ภาพรวมการดูแลระบบอุปกรณ์

การเลิกใช้งานผู้ดูแลระบบอุปกรณ์ ตั้งแต่ Android 9 (API ระดับ 28) เป็นต้นไป ระบบจะทำเครื่องหมายนโยบายผู้ดูแลระบบบางรายการว่าเลิกใช้งานแล้วเมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้ เราขอแนะนำให้คุณเริ่มเตรียมพร้อมรับการเปลี่ยนแปลงนี้ตั้งแต่ตอนนี้ หากต้องการดูข้อมูลเพิ่มเติมและดูตัวเลือกการย้ายข้อมูล โปรดอ่านการเลิกใช้งานผู้ดูแลระบบอุปกรณ์

Android รองรับแอปสำหรับองค์กรด้วย Android Device Administration API Device Administration API มีฟีเจอร์การจัดการอุปกรณ์ที่ระดับระบบ API เหล่านี้ช่วยให้คุณสร้างแอปที่คำนึงถึงความปลอดภัยซึ่งมีประโยชน์ในองค์กร ซึ่งผู้เชี่ยวชาญด้านไอทีจำเป็นต้องมีการควบคุมอุปกรณ์ของพนักงานอย่างละเอียด ตัวอย่างเช่น แอปอีเมล Android ในตัวใช้ประโยชน์จาก API เหล่านี้เพื่อปรับปรุงการรองรับ Exchange ผู้ดูแลระบบ Exchange สามารถบังคับใช้นโยบายรหัสผ่าน ซึ่งรวมถึงรหัสผ่านที่เป็นตัวอักษรและตัวเลขคละกันหรือ PIN ที่เป็นตัวเลข ผ่านแอปอีเมลในอุปกรณ์ต่างๆ ผู้ดูแลระบบยังสามารถล้างข้อมูลจากระยะไกล (เช่น คืนค่าเริ่มต้นจากโรงงาน) เครื่องที่สูญหายหรือถูกโจรกรรมได้ ผู้ใช้ Exchange จะซิงค์ข้อมูลอีเมลและปฏิทินได้

เอกสารนี้มีไว้สําหรับนักพัฒนาแอปที่ต้องการพัฒนาโซลูชันสําหรับองค์กรสําหรับอุปกรณ์ที่ทำงานด้วยระบบ Android ซึ่งจะอธิบายฟีเจอร์ต่างๆ ที่ Device Administration API มีให้เพื่อรักษาความปลอดภัยให้อุปกรณ์ของพนักงานที่ใช้ Android ได้ดีขึ้น

หมายเหตุ สำหรับข้อมูลเกี่ยวกับการสร้างเครื่องมือควบคุมนโยบายงานสำหรับการทำให้ Android for Work ใช้งานได้ โปรดดูสร้างเครื่องมือควบคุมนโยบายด้านอุปกรณ์

โหมดเจ้าของอุปกรณ์แบบไม่มีส่วนหัว

Android 14 (API ระดับ 34) เปิดตัวโหมดผู้ใช้ระบบแบบไม่มีส่วนหัว (อุปกรณ์ที่UserManager.isHeadlessSystemUserModeแสดงผล true) ในโหมดผู้ใช้ระบบแบบไม่มีส่วนหัว ผู้ใช้ระบบจะเป็นผู้ใช้เบื้องหลังและอาศัยผู้ใช้เบื้องหน้าเพิ่มเติมสำหรับการโต้ตอบกับผู้ใช้ปลายทาง Android 14 ยังเปิดตัวโหมดเจ้าของอุปกรณ์แบบไม่มีส่วนหัวที่เชื่อมโยง ซึ่งจะเพิ่มเจ้าของโปรไฟล์ให้กับผู้ใช้ที่เชื่อมโยงทุกคน ยกเว้นผู้ใช้ระบบที่ตั้งค่าเจ้าของอุปกรณ์ไว้

ในอุปกรณ์ที่กำหนดค่าด้วยผู้ใช้ระบบแบบ Headless (ที่ผู้ใช้ระบบทำงานอยู่เบื้องหลัง) เฉพาะนโยบายอุปกรณ์ที่มีขอบเขตแบบทั่วโลก (นโยบายที่ใช้กับผู้ใช้ทุกคน) เท่านั้นที่จะมีผลกับผู้ใช้หรือผู้ใช้ที่ทำงานอยู่เบื้องหน้า ดูรายละเอียดได้ที่ addUserRestriction

ผู้ผลิตอุปกรณ์ Android อาจดูคำแนะนำที่เผยแพร่ใน source.android.com

ภาพรวมของ API การดูแลระบบอุปกรณ์

ต่อไปนี้คือตัวอย่างประเภทแอปที่อาจใช้ Device Administration API

  • โปรแกรมรับส่งอีเมล
  • แอปรักษาความปลอดภัยที่ล้างข้อมูลจากระยะไกล
  • บริการและแอปการจัดการอุปกรณ์

หลักการทำงาน

คุณใช้ Device Administration API เพื่อเขียนแอปผู้ดูแลระบบอุปกรณ์ที่ผู้ใช้จะติดตั้งในอุปกรณ์ แอปผู้ดูแลระบบอุปกรณ์จะบังคับใช้นโยบายที่ต้องการ วิธีการมีดังนี้

