Nouveautés pour les entreprises sur Android 12

Cette page présente les nouvelles API d'entreprise, les nouvelles fonctionnalités et les modifications de comportement introduits dans Android 12 (niveau d'API 31).

Profil professionnel

Les nouvelles fonctionnalités suivantes sont disponibles dans Android 12 pour les profils professionnels.

Améliorations de la sécurité et de la confidentialité pour le profil professionnel

Les fonctionnalités suivantes sont disponibles sur Android 12 pour les appareils personnels dotés d'un profil professionnel:

• La fonctionnalité de complexité des mots de passe définit les exigences concernant les mots de passe au niveau de l'appareil sous la forme de buckets de complexité prédéfinis (Élevée, Moyenne, Faible et Aucun). Si nécessaire, vous pouvez placer des exigences strictes en matière de mot de passe dans le défi de sécurité du profil professionnel.
• L'intégration du défi de sécurité dans les profils professionnels a été simplifiée. La configuration tient désormais compte du fait que le code secret de l'appareil répond aux exigences de l'administrateur et permet à l'utilisateur de choisir facilement s'il veut renforcer le niveau de sécurité du code secret de son appareil ou utiliser la question de sécurité du profil professionnel.
• Un ID spécifique à l'enregistrement fournit un identifiant unique qui identifie l'enregistrement du profil professionnel dans une organisation donnée. Il reste stable lors des rétablissements de la configuration d'usine. L'accès aux autres identifiants matériels de l'appareil (IMEI, MEID, numéro de série) est supprimé pour les appareils personnels dotés d'un profil professionnel sous Android 12.
• Les appareils détenus par l'entreprise, avec et sans profils professionnels, peuvent adopter les fonctionnalités répertoriées dans la liste précédente, mais ne sont pas nécessaires pour les adopter dans Android 12.
• Vous pouvez définir et récupérer la journalisation réseau du profil professionnel. Vous pouvez déléguer la journalisation réseau sur le profil professionnel à une autre application professionnelle. Vous ne pouvez pas utiliser la journalisation réseau pour surveiller le trafic dans le profil personnel.
• Les utilisateurs disposent de paramètres de confidentialité supplémentaires pour les applications du profil professionnel. Les utilisateurs peuvent accorder les autorisations suivantes aux applications de profil professionnel, sauf si leur administrateur informatique les refuse. Pour chaque application du profil professionnel, l'utilisateur peut autoriser ou refuser les autorisations suivantes :
  • Position
  • Appareil photo
  • Micro
  • Capteur corporel
  • Activité physique

Appareils détenus par l'entreprise

Les nouvelles fonctionnalités suivantes sont disponibles pour les appareils détenus par l'entreprise. Le terme appareil détenu par l'entreprise désigne à la fois les appareils entièrement gérés et les appareils avec profil professionnel appartenant à l'entreprise.

• Un administrateur informatique peut désactiver USB sur les appareils détenus par l'entreprise, sauf les fonctions de recharge. Cette fonctionnalité permet de vérifier si elle est compatible sur l'appareil et de vérifier si elle est actuellement activée.

• Les appareils détenus par l'entreprise dotés d'un profil professionnel peuvent limiter les modes de saisie utilisés dans le profil personnel afin de n'autoriser que les modes de saisie système.

• Sous Android 12, vous pouvez créer un champ d'application de délégation. Activez et collectez les événements des journaux de sécurité en appelant setDelegatedScopes() et en transmettant DELEGATION_SECURITY_LOGGING. La journalisation de la sécurité aide les organisations à collecter des données d'utilisation provenant d'appareils. Ces données peuvent ensuite être analysées et évaluées de manière programmatique pour détecter les comportements malveillants ou risqués. Les applications déléguées peuvent activer la journalisation de la sécurité, vérifier que la journalisation est activée et récupérer les journaux de sécurité.

Autre

La section suivante décrit les modifications apportées aux API d'entreprise qui ne sont pas propres aux profils professionnels ou aux appareils détenus par l'entreprise.

Gestion des certificats d'appareils non gérés

Les appareils non gérés peuvent désormais bénéficier de la génération de clés Android sur l'appareil pour gérer les certificats:

• L'utilisateur peut autoriser une application de gestion de certificats à gérer ses identifiants (à l'exclusion des certificats CA).
• L'application de gestion des certificats peut utiliser la génération de clés Android sur l'appareil.
• L'application de gestion des certificats peut déclarer une liste d'applications et d'URI dans lesquels les identifiants peuvent être utilisés pour l'authentification.

