本頁介紹了裝置製造商在 Android 上啟用裝置管理的指南。為了支援設備管理,設備必須滿足第 3.9 節中定義的所有軟體相容性要求。 Android 相容性定義文件 (CDD)中的裝置管理。此處提供的實施指南並不詳盡,僅作為實施 Android 裝置管理的起點。
啟用設備管理
若要在 Android 上啟用裝置管理,請啟用下列功能:
-
android.software.device_admin -
android.software.managed_users
若要確認設備支援設備管理,請在設備上執行以下 adb 命令並驗證這些功能是否存在: adb shell pm list features 。
設定要求
實施設備擁有者或設定檔擁有者配置的設備必須在設定期間向最終使用者提供適當的揭露(開箱即用體驗或工作設定檔設定)。 AOSP 提供了參考實作。託管配置是在完全託管裝置或工作設定檔設定期間呼叫的 Android 框架 UI 流,以確保裝置使用者充分了解在裝置上設定裝置擁有者或託管設定檔的影響。託管配置在配置期間執行以下活動或將其委託給設備策略管理角色持有者:
反過來,DPC 應用程式執行以下活動:
- 新增用戶帳戶。
- 強制執行設備策略合規性。
- 啟用任何其他系統應用程式。
配置完成後,DPC 應用程式的ADMIN_POLICY_COMPLIANCE意圖處理程序在完全託管裝置使用者(對於裝置擁有者設定)或工作設定檔使用者(對於設定檔擁有者設定)中執行。然後,DPC 應用程式會新增帳戶並執行策略。
啟動器要求
為了支援設備管理,啟動器必須支援帶有工作圖標徽章的徽章應用程式(在 AOSP 中提供以代表託管應用程式)。託管裝置或設定檔上的其他使用者介面元素(例如通知)必須使用工作徽章資產。 AOSP 中的 Launcher3 已經支援這些徽章功能。
預設工作應用程式
預設情況下,只有對於託管裝置或工作設定檔的正確操作至關重要的應用程式才會作為 Android 企業配置的一部分啟用。設備製造商可以使用這些 XML 檔案指定預設應用程式清單:
-
vendor_required_apps_managed_profile.xml -
vendor_required_apps_managed_device.xml -
vendor_required_apps_managed_user.xml
裝置配置後,IT 管理員可以使用 EMM 控制台或託管 Google Play推送組織認為必要的任何其他應用程式。
在設備擁有者(完全託管設備)和設定檔擁有者(工作設定檔)模式下:
- 沒有啟動器圖示的應用程式被視為重要的系統元件,並由 Android 自動啟用。
- 具有啟動器圖示的應用程式可以在裝置配置期間預設啟用,方法是將其套件名稱列入
vendor_required_apps_managed_[device|profile|user].xml files中的白名單。 - 所有其他應用程式都會在裝置配置期間自動停用。
配置有無頭系統用戶的設備中的設備所有者實現
Android 14(API 等級 34)引入了無頭系統用戶模式配置,其中系統用戶是後台用戶,前台用戶是次要用戶。由於設備所有者功能傳統上依賴也位於前台的系統用戶,因此無頭系統用戶配置為完全託管的設備(設備所有者配置)帶來了某些獨特的挑戰。
圖 1.無頭系統使用者模式。
在無頭系統使用者模式裝置上,僅當裝置原則控制器 (DPC)應用程式支援附屬模式 ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ) 時,才可以將其設定為裝置擁有者。系統透過呼叫getHeadlessDeviceOwnerMode()檢查是否支援附屬模式。根據 DPC 應用程式是否支援附屬模式配置,相應地處理設備配置。