  • ผู้ดูแลระบบเขียนแอปผู้ดูแลอุปกรณ์ซึ่งบังคับใช้นโยบายความปลอดภัยของอุปกรณ์ระยะไกล/ในเครื่อง นโยบายเหล่านี้อาจฝังอยู่ในแอป หรือแอปอาจดึงข้อมูลนโยบายจากเซิร์ฟเวอร์ของบุคคลที่สามแบบไดนามิกก็ได้
  • แอปได้รับการติดตั้งในอุปกรณ์ของผู้ใช้ ตอนนี้ Android ยังไม่มีโซลูชันการจัดสรรอัตโนมัติ ตัวอย่างวิธีที่ผู้ดูแลระบบอาจเผยแพร่แอปให้แก่ผู้ใช้มีดังนี้
    • Google Play
    • การเปิดใช้การติดตั้งจากร้านค้าอื่น
    • การจัดจำหน่ายแอปผ่านช่องทางอื่นๆ เช่น อีเมลหรือเว็บไซต์
  • ระบบจะแจ้งให้ผู้ใช้เปิดใช้แอปผู้ดูแลอุปกรณ์ ส่วนวิธีการและเวลาในการใช้แอปจะขึ้นอยู่กับวิธีการนำแอปไปใช้
  • เมื่อผู้ใช้เปิดใช้แอปผู้ดูแลระบบอุปกรณ์แล้ว ผู้ใช้จะต้องปฏิบัติตามนโยบายของแอปนั้น การปฏิบัติตามนโยบายเหล่านั้นมักจะให้ผลประโยชน์ต่างๆ เช่น การเข้าถึงระบบและข้อมูลที่ละเอียดอ่อน

หากผู้ใช้ไม่ได้เปิดใช้แอปผู้ดูแลระบบของอุปกรณ์ แอปจะยังคงอยู่ในอุปกรณ์แต่อยู่ในสถานะไม่ทำงาน ผู้ใช้จะไม่อยู่ภายใต้นโยบายของแอปดังกล่าว และในทางกลับกัน ผู้ใช้ก็จะไม่ได้รับสิทธิประโยชน์ใดๆ ของแอป เช่น อาจซิงค์ข้อมูลไม่ได้

หากผู้ใช้ไม่ปฏิบัติตามนโยบาย (เช่น หากผู้ใช้ตั้งรหัสผ่านที่ละเมิดหลักเกณฑ์) แอปจะตัดสินใจว่าจะจัดการอย่างไร อย่างไรก็ตาม โดยทั่วไปแล้ว การดำเนินการนี้จะส่งผลให้ผู้ใช้ซิงค์ข้อมูลไม่ได้

หากอุปกรณ์พยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่ต้องใช้นโยบายที่ Device Administration API ไม่รองรับ ระบบจะไม่อนุญาตให้เชื่อมต่อ ปัจจุบัน Device Administration API ไม่อนุญาตให้จัดสรรบางส่วน กล่าวคือ หากอุปกรณ์ (เช่น อุปกรณ์รุ่นเดิม) ไม่รองรับนโยบายที่ระบุไว้ทั้งหมด คุณจะอนุญาตให้อุปกรณ์เชื่อมต่อไม่ได้

หากอุปกรณ์มีแอปผู้ดูแลระบบที่เปิดใช้หลายแอป ระบบจะใช้นโยบายที่เข้มงวดที่สุด คุณไม่สามารถกำหนดเป้าหมายแอป ผู้ดูแลระบบรายการใดรายการหนึ่งได้

หากต้องการถอนการติดตั้งแอปผู้ดูแลระบบอุปกรณ์ที่มีอยู่ ผู้ใช้ต้องยกเลิกการลงทะเบียนแอปในฐานะผู้ดูแลระบบก่อน

นโยบาย

ในการตั้งค่าขององค์กร อุปกรณ์ของพนักงานมักต้องปฏิบัติตามชุดนโยบายที่เข้มงวดซึ่งควบคุมการใช้งานอุปกรณ์ Device Administration API รองรับนโยบายที่ระบุไว้ในตาราง 1 โปรดทราบว่าขณะนี้ Device Administration API รองรับเฉพาะรหัสผ่านสำหรับการล็อกหน้าจอเท่านั้น ซึ่งได้แก่

