Manuale utente

• Introduzione
• Configurazione
• Configurazione Android Management
• Configurazione Apple Management (APNs)
• Panoramica sul provisioning dei dispositivi
• Provisioning dispositivi - Android
• Dispositivi supportati
• Token di registrazione
• Dispositivi di proprietà personale
• Dispositivi di proprietà aziendale per uso lavorativo e personale
• Dispositivi di proprietà aziendale per uso esclusivamente lavorativo
• Zero-touch
• Autenticazione tramite registrazione Google
• Provisioning dispositivi - Apple
• Panoramica provisioning Apple
• Iscrizione manuale Apple (Profilo di iscrizione)
• Apple Automated Device Enrollment (ADE)
• Panoramica delle policy
• Policy - Android
• Riepilogo
• Gestione app
• Modalità kiosk
• Sicurezza
• Multimedia
• Cellulare
• Networking
• Sistema
• Posizione e geofencing
• Gestione utenti
• Uso personale
• Policy tra profili
• Reporting dello stato
• Varie
• Regole di applicazione della policy
• Policy - Apple
• Apple policy
• Apple policy: Codice di accesso
• Apple policy: Restrizioni
• Apple policy: App e profili
• Stato Dispositivo
• Panoramica dispositivo
• Comandi
• Mappa posizione
• Mappa della posizione nella dashboard
• App private
• Gestione certificati
• Regole degli eventi
• Dispositivi
• Dispositivi
• Utenti
• Utenti
• Editor utenti
• Account
• Impostazioni
• Multi-tenancy
• Panoramica multi-tenancy
• Aziende gestite
• Cambio azienda
• Account secondari
• Insight

Introduzione

Cerberus Enterprise è una soluzione EMM completa, progettata per aiutarti a proteggere e gestire i tuoi dispositivi Android e Apple. Dispone di tutte le funzionalità necessarie per una gestione efficace dei dispositivi BYOD e di proprietà aziendale in una dashboard pulita e intuitiva, e puoi iniziare a usarla in pochi minuti.

Per utilizzare efficacemente Cerberus Enterprise, è necessario comprendere alcuni concetti chiave sul funzionamento del sistema.

Il sistema supporta la gestione di dispositivi sia Android che Apple:

Su Android, Cerberus Enterprise utilizza l'ufficiale Android Management API di Google per gestire i dispositivi tramite l'app Android Device Policy (ADP). La maggior parte delle impostazioni viene applicata direttamente da ADP. Alcune funzionalità opzionali potrebbero richiedere anche l'app companion di Cerberus Enterprise, che estende le possibilità oltre la sola ADP.

Sui dispositivi Apple, Cerberus Enterprise gestisce i dispositivi tramite l'MDM (Mobile Device Management) di Apple. La gestione Apple richiede un certificato APNs e può, facoltativamente, integrarsi con Apple Business Manager per la registrazione automatizzata e la licenza delle app.

Ogni dispositivo può essere registrato nel sistema utilizzando un Token di registrazione o un Profilo di registrazione (registrazione manuale Apple). Il metodo di registrazione è associato a una Policy che contiene le regole da applicare ai dispositivi.

Gli amministratori IT possono modificare la policy associata a un dispositivo dopo la registrazione. Tuttavia, ogni dispositivo può essere associato a una sola policy alla volta.

Durante il processo di registrazione (provisioning), i componenti di gestione richiesti vengono installati e configurati automaticamente. Su Android, questo include tipicamente l'app Android Device Policy (e, a seconda della configurazione, l'app companion di Cerberus Enterprise). Sui dispositivi Apple, la gestione viene applicata tramite MDM una volta registrato il dispositivo. Di conseguenza, la policy corrispondente viene applicata automaticamente al dispositivo e tutte le regole associate vengono eseguite dal sistema di gestione della piattaforma.

Una policy può essere applicata a molti dispositivi. In questo caso, quando si modifica la policy, tutti i dispositivi associati riceveranno le modifiche.

 

Configurazione

Configurazione Android Management

Per gestire i dispositivi Android con Cerberus Enterprise, è necessario innanzitutto collegare la propria organizzazione a Google Android Enterprise.

Il processo di configurazione richiede solitamente pochi minuti e necessita di un indirizzo email aziendale (ad esempio, nome@enterprise.com).

Cosa succede durante la configurazione

• Verrai reindirizzato a Google Android Enterprise.
• Accedi con il tuo indirizzo email aziendale.
• Google crea l'account Android Management per la tua organizzazione.
• Verrai reindirizzato a Cerberus Enterprise per completare la configurazione.

Informazioni importanti

Assicurati di utilizzare un indirizzo email aziendale e non un account Gmail personale. Questo indirizzo verrà utilizzato per creare il tuo account Google Admin per Android Management.

Passaggi successivi

Dopo aver completato la configurazione, crea un Token di iscrizione e scegli il metodo di provisioning appropriato per il dispositivo.

Configurazione Apple Management (APNs)

Per gestire i dispositivi Apple, Cerberus Enterprise richiede il certificato Apple Push Notification service (APNs).

Utilizza l'Apple ID associato alla tua organizzazione. Il certificato APNs è valido per un anno e deve essere rinnovato annualmente per continuare a gestire i dispositivi.

Fase 1: Scarica il file CSR

Nella dashboard, avvia la configurazione di Apple Management e scarica il file Certificate Signing Request (CSR) firmato dal vendor generato da Cerberus Enterprise.

Fase 2: Crea il certificato push sul portale Apple

• Accedi al portale dei certificati push di Apple con il tuo Apple ID.
• Fai clic su "Crea un certificato".
• Carica il file CSR della Fase 1.
• Scarica il certificato push creato.

Link al portale: https://identity.apple.com/

Fase 3: Carica il certificato push

Carica il certificato push scaricato da Apple in Cerberus Enterprise per completare la configurazione.

Se il certificato APNs scade, la gestione dei dispositivi Apple smetterà di funzionare finché il certificato non verrà rinnovato.

Passaggi successivi

Una volta configurato l'APNs, puoi procedere con l'iscrizione dei dispositivi Apple. Continua con Panoramica provisioning Apple.

Panoramica sul provisioning dei dispositivi

Cerberus Enterprise supporta la gestione dei dispositivi sia per la piattaforma Android che per quella Apple. È possibile configurare ogni piattaforma indipendentemente, a seconda dei dispositivi che si desidera registrare.

1. Completa la configurazione della piattaforma nella dashboard

Prima di registrare i dispositivi, completa la configurazione della piattaforma nella dashboard di Cerberus Enterprise. Se il tuo account non è ancora stato configurato, la dashboard ti guiderà attraverso i passaggi necessari.

Configurazione Android (Google Android Enterprise)

Per la procedura completa di configurazione Android, leggi la configurazione della gestione Android.

• Vai al flusso di registrazione della dashboard e seleziona Configura la gestione Android.
• Verrai reindirizzato a Google per accedere con un account di lavoro e autorizzare Android Enterprise.
• Dopo l'autorizzazione, verrai reindirizzato a Cerberus Enterprise per completare la configurazione.

Configurazione Apple (certificato di notifica push APNs)

Per la procedura completa di configurazione Apple, leggi la configurazione della gestione Apple (APNs).

• Vai al flusso di registrazione della dashboard e seleziona Configura la gestione Apple.
• Scarica il file CSR da Cerberus Enterprise.
• Crea il certificato APNs nel portale Apple Push Certificates e scarica il certificato risultante.
• Carica il certificato scaricato nuovamente in Cerberus Enterprise per abilitare la gestione dei dispositivi Apple.

2. Registra i dispositivi

Dopo aver completato la configurazione della piattaforma, scegli il metodo di registrazione corrispondente al modello di proprietà del tuo dispositivo e al sistema operativo.

Registrazione Android

Per Android, la registrazione è gestita tramite token di registrazione. Seleziona il metodo appropriato a seconda che il dispositivo sia di proprietà personale o aziendale.

• Proprietà personale (BYOD / profilo di lavoro): segui questa guida.
• Aziendale (uso lavorativo e personale / profilo di lavoro): segui questa guida.
• Aziendale (solo uso lavorativo / gestione completa o dedicato): segui questa guida.
• Zero-touch: segui questa guida.

Registrazione Apple

Per Apple, inizia completando la configurazione APNs descritta sopra, quindi segui le guide alla registrazione Apple: Panoramica sul provisioning Apple.

Provisioning dispositivi - Android

Dispositivi supportati

In generale, qualsiasi dispositivo con Android 6 o versioni successive e Google Play Services è compatibile con Cerberus Enterprise.

Per un'esperienza utente migliore, suggeriamo di utilizzare dispositivi che soddisfino i requisiti Android Enterprise Recommended.

Alcune funzionalità sono limitate a versioni specifiche di Android o potrebbero comportarsi in modo diverso tra le varie versioni del sistema operativo. Per ulteriori informazioni su una funzione specifica, consulta la sezione Policy della documentazione.

Cerberus Enterprise supporta sia i dispositivi di proprietà aziendale che quelli personali, e due modalità di gestione: device owner e profile owner.

I dispositivi di proprietà personale possono essere gestiti tramite un profilo di lavoro. Ciò consente una soluzione BYOD mantenendo i dati e le app di lavoro dei dipendenti separati dai dati e dalle app personali, migliorando sia la sicurezza che la privacy. Questa opzione è adatta per i dispositivi già in possesso dei dipendenti che si desidera registrare nella propria organizzazione per uso lavorativo.

I dispositivi di proprietà aziendale possono essere gestiti anche tramite un profilo di lavoro, ma è possibile scegliere anche l'opzione completamente gestita, che consente un controllo più rigoroso sul dispositivo. I dispositivi di proprietà aziendale con profilo di lavoro sono adatti quando si forniscono dispositivi aziendali ai dipendenti per il lavoro, consentendo comunque l'uso personale. I dispositivi completamente gestiti sono più indicati per i dispositivi che devono essere utilizzati esclusivamente per lavoro, o per dispositivi dedicati (COSU, corporate-owned single-use), come i chioschi.

Per ulteriori informazioni sulla configurazione dei dispositivi, consulta la pagina Panoramica sulla configurazione dei dispositivi.

Token di registrazione

Cerberus Enterprise utilizza i token di registrazione per avviare il processo di registrazione (provisioning) dei dispositivi Android. Il token selezionato definisce la policy iniziale applicata ai dispositivi registrati e influenza quali modalità di provisioning sono consentite.

La scheda dei token di registrazione Android è disponibile solo dopo aver completato la configurazione della gestione Android.

Dove trovare i token di registrazione

Nella dashboard, apri Token di registrazione. A seconda della configurazione del tuo account, la pagina può mostrare più schede (Token Android, Registrazione tramite accesso Google, Registrazione manuale Apple e Registrazione automatizzata dei dispositivi Apple).

Se la tua Android Enterprise è supportata da un dominio Google gestito (Google Workspace), la dashboard può anche mostrare una scheda Autenticazione tramite registrazione Google. Per i dettagli su come abilitarla e utilizzarla, consulta Autenticazione tramite registrazione Google.

Elenco token di registrazione (Android)

La scheda dei token Android mostra una tabella con tutti i token. Facendo clic su una riga si aprirà la pagina dei dettagli del token.

Colonne

• ID: identificativo interno del token.
• Stato: Disponibile, Utilizzato (token monouso già utilizzato) o Scaduto.
• Scadenza: data/ora di scadenza, o Mai.
• Policy: la policy assegnata al token (il tooltip dell'interfaccia utente mostra anche l'ID della policy).
• Uso personale: Consentito / Non consentito / Dispositivo dedicato.
• Utilizzi consentiti: Multipli o monouso.
• Utente: utente facoltativo pre-assegnato ai dispositivi registrati con il token.

Azioni

• Ogni riga presenta un'azione di eliminazione (Elimina token di registrazione). L'eliminazione è disabilitata quando la licenza è scaduta.
• La tabella supporta la selezione di più righe: è possibile attivare la modalità di selezione, selezionare più token e procedere all'eliminazione tramite Elimina token selezionati.
• Utilizza l'azione di aggiornamento per ricaricare l'elenco. La tabella è paginata (10/25/50 elementi per pagina).

Crea un nuovo token di registrazione

Nella scheda dei token Android, fai clic su Nuovo token di registrazione per aprire la pagina di creazione del token. Se la licenza è scaduta, il pulsante di creazione è disabilitato.

Opzioni del token

1. Policy

Obbligatorio. La policy viene applicata automaticamente a tutti i dispositivi registrati tramite questo token. Seleziona una delle tue policy Android. Se non hai ancora alcuna policy, creane una per prima cosa.

2. Utente

Facoltativo. Se impostato, i nuovi dispositivi registrati verranno associati automaticamente a questo utente.

3. Uso personale

Determina se l'uso personale è consentito su un dispositivo configurato con questo token di registrazione:

• Consentito: adatto per dispositivi di proprietà personale (profilo di lavoro) e dispositivi aziendali per uso lavorativo e personale.
• Non consentito: adatto per dispositivi aziendali esclusivamente per uso lavorativo (gestione completa).
• Dispositivo dedicato: adatto per dispositivi kiosk/dedicati (il dispositivo non è associato a un singolo utente).

4. Utilizzi consentiti

Seleziona se il token può essere utilizzato più volte (Multipli) o una sola volta (Monouso).

5. Scadenza

Seleziona l'unità di scadenza (Minuti, Ore, Giorni o Mai). Se non è impostata su Mai, inserisci il valore di scadenza. L'intervallo consentito dipende dall'unità selezionata e può arrivare fino a 10.000 giorni.

Opzioni di provisioning (solo tramite codice QR)

Queste opzioni aggiuntive sono incorporate nel codice QR e vengono applicate durante il provisioning dei dispositivi con gestione completa registrati tramite scansione del codice QR. Non si applicano ai profili di lavoro o ai dispositivi registrati tramite URL di registrazione o token.

Configurazione Wi-Fi

Utilizza questa opzione per consentire a un dispositivo di connettersi automaticamente al Wi-Fi durante il provisioning, in modo che possa scaricare e inizializzare l'app di gestione. I campi disponibili includono SSID, SSID nascosto, Sicurezza e (quando necessario) Passphrase.

È inoltre possibile configurare un proxy HTTP (Proxy) e, a seconda della modalità, impostare Host/Porta, URI PAC e Host bypass proxy.

Altre opzioni

Le opzioni aggiuntive includono Locale, Fuso orario e Salta crittografia.

Dettagli del token di registrazione

Quando apri un token, la pagina dei dettagli mostra la configurazione del token e le informazioni sull'utilizzo:

• Stato, Scadenza, Utilizzo, Uso personale e Utilizzi consentiti.
• Token: il valore grezzo del token di registrazione (copiabile).
• URL di registrazione: un URL di registrazione per Google Android Enterprise (copiabile e inviabile via email).
• Codice QR: mostrato sul lato destro della pagina, utilizzato per registrare i dispositivi con gestione completa.

Per le procedure di provisioning passo dopo passo, segui le guide alla registrazione Android: Dispositivi di proprietà personale, Dispositivi aziendali per uso lavorativo e personale, Dispositivi aziendali esclusivamente per uso lavorativo, e Zero-touch.

Dispositivi di proprietà personale

Link al token di registrazione

Versione Android

6.0+

Aggiungi profilo di lavoro dalle "Impostazioni"

Versione Android

6.0+

Scarica Android Device Policy

Versione Android

6.0+

Dispositivi di proprietà aziendale per uso lavorativo e personale

• La maggior parte delle policy relative ad app, dati e altre funzioni di gestione si applica solo al profilo di lavoro.
• I profili personali dei dipendenti rimangono privati. Tuttavia, le aziende possono imporre determinate policy sull'intero dispositivo e sulle modalità di utilizzo personale.
• Le aziende possono utilizzare lo scope di blocco per imporre azioni di conformità sull'intero dispositivo o solo sul suo profilo di lavoro.
• La rimozione dell'iscrizione e i comandi del dispositivo si applicano all'intero dispositivo.

Metodo tramite codice QR

Versione Android

8.0+

Dispositivi di proprietà aziendale per uso esclusivamente lavorativo

Metodo tramite codice QR

Versione Android

7.0+

Metodo tramite identificativo DPC

Versione Android

5.1+

Zero-touch

Gli amministratori IT possono configurare i dispositivi di proprietà aziendale utilizzando il metodo di registrazione zero-touch, descritto in Registrazione zero-touch per amministratori IT. Quando un dispositivo viene acceso per la prima volta, viene forzatamente applicata automaticamente la configurazione definita dall'amministratore IT.

Gli amministratori IT possono preconfigurare i dispositivi acquistati presso rivenditori autorizzati e gestirli tramite la dashboard di Cerberus Enterprise. Per collegare il tuo account Zero-touch, vai alla sezione Zero-touch nella dashboard e segui le istruzioni.

Versione Android	Profilo di lavoro	Dispositivo completamente gestito	Dispositivo dedicato
8.0+ (Pixel 7.1+)	✓	✓	✓

Autenticazione tramite registrazione Google

L'autenticazione tramite registrazione Google (chiamata anche Autenticazione Google per la registrazione) consente agli utenti di autenticarsi con il proprio account Google Workspace durante la registrazione del dispositivo Android.

Questa funzione è disponibile solo per le Android Enterprise supportate da un dominio Google gestito (Google Workspace).

Dove trovarlo

Nella dashboard, apri Token di registrazione e seleziona la scheda Autenticazione tramite registrazione Google. La scheda viene mostrata solo quando la gestione Android è configurata e l'integrazione con Google Workspace è disponibile per la tua azienda.

Abilita (o disabilita) l'autenticazione Google

L'autenticazione Google viene abilitata dalla console di amministrazione Google. Dopo aver modificato l'impostazione, torna su Cerberus Enterprise e usa Aggiorna stato per ricaricare la configurazione corrente.

1. Accedi alla tua console di amministrazione Google con un account amministratore.
2. Apri Dispositivi.
3. Vai su Dispositivi mobili e endpoint → Impostazioni → Integrazioni di terze parti.
4. Trova l'integrazione Android EMM per Cerberus Enterprise e aprila.
5. Fai clic su Gestisci provider EMM.
6. Attiva o disattiva Autenticazione tramite registrazione Google per abilitare o disabilitare l'autenticazione Google per la registrazione.
7. Fai clic su Salva.
8. Torna alla dashboard di Cerberus Enterprise e fai clic su Aggiorna stato nella scheda Autenticazione tramite registrazione Google.

Token di registrazione tramite autenticazione Google

Quando l'autenticazione Google è abilitata, la dashboard mostra un token di registrazione dedicato utilizzato per questa modalità di registrazione. La pagina può mostrare un codice QR, un valore Token di registrazione e un URL di registrazione (copiabile e inviabile via email).

Opzioni principali

• Consenti uso personale: controlla se il token può registrare dispositivi per uso lavorativo e personale (scenari con profilo di lavoro) o solo per uso lavorativo (scenari con gestione completa / dispositivi dedicati).
• Policy predefinita di fallback: la policy applicata quando l'utente che effettua la registrazione non ha una specifica policy predefinita di autenticazione Google assegnata.

Interazione con la policy

L'impostazione della policy Autenticazione durante la configurazione dell'account di lavoro (workAccountSetupConfig.authenticationType) controlla come gli utenti si autenticano durante la configurazione dell'account di lavoro, ma l'impostazione della console di amministrazione Google Autenticazione tramite registrazione Google e il tipo di token di registrazione possono comunque richiedere l'autenticazione.

Per i dispositivi già registrati, questa policy si applica solo se il dispositivo è gestito da un account Google Play gestito (ovvero, registrato senza Autenticazione tramite registrazione Google).

Alcune azioni (ad esempio la modifica delle opzioni del token) possono essere disabilitate quando la licenza è scaduta.

Registrare un dispositivo

Durante la registrazione, all'utente viene richiesto di autenticarsi con il proprio account Google Workspace. Una volta completata la registrazione, il dispositivo viene associato all'utente autenticato.

Profilo di lavoro (dispositivi di proprietà personale)

• Condividi l'URL di registrazione con l'utente. Quando l'utente lo apre sul proprio dispositivo Android, verrà guidato attraverso la configurazione del profilo di lavoro e l'autenticazione Google.
• In alternativa, l'utente può iniziare dalle impostazioni di Android e scegliere il flusso di configurazione del profilo di lavoro, quindi scansionare il codice QR o inserire il token di registrazione quando richiesto.

Dispositivi aziendali

• Metodo tramite codice QR: su un nuovo dispositivo o su uno ripristinato ai dati di fabbrica, tocca lo schermo più volte nello stesso punto finché non appare l'avviso per il codice QR, quindi scansiona il codice QR mostrato nella dashboard.
• Metodo tramite identificativo DPC (quando la scansione del codice QR non è disponibile): segui la procedura guidata di configurazione, connettiti al Wi-Fi e poi, quando ti viene richiesto di accedere, inserisci afw#setup e procedi scansionando il codice QR o inserendo il token di registrazione. Quando richiesto, autenticati con l'account Google Workspace.

Per le procedure di provisioning Android generiche (profilo di lavoro rispetto a gestione completa), consulta le pagine standard sulla registrazione Android in questo manuale.

Provisioning dispositivi - Apple

Panoramica provisioning Apple

Cerberus Enterprise supporta l'iscrizione e la gestione dei dispositivi Apple. Il provisioning Apple richiede un certificato APNs e può essere eseguito utilizzando diversi metodi di iscrizione.

Prerequisito: configurare Apple Management (APNs)

Prima di iscrivere qualsiasi dispositivo Apple, completa la configurazione di Apple Management (APNs).

Scegli un metodo di iscrizione

Iscrizione manuale (Profilo di iscrizione)

Questo metodo fornisce un URL di iscrizione e un file del profilo di configurazione (mobileconfig) da installare sul dispositivo. Leggi Iscrizione manuale Apple.

Automated Device Enrollment (ADE)

Questo metodo si integra con Apple Business Manager per automatizzare l'iscrizione dei dispositivi di proprietà aziendale. Leggi Apple Automated Device Enrollment (ADE).

È possibile utilizzare l'iscrizione manuale e l'ADE in parallelo, a seconda del parco dispositivi e del processo di acquisto.

Iscrizione manuale Apple (Profilo di iscrizione)

Cerberus Enterprise supporta l'iscrizione manuale per i dispositivi Apple tramite un URL di iscrizione e un file del profilo di iscrizione.

L'iscrizione manuale è disponibile quando Apple Management (APNs) è configurato. Se non hai ancora completato la configurazione dell'APNs, consulta Configurazione Apple Management (APNs).

