Neuerungen für Unternehmen in Android 12

Diese Seite bietet einen Überblick über die neuen APIs, Funktionen und Verhaltensänderungen für Unternehmen in Android 12 (API-Level 31).

Arbeitsprofil

Die folgenden neuen Funktionen sind in Android 12 für Arbeitsprofile verfügbar.

Verbesserte Sicherheit und Datenschutz für Arbeitsprofile

Die folgenden Funktionen sind in Android 12 für private Geräte mit einem Arbeitsprofil verfügbar:

• Die Funktion zur Passwortkomplexität legt geräteweite Passwortanforderungen in Form vordefinierter Komplexitäts-Buckets fest (Hoch, Mittel, Niedrig und Keine). Bei Bedarf können stattdessen strenge Passwortanforderungen für die Sicherheits-Challenge des Arbeitsprofils festgelegt werden.
• Die Einrichtung der Sicherheitsherausforderung des Arbeitsprofils wurde optimiert. Bei der Einrichtung wird jetzt berücksichtigt, ob der Sicherheitscode des Geräts den Administratoranforderungen entspricht. Außerdem kann der Nutzer ganz einfach auswählen, ob er die Stärke des Sicherheitscodes seines Geräts erhöhen oder die Sicherheitsmaßnahme für das Arbeitsprofil verwenden möchte.
• Eine registrierungsspezifische ID stellt eine eindeutige ID dar, mit der die Registrierung des Arbeitsprofils in einer bestimmten Organisation identifiziert wird. Sie bleibt auch nach dem Zurücksetzen auf die Werkseinstellungen stabil. Der Zugriff auf andere Hardware-IDs des Geräts (IMEI, MEID, Seriennummer) wird für private Geräte mit einem Arbeitsprofil in Android 12 entfernt.
• Auf unternehmenseigenen Geräten mit und ohne Arbeitsprofil können die in den vorherigen Listenelementen aufgeführten Funktionen verwendet werden. Unter Android 12 ist dies jedoch nicht erforderlich.
• Sie können das Netzwerk-Logging für Arbeitsprofile festlegen und abrufen. Sie können das Netzwerk-Logging im Arbeitsprofil an eine andere geschäftliche Anwendung delegieren. Sie können das Netzwerk-Logging nicht verwenden, um den Traffic im privaten Profil zu überwachen.
• Nutzer haben zusätzliche Datenschutzeinstellungen für Apps im Arbeitsprofil. Nutzer können Apps mit Arbeitsprofilen die folgenden Berechtigungen gewähren, sofern sie nicht von ihrem IT-Administrator abgelehnt werden. Der Nutzer kann für jede App im Arbeitsprofil die folgenden Berechtigungen zulassen oder ablehnen:
  • Standort
  • Kamera
  • Mikrofon
  • Körpersensor
  • Körperliche Aktivität

Unternehmenseigene Geräte

Die folgenden neuen Funktionen sind für unternehmenseigene Geräte verfügbar. Der Begriff unternehmenseigenes Gerät bezieht sich sowohl auf vollständig verwaltete Geräte als auch auf unternehmenseigene Geräte mit Arbeitsprofil.

• Ein IT-Administrator kann USB auf unternehmenseigenen Geräten deaktivieren, mit Ausnahme von Ladefunktionen. Mit dieser Funktion können Sie prüfen, ob diese Funktion auf dem Gerät unterstützt wird und nachprüfen, ob sie derzeit aktiviert ist.

• Auf unternehmenseigenen Geräten mit einem Arbeitsprofil können die im privaten Profil verwendeten Eingabemethoden so eingeschränkt werden, dass nur Systemeingabemethoden zulässig sind.

• In Android 12 können Sie einen Delegationsbereich erstellen. Rufen Sie setDelegatedScopes() auf und übergeben Sie DELEGATION_SECURITY_LOGGING, um Sicherheitslogereignisse zu aktivieren und zu erfassen. Mit Sicherheits-Logging können Organisationen Nutzungsdaten von Geräten erfassen, die geparst und programmatisch auf bösartiges oder riskantes Verhalten überprüft werden können. Delegierte Anwendungen können Sicherheits-Logging aktivieren, prüfen, ob Logging aktiviert ist, und die Sicherheitslogs abrufen.

Sonstiges

Im folgenden Abschnitt werden Änderungen an Unternehmens-APIs beschrieben, die nicht speziell für Arbeitsprofile oder unternehmenseigene Geräte gelten.

Verwaltung nicht verwalteter Gerätezertifikate

Geräte ohne Verwaltung können jetzt die On-Device-Schlüsselgenerierung von Android zur Verwaltung von Zertifikaten nutzen:

• Der Nutzer kann einer Zertifikatsverwaltungs-App die Berechtigung erteilen, seine Anmeldedaten (ohne CA-Zertifikate) zu verwalten.
• Die App für die Zertifikatsverwaltung kann die On-Device-Schlüsselgenerierung von Android verwenden.
• Die Anwendung zur Zertifikatsverwaltung kann eine Liste von Anwendungen und URIs deklarieren, deren Anmeldedaten für die Authentifizierung verwendet werden können.

Neue APIs bieten neue Funktionen:

• Prüfen Sie, ob das vorhandene geräteweite Passwort den expliziten Anforderungen an Gerätepasswörter entspricht.
• Prüfen Sie, ob ein Zertifikat und ein privater Schlüssel unter einem bestimmten Alias installiert sind.

