これまでのリリースと同様、Android 16 には、アプリに影響する可能性がある動作変更が含まれています。下記の動作変更は、Android 16 以上をターゲットとするアプリにのみ適用されます。アプリが Android 16 以上をターゲットとする場合は、必要に応じてアプリを変更し、下記の動作に適切に対応できるようにしてください。
アプリの targetSdkVersion に関係なく、Android 16 で実行されるすべてのアプリに影響する動作変更のリストも必ずご確認ください。
ユーザー エクスペリエンスとシステム UI
Android 16(API レベル 36)では、より一貫性があり直感的なユーザー エクスペリエンスを実現するために、以下の変更が加えられています。
エッジ ツー エッジのオプトアウトの廃止
Android 15(API レベル 35)をターゲットとするアプリに対しては、Android 15 でエッジツーエッジが強制適用されますが、R.attr#windowOptOutEdgeToEdgeEnforcement を true に設定することで、アプリでオプトアウトできます。Android 16(API レベル 36)をターゲットとするアプリの場合、R.attr#windowOptOutEdgeToEdgeEnforcement は非推奨で無効になっています。アプリでエッジツーエッジをオプトアウトすることはできません。
- アプリが Android 16(API レベル 36)をターゲットとし、Android 15 デバイスで実行されている場合、
R.attr#windowOptOutEdgeToEdgeEnforcementは引き続き機能します。 - アプリが Android 16(API レベル 36)をターゲットとし、Android 16 デバイスで実行されている場合、
R.attr#windowOptOutEdgeToEdgeEnforcementは無効になります。
Android 16 ベータ版 3 でテストするには、アプリがエッジ ツー エッジに対応していることを確認し、R.attr#windowOptOutEdgeToEdgeEnforcement の使用をすべて削除して、Android 15 デバイスでもアプリがエッジ ツー エッジに対応するようにします。エッジツーエッジをサポートするには、Compose と ビューのガイダンスをご覧ください。
予測型「戻る」に移行またはオプトアウトが必要
对于以 Android 16(API 级别 36)或更高版本为目标平台且在 Android 16 或更高版本的设备上运行的应用,预测性返回系统动画(返回主屏幕、跨任务和跨 activity)默认处于启用状态。此外,系统不会调用 onBackPressed,也不会再调度 KeyEvent.KEYCODE_BACK。
如果您的应用拦截了返回事件,并且您尚未迁移到预测性返回,请更新应用以使用受支持的返回导航 API;或者,在应用的 AndroidManifest.xml 文件的 <application> 或 <activity> 标记中将 android:enableOnBackInvokedCallback 属性设置为 false,以暂时停用此功能。
Elegant フォント API の非推奨と無効化
Android 15(API レベル 35)をターゲットとするアプリでは、elegantTextHeight
TextView 属性がデフォルトで true に設定されているため、コンパクト フォントが読みやすくなっています。elegantTextHeight 属性を false に設定すると、これをオーバーライドできます。
Android 16 では elegantTextHeight 属性のサポートが終了し、アプリが Android 16 をターゲットとすると、この属性は無視されます。これらの API によって制御される「UI フォント」は廃止されるため、アラビア語、ラオス語、ミャンマー語、タミル語、グジャラート語、カンナダ語、マラヤーラム語、オディア語、テルグ語、タイ語でテキストのレンダリングが将来にわたって一貫して行われるように、レイアウトを調整する必要があります。
Android 14(API レベル 34)以前をターゲットとするアプリ、または elegantTextHeight 属性を false に設定してデフォルトをオーバーライドした Android 15(API レベル 35)をターゲットとするアプリの elegantTextHeight の動作。
elegantTextHeight 属性を false に設定してデフォルトをオーバーライドしなかった Android 15(API レベル 35)をターゲットとするアプリの elegantTextHeight の動作。コア機能
Android 16(API レベル 36)には、Android システムのさまざまなコア機能を変更または拡張する次の変更が含まれています。
固定レートの勤務スケジュールの最適化
Prior to targeting Android 16, when scheduleAtFixedRate
missed a task execution due to being outside a valid
process lifecycle, all missed executions immediately
execute when the app returns to a valid lifecycle.
