REST Resource: enterprises.policies

资源:政策

政策资源代表一组用于管理受管设备及其上安装的应用行为的设置。

JSON 表示法
{
  "name": string,
  "version": string,
  "applications": [
    {
      object (ApplicationPolicy)
    }
  ],
  "maximumTimeToLock": string,
  "screenCaptureDisabled": boolean,
  "cameraDisabled": boolean,
  "keyguardDisabledFeatures": [
    enum (KeyguardDisabledFeature)
  ],
  "defaultPermissionPolicy": enum (PermissionPolicy),
  "persistentPreferredActivities": [
    {
      object (PersistentPreferredActivity)
    }
  ],
  "openNetworkConfiguration": {
    object
  },
  "systemUpdate": {
    object (SystemUpdate)
  },
  "accountTypesWithManagementDisabled": [
    string
  ],
  "addUserDisabled": boolean,
  "adjustVolumeDisabled": boolean,
  "factoryResetDisabled": boolean,
  "installAppsDisabled": boolean,
  "mountPhysicalMediaDisabled": boolean,
  "modifyAccountsDisabled": boolean,
  "safeBootDisabled": boolean,
  "uninstallAppsDisabled": boolean,
  "statusBarDisabled": boolean,
  "keyguardDisabled": boolean,
  "minimumApiLevel": integer,
  "statusReportingSettings": {
    object (StatusReportingSettings)
  },
  "bluetoothContactSharingDisabled": boolean,
  "shortSupportMessage": {
    object (UserFacingMessage)
  },
  "longSupportMessage": {
    object (UserFacingMessage)
  },
  "passwordRequirements": {
    object (PasswordRequirements)
  },
  "wifiConfigsLockdownEnabled": boolean,
  "bluetoothConfigDisabled": boolean,
  "cellBroadcastsConfigDisabled": boolean,
  "credentialsConfigDisabled": boolean,
  "mobileNetworksConfigDisabled": boolean,
  "tetheringConfigDisabled": boolean,
  "vpnConfigDisabled": boolean,
  "wifiConfigDisabled": boolean,
  "createWindowsDisabled": boolean,
  "networkResetDisabled": boolean,
  "outgoingBeamDisabled": boolean,
  "outgoingCallsDisabled": boolean,
  "removeUserDisabled": boolean,
  "shareLocationDisabled": boolean,
  "smsDisabled": boolean,
  "unmuteMicrophoneDisabled": boolean,
  "usbFileTransferDisabled": boolean,
  "ensureVerifyAppsEnabled": boolean,
  "permittedInputMethods": {
    object (PackageNameList)
  },
  "stayOnPluggedModes": [
    enum (BatteryPluggedMode)
  ],
  "recommendedGlobalProxy": {
    object (ProxyInfo)
  },
  "setUserIconDisabled": boolean,
  "setWallpaperDisabled": boolean,
  "choosePrivateKeyRules": [
    {
      object (ChoosePrivateKeyRule)
    }
  ],
  "alwaysOnVpnPackage": {
    object (AlwaysOnVpnPackage)
  },
  "frpAdminEmails": [
    string
  ],
  "deviceOwnerLockScreenInfo": {
    object (UserFacingMessage)
  },
  "dataRoamingDisabled": boolean,
  "locationMode": enum (LocationMode),
  "networkEscapeHatchEnabled": boolean,
  "bluetoothDisabled": boolean,
  "complianceRules": [
    {
      object (ComplianceRule)
    }
  ],
  "blockApplicationsEnabled": boolean,
  "installUnknownSourcesAllowed": boolean,
  "debuggingFeaturesAllowed": boolean,
  "funDisabled": boolean,
  "autoTimeRequired": boolean,
  "permittedAccessibilityServices": {
    object (PackageNameList)
  },
  "appAutoUpdatePolicy": enum (AppAutoUpdatePolicy),
  "kioskCustomLauncherEnabled": boolean,
  "androidDevicePolicyTracks": [
    enum (AppTrack)
  ],
  "skipFirstUseHintsEnabled": boolean,
  "privateKeySelectionEnabled": boolean,
  "encryptionPolicy": enum (EncryptionPolicy),
  "usbMassStorageEnabled": boolean,
  "permissionGrants": [
    {
      object (PermissionGrant)
    }
  ],
  "playStoreMode": enum (PlayStoreMode),
  "setupActions": [
    {
      object (SetupAction)
    }
  ],
  "passwordPolicies": [
    {
      object (PasswordRequirements)
    }
  ],
  "policyEnforcementRules": [
    {
      object (PolicyEnforcementRule)
    }
  ],
  "kioskCustomization": {
    object (KioskCustomization)
  },
  "advancedSecurityOverrides": {
    object (AdvancedSecurityOverrides)
  },
  "personalUsagePolicies": {
    object (PersonalUsagePolicies)
  },
  "autoDateAndTimeZone": enum (AutoDateAndTimeZone),
  "oncCertificateProviders": [
    {
      object (OncCertificateProvider)
    }
  ],
  "crossProfilePolicies": {
    object (CrossProfilePolicies)
  },
  "preferentialNetworkService": enum (PreferentialNetworkService),
  "usageLog": {
    object (UsageLog)
  },
  "cameraAccess": enum (CameraAccess),
  "microphoneAccess": enum (MicrophoneAccess),
  "deviceConnectivityManagement": {
    object (DeviceConnectivityManagement)
  },
  "deviceRadioState": {
    object (DeviceRadioState)
  },
  "credentialProviderPolicyDefault": enum (CredentialProviderPolicyDefault),
  "printingPolicy": enum (PrintingPolicy),
  "displaySettings": {
    object (DisplaySettings)
  },
  "assistContentPolicy": enum (AssistContentPolicy)
}
字段
name

string

政策的名称,格式为 enterprises/{enterpriseId}/policies/{policyId}

version

string (int64 format)

政策的版本。此字段是只读字段。每次更新政策时,版本都会递增。

applications[]

object (ApplicationPolicy)

应用适用的政策。此数组最多可包含 3,000 个元素。

maximumTimeToLock

string (int64 format)

用户活动到设备锁定之间的最长时间(以毫秒为单位)。值为 0 表示没有限制。

screenCaptureDisabled

boolean

屏幕截图功能是否已停用。

cameraDisabled
(deprecated)

boolean

如果 cameraAccess 设置为 CAMERA_ACCESS_UNSPECIFIED 以外的任何值,则不会产生任何影响。否则,此字段用于控制相机是否已停用:如果为 true,则所有相机均处于停用状态,否则相机处于可用状态。对于完全受管设备,此字段适用于设备上的所有应用。对于工作资料,此字段仅适用于工作资料中的应用,工作资料之外的应用的相机访问权限不会受到影响。

keyguardDisabledFeatures[]

enum (KeyguardDisabledFeature)

停用了锁屏自定义功能,例如微件。

defaultPermissionPolicy

enum (PermissionPolicy)

运行时权限请求的默认权限政策。

persistentPreferredActivities[]

object (PersistentPreferredActivity)

默认 intent 处理程序 activity。

openNetworkConfiguration

object (Struct format)

设备的网络配置。如需了解详情,请参阅配置网络

systemUpdate

object (SystemUpdate)

