Cette page présente les nouvelles API d'entreprise, les fonctionnalités et les modifications de comportement introduites dans Android 12 (niveau d'API 31).
Profil professionnel
Les nouvelles fonctionnalités suivantes sont disponibles dans Android 12 pour les profils professionnels.
Améliorations de la sécurité et de la confidentialité pour le profil professionnel
Les fonctionnalités suivantes sont disponibles dans Android 12 pour les appareils personnels avec un profil professionnel:
- La fonctionnalité de complexité du mot de passe définit des exigences de mot de passe à l'échelle de l'appareil sous la forme de buckets de complexité prédéfinis (élevé, moyen, faible et aucun). Si nécessaire, des exigences strictes concernant les mots de passe peuvent être appliquées à l'authentification sécurisée du profil professionnel.
- L'intégration du verrouillage du profil professionnel a été simplifiée. La configuration tient désormais compte du fait que le code secret de l'appareil répond aux exigences de l'administrateur. Elle permet à l'utilisateur de choisir facilement s'il souhaite renforcer la sécurité de son code secret ou utiliser le défi de sécurité du profil professionnel.
- Un ID spécifique à l'inscription fournit un ID unique qui identifie l'inscription du profil professionnel dans une organisation donnée et reste stable lors des réinitialisations d'usine. L'accès aux autres identifiants matériels de l'appareil (IMEI, MEID, numéro de série) est supprimé pour les appareils personnels dotés d'un profil professionnel dans Android 12.
- Les appareils détenus par l'entreprise, avec ou sans profil professionnel, peuvent adopter les fonctionnalités listées dans les éléments de liste précédents, mais ne sont pas tenus de le faire dans Android 12.
- Vous pouvez définir et récupérer la journalisation réseau du profil professionnel. Vous pouvez déléguer la journalisation réseau du profil professionnel à une autre application professionnelle. Vous ne pouvez pas utiliser la journalisation réseau pour surveiller le trafic dans le profil personnel.
- Les utilisateurs disposent de paramètres de confidentialité supplémentaires pour les applications du profil professionnel. Les utilisateurs peuvent accorder les autorisations suivantes aux applications du profil professionnel, sauf si leur administrateur informatique les refuse. Pour chaque application du profil professionnel, l'utilisateur peut autoriser ou refuser les autorisations suivantes :
- Position
- Appareil photo
- Micro
- Capteur corporel
- Activité physique
Appareils détenus par l'entreprise
Les nouvelles fonctionnalités suivantes sont disponibles pour les appareils appartenant à l'entreprise. Le terme appareil détenu par l'entreprise désigne à la fois les appareils entièrement gérés et les appareils avec profil professionnel détenus par l'entreprise.
Un administrateur informatique peut désactiver l'USB, à l'exception des fonctions de recharge, sur les appareils détenus par l'entreprise. Cette fonctionnalité permet de vérifier si cette fonctionnalité est compatible sur l'appareil et de vérifier si elle est actuellement activée.
Les appareils appartenant à l'entreprise avec un profil professionnel peuvent limiter les modes de saisie utilisés dans le profil personnel pour n'autoriser que les modes de saisie système.
Dans Android 12, vous pouvez créer un champ d'application de délégation. Activez et collectez les événements de journal de sécurité en appelant
setDelegatedScopes()
et en transmettantDELEGATION_SECURITY_LOGGING
. La journalisation de sécurité permet aux organisations de collecter des données d'utilisation des appareils qui peuvent être analysées et évaluées de manière programmatique pour détecter tout comportement malveillant ou à risque. Les applications déléguées peuvent activer la journalisation de sécurité, vérifier que la journalisation est activée et récupérer les journaux de sécurité.
Autre
La section suivante décrit les modifications apportées aux API d'entreprise qui ne sont pas spécifiques aux profils professionnels ni aux appareils détenus par l'entreprise.
Gestion des certificats d'appareils non gérés
Les appareils non gérés peuvent désormais tirer parti de la génération de clés sur l'appareil Android pour gérer les certificats:
- L'utilisateur peut autoriser une application de gestion des certificats à gérer ses identifiants (à l'exception des certificats d'autorité de certification).
- L'application de gestion des certificats peut utiliser la génération de clés sur l'appareil d'Android.
- L'application de gestion des certificats peut déclarer une liste d'applications et d'URI dans lesquels les identifiants peuvent être utilisés pour l'authentification.
Les nouvelles API offrent de nouvelles fonctionnalités:
- Vérifiez si le mot de passe existant pour l'ensemble de l'appareil est conforme aux exigences explicites concernant les mots de passe des appareils.
