Triển khai hoạt động quản lý thiết bị

Trang này mô tả các nguyên tắc để nhà sản xuất thiết bị hỗ trợ thiết bị quản lý sản phẩm trên Android. Để hỗ trợ quản lý thiết bị, thiết bị phải đáp ứng tất cả các yêu cầu về khả năng tương thích với phần mềm được xác định trong mục 3.9. Quản trị thiết bị trong tài liệu Định nghĩa về khả năng tương thích (CDD) với Android. Các nguyên tắc triển khai được cung cấp ở đây chưa đầy đủ và chỉ đóng vai trò là điểm bắt đầu để triển khai quản lý thiết bị Android.

Bật tính năng quản lý thiết bị

Để bật chế độ quản lý thiết bị trên Android, hãy bật các tính năng sau:

  • android.software.device_admin
  • android.software.managed_users

Để xác nhận rằng một thiết bị có hỗ trợ tính năng quản lý thiết bị, hãy chạy adb sau trên một thiết bị và xác minh rằng các tính năng đó đã có: adb shell pm list features.

Các yêu cầu về thiết lập

Những thiết bị triển khai việc cấp phép cho chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ phải có thông tin công bố phù hợp cho người dùng cuối trong quá trình thiết lập (trải nghiệm hoặc công việc ngay từ đầu thiết lập hồ sơ). AOSP cung cấp cách triển khai tệp đối chiếu. Cấp phép được quản lý là luồng giao diện người dùng khung Android được gọi trong quá trình thiết bị được quản lý hoặc hồ sơ công việc để đảm bảo người dùng thiết bị về các hệ quả của việc thiết lập chủ sở hữu thiết bị hoặc hồ sơ được quản lý trên thiết bị. Cấp phép được quản lý thực hiện các hoạt động sau đây hoặc uỷ quyền cho chúng cho chủ vai trò quản lý chính sách thiết bị trong quá trình cung cấp:

  • Mã hoá thiết bị (nếu đã bật tính năng mã hoá).
  • Thiết lập người dùng được quản lý.
  • Tắt các ứng dụng không bắt buộc.
  • Thiết lập Trình điều khiển chính sách thiết bị (DPC) cho giải pháp Quản lý di động dành cho doanh nghiệp (EMM) ứng dụng trong vai trò chủ sở hữu thiết bị hoặc chủ sở hữu trang doanh nghiệp.

Đổi lại, ứng dụng DPC sẽ thực hiện các hoạt động sau:

  • Thêm tài khoản người dùng.
  • Thực thi tuân thủ chính sách thiết bị.
  • Bật mọi ứng dụng hệ thống bổ sung.

Sau khi cấp phép xong, ý định ADMIN_POLICY_COMPLIANCE của ứng dụng DPC trình xử lý chạy trong người dùng thiết bị được quản lý hoàn toàn (đối với cấp phép cho chủ sở hữu thiết bị) hoặc trong hồ sơ công việc của người dùng (đối với cấp phép cho chủ sở hữu trang doanh nghiệp). Sau đó, ứng dụng DPC sẽ thêm tài khoản và thực thi các chính sách.

Yêu cầu đối với trình chạy

Để hỗ trợ quản lý thiết bị, Trình chạy phải hỗ trợ các ứng dụng được gắn huy hiệu có huy hiệu biểu tượng công việc (được cung cấp trong AOSP để đại diện cho các ứng dụng được quản lý). Các phần tử giao diện người dùng khác trên hồ sơ hoặc thiết bị được quản lý, chẳng hạn như phải sử dụng thành phần có huy hiệu công việc. Launcher3 đã được hỗ trợ trong AOSP (Dự án nguồn mở Android) các tính năng huy hiệu này.

Ứng dụng công việc mặc định

Theo mặc định, chỉ những ứng dụng cần thiết cho hoạt động chính xác của thiết bị hoặc hồ sơ công việc được bật như một phần của cấp phép Android cho doanh nghiệp. Nhà sản xuất thiết bị có thể chỉ định danh sách ứng dụng mặc định bằng các tệp XML sau:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Sau khi cấp phép thiết bị, quản trị viên CNTT có thể sử dụng bảng điều khiển EMM hoặc Managed Google Play để đẩy các ứng dụng bổ sung mà tổ chức cho là cần thiết.

Trong cả chủ sở hữu thiết bị (thiết bị được quản lý hoàn toàn) và chủ sở hữu hồ sơ (hồ sơ công việc) chế độ:

  • Ứng dụng không có biểu tượng trình chạy được xem là thành phần quan trọng của hệ thống và được Android bật tự động.
  • Có thể bật ứng dụng có biểu tượng trình chạy theo mặc định trong khi thiết bị bằng cách đưa tên gói của chúng vào danh sách cho phép vendor_required_apps_managed_[device|profile|user].xml files.
  • Tất cả các ứng dụng khác sẽ tự động bị tắt trong quá trình cấp phép thiết bị.

Triển khai chủ sở hữu thiết bị trong các thiết bị được định cấu hình cho người dùng hệ thống không có giao diện người dùng

Android 14 (API cấp 34) ra mắt chế độ người dùng hệ thống không có giao diện người dùng cấu hình trong đó người dùng hệ thống là người dùng ở chế độ nền và nền trước Người dùng là người dùng phụ. Bởi vì chủ sở hữu thiết bị theo truyền thống, người dùng hệ thống cũng phải ở trong trên nền trước, cấu hình người dùng hệ thống không có giao diện người dùng sẽ mang lại thách thức đối với các thiết bị được quản lý hoàn toàn (cấp phép của chủ sở hữu thiết bị).

Chế độ người dùng hệ thống không có giao diện người dùng

Hình 1. Chế độ người dùng hệ thống không có giao diện người dùng.

Trên một thiết bị có chế độ người dùng hệ thống không có giao diện người dùng, trình kiểm soát chính sách thiết bị (DPC) chỉ có thể đặt ứng dụng làm chủ sở hữu thiết bị nếu ứng dụng đó hỗ trợ chế độ liên kết (HEADLESS_DEVICE_OWNER_MODE_AFFILIATED). Hệ thống sẽ kiểm tra xem chế độ liên kết có được hỗ trợ hay không bằng cách gọi getHeadlessDeviceOwnerMode(). Việc cấp phép thiết bị được xử lý tương ứng tuỳ thuộc vào việc ứng dụng DPC hỗ trợ cấp phép chế độ liên kết.