When targeting Android 16, at most one missed execution of
scheduleAtFixedRate is immediately executed when the app
returns to a valid lifecycle. This behavior change is expected to improve app
performance. Test this behavior in your app to check if your app is impacted.
You can also test by using the app compatibility framework
and enabling the STPE_SKIP_MULTIPLE_MISSED_PERIODIC_TASKS compat flag.
デバイスのフォーム ファクタ
Android 16(API レベル 36)では、大画面デバイスに表示されるアプリについて、次のように変更されています。
アダプティブ レイアウト
With Android apps now running on a variety of devices (such as phones, tablets, foldables, desktops, cars, and TVs) and windowing modes on large screens (such as split screen and desktop windowing), developers should build Android apps that adapt to any screen and window size, regardless of device orientation. Paradigms like restricting orientation and resizability are too restrictive in today's multidevice world.
Ignore orientation, resizability, and aspect ratio restrictions
For apps targeting Android 16 (API level 36), Android 16 includes changes to how the system manages orientation, resizability, and aspect ratio restrictions. On displays with smallest width >= 600dp, the restrictions no longer apply. Apps also fill the entire display window, regardless of aspect ratio or a user's preferred orientation, and pillarboxing isn't used.
This change introduces a new standard platform behavior. Android is moving toward a model where apps are expected to adapt to various orientations, display sizes, and aspect ratios. Restrictions like fixed orientation or limited resizability hinder app adaptability, so we recommend making your app adaptive to deliver the best possible user experience.
You can also test this behavior by using the
app compatibility framework and
enabling the UNIVERSAL_RESIZABLE_BY_DEFAULT compat flag.
Common breaking changes
Ignoring orientation, resizability, and aspect ratio restrictions might impact your app's UI on some devices, especially elements that were designed for small layouts locked in portrait orientation: for example, issues like stretched layouts and off-screen animations and components. Any assumptions about aspect ratio or orientation can cause visual issues with your app. Learn more about how to avoid them and improve your app's adaptive behaviour.
Allowing device rotation results in more activity re-creation, which can result in losing user state if not properly preserved. Learn how to correctly save UI state in Save UI states.
Implementation details
The following manifest attributes and runtime APIs are ignored across large screen devices in full-screen and multi-window modes:
screenOrientationresizableActivityminAspectRatiomaxAspectRatiosetRequestedOrientation()getRequestedOrientation()
The following values for screenOrientation, setRequestedOrientation(), and
getRequestedOrientation() are ignored:
portraitreversePortraitsensorPortraituserPortraitlandscapereverseLandscapesensorLandscapeuserLandscape
Regarding display resizability, android:resizeableActivity="false",
android:minAspectRatio, and android:maxAspectRatio have no effect.
For apps targeting Android 16 (API level 36), app orientation, resizability, and aspect ratio constraints are ignored on large screens by default, but every app that isn't fully ready can temporarily override this behavior by opting out (which results in the previous behavior of being placed in compatibility mode).
Exceptions
The Android 16 orientation, resizability, and aspect ratio restrictions don't apply in the following situations:
- Games (based on the
android:appCategoryflag) - Users explicitly opting in to the app's default behavior in aspect ratio settings of the device
- Screens that are smaller than
sw600dp
Opt out temporarily
To opt out a specific activity, declare the
PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY manifest property:
<activity ...>
<property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
...