系统更新政策,用于控制如何应用操作系统更新。如果更新类型为 WINDOWED,更新期限也会自动应用于 Play 应用更新。

注意Google Play 系统更新(也称为 Mainline 更新)会自动下载,并且需要重新启动设备才能安装。如需了解详情,请参阅管理系统更新中的 Mainline 部分。

accountTypesWithManagementDisabled[]

string

用户无法管理的账号类型。

addUserDisabled

boolean

是否停用了添加新用户和个人资料的功能。对于 managementModeDEVICE_OWNER 的设备,系统会忽略此字段,并且用户永远无法添加或移除用户。

adjustVolumeDisabled

boolean

是否停用了主音量调节功能。同时将设备设为静音。

factoryResetDisabled

boolean

是否停用了通过设置恢复出厂设置的功能。

installAppsDisabled

boolean

是否停用了用户安装应用的功能。

mountPhysicalMediaDisabled

boolean

是否停用了用户挂载实体外部媒体的功能。

modifyAccountsDisabled

boolean

添加或移除账号功能是否已停用。

safeBootDisabled
(deprecated)

boolean

是否停用了将设备重新启动进入安全启动模式的功能。

uninstallAppsDisabled

boolean

是否停用了用户卸载应用的功能。这会阻止卸载应用,即使是使用 applications 移除的应用

statusBarDisabled
(deprecated)

boolean

状态栏是否已停用。这会停用通知、快捷设置和其他可让您退出全屏模式的屏幕叠加层。已弃用。如需在自助服务终端设备上停用状态栏,请使用 InstallType KIOSKkioskCustomLauncherEnabled

keyguardDisabled

boolean

如果为 true,则会为主显示屏和/或辅助显示屏停用锁定屏幕

minimumApiLevel

integer

允许的最低 Android API 级别。

statusReportingSettings

object (StatusReportingSettings)

状态报告设置

bluetoothContactSharingDisabled

boolean

蓝牙联系人共享功能是否已停用。

shortSupportMessage

object (UserFacingMessage)

在管理员停用功能的设置屏幕中向用户显示的消息。如果消息长度超过 200 个字符,可能会被截断。

longSupportMessage

object (UserFacingMessage)

在设备管理员设置屏幕中向用户显示的消息。

passwordRequirements
(deprecated)

object (PasswordRequirements)

密码要求。不得设置 passwordRequirements.require_password_unlock 字段。已弃用 - 请使用 passwordPolicies

注意

此处不能使用基于复杂性的 PasswordQuality 值,即 COMPLEXITY_LOWCOMPLEXITY_MEDIUMCOMPLEXITY_HIGH。此处无法使用 unifiedLockSettings

wifiConfigsLockdownEnabled
(deprecated)

boolean

此方法已废弃。

bluetoothConfigDisabled

boolean

配置蓝牙是否已停用。

cellBroadcastsConfigDisabled

boolean

配置小区广播功能是否已停用。

credentialsConfigDisabled

boolean

配置用户凭据功能是否已停用。

mobileNetworksConfigDisabled

boolean

是否停用了配置移动网络的功能。

tetheringConfigDisabled
(deprecated)

boolean

是否停用了配置网络共享和便携式热点的功能。如果 tetheringSettings 设置为 TETHERING_SETTINGS_UNSPECIFIED 以外的任何值,则此设置将被忽略。

vpnConfigDisabled

boolean

配置 VPN 是否已停用。

wifiConfigDisabled
(deprecated)

boolean

配置 Wi-Fi 网络的功能是否已停用。完全托管设备和公司自有设备上的“工作资料”均支持此设置。对于完全受管的设备,将此值设为 true 会移除所有已配置的网络,仅保留使用 openNetworkConfiguration 配置的网络。对于公司自有设备上的工作资料,现有已配置的网络不会受到影响,并且用户将无法添加、移除或修改 Wi-Fi 网络。如果 configureWifi 设置为 CONFIGURE_WIFI_UNSPECIFIED 以外的任何值,则此设置将被忽略。注意:如果无法在启动时建立网络连接,并且配置 Wi-Fi 已停用,系统会显示网络应急舱口,以便刷新设备政策(请参阅 networkEscapeHatchEnabled)。

createWindowsDisabled

boolean

是否停用了除了应用窗口之外的窗口创建功能。

networkResetDisabled

boolean

是否停用了重置网络设置功能。

outgoingBeamDisabled

boolean

是否停用了使用 NFC 从应用传送数据的功能。

outgoingCallsDisabled

boolean

是否停用了外拨功能。

removeUserDisabled

boolean

移除其他用户的功能是否已停用。

shareLocationDisabled

boolean

位置信息分享功能是否已停用。shareLocationDisabled 适用于完全托管设备和个人工作资料。

smsDisabled

boolean

是否停用了收发短信功能。

unmuteMicrophoneDisabled
(deprecated)

boolean

如果 microphoneAccess 设置为 MICROPHONE_ACCESS_UNSPECIFIED 以外的任何值,则不会产生任何影响。否则,此字段用于控制麦克风是否处于停用状态:如果为 true,则所有麦克风都处于停用状态,否则麦克风处于可用状态。此功能仅适用于完全托管的设备。

usbFileTransferDisabled
(deprecated)

boolean

是否停用了通过 USB 传输文件的功能。只有公司自有设备支持此功能。

ensureVerifyAppsEnabled
(deprecated)

boolean

是否强制启用了应用验证。

permittedInputMethods

object (PackageNameList)

如果存在,则仅允许使用此列表中软件包提供的输入法。如果此字段存在,但列表为空,则仅允许系统输入法。

stayOnPluggedModes[]

enum (BatteryPluggedMode)

设备保持开机状态的已接通电源模式。使用此设置时,建议清除 maximumTimeToLock,以免设备在开机状态下自行锁定。

recommendedGlobalProxy

object (ProxyInfo)

与网络无关的全局 HTTP 代理。通常,应在 openNetworkConfiguration 中按网络配置代理。不过,对于常规内部过滤等不寻常的配置,全局 HTTP 代理可能很有用。如果无法访问代理,网络访问权限可能会中断。全局代理只是建议,部分应用可能会忽略它。

setUserIconDisabled

boolean

是否停用了更改用户图标的功能。

setWallpaperDisabled

boolean

更改壁纸功能是否已停用。

choosePrivateKeyRules[]

object (ChoosePrivateKeyRule)

用于确定应用对私钥的访问权限的规则。如需了解详情,请参阅 ChoosePrivateKeyRule。如果任何应用具有 CERT_SELECTION 委托范围,则此字段必须为空。

alwaysOnVpnPackage

object (AlwaysOnVpnPackage)

始终开启的 VPN 连接的配置。与 vpnConfigDisabled 搭配使用可防止修改此设置。

frpAdminEmails[]

string

启用恢复出厂设置保护功能的设备管理员的电子邮件地址。设备恢复出厂设置后,需要其中一位管理员使用 Google 账号电子邮件地址和密码登录,才能解锁设备。如果未指定任何管理员,设备将不提供恢复出厂设置保护。

deviceOwnerLockScreenInfo

object (UserFacingMessage)

要显示在锁定屏幕上的设备所有者信息。

dataRoamingDisabled

boolean

漫游数据服务是否已停用。

locationMode

enum (LocationMode)

启用的位置信息检测程度。

networkEscapeHatchEnabled

boolean

是否启用了网络应急出口。如果无法在启动时建立网络连接,则应急舱门会提示用户暂时连接到网络,以便刷新设备政策。应用政策后,系统会忘记临时网络,设备会继续启动。这样可以防止在以下情况下无法连接到网络:上一个政策中没有合适的网络,设备在锁定任务模式下启动到应用,或者用户无法以其他方式访问设备设置。

注意:在特定情况下,将 wifiConfigDisabled 设置为 true 会覆盖此设置。如需了解详情,请参阅 wifiConfigDisabled。在特定情况下,将 configureWifi 设置为 DISALLOW_CONFIGURING_WIFI 会替换此设置。如需了解详情,请参阅 DISALLOW_CONFIGURING_WIFI

bluetoothDisabled

boolean

蓝牙是否处于停用状态。建议使用此设置,而不是 bluetoothConfigDisabled,因为用户可以绕过 bluetoothConfigDisabled

complianceRules[]
(deprecated)

object (ComplianceRule)

用于声明在设备不符合其政策时要执行哪些缓解措施的规则。如果某个对象满足多条规则的条件,系统会采取这些规则的所有缓解措施。规则数量上限为 100 条。请改用政策违规处置规则。

blockApplicationsEnabled
(deprecated)

boolean

是否禁止安装 applications 中未配置的应用。设置此政策后,系统会自动卸载根据先前政策安装但不再显示在政策中的应用。

installUnknownSourcesAllowed
(deprecated)

boolean

此字段无效。

debuggingFeaturesAllowed
(deprecated)

boolean

是否允许用户启用调试功能。

funDisabled

boolean

用户是否可以玩乐。控制“设置”中的彩蛋游戏是否处于停用状态。

autoTimeRequired
(deprecated)

boolean

是否需要自动设置时间,这会阻止用户手动设置日期和时间。如果设置了 autoDateAndTimeZone,系统会忽略此字段。

permittedAccessibilityServices

object (PackageNameList)