Ottieni l'URL di iscrizione e il profilo

• Apri la sezione Iscrizione nella dashboard e seleziona la scheda Iscrizione manuale Apple (Profilo di iscrizione).
• Copia l'URL di iscrizione o utilizza l'azione di invio tramite email.
• Scarica il Profilo di iscrizione (file mobileconfig).

Come iscrivere un iPhone o un iPad

iOS/iPadOS 15.0+

1. Invia il file del profilo di iscrizione (enroll.mobileconfig) al dispositivo, oppure apri l'URL di iscrizione in Safari sul dispositivo.
2. Sul dispositivo, apri Impostazioni → Profilo scaricato → Installa, quindi segui le istruzioni.
3. Dopo l'iscrizione, puoi verificare lo stato in Impostazioni → Generali → VPN e gestione dispositivi (o Profili e gestione dispositivi).

Installa solo i profili di iscrizione che hai ottenuto dalla tua dashboard Cerberus Enterprise.

Apple Automated Device Enrollment (ADE)

Automated Device Enrollment (ADE) si integra con Apple Business Manager (ABM) per iscrivere automaticamente i dispositivi di proprietà aziendale quando vengono accesi per la prima volta (o dopo un ripristino ai dati di fabbrica).

ADE richiede che Apple Management (APNs) sia configurato per primo. Se necessario, consulta Configurazione Apple Management (APNs).

Come iscrivere i dispositivi automaticamente

1. Aggiungi i dispositivi al tuo account Apple Business Manager.
2. Dopo aver aggiunto i nuovi dispositivi al tuo account ABM, sincronizzali in Cerberus Enterprise dalla sezione Dispositivi utilizzando l'azione Sincronizza da ABM.
3. Crea un profilo ADE nella dashboard da Iscrizione → Apple Automated Device Enrollment (ADE) → Nuovo profilo ADE.
4. Assegna un profilo ADE a un dispositivo dalla pagina dei dettagli del dispositivo utilizzando il campo Profilo ADE.

Impostazioni profilo ADE (panoramica)

Un profilo ADE controlla come il dispositivo viene iscritto e come si comporta l'Assistente per la configurazione. In Cerberus Enterprise, un profilo ADE include un nome, una policy iniziale opzionale e alcune opzioni di iscrizione.

Nome del profilo

Un nome leggibile dall'uomo per il profilo (ad esempio, Profilo ADE predefinito).

Policy

La policy applicata inizialmente ai dispositivi iscritti. È possibile assegnare una policy durante la creazione di un nuovo profilo ADE.

Opzioni di iscrizione

• MDM rimovibile: controlla se il payload MDM può essere rimosso dal dispositivo.
• Consenti accoppiamento: controlla se l'accoppiamento è consentito (deprecato da Apple in iOS 13).
• Avanzamento automatico configurazione: fa avanzare automaticamente l'Assistente per la configurazione attraverso le sue schermate.
• Attendi configurazione dispositivo: blocca l'Assistente per la configurazione finché il server non contrassegna il dispositivo come configurato.
• Obbligatorio: impedisce di saltare l'applicazione del profilo durante la configurazione.
• Multi utente (Shared iPad): configura il dispositivo per la modalità Shared iPad.
• Supervisione: richiede la supervisione per il dispositivo.

Una volta che un dispositivo ha un profilo ADE assegnato, è pronto per l'iscrizione automatica.

Panoramica delle policy

La sezione Policy della dashboard (Dashboard → Policy) elenca tutte le policy del tuo account e ti consente di crearle, copiarle, modificarle ed eliminarle.

Elenco delle policy

Le policy sono visualizzate in una tabella. Facendo clic su una riga si apre l'editor della policy corrispondente.

Colonne

• ID: identificativo interno della policy.
• MDM: la piattaforma per la policy (Android o Apple).
• Nome: nome della policy.
• Descrizione: descrizione della policy.
• Dispositivi: numero di dispositivi registrati attualmente assegnati alla policy.

Filtri e ricerca

• Se sono configurati sia Android Management che Apple Management, puoi filtrare l'elenco per Tutto, Android o Apple.
• Puoi attivare Cerca e cercare per nome o descrizione della policy.

Aggiornamento e impaginazione

• Utilizza l'azione di aggiornamento per ricaricare l'elenco.
• La tabella è paginata (10/25/50 elementi per pagina).

Crea una nuova policy

In fondo alla pagina delle Policy è possibile creare una nuova policy. A seconda di quale piattaforma sia configurata nel tuo account, potresti vedere una o entrambe le seguenti azioni:

• Crea nuova policy Android
• Crea nuova policy Apple

Se la licenza è scaduta, la creazione di policy (e altre azioni di scrittura) sono disabilitate.

Copia e elimina le policy

Ogni riga della policy ha un menu di azioni che include Copia policy e Elimina policy.

Avvisi per l'eliminazione della policy

Quando si elimina una policy, la dashboard potrebbe mostrare avvisi aggiuntivi a seconda di come viene utilizzata la policy.

• Se la policy è assegnata a dispositivi registrati, l'eliminazione della stessa rimuoverà i dispositivi associati dalla gestione e ne cancellerà le app e i dati.
• Se la policy è assegnata a token di registrazione, tali token potrebbero non essere più in grado di completare la registrazione.
• Se la policy è impostata come predefinita per la registrazione tramite autenticazione Google (a livello globale o per alcuni utenti), la sua eliminazione può causare il fallimento delle registrazioni.

Elimina più policy

L'elenco delle policy supporta la selezione di più righe per l'eliminazione massiva. In modalità selezione multipla, puoi selezionare più policy ed eliminarle con un'unica azione.

L'eliminazione massiva è abilitata solo quando tutte le policy selezionate appartengono alla stessa piattaforma (tutte Android o tutte Apple).

Successivo: modifica le impostazioni della policy

L'elenco delle Policy è il punto di accesso. Per configurare le impostazioni della policy, utilizza la documentazione dell'editor appropriata: Policy → Android e Policy → Apple.

Le policy riferite ai token di registrazione vengono applicate automaticamente durante la registrazione del dispositivo.

Policy - Android

Riepilogo

Le policy Android sono le entità principali del sistema: esse definiscono le regole che vengono applicate ed eseguite sui dispositivi gestiti.

Puoi sfogliare le tue policy e crearne di nuove dalla sezione Policy della dashboard. Per aprire una policy Android, fai clic sulla riga della policy nella tabella: il sistema aprirà la pagina Editor delle policy.

Una policy può essere associata a un token di registrazione, in modo da essere applicata automaticamente ai dispositivi durante il processo di provisioning. È inoltre possibile modificare la policy assegnata a un dispositivo dopo il provisioning.

Ogni dispositivo può essere associato a una sola policy alla volta.

Molte opzioni della policy si applicano solo a tipi di dispositivi specifici (fully managed, dedicated, work profile) e versioni di Android. Le impostazioni non supportate potrebbero essere ignorate dal dispositivo o segnalate come non conformi.

Layout dell'editor di policy

L'Editor di policy è organizzato come un insieme di sezioni espandibili. Nella parte superiore della pagina è sempre possibile modificare:

• Nome (obbligatorio)
• ID (sola lettura)
• Descrizione (opzionale)

Le sezioni seguenti corrispondono ai pannelli dell'Editor di policy (ad esempio: Gestione app, Sicurezza, Rete, Sistema, Utilizzo personale, Policy cross-profile e altro ancora). Consulta le pagine dei capitoli di questo manuale per comprendere ogni pannello nel dettaglio.

Salvataggio, eliminazione e dispositivi associati

Utilizza Salva policy per applicare le modifiche. Il pulsante è disabilitato quando non ci sono modifiche in sospeso o quando la licenza è scaduta.

Se hai aperto una policy esistente (che possiede un ID), la pagina mostra l'azione Elimina policy e l'elenco Dispositivi associati in fondo, così puoi vedere quanti dispositivi stanno utilizzando attualmente la policy.

Gestione app

In questa sezione è possibile impostare le policy relative alla disponibilità delle app, all'installazione, agli aggiornamenti e alla gestione dei permessi.

Gli account Managed Google Play vengono creati automaticamente durante il provisioning dei dispositivi.

 

1. Modalità Play Store

Questa modalità controlla quali app sono disponibili per l'utente nel Play Store e il comportamento del dispositivo quando le app vengono rimosse dalla policy.

Whitelist (predefinito): solo le app presenti nella policy sono disponibili e qualsiasi app non presente nella policy verrà disinstallata automaticamente dal dispositivo. Il Play Store mostrerà solo le app disponibili.

Blacklist: tutte le app sono disponibili e qualsiasi app che non dovrebbe essere sul dispositivo deve essere esplicitamente contrassegnata come bloccata nella policy delle applicazioni. Il Play Store mostrerà tutte le app, ad eccezione di quelle bloccate.

 

2. Policy app non attendibili

La policy per le app non attendibili (app da fonti sconosciute) applicata sul dispositivo. Questa opzione controlla l'impostazione del sistema Android che determina se un utente può installare app al di fuori del Play Store (sideloading).

Disallow (predefinito): impedisce l'installazione di app non attendibili su tutto il dispositivo.

Solo profilo personale: per i dispositivi con profili di lavoro, consente l'installazione di app non attendibili solo nel profilo personale del dispositivo.

Consenti: consente l'installazione di app non attendibili su tutto il dispositivo.

 

3. Google Play Protect

Se la verifica delle app tramite Google Play Protect è obbligatoria.

Obbligatoria (predefinito): forza la verifica delle app.

Scelta dell'utente: consente all'utente di scegliere se attivare la verifica delle app.

 

4. Policy dei permessi predefinita

La policy per l'autorizzazione delle richieste di permessi durante l'esecuzione alle app.

Prompt (predefinito): richiede all'utente di concedere un permesso.

Concedi: concede automaticamente un permesso.

Nega: nega automaticamente un permesso.

 

5. Funzioni delle app

Controlla se alle app sui dispositivi completamente gestiti o nei profili di lavoro è consentito esporre funzioni dell'app. Richiede Android 16 o versioni successive.

Consentito (predefinito): le app sui dispositivi completamente gestiti o nei profili di lavoro possono esporre funzioni dell'app.

Non consentito: le app sui dispositivi completamente gestiti o nei profili di lavoro non possono esporre funzioni dell'app.

 

6. Installazione app disabilitata

Se l'installazione delle app da parte dell'utente è disabilitata.

 

7. Disinstallazione app disabilitata

Se la disinstallazione delle applicazioni da parte dell'utente è disabilitata.

 

8. Policy dei permessi

Concessioni o negazioni esplicite di singoli permessi o di gruppi per tutte le app. Questi valori sovrascrivono l'impostazione Policy dei permessi predefinita.

Usa Aggiungi policy dei permessi per creare le voci e rimuovile con l'azione di eliminazione.

Ogni voce include:

Permesso/gruppo Android: Il permesso o il gruppo Android (obbligatorio), ad esempio android.permission.READ_CALENDAR o android.permission_group.CALENDAR.

Policy: Concedi / Nega / Prompt (utilizza le stesse opzioni di policy della Policy dei permessi predefinita).

 

9. Applicazioni

Elenco delle applicazioni che devono essere incluse nella policy. Il comportamento del contenuto dell'elenco dipende dal valore impostato in Modalità Play Store.

Se la Modalità Play Store è impostata su whitelist, solo le app presenti nella policy sono disponibili e qualsiasi app non presente nella policy verrà disinstallata automaticamente dal dispositivo.

Se la Modalità Play Store è impostata su blacklist, tutte le app sono disponibili e qualsiasi app che non dovrebbe essere sul dispositivo deve essere esplicitamente contrassegnata come bloccata nella policy delle applicazioni.

Per aggiungere una nuova app, fai clic sul pulsante Aggiungi applicazioni (o sull'icona Aggiungi applicazioni), quindi scegli l'app dal Play Store e fai clic sul pulsante Seleziona nella scheda dell'app.

Tutte le app pubblicate sul Play Store nel tuo paese sono disponibili per la selezione di default. Per selezionare le tue app private o web, devi prima caricarle nel sistema. Per ulteriori informazioni, consulta la pagina App private.

Ogni app può essere configurata con le proprie impostazioni, che sono contenute visivamente in una scheda:

9.1. Tipo di installazione

Il tipo di installazione da eseguire per un'app.

Disponibile: L'app è disponibile per l'installazione.

Preinstallata: L'app viene installata automaticamente e può essere rimossa dall'utente.

Installazione forzata: L'app viene installata automaticamente e non può essere rimossa dall'utente.

Bloccata: L'app è bloccata e non può essere installata. Se l'app era stata installata con una policy precedente, verrà disinstallata.

Richiesta per la configurazione: L'app viene installata automaticamente, non può essere rimossa dall'utente e impedirà il completamento della configurazione finché l'installazione non sarà terminata.

Kiosk: L'app viene installata automaticamente in modalità kiosk: viene impostata come home intent preferita e inserita nella whitelist per la modalità lock task. La configurazione del dispositivo non sarà completata finché l'app non sarà installata. Dopo l'installazione, gli utenti non potranno rimuovere l'app. È possibile impostare questo tipo di installazione per una sola app per policy. Quando questa opzione è presente nella policy, la barra di stato verrà disabilitata automaticamente. Per ulteriori informazioni, consulta la pagina dedicata alla Modalità Kiosk.

9.2. Vincoli di installazione

Definisce un insieme di restrizioni per l'installazione dell'app. Quando vengono selezionati più vincoli, devono essere soddisfatti tutti affinché l'app possa essere installata.

Questa opzione viene mostrata solo quando il Tipo di installazione è impostato su Preinstallata o Installazione forzata.

Rete non a consumo: installa l'app solo quando il dispositivo è connesso a una rete non a consumo (ad es. Wi-Fi).

In carica: installa l'app solo quando il dispositivo è in fase di ricarica.

Inattivo: installa l'app solo quando il dispositivo è inattivo.

9.3. Modalità aggiornamento automatico

Controlla la modalità di aggiornamento automatico dell'app.

Predefinito: l'app viene aggiornata automaticamente con bassa priorità per minimizzare l'impatto sull'utente. L'app viene aggiornata quando vengono soddisfatti tutti i seguenti vincoli: (1) il dispositivo non è in uso attivo, (2) il dispositivo è connesso a una rete non a consumo, (3) il dispositivo è in carica. Il dispositivo riceve una notifica di un nuovo aggiornamento entro 24 ore dalla pubblicazione da parte dello sviluppatore, dopodiché l'app verrà aggiornata la volta successiva in cui verranno soddisfatti i vincoli sopra indicati.

Posticipato: l'app non viene aggiornata automaticamente per un massimo di 90 giorni dopo che è diventata obsoleta. Dopo 90 giorni dall'obsolescenza, l'ultima versione disponibile viene installata automaticamente con bassa priorità (vedi Modalità aggiornamento automatico predefinita). Dopo l'aggiornamento dell'app, non verrà aggiornata di nuovo automaticamente finché non saranno passati 90 giorni dal momento in cui diventerà nuovamente obsoleta. L'utente può comunque aggiornare manualmente l'app dal Play Store in qualsiasi momento.

Alta priorità: L'app viene aggiornata il prima possibile. Non vengono applicati vincoli. Il dispositivo riceve una notifica immediata di un nuovo aggiornamento non appena questo diventa disponibile.

9.4. Codice versione minimo

La versione minima dell'app che viene eseguita sul dispositivo. Se impostata, il dispositivo tenterà di aggiornare l'app almeno a questo codice versione. Se l'app non è aggiornata, il dispositivo mostrerà un dettaglio di non conformità con il motivo di non conformità impostato su APP_NOT_UPDATED. L'app deve essere già stata pubblicata su Google Play con un codice versione maggiore o uguale a questo valore. Per policy, è possibile specificare un codice versione minimo per un massimo di 20 app.

9.5. Scope delegati

Gli scope delegati all'app da Android Device Policy. È possibile concedere ad altre app una selezione di permessi Android speciali:

Installazione certificati: consente l'accesso all'installazione e alla gestione dei certificati.

Configurazioni gestite: consente l'accesso alla gestione delle configurazioni gestite.

Blocca disinstallazione: consente l'accesso al blocco della disinstallazione.

Permessi: consente l'accesso alla policy dei permessi e allo stato di concessione dei permessi.

Accesso ai pacchetti: consente l'accesso allo stato dell'accesso ai pacchetti.

App di sistema: consente l'accesso per abilitare le app di sistema.

9.6. Rete preferenziale

Il servizio di rete preferenziale da utilizzare per questa app. Se impostato, l'app utilizzerà lo slice di rete aziendale specificato per le sue connessioni quando disponibile. Questo deve corrispondere a uno slice di rete configurato nella sezione Configurazione 5G Network Slicing del pannello Cellulare.

9.7. Policy dei permessi predefinita

La policy predefinita per tutti i permessi richiesti dall'app. Se specificata, questa sovrascrive la Policy dei permessi predefinita a livello di policy che si applica a tutte le app. Non sovrascrive le Policy dei permessi che si applicano a tutte le app.

Prompt (predefinito): richiede all'utente di concedere un permesso.

Concedi: concede automaticamente un permesso.

Nega: nega automaticamente un permesso.

9.8. App connesse tra profilo di lavoro e personale

Controlla se l'app può comunicare tra il profilo di lavoro e quello personale del dispositivo, previa autorizzazione dell'utente (Android 11+).

Non consentito (predefinito): impedisce all'app di comunicare tra profili diversi.

Consentito: consente all'app di comunicare tra profili diversi dopo aver ricevuto il consenso dell'utente.

9.9. Esenzione dal blocco Always On VPN

Specifica se all'app è consentito l'uso della rete quando la VPN non è connessa e il lockdown abilitato è attivo. Supportato solo su dispositivi con Android 10 o versioni successive.

Obbligatoria (predefinito): l'app rispetta l'impostazione di blocco Always On VPN.

Esente: l'app è esente dall'impostazione di blocco Always On VPN.

9.10. Widget del profilo di lavoro

Specifica se all'app installata nel profilo di lavoro è consentito aggiungere widget alla schermata home.

Consentito: l'applicazione può aggiungere widget alla schermata home.

Non consentito: l'applicazione non può aggiungere widget alla schermata home.

9.11. Impostazioni di controllo utente

Specifica se è consentito il controllo da parte dell'utente per una determinata app. Il controllo utente include azioni come l'arresto forzato e la cancellazione dei dati dell'app (Android 11+). Se extensionConfig è abilitato per un'app, il controllo utente è disabilitato indipendentemente da questa impostazione. Per le app in modalità kiosk, puoi usare Consentito per permettere il controllo utente.

Non specificato: utilizza il comportamento predefinito dell'app per determinare se il controllo utente è consentito o meno.

Consentito: il controllo utente è consentito per l'app.

Non consentito: il controllo utente è disabilitato per l'app.

9.12. Disabilitata

Se l'app è disabilitata. Quando disabilitata, i dati dell'app vengono comunque conservati.

9.13. Consenti fornitore di credenziali

Se all'app è consentito agire come fornitore di credenziali su Android 14 e versioni successive.

9.14. Configurazione gestita

Per configurare le impostazioni gestite dell'app, fai clic sul pulsante Abilita configurazione gestita. Se è già stata impostata una configurazione gestita per l'app, puoi modificarla con il pulsante Configurazione gestita o eliminarla con il pulsante Rimuovi configurazione.

L'opzione Configurazione gestita è disponibile solo per le app che supportano questa funzionalità.

9.15. Policy dei permessi

Concessioni o negazioni esplicite di permessi per l'app. Questi valori sovrascrivono la Policy dei permessi predefinita e le Policy dei permessi che si applicano a tutte le app.

Usa Aggiungi policy dei permessi per aggiungere una o più regole di permesso alla scheda dell'app e rimuovile con l'azione di eliminazione.

9.16. ID track

Elenco degli ID track di test chiuso dell'app a cui un dispositivo può accedere. Se vengono selezionati più ID track, i dispositivi riceveranno l'ultima versione disponibile tra tutti gli track accessibili. Se non viene selezionato alcun ID track, i dispositivi avranno accesso solo al track di produzione dell'app.

L'opzione ID track è disponibile solo per le app che hanno almeno un ID track disponibile per la tua organizzazione. Per ulteriori dettagli su come aggiungere la tua organizzazione a un track di test chiuso per una specifica app, leggi qui. 

 

10. Impostazioni predefinite delle applicazioni

Imposta le app predefinite per i tipi supportati. Quando viene impostata un'app predefinita per almeno un tipo, agli utenti è impedito di modificare le app predefinite in quel profilo.

È consentita una sola impostazione dell'applicazione predefinita per Tipo di applicazione predefinita. L'elenco delle applicazioni predefinite non deve contenere duplicati.

10.1. Tipo di applicazione predefinita

Seleziona la categoria di app da configurare (ad esempio Browser, Dialer, SMS, Wallet o Assistente). La disponibilità dipende dalla versione di Android e dalla modalità di gestione.

10.2. Scope delle applicazioni predefinite

Seleziona dove deve essere applicata l'app predefinita (Completamente gestito, Profilo di lavoro o Profilo personale). È possibile scegliere solo gli scope supportati dal tipo selezionato.

Se nessuno degli scope selezionati è applicabile alla modalità di gestione del dispositivo, il dispositivo segnalerà un dettaglio di non conformità.

10.3. Applicazioni predefinite

Elenco delle app che possono essere impostate come predefinite per il tipo selezionato. L'app installata per prima e idonea viene impostata come predefinita.

Se gli scope includono Completamente gestito o Profilo di lavoro, ogni app deve essere presente anche nell'elenco Applicazioni con il Tipo di installazione non impostato su Bloccata.

 

11. Selezione chiave privata

Consente di mostrare l'interfaccia utente su un dispositivo affinché l'utente possa scegliere un alias della chiave privata se non sono presenti regole corrispondenti in Scegli regole chiave privata.

Per i dispositivi con versione Android precedente a P, l'impostazione di questa opzione potrebbe rendere vulnerabili le chiavi aziendali.

 

12. Scegli regole chiave privata

Controlla l'accesso delle app alle chiavi private. La regola determina quale chiave privata, se presente, Android Device Policy concede all'app specificata. L'accesso viene concesso quando l'app chiama KeyChain.choosePrivateKeyAlias (o eventuali overload) per richiedere un alias della chiave privata per un determinato URL, oppure per le regole che non sono specifiche per l'URL (ovvero se urlPattern non è impostato, o è impostato su stringa vuota o .*) su Android 11 e versioni successive, direttamente in modo che l'app possa chiamare KeyChain.getPrivateKey senza dover prima chiamare KeyChain.choosePrivateKeyAlias. Quando un'app chiama KeyChain.choosePrivateKeyAlias e più di una regola in choosePrivateKeyRules corrisponde, l'ultima regola corrispondente definisce quale alias della chiave restituire.

