Android 11 中企业的新增功能

本页概述了 Android 11 中引入的新企业 API、功能和行为更改。

工作配置文件

Android 11 为工作配置文件提供了以下新功能。

公司自有设备的工作配置文件增强功能

Android 11 增强了对公司自有设备上工作配置文件的支持。如果使用 Android 10 中添加的预配置工具通过设置向导添加工作配置文件，则设备将被识别为公司自有设备，并将为设备策略控制器 (DPC) 提供更广泛的资产管理和设备安全策略。这些功能使公司自有设备上工作和个人用途的管理更加轻松，同时保持工作配置文件的隐私保护。

如果使用任何其他方法将工作配置文件添加到设备，Android 11 会将设备识别为个人自有设备。个人自有设备上工作配置文件可用的行为和功能保持不变。

升级到 Android 11 的设备

完全托管设备上的工作配置文件将升级到 Android 11 上增强的的配置文件体验。对于客户而言，这意味着设备将获得改进的隐私优势和单个工作配置文件体验在个人自有设备和公司自有设备上的统一性，无需重新注册完全托管设备上的旧版工作配置文件。或者，如果您愿意，可以通过在升级前删除工作配置文件来保持升级后的完全托管设备体验。

客户可以联系其 EMM 以确保其设备已准备好升级到 Android 11。EMM 可以在 Android 企业 EMM 提供商社区（需要登录）中找到更详细的迁移指南。

UX 改进

Android 9 中默认启动器中引入的单独的工作和个人标签已扩展到更多设备功能。在 Android 11 中，设备制造商可以显示工作和个人标签

在“设置”应用中，特别是对于位置、存储、帐户和应用信息。
当用户点击共享时。
当用户可以选择使用其他应用打开所选项目（“使用…打开”菜单）时。
选择文档时。

图 1.（左）设置 > 应用信息中的个人标签和工作标签。（右）暂停工作配置文件时的工作应用图标。

Android 11 还引入了 UX 增强功能，使用户更清楚地了解其工作配置文件何时暂停。当用户打开其工作配置文件时，如果其工作密码与设备密码相同，则他们不再需要输入其工作密码。

重置工作配置文件密码按钮

当工作配置文件暂停时，工作配置文件锁屏现在支持适用于具有单独设备和工作配置文件密码的 Android 11 设备的“忘记密码”按钮。如果您的 DPC 支持直接启动，您可以设置和激活令牌以启用该按钮。

当用户按下该按钮时，他们会看到指示他们联系其 IT 管理员的文本。按下该按钮还会在直接启动（锁定）模式下启动工作配置文件，允许您的 DPC 完成执行安全的工作配置文件密码重置的步骤。

公司自有设备

公司自有设备可使用以下新功能。“公司自有设备”一词指的是完全托管设备和公司自有的工作配置文件设备。

通用标准模式

此模式解决了通用标准移动设备基础保护配置文件 (MDFPP) 的特定要求。公司自有设备的管理员现在可以启用通用标准模式（以及检查其是否已启用）在设备上。启用后，通用标准模式会提高设备上某些安全组件的安全级别，包括蓝牙长期密钥的 AES-GCM 加密和 Wi-Fi 配置存储。

单个密钥认证支持

在 Android 11 中，公司自有设备的管理员可以使用单个认证证书请求设备认证

确保 KeyGenParameterSpec 使用指定的 StrongBox 构建。
为 idAttestationFlags 参数传递 ID_TYPE_INDIVIDUAL_ATTESTATION。

还提供了一种新方法来检查设备是否支持唯一设备 ID 认证。

其他

当管理员
- 启用位置服务在其公司自有设备上时，用户会收到通知。如果管理员设置全局策略以自动接受所有权限，则由于此策略，当应用请求并被授予位置权限时，用户会收到通知。
- 授予应用权限使用个人自有设备的位置。
预授权访问工作应用：针对 Android 11 的 DPC 现在可以选择向单个应用授予对特定KeyChain密钥的访问权限，从而允许这些应用调用getCertificateChain() 和 getPrivateKey()，而无需先调用choosePrivateKeyAlias()。

例如，作为后台服务运行的 VPN 应用可以使用此功能来访问所需的证书，而无需任何用户交互。还提供了一种新的方法来撤销访问权限。

注意：安装在未管理设备或设备个人资料中的应用无法再使用createInstallIntent()安装 CA 证书。用户必须在设置中手动安装 CA 证书。
所有与设置密码最小长度相关的方法都需要适当的密码质量才能强制执行。
- setPasswordMinimumLength() 至少需要 PASSWORD_QUALITY_NUMERIC。
- 所有其他密码最小长度方法至少需要 PASSWORD_QUALITY_COMPLEX。
始终在线 VPN 增强功能：当管理员配置始终在线 VPN时，用户将无法禁用它。
对ADMIN_POLICY_COMPLIANCE的更新
- 在预配 Android 11 设备时，系统现在会在将DEVICE_PROVISIONED设置为true之前发送ADMIN_POLICY_COMPLIANCE。
- ADMIN_POLICY_COMPLIANCE也可以在添加 Google 帐户以预配设备时可选使用。在 2021 年的 Android 版本中，此预配方法将需要它。
还提供新的 API 来
- 检查和设置设备上是否启用了自动时间。如果启用，则时间会自动从网络获取。替换setAutoTimeRequired()和getAutoTimeRequired()（有关更多信息，请参阅已弃用部分）。
- 检查和设置设备上是否启用了自动时区。如果启用，则时区将自动从网络获取。
- 检查和设置公司自有设备上的出厂重置保护 (FRP) 策略。
- 检查和设置用户是否可以更改公司自有设备上管理员配置的网络设置。
- 检查和设置完全托管设备上的受保护程序包。用户无法清除应用程序数据或强制停止受保护程序包。
- 设置设备上的主要位置设置。

已弃用部分

Android 11 包含以下值得注意的 API 已弃用部分

Settings.Secure.LOCATION_MODE 设置已弃用。应用不应将此值用作setSecureSetting() 方法的setting参数。设备所有者应改为调用setLocationEnabled()。
resetPassword()现已完全弃用。所有 DPC 应改为使用安全密码重置。
setAutoTimeRequired()和getAutoTimeRequired()。请改用setAutoTime()和getAutoTime()。
setStorageEncryption和getStorageEncryption()。请改用getStorageEncryptionStatus()。
setGlobalSetting()和setSecureSetting()大部分已弃用——可以使用专用的setter方法和用户限制来替换大多数设置（有关更多详细信息，请参阅参考）。
setOrganizationColor()已完全弃用。

了解更多

要了解可能影响您的应用的其他更改，请阅读 Android 11 行为更改页面（针对面向 Android 11 的应用和所有应用）。