ตารางที่ 1 นโยบายที่ Device Administration API รองรับ

นโยบาย คำอธิบาย
เปิดใช้รหัสผ่านแล้ว กำหนดให้อุปกรณ์ขอ PIN หรือรหัสผ่าน
ความยาวขั้นต่ำของรหัสผ่าน กำหนดจำนวนอักขระที่ต้องการสำหรับรหัสผ่าน เช่น คุณสามารถกำหนดให้ PIN หรือรหัสผ่านต้องมีอักขระอย่างน้อย 6 ตัว
ต้องมีรหัสผ่านตัวอักษรและตัวเลขคละกัน กําหนดให้รหัสผ่านมีทั้งตัวอักษรและตัวเลข โดยอาจมีอักขระที่เป็นสัญลักษณ์
ต้องใช้รหัสผ่านที่ซับซ้อน กําหนดให้รหัสผ่านต้องมีตัวอักษร ตัวเลข และสัญลักษณ์พิเศษอย่างน้อย 1 ตัว เปิดตัวใน Android 3.0
จำนวนตัวอักษรขั้นต่ำในรหัสผ่าน จํานวนตัวอักษรขั้นต่ำในรหัสผ่านสำหรับผู้ดูแลระบบทุกคนหรือผู้ดูแลระบบที่เฉพาะเจาะจง เปิดตัวใน Android 3.0
จำนวนตัวอักษรพิมพ์เล็กขั้นต่ำในรหัสผ่าน จำนวนตัวอักษรพิมพ์เล็กขั้นต่ำที่ต้องมีในรหัสผ่านสำหรับผู้ดูแลระบบทั้งหมดหรือที่กำหนด เปิดตัวใน Android 3.0
จำนวนอักขระที่ไม่ใช่ตัวอักษรขั้นต่ำในรหัสผ่าน จํานวนตัวอักขระที่ไม่ใช่ตัวอักษรขั้นต่ำในรหัสผ่านสำหรับผู้ดูแลระบบทุกคนหรือผู้ดูแลระบบที่เฉพาะเจาะจง เปิดตัวใน Android 3.0
จำนวนตัวเลขขั้นต่ำในรหัสผ่าน จำนวนตัวเลขขั้นต่ำที่ต้องมีในรหัสผ่านสำหรับผู้ดูแลระบบทั้งหมดหรือเฉพาะบางตำแหน่ง เปิดตัวใน Android 3.0
จำนวนสัญลักษณ์ขั้นต่ำที่ต้องมีในรหัสผ่าน จำนวนสัญลักษณ์ขั้นต่ำที่ต้องมีในรหัสผ่านของผู้ดูแลระบบทุกคนหรือสัญลักษณ์ที่ระบุ เปิดตัวใน Android 3.0
จำนวนตัวพิมพ์ใหญ่ขั้นต่ำในรหัสผ่าน จำนวนตัวอักษรตัวพิมพ์ใหญ่ขั้นต่ำในรหัสผ่านสำหรับผู้ดูแลระบบทุกคนหรือผู้ดูแลระบบบางราย เปิดตัวใน Android 3.0
ระยะหมดเวลาของรหัสผ่าน เวลารหัสผ่านจะหมดอายุ ซึ่งแสดงเป็นค่าต่างในหน่วยมิลลิวินาทีนับจากเวลาที่ผู้ดูแลระบบอุปกรณ์ตั้งค่าการหมดเวลา เปิดตัวใน Android 3.0
การจำกัดประวัติรหัสผ่าน นโยบายนี้จะป้องกันไม่ให้ผู้ใช้ใช้รหัสผ่านที่ไม่ซ้ำกัน n รายการล่าสุดซ้ำ นโยบายนี้มักจะใช้ร่วมกับ setPasswordExpirationTimeout() ซึ่งบังคับให้ผู้ใช้อัปเดตรหัสผ่านหลังจากผ่านไประยะหนึ่งแล้ว เปิดตัวใน Android 3.0
จํานวนครั้งที่ป้อนรหัสผ่านไม่ถูกต้องสูงสุด ระบุจำนวนครั้งที่ผู้ใช้ป้อนรหัสผ่านที่ไม่ถูกต้องได้ก่อนที่อุปกรณ์จะล้างข้อมูล Device Administration API ยังช่วยให้ผู้ดูแลระบบรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากระยะไกลได้ด้วย วิธีนี้จะรักษาความปลอดภัยของข้อมูล ในกรณีที่อุปกรณ์สูญหายหรือถูกขโมย
การล็อกเวลาที่ไม่มีการใช้งานสูงสุด ตั้งค่าระยะเวลานับตั้งแต่ที่ผู้ใช้แตะหน้าจอหรือกดปุ่มครั้งล่าสุดก่อนที่อุปกรณ์จะล็อกหน้าจอ เมื่อเกิดกรณีนี้ขึ้น ผู้ใช้จะต้องป้อน PIN หรือรหัสผ่านอีกครั้งก่อนจึงจะใช้อุปกรณ์และเข้าถึงข้อมูลได้ ค่าเป็นได้ระหว่าง 1 ถึง 60 นาที
ต้องมีการเข้ารหัสพื้นที่เก็บข้อมูล ระบุว่าควรเข้ารหัสพื้นที่เก็บข้อมูล หากอุปกรณ์รองรับ เปิดตัวใน Android 3.0
ปิดใช้กล้อง ระบุว่าควรปิดใช้กล้อง โปรดทราบว่าการปิดใช้นี้ไม่จำเป็นต้องเป็นการปิดใช้ถาวร กล้องสามารถเปิด/ปิดได้แบบไดนามิกโดยอิงตามบริบท เวลา และอื่นๆ เปิดตัวใน Android 4.0

ฟีเจอร์อื่นๆ

นอกจากรองรับนโยบายที่ระบุไว้ในตารางด้านบนแล้ว Device Administration API ยังให้คุณทําสิ่งต่อไปนี้ได้

  • แจ้งให้ผู้ใช้ตั้งรหัสผ่านใหม่
  • ล็อกอุปกรณ์ทันที
  • ล้างข้อมูลของอุปกรณ์ (ซึ่งก็คือการคืนค่าอุปกรณ์เป็นค่าเริ่มต้น)

แอปตัวอย่าง

ตัวอย่างที่ใช้ในหน้านี้อิงตามตัวอย่าง Device Administration API ซึ่งรวมอยู่ในตัวอย่าง SDK (มีให้ใช้งานผ่าน Android SDK Manager) และอยู่ในระบบของคุณเป็น <sdk_root>/ApiDemos/app/src/main/java/com/example/android/apis/app/DeviceAdminSample.java

แอปตัวอย่างมีการแสดงตัวอย่างฟีเจอร์ผู้ดูแลระบบอุปกรณ์ ซึ่งจะแสดงอินเทอร์เฟซผู้ใช้ที่ช่วยให้ผู้ใช้เปิดใช้แอปผู้ดูแลระบบของอุปกรณ์ได้ เมื่อเปิดใช้แอปแล้ว ผู้ใช้จะใช้ปุ่มในอินเทอร์เฟซผู้ใช้เพื่อดำเนินการต่อไปนี้ได้

  • ตั้งค่าคุณภาพรหัสผ่าน
  • ระบุข้อกำหนดสำหรับรหัสผ่านของผู้ใช้ เช่น ความยาวขั้นต่ำ จำนวนอักขระขั้นต่ำที่ต้องมี และอื่นๆ
  • ตั้งรหัสผ่าน หากรหัสผ่านไม่เป็นไปตามนโยบายที่ระบุ ระบบจะแสดงข้อผิดพลาด
  • ตั้งค่าจำนวนครั้งที่ป้อนรหัสผ่านไม่สำเร็จได้ก่อนที่จะล้างข้อมูลอุปกรณ์ (นั่นคือ กู้คืนเป็นการตั้งค่าเริ่มต้น)
  • กำหนดระยะเวลานับจากนี้ที่รหัสผ่านจะหมดอายุ
  • กำหนดความยาวของประวัติรหัสผ่าน (length หมายถึงจำนวนรหัสผ่านเก่าที่จัดเก็บไว้ในประวัติ) วิธีนี้จะช่วยป้องกันไม่ให้ผู้ใช้นำรหัสผ่าน n รหัสล่าสุดที่ใช้ก่อนหน้านี้มาใช้ซ้ำ
  • ระบุว่าพื้นที่เก็บข้อมูลควรเข้ารหัสไว้ หากอุปกรณ์รองรับ
  • ตั้งค่าระยะเวลาที่ไม่ได้ใช้งานสูงสุดที่อาจผ่านไปก่อนที่อุปกรณ์จะล็อก
  • ทำให้อุปกรณ์ล็อกทันที
  • ล้างข้อมูลของอุปกรณ์ (นั่นคือคืนค่าการตั้งค่าเริ่มต้น)
  • ปิดใช้กล้อง