</activity>
If too many parts of your app aren't ready for Android 16, you can opt out completely by applying the same property at the application level:
<application ...>
<property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
</application>
健康&フィットネス
Android 16(API レベル 36)では、健康とフィットネスのデータに関連する以下の変更が加えられました。
健康とフィットネスの権限
Android 16(API レベル 36)以上をターゲットとするアプリの場合、BODY_SENSORS 権限は、ヘルスコネクトでも使用される android.permissions.health の下でより細かい権限を使用します。Android 16 以降、これまで BODY_SENSORS または BODY_SENSORS_BACKGROUND を必要としていた API はすべて、対応する android.permissions.health 権限が必要となります。これは、次のデータタイプ、API、フォアグラウンド サービスのタイプに影響します。
- Wear OS のヘルスサービス
HEART_RATE_BPM - Android Sensor Manager の
Sensor.TYPE_HEART_RATE - Wear OS の
ProtoLayoutからheartRateAccuracyとheartRateBpm FOREGROUND_SERVICE_TYPE_HEALTH:BODY_SENSORSの代わりに、それぞれのandroid.permission.health権限が必要
アプリがこれらの API を使用する場合は、それぞれ詳細な権限をリクエストする必要があります。
- 心拍数、血中酸素ウェルネス、皮膚温の使用中のモニタリングの場合:
android.permissions.healthの詳細な権限をリクエストします(BODY_SENSORSではなくREAD_HEART_RATEなど)。 - バックグラウンド センサーへのアクセスの場合:
BODY_SENSORS_BACKGROUNDではなくREAD_HEALTH_DATA_IN_BACKGROUNDをリクエストします。
これらの権限は、健康、フィットネス、ウェルネス データ用の Android データストアである ヘルスコネクトからのデータの読み取りアクセスを保護する権限と同じです。
モバイルアプリ
READ_HEART_RATE などのきめ細かい権限を使用するように移行するモバイルアプリは、アプリのプライバシー ポリシーを表示するためにアクティビティを宣言する必要もあります。これはヘルスコネクトと同じ要件です。
接続
Android 16(API レベル 36)では、Bluetooth スタックに次の変更が加えられて、周辺機器との接続が改善されています。
ボンドの損失と暗号化の変更を処理する新しいインテントの追加
ボンドの損失処理の改善の一環として、Android 16 では、ボンドの損失と暗号化の変更をアプリがより認識できるように、2 つの新しいインテントを導入しています。
Android 16 をターゲットとするアプリは、次のことができます。
- リモート ボンドの損失が検出されたときに
ACTION_KEY_MISSINGインテントを受け取り、より有益なユーザー フィードバックを提供するとともに、適切なアクションを実行できます。 - リンクの暗号化ステータスが変更されるたびに
ACTION_ENCRYPTION_CHANGEインテントを受け取ります。これには、暗号化ステータスの変更、暗号化アルゴリズムの変更、暗号鍵サイズの変更が含まれます。後でACTION_ENCRYPTION_CHANGEインテントを受け取った際にリンクが正常に暗号化された場合、アプリはボンディングが復元されたと見なす必要があります。
さまざまな OEM 実装への適応
Android 16 ではこれらの新しいインテントを導入していますが、その実装とブロードキャスト方法はデバイス メーカー(OEM)によって異なる場合があります。すべてのデバイスでアプリが一貫した信頼性の高いエクスペリエンスを提供できるようにするには、デベロッパーは、このような潜在的な変化に適切に対応するように、ボンディングの損失処理を設計する必要があります。
アプリの動作は次のとおりにすることをおすすめします。
ACTION_KEY_MISSINGインテントがブロードキャストされた場合:ACL(非同期接続レス)リンクはシステムによって切断されますが、デバイスのボンディング情報は保持されます(こちらを参照)。