指定允许的无障碍服务。如果未设置此字段,则可以使用任何无障碍服务。如果设置了此字段,则只能使用此列表中的无障碍服务和系统的内置无障碍服务。具体而言,如果此字段设为空,则只能使用系统的内置无障碍服务。您可以在完全受管设备和工作资料中进行此设置。应用于工作资料时,这会同时影响个人资料和工作资料。

appAutoUpdatePolicy

enum (AppAutoUpdatePolicy)

建议的替代方案:autoUpdateMode(按应用设置),可在更新频率方面提供更大的灵活性。

autoUpdateMode 设置为 AUTO_UPDATE_POSTPONEDAUTO_UPDATE_HIGH_PRIORITY 时,此字段无效。

应用自动更新政策,用于控制何时可以应用自动应用更新。

kioskCustomLauncherEnabled

boolean

是否启用了自定义 kiosk 启动器。这会将主屏幕替换为启动器,该启动器会将设备锁定到通过 applications 设置安装的应用。应用会在单个页面上按字母顺序显示。使用 kioskCustomization 进一步配置自助服务终端设备行为。

androidDevicePolicyTracks[]
(deprecated)

enum (AppTrack)

不支持此设置。系统会忽略任何值。

skipFirstUseHintsEnabled

boolean

用于在首次使用时跳过提示的标志。企业管理员可以为应用启用系统建议,以便在首次启动时跳过用户教程和其他初始提示。

privateKeySelectionEnabled

boolean

允许在设备上显示界面,以便用户在 ChoosePrivateKeyRules 中没有匹配规则时选择私钥别名。对于 Android P 以下的设备,进行此设置可能会使企业密钥处于易受攻击的状态。如果任何应用具有 CERT_SELECTION 委托范围,则此值将无效。

encryptionPolicy

enum (EncryptionPolicy)

是否启用了加密

usbMassStorageEnabled
(deprecated)

boolean

是否启用了 USB 存储设备。已弃用。

permissionGrants[]

object (PermissionGrant)

为所有应用明确授予或拒绝权限或群组权限。这些值会替换 defaultPermissionPolicy

playStoreMode

enum (PlayStoreMode)

此模式用于控制用户在 Play 商店中可以使用哪些应用,以及从政策中移除应用后设备上的行为。

setupActions[]

object (SetupAction)

在设置过程中要执行的操作。最多只能指定一个操作。

passwordPolicies[]

object (PasswordRequirements)

密码要求政策。您可以通过在政策中设置 passwordScope 字段,为工作资料或完全受管设备设置不同的政策。

policyEnforcementRules[]

object (PolicyEnforcementRule)

用于定义在无法在设备上应用特定政策时应采取的行为的规则

kioskCustomization

object (KioskCustomization)

用于控制设备在自助服务终端模式下的行为的设置。如需启用自助服务终端模式,请将 kioskCustomLauncherEnabled 设置为 true,或使用 installType KIOSK 在政策中指定应用。

advancedSecurityOverrides

object (AdvancedSecurityOverrides)

高级安全设置。在大多数情况下,无需设置这些参数。

personalUsagePolicies

object (PersonalUsagePolicies)

用于管理公司自有设备上个人用途的政策。

autoDateAndTimeZone

enum (AutoDateAndTimeZone)

公司自有设备上是否启用了自动日期、时间和时区功能。如果设置此值,系统会忽略 autoTimeRequired

oncCertificateProviders[]

object (OncCertificateProvider)

此功能尚未正式发布。

crossProfilePolicies

object (CrossProfilePolicies)

在设备上应用的跨资料政策。

preferentialNetworkService

enum (PreferentialNetworkService)

控制是否在工作资料中启用优先网络服务。例如,某个组织可能会与运营商达成协议,将员工设备中的所有工作数据通过专供企业使用的网络服务发送。受支持的优选网络服务示例包括 5G 网络上的企业切片。这对完全托管的设备没有影响。

usageLog

object (UsageLog)

设备活动日志记录的配置。

cameraAccess

enum (CameraAccess)

控制相机的使用以及用户是否有权使用相机访问切换开关。

microphoneAccess

enum (MicrophoneAccess)

控制麦克风的使用以及用户是否有权使用麦克风使用权限切换开关。这仅适用于完全受管的设备。

deviceConnectivityManagement

object (DeviceConnectivityManagement)

涵盖设备连接的控件,例如 Wi-Fi、USB 数据访问、键盘/鼠标连接等。

deviceRadioState

object (DeviceRadioState)

涵盖 Wi-Fi、蓝牙等无线状态的控件。

credentialProviderPolicyDefault

enum (CredentialProviderPolicyDefault)

用于控制在 Android 14 及更高版本中哪些应用可以充当凭据提供程序。这些应用会存储凭据,如需了解详情,请参阅这篇文章这篇文章。另请参阅 credentialProviderPolicy

printingPolicy

enum (PrintingPolicy)

可选。控制是否允许打印。搭载 Android 9 及更高版本的设备支持此功能。.

displaySettings

object (DisplaySettings)

可选。显示设置的控件。

assistContentPolicy

enum (AssistContentPolicy)

可选。用于控制是否允许将 AssistContent 发送到特权应用(例如辅助应用)。AssistContent 包含屏幕截图和应用相关信息(例如软件包名称)。Android 15 及更高版本支持此功能。

ApplicationPolicy

针对单个应用的政策。注意:如果 installAppsDisabled 处于启用状态,则无法使用此政策更改给定设备上的应用可用性。每项政策中可指定的应用数量上限为 3,000 个。

JSON 表示法
{
  "packageName": string,
  "installType": enum (InstallType),
  "lockTaskAllowed": boolean,
  "defaultPermissionPolicy": enum (PermissionPolicy),
  "permissionGrants": [
    {
      object (PermissionGrant)
    }
  ],
  "managedConfiguration": {
    object
  },
  "disabled": boolean,
  "minimumVersionCode": integer,
  "delegatedScopes": [
    enum (DelegatedScope)
  ],
  "managedConfigurationTemplate": {
    object (ManagedConfigurationTemplate)
  },
  "accessibleTrackIds": [
    string
  ],
  "connectedWorkAndPersonalApp": enum (ConnectedWorkAndPersonalApp),
  "autoUpdateMode": enum (AutoUpdateMode),
  "extensionConfig": {
    object (ExtensionConfig)
  },
  "alwaysOnVpnLockdownExemption": enum (AlwaysOnVpnLockdownExemption),
  "workProfileWidgets": enum (WorkProfileWidgets),
  "credentialProviderPolicy": enum (CredentialProviderPolicy),
  "installConstraint": [
    {
      object (InstallConstraint)
    }
  ],
  "installPriority": integer,
  "userControlSettings": enum (UserControlSettings)
}
字段
packageName

string

应用的软件包名称。例如,对于 YouTube 应用,软件包名称为 com.google.android.youtube

installType

enum (InstallType)

要执行的安装类型。

lockTaskAllowed
(deprecated)

boolean

是否允许应用在全屏模式下锁定自身。已弃用。使用 InstallType KIOSKkioskCustomLauncherEnabled 配置专用设备。

defaultPermissionPolicy

enum (PermissionPolicy)

应用请求的所有权限的默认政策。如果指定,此项会覆盖应用级 defaultPermissionPolicy(适用于所有应用)。它不会替换适用于所有应用的 permissionGrants

permissionGrants[]

object (PermissionGrant)

为应用明确授予或拒绝权限。这些值会替换适用于所有应用的 defaultPermissionPolicypermissionGrants

managedConfiguration

object (Struct format)

