Прошло 18 лет с появления первого смартфона и 12 июня 2025 года исполнилось ровно 10 лет с анонса Android Enterprise инициативы, десятилетию которой Google посвятил отдельную статью в своём блоге. Идея готовилась совместно и была поддержана Samsung платформой KNOX.

За эти десять лет на нашем рынке люди узнали, что такое Mobile Device Management, появилась небольшая, но прочная ниша на рынке IT специалистов. Количество идей с предложениями рутовать телефон, чтобы запилить корпоративную фишку, сократилось почти до нуля за эти годы.

Однако ниша широко известна в узких кругах, поэтому мы решили познакомить непосвященную часть IT сообщества с тем, что в реальности означает загадочное словосочетание: «политики на устройстве», как работает и для чего используют. Несколько примеров и возможность попробовать «не отходя от кассы» свяжут абстракции с опытом на осязаемом и наблюдаемом уровне.

Что такое Android Management API?

Android Management API (AMAPI) - это облачный API от Google, который предоставляет расширенные возможности для управления устройствами Android в рамках платформы Android Enterprise. Он позволяет организациям управлять своими устройствами, применяя политики, обеспечивая безопасность и настраивая устройства для конкретных задач, используя встроенный клиент Android (Android Device Policy) вместо установки специализированного ПО.

С помощью AMAPI можно настроить различные политики безопасности, контролировать установку приложений и удаленно блокировать устройства в случае кражи. В этой статье подробней разберем AMAPI и попробуем политики, которые каждый сможет повторить, проверить или поменять у себя на Android устройстве, или же задать свои сценарии для настройки своих политик.

Политики в Android Management API - это конфигурации, которые определяют, как управляемые Android-устройства могут использоваться в организации. Они представляют собой JSON-объекты, содержащие правила и ограничения для устройств. Основные аспекты политик в Android Management API:

• Управление приложениями:

  • Разрешенные и запрещенные приложения

  • Автоматическая установка необходимых корпоративных приложений

  • Настройки разрешений для приложений

• Настройки безопасности:

  • Требования к паролю и блокировке экрана

  • Шифрование данных устройства

  • Управление сертификатами безопасности

• Ограничения использования:

  • Контроль доступа к определенным функциям (камера, bluetooth, nfc)

  • Настройки режима киоска (kiosk mode) для ограничения до одного приложения

  • Ограничения на установку приложений из неизвестных источников

• Сетевые политики:

  • Конфигурации Wi-Fi профилей

  • Настройки VPN

  • Фильтрация веб-контента

  • Контроль использования мобильных данных

• Политики контента:

  • Управление доступом к внешним накопителям

  • Ограничения на использование камеры и микрофона

  • Контроль синхронизации данных

Политики применяются к устройствам через "имена политик" (policy names) и могут быть изменены в любое время, после чего изменения автоматически синхронизируются с устройствами. Это позволяет ИТ-администраторам централизованно управлять большим количеством Android-устройств в корпоративной среде. Политики обеспечивают гибкое и масштабируемое управление Android-устройствами в корпоративной среде без необходимости в специализированном ПО на устройстве.

В целом помимо AMAPI, существует еще и device policy controller (DPC) – это приложение., которое может контролировать разрешения других приложений, а также блокировать различные функции устройства. Написание собственного DPC довольно трудозатратно, т.к. включает в себя написание целого приложения, единственная функция которого — ограничивать возможности пользователя при работе с устройством. Кроме того, любые изменения в политике устройства придётся внедрять в коде, что повлечет за собой выпуск новой версии этого приложения.

Чтобы упростить жизнь разработчикам таких решений, Google выпустил свой DPC, который называется Android Device Policy и управляется с помощью Android Management API. По сути, Android Device Policy - это приложение для Android, которое позволяет ИТ-администраторам применять политики безопасности и управлять устройствами, принадлежащими организации, чтобы защитить корпоративные данные. Оно устанавливает правила для рабочих профилей или полностью управляемых устройств, обеспечивает доступ к корпоративным ресурсам и информирует пользователей о корпоративных требованиях, таких как установка пароля или обновление ПО.

Чтобы использовать Android Management API, нужно выполнить несколько шагов:

• Создать сервисный аккаунт

• Создать организацию (enterprise)

• Создать политику (policy)

• Зарегистрировать устройство (device)

Google предоставляет несколько опций, позволяющих пользоваться Android Management API. Самый простой способ выполнить все эти шаги — пройти интерактивный quickstart guide. Для обращения к API из кода можно использовать одну из библиотек на Java, .NET, Python, или Ruby.