Usa Aggiungi regola chiave privata per creare le voci e rimuovile con l'azione di eliminazione.

12.1. Alias chiave privata

L'alias della chiave privata da utilizzare.

12.2. Pattern URL

Il pattern URL da confrontare con l'URL della richiesta. Se non impostato o vuoto, corrisponde a tutti gli URL. Utilizza la sintassi delle espressioni regolari di java.util.regex.Pattern.

12.3. Nomi dei pacchetti

I nomi dei pacchetti a cui si applica questa regola. L'hash del certificato di firma per ogni app viene verificato rispetto all'hash fornito da Play. Se non vengono specificati nomi di pacchetto, l'alias verrà fornito a tutte le app che chiamano KeyChain.choosePrivateKeyAlias o i relativi overload (ma non senza aver prima chiamato KeyChain.choosePrivateKeyAlias, anche su Android 11 e versioni successive). Qualsiasi app con lo stesso UID Android di un pacchetto specificato qui avrà accesso quando chiamerà KeyChain.choosePrivateKeyAlias.

Usa Aggiungi nome pacchetto per aggiungere le voci e rimuovile con l'azione di eliminazione.

 

Per eliminare un'app, fai clic sull'icona cestino in fondo alla scheda dell'app. 

 

 

Modalità kiosk

Con la modalità kiosk, è possibile limitare le funzionalità di un dispositivo a una singola app o a più app. La scelta tra la modalità kiosk single-app e multi-app dipende dagli obiettivi aziendali.

Nella modalità kiosk single-app, il dispositivo è configurato per una singola applicazione e non consente agli utenti finali di accedere ad altre app sul dispositivo. Inoltre, non è possibile uscire dall'app, rendendola un dispositivo dedicato a quella specifica applicazione. Per abilitare questa modalità, specifica un'app nella sezione Gestione app impostando Tipo di installazione su Kiosk.

Nella modalità kiosk multi-app, ai dispositivi è consentito l'accesso a più applicazioni. Gli utenti finali possono navigare tra diverse app tramite un launcher personalizzato. Per abilitare questa modalità, attiva l'opzione Launcher personalizzato kiosk.

Quando la modalità kiosk è abilitata, è inoltre possibile configurare se gli utenti finali possono accedere a determinate funzioni di sistema, come le impostazioni di sistema e la barra di stato.

 

Launcher personalizzato kiosk

Indica se il launcher personalizzato kiosk è abilitato. Questa opzione sostituisce la schermata home con un launcher che blocca il dispositivo sulle app installate tramite l'impostazione Gestione app. Le app appaiono in un'unica pagina in ordine alfabetico.

 

Azioni del tasto di accensione

Imposta il comportamento del dispositivo in modalità kiosk quando un utente preme e tiene premuto (pressione prolungata) il tasto di accensione.

Disponibile (predefinito): Il menu di accensione (ad es. Spegni, Riavvia) viene mostrato quando un utente effettua una pressione prolungata sul tasto di accensione di un dispositivo in modalità kiosk.

Bloccato: Il menu di accensione (ad es. Spegni, Riavvia) non viene mostrato quando un utente effettua una pressione prolungata sul tasto di accensione di un dispositivo in modalità kiosk. Nota: questo potrebbe impedire agli utenti di spegnere il dispositivo.

 

Avvisi di errore di sistema

Specifica se i dialoghi di errore di sistema per app crashate o non rispondenti vengono bloccati in modalità kiosk. Quando il blocco è attivo, il sistema interromperà forzatamente l'app come se l'utente avesse scelto l'opzione "chiudi app" nell'interfaccia utente.

Bloccato (predefinito): Tutti i dialoghi di errore di sistema, come quelli per crash o app non rispondenti (ANR), vengono bloccati. Quando il blocco è attivo, il sistema interrompe forzatamente l'app come se l'utente la chiudesse dall'interfaccia utente.

Abilitato: Tutti i dialoghi di errore di sistema, come quelli per crash o app non rispondenti (ANR), vengono visualizzati.

Navigazione di sistema

Specifica quali funzioni di navigazione sono abilitate (ad es. tasti Home, Panoramica) in modalità kiosk.

Disabilitato (predefinito): I tasti Home e Panoramica non sono accessibili.

Solo Home: Viene abilitato solo il tasto Home.

Abilitato: I tasti Home e Panoramica sono abilitati.

 

Barra di stato

Specifica se le informazioni di sistema e le notifiche sono disabilitate in modalità kiosk.

Disabilitato (predefinito): Le informazioni di sistema e le notifiche sono disabilitate in modalità kiosk.

Solo sistema: Vengono mostrate solo le informazioni di sistema sulla barra di stato.

Abilitato: Le informazioni di sistema e le notifiche vengono mostrate sulla barra di stato in modalità kiosk. Nota: affinché questa policy abbia effetto, il tasto Home del dispositivo deve essere abilitato tramite kioskCustomization.systemNavigation.

 

Impostazioni del dispositivo

Specifica se l'app Impostazioni è consentita in modalità kiosk.

Consentito (predefinito): L'accesso all'app Impostazioni è consentito in modalità kiosk.

Bloccato: L'accesso all'app Impostazioni non è consentito in modalità kiosk.

Sicurezza

In questa sezione, puoi configurare le policy relative alla sicurezza.

 

Azioni per rischi di sicurezza

Scegli cosa fare quando un dispositivo segnala un rischio di sicurezza (SecurityRisk) nei report sullo stato.

 

Tipi di SecurityRisk supportati:

OS sconosciuto: Play Integrity API rileva che il dispositivo sta eseguendo un sistema operativo sconosciuto (il controllo basicIntegrity ha successo ma ctsProfileMatch fallisce).

OS compromesso: Play Integrity API rileva che il dispositivo sta eseguendo un sistema operativo compromesso (il controllo basicIntegrity fallisce).

Valutazione basata su hardware fallita: Play Integrity API rileva che il dispositivo non ha una garanzia forte di integrità del sistema, se l'etichetta MEETS_STRONG_INTEGRITY non appare nel campo integrità del dispositivo.

 

Azioni disponibili:

Elimina dati aziendali (predefinito): Rimuovi l'enrollment e cancella i dati di lavoro (intero dispositivo se completamente gestito, o solo il profilo di lavoro per quelli con proprietà del profilo).

Nessuna azione: Lascia il dispositivo registrato e non eseguire alcuna azione automatica.

 

Quando selezioni Elimina dati aziendali, puoi anche configurare le opzioni di eliminazione:

Mantieni la protezione dal ripristino di fabbrica: Conserva i dati della Factory Reset Protection (FRP) durante l'eliminazione del dispositivo.

Elimina memoria esterna: Elimina anche la memoria esterna del dispositivo (come le schede SD) durante l'esecuzione dell'eliminazione.

Elimina eSIM: Per i dispositivi di proprietà aziendale, questa opzione rimuove tutte le eSIM dal dispositivo durante l'eliminazione. Nei dispositivi di proprietà personale, verranno rimosse solo le eSIM gestite (eSIM aggiunte tramite il comando ADD_ESIM) e non verranno rimosse le eSIM personali.

 

1. Tempo massimo per il blocco

Tempo massimo (in secondi) di inattività dell'utente prima che il dispositivo si blocchi. Un valore pari a 0 indica l'assenza di restrizioni.

 

2. Resta accesa durante la ricarica

Le modalità di ricarica tramite cavo per le quali il dispositivo rimane acceso. Quando si utilizza questa impostazione, si raccomanda di azzerare Tempo massimo per il blocco in modo che il dispositivo non si blocchi mentre rimane acceso.

Caricabatterie CA: La fonte di alimentazione è un caricabatterie CA.

Porta USB: La fonte di alimentazione è una porta USB.

Caricabatterie wireless: La fonte di alimentazione è wireless.

 

3. Keyguard disabilitato

Se impostato su true, disabilita la schermata di blocco per i display primari e/o secondari. Questa policy è supportata solo in modalità di gestione per dispositivi dedicati.

 

4. Requisiti della password

Policy dei requisiti della password.

Usa Configura requisiti password per aggiungere uno o più blocchi di requisiti della password. Usa Cancella tutto per rimuovere tutti i requisiti della password configurati.

I requisiti della password possono utilizzare l'ambito Automatico (singolo requisito) o ambiti separati Dispositivo/Profilo di lavoro. I requisiti basati sulla complessità devono essere associati a requisiti basati sulla qualità per lo stesso ambito.

4.1. Ambito

L'ambito a cui si applica il requisito della password.

Automatico: L'ambito non è specificato. I requisiti della password vengono applicati al profilo di lavoro per i dispositivi con profilo di lavoro e all'intero dispositivo per i dispositivi completamente gestiti o dedicati.

Dispositivo: I requisiti della password vengono applicati solo al dispositivo.

Profilo di lavoro: I requisiti della password vengono applicati solo al profilo di lavoro.

4.2. Lunghezza cronologia password

La lunghezza della cronologia delle password. Dopo aver impostato questo campo, l'utente non potrà inserire una nuova password che sia identica a una di quelle presenti nella cronologia. Un valore pari a 0 indica l'assenza di restrizioni.

4.3. Massimo tentativi falliti per eliminazione

Numero di password errate per lo sblocco del dispositivo che possono essere inserite prima che il dispositivo venga eliminato. Un valore pari a 0 indica l'assenza di restrizioni.

4.4. Scadenza password (giorni)

Questa impostazione obbliga l'utente ad aggiornare periodicamente la propria password, dopo il numero di giorni specificato.

4.5. Richiedi sblocco con password

La durata del tempo, dopo che un dispositivo o un profilo di lavoro sono stati sbloccati utilizzando una forma di autenticazione forte (password, PIN, schema), durante la quale è possibile sbloccare il dispositivo utilizzando qualsiasi altro metodo di autenticazione (ad es. impronta digitale, agenti di fiducia, volto). Una volta trascorso il periodo di tempo specificato, potranno essere utilizzate solo forme di autenticazione forti per sbloccare il dispositivo o il profilo di lavoro.

Predefinito del dispositivo: Il periodo di timeout è impostato sul valore predefinito del dispositivo.

Ogni giorno: Il periodo di timeout è impostato a 24 ore.

4.6. Qualità della password

La qualità richiesta per la password.

Complessità elevata: Definisce la fascia di alta complessità della password come: su Android 12 e versioni successive: PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), lunghezza di almeno 8 caratteri; alfabetica, lunghezza di almeno 6 caratteri; alfanumerica, lunghezza di almeno 6 caratteri.

Complessità media: Definisce la fascia di media complessità della password come: PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), lunghezza di almeno 4 caratteri; alfabetica, lunghezza di almeno 4 caratteri; alfanumerica, lunghezza di almeno 4 caratteri.

Complessità bassa: Definisce la fascia di bassa complessità della password come: schema; PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).

Nessuno: Non sono presenti requisiti per la password.

Debole: Il dispositivo deve essere protetto con una tecnologia di riconoscimento biometrico a bassa sicurezza, come minimo. Ciò include tecnologie in grado di riconoscere l'identità di un individuo che siano approssimativamente equivalenti a un PIN a 3 cifre (il tasso di falsi positivi è inferiore a 1 su 1.000).

Qualsiasi: È richiesta una password, ma non ci sono restrizioni su cosa debba contenere.

Numerico: La password deve contenere caratteri numerici.

Numerico complesso: La password deve contenere caratteri numerici senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468).

Alfabetico: La password deve contenere caratteri alfabetici (o simboli).

Alfanumerico: La password deve contenere sia caratteri numerici che alfabetici (o simboli).

Complesso: La password deve soddisfare i requisiti minimi specificati in passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols, ecc. Ad esempio, se passwordMinimumSymbols è 2, la password deve contenere almeno due simboli.

4.7. Lunghezza minima

La lunghezza minima consentita per la password. Un valore pari a 0 indica l'assenza di restrizioni.

4.8. Lettere minime

Numero minimo di lettere richieste nella password.

4.9. Lettere minuscole minime

Numero minimo di lettere minuscole richieste nella password.

4.10. Lettere maiuscole minime

Numero minimo di lettere maiuscole richieste nella password.

4.11. Caratteri non alfabetici minimi

Numero minimo di caratteri non alfabetici (cifre numeriche o simboli) richiesti nella password.

4.12. Cifre numeriche minime

Numero minimo di cifre numeriche richieste nella password.

4.13. Simboli minimi

Numero minimo di simboli richiesti nella password.

4.14. Blocco unificato

Controlla se è consentito un blocco unificato per il dispositivo e il profilo di lavoro, sui dispositivi con Android 9 o versioni successive che utilizzano un profilo di lavoro. Questo non ha effetto su altri dispositivi.

Consenti blocco unificato: È consentito un blocco comune per il dispositivo e il profilo di lavoro.

Richiedi blocco separato per il lavoro: È richiesto un blocco separato per il profilo di lavoro.

 

5. Ripristino di fabbrica disabilitato

Se il ripristino di fabbrica dalle impostazioni è disabilitato. Si applica solo ai dispositivi completamente gestiti.

 

6. Protezione dal ripristino di fabbrica

Indirizzi email degli amministratori del dispositivo per la protezione dal ripristino di fabbrica. Se il dispositivo subisce un ripristino di fabbrica non autorizzato, sarà necessario che uno di questi amministratori effettui l'accesso con l'indirizzo email e la password dell'account Google per sbloccare il dispositivo. Se non vengono specificati amministratori, il dispositivo non fornirà la protezione dal ripristino di fabbrica. Si applica solo ai dispositivi completamente gestiti.

Email degli amministratori: usa Abilita protezione dal ripristino di fabbrica per iniziare a configurare gli amministratori. Successivamente, usa Aggiungi email amministratore per aggiungere gli indirizzi e rimuoverli con l'azione di eliminazione.

 

7. Funzionalità del keyguard

Funzionalità del keyguard (schermata di blocco) che possono essere disabilitate.

7.1. Disabilita tutto

Disabilita tutte le personalizzazioni correnti e future del keyguard.

7.2. Disabilita fotocamera

Disabilita la fotocamera sulle schermate di blocco protette (ad es. PIN).

7.3. Disabilita notifiche

Disabilita la visualizzazione di tutte le notifiche sulle schermate di blocco protette.

7.4. Disabilita notifiche non oscurate

Disabilita la visualizzazione dei contenuti non oscurati sulle schermate di blocco protette.

7.5. Ignora lo stato dell'agente di fiducia

Ignora lo stato dell'agente di fiducia sulle schermate di blocco protette.

7.6. Disabilita impronta digitale

Disabilita il sensore di impronte digitali sulle schermate di blocco protette.

7.7. Disabilita inserimento testo nelle notifiche

Disabilita l'inserimento di testo nelle notifiche sulle schermate di blocco protette.

7.8. Disabilita autenticazione facciale

Disabilita l'autenticazione facciale sulle schermate di blocco protette.

7.9. Disabilita autenticazione dell'iride

Disabilita l'autenticazione dell'iride sulle schermate di blocco protette.

7.10. Disabilita tutta l'autenticazione biometrica

Disabilita tutta l'autenticazione biometrica sulle schermate di blocco protette.

7.11. Disabilita tutte le scorciatoie

Disabilita tutte le scorciatoie sulla schermata di blocco protetta su Android 14 e versioni successive.

Multimedia

In questa sezione è possibile configurare il comportamento di fotocamera/microfono, l'accesso ai dati USB, la stampa e le restrizioni relative al display.

 

1. Accesso alla fotocamera

Controlla l'uso della fotocamera e se l'utente può accedere all'interruttore per l'accesso alla fotocamera (Android 12+). In generale, la disattivazione della fotocamera si applica a tutto il dispositivo sui dispositivi completamente gestiti, e solo all'interno del profilo di lavoro sui dispositivi con profilo di lavoro.

Scelta dell'utente (predefinito): Comportamento predefinito del dispositivo. Le fotocamere sono disponibili e (su Android 12+) l'utente può attivare o disattivare l'accesso alla fotocamera.

Disabilitato: Tutte le fotocamere sono disabilitate (dispositivi completamente gestiti: su tutto il dispositivo; profili di lavoro: solo per le app del profilo di lavoro). L'interruttore per l'accesso alla fotocamera non ha effetto nell'ambito gestito.

Imposta: Le fotocamere sono disponibili. Sui dispositivi completamente gestiti con Android 12+, l'utente non può attivare o disattivare l'accesso alla fotocamera. Su altri dispositivi/versioni, si comporta come la scelta dell'utente.

 

2. Accesso al microfono

Sui dispositivi completamente gestiti, controlla l'uso del microfono e se l'utente può accedere all'interruttore per l'accesso al microfono (Android 12+). Questa impostazione non ha effetto sui dispositivi che non sono completamente gestiti.

Scelta dell'utente (predefinito): Comportamento predefinito. Il microfono è disponibile e (su Android 12+) l'utente può attivare o disattivare l'accesso al microfono.

Disabilitato: Il microfono è disabilitato (su tutto il dispositivo). L'interruttore per l'accesso al microfono non ha effetto.

Imposta: Il microfono è disponibile. Su Android 12+, l'utente non può attivare o disattivare l'accesso al microfono. Su Android 11 o versioni precedenti, si comporta come la scelta dell'utente.

 

3. Accesso ai dati USB

Controlla quali file e/o dati possono essere trasferiti tramite USB. Supportato solo sui dispositivi di proprietà aziendale.

Disabilita trasferimento file (predefinito): I trasferimenti di file sono vietati, ma altre connessioni dati USB (ad es. mouse/tastiera) sono consentite.

Disabilita trasferimento dati: Tutti i tipi di trasferimento dati USB sono proibiti (Android 12+ con USB HAL 1.3+). Se non supportato, il dispositivo ripristina l'opzione Disabilita trasferimento file.

Consenti trasferimento dati: Tutti i tipi di trasferimento dati USB sono consentiti.

 

4. Stampa

Controlla se la stampa è consentita (Android 9+).

Consentito (predefinito): La stampa è consentita.

Vietato: La stampa è vietata (Android 9+).

 

5. Impostazioni luminosità schermo

Controlla la modalità di luminosità dello schermo e (facoltativamente) il valore della luminosità.

Modalità luminosità schermo:

Scelta dell'utente (predefinito): L'utente può configurare la luminosità dello schermo.

Automatico: La luminosità è automatica e l'utente non può modificarla. È comunque possibile impostare un valore di luminosità, che verrà utilizzato come parte della regolazione automatica (dispositivi Android completamente gestiti 9+; profili di lavoro su dispositivi Android di proprietà aziendale 15+).

Fisso: La luminosità è impostata sul valore configurato e l'utente non può modificarla. Il valore della luminosità è obbligatorio (dispositivi Android completamente gestiti 9+; profili di lavoro su dispositivi Android di proprietà aziendale 15+).

Luminosità schermo:

Valore da 1 a 255 (1 = minima, 255 = massima). Un valore di 0 significa che non è impostato alcun valore di luminosità.

 

6. Impostazioni timeout schermo

Controlla se l'utente può configurare il timeout dello schermo e, quando imposto, il valore del timeout.

Il campo Modalità timeout schermo permette di scegliere tra un comportamento controllato dall'utente e uno imposto.

Scelta dell'utente (predefinito): L'utente può configurare il timeout dello schermo.

Imposta: Il timeout dello schermo è impostato sul valore configurato e l'utente non può modificarlo (dispositivi Android completamente gestiti 9+; profili di lavoro su dispositivi Android di proprietà aziendale 15+).

Timeout schermo:

Durata del timeout in secondi. Il valore deve essere maggiore di 0. Se è superiore al tempo massimo di blocco, il sistema potrebbe limitarlo e segnalare la mancata conformità.

 

7. Disabilitazione cattura schermo

Indica se la cattura dello schermo è disabilitata.

 

8. Disabilitazione regolazione volume

Indica se la regolazione del volume principale è disabilitata.

 

9. Disabilitazione montaggio supporti fisici

Indica se il montaggio di supporti fisici esterni è disabilitato.

Cellulare

In questa sezione è possibile configurare le policy relative alla rete cellulare.

 

1. Modalità aereo

Controlla se la modalità aereo può essere attivata o disattivata dall'utente.

Scelta dell'utente (predefinito): l'utente può attivare o disattivare la modalità aereo.

Disabilitata: La modalità aereo è disabilitata. All'utente non è consentito attivare la modalità aereo. Supportato su Android 9 e versioni successive.

 

2. Cellulare 2G

Controlla se l'impostazione cellulare 2G può essere attivata o disattivata dall'utente.

Scelta dell'utente (predefinito): l'utente può attivare o disattivare il supporto cellulare 2G.

Disabilitata: Il supporto cellulare 2G è disabilitato. All'utente non è consentito attivare il supporto cellulare 2G tramite le impostazioni. Supportato su Android 14 e versioni successive.

 

3. Sovrascrittura APN

Controlla se la sovrascrittura degli APN è abilitata o disabilitata. Quando abilitata, vengono utilizzati solo gli APN di sovrascrittura configurati e tutti gli altri APN sul dispositivo vengono ignorati.

Disabilitata (predefinito): tutte le impostazioni APN configurate vengono salvate sul dispositivo, ma sono disabilitate e non hanno alcun effetto. Tutti gli altri APN sul dispositivo rimangono in uso.

Abilitata: vengono utilizzati solo gli APN di sovrascrittura, tutti gli altri APN vengono ignorati. Questa impostazione può essere configurata solo su dispositivi completamente gestiti con Android 10 o versioni successive.

 

4. Impostazioni APN

Configura una o più voci APN. Usa Aggiungi APN per creare una voce e Rimuovi APN per eliminarla.

Ogni APN ha dei campi obbligatori:

Tipi di APN: seleziona uno o più tipi di traffico per questo APN (la disponibilità dipende dalla modalità di gestione e dalla versione di Android).

Nome APN: l'identificativo APN fornito dal tuo operatore.

Nome visualizzato: nome descrittivo mostrato nell'interfaccia utente.

 

Campi APN opzionali:

Tipo di autenticazione, Nome utente, Password: configura l'autenticazione dell'operatore (se richiesta).

Protocollo e Protocollo roaming: configurazione del protocollo IP.

