Руководство пользователя

Документация Cerberus Enterprise MDM

Введение

Cerberus Enterprise — это комплексное EMM-решение, разработанное для защиты и управления вашими устройствами на базе Android и Apple. Оно обладает всеми необходимыми функциями для эффективного управления личными (BYOD) и корпоративными устройствами в чистом и удобном интерфейсе, а начать работу можно всего за несколько минут.

Для эффективного использования Cerberus Enterprise необходимо понимать некоторые ключевые концепции принципов работы системы.

Система поддерживает управление устройствами как на Android, так и на Apple:

На Android Cerberus Enterprise использует официальный Android Management API для управления устройствами через приложение Android Device Policy (ADP). Большинство настроек применяются непосредственно через ADP. Для некоторых дополнительных функций также может потребоваться сопутствующее приложение Cerberus Enterprise, которое расширяет возможности за пределы возможностей только ADP.

На устройствах Apple Cerberus Enterprise управляет ими через Apple MDM (Mobile Device Management). Управление Apple требует наличия сертификата APNs и может, при необходимости, интегрироваться с Apple Business Manager для автоматической регистрации и лицензирования приложений.

Каждое устройство может быть зарегистрировано в системе с помощью токена регистрации или профиля регистрации (ручная регистрация Apple). Метод регистрации связан с политикой, которая содержит правила, подлежащие применению к устройствам.

IT-администраторы могут изменить политику, связанную с устройством, после его регистрации. Однако каждое устройство может быть связано только с одной политикой в один момент времени.

В процессе регистрации (подготовки) необходимые компоненты управления устанавливаются и настраиваются автоматически. На Android это обычно включает приложение Android Device Policy (и, в зависимости от вашей конфигурации, сопутствующее приложение Cerberus Enterprise). На устройствах Apple управление применяется через MDM после регистрации устройства. В результате соответствующая политика автоматически применяется к устройству, а все связанные с ней правила обеспечиваются системой управления платформой.

Политика может быть применена к множеству устройств. В этом случае при изменении политики все связанные с ней устройства получат обновленные настройки.

 

Настройка

Настройка

Настройка Android Management

Чтобы управлять устройствами Android с помощью Cerberus Enterprise, вы должны сначала подключить свою организацию к Google Android Enterprise.

Процесс настройки обычно занимает несколько минут и требует рабочий адрес электронной почты (например, name@enterprise.com) или, в качестве альтернативы, личный адрес электронной почты Google.

Что происходит во время настройки

Важная информация

Мы рекомендуем регистрироваться с использованием рабочего адреса электронной почты, а не личного аккаунта Gmail. Если адрес электронной почты уже связан с учетной записью Google Admin, эта существующая учетная запись будет повторно использована и привязана к Cerberus Enterprise; в противном случае будет создана новая бесплатная учетная запись Google Admin. Учетная запись Google Admin открывает полный набор функций — например, регистрацию устройств с использованием аутентификации Google через аккаунты, управляемые вашим доменом Google Admin.

Нет рабочего адреса электронной почты?

Вы все равно можете зарегистрироваться с использованием личного адреса электронной почты Google (например, аккаунта Gmail). В этом случае Google создаст бесплатный управляемый аккаунт Google Play, который будет привязан к Cerberus Enterprise.

Следующие шаги

После завершения настройки создайте токен регистрации и выберите подходящий метод настройки устройства.

Настройка

Настройка управления Apple (APNs)

Для управления устройствами Apple Cerberus Enterprise требуется сертификат службы Apple Push Notification (APNs).

Используйте Apple ID, связанный с вашей организацией. Сертификат APNs действителен в течение одного года и должен ежегодно продлеваться для продолжения управления устройствами.

Шаг 1: Скачайте файл CSR

В панели управления запустите процесс настройки управления Apple и скачайте файл запроса на подпись сертификата (CSR), созданный Cerberus Enterprise.

Шаг 2: Создайте Push-сертификат на портале Apple

Ссылка на портал: https://identity.apple.com/

Шаг 3: Загрузите Push-сертификат

Загрузите Push-сертификат, скачанный с портала Apple, обратно в Cerberus Enterprise для завершения настройки.

Если срок действия сертификата APNs истечет, управление устройствами Apple перестанет работать до тех пор, пока сертификат не будет продлен.

Следующие шаги

После настройки APNs вы можете приступить к регистрации устройств Apple. Продолжайте с разделом Обзор настройки Apple.

Обзор подготовки устройств

Cerberus Enterprise поддерживает управление устройствами как для платформы Android, так и для Apple. Вы можете настраивать каждую платформу независимо друг от друга, в зависимости от типов устройств, которые вам необходимо зарегистрировать.

1. Завершите настройку платформы в панели управления

Перед регистрацией устройств завершите настройку платформы в панели управления Cerberus Enterprise. Если ваша учетная запись еще не настроена, панель управления проведет вас через необходимые шаги.

Настройка Android (Google Android Enterprise)

Для ознакомления с полной процедурой настройки Android прочитайте настройку управления Android.

Настройка Apple (сертификат APNs)

Для ознакомления с полной процедурой настройки Apple прочитайте настройку управления Apple (APNs).

2. Регистрация устройств

После завершения настройки платформы выберите метод регистрации, соответствующий вашей модели владения устройствами и операционной системе.

Регистрация Android-устройств

Для Android процесс регистрации осуществляется с помощью токенов регистрации. Выберите подходящий метод в зависимости от того, является ли устройство частной собственностью или корпоративным имуществом.

Регистрация Apple-устройств

Подготовка устройств - Android

Подготовка устройств - Android

Поддерживаемые устройства

В целом, любое устройство под управлением Android 6+ с сервисами Google Play совместимо с Cerberus Enterprise.

Для более удобной работы мы рекомендуем использовать устройства, соответствующие требованиям Android Enterprise Recommended.

Некоторые функции ограничены определенными версиями Android или могут работать по-разному в разных версиях ОС. Для получения дополнительной информации о конкретной функции см. раздел Политики в документации.

Cerberus Enterprise поддерживает как корпоративные, так и личные устройства, а также два режима управления: владелец устройства (device owner) и владелец профиля (profile owner).

Личные устройства можно управлять через рабочий профиль. Это позволяет реализовать концепцию BYOD, отделяя рабочие данные и приложения сотрудников от личных данных и приложений, что повышает как безопасность, так и конфиденциальность. Этот вариант подходит для устройств, уже принадлежащих сотрудникам, которые вы хотите зарегистрировать в своей организации для рабочих целей.

Корпоративные устройства также можно управлять через рабочий профиль, но вы также можете выбрать вариант полного управления, который обеспечивает более строгий контроль над устройством. Корпоративные устройства с рабочим профилем подходят в тех случаях, когда вы выдаете сотрудникам корпоративные устройства для работы, сохраняя при этом возможность личного использования. Устройства с полным управлением лучше подходят для устройств, которые должны использоваться только для работы, или для специализированных устройств (COSU, корпоративные устройства для одного использования), таких как киоски.

Для получения дополнительной информации о подготовке устройств см. страницу Обзор подготовки устройств.


Подготовка устройств - Android

Токены регистрации

Cerberus Enterprise использует токены регистрации для запуска процесса регистрации (подготовки) Android-устройств. Выбранный вами токен определяет начальную политику, применяемую к зарегистрированным устройствам, и влияет на доступные режимы подготовки.

Вкладка «Токены регистрации Android» становится доступной только после завершения настройки управления Android.

Где найти токены регистрации

В панели управления откройте Токены регистрации. В зависимости от конфигурации вашей учетной записи, на странице может отображаться несколько вкладок (Токены Android, Регистрация через вход в Google, Ручная регистрация Apple и Автоматическая регистрация устройств Apple).

Если ваше Android-предприятие работает на базе управляемого домена Google (Google Workspace), в панели управления также может отображаться вкладка Аутентификация с помощью регистрации через Google. Подробную информацию о включении и использовании этой функции см. в разделе Аутентификация с помощью регистрации через Google.

Список токенов регистрации (Android)

Вкладка «Токены Android» содержит таблицу со всеми токенами. При нажатии на строку открывается страница с подробной информацией о токене.

Столбцы

Действия

Создать новый токен регистрации

На вкладке «Токены Android» нажмите Новый токен регистрации, чтобы открыть страницу создания токена. Если срок действия вашей лицензии истек, кнопка создания будет недоступна.

Параметры токена

1. Политика

Обязательно. Политика, которая будет автоматически применяться ко всем устройствам, зарегистрированным с помощью этого токена. Выберите одну из ваших политик Android. Если у вас еще нет политик, сначала создайте их.

2. Пользователь

Необязательно. Если значение установлено, новые зарегистрированные устройства будут автоматически привязаны к этому пользователю.

3. Личное использование

Определяет, разрешено ли личное использование на устройстве, подготовленном с помощью этого токена регистрации:

4. Допустимые способы использования

Выберите, может ли токен использоваться многократно (Многократное) или только один раз (Только одноразовое).

5. Срок действия

Выберите единицу измерения срока действия (Минуты, Часы, Дни или Никогда). Если не выбрано «Никогда», введите значение срока действия. Допустимый диапазон зависит от выбранной единицы измерения и может составлять до 10 000 дней.

Параметры подготовки (только QR-код)

Эти дополнительные параметры встраиваются в QR-код и применяются во время подготовки полностью управляемых устройств, зарегистрированных путем сканирования QR-кода. Они не применяются к рабочим профилям или устройствам, зарегистрированным с помощью URL-адреса регистрации или токена.

Конфигурация Wi-Fi

Используйте это, чтобы устройство могло автоматически подключиться к Wi-Fi во время подготовки для загрузки и инициализации приложения управления. Доступные поля включают SSID, Скрытый SSID, Безопасность и (при необходимости) Пароль.

Вы также можете настроить HTTP-прокси (Прокси) и, в зависимости от режима, задать Хост/Порт, PAC URI и Хосты, исключающие проксирование.

Другие параметры

Дополнительные параметры включают Язык и регион, Часовой пояс и Пропустить шифрование.

Подробная информация о токене регистрации

При открытии токена на странице с подробной информацией отображаются его конфигурация и сведения об использовании:

Для пошагового ознакомления с процедурами подготовки следуйте руководствам по регистрации Android: Устройства, принадлежащие частным лицам, Корпоративные устройства для рабочих и личных целей, Корпоративные устройства только для рабочих целей и Zero-touch.

Подготовка устройств - Android

Устройства, принадлежащие частным лицам

Устройства, принадлежащие сотрудникам, можно настроить с помощью рабочего профиля. Рабочий профиль обеспечивает изолированное пространство для рабочих приложений и данных, отдельное от личных приложений и данных. Большинство политик управления приложениями, данными и прочими ресурсами применяются только к рабочему профилю, в то время как личные приложения и данные сотрудников остаются конфиденциальными.
Для настройки рабочего профиля на устройстве, принадлежащем частному лицу, используйте один из следующих методов подготовки (убедитесь, что для токена регистрации установлен параметр Личное использование: Разрешено):

Ссылка на токен регистрации

Версия Android
6.0+
Вы можете предоставить URL-адрес регистрации конечным пользователям. Когда пользователь откроет ссылку на своем устройстве, он пройдет через процесс настройки рабочего профиля.

Добавление рабочего профиля из «Настроек»

Версия Android
6.0+
Чтобы настроить рабочий профиль на своем устройстве, пользователь может открыть приложение Настройки, а затем с помощью строки поиска найти и нажать на опцию Настройте рабочий профиль.

Если поиск не принес результатов, расположение этой опции может отличаться. Вот несколько возможных вариантов:

Эти шаги запустят мастер настройки, который загрузит Android Device Policy на устройство. Затем пользователю будет предложено отсканировать QR-код или ввести токен регистрации вручную, чтобы завершить настройку рабочего профиля.

Загрузка Android Device Policy

Версия Android
6.0+
Чтобы настроить рабочий профиль на своем устройстве, пользователь может загрузить Android Device Policy из Google Play Store. После установки приложения пользователю будет предложено отсканировать QR-код или ввести токен регистрации вручную, чтобы завершить настройку рабочего профиля.
Подготовка устройств - Android

Корпоративные устройства для работы и личного использования

Настройка корпоративного устройства с рабочим профилем позволяет использовать устройство как для работы, так и для личных целей. На корпоративных устройствах с рабочими профилями:
Для настройки корпоративного устройства с рабочим профилем используйте один из следующих методов подготовки (убедитесь, что для токена регистрации установлен параметр Личное использование: Разрешено):

Метод с использованием QR-кода

Версия Android
8.0+
На новом устройстве или на устройстве после сброса к заводским настройкам пользователь (как правило, ИТ-администратор) быстро нажимает на экран в одном и том же месте шесть раз. Это активирует запрос устройства на сканирование QR-кода.
Подготовка устройств - Android

Корпоративные устройства только для работы

Полное управление устройством подходит для корпоративных устройств, предназначенных исключительно для рабочих целей. Предприятия могут управлять всеми приложениями на устройстве и применять весь спектр политик и команд Android Management API.
Также можно ограничить использование устройства (с помощью политики) одним приложением или небольшим набором приложений для выполнения конкретных задач или сценариев использования. Такая подгруппа полностью управляемых устройств называется специализированными устройствами.
Для настройки полного управления на корпоративном устройстве используйте один из следующих методов подготовки (убедитесь, что для токена регистрации установлен параметр Личное использование: Запрещено):

Метод с использованием QR-кода

Версия Android
7.0+
На новом устройстве или на устройстве после сброса к заводским настройкам пользователь (как правило, ИТ-администратор) быстро нажимает на экран в одном и том же месте шесть раз. Это активирует запрос устройства на сканирование QR-кода.

Метод с использованием идентификатора DPC

Версия Android
5.1+
Если Android Device Policy нельзя добавить с помощью QR-кода, пользователь или ИТ-администратор может выполнить следующие шаги для подготовки полностью управляемого или специализированного устройства:

1. Следуйте инструкциям мастера настройки на новом устройстве или на устройстве после сброса к заводским настройкам.
2. Введите данные для входа в Wi-Fi, чтобы подключить устройство к интернету.
3. Когда появится запрос на вход, введите afw#setup, после чего начнется загрузка Android Device Policy.
4. Отсканируйте QR-код или введите токен регистрации вручную, чтобы подготовить устройство.
Подготовка устройств - Android

Zero-touch

IT-администраторы могут подготавливать корпоративные устройства, используя метод регистрации Zero-touch, описанный в разделе Регистрация Zero-touch для IT-администраторов. При первом включении устройства оно автоматически переходит в режим настроек, заданных IT-администратором.

IT-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров, и управлять ими с помощью панели управления Cerberus Enterprise. Чтобы привязать свою учетную запись Zero-touch, перейдите в раздел Zero-touch в панели управления, а затем следуйте инструкциям.

Версия AndroidРабочий профильУстройство с полным управлениемСпециализированное устройство
8.0+ (Pixel 7.1+)
Подготовка устройств - Android

Аутентификация с помощью регистрации через Google

Аутентификация с помощью регистрации через Google (также называемая аутентификацией через Google для регистрации) позволяет пользователям проходить аутентификацию с помощью своей учетной записи Google Workspace во время регистрации Android-устройств.

Эта функция доступна только для Android-предприятий, работающих на базе управляемого домена Google (Google Workspace).

Где найти это решение

В панели управления откройте Токены регистрации и выберите вкладку Аутентификация с помощью регистрации через Google. Вкладка отображается только в том случае, если настроено управление Android и для вашего предприятия доступна интеграция с Google Workspace.

Включение (или отключение) аутентификации через Google

Аутентификация через Google включается в консоли администратора Google. После изменения настроек вернитесь в Cerberus Enterprise и используйте Обновить статус, чтобы перезагрузить текущую конфигурацию.

  1. Войдите в свою консоль администратора Google, используя учетную запись администратора.
  2. Откройте Устройства.
  3. Перейдите в Мобильные устройства и конечные точкиНастройкиИнтеграции со сторонними приложениями.
  4. Найдите интеграцию Android EMM для Cerberus Enterprise и откройте ее.
  5. Нажмите Управление поставщиками EMM.
  6. Переключите параметр Аутентификация с помощью регистрации через Google, чтобы включить или отключить аутентификацию через Google для регистрации.
  7. Нажмите Сохранить.
  8. Вернитесь в панель управления Cerberus Enterprise и нажмите Обновить статус на вкладке Аутентификация с помощью регистрации через Google.

Токен регистрации через аутентификацию Google

Когда включена аутентификация через Google, в панели управления отображается специальный токен регистрации, используемый для этого режима. На странице могут отображаться QR-код, значение токена регистрации и URL-адрес регистрации (который можно скопировать и отправить по электронной почте).

Основные параметры

Взаимодействие с политиками

Параметр политики Аутентификация при настройке рабочей учетной записи (workAccountSetupConfig.authenticationType) определяет, как пользователи проходят аутентификацию при настройке рабочей учетной записи, однако настройка в консоли администратора Google Аутентификация с помощью регистрации через Google и тип токена регистрации все равно могут требовать аутентификации.

Для уже зарегистрированных устройств эта политика применяется только в том случае, если устройство управляется через управляемую учетную запись Google Play (т. е. зарегистрировано без использования аутентификации с помощью регистрации через Google).

