הטמעת ניהול מכשירים

הדף הזה מתאר את ההנחיות ליצרני מכשירים להפעלת ניהול מכשירים ב-Android. כדי לתמוך בניהול מכשירים, המכשירים צריכים לעמוד בכל דרישות התאימות לתוכנה שמוגדרות בסעיף 3.9. ניהול המכשיר במסמך הגדרת התאימות של Android (CDD). הנחיות ההטמעה שמפורטות כאן הן לא מקיפות, והן משמשות רק כנקודת התחלה להטמעת ניהול מכשירי Android.

הפעלת ניהול המכשירים

כדי להפעיל את ניהול המכשיר ב-Android, צריך להפעיל את התכונות הבאות:

  • android.software.device_admin
  • android.software.managed_users

כדי לוודא שמכשיר תומך בניהול מכשירים, מריצים את הפקודה הבאה של adb במכשיר ומוודאים שהתכונות האלה קיימות: adb shell pm list features.

הדרישות להגדרת YouTube Music

במכשירים שבהם מוטמע הקצאה של הרשאות גישה של בעלי המכשיר או של בעלי הפרופיל, צריך להציג למשתמשי הקצה גילויים נאותים מתאימים במהלך ההגדרה (חוויית הגדרה מחוץ לאריזה או הגדרת פרופיל עבודה). ב-AOSP יש הטמעת עזר. הקצאה מנוהלת היא תהליך בממשק המשתמש של מסגרת Android שמופעל במהלך ההגדרה של מכשיר מנוהל באופן מלא או של פרופיל עבודה, כדי לוודא שמשתמשי המכשיר מקבלים מידע מספק על ההשלכות של הגדרת בעלים של המכשיר או פרופיל מנוהל במכשיר. במהלך הקצאת המשאבים המנוהלת מתבצעות הפעילויות הבאות, או שהן מועברות לטיפול של בעל תפקיד לניהול מדיניות המכשירים:

  • מצפין את המכשיר (אם ההצפנה מופעלת).
  • יצירת משתמש מנוהל.
  • השבתת אפליקציות אופציונליות.
  • הגדרת האפליקציה של אמצעי הבקרה של מדיניות המכשיר (DPC) לניהול מכשירים ושירותי מובייל בארגון (EMM) בתור בעלי המכשיר או בעלי הפרופיל.

בתמורה, אפליקציית ה-DPC מבצעת את הפעולות הבאות:

  • הוספה של חשבונות משתמשים.
  • אכיפת הציות למדיניות המכשיר.
  • הפעלת אפליקציות מערכת נוספות.

בסיום ההקצאה, ה-handler של אפליקציית ADMIN_POLICY_COMPLIANCE לבקרת DPC יפעל אצל המשתמש המנוהל במלואו במכשיר (להקצאת בעלי המכשיר) או במשתמש של פרופיל העבודה (להקצאה של בעלי הפרופיל). לאחר מכן, אפליקציית DPC מוסיפה חשבונות ומפעילה את כללי המדיניות.

הדרישות למרכז האפליקציות

כדי לתמוך בניהול המכשיר, מרכז האפליקציות צריך לתמוך באפליקציות עם תגים עם סמלי עבודה (שסופקו ב-AOSP כדי לייצג אפליקציות מנוהלות). ברכיבים אחרים של ממשק המשתמש במכשירים או בפרופילים מנוהלים, כמו התראות, צריך להשתמש בנכסים עם תג עבודה. Launcher3 ב-AOSP כבר תומך בתכונות האלה של תגיות.

אפליקציות ברירת המחדל לעבודה

כברירת מחדל, רק אפליקציות חיוניות לתפקוד תקין של מכשיר מנוהל או של פרופיל עבודה מופעלות כחלק מההקצאה של Android enterprise. יצרני המכשירים יכולים לציין רשימה של אפליקציות ברירת מחדל באמצעות קובצי ה-XML הבאים:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

אחרי הקצאת המכשיר, אדמינים ב-IT יכולים להשתמש במסוף ה-EMM או ב-Google Play לארגונים כדי לדחוף אפליקציות נוספות שנחוצות לארגון.

גם במצב 'בעלי המכשיר' (מכשיר מנוהל) וגם במצב 'בעלי הפרופיל' (פרופיל עבודה):

  • אפליקציות ללא סמלי מרכז האפליקציות נחשבות לרכיבי מערכת חיוניים, והן מופעלות באופן אוטומטי על ידי Android.
  • במהלך הקצאת המכשירים, ניתן להפעיל אפליקציות עם סמלי מרכז האפליקציות כברירת מחדל על ידי הוספת שמות החבילות שלהן לרשימת ההיתרים ב-vendor_required_apps_managed_[device|profile|user].xml files.
  • כל שאר האפליקציות מושבתות באופן אוטומטי במהלך הקצאת המכשיר.

הטמעה של הבעלים של המכשיר במכשירים שהוגדרו עם משתמש במערכת ללא ממשק גרפי

ב-Android 14 (רמת API 34) נוספה ההגדרה headless system user mode, שבה משתמש המערכת הוא משתמש ברקע והמשתמשים בחזית הם משתמשים משניים. מכיוון שהפונקציונליות של בעלי המכשיר מסתמכת באופן מסורתי על כך שמשתמש המערכת נמצא גם הוא בחזית, ההגדרה של משתמש מערכת ללא גוף (headless) מציבה אתגרים ייחודיים מסוימים במכשירים מנוהלים לחלוטין (הקצאה של בעלי המכשיר).

מצב משתמש למערכת ללא ממשק משתמש (Headless)

איור 1. מצב משתמש ללא ממשק גרפי במערכת.

במכשיר ללא ראש (headless) במצב משתמש במערכת, אפשר להגדיר אפליקציית Device Policy Controller‏ (DPC) כבעלים של המכשיר רק אם היא תומכת במצב משויך (HEADLESS_DEVICE_OWNER_MODE_AFFILIATED). המערכת בודקת אם יש תמיכה במצב משויך באמצעות קריאה ל-getHeadlessDeviceOwnerMode(). הקצאת המכשיר מטופלת בהתאם, בהתאם לכך שאפליקציית ה-DPC תומכת בהקצאה במצב משויך.