Nouveautés pour les entreprises sur Android 12

Cette page présente les nouvelles API d'entreprise, fonctionnalités et modifications de comportement introduits dans Android 12 (niveau d'API 31).

Profil professionnel

Les nouvelles fonctionnalités suivantes sont disponibles dans Android 12 pour les profils professionnels.

Amélioration de la sécurité et de la confidentialité pour le profil professionnel

Les fonctionnalités suivantes sont disponibles dans Android 12 pour les appareils personnels dotés d'un profil professionnel:

• La fonctionnalité de complexité des mots de passe définit les exigences relatives aux mots de passe au niveau de l'appareil sous la forme de buckets de complexité prédéfinis (Élevée, Moyenne, Faible et Aucun). Si nécessaire, des exigences strictes en matière de mot de passe peuvent être définies sur la question d'authentification à la sécurité du profil professionnel.
• L'intégration des questions de sécurité du profil professionnel a été simplifiée. La configuration prend désormais en compte si le code secret de l'appareil répond aux exigences de l'administrateur et permet à l'utilisateur de choisir facilement s'il faut augmenter le niveau de sécurité de son code secret ou utiliser la question d'authentification du profil professionnel.
• Un ID spécifique à l'enregistrement fournit un identifiant unique qui identifie l'enregistrement du profil professionnel dans une organisation donnée et reste stable lors du rétablissement de la configuration d'usine. L'accès aux autres identifiants matériels de l'appareil (IMEI, MEID, numéro de série) est supprimé pour les appareils personnels disposant d'un profil professionnel sous Android 12.
• Les appareils détenus par l'entreprise, avec et sans profil professionnel, peuvent adopter les fonctionnalités listées ci-dessus, mais ne sont pas obligatoires dans Android 12.
• Vous pouvez définir et récupérer la journalisation réseau du profil professionnel. Vous pouvez déléguer la journalisation réseau du profil professionnel vers une autre application professionnelle. Vous ne pouvez pas utiliser la journalisation réseau pour surveiller le trafic dans le profil personnel.
• Les utilisateurs disposent de paramètres de confidentialité supplémentaires pour les applications du profil professionnel. Les utilisateurs peuvent accorder les autorisations suivantes aux applications de profil professionnel, sauf si leur administrateur informatique les refuse. Pour chaque application du profil professionnel, l'utilisateur peut accorder ou refuser les autorisations suivantes :
  • Lieu
  • Appareil photo
  • Micro
  • Capteur corporel
  • Activité physique

Appareils détenus par l'entreprise

Les nouvelles fonctionnalités suivantes sont disponibles pour les appareils détenus par l'entreprise. Le terme appareil détenu par l'entreprise fait référence à la fois aux appareils entièrement gérés et aux appareils avec profil professionnel détenus par l'entreprise.

• Un administrateur informatique peut désactiver USB, à l'exception des fonctions de recharge, sur les appareils détenus par l'entreprise. Cette fonctionnalité permet de vérifier si elle est compatible avec l'appareil et de vérifier si elle est actuellement activée.

• Les appareils détenus par l'entreprise avec un profil professionnel peuvent limiter les modes de saisie utilisés dans le profil personnel pour n'autoriser que les modes de saisie système.

• Sous Android 12, vous pouvez créer un champ d'application de délégation. Activez et collectez les événements du journal de sécurité en appelant setDelegatedScopes() et en transmettant DELEGATION_SECURITY_LOGGING. Les journaux de sécurité aident les organisations à collecter des données d'utilisation à partir d'appareils, qui peuvent être analysées et évaluées de manière programmatique pour détecter les comportements malveillants ou risqués. Les applications déléguées peuvent activer la journalisation de sécurité, vérifier que la journalisation est activée et récupérer les journaux de sécurité.

Autre

La section suivante décrit les modifications apportées aux API d'entreprise qui ne sont pas spécifiques aux profils professionnels ni aux appareils détenus par l'entreprise.

Gestion des certificats d'appareils non gérés

Les appareils non gérés peuvent désormais bénéficier de la génération de clés sur l'appareil d'Android pour gérer les certificats:

• L'utilisateur peut autoriser une application de gestion des certificats à gérer ses identifiants (à l'exclusion des certificats CA).
• L'application de gestion des certificats peut utiliser la génération de clés sur l'appareil d'Android.
• L'application de gestion des certificats peut déclarer une liste d'applications et d'URI dans lesquels les identifiants peuvent être utilisés pour l'authentification.

