Este documento descreve os novos recursos do Android for Work oferecidos no Android N.
O Android for Work agora é compatível com o uso de códigos QR para fornecimento de dispositivos de responsabilidade corporativa. Este assistente de configuração permite a digitalização de um código QR para fornecer ao dispositivo.
Donos de perfis podem exigir que os usuários especifiquem um desafio de segurança para aplicativos em execução no perfil de trabalho. O sistema mostra o desafio de segurança quando o usuário tenta abrir qualquer aplicativo de trabalho. Se o usuário preencher corretamente o desafio de segurança, o sistema desbloqueará e, se necessário, descriptografará o perfil de trabalho.
Se um dono de perfil enviar uma intenção {@link
android.app.admin.DevicePolicyManager#ACTION_SET_NEW_PASSWORD}, o
sistema solicitará que o usuário defina um desafio de segurança. O dono de perfil também
pode enviar uma intenção ACTION_SET_NEW_PARENT_PROFILE_PASSWORD para
solicitar que o usuário defina um bloqueio de dispositivo.
Os donos de perfil podem escolher políticas de senha diferentes
das políticas de outros dispositivos para o desafio de trabalho. Por exemplo, o
tamanho mínimo da resposta do desafio no dispositivo pode ser diferente do tamanho
exigido para outras senhas. Os donos de perfis definem as
políticas do desafio por meio dos métodos {@link android.app.admin.DevicePolicyManager}
usuais, como {@link
android.app.admin.DevicePolicyManager#setPasswordQuality
setPasswordQuality()} e {@link
android.app.admin.DevicePolicyManager#setPasswordMinimumLength
setPasswordMinimumLength()}. O dono de perfil também pode definir o bloqueio de dispositivo
usando a instância de {@link android.app.admin.DevicePolicyManager} retornada
pelo novo método DevicePolicyManager.getParentProfileInstance()
. Além disso, donos de perfil podem personalizar a tela de credenciais do
desafio de trabalho usando os novos métodos setOrganizationColor() e
setOrganizationName() da classe {@link android.app.admin.DevicePolicyManager}
.
Para obter detalhes sobre os novos métodos e constantes, consulte a
página de referência DevicePolicyManager na referência do N Preview SDK.
Donos de dispositivos e perfis podem suspender temporariamente o acesso a pacotes
chamando o novo método DevicePolicyManager.setPackagesSuspended()
. Os donos podem usar o mesmo método para reativar esses pacotes.
Enquanto está suspenso, um pacote não consegue iniciar atividades, as notificações são suspensas e a entrada do aplicativo na tela de visão geral é ocultada. Os pacotes suspensos não são exibidos na tela de visão geral e não podem mostrar caixas de diálogo (incluindo avisos e snackbars). Também não conseguem reproduzir áudio nem vibrar o dispositivo.
A tela de início pode aplicar uma IU destacada ao aplicativos suspensos para mostrar que
não estão disponíveis. Podem, por exemplo, exibir o ícone do aplicativo
em cinza. A tela de início pode descobrir se um aplicativo está suspenso chamando o novo método
DevicePolicyManager.getPackageSuspended().
Em dispositivos com dois perfis, o usuário pode ativar ou desativar o modo de trabalho. Quando o modo de trabalho é desativado, o perfil gerenciado é encerrado temporariamente. Os aplicativos, a sincronização em segundo plano e as notificações do perfil de trabalho são desativados, inclusive o aplicativo do dono do perfil. Quando o modo de trabalho está desativado, o sistema exibe um ícone de status persistente para lembrar ao usuário que não é possível iniciar aplicativos de trabalho. A tela de início indica que os aplicativos e widgets de trabalho não podem ser acessados.
Os donos de dispositivo e perfil podem exigir que os aplicativos de trabalho se conectem sempre por meio de uma VPN especificada. Se os donos definirem este requisito, o dispositivo iniciará a VPN automaticamente na inicialização.
Os donos podem exigir o uso de uma VPN chamando o novo
método DevicePolicyManager.setAlwaysOnVpnPackage(). Para descobrir
se o dono definiu um requisito de VPN, chame o novo
método DevicePolicyManager.GetAlwaysOnVpnPackage().
Como o sistema pode vincular os serviços de VPN diretamente sem interação com aplicativos, os clientes de VPN precisam processar novos pontos de entrada para a Always-on VPN. Como antes, você pode encontrar serviços ativos usando um filtro de intenção que corresponda à ação {@link android.net.VpnService android.net.VpnService}.