アプリでは、このインテントを結合喪失の検出の主要なシグナルとして使用し、デバイスの消去や再ペア設定を開始する前に、リモート デバイスが範囲内にあることを確認するようユーザーに案内する必要があります。
ACTION_KEY_MISSINGの受信後にデバイスが切断された場合、デバイスがシステムとボンディングされていない可能性があるため、アプリは再接続に注意する必要があります。ACTION_KEY_MISSINGインテントがブロードキャストされていない場合:ACL リンクは接続されたままになり、デバイスのボンディング情報は Android 15 の場合と同じようにシステムによって削除されます。
このシナリオでは、アプリは以前の Android リリースと同様に既存のボンディング損失処理メカニズムを継続して、ボンディング損失イベントを検出して管理する必要があります。
Bluetooth ボンディングを削除する新しい方法
Android 16 をターゲットとするすべてのアプリで、CompanionDeviceManager の公開 API を使用して Bluetooth デバイスのペア設定を解除できるようになりました。コンパニオン デバイスが CDM の関連付けとして管理されている場合、アプリは、関連付けられたデバイスで新しい removeBond(int) API を使用して、Bluetooth の接続解除をトリガーできます。アプリは、Bluetooth デバイスのブロードキャスト イベント ACTION_BOND_STATE_CHANGED をリッスンすることで、ボンディング状態の変化をモニタリングできます。
セキュリティ
Android 16(API レベル 36)では、セキュリティが次のように変更されています。
MediaStore バージョンのロックダウン
For apps targeting Android 16 or higher, MediaStore#getVersion() will now
be unique to each app. This eliminates identifying properties from the version
string to prevent abuse and usage for fingerprinting techniques. Apps shouldn't
make any assumptions around the format of this version. Apps should already
handle version changes when using this API and in most cases shouldn't need to
change their current behavior, unless the developer has attempted to infer
additional information that is beyond the intended scope of this API.
Safer Intents
“更安全的 intent”功能是一项分阶段的安全计划,旨在提高 Android intent 解析机制的安全性。该目标是通过在 intent 处理期间添加检查并过滤不符合特定条件的 intent,保护应用免受恶意操作的侵害。
在 Android 15 中,该功能侧重于发送应用,而现在在 Android 16 中,该功能将控制权转移给接收应用,让开发者可以选择使用应用清单启用严格的 intent 解析。
我们将实施以下两项重大变更:
显式 intent 必须与目标组件的 intent 过滤器相匹配:如果 intent 明确定位到某个组件,则应与该组件的 intent 过滤器相匹配。
没有操作的 intent 无法与任何 intent 过滤器匹配:未指定操作的 intent 不应解析为任何 intent 过滤器。
这些更改仅适用于涉及多个应用的情况,不会影响单个应用内的 intent 处理。
影响
这种“用户选择启用”的特性意味着,开发者必须在应用清单中明确启用该功能,才能使其生效。因此,只有开发者符合以下条件的应用会受到该功能的影响:
- 了解“更安全的 intent”功能及其优势。
- 主动选择在应用中采用更严格的 intent 处理做法。
这种“用户选择接受”方法可最大限度地降低破坏可能依赖于当前安全性较低的 intent 解析行为的现有应用的风险。
虽然在 Android 16 中的初始影响可能有限,但“更安全的 intent”计划制定了路线图,以便在未来的 Android 版本中产生更广泛的影响。我们的计划是最终将严格的 intent 解析作为默认行为。
通过提高恶意应用利用 intent 解析机制中的漏洞的难度,更安全的 intent 功能有望显著增强 Android 生态系统的安全性。
不过,必须谨慎管理向“用户选择拒绝才无效”和强制执行过渡,以解决与现有应用的潜在兼容性问题。
实现