Создаем новую политику

Далее, мы продемонстрируем, как можно управлять устройством через создание своих собственных политик. Интерфейс для управления устройствами ложится на плечи разработчика, все остальное сделает за вас AMAPI. Функционал по этой ссылке https://www.howtomdm.ru:3000/ собрал на коленке для того, чтобы вы могли протестировать, что это такое на реальном примере. Пробуйте.

Предположим, что мы не хотели бы видеть на устройстве YouTube, но хотим предустановленный RuTube, а Яндекс Браузер – оставить доступным для установки пользователю, дополнительно нам требуется выключить режим разработчика и сделать автоматически полный сброс устройства с удалением всем данных при неправильной попытке ввода пароля на заблокированном экране.

Тогда эта политика будет выглядеть похожим образом, как показано ниже в формате json:

{

  "version": "1",

  "applications": [

    {

      "packageName": "com.google.android.youtube",

      "installType": "BLOCKED"

    },

    {

      "packageName": "rtb.mobile.android",

      "installType": "PREINSTALLED"

    },

    {

      "packageName": "com.yandex.browser",

      "installType": "AVAILABLE"

    }

  ],

  "passwordPolicies": [

    {

      "passwordMinimumLength": 1

    }

  ],

  "advancedSecurityOverrides": {

    "developerSettings": "DEVELOPER_SETTINGS_DISABLED"

  }

}

Теперь сможем сохранить политику, указав в поле ее название.

При помощи AMAPI создать такую новую политику достаточно просто, общая схема работы показана ниже на схеме:

Созданная политика отобразится в нашем списке среди всех политик, выбираем ее и  затем нажимаем ссылку, чтобы создать QR код для того, чтобы зарегистрировать ваше устройство в рамках созданной политики.

Регистрируем свое персональное устройство

Для проверки созданной политики, нам потребуется сбросить устройство и на стартовом экране нажать 5 раз в любом свободном месте, откроется окно сканирования QR кода, далее просто потребуется отсканировать созданный код при помощи устройства.

Как только устройство будет проинициализировано, оно станет доступным через AMAPI в режиме Fully Managed. Еще мы сможем менять политику, и она сразу же применится к устройству.

Например, изменим созданную политику, чтобы добавить приложение Госуслуги:

{

  "version": "1",

  "applications": [

    {

      "packageName": "com.google.android.youtube",

      "installType": "BLOCKED"

    },

    {

      "packageName": "rtb.mobile.android",

      "installType": "PREINSTALLED"

    },

    {

      "packageName": "com.yandex.browser",

      "installType": "AVAILABLE"

    },

    {

      "packageName": "ru.rostel",

      "installType": "AVAILABLE"

    }

  ],

  "passwordPolicies": [

    {

      "passwordMinimumLength": 1

    }

  ],

  "advancedSecurityOverrides": {

    "developerSettings": "DEVELOPER_SETTINGS_DISABLED"

  }

}

После чего сможем снова сохранить политику:

А теперь обнаруживаем, что новое приложение тут же появилось на устройстве в Google Play.

Проверяем политику

Сначала перейдем в режим разработчика через системные настройки устройства.

Для этого выполним следующее:

• Открываем приложение "Настройки" на вашем Android-устройстве

• Прокручиваем вниз и находим раздел "Сведения о ПО"

• Находим пункт "Номер сборки"

• Нажимаем на этот пункт 7 раз (в некоторых версиях может потребоваться меньше нажатий)

• После этого появится сообщение, что у вас недостаточно прав это сделать

 Теперь установим пароль блокировки экрана по следующим шагам:

• Открываем приложение "Настройки" на вашем Android-устройстве

• Находим и выбираем раздел "Безопасность и конфиденциальность"

• Выбираем пункт "Блокировка экрана и биометрия", где задаем свой пароль и вводим его дважды для подтверждения.

• Выключаем экран, затем вводим на заблокированном экране вашего устройства неправильный пароль и видим на экране, что происходит полный сброс к заводским настройкам

Полный сброс к заводским настройкам после неправильного ввода пароля на устройстве

 Что мы получили на нашем устройстве:

1. Установка приложений через Google Play работает корректно в соответствии с политикой, блокировка нежелательных приложений функционирует должным образом.

