面向企业应用的 Android 新功能

本页概述了 Android 11 中引入的新企业功能和行为变更。

工作资料

Android 11 中提供了可供工作资料使用的以下新功能。

面向公司自有设备的工作资料增强功能

Android 11 改进了对公司自有设备上的工作资料的支持。如果使用 Android 10 中新增的配置工具在设置向导中添加工作资料,则设备会被识别为归公司所有,而且还会有更广泛的资产管理和设备安全政策可供设备政策控制器 (DPC) 使用。借助这些功能,既可以更轻松地管理公司自有设备上的工作用途和个人用途,同时又能保持对工作资料的隐私保护。

如果使用任何其他方法将工作资料添加到设备,Android 11 会将设备识别为个人所有。对于个人所有设备上的工作资料,可供使用的行为和功能保持不变。

升级到 Android 11 的设备

完全托管设备上的工作资料将升级为 Android 11 中的增强型工作资料体验。对于客户而言,这意味着设备的隐私权益将获得改善,而且客户能够在个人所有设备和公司自有设备上享受到单一工作资料体验的一致性,而无需重新注册完全托管设备上的旧工作资料。如果您愿意,也可以在升级前移除工作资料,这样就能在整个升级过程中保持完全托管设备体验。

客户可以与 EMM 联系,确保自己的设备已准备好升级到 Android 11。EMM 可在 EMM 社区(需要登录)中找到更详细的迁移指南。

提升用户体验

Android 9 在默认启动器中引入了独立的工作标签页和个人标签页,现在这两个独立标签页已扩展到“设置”应用。在 Android 11 中,设备制造商可以针对以下设置显示工作标签页和个人标签页:位置、存储、帐号和应用信息。

图 1. (左侧)个人标签页和工作标签页(依次转到“设置”>“应用信息”)。(右侧)工作资料已暂停使用时显示的工作应用图标。

Android 11 还提升了用户体验,当用户的工作资料已暂停使用时,让用户能够更清楚地知道。此外,如果用户的工作密码与设备密码相同,那么当用户打开其工作资料时,不必再输入工作密码。

重置工作资料密码按钮

对于具有单独的设备密码和工作资料密码的 Android 11 设备,当工作资料已暂停使用时,工作资料锁定屏幕现在支持“忘记了密码”按钮。如果 DPC 可感知直接启动,则您可以设置并激活令牌以启用该按钮。

当用户按该按钮时,系统会向其显示相关文本,指示他们与 IT 管理员联系。此外,按该按钮时,还会在直接启动(锁定)模式下启动工作资料,这样可让 DPC 完成安全的工作资料密码重置的执行步骤。

公司自有设备

以下新功能适用于公司自有设备。“公司自有设备”一词指的是完全托管设备和归公司所有的工作资料设备

通用标准模式

此模式可以满足通用标准 Mobile Device Fundamentals Protection Profile (MDFPP) 的具体要求。公司自有设备的管理员现在可以在设备上启用通用标准模式(并检查该模式是否已启用)。启用后,通用标准模式可以增强设备上某些安全组件的安全性,包括蓝牙长期密钥的 AES-GCM 加密和 Wi-Fi 配置存储。

单个密钥认证支持

在 Android 11 中,公司自有设备的管理员可以使用单个认证证书请求设备认证

还可以使用新增的方法来检查设备是否支持唯一设备 ID 认证

其他

  • 现在,当管理员执行以下操作时,用户会收到通知:

    • 在公司自有设备上启用位置信息服务。如果管理员设置了一项全局政策以自动接受所有权限,则当应用请求位置信息权限并因这项政策而被授予该权限时,用户会收到通知。
    • 向应用授予权限,准许其使用个人所有设备的位置信息。
  • 向工作应用预先授予证书访问权限:以 Android 11 为目标平台的 DPC 可以授予各个应用对特定 KeyChain 密钥的访问权限,允许这些应用直接调用 getCertificateChain()getPrivateKey(),而不必先调用 choosePrivateKeyAlias()

    例如,作为后台服务运行的 VPN 应用可以使用此功能获取对所需证书的访问权限,而无需任何用户交互。还可以使用一个新方法来撤消访问权限。

  • 与设置密码最低要求相关的所有方法都需要相应的密码质量才能强制执行。

  • 始终开启的 VPN 增强功能:如果始终开启的 VPN 是由管理员配置的,则用户不能再停用该功能。

  • 此外,还提供了用于以下用途的新 API:

    • 检查设备上是否启用了自动对时功能并进行相关设置。启用后,系统会自动从网络获取时间。此 API 取代了 setAutoTimeRequired()getAutoTimeRequired()(请参阅弃用部分了解详情)。
    • 检查设备上是否启用了自动时区功能并进行相关设置。启用后,系统会自动从网络获取时区。
    • 检查设置公司自有设备上的恢复出厂设置保护 (FRP) 政策。
    • 检查设置用户是否可以在公司自有设备上更改管理员配置的网络设置。
    • 检查设置完全托管设备上的受保护软件包。用户无法清除应用数据或强行停止受保护的软件包。
    • 设置设备上的主地点设置。

弃用

Android 11 弃用了以下 API,值得引起注意。

了解详情

要了解可能会影响您的应用的其他变更,请参阅 Android 11 行为变更页面(针对以 Android 11 为目标平台的应用所有应用)。