Некоторые действия (например, изменение параметров токена) могут быть недоступны после истечения срока действия лицензии.

Регистрация устройства

Во время регистрации пользователю будет предложено пройти аутентификацию с помощью своей учетной записи Google Workspace. После успешного завершения регистрации устройство будет привязано к аутентифицированному пользователю.

Рабочий профиль (устройства, принадлежащие частным лицам)

Корпоративные устройства

Для ознакомления с общими процедурами подготовки Android-устройств (рабочий профиль в сравнении с полным управлением) см. стандартные страницы по регистрации Android в данном руководстве.

Подготовка устройств - Apple

Подготовка устройств - Apple

Обзор настройки Apple

Cerberus Enterprise поддерживает регистрацию и управление устройствами Apple. Настройка Apple требует наличия сертификата APNs и может выполняться с использованием различных методов регистрации.

Предварительное условие: настройка управления Apple (APNs)

Перед регистрацией любого устройства Apple завершите настройку управления Apple (APNs).

Выберите метод регистрации

Ручная регистрация (профиль регистрации)

Автоматическая регистрация устройств (ADE)

Вы можете использовать ручную регистрацию и ADE параллельно, в зависимости от вашего парка устройств и процесса закупок.

Подготовка устройств - Apple

Ручная регистрация Apple (через профиль регистрации)

Cerberus Enterprise поддерживает ручную регистрацию устройств Apple с использованием URL-адреса регистрации и файла профиля регистрации.

Ручная регистрация доступна при настроенном управлении Apple (APNs). Если вы еще не завершили настройку APNs, ознакомьтесь с разделом Настройка управления Apple (APNs).

Получение URL-адреса и профиля регистрации

Как зарегистрировать iPhone или iPad

iOS/iPadOS 15.0+

  1. Отправьте файл профиля регистрации (enroll.mobileconfig) на устройство или откройте URL-адрес регистрации в Safari на устройстве.
  2. На устройстве откройте НастройкиЗагруженный профильУстановить, а затем следуйте инструкциям.
  3. После завершения регистрации вы можете проверить статус в разделе НастройкиОсновныеVPN и управление устройством (или Профили и управление устройством).

Устанавливайте только те профили регистрации, которые вы получили в своей панели управления Cerberus Enterprise.

Подготовка устройств - Apple

Apple Automated Device Enrollment (ADE)

Автоматическая регистрация устройств (ADE) интегрируется с Apple Business Manager (ABM) для автоматической регистрации корпоративных устройств при их первом включении (или после сброса к заводским настройкам).

Для работы ADE сначала необходимо настроить управление Apple (APNs). При необходимости ознакомьтесь со страницей Настройка управления Apple (APNs).

Как автоматически регистрировать устройства

  1. Добавьте устройства в свой аккаунт Apple Business Manager.
  2. После добавления новых устройств в ваш аккаунт ABM выполните их синхронизацию в Cerberus Enterprise в разделе Устройства с помощью действия Синхронизация из ABM.
  3. Создайте профиль ADE в панели управления: РегистрацияАвтоматическая регистрация устройств Apple (ADE)Новый профиль ADE.
  4. Назначьте профиль ADE устройству на странице сведений об устройстве, используя поле Профиль ADE.

Настройки профиля ADE (обзор)

Профиль ADE управляет тем, как происходит регистрация устройства и как работает «Ассистент настройки» (Setup Assistant). В Cerberus Enterprise профиль ADE включает в себя имя, необязательную начальную политику и некоторые параметры регистрации.

Название профиля

Понятное человеку название профиля (например, Default ADE profile).

Политика

Политика, которая изначально применяется к зарегистрированным устройствам. Вы можете назначить политику при создании нового профиля ADE.

Параметры регистрации

После назначения профиля ADE устройство готово к автоматической регистрации.

Обзор политик

Раздел Policies в панели управления (DashboardPolicies) содержит список всех политик в вашей учетной записи и позволяет создавать, копировать, редактировать и удалять их.

Список политик

Политики отображаются в виде таблицы. Нажатие на строку открывает соответствующий редактор политики.

Столбцы

Фильтры и поиск

Обновление и пагинация

Создать новую политику

В нижней части страницы «Политики» вы можете создать новую политику. В зависимости от того, какая платформа настроена в вашей учетной записи, вы можете увидеть одно или оба этих действия:

Если срок действия вашей лицензии истек, создание политик (и другие действия по записи) будут отключены.

Копирование и удаление политик

Для каждой строки политики предусмотрено меню действий, которое включает Копировать политику и Удалить политику.

Предупреждения при удалении политики

При удалении политики на панели управления могут отображаться дополнительные предупреждения в зависимости от того, как используется эта политика.

Удаление нескольких политик

Список политик поддерживает множественный выбор строк для массового удаления. В режиме мультивыбора вы можете выбрать несколько политик и удалить их одним действием.

Массовое удаление доступно только в том случае, если все выбранные политики относятся к одной и той же платформе (все Android или все Apple).

Далее: редактирование настроек политики

Список политик является отправной точкой. Для настройки параметров политики используйте соответствующую документацию по редактору: Политики → Android и Политики → Apple.

Политики, на которые ссылаются токены регистрации, применяются автоматически во время регистрации устройства.

Политики - Android

Политики - Android

Сводка

Политики Android являются основными сущностями системы: они определяют правила, которые применяются и соблюдаются на управляемых устройствах.

Вы можете просматривать свои политики и создавать новые в разделе Политики на панели управления. Чтобы открыть политику Android, нажмите на строку политики в таблице: система откроет страницу Редактор политик.

Политику можно связать с токеном регистрации, чтобы она автоматически применялась к устройствам в процессе настройки. Вы также можете изменить политику, назначенную устройству, после завершения процесса настройки.

Каждое устройство может быть связано только с одной политикой в один момент времени.

Многие параметры политики применяются только к определенным типам устройств (полностью управляемые, выделенные, с рабочим профилем) и версиям Android. Неподдерживаемые настройки могут игнорироваться устройством или помечаться как несоответствующие требованиям.

Макет редактора политик

Редактор политик организован в виде набора разворачивающихся разделов. В верхней части страницы вы всегда можете редактировать:

Нижеприведенные разделы соответствуют панелям Редактора политик (например: Управление приложениями, Безопасность, Сеть, Система, Личное использование, Межпрофильные политики и другие). Используйте страницы соответствующих глав этого руководства, чтобы подробно изучить каждую панель.

Сохранение, удаление и связанные устройства

Используйте Сохранить политику, чтобы применить изменения. Кнопка становится неактивной, если нет ожидающих применения правок или если срок действия лицензии истек.

Если вы открыли существующую политику (у которой есть ID), внизу страницы отображаются действие Удалить политику и список Связанные устройства, чтобы вы могли видеть, сколько устройств в данный момент используют эту политику.

Политики - Android

Управление приложениями

В этом разделе вы можете настроить политики, связанные с доступностью приложений, их установкой, обновлениями и управлением разрешениями.

Учетные записи Managed Google Play создаются автоматически при настройке устройств.

 

1. Режим Play Store

Этот режим определяет, какие приложения будут доступны пользователю в Play Store, а также поведение устройства при удалении приложений из политики.

Белый список (по умолчанию): доступны только приложения, указанные в политике; любые приложения, не входящие в политику, будут автоматически удалены с устройства. В Play Store будут отображаться только доступные приложения.

Черный список: доступны все приложения; любые приложения, которые не должны находиться на устройстве, должны быть явно помечены как заблокированные в политике приложений. В Play Store будут отображаться все приложения, кроме заблокированных.

 

2. Политика использования ненадежных приложений

Политика для ненадежных приложений (приложений из неизвестных источников), применяемая на устройстве. Этот параметр управляет системной настройкой Android, которая определяет, может ли пользователь устанавливать приложения вне Play Store (сторонним способом).

Запретить (по умолчанию): запрещает установку ненадежных приложений на всем устройстве.

Только в личном профиле: для устройств с рабочими профилями разрешает установку ненадежных приложений только в личном профиле устройства.

Разрешить: разрешает установку ненадежных приложений на всем устройстве.

 

3. Google Play Protect

Принудительное применение проверки приложений через Google Play Protect.

Принудительно (по умолчанию): принудительно включает проверку приложений.

Выбор пользователя: позволяет пользователю самому решать, включать проверку приложений или нет.

 

4. Политика разрешений по умолчанию

Политика предоставления разрешений приложениям во время работы.

Запрос (по умолчанию): запрашивать у пользователя предоставление разрешения.

Предоставить: автоматически предоставлять разрешение.

Отклонить: автоматически отклонять запрос на предоставление разрешения.

 

5. Функции приложений

Управляет тем, разрешено ли приложениям на полностью управляемых устройствах или в рабочих профилях использовать функции приложений. Требуется Android 16 или выше.

Разрешено (по умолчанию): приложения на полностью управляемых устройствах или в рабочих профилях могут использовать функции приложений.

Запрещено: приложения на полностью управляемых устройствах или в рабочих профилях не могут использовать функции приложений.

 

6. Установка приложений отключена

Отключена ли возможность установки приложений пользователем.

 

7. Удаление приложений отключено

Отключена ли возможность удаления приложений пользователем.

 

8. Политики разрешений

Явное предоставление или запрет разрешений (отдельных или для групп) для всех приложений. Эти значения переопределяют настройку Политика разрешений по умолчанию.

Используйте Добавить политику разрешений для создания записей, а действие удаления — для их удаления.

Каждая запись включает в себя:

Разрешение или группа Android: разрешение или группа Android (обязательно), например android.permission.READ_CALENDAR или android.permission_group.CALENDAR.

Политика: Предоставить / Запретить / Запрос (используются те же параметры, что и в настройке Политика разрешений по умолчанию).

 

9. Приложения

Список приложений, которые должны быть включены в политику. Поведение содержимого списка зависит от значения, установленного в параметре Режим Play Store.

Если в параметре Режим Play Store выбрано значение белый список, то доступны только приложения, указанные в политике; любые приложения, не входящие в политику, будут автоматически удалены с устройства.

Если в параметре Режим Play Store выбрано значение черный список, то доступны все приложения; любые приложения, которые не должны находиться на устройстве, должны быть явно помечены как заблокированные в политике приложений.

Чтобы добавить новое приложение, нажмите кнопку Добавить приложения (или иконку Добавить приложения), затем выберите приложение в Play Store и нажмите кнопку Выбрать в карточке приложения.

Все приложения, опубликованные в Play Store в вашей стране, доступны для выбора по умолчанию. Чтобы выбрать собственные частные или веб-приложения, их сначала необходимо загрузить в систему. Для получения дополнительной информации прочитайте страницу Частные приложения.

Для каждого приложения можно настроить собственные параметры, которые визуально представлены в виде карточки:

9.1. Тип установки

Тип установки, выполняемой для приложения.

Доступно: приложение доступно для установки.

Предустановлено: приложение устанавливается автоматически, но пользователь может его удалить.

Принудительная установка: приложение устанавливается автоматически, и пользователь не может его удалить.

Заблокировано: приложение заблокировано, и его нельзя установить. Если приложение было установлено по предыдущей политике, оно будет удалено.

Обязательно для настройки: приложение устанавливается автоматически, пользователь не может его удалить; завершение настройки будет невозможно до окончания установки.

Киоск: приложение автоматически устанавливается в режиме киоска: оно назначается основным (home) приложением и добавляется в белый список для режима закрепления задач (lock task mode). Настройка устройства не будет завершена до установки приложения. После установки пользователи не смогут удалить приложение. Вы можете установить такой тип установки только для одного приложения в рамках одной политики. При наличии этого режима панель состояния будет автоматически отключена. Для получения дополнительной информации, пожалуйста, прочитайте специальную страницу Режим киоска.

9.2. Ограничения установки

Определяет набор ограничений для установки приложения. Если выбрано несколько ограничений, для установки приложения должны быть соблюдены все они.

Этот параметр отображается только в том случае, если выбран Тип установки: Предустановлено или Принудительная установка.

Безлимитная сеть: устанавливать приложение только при подключении устройства к безлимитной сети (например, Wi‑Fi).

Зарядка: устанавливать приложение только при зарядке устройства.

Режим ожидания: устанавливать приложение только когда устройство находится в режиме ожидания.

9.3. Режим автообновления

Управляет режимом автоматического обновления приложения.

По умолчанию: приложение обновляется автоматически с низким приоритетом, чтобы минимизировать влияние на пользователя. Приложение обновляется при соблюдении всех следующих условий: (1) устройство не используется активно, (2) устройство подключено к безлимитной сети, (3) устройство заряжается. Уведомление о новом обновлении поступает на устройство в течение 24 часов после его публикации разработчиком, после чего приложение будет обновлено при следующем соблюдении вышеуказанных условий.

Отложено: автоматическое обновление приложения не выполняется в течение максимум 90 дней с момента выхода новой версии. По истечении 90 дней последняя доступная версия устанавливается автоматически с низким приоритетом (см. По умолчанию Режим автообновления). После обновления приложения оно не будет обновляться автоматически снова в течение 90 дней с момента очередного выхода новой версии. Пользователь по-прежнему может обновить приложение вручную из Play Store в любое время.

Высокий приоритет: приложение обновляется как можно скорее. Ограничения не применяются. Устройство получает уведомление о новом обновлении сразу после его появления.

9.4. Минимальный код версии

Минимальная версия приложения, которая должна работать на устройстве. Если этот параметр задан, устройство попытается обновить приложение как минимум до этого кода версии. Если версия приложения будет устаревшей, в устройстве появится детализация несоответствия с причиной несоответствия, установленной как APP_NOT_UPDATED. Приложение уже должно быть опубликовано в Google Play с кодом версии, равным или превышающим это значение. В рамках одной политики можно указать минимальный код версии максимум для 20 приложений.

9.5. Делегированные области доступа

Области доступа, делегированные приложению из Android Device Policy. Вы можете предоставить другим приложениям определенный набор специальных разрешений Android:

Установка сертификатов: предоставляет доступ к установке и управлению сертификатами.

Управляемые конфигурации: предоставляет доступ к управлению управляемыми конфигурациями.

Блокировка удаления: предоставляет доступ к блокировке удаления приложений.

Разрешения: предоставляет доступ к политике разрешений и состоянию предоставления разрешений.

Доступ к пакетам: предоставляет доступ к состоянию доступа к пакетам.

Системное приложение: предоставляет доступ к включению системных приложений.

9.6. Предпочтительная сеть

Предпочтительная сетевая служба для этого приложения. Если параметр задан, приложение будет использовать указанный сегмент (slice) корпоративной сети для своих соединений при наличии возможности. Это значение должно совпадать с сегментом сети, настроенным в разделе Конфигурация сегментации сети 5G на панели Сотовая связь.

9.7. Политика разрешений по умолчанию

Политика по умолчанию для всех разрешений, запрашиваемых приложением. Если она указана, то переопределяет Политику разрешений по умолчанию, которая применяется ко всем приложениям. Она не переопределяет Политики разрешений, которые также применяются ко всем приложениям.

Запрос (по умолчанию): запрашивать у пользователя предоставление разрешения.

Предоставить: автоматически предоставлять разрешение.

Отклонить: автоматически отклонять запрос на предоставление разрешения.

9.8. Связь между рабочими и личными приложениями

Управляет тем, может ли приложение взаимодействовать с самим собой между рабочим и личным профилями устройства при условии согласия пользователя (Android 11+).

Запрещено (по умолчанию): запрещает приложению взаимодействие между профилями.

Разрешено: позволяет приложению взаимодействовать между профилями после получения согласия пользователя.

9.9. Исключение из блокировки Always On VPN

Определяет, разрешено ли приложению использование сети, когда VPN не подключен и активен режим блокировки (lockdown). Поддерживается только на устройствах с Android 10 и выше.

Принудительно (по умолчанию): приложение соблюдает настройку блокировки Always On VPN.

Исключение: приложение освобождается от действия настройки блокировки Always On VPN.

9.10. Виджеты рабочего профиля

Определяет, разрешено ли приложению, установленному в рабочем профиле, добавлять виджеты на рабочий стол.

Разрешено: приложение может добавлять виджеты на рабочий стол.

Запрещено: приложение не может добавлять виджеты на рабочий стол.

9.11. Настройки пользовательского контроля

Определяет, разрешен ли пользовательский контроль для данного приложения. Пользовательский контроль включает такие действия, как принудительная остановка и очистка данных приложения (Android 11+). Если для приложения включен параметр extensionConfig, пользовательский контроль запрещен независимо от этой настройки. Для приложений в режиме киоска вы можете использовать параметр Разрешено, чтобы разрешить пользовательский контроль.

Не указано: используется поведение приложения по умолчанию для определения того, разрешено или запрещено управление пользователем.

Разрешено: управление пользователем разрешено для этого приложения.

Запрещено: управление пользователем запрещено для этого приложения.

9.12. Отключено

Отключено приложение или нет. При отключении данные приложения сохраняются.

9.13. Разрешить использование поставщика учетных данных

Разрешено ли приложению выступать в качестве поставщика учетных данных на Android 14 и выше.

