Android 11 中面向企业的新增功能

本页面概述了 Android 11 中引入的新的企业 API、功能和行为变更。

工作配置文件

以下新功能在 Android 11 中面向工作配置文件提供。

面向公司拥有设备的工作配置文件增强功能

Android 11 为公司拥有设备上的工作配置文件引入了改进的支持。如果使用在 Android 10 中添加的预配工具 通过设置向导添加工作配置文件，则设备将被识别为公司拥有设备，并且更广泛的资产管理和设备安全策略将提供给设备策略控制器 (DPC)。这些功能可以更轻松地管理公司拥有设备上的工作和个人用途，同时维护工作配置文件的隐私保护。

如果使用任何其他方法将工作配置文件添加到设备，Android 11 将识别该设备为个人拥有设备。面向个人拥有设备上的工作配置文件的行为和功能保持不变。

升级到 Android 11 的设备

完全托管设备上的工作配置文件 将升级到 Android 11 上的增强型工作配置文件体验。对于客户而言，这意味着设备将获得改进的隐私优势，以及个人拥有设备和公司拥有设备上的单一工作配置文件体验一致性，无需在完全托管设备上重新注册旧版工作配置文件。或者，如果您愿意，可以通过在升级之前删除工作配置文件，在整个升级过程中保持完全托管设备体验。

客户可以联系他们的 EMM 以确保他们的设备已准备好升级到 Android 11。EMM 可以在 Android Enterprise EMM Provider 社区 中找到更详细的迁移指南（需要登录）。

UX 改进

在 Android 9 中引入的默认启动器中单独的 工作和个人选项卡 已扩展到更多设备功能。在 Android 11 中，设备制造商可以提供工作和个人选项卡

• 在“设置”应用中，专门用于“位置”、“存储”、“帐户”和“应用信息”。
• 当用户点击“共享” share 时。
• 当用户被提示选择使用其他应用程序打开选定项目时（“使用打开”菜单）。
• 当选择文档时。

Android 11 还引入了 UX 增强功能，使用户能够更清楚地了解其工作配置文件何时被暂停。当用户打开工作配置文件时，如果工作配置文件密码与设备密码相同，则不再需要输入工作配置文件密码。

重置工作配置文件密码按钮

当工作配置文件暂停时，工作配置文件锁定屏幕现在支持“忘记密码”按钮，适用于具有独立设备密码和工作配置文件密码的 Android 11 设备。如果你的 DPC 能够识别直接启动，则可以 设置并激活令牌 以启用该按钮。

当用户按下该按钮时，系统会显示文本，指示他们联系其 IT 管理员。按下该按钮还会以直接启动（锁定）模式启动工作配置文件，允许你的 DPC 完成执行 安全工作配置文件密码重置 的步骤。

公司拥有设备

以下新功能适用于公司拥有设备。术语“公司拥有设备”是指完全管理的设备和 公司拥有的工作配置文件设备。

通用标准模式

此模式满足 通用标准 移动设备基础保护配置文件 (MDFPP) 的特定要求。公司拥有设备的管理员现在可以 启用通用标准模式（以及 检查是否已启用）在设备上。启用后，通用标准模式会提高设备上某些安全组件的安全性，包括蓝牙长期密钥的 AES-GCM 加密和 Wi-Fi 配置存储。

单个密钥证明支持

在 Android 11 中，公司拥有设备的管理员可以使用单个证明证书 请求设备证明。

• 确保 KeyGenParameterSpec 是使用指定 StrongBox 构建的。
• 将 ID_TYPE_INDIVIDUAL_ATTESTATION 传递给 idAttestationFlags 参数。

还提供了一种新方法来 检查设备是否支持唯一设备 ID 证明。

其他

• 当管理员

  • 在公司拥有设备上启用位置服务 时，用户会收到通知。如果管理员设置了全局策略以自动接受所有权限，则当应用程序因此策略而请求并获得位置权限时，用户会收到通知。
  • 授予应用程序使用个人拥有设备的位置的权限。

• 预先授予工作应用程序证书访问权限：针对 Android 11 的 DPC 现在可以选择 授予单个应用程序访问特定 KeyChain 密钥的权限，允许这些应用程序调用 getCertificateChain() 和 getPrivateKey()，而无需首先调用 choosePrivateKeyAlias()。

  例如，作为后台服务运行的 VPN 应用程序可以使用此功能来获取它们需要的证书的访问权限，而无需任何用户交互。还提供了一种新方法来撤销访问权限。

• 与设置密码最小长度相关的所有方法 都需要适当的 密码质量 才能执行。

  • setPasswordMinimumLength() 至少需要 PASSWORD_QUALITY_NUMERIC。
  • 所有其他密码最小值方法至少需要 PASSWORD_QUALITY_COMPLEX。

• 始终启用 VPN 增强功能：当 由管理员配置 时，用户不再能够禁用始终启用 VPN。

• 对 ADMIN_POLICY_COMPLIANCE 的更新

  • 配置 Android 11 设备时，系统现在会在设置 DEVICE_PROVISIONED 为 true 之前发送 ADMIN_POLICY_COMPLIANCE。
  • ADMIN_POLICY_COMPLIANCE 也可以在 添加 Google 帐户 以配置设备时选择性地使用。在 2021 年的 Android 版本中，此配置方法将需要它。

• 还提供了一些新 API 来

  • 检查 和 设置 设备上是否启用了自动时间。如果启用，时间将自动从网络获取。替换 setAutoTimeRequired() 和 getAutoTimeRequired()（有关详细信息，请参阅 弃用）。
  • 检查 和 设置 设备上是否启用了自动时区。如果启用，时区将自动从网络获取。
  • 检查 和 设置 公司拥有设备上的出厂重置保护 (FRP) 策略。
  • 检查 和 设置 用户是否可以更改公司拥有设备上管理员配置的网络设置。
  • 检查 和 设置 完全管理设备上的受保护包。用户不能清除应用程序数据或强制停止受保护的包。
  • 设置 设备上的主要位置设置。

弃用

Android 11 包含以下值得注意的 API 弃用

• Settings.Secure.LOCATION_MODE 设置已弃用。应用程序不应将此值用作 setSecureSetting() 方法的 setting 参数。设备所有者应改为调用 setLocationEnabled()。

• resetPassword() 现在已完全弃用。所有 DPC 应改为使用 安全密码重置。

• setAutoTimeRequired() 和 getAutoTimeRequired()。改为使用 setAutoTime() 和 getAutoTime()。

• setStorageEncryption 和 getStorageEncryption()。改为使用 getStorageEncryptionStatus()。

• setGlobalSetting() 和 setSecureSetting() 基本上已弃用——专用设置方法和用户限制可用于替换大多数设置（有关详细信息，请参阅参考）。

• setOrganizationColor() 已完全弃用。

了解更多

要了解可能影响你的应用程序的其他更改，请阅读 Android 11 行为更改页面（适用于 针对 Android 11 的应用程序 和 所有应用程序）。