דף זה תורגם על ידי Cloud Translation API.

מה חדש ב-Android 11 לארגונים

בדף הזה מופיעה סקירה כללית על ממשקי ה-API החדשים לארגונים, התכונות והשינויים בהתנהגות שהוצגו ב-Android 11.

פרופיל עבודה

התכונות החדשות הבאות זמינות ב-Android 11 לפרופילים של עבודה.

שיפורים בפרופיל העבודה למכשירים בבעלות החברה

ב-Android 11 יש תמיכה משופרת בפרופילים של עבודה במכשירים בבעלות החברה. אם מוסיפים פרופיל עבודה מאשף ההגדרה באמצעות כלים להקצאה שנוספו ב-Android 10, המכשיר מזוהה כמכשיר בבעלות החברה, ומגוון רחב יותר של כללי מדיניות לניהול נכסים ולאבטחת מכשירים זמין לבקר מדיניות המכשיר (DPC). היכולות האלה מאפשרות לנהל בקלות רבה יותר את השימוש בעבודה ובשימוש אישי במכשירים שבבעלות החברה, תוך שמירה על הגנות הפרטיות של פרופיל העבודה.

אם מוסיפים פרופיל עבודה למכשיר באמצעות שיטה אחרת, מערכת Android 11 מזהה את המכשיר כבעלות אישית. ההתנהגות והתכונות הזמינות בפרופילים של עבודה במכשירים בבעלות אישית לא ישתנו.

מכשירי Android שמשדרגים ל-Android 11

פרופילי עבודה במכשירים מנוהלים ישודרגו לחוויה המשופרת של פרופיל עבודה ב-Android 11. המשמעות היא שהלקוחות ייהנו מהיתרונות של הפרטיות המשופרת ומהעקביות של חוויית שימוש אחת בפרופיל העבודה במכשירים שבבעלותם ובמכשירים שבבעלות החברה, בלי צורך להירשם מחדש לפרופיל העבודה הקודם במכשירים שמנוהלים באופן מלא. לחלופין, אם אתם מעדיפים, תוכלו להסיר את פרופיל העבודה לפני השדרוג כדי לשמור על חוויית שימוש במכשיר בניהול מלא במהלך השדרוג.

לקוחות יכולים לפנות לספק ה-EMM שלהם כדי לוודא שהמכשירים שלהם מוכנים לשדרוג ל-Android 11. ספקי EMM יכולים למצוא הנחיות מפורטות יותר למעבר בקהילת ספקי EMM של Android Enterprise (נדרשת כניסה).

שיפורים בחוויית המשתמש

הכרטיסיות הנפרדות לעבודה ולשימוש אישי שהוצגו במרכז האפליקציות שמוגדר כברירת מחדל ב-Android 9 הורחבו לתכונות נוספות במכשיר. ב-Android 11, יצרני המכשירים יכולים להציג כרטיסיות לעבודה ולשימוש אישי:

באפליקציית ההגדרות – במיוחד למיקום, לאחסון, לחשבונות ולפרטי האפליקציות.
כשמשתמש מקיש על 'שיתוף' .
כשמוצגת למשתמש אפשרות לפתוח פריט שנבחר באפליקציה אחרת (התפריט פתיחה באמצעות).
כשבוחרים מסמכים.

איור 1. (שמאל) הכרטיסייה 'אישי' והכרטיסייה 'עבודה' בקטע הגדרות > פרטי האפליקציה. (ימין) סמלי האפליקציות לצורכי עבודה כשפרופיל העבודה מושהה.

ב-Android 11 יש גם שיפורים בחוויית המשתמש, שמאפשרים למשתמשים להבין בצורה ברורה יותר מתי פרופיל העבודה שלהם מושהה. וכשמשתמש מפעיל את פרופיל העבודה שלו, אם הוא זהה לקוד הגישה של המכשיר, הוא כבר לא צריך להזין את קוד הגישה שלו.