9.14. Управляемая конфигурация

Чтобы настроить управляемые параметры приложения, нажмите кнопку Включить управляемую конфигурацию. Если для приложения уже установлена управляемая конфигурация, вы можете изменить ее с помощью кнопки Управляемая конфигурация или удалить ее с помощью кнопки Удалить конфигурацию.

Опция Управляемая конфигурация доступна только для приложений, поддерживающих этот функционал.

9.15. Политики разрешений

Явное предоставление или отзыв разрешений для приложения. Эти значения переопределяют Политику разрешений по умолчанию и Политики разрешений, которые применяются ко всем приложениям.

Используйте Добавить политику разрешений, чтобы добавить одно или несколько правил разрешений для карточки приложения, и удаляйте их с помощью действия удаления.

9.16. ID каналов тестирования

Список ID каналов закрытого тестирования приложения, к которым может получить доступ устройство. Если выбрано несколько ID каналов, устройства будут получать последнюю версию из всех доступных каналов. Если ни один ID канала не выбран, устройства будут иметь доступ только к рабочему каналу приложения.

Опция ID каналов доступна только для приложений, у которых есть хотя бы один ID канала, доступный для вашей организации. Чтобы узнать подробнее о том, как добавить вашу организацию в канал закрытого тестирования для конкретного приложения, пожалуйста, прочитайте здесь

 

10. Настройки приложений по умолчанию

Установите приложения по умолчанию для поддерживаемых типов. Если приложение по умолчанию установлено хотя бы для одного типа, пользователям будет запрещено изменять приложения по умолчанию в этом профиле.

На каждый тип приложения по умолчанию допускается только одна настройка приложения по умолчанию. Список приложений по умолчанию не должен содержать дубликатов.

10.1. Тип приложения по умолчанию

Выберите категорию приложения для настройки (например, Браузер, Телефон, SMS, Кошелек или Ассистент). Доступность зависит от версии Android и режима управления.

10.2. Области действия приложения по умолчанию

Выберите область, в которой должно применяться приложение по умолчанию (Полное управление, Рабочий профиль или Личный профиль). Можно выбрать только те области, которые поддерживаются выбранным типом.

Если ни одна из выбранных областей не применима к режиму управления устройства, устройство сообщит о несоответствии требованиям.

10.3. Приложения по умолчанию

Список приложений, которые могут быть установлены в качестве приложений по умолчанию для выбранного типа. Первое установленное и подходящее приложение будет назначено приложением по умолчанию.

Если области включают Полное управление или Рабочий профиль, каждое приложение также должно присутствовать в списке Приложения, при этом Тип установки не должен быть установлен как Заблокировано.

 

11. Выбор закрытого ключа

Позволяет отображать на устройстве интерфейс, чтобы пользователь мог выбрать псевдоним закрытого ключа, если в разделе Выбор правил закрытого ключа отсутствуют подходящие правила.

На устройствах с версией Android ниже P настройка этого параметра может сделать корпоративные ключи уязвимыми.

 

12. Правила выбора закрытого ключа

Управляет доступом приложений к закрытым ключам. Правило определяет, какой закрытый ключ (если таковой имеется) Android Device Policy предоставляет указанному приложению. Доступ предоставляется либо в момент, когда приложение вызывает KeyChain.choosePrivateKeyAlias (или любую из перегрузок) для запроса псевдонима закрытого ключа для заданного URL, либо (для правил, не привязанных к конкретному URL — то есть если urlPattern не задан или задан как пустая строка или .*) на Android 11 и выше, напрямую, чтобы приложение могло вызвать KeyChain.getPrivateKey без предварительного вызова KeyChain.choosePrivateKeyAlias. Если при вызове приложения KeyChain.choosePrivateKeyAlias совпадает более одного правила из раздела «Выбор правил закрытого ключа», то псевдоним ключа определяется последним совпавшим правилом.

Используйте Добавить правило закрытого ключа, чтобы создать записи, и удаляйте их с помощью действия удаления.

12.1. Псевдоним закрытого ключа

Псевдоним используемого закрытого ключа.

12.2. Шаблон URL-адреса

Шаблон URL-адреса для сопоставления с запрашиваемым URL. Если шаблон не задан или пуст, он будет соответствовать всем URL-адресам. Используется синтаксис регулярных выражений java.util.regex.Pattern.

12.3. Имена пакетов

Имена пакетов, к которым применяется это правило. Хеш сертификата подписи для каждого приложения проверяется на соответствие хешу, предоставленному Play. Если имена пакетов не указаны, псевдоним предоставляется всем приложениям, вызывающим KeyChain.choosePrivateKeyAlias или любые его перегрузки (но не без вызова KeyChain.choosePrivateKeyAlias, даже на Android 11 и выше). Любое приложение с тем же Android UID, что и указанный здесь пакет, получит доступ при вызове KeyChain.choosePrivateKeyAlias.

Используйте Добавить имя пакета, чтобы добавить записи, и удаляйте их с помощью действия удаления.

 

Чтобы удалить приложение, нажмите на значок корзины в нижней части карточки приложения.

 

 

Политики - Android

Режим киоска

С помощью режима киоска вы можете ограничить функциональность устройства одним приложением или несколькими. Выбор между одноприложенным и многоприложенным режимом киоска зависит от ваших бизнес-целей.

В одноприложенном режиме киоска устройство настраивается для работы с одним приложением, что не позволяет конечным пользователям получать доступ к другим приложениям на устройстве. Они также не могут выйти из приложения, что делает устройство специализированным для работы именно с этим приложением. Чтобы включить этот режим, укажите приложение в разделе Управление приложениями, установив Тип установки на значение Киоск.

В многоприложенном режиме киоска устройствам разрешен доступ к нескольким приложениям. Конечные пользователи могут переключаться между несколькими приложениями через пользовательский лаунчер. Чтобы включить этот режим, активируйте опцию Пользовательский лаунчер киоска.

При включенном режиме киоска вы также можете настроить, будет ли у конечных пользователей доступ к определенным системным функциям, таким как системные настройки и строка состояния.

 

Пользовательский лаунчер киоска

Включен ли пользовательский лаунчер киоска. Он заменяет рабочий стол лаунчером, который ограничивает использование устройства приложениями, установленными через настройку Управление приложениями. Приложения отображаются на одной странице в алфавитном порядке.

 

Действия при нажатии кнопки питания

Устанавливает поведение устройства в режиме киоска при нажатии и удержании пользователем кнопки питания.

Доступно (по умолчанию): меню питания (например, Выключение, Перезагрузка) отображается при долгом нажатии пользователем кнопки питания на устройстве в режиме киоска.

Запрещено: меню питания (например, Выключение, Перезагрузка) не отображается при долгом нажатии пользователем кнопки питания на устройстве в режиме киоска. Примечание: это может помешать пользователям выключить устройство.

 

Системные предупреждения об ошибках

Определяет, будут ли в режиме киоска заблокированы системные диалоговые окна об ошибках (сбоях или отсутствии ответа) приложений. При блокировке система принудительно завершит работу приложения, как если бы пользователь выбрал вариант «закрыть приложение» в интерфейсе.

Запрещено (по умолчанию): все системные диалоговые окна об ошибках, такие как сообщения о сбоях или отсутствии ответа приложения (ANR), блокируются. При блокировке система принудительно завершает работу приложения, как если бы пользователь закрыл его через интерфейс.

Включено: отображаются все системные диалоговые окна об ошибках, такие как сообщения о сбоях или отсутствии ответа приложения (ANR).

Системная навигация

Определяет, какие функции навигации (например, кнопки «Домой» или «Обзор») будут доступны в режиме киоска.

Запрещено (по умолчанию): кнопки «Домой» и «Обзор» недоступны.

Только «Домой»: включена только кнопка «Домой».

Включено: кнопки «Домой» и «Обзор» включены.

 

Строка состояния

Определяет, будут ли системная информация и уведомления отключены в режиме киоска.

Запрещено (по умолчанию): системная информация и уведомления отключены в режиме киоска.

Только системная информация: в строке состояния отображается только системная информация.

Включено: системная информация и уведомления отображаются в строке состояния в режиме киоска. Примечание: чтобы эта политика вступила в силу, кнопка «Домой» на устройстве должна быть включена с помощью параметра kioskCustomization.systemNavigation.

 

Настройки устройства

Определяет, разрешено ли использование приложения «Настройки» в режиме киоска.

Разрешено (по умолчанию): в режиме киоска разрешен доступ к приложению «Настройки».

Запрещено: в режиме киоска доступ к приложению «Настройки» запрещен.

Политики - Android

Безопасность

В этом разделе вы можете настроить политики, связанные с безопасностью.

 

Действия при угрозах безопасности

Выберите, что делать, когда устройство сообщает о риске безопасности (SecurityRisk) в отчетах о состоянии.

 

Поддерживаемые типы угроз безопасности (SecurityRisk):

Неизвестная ОС: Play Integrity API обнаруживает, что на устройстве запущена неизвестная ОС (проверка basicIntegrity пройдена, но ctsProfileMatch не удалась).

Взломанная ОС: Play Integrity API обнаруживает, что на устройстве запущена взломанная ОС (проверка basicIntegrity не удалась).

Ошибка проверки на базе аппаратного обеспечения: Play Integrity API обнаруживает, что устройство не имеет надежных гарантий целостности системы (если в поле целостности устройства отсутствует метка MEETS_STRONG_INTEGRITY).

 

Доступные действия:

Удаление корпоративных данных (по умолчанию): Отмена регистрации и удаление рабочих данных (всего устройства, если оно полностью управляемое, или только рабочего профиля, если управление осуществляется на уровне профиля).

Без действий: Оставить устройство зарегистрированным и ничего не предпринимать автоматически.

 

При выборе параметра Удаление корпоративных данных вы также можете настроить параметры удаления:

Сохранение защиты от сброса до заводских настроек: Сохранение данных защиты от сброса до заводских настроек (FRP) при удалении данных с устройства.

Удаление внешнего хранилища: Дополнительное удаление данных с внешнего хранилища устройства (например, SD-карт) при выполнении сброса.

Удаление eSIM: Для устройств, принадлежащих компании, это удаляет все eSIM с устройства при его сбросе. На устройствах, принадлежащих частным лицам, это удалит только управляемые eSIM (те, что были добавлены через команду ADD_ESIM), а личные eSIM удалены не будут.

 

1. Максимальное время до блокировки

Максимальное время (в секундах) отсутствия активности пользователя до блокировки устройства. Значение 0 означает отсутствие ограничений.

 

2. Не выключать экран при зарядке

Режимы работы от сети, в которых устройство остается включенным. При использовании этой настройки рекомендуется очистить параметр Максимальное время до блокировки, чтобы устройство не блокировалось само по себе при включенном экране.

Зарядное устройство переменного тока: Источник питания — зарядное устройство переменного тока.

USB-порт: Источник питания — USB-порт.

Беспроводная зарядка: Источник питания — беспроводная зарядка.

 

3. Блокировка экрана отключена

Если значение установлено в true, это отключает экран блокировки для основного и/или дополнительного дисплеев. Эта политика поддерживается только в режиме управления выделенными устройствами (dedicated device).

 

4. Требования к паролю

Политики требований к паролю.

Используйте Настроить требования к паролю, чтобы добавить один или несколько блоков требований к паролю. Используйте Очистить все, чтобы удалить все настроенные требования к паролю.

Требования к паролю могут использовать область действия Авто (одно требование) или отдельные области действия Устройство/Рабочий профиль. Требования, основанные на сложности, должны сочетаться с требованиями, основанными на качестве, для одной и той же области действия.

4.1. Область действия

Область действия, к которой применяется требование к паролю.

Авто: Область действия не указана. Требования к паролю применяются к рабочему профилю для устройств с рабочим профилем и ко всему устройству для полностью управляемых или выделенных устройств.

Устройство: Требования к паролю применяются только к устройству.

Рабочий профиль: Требования к паролю применяются только к рабочему профилю.

4.2. История паролей

Длина истории паролей. После установки этого значения пользователь не сможет ввести новый пароль, который совпадает с любым из паролей в истории. Значение 0 означает отсутствие ограничений.

4.3. Максимальное количество неудачных попыток ввода пароля для сброса данных

Количество неправильных паролей для разблокировки устройства, которые могут быть введены до того, как произойдет сброс данных. Значение 0 означает отсутствие ограничений.

4.4. Срок действия пароля (в днях)

Эта настройка обязывает пользователя периодически обновлять пароль по истечении указанного количества дней.

4.5. Требовать разблокировку паролем

Промежуток времени после разблокировки устройства или рабочего профиля с помощью надежного метода аутентификации (пароль, PIN-код, графический ключ), в течение которого разрешена разблокировка любыми другими методами (например, отпечатком пальца, доверенными агентами или распознаванием лица). По истечении указанного периода времени для разблокировки устройства или рабочего профиля будут разрешены только надежные методы аутентификации.

По умолчанию для устройства: Период ожидания устанавливается по умолчанию для устройства.

Каждый день: Период ожидания устанавливается на 24 часа.

4.6. Качество пароля

Требуемое качество пароля.

Высокая сложность: Определяет высокий уровень сложности пароля как: в Android 12 и выше — PIN-код без повторяющихся (4444) или последовательных (1234, 4321, 2468) цифр, длина не менее 8 символов; буквенный пароль, длина не менее 6 символов; буквенно-цифровой пароль, длина не менее 6 символов.

Средняя сложность: Определяет средний уровень сложности пароля как: PIN-код без повторяющихся (4444) или последовательных (1234, 4321, 2468) цифр, длина не менее 4 символов; буквенный пароль, длина не менее 4 символов; буквенно-цифровой пароль, длина не менее 4 символов.

Низкая сложность: Определяет низкий уровень сложности пароля как: графический ключ; PIN-код с повторяющимися (4444) или последовательными (1234, 4321, 2468) цифрами.

Нет: Требования к паролю отсутствуют.

Слабая: Устройство должно быть защищено как минимум технологией биометрического распознавания с низким уровнем безопасности. Сюда входят технологии, способные идентифицировать личность человека с точностью, примерно эквивалентной 3-значному PIN-коду (вероятность ложного срабатывания менее 1 на 1000).

Любой: Пароль обязателен, но ограничений на его содержимое нет.

Цифровой: Пароль должен содержать цифры.

Сложный цифровой: Пароль должен содержать цифры без повторяющихся (4444) или последовательных (1234, 4321, 2468) комбинаций.

Буквенный: Пароль должен содержать буквы (или символы).

Буквенно-цифровой: Пароль должен содержать как цифры, так и буквы (или символы).

Сложный: Пароль должен соответствовать минимальным требованиям, указанным в параметрах passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols и т. д. Например, если параметр passwordMinimumSymbols равен 2, пароль должен содержать как минимум два символа.

4.7. Минимальная длина

Минимально допустимая длина пароля. Значение 0 означает отсутствие ограничений.

4.8. Минимум букв

Минимально необходимое количество букв в пароле.

4.9. Минимум строчных букв

Минимально необходимое количество строчных букв в пароле.

4.10. Минимум прописных букв

Минимально необходимое количество прописных букв в пароле.

4.11. Минимум символов, не являющихся буквами

Минимально необходимое количество символов, не являющихся буквами (цифр или специальных знаков), в пароле.

4.12. Минимум цифр

Минимально необходимое количество цифр в пароле.

4.13. Минимум символов

Минимально необходимое количество символов в пароле.

4.14. Единая блокировка

Определяет, разрешена ли единая блокировка для устройства и рабочего профиля на устройствах с Android 9 и выше, имеющих рабочий профиль. На других устройствах это не влияет.

Разрешить единую блокировку: разрешается использование общей блокировки для устройства и рабочего профиля.

Требовать отдельную блокировку для рабочего профиля: требуется отдельная блокировка для рабочего профиля.

 

5. Сброс к заводским настройкам отключен

Отключен ли сброс к заводским настройкам через настройки. Применяется только к полностью управляемым устройствам.

 

6. Защита от сброса к заводским настройкам

Адреса электронной почты администраторов устройства для защиты от сброса к заводским настройкам. Если на устройстве произойдет несанкционированный сброс к заводским настройкам, для разблокировки потребуется, чтобы один из этих администраторов вошел в систему, используя адрес электронной почты и пароль от своего аккаунта Google. Если администраторы не указаны, защита от сброса к заводским настройкам на устройстве будет отключена. Применяется только к полностью управляемым устройствам.

Адреса электронной почты администраторов: используйте Включить защиту от сброса к заводским настройкам, чтобы начать настройку администраторов. Затем используйте Добавить адрес электронной почты администратора, чтобы добавить адреса, и действие удаления, чтобы их убрать.

 

7. Функции блокировки экрана

Функции блокировки экрана, которые можно отключить.

7.1. Отключить все

Отключить все текущие и будущие настройки блокировки экрана.

7.2. Отключить камеру

Отключить камеру на экранах с защищенной блокировкой (например, при вводе PIN-кода).

7.3. Отключить уведомления

Отключить отображение всех уведомлений на экранах с защищенной блокировкой.

7.4. Отключить отображение содержимого уведомлений

Отключить отображение содержимого уведомлений на экранах с защищенной блокировкой.