รูปที่ 1 ภาพหน้าจอของแอปตัวอย่าง

การพัฒนาแอปการดูแลระบบอุปกรณ์

ผู้ดูแลระบบสามารถใช้ Device Administration API เพื่อเขียนแอปที่บังคับใช้นโยบายความปลอดภัยของอุปกรณ์ระยะไกล/ในเครื่อง ส่วนนี้จะสรุปขั้นตอนที่เกี่ยวข้องกับการสร้างแอปการดูแลระบบอุปกรณ์

การสร้างไฟล์ Manifest

หากต้องการใช้ Device Administration API ไฟล์ Manifest ของแอปต้องมีข้อมูลต่อไปนี้

  • คลาสย่อยของ DeviceAdminReceiver ที่มีสิ่งต่อไปนี้
    • สิทธิ์ BIND_DEVICE_ADMIN
    • ความสามารถในการตอบสนองต่อ Intent ACTION_DEVICE_ADMIN_ENABLED ที่แสดงในไฟล์ Manifest เป็นตัวกรอง Intent
  • การประกาศนโยบายความปลอดภัยที่ใช้ในข้อมูลเมตา

ต่อไปนี้คือข้อความที่ตัดตอนมาจากไฟล์ Manifest ตัวอย่างของการจัดการอุปกรณ์

<activity android:name=".app.DeviceAdminSample"
            android:label="@string/activity_sample_device_admin">
    <intent-filter>
        <action android:name="android.intent.action.MAIN" />
        <category android:name="android.intent.category.SAMPLE_CODE" />
    </intent-filter>
</activity>
<receiver android:name=".app.DeviceAdminSample$DeviceAdminSampleReceiver"
        android:label="@string/sample_device_admin"
        android:description="@string/sample_device_admin_description"
        android:permission="android.permission.BIND_DEVICE_ADMIN">
    <meta-data android:name="android.app.device_admin"
            android:resource="@xml/device_admin_sample" />
    <intent-filter>
        <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />
    </intent-filter>
</receiver>

โปรดทราบว่า

  • แอตทริบิวต์ต่อไปนี้หมายถึงทรัพยากรสตริงของแอปตัวอย่างที่อยู่ใน ApiDemos/res/values/strings.xml สำหรับข้อมูลเพิ่มเติมเกี่ยวกับทรัพยากร โปรดดูที่ทรัพยากรของแอปพลิเคชัน
    • android:label="@string/activity_sample_device_admin" หมายถึงป้ายกำกับที่ผู้ใช้อ่านได้สําหรับกิจกรรม
    • android:label="@string/sample_device_admin" หมายถึงป้ายกำกับที่ผู้ใช้อ่านได้สำหรับสิทธิ์
    • android:description="@string/sample_device_admin_description" หมายถึงคำอธิบายสิทธิ์ที่ผู้ใช้อ่านได้ โดยปกติแล้ว คำอธิบายจะยาวกว่าและให้ข้อมูลมากกว่าป้ายกำกับ
  • android:permission="android.permission.BIND_DEVICE_ADMIN" คือสิทธิ์ที่คลาสย่อย DeviceAdminReceiver ต้องมีเพื่อให้มั่นใจว่ามีเพียงระบบเท่านั้นที่โต้ตอบกับตัวรับได้ (แอปไม่ได้รับสิทธิ์นี้) ซึ่งจะช่วยป้องกันไม่ให้แอปอื่นๆ ละเมิดแอปผู้ดูแลระบบอุปกรณ์
  • android.app.action.DEVICE_ADMIN_ENABLED เป็นการดำเนินการหลักที่คลาสย่อย DeviceAdminReceiver ต้องจัดการเพื่อให้จัดการอุปกรณ์ได้ การตั้งค่านี้จะกำหนดเป็นอุปกรณ์รับเมื่อผู้ใช้เปิดใช้แอปผู้ดูแลระบบอุปกรณ์ โดยปกติแล้วโค้ดของคุณจะจัดการเรื่องนี้ในonEnabled() นอกจากนี้ ผู้รับยังต้องมีสิทธิ์ BIND_DEVICE_ADMIN ด้วยเพื่อให้แอปอื่นๆ ไม่สามารถละเมิดสิทธิ์ดังกล่าวได้
  • เมื่อผู้ใช้เปิดใช้แอปผู้ดูแลระบบของอุปกรณ์ จะเป็นการให้สิทธิ์ผู้รับดำเนินการเพื่อตอบสนองต่อการออกอากาศเหตุการณ์บางอย่างของระบบ แอปอาจกำหนดนโยบายได้ เมื่อมีเหตุการณ์ที่เหมาะสม ตัวอย่างเช่น หากผู้ใช้พยายามตั้งรหัสผ่านใหม่ที่ไม่เป็นไปตามข้อกําหนดของนโยบาย แอปจะแจ้งให้ผู้ใช้เลือกรหัสผ่านอื่นที่เป็นไปตามข้อกําหนดได้
  • หลีกเลี่ยงการเปลี่ยนชื่อผู้รับหลังจากเผยแพร่แอป หากชื่อในไฟล์ Manifest เปลี่ยนแปลง ผู้ดูแลระบบอุปกรณ์จะปิดใช้เมื่อผู้ใช้อัปเดตแอป ดูข้อมูลเพิ่มเติมได้ที่ <receiver>
  • android:resource="@xml/device_admin_sample" ประกาศนโยบายความปลอดภัยที่ใช้ในข้อมูลเมตา ข้อมูลเมตาจะให้ข้อมูลเพิ่มเติมสำหรับผู้ดูแลระบบอุปกรณ์โดยเฉพาะตามที่คลาส DeviceAdminInfo แยกวิเคราะห์ เนื้อหาของ device_admin_sample.xml มีดังนี้
<device-admin xmlns:android="http://schemas.android.com/apk/res/android">
  <uses-policies>
    <limit-password />
    <watch-login />
    <reset-password />
    <force-lock />
    <wipe-data />
    <expire-password />
    <encrypted-storage />
    <disable-camera />
  </uses-policies>
</device-admin>

