Triển khai quản lý thiết bị

Trang này mô tả nguyên tắc dành cho nhà sản xuất thiết bị để bật tính năng quản lý thiết bị trên Android. Để hỗ trợ quản lý thiết bị, thiết bị phải đáp ứng tất cả các yêu cầu về khả năng tương thích phần mềm được xác định trong phần 3.9. Quản trị thiết bị trong tài liệu Định nghĩa tương thích Android (CDD) . Nguyên tắc triển khai được cung cấp ở đây không đầy đủ và chỉ đóng vai trò là điểm khởi đầu để triển khai quản lý thiết bị Android.

Bật quản lý thiết bị

Để bật quản lý thiết bị trên Android, hãy bật các tính năng sau:

  • android.software.device_admin
  • android.software.managed_users

Để xác nhận rằng thiết bị hỗ trợ quản lý thiết bị, hãy chạy lệnh adb sau trên thiết bị và xác minh rằng các tính năng đó có sẵn: adb shell pm list features .

Yêu cầu thiết lập

Các thiết bị triển khai cấp phép chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ phải cung cấp thông tin tiết lộ phù hợp cho người dùng cuối trong quá trình thiết lập (trải nghiệm ban đầu hoặc thiết lập hồ sơ công việc). AOSP cung cấp một triển khai tham khảo . Cấp phép được quản lý là luồng giao diện người dùng khung Android được gọi trong quá trình thiết lập hồ sơ công việc hoặc thiết bị được quản lý hoàn toàn để đảm bảo rằng người dùng thiết bị được thông báo đầy đủ về ý nghĩa của việc đặt chủ sở hữu thiết bị hoặc hồ sơ được quản lý trên thiết bị. Việc cung cấp được quản lý thực hiện các hoạt động sau hoặc ủy quyền chúng cho người giữ vai trò quản lý chính sách thiết bị trong quá trình cung cấp:

  • Mã hóa thiết bị (nếu bật mã hóa).
  • Thiết lập người dùng được quản lý.
  • Vô hiệu hóa các ứng dụng tùy chọn.
  • Đặt ứng dụng Bộ điều khiển chính sách thiết bị (DPC) Quản lý di động doanh nghiệp (EMM) làm chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ .

Đổi lại, ứng dụng DPC thực hiện các hoạt động sau:

  • Thêm tài khoản người dùng.
  • Thực thi tuân thủ chính sách thiết bị.
  • Cho phép mọi ứng dụng hệ thống bổ sung.

Sau khi quá trình cấp phép hoàn tất, trình xử lý ý định ADMIN_POLICY_COMPLIANCE của ứng dụng DPC sẽ chạy trong người dùng thiết bị được quản lý hoàn toàn (để cấp phép chủ sở hữu thiết bị ) hoặc trong người dùng hồ sơ công việc (để cấp phép chủ sở hữu hồ sơ ). Sau đó, ứng dụng DPC sẽ thêm tài khoản và thực thi các chính sách.

Yêu cầu về trình khởi chạy

Để hỗ trợ quản lý thiết bị, Trình khởi chạy phải hỗ trợ gắn huy hiệu cho ứng dụng bằng huy hiệu biểu tượng công việc (được cung cấp trong AOSP để thể hiện các ứng dụng được quản lý). Các thành phần giao diện người dùng khác trên thiết bị hoặc hồ sơ được quản lý, chẳng hạn như thông báo, phải sử dụng nội dung có huy hiệu công việc. Launcher3 trong AOSP đã hỗ trợ các tính năng huy hiệu này.

Ứng dụng công việc mặc định

Theo mặc định, chỉ những ứng dụng cần thiết cho hoạt động chính xác của thiết bị được quản lý hoặc hồ sơ công việc mới được bật như một phần của việc cung cấp Android cho doanh nghiệp. Nhà sản xuất thiết bị có thể chỉ định danh sách ứng dụng mặc định bằng các tệp XML này:

  • vendor_required_apps_managed_profile.xml
  • vendor_required_apps_managed_device.xml
  • vendor_required_apps_managed_user.xml

Sau khi cấp phép thiết bị, quản trị viên CNTT có thể sử dụng bảng điều khiển EMM hoặc Managed Google Play để đẩy bất kỳ ứng dụng bổ sung nào mà tổ chức cho là cần thiết.

Ở cả chế độ chủ sở hữu thiết bị (thiết bị được quản lý hoàn toàn) và chủ sở hữu hồ sơ (hồ sơ công việc):

  • Các ứng dụng không có biểu tượng trình khởi chạy được coi là thành phần hệ thống quan trọng và được Android kích hoạt tự động.
  • Theo mặc định, các ứng dụng có biểu tượng trình khởi chạy có thể được bật trong quá trình cấp phép thiết bị bằng cách đưa tên gói của chúng vào danh sách cho phép trong vendor_required_apps_managed_[device|profile|user].xml files .
  • Tất cả các ứng dụng khác sẽ tự động bị tắt trong quá trình cung cấp thiết bị.

Triển khai chủ sở hữu thiết bị trong các thiết bị được định cấu hình với người dùng hệ thống không có giao diện người dùng

Android 14 (API cấp 34) giới thiệu cấu hình chế độ người dùng hệ thống không giao diện người dùng , trong đó người dùng hệ thống là người dùng ở chế độ nền và người dùng ở nền trước là người dùng phụ. Do chức năng của chủ sở hữu thiết bị theo truyền thống phụ thuộc vào người dùng hệ thống cũng ở phía trước nên cấu hình người dùng hệ thống không có giao diện người dùng mang lại những thách thức riêng nhất định đối với các thiết bị được quản lý hoàn toàn (cung cấp chủ sở hữu thiết bị) .

Chế độ người dùng hệ thống không đầu

Hình 1. Chế độ người dùng hệ thống không đầu.

Trên thiết bị chế độ người dùng hệ thống không đầu, ứng dụng bộ điều khiển chính sách thiết bị (DPC) chỉ có thể được đặt làm chủ sở hữu thiết bị nếu nó hỗ trợ chế độ liên kết ( HEADLESS_DEVICE_OWNER_MODE_AFFILIATED ). Hệ thống kiểm tra xem chế độ liên kết có được hỗ trợ hay không bằng cách gọi getHeadlessDeviceOwnerMode() . Việc cung cấp thiết bị được xử lý tương ứng tùy thuộc vào việc ứng dụng DPC có hỗ trợ việc cung cấp chế độ liên kết hay không.