7.5. Игнорировать состояние доверенного агента

Игнорировать состояние доверенного агента на экранах с защищенной блокировкой.

7.6. Отключить отпечаток пальца

Отключить датчик отпечатка пальца на экранах с защищенной блокировкой.

7.7. Отключить текстовый ввод в уведомлениях

Отключить текстовый ввод в уведомлениях на экранах с защищенной блокировкой.

7.8. Отключить аутентификацию по лицу

Отключить аутентификацию по лицу на экранах с защищенной блокировкой.

7.9. Отключить аутентификацию по радужной оболочке глаза

Отключить аутентификацию по радужной оболочке глаза на экранах с защищенной блокировкой.

7.10. Отключить всю биометрическую аутентификацию

Отключить всю биометрическую аутентификацию на экранах с защищенной блокировкой.

7.11. Отключить все ярлыки

Отключить все ярлыки на экране блокировки в Android 14 и выше.

Политики - Android

Мультимедиа

В этом разделе вы можете настроить работу камеры/микрофона, доступ к данным через USB, печать и ограничения, связанные с дисплеем.

 

1. Доступ к камере

Управляет использованием камеры и тем, может ли пользователь получить доступ к переключателю доступа к камере (Android 12+). В целом, отключение камеры применяется ко всему устройству на полностью управляемых устройствах и только внутри рабочего профиля на устройствах с рабочим профилем.

Выбор пользователя (по умолчанию): Поведение устройства по умолчанию. Камеры доступны, и (на Android 12+) пользователь может переключать доступ к камере.

Отключено: Все камеры отключены (на полностью управляемых устройствах — на всем устройстве; в рабочем профиле — только для приложений рабочего профиля). Переключатель доступа к камере не имеет эффекта в рамках управляемой области.

Принудительно: Камеры доступны. На полностью управляемых устройствах с Android 12+ пользователь не может переключать доступ к камере. На других устройствах/версиях это работает как «Выбор пользователя».

 

2. Доступ к микрофону

На полностью управляемых устройствах этот параметр управляет использованием микрофона и тем, может ли пользователь получить доступ к переключателю доступа к микрофону (Android 12+). Данная настройка не влияет на устройства, которые не являются полностью управляемыми.

Выбор пользователя (по умолчанию): Поведение по умолчанию. Микрофон доступен, и (на Android 12+) пользователь может переключать доступ к микрофону.

Отключено: Микрофон отключен (на всем устройстве). Переключатель доступа к микрофону не имеет эффекта.

Принудительно: Микрофон доступен. На Android 12+ пользователь не может переключать доступ к микрофону. На Android 11 или ниже это работает как «Выбор пользователя».

 

3. Доступ к данным через USB

Управляет тем, какие файлы и/или данные могут передаваться через USB. Поддерживается только на устройствах, принадлежащих компании.

Запретить передачу файлов (по умолчанию): Передача файлов запрещена, но другие USB-соединения (например, мышь/клавиатура) разрешены.

Запретить передачу данных: Все типы передачи данных через USB запрещены (Android 12+ с USB HAL 1.3+). Если функция не поддерживается, устройство переходит в режим «Запретить передачу файлов».

Разрешить передачу данных: Разрешены все типы передачи данных через USB.

 

4. Печать

Управляет тем, разрешена ли печать (Android 9+).

Разрешено (по умолчанию): Печать разрешена.

Запрещено: Печать запрещена (Android 9+).

 

5. Настройки яркости экрана

Управляет режимом яркости экрана и (опционально) уровнем яркости.

Режим яркости экрана:

Выбор пользователя (по умолчанию): Пользователю разрешено настраивать яркость экрана.

Автоматически: Яркость регулируется автоматически, и пользователь не может ее изменить. Вы все еще можете задать значение яркости, которое будет использоваться как часть автоматической регулировки (на полностью управляемых устройствах Android 9+; в рабочих профилях на корпоративных устройствах Android 15+).

Фиксированная: Яркость устанавливается на заданное значение, и пользователь не может ее изменить. Значение яркости является обязательным (на полностью управляемых устройствах Android 9+; в рабочих профилях на корпоративных устройствах Android 15+).

Яркость экрана:

Значение от 1 до 255 (1 = минимальная, 255 = максимальная). Значение 0 означает, что уровень яркости не задан.

 

6. Настройки времени отключения экрана

Управляет тем, может ли пользователь настраивать время отключения экрана и (если режим принудительный) устанавливать значение времени отключения.

Поле Режим времени отключения экрана позволяет выбрать между управлением со стороны пользователя и принудительным режимом.

Выбор пользователя (по умолчанию): Пользователю разрешено настраивать время отключения экрана.

Принудительно: Время отключения экрана устанавливается на заданное значение, и пользователь не может его изменить (на полностью управляемых устройствах Android 9+; в рабочих профилях на корпоративных устройствах Android 15+).

Время отключения экрана:

Продолжительность ожидания в секундах. Значение должно быть больше 0. Если оно превышает Максимальное время блокировки, система может ограничить его и сообщить о несоответствии.

 

7. Отключение снимков экрана

Отключены ли снимки экрана.

 

8. Отключение регулировки громкости

Отключена ли возможность регулировки основного уровня громкости.

 

9. Отключение монтирования физических носителей

Отключено ли монтирование внешних физических носителей.

Политики - Android

Мобильная связь

В этом разделе вы можете настроить политики, связанные с мобильной связью.

 

1. Режим полета

Управляет тем, может ли пользователь включать или выключать режим полета.

Выбор пользователя (по умолчанию): пользователю разрешено включать или выключать режим полета.

Запрещено: режим полета отключен. Пользователю запрещено включать режим полета. Поддерживается в Android 9 и выше.

 

2. Мобильная связь 2G

Управляет тем, может ли пользователь включать или выключать настройку мобильной связи 2G.

Выбор пользователя (по умолчанию): пользователю разрешено включать или выключать мобильную связь 2G.

Запрещено: мобильная связь 2G отключена. Пользователю запрещено включать мобильную связь 2G через настройки. Поддерживается в Android 14 и выше.

 

3. Переопределение APN

Управляет тем, включено или отключено переопределение APN. Если эта функция включена, используются только настроенные переопределяющие APN, а все остальные APN на устройстве игнорируются.

Запрещено (по умолчанию): все настроенные параметры APN сохраняются на устройстве, но они отключены и не оказывают никакого влияния. Все остальные APN на устройстве остаются в использовании.

Включено: используются только переопределяющие APN, все остальные APN игнорируются. Эту настройку можно сконфигурировать только на устройствах с полным управлением под управлением Android 10 и выше.

 

4. Настройки APN

Настройте одну или несколько записей APN. Используйте Добавить APN, чтобы создать запись, и Удалить APN, чтобы удалить ее.

Для каждого APN есть обязательные поля:

Типы APN: выберите один или несколько типов трафика для этого APN (доступность зависит от режима управления и версии Android).

Имя APN: идентификатор APN, предоставленный вашим оператором связи.

Отображаемое имя: понятное имя, отображаемое в интерфейсе.

 

Необязательные поля APN:

Тип аутентификации, Имя пользователя, Пароль: настройка аутентификации у оператора (если требуется).

Протокол и Протокол роуминга: настройка протокола IP.

Типы сети: ограничение технологий мобильной связи, которые может использовать APN (например, LTE/5G NR).

Адрес прокси-сервера и Порт прокси-сервера: HTTP-прокси для передачи данных (если применимо).

Адрес прокси MMS, Порт прокси MMS, MMSC (URI центра MMS): настройки, связанные с MMS.

Числовой ID оператора (MCC+MNC) и ID оператора: поля идентификации оператора.

Настройка «Всегда включено»: должна ли сессия PDU, активированная этим APN, оставаться постоянно включенной. Поддерживается в Android 15 и выше.

Тип MVNO: тип идентификатора виртуального оператора мобильной связи.

MTU IPv4 и MTU IPv6: максимальный размер единицы передачи (MTU) для маршрутов IPv4/IPv6. Поддерживается в Android 13 и выше.

 

5. Отключение конфигурации сотовой рассылки

Отключена ли возможность настройки сотовой рассылки.

 

6. Отключение конфигурации мобильных сетей

Отключена ли возможность настройки мобильных сетей.

 

7. Отключение роуминга данных

Отключены ли услуги передачи данных в роуминге.

 

8. Отключение исходящих вызовов

Отключены ли исходящие вызовы.

 

9. Отключение SMS

Отключена ли возможность отправки и получения SMS-сообщений.

 

10. Настройка сегментации сети 5G

Настройте параметры приоритетного сетевого обслуживания для включения сегментации сети 5G предприятия. Вы можете настроить до 5 корпоративных сегментов и назначить приложения конкретным сетям для оптимизированной маршрутизации трафика.

10.1. Сеть по умолчанию с приоритетным обслуживанием

ID сети по умолчанию с приоритетным обслуживанием для приложений, которых нет в списке приложений, или если для приложения не задана Приоритетная сеть. Должна существовать конфигурация для указанного ID сети (если не выбрано Без приоритетной сети).

Примечание: критически важные приложения, такие как com.google.android.apps.work.clouddpc и com.google.android.gms, исключены из этой настройки по умолчанию.

 

10.2. Конфигурации сетевых служб

Используйте Добавить конфигурацию сети, чтобы создать конфигурацию сегмента. Вы можете добавить до 5 конфигураций. Каждая конфигурация содержит:

ID приоритетной сети (автоматически назначенного): ID сети назначается автоматически и не может быть изменен.

Переход на соединение по умолчанию: разрешен ли переход на общее для устройства соединение по умолчанию. Если это запрещено, приложения не смогут получить доступ к интернету в случае недоступности сегмента 5G.

Сети, не соответствующие правилам: могут ли приложения, на которые распространяется эта конфигурация, использовать сети, отличные от приоритетной службы. Если установлено значение Запрещено, параметр Переход на соединение по умолчанию также должен быть Запрещено. Требуется Android 14 и выше.

Политики - Android

Сети

В этом разделе вы можете настроить политики, связанные с сетевыми подключениями.

Конфигурации Wi-Fi могут быть предоставлены и управляемы системой через Конфигурации Wi-Fi. В зависимости от значения, установленного в поле Настройка Wi-Fi, пользователи могут иметь ограниченный контроль над добавлением/изменением сетей или не иметь его вовсе.

 

Состояние радиомодуля устройства

1. Состояние Wi-Fi

Управляет текущим состоянием Wi-Fi и тем, может ли пользователь изменять его состояние.

Выбор пользователя (по умолчанию): Пользователю разрешено включать/отключать Wi-Fi.

Включено: Wi-Fi включен, и пользователю запрещено его отключать (Android 13+).

Отключено: Wi-Fi выключен, и пользователю запрещено его включать (Android 13+).

 

2. Минимальный уровень безопасности Wi-Fi

Минимально требуемый уровень безопасности сетей Wi-Fi, к которым может подключаться устройство. Поддерживается в Android 13 и выше для полностью управляемых устройств и рабочих профилей на корпоративных устройствах.

Открытая сеть (по умолчанию): Устройство может подключаться к любым типам сетей Wi-Fi.

Персональная сеть: Запрещает открытые сети Wi-Fi; требует как минимум уровень безопасности персональной сети (например, WPA2-PSK).

Корпоративная сеть: Требует сети с корпоративной защитой EAP; запрещает использование сетей Wi-Fi с уровнем безопасности ниже этого уровня.

Корпоративная сеть 192 бит: Требует сети с корпоративной защитой 192 бит; самый строгий вариант.

 

3. Состояние сверхширокополосной связи (UWB)

Управляет состоянием настройки сверхширокополосной связи и тем, может ли пользователь включать или отключать ее.

Выбор пользователя (по умолчанию): Пользователю разрешено включать или отключать UWB.

Отключено: UWB отключен, и пользователю запрещено переключать его через настройки (Android 14+).

 

Управление подключением устройства

4. Обмен данными через Bluetooth

Управляет тем, разрешен ли обмен данными через Bluetooth.

Разрешено: Обмен данными через Bluetooth разрешен (по умолчанию на полностью управляемых устройствах, Android 8+).

Запрещено: Обмен данными через Bluetooth запрещен (по умолчанию в рабочих профилях, Android 8+).

 

5. Настройка Wi-Fi

Управляет правами на настройку Wi-Fi. В зависимости от выбранного варианта, пользователь может иметь полный контроль над настройкой сетей Wi-Fi, ограниченный или не иметь его вовсе.

Разрешить настройку Wi-Fi (по умолчанию): Пользователю разрешено настраивать Wi-Fi.

Запретить добавление конфигурации Wi-Fi: Добавление новых конфигураций Wi-Fi запрещено. Пользователь может переключаться между уже настроенными сетями (Android 13+; полностью управляемые устройства и рабочие профили на корпоративных устройствах).

Запретить настройку Wi-Fi: Запрещает настройку сетей Wi-Fi. Для полностью управляемых устройств это удаляет сети, настроенные пользователем, и оставляет только те, что были настроены через Конфигурации Wi-Fi. Для рабочих профилей на корпоративных устройствах существующие сети не затронуты, но пользователи не могут добавлять, удалять или изменять Wi-Fi сети.

Если настройка Wi-Fi отключена и устройство не может подключиться при загрузке, система может показать аварийный выход в сеть, чтобы пользователь мог временно подключиться и обновить политику.

 

6. Настройки Wi-Fi Direct

Управляет настройкой и использованием параметров Wi-Fi Direct. Поддерживается на устройствах, принадлежащих компании, с Android 13 и выше.

Разрешить (по умолчанию): Пользователю разрешено использовать Wi-Fi Direct.

Запретить: Пользователю запрещено использовать Wi-Fi Direct.

 

7. Настройки режима модема

Управляет настройками режима модема. В зависимости от установленного значения, пользователю может быть частично или полностью запрещено использование различных форм раздачи интернета.

Разрешить все виды раздачи (по умолчанию): Разрешает настройку и использование всех видов раздачи интернета.

Запретить раздачу через Wi-Fi: Запрещает пользователю использовать раздачу интернета через Wi-Fi (на корпоративных устройствах с Android 13+).

Запретить все виды раздачи: Запрещает все формы раздачи интернета (на полностью управляемых устройствах и в рабочих профилях на корпоративных устройствах).

 

8. Политика Wi-Fi SSID

Ограничения на то, к каким SSID Wi-Fi может подключаться устройство (это не влияет на то, какие сети могут быть настроены на устройстве). Поддерживается на устройствах, принадлежащих компании, с Android 13 и выше.

Черный список SSID (по умолчанию): Устройство не может подключаться к сетям Wi-Fi, чьи SSID указаны в списке, но может подключаться к другим сетям.

Белый список SSID: Устройство может подключаться только к указанным SSID. Список SSID не должен быть пустым.

Используйте Добавить SSID, чтобы добавить записи. В зависимости от выбранного типа политики, список будет интерпретироваться как разрешенные или запрещенные SSID.

В интерфейсе редактора политик список SSID обозначается как Разрешенные Wi-Fi SSID для белых списков и Запрещенные Wi-Fi SSID для черных списков.

 

9. Настройки роуминга Wi-Fi

Настройте режим роуминга Wi-Fi для каждого SSID. Используйте Добавить настройку роуминга Wi-Fi, чтобы создать записи.

Каждая запись включает в себя:

SSID: SSID, к которому применяется настройка роуминга (обязательное поле).

Режим Wi‑Fi роуминга: По умолчанию / Отключен / Агрессивный. Для режимов «Отключен» и «Агрессивный» требуется Android 15+; они поддерживаются только на полностью управляемых устройствах и рабочих профилях на устройствах, принадлежащих компании.

 

Сетевые ограничения

10. Отключение Bluetooth

Отключен ли Bluetooth. Рекомендуется использовать эту настройку вместо «Bluetooth config disabled», так как параметр «Bluetooth config disabled» может быть обойден пользователем.

 

11. Отключение передачи контактов через Bluetooth

Отключена ли передача контактов через Bluetooth.

 

12. Отключение настройки Bluetooth

Отключена ли возможность настройки Bluetooth.

 

13. Отключение сброса настроек сети

Отключена ли возможность сброса настроек сети.

 

14. Отключение исходящего режима Beam

Отключена ли возможность передачи данных через NFC (Android Beam).

 

VPN

15. Приложение Always On VPN

Укажите имя пакета Always On VPN, чтобы гарантировать, что данные из указанных управляемых приложений всегда будут проходить через настроенный VPN.

Примечание: Для работы этой функции требуется развертывание VPN-клиента, поддерживающего функции Always On и VPN для отдельных приложений.

 

16. Блокировка сети при отключении VPN

Запрещает использование сети, если VPN не подключен.

 

17. Отключение настройки VPN

Отключена ли возможность настройки VPN.

 

Прокси-сервер и сетевые службы

18. Приоритетная сетевая служба

Управляет тем, включена ли приоритетная сетевая служба в рабочем профиле. Например, организация может иметь соглашение с оператором о том, что рабочие данные передаются через выделенную для корпоративного использования сетевую службу (например, через сегмент сети 5G для предприятий). Это не влияет на полностью управляемые устройства.

Отключено: Приоритетная сетевая служба отключена в рабочем профиле.

