Neuerungen für Unternehmen in Android 12

Diese Seite bietet einen Überblick über die neuen APIs, Funktionen und Verhaltensänderungen für Unternehmen, die in Android 12 (API-Level 31) eingeführt wurden.

Arbeitsprofil

Die folgenden neuen Funktionen sind in Android 12 für Arbeitsprofile verfügbar.

Verbesserte Sicherheit und Datenschutz für Arbeitsprofile

Die folgenden Funktionen sind in Android 12 für private Geräte mit einem Arbeitsprofil verfügbar:

  • Mit der Funktion für die Passwortkomplexität werden geräteübergreifende Passwortanforderungen in Form von vordefinierten Komplexitäts-Buckets („Hoch“, „Mittel“, „Niedrig“ und „Keine“) festgelegt. Bei Bedarf können stattdessen strenge Passwortanforderungen für die Sicherheitsherausforderung des Arbeitsprofils festgelegt werden.
  • Das Onboarding für die Sicherheitsherausforderung des Arbeitsprofils wurde optimiert. Bei der Einrichtung wird jetzt berücksichtigt, ob der Sicherheitscode des Geräts den Administratoranforderungen entspricht. Außerdem kann der Nutzer ganz einfach auswählen, ob er die Stärke des Sicherheitscodes seines Geräts erhöhen oder die Sicherheitsherausforderung des Arbeitsprofils verwenden möchte.
  • Eine registrierungsspezifische ID ist eine eindeutige ID, mit der die Anmeldung des Arbeitsprofils in einer bestimmten Organisation identifiziert wird. Sie bleibt auch nach dem Zurücksetzen auf die Werkseinstellungen stabil. Der Zugriff auf andere Hardwarekennungen des Geräts (IMEI, MEID, Seriennummer) wird für private Geräte mit einem Arbeitsprofil in Android 12 entfernt.
  • Unternehmenseigene Geräte mit und ohne Arbeitsprofile können die in der obigen Liste aufgeführten Funktionen übernehmen. Dies ist jedoch unter Android 12 nicht erforderlich.
  • Sie können das Netzwerk-Logging für Arbeitsprofile festlegen und abrufen. Sie können das Netzwerk-Logging im Arbeitsprofil an eine andere Arbeitsanwendung delegieren. Sie können den Traffic im persönlichen Profil nicht mit dem Netzwerk-Logging überwachen.
  • Nutzer haben zusätzliche Datenschutzeinstellungen für Apps im Arbeitsprofil. Nutzer können für Apps mit Arbeitsprofil die folgenden Berechtigungen erteilen, sofern ihr IT-Administrator dies nicht verweigert. Für jede App im Arbeitsprofil kann der Nutzer die folgenden Berechtigungen zulassen oder ablehnen:
    • Standort
    • Kamera
    • Mikrofon
    • Körpersensor
    • Körperliche Aktivität

Unternehmenseigene Geräte

Die folgenden neuen Funktionen sind für unternehmenseigene Geräte verfügbar. Der Begriff unternehmenseigenes Gerät bezieht sich sowohl auf vollständig verwaltete Geräte als auch auf unternehmenseigene Geräte mit Arbeitsprofil.

Sonstiges

Im folgenden Abschnitt werden Änderungen an Unternehmens-APIs beschrieben, die nicht speziell für Arbeitsprofile oder unternehmenseigene Geräte gelten.

Zertifikatsverwaltung für nicht verwaltete Geräte

Geräte ohne Verwaltung können jetzt die On-Device-Schlüsselgenerierung von Android nutzen, um Zertifikate zu verwalten:

  • Der Nutzer kann einer App zur Zertifikatsverwaltung die Berechtigung erteilen, seine Anmeldedaten zu verwalten (ohne CA-Zertifikate).
  • Die Zertifikatverwaltungs-App kann die Schlüsselgenerierung auf dem Android-Gerät verwenden.
  • Die App zur Zertifikatsverwaltung kann eine Liste von Anwendungen und URIs deklarieren, bei denen die Anmeldedaten für die Authentifizierung verwendet werden können.

Neue APIs bieten neue Funktionen:

Verbesserte Datenschutz- und Transparenzfunktionen für vollständig verwaltete Geräte

IT-Administratoren können Berechtigungserteilungen verwalten oder entscheiden, die Verwaltung sensorbezogener Berechtigungserteilungen während der Bereitstellung zu deaktivieren. Wenn der Administrator Berechtigungen verwaltet, wird Nutzern im Einrichtungsassistenten eine entsprechende Meldung angezeigt. In diesem Fall werden Nutzer bei der ersten Verwendung der App aufgefordert, Berechtigungen in der App zu akzeptieren oder abzulehnen. Administratoren können Berechtigungen jederzeit verweigern.

