Neuerungen für Unternehmen in Android 12

Auf dieser Seite erhalten Sie einen Überblick über die neuen APIs, Funktionen und Verhaltensänderungen für Unternehmen, die in Android 12 (API-Level 31) eingeführt wurden.

Arbeitsprofil

Die folgenden neuen Funktionen sind in Android 12 für Arbeitsprofile verfügbar.

Verbesserungen bei Sicherheit und Datenschutz für das Arbeitsprofil

Die folgenden Funktionen sind in Android 12 für private Geräte mit Arbeitsprofil verfügbar:

• Mit der Funktion Komplexität des Passworts können Sie geräteweite Passwortanforderungen in Form von vordefinierten Komplexitätsstufen (hoch, mittel, niedrig und keine) festlegen. Bei Bedarf können stattdessen strenge Passwortanforderungen für die Sicherheits-Challenge des Arbeitsprofils festgelegt werden.
• Das Onboarding für die Sicherheitsherausforderung für das Arbeitsprofil wurde optimiert. Bei der Einrichtung wird jetzt berücksichtigt, ob der Sicherheitscode des Geräts den Administratoranforderungen entspricht. Außerdem kann der Nutzer ganz einfach auswählen, ob er die Stärke des Sicherheitscodes seines Geräts erhöhen oder die Sicherheitsmaßnahme für das Arbeitsprofil verwenden möchte.
• Eine registrierungsspezifische ID ist eine eindeutige ID, die die Registrierung des Arbeitsprofils in einer bestimmten Organisation identifiziert und auch nach einem Zurücksetzen auf die Werkseinstellungen erhalten bleibt. Der Zugriff auf andere Hardware-IDs des Geräts (IMEI, MEID, Seriennummer) wird für private Geräte mit Arbeitsprofil in Android 12 entfernt.
• Unternehmenseigene Geräte mit und ohne Arbeitsprofile können die in den vorherigen Listenelementen aufgeführten Funktionen verwenden, müssen sie aber nicht unter Android 12 verwenden.
• Sie können das Netzwerk-Logging für Arbeitsprofile festlegen und abrufen. Sie können die Netzwerkprotokollierung im Arbeitsprofil an eine andere Arbeitsanwendung deligieren. Sie können die Netzwerkprotokollierung nicht verwenden, um den Traffic im privaten Profil zu überwachen.
• Nutzer haben zusätzliche Datenschutzeinstellungen für Apps im Arbeitsprofil. Nutzer können den Apps des Arbeitsprofils die folgenden Berechtigungen gewähren, sofern dies nicht von ihrem IT-Administrator abgelehnt wird. Für jede App im Arbeitsprofil kann der Nutzer die folgenden Berechtigungen zulassen oder verweigern:
  • Standort
  • Kamera
  • Mikrofon
  • Körpersensor
  • Körperliche Aktivität

Unternehmenseigene Geräte

Die folgenden neuen Funktionen sind für unternehmenseigene Geräte verfügbar. Der Begriff Unternehmenseigenes Gerät bezieht sich sowohl auf vollständig verwaltete Geräte als auch auf Geräte mit Arbeitsprofil, die unternehmenseigen sind.

• Ein IT-Administrator kann USB auf unternehmenseigenen Geräten deaktivieren, mit Ausnahme von Ladefunktionen. Sie können damit unter anderem prüfen, ob diese Funktion auf dem Gerät unterstützt wird und prüfen, ob sie derzeit aktiviert ist.

• Auf unternehmenseigenen Geräten mit einem Arbeitsprofil können Sie die im privaten Profil verwendeten Eingabemethoden einschränken, sodass nur Systemeingabemethoden zulässig sind.

• In Android 12 können Sie einen Delegierungsumfang erstellen. Aktiviere und sammle Sicherheitsprotokollereignisse, indem du setDelegatedScopes() aufrufst und DELEGATION_SECURITY_LOGGING übergibst. Mit Sicherheits-Logging können Organisationen Nutzungsdaten von Geräten erfassen, die geparst und programmatisch auf bösartiges oder riskantes Verhalten überprüft werden können. Delegierte Anwendungen können Sicherheits-Logging aktivieren, prüfen, ob Logging aktiviert ist, und die Sicherheitslogs abrufen.

Sonstiges

Im folgenden Abschnitt werden Änderungen an Enterprise APIs beschrieben, die nicht spezifisch für Arbeitsprofile oder unternehmenseigene Geräte sind.

Verwaltung von Zertifikaten für nicht verwaltete Geräte

Auf Geräten ohne Verwaltung können jetzt die On-Device-Schlüsselgenerierung von Android genutzt werden, um Zertifikate zu verwalten:

• Der Nutzer kann einer Zertifikatverwaltungs-App die Berechtigung erteilen, seine Anmeldedaten (ohne CA-Zertifikate) zu verwalten.
• Die Zertifikatsverwaltungs-App kann die On-Device-Schlüsselgenerierung von Android verwenden.
• Die Zertifizierungsverwaltungs-App kann eine Liste von Apps und URIs angeben, in denen die Anmeldedaten für die Authentifizierung verwendet werden können.

Neue APIs bieten neue Funktionen:

• Prüfen Sie, ob das vorhandene geräteweite Passwort den expliziten Anforderungen an Gerätepasswörter entspricht.
• Prüfen Sie, ob ein Zertifikat und ein privater Schlüssel unter einem bestimmten Alias installiert sind.