Включено: Приоритетная сетевая служба включена в рабочем профиле.

Если вы используете сегментацию сети (network slicing) для предприятий, также настройте Конфигурацию сегментации сети 5G в панели политик Сотовая связь и назначьте приложения к сегменту, используя настройку Приоритетная сеть.

 

Глобальный HTTP-прокси, не зависящий от сети. Как правило, прокси-серверы следует настраивать для каждой отдельной сети в конфигурациях Wi-Fi. Глобальный прокси может быть полезен для нестандартных сценариев, таких как общая внутренняя фильтрация. Глобальный прокси является лишь рекомендацией, и некоторые приложения могут его игнорировать.

Отключено

Прямой прокси

Автоматическая настройка прокси (PAC)

19.1. Хост

Хост прямого прокси-сервера.

19.2. Порт

Порт прямого прокси-сервера.

19.3. PAC URI

URI-адрес PAC-скрипта, используемого для настройки прокси-сервера.

19.4. Исключенные хосты

Для прямого прокси-сервера — хосты, для которых прокси-сервер будет обходить. Имена хостов могут содержать подстановочные знаки, такие как *.example.com.

Используйте Добавить исключенный хост, чтобы добавить записи (доступно только для прямого прокси).

 

Конфигурации Wi-Fi

Определите конфигурации сетей Wi‑Fi, которые система будет применять на устройствах. Используйте Добавить конфигурацию Wi‑Fi для создания записи, а для её удаления используйте действие «Удалить».

20. Поля конфигурации Wi‑Fi

Каждая конфигурация включает в себя:

Имя конфигурации: Обязательно.

SSID: Обязательно.

Автоподключение: Должно ли устройство подключаться к сети автоматически при нахождении в зоне действия.

Fast Transition: Должен ли клиент пытаться использовать функцию Fast Transition (IEEE 802.11r-2008) при работе с сетью.

Скрытый SSID: Будет ли SSID транслироваться.

Режим рандомизации MAC: Аппаратный или Автоматический (Android 13+).

 

20.1. Безопасность

Параметры безопасности Wi‑Fi:

WEP‑PSK: WEP (с общим ключом).

WPA‑PSK: WPA/WPA2/WPA3-Personal (с общим ключом).

WPA‑EAP: WPA/WPA2/WPA3-Enterprise (протокол расширенной аутентификации).

Режим WPA3 192-bit: Сеть WPA‑EAP, допускающая только режим WPA3 192-bit.

20.2. Пароль (общий ключ)

Отображается, когда в поле «Безопасность» выбрано WEP‑PSK или WPA‑PSK. Ввод пароля обязателен.

20.3. Метод EAP (Enterprise)

Отображается, когда в поле «Безопасность» выбрано WPA‑EAP или Режим WPA3 192-bit. Выберите один внешний метод EAP:

EAP‑TLS

EAP‑TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. Аутентификация второй фазы

Отображается для методов с туннелированием (EAP‑TTLS и PEAP).

MSCHAPv2

PAP

20.5. Учетные данные EAP от пользователей

При включении этой функции система автоматически применяет учетные данные EAP на устройствах для каждого отдельного пользователя. Вы можете настроить учетные данные пользователей в разделе Пользователи.

20.6. Клиентский сертификат

Для EAP‑TLS вы можете назначить клиентский сертификат, используемый для аутентификации Wi‑Fi. Для получения дополнительной информации ознакомьтесь со страницей Управление сертификатами.

Если сертификат уже назначен, вы можете использовать Открыть сертификат для его просмотра или Изменить сертификат, чтобы выбрать другой.

В качестве альтернативы вы можете указать Псевдоним пары ключей клиентского сертификата, который ссылается на клиентский сертификат, хранящийся в связке ключей Android и разрешенный для аутентификации Wi‑Fi.

Если установлены и Клиентский сертификат, и Псевдоним пары ключей клиентского сертификата, то псевдоним пары ключей игнорируется.

20.7. Идентификатор (Identity)

Идентификатор пользователя. Для туннелируемых внешних протоколов (PEAP, EAP‑TTLS) это используется для аутентификации внутри туннеля, а Анонимный идентификатор используется в качестве идентификатора EAP вне туннеля. Для непрозрачных (non-tunneling) внешних протоколов это используется в качестве идентификатора EAP.

20.8. Анонимный идентификатор

Только для туннелируемых протоколов: указывает на идентификатор пользователя, передаваемый внешнему протоколу.

20.9. Пароль

Пароль пользователя. Если не указан, по умолчанию будет выводиться запрос пароля пользователю.

20.10. Сертификаты CA сервера

Список сертификатов CA, которые будут использоваться для проверки цепочки сертификатов хоста. Должен совпасть как минимум один сертификат CA. Для получения дополнительной информации ознакомьтесь со страницей Управление сертификатами.

Используйте Добавить сертификат CA сервера, чтобы добавить записи, а для их удаления используйте действие «Удалить».

20.11. Совпадение суффикса домена

Список ограничений для доменного имени сервера. Записи используются в качестве требований к совпадению суффикса с DNS-именем (именами) альтернативного имени субъекта (SAN) сертификата сервера аутентификации.

 

Политики - Android

Система

В этом разделе вы можете настроить политики, связанные с системой.

 

1. Минимальный уровень API

Минимально допустимый уровень Android API.

 

2. Политика шифрования

Включено ли шифрование.

По умолчанию: Это значение игнорируется, то есть шифрование не требуется.

Включено без пароля: Шифрование обязательно, но пароль для загрузки не требуется.

Включено с паролем: Шифрование обязательно, а для загрузки требуется пароль.

 

3. Автоматическая дата и время

Включена ли автоматическая установка даты, времени и часового пояса на устройстве, принадлежащем компании.

Выбор пользователя (по умолчанию): автоматическая установка даты, времени и часового пояса остается на усмотрение пользователя.

Принудительно: Принудительная установка автоматической даты, времени и часового пояса на устройстве.

 

4. Настройки разработчика

Управляет доступом к настройкам разработчика: параметрам разработчика и безопасной загрузке.

Отключено (по умолчанию): Отключает все настройки разработчика и запрещает пользователю доступ к ним.

Разрешено: Разрешает использование всех настроек разработчика. Пользователь может получать к ним доступ и, при необходимости, настраивать их.

 

5. Режим общих критериев (Common Criteria)

Управляет режимом общих критериев (Common Criteria) — стандартами безопасности, определенными в рамках Common Criteria for Information Technology Security Evaluation (CC). Включение этого режима усиливает определенные компоненты безопасности на устройстве (например: шифрование AES-GCM для долгосрочных ключей Bluetooth, дополнительная проверка некоторых сетевых сертификатов и проверки целостности криптографических политик). Режим Common Criteria поддерживается только на устройствах, принадлежащих компании, под управлением Android 11 или выше. Внимание: режим Common Criteria навязывает строгую модель безопасности, которая обычно требуется только для организаций с высочайшим уровнем секретности. Это может повлиять на стандартное использование устройства; включайте его только в случае необходимости.

Отключено (по умолчанию): Отключает режим общих критериев (Common Criteria).

Включено: Включает режим общих критериев (Common Criteria).

 

6. Расширение тегирования памяти (MTE)

Управляет работой расширения тегирования памяти (MTE) на устройстве.

Выбор пользователя (по умолчанию): пользователь может самостоятельно включить или отключить MTE на устройстве (если устройство поддерживает эту функцию).

Принудительно: MTE включено, и пользователю запрещено изменять этот параметр (Android 14+; поддерживается на полностью управляемых устройствах и в рабочих профилях на устройствах, принадлежащих компании).

Отключено: MTE отключено, и пользователю запрещено изменять этот параметр (Android 14+; поддерживается только на полностью управляемых устройствах).

 

7. Защита контента

Управляет включением защиты контента (которая сканирует устройство на наличие обманных приложений). Поддерживается в Android 15 и выше.

Отключено (по умолчанию): Защита контента отключена, и пользователь не может это изменить.

Принудительно: Защита контента включена, и пользователь не может это изменить (Android 15+).

Выбор пользователя: защита контента не контролируется политикой; пользователь может выбирать (Android 15+).

 

8. Контент для ассистента

Управляет тем, разрешено ли передавать контент ассистента (AssistContent) привилегированным приложениям, таким как приложения-ассистенты (например, Circle to Search). Контент ассистента включает в себя скриншоты и информацию о приложении, например, имя пакета. Поддерживается в Android 15 и выше.

Разрешено (по умолчанию): разрешено передавать контент ассистента (AssistContent) привилегированным приложениям (Android 15+).

Запрещено: передача контента ассистента (AssistContent) привилегированным приложениям заблокирована (Android 15+).

 

9. Создание окон отключено

Отключено ли создание окон, отличных от окон приложений. Эта опция предотвращает отображение следующих системных интерфейсов: всплывающих уведомлений (toasts и snackbars), телефонных активностей (например, входящих звонков) и приоритетных телефонных активностей (например, текущих звонков), системных оповещений, системных ошибок и системных оверлеев.

 

10. Сетевой аварийный выход

Включен ли сетевой аварийный выход. Если при загрузке невозможно установить сетевое соединение, функция аварийного выхода предложит пользователю временно подключиться к сети для обновления политики устройства. После применения политики временное сетевое соединение будет разорвано, и устройство продолжит загрузку. Это предотвращает ситуацию, когда невозможно подключиться к сети, если в последней примененной политике не было указано подходящей сети, а устройство загружается сразу в приложение в режиме закрепленного приложения (lock task mode) или если пользователь по иным причинам не может получить доступ к настройкам устройства.

 

11. Действия по умолчанию

Список действий по умолчанию для обработки намерений (intents), соответствующих определенному фильтру намерений. Например, эта функция позволит ИТ-администраторам выбрать, какое приложение браузера будет автоматически открывать веб-ссылки или какое приложение лаунчера будет использоваться при нажатии кнопки «Домой».

Используйте Добавить действие по умолчанию, чтобы создать записи. Внутри записи используйте Добавить действие и Добавить категорию для создания фильтра намерений.

11.1. Активность-получатель

Активность, которая должна быть обработчиком намерений по умолчанию. Это должно быть имя компонента Android, например: com.android.enterprise.app/.MainActivity. В качестве альтернативы можно указать имя пакета приложения, в этом случае Android Device Policy выберет подходящую активность из этого приложения для обработки намерения.

11.2. Действие

Действия намерения, которые должны совпасть с фильтром. Если в фильтр включены какие-либо действия, то для совпадения действие намерения должно соответствовать одному из этих значений. Если действия не включены, само действие намерения игнорируется.

11.3. Категория

Категории намерения, которые должны совпасть с фильтром. Намерение включает в себя категории, которые оно требует; все они должны быть включены в фильтр для успешного совпадения. Иными словами, добавление категории в фильтр не влияет на процесс сопоставления, если эта категория не указана в самом намерении.

 

12. Разрешенные методы ввода

Указывает разрешенные методы ввода.

Все разрешенные: Ограничения не применяются. Разрешены все методы ввода.

Только системные: Разрешены только встроенные системные методы ввода.

Только системные и предоставленные: Разрешены только предоставленные и встроенные системные методы ввода.

12.1. Разрешенные методы ввода

Имена пакетов разрешенных методов ввода. Применяется только в том случае, если параметр Разрешенные методы ввода установлен на Только системные и предоставленные.

Используйте Добавить метод ввода, чтобы добавить записи, и действие удаления, чтобы их убрать.

 

13. Разрешенные службы специальных возможностей

Указывает разрешенные службы специальных возможностей.

Все разрешенные: можно использовать любую службу специальных возможностей.

Только системные: можно использовать только встроенные системные службы специальных возможностей.

Только системные и предоставленные: можно использовать только предоставленные и встроенные системные службы специальных возможностей.

13.1. Разрешенные службы специальных возможностей

Разрешенные службы специальных возможностей. Применяется только в том случае, если параметр Разрешенные службы специальных возможностей установлен на Только системные и предоставленные.

Используйте Добавить службу специальных возможностей, чтобы добавить записи, и действие удаления, чтобы их убрать.

 

14. Политика обновления системы

Настройка для управления обновлениями системы.

По умолчанию: соблюдается стандартное поведение при обновлении устройства, которое обычно требует от пользователя подтверждения системных обновлений.

Автоматически: установка выполняется автоматически сразу после появления обновления.

В окне обслуживания: автоматическая установка в рамках ежедневного окна обслуживания. Это также настраивает обновление приложений Play в пределах этого окна. Настоятельно рекомендуется для киоск-устройств, так как это единственный способ обновления приложений, постоянно закрепленных на переднем плане, через Play.

Отложить: отложить автоматическую установку на срок до 30 дней.

 

14.1. Окно обслуживания (только для режима «В окне обслуживания»)

Если для политики обновления системы установлен режим В окне обслуживания, вы можете определить ежедневное окно обслуживания с помощью полей с и по.

 

14.2. Периоды заморозки обновлений системы

Ежегодно повторяющийся период времени, в течение которого беспроводные (OTA) обновления системы откладываются для фиксации версии ОС на устройстве. Чтобы избежать бессрочной заморозки, каждый период должен быть отделен от другого как минимум 60 днями. Продолжительность каждого периода заморозки не должна превышать 90 дней.

Используйте Добавить период заморозки обновлений системы, чтобы создать записи.

 

15. По умолчанию для поставщиков учетных данных

Управляет тем, каким приложениям разрешено выступать в качестве поставщиков учетных данных на Android 14 и выше.

Запрещено (по умолчанию): приложениям, у которых не указана политика credentialProviderPolicy, запрещено выступать в качестве поставщиков учетных данных.

Запрещено, кроме системных: приложениям, у которых не указана политика credentialProviderPolicy, запрещено выступать в качестве поставщиков учетных данных, за исключением стандартных поставщиков от производителя (OEM).

Политики - Android

Местоположение и геозоны

В этом разделе сгруппированы настройки политики Android, которые управляют передачей данных о местоположении устройства, принудительным использованием геолокации и определением геозон. Используйте этот раздел, если вы хотите, чтобы Cerberus Enterprise собирала данные о местоположении устройств или обнаруживала моменты входа устройств в настроенные зоны и выхода из них.

Передача данных о местоположении

Отчет о местоположении

Включает передачу данных о геолокации устройства. Данные о местоположении, собранные с помощью этой настройки, используются на карте местопололожения в панели управления, в истории местоположений на обзоре устройств и при обработке геозон.

На устройствах, которые не находятся под полным управлением, передача данных о местоположении может по-прежнему зависеть от наличия у приложения Cerberus Enterprise необходимых разрешений на доступ к местоположению, а также от того, включены ли на самом устройстве службы геолокации.

Режим местоположения

Управляет настройками местоположения на устройствах, принадлежащих компании.

Отключение передачи местоположения

Отключает передачу местоположения для рабочих приложений. На устройствах с владельцем профиля это влияет на рабочий профиль. На устройствах с полным управлением это отключает геолокацию для всего устройства и переопределяет режим местоположения.

Автоматическое поведение при активных геозонах

Для работы активных геозон требуется передача данных о местоположении. Когда активна хотя бы одна геозона, Cerberus Enterprise автоматически обеспечивает согласованность соответствующих настроек местоположения.

Если вы попытаетесь отключить Передачу данных о местоположении при наличии одной или нескольких активных геозон, Cerberus Enterprise покажет диалоговое окно подтверждения. Если вы продолжите, все активные геозоны в политике будут деактивированы.

Список геозон

Политика может содержать до 10 геозон. Имена геозон должны быть уникальными в пределах политики.

Используйте Добавить геозону, чтобы создать новую запись. Каждая геозона содержит следующие основные поля:

Для каждой геозоны должна быть включена хотя бы одна из опций: Уведомление о входе или Уведомление о выходе.

Инструменты редактирования карты

Каждая карточка геозоны содержит предварительный просмотр области на карте. Вы можете редактировать геометрию как на карте, так и с помощью числовых полей.

Где отображаются данные геозон

Переходы геозон можно просмотреть на странице Android Обзор устройства во вкладке Геозона панели местоположения. В этой вкладке переходы отображаются на специальной карте вместе с инструментами фильтрации и списком переходов.

Политики - Android

Управление пользователями

Добавление пользователей отключено

Отключено ли добавление новых пользователей и профилей. Для устройств, где режим управления установлен в DEVICE_OWNER, это поле игнорируется, и пользователю никогда не разрешается добавлять или удалять пользователей.

 

Изменение учетных записей отключено

Отключено ли добавление или удаление учетных записей.

 

Настройка учетных данных пользователя отключена

Отключена ли настройка учетных данных пользователя.

 

Удаление пользователей отключено

Отключено ли удаление других пользователей.

 

Изменение иконки пользователя отключено

Отключена ли возможность изменения иконки пользователя.

 

Изменение обоев отключено

Отключена ли возможность изменения обоев.

 

Аутентификация при настройке рабочего аккаунта

Управляет тем, как пользователи проходят аутентификацию при настройке рабочего аккаунта. Эта опция доступна только для корпоративных версий Android, работающих с управляемым доменом Google (Google Workspace).