เมื่อออกแบบแอปการดูแลระบบอุปกรณ์ คุณไม่จำเป็นต้องใส่นโยบายทั้งหมด ระบุเพียงนโยบายที่เกี่ยวข้องกับแอปเท่านั้น

ดูการพูดคุยเพิ่มเติมเกี่ยวกับไฟล์ Manifest ได้ที่คู่มือนักพัฒนาแอป Android

การใช้โค้ด

Device Administration API มีคลาสต่อไปนี้

DeviceAdminReceiver
คลาสพื้นฐานสำหรับการใช้คอมโพเนนต์การดูแลระบบอุปกรณ์ คลาสนี้ช่วยให้ตีความการดำเนินการ Intent ดิบซึ่งระบบส่งมาได้อย่างสะดวก แอปการจัดการอุปกรณ์ต้องมีDeviceAdminReceiverคลาสย่อย
DevicePolicyManager
คลาสสำหรับจัดการนโยบายที่บังคับใช้ในอุปกรณ์ ไคลเอ็นต์ส่วนใหญ่ของคลาสนี้ต้องเผยแพร่ DeviceAdminReceiver ที่ผู้ใช้เปิดใช้อยู่ในปัจจุบัน DevicePolicyManager จัดการนโยบายสำหรับอินสแตนซ์ DeviceAdminReceiver อย่างน้อย 1 รายการ
DeviceAdminInfo
คลาสนี้ใช้เพื่อระบุข้อมูลเมตาสำหรับคอมโพเนนต์ผู้ดูแลระบบอุปกรณ์

คลาสเหล่านี้เป็นรากฐานสําหรับแอปการดูแลระบบอุปกรณ์ที่ทํางานได้อย่างเต็มรูปแบบ ส่วนที่เหลือของส่วนนี้จะอธิบายวิธีใช้ DeviceAdminReceiver และ DevicePolicyManager API ในการเขียนแอปการดูแลระบบอุปกรณ์

การแยกประเภทย่อย DeviceAdminReceiver

หากต้องการสร้างแอปผู้ดูแลระบบอุปกรณ์ คุณต้องสร้างคลาสย่อยของ DeviceAdminReceiver คลาส DeviceAdminReceiver ประกอบด้วยชุด Callback ที่ทริกเกอร์เมื่อเกิดเหตุการณ์บางอย่าง

ในคลาสย่อย DeviceAdminReceiver แอปตัวอย่างจะแสดงการแจ้งเตือน Toast เพื่อตอบสนองต่อเหตุการณ์หนึ่งๆ เช่น

Kotlin

class DeviceAdminSample : DeviceAdminReceiver() {

    private fun showToast(context: Context, msg: String) {
        context.getString(R.string.admin_receiver_status, msg).let { status ->
            Toast.makeText(context, status, Toast.LENGTH_SHORT).show()
        }
    }

    override fun onEnabled(context: Context, intent: Intent) =
            showToast(context, context.getString(R.string.admin_receiver_status_enabled))

    override fun onDisableRequested(context: Context, intent: Intent): CharSequence =
            context.getString(R.string.admin_receiver_status_disable_warning)

    override fun onDisabled(context: Context, intent: Intent) =
            showToast(context, context.getString(R.string.admin_receiver_status_disabled))

    override fun onPasswordChanged(context: Context, intent: Intent, userHandle: UserHandle) =
            showToast(context, context.getString(R.string.admin_receiver_status_pw_changed))
...
}

Java

public class DeviceAdminSample extends DeviceAdminReceiver {

    void showToast(Context context, String msg) {
        String status = context.getString(R.string.admin_receiver_status, msg);
        Toast.makeText(context, status, Toast.LENGTH_SHORT).show();
    }

    @Override
    public void onEnabled(Context context, Intent intent) {
        showToast(context, context.getString(R.string.admin_receiver_status_enabled));
    }

    @Override
    public CharSequence onDisableRequested(Context context, Intent intent) {
        return context.getString(R.string.admin_receiver_status_disable_warning);
    }

    @Override
    public void onDisabled(Context context, Intent intent) {
        showToast(context, context.getString(R.string.admin_receiver_status_disabled));
    }

    @Override
    public void onPasswordChanged(Context context, Intent intent, UserHandle userHandle) {
        showToast(context, context.getString(R.string.admin_receiver_status_pw_changed));
    }
...
}

การเปิดใช้แอป

เหตุการณ์สำคัญอย่างหนึ่งที่แอปผู้ดูแลอุปกรณ์ต้องจัดการก็คือผู้ใช้เปิดใช้แอป โดยผู้ใช้ต้องเปิดใช้แอปอย่างชัดเจนเพื่อให้มีการบังคับใช้นโยบาย หากผู้ใช้เลือกที่จะไม่เปิดใช้แอป แอปจะยังคงปรากฏอยู่ในอุปกรณ์แต่จะไม่มีการบังคับใช้นโยบาย และผู้ใช้จะไม่ได้รับผลประโยชน์ใดๆ ของแอป

กระบวนการเปิดใช้แอปจะเริ่มขึ้นเมื่อผู้ใช้ดำเนินการที่ทริกเกอร์ Intent ACTION_ADD_DEVICE_ADMIN ในแอปตัวอย่าง เหตุการณ์นี้จะเกิดขึ้นเมื่อผู้ใช้คลิกช่องทําเครื่องหมายเปิดใช้ผู้ดูแลระบบ