Les nouvelles API offrent de nouvelles fonctionnalités:

• Vérifiez si le mot de passe existant au niveau de l'appareil est conforme aux exigences concernant les mots de passe explicites de l'appareil.
• Vérifiez si un certificat et une clé privée sont installés sous un alias donné.

Amélioration de la confidentialité et de la transparence pour les appareils entièrement gérés

Les administrateurs informatiques peuvent gérer les attributions d'autorisations ou choisir de désactiver la gestion des autorisations liées aux capteurs lors du provisionnement. Si l'administrateur choisit de gérer les autorisations, un message explicite s'affiche dans l'assistant de configuration. Si l'administrateur choisit de désactiver les autorisations, les utilisateurs sont invités à accepter ou à refuser les autorisations dans l'application lors de sa première utilisation. Les administrateurs peuvent toujours refuser les autorisations.

Configuration du réseau

Un outil de contrôle des règles relatives aux appareils (DPC) peut obtenir la liste des réseaux configurés d'un appareil sans avoir besoin de l'autorisation d'accéder à la position en utilisant une nouvelle API getCallerConfiguredNetworks plutôt que l'API existante getConfiguredNetworks (qui nécessite une autorisation d'accéder à la position). La liste de réseaux renvoyée est limitée aux réseaux professionnels.

Sur des appareils entièrement gérés, un DPC peut garantir que seuls les réseaux fournis par l'administrateur sont configurés sur l'appareil, même sans avoir besoin de l'autorisation d'accéder à la position.

Les administrateurs peuvent utiliser les clés générées dans le matériel sécurisé pour l'authentification Wi-Fi en attribuant une clé KeyChain au sous-système Wi-Fi pour l'authentification et en configurant un réseau Wi-Fi d'entreprise avec cette clé.

Autorisation automatique des applications connectées

Pour améliorer l'expérience utilisateur, quelques applications préchargées ont automatiquement accordé la configuration permettant de partager les données personnelles et professionnelles.

Sur Android 11 et versions ultérieures:

• selon l'OEM de l'appareil, applications d'assistance ou IME par défaut préchargés
• l'appli Google, si elle est préchargée.
• Application Gboard, si elle est préchargée et IME par défaut.

Sur Android 12 et versions ultérieures:

• Application Android Auto, si elle est préchargée.

La liste complète des applications dépend de l'OEM de l'appareil.

Abandons

Android 12 abandonne les API suivantes:

• setPasswordQuality() et getPasswordQuality() sont obsolètes pour la définition d'un code secret au niveau de l'appareil sur les appareils avec profil professionnel qui sont des appareils personnels et non des appareils détenus par l'entreprise. Les DPC doivent utiliser setRequiredPasswordComplexity() à la place.
• setOrganizationColor() et getOrganizationColor() sont complètement obsolètes dans Android 12.
• android.app.action.PROVISION_MANAGED_DEVICE ne fonctionne plus sur Android 12. Les DPC doivent implémenter des activités avec des filtres d'intent pour les actions d'intent ACTION_GET_PROVISIONING_MODE et ACTION_ADMIN_POLICY_COMPLIANCE. Si vous utilisez ACTION_PROVISION_MANAGED_DEVICE pour démarrer le provisionnement, celui-ci échoue. Pour continuer à prendre en charge Android 11 et les versions antérieures, les EMM doivent continuer à prendre en charge la constante PROVISION_MANAGED_DEVICE.
• setPermissionPolicy() et setPermissionGrantState() sont obsolètes, car ils permettent d'accorder des autorisations liées aux capteurs sur tous les appareils dotés d'un profil professionnel et ciblant Android 12 ou version ultérieure. Les abandons entraînent les modifications suivantes :
  • Sur les appareils passant d'Android 11 à Android 12, les autorisations existantes sont conservées, mais pas de nouvelles autorisations.
  • Vous pouvez toujours refuser les autorisations.
  • Si vous développez et distribuez des applications reposant sur des autorisations d'administrateur, vous devez vous assurer qu'elles suivent la méthode recommandée pour demander des autorisations.
  • Les applications qui suivent la méthode recommandée pour demander des autorisations continuent de fonctionner comme prévu. Les utilisateurs sont invités à accorder l'autorisation. L'application doit pouvoir gérer n'importe quel résultat.
  • Les applications qui reposent sur des autorisations accordées par l'administrateur et qui accèdent explicitement à des ressources protégées par des autorisations, sans suivre les consignes, risquent de planter.

En savoir plus

Pour en savoir plus sur les autres modifications susceptibles d'affecter votre application, consultez les pages sur les modifications de comportement d'Android 12 (pour les applications ciblant Android 12 et pour toutes les applications).