Во время настройки/регистрации устройства эта политика влияет на то, требуется ли вход в рабочий аккаунт, однако настройка консоли администратора Google Аутентификация с помощью Google и тип токена регистрации все еще могут требовать аутентификации.

Для уже зарегистрированных устройств эта политика применяется только в том случае, если устройство управляется через управляемый аккаунт Google Play (т. е. зарегистрировано без регистрации с аутентификацией через Google).

Для получения более подробной информации и устранения неполадок обратитесь к разделу Регистрация с аутентификацией через Google.

 

Заблокированные типы учетных записей

Типы учетных записей, которыми пользователь не может управлять. Эта опция предотвращает добавление пользователями устройств неутвержденных учетных записей.

Используйте Добавить заблокированный тип учетной записи, чтобы добавить один или несколько типов учетных записей.

Каждая запись содержит обязательное поле Тип учетной записи. Введите строку, например com.google. Удалите запись с помощью действия удаления.

Политики - Android

Личное использование

При />настройке устройства, принадлежащего компании, для работы и личного использования вы можете задать определенные правила, ограничивающие возможности использования устройства в личных целях вне рабочего профиля.

Этот раздел относится только к устройствам, принадлежащим компании, с рабочим профилем. Он не будет иметь эффекта на полностью управляемые устройства или устройства, принадлежащие частным лицам.

1. Отключение камеры

Отключена ли камера.

 

2. Отключение снимков экрана

Отключена ли возможность делать снимки экрана.

 

3. Максимальное количество дней с выключенным рабочим профилем

Управляет тем, как долго рабочий профиль может оставаться выключенным.

 

4. Обмен данными через Bluetooth

Управляет тем, разрешен ли обмен данными через Bluetooth в личном профиле устройства, принадлежащего компании и имеющего рабочий профиль.

 

5. Личное пространство (Private space)

Управляет тем, разрешено ли использование личного пространства (Private space) на устройстве.

 

6. Режим Play Store

Этот режим управляет тем, какие приложения разрешены или заблокированы для пользователя в Play Store личного профиля.

Список блокировки (по умолчанию): Доступны все приложения; любое приложение, которое не должно находиться на устройстве, должно быть явно помечено как Заблокировано в разделе Приложения.

Белый список: в личном профиле разрешена установка только тех приложений, которые явно указаны в разделе Приложения с типом установкиДоступно.

 

7. Приложения

Список приложений, которые должны быть разрешены или заблокированы в личном профиле. Поведение содержимого списка зависит от значения, установленного в параметре Режим Play Store.

Чтобы добавить новое приложение из Play Store, нажмите на значок +.

7.1. Тип установки

Варианты поведения при установке, доступные для приложений личного профиля.

Заблокировано: Приложение заблокировано, и его нельзя установить в личном профиле.

Доступно: Приложение доступно для установки в личном профиле.

 

8. Блокируемые типы учетных записей

Типы учетных записей, которыми пользователь не может управлять. Эта опция предотвращает добавление пользователями неутвержденных учетных записей в их личном профиле.

Политики - Android

Политики межпрофильного взаимодействия

Применяется только к устройствам с личным и рабочим профилями.

Копирование/вставка между профилями

Можно ли вставить текст, скопированный из одного профиля (личного или рабочего), в другой профиль.

Запрещено (по умолчанию): запрещает пользователям вставлять в личный профиль текст, скопированный из рабочего профиля. Текст, скопированный из личного профиля, можно вставлять в рабочий профиль.

Разрешено: текст, скопированный в любом профиле, можно вставить в другой профиль.

 

Обмен данными между профилями

Можно ли передавать данные из одного профиля (личного или рабочего) приложениям в другом профиле. В частности, это управляет простым обменом данными через интенты. Управление другими каналами межпрофильного взаимодействия, такими как поиск контактов, копирование/вставка
или связанные рабочие и личные приложения, настраивается отдельно.

Запрещено: запрещает передачу данных как из личного профиля в рабочий, так и из рабочего профиля в личный.

Запрещено передавать из рабочего в личный (по умолчанию): запрещает пользователям передавать данные из рабочего профиля приложениям в личном профиле. Личные данные можно передавать рабочим приложениям.

Разрешено: данные из любого профиля можно передавать в другой профиль.

 

Виджеты рабочего профиля по умолчанию

Поведение виджетов рабочего профиля по умолчанию. Если для конкретного приложения не определена политика виджетов, оно будет следовать настройкам, заданным здесь.

 

Функции приложений между профилями

Управляет тем, могут ли приложения в личном профиле вызывать функции приложений из рабочего профиля. Для этого требуется Android 16 или выше.

Эта настройка зависит от опции на уровне политики Функции приложений (в разделе «Управление приложениями»). Если для функции «Функции приложений» установлено значение Запрещено, API отклонит попытки использования функций межпрофильного взаимодействия, даже если для них установлено значение Разрешено.

 

Рабочие контакты в личном профиле

Могут ли контакты, сохраненные в рабочем профиле, отображаться при поиске контактов и входящих вызовах в личном профиле.

Разрешено (по умолчанию): позволяет контактам из рабочего профиля отображаться в личном профиле.

Запрещено: запрещает приложениям в личном профиле доступ к контактам рабочего профиля и поиск рабочих контактов.

Запрещено, кроме системных приложений: запрещает большинству приложений в личном профиле доступ к контактам рабочего профиля, за исключением стандартных системных приложений (Телефон, Сообщения и Контакты) от производителя (Android 14+).

При настройке параметра «Рабочие контакты в личном профиле» вы можете дополнительно определить список Исключенных имен пакетов. В зависимости от выбранного режима эти исключения будут работать как белый или черный список для приложений в личном профиле.

Политики - Android

Отчет о статусе

В этом разделе вы можете настроить, какие данные следует получать с устройства. Данные о статусе можно просмотреть на странице панели управления Статус устройства.

 

Отчеты по приложениям

Включены ли отчеты по приложениям. (Информация, передаваемая об установленном приложении.)

Эта опция обязательна для системы (для интеграции с сопутствующими приложениями) и всегда включена; ее нельзя отключить.

 

Включать удаленные приложения

Включаются ли удаленные приложения в отчеты по приложениям.

 

Настройки устройства

Включена ли отчетность по настройкам устройства. (Информация о настройках устройства, связанных с безопасностью.)

 

Информация о ПО

Включена ли отчетность по информации о ПО. (Информация о программном обеспечении устройства.)

 

Информация о памяти

Включена ли отчетность по памяти. (Событие, связанное с измерениями объема оперативной и постоянной памяти.)

 

Информация о сети

Включена ли отчетность по информации о сети. (Сведения о сетевом подключении устройства.)

 

Информация об экране

Включена ли отчетность по дисплеям. Данные отчетов недоступны для устройств, находящихся в личном владении, с рабочими профилями. (Информация о дисплее устройства.)

 

События управления питанием

Включена ли отчетность по событиям управления питанием. Данные отчетов недоступны для устройств, находящихся в личном владении, с рабочими профилями.

 

Статус оборудования

Включена ли отчетность по статусу оборудования. Данные отчетов недоступны для устройств, находящихся в личном владении, с рабочими профилями.

 

Свойства системы

Включена ли отчетность по свойствам системы.

 

Режим общих критериев (Common Criteria)

Включена ли отчетность по режиму общих критериев (Common Criteria).

Политики - Android

Разное

1. Отключение игры-пасхалки (Easter egg)

Отключена ли игра-пасхалка (Easter egg) в настройках.

 

2. Пропуск подсказок при первом использовании

Параметр для пропуска подсказок при первом использовании. Администратор Cerberus Enterprise может включить системную рекомендацию, чтобы приложения пропускали обучающие руководства и другие вводные подсказки при первом запуске.

 

3. Краткое сообщение службы поддержки

Сообщение, отображаемое пользователю на экране настроек в тех случаях, когда функциональность была отключена администратором. Если сообщение длиннее 200 символов, оно может быть обрезано.

 

4. Длинное сообщение службы поддержки

Сообщение, отображаемое пользователю на экране настроек администратора устройства.

 

5. Информация для экрана блокировки владельца

Информация о владельце устройства, которая будет отображаться на экране блокировки.

 

6. Действия при настройке

Действия, выполняемые в процессе настройки. Во время регистрации вы можете потребовать от пользователя открыть одно или несколько приложений, необходимых для настройки устройства.

Используйте Добавить действие при настройке, чтобы создавать записи, и действие удаления — чтобы удалять их.

6.1. Запуск приложения

Имя пакета запускаемого приложения

6.2. Заголовок

Позволяет вывести сообщение для пользователя, чтобы объяснить, почему необходимо запустить это приложение.

6.3. Описание

Позволяет вывести сообщение для пользователя, чтобы объяснить, почему необходимо запустить это приложение.

 

7. Отображение имени организации

Определяет, будет ли отображаться имя организации на устройстве (например, в качестве сообщения на экране блокировки на корпоративных устройствах).

Отображается (по умолчанию): Имя организации отображается на устройстве (поддерживается в рабочих профилях на Android 7+ и на полностью управляемых устройствах на Android 8+).

Скрыто: Имя организации скрыто на устройстве.

Политики - Android

Правила применения политик

Если устройство или рабочий профиль не соответствуют любому из перечисленных ниже параметров политики, Android Device Policy по умолчанию немедленно блокирует использование устройства или рабочего профиля:

Если устройство или рабочий профиль по-прежнему не будут соответствовать требованиям через 10 дней, Android Device Policy выполнит сброс устройства к заводским настройкам или удалит рабочий профиль.

В этом разделе вы можете переопределить стандартные правила обеспечения соответствия или добавить новые.

Правила

Список правил, определяющих поведение в случае невозможности применения определенной политики к устройству.

Используйте Добавить правило, чтобы создать новое правило. Каждую карточку правила можно удалить с помощью действия «Удалить».

Имя настройки

Политика верхнего уровня, к которой применяется правило. Например, Приложения или Требования к паролю.

Обязательно. Значение должно совпадать с поддерживаемым именем политики верхнего уровня; в противном случае поле будет помечено как недействительное.

Блокировка через количество дней

Количество дней, в течение которых политика считается не соответствующей требованиям до того, как устройство или рабочий профиль будут заблокированы. Чтобы заблокировать доступ немедленно, установите значение 0. Блокировка через количество дней должно быть меньше, чем Сброс через количество дней. Применимо только к устройствам, принадлежащим компании.

Допустимый диапазон: 0–300.

Область блокировки

Определяет область действия блокировки. Применимо только к устройствам, принадлежащим компании.

По умолчанию (новое правило): Рабочий профиль.

Рабочий профиль: Блокировка применяется только к приложениям в рабочем профиле. Приложения в личном профиле не затрагиваются.

Все устройство: Блокировка применяется ко всему устройству, включая приложения в личном профиле.

Сброс через количество дней

Количество дней, в течение которых политика считается не соответствующей требованиям до того, как устройство или рабочий профиль будут стерты.
Сброс через количество дней должно быть больше, чем Блокировка через количество дней. Применимо только к устройствам, принадлежащим компании.

Обязательно. По умолчанию (новое правило): 1.

Допустимый диапазон: 1–300.

Сохранение защиты от сброса до заводских настроек

Сохраняются ли данные защиты от сброса до заводских настроек на устройстве. Эта настройка не применяется к рабочим профилям.

По умолчанию (новое правило): включено.

Политики - Apple

Политики - Apple

Apple policies

Apple policies определяют параметры управления, которые Cerberus Enterprise применяет к устройствам Apple через MDM. Эти настройки задаются в панели управления в редакторе Apple policy.

Перед началом работы

Для управления устройствами Apple необходимо настроить Apple Management (APNs). При необходимости ознакомьтесь со страницей Настройка Apple Management (APNs).

Откройте редактор Apple Policy

В панели управления откройте Policies и нажмите Create new Apple policy. Чтобы отредактировать существующую политику Apple, нажмите на соответствующую строку в таблице политик.

Макет редактора

Редактор Apple Policy организован в виде набора разворачивающихся разделов. В верхней части страницы вы всегда можете редактировать:

Разделы политики

Ниже перечислены разделы, соответствующие панелям, доступным в редакторе Apple Policy:

Многие параметры в редакторе Apple Policy содержат всплывающие подсказки, в которых указаны требования и поддерживаемые версии ОС.

Сохранение, удаление и связанные устройства

Используйте Save policy, чтобы применить изменения. Кнопка неактивна, если нет незавершенных правок или если срок действия лицензии истек.

При редактировании существующей политики на странице также отображается действие Delete policy. В нижней части редактора может отображаться список Associated devices, чтобы вы могли видеть, сколько устройств в данный момент используют эту политику.

Следующие страницы

Политики - Apple

Apple policy: Код-пароль

Раздел Настройки код-пароля позволяет управлять требованиями к код-паролю устройства и связанными с ним правилами безопасности (например, минимальной длиной и сложностью).

Параметры

В редакторе Apple Policy параметры код-пароля настраиваются с помощью переключателей и числовых полей. Многие поля содержат всплывающие подсказки, указывающие на поддерживаемые версии ОС и требования к супервизии (supervision).

Переключатели код-пароля

Числовые поля

Политики - Apple

Apple policy: Ограничения

Разделы «Ограничения» позволяют управлять тем, какие функции ОС разрешены на управляемых устройствах Apple. В редакторе Apple Policy эти параметры представлены в виде сгруппированных панелей с множеством переключателей.

Многие ограничения поддерживаются только в определенных версиях ОС и могут требовать наличия устройств в режиме супервизии (supervision). Для получения точной информации о требованиях используйте всплывающие подсказки в панели управления.

Безопасность

iCloud

Мультимедиа

Сотовая связь

Сети

Учетные записи (ограничения)

Панель «Учетные записи» содержит как ограничения, так и (опционально) параметры конфигурации учетных записей. Переключатель ограничений управляет тем, может ли пользователь изменять системные учетные записи.

Политики - Apple

Политика Apple: Приложения и профили

В этом разделе описано, как настраивать управляемые приложения и полезную нагрузку учетной записи для устройств Apple.

Управление приложениями

Панель Управление приложениями содержит как общие ограничения, связанные с приложениями, так и список управляемых приложений.

Общие ограничения приложений

Управляемые приложения

Используйте Добавить приложение, чтобы добавить приложение в политику. Каждое управляемое приложение отображается в виде карточки. Вы можете развернуть карточку, чтобы отредактировать ее настройки, или удалить приложение с помощью действия удаления.

Учетные записи

Панель Учетные записи позволяет настраивать учетные записи, которые применяются к управляемым устройствам. Она также включает переключатель ограничений для изменения учетных записей.

Ограничение

Добавить учетные записи

Используйте Добавить аккаунт Google или Добавить почтовый аккаунт, чтобы добавить полезную нагрузку учетной записи в политику. Каждый аккаунт отображается в виде карточки с полями конфигурации.

Учетные данные пользователей

Как карточки аккаунтов Google, так и почтовых аккаунтов содержат переключатель Учетные данные пользователей. Если он включен, система применяет учетные данные на уровне каждого пользователя. Если он отключен, вы указываете данные аккаунта непосредственно в политике.

Поля аккаунта Google

Поля почтового аккаунта

Почтовые аккаунты включают поля идентификации, а также настройки входящего и исходящего серверов. Имена хостов являются обязательными.

Входящий сервер

Исходящий сервер

Параметры S/MIME

Для почтовых аккаунтов вы также можете настроить параметры шифрования и подписи S/MIME.

Шифрование

Подпись

Параметры учетной записи и ограничений включают всплывающие подсказки в панели управления, которые содержат информацию о предварительных требованиях и поддерживаемых версиях ОС.

Статус устройства

Статус устройства

Обзор устройства

Откройте устройство из раздела Панель управленияУстройства, нажав на строку устройства. В заголовке страницы указаны Модель устройства (если доступно) и внутренний ID.

Исторические данные в сравнении с текущей регистрацией

Если у устройства имеется несколько регистраций, Cerberus Enterprise может отображать запись в режиме только для чтения. В этом случае на странице отображается баннер Исторические данные и кнопка возврата к текущим данным регистрации.

Верхние поля

Верхний раздел содержит сводную информацию об идентификации, назначении и состоянии управления устройством. Некоторые поля специфичны для конкретной платформы и отображаются только для устройств Android или Apple.

Некоторые данные и панели доступны только в том случае, если соответствующая категория включена в политике устройства. Для получения дополнительной информации ознакомьтесь со страницами Отчетность о состоянии и Местоположение и геозоны.

Панели

Редактор устройства организован в виде разворачивающихся разделов. В зависимости от платформы и состояния вы можете увидеть одну или несколько из следующих панелей:

Вкладки панели местоположения

В панели Карта местоположения теперь используются вкладки, чтобы история местоположения и переходы через геозоны оставались разделенными.

Для получения полной информации о работе этих вкладок см. Карта местоположения.

Действия

В нижней части страницы вы можете обновить данные и выполнить действия, зависящие от платформы, состояния устройства и статуса лицензии.

Статус устройства

Команды

В редакторе устройств есть панель Команды для отправки удаленных команд управляемому устройству. Доступные команды зависят от платформы (Android или Apple) и состояния устройства.

