דף זה תורגם על ידי Cloud Translation API.

מה חדש ב-Android 11 לארגונים

בדף הזה מופיעה סקירה כללית של ממשקי ה-API החדשים ל-Enterprise, התכונות החדשות ושינויים בהתנהגות שהוצגו ב-Android 11.

פרופיל עבודה

התכונות החדשות הבאות זמינות בפרופילים לצרכי עבודה ב-Android 11.

שיפורים בפרופיל העבודה במכשירים בבעלות החברה

ב-Android 11 יש תמיכה משופרת בפרופילים של עבודה במכשירים בבעלות החברה. אם מוסיפים פרופיל עבודה מאשף ההגדרה באמצעות כלי ההקצאה שנוספו ב-Android 10, המכשיר מזוהה כמכשיר בבעלות החברה ומגוון רחב יותר של מדיניות לניהול נכסים ולאבטחת מכשירים הופך לזמין לבקר מדיניות המכשיר (DPC). היכולות האלה מאפשרות לנהל בקלות רבה יותר את השימוש במכשירים בבעלות החברה, גם לצרכים אישיים וגם לצרכי עבודה, תוך שמירה על אמצעי ההגנה על הפרטיות של פרופיל העבודה.

אם מוסיפים פרופיל עבודה למכשיר בכל שיטה אחרת, מערכת Android 11 מזהה את המכשיר כמכשיר בבעלות פרטית. ההתנהגות והתכונות שזמינות בפרופילים של עבודה במכשירים בבעלות אישית לא משתנות.

מכשירים שמשדרגים ל-Android 11

פרופילים של עבודה במכשירים מנוהלים ישודרגו לחוויה משופרת של פרופיל עבודה ב-Android 11. ללקוחות, המשמעות היא שהמכשירים יקבלו את היתרונות המשופרים של הפרטיות ואת העקביות של חוויית פרופיל עבודה יחיד במכשירים בבעלות אישית ובמכשירים בבעלות החברה, בלי הצורך לרשום מחדש פרופיל עבודה מדור קודם במכשירים מנוהלים באופן מלא. לחלופין, אם מעדיפים, אפשר להסיר את פרופיל העבודה לפני השדרוג כדי לשמור על חוויית שימוש במכשיר מנוהל באופן מלא במהלך השדרוג.

לקוחות יכולים לפנות לספק לניהול הניידות בארגון כדי לוודא שהמכשירים שלהם מוכנים לשדרוג ל-Android 11. ספקי EMM יכולים למצוא הנחיות מפורטות יותר לגבי המיגרציה בקהילת ספקי ה-EMM של Android Enterprise (נדרשת התחברות).

שיפורים בחוויית המשתמש

הכרטיסיות הנפרדות 'עבודה' ו'אישי' שהוצגו בתוכנת ההפעלה שמוגדרת כברירת מחדל ב-Android 9, הורחבו לתכונות נוספות במכשיר. ב-Android 11, יצרני המכשירים יכולים להציג כרטיסיות של עבודה ושל שימוש אישי:

באפליקציית ההגדרות, במיוחד לגבי מיקום, אחסון, חשבונות ופרטי אפליקציה.
כשמשתמש מקיש על סמל השיתוף .
כשמוצגת למשתמש האפשרות לפתוח פריט שנבחר באמצעות אפליקציה אחרת (התפריט פתיחה באמצעות).
כשבוחרים מסמכים.

איור 1. (מימין) הכרטיסייה 'אישי' והכרטיסייה 'עבודה' בהגדרות > פרטי האפליקציה. (משמאל) הסמלים של האפליקציות לעבודה כשהפרופיל מושהה.

ב-Android 11 יש גם שיפורים בחוויית המשתמש, שמבהירים למשתמשים מתי פרופיל העבודה שלהם מושהה. כשמשתמש מפעיל את פרופיל העבודה שלו, הוא לא צריך יותר להזין את קוד הגישה לעבודה אם הוא זהה לקוד הגישה למכשיר.