应用的受管配置。配置的格式由应用支持的 ManagedProperty 值决定。受管配置中的每个字段名称都必须与 ManagedPropertykey 字段匹配。字段值必须与 ManagedPropertytype 兼容:

typeJSON 值
BOOLtruefalse
STRING字符串
INTEGER数值
CHOICE字符串
MULTISELECT字符串数组
HIDDEN字符串
BUNDLE_ARRAY对象数组

disabled

boolean

应用是否已停用。停用后,应用数据仍会保留。

minimumVersionCode

integer

设备上运行的应用的最低版本。如果已设置,设备会尝试将应用更新到至少此版本号。如果应用不是最新版本,设备将包含一个 NonComplianceDetail,其中 nonComplianceReason 设置为 APP_NOT_UPDATED。应用必须已发布到 Google Play,且版本代码大于或等于此值。每个政策最多可指定 20 个应用的最低版本代码。

delegatedScopes[]

enum (DelegatedScope)

从 Android Device Policy 委托给应用的镜重。这些标记会为应用提供额外的权限。

managedConfigurationTemplate

object (ManagedConfigurationTemplate)

应用的托管配置模板,从托管配置 iframe 保存。如果设置了 managedConfiguration,则系统会忽略此字段。

accessibleTrackIds[]

string

属于相应企业的设备可以访问的应用轨道 ID 的列表。如果列表包含多个轨道 ID,设备会收到所有可用轨道中的最新版本。如果列表中不包含轨道 ID,则设备只能访问应用的正式版轨道。如需详细了解各个轨道,请参阅 AppTrackInfo

connectedWorkAndPersonalApp

enum (ConnectedWorkAndPersonalApp)

控制应用是否可以在用户同意的情况下,通过设备的工作资料和个人资料与自身通信。

autoUpdateMode

enum (AutoUpdateMode)

控制应用的自动更新模式。

extensionConfig

object (ExtensionConfig)

配置,用于将此应用作为扩展程序应用启用,以便离线与 Android 设备政策进行交互。

最多只能为一个应用设置此字段。

alwaysOnVpnLockdownExemption

enum (AlwaysOnVpnLockdownExemption)

指定在 VPN 未连接且 alwaysOnVpnPackage.lockdownEnabled 处于启用状态时,是否允许应用进行网络连接。如果设置为 VPN_LOCKDOWN_ENFORCED,则应用不允许进行网络连接;如果设置为 VPN_LOCKDOWN_EXEMPTION,则应用允许进行网络连接。仅适用于搭载 Android 10 及更高版本的设备。如果设备不支持此操作,则设备将包含一个 NonComplianceDetail,其中 nonComplianceReason 设置为 API_LEVEL 以及一个 fieldPath。如果这不适用于应用,设备将包含一个 NonComplianceDetail,其中 nonComplianceReason 设置为 UNSUPPORTED 以及一个 fieldPath。fieldPath 设置为 applications[i].alwaysOnVpnLockdownExemption,其中 iapplications 政策中软件包的编号。

workProfileWidgets

enum (WorkProfileWidgets)

指定是否允许在工作资料中安装的应用将微件添加到主屏幕。

credentialProviderPolicy

enum (CredentialProviderPolicy)

可选。应用是否可以在 Android 14 及更高版本中充当凭据提供程序。

installConstraint[]

object (InstallConstraint)

可选。安装应用的约束条件。您最多可以指定一个 InstallConstraint。系统会拒绝多个约束条件。

installPriority

integer

可选。对于将 installType 设置为以下值的应用:

此值用于控制安装的相对优先级。值为 0(默认值)表示此应用没有优先于其他应用的优先级。对于介于 1 到 10,000 之间的值,值越小,优先级越高。系统会拒绝不在 0 到 10,000 范围内的值(包括这两个数值)。

userControlSettings

enum (UserControlSettings)

可选。指定是否允许对应用进行用户控制。用户控制包括强行停止和清除应用数据等用户操作。Android 11 及更高版本支持此设置。

InstallType

要为应用执行的安装类型。如果 setupAction 引用应用,则必须将 installType 设置为 REQUIRED_FOR_SETUP,否则设置将失败。

枚举
INSTALL_TYPE_UNSPECIFIED 未指定。默认值为 AVAILABLE。
PREINSTALLED 系统会自动安装该应用,并且用户可以将其移除。
FORCE_INSTALLED 无论是否设置了维护时间窗口,系统都会自动安装该应用,并且用户无法将其移除。
BLOCKED 该应用已被屏蔽且无法安装。如果已根据先前的政策安装了该应用,系统会卸载它。这也会阻止其免安装应用功能。
AVAILABLE 应用可供安装。
REQUIRED_FOR_SETUP 该应用会自动安装,用户无法将其移除,并且在安装完成之前会阻止设置完成。
KIOSK 应用会自动安装在自助服务终端模式下:系统会将其设置为首选 home intent,并将其列入锁定任务模式的许可名单。在安装该应用之前,设备设置无法完成。安装后,用户将无法移除该应用。对于每项政策,您只能为一个应用设置此 installType。如果此属性在政策中存在,系统会自动停用状态栏。

PermissionPolicy

此政策用于向应用授予所请求的权限。

枚举
PERMISSION_POLICY_UNSPECIFIED 政策未指定。如果在任何等级都未针对相应权限指定政策,系统便会默认使用 PROMPT 行为。
PROMPT 提示用户授予相应权限。
GRANT

自动授予相应权限。

在 Android 12 及更高版本中,READ_SMS 及以下与传感器相关的权限只能在完全受管的设备上授予:

DENY 自动拒绝授予相应权限。

PermissionGrant

Android 权限及其授予状态的配置。

JSON 表示法
{
  "permission": string,
  "policy": enum (PermissionPolicy)
}
字段
permission

string

Android 权限或组,例如 android.permission.READ_CALENDARandroid.permission_group.CALENDAR

policy

enum (PermissionPolicy)

授予权限的政策。

DelegatedScope

其他软件包可以从 Android 设备政策中获取的委托范围。这些标记会为应用提供额外的权限。

除了 SECURITY_LOGS 和 NETWORK_ACTIVITY_LOGS 之外,其他范围可以应用于多个应用,但一次只能委托给一个应用。

枚举
DELEGATED_SCOPE_UNSPECIFIED 未指定委托范围。
CERT_INSTALL 授予对证书安装和管理的权限。
MANAGED_CONFIGURATIONS 授予对托管配置管理的访问权限。
BLOCK_UNINSTALL 授予阻止卸载的权限。
PERMISSION_GRANT 授予对权限政策和权限授予状态的访问权限。
PACKAGE_ACCESS 授予对软件包访问状态的访问权限。
ENABLE_SYSTEM_APP 授予启用系统应用的权限。
NETWORK_ACTIVITY_LOGS 授予对网络活动日志的访问权限。允许委托的应用调用 setNetworkLoggingEnabledisNetworkLoggingEnabledretrieveNetworkLogs 方法。此范围最多只能委托给一个应用。Android 10 及更高版本上的完全受管设备支持此设置。Android 12 及更高版本支持工作资料。如果支持并设置了委托,系统会忽略 NETWORK_ACTIVITY_LOGS
SECURITY_LOGS 授予对安全日志的访问权限。允许委托的应用调用 setSecurityLoggingEnabledisSecurityLoggingEnabledretrieveSecurityLogsretrievePreRebootSecurityLogs 方法。此范围最多只能委托给一个应用。适用于搭载 Android 12 及更高版本且设有工作资料的完全受管理设备和公司自有设备。如果支持并设置了委托,系统会忽略 SECURITY_LOGS
CERT_SELECTION 授予代表请求应用选择 KeyChain 证书的权限。授予权限后,委托的应用将开始接收 DelegatedAdminReceiver#onChoosePrivateKeyAlias。允许委托的应用调用 grantKeyPairToApprevokeKeyPairFromApp 方法。最多只能有一个应用具有此委托。如果将证书选择委托给应用,choosePrivateKeyRules 必须为空,privateKeySelectionEnabled 将无效。