Verbesserungen bei Datenschutz und Transparenz für vollständig verwaltete Geräte

IT-Administratoren können Berechtigungserteilungen verwalten oder die Verwaltung von serverbezogenen Berechtigungserteilungen während der Bereitstellung deaktivieren. Wenn sich der Administrator für die Verwaltung von Berechtigungen entscheidet, wird Nutzern während des Einrichtungsassistenten eine explizite Meldung angezeigt. Wenn sich der Administrator dafür entscheidet, werden Nutzer bei der ersten Verwendung der App dazu aufgefordert, die Berechtigungen in der App zu akzeptieren oder abzulehnen. Administratoren können Berechtigungen jederzeit verweigern.

Netzwerkkonfiguration

Ein Device Policy Controller (DPC) kann die Liste der konfigurierten Netzwerke eines Geräts abrufen, ohne die Berechtigung zur Standortermittlung zu benötigen. Dazu wird die neue API getCallerConfiguredNetworks verwendet, statt die vorhandene API getConfiguredNetworks zu verwenden, für die die Berechtigung zur Standortermittlung erforderlich ist. Die Liste der zurückgegebenen Netzwerke ist auf Arbeitsnetzwerke beschränkt.

Ein DPC auf vollständig verwalteten Geräten kann dafür sorgen, dass nur vom Administrator bereitgestellte Netzwerke auf dem Gerät konfiguriert werden, auch ohne die Berechtigung zur Standortermittlung.

Administratoren können die auf sicherer Hardware generierten Schlüssel für die WLAN-Authentifizierung verwenden, indem sie dem WLAN-Subsystem einen SchlüsselChain-Schlüssel zur Authentifizierung zuweisen und ein Unternehmens-WLAN mit diesem Schlüssel konfigurieren.

Automatische Gewährung verbundener Apps

Für eine bessere Nutzererfahrung wird einigen vorinstallierten Anwendungen automatisch die Konfiguration zum Freigeben von personenbezogenen und geschäftlichen Daten gewährt.

Android 11 oder höher:

• je nach OEM des Geräts, vorinstallierte Assistent-Apps oder vorinstallierte Standard-IMEs
• Google App, falls sie vorinstalliert ist.
• Gboard App, sofern sie vorinstalliert und die Standard-IME-App aus dem Lieferumfang ist

Android 12 und höher:

• Android Auto App, falls sie vorinstalliert ist

Die vollständige Liste der Anwendungen hängt vom jeweiligen OEM ab.

Einstellung von Produkten und Funktionen

Unter Android 12 gibt es die folgenden wichtigen API-Einstellungen:

• setPasswordQuality() und getPasswordQuality() wurden zum Einrichten eines geräteweiten Sicherheitscodes auf privaten Geräten mit Arbeitsprofil eingestellt. DPCs sollten stattdessen setRequiredPasswordComplexity() verwenden.
• setOrganizationColor() und getOrganizationColor() wurden in Android 12 vollständig eingestellt.
• android.app.action.PROVISION_MANAGED_DEVICE wird unter Android 12 nicht mehr unterstützt. DPCs müssen Aktivitäten mit Intent-Filtern für die Intent-Aktionen ACTION_GET_PROVISIONING_MODE und ACTION_ADMIN_POLICY_COMPLIANCE implementieren. Wenn Sie die Bereitstellung mit ACTION_PROVISION_MANAGED_DEVICE starten, schlägt sie fehl. Zur weiteren Unterstützung von Android 11 und niedriger sollten EMMs weiterhin die Konstante PROVISION_MANAGED_DEVICE unterstützen.
• setPermissionPolicy() und setPermissionGrantState() wurden eingestellt, da sie sensorbezogene Berechtigungen für alle Geräte mit Arbeitsprofil gewähren, die auf Android 12 und höher ausgerichtet sind. Das führt zu folgenden Änderungen:
  • Auf Geräten, die von Android 11 auf Android 12 aktualisiert werden, bleiben bestehende Berechtigungserteilungen erhalten, neue Berechtigungen sind jedoch nicht möglich.
  • Berechtigung zum Ablehnen von Berechtigungen bleibt bestehen.
  • Wenn Sie Anwendungen mit vom Administrator erteilten Berechtigungen entwickeln und verteilen, müssen Sie dafür sorgen, dass diese der empfohlenen Methode zum Anfordern von Berechtigungen entsprechen.
  • Anwendungen, die der empfohlenen Methode zum Anfordern von Berechtigungen folgen, funktionieren weiterhin erwartungsgemäß. Nutzer werden aufgefordert, die Berechtigung zu erteilen. Die App muss in der Lage sein, jedes Ergebnis zu verarbeiten.
  • Anwendungen, die auf vom Administrator erteilte Berechtigungen angewiesen sind und explizit auf durch Berechtigungen geschützte Ressourcen zugreifen, ohne die Richtlinien zu befolgen, können abstürzen.

Weitere Informationen

Weitere Informationen zu weiteren Änderungen, die sich auf deine App auswirken können, findest du auf den Seiten zu Android 12-Verhaltensänderungen (für Apps, die auf Android 12 ausgerichtet sind und für alle Apps).