מכשירים עם Android מגרסה 5.0 ואילך תומכים במצבי ניהול מכשירים, שמאפשרים לאדמינים ב-IT בארגונים להגדיר מדיניות למכשירים מנוהלים רשומים. יכול להיות שכללי המדיניות של המכשיר שזמינים לאפליקציה לניהול מכשירים יהיו תלויים בסוג מצב הניהול שבו נעשה שימוש לצורך ההרשמה. יכול להיות שלחלק מממשקי ה-API לניהול מכשירים (ראו DevicePolicyManager לרשימה מלאה של רכיבי API) יש שימושים מעבר לשימוש ארגוני, אבל רובם מיועדים לשימוש בסביבות ארגוניות, לפריסה עם פתרונות Android Enterprise.
איך פועל Android Enterprise
Android Enterprise משתמש באפליקציית בקר לניהול מדיניות מכשירים (DPC) כדי לאכוף את מדיניות ניהול המכשירים. ספק של פתרונות לניהול ניידות ארגונית (EMM) מספק ללקוחות פתרונות לניהול מכשירים, שבדרך כלל כוללים אפליקציה של מדיניות מכשירים (DPC) במכשיר ומסוף EMM מבוסס-ענן. לקוחות Enterprise יכולים לרשום מכשירים ולהחיל עליהם מדיניות ניהול באמצעות מסוף ה-EMM.
אפליקציית DPC יכולה לפעול במצב בעלות על הפרופיל במכשירים אישיים ובמכשירים בבעלות החברה, או במצב בעלות על המכשיר במכשירים בבעלות החברה.
מצבי ניהול של מכשירי Android Enterprise
ב-Android Enterprise יש מצבים שונים לניהול מכשירים:
מכשיר מנוהל (נקרא גם מצב בעלי המכשיר): אפליקציית DPC מוגדרת כבעלים של המכשיר במהלך ההגדרה, והיא מנהלת את כל המכשיר. אפשר להשתמש בסוג הזה של ניהול מכשירים רק במכשירים בבעלות הארגון (בבעלות החברה) שמשמשים לעבודה.
פרופיל עבודה (נקרא גם מצב פרופיל מנוהל): אפליקציית DPC מוגדרת כבעלים של פרופיל והיא מנהלת רק את פרופיל העבודה במכשיר, שיכול להיות בו גם פרופיל אישי. אפשר להשתמש בסוג הזה של ניהול מכשירים במכשיר אישי או במכשיר בבעלות הארגון.
הקצאת הרשאות למכשירים שמנוהלים באופן מלא (הקצאת הרשאות לבעלי המכשירים)
Android כולל מגוון רחב של תכונות ניהול שמאפשרות לארגונים להגדיר מכשירים לכל מטרה – החל משימוש של עובדים בארגון, דרך סביבות תעשייתיות או מפעלים, ועד לשילוט ומכשירי קיוסק שמיועדים ללקוחות. באמצעות הקצאת הרשאות לבעלי המכשיר(מכשירים בניהול מלא), ארגונים יכולים לאכוף את כל מגוון מדיניות הניהול של Android,כולל מדיניות ברמת המכשיר שלא זמינה לפרופילי עבודה.
מכשיר שמנוהל באופן מלא:
- כולל רק אפליקציות ונתונים שקשורים לעבודה.
- גלוי לארגון.
- מנוהל על ידי הארגון.
אפשר לבצע הקצאת הרשאות לבעלי מכשירים רק במהלך ההגדרה הראשונית (או במכשיר שאופס להגדרות היצרן), וצריך להקצות הרשאות רק במכשירים שנמצאים בבעלות של ארגון. בדרך כלל, כדי לעשות זאת, מאמתים מזהי מכשירים ייחודיים (כמו IMEI או מספר סידורי), או משתמשים בקבוצה ייעודית של חשבונות ארגוניים שיש להם הרשאה לרשום מכשירים. אחרי שהקצאת ההרשאות לבעלי המכשיר מסתיימת בהצלחה, אפליקציית ה-DPC מוגדרת כאפליקציית בעלי המכשיר.
מכשירים בניהול מלא מתאימים במיוחד לתרחישי שימוש של מכשירים ייעודיים, שבהם המכשיר בדרך כלל נעול לאפליקציה אחת או לקבוצה של אפליקציות, כמו קיוסקים לצ'ק-אין או שילוט דיגיטלי. Android תומך בכמה שיטות רישום של בעלי מכשירים, כמו רישום מבוסס קוד QR, רישום מבוסס NFC, חשבונות ארגוניים או רישום מבוסס-ענן. מפתחים של פתרונות EMM יכולים לעיין בפרטים במאמר ההבדלים העיקריים בהקצאת הרשאות בין גרסאות Android.
הקצאת פרופיל עבודה (הקצאה של בעלי פרופילים)
הקצאת הרשאות לבעלי פרופילים מאפשרת למשתמשים להגדיר במכשיר גם פרופיל עבודה (פרופיל מנוהל) וגם פרופיל אישי. אפשר להשתמש בסוג הזה של ניהול מכשירים במכשיר בבעלות הארגון או במכשיר אישי. אפשר לבצע הקצאת בעלות על פרופיל במהלך ההגדרה של מכשיר חדש (במכשירים בבעלות הארגון) או אחרי ההגדרה של מכשיר חדש עם פרופיל ראשי (רישום של מכשיר אישי), בהתאם לסוג המכשיר ולשיטת הרישום שהארגון תומך בהם. במכשירים שהוקצו להם פרופיל עבודה, ל-DPC יש שליטה רק בפרופיל העבודה (אפליקציות ונתונים שקשורים לעבודה) ולא בפרופיל האישי. מדיניות המכשיר נאכפת רק בפרופיל העבודה, למעט כמה מקרים חריגים, כמו אכיפה של נעילת המסך, שרלוונטית לכל המכשיר.
במהלך הקצאת הבעלים של הפרופיל, המסגרת מעתיקה את אפליקציית ה-DPC לפרופיל המנוהל ומפעילה את ADMIN_POLICY_COMPLIANCE intent handler אצל המשתמש בפרופיל העבודה. כשסיום ההקצאה של פרופיל העבודה, סמלי האפליקציות עם תג עבודה מופיעים במפעיל האפליקציות. אחרי שהקצאת ההרשאות לבעלים של הפרופיל מסתיימת בהצלחה, אפליקציית ה-DPC מוגדרת כאפליקציית הבעלים של הפרופיל. מערכת Android תומכת בשיטות שונות לרישום פרופיל עבודה, כמו רישום באמצעות קוד QR, רישום באמצעות NFC, חשבונות או רישום מבוסס-ענן. מפתחים של פתרונות EMM יכולים לעיין בהבדלים בהקצאת הרשאות למפתחות בגרסאות שונות של Android כדי לקבל פרטים.