Tipi di rete: limita le tecnologie cellulari che l'APN può utilizzare (ad esempio LTE/5G NR).

Indirizzo proxy e Porta proxy: proxy HTTP per il traffico dati (se applicabile).

Indirizzo proxy MMS, Porta proxy MMS, MMSC (URI centro MMS): impostazioni relative agli MMS.

ID operatore numerico (MCC+MNC) e ID operatore: campi di identificazione dell'operatore.

Impostazione Always On: se la sessione PDU attivata da questo APN debba essere sempre attiva. Supportato su Android 15 e versioni successive.

Tipo MVNO: tipo di identificatore dell'operatore di rete virtuale mobile.

MTU IPv4 e MTU IPv6: Unità massima di trasmissione per le rotte IPv4/IPv6. Supportato su Android 13 e versioni successive.

 

5. Disabilitazione configurazione cell broadcast

Se la configurazione del cell broadcast è disabilitata.

 

6. Disabilitazione configurazione reti mobili

Se la configurazione delle reti mobili è disabilitata.

 

7. Disabilitazione roaming dati

Se i servizi di roaming dati sono disabilitati.

 

8. Chiamate in uscita disabilitate

Se le chiamate in uscita sono disabilitate.

 

9. SMS disabilitati

Se l'invio e la ricezione di messaggi SMS sono disabilitati.

 

10. Configurazione 5G Network Slicing

Configura le impostazioni del servizio di rete preferenziale per abilitare lo slicing della rete 5G aziendale. È possibile configurare fino a 5 slice aziendali e assegnare le applicazioni a reti specifiche per un instradamento del traffico ottimizzato.

10.1. Rete preferenziale predefinita

ID della rete preferenziale predefinita per le applicazioni che non sono presenti nell'elenco delle applicazioni, o se la Rete preferenziale di un'app non è impostata. Deve essere presente una configurazione per l'ID di rete specificato (a meno che non sia impostata su Nessuna rete preferenziale).

Nota: le app critiche come com.google.android.apps.work.clouddpc e com.google.android.gms sono escluse da questa impostazione predefinita.

 

10.2. Configurazioni del servizio di rete

Usa Aggiungi configurazione rete per creare una configurazione di slice. Puoi aggiungere fino a 5 configurazioni. Ogni configurazione include:

ID rete preferenziale (assegnato automaticamente): l'ID di rete viene assegnato automaticamente e non può essere modificato.

Fallback alla connessione predefinita: se è consentito il passaggio alla rete predefinita dell'intero dispositivo. Se disabilitato, le app non potranno accedere a Internet se lo slice 5G non è disponibile.

Reti non corrispondenti: se le app soggette a questa configurazione possono utilizzare reti diverse dal servizio preferenziale. Se impostato su Non consentito, anche Fallback alla connessione predefinita deve essere impostato su Non consentito. Richiede Android 14 e versioni successive.

Networking

In questa sezione è possibile configurare le policy relative al networking.

Le configurazioni Wi‑Fi possono essere fornite e gestite dal sistema tramite le configurazioni WiFi. A seconda del valore impostato in Configura Wi‑Fi, gli utenti potrebbero avere un controllo limitato o nullo sull'aggiunta o la modifica delle reti.

 

Stato radio del dispositivo

1. Stato Wi‑Fi

Controlla lo stato attuale del Wi‑Fi e se l'utente può modificarne lo stato.

Scelta dell'utente (predefinito): L'utente può abilitare o disabilitare il Wi‑Fi.

Abilitato: Il Wi‑Fi è attivo e l'utente non può disattivarlo (Android 13+).

Disabilitato: Il Wi‑Fi è disattivato e l'utente non può attivarlo (Android 13+).

 

2. Livello minimo di sicurezza Wi‑Fi

Il livello minimo di sicurezza richiesto per le reti Wi‑Fi a cui il dispositivo può connettersi. Supportato su Android 13 e versioni successive, per i dispositivi completamente gestiti e i profili di lavoro sui dispositivi di proprietà aziendale.

Rete aperta (predefinito): Il dispositivo può connettersi a tutti i tipi di reti Wi‑Fi.

Rete personale: Vieta le reti Wi‑Fi aperte; richiede almeno una sicurezza di tipo personale (ad esempio WPA2‑PSK).

Rete aziendale: Richiede reti EAP aziendali; vieta le reti Wi‑Fi con un livello di sicurezza inferiore.

Rete aziendale a 192 bit: Richiede reti aziendali a 192 bit; l'opzione più restrittiva.

 

3. Stato ultra-wideband (UWB)

Controlla lo stato dell'impostazione ultra-wideband e se l'utente può attivarla o disattivarla.

Scelta dell'utente (predefinito): L'utente può attivare o disattivare l'UWB.

Disabilitato: L'UWB è disabilitato e l'utente non può attivarlo tramite le impostazioni (Android 14+).

 

Gestione connettività del dispositivo

4. Condivisione Bluetooth

Controlla se la condivisione Bluetooth è consentita.

Consentito: La condivisione Bluetooth è consentita (predefinito sui dispositivi completamente gestiti, Android 8+).

Vietato: La condivisione Bluetooth è vietata (predefinito sui profili di lavoro, Android 8+).

 

5. Configura Wi‑Fi

Controlla i privilegi di configurazione del Wi‑Fi. A seconda dell'opzione selezionata, l'utente avrà un controllo completo, limitato o nullo sulla configurazione delle reti Wi‑Fi.

Consenti configurazione Wi‑Fi (predefinito): L'utente può configurare il Wi‑Fi.

Vieta aggiunta configurazione Wi‑Fi: L'aggiunta di nuove configurazioni Wi‑Fi è vietata. L'utente può passare tra le reti già configurate (Android 13+; dispositivi completamente gestiti e profili di lavoro su dispositivi di proprietà aziendale).

Vieta configurazione Wi‑Fi: Vieta la configurazione delle reti Wi‑Fi. Per i dispositivi completamente gestiti, questa opzione rimuove le reti configurate dall'utente e mantiene solo quelle configurate tramite configurazioni WiFi. Per i profili di lavoro su dispositivi di proprietà aziendale, le reti esistenti non vengono influenzate, ma gli utenti non possono aggiungere/rimuovere/modificare le reti Wi‑Fi.

Quando la configurazione Wi‑Fi è disabilitata e il dispositivo non può connettersi all'avvio, il sistema può mostrare la via di fuga della rete per consentire all'utente di connettersi temporaneamente e aggiornare la policy.

 

6. Impostazioni Wi-Fi Direct

Controlla la configurazione e l'uso delle impostazioni Wi-Fi Direct. Supportato sui dispositivi di proprietà aziendale con Android 13 e versioni successive.

Consentito (predefinito): L'utente può utilizzare il Wi‑Fi Direct.

Vietato: L'utente non può utilizzare il Wi‑Fi Direct.

 

7. Impostazioni tethering

Controlla le impostazioni di tethering. In base al valore impostato, l'utente può avere un divieto parziale o totale nell'uso di diverse forme di tethering.

Consenti tutto il tethering (predefinito): Consente la configurazione e l'uso di tutte le forme di tethering.

Vieta tethering Wi‑Fi: Impedisce all'utente di utilizzare il tethering Wi‑Fi (dispositivi Android di proprietà aziendale 13+).

Vieta tutto il tethering: Vieta tutte le forme di tethering (dispositivi completamente gestiti + profili di lavoro su dispositivi di proprietà aziendale).

 

8. Policy SSID Wi-Fi

Restrizioni su quali SSID Wi-Fi il dispositivo può connettersi (questo non influisce sulle reti che possono essere configurate sul dispositivo). Supportato sui dispositivi di proprietà aziendale con Android 13 e versioni successive.

Denylist SSID (predefinito): Il dispositivo non può connettersi a nessuna rete Wi‑Fi il cui SSID sia presente nell'elenco, ma può connettersi ad altre reti.

Allowlist SSID: Il dispositivo può connettersi solo agli SSID elencati. L'elenco degli SSID non deve essere vuoto.

Usa Aggiungi SSID per aggiungere le voci. A seconda del tipo di policy selezionata, l'elenco viene interpretato come SSID consentiti o negati.

Nell'interfaccia utente dell'Editor di Policy, l'elenco degli SSID è etichettato come SSID Wi‑Fi consentiti per le allowlist e SSID Wi‑Fi negati per le denylist.

 

9. Impostazioni roaming Wi-Fi

Configura la modalità di roaming Wi-Fi per singolo SSID. Usa Aggiungi impostazione roaming Wi-Fi per creare le voci.

Ogni voce include:

SSID: L'SSID a cui si applica l'impostazione di roaming (obbligatorio).

Modalità roaming Wi‑Fi: Predefinito / Disabilitato / Aggressivo. Le opzioni Disabilitato e Aggressivo richiedono Android 15+ e sono supportate solo su dispositivi completamente gestiti e profili di lavoro su dispositivi di proprietà aziendale.

 

Restrizioni di rete

10. Disabilitazione Bluetooth

Indica se il Bluetooth è disabilitato. Si consiglia questa impostazione rispetto a "Disabilita configurazione Bluetooth", poiché quest'ultima può essere aggirata dall'utente.

 

11. Disabilitazione condivisione contatti Bluetooth

Indica se la condivisione dei contatti tramite Bluetooth è disabilitata.

 

12. Disabilitazione configurazione Bluetooth

Indica se la configurazione del Bluetooth è disabilitata.

 

13. Disabilitazione ripristino rete

Indica se il ripristino delle impostazioni di rete è disabilitato.

 

14. Disabilitazione Android Beam in uscita

Indica se l'uso del NFC per trasmettere dati dalle app è disabilitato.

 

VPN

15. App Always On VPN

Specifica il nome del pacchetto per l'app Always On VPN per garantire che i dati delle app gestite specificate passino sempre attraverso una VPN configurata.

Nota: questa funzione richiede l'installazione di un client VPN che supporti sia le funzioni Always On che quelle per app specifica (per-app VPN).

 

16. Blocco VPN (VPN lockdown)

Vieta l'uso della rete quando la VPN non è connessa.

 

17. Disabilitazione configurazione VPN

Indica se la configurazione della VPN è disabilitata.

 

Proxy e servizi di rete

18. Servizio di rete preferenziale

Controlla se il servizio di rete preferenziale è abilitato sul profilo di lavoro. Ad esempio, un'organizzazione potrebbe avere un accordo con un operatore per cui i dati di lavoro vengono inviati tramite un servizio di rete dell'operatore dedicato all'uso aziendale (ad esempio, uno slice aziendale sulle reti 5G). Questo non ha effetto sui dispositivi completamente gestiti.

Disabilitato: Il servizio di rete preferenziale è disabilitato sul profilo di lavoro.

Abilitato: Il servizio di rete preferenziale è abilitato sul profilo di lavoro.

Se utilizzi lo slicing della rete aziendale, configura anche la Configurazione dello slicing della rete 5G nel pannello della policy Cellulare e assegna le app a uno slice utilizzando l'impostazione Rete preferenziale.

 

19. Proxy globale consigliato

Il proxy HTTP globale indipendente dalla rete. In genere, i proxy dovrebbero essere configurati per singola rete nelle impostazioni Wi-Fi. Un proxy globale può essere utile per configurazioni insolite, come il filtraggio interno generale. Il proxy globale è solo un suggerimento e alcune app potrebbero ignorarlo.

Disabilitato

Proxy diretto

Proxy auto-config (PAC)

19.1. Host

L'host del proxy diretto.

19.2. Porta

La porta del proxy diretto.

19.3. URI PAC

L'URI dello script PAC utilizzato per configurare il proxy.

19.4. Host esclusi

Per un proxy diretto, gli host per i quali il proxy viene saltato. I nomi degli host possono contenere caratteri jolly come *.example.com.

Usa Aggiungi host escluso per aggiungere le voci (disponibile solo per il proxy diretto).

 

Configurazioni WiFi

Definisci le configurazioni delle reti Wi-Fi che il sistema applicherà sui dispositivi. Usa Aggiungi configurazione Wi-Fi per creare una voce e rimuoverla con l'azione di eliminazione.

20. Campi di configurazione Wi-Fi

Ogni configurazione include:

Nome configurazione: Obbligatorio.

SSID: Obbligatorio.

Connessione automatica: Indica se la rete deve connettersi automaticamente quando è nell'intervallo di copertura.

Fast Transition: Indica se il client deve tentare di utilizzare la funzione Fast Transition (IEEE 802.11r-2008) con la rete.

SSID nascosto: Indica se l'SSID verrà trasmesso.

Modalità randomizzazione MAC: Hardware o Automatica (Android 13+).

 

20.1. Sicurezza

Opzioni di sicurezza Wi-Fi:

WEP‑PSK: WEP (Pre-Shared Key).

WPA‑PSK: WPA/WPA2/WPA3-Personal (Pre-Shared Key).

WPA‑EAP: WPA/WPA2/WPA3-Enterprise (Extensible Authentication Protocol).

Modalità WPA3 a 192 bit: Rete WPA‑EAP che consente solo la modalità WPA3 a 192 bit.

20.2. Passphrase (Pre-Shared Key)

Viene mostrata quando la sicurezza è impostata su WEP‑PSK o WPA‑PSK. La passphrase è obbligatoria.

20.3. Metodo EAP (Enterprise)

Viene mostrata quando la sicurezza è impostata su WPA‑EAP o Modalità WPA3 a 192 bit. Seleziona un metodo EAP esterno:

EAP‑TLS

EAP‑TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. Autenticazione di fase 2

Mostrata per i metodi di tunneling esterni (EAP‑TTLS e PEAP).

MSCHAPv2

PAP

20.5. Credenziali EAP dagli utenti

Quando abilitata, il sistema applica automaticamente le credenziali EAP sui dispositivi su base utente. È possibile configurare le credenziali dell'utente nella sezione Utenti.

20.6. Certificato client

Per EAP‑TLS, è possibile assegnare un certificato client utilizzato per l'autenticazione Wi‑Fi. Per ulteriori informazioni, leggi la pagina Gestione certificati.

Se un certificato è già assegnato, puoi usare Apri certificato per visualizzarlo o Cambia certificato per selezionarne uno diverso.

In alternativa, puoi specificare l'alias della coppia di chiavi del certificato client, che fa riferimento a un certificato client memorizzato nel keychain di Android e consentito per l'autenticazione Wi‑Fi.

Se vengono impostati sia Certificato client che Alias della coppia di chiavi del certificato client, l'alias della coppia di chiavi viene ignorato.

20.7. Identità

Identità dell'utente. Per i protocolli esterni di tunneling (PEAP, EAP‑TTLS), questa viene utilizzata per l'autenticazione all'interno del tunnel, mentre l'Identità anonima viene utilizzata per l'identità EAP all'esterno del tunnel. Per i protocolli esterni senza tunneling, questa viene utilizzata per l'identità EAP.

20.8. Identità anonima

Solo per i protocolli di tunneling, questa indica l'identità dell'utente presentata al protocollo esterno.

20.9. Password

Password dell'utente. Se non specificata, l'impostazione predefinita è richiedere l'inserimento all'utente.

20.10. Certificati CA del server

Elenco dei certificati CA da utilizzare per verificare la catena di certificazione dell'host. Almeno un certificato CA deve corrispondere. Per ulteriori informazioni, leggi la pagina Gestione dei certificati.

Usa Aggiungi certificato CA del server per aggiungere voci e rimuoverle con l'azione di eliminazione.

20.11. Corrispondenze suffisso di dominio

Un elenco di vincoli per il nome di dominio del server. Le voci vengono utilizzate come requisiti di corrispondenza del suffisso rispetto al nome (o ai nomi) DNS del nome soggetto alternativo di un certificato di un server di autenticazione.

 

Sistema

In questa sezione è possibile configurare le policy relative al sistema.

 

1. Livello API minimo

Il livello minimo di API Android consentito.

 

2. Policy di crittografia

Se la crittografia è abilitata.

Predefinito: Questo valore viene ignorato, ovvero non è richiesta la crittografia.

Abilitata senza password: Crittografia richiesta, ma non è necessaria una password per l'avvio.

Abilitata con password: Crittografia richiesta con password necessaria per l'avvio.

 

3. Data e ora automatiche

Se la funzione di data, ora e fuso orario automatici è abilitata su un dispositivo di proprietà dell'azienda.

Scelta dell'utente (predefinito): La data, l'ora e il fuso orario automatici sono lasciati alla scelta dell'utente.

Imposta forzatamente: Imposta forzatamente data, ora e fuso orario automatici sul dispositivo.

 

4. Impostazioni per sviluppatori

Controlla l'accesso alle impostazioni per sviluppatori: opzioni sviluppatore e avvio sicuro.

Disabilitate (predefinito): Disabilita tutte le impostazioni per sviluppatori e impedisce all'utente di accedervi.

Consentite: Consente tutte le impostazioni per sviluppatori. L'utente può accedere alle impostazioni e, facoltativamente, configurarle.

 

5. Modalità Common Criteria

Controlla la Modalità Common Criteria: standard di sicurezza definiti nel Common Criteria for Information Technology Security Evaluation (CC). L'attivazione della Modalità Common Criteria aumenta determinati componenti di sicurezza sul dispositivo (ad esempio: crittografia AES-GCM delle chiavi a lungo termine Bluetooth, validazione aggiuntiva per alcuni certificati di rete e controlli di integrità della policy crittografica). La Modalità Common Criteria è supportata solo su dispositivi di proprietà dell'azienda con Android 11 o versioni successive. Avviso: la Modalità Common Criteria impone un modello di sicurezza rigoroso, solitamente richiesto solo da organizzazioni con esigenze di sicurezza estremamente elevate. L'uso standard del dispositivo potrebbe essere influenzato; attivala solo se necessario.

Disabilitata (predefinito): Disabilita la Modalità Common Criteria.

Abilitata: Abilita la Modalità Common Criteria.

 

6. Memory Tagging Extension (MTE)

Controlla la Memory Tagging Extension (MTE) sul dispositivo.

Scelta dell'utente (predefinito): L'utente può scegliere di abilitare o disabilitare l'MTE sul dispositivo (se supportato dal dispositivo).

Imposta forzatamente: L'MTE è abilitato e l'utente non può modificarlo (Android 14+; supportato su dispositivi fully managed e work profile su dispositivi di proprietà dell'azienda).

Disabilitata: L'MTE è disabilitato e l'utente non può modificarlo (Android 14+; supportato solo su dispositivi fully managed).

 

7. Protezione dei contenuti

Controlla se la protezione dei contenuti (che scansiona alla ricerca di app ingannevoli) è abilitata. Questa funzione è supportata su Android 15 e versioni successive.

Disabilitata (predefinito): La protezione dei contenuti è disabilitata e l'utente non può modificare questa impostazione.

Imposta forzatamente: La protezione dei contenuti è abilitata e l'utente non può modificare questa impostazione (Android 15+).

Scelta dell'utente: La protezione dei contenuti non è controllata dalla policy; l'utente può scegliere (Android 15+).

 

8. Contenuto Assist

Controlla se è consentito inviare l'AssistContent a un'app privilegiata, come un assistente (ad esempio, Circle to Search). L'AssistContent include screenshot e informazioni su un'app, come il nome del pacchetto. Questa funzione è supportata su Android 15 e versioni successive.

Consentito (predefinito): È consentito inviare il contenuto Assist a un'app privilegiata (Android 15+).

Vietato: L'invio del contenuto Assist a un'app privilegiata è bloccato (Android 15+).

 

9. Disabilita creazione finestre

Se la creazione di finestre diverse da quelle delle app è disabilitata. Questa opzione impedisce la visualizzazione delle seguenti interfacce di sistema: toast e snackbar, attività telefoniche (come le chiamate in arrivo) e attività telefoniche prioritarie (come le chiamate in corso), avvisi di sistema, errori di sistema e overlay di sistema.

 

10. Scappatoia di rete (Network escape hatch)

Se la scappatoia di rete (network escape hatch) è abilitata. Se non è possibile stabilire una connessione di rete all'avvio, la scappatoia invita l'utente a connettersi temporaneamente a una rete per aggiornare la policy del dispositivo. Dopo l'applicazione della policy, la rete temporanea verrà rimossa e il dispositivo proseguirà l'avvio. Ciò evita di rimanere impossibilitati a connettersi a una rete qualora non vi fosse una rete idonea nell'ultima policy e il dispositivo si avviasse direttamente in un'app in modalità lock task, o se l'utente non fosse altrimenti in grado di accedere alle impostazioni del dispositivo.

 

11. Attività predefinite

Un elenco di attività predefinite per la gestione degli intent che corrispondono a un particolare filtro degli intent. Ad esempio, questa funzione consentirebbe agli amministratori IT di scegliere quale app browser apra automaticamente i link web, o quale app launcher venga utilizzata quando si tocca il pulsante Home.

Utilizza Aggiungi attività predefinita per creare le voci. All'interno di una voce, utilizza Aggiungi azione e Aggiungi categoria per definire il filtro degli intent.

11.1. Attività ricevente

L'attività che deve fungere da gestore predefinito degli intent. Deve essere il nome di un componente Android, ad esempio com.android.enterprise.app/.MainActivity. In alternativa, il valore può essere il nome del pacchetto di un'app, il che consentirà ad Android Device Policy di scegliere l'attività appropriata all'interno dell'app per gestire l'intent.

11.2. Azione

Le azioni dell'intent da far corrispondere nel filtro. Se vengono incluse delle azioni nel filtro, l'azione dell'intent deve essere una di questi valori per risultare corrispondente. Se non vengono incluse azioni, l'azione dell'intent viene ignorata.

11.3. Categoria

Le categorie dell'intent da far corrispondere nel filtro. Un intent include le categorie richieste, tutte le quali devono essere incluse nel filtro per risultare corrispondente. In altre parole, l'aggiunta di una categoria al filtro non ha alcun impatto sulla corrispondenza, a meno che tale categoria non sia specificata nell'intent.

 

12. Metodi di input consentiti

Specifica i metodi di input consentiti.

Tutti gli ammessi: Nessuna restrizione applicata. Tutti i metodi di input sono consentiti.

Solo quelli di sistema: Sono consentiti solo i metodi di input integrati nel sistema.

Solo quelli di sistema e forniti: Sono consentiti solo i metodi di input forniti e quelli integrati nel sistema.

12.1. Metodi di input consentiti

Nomi dei pacchetti dei metodi di input consentiti. Si applica solo quando Metodi di input consentiti è impostato su Solo quelli di sistema e forniti.