Если устройство в данный момент не в сети, команда будет доставлена и выполнена сразу после подключения устройства к Интернету. Для команд Android вы можете установить параметр Длительность, чтобы определить, как долго недоставленная команда будет оставаться действительной.

Команды Android (AMAPI)

Для устройств Android панель «Команды» включает поле Длительность (значение + единица измерения) и селектор Команда. Некоторые команды требуют дополнительных параметров, которые появляются динамически при выборе команды.

Общие параметры

Команды с дополнительными полями

История команд

Ниже элементов управления отправкой в панели управления отображается таблица истории команд. Таблица поддерживает сортировку и постраничную навигацию. Некоторые строки можно развернуть, чтобы просмотреть дополнительные параметры или детали выполнения.

Колонки истории команд Android

Команды Apple (MDM)

Для устройств Apple в панели «Команды» предусмотрен селектор Команда. Некоторые команды требуют дополнительных данных. Как и в случае с Android, ниже отображается таблица истории команд.

Команды с дополнительными полями

Колонки истории команд Apple

Обновить

Используйте действие «Обновить» в панели команд, чтобы перезагрузить историю команд.

Статус устройства

Карта местоположения

На этой странице описаны инструменты для работы с местоположением конкретных устройств, доступные в разделе Обзор устройства. Панель содержит вкладку Местоположение для истории перемещений и, для устройств Android, вкладку Геозоны для отслеживания переходов через геозоны.

Предварительные условия

Данные о местоположении устройства отображаются только в том случае, если в политике устройства включена передача данных о местоположении. Чтобы включить эту функцию, откройте политику и перейдите в раздел Местоположение и геозоныПередавать местоположение. Подробнее см. в разделе Местоположение и геозоны.

На устройствах, которые не находятся под полным управлением, передача данных о местоположении может по-прежнему зависеть от наличия у приложения Cerberus Enterprise необходимых разрешений на доступ к местоположению, а также от того, включены ли на самом устройстве службы геолокации.

Чтобы узнать подробнее о глобальной карте с несколькими устройствами, доступной в панели управления, см.: Карта местоположения в панели управления.

Состояние загрузки и отсутствие данных

Вкладка «Местоположение»

Откройте вкладку Местоположение, чтобы просмотреть историю перемещений одного устройства. Доступные фильтры включают последнее известное местоположение, последние временные интервалы, произвольный диапазон дат и живое отслеживание.

Подробная информация о маркере

При нажатии на маркер местоположения открывается информационное окно, в котором содержатся:

Круг точности

Когда информационное окно открыто, вокруг маркера отображается круг точности. Радиус круга соответствует переданной точности (в метрах). При закрытии информационного окна круг скрывается.

Живое отслеживание

В режиме просмотра истории устройства выбор фильтра Живое отслеживание инициирует запрос на отслеживание конкретного устройства в режиме реального времени. Перед началом запроса Cerberus Enterprise запросит подтверждение.

Вкладка «Геозоны»

На устройствах Android на второй вкладке отображаются переходы через геозоны, созданные на основе геозон, определенных в назначенной политике. Эта вкладка доступна, если для устройства существуют данные о геозонах.

Подробная информация о переходе через геозону

При выборе перехода на карте отображаются его подробности, а соответствующая запись в списке подсвечивается. Если данные доступны, Cerberus Enterprise также показывает координаты устройства и переданную точность для этого перехода.

Карта местоположения в панели управления

Карта местоположения в панели управления обеспечивает глобальный обзор последних известных координат устройств, передающих данные о своем местоположении. Откройте ее из раздела Панель управления, чтобы просмотреть положение нескольких устройств на одной карте Google.

Предварительные условия

Устройство отображается на этой карте только в том случае, если в назначенной ему политике включена передача данных о местоположении. Чтобы включить эту функцию, откройте политику и перейдите в раздел Местоположение и геозоныПередавать местоположение. Подробнее см. в разделе Местоположение и геозоны.

На устройствах, которые не находятся под полным управлением, передача данных о местоположении может по-прежнему зависеть от наличия у приложения Cerberus Enterprise необходимых разрешений на доступ к местоположению, а также от того, включены ли на самом устройстве службы геолокации.

Чтобы узнать подробнее об истории перемещений каждого устройства и переходах через геозоны, доступных в редакторе устройств, см.: Карта местоположения.

Состояние загрузки и отсутствие данных

Маркеры и кластеры

Каждое устройство с доступными данными о местоположении отображается в виде маркера. Когда много устройств находятся близко друг к другу, маркеры автоматически объединяются в кластеры для удобства чтения карты.

Устройства, по которым в данный момент ведется отслеживание в реальном времени, выделяются анимированным маркером, чтобы их было легче заметить на карте.

Управление картой

Когда на карте отображаются местоположения устройств, Cerberus Enterprise показывает кнопки действий в правом верхнем углу карты.

Подробная информация о маркере

Нажатие на маркер открывает информационное окно, в котором содержатся:

Идентификатор устройства в информационном окне является ссылкой, которая открывает соответствующую страницу Обзор устройства.

Действия в информационном окне

Каждое информационное окно также содержит кнопки действий для выбранного устройства.

Круг точности

Когда маркер выбран, на карте вокруг местоположения отображается круг точности. Радиус круга соответствует переданной точности.

Поведение живого отслеживания

Запуск живого отслеживания из информационного окна отправляет запрос на отслеживание в реальном времени на это устройство. После этого Cerberus Enterprise будет автоматически обновлять карту, пока сессия активна.

Частные приложения

В этом разделе панели управления вы можете загружать собственные частные Android-приложения или создавать веб-приложения для распространения на ваших устройствах.

Единственные необходимые данные — это название приложения и APK-файл. Частные приложения автоматически одобряются для вашей организации и обычно готовы к распространению в течение 10 минут. Вы можете загружать до 15 частных приложений в день. Обратите внимание, что веб-приложения также учитываются в этом лимите.

При первой публикации частного приложения вам потребуется указать адрес электронной почты для получения уведомлений от консоли Play о ваших приложениях и аккаунте разработчика Google Play. Кроме того, управляемый Play автоматически создает аккаунт разработчика Play от имени вашей организации. Регистрационный взнос за этот аккаунт платить не нужно.

Частные приложения, опубликованные через iframe:

Для получения более подробной информации, пожалуйста, посетите Справку по управляемому Google Play

Управление сертификатами

Панель управления включает раздел Сертификаты для импорта, просмотра и удаления сертификатов. Нажатие на строку с сертификатом открывает редактор сертификатов.

Список сертификатов

Сертификаты отображаются в таблице с возможностью сортировки и постраничного просмотра. Список включает как клиентские сертификаты, так и центры сертификации (CA).

Фильтры

В верхней части страницы вы можете включить фильтры, используя список тегов. Некоторые фильтры являются взаимоисключающими.

Колонки таблицы

Действия

Импорт сертификатов

Чтобы импортировать сертификаты, нажмите Импорт сертификата и выберите один или несколько файлов. Поддерживаемые форматы указаны в подсказке кнопки импорта.

Клиенты

Поддерживаемый формат: Base64-кодированный PKCS#12 (.p12 / .pfx).

Клиентские сертификаты позволяют идентифицировать пользователя или устройство в корпоративной сети. Клиентские сертификаты могут быть связаны с конкретным пользователем.

Каждому клиентскому сертификату можно (по желанию) назначить конкретного пользователя: это позволяет развертывать одну и ту же конфигурацию Wi‑Fi EAP на множестве устройств. Это можно сделать в разделе настройка сети в политике, используя опцию Учетные данные EAP от пользователей.

Кроме того, вы можете назначить сертификат пользователю со страницы Пользователи.

Центры сертификации (CA)

Поддерживаемые форматы: Base64-кодированный X.509 (.crt / .pem / .cer / .der).

Сертификаты CA идентифицируют центр сертификации и указывают устройству, что всем сертификатам, выпущенным этим центром, следует доверять. Панель управления проверяет, является ли импортированный сертификат X.509 сертификатом центра сертификации (CA).

Редактор сертификатов

При открытии сертификата в редакторе отображаются его основные поля и панель Информация о сертификате, доступная только для чтения.

Основные поля

Связь с пользователем (клиентские сертификаты)

Для клиентских сертификатов в редакторе отображается поле Пользователь. Если пользователь назначен, меню позволяет Открыть пользователя, Сменить пользователя или Отвязать пользователя. Если пользователь не назначен, вы можете назначить его с помощью кнопки действий пользователя.

Удаление сертификата

Действие удаления недоступно, если сертификат в данный момент привязан к пользователю или используется в политиках. Оно также может быть недоступно, если срок действия лицензии истек.

Правила событий

Правила событий позволяют автоматизировать реакцию на поддерживаемые события устройств. Откройте Панель управленияПравила событий, чтобы создать правила для отслеживания событий регистрации, удаления из регистрации, несоответствия требованиям и геозоны Android, а затем автоматически запускать одно или несколько действий.

Возможности правил событий

Каждое правило сочетает в себе объект, событие и одно или два действия. Поддерживаемые объекты: Все устройства, Конкретное устройство и Политика.

Правило может содержать только действие с электронной почтой, только действие с устройством или одно действие с устройством плюс одно действие с электронной почтой. Если настроены оба действия, Cerberus Enterprise сначала выполняет действие с устройством, а затем — действие с электронной почтой.

Правила платформы и совместимости

Доступные события и действия зависят от выбранного объекта и платформы, которая к нему применяется.

Список правил

Список правил событий — это основная страница управления этой функцией. Она включает в себя таблицу с возможностью поиска, содержащую название правила, объект, событие, действия, платформу, состояние включения и время обновления.

Редактор правил

Редактор разделен на разделы Общие, Область действия, Триггер и Действия. В нижней части страницы закрепленная панель действий позволяет основным кнопкам оставаться видимыми при прокрутке.

Общие

Область действия

Область действия определяет, к каким устройствам может применяться правило. В редакторе также отображается определенная платформа и, при наличии, контекст действующей политики.

Триггер

Раздел триггера автоматически фильтрует доступные события на основе выбранной области действия и платформы.

Триггеры геозоны

Правила входа и выхода из геозоны поддерживаются только для Android и требуют наличия действующего контекста политики Android. Для получения информации о передаче данных о местоположении и определении геозон см. Местоположение и геозоны.

Действия

Раздел действий позволяет выбрать необязательное действие с устройством и необязательное уведомление по электронной почте. Интерфейс автоматически скрывает неподдерживаемые комбинации.

Получатели электронных писем

Действия с электронной почтой всегда включают пользователей организации с ролью ADMIN. Если управление организацией осуществляется через многоарендную среду (multi-tenancy), вы можете расширить список получателей, включив в него менеджеров MT.

Поведение при выполнении

Правила событий запускаются немедленно, как только Cerberus Enterprise получает поддерживаемое событие через интеграции с бэкендом. Отключенные правила пропускаются автоматически.

Успешные и неудачные выполнения записываются в системный журнал с понятными человеку сообщениями.

Устройства

Устройства

Устройства

Раздел Устройства в панели управления (Панель управленияУстройства) содержит список всех зарегистрированных устройств в вашей учетной записи. На этой странице вы можете фильтровать список, открывать записи устройств и выполнять такие действия, как отключение или удаление из регистрации.

Фильтры

В верхней части страницы вы можете включить один или несколько фильтров, используя список тегов (чипов). Выбранные теги представляют собой текущие активные фильтры.

Доступные фильтры

Поиск

При включении фильтра Поиск появится текстовое поле с подписью ID, модель или пользователь. Список будет обновляться автоматически после того, как вы закончите ввод.

Таблица устройств

Устройства отображаются в сортируемой таблице с постраничным выводом. Нажатие на строку открывает редактор устройства.

Столбцы

Обновление и пагинация

Действия с устройствами

Каждая строка с устройством может содержать доступные действия в зависимости от платформы и состояния устройства. Некоторые действия могут быть отключены, если срок действия вашей лицензии истек или она была аннулирована.

Действия для каждого устройства

Множественный выбор строк

Вы можете включить множественный выбор строк с помощью панели действий под таблицей. После включения вы сможете выбирать несколько строк и применять массовые действия (отключение, включение, удаление из регистрации или удаление), в зависимости от того, какие устройства выбраны.

Синхронизация с Apple Business Manager

Если настроено управление Apple и присутствует токен автоматической регистрации устройств, на странице может появиться действие Синхронизация из ABM для импорта устройств из Apple Business Manager.

Регистрация устройства

Используйте Регистрация устройства, чтобы открыть раздел токенов регистрации и начать регистрацию нового устройства.

Пользователи

Пользователи

Пользователи

Раздел Пользователи в панели управления (Панель управленияПользователи) содержит список всех пользователей, настроенных в вашей учетной записи. На этой странице вы можете искать пользователей, открывать редактор пользователей, создавать новых пользователей и удалять тех, кто в данный момент не связан с устройствами.

Поиск

В верхней части страницы находится поле поиска с меткой Поиск и текстом-подсказкой Имя, имя пользователя или email. Список обновляется автоматически после завершения ввода.

Таблица пользователей

Пользователи отображаются в таблице с возможностью сортировки и пагинации. Нажатие на строку открывает редактор пользователя.

Колонки

Обновление и пагинация

Действия с пользователями

Создать нового пользователя

Используйте Создать нового пользователя, чтобы открыть диалоговое окно создания пользователя. Это действие недоступно, если срок действия вашей лицензии истек.

Синхронизация из Google Workspace

Если для вашей учетной записи доступна синхронизация с каталогом Google Workspace, на странице отображается раздел Синхронизация из Google Workspace. При запуске синхронизации во время выполнения запроса отображается индикатор выполнения.

Удаление пользователя

Вы можете удалить пользователя только в том случае, если он не связан ни с одним устройством (значение в колонке Устройства должно быть 0). Действие удаления недоступно, если срок действия вашей лицензии истек или она была аннулирована.

Множественный выбор и массовое удаление

В панели действий под таблицей вы можете включить режим множественного выбора. В этом режиме можно выбрать нескольких пользователей и удалить их массово.

Сертификаты Wi-Fi и EAP

Колонка Сертификат Wi-Fi показывает, назначен ли пользователю сертификат в данный момент. Сертификаты пользователей обычно используются для конфигураций Wi‑Fi EAP (например, EAP‑TLS). Для информации о назначении и управлении сертификатами см. раздел Управление сертификатами.

Пользователи

Редактор пользователей

Редактор пользователей доступен в разделе Панель управленияПользователи при нажатии на строку пользователя. Он позволяет редактировать данные пользователя, настраивать учетные данные Wi‑Fi EAP для каждого пользователя и просматривать связанные с пользователем устройства.

Данные пользователя

Верхний раздел содержит основные поля пользователя. Некоторые поля являются обязательными, и редактор отображает ошибки валидации, если они не заполнены или содержат некорректные данные.

Политика по умолчанию для аутентификации Google

В средах Google Workspace с включенной аутентификацией Google редактор может отображать раздел Политика по умолчанию для аутентификации Google. Это политика, применяемая к устройствам, зарегистрированным данным пользователем с помощью аутентификации Google.

Учетные данные Wi‑Fi EAP

Раздел Учетные данные Wi‑Fi EAP используется для настройки индивидуальных учетных данных пользователя, которые автоматически устанавливаются на устройства пользователя, если назначенная ему политика содержит конфигурацию Wi‑Fi EAP, требующую их наличия. Конфигурация Wi‑Fi EAP является частью раздела политики Android настройка сети.

Клиентский сертификат

Вы можете по желанию назначить пользователю клиентский сертификат. Если сертификат назначен, он отображается в поле Клиентский сертификат, а в меню доступны соответствующие действия. Если сертификат не назначен, в поле отображается надпись Сертификат не назначен, и вы можете назначить его.

Для импорта и управления сертификатами см. раздел Управление сертификатами.

Идентификатор, анонимный идентификатор и пароль

Связанные устройства

Раздел Связанные устройства отображает список устройств, привязанных к пользователю в данный момент. Если у пользователя есть одно или несколько связанных устройств, его удаление невозможно.

Сохранение и удаление

Предупреждение о несохраненных изменениях

Если у вас есть несохраненные изменения и вы попытаетесь покинуть страницу, панель управления спросит, хотите ли вы отменить изменения.

Учетная запись

Учетная запись

Настройки

Страница Настройки (Панель управленияНастройки) содержит сводную информацию об учетной записи и лицензии, а также позволяет управлять биллингом, настройкой платформы (Android Management и Apple Management) и необязательными интеграциями с каталогами/токенами.

Баннер лицензии (истекает / истекла)

Когда срок действия вашей лицензии истекает, она истекла или аннулирована, в верхней части страницы отображается заметный баннер. В зависимости от состояния вашей подписки, он предлагает либо действие Управление биллингом (портал клиента Stripe), либо действие Купить лицензию.

Когда срок действия лицензии истекает, возможности учетной записи ограничиваются только выводом устройств из системы. По истечении льготного периода учетная запись может быть аннулирована, а устройства могут быть выведены из системы автоматически.

Информация об учетной записи

Карточка Информация об учетной записи содержит поля, доступные только для чтения:

Смена пароля

Если вы не вошли через Google или Apple, в карточке также отображается действие Сменить пароль. Это откроет диалоговое окно для продолжения процесса смены пароля.