ManagedConfigurationTemplate

应用的托管配置模板,从托管配置 iframe 保存。

JSON 表示法
{
  "templateId": string,
  "configurationVariables": {
    string: string,
    ...
  }
}
字段
templateId

string

受管理的配置模板的 ID。

configurationVariables

map (key: string, value: string)

可选,一个映射,其中包含为配置定义的 <key, value> 配置变量。

包含一系列 "key": value 对的对象。示例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }

ConnectedWorkAndPersonalApp

控制应用是否可以在征得用户同意的情况下跨资料与自身通信。

枚举
CONNECTED_WORK_AND_PERSONAL_APP_UNSPECIFIED 未指定。默认为 CONNECTED_WORK_AND_PERSONAL_APPS_DISALLOWED。
CONNECTED_WORK_AND_PERSONAL_APP_DISALLOWED 默认。阻止应用跨资料通信。
CONNECTED_WORK_AND_PERSONAL_APP_ALLOWED 允许应用在征得用户同意后跨资料通信。

AutoUpdateMode

控制应用的自动更新模式。如果设备用户手动更改设备设置,AutoUpdateMode 会忽略这些选择,因为它具有优先级。

枚举
AUTO_UPDATE_MODE_UNSPECIFIED 未指定。默认为 AUTO_UPDATE_DEFAULT
AUTO_UPDATE_DEFAULT

默认更新模式。

系统会以低优先级自动更新应用,以最大限度地减少对用户的影响。

当满足以下所有约束条件时,系统会更新应用:

  • 设备处于非活跃状态。
  • 设备连接到不按流量计费的网络。
  • 设备正在充电。
  • 要更新的应用未在前台运行。

在开发者发布新更新后的 24 小时内,设备会收到有关该更新的通知,之后系统会在下次满足上述约束条件时更新该应用。

AUTO_UPDATE_POSTPONED

应用过期后,系统最多会在 90 天内不自动更新该应用。

应用过时 90 天后,系统会以低优先级自动安装最新的可用版本(请参阅 AUTO_UPDATE_DEFAULT)。应用更新后,系统不会再次自动更新,除非该应用再次过时 90 天。

用户仍然可以随时从 Play 商店手动更新应用。

AUTO_UPDATE_HIGH_PRIORITY

应用会尽快更新。不应用任何约束条件。

有新更新可用时,设备会尽快收到通知。

注意:在 Android 生态系统中部署规模较大的应用的更新最长可能需要 24 小时。

ExtensionConfig

配置,用于将应用作为扩展程序应用启用,以便在线下与 Android Device Policy 进行交互。对于 Android 11 及更高版本,扩展程序应用不受电池限制,因此不会被放入受限的应用待机模式存储分区。扩展程序应用还受到保护,可防止用户清除其数据或强行关闭应用,不过,如果需要,管理员可以在 Android 11 及更高版本中继续对扩展程序应用使用 clear app data command

JSON 表示法
{
  "signingKeyFingerprintsSha256": [
    string
  ],
  "notificationReceiver": string
}
字段
signingKeyFingerprintsSha256[]

string

扩展程序应用签名证书的十六进制编码 SHA-256 哈希。只有长度为 64 个字符的十六进制字符串表示法才有效。

如果未指定,系统会改为从 Play 商店获取相应软件包名称的签名。

如果此列表为空,则设备上扩展程序应用的签名必须与从 Play 商店获取的签名一致,该应用才能与 Android Device Policy 通信。

如果此列表不为空,则设备上扩展程序应用的签名必须与此列表中的某个条目匹配,该应用才能与 Android 设备政策进行通信。

在生产环境中,建议将此字段留空。

notificationReceiver

string

Android Device Policy 接收器服务类的完全限定类名称,用于通知扩展程序应用任何本地命令状态更新。

AlwaysOnVpnLockdownExemption

控制应用是否不受 alwaysOnVpnPackage.lockdownEnabled 设置的约束。

枚举
ALWAYS_ON_VPN_LOCKDOWN_EXEMPTION_UNSPECIFIED 未指定。默认为 VPN_LOCKDOWN_ENFORCED
VPN_LOCKDOWN_ENFORCED 该应用会遵循始终开启的 VPN 锁定设置。
VPN_LOCKDOWN_EXEMPTION 该应用不受始终开启的 VPN 锁定模式设置的约束。

WorkProfileWidgets

控制是否允许工作资料应用将微件添加到主屏幕。

枚举
WORK_PROFILE_WIDGETS_UNSPECIFIED 未指定。默认设置为 workProfileWidgetsDefault
WORK_PROFILE_WIDGETS_ALLOWED 允许使用工作资料微件。这意味着该应用将能够将微件添加到主屏幕。
WORK_PROFILE_WIDGETS_DISALLOWED 不允许使用工作资料微件。这意味着该应用将无法将微件添加到主屏幕。

CredentialProviderPolicy

应用是否可以在 Android 14 及更高版本中充当凭据提供程序。

枚举
CREDENTIAL_PROVIDER_POLICY_UNSPECIFIED 未指定。此行为由 credentialProviderPolicyDefault 控制。
CREDENTIAL_PROVIDER_ALLOWED 允许应用充当凭据提供程序。

InstallConstraint

对于将 InstallType 设置为以下值的应用:

这会为应用安装定义一组限制。必须设置其中至少一个字段。设置多个字段后,应用必须满足所有约束条件才能安装。

JSON 表示法
{
  "networkTypeConstraint": enum (NetworkTypeConstraint),
  "chargingConstraint": enum (ChargingConstraint),
  "deviceIdleConstraint": enum (DeviceIdleConstraint)
}
字段
networkTypeConstraint

enum (NetworkTypeConstraint)

可选。网络类型约束条件。

chargingConstraint

enum (ChargingConstraint)

可选。充电约束条件。

deviceIdleConstraint

enum (DeviceIdleConstraint)

可选。设备空闲限制。

NetworkTypeConstraint

网络类型约束条件。

枚举
NETWORK_TYPE_CONSTRAINT_UNSPECIFIED 未指定。默认为 INSTALL_ON_ANY_NETWORK
INSTALL_ON_ANY_NETWORK 任何有效的网络(Wi-Fi、移动网络等)。
INSTALL_ONLY_ON_UNMETERED_NETWORK 任何不限流量的网络(例如 Wi-Fi)。

ChargingConstraint

充电约束条件。

枚举
CHARGING_CONSTRAINT_UNSPECIFIED 未指定。默认为 CHARGING_NOT_REQUIRED
CHARGING_NOT_REQUIRED 设备不必充电。
INSTALL_ONLY_WHEN_CHARGING 设备必须处于充电状态。

DeviceIdleConstraint

设备空闲状态约束条件。

枚举
DEVICE_IDLE_CONSTRAINT_UNSPECIFIED 未指定。默认为 DEVICE_IDLE_NOT_REQUIRED
DEVICE_IDLE_NOT_REQUIRED 设备不必处于空闲状态,可以在用户与设备互动时安装应用。
INSTALL_ONLY_WHEN_DEVICE_IDLE 设备必须处于空闲状态。

UserControlSettings

指定是否允许对给定应用进行用户控制。用户控制包括强行停止和清除应用数据等用户操作。Android 11 及更高版本支持此设置。如果为应用设置了 extensionConfig,则无论设置的值如何,都禁止用户控制该应用。对于自助服务终端应用,可以使用 USER_CONTROL_ALLOWED 来允许用户控制。

枚举
USER_CONTROL_SETTINGS_UNSPECIFIED 使用应用的默认行为来确定是否允许用户控制。对于大多数应用,默认情况下允许用户控制,但对于一些关键应用(例如配套应用 [extensionConfig 设为 true])、自助服务终端应用和其他关键系统应用),不允许用户控制。
USER_CONTROL_ALLOWED 允许用户控制应用。自助服务终端应用可以使用此属性来允许用户控制。
USER_CONTROL_DISALLOWED 不允许用户控制应用。如果 Android 版本低于 11,则会报告 API_LEVEL

