Nouveautés pour les entreprises sur Android 11

Cette page présente les nouvelles API d'entreprise, les nouvelles fonctionnalités et les modifications de comportement introduites dans Android 11.

Profil professionnel

Les nouvelles fonctionnalités suivantes sont disponibles dans les profils professionnels Android 11.

Améliorations du profil professionnel pour les appareils détenus par l'entreprise

Android 11 offre une meilleure compatibilité avec les profils professionnels sur les appareils détenus par l'entreprise. Si un profil professionnel est ajouté à partir de l'assistant de configuration à l'aide des outils de provisionnement ajoutés dans Android 10, l'appareil est reconnu comme appartenant à l'entreprise. Un plus large éventail de règles de gestion des ressources et de sécurité des appareils est alors mis à la disposition du contrôleur de règles relatives aux appareils (DPC). Ces fonctionnalités permettent de gérer plus facilement l'utilisation professionnelle et personnelle sur les appareils appartenant à l'entreprise, tout en préservant la confidentialité du profil professionnel.

Si un profil professionnel est ajouté à un appareil par une autre méthode, Android 11 reconnaît l'appareil comme appartenant à l'utilisateur. Le comportement et les fonctionnalités disponibles pour les profils professionnels sur les appareils personnels restent inchangés.

Appareils passant à Android 11

Les profils professionnels sur les appareils entièrement gérés seront mis à niveau vers l'expérience améliorée du profil professionnel sur Android 11. Pour les clients, cela signifie que les appareils bénéficieront d'une confidentialité améliorée et d'une expérience cohérente avec un seul profil professionnel sur les appareils personnels et ceux appartenant à l'entreprise, sans qu'il soit nécessaire de réinscrire l'ancien profil professionnel sur les appareils entièrement gérés. Si vous préférez, vous pouvez supprimer le profil professionnel avant la mise à niveau pour conserver une expérience d'appareil entièrement géré pendant la mise à niveau.

Les clients peuvent contacter leur EMM pour s'assurer que leurs appareils sont prêts à passer à Android 11. Les EMM peuvent trouver des consignes de migration plus détaillées dans la communauté de fournisseurs EMM Android Enterprise (connexion requise).

Améliorations de l'expérience utilisateur

Les onglets professionnel et personnel distincts que vous avez découverts dans le lanceur d'applications par défaut sur Android 9 sont maintenant compatibles avec d'autres fonctionnalités. Dans Android 11, les fabricants d'appareils peuvent présenter des onglets "Professionnel" et "Personnel" :

• Dans l'application Paramètres, plus précisément pour les paramètres "Position", "Stockage", "Comptes" et "Infos sur l'appli".
• Lorsqu'un utilisateur appuie sur Partager share.
• Lorsqu'un utilisateur a la possibilité d'ouvrir un élément sélectionné avec une autre application (menu Ouvrir avec).
• lors de la sélection de documents.

Android 11 introduit également des améliorations de l'expérience utilisateur qui permettent aux utilisateurs de mieux comprendre quand leur profil professionnel est suspendu. De plus, lorsqu'un utilisateur active son profil professionnel, il n'a plus besoin de saisir son code secret professionnel s'il est identique à celui de son appareil.

Bouton "Réinitialiser le code secret du profil professionnel"

Lorsqu'un profil professionnel est mis en veille, l'écran de verrouillage du profil professionnel est désormais doté d'un bouton Mot de passe oublié pour les appareils Android 11 qui ont des mots de passe distincts pour l'appareil et le profil professionnel. Si votre DPC est compatible avec le démarrage direct, vous pouvez définir et activer un jeton pour activer le bouton.

Lorsqu'un utilisateur appuie sur le bouton, un texte lui demande de contacter son administrateur informatique. Appuyer sur le bouton permet également de démarrer le profil professionnel en mode démarrage direct (verrouillé), ce qui permet à votre DPC de suivre la procédure pour réinitialiser le code secret du profil professionnel de manière sécurisée.

Appareils détenus par l'entreprise

Les nouvelles fonctionnalités suivantes sont disponibles pour les appareils appartenant à l'entreprise. Le terme appareil détenu par l'entreprise désigne à la fois les appareils entièrement gérés et les appareils avec profil professionnel détenus par l'entreprise.

Mode Critères communs

Ce mode respecte les exigences liées aux Critères communs et au Mobile Device Fundamentals Protection Profile (Profil de protection des fondamentaux des appareils mobiles). Les administrateurs d'appareils appartenant à l'entreprise peuvent désormais activer le mode Critères communs (et vérifier s'il est activé) sur un appareil. Lorsqu'il est activé, le mode Critères communs renforce la sécurité de certains composants de sécurité d'un appareil, y compris le chiffrement AES-GCM des clés Bluetooth à long terme et des magasins de configuration Wi-Fi.

