Android 12 企业版新特性

本页面概述了 Android 12 (API 级别 31) 中引入的新的企业 API、功能和行为变更。

工作资料

Android 12 中针对工作资料提供了以下新功能。

工作资料的安全和隐私增强功能

Android 12 中针对带有工作资料的个人设备提供了以下功能

• 的密码复杂度功能以预定义复杂度等级（高、中、低和无）的形式设置设备范围的密码要求。如果需要，也可以对工作资料安全挑战设置严格的密码要求。
• 工作资料安全挑战的入门流程已简化。现在，设置会考虑设备密码是否符合管理员要求，并让用户轻松选择是增强设备密码强度还是使用工作资料安全挑战。
• 注册专用 ID 提供了一个唯一 ID，用于识别特定组织中的工作资料注册，并且在恢复出厂设置后仍保持稳定。在 Android 12 中，带有工作资料的个人设备将移除对其他设备硬件标识符（IMEI、MEID、序列号）的访问权限。
• 公司自有设备（无论是否带有工作资料）可以采用前面列表中列出的功能，但在 Android 12 中并非强制要求采用这些功能。
• 您可以设置和检索工作资料网络日志记录。您可以将工作资料上的网络日志记录委托给其他工作应用。您不能使用网络日志记录来监控个人资料中的流量。
• 用户对工作资料应用拥有额外的隐私控制。除非 IT 管理员拒绝，否则用户可以向工作资料应用授予以下权限。对于工作资料中的每个应用，用户可以允许或拒绝以下权限
  • 位置信息
  • 相机
  • 麦克风
  • 身体传感器
  • 身体活动

公司自有设备

以下新功能适用于公司自有设备。术语公司自有设备既指全代管设备，也指公司自有的工作资料设备。

• IT 管理员可以在公司自有设备上禁用 USB（充电功能除外）。此功能包括检查设备是否支持此功能以及检查其当前是否已启用的能力。

• 带有工作资料的公司自有设备可以限制个人资料中使用的输入法，以仅允许系统输入法。

• 在 Android 12 中，您可以创建委派范围。通过调用 setDelegatedScopes() 并传入 DELEGATION_SECURITY_LOGGING 来启用和收集安全日志事件。安全日志记录可帮助组织从设备收集使用数据，这些数据可以解析并以编程方式评估是否存在恶意或有风险的行为。委派应用可以启用安全日志记录、验证日志记录是否已启用，以及检索安全日志。

其他

以下部分描述了企业 API 中与工作资料或公司自有设备无关的变更。

非受管设备证书管理

未受管的设备现在能够利用 Android 的设备端密钥生成功能来管理证书

• 用户可以授予证书管理应用权限，以管理其凭据（不包括 CA 证书）。
• 证书管理应用可以使用 Android 的设备端密钥生成功能。
• 证书管理应用可以声明一个应用和 URI 列表，其中凭据可用于身份验证。

新 API 提供新功能

• 检查现有的设备范围密码是否符合明确的设备密码要求。
• 检查证书和私钥是否以给定别名安装。

全代管设备的隐私和透明度增强功能

IT 管理员可以管理权限授予，或者选择在配置期间不管理传感器相关权限授予。如果管理员选择管理权限，用户将在设置向导中看到明确消息。如果管理员选择退出，用户将在首次使用应用时在应用内提示接受或拒绝权限。管理员始终可以拒绝权限。

网络配置

设备政策控制器 (DPC) 可以通过使用新的 API getCallerConfiguredNetworks 而不是使用现有 API getConfiguredNetworks（需要位置权限）来获取设备已配置网络的列表，而无需位置权限。返回的网络列表仅限于工作网络。

全代管设备上的 DPC 可以确保设备上只配置管理员提供的网络，也无需位置权限。

管理员可以使用安全硬件中生成的密钥进行 Wi-Fi 身份验证，方法是授予 KeyChain 密钥给 Wi-Fi 子系统进行身份验证，并使用该密钥配置企业 Wi-Fi 网络。

已连接应用自动授予

为了提供更好的用户体验，一些预加载的应用已自动授予共享个人和工作数据的配置。

在 Android 11+ 上

• 取决于设备 OEM，预加载的辅助应用或预加载的默认输入法
• Google 应用（如果已预加载）。
• Gboard 应用（如果已预加载且是开箱即用的默认输入法应用）。

在 Android 12+ 上

• Android Auto 应用（如果已预加载）。

完整的应用列表取决于设备 OEM。

废弃

Android 12 包含以下值得注意的 API 废弃

• 对于在作为个人设备而非公司自有设备的工作资料设备上设置设备范围密码，setPasswordQuality() 和 getPasswordQuality() 已废弃。DPC 应改用 setRequiredPasswordComplexity()。
• setOrganizationColor() 和 getOrganizationColor() 在 Android 12 中已完全废弃。
• android.app.action.PROVISION_MANAGED_DEVICE 在 Android 12 上不再起作用。DPC 必须实现带有针对 ACTION_GET_PROVISIONING_MODE 和 ACTION_ADMIN_POLICY_COMPLIANCE Intent 操作的 Intent 过滤器的活动。使用 ACTION_PROVISION_MANAGED_DEVICE 启动配置会导致配置失败。为了继续支持 Android 11 及更低版本，EMM 应继续支持 PROVISION_MANAGED_DEVICE 常量。
• 对于所有针对 Android 12 及更高版本的工作资料设备，setPermissionPolicy() 和 setPermissionGrantState() 已废弃，用于授予传感器相关权限。这些废弃会导致以下变更
  • 在从 Android 11 升级到 Android 12 的设备上，现有权限授予保持不变，但无法进行新的权限授予。
  • 拒绝权限的能力仍然存在。
  • 如果您开发和分发依赖管理员授予权限的应用，则必须确保这些应用遵循建议的请求权限方式。
  • 遵循建议的请求权限方式的应用将继续按预期工作。系统会提示用户授予权限；应用必须能够处理任何结果。
  • 依赖管理员授予权限并显式访问受权限保护资源而不遵循指南的应用可能会崩溃。

了解更多

要了解可能影响您的应用的其他变更，请阅读 Android 12 行为变更页面（针对以 Android 12 为目标的应用和所有应用）。