KeyguardDisabledFeature

可停用的屏保(锁定屏幕)功能。

枚举
KEYGUARD_DISABLED_FEATURE_UNSPECIFIED 系统会忽略此值。
CAMERA 在安全的屏幕保护程序屏幕(例如 PIN 码)上停用相机。
NOTIFICATIONS 停用在安全的屏幕保护程序屏幕上显示所有通知。
UNREDACTED_NOTIFICATIONS 在安全的屏幕保护程序屏幕上停用未隐去敏感信息的通知。
TRUST_AGENTS 忽略安全屏幕锁定器屏幕上的可信代理状态。
DISABLE_FINGERPRINT 在安全的屏保界面上停用指纹传感器。
DISABLE_REMOTE_INPUT 在搭载 Android 6 及更低版本的设备上,停用在安全屏保界面上输入通知文本的功能。对 Android 7 及更高版本没有影响。
FACE 在安全屏保界面上停用人脸识别。
IRIS 在安全的屏保界面上停用虹膜验证。
BIOMETRICS 在安全的屏幕保护程序屏幕上停用所有生物识别身份验证。
SHORTCUTS 在 Android 14 及更高版本中停用了安全屏保上的所有快捷方式。
ALL_FEATURES 停用所有当前和未来的锁屏自定义设置。

PersistentPreferredActivity

用于处理与特定 intent 过滤器匹配的 intent 的默认 activity。注意:如需设置自助终端,请将 InstallType 设置为 KIOSK,而不是使用永久性首选 activity。

JSON 表示法
{
  "receiverActivity": string,
  "actions": [
    string
  ],
  "categories": [
    string
  ]
}
字段
receiverActivity

string

应作为默认 intent 处理程序的 activity。此名称应为 Android 组件名称,例如 com.android.enterprise.app/.MainActivity。或者,该值可以是应用的软件包名称,这会导致 Android 设备政策从应用中选择适当的 activity 来处理 intent。

actions[]

string

要在过滤器中匹配的 intent 操作。如果过滤条件中包含任何操作,则 intent 的操作必须是这些值之一,才能匹配。如果未包含任何操作,系统会忽略 intent 操作。

categories[]

string

要在过滤器中匹配的 intent 类别。intent 包含它所需的类别,过滤器中必须包含所有这些类别才能进行匹配。换句话说,除非 intent 中指定了相应类别,否则向过滤器添加类别对匹配没有影响。

SystemUpdate

用于管理系统更新的配置

注意Google Play 系统更新(也称为 Mainline 更新)会自动下载,但需要重新启动设备才能安装。如需了解详情,请参阅管理系统更新中的 Mainline 部分。

JSON 表示法
{
  "type": enum (SystemUpdateType),
  "startMinutes": integer,
  "endMinutes": integer,
  "freezePeriods": [
    {
      object (FreezePeriod)
    }
  ]
}
字段
type

enum (SystemUpdateType)

要配置的系统更新类型。

startMinutes

integer

如果类型为 WINDOWED,则表示维护期的开始时间,以设备本地时间的午夜之后的分钟数表示。此值必须介于 0 到 1439 之间(包括这两个数值)。

endMinutes

integer

如果类型为 WINDOWED,则表示维护窗口的结束时间,以设备本地时间的午夜之后的分钟数表示。此值必须介于 0 到 1439 之间(包括这两个数值)。如果此值小于 startMinutes,则维护窗口会跨越午夜。如果指定的维护时间窗口小于 30 分钟,则实际维护时间窗口会延长到开始时间后 30 分钟。

freezePeriods[]

object (FreezePeriod)

每年重复的时段,系统会推迟无线下载 (OTA) 系统更新,以冻结设备上运行的操作系统版本。为防止无限期冻结设备,每个冻结期之间必须至少间隔 60 天。

SystemUpdateType

系统更新配置的类型。

枚举
SYSTEM_UPDATE_TYPE_UNSPECIFIED 遵循设备的默认更新行为,通常需要用户接受系统更新。
AUTOMATIC 有可用更新时,立即自动安装。
WINDOWED

在每日维护时段内自动安装。这还会配置 Play 应用在该时间范围内进行更新。强烈建议为自助服务终端设备采用这种方式,因为只有这样,Play 才能更新固定到前台的应用。

如果为应用将 autoUpdateMode 设置为 AUTO_UPDATE_HIGH_PRIORITY,则系统会忽略该应用的维护窗口,并尽快更新该应用,即使在维护窗口之外也是如此。

POSTPONE 推迟自动安装,最长可推迟 30 天。此政策不会影响安全更新(例如每月安全补丁)。

FreezePeriod

系统冻结期。当设备的时钟处于冻结期时,所有传入的系统更新(包括安全补丁)都会被屏蔽,并且不会被安装。

当设备不在任何设定的冻结期内时,系统会应用正常的政策行为(自动、分阶段或推迟)。

在计算冻结期时,系统会忽略闰年,具体如下:

  • 如果将 2 月 29 日设置为冻结期的开始日期或结束日期,则冻结期将改为从 2 月 28 日开始或结束。
  • 如果设备的系统时钟显示 2 月 29 日,则会被视为 2 月 28 日。
  • 在计算冻结期的天数或两个冻结期之间的时间时,系统会忽略 2 月 29 日,而不会将其计为一日。

注意:为了使冻结期生效,SystemUpdateType 不能指定为 SYSTEM_UPDATE_TYPE_UNSPECIFIED,因为冻结期需要指定已定义的政策。

JSON 表示法
{
  "startDate": {
    object (Date)
  },
  "endDate": {
    object (Date)
  }
}
字段
startDate

object (Date)

冻结期的开始日期(含此日期)。注意:不得设置 year。例如 {"month": 1,"date": 30}

endDate

object (Date)

冻结期的结束日期(含此日期)。不得晚于开始日期后的 90 天。如果结束日期早于开始日期,冻结期会被视为跨年。注意:不得设置 year。例如 {"month": 1,"date": 30}

日期

表示整个或部分日历日期(例如生日)。一天中的时间和时区要么在别处指定,要么不重要。日期相对于公历。可以表示以下任一情况:

  • 包含非零年份、月份和天值的完整日期。
  • 月份和天,年份值为零(例如周年纪念日)。
  • 单独的年份,月份和天值为零。
  • 年份和月份,天值为零(例如,信用卡到期日期)。

相关类型:

JSON 表示法
{
  "year": integer,
  "month": integer,
  "day": integer
}
字段
year

integer

日期中的年份。必须介于 1 到 9999 之间,或为 0(即指定不含年份的日期)。

month

integer

一年中的第几个月。必须介于 1 到 12 之间,或为 0(即只指定年份,不指定月份和天值)。

day

integer

一个月中的第几天。必须介于 1 到 31 之间并且对年份和月份有效,或为 0(即天不重要,指定单独的年份或者年份和月份)。

StatusReportingSettings

用于控制状态报告行为的设置。

JSON 表示法
{
  "applicationReportsEnabled": boolean,
  "deviceSettingsEnabled": boolean,
  "softwareInfoEnabled": boolean,
  "memoryInfoEnabled": boolean,
  "networkInfoEnabled": boolean,
  "displayInfoEnabled": boolean,
  "powerManagementEventsEnabled": boolean,
  "hardwareStatusEnabled": boolean,
  "systemPropertiesEnabled": boolean,
  "applicationReportingSettings": {
    object (ApplicationReportingSettings)
  },
  "commonCriteriaModeEnabled": boolean
}
字段
applicationReportsEnabled

boolean

应用报告是否已启用。

deviceSettingsEnabled

boolean

是否启用了设备设置报告。

softwareInfoEnabled

boolean

是否启用了软件信息报告。

memoryInfoEnabled

boolean

是否启用了内存事件报告。

networkInfoEnabled

boolean

是否启用了网络信息报告。

displayInfoEnabled

boolean

是否启用了显示报告。报告数据不适用于具有工作资料的个人设备。

powerManagementEventsEnabled

boolean

是否启用了电源管理事件报告。报告数据不适用于具有工作资料的个人设备。

hardwareStatusEnabled

boolean

是否启用了硬件状态报告。报告数据不适用于具有工作资料的个人设备。

systemPropertiesEnabled

boolean

系统属性报告是否已启用。

applicationReportingSettings

object (ApplicationReportingSettings)

