Android 12 中的企业功能新变化

此页面将简要介绍 Android 12（API 级别 31）中引入的新企业 API、功能和行为变更。

工作资料

Android 12 中提供了可供工作资料使用的以下新功能。

工作资料的安全和隐私权增强功能

对于具有工作资料的个人设备，Android 12 提供了以下功能：

• 密码复杂度功能以预定义复杂存储分区（高、中、低和无）的形式设定设备级密码要求。如有必要，可对工作资料安全验证应用严格的密码要求。
• 工作资料安全验证新手入门流程已简化。现在，设置会考虑设备密码是否符合管理员要求，让用户可以轻松选择是增强设备密码的强度还是使用工作资料安全验证。
• 注册特定 ID 提供了一个唯一 ID，用于标识特定组织的工作资料注册，并且可在恢复出厂设置后保持稳定。在 Android 12 中，对于具有工作资料的个人设备，系统会移除对该设备的其他硬件标识符（IMEI、MEID、序列号）的访问权限。
• 公司自有设备（无论是否具有工作资料）可以采用上述列表项中列出的功能，但不需要在 Android 12 中采用。
• 您可以设置和检索工作资料网络日志记录。您可以将工作资料的网络日志记录委托给其他工作应用。您无法使用网络日志记录监控个人资料中的流量。
• 用户可以对工作资料应用进行额外的隐私控制。用户可以向工作资料应用授予以下权限，除非被 IT 管理员拒绝。对于工作资料中的每个应用，用户可以允许或拒绝以下权限：
  • 位置信息
  • 摄像头
  • 麦克风
  • 身体传感器
  • 身体活动

公司自有设备

以下新功能适用于公司自有设备。“公司自有设备”一词指的是完全托管设备和归公司所有的工作资料设备。

• IT 管理员可以在公司自有设备上停用 USB，但充电功能除外。此功能包括能够检查设备是否支持此功能以及检查当前是否启用了此功能。

• 具有工作资料的公司自有设备可以限制个人资料中使用的输入法，以仅允许使用系统输入法。

• 在 Android 12 中，您可以创建委托范围。您可以通过调用 setDelegatedScopes() 并传递 DELEGATION_SECURITY_LOGGING 来启用和收集安全日志事件。安全日志记录有助于组织从设备收集使用情况数据，可以解析并以编程方式评估这些数据，以规避恶意或危险行为。委托应用可以启用安全日志记录、验证是否启用了日志记录，以及检索安全日志。

其他

以下部分将介绍并非特定于工作资料或公司自有设备的企业 API 的变更。

非受管设备证书管理

没有管理功能的设备现在可以利用 Android 的设备密钥生成功能管理证书：

• 用户可以授予证书管理应用管理其凭据（不包括 CA 证书）的权限。
• 证书管理应用可以使用 Android 的设备密钥生成功能。
• 证书管理应用可以声明支持使用凭据进行身份验证的应用和 URI 的列表。

新 API 可提供新功能：

• 检查现有的设备级密码是否符合明确设备密码要求。
• 检查给定别名下是否安装了证书和私钥。

完全托管设备的隐私和透明度增强功能

IT 管理员可以在配置期间管理权限授予，也可以选择退出管理传感器相关的权限授予。如果管理员选择管理权限，则用户会在设置向导操作期间看到一条明确的消息。如果管理员选择退出管理，则首次使用应用时会在应用内提示用户接受或拒绝权限。管理员可以随时拒绝权限。

网络配置

设备政策控制器 (DPC) 可以使用新的 API getCallerConfiguredNetworks 获取设备的已配置网络列表，而无需具有位置信息权限，而不是使用现有的 API getConfiguredNetworks（需要位置信息权限）。返回的网络列表仅限于工作网络。

完全托管设备上的 DPC 可确保只在设备上配置管理员提供的网络，同样无需具有位置信息权限。

管理员可以使用在安全硬件中生成的密钥进行 Wi-Fi 身份验证，方法是向用于身份验证的 Wi-Fi 子系统授予一个 KeyChain 密钥，并使用该密钥配置一个企业 Wi-Fi 网络。

关联的应用自动授予权限

为了提供更好的用户体验，部分预加载的应用已自动授予共享个人数据和工作数据的配置。

在 Android 11 及更高版本中：

• 预加载的辅助应用或预加载的默认 IME
• Google 应用（如果已预加载）。
• Gboard 应用（如果已预加载且是开箱默认 IME 应用）。

在 Android 12 及更高版本中：

• Android Auto 应用（如果已预加载）。

应用的完整列表取决于设备 OEM。

废弃

Android 12 弃用了以下 API，值得引起注意：

• 不再使用 setPasswordQuality() 和 getPasswordQuality() 在具有工作资料的个人设备而非公司自有设备上设置设备级密码。DPC 应改用 setRequiredPasswordComplexity()。
• setOrganizationColor() 和 getOrganizationColor() 在 Android 12 中已完全废弃。
• Android 12 不再支持 android.app.action.PROVISION_MANAGED_DEVICE。DPC 必须实现具有 ACTION_GET_PROVISIONING_MODE 和 ACTION_ADMIN_POLICY_COMPLIANCE intent 操作的 intent 过滤器的 activity。使用 ACTION_PROVISION_MANAGED_DEVICE 启动配置会导致配置失败。如需继续支持 Android 11 及更低版本，EMM 应继续支持 PROVISION_MANAGED_DEVICE 常量。
• 对于以 Android 12 及更高版本为目标平台的所有工作资料设备，废弃了用于授予传感器相关权限的 setPermissionPolicy() 和 setPermissionGrantState()。废弃这些方法会导致以下变更：
  • 在从 Android 11 升级到 Android 12 的设备上，现有的权限授予会保留，但无法进行新的权限授予。
  • 拒绝权限的能力会保留。
  • 如果您开发和分发依赖于管理员授予的权限的应用，您必须确保这些应用遵循建议的权限请求方法。
  • 遵循建议的权限请求方法的应用将继续按预期运行。系统会提示用户授予权限；应用必须能够处理任何结果。
  • 如果应用依赖于管理员授予的权限并且明确访问受权限保护的资源，但未遵循相关准则，那么可能会崩溃。

了解详情

如需了解可能会影响您的应用的其他变更，请参阅 Android 12 行为变更页面（针对以 Android 12 为目标平台的应用和所有应用）。