เมื่อผู้ใช้คลิกช่องทำเครื่องหมายเปิดใช้ผู้ดูแลระบบ การแสดงผลจะเปลี่ยนไปเพื่อแจ้งให้ผู้ใช้เปิดใช้งานแอปผู้ดูแลระบบของอุปกรณ์ ดังที่แสดงในรูปภาพ 2

รูปที่ 2 แอปตัวอย่าง: การเปิดใช้งานแอป

ด้านล่างคือโค้ดที่จะเรียกใช้เมื่อผู้ใช้คลิกช่องทําเครื่องหมายเปิดใช้ผู้ดูแลระบบ ซึ่งจะทริกเกอร์การเรียกใช้ฟังก์ชัน callback ของ onPreferenceChange() ระบบจะเรียกใช้การเรียกกลับนี้เมื่อผู้ใช้เปลี่ยนแปลงค่าของ Preference นี้และกำลังจะตั้งค่าและ/หรือเก็บค่าไว้ หากผู้ใช้เปิดใช้แอป หน้าจอจะเปลี่ยนไปเพื่อแจ้งให้ผู้ใช้เปิดใช้งานแอปผู้ดูแลระบบในอุปกรณ์ ดังที่แสดงในรูปภาพ 2 มิเช่นนั้น ระบบจะปิดใช้แอปผู้ดูแลระบบอุปกรณ์

Kotlin

override fun onPreferenceChange(preference: Preference, newValue: Any): Boolean {
    if (super.onPreferenceChange(preference, newValue)) return true
    val value = newValue as Boolean
    if (preference == enableCheckbox) {
        if (value != adminActive) {
            if (value) {
                // Launch the activity to have the user enable our admin.
                val intent = Intent(DevicePolicyManager.ACTION_ADD_DEVICE_ADMIN).apply {
                    putExtra(DevicePolicyManager.EXTRA_DEVICE_ADMIN, deviceAdminSample)
                    putExtra(DevicePolicyManager.EXTRA_ADD_EXPLANATION,
                            activity.getString(R.string.add_admin_extra_app_text))
                }
                startActivityForResult(intent, REQUEST_CODE_ENABLE_ADMIN)
                // return false - don't update checkbox until we're really active
                return false
            } else {
                dpm.removeActiveAdmin(deviceAdminSample)
                enableDeviceCapabilitiesArea(false)
                adminActive = false
            }
        }
    } else if (preference == disableCameraCheckbox) {
        dpm.setCameraDisabled(deviceAdminSample, value)
    }
    return true
}

Java

@Override
public boolean onPreferenceChange(Preference preference, Object newValue) {
    if (super.onPreferenceChange(preference, newValue)) {
        return true;
    }
    boolean value = (Boolean) newValue;
    if (preference == enableCheckbox) {
        if (value != adminActive) {
            if (value) {
                // Launch the activity to have the user enable our admin.
                Intent intent = new Intent(DevicePolicyManager.ACTION_ADD_DEVICE_ADMIN);
                intent.putExtra(DevicePolicyManager.EXTRA_DEVICE_ADMIN, deviceAdminSample);
                intent.putExtra(DevicePolicyManager.EXTRA_ADD_EXPLANATION,
                        activity.getString(R.string.add_admin_extra_app_text));
                startActivityForResult(intent, REQUEST_CODE_ENABLE_ADMIN);
                // return false - don't update checkbox until we're really active
                return false;
            } else {
                dpm.removeActiveAdmin(deviceAdminSample);
                enableDeviceCapabilitiesArea(false);
                adminActive = false;
            }
        }
    } else if (preference == disableCameraCheckbox) {
        dpm.setCameraDisabled(deviceAdminSample, value);
    }
    return true;
}

บรรทัด intent.putExtra(DevicePolicyManager.EXTRA_DEVICE_ADMIN, mDeviceAdminSample) ระบุว่า mDeviceAdminSample (ซึ่งเป็นคอมโพเนนต์ DeviceAdminReceiver) เป็นนโยบายเป้าหมาย บรรทัดนี้จะเรียกใช้อินเทอร์เฟซผู้ใช้ที่แสดงในรูปที่ 2 ซึ่งแนะนำผู้ใช้เกี่ยวกับการเพิ่มผู้ดูแลระบบอุปกรณ์ลงในระบบ (หรืออนุญาตให้ปฏิเสธ)

เมื่อแอปจำเป็นต้องดำเนินการที่ขึ้นอยู่กับแอปผู้ดูแลระบบอุปกรณ์ที่กำลังเปิดใช้อยู่ จะเป็นการยืนยันว่าแอปทำงานอยู่ โดยจะใช้เมธอด DevicePolicyManager isAdminActive() โปรดทราบว่าDevicePolicyManager เมธอด isAdminActive() ใช้คอมโพเนนต์ DeviceAdminReceiver เป็นอาร์กิวเมนต์

Kotlin

private lateinit var dpm: DevicePolicyManager
...
private fun isActiveAdmin(): Boolean = dpm.isAdminActive(deviceAdminSample)

Java

DevicePolicyManager dpm;
...
private boolean isActiveAdmin() {
    return dpm.isAdminActive(deviceAdminSample);
}

การจัดการนโยบาย

DevicePolicyManager เป็นชั้นเรียนสาธารณะสำหรับการจัดการนโยบายที่บังคับใช้ในอุปกรณ์ DevicePolicyManager จัดการนโยบายสําหรับอินสแตนซ์ DeviceAdminReceiver อย่างน้อย 1 รายการ

คุณจะได้รับแฮนเดิลของ DevicePolicyManager ดังนี้

Kotlin

dpm = getSystemService(Context.DEVICE_POLICY_SERVICE) as DevicePolicyManager

Java

DevicePolicyManager dpm =
    (DevicePolicyManager)getSystemService(Context.DEVICE_POLICY_SERVICE);