Compatibilité avec l'attestation de clé individuelle

Sous Android 11, les administrateurs d'appareils appartenant à l'entreprise peuvent exiger une attestation d'appareil avec des certificats d'attestation individuels :

• Assurez-vous que KeyGenParameterSpec est créé avec StrongBox spécifié.
• Transmettez ID_TYPE_INDIVIDUAL_ATTESTATION pour l'argument idAttestationFlags.

Une nouvelle méthode est également disponible pour vérifier si un appareil est compatible avec l'attestation d'ID d'appareil unique.

Autre

• Les utilisateurs sont désormais avertis lorsqu'un administrateur :

  • Active les services de localisation sur son appareil détenu par l'entreprise. Si l'administrateur définit une règle globale pour accepter automatiquement toutes les autorisations, l'utilisateur est averti lorsqu'une application demande et obtient l'autorisation d'accéder à sa position en raison de cette règle.
  • Accorde à une application l'autorisation d'utiliser la position d'un appareil qui vous appartient.

• Accorder l'accès aux certificats aux applications professionnelles : les DPC ciblant Android 11 ont désormais la possibilité d'accorder à des applications individuelles l'accès à des clés KeyChain spécifiques, ce qui permet à ces applications d'appeler getCertificateChain() et getPrivateKey() sans avoir à appeler d'abord choosePrivateKeyAlias().

  Par exemple, les applications VPN qui s'exécutent en tant que service en arrière-plan peuvent utiliser cette fonctionnalité pour accéder aux certificats dont elles ont besoin sans nécessiter d'interaction de l'utilisateur. Une nouvelle méthode est également disponible pour révoquer l'accès.

• Toutes les méthodes liées à la définition d'un nombre minimal de caractères pour les mots de passe nécessitent une qualité de mot de passe appropriée avant de pouvoir être appliquées.

  • setPasswordMinimumLength() nécessite au moins PASSWORD_QUALITY_NUMERIC.
  • Toutes les autres méthodes de mot de passe minimales nécessitent au moins PASSWORD_QUALITY_COMPLEX.

• Améliorations du VPN permanent : les utilisateurs ne peuvent plus désactiver le VPN permanent lorsqu'il est configuré par un administrateur.

• Modifications apportées à ADMIN_POLICY_COMPLIANCE :

  • Lors du provisionnement d'un appareil Android 11, le système envoie désormais ADMIN_POLICY_COMPLIANCE avant de définir DEVICE_PROVISIONED sur true.
  • ADMIN_POLICY_COMPLIANCE peut également être utilisé de manière facultative lors de l'ajout d'un compte Google pour provisionner un appareil. Dans la version 2021 d'Android, cette méthode de provisionnement sera obligatoire.

• De nouvelles API sont également disponibles pour :

  • Vérifiez et définissez si l'heure automatique est activée sur un appareil. Si cette option est activée, l'heure est automatiquement obtenue à partir du réseau. Remplace setAutoTimeRequired() et getAutoTimeRequired() (pour en savoir plus, consultez Abandons).
  • Vérifiez et définissez si le fuseau horaire automatique est activé sur un appareil. Si cette option est activée, le fuseau horaire est automatiquement obtenu à partir du réseau.
  • Vérifiez et définissez la règle de protection après rétablissement de la configuration d'usine sur un appareil détenu par l'entreprise.
  • Vérifiez et définissez si un utilisateur peut modifier les paramètres réseau configurés par l'administrateur sur un appareil appartenant à l'entreprise.
  • Vérifiez et définissez les packages protégés sur un appareil entièrement géré. Les utilisateurs ne peuvent pas effacer les données des applications ni forcer l'arrêt des packages protégés.
  • Définissez les paramètres de localisation principale sur un appareil.

Abandons

Android 11 abandonne les API suivantes :

• Le paramètre Settings.Secure.LOCATION_MODE est obsolète. Les applications ne doivent pas utiliser cette valeur comme argument setting pour la méthode setSecureSetting(). Les propriétaires d'appareils doivent plutôt appeler setLocationEnabled().

• L'action resetPassword() est désormais entièrement obsolète. Tous les DPC doivent utiliser la réinitialisation sécurisée du code secret.

• setAutoTimeRequired() et getAutoTimeRequired(). Utilisez plutôt setAutoTime() et getAutoTime().

• setStorageEncryption et getStorageEncryption(). Utilisez plutôt getStorageEncryptionStatus().

• setGlobalSetting() et setSecureSetting() sont pour la plupart obsolètes. Des méthodes de définition dédiées et des restrictions utilisateur sont disponibles pour remplacer la plupart des paramètres (pour en savoir plus, consultez la documentation de référence).

• setOrganizationColor() est entièrement obsolète.

En savoir plus

Pour en savoir plus sur les autres modifications susceptibles d'affecter votre application, consultez les pages sur les changements de comportement d'Android 11 (pour les applications ciblant Android 11 et pour toutes les applications).