Un client appelle : ses 50 terminaux Honeywell CT45 déployés en kiosk mode sous SOTI MobiControl ont basculé sous Android 11 après une mise à jour OEM. Depuis, certaines fonctionnalités du kiosk se comportent étrangement : impossible de masquer la barre de navigation, les boutons système réapparaissent, les notifications système traversent le verrouillage.

Le script de provisioning n’a pas changé. C’est Android qui a changé.

Ce que Google a modifié à partir d’Android 11

Plusieurs API privées utilisées historiquement par les EMM (Enterprise Mobility Management) ont été restreintes ou supprimées :

  • L’overlay système agressif qui permettait de masquer entièrement la barre de statut n’est plus accepté sans le mode Fully Managed Device (DO).
  • Les notifications de sécurité (mode avion, batterie faible, alertes de stockage) ne peuvent plus être supprimées via les APIs précédentes, même en kiosk.
  • Le multitâche est partiellement réactivable par geste depuis le bord de l’écran, ce qui n’était pas le cas avant.
  • L’écran d’urgence reste accessible depuis l’écran de verrouillage, point.

Concrètement, sans adaptation, un kiosk “verrouillé” sous Android 11+ laisse passer plus d’interactions qu’avant.

Le bon mode de déploiement

Pour exploiter pleinement le kiosk mode actuel, il faut être en Device Owner (DO), c’est-à-dire avoir provisionné le terminal en tant qu’appareil dédié dès l’enrôlement.

Trois méthodes pour passer en DO avec SOTI :

  1. QR code lors du factory reset : la méthode la plus propre, automatisable via SOTI Connect.
  2. Zero-touch enrollment (Samsung Knox, Honeywell DXM, Zebra Zero-Touch) : idéal pour les déploiements de masse.
  3. NFC bump : adapté à des volumes intermédiaires, demande un terminal “maître” préparé.

Une fois en DO, SOTI peut activer la Lock Task Mode API d’Android, qui est la voie officielle Google pour le kiosk. Plus stable, plus pérenne, mais avec ses propres limites.

Lock Task Mode : ce qu’on peut et ne peut pas

Ce qui marche bien :

  • Verrouillage strict sur une application unique ou un set d’applications
  • Masquage du recent apps, du home button (configurable)
  • Désactivation du panneau de notifications standard
  • Blocage des installations d’applications hors EMM

Ce qui ne marche plus comme avant :

  • Masquer totalement la status bar : non, on peut seulement la rendre non-interactive
  • Empêcher l’écran d’urgence : non
  • Bloquer le retour usine via les boutons physiques en mode bootloader : non

Pour ce dernier point, il faut compter sur les couches OEM (Zebra Mx, Honeywell Smartstem, Samsung Knox) qui ajoutent des verrouillages au niveau du bootloader, indépendamment d’Android.

Adapter un script SOTI existant

Si vous migrez un profil SOTI Android 9 / 10 vers Android 11+, voici les vérifications à faire :

# Vérifier le mode actuel
shell:dumpsys device_policy

# Activer Lock Task Mode pour une app
adb shell am start-activity --user 0 -n com.votreapp/.MainActivity
adb shell dpm set-app-lock-task com.votreapp

Côté SOTI MobiControl, le profil “Kiosk” doit être configuré en mode :

  • Lockdown Mode = “Multi-App Lockdown” ou “Single App Lockdown”
  • Allow Status Bar = false (rendu non-interactif, pas masqué)
  • Allow Home Button = false
  • Bloquer le Quick Settings via le profil Restrictions complémentaire

Les scripts personnalisés qui utilisaient wm overscan ou settings put global policy_control ne sont plus systématiquement appliqués au reboot. Il faut désormais passer par les APIs DPM officielles.

Le piège du test sur un seul terminal

Une erreur fréquente : valider la configuration sur un terminal qui n’a pas été factory-reset depuis Android 9. Les anciens flags peuvent persister et donner l’illusion d’un kiosk fonctionnel.

La règle : tout test de kiosk mode se fait sur un terminal fraîchement remis à zéro, enrôlé selon la procédure cible. Sinon, ce qui marche en test casse en production.

Quand prévoir la migration

Si vous gérez encore une flotte sous Android 9 ou 10, deux échéances comptent :

  • Fin du support sécurité Google : Android 10 n’est plus patché depuis fin 2024. Tout déploiement Android 10 est désormais un risque assumé.
  • Calendrier des constructeurs : Zebra et Honeywell maintiennent leurs propres patches LTS, jusqu’à 4-5 ans après la fin de support Google. Vérifier votre matériel sur leurs portails support respectifs.

Une migration en kiosk Android 11+ se prévoit sur 2 à 4 semaines pour un parc de quelques centaines de terminaux : tests, ajustement des scripts, formation des opérateurs aux nouveaux comportements (les gestes de bord notamment).

Pour un retour complet sur une migration de flotte Honeywell CT45 d’Android 10 vers Android 13, voir l’article à venir.

Étiquettes
AndroidSOTI MobiControlkioskAndroid Enterprise