Os usuários podem configurar manualmente um cliente de VPN always-on que implemente {@link android.net.VpnService} usando a tela Settings > More > VPN.
Os donos de perfil podem permitir pesquisa local e busca no diretório de contatos de trabalho do usuário principal. Por exemplo, um usuário pode acessar os diretórios de contatos pessoais e de trabalho no telefone ou no aplicativo de contatos particular (se permitido pelo administrador do perfil).
Desenvolvedores que se valem do Provedor de Contatos podem usar a Enterprise Contacts API para acessar as entradas do diretório do perfil de trabalho do usuário principal se permitido pela política:
ContactsContract.Contacts.ENTERPRISE_CONTENT_FILTER_URI
ContactsContract.Phone.ENTERPRISE_CONTENT_FILTER_URI
ContactsContract.Email.ENTERPRISE_CONTENT_FILTER_URI
ContactsContract.Callable.ENTERPRISE_CONTENT_FILTER_URI
ContactsContract.Directory.ENTERPRISE_CONTENT_URI
ContactsContract.Directory.isEntepriseDirectoryId()
Donos de perfis podem controlar a visibilidade de contatos de trabalho no usuário principal usando os seguintes novos métodos:
DevicePolicyManager.setCrossProfileContactsSearchDisabled()
DevicePolicyManager.getCrossProfileContactsSearchDisabled()
Donos de dispositivos podem reinicializá-los remotamente. Em alguns casos, dispositivos implementados
dentro de compartimentos em locais públicos podem impedir o acesso ao botão liga/desliga. Se um
dispositivo precisar de reinicialização, os administradores poderão fazer isso usando o novo
método DevicePolicyManager.reboot().
Os donos de dispositivos podem desativar o roaming de dados usando a nova restrição de usuário DISALLOW_DATA_ROAMING do {@link
android.os.UserManager}.
Donos de dispositivos podem monitorá-los remotamente
para identificar atividades suspeitas, incluindo inicialização de aplicativos, atividade adb e desbloqueios de tela. Registros de processo
não exigem consentimento do usuário. Para recuperar os registros, os donos de dispositivos precisam ativar
o registro no dispositivo usando DevicePolicyManager.setSecurityLoggingEnabled().
As mudanças na API incluem:
android.app.admin.SecurityLog e seus
métodos
void DevicePolicyManager.setSecurityLoggingEnabled()
boolean DevicePolicyManager.isSecurityLoggingEnabled()
List<SecurityEvent>
DevicePolicyManager.retrieveSecurityLogs()
List<SecurityEvent>
DevicePolicyManager.retrievePreRebootSecurityLogs()
void DeviceAdminReceiver.onSecurityLogsAvailable()
Donos de dispositivos podem acionar e recuperar remotamente um relatório de erros que contém um arquivo de despejo, o que permite a investigação forense de um incidente conhecido ou um dispositivo danificado. Devido à natureza detalhada do relatório de erros, ele só é gerado com o consentimento do usuário.
O Android N inclui as seguintes adições de API para dar suporte a este recurso. Para obter detalhes, consulte a Referência do N Preview SDK.
DevicePolicyManager.requestBugreport()
DeviceAdminReceiver.onBugreportFailed()
DeviceAdminReceiver.onBugreportShared()
DeviceAdminReceiver.onBugreportSharingDeclined()
DeviceAdminReceiver.BUGREPORT_FAILURE_FAILED_COMPLETING
DeviceAdminReceiver.BUGREPORT_FAILURE_FILE_NO_LONGER_AVAILABLE
Agora, donos de perfis e dispositivos podem remover certificados de cliente que foram
instalados por meio do {@link android.app.admin.DevicePolicyManager#installKeyPair
installKeyPair()} chamando o novo método
DevicePolicyManager.removeKeyPair().
Se um dono de perfil ou dispositivo conceder a um aplicativo de terceiros a capacidade de gerenciar certificados, o próprio aplicativo poderá conceder acesso a certificados que tenha instalado sem qualquer intervenção do dono.