Utilizza Aggiungi metodo di input per aggiungere le voci e rimuovile con l'azione di eliminazione.

 

13. Servizi di accessibilità consentiti

Specifica i servizi di accessibilità consentiti.

Tutti gli ammessi: Qualsiasi servizio di accessibilità può essere utilizzato.

Solo quelli di sistema: Possono essere utilizzati solo i servizi di accessibilità integrati nel sistema.

Solo quelli di sistema e forniti: Possono essere utilizzati solo i servizi di accessibilità forniti e quelli integrati nel sistema.

13.1. Servizi di accessibilità consentiti

Servizi di accessibilità consentiti. Si applica solo quando Servizi di accessibilità consentiti è impostato su Solo quelli di sistema e forniti.

Utilizza Aggiungi servizio di accessibilità per aggiungere le voci e rimuovile con l'azione di eliminazione.

 

14. Policy di aggiornamento di sistema

Configurazione per la gestione degli aggiornamenti di sistema.

Predefinito: Segue il comportamento di aggiornamento predefinito del dispositivo, che solitamente richiede all'utente di accettare gli aggiornamenti di sistema.

Automatico: Installa automaticamente non appena un aggiornamento è disponibile.

In finestra (Windowed): Installa automaticamente all'interno di una finestra temporale giornaliera per la manutenzione. Questa opzione configura anche l'aggiornamento delle app Play all'interno della finestra temporale. È caldamente raccomandata per i dispositivi kiosk, poiché è l'unico modo in cui le app fissate in primo piano possono essere aggiornate tramite Play.

Posticipa: Posticipa l'installazione automatica fino a un massimo di 30 giorni.

 

14.1. Finestra di manutenzione (Solo modalità Windowed)

Quando la Policy di aggiornamento di sistema è impostata su In finestra (Windowed), è possibile definire la finestra di manutenzione giornaliera utilizzando i campi da e a.

 

14.2. Periodi di blocco degli aggiornamenti di sistema

Un periodo di tempo che si ripete annualmente in cui gli aggiornamenti di sistema over-the-air (OTA) vengono posticipati per bloccare la versione del sistema operativo in esecuzione sul dispositivo. Per evitare di bloccare il dispositivo indefinitamente, ogni periodo di blocco deve essere separato dagli altri da almeno 60 giorni. Ogni periodo di blocco non deve superare i 90 giorni.

Utilizza Aggiungi periodo di blocco aggiornamenti di sistema per creare le voci.

 

15. Predefiniti provider di credenziali

Controlla quali app sono autorizzate ad agire come provider di credenziali su Android 14 e versioni successive.

Vietato (predefinito): Le app con la policy credentialProviderPolicy non specificata non sono autorizzate ad agire come provider di credenziali.

Vietato eccetto sistema: Le app con la policy credentialProviderPolicy non specificata non sono autorizzate ad agire come provider di credenziali, fatta eccezione per i provider di credenziali predefiniti del produttore (OEM).

Posizione e geofencing

Questo pannello raggruppa le impostazioni della policy Android che controllano la segnalazione della posizione del dispositivo, l'imposizione della posizione e le definizioni di geofencing. Utilizzalo quando desideri che Cerberus Enterprise raccolga le posizioni dei dispositivi o rilevi quando i dispositivi entrano o escono dalle aree configurate.

Segnalazione posizione

Segnala posizione

Abilita la segnalazione della geolocalizzazione del dispositivo. I dati sulla posizione raccolti tramite questa impostazione vengono utilizzati dalla mappa delle posizioni nella dashboard, la cronologia delle posizioni nella panoramica del dispositivo e l'elaborazione del geofencing.

Sui dispositivi che non sono completamente gestiti, i dati sulla posizione possono comunque dipendere dal fatto che l'app Cerberus Enterprise abbia i permessi di posizione richiesti e che i servizi di localizzazione siano abilitati sul dispositivo.

Modalità posizione

Controlla le impostazioni della posizione del dispositivo sui dispositivi di proprietà aziendale.

• Scelta dell'utente: i servizi di posizione non sono limitati dalla policy.
• Imposta: i servizi di posizione sono abilitati sul dispositivo.
• Disabilitato: i servizi di posizione sono disabilitati sul dispositivo.

Condivisione posizione disabilitata

Disabilita la condivisione della posizione per le app di lavoro. Sui dispositivi con profile owner, questo influisce sul profilo di lavoro. Sui dispositivi completamente gestiti (fully managed), disabilita la posizione per l'intero dispositivo e sovrascrive la modalità di posizione del dispositivo.

Comportamento automatico con geofence attivi

I geofence attivi richiedono la segnalazione della posizione per funzionare. Quando è attivo almeno un geofence, Cerberus Enterprise mantiene automaticamente coerenti le relative impostazioni di posizione.

• Segnala posizione viene forzatamente abilitata finché sono presenti geofence attivi.
• Modalità posizione viene impostata forzatamente su Imposta.
• Condivisione posizione disabilitata viene forzatamente disattivata.

Se provi a disabilitare Segnala posizione mentre uno o più geofence sono attivi, Cerberus Enterprise mostrerà una finestra di conferma. Se procedi, tutti i geofence attivi nella policy verranno disattivati.

Elenco geofence

Una policy può contenere fino a 10 geofence. I nomi dei geofence devono essere univoci all'interno della policy.

Usa Aggiungi geofence per creare una nuova voce. Ogni geofence contiene questi campi principali:

• Nome: obbligatorio e univoco.
• Latitudine e Longitudine: il centro dell'area.
• Raggio (m): obbligatorio, da 100 a 10000 metri.
• Descrizione: note facoltative per gli amministratori.
• Segnala ingresso e Segnala uscita: scegli quali eventi di transizione devono essere generati.
• Attivo: abilita o disabilita il geofence senza eliminarlo.

Almeno una tra Segnala ingresso o Segnala uscita deve rimanere abilitata per ogni geofence.

Strumenti di modifica mappa

Ogni scheda geofence include un'anteprima della mappa dell'area. È possibile modificare la geometria dalla mappa o dai campi numerici.

• Fai clic sulla mappa per spostare il centro del geofence quando la modifica dell'area è sbloccata.
• Usa il pulsante Posizione attuale per centrare la mappa sulla posizione attuale del browser.
• Usa il pulsante Ricentrare mappa per ripristinare la visualizzazione preferita per quel geofence.
• Usa il pulsante di blocco per evitare modifiche accidentali alla geometria del geofence.

Dove appaiono i dati del geofence

Le transizioni dei geofence possono essere riviste nella pagina Panoramica del dispositivo di Android, all'interno della scheda Geofence del pannello posizione. Quella scheda mostra le transizioni su una mappa dedicata insieme agli strumenti di filtraggio e all'elenco delle transizioni.

Gestione utenti

Disabilita aggiunta utente

Se l'aggiunta di nuovi utenti e profili è disabilitata. Per i dispositivi in cui la modalità di gestione è DEVICE_OWNER, questo campo viene ignorato e l'utente non può mai aggiungere o rimuovere utenti.

 

Disabilita modifica account

Se l'aggiunta o la rimozione di account è disabilitata.

 

Disabilita configurazione credenziali utente

Se la configurazione delle credenziali utente è disabilitata.

 

Disabilita rimozione utente

Se la rimozione di altri utenti è disabilitata.

 

Disabilita impostazione icona utente

Se la modifica dell'icona utente è disabilitata.

 

Disabilita impostazione sfondo

Se la modifica dello sfondo è disabilitata.

 

Autenticazione configurazione account di lavoro

Controlla come gli utenti si autenticano durante la configurazione dell'account di lavoro. Questa opzione è disponibile solo per le aziende Android supportate da un dominio gestito da Google (Google Workspace).

Durante la configurazione/registrazione del dispositivo, questa policy influenza se è richiesto l'accesso con un account di lavoro, ma l'impostazione Autentica tramite Google della Google Admin Console e il tipo di token di registrazione possono comunque richiedere l'autenticazione.

Per i dispositivi già registrati, questa policy si applica solo se il dispositivo è gestito da un account Google Play gestito (ovvero, registrato senza Registrazione tramite Autenticazione con Google).

Per ulteriori dettagli e risoluzione dei problemi, consulta Registrazione tramite Autenticazione con Google.

 

Tipi di account bloccati

Tipi di account che non possono essere gestiti dall'utente. Questa opzione impedisce agli utenti del dispositivo di aggiungere account non approvati.

Utilizza Aggiungi tipo di account bloccato per aggiungere uno o più tipi di account.

Ogni voce ha un campo Tipo di account (obbligatorio). Inserisci una stringa come com.google. Rimuovi una voce utilizzando l'azione di eliminazione.

Uso personale

Durante il provisioning di un dispositivo aziendale per uso lavorativo e personale, è possibile specificare alcune regole per limitare il modo in cui l'utente può utilizzare il dispositivo per uso personale, al di fuori del profilo di lavoro.

Questa sezione si applica solo ai dispositivi di proprietà aziendale con profilo di lavoro. Non avrà alcun effetto sui dispositivi completamente gestiti o di proprietà personale.

1. Fotocamera disabilitata

Se la fotocamera è disabilitata.

 

2. Cattura schermo disabilitata

Se la cattura schermo è disabilitata.

 

3. Giorni massimi con profilo di lavoro disattivato

Controlla per quanto tempo il profilo di lavoro può rimanere disattivato.

 

4. Condivisione Bluetooth

Controlla se la condivisione Bluetooth è consentita nel profilo personale di un dispositivo di proprietà aziendale con profilo di lavoro.

 

5. Spazio privato

Controlla se è consentito l'uso di uno spazio privato sul dispositivo.

 

6. Modalità Play Store

Questa modalità controlla quali app sono consentite o bloccate per l'utente nel Play Store del profilo personale.

Blocklist (predefinita): Tutte le app sono disponibili e qualsiasi app che non dovrebbe essere sul dispositivo deve essere esplicitamente contrassegnata come Bloccata nella sezione Applicazioni.

Allowlist: Solo le app specificate esplicitamente nella sezione Applicazioni con Tipo di installazione impostato su Disponibile possono essere installate nel profilo personale.

 

7. Applicazioni

Elenco delle applicazioni che devono essere consentite o bloccate nel profilo personale. Il comportamento del contenuto dell'elenco dipende dal valore impostato in Modalità Play Store.

Per aggiungere una nuova app dal Play Store, fai clic sull'icona +.

7.1. Tipo di installazione

Tipi di comportamenti di installazione che un'applicazione del profilo personale può avere.

Bloccata: L'app è bloccata e non può essere installata nel profilo personale.

Disponibile: L'app è disponibile per l'installazione nel profilo personale.

 

8. Tipi di account bloccati

Tipi di account che non possono essere gestiti dall'utente. Questa opzione impedisce agli utenti del dispositivo di aggiungere account non approvati nel proprio profilo personale.

Policy tra profili

Si applica solo ai dispositivi con profili personali e di lavoro.

Copia/incolla tra profili

Se il testo copiato da un profilo (personale o di lavoro) può essere incollato nell'altro profilo.

Non consentito (predefinito): impedisce agli utenti di incollare nel profilo personale il testo copiato dal profilo di lavoro. Il testo copiato dal profilo personale può essere incollato nel profilo di lavoro.

Consentito: il testo copiato in uno qualsiasi dei profili può essere incollato nell'altro profilo.

 

Condivisione dati tra profili

Se i dati di un profilo (personale o di lavoro) possono essere condivisi con le app dell'altro profilo. Controlla specificamente la condivisione di dati semplici tramite intent. La gestione degli altri canali di comunicazione tra profili, come la ricerca contatti, il copia/incolla,
o le app connesse tra lavoro e personale, viene configurata separatamente.

Non consentito: impedisce la condivisione dei dati sia dal profilo personale al profilo di lavoro, sia dal profilo di lavoro al profilo personale.

Da lavoro a personale disabilitato (predefinito): impedisce agli utenti di condividere dati dal profilo di lavoro alle app nel profilo personale. I dati personali possono essere condivisi con le app di lavoro.

Consentito: i dati di uno qualsiasi dei profili possono essere condivisi con l'altro profilo.

 

Widget del profilo di lavoro predefiniti

Comportamento predefinito per i widget del profilo di lavoro. Se un'app specifica non definisce una policy per i widget, seguirà l'impostazione predefinita qui configurata.

 

Funzioni delle app tra profili

Controlla se le app del profilo personale possono invocare le funzioni delle app del profilo di lavoro. Richiede Android 16 o versioni successive.

Questa impostazione dipende dall'opzione Funzioni delle app a livello di policy (nella sezione Gestione app). Se le Funzioni delle app sono impostate su Non consentito, l'API rifiuterà le Funzioni delle app tra profili impostate su Consentito.

 

Contatti di lavoro nel profilo personale

Se i contatti salvati nel profilo di lavoro possono essere mostrati nelle ricerche dei contatti e nelle chiamate in arrivo sul profilo personale.

Consentito (predefinito): consente ai contatti del profilo di lavoro di apparire nel profilo personale.

Non consentito: impedisce alle app del profilo personale di accedere ai contatti del profilo di lavoro e di cercare i contatti di lavoro.

Non consentito eccetto sistema: impedisce alla maggior parte delle app personali di accedere ai contatti del profilo di lavoro, fatta eccezione per le app predefinite del produttore (OEM) come Dialer, Messaggi e Contatti (Android 14+).

Quando i contatti di lavoro nel profilo personale sono configurati, è possibile definire facoltativamente un elenco di voci Nomi di pacchetto esenti. A seconda della modalità selezionata, queste esenzioni si comportano come una allowlist o una blocklist per le app personali.

Reporting dello stato

In questa sezione, puoi configurare quali dati devono essere recuperati dal dispositivo. I dati sullo stato possono essere visualizzati nella pagina della dashboard Stato del dispositivo.

 

Report delle applicazioni

Se i report delle app sono abilitati. (Informazioni riportate su un'app installata.)

Questa opzione è richiesta dal sistema (per l'integrazione con le app companion) ed è sempre abilitata; non può essere disattivata.

 

Includi app rimosse

Se le app rimosse vengono incluse nei report delle applicazioni.

 

Impostazioni del dispositivo

Se il reporting delle impostazioni del dispositivo è abilitato. (Informazioni relative alle impostazioni di sicurezza sul dispositivo.)

 

Informazioni software

Se il reporting delle informazioni sul software è abilitato. (Informazioni sul software del dispositivo.)

 

Informazioni memoria

Se il reporting della memoria è abilitato. (Un evento relativo alle misurazioni di memoria e archiviazione.)

 

Informazioni rete

Se il reporting delle informazioni di rete è abilitato. (Informazioni di rete del dispositivo.)

 

Informazioni display

Se il reporting dei display è abilitato. I dati del report non sono disponibili per i dispositivi di proprietà personale con profili di lavoro. (Informazioni sul display del dispositivo.)

 

Eventi di gestione dell'alimentazione

Se il reporting degli eventi di gestione dell'alimentazione è abilitato. I dati del report non sono disponibili per i dispositivi di proprietà personale con profili di lavoro.

 

Stato dell'hardware

Se il reporting dello stato dell'hardware è abilitato. I dati del report non sono disponibili per i dispositivi di proprietà personale con profili di lavoro.

 

Proprietà di sistema

Se il reporting delle proprietà di sistema è abilitato.

 

Common Criteria Mode

Se il reporting della modalità Common Criteria è abilitato.

Varie

1. Gioco easter egg disabilitato

Indica se il gioco easter egg nelle Impostazioni è disabilitato.

 

2. Salta suggerimenti primo utilizzo

Segnale per saltare i suggerimenti al primo utilizzo. L'amministratore aziendale può abilitare il suggerimento di sistema affinché le app saltino i tutorial per l'utente e altri suggerimenti introduttivi al primo avvio.

 

3. Messaggio di supporto breve

Un messaggio visualizzato all'utente nella schermata delle impostazioni laddove una funzionalità sia stata disabilitata dall'amministratore. Se il messaggio è più lungo di 200 caratteri, potrebbe essere troncato.

 

4. Messaggio di supporto lungo

Un messaggio visualizzato all'utente nella schermata delle impostazioni dell'amministratore del dispositivo.

 

5. Info schermata di blocco proprietario

Le informazioni sul proprietario del dispositivo da mostrare sulla schermata di blocco.

 

6. Azioni di configurazione

Azioni da eseguire durante il processo di configurazione. Durante la registrazione, è possibile richiedere all'utente l'apertura di una o più app necessarie per la configurazione del dispositivo.

Usa Aggiungi azione di configurazione per creare le voci e rimuoverle con l'azione di eliminazione.

6.1. Avvio app

Nome del pacchetto dell'app da avviare

6.2. Titolo

Fornisce un messaggio per l'utente, per spiegargli perché è necessario avviare l'app.

6.3. Descrizione

Fornisce un messaggio per l'utente, per spiegargli perché è necessario avviare l'app.

 

7. Visibilità del nome visualizzato dell'azienda

Controlla se il nome visualizzato dell'azienda è visibile sul dispositivo (ad esempio, come messaggio sulla schermata di blocco sui dispositivi di proprietà aziendale).

Visibile (predefinito): Il nome visualizzato dell'azienda è visibile sul dispositivo (supportato sui profili di lavoro su Android 7+ e sui dispositivi completamente gestiti su Android 8+).

Nascosto: Il nome visualizzato dell'azienda è nascosto sul dispositivo.

Regole di applicazione della policy

Se un dispositivo o un profilo di lavoro non è conforme a una qualsiasi delle impostazioni della policy elencate di seguito, Android Device Policy blocca immediatamente l'uso del dispositivo o del profilo di lavoro per impostazione predefinita:

• Requisiti della password
• Policy di crittografia
• Keyguard disabilitato
• Metodi di inserimento consentiti
• Servizi di accessibilità consentiti

Se il dispositivo o il profilo di lavoro rimangono non conformi dopo 10 giorni, Android Device Policy ripristinerà il dispositivo ai dati di fabbrica o eliminerà il profilo di lavoro.

In questa sezione, puoi sovrascrivere le regole di applicazione della conformità predefinite o aggiungerne di nuove.

Regole

Elenco delle regole che definiscono il comportamento quando una determinata policy non può essere applicata a un dispositivo.

Usa Aggiungi regola per creare una nuova regola. Ogni scheda della regola può essere rimossa utilizzando l'azione di eliminazione.

Nome impostazione

La policy di primo livello da applicare. Ad esempio, Applicazioni o Requisiti della password.

Obbligatorio. Il valore deve corrispondere a un nome di policy di primo livello supportato; in caso contrario, il campo verrà contrassegnato come non valido.

Blocca dopo giorni

Numero di giorni in cui la policy risulta non conforme prima che il dispositivo o il profilo di lavoro vengano bloccati. Per bloccare l'accesso immediatamente, impostare a 0. Blocca dopo giorni deve essere inferiore a Elimina dopo giorni. Solo applicabile ai dispositivi di proprietà aziendale.

Intervallo consentito: 0–300.

Ambito di blocco

Specifica l'ambito dell'azione di blocco. Solo applicabile ai dispositivi di proprietà aziendale.

Predefinito (nuova regola): Profilo di lavoro.

Profilo di lavoro: L'azione di blocco si applica solo alle app nel profilo di lavoro. Le app nel profilo personale non ne sono influenzate.

Intero dispositivo: L'azione di blocco si applica all'intero dispositivo, incluse le app nel profilo personale.

Elimina dopo giorni

Numero di giorni in cui la policy risulta non conforme prima che il dispositivo o il profilo di lavoro vengano eliminati.
Elimina dopo giorni deve essere superiore a Blocca dopo giorni. Solo applicabile ai dispositivi di proprietà aziendale.

Obbligatorio. Predefinito (nuova regola): 1.

Intervallo consentito: 1–300.

Mantieni la protezione dal ripristino di fabbrica

Se i dati della protezione dal ripristino di fabbrica vengono conservati sul dispositivo. Questa impostazione non si applica ai profili di lavoro.

Predefinito (nuova regola): abilitato.

Policy - Apple

Apple policy

Le Apple policy definiscono le impostazioni di gestione che Cerberus Enterprise applica ai dispositivi Apple tramite MDM. Queste impostazioni vengono configurate dalla dashboard nell'editor di Apple policy.

Prima di iniziare

La gestione dei dispositivi Apple richiede la configurazione di Apple Management (APNs). Se necessario, consulta la pagina Configurazione Apple Management (APNs).

Apri l'Apple Policy Editor

Nella dashboard, apri Policy e fai clic su Crea nuova policy Apple. Per modificare una policy Apple esistente, fai clic sulla relativa riga nella tabella delle policy.

Layout dell'editor

L'Apple Policy Editor è organizzato come un insieme di sezioni espandibili. Nella parte superiore della pagina puoi sempre modificare:

• Nome (obbligatorio)
• ID (sola lettura)
• Descrizione (opzionale)

Sezioni della policy

Le sezioni riportate di seguito corrispondono ai pannelli attualmente disponibili nell'Apple Policy Editor:

• Gestione app: configura le restrizioni relative alle app e le app gestite.
• Impostazioni codice di accesso: configura i requisiti del codice di accesso e le relative regole.
• Sicurezza: controlla funzionalità come lo sblocco automatico e lo sblocco biometrico.
• iCloud: consente o impedisce l'uso di specifici servizi iCloud (backup, sincronizzazione portachiavi, relay privato, ecc.).
• Multimedia: consente o impedisce l'uso della fotocamera e delle relative funzionalità.
• Cellulare: controlla le impostazioni relative alla rete cellulare (impostazioni dati cellulari delle app, eSIM, modifiche del piano).
• Rete: controlla AirDrop/AirPrint/AirPlay e altre impostazioni di connettività.
• Account: limita la modifica degli account e (facoltativamente) configura gli account Google e Mail.

Molte opzioni nell'Apple Policy Editor includono un tooltip che documenta i requisiti e le versioni del sistema operativo supportate.

Salvataggio, eliminazione e dispositivi associati

Usa Salva policy per applicare le modifiche. Il pulsante è disabilitato quando non ci sono modifiche in sospeso o quando la licenza è scaduta.

Quando si modifica una policy esistente, la pagina mostra anche l'azione Elimina policy. L'editor può mostrare un elenco di Dispositivi associati in fondo alla pagina, in modo da poter vedere quanti dispositivi stanno utilizzando attualmente la policy.

Prossime pagine

• Passcode: configura i requisiti del codice di accesso e le relative opzioni di sicurezza.
• Restrizioni: definisci le funzionalità consentite e i limiti a livello di sistema operativo.
• App e profili: configura le app installate e i profili di configurazione.

