運行 Android 5.0 或更高版本的設備支持設備管理模式,使企業 IT 管理員能夠在註冊的託管設備上設置設備策略。設備管理應用程序可用的設備策略可能取決於用於註冊的管理模式類型。雖然一些設備管理 API(請參閱DevicePolicyManager了解完整的 API 元素集)可能具有超出企業用途的應用程序,但大多數設計用於在企業環境中與Android Enterprise 解決方案一起部署。
Android 企業版的工作原理
Android Enterprise 使用設備策略控制器 (DPC) 應用來實施設備管理策略。企業移動管理 (EMM) 解決方案提供商為客戶提供設備管理解決方案,通常包括設備上的設備策略應用程序 (DPC 應用程序) 和基於雲的 EMM 控制台。企業客戶可以使用 EMM 控制台註冊設備並將管理策略應用到他們註冊的設備。
DPC 應用程序可以在個人和公司擁有的設備上以配置文件所有者模式運行,也可以在公司擁有的設備上以設備所有者模式運行。
Android Enterprise 設備管理模式
Android Enterprise 使用以下設備管理模式:
完全託管設備(也稱為設備所有者模式):DPC 應用程序在設置過程中被設置為設備所有者,並管理整個設備。這種類型的設備管理只能用於組織擁有(公司擁有)的用於工作的設備。
工作配置文件(也稱為託管配置文件模式):DPC 應用程序被設置為配置文件所有者,它僅管理設備上的工作配置文件,該設備也可以有個人配置文件。這種類型的設備管理可用於個人設備或組織擁有的設備。
完全託管的設備配置(設備所有者配置)
Android 配備了一系列廣泛的管理功能,允許組織針對從企業員工使用到工廠或工業環境,再到面向客戶的標牌和信息亭用途等各種用途配置設備。通過設備所有者配置(完全託管的設備),組織可以強制實施 Android 的全方位管理策略,包括工作配置文件不可用的設備級策略。
完全託管的設備:
- 僅包含工作應用程序和數據。
- 對組織可見。
- 由組織管理。
設備所有者配置只能在開箱即用設置期間(或在恢復出廠設置的設備上)執行,並且只能在企業擁有的設備上進行配置。這通常是通過驗證唯一的設備標識符(例如 IMEI 或序列號)或使用一組有權進行設備註冊的專用公司帳戶來實現的。設備所有者配置成功完成後,DPC 應用程序將被設置為設備所有者應用程序。
完全託管的設備特別適合專用設備用例,在這些用例中,設備通常鎖定到單個應用程序或一組應用程序,例如值機亭或數字標牌。 Android 支持多種設備所有者註冊方法,例如基於 QR 碼的註冊、基於 NFC 的註冊、公司帳戶或基於雲的註冊。 EMM 解決方案開發人員可以參閱Android 版本之間的主要配置差異了解詳細信息。
工作配置文件配置(配置文件所有者配置)
配置文件所有者配置使用戶能夠在設備上同時擁有工作配置文件(託管配置文件)和個人配置文件。這種類型的設備管理可用於組織擁有的設備或個人設備。配置文件所有者配置可以在開箱即用設置期間執行(用於組織擁有的設備),也可以在具有主要配置文件的設備上進行開箱即用設置後啟動(自帶設備類型註冊),取決於組織支持的設備類型和註冊方法。在配置有工作配置文件的設備中,DPC 只能控制工作配置文件(工作應用程序和數據),而不能控制個人配置文件。設備策略僅在工作配置文件上強制執行,但有一些例外,例如強制執行鎖定屏幕,這適用於整個設備。
在配置文件所有者配置期間,框架將 DPC 應用程序複製到託管配置文件中,並在工作配置文件用戶上調用ADMIN_POLICY_COMPLIANCE意圖處理程序。工作配置文件配置完成後,帶有工作標記的應用程序圖標將出現在啟動器中。配置文件所有者配置成功完成後,DPC 應用程序將設置為配置文件所有者應用程序。 Android 支持各種工作配置文件註冊方法,例如基於 QR 碼的註冊、基於 NFC 的註冊、帳戶或基於雲的註冊。 EMM 解決方案開發人員可以參閱Android 版本之間的主要配置差異了解詳細信息。