לחצן לאיפוס קוד הגישה של פרופיל העבודה

כשפרופיל העבודה מושהה, מסך הנעילה של פרופיל העבודה תומך עכשיו בלחצן שכחתי את הסיסמה במכשירי Android 11 שיש להם סיסמאות נפרדות למכשיר ולפרופיל העבודה. אם ה-DPC שלכם תומך בהפעלה ישירה, אתם יכולים להגדיר ולהפעיל טוקן כדי להפעיל את הלחצן.

כשמשתמש לוחץ על הכפתור, מוצג לו טקסט עם הוראות ליצירת קשר עם אדמין ה-IT. לחיצה על הלחצן גם מפעילה את פרופיל העבודה במצב אתחול ישיר (נעול), ומאפשרת ל-DPC להשלים את השלבים לביצוע איפוס מאובטח של קוד הגישה לפרופיל העבודה.

מכשירים בבעלות החברה

התכונות החדשות הבאות זמינות במכשירים בבעלות החברה. המונח מכשיר בבעלות החברה מתייחס גם למכשירים מנוהלים וגם למכשירים עם פרופיל עבודה שהם בבעלות החברה.

מצב Common Criteria

המצב הזה עונה על דרישות ספציפיות של קריטריונים משותפים ושל פרופיל ההגנה של עקרונות בסיסיים לגבי מכשירים ניידים (MDFPP). אדמינים של מכשירים בבעלות החברה יכולים עכשיו להפעיל מצב Common Criteria (ולבדוק אם הוא מופעל) במכשיר. כשהמצב 'קריטריונים משותפים' מופעל, האבטחה מוגברת ברכיבי אבטחה מסוימים במכשיר, כולל הצפנת AES-GCM של מפתחות לטווח ארוך של Bluetooth ומאגרי הגדרות של Wi-Fi.

תמיכה באימות מפתחות פרטניים

ב-Android 11, אדמינים של מכשירים בבעלות החברה יכולים לבקש אימות מכשיר באמצעות אישורי אימות נפרדים:

מוודאים ש-KeyGenParameterSpec נוצר עם StrongBox שצוין.
מעבירים את הערך ID_TYPE_INDIVIDUAL_ATTESTATION לארגומנט idAttestationFlags.

יש גם שיטה חדשה לבדוק אם מכשיר תומך באימות של מזהה מכשיר ייחודי.

אחר

המשתמשים מקבלים עכשיו הודעה כשאדמין:
- הפעלת שירותי המיקום במכשיר שבבעלות החברה. אם האדמין מגדיר מדיניות גלובלית להענקת כל ההרשאות באופן אוטומטי, המשתמש מקבל הודעה כשאפליקציה מבקשת הרשאה לגישה למיקום ומקבלת אותה בגלל המדיניות הזו.
- מעניקה לאפליקציה את ההרשאה להשתמש במיקום של מכשיר בבעלות אישית.
הענקת גישה לאישורים לאפליקציות עבודה מראש: מכשירי DPC שמיועדים ל-Android 11 יכולים עכשיו להעניק לאפליקציות גישה למפתחות ספציפיים של KeyChain, וכך לאפשר לאפליקציות האלה לבצע קריאה ל-getCertificateChain() ול-getPrivateKey() בלי לבצע קודם קריאה ל-choosePrivateKeyAlias().

לדוגמה, אפליקציות VPN שפועלות כשירות ברקע יכולות להשתמש בתכונה הזו כדי לקבל גישה לאישורים שהן צריכות בלי לדרוש אינטראקציה עם המשתמש. יש גם שיטה חדשה לביטול הגישה.