2. Сброс к заводским настройкам при неправильном вводе пароля, устройство возвращается к заводским настройкам без остаточных данных.

3. Доступ к настройкам разработчика заблокирован. Пользователь не сможет активировать режим разработчика стандартными способами.

Делаем проверку расширенного сценария

Давайте изменим нашу политику и добавим отключение камеры, скриншотов и ограничим время для блокировки экрана.

{

  "version": "15",

  "applications": [

    {

      "packageName": "com.google.android.youtube",

      "installType": "BLOCKED"

    },

    {

      "packageName": "rtb.mobile.android",

      "installType": "PREINSTALLED"

    },

    {

      "packageName": "com.yandex.browser",

      "installType": "AVAILABLE"

    },

    {

      "packageName": "ru.rostel",

      "installType": "AVAILABLE"

    }

  ],

  "maximumTimeToLock": "5",

  "screenCaptureDisabled": true,

  "cameraDisabled": true,

  "passwordPolicies": [

    {

      "passwordMinimumLength": 1

    }

  ],

  "advancedSecurityOverrides": {

    "developerSettings": "DEVELOPER_SETTINGS_DISABLED"

  }

}

И снова сохраняем политику, как показано на рисункe ниже:

Теперь экран устройства будет гаснуть спустя 5 секунд, будет отключена камера и нельзя будет сделать скриншот. Демонстрация работы обновленной политки на устройстве:

Делаем фильтр на доступ к сайтам через браузер

Опишем сценарий, когда требуется удаленно настроить браузер, прописав конкретные адреса сайтов, которые должны быть заблокированы, либо же доступными, помимо этого установим нужный нам адрес домашней страницы в самом браузере, включим безопасный поиск и сделаем запрет на использования приватного режима просмотра сайтов.

Изменим нашу политику следующим образом:

{

  "version": "96",

  "applications": [

    {

      "packageName": "com.google.android.youtube",

      "installType": "BLOCKED"

    },

    {

      "packageName": "rtb.mobile.android",

      "installType": "PREINSTALLED"

    },

    {

      "packageName": "com.yandex.browser",

      "installType": "AVAILABLE"

    },

    {

      "packageName": "ru.rostel",

      "installType": "AVAILABLE"

    },

    {

      "packageName": "com.android.chrome",

      "installType": "REQUIRED_FOR_SETUP",

      "managedConfiguration": {

        "URLBlocklist": [

          "https://www.tiktok.com"

        ],

        "URLAllowlist": [

          "https://www.samsungknox.com",

          "https://developer.samsungknox.com"

        ],

        "HomepageLocation": "https://samsung.com",

        "ForceGoogleSafeSearch": "true",

        "IncognitoModeAvailability": "1"

      }

    }

  ],

  "maximumTimeToLock": "5",

  "screenCaptureDisabled": true,

  "cameraDisabled": true,

  "passwordPolicies": [

    {

      "passwordMinimumLength": 1

    }

  ],

  "advancedSecurityOverrides": {

    "developerSettings": "DEVELOPER_SETTINGS_DISABLED"

  }

}

Сохраняем политику, как показано ниже:

Если мы откроем теперь браузер на устройстве, то увидим, что политика тут же применится.

Заключение

Поздравляю тех, кто дошел до конца, надеюсь вам было также интересно как и мне, когда я в этом разбирался.

Мы показали, что с помощью Android Management API (AMAPI) можно легко сделать свой MDM и проверить работу некоторых политик управления корпоративными устройствами, интересно, что срабатывание и применение политик на самом устройстве происходит практически без задержи. Настраивая нужные нам политики -  можно получить уже готовое устройство для использования в корпоративной среде под свои требования. К тому же, мы убедились, что AMAPI предоставляет легкий способ создавать и проверять другие политики на устройствах.

Вопрос в заголовке остается актуальным: причем тут KNOX?

Многие уже знают, что KNOX является многоуровневой платформой безопасности от Samsung, встроенная в устройства, которая также является системой расширенных политик, о которых мы пишем подробнее в этом блоге. А если у вас есть корпоративная почта, то вы можете зарегистрироваться на портале www.samsungknox.com и изучить, что такое MDM на примере профессионального решения Knox Manage. На портале же можно самостоятельно выписывать себе триальные лицензии на 30 устройств и 3 месяца, каждый раз когда выходит их срок.