ส่วนนี้จะอธิบายวิธีใช้ DevicePolicyManager เพื่อทํางานด้านการดูแลระบบ

ตั้งค่านโยบายรหัสผ่าน

DevicePolicyManager มี API สำหรับการตั้งค่าและการบังคับใช้นโยบายรหัสผ่านของอุปกรณ์ ใน Device Administration API รหัสผ่านจะมีผลกับการล็อกหน้าจอเท่านั้น ส่วนนี้จะอธิบายงานทั่วไปที่เกี่ยวข้องกับรหัสผ่าน

ตั้งรหัสผ่านสำหรับอุปกรณ์

รหัสนี้จะแสดงอินเทอร์เฟซผู้ใช้เพื่อแจ้งให้ผู้ใช้ตั้งรหัสผ่าน

Kotlin

Intent(DevicePolicyManager.ACTION_SET_NEW_PASSWORD).also { intent ->
    startActivity(intent)
}

Java

Intent intent = new Intent(DevicePolicyManager.ACTION_SET_NEW_PASSWORD);
startActivity(intent);
ตั้งค่าคุณภาพของรหัสผ่าน

คุณภาพของรหัสผ่านอาจเป็นค่าคงที่ DevicePolicyManager รายการใดรายการหนึ่งต่อไปนี้

PASSWORD_QUALITY_ALPHABETIC
ผู้ใช้ต้องป้อนรหัสผ่านที่มีอักขระที่เป็นตัวอักษร (หรือสัญลักษณ์อื่นๆ) อย่างน้อย 1 ตัว
PASSWORD_QUALITY_ALPHANUMERIC
ผู้ใช้ต้องป้อนรหัสผ่านที่มีอักขระทั้งตัวเลขและตัวอักษร (หรือสัญลักษณ์อื่นๆ) อย่างน้อย 8 ตัว
PASSWORD_QUALITY_NUMERIC
ผู้ใช้ต้องป้อนรหัสผ่านที่มีอักขระที่เป็นตัวเลขอย่างน้อย 1 ตัว
PASSWORD_QUALITY_COMPLEX
ผู้ใช้ต้องป้อนรหัสผ่านที่มีตัวอักษร ตัวเลข และสัญลักษณ์พิเศษอย่างน้อย 1 ตัว
PASSWORD_QUALITY_SOMETHING
นโยบายนี้ต้องใช้รหัสผ่านบางประเภท แต่ไม่ได้สนใจว่ารหัสผ่านคืออะไร
PASSWORD_QUALITY_UNSPECIFIED
นโยบายไม่มีข้อกำหนดสำหรับรหัสผ่าน

ตัวอย่างเช่น วิธีตั้งค่านโยบายรหัสผ่านให้กำหนดให้มีรหัสผ่านที่เป็นตัวอักษรและตัวเลขคละกันมีดังนี้

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
...
dpm.setPasswordQuality(deviceAdminSample, DevicePolicyManager.PASSWORD_QUALITY_ALPHANUMERIC)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
...
dpm.setPasswordQuality(deviceAdminSample, DevicePolicyManager.PASSWORD_QUALITY_ALPHANUMERIC);
ตั้งข้อกำหนดด้านเนื้อหาของรหัสผ่าน

ตั้งแต่ Android 3.0 เป็นต้นไป คลาส DevicePolicyManager จะมีเมธอดที่ช่วยให้คุณปรับแต่งเนื้อหาของรหัสผ่านได้ เช่น คุณอาจตั้งนโยบายที่ระบุว่ารหัสผ่านต้องมีอักษรตัวพิมพ์ใหญ่อย่างน้อย n ตัว วิธีปรับแต่งเนื้อหาของรหัสผ่านมีดังนี้

ตัวอย่างเช่น ข้อมูลโค้ดนี้ระบุว่ารหัสผ่านต้องมีอักษรตัวพิมพ์ใหญ่อย่างน้อย 2 ตัว

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
private val pwMinUppercase = 2
...
dpm.setPasswordMinimumUpperCase(deviceAdminSample, pwMinUppercase)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
int pwMinUppercase = 2;
...
dpm.setPasswordMinimumUpperCase(deviceAdminSample, pwMinUppercase);
กำหนดความยาวขั้นต่ำของรหัสผ่าน

คุณสามารถระบุให้รหัสผ่านมีความยาวอย่างน้อยตามที่กำหนด เช่น

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
private val pwLength: Int = ...
...
dpm.setPasswordMinimumLength(deviceAdminSample, pwLength)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
int pwLength;
...
dpm.setPasswordMinimumLength(deviceAdminSample, pwLength);
กำหนดจำนวนครั้งสูงสุดในการป้อนรหัสผ่านผิด

คุณสามารถตั้งค่าจำนวนครั้งสูงสุดที่อนุญาตของการป้อนรหัสผ่านผิดได้ก่อนที่จะล้างข้อมูลอุปกรณ์ (กล่าวคือ รีเซ็ตเป็นการตั้งค่าเริ่มต้น) เช่น

Kotlin

val dPM:DevicePolicyManager
private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
private val maxFailedPw: Int = ...
...
dpm.setMaximumFailedPasswordsForWipe(deviceAdminSample, maxFailedPw)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
int maxFailedPw;
 ...
dpm.setMaximumFailedPasswordsForWipe(deviceAdminSample, maxFailedPw);
ตั้งค่าระยะหมดเวลาของรหัสผ่าน

เริ่มตั้งแต่ Android 3.0 เป็นต้นไป คุณสามารถใช้เมธอด setPasswordExpirationTimeout() เพื่อตั้งเวลาที่รหัสผ่านจะหมดอายุ ซึ่งแสดงเป็นเดลต้าในหน่วยมิลลิวินาทีนับจากที่ผู้ดูแลระบบอุปกรณ์ตั้งค่าระยะหมดเวลาการหมดอายุ เช่น

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
private val pwExpiration: Long = ...
...
dpm.setPasswordExpirationTimeout(deviceAdminSample, pwExpiration)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
long pwExpiration;
...
dpm.setPasswordExpirationTimeout(deviceAdminSample, pwExpiration);
จำกัดรหัสผ่านตามประวัติ