Apple policy: Codice di accesso

La sezione Impostazioni codice di accesso controlla i requisiti del codice di accesso del dispositivo e le relative regole di sicurezza (ad esempio, lunghezza minima e complessità).

Opzioni

Nell'Editor di Apple Policy, le opzioni del codice di accesso vengono configurate tramite una combinazione di interruttori e campi numerici. Molti campi includono tooltip che indicano le versioni del sistema operativo supportate e i requisiti di supervisione.

Interruttori codice di accesso

• ChangeAtNextAuth: forza il ripristino della password al prossimo accesso dell'utente.
• RequireAlphanumericPasscode: richiede almeno un carattere alfabetico e un numero.
• RequireComplexPasscode: richiede un codice di accesso "complesso" (senza pattern ripetuti o sequenziali e almeno un carattere non alfanumerico).
• RequirePasscode: richiede un codice di accesso senza ulteriori requisiti di lunghezza o qualità. Nota: l'impostazione di altre chiavi del codice di accesso richiede implicitamente un codice di accesso.

Campi numerici

• FailedAttemptsResetInMinutes: minuti prima del ripristino del contatore dei tentativi falliti (richiede MaximumFailedAttempts).
• MaximumFailedAttempts: tentativi falliti consentiti prima che il dispositivo venga cancellato/bloccato (intervallo: 2–11).
• MaximumGracePeriodInMinutes: durata per cui il dispositivo può rimanere sbloccato senza richiedere il codice di accesso (0 = nessuno).
• MaximumInactivityInMinutes: tempo di inattività prima che il dispositivo si blocchi (intervallo: 0–15).
• MaximumPasscodeAgeInDays: età massima del codice di accesso prima di un cambio forzato (intervallo: 0–730).
• MinimumComplexCharacters: numero minimo di caratteri "complessi" (intervallo: 0–4).
• MinimumLength: lunghezza minima del codice di accesso (intervallo: 0–16).
• PasscodeReuseLimit: lunghezza della cronologia del codice di accesso per impedire il riutilizzo di vecchi codici (intervallo: 1–50).

Apple policy: Restrizioni

Le sezioni Restrizioni controllano quali funzionalità del sistema operativo sono consentite sui dispositivi Apple gestiti. Nell'Editor di Apple Policy, queste opzioni sono presentate come pannelli raggruppati con molteplici interruttori.

Molte restrizioni sono supportate solo su versioni specifiche del sistema operativo e potrebbero richiedere dispositivi in modalità supervisione. Consulta i tooltip nella dashboard per conoscere i requisiti ufficiali.

Sicurezza

• Consenti sblocco automatico
• Consenti impronta digitale per sblocco
• Consenti modifica impronta digitale

iCloud

• Consenti rubrica iCloud
• Consenti backup iCloud
• Consenti segnalibri iCloud
• Consenti calendario iCloud
• Consenti desktop e documenti iCloud
• Consenti sincronizzazione documenti iCloud
• Consenti iCloud Freeform
• Consenti sincronizzazione Portachiavi iCloud
• Consenti Mail iCloud
• Consenti Note iCloud
• Consenti Libreria foto iCloud
• Consenti Relay privato iCloud
• Consenti Promemoria iCloud

Multimediale

• Consenti fotocamera
• Consenti modifica condivisione file
• Consenti accesso a unità USB da File

Cellulare

• Consenti modifica dati cellulari app
• Consenti modifica piano cellulare
• Consenti modifica eSIM
• Consenti trasferimenti in uscita eSIM

Rete

• Consenti AirDrop
• Consenti richieste in entrata AirPlay
• Consenti AirPrint
• Consenti memorizzazione credenziali AirPrint
• Consenti rilevamento iBeacon per AirPrint
• Consenti modifica Bluetooth
• Consenti modifica condivisione Bluetooth
• Consenti accesso a unità di rete da File
• Consenti modifica condivisione Internet

Account (restrizione)

Il pannello Account contiene sia le restrizioni che (facoltativamente) la configurazione dell'account. L'interruttore di restrizione controlla se l'utente può modificare gli account di sistema.

• Consenti modifica account

Apple policy: App e profili

Questa sezione documenta come configurare le applicazioni gestite e i payload dell'account per i dispositivi Apple.

Gestione app

Il pannello Gestione app contiene sia le restrizioni generali relative alle app, sia un elenco delle app gestite.

Restrizioni generali alle app

• Consenti app clip
• Consenti installazione app
• Consenti rimozione app
• Consenti download automatici delle app
• Consenti la rimozione visiva delle app
• Consenti il blocco delle app
• Consenti acquisti in-app

App gestite

Usa Aggiungi applicazione per aggiungere un'app alla policy. Ogni app gestita viene visualizzata come una scheda. Puoi espandere la scheda per modificarne le impostazioni o rimuovere l'app utilizzando l'azione di eliminazione.

• ID App Store: l'identificativo App Store dell'app gestita.
• ID bundle: l'identificativo del bundle dell'app.
• Comportamento di installazione: controlla se l'app deve rimanere installata o se può essere installata/rimossa dall'utente.
• Assegnazione: tipo di assegnazione della licenza.
• Licenza VPP: tipo di licenza VPP utilizzata per l'installazione tramite l'App Store.

Account

Il pannello Account consente di configurare gli account applicati ai dispositivi gestiti. Include anche un interruttore di restrizione per la modifica degli account.

Restrizione

• Consenti modifica account: quando disabilitato, gli utenti non possono modificare account come l'account Apple e gli account internet.

Aggiungi account

Usa Aggiungi account Google o Aggiungi account mail per aggiungere i payload dell'account alla policy. Ogni account appare come una scheda con i relativi campi di configurazione.

Credenziali account dagli utenti

Sia le schede degli account Google che quelle Mail forniscono un interruttore Credenziali account dagli utenti. Quando abilitato, il sistema applica le credenziali dell'account su base utente. Quando disabilitato, si inserisce l'identità dell'account nella policy.

Campi account Google

• Nome visibile: il nome mostrato all'utente per l'account.
• Indirizzo email Google: l'indirizzo email dell'utente.
• Nome completo: il nome completo dell'utente.

Campi account mail

Gli account mail includono i campi di identità oltre alla configurazione del server in entrata/in uscita. I nomi host sono obbligatori.

• Nome visibile: il nome mostrato all'utente per l'account mail.
• Indirizzo email: l'indirizzo email dell'utente.
• Nome completo: il nome completo dell'utente.

Server in entrata

• Tipo di server: protocollo mail (ad esempio IMAP o POP).
• Metodo di autenticazione: metodo di autenticazione per il server.
• Prefisso percorso IMAP: mostrato solo quando il Tipo di server è IMAP.
• Nome host: obbligatorio.
• Porta: porta del server (1–65535).

Server in uscita

• Metodo di autenticazione
• Nome host: obbligatorio.
• Porta: porta del server (1–65535).

Opzioni S/MIME

Per gli account Mail, è possibile configurare anche il comportamento di crittografia e firma S/MIME.

Crittografia

• Crittografia S/MIME
• Identità sovrascrivibile dall'utente
• Interruttore per singolo messaggio abilitato
• Sovrascrivibile dall'utente

Firma

• Firma S/MIME
• Identità sovrascrivibile dall'utente
• Sovrascrivibile dall'utente

Le opzioni relative all'account e alle restrizioni includono tooltip nella dashboard che documentano i prerequisiti e le versioni del sistema operativo supportate.

Stato Dispositivo

Panoramica dispositivo

Apri un dispositivo da Dashboard → Dispositivi facendo clic sulla riga del dispositivo. Il titolo della pagina mostra il Modello del dispositivo (quando disponibile) e l'ID interno.

Dati storici rispetto all'iscrizione attuale

Quando un dispositivo ha più iscrizioni, Cerberus Enterprise può mostrare un registro storico di sola lettura. In quel caso, la pagina visualizza un banner Dati storici e un pulsante per tornare ai dati dell'iscrizione attuale.

Campi superiori

La sezione superiore riassume l'identità del dispositivo, l'assegnazione e lo stato di gestione. Alcuni campi sono specifici per la piattaforma e compaiono solo per i dispositivi Android o Apple.

• ID e Modello: identificatori di sola lettura.
• Utente: mostra l'utente attualmente assegnato (se presente). Dal menu utente è possibile Aprire utente o Cambiare utente, oppure assegnare un utente quando nessuno è impostato.
• Modalità di gestione e Proprietà: visualizzati con tooltip nell'interfaccia utente.
• Stato: stato attuale del dispositivo (con icona e dettagli tramite tooltip).
• Profilo ADE (solo Apple): mostra il profilo di iscrizione automatizzata dei dispositivi assegnato (se presente) e consente di aprirlo o modificarlo.
• Policy: mostra la policy assegnata e consente di aprirla o modificarla, oppure di assegnarne una quando nessuna è impostata.
• Stato conformità policy (quando è assegnata una policy): indica se il dispositivo è conforme.
• Versione policy (quando è assegnata una policy): indica se sul dispositivo è stata applicata l'ultima versione della policy.
• Iscritto il e Ultimo rapporto di stato: timestamp dell'iscrizione e dell'ultimo stato riportato.
• Rimosso il: mostrato quando il dispositivo è stato rimosso.

Alcuni dati e pannelli sono disponibili solo quando la categoria corrispondente è abilitata nella policy del dispositivo. Per ulteriori informazioni, consulta le pagine Segnalazione dello stato e Posizione e geofence.

Pannelli

L'editor del dispositivo è organizzato in sezioni espandibili. A seconda della piattaforma e dello stato, potresti visualizzare uno o più dei seguenti pannelli:

• Mappa posizione: un pannello a schede con la cronologia della Posizione per il dispositivo corrente e, sui dispositivi Android, una scheda Geofence per le transizioni di geofencing quando i dati sono disponibili.
• Comandi: invia comandi al dispositivo e visualizza la cronologia dei comandi (specifico per piattaforma).
• Stato di sicurezza (solo Android): stato, verdetto Play Integrity e rischi di sicurezza.
• Report app (solo Android): app installate e report di feedback/errore.
• App gestite (solo Apple): stato delle app gestite e dettagli di installazione.
• Dettagli non conformità: mostrato quando un dispositivo non è conforme; elenca le impostazioni della policy che risultano non conformi.
• Report di stato: dati aggiuntivi riportati dal dispositivo, visualizzati come un albero di categorie e valori.
• Cronologia iscrizioni: iscrizioni precedenti per lo stesso dispositivo fisico, mostrate come un elenco.

Schede del pannello posizione

Il pannello Mappa posizione ora utilizza delle schede, in modo che la cronologia della posizione e le transizioni di geofencing rimangano separate.

• Posizione: mostra i filtri della cronologia, una ricerca per intervallo di date, i segnaposto di posizione, il cerchio di accuratezza e i controlli per il tracciamento in tempo reale del dispositivo corrente.
• Geofence (solo Android): mostra la cronologia delle transizioni di geofencing su una mappa dedicata, con filtri temporali, un interruttore opzionale per le geofence archiviate e un elenco laterale delle transizioni.

Per il comportamento completo di queste schede, consulta Mappa posizione.

Azioni

In fondo alla pagina è possibile aggiornare i dati ed eseguire azioni a seconda della piattaforma, dello stato del dispositivo e dello stato della licenza.

• Aggiorna dati: ricarica il record del dispositivo.
• Disabilita dispositivo / Abilita dispositivo (solo Android): disponibile negli stati supportati.
• Rimuovi iscrizione dispositivo: rimuove la gestione dal dispositivo. Il comportamento esatto dipende dalla piattaforma e dalla proprietà (ad esempio, su Android potrebbe essere effettuata l'inizializzazione di un profilo di lavoro o il ripristino ai dati di fabbrica).
• Elimina dispositivo: disponibile quando il dispositivo è già stato rimosso e il suo record può essere eliminato.

Comandi

L'editor del dispositivo fornisce un pannello Comandi per inviare comandi remoti a un dispositivo gestito. I comandi disponibili dipendono dalla piattaforma (Android o Apple) e dallo stato del dispositivo.

Se il dispositivo non è attualmente online, il comando verrà consegnato ed eseguito non appena il dispositivo si connetterà a Internet. Per i comandi Android, è possibile impostare il parametro Durata per determinare per quanto tempo un comando non consegnato rimanga valido.

Comandi Android (AMAPI)

Per i dispositivi Android, il pannello Comandi include un campo Durata (valore + unità) e un selettore Comando. Alcuni comandi richiedono parametri aggiuntivi, che compaiono dinamicamente quando si seleziona il comando.

Parametri comuni

• Durata: per quanto tempo il comando rimane valido se non può essere eseguito immediatamente.
• Comando: scegli quale azione inviare al dispositivo.

Comandi con campi aggiuntivi

• Reimposta password: richiede Nuova password e Conferma nuova password. Gli interruttori opzionali includono Blocca ora, Richiedi inserimento e Non richiedere credenziali all'avvio.
• Cancella dati app: richiede il Nome pacchetto di destinazione.
• Avvia modalità smarrito: richiede un Messaggio di smarrimento e supporta campi di contatto opzionali (indirizzo, organizzazione, numero di telefono, email).
• Richiedi informazioni sul dispositivo: richiede di selezionare quali informazioni sul dispositivo richiedere.
• Aggiungi eSIM: richiede un Codice di attivazione e uno Stato di attivazione.
• Rimuovi eSIM: richiede l'ICCID dell'eSIM.
• Inizializzazione dati: supporta un Messaggio sul motivo dell'inizializzazione (mostrato agli utenti sui dispositivi personali) e flag di inizializzazione opzionali.

Cronologia comandi

Sotto i controlli di invio, la dashboard mostra una tabella con la cronologia dei comandi. La tabella è ordinabile e supporta la paginazione. Alcune righe possono essere espanse per visualizzare parametri aggiuntivi o dettagli di esecuzione.

Colonne cronologia Android

• Data di creazione
• Comando
• Validità
• Stato
• Errore
• Data di esecuzione

Comandi Apple (MDM)

Per i dispositivi Apple, il pannello Comandi fornisce un selettore Comando. Alcuni comandi richiedono input aggiuntivi. Come per Android, viene mostrata una tabella con la cronologia dei comandi qui sotto.

Comandi con campi aggiuntivi

• InstallApplication: richiede l'Bundle ID dell'applicazione.
• SendNotification: richiede un Messaggio di notifica (lunghezza massima 200 caratteri).

Colonne cronologia Apple

• Data di creazione
• Comando
• Stato
• Ora dello stato

Aggiorna

Utilizza l'azione aggiorna nel pannello Comandi per ricaricare la cronologia dei comandi.

Mappa posizione

Questa pagina documenta gli strumenti di localizzazione specifici per il dispositivo disponibili in Panoramica dispositivo. Il pannello contiene una scheda Posizione per la cronologia della posizione e, sui dispositivi Android, una scheda Geofence per le transizioni di geofencing.

Prerequisiti

I dati sulla posizione del dispositivo vengono mostrati solo quando la segnalazione della posizione è abilitata nella policy del dispositivo. Per abilitarla, apri la policy e attiva Posizione e geofence → Segnala posizione. Per ulteriori dettagli, consulta Posizione e geofence.

Sui dispositivi che non sono completamente gestiti, i dati sulla posizione possono comunque dipendere dal fatto che l'app Cerberus Enterprise abbia i permessi di posizione richiesti e che i servizi di localizzazione siano abilitati sul dispositivo.

Per la mappa globale multi-dispositivo disponibile dalla dashboard, consulta Mappa posizione dashboard.

Stato di caricamento e assenza di dati

• Mentre i dati sulla posizione vengono caricati, il pannello mostra un overlay di caricamento sulla mappa.
• Se il dispositivo non ha dati sulla posizione disponibili, il pannello mostra un messaggio che indica Nessun dato sulla posizione disponibile insieme a un promemoria per abilitare la segnalazione della posizione nella policy assegnata.
• Se un filtro per data è attivo e non ci sono campioni corrispondenti, il pannello mostra Nessun dato disponibile nell'intervallo di date selezionato.

Scheda Posizione

Apri la scheda Posizione per ispezionare la cronologia di un singolo dispositivo. I filtri disponibili includono l'ultima posizione nota, intervalli di cronologia recenti, un intervallo di date personalizzato e il tracciamento in tempo reale.

• Ultima: mostra l'ultima posizione nota.
• Oggi, Ultimi 7 giorni e Ultimi 30 giorni: mostrano le posizioni registrate per il periodo selezionato.
• Cerca: consente di scegliere un intervallo di date personalizzato.
• Live: avvia o interrompe il tracciamento in tempo reale per il dispositivo corrente.

Dettagli del segnaposto

Quando si fa clic su un segnaposto di posizione, si apre una finestra informativa con:

• Il timestamp del record di posizione.
• L'accuratezza riportata (in metri).
• La velocità riportata, quando il dispositivo la fornisce.
• L'heading o direzione riportati, quando il dispositivo li fornisce.

Cerchio di accuratezza

Quando la finestra informativa è aperta, viene visualizzato un cerchio di accuratezza attorno al segnaposto. Il raggio del cerchio corrisponde all'accuratezza riportata (in metri). Chiudendo la finestra informativa, il cerchio viene nascosto.

Tracciamento in tempo reale

Nella visualizzazione della cronologia del dispositivo, selezionando il filtro Live si avvia una richiesta di tracciamento in tempo reale per quel dispositivo specifico. Cerberus Enterprise richiede una conferma prima di avviare la richiesta.

• Il tracciamento in tempo reale dura fino a 15 minuti.
• Il dispositivo mostra una notifica mentre il tracciamento in tempo reale è attivo.
• Mentre il tracciamento in tempo reale è attivo, il pannello continua ad aggiornare l'ultima posizione e l'indicatore live rimane visibile.
• Selezionare nuovamente il filtro live consente di interrompere il tracciamento in tempo reale prima della scadenza del timeout.

Scheda Geofence

Sui dispositivi Android, la seconda scheda mostra le transizioni di geofencing generate dalle geofence definite nella policy assegnata. Questa scheda è disponibile quando sono presenti dati di geofencing per il dispositivo.

• La mappa mostra le aree di geofencing correnti insieme ai punti di transizione registrati.
• L'elenco delle transizioni sulla destra consente di ispezionare gli eventi di ingresso e uscita.
• I filtri disponibili sono Oggi, Ultimi 7 giorni, Ultimi 30 giorni e una ricerca personalizzata per intervallo di date.
• Includi archiviati mostra anche le transizioni relative a vecchie definizioni di geofence che non sono più presenti nella policy attuale.

Dettagli transizione geofence

Selezionando una transizione si aprono i relativi dettagli sulla mappa e viene evidenziata la voce corrispondente nell'elenco. Quando disponibili, Cerberus Enterprise mostra anche le coordinate del dispositivo e l'accuratezza riportata per quella transizione.

Mappa della posizione nella dashboard

La mappa della posizione nella dashboard fornisce una visualizzazione globale dell'ultima posizione nota dei dispositivi che trasmettono dati sulla posizione. Aprila da Dashboard per esaminare più dispositivi sulla stessa mappa Google.

Prerequisiti

Un dispositivo appare su questa mappa solo quando la segnalazione della posizione è abilitata nella policy assegnata. Per abilitarla, apri la policy e attiva Posizione e geofence → Segnala posizione. Per ulteriori dettagli, consulta Posizione e geofence.

Sui dispositivi che non sono completamente gestiti, i dati sulla posizione possono comunque dipendere dal fatto che l'app Cerberus Enterprise abbia i permessi di posizione richiesti e che i servizi di localizzazione siano abilitati sul dispositivo.

Per la cronologia per singolo dispositivo e le transizioni di geofence disponibili nell'editor del dispositivo, consulta Mappa della posizione.

Stato di caricamento e assenza di dati

• Mentre i dati sulla posizione vengono caricati, la mappa mostra un overlay di caricamento.
• Se attualmente nessun dispositivo ha dati sulla posizione disponibili, la pagina mostra un messaggio Nessun dato sulla posizione disponibile.

Marker e cluster

Ogni dispositivo con dati sulla posizione disponibili viene mostrato come un marker. Quando molti dispositivi si trovano vicini tra loro, i marker vengono raggruppati automaticamente in cluster per mantenere la mappa leggibile.

I dispositivi che sono attualmente in tracciamento live sono evidenziati con un marker animato per renderli più facili da individuare sulla mappa.

Controlli della mappa

Quando la mappa contiene le posizioni dei dispositivi, Cerberus Enterprise mostra i pulsanti di azione nell'angolo in alto a destra della mappa.

• Posizione attuale: utilizza la posizione del browser per spostare la mappa sulla tua posizione attuale e adattarla all'area di precisione riportata.
• Recentra mappa: adatta nuovamente la mappa attorno ai marker dei dispositivi attualmente visualizzati.
• Pillola di tracciamento live Tracciato: appare quando uno o più dispositivi sono in tracciamento live e mostra quanti sono attualmente attivi.
• Interrompi tutto il tracciamento live: il pulsante icona all'interno della pillola di tracciamento live interrompe il tracciamento live per tutti i dispositivi attualmente tracciati dopo la conferma.

Dettagli del marker

Facendo clic su un marker si apre una finestra informativa con:

• Il Modello del dispositivo e l' ID interno.
• L'indicazione temporale dell'ultima posizione riportata.
• La precisione riportata in metri.
• La velocità riportata, quando disponibile.
• L' heading o l'azimut riportati, quando disponibili.

L'identificativo del dispositivo nella finestra informativa è un link che apre la corrispondente pagina Panoramica dispositivo.

Azioni finestra informativa

Ogni finestra informativa include anche pulsanti di azione per il dispositivo selezionato.

• Link dispositivo: il nome e l'ID del dispositivo nella parte superiore della finestra informativa aprono la corrispondente pagina panoramica del dispositivo.
• Zoom in: centra la mappa sul dispositivo selezionato e adatta l'area di precisione riportata attorno ad esso.
• Live: avvia il tracciamento live per quel dispositivo. Se il tracciamento live è già attivo, lo stesso pulsante lo interrompe dopo la conferma.
• Tracciamento live attivo: quando presente, questa riga di stato indica che il dispositivo selezionato è già in fase di tracciamento in tempo reale.

Cerchio di precisione

Quando un marker viene selezionato, la mappa visualizza un cerchio di precisione attorno alla posizione. Il raggio del cerchio corrisponde alla precisione riportata.

