Android 12 中针对企业的新增内容

本页面概述了 Android 12 (API 级别 31) 中引入的新的企业 API、功能和行为更改。

工作资料

以下新功能在 Android 12 中可用于工作资料。

工作资料的安全和隐私增强功能

以下功能适用于具有工作资料的个人设备，在 Android 12 中可以使用。

• The password complexity feature sets device-wide password requirements in the form of predefined complexity buckets (High, Medium, Low, and None). If required, strict password requirements can instead be placed on the work profile security challenge.
• 工作资料安全挑战入职流程已简化。设置现在会考虑设备密码是否满足管理员要求，并使用户能够轻松选择提高设备密码强度或使用工作资料安全挑战。
• 注册特定 ID 提供一个唯一 ID 用于识别特定组织中的工作资料注册，并且在恢复出厂设置后保持稳定。在 Android 12 中，带有工作资料的个人设备将无法访问设备的其他硬件标识符（IMEI、MEID、序列号）。
• 公司所有设备，无论是否带有工作资料，都可以采用上述列表中列出的功能，但在 Android 12 中不需要采用这些功能。
• 您可以 设置 和 检索 工作资料网络日志。您可以将工作资料上的网络日志 委托 给另一个工作应用程序。您不能使用网络日志来监控个人资料中的流量。
• 用户对工作资料应用程序拥有额外的隐私控制权。除非被其 IT 管理员禁止，否则用户可以向工作资料应用程序授予以下权限。对于工作资料中的每个应用程序，用户可以选择允许或拒绝以下权限：
  • 位置
  • 相机
  • 麦克风
  • 身体传感器
  • 身体活动

公司所有设备

以下新功能适用于公司所有设备。术语“公司所有设备”指的是 完全管理的设备 和 公司所有的带工作资料的设备。

• IT 管理员可以在公司所有设备上 禁用 USB（充电功能除外）。此功能包括 检查设备是否支持此功能 以及 检查当前是否已启用 的功能。

• 带有工作资料的公司所有设备可以 限制个人资料中使用的输入法，只允许使用系统输入法。

• 在 Android 12 中，您可以创建一个委托范围。通过调用 setDelegatedScopes() 并传递 DELEGATION_SECURITY_LOGGING 来启用并收集安全日志事件。安全日志有助于组织收集来自设备的使用数据，这些数据可以被解析并以编程方式评估是否存在恶意或风险行为。委托应用程序可以 启用安全日志、验证日志是否已启用 以及 检索安全日志。

其他

以下部分描述了企业 API 中的更改，这些更改不特定于工作资料或公司所有设备。

非受管理设备证书管理

现在，未受管理的设备可以利用 Android 的设备上密钥生成来管理证书。

• 用户可以授予证书管理应用程序管理其凭据的权限（不包括 CA 证书）。
• 证书管理应用程序可以使用 Android 的设备上密钥生成。
• 证书管理应用程序可以声明一个应用程序和 URI 列表，这些应用程序和 URI 可以用于身份验证。

新的 API 提供了新的功能

• 检查现有的设备范围密码是否 符合显式设备密码要求。
• 检查证书和私钥是否 已安装在给定的别名下。

完全管理设备的隐私和透明度增强

IT 管理员可以在配置期间管理权限授予，或者选择退出管理传感器相关的权限授予。如果管理员选择管理权限，用户会在设置向导中看到明确的消息。如果管理员选择退出，用户会在第一次使用应用程序时被提示接受或拒绝应用程序内的权限。管理员始终可以拒绝权限。

网络配置

设备策略控制器 (DPC) 可以使用新的 API getCallerConfiguredNetworks 获取设备已配置网络的列表，而无需位置权限，而不是使用现有的 API getConfiguredNetworks（需要位置权限）。返回的网络列表仅限于工作网络。

完全管理设备上的 DPC 可以确保设备上仅配置了管理员提供的网络，同样无需位置权限。

管理员可以通过 授予 KeyChain 密钥给 Wi-Fi 子系统以进行身份验证以及 配置 使用该密钥的企业 Wi-Fi 网络，使用在安全硬件中生成的密钥进行 Wi-Fi 身份验证。

连接的应用程序自动授予

为了提供更好的用户体验，一些预装应用程序自动授予了 配置以共享个人数据和工作数据。

在 Android 11+

• 取决于设备 OEM，预装的辅助应用程序或预装的默认 IME
• Google 应用程序（如果预装）。
• Gboard 应用程序（如果预装并且是开箱即用的默认 IME 应用程序）。

在 Android 12+

• Android Auto 应用程序（如果预装）。

应用程序的完整列表取决于设备 OEM。

弃用

Android 12 包含以下值得注意的 API 弃用

• setPasswordQuality() 和 getPasswordQuality() 已被弃用，用于在个人设备（而非公司所有）上的工作资料设备上设置设备范围的密码。DPC 应该使用 setRequiredPasswordComplexity() 代替。
• setOrganizationColor() 和 getOrganizationColor() 已在 Android 12 中完全弃用。
• android.app.action.PROVISION_MANAGED_DEVICE 不再适用于 Android 12。DPC 必须实现具有 ACTION_GET_PROVISIONING_MODE 和 ACTION_ADMIN_POLICY_COMPLIANCE 意图操作的意图过滤器的活动。使用 ACTION_PROVISION_MANAGED_DEVICE 启动配置会导致配置失败。为了继续支持 Android 11 及更低版本，EMM 应该继续支持 PROVISION_MANAGED_DEVICE 常量。
• setPermissionPolicy() 和 setPermissionGrantState() 已被弃用，用于为所有针对 Android 12 及更高版本的工作资料设备授予传感器相关的权限。弃用会导致以下更改
  • 在从 Android 11 升级到 Android 12 的设备上，现有权限授予将保留，但无法进行新的权限授予。
  • 拒绝权限的功能仍然存在。
  • 如果您开发和分发依赖于管理员授予的权限的应用程序，则必须确保这些应用程序遵循推荐的请求权限方式。
  • 遵循推荐的请求权限方式的应用程序将按预期工作。系统会提示用户授予权限；应用程序必须能够处理任何结果。
  • 依赖于管理员授予的权限并明确访问受权限保护的资源（未遵循指南）的应用程序可能会崩溃。

了解更多

要了解可能影响您应用程序的其他更改，请阅读 Android 12 行为更改页面（对于 针对 Android 12 的应用程序 和 所有应用程序）。