בדיקה של ניהול מכשירים

כדי להבטיח תמיכה מינימלית בפרופילים מנוהלים, מכשירי OEM את הרכיבים החיוניים הבאים:

לרשימה מלאה של הדרישות: הטמעה של המכשיר ניהול. כדי לבדוק את תכונות ניהול המכשירים, בעלי המכשירים יכולים להשתמש באפליקציה TestDPC שמתוארת בהמשך.

הגדרה של בעלי המכשיר לבדיקה

כדי להגדיר סביבת בדיקה לבעלי המכשיר:

  1. מאפסים את מכשיר היעד להגדרות המקוריות.
  2. יש לוודא שהמכשיר לא מכיל חשבונות משתמשים (למשל, חשבונות שמשמשים לרישום משתמשים) לשירותים מקוונים). כדי לאמת, מסמנים את ההגדרות > חשבונות.
  3. אפשר להגדיר את אפליקציית הבדיקה באחת מהשיטות הבאות:
  4. מגדירים את אפליקציית TestDPC כבעלים של המכשיר באמצעות הפקודה הבאה:
    adb shell dpm set-device-owner "com.afwsamples.testdpc/.DeviceAdminReceiver"
    
  5. לבצע את ההגדרה של בעלי המכשיר במכשיר (הצפנה, בחירה ברשת Wi-Fi וכו').

אימות ההגדרה של בעלי המכשיר

כדי לוודא שבעל המכשיר הוגדר בצורה נכונה, עבור אל הגדרות > אבטחה > אדמינים של מכשירים ומוודאים ש-TestDPC נמצא חדשה. יש לוודא שלא ניתן להשבית את המכשיר (המשמעות היא שיש בעלים של מכשיר).

דוחות ויומנים לגבי באגים

החל מ-Android 7.0, לקוח Device Policy (DPC) של בעלי המכשיר עלול להידבק בבאגים דוחות וצפייה ביומנים לתהליכים ארגוניים במכשיר מנוהל.

כדי להפעיל דוח על באג (כלומר, הנתונים המקבילים שנאספו על ידי adb bugreport שמכיל את dumpsys, קובץ dumpstate ו נתוני Logcat), צריך להשתמש ב-DevicePolicyController.requestBugReport. אחרי מתבצע איסוף של דוח איתור באגים, המשתמש יתבקש להביע הסכמה לשליחת הדוח בדוח על איתור באגים. התוצאות מתקבלות על ידי DeviceAdminReceiver.onBugreport[Failed|Shared|SharingDeclined] עבור פרטים על תוכן דוח איתור באגים: קריאת דוחות על באגים.

בנוסף, בקרי DPC של בעלי מכשירים יכולים גם לאסוף יומנים שקשורים לפעולות משתמש תפס במכשיר מנוהל. נדרש רישום ביומן של תהליכים ארגוניים בשביל כל המכשירים שמדווחים על device_admin והם מופעלים על ידי מאגר אבטחה חדש ביומן קריא רק על ידי שרת המערכת (כלומר, $ adb logcat -b security לא ניתן לקרוא את מאגר הנתונים הזמני). שירות ActivityManager ורכיבי KeyGuard רושמים את האירועים הבאים במאגר הנתונים הזמני:

  • התחלת תהליכי אפליקציה
  • פעולות של נעילת מקשים (למשל, ביטול נעילה של כישלון והצלחה)
  • פקודות adb שהונפקו למכשיר

אפשרות לשמור יומנים בהפעלות מחדש (לא בהפעלה במצב התחלתי) וליצור את היומנים האלה זמין לבקרי DPC של בעלי המכשיר, המכשיר חייב לכלול ליבה עם pstore ו-pmsg מופעלים, ו-DRAM מופעל וגם עבר רענון בכל שלבי ההפעלה מחדש כדי למנוע פגיעה ביומנים שנשמרו בזיכרון. כדי להפעיל את התמיכה, צריך להשתמש הגדרה אחת (config_supportPreRebootSecurityLogs) באוסף frameworks/base/core/res/res/values/config.xml.