本页概述了 Android 11 中引入的新企业功能和行为变更。
工作资料
Android 11 中提供了可供工作资料使用的以下新功能。
面向公司自有设备的工作资料增强功能
Android 11 改进了对公司自有设备上的工作资料的支持。如果使用 Android 10 中新增的配置工具在设置向导中添加工作资料,设备会被识别为归公司所有,而且还会有更广泛的资产管理和设备安全政策可供设备政策控制器 (DPC) 使用。借助这些功能,既可以更轻松地管理公司自有设备上的工作用途和个人用途,同时又能保持对工作资料的隐私保护。
如果使用任何其他方法将工作资料添加到设备,Android 11 会将设备识别为个人所有。对于个人所有设备上的工作资料,可供使用的行为和功能保持不变。
升级到 Android 11 的设备
在 Android 11 上,完全托管设备中的工作资料将升级,工作资料体验会得到提升。对于客户而言,这意味着设备的隐私权益将获得改善,而且客户能够在个人所有设备和公司自有设备上享受到单一工作资料体验的一致性,而无需重新注册完全托管设备上的旧工作资料。如果您愿意,也可以在升级前移除工作资料,这样就能在整个升级过程中保持完全托管设备体验。
客户可以与 EMM 联系,确保自己的设备已准备好升级到 Android 11。EMM 可在 Android Enterprise EMM 提供商社区(需要登录)中找到更详细的迁移指南。
提升用户体验
Android 9 中为默认启动器引入的单独工作标签页和个人标签页已扩展到更多设备功能。在 Android 11 中,设备制造商可以针对以下情况显示工作标签页和个人标签页:
- 在“设置”应用中,特别是针对“位置”、“存储”、“帐号”和“应用信息”进行显示。
- 当用户点按分享 share 时。
- 当系统向用户显示通过其他应用打开所选项目的选项时(“打开方式”菜单)。
- 选择文档时。
图 1.(左侧)个人标签页和工作标签页(依次转到“设置”>“应用信息”)。(右侧)工作资料已暂停使用时显示的工作应用图标。
Android 11 还提升了用户体验,当用户的工作资料已暂停使用时,让用户能够更清楚地知道。此外,如果用户的工作密码与设备密码相同,那么当用户打开其工作资料时,不必再输入工作密码。
重置工作资料密码按钮
对于具有单独的设备密码和工作资料密码的 Android 11 设备,当工作资料已暂停使用时,工作资料锁定屏幕现在支持“忘记了密码”按钮。如果 DPC 可感知直接启动,您可以设置并激活令牌以启用该按钮。
当用户按该按钮时,系统会向其显示相关文本,指示他们与 IT 管理员联系。此外,按该按钮时,还会在直接启动(锁定)模式下启动工作资料,这样可让 DPC 完成安全的工作资料密码重置的执行步骤。
公司自有设备
以下新功能适用于公司自有设备。“公司自有设备”一词指的是完全托管设备和归公司所有的工作资料设备。
Common Criteria 模式
此模式可以满足 Common Criteria Mobile Device Fundamentals Protection Profile (MDFPP) 的具体要求。公司自有设备的管理员现在可以在设备上启用 Common Criteria 模式(并检查该模式是否已启用)。启用后,Common Criteria 模式可以增强设备上某些安全组件的安全性,包括蓝牙长期密钥的 AES-GCM 加密和 Wi-Fi 配置存储。
单个密钥认证支持
注意:此功能仅适用于配备 StrongBox 安全芯片 的设备。
在 Android 11 中,公司自有设备的管理员可以使用单个认证证书请求设备认证:
- 确保 KeyGenParameterSpec。
- 对参数 idAttestationFlags,传递 ID_TYPE_INDIVIDUAL_ATTESTATION。
还可以使用新增的方法来检查设备是否支持唯一设备 ID 认证。
其他
- 现在,当管理员执行以下操作时,用户会收到通知:
- 在公司自有设备上启用位置信息服务。如果管理员设置了一项全局政策以自动接受所有权限,则当应用请求位置信息权限并因这项政策而被授予该权限时,用户会收到通知。
- 向应用授予权限,准许其使用个人所有设备的位置信息。
- 向工作应用预先授予证书访问权限:以 Android 11 为目标平台的 DPC 可以授予各个应用对特定 KeyChain密钥的访问权限,允许这些应用直接调用 getCertificateChain() 和 getPrivateKey(),而不必先调用 choosePrivateKeyAlias()。例如,作为后台服务运行的 VPN 应用可以使用此功能获取对所需证书的访问权限,而无需任何用户交互。还可以使用一个新方法撤消访问权限。
- 与设置密码最低要求相关的所有方法都需要相应的密码质量才能强制执行。
- setPasswordMinimumLength() 至少需要 PASSWORD_QUALITY_NUMERIC。
- 所有其他密码最低要求方法至少需要 PASSWORD_QUALITY_COMPLEX。
- 始终开启的 VPN 增强功能:如果始终开启的 VPN 是由管理员配置的,用户就不能再停用该功能。
- 对 ADMIN_POLICY_COMPLIANCE 进行了更新:
- 在配置 Android 11 设备时,系统现在会先发送 ADMIN_POLICY_COMPLIANCE,然后再将 DEVICE_PROVISIONED 设置为 true。
- 在添加 Google 帐号时还可以选择使用 ADMIN_POLICY_COMPLIANCE 配置设备。在 2021 年的 Android 版本中,此配置方法是必需的。
- 此外,还提供用于以下用途的新 API:
- 检查设备上是否启用了自动对时功能并进行相关设置。启用后,系统会自动从网络获取时间。此 API 取代了 setAutoTimeRequired() 和 getAutoTimeRequired()(请参阅弃用部分了解详情)。
- 检查设备上是否启用了自动时区功能并进行相关设置。启用后,系统会自动从网络获取时区。
- 检查并设置公司自有设备上的恢复出厂设置保护 (FRP) 政策。
- 检查并设置用户是否可以在公司自有设备上更改管理员配置的网络设置。
- 检查并设置完全托管设备上的受保护软件包。用户无法清除应用数据或强行停止受保护的软件包。
- 设置设备上的主地点设置。
弃用
Android 11 弃用了以下 API,值得引起注意。
- resetPassword() 现已完全弃用。所有 DPC 都应该使用安全密码重置。
- setAutoTimeRequired() 和 getAutoTimeRequired()。请改用 setAutoTime() 和 getAutoTime()。
- setStorageEncryption 和 getStorageEncryption()。请改用 getStorageEncryptionStatus()。
- setGlobalSetting() 和 setSecureSetting() 大部分都已弃用,专用 setter 方法和用户限制可用于替换大多数设置(请参阅参考文档了解详情)。