ตั้งแต่ Android 3.0 เป็นต้นไป คุณจะใช้วิธีนี้เพื่อจำกัดไม่ให้ผู้ใช้ใช้รหัสผ่านเดิมซ้ำได้setPasswordHistoryLength() เมธอดนี้ใช้พารามิเตอร์ length ซึ่งระบุจำนวนรหัสผ่านเก่าที่จัดเก็บไว้ เมื่อนโยบายนี้มีผลใช้งาน ผู้ใช้จะป้อนรหัสผ่านใหม่ซึ่งตรงกับรหัสผ่าน n รายการล่าสุดไม่ได้ ซึ่งจะช่วยป้องกันไม่ให้ผู้ใช้ใช้รหัสผ่านเดิมซ้ำๆ โดยทั่วไปแล้ว นโยบายนี้จะใช้ร่วมกับ setPasswordExpirationTimeout() ซึ่งจะบังคับให้ผู้ใช้อัปเดตรหัสผ่านหลังจากผ่านไปตามระยะเวลาที่ระบุ

ตัวอย่างเช่น ข้อมูลโค้ดนี้ห้ามไม่ให้ผู้ใช้ใช้รหัสผ่าน 5 รายการล่าสุดซ้ำ

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
private val pwHistoryLength = 5
...
dpm.setPasswordHistoryLength(deviceAdminSample, pwHistoryLength)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
int pwHistoryLength = 5;
...
dpm.setPasswordHistoryLength(deviceAdminSample, pwHistoryLength);

ตั้งค่าการล็อกอุปกรณ์

คุณสามารถตั้งค่าระยะเวลาสูงสุดที่ผู้ใช้ไม่ใช้งานก่อนที่จะล็อกอุปกรณ์ได้ เช่น

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
private val timeMs: Long = 1000L * timeout.text.toString().toLong()
...
dpm.setMaximumTimeToLock(deviceAdminSample, timeMs)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
...
long timeMs = 1000L*Long.parseLong(timeout.getText().toString());
dpm.setMaximumTimeToLock(deviceAdminSample, timeMs);

นอกจากนี้ คุณยังบอกให้อุปกรณ์ล็อกทันทีแบบเป็นโปรแกรมได้ด้วย โดยทำดังนี้

Kotlin

private lateinit var dpm: DevicePolicyManager
dpm.lockNow()

Java

DevicePolicyManager dpm;
dpm.lockNow();

ล้างข้อมูล

คุณสามารถใช้DevicePolicyManagerวิธีนี้ wipeData()เพื่อรีเซ็ตอุปกรณ์เป็นการตั้งค่าเริ่มต้น ซึ่งจะมีประโยชน์ในกรณีที่อุปกรณ์สูญหายหรือถูกขโมย บ่อยครั้งที่การตัดสินใจว่าจะล้างข้อมูลอุปกรณ์เป็นผลมาจากการทำงานตรงตามเงื่อนไขบางอย่าง เช่น คุณสามารถใช้ setMaximumFailedPasswordsForWipe() เพื่อระบุว่าควรล้างข้อมูลอุปกรณ์หลังจากป้อนรหัสผ่านผิดเป็นจำนวนครั้งที่กำหนด

คุณล้างข้อมูลได้โดยทำดังนี้

Kotlin

private lateinit var dpm: DevicePolicyManager
dpm.wipeData(0)

Java

DevicePolicyManager dpm;
dpm.wipeData(0);

เมธอด wipeData() ใช้พารามิเตอร์เป็นบิตมาสก์ของตัวเลือกเพิ่มเติม ปัจจุบันค่าต้องเป็น 0

ปิดใช้กล้อง

คุณปิดใช้กล้องได้ตั้งแต่ Android 4.0 เป็นต้นไป โปรดทราบว่าการปิดใช้นี้ไม่จำเป็นต้องเป็นการปิดใช้ถาวร กล้องสามารถเปิด/ปิดได้แบบไดนามิกตามบริบท เวลา และอื่นๆ

คุณควบคุมว่าจะปิดใช้กล้องหรือไม่โดยใช้วิธี setCameraDisabled() ตัวอย่างเช่น ข้อมูลโค้ดนี้จะตั้งค่าให้กล้องเปิดหรือปิดใช้โดยอิงตามการตั้งค่าช่องทําเครื่องหมาย

Kotlin

private lateinit var disableCameraCheckbox: CheckBoxPreference
private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
...
dpm.setCameraDisabled(deviceAdminSample, mDisableCameraCheckbox.isChecked)

Java

private CheckBoxPreference disableCameraCheckbox;
DevicePolicyManager dpm;
ComponentName deviceAdminSample;
...
dpm.setCameraDisabled(deviceAdminSample, mDisableCameraCheckbox.isChecked());

การเข้ารหัสพื้นที่เก็บข้อมูล

ตั้งแต่ Android 3.0 เป็นต้นไป คุณจะใช้วิธี setStorageEncryption() เพื่อตั้งค่านโยบายที่กำหนดให้ต้องมีการเข้ารหัสพื้นที่เก็บข้อมูลได้ (หากรองรับ)

เช่น

Kotlin

private lateinit var dpm: DevicePolicyManager
private lateinit var deviceAdminSample: ComponentName
...
dpm.setStorageEncryption(deviceAdminSample, true)

Java

DevicePolicyManager dpm;
ComponentName deviceAdminSample;
...
dpm.setStorageEncryption(deviceAdminSample, true);

ดูตัวอย่าง Device Administration API เพื่อดูตัวอย่างวิธีเปิดใช้การเข้ารหัสพื้นที่เก็บข้อมูลอย่างละเอียด

ตัวอย่างโค้ดเพิ่มเติม

ตัวอย่าง Android AppRestrictionEnforcer และ DeviceOwner แสดงการใช้ API ที่ครอบคลุมในหน้านี้เพิ่มเติม