לחצן לאיפוס קוד הגישה של פרופיל העבודה

כשפרופיל העבודה מושהה, מסך הנעילה של פרופיל העבודה תומך עכשיו בלחצן שכחתי את הסיסמה במכשירי Android 11 שיש להם סיסמאות נפרדות למכשיר ולפרופיל העבודה. אם ה-DPC ידוע להפעלה ישירה, אפשר להגדיר ולהפעיל אסימון כדי להפעיל את הלחצן.

כשמשתמש לוחץ על הלחצן, מוצג לו טקסט עם הוראה לפנות לאדמין ה-IT שלו. לחיצה על הלחצן גם מפעילה את פרופיל העבודה במצב הפעלה ישירה (נעולה), ומאפשרת ל-DPC להשלים את השלבים לביצוע איפוס מאובטח של קוד הגישה לפרופיל העבודה.

מכשירים בבעלות החברה

התכונות החדשות הבאות זמינות למכשירים בבעלות חברה. המונח מכשיר בבעלות החברה מתייחס גם למכשירים מנוהלים לחלוטין וגם למכשירים עם פרופיל עבודה בבעלות החברה.

מצב Common Criteria

המצב הזה עומד בדרישות הספציפיות של Common Criteria‏ Mobile Device Fundamentals Protection Profile‏ (MDFPP). אדמינים של מכשירים בבעלות החברה יכולים עכשיו להפעיל את מצב 'קריטריונים משותפים' (ולבדוק אם הוא מופעל) במכשיר. כשהתכונה מופעלת, מצב Common Criteria מגביר את האבטחה ברכיבי אבטחה מסוימים במכשיר, כולל הצפנה של מפתחות לטווח ארוך ב-Bluetooth ושל מאגרי הגדרות Wi-Fi באמצעות AES-GCM.

תמיכה באימות מפתחות ספציפיים

ב-Android 11, אדמינים של מכשירים בבעלות החברה יכולים לבקש אימות מכשיר באמצעות אישורי אימות ספציפיים:

מוודאים ש-KeyGenParameterSpec נוצר עם StrongBox שצוין.
מעבירים את הערך ID_TYPE_INDIVIDUAL_ATTESTATION לארגומנט idAttestationFlags.

יש גם שיטה חדשה לבדיקת התמיכה של מכשיר באימות של מזהה מכשיר ייחודי.

אחר

המשתמשים מקבלים עכשיו התראה כשאדמין:
- מפעילים את שירותי המיקום במכשיר שבבעלות החברה. אם האדמין מגדיר מדיניות גלובלית לקבל באופן אוטומטי את כל ההרשאות, המשתמש מקבל התראה כשאפליקציה מבקשת הרשאת מיקום, ומעניקה לו הרשאת מיקום בהתאם למדיניות הזו.
- הענקת הרשאה לאפליקציה להשתמש במיקום של מכשיר בבעלות אישית.
מתן גישה מראש לאישור לאפליקציות עבודה: ל-DPC שמטרגט את Android 11 יש עכשיו אפשרות להעניק לאפליקציות נפרדות גישה למפתחות KeyChain ספציפיים, שמאפשרת לאפליקציות האלה לבצע קריאה ל-getCertificateChain() ול-getPrivateKey() בלי שתצטרכו קודם לבצע קריאה ל-choosePrivateKeyAlias().

לדוגמה, אפליקציות VPN שפועלות כשירות ברקע יכולות להשתמש בתכונה הזו כדי לקבל גישה לאישורים הנדרשים להן, בלי צורך באינטראקציה של המשתמש. יש גם שיטה חדשה לביטול גישה.