应用报告设置。仅当 applicationReportsEnabled 为 true 时适用。

commonCriteriaModeEnabled

boolean

是否启用了 Common Criteria Mode 报告。只有公司自有设备支持此功能。

ApplicationReportingSettings

用于控制应用报告行为的设置。

JSON 表示法
{
  "includeRemovedApps": boolean
}
字段
includeRemovedApps

boolean

移除的应用是否包含在应用报告中。

PackageNameList

软件包名称列表。

JSON 表示法
{
  "packageNames": [
    string
  ]
}
字段
packageNames[]

string

软件包名称列表。

BatteryPluggedMode

插入电池的模式。

枚举
BATTERY_PLUGGED_MODE_UNSPECIFIED 系统会忽略此值。
AC 电源是交流充电器。
USB 电源是 USB 端口。
WIRELESS 电源是无线的。

ProxyInfo

HTTP 代理的配置信息。对于直接代理,请设置 hostportexcludedHosts 字段。对于 PAC 脚本代理,请设置 pacUri 字段。

JSON 表示法
{
  "host": string,
  "port": integer,
  "excludedHosts": [
    string
  ],
  "pacUri": string
}
字段
host

string

直接代理的主机。

port

integer

直接代理的端口。

excludedHosts[]

string

对于直接代理,要绕过代理的主机。主机名可以包含通配符,例如 *.example.com。

pacUri

string

用于配置代理的 PAC 脚本的 URI。

ChoosePrivateKeyRule

控制应用对私钥的访问权限。该规则决定 Android 设备政策向指定应用授予哪个私钥(如果有)。当应用调用 KeyChain.choosePrivateKeyAlias(或任何重载)来请求给定网址的私钥别名时,或者在 Android 11 及更高版本上直接针对非网址专用规则(即 urlPattern 未设置或设置为空字符串或 .*)授予访问权限时,应用可以直接调用 KeyChain.getPrivateKey,而无需先调用 KeyChain.choosePrivateKeyAlias

当应用调用 KeyChain.choosePrivateKeyAlias 时,如果有多个 choosePrivateKeyRules 匹配,则最后一个匹配规则会定义要返回的键别名。

JSON 表示法
{
  "urlPattern": string,
  "packageNames": [
    string
  ],
  "privateKeyAlias": string
}
字段
urlPattern

string

要与请求的网址进行匹配的网址格式。如果未设置或为空,则会匹配所有网址。此参数使用 java.util.regex.Pattern 的正则表达式语法。

packageNames[]

string

此规则适用的软件包名称。系统会根据 Play 提供的哈希对每个应用的签名证书的哈希进行验证。如果未指定任何软件包名称,系统会向调用 KeyChain.choosePrivateKeyAlias 或任何重载的所有应用提供别名(但如果未调用 KeyChain.choosePrivateKeyAlias,则不会提供别名,即使在 Android 11 及更高版本中也是如此)。任何与此处指定的软件包具有相同 Android UID 的应用在调用 KeyChain.choosePrivateKeyAlias 时都将拥有访问权限。

privateKeyAlias

string

要使用的私钥的别名。

AlwaysOnVpnPackage

始终开启的 VPN 连接的配置。

JSON 表示法
{
  "packageName": string,
  "lockdownEnabled": boolean
}
字段
packageName

string

VPN 应用的软件包名称。

lockdownEnabled

boolean

在 VPN 未连接时禁止网络连接。

LocationMode

工作资料和完全受管理的设备上启用的位置信息检测程度。

枚举
LOCATION_MODE_UNSPECIFIED 默认为 LOCATION_USER_CHOICE
HIGH_ACCURACY

在 Android 8 及更低版本中,系统会启用所有位置检测方法,包括 GPS、网络和其他传感器。在 Android 9 及更高版本中,这等同于 LOCATION_ENFORCED

SENSORS_ONLY

在 Android 8 及更低版本中,仅启用 GPS 和其他传感器。在 Android 9 及更高版本中,这等同于 LOCATION_ENFORCED

BATTERY_SAVING

在 Android 8 及更低版本中,仅启用网络位置信息提供程序。在 Android 9 及更高版本中,这等同于 LOCATION_ENFORCED

OFF

在 Android 8 及更低版本中,位置信息设置和精确度处于停用状态。在 Android 9 及更高版本中,这等同于 LOCATION_DISABLED

LOCATION_USER_CHOICE 设备上未限制位置信息设置。不会设置或强制执行任何特定行为。
LOCATION_ENFORCED 在设备上启用位置信息设置。
LOCATION_DISABLED 在设备上停用位置信息设置。

ComplianceRule

用于声明当设备不符合其政策时要执行哪些缓解措施的规则。对于每条规则,总会有一个隐式缓解措施,用于将 Device 资源的 policyCompliant 设置为 false,并在设备上显示一条消息,指明设备不符合其政策。您还可以视规则中的字段值而定,选择执行其他缓解措施。

JSON 表示法
{
  "disableApps": boolean,
  "packageNamesToDisable": [
    string
  ],

  // Union field condition can be only one of the following:
  "nonComplianceDetailCondition": {
    object (NonComplianceDetailCondition)
  },
  "apiLevelCondition": {
    object (ApiLevelCondition)
  }
  // End of list of possible types for union field condition.
}
字段
disableApps

boolean

如果设置为 true,该规则会包含一项缓解措施来停用应用,以便有效停用设备,但保留应用数据。如果设备在锁定的任务模式下运行应用,系统会关闭该应用,并显示一个界面来显示不合规的原因。

packageNamesToDisable[]

string

如果已设置,该规则会包含缓解措施,以停用列表中指定的应用,但会保留应用数据。

联合字段 condition。条件。如果满足该条件,系统会触发规则中定义的缓解措施。必须设置其中一个条件。condition 只能是下列其中一项:
nonComplianceDetailCondition

object (NonComplianceDetailCondition)

如果设备存在任何匹配的 NonComplianceDetail,则满足此条件。

apiLevelCondition

object (ApiLevelCondition)

如果设备上的 Android 框架 API 级别不满足最低要求,则满足此条件。

NonComplianceDetailCondition

法规遵从规则条件:如果设备存在任何匹配的 NonComplianceDetail,则满足此条件。如果 NonComplianceDetailCondition 中设置的所有字段都与相应的 NonComplianceDetail 字段匹配,则 NonComplianceDetailNonComplianceDetailCondition 匹配。

JSON 表示法
{
  "settingName": string,
  "nonComplianceReason": enum (NonComplianceReason),
  "packageName": string
}
字段
settingName

string

政策设置的名称。这是顶级 Policy 字段的 JSON 字段名称。如果未设置,则此条件与任何设置名称都匹配。

nonComplianceReason

enum (NonComplianceReason)

设备不符合设置的原因。如果未设置,则此条件与任何原因匹配。

packageName

string

不合规应用的软件包名称。如果未设置,则此条件与任何软件包名称都匹配。

ApiLevelCondition

如果设备上的 Android 框架 API 级别不满足最低要求,则满足的合规性规则条件。每项政策只能有一个包含此类条件的规则。

JSON 表示法
{
  "minApiLevel": integer
}
字段
minApiLevel

integer

所需的最低 Android 框架 API 级别。如果设备不符合最低要求,则满足此条件。必须大于零。

AppAutoUpdatePolicy

建议的替代方案:autoUpdateMode(按应用设置),可在更新频率方面提供更大的灵活性。

autoUpdateMode 设置为 AUTO_UPDATE_POSTPONEDAUTO_UPDATE_HIGH_PRIORITY 时,此字段无效。

应用自动更新政策,用于控制何时可以应用自动应用更新。

枚举
APP_AUTO_UPDATE_POLICY_UNSPECIFIED 未设置自动更新政策。等同于 CHOICE_TO_THE_USER
CHOICE_TO_THE_USER 用户可以控制自动更新。
NEVER 应用绝不会自动更新。
WIFI_ONLY 应用仅通过 WLAN 自动更新。
ALWAYS 应用会随时自动更新。这可能会产生流量费。