Verbesserungen beim Datenschutz und bei der Transparenz für vollständig verwaltete Geräte

IT-Administratoren können Berechtigungserteilungen verwalten oder die Verwaltung von serverbezogenen Berechtigungserteilungen während der Bereitstellung deaktivieren. Wenn der Administrator Berechtigungen verwalten möchte, wird Nutzern während des Einrichtungsassistenten eine entsprechende Meldung angezeigt. Wenn der Administrator die Funktion deaktiviert, werden Nutzer bei der ersten Verwendung der App aufgefordert, Berechtigungen innerhalb der App zu akzeptieren oder abzulehnen. Administratoren können Berechtigungen jederzeit widerrufen.

Netzwerkkonfiguration

Ein Device Policy Controller (DPC) kann die Liste der konfigurierten Netzwerke eines Geräts abrufen, ohne die Berechtigung zur Standortermittlung zu benötigen. Dazu wird die neue API getCallerConfiguredNetworks verwendet, statt die vorhandene API getConfiguredNetworks zu verwenden, für die die Berechtigung zur Standortermittlung erforderlich ist. Die zurückgegebene Liste der Netzwerke ist auf geschäftliche Netzwerke beschränkt.

Mit einem DPC auf vollständig verwalteten Geräten kann sichergestellt werden, dass nur vom Administrator bereitgestellte Netzwerke auf dem Gerät konfiguriert werden, und zwar auch ohne die Berechtigung zur Standortermittlung.

Administratoren können die in sicherer Hardware generierten Schlüssel für die WLAN-Authentifizierung verwenden, indem sie dem WLAN-Subsystem einen KeyChain-Schlüssel für die Authentifizierung gewähren und ein Unternehmens-WLAN mit diesem Schlüssel konfigurieren.

Automatische Berechtigungserweiterung für verbundene Apps

Für eine bessere Nutzererfahrung wird einigen vorinstallierten Anwendungen automatisch die Konfiguration zum Freigeben von personenbezogenen und geschäftlichen Daten gewährt.

Android 11 und höher:

• je nach OEM des Geräts vorinstallierte Assistenz-Apps oder vorinstallierte Standard-IMEs
• Google App, sofern vorinstalliert
• Gboard App, sofern sie vorinstalliert und die Standard-IME-App aus dem Lieferumfang ist

Android 12 und höher:

• Android Auto App, falls sie vorinstalliert ist

Die vollständige Liste der Anwendungen hängt vom OEM des Geräts ab.

Einstellung von Produkten und Funktionen

In Android 12 werden die folgenden APIs eingestellt:

• setPasswordQuality() und getPasswordQuality() werden nicht mehr unterstützt, um einen geräteweiten Sicherheitscode auf Geräten mit Arbeitsprofil festzulegen, die keine unternehmenseigenen Geräte sind. DPCs sollten stattdessen setRequiredPasswordComplexity() verwenden.
• setOrganizationColor() und getOrganizationColor() werden in Android 12 nicht mehr unterstützt.
• android.app.action.PROVISION_MANAGED_DEVICE funktioniert unter Android 12 nicht mehr. Anbieter von Diensten zur persönlichen Kommunikation müssen Aktivitäten mit Intent-Filtern für die Intent-Aktionen ACTION_GET_PROVISIONING_MODE und ACTION_ADMIN_POLICY_COMPLIANCE implementieren. Wenn Sie die Bereitstellung mit ACTION_PROVISION_MANAGED_DEVICE starten, schlägt sie fehl. Damit Android 11 und niedriger weiterhin unterstützt werden, müssen EMMs die Konstante PROVISION_MANAGED_DEVICE weiterhin unterstützen.
• setPermissionPolicy() und setPermissionGrantState() wurden eingestellt, da sie sensorbezogene Berechtigungen für alle Geräte mit Arbeitsprofil gewähren, die auf Android 12 und höher ausgerichtet sind. Die Einstellung hat folgende Auswirkungen:
  • Auf Geräten, die von Android 11 auf Android 12 umgestellt werden, bleiben bestehende Berechtigungen erhalten, aber neue Berechtigungen können nicht gewährt werden.
  • Berechtigung zum Ablehnen von Berechtigungen bleibt bestehen.
  • Wenn Sie Anwendungen mit vom Administrator erteilten Berechtigungen entwickeln und verteilen, müssen Sie dafür sorgen, dass diese der empfohlenen Methode zum Anfordern von Berechtigungen entsprechen.
  • Apps, die die empfohlene Methode zum Anfordern von Berechtigungen einhalten, funktionieren weiterhin wie erwartet. Nutzer werden aufgefordert, die Berechtigung zu erteilen. Die App muss mit allen möglichen Ergebnissen umgehen können.
  • Anwendungen, die auf vom Administrator erteilte Berechtigungen angewiesen sind und explizit auf durch Berechtigungen geschützte Ressourcen zugreifen, ohne die Richtlinien zu befolgen, können abstürzen.

Weitere Informationen

Weitere Informationen zu anderen Änderungen, die sich auf Ihre App auswirken könnten, finden Sie auf den Seiten zu Verhaltensänderungen bei Android 12 (für Apps, die auf Android 12 ausgerichtet sind und für alle Apps).