der Android-Geräteverwaltung.

Aktivieren Sie die Geräteverwaltung

Um die Geräteverwaltung auf Android zu aktivieren, aktivieren Sie diese Funktionen:

  • android.software.device_admin
  • android.software.managed_users

Um zu bestätigen, dass ein Gerät die Geräteverwaltung unterstützt, führen Sie den folgenden ADB-Befehl auf einem Gerät aus und überprüfen Sie, ob diese Funktionen vorhanden sind: adb shell pm list features .

Setup-Anforderungen

Geräte, die die Bereitstellung von Gerätebesitzern oder Profilbesitzern implementieren, müssen den Endbenutzern während der Einrichtung (Out-of-Box-Erfahrung oder Einrichtung von Arbeitsprofilen) entsprechende Offenlegungen vorlegen. AOSP stellt eine Referenzimplementierung bereit. Bei der verwalteten Bereitstellung handelt es sich um den UI-Ablauf des Android-Frameworks, der während der Einrichtung eines vollständig verwalteten Geräts oder Arbeitsprofils aufgerufen wird, um sicherzustellen, dass Gerätebenutzer ausreichend über die Auswirkungen der Festlegung eines Gerätebesitzers oder eines verwalteten Profils auf dem Gerät informiert werden. Die verwaltete Bereitstellung führt die folgenden Aktivitäten aus oder delegiert sie während der Bereitstellung an einen Inhaber einer Geräterichtlinienverwaltungsrolle:

  • Verschlüsselt das Gerät (sofern die Verschlüsselung aktiviert ist).
  • Richtet einen verwalteten Benutzer ein.
  • Deaktiviert optionale Apps.
  • Legt die Enterprise Mobility Management (EMM) Device Policy Controller (DPC)-App als Gerätebesitzer oder Profilbesitzer fest.

Die DPC-App führt wiederum die folgenden Aktivitäten aus:

  • Fügt Benutzerkonten hinzu.
  • Erzwingt die Einhaltung der Geräterichtlinien.
  • Aktiviert alle zusätzlichen System-Apps.

Nach Abschluss der Bereitstellung wird der Intent-Handler ADMIN_POLICY_COMPLIANCE der DPC-App im vollständig verwalteten Gerätebenutzer (für die Bereitstellung von Gerätebesitzern ) oder im Arbeitsprofilbenutzer (für die Bereitstellung von Profilbesitzern ) ausgeführt. Anschließend fügt die DPC-App Konten hinzu und erzwingt Richtlinien.

Anforderungen an den Launcher

Um die Geräteverwaltung zu unterstützen, muss der Launcher das Markieren von Apps mit Arbeitssymbol-Badges unterstützen (in AOSP zur Darstellung verwalteter Anwendungen bereitgestellt). Andere Benutzeroberflächenelemente auf verwalteten Geräten oder Profilen, wie z. B. Benachrichtigungen, müssen Assets mit Arbeitsbadge verwenden. Launcher3 in AOSP unterstützt diese Badge-Funktionen bereits.

Standard-Arbeits-Apps

Standardmäßig sind im Rahmen der Android Enterprise-Bereitstellung nur Anwendungen aktiviert, die für den ordnungsgemäßen Betrieb eines verwalteten Geräts oder Arbeitsprofils erforderlich sind. Gerätehersteller können mithilfe dieser XML-Dateien eine Liste von Standard-Apps angeben:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Nach der Gerätebereitstellung können IT-Administratoren die EMM-Konsole oder Managed Google Play verwenden, um alle zusätzlichen Apps zu pushen, die eine Organisation für notwendig erachtet.

Sowohl im Gerätebesitzermodus (vollständig verwaltetes Gerät) als auch im Profilbesitzermodus (Arbeitsprofil):

  • Apps ohne Launcher-Symbole gelten als wichtige Systemkomponenten und werden von Android automatisch aktiviert.
  • Apps mit Startsymbolen können während der Gerätebereitstellung standardmäßig aktiviert werden, indem ihre Paketnamen in vendor_required_apps_managed_[device|profile|user].xml files Zulassungsliste gesetzt werden.
  • Alle anderen Apps werden während der Gerätebereitstellung automatisch deaktiviert.

Implementierung des Gerätebesitzers in Geräten, die mit einem Headless-Systembenutzer konfiguriert sind

Android 14 (API-Ebene 34) führt die Konfiguration des Headless-Systembenutzermodus ein, bei der der Systembenutzer ein Hintergrundbenutzer und die Vordergrundbenutzer sekundäre Benutzer sind. Da die Funktionalität des Geräteeigentümers traditionell davon abhängt, dass der Systembenutzer ebenfalls im Vordergrund steht, bringt die Headless-Systembenutzerkonfiguration bestimmte einzigartige Herausforderungen für vollständig verwaltete Geräte mit sich (Bereitstellung des Geräteeigentümers) .

Benutzermodus für kopfloses System

Abbildung 1. Benutzermodus des Headless-Systems.

Auf einem Headless-System-Benutzermodusgerät kann eine DPC-Anwendung (Device Policy Controller) nur dann als Gerätebesitzer festgelegt werden, wenn sie den verbundenen Modus unterstützt ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). Das System prüft, ob der verbundene Modus unterstützt wird, indem es getHeadlessDeviceOwnerMode() aufruft. Die Gerätebereitstellung wird entsprechend gehandhabt, je nachdem, ob die DPC-Anwendung die Bereitstellung im verbundenen Modus unterstützt.