הערה: אפליקציות שמותקנות במכשירים לא מנוהלים או בפרופיל האישי של המכשיר לא יכולות יותר להתקין אישורי CA באמצעות createInstallIntent(). במקום זאת, המשתמשים צריכים להתקין ידנית אישורי CA בהגדרות.
כל השיטות שקשורות להגדרת סיסמאות מינימליות דורשות איכות סיסמאות מתאימה לפני שאפשר לאכוף אותן.
- ל-setPasswordMinimumLength() נדרש לפחות PASSWORD_QUALITY_NUMERIC.
- כל שאר השיטות להגדרת סיסמה מינימלית דורשות לפחות PASSWORD_QUALITY_COMPLEX.
שיפורים ב-VPN פועל כל הזמן: משתמשים לא יכולים יותר להשבית VPN פועל כל הזמן אם הוא הוגדר על ידי אדמין.
עדכונים ל-ADMIN_POLICY_COMPLIANCE:
- כשמבצעים הקצאת הרשאות למכשיר Android מגרסה 11, המערכת שולחת עכשיו את ADMIN_POLICY_COMPLIANCE לפני שהיא מגדירה את DEVICE_PROVISIONED ל-true.
- ADMIN_POLICY_COMPLIANCE אפשר להשתמש ב-הוספת חשבון Google גם כדי להקצות הרשאות למכשיר. בגרסת Android מ-2021, השיטה הזו תהיה חובה להקצאת הרשאות.
בנוסף, יש ממשקי API חדשים שמאפשרים:
- בודקים ומגדירים אם השעה האוטומטית מופעלת במכשיר. אם ההגדרה הזו מופעלת, השעה מתקבלת מהרשת באופן אוטומטי. מחליף את setAutoTimeRequired() ואת getAutoTimeRequired() (מידע נוסף זמין במאמר בנושא הוצאה משימוש).
- בודקים ומגדירים אם אזור הזמן האוטומטי מופעל במכשיר. אם ההגדרה הזו מופעלת, אזור הזמן מתקבל מהרשת באופן אוטומטי.
- בודקים ומגדירים את מדיניות ההגנה למכשיר אחרי איפוס (FRP) במכשיר שנמצא בבעלות החברה.
- בודקים ומגדירים אם משתמש יכול לשנות הגדרות רשת שהאדמין הגדיר במכשיר בבעלות החברה.
- בדיקה והגדרה של החבילות המוגנות במכשיר שמנוהל באופן מלא. המשתמשים לא יכולים לנקות את נתוני האפליקציה או להפסיק בכוח חבילות מוגנות.
- הגדרת הגדרות המיקום הראשיות במכשיר.

הפסקת תמיכה

‫Android 11 כוללת את הוצאות משימוש של ממשקי ה-API הבאים:

ההגדרה Settings.Secure.LOCATION_MODE הוצאה משימוש. באפליקציות, אין להשתמש בערך הזה כארגומנט setting של השיטה setSecureSetting(). במקום זאת, בעלי המכשירים צריכים להתקשר למספר setLocationEnabled().
המאפיין resetPassword() הוצא משימוש. במקום זאת, כל פלטפורמות ה-DPC צריכות להשתמש באיפוס מאובטח של קוד הגישה.
‫setAutoTimeRequired() ו-getAutoTimeRequired(). במקום זאת, צריך להשתמש ב-setAutoTime() וב-getAutoTime().
‫setStorageEncryption ו-getStorageEncryption(). במקום זאת, צריך להשתמש ב-getStorageEncryptionStatus().
השימוש ב-setGlobalSetting() וב-setSecureSetting() הופסק ברובו. יש שיטות ייעודיות להגדרת ערכים ומגבלות משתמשים שזמינות במקום רוב ההגדרות (פרטים נוספים מופיעים במאמר בנושא).
המאפיין setOrganizationColor() הוצא משימוש באופן מלא.

מידע נוסף

כדי לקרוא על שינויים אחרים שעשויים להשפיע על האפליקציה, אפשר לעיין בדפים בנושא שינויים בהתנהגות ב-Android 11 (לאפליקציות שמטרגטות ל-Android 11 ולכל האפליקציות).