Netzwerkkonfiguration

Ein Device Policy Controller (DPC) kann die Liste der konfigurierten Netzwerke eines Geräts abrufen, ohne dass die Berechtigung zur Standortermittlung erforderlich ist. Dazu verwendet er die neue API getCallerConfiguredNetworks anstatt die vorhandene API getConfiguredNetworks (für die die Berechtigung zur Standortermittlung erforderlich ist). Die Liste der zurückgegebenen Netzwerke ist auf Arbeitsnetzwerke beschränkt.

Ein DPC auf vollständig verwalteten Geräten kann dafür sorgen, dass nur vom Administrator bereitgestellte Netzwerke auf dem Gerät konfiguriert werden, auch ohne die Berechtigung zur Standortermittlung.

Administratoren können die auf sicherer Hardware generierten Schlüssel für die WLAN-Authentifizierung verwenden. Dazu gewähren sie dem WLAN-Subsystem zur Authentifizierung einen KeyChain-Schlüssel und konfigurieren ein Unternehmens-WLAN mit diesem Schlüssel.

Automatische Gewährung verbundener Apps

Für eine bessere Nutzererfahrung wurde bei einigen vorinstallierten Anwendungen automatisch die Konfiguration zur Freigabe von privaten und geschäftlichen Daten gewährt.

Android 11 und höher:

  • Je nach OEM des Geräts, vorinstallierten Hilfs-Apps oder vorinstallierten Standard-IMEs
  • Google App, wenn sie vorinstalliert ist.
  • Gboard App, wenn sie vorinstalliert ist, und die vorkonfigurierte IME-Standard-App.

Android 12 und höher:

  • Android Auto App, wenn sie vorinstalliert ist.

Die vollständige Liste der Anwendungen hängt vom OEM des Geräts ab.

Einstellung von Produkten und Funktionen

Unter Android 12 wurden die folgenden API-Einstellungen vorgenommen:

  • setPasswordQuality() und getPasswordQuality() wurden für das Festlegen eines geräteweiten Sicherheitscodes auf Geräten mit Arbeitsprofilen eingestellt, die privaten und nicht unternehmenseigenen Geräten sind. DPCs sollten stattdessen setRequiredPasswordComplexity() verwenden.
  • setOrganizationColor() und getOrganizationColor() wurden in Android 12 vollständig eingestellt.
  • android.app.action.PROVISION_MANAGED_DEVICE funktioniert unter Android 12 nicht mehr. DPCs müssen Aktivitäten mit Intent-Filtern für die Intent-Aktionen ACTION_GET_PROVISIONING_MODE und ACTION_ADMIN_POLICY_COMPLIANCE implementieren. Wenn Sie die Bereitstellung mit ACTION_PROVISION_MANAGED_DEVICE starten, schlägt die Bereitstellung fehl. Damit Android 11 und niedriger weiterhin unterstützt werden, sollten EMMs weiterhin die Konstante PROVISION_MANAGED_DEVICE unterstützen.
  • setPermissionPolicy() und setPermissionGrantState() wurden verworfen, um Sensoren-bezogene Berechtigungen für alle Geräte mit Arbeitsprofilen zu erteilen, die auf Android 12 und höher ausgerichtet sind. Diese Einstellungen führen zu den folgenden Änderungen:
    • Auf Geräten, auf denen ein Upgrade von Android 11 auf Android 12 durchgeführt wird, bleiben bestehende Berechtigungen erhalten, es können jedoch keine neuen Berechtigungen erteilt werden.
    • Die Möglichkeit, Berechtigungen abzulehnen, bleibt bestehen.
    • Wenn Sie Anwendungen mit vom Administrator gewährten Berechtigungen entwickeln und vertreiben, müssen Sie darauf achten, dass diese der empfohlenen Methode zum Anfordern von Berechtigungen folgen.
    • Anwendungen, die die empfohlene Methode zum Anfordern von Berechtigungen verwenden, funktionieren weiterhin wie erwartet. Nutzer werden aufgefordert, die Berechtigung zu gewähren. Die App muss mit jedem Ergebnis umgehen können.
    • Anwendungen, die auf von Administratoren gewährte Berechtigungen angewiesen sind und explizit auf berechtigungsgeschützte Ressourcen zugreifen, ohne die Richtlinien zu befolgen, können abstürzen.

Weitere Informationen

Informationen zu anderen Änderungen, die sich möglicherweise auf deine App auswirken, findest du auf den Seiten zu Verhaltensänderungen unter Android 12 (für Apps, die auf Android 12 ausgerichtet sind und für alle Apps).