Les nouvelles API offrent de nouvelles fonctionnalités:

• Vérifiez si le mot de passe existant au niveau de l'appareil est conforme aux exigences explicites concernant les mots de passe de l'appareil.
• Vérifiez si un certificat et une clé privée sont installés sous un alias donné.

Améliorations de la confidentialité et de la transparence pour les appareils entièrement gérés

Les administrateurs informatiques peuvent gérer les autorisations accordées ou choisir de désactiver les autorisations liées aux capteurs lors du provisionnement. Si l'administrateur choisit de gérer les autorisations, un message explicite s'affiche lors de l'assistant de configuration. Si l'administrateur choisit de désactiver cette fonctionnalité, les utilisateurs sont invités à accepter ou à refuser les autorisations dans l'application lorsqu'elle est utilisée pour la première fois. Les administrateurs peuvent toujours refuser des autorisations.

Configuration du réseau

Un outil de contrôle des règles relatives aux appareils (DPC) peut obtenir la liste des réseaux configurés d'un appareil sans avoir besoin de l'autorisation d'accéder à la position. Pour ce faire, il utilise une nouvelle API getCallerConfiguredNetworks au lieu d'utiliser l'API getConfiguredNetworks existante (qui nécessite une autorisation d'accéder à la position). La liste de réseaux renvoyée est limitée aux réseaux professionnels.

Un DPC sur des appareils entièrement gérés peut garantir que seuls les réseaux fournis par l'administrateur sont configurés sur l'appareil, également sans nécessiter l'autorisation d'accéder à la position.

Les administrateurs peuvent utiliser les clés générées dans le matériel sécurisé pour l'authentification Wi-Fi en accordant une clé KeyChain au sous-système Wi-Fi pour l'authentification et en configurant un réseau Wi-Fi d'entreprise avec cette clé.

Autorisation automatique des applis connectées

Pour améliorer l'expérience utilisateur, quelques applications préchargées ont automatiquement autorisé la configuration de partage des données personnelles et professionnelles.

Sur Android 11 et versions ultérieures:

• En fonction de l'OEM de l'appareil, des applications d'assistance préchargées ou des IME par défaut préchargés
• l'appli Google, si elle est préchargée.
• Application Gboard (si elle est préchargée et IME par défaut)

Sur Android 12 et versions ultérieures:

• Application Android Auto, si elle est préchargée

La liste complète des applications dépend de l'OEM de l'appareil.

Abandons

Android 12 abandonne les API suivantes:

• setPasswordQuality() et getPasswordQuality() sont obsolètes, car ils permettent de définir un code secret au niveau de l'appareil sur les appareils avec un profil professionnel qui sont des appareils personnels plutôt que des appareils détenus par l'entreprise. Les DPC doivent utiliser setRequiredPasswordComplexity() à la place.
• setOrganizationColor() et getOrganizationColor() sont complètement obsolètes dans Android 12.
• android.app.action.PROVISION_MANAGED_DEVICE ne fonctionne plus sur Android 12. Les DPC doivent implémenter des activités avec des filtres d'intent pour les actions d'intent ACTION_GET_PROVISIONING_MODE et ACTION_ADMIN_POLICY_COMPLIANCE. Si vous utilisez ACTION_PROVISION_MANAGED_DEVICE pour démarrer le provisionnement, celui-ci échoue. Pour continuer à prendre en charge Android 11 et les versions antérieures, les EMM doivent continuer à accepter la constante PROVISION_MANAGED_DEVICE.
• setPermissionPolicy() et setPermissionGrantState() sont obsolètes, car ils permettent d'accorder des autorisations liées aux capteurs pour tous les appareils de profil professionnel ciblant Android 12 ou version ultérieure. Les abandons entraînent les modifications suivantes :
  • Sur les appareils passant d'Android 11 à Android 12, les autorisations existantes sont conservées, mais il n'est pas possible d'en accorder de nouvelles.
  • Vous pouvez toujours refuser les autorisations.
  • Si vous développez et distribuez des applications en s'appuyant sur des autorisations accordées par l'administrateur, vous devez vous assurer qu'elles suivent la méthode recommandée pour demander des autorisations.
  • Les applications qui suivent la méthode recommandée pour demander des autorisations continuent de fonctionner comme prévu. Les utilisateurs sont invités à accorder l'autorisation. L'application doit pouvoir gérer n'importe quel résultat.
  • Les applications qui s'appuient sur des autorisations accordées par l'administrateur et qui accèdent explicitement aux ressources protégées par des autorisations, sans respecter les consignes, peuvent planter.

En savoir plus

Pour en savoir plus sur les autres modifications susceptibles d'affecter votre application, consultez les pages sur les modifications de comportement d'Android 12 (pour les applications ciblant Android 12 et pour toutes les applications).