Diese Seite wurde von der Cloud Translation API übersetzt.

Geräteverwaltung implementieren

Auf dieser Seite werden Richtlinien für Gerätehersteller beschrieben, um die Geräteverwaltung unter Android zu ermöglichen. Um die Geräteverwaltung zu unterstützen, müssen Geräte alle in Abschnitt 3.9. „Geräteverwaltung“ im Android Compatibility Definition Document (CDD). Die hier bereitgestellten Implementierungsrichtlinien sind nicht vollständig und dienen nur als Ausgangspunkt für die Implementierung der Android-Geräteverwaltung.

Geräteverwaltung aktivieren

Wenn Sie die Geräteverwaltung unter Android aktivieren möchten, müssen Sie die folgenden Funktionen aktivieren:

android.software.device_admin
android.software.managed_users

Um zu prüfen, ob ein Gerät die Geräteverwaltung unterstützt, führen Sie den folgenden adb-Befehl auf einem Gerät aus und prüfen Sie, ob diese Funktionen vorhanden sind: adb shell pm list features.

Voraussetzungen für die Einrichtung

Auf Geräten, auf denen die Bereitstellung für Geräteeigentümer oder Profilinhaber implementiert ist, müssen Endnutzer während der Einrichtung (Out-of-Box-Ersteinrichtung oder Einrichtung eines Arbeitsprofils) entsprechende Offenlegungen sehen. AOSP bietet eine Referenzimplementierung. Die verwaltete Bereitstellung ist der Android-Framework-UI-Vorgang, der bei der Einrichtung eines vollständig verwalteten Geräts oder Arbeitsprofils aufgerufen wird, um sicherzustellen, dass die Gerätenutzer über die Auswirkungen der Einrichtung eines Geräteeigentümers oder verwalteten Profils auf dem Gerät informiert sind. Bei der verwalteten Bereitstellung werden die folgenden Aktivitäten ausgeführt oder an einen Rolleninhaber für die Verwaltung von Geräterichtlinien delegiert:

Verschlüsselt das Gerät (sofern die Verschlüsselung aktiviert ist).
Ein verwalteter Nutzer wird eingerichtet.
Optionale Apps werden deaktiviert.
Die Device Policy Controller App (DPC) für Enterprise Mobility Management (EMM) wird als Geräteeigentümer oder Profilinhaber festgelegt.

Die DPC-App führt wiederum die folgenden Aktivitäten aus:

Fügt Nutzerkonten hinzu.
Erzwingt die Einhaltung der Geräterichtlinien.
Aktiviert alle zusätzlichen System-Apps.

Nach Abschluss der Bereitstellung wird der Intent-Handler ADMIN_POLICY_COMPLIANCE der DPC-Anwendung im vollständig verwalteten Gerätenutzer (zur Bereitstellung des Geräteinhabers) oder im Arbeitsprofilnutzer (zur Bereitstellung des Profilinhabers) ausgeführt. Die DPC-App fügt dann Konten hinzu und erzwingt Richtlinien.

Launcher-Anforderungen

Zur Unterstützung der Geräteverwaltung muss der Launcher Apps mit Arbeitssymbolen (in AOSP für verwaltete Apps bereitgestellt) kennzeichnen. Für andere Elemente der Benutzeroberfläche auf verwalteten Geräten oder Profilen, z. B. Benachrichtigungen, müssen Assets mit Arbeitsausweis verwendet werden. Launcher3 in AOSP unterstützt bereits diese Funktionen für Symbole.

Standardmäßige geschäftliche Apps

Standardmäßig werden im Rahmen der Android Enterprise-Bereitstellung nur Anwendungen aktiviert, die für den ordnungsgemäßen Betrieb eines verwalteten Geräts oder Arbeitsprofils erforderlich sind. Gerätehersteller können mithilfe dieser XML-Dateien eine Liste von Standard-Apps angeben:

vendor_required_apps_managed_profile.xml
vendor_required_apps_managed_device.xml
vendor_required_apps_managed_user.xml

Nach der Gerätebereitstellung können IT-Administratoren über die EMM-Konsole oder Verwaltetes Google Play zusätzliche Apps bereitstellen, die von einer Organisation als erforderlich erachtet werden.

Sowohl im Modus „Geräteeigentümer“ (vollständig verwaltetes Gerät) als auch im Modus „Profilinhaber“ (Arbeitsprofil):

Apps ohne Launcher-Symbole gelten als wichtige Systemkomponenten und werden von Android automatisch aktiviert.
Apps mit Launcher-Symbolen können während der Gerätebereitstellung standardmäßig aktiviert werden, indem ihre Paketnamen in vendor_required_apps_managed_[device|profile|user].xml files auf die Zulassungsliste gesetzt werden.
Alle anderen Apps werden während der Gerätebereitstellung automatisch deaktiviert.

Geräteeigentümer-Implementierung auf Geräten, die mit einem headless Systemnutzer konfiguriert sind

In Android 14 (API-Ebene 34) wird der Headless System User Mode eingeführt. Dabei ist der Systemnutzer ein Nutzer im Hintergrund und die Nutzer im Vordergrund sind sekundäre Nutzer. Da die Geräteinhaberfunktion normalerweise darauf beruht, dass der Systemnutzer auch im Vordergrund ist, bringt die monitorlose Systemnutzerkonfiguration bestimmte Herausforderungen für vollständig verwaltete Geräte mit sich(Bereitstellung des Geräteinhabers).

Headless System User Mode

Abbildung 1. Monitorloser Systemmodus.

Auf einem Gerät im Nutzermodus eines headless-Systems kann eine Device Policy Controller (DPC)-Anwendung nur dann als Geräteeigentümer festgelegt werden, wenn sie den verbundenen Modus (HEADLESS_DEVICE_OWNER_MODE_AFFILIATED) unterstützt. Das System prüft, ob der verbundene Modus unterstützt wird, indem getHeadlessDeviceOwnerMode() aufgerufen wird. Die Gerätebereitstellung hängt davon ab, ob die DPC-Anwendung die Bereitstellung im Partnermodus unterstützt.