运行 Android 5.0 或更高版本的设备支持设备管理模式,使企业 IT 管理员能够在注册的受管理设备上设置设备政策。设备管理应用可用的设备政策可能取决于注册时使用的管理模式类型。虽然一些设备管理 API(有关 API 元素的完整集合,请参阅 DevicePolicyManager)可能在企业用途之外还有其他应用,但大多数 API 都旨在用于企业环境,以便与 Android Enterprise 解决方案 一起部署。
Android Enterprise 的工作原理
Android Enterprise 使用设备政策控制器 (DPC) 应用来强制执行设备管理政策。企业移动管理 (EMM) 解决方案提供商为客户提供设备管理解决方案,这些解决方案通常包括设备上的设备政策应用(DPC 应用)和基于云的 EMM 控制台。企业客户可以使用 EMM 控制台注册设备并将管理政策应用于他们注册的设备。
DPC 应用可以在个人和公司拥有的设备上以个人资料所有者模式运行,或者在公司拥有的设备上以设备所有者模式运行。
Android Enterprise 设备管理模式
Android Enterprise 使用以下设备管理模式:
完全托管设备(也称为设备所有者模式):DPC 应用在设置期间设置为设备所有者,它管理整个设备。这种类型的设备管理只能在组织拥有(公司拥有)且用于工作的设备上使用。
工作资料(也称为托管个人资料模式):DPC 应用设置为个人资料所有者,它仅管理设备上的工作资料,该设备还可以具有个人资料。这种类型的设备管理可以在个人设备或组织拥有的设备上使用。
完全托管设备配置(设备所有者配置)
Android 附带了广泛的管理功能,允许组织为各种用途配置设备,从公司员工使用到工厂或工业环境,再到面向客户的标牌和自助服务终端用途。借助设备所有者配置(完全托管设备),组织可以强制执行 Android 的全套管理政策,包括工作资料不可用的设备级政策。
完全托管设备
- 仅包含工作应用和数据。
- 对组织可见。
- 由组织管理。
设备所有者配置只能在开箱即用设置期间(或在恢复出厂设置的设备上)执行,并且应仅在企业拥有的设备上配置。这通常通过验证唯一设备标识符(例如 IMEI 或序列号)或使用一组专用的、经过授权可以注册公司的帐号来实现。设备所有者配置成功完成后,DPC 应用将设置为设备所有者应用。
完全托管设备特别适合专用设备用例,在这些用例中,设备通常锁定为单个应用或一组应用,例如签到自助服务终端或数字标牌。Android 支持多种设备所有者注册方法,例如基于二维码的注册、基于 NFC 的注册、公司帐号或基于云的注册。EMM 解决方案开发者可以参考Android 版本之间的主要配置差异了解详情。
工作资料配置(个人资料所有者配置)
个人资料所有者配置使用户能够在设备上同时拥有工作资料(托管个人资料)和个人资料。这种类型的设备管理可以在组织拥有的设备或个人设备上使用。个人资料所有者配置可以在开箱即用设置期间(用于组织拥有的设备)执行,也可以在设备上的主要个人资料完成开箱即用设置后启动(自带设备类型注册),具体取决于设备类型和组织支持的注册方法。在配置了工作资料的设备中,DPC 仅控制工作资料(工作应用和数据),而不控制个人资料。设备政策仅在工作资料上强制执行,但有一些例外,例如强制执行锁屏,这适用于整个设备。
在个人资料所有者配置期间,框架会将 DPC 应用复制到托管个人资料中,并在工作资料用户上调用 ADMIN_POLICY_COMPLIANCE intent 处理程序。工作资料配置完成后,工作徽章应用图标将显示在启动器中。个人资料所有者配置成功完成后,DPC 应用将设置为个人资料所有者应用。Android 支持各种工作资料注册方法,例如基于二维码的注册、基于 NFC 的注册、帐号或基于云的注册。EMM 解决方案开发者可以参考Android 版本之间的主要配置差异了解详情。