A API existente para gerenciamento de certificados foi expandida para incluir:
DevicePolicyManager.installKeyPair()
Políticas que afetem a experiência do usuário ou restrinjam Settings são totalmente divulgadas e os donos de perfis e dispositivos podem atribuir a política ao departamento de TI da empresa. Além de incluir uma mensagem consistente de "Ação não permitida” em Settings, os administradores de TI podem definir uma mensagem de suporte específica para a organização nas configurações do dispositivo com os seguintes novos métodos {@link android.app.admin.DevicePolicyManager}:
DevicePolicyManager.setShortSupportMessage()
DevicePolicyManager.setLongSupportMessage()
O dono do dispositivo ou perfil pode habilitar outro aplicativo para gerenciar restrições de aplicativo
por meio do novo
método DevicePolicyManager.setApplicationRestrictionsManagingPackage()
. O aplicativo indicado pode verificar se a permissão foi
concedida chamando
DevicePolicyManager.isCallerApplicationRestrictionsManagingPackage().
Um aplicativo indicado para gerenciar restrições de aplicativos pode chamar {@link android.app.admin.DevicePolicyManager#setApplicationRestrictions setApplicationRestrictions()} e {@link android.app.admin.DevicePolicyManager#getApplicationRestrictions getApplicationRestrictions()} para quaisquer pacotes dentro daquele usuário ou perfil.
Os usuários podem desativar as permissões de localidade para aplicativos de trabalho sem deixar de acessar informações de localidade em seus aplicativos pessoais. Um interruptor de acesso de localidade em separado em Location Settings permite que o usuário impeça atualizações de localização ou consultas de última localidade em aplicativos executados no perfil de trabalho.
O interruptor de desligamento de localidade em nível superior desativa o acesso à localidade para o perfil principal e o perfil gerenciado.
Um aplicativo pode personalizar os fluxos de provisionamento do dono do perfil e do dispositivo com cores e logos corporativos.
DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR
DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI
Donos de dispositivos e perfis podem definir vários certificados de CA para uma determinada
configuração de Wi-Fi. Quando redes Wi-Fi corporativas têm CA separadas para
pontos de acesso separados com o mesmo SSID, os administradores de TI podem incluir todas as
CA correspondentes na configuração de Wi-Fi usando o novo método
setCaCertificates().
As APIs adicionadas foram:
WifiEnterpriseConfig.setCaCertificates()
WifiEnterpriseConfig.getCaCertificates()
Donos de dispositivos podem fornecer informações a ser exibidas na tela de bloqueio. Essas informações têm prioridade sobre a mensagem do usuário na tela de bloqueio (se houver uma definida). Os novos métodos {@link android.app.admin.DevicePolicyManager} são:
setDeviceOwnerLockScreenInfo()
getDeviceOwnerLockScreenInfo()
Os donos de perfil podem especificar um aplicativo de telefone de trabalho que usa um {@link android.telecom.ConnectionService} específico para trabalho para o back-end de chamada (contas de chamada). O telefone de trabalho só mantém um registro de chamadas de trabalho e baseia-se apenas em contatos de trabalho. Os usuários têm uma experiência consistente de IU em chamada em qualquer aplicativo de ligação. As chamadas recebidas pelas contas de trabalho são distintas das chamadas recebidas pelas contas pessoais.
O telefone deve verificar o novo sinalizador
android.telecom.Call.PROPERTY_WORK_CALL para determinar se a chamada
é de trabalho. Se for de trabalho, o telefone deverá indicar o fato
adicionando um distintivo de trabalho, por exemplo.
Uma nova restrição de usuário (DISALLOW_SET_WALLPAPER) impede que
o usuário altere o plano de fundo. O dono do dispositivo ou perfil ainda pode
alterar o plano de fundo, mas só consegue mudar o plano de fundo
do usuário ou perfil que controla. Por exemplo, um dono de perfil não consegue mudar o
plano de fundo do usuário pai, mas o dono de um perfil principal e
o dono do dispositivo conseguem. Um dono de perfil ou dispositivo que queira alterar o
plano de fundo precisa verificar se o usuário ou perfil que gerencia tem um
plano de fundo ({@link android.app.WallpaperManager#isWallpaperSupported
isWallpaperSupported()}) e se possui permissão para alterá-lo (com o
novo método WallpaperManager.isWallpaperSettingAllowed())
Uma nova restrição de usuário (DISALLOW_SET_USER_ICON) impede que
o usuário altere o ícone de usuário. O dono do dispositivo ou perfil
ainda pode alterar o ícone. No entanto, um dono de perfil só consegue alterar o
ícone de usuário do perfil que controla.
Um dono de perfil ou dispositivo pode usar a nova interface
HardwarePropertiesManager para recuperar informações importantes
sobre a integridade do dispositivo, como temperatura da CPU ou da GPU e uso de CPU. A nova
interface de monitoramento é especialmente útil para monitorar dispositivos não assistidos
executados em uma localidade remota.