- Vérifiez si un certificat et une clé privée sont installés sous un alias donné.
Améliorations de la confidentialité et de la transparence pour les appareils entièrement gérés
Les administrateurs informatiques peuvent gérer les autorisations accordées ou choisir de ne pas les gérer lors du provisionnement. Si l'administrateur choisit de gérer les autorisations, un message explicite s'affiche pendant l'assistant de configuration. Si l'administrateur choisit de désactiver cette fonctionnalité, les utilisateurs sont invités à accepter ou à refuser les autorisations dans l'application lors de la première utilisation. Les administrateurs peuvent toujours refuser les autorisations.
Configuration du réseau
Un contrôleur de règles relatives aux appareils (DPC) peut obtenir la liste des réseaux configurés d'un appareil sans nécessiter l'autorisation d'accéder à la position en utilisant une nouvelle API getCallerConfiguredNetworks au lieu de l'API existante getConfiguredNetworks (qui nécessite l'autorisation d'accéder à la position). La liste des réseaux renvoyés est limitée aux réseaux professionnels.
Un DPC sur des appareils entièrement gérés peut s'assurer que seuls les réseaux fournis par l'administrateur sont configurés sur l'appareil, sans nécessiter l'autorisation d'accéder à la position.
Les administrateurs peuvent utiliser les clés générées dans du matériel sécurisé pour l'authentification Wi-Fi en accordant une clé KeyChain au sous-système Wi-Fi pour l'authentification et en configurant un réseau Wi-Fi d'entreprise avec cette clé.
Autorisation automatique des applications connectées
Pour offrir une meilleure expérience utilisateur, quelques applications préchargées ont automatiquement autorisé la configuration pour partager des données personnelles et professionnelles.
Sur Android 11 ou version ultérieure:
- selon l'OEM de l'appareil, les applications d'assistance préchargées ou les IME par défaut préchargés
- Application Google, si elle est préchargée
- L'application Gboard, si elle est préchargée, et l'application IME par défaut prête à l'emploi.
Sur Android 12 et versions ultérieures:
- L'application Android Auto, si elle est préchargée.
La liste complète des applications dépend de l'OEM de l'appareil.
Abandons
Android 12 abandonne les API suivantes:
setPasswordQuality()
etgetPasswordQuality()
sont obsolètes pour définir un code secret à l'échelle de l'appareil sur les appareils avec profil professionnel qui sont des appareils personnels et non détenus par l'entreprise. Les DPC doivent utilisersetRequiredPasswordComplexity()
à la place.setOrganizationColor()
etgetOrganizationColor()
sont entièrement obsolètes dans Android 12.android.app.action.PROVISION_MANAGED_DEVICE
ne fonctionne plus sur Android 12. Les DPC doivent implémenter des activités avec des filtres d'intent pour les actions d'intentACTION_GET_PROVISIONING_MODE
etACTION_ADMIN_POLICY_COMPLIANCE
. L'utilisation deACTION_PROVISION_MANAGED_DEVICE
pour démarrer le provisionnement entraîne un échec du provisionnement. Pour continuer à prendre en charge Android 11 et les versions antérieures, les EMM doivent continuer à prendre en charge la constantePROVISION_MANAGED_DEVICE
.setPermissionPolicy()
etsetPermissionGrantState()
sont obsolètes pour accorder des autorisations liées aux capteurs pour tous les appareils avec profil professionnel ciblant Android 12 ou version ultérieure. Les abandons entraînent les modifications suivantes :- Sur les appareils qui passent d'Android 11 à Android 12, les autorisations existantes sont conservées, mais les nouvelles autorisations ne sont pas possibles.
- Il est toujours possible de refuser des autorisations.
- Si vous développez et distribuez des applications qui s'appuient sur des autorisations accordées par l'administrateur, vous devez vous assurer qu'elles suivent la méthode recommandée pour demander des autorisations.
- Les applications qui suivent la méthode recommandée pour demander des autorisations continuent de fonctionner comme prévu. Les utilisateurs sont invités à accorder l'autorisation. L'application doit pouvoir gérer tous les résultats.
- Les applications qui s'appuient sur des autorisations accordées par l'administrateur et qui accèdent explicitement à des ressources protégées par des autorisations, sans suivre les consignes, peuvent planter.
En savoir plus
Pour en savoir plus sur les autres modifications susceptibles d'affecter votre application, consultez les pages sur les modifications de comportement d'Android 12 (pour les applications ciblant Android 12 et pour toutes les applications).