Android 11 企业版新特性

本页面概述了 Android 11 中引入的新企业版 API、功能和行为变更。

工作资料

Android 11 中为工作资料提供了以下新功能。

公司自有设备的工作资料增强功能

Android 11 改进了对公司自有设备上工作资料的支持。如果工作资料是使用 Android 10 中添加的预配工具从设置向导中添加的，则该设备将被识别为公司自有设备，并且设备政策控制器 (DPC) 可获得更广泛的资产管理和设备安全政策。这些功能有助于更轻松地管理公司自有设备上的工作和个人使用，同时保持工作资料的隐私保护。

如果使用任何其他方法将工作资料添加到设备，Android 11 会将该设备识别为个人自有设备。个人自有设备上工作资料的行为和可用功能保持不变。

升级到 Android 11 的设备

全托管设备上的工作资料将升级到 Android 11 上增强的工作资料体验。对于客户而言，这意味着设备将获得改进的隐私优势以及在个人自有设备和公司自有设备上单一工作资料体验的一致性，而无需重新注册全托管设备上旧版工作资料。或者，如果您愿意，可以在升级前移除工作资料，以在升级后保持全托管设备体验。

客户可以联系其 EMM，确保其设备已准备好升级到 Android 11。EMM 可以在 Android Enterprise EMM Provider 社区中找到更详细的迁移指南（需要登录）。

用户体验改进

Android 9 中引入到默认启动器的单独的工作和个人标签页已扩展到更多设备功能。在 Android 11 中，设备制造商可以在以下位置显示工作和个人标签页：

• 在“设置”应用中，特别是“位置信息”、“存储空间”、“帐号”和“应用信息”。
• 当用户点按“共享”share时。
• 当用户看到使用其他应用打开所选项目（“打开方式”菜单）的选项时。
• 选择文档时。

Android 11 还引入了用户体验增强功能，使用户能够更清楚地了解其工作资料何时暂停。当用户开启工作资料时，如果工作密码与设备密码相同，则无需输入工作密码。

重置工作资料密码按钮

当工作资料暂停时，工作资料锁定屏幕现在支持 Android 11 设备上的“忘记密码”按钮，这些设备具有单独的设备密码和工作资料密码。如果您的 DPC 支持直接启动，您可以设置并激活令牌以启用该按钮。

当用户按下按钮时，会显示文本，指示他们联系其 IT 管理员。按下按钮还会以直接启动（锁定）模式启动工作资料，允许您的 DPC 完成执行安全工作资料密码重置的步骤。

公司自有设备

公司自有设备提供以下新功能。术语“公司自有设备”既指全托管设备，也指拥有托管资料的公司自有工作资料设备。

通用准则模式

此模式解决了通用准则移动设备基础保护配置文件 (MDFPP) 的特定要求。公司自有设备的管理员现在可以在设备上启用通用准则模式（并检查是否已启用）。启用后，通用准则模式会提高设备上某些安全组件的安全性，包括蓝牙长时密钥的 AES-GCM 加密和 Wi-Fi 配置存储。

个人密钥证明支持

在 Android 11 中，公司自有设备的管理员可以使用个人证明证书请求设备证明：

• 确保 KeyGenParameterSpec 是使用 StrongBox 指定构建的。
• 为 idAttestationFlags 参数传递 ID_TYPE_INDIVIDUAL_ATTESTATION。

还提供了一个新方法来检查设备是否支持唯一设备 ID 证明。

其他

• 当管理员执行以下操作时，用户现在会收到通知：

  • 在其公司自有设备上启用位置服务。如果管理员设置了自动接受所有权限的全局政策，则当应用请求并因此政策获得位置权限时，用户会收到通知。
  • 授予应用使用个人自有设备位置的权限。

• 预授予工作应用证书访问权限：针对 Android 11 的 DPC 现在可以选择授予单个应用访问特定 KeyChain 密钥的权限，允许这些应用调用 getCertificateChain() 和 getPrivateKey()，而无需先调用 choosePrivateKeyAlias()。

  例如，作为后台服务运行的 VPN 应用可以使用此功能获取所需的证书，而无需任何用户交互。还提供了一个新方法来撤销访问权限。

• 所有与设置密码最小长度相关的方法都要求有适当的密码质量，然后才能强制执行。

  • setPasswordMinimumLength() 要求至少为 PASSWORD_QUALITY_NUMERIC。
  • 所有其他密码最小方法要求至少为 PASSWORD_QUALITY_COMPLEX。

• 始终开启的 VPN 增强功能：当 VPN 由管理员配置时，用户无法再禁用始终开启的 VPN。

• 对 ADMIN_POLICY_COMPLIANCE 的更新

  • 预配 Android 11 设备时，系统现在会在将 DEVICE_PROVISIONED 设置为 true 之前发送 ADMIN_POLICY_COMPLIANCE。
  • ADMIN_POLICY_COMPLIANCE 也可以在添加 Google 帐号以预配设备时可选使用。在 2021 年的 Android 版本中，此预配方法将要求使用它。

• 还提供了新的 API：

  • 检查和设置设备上是否启用了自动时间。如果启用，时间会自动从网络获取。取代了 setAutoTimeRequired() 和 getAutoTimeRequired()（有关详细信息，请参阅弃用）。
  • 检查和设置设备上是否启用了自动时区。如果启用，时区会自动从网络获取。
  • 检查和设置公司自有设备上的恢复出厂设置保护 (FRP) 政策。
  • 检查和设置用户是否可以在公司自有设备上更改管理员配置的网络设置。
  • 检查和设置全托管设备上的受保护软件包。用户无法清除应用数据或强制停止受保护的软件包。
  • 设置设备上的主要位置设置。

弃用

Android 11 包含以下值得注意的 API 弃用：

• Settings.Secure.LOCATION_MODE 设置已弃用。应用不应将此值用作 setSecureSetting() 方法的 setting 参数。设备所有者应改为调用 setLocationEnabled()。

• resetPassword() 现已完全弃用。所有 DPC 都应改为使用安全密码重置。

• setAutoTimeRequired() 和 getAutoTimeRequired()。请改用 setAutoTime() 和 getAutoTime()。

• setStorageEncryption 和 getStorageEncryption()。请改用 getStorageEncryptionStatus()。

• setGlobalSetting() 和 setSecureSetting() 大部分已弃用——专用 setter 方法和用户限制可取代大多数设置（有关详细信息，请参阅参考资料）。

• setOrganizationColor() 已完全弃用。

了解更多

要了解可能影响您的应用的其他更改，请阅读 Android 11 行为变更页面（针对目标为 Android 11 的应用和所有应用）。