Explication orientée confidentialité par connexion
1 — Screen Control ↔ Android Management API (AMAPI)
Screen Control envoie la configuration de gestion des appareils à Google AMAPI, notamment les politiques, les commandes, les métadonnées d’enrollment et les références aux politiques d’applications. Screen Control reçoit en retour des données de gestion des appareils depuis AMAPI, telles que l’état de conformité, l’état de la politique appliquée, l’inventaire des appareils et les rapports d’applications.
2 — AMAPI ↔ Device
L’appareil reçoit les instructions de provisioning et de politique via les composants de gestion Android de Google et renvoie l’état de gestion à AMAPI. Ce canal échange des données de gestion des appareils, telles que les identifiants de l’appareil, l’état de la politique, l’état de conformité, l’état des applications installées et le statut de mise à jour / gestion des applications.
3 — Play Store ↔ Device
L’appareil utilise managed Google Play / Play Store pour obtenir les applications approuvées et les mises à jour d’applications. Il s’agit d’un trafic de distribution d’applications. En soi, cela ne signifie pas que du contenu Google d’utilisateurs finaux, comme Gmail, Drive, Calendar, Contacts ou des données de compte personnel, est échangé. Voir la réserve expliquée ci-dessous.
4 — Screen Control ↔ Device
Prowise communique également directement avec l’appareil au moyen de mécanismes spécifiques à Screen Control. Cela permet à Prowise de fournir une configuration supplémentaire au-delà des possibilités standard d’AMAPI, de voir l’état en ligne/hors ligne en direct de l’appareil, d’envoyer des notifications push, d’activer l’accès à distance et d’exécuter certaines commandes ou mises à jour. Cette connexion doit être considérée comme un canal de gestion distinct contrôlé par Prowise, séparé du trafic AMAPI et Play Store.
5 — Screen Control ↔ Play Store
Screen Control peut s’intégrer aux interfaces de gestion du Google Play Store, telles que l’approche managed Play iframe de Google, afin que les administrateurs puissent accéder aux applications, les approuver, les configurer et les gérer via l’interface utilisateur de Screen Control. Il s’agit d’un flux administratif de gestion des applications, et non d’un flux direct de télémétrie de l’appareil.
Enrollment
Pour l’enrollment EDLA, Screen Control crée un token d’enrollment via la connexion 1 — Screen Control ↔ AMAPI. Ce token est ensuite appliqué pendant l’installation du firmware et utilisé par l’appareil via la connexion 2 — AMAPI ↔ Device pour finaliser l’enrollment. Le token garantit que l’appareil est enrolled dans le mode prévu, spécifiquement en tant que dedicated device et userless, et qu’il est associé à la bonne organisation dans Prowise / Screen Control.
Google Chrome
Google Chrome est requis pour certaines fonctionnalités essentielles et est installé après l’enrollment d’un écran. Pour limiter le partage de données utilisateur avec Google, nous recommandons de désactiver la connexion au navigateur Chrome au moyen des politiques d’application Screen Control.
Veuillez noter que cela n’empêche pas les utilisateurs de se connecter à des sites web Google dans le navigateur, ce qui peut tout de même entraîner un partage de données avec Google. Cela est bien entendu possible avec n’importe quel navigateur web.
Les administrateurs peuvent supprimer Chrome entièrement, mais cela n’est pas recommandé, car cela interrompt la connexion à Central / aux services Prowise et peut également affecter la connexion dans d’autres applications.
Résumé
Le mode d’enrollment est dedicated device, userless. Dans ce mode, aucun profil spécifique d’utilisateur final n’est connecté à l’appareil à des fins de gestion. Google utilise un compte anonyme/userless pour permettre les services Android Enterprise, tels que l’application des politiques et l’accès à managed Play.
Cela signifie que la configuration standard AMAPI / managed Play ne collecte ni n’échange par défaut de contenu Google d’utilisateurs finaux. Les données pertinentes sont principalement des données de gestion des appareils et de gestion des applications : identifiants de l’appareil, état de la politique, état de conformité, état des applications installées, statut de mise à jour et métadonnées opérationnelles similaires.
Il existe une réserve importante : si des applications Google sont approuvées dans Screen Control, installées sur l’appareil, puis qu’une personne se connecte à ces applications avec un compte utilisateur Google, cela crée un flux de données distinct pour ce compte utilisateur. Cette connexion au niveau de l’application se situe en dehors du modèle de gestion standard userless dedicated-device. Les administrateurs peuvent facilement l’éviter en n’approuvant pas d’applications Google supplémentaires.