开发者需要在应用清单中使用 intentMatchingFlags 属性明确启用更严格的 intent 匹配。以下示例展示了如何为整个应用选择启用该功能,但在接收器上停用/选择停用该功能:
<application android:intentMatchingFlags="enforceIntentFilter">
<receiver android:name=".MyBroadcastReceiver" android:exported="true" android:intentMatchingFlags="none">
<intent-filter>
<action android:name="com.example.MY_CUSTOM_ACTION" />
</intent-filter>
<intent-filter>
<action android:name="com.example.MY_ANOTHER_CUSTOM_ACTION" />
</intent-filter>
</receiver>
</application>
有关支持的标志的更多信息:
| 标志名称 | 说明 |
|---|---|
| enforceIntentFilter | 对传入 intent 强制执行更严格的匹配 |
| none | 停用针对传入 intent 的所有特殊匹配规则。指定多个标志时,系统会通过将“none”标志的优先级设为最高来解析冲突的值 |
| allowNullAction | 放宽匹配规则,以允许没有匹配操作的 intent。此标志应与“enforceIntentFilter”结合使用,以实现特定行为 |
测试和调试
强制执行生效后,如果 intent 调用方已正确填充 intent,应用应能正常运行。不过,被屏蔽的 intent 会触发带有标记 "PackageManager." 的警告日志消息,例如 "Intent does not match component's intent filter:" 和 "Access blocked:"。这表示可能存在影响应用且需要注意的潜在问题。
Logcat 过滤条件:
tag=:PackageManager & (message:"Intent does not match component's intent filter:" | message: "Access blocked:")
プライバシー
Android 16(API レベル 36)では、プライバシーに関する次の変更が行われています。
ローカル ネットワークへのアクセス権
LAN 上のデバイスには、INTERNET 権限を持つすべてのアプリからアクセスできます。これにより、アプリはローカル デバイスに簡単に接続できますが、ユーザーの指紋の形成や位置情報のプロキシ化など、プライバシーに関連する問題もあります。
ローカル ネットワーク保護プロジェクトは、新しいランタイム権限でローカル ネットワークへのアクセスを制限することで、ユーザーのプライバシーを保護することを目的としています。
リリース計画
この変更は、2025 年第 2 四半期と未定の 2 つのリリースの間にデプロイされます。これらの保護は今後の Android リリースで適用されるため、デベロッパーは 25Q2 のガイダンスに沿ってフィードバックを共有する必要があります。また、次のガイダンスを使用して、暗黙的なローカル ネットワーク アクセスに依存するシナリオを更新し、ユーザーによる拒否と新しい権限の取り消しに対応する必要があります。
影響
現段階では、LNP はオプトイン機能です。つまり、オプトインしたアプリのみが影響を受けます。オプトイン フェーズの目的は、アプリのデベロッパーが、アプリのどの部分が暗黙的なローカル ネットワーク アクセスに依存しているかを把握し、次のリリースで権限ガードする準備を整えることです。
アプリが以下を使用してユーザーのローカル ネットワークにアクセスしている場合、影響を受けます。
- ローカル ネットワーク アドレスでの未加工ソケットの直接使用またはライブラリ使用(mDNS や SSDP サービス ディスカバリ プロトコルなど)
- ローカル ネットワークにアクセスするフレームワーク レベルのクラスの使用(NsdManager など)
ローカル ネットワーク アドレスとの間のトラフィックにローカル ネットワーク アクセス権が必要です。次の表に、一般的なケースを示します。
| アプリの低レベル ネットワーク操作 | ローカル ネットワークへのアクセス権が必要です |
|---|---|
| アウトバウンド TCP 接続の作成 | はい |
| 受信 TCP 接続の受け入れ | はい |
| UDP ユニキャスト、マルチキャスト、ブロードキャストの送信 | はい |
| 受信 UDP ユニキャスト、マルチキャスト、ブロードキャスト | はい |