Comportamento del tracciamento live

L'avvio del tracciamento live da una finestra informativa invia una richiesta di tracciamento in tempo reale a quel dispositivo. Cerberus Enterprise aggiorna quindi automaticamente la mappa finché la sessione è attiva.

• Ogni sessione di tracciamento live dura fino a 15 minuti.
• Il dispositivo mostra una notifica mentre il tracciamento live è attivo.
• Il tracciamento live può essere interrotto sia dalla finestra informativa del dispositivo selezionato, sia tramite il pulsante globale Interrompi tutto il tracciamento live sulla mappa.

App private

Da questa sezione della dashboard, puoi caricare le tue app Android private o creare web app da distribuire sui tuoi dispositivi.

Gli unici dettagli da fornire sono il titolo dell'app e l'APK. Le app private vengono approvate automaticamente per la tua organizzazione e sono solitamente pronte per la distribuzione entro 10 minuti. Puoi caricare un totale di 15 app private al giorno. Tieni presente che anche le web app rientrano in questo totale.

La prima volta che pubblichi un'app privata, dovrai fornire un indirizzo email per ricevere le notifiche dalla Play Console relative alle tue app e al tuo account sviluppatore Google Play. Inoltre, Managed Play crea automaticamente un account sviluppatore Play per conto della tua organizzazione. Non è necessario pagare alcuna quota di registrazione per questo account.

App private pubblicate dall'iframe:

• Non sono soggette agli stessi controlli di altre app. Di conseguenza, non possono essere convertite in app pubbliche.
• Non sono trasferibili. Non è possibile trasferire la proprietà di un'app a un account sviluppatore Play differente.

Per ulteriori dettagli, visita la Guida di Managed Google Play

Gestione certificati

La dashboard include una sezione Certificati per importare, visualizzare e eliminare i certificati. Facendo clic su una riga del certificato si apre l'editor dei certificati.

Elenco certificati

I certificati sono visualizzati in una tabella paginata e ordinabile. L'elenco include sia i certificati client che le Autorità di Certificazione (CA).

Filtri

Nella parte superiore della pagina è possibile abilitare i filtri utilizzando l'elenco di chip. Alcuni filtri sono mutuamente esclusivi.

• Tutti: mostra tutti i certificati.
• Client: mostra solo i certificati client.
• Autorità di Certificazione (CA): mostra solo i certificati CA.
• Cerca: mostra un campo di testo (etichetta Nome o nome file) per cercare tramite nome del certificato o nome del file importato.
• Senza utente: mostra i certificati client non associati ad alcun utente.

Colonne della tabella

• Nome
• Tipo
• Scadenza
• Utente (mostrato per i certificati client)
• Nome file importato
• Data di importazione

Azioni

• Apri certificato: fai clic su una riga per aprire l'editor dei certificati.
• Elimina certificato: disponibile solo quando il certificato non è associato a utenti/policy e non è utilizzato dai dispositivi. L'azione può anche essere disabilitata quando la licenza è scaduta.
• Selezione multi-riga: è possibile abilitare la selezione multi-riga per eliminare più certificati contemporaneamente. È possibile selezionare solo i certificati eliminabili.
• Aggiorna: ricarica l'elenco dei certificati.

Importa certificati

Per importare i certificati, fai clic su Importa certificato e seleziona uno o più file. I formati supportati sono mostrati nel tooltip del pulsante di importazione.

Client

Formato supportato: PKCS#12 codificato in Base64 (.p12 / .pfx).

I certificati client identificano un utente o un dispositivo sulla rete aziendale. I certificati client possono essere associati a un utente specifico.

Ogni certificato client può essere opzionalmente assegnato a un utente specifico: ciò consente di distribuire la stessa configurazione Wi‑Fi EAP su molti dispositivi. È possibile farlo nella sezione configurazione di rete della policy, utilizzando l'opzione Credenziali EAP dagli utenti.

In alternativa, è possibile assegnare un certificato a un utente dalla pagina Utenti.

Autorità di Certificazione (CA)

Formati supportati: X.509 codificato in Base64 (.crt / .pem / .cer / .der).

I certificati CA identificano un'Autorità di Certificazione e indicano al dispositivo che tutti i certificati emessi dalla CA devono essere considerati affidabili. La dashboard convalida che un certificato X.509 importato sia una CA.

Editor dei certificati

Quando apri un certificato, l'editor mostra i suoi campi principali e un pannello di Informazioni sul certificato di sola lettura.

Campi principali

• Nome (obbligatorio)
• ID (sola lettura)
• Tipo (sola lettura)
• Scadenza (sola lettura)
• Data di importazione (sola lettura)
• Nome file importato (sola lettura)

Associazione utente (certificati client)

Per i certificati client, l'editor mostra un campo Utente. Se è assegnato un utente, un menu consente di Apri utente, Cambia utente o Dissocia utente. Se non è assegnato alcun utente, è possibile assegnarne uno tramite il pulsante delle azioni utente.

Elimina certificato

L'azione di eliminazione è disabilitata quando il certificato è attualmente associato a un utente o utilizzato nelle policy. Può anche essere disabilitata quando la licenza è scaduta.

Regole degli eventi

Le regole degli eventi ti consentono di automatizzare le reazioni agli eventi dei dispositivi supportati. Apri Dashboard → Regole degli eventi per creare regole che monitorano gli eventi di registrazione, rimozione dalla registrazione, mancata conformità e geofencing Android, per poi attivare automaticamente una o più azioni.

Cosa può fare una regola degli eventi

Ogni regola combina un soggetto, un evento e una o due azioni. I soggetti supportati sono Tutti i dispositivi, Dispositivo specifico e Policy.

• Eventi: registrazione dispositivo, rimozione dalla registrazione, il dispositivo diventa non conforme, ingresso nel geofence, uscita dal geofence.
• Azioni sul dispositivo: disabilita dispositivo, abilita dispositivo, blocca dispositivo.
• Azione email: invia un'email di notifica agli amministratori e, quando abilitata, ai manager delegati.

Una regola può contenere solo un'azione email, solo un'azione sul dispositivo, oppure un'azione sul dispositivo più un'azione email. Se vengono configurate entrambe le azioni, Cerberus Enterprise esegue prima l'azione sul dispositivo e successivamente l'azione email.

Regole di piattaforma e compatibilità

Gli eventi e le azioni disponibili dipendono dal soggetto selezionato e dalla piattaforma applicabile a tale soggetto.

• Android supporta gli eventi di registrazione, rimozione dalla registrazione, mancata conformità e geofencing.
• Apple supporta gli eventi di registrazione, rimozione dalla registrazione e mancata conformità.
• Disabilita dispositivo e Abilita dispositivo sono azioni disponibili solo per Android.
• Blocca dispositivo e Invia email sono disponibili sia su Android che su Apple, quando l'evento selezionato li supporta.
• Rimozione dalla registrazione del dispositivo supporta solo le azioni email.

Elenco regole

L'elenco delle regole degli eventi è la pagina di gestione principale per questa funzione. Include una tabella con funzione di ricerca che riporta il nome della regola, il soggetto, l'evento, le azioni, la piattaforma, lo stato di attivazione e l'ora di aggiornamento.

• Utilizza i chip di filtro per passare tra tutte le regole, le regole attivate, le regole disattivate e la ricerca testuale.
• Usa il pulsante Aggiorna per ricaricare la visualizzazione attuale della tabella.
• Usa l'interruttore di attivazione in ogni riga per abilitare o disabilitare temporaneamente una regola.
• Usa la modalità di selezione multi-riga per eliminare più regole contemporaneamente.
• Usa Crea regola evento per aprire l'editor di una nuova regola.

Editor delle regole

L'editor è diviso nelle sezioni Generale, Ambito, Trigger e Azioni. Nella parte inferiore della pagina, una barra delle azioni fissa mantiene visibili i pulsanti principali durante lo scorrimento.

Generale

• Nome: obbligatorio, fino a 150 caratteri.
• Descrizione: opzionale, fino a 2000 caratteri.
• Regola abilitata: salva la regola nello stato abilitato o disabilitato.

Ambito

L'ambito definisce i dispositivi che la regola può interessare. L'editor mostra anche la piattaforma risolta e, quando disponibile, il contesto della policy applicata.

• Tutti i dispositivi: la regola può interessare tutti i dispositivi supportati nell'azienda.
• Dispositivo specifico: seleziona un dispositivo gestito dalla finestra di dialogo di selezione.
• Policy: seleziona un modello di policy dalla finestra di dialogo di selezione.

Trigger

La sezione trigger filtra automaticamente gli eventi disponibili in base all'ambito e alla piattaforma selezionati.

Trigger geofence

Le regole di ingresso e uscita dal geofence sono supportate solo per Android e richiedono un contesto policy Android valido. Per informazioni sulla segnalazione della posizione e sulle definizioni di geofence, consulta Posizione e geofence.

• Se il soggetto è Tutti i dispositivi, la regola si applica sempre a Qualsiasi geofence.
• Se il soggetto è un dispositivo o una policy, puoi scegliere Qualsiasi geofence o un Geofence specifico.
• L'elenco dei geofence specifici viene caricato dal contesto della policy applicata al dispositivo o alla policy selezionati.

Azioni

La sezione azioni consente di scegliere un'azione sul dispositivo facoltativa e una notifica email facoltativa. L'interfaccia utente nasconde automaticamente le combinazioni non supportate.

• Se non è disponibile alcuna azione sul dispositivo per l'evento e l'ambito selezionati, è comunque possibile salvare una regola composta solo da email.
• Se l'invio di email è disabilitato per l'evento e la piattaforma selezionati, l'interruttore per le email non sarà disponibile.
• Una regola senza alcuna azione non è valida e non può essere salvata.

Destinatari email

Le azioni email includono sempre gli utenti aziendali con il ruolo ADMIN. Se l'azienda è gestita tramite multi-tenancy, è possibile espandere i destinatari per includere i manager MT.

• Solo manager principali: include gli amministratori aziendali e i contatti dei manager MT principali.
• Manager principali e manager di sottoconto: aggiunge anche i manager di sottoconto assegnati.
• L'elenco di anteprima mostra gli indirizzi email effettivi che verranno utilizzati quando la regola verrà eseguita.
• Solo i manager delegati con accesso concesso all'azienda vengono inclusi nell'elenco finale dei destinatari.

Comportamento di esecuzione

Le regole degli eventi vengono eseguite immediatamente quando Cerberus Enterprise riceve un evento supportato dalle integrazioni backend. Le regole disabilitate vengono saltate automaticamente.

Le esecuzioni andate a buon fine e quelle fallite vengono registrate nel log di sistema con messaggi leggibili dall'utente.

Dispositivi

Dispositivi

La sezione Dispositivi della dashboard (Dashboard → Dispositivi) elenca tutti i dispositivi registrati nel tuo account. Da questa pagina, puoi filtrare l'elenco, aprire la scheda di un dispositivo ed eseguire azioni sul dispositivo, come disabilitarlo o rimuoverlo dalla registrazione.

Filtri

Nella parte superiore della pagina è possibile attivare uno o più filtri utilizzando l'elenco di chip. I chip selezionati rappresentano i filtri attualmente attivi.

Filtri disponibili

• Tutti: mostra tutti i dispositivi.
• Android: mostra solo i dispositivi Android.
• Apple: mostra solo i dispositivi Apple.
• Di proprietà aziendale: mostra solo i dispositivi di proprietà aziendale.
• Di proprietà personale: mostra solo i dispositivi di proprietà personale.
• Profile owner: mostra solo i dispositivi con profilo di lavoro Android.
• Device owner: mostra solo i dispositivi Android completamente gestiti.
• Attivi: mostra i dispositivi in stato attivo.
• Conforme: mostra i dispositivi conformi alle policy.
• Non conforme: mostra i dispositivi che non sono conformi alle policy.
• Sicuri: mostra i dispositivi con uno stato di sicurezza ottimale.
• Non sicuri: mostra i dispositivi con uno stato di sicurezza non ottimale.
• Policy non aggiornata: mostra i dispositivi con modifiche alle policy in sospeso.
• Stato non aggiornato: mostra i dispositivi che non hanno inviato aggiornamenti di stato nelle ultime 72 ore.
• Errore app: mostra i dispositivi le cui app hanno inviato segnalazioni di errore.
• Ricerca: attiva un campo di ricerca testuale.

Ricerca

Quando attivi il filtro Ricerca, appare un campo di testo con l'etichetta ID, Modello o Utente. L'elenco viene aggiornato automaticamente dopo aver smesso di digitare.

Tabella dispositivi

I dispositivi sono visualizzati in una tabella paginata e ordinabile. Facendo clic su una riga si apre l'editor del dispositivo.

Colonne

• ID: identificativo interno del dispositivo.
• MDM: piattaforma (Android o Apple).
• Modello: modello del dispositivo.
• Proprietà: di proprietà aziendale o personale (con dettagli nel tooltip).
• Modalità di gestione: modalità di gestione (con dettagli nel tooltip).
• Policy: policy attualmente assegnata.
• Utente: utente associato (nome, email o ID a seconda della disponibilità).
• Ultimo rapporto di stato: timestamp dell'ultimo rapporto di stato (quando disponibile).
• Stato: stato del dispositivo (con dettagli nel tooltip).
• Conformità: indicatore dello stato di conformità.
• Sicurezza: stato di sicurezza (con dettagli nel tooltip).
• Errore app: indicatore errori app.

Aggiornamento e impaginazione

• Utilizza l'azione di aggiornamento per ricaricare l'elenco.
• La tabella è paginata (10/25/50 elementi per pagina).

Azioni sul dispositivo

Ogni riga del dispositivo può offrire diverse azioni, a seconda della piattaforma e dello stato del dispositivo. Alcune azioni sono disabilitate quando la licenza è scaduta o terminata.

Azioni per singolo dispositivo

• Disabilita dispositivo / Abilita dispositivo: disponibile per i dispositivi Android in stati supportati.
• Rimuovi registrazione dispositivo: rimuove la gestione. Su Android questo può cancellare il profilo di lavoro o eseguire un ripristino ai dati di fabbrica (a seconda della proprietà); su Apple rimuove le impostazioni delle policy.
• Elimina dispositivo: disponibile per i dispositivi che sono già stati rimossi dalla registrazione (rimuove la scheda dal sistema).

Selezione multi-riga

Puoi attivare la selezione multi-riga dalla barra delle azioni sotto la tabella. Quando è attiva, puoi selezionare più righe e applicare azioni di massa (disabilita, abilita, rimuovi registrazione o elimina), a seconda dei dispositivi selezionati.

Sincronizzazione con Apple Business Manager

Se la gestione Apple è configurata e è presente un token di registrazione automatica dei dispositivi, la pagina potrebbe mostrare l'azione Sincronizza da ABM per importare i dispositivi da Apple Business Manager.

Registra un dispositivo

Usa Registra un dispositivo per aprire la sezione Token di registrazione e iniziare a registrare un nuovo dispositivo.

Utenti

Utenti

La sezione Utenti della dashboard (Dashboard → Utenti) elenca tutti gli utenti configurati nel tuo account. Da questa pagina, puoi cercare utenti, aprire l'editor utente, creare nuovi utenti e eliminare gli utenti che non sono attualmente associati a dispositivi.

Ricerca

Nella parte superiore della pagina è presente un campo di ricerca con l'etichetta Cerca e il segnaposto Nome, nome utente o email. L'elenco si aggiorna automaticamente dopo aver smesso di digitare.

Tabella utenti

Gli utenti sono visualizzati in una tabella paginata e ordinabile. Facendo clic su una riga si apre l'editor utente.

Colonne

• ID: identificativo utente interno.
• Nome: nome dell'utente.
• Cognome: cognome dell'utente.
• Nome utente: nome utente (spesso il nome utente della directory).
• Email: indirizzo email dell'utente.
• Dispositivi: numero di dispositivi attualmente associati all'utente.
• Certificato WiFi: indicatore che mostra se un certificato Wi‑Fi è assegnato all'utente.

Aggiornamento e paginazione

• L'azione di aggiornamento ricarica l'elenco.
• La tabella è paginata (10/25/50 elementi per pagina).

Azioni utente

Crea nuovo utente

Usa Crea nuovo utente per aprire la finestra di creazione utente. Questa azione è disabilitata quando la licenza è scaduta.

Sincronizzazione da Google Workspace

Se la sincronizzazione della directory Google Workspace è disponibile per il tuo account, la pagina mostra Sincronizzazione da Google Workspace. Quando avvii una sincronizzazione, viene mostrato un indicatore di avanzamento durante l'esecuzione della richiesta.

Elimina un utente

Puoi eliminare un utente solo quando l'utente non è associato ad alcun dispositivo (la colonna Dispositivi deve essere 0). L'azione di eliminazione è disabilitata quando la licenza è scaduta o terminata.

Selezione multi-riga ed eliminazione massiva

Dalla barra delle azioni sotto la tabella è possibile abilitare la selezione multi-riga. In questa modalità, puoi selezionare più utenti e procedere all'eliminazione massiva.

• Idoneità: solo gli utenti con Dispositivi = 0 possono essere selezionati per l'eliminazione.
• Seleziona tutto: la casella Tutto seleziona tutte le righe idonee nella pagina corrente.
• Eliminazione massiva: Elimina utenti selezionati è disabilitata quando non sono selezionate righe, o quando la licenza è scaduta o terminata.

Certificati Wi-Fi ed EAP

La colonna Certificato WiFi mostra se un certificato è attualmente assegnato a un utente. I certificati utente sono tipicamente utilizzati per le configurazioni Wi‑Fi EAP (ad esempio EAP‑TLS). Per l'assegnazione e la gestione dei certificati, consultare Gestione certificati.

Editor utenti

L'editor utenti è disponibile da Dashboard → Utenti cliccando su una riga dell'utente. Ti consente di modificare i dettagli dell'utente, configurare le credenziali Wi-Fi EAP per utente e visualizzare i dispositivi associati all'utente.

Dettagli utente

La sezione superiore contiene i campi principali dell'utente. Alcuni campi sono obbligatori e l'editor mostra errori di validazione quando mancano o non sono validi.

• ID: identificativo di sola lettura.
• Nome: obbligatorio.
• Cognome: obbligatorio.
• Nome utente: obbligatorio.
• Email: obbligatorio e deve essere un indirizzo email valido.
• Numero di telefono: opzionale.
• Account Google: opzionale e deve essere un indirizzo email valido se fornito.

Policy predefinita di autenticazione Google

Negli ambienti Google Workspace con l'autenticazione Google abilitata, l'editor può mostrare la Policy predefinita di autenticazione Google. Questa è la policy applicata ai dispositivi registrati tramite l'autenticazione Google da questo utente.

• Cambia policy: apre la finestra di dialogo per la selezione della policy.
• Apri policy: apre la policy selezionata nell'editor di policy (quando una policy è impostata).
• Dopo aver selezionato una nuova policy predefinita, è necessario salvare l'utente per applicare la modifica. L'editor mostra una notifica che ti ricorda di salvare.

Credenziali Wi-Fi EAP

La sezione Credenziali Wi-Fi EAP viene utilizzata per configurare le credenziali per utente che vengono installate automaticamente sui dispositivi dell'utente quando la policy assegnata contiene una configurazione Wi-Fi EAP che le richiede. La configurazione Wi-Fi EAP fa parte della configurazione di rete della policy Android.

Certificato client

È possibile assegnare facoltativamente un certificato client a un utente. Quando viene assegnato un certificato, questo viene mostrato nel campo Certificato client e un menu fornisce le azioni disponibili. Quando non viene assegnato alcun certificato, il campo mostra Nessun certificato assegnato e puoi procedere all'assegnazione.

• Assegna certificato: apre la finestra di dialogo per la selezione del certificato.
• Apri certificato: apre l'editor del certificato.
• Cambia certificato: seleziona un certificato client differente.
• Dissocia certificato: rimuove il certificato dall'utente. Il sistema rimuove inoltre il certificato da tutti i dispositivi associati a questo utente.

Per l'importazione e la gestione dei certificati, consulta Gestione dei certificati.

Identità, identità anonima e password

• Identità: identità dell'utente. Per i protocolli di tunneling outer (PEAP, EAP-TTLS), questa viene utilizzata all'interno del tunnel.
• Identità anonima: utilizzata per i protocolli di tunneling outer come identità presentata all'esterno del tunnel. Se non specificata, il valore predefinito è una stringa vuota.
• Password: la password dell'utente per i metodi EAP che la richiedono. Se non specificata, il dispositivo può richiederla all'utente. L'azione mostra/nascondi alterna la visibilità della password.

Dispositivi associati

La sezione Dispositivi associati mostra l'elenco dei dispositivi attualmente collegati all'utente. Se l'utente ha uno o più dispositivi associati, non è possibile eliminarlo.

Salvataggio ed eliminazione

• Salva utente: abilitato solo quando il modulo è valido, ci sono modifiche in sospeso e la licenza è attiva. Viene mostrato un indicatore di avanzamento durante il salvataggio.
• Elimina utente: disabilitato quando l'utente è associato a dei dispositivi o quando la licenza è scaduta/terminata. Quando l'eliminazione è consentita, viene mostrata una finestra di dialogo di conferma. Se l'utente è assegnato a dei token di registrazione, la finestra avvisa che i dispositivi registrati con quei token non saranno più assegnati a un utente.

Avviso modifiche non salvate

Se sono presenti modifiche non salvate e provi ad uscire dalla pagina, la dashboard ti chiederà se desideri scartare le modifiche.

Account

Impostazioni

La pagina Impostazioni (Dashboard → Impostazioni) riassume le informazioni sull'account e sulla licenza e fornisce azioni per gestire la fatturazione, la configurazione della piattaforma (Android Management e Apple Management) e le integrazioni facoltative con directory o token.

Banner licenza (in scadenza / scaduta)

Quando la licenza è in scadenza, scaduta o terminata, viene visualizzato un banner in evidenza nella parte superiore della pagina. A seconda dello stato dell'abbonamento, viene fornita l'azione Gestisci fatturazione (portale clienti Stripe) o l'azione Acquista licenza.

Quando la licenza è scaduta, l'account viene limitato alla sola rimozione dei dispositivi. Dopo il periodo di tolleranza, l'account potrebbe essere cancellato e i dispositivi potrebbero essere rimossi automaticamente.

Informazioni sull'account

La scheda Informazioni sull'account mostra i campi di sola lettura:

• Nome utente
• Nome dell'azienda
• ID azienda

Cambia password

Se non hai effettuato l'accesso con Google o Apple, la scheda mostra anche l'azione Cambia password. Questo aprirà una finestra di dialogo per continuare con la procedura di modifica della password.

