此页面简要介绍了 Android 11 推出的新企业 API、功能和行为变更。
工作资料
Android 11 中提供了可供工作资料使用的以下新功能。
面向公司自有设备的工作资料增强功能
Android 11 改进了对公司自有设备上的工作资料的支持。如果使用 Android 10 中新增的配置工具在设置向导中添加工作资料,设备会被识别为归公司所有,而且还会有更广泛的资产管理和设备安全政策可供设备政策控制器 (DPC) 使用。借助这些功能,既可以更轻松地管理公司自有设备上的工作用途和个人用途,同时又能保持对工作资料的隐私保护。
如果使用任何其他方法将工作资料添加到设备,Android 11 会将设备识别为个人所有。对于个人所有设备上的工作资料,可供使用的行为和功能保持不变。
升级到 Android 11 的设备
在 Android 11 上,完全托管设备中的工作资料将升级,工作资料体验会得到提升。对于客户而言,这意味着设备的隐私权益将获得改善,而且客户能够在个人所有设备和公司自有设备上享受到单一工作资料体验的一致性,而无需重新注册完全托管设备上的旧工作资料。如果您愿意,也可以在升级前移除工作资料,这样就能在整个升级过程中保持完全托管设备体验。
客户可以与 EMM 联系,确保自己的设备已准备好升级到 Android 11。EMM 可在 Android Enterprise EMM 提供商社区(需要登录)中找到更详细的迁移指南。
提升用户体验
Android 9 中为默认启动器引入的单独工作标签页和个人标签页已扩展到更多设备功能。在 Android 11 中,设备制造商可以针对以下情况显示工作标签页和个人标签页:
- 在“设置”应用中,特别是针对“位置”、“存储”、“账号”和“应用信息”进行显示。
- 当用户点按分享 时。
- 当系统向用户显示通过其他应用打开所选项目的选项时(“打开方式”菜单)。
- 选择文档时。
Android 11 还提升了用户体验,当用户的工作资料已暂停使用时,让用户能够更清楚地知道。此外,如果用户的工作密码与设备密码相同,那么当用户打开其工作资料时,不必再输入工作密码。
重置工作资料密码按钮
对于具有单独的设备密码和工作资料密码的 Android 11 设备,当工作资料已暂停使用时,工作资料锁定屏幕现在支持“忘记了密码”按钮。如果 DPC 可感知直接启动,您可以设置并激活令牌以启用该按钮。
当用户按该按钮时,系统会向其显示相关文本,指示他们与 IT 管理员联系。此外,按该按钮时,还会在直接启动(锁定)模式下启动工作资料,这样可让 DPC 完成安全的工作资料密码重置的执行步骤。
公司自有设备
以下新功能适用于公司自有设备。“公司自有设备”一词指的是完全托管设备和归公司所有的工作资料设备。
Common Criteria 模式
此模式可以满足 Common Criteria Mobile Device Fundamentals Protection Profile (MDFPP) 的具体要求。公司自有设备的管理员现在可以在设备上启用 Common Criteria 模式(并检查该模式是否已启用)。启用后,Common Criteria 模式可以增强设备上某些安全组件的安全性,包括蓝牙长期密钥的 AES-GCM 加密和 Wi-Fi 配置存储。
单个密钥认证支持
在 Android 11 中,公司自有设备的管理员可以使用单个认证证书请求设备认证:
- 确保
KeyGenParameterSpec
是使用指定 StrongBox 构建的。 - 对参数
idAttestationFlags
,传递ID_TYPE_INDIVIDUAL_ATTESTATION
。
还可以使用新增的方法来检查设备是否支持唯一设备 ID 认证。
其他
现在,当管理员执行以下操作时,用户会收到通知:
向工作应用预先授予证书访问权限:以 Android 11 为目标平台的 DPC 现在可以选择授予各个应用对特定
KeyChain
密钥的访问权限,允许这些应用直接调用getCertificateChain()
和getPrivateKey()
,而不必先调用choosePrivateKeyAlias()
。例如,作为后台服务运行的 VPN 应用可以使用此功能获取对所需证书的访问权限,而无需任何用户交互。还可以使用一个新方法撤消访问权限。
与设置密码最低要求相关的所有方法都需要相应的密码质量才能强制执行。
setPasswordMinimumLength()
至少需要PASSWORD_QUALITY_NUMERIC
。- 所有其他密码最低要求方法至少需要
PASSWORD_QUALITY_COMPLEX
。
始终开启的 VPN 增强功能:如果始终开启的 VPN 由管理员配置,用户就不能再停用该功能。
对
ADMIN_POLICY_COMPLIANCE
进行了更新:- 在配置 Android 11 设备时,系统现在会先发送
ADMIN_POLICY_COMPLIANCE
,然后再将DEVICE_PROVISIONED
设置为true
。 - 在添加 Google 账号时还可以选择使用
ADMIN_POLICY_COMPLIANCE
配置设备。在 2021 年的 Android 版本中,此配置方法是必需的。
- 在配置 Android 11 设备时,系统现在会先发送
此外,还提供了用于以下用途的新 API:
废弃
Android 11 弃用了以下 API,值得引起注意:
Settings.Secure.LOCATION_MODE
设置已被弃用。应用不应使用 该值作为setting
参数setSecureSetting()
方法。设备所有者应改为setLocationEnabled()
。resetPassword()
现已完全弃用。所有 DPC 都应该使用安全密码重置。setAutoTimeRequired()
和getAutoTimeRequired()
。请改用setAutoTime()
和getAutoTime()
。setStorageEncryption
和getStorageEncryption()
。请改用getStorageEncryptionStatus()
。setGlobalSetting()
和setSecureSetting()
大部分都已弃用 - 提供了专用的 setter 方法和用户限制来替换大多数设置(如需了解详情,请参阅参考文档)。setOrganizationColor()
已完全弃用。
了解详情
如需了解可能会影响您的应用的其他变更,请参阅 Android 11 行为变更页面(针对以 Android 11 为目标平台的应用和所有应用)。