הערה: אפליקציות שמותקנות במכשירים לא מנוהלים או בפרופיל האישי של מכשיר לא יכולות יותר להתקין אישורי CA באמצעות createInstallIntent(). במקום זאת, המשתמשים צריכים להתקין אישורי CA באופן ידני בהגדרות.
כל השיטות שקשורות להגדרת דרישות מינימום לסיסמה מחייבות איכות סיסמה מתאימה לפני שניתן לאכוף אותן.
- setPasswordMinimumLength() מחייב לפחות PASSWORD_QUALITY_NUMERIC.
- בכל שאר השיטות למינימום סיסמאות, נדרשים לפחות PASSWORD_QUALITY_COMPLEX תווים.
שיפורי VPN שפועל כל הזמן: משתמשים כבר לא יכולים להשבית VPN שפועל כל הזמן כאשר הוא מוגדר על ידי אדמין.
עדכונים לגבי ADMIN_POLICY_COMPLIANCE:
- כשמגדירים מכשיר Android מגרסה 11, המערכת שולחת עכשיו את ADMIN_POLICY_COMPLIANCE לפני שהיא מגדירה את DEVICE_PROVISIONED לערך true.
- אפשר גם להשתמש ב-ADMIN_POLICY_COMPLIANCE כשמוסיפים חשבון Google כדי להקצות מכשיר. בגרסת Android של 2021, הוא נדרש להקצאת הרשאות ידנית זו.
ממשקי API חדשים זמינים גם לגורמים הבאים:
- בודקים אם השעה מוגדרת באופן אוטומטי במכשיר ומגדירים אם היא מופעלת או מושבתת. אם ההגדרה הזו מופעלת, השעה מתקבלת באופן אוטומטי מהרשת. מחליפה את setAutoTimeRequired() ואת getAutoTimeRequired() (מידע נוסף מפורט בהוצאת משימוש).
- בודקים אם אזור הזמן האוטומטי מופעל במכשיר ומגדירים אותו. אם ההגדרה הזו מופעלת, אזור הזמן מתקבל מהרשת באופן אוטומטי.
- בודקים ומגדירים את המדיניות של הגנה מפני איפוס להגדרות המקוריות (FRP) במכשיר בבעלות החברה.
- לבדוק ולקבוע אם משתמש יכול לשנות את הגדרות הרשת בהגדרת האדמין במכשיר בבעלות החברה.
- בודקים ומגדירים את החבילות המוגנות במכשיר מנוהל באופן מלא. המשתמשים לא יכולים למחוק את נתוני האפליקציה או להפסיק בכוח חבילות מוגנות.
- להגדיר את הגדרות המיקום הראשיות במכשיר.

תכונות שיצאו משימוש

ב-Android 11 יש הוצאות משימוש משמעותיות של ממשקי API:

ההגדרה Settings.Secure.LOCATION_MODE הוצאה משימוש. באפליקציות לא צריך להשתמש בערך הזה כארגומנטים setting של השיטה setSecureSetting(). במקום זאת, בעלי המכשירים צריכים להתקשר למספר setLocationEnabled().
הכלי resetPassword() הוצא משימוש באופן מלא. במקום זאת, כל ספקי ה-DPC צריכים להשתמש באיפוס מאובטח של קוד גישה.
setAutoTimeRequired() ו-getAutoTimeRequired(). במקומו צריך להשתמש ב-setAutoTime() וב-getAutoTime().
setStorageEncryption ו-getStorageEncryption(). במקום זאת, אתם צריכים להשתמש ב-getStorageEncryptionStatus().
רוב ההגדרות setGlobalSetting() ו-setSecureSetting() הוצאו משימוש – אפשר להשתמש בשיטות ייעודיות של הגדרה והגבלות למשתמשים כדי להחליף את רוב ההגדרות (פרטים נוספים זמינים בחומר העזר).
המאפיין setOrganizationColor() הוצא משימוש באופן מלא.

מידע נוסף

כדי לקבל מידע על שינויים אחרים שעשויים להשפיע על האפליקציה, כדאי לעיין בדפים בנושא שינויים בהתנהגות ב-Android 11 (לאפליקציות שמטרגטות ל-Android 11 ולכל האפליקציות).