Informazioni sulla licenza

La scheda Informazioni sulla licenza mostra lo stato attuale della licenza e il limite di dispositivi. Fornisce inoltre azioni per contattare l'ufficio vendite, gestire la fatturazione o acquistare una licenza.

• Stato licenza: mostrato come Attiva o Scaduta (con un badge icona e tooltip).
• Prova gratuita: mostrato quando l'account è attualmente in modalità di prova.
• Dispositivi con licenza: numero massimo di dispositivi consentiti dalla licenza. Il link ti servono più dispositivi? apre un messaggio per contattare l'assistenza.
• Prossimo rinnovo programmato: mostrato per gli abbonamenti attivi con rinnovo automatico. In caso contrario, la scheda mostra la data di scadenza.

Android Management

La scheda Android Management mostra lo stato di Android Management per la tua azienda. Se Android Management non è ancora configurato, la scheda fornisce l'azione Configura Android Management che avvia la procedura di configurazione.

Stato configurato

Quando Android Management è configurato, la scheda può mostrare:

• ID gestione
• Sincronizzato con Google Workspace (badge mostrato quando la sincronizzazione della directory è attiva)
• Impostazioni account Managed Google Play (link alle impostazioni di amministrazione di Google Play, se applicabile)
• Google Admin Console (link, se applicabile)
• Sincronizza con Google Workspace (mostrato quando la sincronizzazione della directory non è configurata; apre il pannello delle istruzioni in fondo alla pagina)

Apple Device Management

La scheda Apple Device Management mostra lo stato della gestione dei dispositivi Apple (MDM) per la tua azienda. Se la gestione Apple non è ancora configurata, la scheda fornisce l'azione Configura Apple Management che avvia la procedura di configurazione.

Stato configurato

Quando la gestione Apple è configurata, la scheda può mostrare:

• ID Apple
• Scadenza certificato Apple Push: mostra la data di scadenza e un badge icona. Se il certificato è in scadenza o scaduto, il badge è cliccabile e apre le istruzioni per il rinnovo.
• Scadenza token ABM: mostra la scadenza del token Apple Business Manager (con un badge cliccabile quando è richiesta un'azione).
• Token VPP: mostra il nome dell'organizzazione e la scadenza del token Apple Volume Purchase Program (con un badge cliccabile quando è richiesta un'azione).
• Portale Apple Business Manager: link mostrato quando è presente un token ABM.
• Sincronizza con Apple Business Manager e Sincronizza con Apple Volume Purchase Program: mostrati quando i token mancano.

La gestione Apple richiede la configurazione del certificato APNs. Se necessario, consultare Configurazione Apple Management (APNs).

Preferenze e privacy

La scheda Preferenze e privacy contiene un interruttore per le preferenze di marketing e i collegamenti ai Termini di servizio e all'Informativa sulla privacy. Utilizza Salva preferenze per applicare le modifiche (viene mostrato un indicatore di avanzamento durante il salvataggio).

Invia feedback

Quando gli abbonamenti sono abilitati per l'account, la pagina può mostrare una scheda Invia feedback con collegamenti a: Richiedi una nuova funzionalità e piattaforme di recensioni esterne.

Istruzioni per la configurazione e il rinnovo integrati

In fondo alla pagina, la dashboard può mostrare pannelli di istruzioni espandibili a seconda dello stato attuale (ad esempio, quando un certificato o un token mancano o sono in scadenza).

Rinnova certificato Apple Push (APNs)

Quando il certificato APNs è in scadenza o scaduto, la pagina mostra un pannello con i passaggi per scaricare un CSR, rinnovare il certificato sul portale Apple e caricare il nuovo certificato in Cerberus Enterprise.

Sincronizza con Apple Business Manager (ABM)

Quando il token ABM manca, è scaduto o è in scadenza, la pagina mostra un pannello con i passaggi per scaricare un token da Apple Business Manager e caricarlo in Cerberus Enterprise.

Sincronizza con Apple Volume Purchase Program (VPP)

Quando il token VPP manca, è scaduto o è in scadenza, la pagina mostra un pannello con i passaggi per scaricare un token dei contenuti da Apple Business Manager e caricarlo in Cerberus Enterprise.

Sincronizza con Google Workspace

Quando la sincronizzazione della directory con Google Workspace non è configurata, la pagina mostra un pannello che spiega l'integrazione e fornisce un pulsante di autorizzazione. Elenca inoltre lo scope Google OAuth richiesto: https://www.googleapis.com/auth/admin.directory.user.readonly.

Per la configurazione iniziale di Android, consultare Configurazione Android Management.

Multi-tenancy

Panoramica multi-tenancy

La sezione Multi-tenancy è disponibile per gli account MSP e manager d'impresa che gestiscono più imprese clienti da un unico accesso. Questo capitolo spiega il modello di ambito dell'impresa, il passaggio tra imprese, l'amministrazione delle imprese gestite e gli account secondari.

Per richiedere un account multi-tenancy, contatta enterprise@cerberusapp.com.

Concetti chiave

• Account multi-tenancy principale: l'account manager primario che può accedere all'area di lavoro multi-tenancy globale.
• Account secondario: un account manager delegato creato dall'account principale, con assegnazioni di imprese selezionabili.
• Contesto impresa selezionata: l'impresa attiva attualmente aperta nella dashboard per le operazioni quotidiane.
• Delega: permesso concesso da un proprietario di un'impresa che consente a un account manager di accedere e gestire tale impresa.

Modello di navigazione

Quando non è selezionato alcun contesto d'impresa, la navigazione laterale mostra le aree multi-tenancy come Imprese e, per gli account principali, Account secondari. Dopo essere entrati in un'impresa, la dashboard passa alla navigazione standard per singola impresa (Home, Utenti, Dispositivi, Registrazione, Policy e altro ancora).

Proprietà e delega

Ogni impresa gestita ha un proprietario. Il proprietario può sempre accedere a quell'impresa. Gli account manager non proprietari possono accedere a un'impresa solo quando la delega è concessa.

Lo stato di proprietà e di delega è mostrato direttamente sulle schede impresa per rendere esplicito l'ambito di accesso prima di entrare in un'impresa.

Azioni di licenza e fatturazione

Le visualizzazioni multi-tenancy mostrano lo stato della licenza, i limiti dei dispositivi e le azioni di fatturazione dell'impresa. A seconda dello stato dell'abbonamento dell'impresa e dei tuoi permessi, la scheda può mostrare Gestisci fatturazione o Acquista licenza.

Per le imprese create da un account multi-tenancy, la gestione delle licenze è affidata agli utenti multi-tenancy. L'account principale può sempre gestire le licenze, mentre gli account secondari possono gestirle solo quando l'account principale abilita il permesso Può gestire licenza per quell'account secondario.

Pagine di questo capitolo

• Imprese gestite: ricerca, filtri, dettagli della scheda e creazione di imprese.
• Passaggio tra imprese: comportamento del selettore in alto e transizioni di ambito.
• Account secondari: operatori delegati, assegnazioni e gestione delle credenziali.

Aziende gestite

La pagina Aziende (Dashboard → Aziende) è il centro di controllo per l'accesso alle aziende gestite. Elenca tutte le aziende visibili al tuo account multi-tenancy e ti consente di filtrare, ispezionare la proprietà/delega, entrare in un contesto aziendale e creare nuove aziende gestite (solo per gli account principali).

Ricerca e filtri

• Cerca azienda: filtra per nome dell'azienda o ID dell'azienda.
• Delega: Tutte, Delegate, o Non delegate.
• Stato licenza: Tutte, Valide, In scadenza, Scadute, o Interrotte.

Schede impresa

Ogni scheda impresa mostra i metadati di gestione principali:

• Stato licenza con badge icona e tooltip contestuale.
• Dispositivi con licenza (limite dispositivi impresa).
• Prossimo rinnovo programmato o Data di scadenza, a seconda dello stato dell'abbonamento.
• Stato delega (Proprietario, Concessa, o Non concessa).
• Nome visualizzato e nome utente del proprietario.

Imprese selezionate di recente

Le imprese a cui hai avuto accesso di recente sono fissate in una sezione Selezionate di recente per velocizzare il passaggio ripetuto tra i contesti.

Azioni impresa

• Accedi all'impresa: apre il contesto dell'impresa selezionata quando la delega/proprietà consente l'accesso.
• Gestisci fatturazione: apre la gestione della fatturazione dell'impresa quando disponibile e consentito.
• Acquista licenza: apre il flusso di acquisto dell'impresa quando la fatturazione non è attiva.

Chi può gestire le licenze

Per le imprese create da un account multi-tenancy, la gestione delle licenze è controllata dagli utenti multi-tenancy. L'account principale può sempre gestire la fatturazione e le azioni relative alle licenze per tali imprese.

Gli account secondari possono gestire la fatturazione e le azioni relative alle licenze solo se l'account principale concede il permesso Può gestire licenza nella pagina Account secondari.

Crea impresa gestita

Gli account multi-tenancy principali possono espandere Crea impresa gestita dall'area delle azioni in basso.

• Il nome dell'impresa è obbligatorio.
• Crea utente amministratore per impresa controlla la modalità di proprietà.
• Quando abilitata, Nome utente amministratore (in formato email) e Nome amministratore sono obbligatori.
• Prima della creazione, una finestra di dialogo di conferma riassume l'operazione e, quando applicabile, avvisa che le credenziali temporanee vengono inviate via email al nuovo utente amministratore.

Modalità di proprietà

• Amministratore per impresa abilitato: il nuovo utente amministratore è il proprietario dell'impresa e può delegare la gestione al tuo account multi-tenancy.
• Amministratore per impresa disabilitato: l'impresa è di proprietà diretta del tuo account multi-tenancy.

Quota impresa

Se l'account raggiunge la quota di imprese configurata, la creazione viene bloccata e il modulo mostra un messaggio di contatto per l'assistenza con il numero attuale e massimo di imprese.

Quando viene raggiunta la quota di imprese, non è possibile creare ulteriori imprese gestite finché il limite non viene aumentato.

Cambio azienda

Il selettore di azienda nella barra degli strumenti superiore consente agli utenti multi-tenancy di passare tra le aziende delegate senza effettuare il logout. È disponibile quando è possibile selezionare almeno un contesto aziendale.

Comportamento del selettore

• Il selettore mostra il nome dell'azienda corrente (o l'ID dell'azienda se non è disponibile un nome).
• Il menu elenca le aziende delegate/accessibili e contrassegna l'azienda corrente come già selezionata.
• Durante il passaggio, le azioni del selettore sono temporaneamente disabilitate per evitare cambiamenti di ambito simultanei.

Esci dall'azienda

Il menu del selettore include Esci dall'azienda, che elimina il contesto aziendale corrente e ti riporta all'area di lavoro globale multi-tenancy.

Regole di ripristino del contesto

Il passaggio o l'uscita dall'azienda azzera l'ambito della dashboard. Le pagine specifiche dell'azienda e i dati vengono aggiornati per il nuovo contesto selezionato, e la visibilità del menu si adatta in base alla selezione dell'azienda.

Usa il selettore per rapidi cambi di contesto operativo, ma verifica sempre il nome dell'azienda selezionata prima di eseguire azioni sensibili come aggiornamenti delle policy o comandi sui dispositivi.

Account secondari

La pagina Account secondari (Dashboard → Account secondari) è disponibile per gli account multi-tenancy principali. Consente di creare utenti manager delegati, assegnare imprese gestite, controllare i permessi di fatturazione e gestire le credenziali degli account secondari.

Elenco account secondari

Ogni scheda account secondario mostra i controlli di identità e gestione:

• Nome e nome utente/email.
• Assegnazione multi-selezione imprese gestite.
• Interruttore permesso Può gestire licenza.
• Azioni di Ripristina password e Elimina.

Assegnazione imprese gestite

Le assegnazioni delle imprese vengono modificate tramite il campo multi-selezione Imprese gestite. Quando si chiude il selettore dopo le modifiche, la dashboard richiede una conferma prima di salvare gli aggiornamenti.

Permesso di gestione licenze

L'interruttore Può gestire licenza controlla se un account secondario può accedere alle azioni di gestione della fatturazione/licenze dell'impresa.

Per le imprese create dall'account multi-tenancy, l'account principale ha sempre i diritti di gestione delle licenze. Gli account secondari ricevono i diritti di gestione delle licenze solo quando questo interruttore viene abilitato dall'account principale.

Ripristino password

Ripristina password genera una nuova password temporanea e la invia all'account secondario via email dopo la conferma.

Elimina account secondario

L'eliminazione di un account secondario richiede una conferma e rimuove permanentemente l'accesso delegato per quell'account.

Crea account secondario

Usa il pannello delle azioni in basso Crea account secondario per aggiungere un nuovo manager delegato.

• Email: obbligatoria e validata in formato email.
• Nome: nome visualizzato obbligatorio.
• Può gestire licenza: permesso di fatturazione iniziale opzionale.
• Prima della creazione, una finestra di dialogo di conferma avvisa che un'email con la password temporanea verrà inviata all'indirizzo fornito.

Insight

Ecco alcuni articoli che approfondiscono come l'MDM possa aiutare la tua azienda:

Cos'è la modalità Kiosk? Una guida per bloccare i dispositivi Android e Apple per il business

La modalità Kiosk trasforma telefoni e tablet standard in strumenti aziendali dedicati. Cerberus Enterprise aiuta le organizzazioni a bloccare i dispositivi su una singola app o su un piccolo set di app approvate per casi d'uso quali i punti vendita POS, il check-in per gli ospiti e la navigazione di flotte, rendendo al contempo più semplice la sicurezza, l'assistenza e la gestione su larga scala di questi dispositivi specializzati.

Come scegliere la giusta soluzione MDM: una checklist in 7 punti per le piccole imprese

Scegliere l'MDM in una fase avanzata del processo d'acquisto è più semplice quando il confronto rimane pratico. Questa checklist aiuta le piccole imprese a valutare i fornitori basandosi sui sette criteri che solitamente contano di più nelle implementazioni reali: sicurezza, supporto Android e Apple, facilità d'uso per team snelli, scalabilità, confini della privacy, costo totale di proprietà e gestibilità quotidiana.

Creare un'aula digitale sicura e focalizzata: una guida all'MDM per le scuole K-12

I dispositivi gestiti dalla scuola funzionano al meglio quando rimangono concentrati sull'apprendimento. Cerberus Enterprise aiuta le organizzazioni K-12 a mantenere i dispositivi degli studenti focalizzati tramite app gestite, restrizioni in stile kiosk, configurazioni standardizzate per dispositivi condivisi o in prestito e azioni di recupero remoto che riducono smarrimenti, distrazioni e interruzioni in classe.

Dotare i tecnici sul campo: come l'MDM aumenta l'efficienza e la sicurezza in loco

I tecnici sul campo dipendono dai dispositivi mobili per gestire orari, note di servizio, riferimenti tecnici, cronologia dei clienti e aggiornamenti sul lavoro durante le attività in loco. Cerberus Enterprise aiuta a mantenere questi dispositivi pronti all'uso tramite app gestite, modelli di dispositivo standardizzati, comandi di supporto remoto e visibilità basata sulla posizione, che possono migliorare la coordinazione delle missioni e al contempo rafforzare la sicurezza sul campo.

Oltre la mappa: utilizzare l'MDM per una gestione della flotta e una sicurezza del conducente più intelligenti

Le operazioni di flotta si affidano ai dispositivi mobili per la navigazione, l'invio di ordini, la messaggistica, la registrazione dei dati e l'esecuzione sul campo. Cerberus Enterprise aiuta a mantenere questi dispositivi concentrati sui flussi di lavoro approvati tramite app gestite, controlli in stile kiosk e per dispositivi dedicati, policy di comunicazione sicura, risoluzione dei problemi da remoto e supervisione basata sulla posizione, che possono ridurre i tempi di inattività e supportare operazioni di guida più sicure.

Come i geofence, il tracciamento in tempo reale e le mappe di posizione migliorano le operazioni aziendali

Le funzionalità basate sulla posizione in Cerberus Enterprise aiutano le organizzazioni a passare dalla semplice visibilità dei dispositivi a un controllo operativo più pratico. La segnalazione periodica della posizione, il tracciamento in tempo reale, le transizioni nei geofence e le mappe interattive possono supportare la logistica, i servizi sul campo, l'assistenza sanitaria, il commercio al dettaglio, l'edilizia e altri team distribuiti che necessitano di una migliore consapevolezza su dove si svolgono le attività e quando i dispositivi entrano o escono da aree importanti.

Come la multi-tenancy aiuta gli MSP a scalare i servizi MDM e a creare nuovi flussi di entrate

La multi-tenancy consente a MSP, rivenditori e organizzazioni multi-aziendali di gestire più imprese da un unico account Cerberus Enterprise, mantenendo ogni ambiente separato. Questo modello riduce le frizioni operative, migliora la scalabilità del servizio e supporta l'accesso delegato tramite sottoconti e un'amministrazione esplicita controllata dal cliente. Crea inoltre opportunità di business più solide per i fornitori che desiderano combinare la licenza software con servizi di onboarding, supporto, conformità e gestione della mobilità.

Migliorare l'operatività aziendale con le soluzioni MDM

Il Mobile Device Management centralizza il controllo dei dispositivi aziendali, semplificando la registrazione, la configurazione e la manutenzione. La configurazione automatizzata e le operazioni di massa riducono il lavoro manuale dell'ufficio IT e garantiscono policy coerenti su tutti i dispositivi. Funzionalità di sicurezza come la crittografia, il monitoraggio della conformità e la cancellazione remota proteggono i dati aziendali. Nel complesso, l'MDM migliora la produttività riducendo al contempo i costi di supporto e la complessità operativa.

Sicurezza avanzata nella gestione di Android Enterprise

Android Enterprise utilizza un profilo di lavoro per isolare le app e i dati aziendali dai contenuti personali sullo stesso dispositivo. Questa containerizzazione crea ambienti separati e crittografati, gestiti in modo indipendente dagli amministratori IT. Le policy di sicurezza possono controllare la condivisione dei dati aziendali senza influire sulle app personali. L'architettura protegge i dati aziendali anche in caso di compromissione delle applicazioni personali.

MDM per Apple iPhone e registrazione automatizzata

Il framework MDM di Apple consente la gestione centralizzata degli iPhone negli ambienti aziendali. Combinato con Apple Business Manager, i dispositivi possono registrarsi e configurarsi automaticamente al primo avvio. Gli amministratori possono distribuire e configurare silenziosamente le app aziendali, imporre impostazioni di sicurezza e monitorare la conformità. Questa automazione garantisce una configurazione coerente dei dispositivi e riduce gli errori di configurazione.

Comprendere il Mobile Device Management

Il Mobile Device Management fornisce una piattaforma centralizzata per monitorare, proteggere e controllare i dispositivi mobili che accedono ai sistemi aziendali. Le funzionalità principali includono l'applicazione di policy di sicurezza, la gestione delle applicazioni e il blocco o la cancellazione remota dei dispositivi smarriti. L'MDM aiuta a proteggere i dati aziendali mantenendo la conformità dei dispositivi. Consente alle organizzazioni di qualsiasi dimensione di gestire in modo sicuro una forza lavoro mobile in costante crescita.

Modelli di distribuzione dei dispositivi aziendali

Le organizzazioni possono adottare diversi modelli di proprietà dei dispositivi, come BYOD, CYOD, COPE, COBO e COSU. Ogni modello bilancia in modo differente costi, flessibilità dell'utente e controllo della sicurezza. Il BYOD dà priorità alla comodità dell'utente, mentre il COBO e il COSU massimizzano il controllo aziendale e la sicurezza. La scelta del modello corretto dipende dai requisiti normativi, dalle esigenze della forza lavoro e dalla capacità di gestione IT.

MDM vs. EMM vs. UEM

L'MDM si concentra sulla gestione e la messa in sicurezza dei dispositivi mobili attraverso l'applicazione di policy, il controllo della configurazione e la gestione remota. L'EMM amplia questo ambito includendo la gestione di applicazioni e contenuti, mentre l'UEM punta a gestire tutti gli endpoint, inclusi laptop e desktop. Per molte PMI, suite EMM o UEM complete aggiungono una complessità non necessaria. Nella pratica, capacità MDM robuste soddisfano spesso la maggior parte dei requisiti di gestione mobile.

MDM su telefoni personali e privacy dei dipendenti

I moderni sistemi MDM utilizzano la containerizzazione per separare i dati di lavoro da quelli personali sui dispositivi di proprietà dei dipendenti. I datori di lavoro possono gestire e monitorare solo l'ambiente di lavoro, inclusi le app aziendali e le informazioni sulla conformità del dispositivo. I dati personali come foto, messaggi e cronologia di navigazione rimangono inaccessibili all'azienda. Questa separazione tecnica consente programmi BYOD sicuri preservando al contempo la privacy dei dipendenti.

ROI dell'MDM e valore aziendale

L'MDM dovrebbe essere valutato come un investimento strategico piuttosto che come una semplice spesa di sicurezza. Genera ritorni finanziari attraverso la riduzione dello smarrimento dei dispositivi, costi di supporto IT inferiori e una maggiore efficienza operativa. La gestione automatizzata aumenta anche la produttività dei dipendenti e riduce i tempi di inattività. Inoltre, una sicurezza più robusta riduce il rischio e l'impatto finanziario delle violazioni dei dati.

Gestione dei dispositivi conforme a HIPAA

Le organizzazioni sanitarie devono proteggere i dati elettronici dei pazienti in conformità con i requisiti di sicurezza HIPAA. L'MDM aiuta ad applicare la crittografia, i controlli di autenticazione, la trasmissione sicura dei dati e i log di audit dettagliati. Consente inoltre la cancellazione remota e l'applicazione centralizzata delle policy per i dispositivi che accedono ai sistemi medici. Questi controlli riducono i rischi di conformità, consentendo al contempo flussi di lavoro mobili negli ambienti sanitari.

MDM per le operazioni e la sicurezza nel settore retail

Le organizzazioni retail si affidano ai dispositivi mobili per i sistemi POS, la gestione dell'inventario e le operazioni in negozio. L'MDM garantisce che questi dispositivi rimangano sicuri, aggiornati e conformi a standard come il PCI-DSS. La gestione centralizzata riduce i tempi di inattività e semplifica la distribuzione dei dispositivi in più sedi. Il risultato è una maggiore efficienza operativa e una riduzione del rischio di incidenti di sicurezza legati ai pagamenti.