כדי להבטיח תמיכה מינימלית בפרופילים מנוהלים, מכשירי OEM את הרכיבים החיוניים הבאים:
- בעלי הפרופיל (כפי שמתואר ב- הקפדה תאימות לפרופילים מנוהלים)
- בעלי המכשיר
לרשימה מלאה של הדרישות: הטמעה של המכשיר ניהול. כדי לבדוק את תכונות ניהול המכשירים, בעלי המכשירים יכולים להשתמש באפליקציה TestDPC שמתוארת בהמשך.
הגדרה של בעלי המכשיר לבדיקה
כדי להגדיר סביבת בדיקה לבעלי המכשיר:
- מאפסים את מכשיר היעד להגדרות המקוריות.
- יש לוודא שהמכשיר לא מכיל חשבונות משתמשים (למשל, חשבונות שמשמשים לרישום משתמשים) לשירותים מקוונים). כדי לאמת, מסמנים את ההגדרות > חשבונות.
- אפשר להגדיר את אפליקציית הבדיקה באחת מהשיטות הבאות:
- הורדה את האפליקציה TestDPC (זמינה מ-Google Play).
- פיתוח אפליקציית TestDPC (זמינה בכתובת github.com).
- מגדירים את אפליקציית TestDPC כבעלים של המכשיר באמצעות הפקודה הבאה:
adb shell dpm set-device-owner "com.afwsamples.testdpc/.DeviceAdminReceiver"
- לבצע את ההגדרה של בעלי המכשיר במכשיר (הצפנה, בחירה ברשת Wi-Fi וכו').
אימות ההגדרה של בעלי המכשיר
כדי לוודא שבעל המכשיר הוגדר בצורה נכונה, עבור אל הגדרות > אבטחה > אדמינים של מכשירים ומוודאים ש-TestDPC נמצא חדשה. יש לוודא שלא ניתן להשבית את המכשיר (המשמעות היא שיש בעלים של מכשיר).
דוחות ויומנים לגבי באגים
החל מ-Android 7.0, לקוח Device Policy (DPC) של בעלי המכשיר עלול להידבק בבאגים דוחות וצפייה ביומנים לתהליכים ארגוניים במכשיר מנוהל.
כדי להפעיל דוח על באג (כלומר, הנתונים המקבילים שנאספו על ידי
adb bugreport
שמכיל את dumpsys
, קובץ dumpstate ו
נתוני Logcat), צריך להשתמש ב-DevicePolicyController.requestBugReport
. אחרי
מתבצע איסוף של דוח איתור באגים, המשתמש יתבקש להביע הסכמה לשליחת הדוח
בדוח על איתור באגים. התוצאות מתקבלות על ידי
DeviceAdminReceiver.onBugreport[Failed|Shared|SharingDeclined]
עבור
פרטים על תוכן דוח איתור באגים:
קריאת דוחות על באגים.
בנוסף, בקרי DPC של בעלי מכשירים יכולים גם לאסוף יומנים שקשורים לפעולות
משתמש תפס במכשיר מנוהל. נדרש רישום ביומן של תהליכים ארגוניים בשביל
כל המכשירים שמדווחים על device_admin והם מופעלים על ידי מאגר אבטחה חדש ביומן
קריא רק על ידי שרת המערכת (כלומר, $ adb logcat -b security
לא ניתן לקרוא את מאגר הנתונים הזמני). שירות ActivityManager ורכיבי KeyGuard רושמים את
האירועים הבאים במאגר הנתונים הזמני:
- התחלת תהליכי אפליקציה
- פעולות של נעילת מקשים (למשל, ביטול נעילה של כישלון והצלחה)
- פקודות
adb
שהונפקו למכשיר
אפשרות לשמור יומנים בהפעלות מחדש (לא בהפעלה במצב התחלתי) וליצור את היומנים האלה
זמין לבקרי DPC של בעלי המכשיר, המכשיר חייב לכלול ליבה עם
pstore
ו-pmsg
מופעלים, ו-DRAM מופעל וגם
עבר רענון בכל שלבי ההפעלה מחדש כדי למנוע פגיעה ביומנים שנשמרו
בזיכרון. כדי להפעיל את התמיכה, צריך להשתמש
הגדרה אחת (config_supportPreRebootSecurityLogs
) באוסף
frameworks/base/core/res/res/values/config.xml
.