これらの制限はネットワーク スタックの深部に実装されているため、すべてのネットワーク API に適用されます。これには、ネイティブ コードまたはマネージド コードで作成されたソケット、Cronet や OkHttp などのネットワーク ライブラリ、それらの上に実装された API が含まれます。ローカル ネットワーク上のサービス(末尾が .local のサービス)を解決しようとすると、ローカル ネットワークの権限が必要になります。
上記のルールの例外:
- デバイスの DNS サーバーがローカル ネットワーク上にある場合、そのサーバーとの間(ポート 53)のトラフィックにローカル ネットワーク アクセス権は必要ありません。
- 出力切り替えツールをアプリ内選択ツールとして使用するアプリは、ローカル ネットワーク権限を必要としません(詳細なガイダンスは 2025 年第 4 四半期に提供予定です)。
デベロッパー向けガイダンス(オプトイン)
ローカル ネットワークの制限を有効にするには、次の操作を行います。
- 25Q2 ベータ版 3 以降のビルドにデバイスを書き込みます。
- テストするアプリをインストールします。
adb で Appcompat フラグを切り替えます。
adb shell am compat enable RESTRICT_LOCAL_NETWORK <package_name>デバイスを再起動する
これで、アプリのローカル ネットワークへのアクセスが制限され、ローカル ネットワークにアクセスしようとするとソケット エラーが発生します。アプリのプロセス外でローカル ネットワーク オペレーションを実行する API(NsdManager など)を使用している場合、オプトイン フェーズ中に影響を受けません。
アクセス権を復元するには、アプリに NEARBY_WIFI_DEVICES へのアクセス権を付与する必要があります。
- アプリがマニフェストで
NEARBY_WIFI_DEVICES権限を宣言していることを確認します。 - [設定] > [アプリ] > [アプリ名] > [権限] > [付近のデバイス] > [許可] に移動します。
これで、アプリのローカル ネットワークへのアクセスが復元され、すべてのシナリオがアプリを有効にする前と同じように動作するようになります。
ローカル ネットワーク保護の適用が開始されると、アプリのネットワーク トラフィックに次のような影響が及ぶことになります。
| 権限 | 送信 LAN リクエスト | アウトバウンド/インバウンド インターネット リクエスト | インバウンド LAN リクエスト |
|---|---|---|---|
| 許可 | Works | Works | Works |
| 未許可 | ハプニング集 | Works | ハプニング集 |
次のコマンドを使用して、App-Compat フラグをオフにします。
adb shell am compat disable RESTRICT_LOCAL_NETWORK <package_name>
エラー
これらの制限に起因するエラーは、ローカル ネットワーク アドレスへの send または send のバリエーションを呼び出すたびに、呼び出し元のソケットに返されます。
エラーの例:
sendto failed: EPERM (Operation not permitted)
sendto failed: ECONNABORTED (Operation not permitted)
ローカル ネットワークの定義
このプロジェクトのローカル ネットワークとは、Wi-Fi やイーサネットなどのブロードキャスト対応ネットワーク インターフェースを使用する IP ネットワークを指します。ただし、モバイル(WWAN)接続や VPN 接続は除きます。
ローカル ネットワークと見なされるのは次のとおりです。
IPv4:
- 169.254.0.0/16 // リンクローカル
- 100.64.0.0/10 // CGNAT
- 10.0.0.0/8 // RFC1918
- 172.16.0.0/12 // RFC1918
- 192.168.0.0/16 // RFC1918
IPv6:
- リンクローカル
- 直接接続されたルート
- Thread などのスタブ ネットワーク
- 複数のサブネット(未定)
また、マルチキャスト アドレス(224.0.0.0/4、ff00::/8)と IPv4 ブロードキャスト アドレス(255.255.255.255)は、ローカル ネットワーク アドレスとして分類されます。
アプリ所有の写真
Android 16 以降を搭載したデバイスで、SDK 36 以降をターゲットとするアプリから写真と動画の権限を求めるメッセージが表示された場合、選択したメディアへのアクセスを制限することを選択したユーザーには、アプリが所有する写真が写真選択ツールで事前選択された状態で表示されます。ユーザーは、これらの事前選択された項目の選択を解除できます。これにより、それらの写真と動画へのアプリのアクセス権が取り消されます。