Информация о лицензии

Карточка Информация о лицензии отображает текущий статус лицензии и лимит устройств. Она также позволяет связаться с отделом продаж, управлять биллингом или купить лицензию.

Android Management

Карточка Android Management отображает статус Android Management для вашей организации. Если Android Management еще не настроен, в карточке доступно действие Настроить Android Management, которое запускает процесс настройки.

Состояние настройки

Когда настроен Android Management, в карточке может отображаться:

Apple Device Management

Карточка Apple Device Management отображает статус управления устройствами Apple (MDM) для вашей организации. Если управление Apple еще не настроено, в карточке доступно действие Настроить Apple Management, которое запускает процесс настройки.

Состояние настройки

Когда настроено управление Apple, в карточке может отображаться:

Для управления устройствами Apple требуется настройка сертификата APNs. Если это необходимо, см.: Настройка Apple Management (APNs).

Настройки и конфиденциальность

Карточка Настройки и конфиденциальность содержит переключатель маркетинговых предпочтений и ссылки на Условия использования и Политику конфиденциальности. Используйте Сохранить настройки, чтобы применить изменения (во время сохранения отображается индикатор выполнения).

Отправить отзыв

Когда для учетной записи включены подписки, на странице может отображаться карточка Отправить отзыв со ссылками на: Запросить новую функцию и внешние платформы для отзывов.

Встроенные инструкции по настройке и продлению

В нижней части страницы в панели управления могут отображаться разворачивающиеся панели с инструкциями, в зависимости от текущего состояния (например, когда отсутствует или истекает срок действия сертификата/токена).

Продление Apple Push Certificate (APNs)

Когда срок действия сертификата APNs подходит к концу или он уже истек, на странице отображается панель с шагами по загрузке CSR-запроса, продлению сертификата на портале Apple и загрузке нового сертификата в Cerberus Enterprise.

Синхронизация с Apple Business Manager (ABM)

Когда токен ABM отсутствует, срок его действия истек или подходит к концу, на странице отображается панель с шагами по загрузке токена из Apple Business Manager и его загрузке в Cerberus Enterprise.

Синхронизация с Apple Volume Purchase Program (VPP)

Когда токен VPP отсутствует, срок его действия истек или подходит к концу, на странице отображается панель с шагами по загрузке токена контента из Apple Business Manager и его загрузке в Cerberus Enterprise.

Синхронизация с Google Workspace

Когда синхронизация с каталогом Google Workspace не настроена, на странице отображается панель, в которой объясняется суть интеграции и предоставляется кнопка авторизации. В ней также указана необходимая область доступа Google OAuth: https://www.googleapis.com/auth/admin.directory.user.readonly.

Для первоначальной настройки Android см.: Настройка Android Management.

Мультитенантность

Мультитенантность

Обзор многоарендности (multi-tenancy)

Раздел Многоарендность (multi-tenancy) доступен для аккаунтов MSP и менеджеров предприятий, которые управляют несколькими клиентскими предприятиями через одну учетную запись. В этой главе объясняются модель области действия предприятия, переключение между предприятиями, администрирование управляемых предприятий и субаккаунты.

Чтобы запросить аккаунт с несколькими арендаторами (multi-tenancy), свяжитесь с enterprise@cerberusapp.com.

Основные концепции

Модель навигации

Когда контекст предприятия не выбран, боковая навигация отображает области multi-tenancy, такие как Предприятия и, для основных аккаунтов, Субаккаунты. После входа в предприятие панель управления переключается на стандартную навигацию для одного предприятия (Главная, Пользователи, Устройства, Регистрация, Политики и т. д.).

Владение и делегирование

У каждого управляемого предприятия есть владелец. Владелец всегда может получить доступ к этому предприятию. Аккаунты менеджеров, не являющиеся владельцами, могут получить доступ к предприятию только в том случае, если предоставлено делегирование.

Статус владельца и делегирования отображается непосредственно на карточках предприятий, чтобы сделать область доступа явной перед входом в предприятие.

Действия с лицензиями и биллингом

Представления multi-tenancy отображают статус лицензии, лимиты устройств и действия по биллингу предприятия. В зависимости от состояния подписки предприятия и ваших прав доступа, карточка может показывать Управление оплатой или Купить лицензию.

Для предприятий, созданных через аккаунт с несколькими арендаторами (multi-tenancy), управление лицензиями осуществляется пользователями multi-tenancy. Основной аккаунт всегда может управлять лицензиями, в то время как субаккаунты могут управлять лицензиями только в том случае, если основной аккаунт включит для этого субаккаунта разрешение Управление лицензией.

Страницы в этой главе

Мультитенантность

Управляемые организации

Страница Организации (Панель управленияОрганизации) является центром управления доступом к управляемым организациям. Она содержит список всех организаций, доступных вашей многоарендной учетной записи, и позволяет фильтровать их, проверять права владения/делегирования, переходить в контекст организации и создавать новые управляемые организации (только для основных учетных записей).

Поиск и фильтры

Карточки предприятий

Каждая карточка предприятия содержит основные метаданные управления:

Недавно выбранные предприятия

Предприятия, к которым вы недавно обращались, закреплены в разделе Недавно выбранные для ускорения частого переключения между контекстами.

Действия с предприятием

Кто может управлять лицензиями

Для предприятий, созданных через аккаунт с несколькими арендаторами (multi-tenancy), управление лицензиями осуществляется пользователями multi-tenancy. Основной аккаунт всегда может управлять биллингом и действиями с лицензиями для этих предприятий.

Субаккаунты могут управлять биллингом и действиями с лицензиями только в том случае, если основной аккаунт предоставляет разрешение Управление лицензией на странице Субаккаунты.

Создать управляемое предприятие

Основные аккаунты с несколькими арендаторами могут расширить возможности, выбрав Создать управляемое предприятие в нижней области действий.

Режим владения

Квота предприятия

Если аккаунт достигнет установленной квоты предприятий, создание будет заблокировано, а в форме появится сообщение с контактами службы поддержки и указанием текущего и максимально допустимого количества предприятий.

Когда квота предприятий будет достигнута, вы не сможете создавать новые управляемые предприятия до тех пор, пока ваш лимит не будет увеличен.

Мультитенантность

Переключение между организациями

Переключатель организаций в верхней панели инструментов позволяет пользователям в многоарендной среде переключаться между делегированными организациями без выхода из системы. Он доступен, когда можно выбрать как минимум одну организацию.

Поведение переключателя

Выход из организации

Меню переключателя включает пункт Выход из организации, который очищает текущий контекст организации и возвращает вас в общее рабочее пространство многоарендной среды.

Правила сброса контекста

Переключение организации или выход из нее сбрасывают область действия панели управления. Страницы и данные, специфичные для организации, обновляются под новый выбранный контекст, а видимость меню адаптируется в зависимости от того, выбрана ли организация в данный момент.

Используйте переключатель для быстрого изменения операционного контекста, но перед выполнением критически важных действий (таких как обновление политик или команды устройствам) обязательно проверяйте выбранное название организации.

Мультитенантность

Субаккаунты

Страница Субаккаунты (Панель управленияСубаккаунты) доступна основным аккаунтам с несколькими арендаторами. Она позволяет создавать пользователей-менеджеров с правами делегирования, назначать управляемые предприятия, управлять правами доступа к биллингу и поддерживать учетные данные субаккаунтов.

Список субаккаунтов

Каждая карточка субаккаунта содержит сведения о владельце и средства управления:

Назначение управляемых предприятий

Назначение предприятий редактируется через поле множественного выбора Управляемые предприятия. После закрытия селектора после внесения изменений панель управления запросит подтверждение перед сохранением обновлений.

Разрешение на управление лицензиями

Переключатель Управление лицензией определяет, может ли субаккаунт получать доступ к действиям по управлению биллингом и лицензиями предприятия.

Для предприятий, созданных через аккаунт с несколькими арендаторами (multi-tenancy), основной аккаунт всегда обладает правами на управление лицензиями. Субаккаунты получают права на управление лицензиями только в том случае, если основной аккаунт включит соответствующий переключатель.

Сброс пароля

Сброс пароля создает новый временный пароль и отправляет его субаккаунту по электронной почте после подтверждения.

Удаление субаккаунта

Удаление субаккаунта требует подтверждения и навсегда аннулирует делегированный доступ для этого аккаунта.

Создать субаккаунт

Используйте нижнюю панель действий Создать субаккаунт, чтобы добавить нового делегированного менеджера.

Аналитика

Вот несколько статей, в которых подробно рассматривается, как MDM может помочь вашему бизнесу:

Что такое режим киоска? Руководство по блокировке Android и Apple устройств для бизнеса

Режим киоска превращает обычные телефоны и планшеты в специализированные бизнес-инструменты. Cerberus Enterprise помогает организациям ограничивать использование устройств одним приложением или небольшим набором одобренных приложений для таких сценариев, как розничные POS-терминалы, регистрация гостей или навигация автопарка. При этом такие специализированные устройства становится проще защищать, поддерживать и управлять ими в масштабах всей компании.

Как выбрать правильное MDM-решение: чек-лист из 7 пунктов для малого бизнеса

Выбор MDM на поздних этапах процесса закупки проходит легче, если сравнение остается практическим. Этот чек-лист поможет малому бизнесу оценить поставщиков по семи критериям, которые обычно имеют наибольшее значение при реальном внедрении: безопасность, поддержка Android и Apple, простота использования для небольших команд, масштабируемость, границы конфиденциальности, совокупная стоимость владения и удобство ежедневной поддержки.

Создание безопасного и продуктивного цифрового класса: руководство по использованию MDM в школах (K-12)

Устройства под управлением школы работают эффективнее всего, когда их использование сосредоточено исключительно на обучении. Cerberus Enterprise помогает организациям K-12 удерживать внимание учащихся на учебе с помощью управления приложениями, ограничений в стиле киоска, стандартизированных настроек для общих или арендованных устройств, а также функций удаленного восстановления, которые снижают риск потери, нецелевого использования и отвлечения от занятий.

Оснащение выездных технических специалистов: как MDM повышает эффективность и безопасность на объектах

Выездные технические специалисты зависят от мобильных устройств при работе на объектах: они используют их для работы с графиками, сервисными заметками, техническими справочниками, историей клиентов и обновлениями по заданиям. Cerberus Enterprise помогает поддерживать готовность этих устройств с помощью управления приложениями, стандартизированных моделей устройств, команд удаленной поддержки и возможности отслеживания местоположения, что может улучшить координацию выездов и одновременно повысить безопасность в полевых условиях.

Больше, чем просто карта: использование MDM для эффективного управления автопарком и безопасности водителей

Работа автопарка зависит от мобильных устройств: они используются для навигации, диспетчеризации, обмена сообщениями, ведения журналов и выполнения задач на местах. Cerberus Enterprise помогает удерживать фокус использования этих устройств на утвержденных рабочих процессах с помощью управления приложениями, контроля в режиме киоска и специализированных устройств, политик безопасной связи, удаленного устранения неполадок и контроля местоположения, что позволяет сократить время простоя и обеспечить более безопасную эксплуатацию транспорта.

Как геозоны, отслеживание в реальном времени и карты местоположения улучшают работу предприятия

Функции с учетом местоположения в Cerberus Enterprise помогают организациям перейти от простого отслеживания устройств к более практичному операционному контролю. Периодическая передача данных о местоположении, отслеживание в реальном времени, переходы через геозоны и интерактивные карты могут быть полезны для логистики, выездного обслуживания, здравоохранения, розничной торговли, строительства и других распределенных команд, которым необходим лучший контроль над тем, где ведутся работы и когда устройства входят в важные зоны или покидают их.

Как многоарендная среда (multi-tenancy) помогает MSP масштабировать услуги MDM и создавать новые источники дохода

Многоарендная среда (multi-tenancy) позволяет MSP, реселлерам и многофилиальным организациям управлять несколькими предприятиями из одной учетной записи Cerberus Enterprise, сохраняя при этом изоляцию каждой среды. Эта модель снижает операционные сложности, улучшает масштабируемость услуг и поддерживает делегированный доступ через субсчета и четко определенное администрирование под контролем клиентов. Она также открывает более широкие возможности для бизнеса поставщикам, которые хотят объединить лицензирование ПО с услугами по внедрению, поддержке, комплаенсу и управлению мобильностью.

Повышение операционной эффективности предприятия с помощью MDM-решений

Управление мобильными устройствами (MDM) централизует контроль над корпоративными устройствами, упрощая процессы регистрации, настройки и обслуживания. Автоматизированная подготовка и массовые операции сокращают объем ручного труда ИТ-специалистов и обеспечивают единообразие политик на всех устройствах. Функции безопасности, такие как шифрование, мониторинг соответствия требованиям и удаленная очистка данных, защищают корпоративную информацию. В целом, MDM повышает производительность, одновременно снижая затраты на поддержку и операционную сложность.

Усовершенствованная безопасность при управлении Android Enterprise

Android Enterprise использует рабочий профиль для изоляции корпоративных приложений и данных от личного контента на том же устройстве. Такая контейнеризация создает отдельные зашифрованные среды, которыми ИТ-администраторы управляют независимо. Политики безопасности позволяют контролировать обмен корпоративными данными, не затрагивая личные приложения. Архитектура защищает бизнес-данные даже в случае компрометации личных приложений.

MDM для Apple iPhone и автоматическая регистрация

Фреймворк MDM от Apple позволяет осуществлять централизованное управление iPhone в корпоративной среде. В сочетании с Apple Business Manager устройства могут автоматически регистрироваться и настраиваться при первом включении. Администраторы могут незаметно для пользователя устанавливать и настраивать корпоративные приложения, применять настройки безопасности и контролировать соответствие требованиям. Такая автоматизация обеспечивает единообразие конфигурации устройств и снижает количество ошибок при настройке.

Понимание управления мобильными устройствами (MDM)

Управление мобильными устройствами (MDM) предоставляет централизованную платформу для мониторинга, защиты и контроля мобильных устройств, имеющих доступ к корпоративным системам. Основные возможности включают применение политик безопасности, управление приложениями, а также удаленную блокировку или очистку данных на утерянных устройствах. MDM помогает защищать корпоративные данные, обеспечивая при этом соответствие устройств установленным требованиям. Это позволяет организациям любого размера безопасно управлять растущим числом мобильных сотрудников.

Модели развертывания корпоративных устройств

Организации могут использовать различные модели владения устройствами, такие как BYOD, CYOD, COPE, COBO и COSU. Каждая модель по-разному балансирует между стоимостью, гибкостью для пользователя и контролем безопасности. BYOD ставит в приоритет удобство пользователя, тогда как COBO и COSU максимизируют корпоративный контроль и безопасность. Выбор правильной модели зависит от нормативных требований, потребностей персонала и возможностей ИТ-управления.

MDM против EMM против UEM

MDM фокусируется на управлении и защите мобильных устройств с помощью применения политик, контроля конфигурации и удаленного управления. EMM расширяет эти возможности, включая управление приложениями и контентом, в то время как UEM стремится управлять всеми конечными точками, включая ноутбуки и настольные компьютеры. Для многих малых и средних предприятий полные пакеты EMM или UEM создают излишнюю сложность. На практике надежных возможностей MDM часто достаточно для решения большинства задач по управлению мобильными устройствами.

MDM на личных телефонах и конфиденциальность сотрудников

Современные системы MDM используют контейнеризацию для разделения рабочих и личных данных на устройствах, принадлежащих сотрудникам. Работодатели могут управлять только рабочей средой, включая корпоративные приложения и информацию о соответствии устройств требованиям. Личные данные, такие как фотографии, сообщения и история браузера, остаются недоступными для компании. Такое техническое разделение позволяет реализовать безопасные программы BYOD, сохраняя при этом конфиденциальность сотрудников.

ROI и бизнес-ценность MDM

MDM следует рассматривать как стратегическую инвестицию, а не просто как статью расходов на безопасность. Она приносит финансовую отдачу за счет снижения потерь устройств, уменьшения затрат на ИТ-поддержку и повышения операционной эффективности. Автоматизированное управление также повышает продуктивность сотрудников и сокращает время простоя. Кроме того, усиленная безопасность снижает риски и финансовые последствия утечек данных.

Управление устройствами в соответствии со стандартами HIPAA

Организации здравоохранения должны защищать электронные данные пациентов в соответствии с требованиями безопасности HIPAA. MDM помогает обеспечить шифрование, контроль аутентификации, безопасную передачу данных и ведение подробных журналов аудита. Она также позволяет осуществлять удаленную очистку данных и централизованное применение политик на устройствах, имеющих доступ к медицинским системам. Эти меры контроля снижают риски несоблюдения стандартов, позволяя при этом использовать мобильные рабочие процессы в сфере здравоохранения.

MDM для розничной торговли: операции и безопасность

Розничные организации полагаются на мобильные устройства для работы POS-систем, управления запасами и проведения операций в магазинах. MDM гарантирует, что эти устройства останутся защищенными, обновленными и соответствующими таким стандартам, как PCI-DSS. Централизованное управление сокращает время простоя и упрощает развертывание устройств в различных точках продаж. Результатом является повышение операционной эффективности и снижение риска инцидентов безопасности, связанных с платежами.