AppTrack

Google Play 应用发布轨道。

枚举
APP_TRACK_UNSPECIFIED 系统会忽略此值。
PRODUCTION 正式版轨道,提供最新的稳定版。
BETA Beta 版轨道,提供最新的 Beta 版。

EncryptionPolicy

加密类型

枚举
ENCRYPTION_POLICY_UNSPECIFIED 系统会忽略此值,即无需加密
ENABLED_WITHOUT_PASSWORD 需要加密,但无需密码即可启动
ENABLED_WITH_PASSWORD 需要加密,且必须输入密码才能启动

PlayStoreMode

Play 商店模式政策的可能值。

枚举
PLAY_STORE_MODE_UNSPECIFIED 未指定。默认值为 WHITELIST。
WHITELIST 只有政策中列出的应用才可供使用,政策中未列出的任何应用都会从设备上自动卸载。
BLACKLIST 所有应用均可供使用,并且不应在设备上安装的任何应用都应在 applications 政策中明确标记为“已屏蔽”。

SetupAction

在设置过程中执行的操作。

JSON 表示法
{
  "title": {
    object (UserFacingMessage)
  },
  "description": {
    object (UserFacingMessage)
  },

  // Union field action can be only one of the following:
  "launchApp": {
    object (LaunchAppAction)
  }
  // End of list of possible types for union field action.
}
字段
title

object (UserFacingMessage)

此操作的标题。

description

object (UserFacingMessage)

此操作的说明。

联合字段 action。在设置期间要执行的操作。action 只能是下列其中一项:
launchApp

object (LaunchAppAction)

用于启动应用的操作。系统将使用包含一个 extra 的 intent 启动应用,其中键 com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION 设置为布尔值 true,以指示这是设置操作流程。如果 SetupAction 引用应用,则应用政策中的相应 installType 必须设为 REQUIRED_FOR_SETUP,否则上述设置将会失败。

LaunchAppAction

用于启动应用的操作。

JSON 表示法
{

  // Union field launch can be only one of the following:
  "packageName": string
  // End of list of possible types for union field launch.
}
字段
联合字段 launch。要执行的启动操作的说明 launch 只能是以下各项之一:
packageName

string

要启动的应用的软件包名称

PolicyEnforcementRule

用于定义在设备或工作资料不符合 settingName 中指定的政策时要执行的操作的规则。如果存在多条匹配的违规处置规则或多条触发的违规处置规则,系统会合并这些规则,并采取最严厉的处置措施。不过,系统仍会跟踪所有触发的规则,包括初始触发时间和所有相关的不合规详细信息。如果满足最严厉的违规处置规则,系统会应用下一个最合适的处置措施。

JSON 表示法
{
  "blockAction": {
    object (BlockAction)
  },
  "wipeAction": {
    object (WipeAction)
  },

  // Union field trigger can be only one of the following:
  "settingName": string
  // End of list of possible types for union field trigger.
}
字段
blockAction

object (BlockAction)

用于禁止访问公司自有设备或工作资料中的应用和数据的操作。此操作还会触发面向用户的通知,其中包含有关如何更正合规性问题的信息(如果可能)。注意:还必须指定 wipeAction

wipeAction

object (WipeAction)

用于重置公司自有设备或删除工作资料的操作。注意:还必须指定 blockAction

联合字段 trigger。触发此规则的条件。trigger 只能是下列其中一项:
settingName

string

要强制执行的顶级政策。例如,applicationspasswordPolicies

BlockAction

用于禁止访问完全受管设备或工作资料中的应用和数据的操作。此操作还会触发设备或工作资料显示面向用户的通知,其中包含有关如何更正合规性问题的信息(如果可能)。注意:还必须指定 wipeAction

JSON 表示法
{
  "blockAfterDays": integer,
  "blockScope": enum (BlockScope)
}
字段
blockAfterDays

integer

设备或工作资料违反政策的天数上限。如需立即禁止访问,请将其设置为 0。blockAfterDays 必须小于 wipeAfterDays

blockScope

enum (BlockScope)

指定此 BlockAction 的范围。仅适用于公司自有设备。

BlockScope

指定 BlockAction 的范围。仅适用于公司自有设备。

枚举
BLOCK_SCOPE_UNSPECIFIED 未指定。默认为 BLOCK_SCOPE_WORK_PROFILE
BLOCK_SCOPE_WORK_PROFILE 屏蔽操作仅适用于工作资料中的应用。个人资料中的应用不会受到影响。
BLOCK_SCOPE_DEVICE 屏蔽操作会应用于整个设备,包括个人资料中的应用。

WipeAction

用于重置公司自有设备或删除工作资料的操作。注意:还必须指定 blockAction

JSON 表示法
{
  "wipeAfterDays": integer,
  "preserveFrp": boolean
}
字段
wipeAfterDays

integer

设备或工作资料违反政策的天数上限。wipeAfterDays 必须大于 blockAfterDays

preserveFrp

boolean

设备上是否保留了恢复出厂设置保护机制数据。此设置不适用于工作资料。

KioskCustomization

用于控制设备在自助服务终端模式下的行为的设置。如需启用自助服务终端模式,请将 kioskCustomLauncherEnabled 设置为 true,或使用 installType KIOSK 在政策中指定应用。

JSON 表示法
{
  "powerButtonActions": enum (PowerButtonActions),
  "systemErrorWarnings": enum (SystemErrorWarnings),
  "systemNavigation": enum (SystemNavigation),
  "statusBar": enum (StatusBar),
  "deviceSettings": enum (DeviceSettings)
}
字段
powerButtonActions

enum (PowerButtonActions)

设置用户按住(长按)电源按钮时,设备在 kiosk 模式下的行为。

systemErrorWarnings

enum (SystemErrorWarnings)

指定在自助服务终端模式下是否屏蔽崩溃或无响应的应用的系统错误对话框。被屏蔽后,系统会强制停止应用,就像用户在界面上选择“关闭应用”选项一样。

systemNavigation

enum (SystemNavigation)

指定在自助服务终端模式下启用哪些导航功能(例如“主屏幕”和“概览”按钮)。

statusBar

enum (StatusBar)

指定是否在自助服务终端模式下停用系统信息和通知。

deviceSettings

enum (DeviceSettings)

指定是否允许在自助服务终端模式下使用“设置”应用。

PowerButtonActions

设置用户按住(长按)电源按钮时,设备在 kiosk 模式下的行为。

枚举
POWER_BUTTON_ACTIONS_UNSPECIFIED 未指定,默认为 POWER_BUTTON_AVAILABLE
POWER_BUTTON_AVAILABLE 当用户在自助服务终端模式下长按设备的电源按钮时,系统会显示电源菜单(例如“关机”“重启”)。
POWER_BUTTON_BLOCKED 当用户在自助服务终端模式下长按设备的电源按钮时,系统不会显示电源菜单(例如“关机”“重启”)。注意:这可能会阻止用户关闭设备。

SystemErrorWarnings

指定在自助服务终端模式下是否屏蔽因崩溃或无响应而显示的系统错误对话框。

枚举
SYSTEM_ERROR_WARNINGS_UNSPECIFIED 未指定,默认为 ERROR_AND_WARNINGS_MUTED
ERROR_AND_WARNINGS_ENABLED 系统会显示所有系统错误对话框,例如崩溃和应用无响应 (ANR)。
ERROR_AND_WARNINGS_MUTED 所有系统错误对话框(例如崩溃和应用无响应 [ANR])都会被屏蔽。被屏蔽后,系统会强制停止应用,就像用户从界面关闭应用一样。

SystemNavigation

指定在自助服务终端模式下启用哪些导航功能(例如“主屏幕”和“概览”按钮)。

枚举
SYSTEM_NAVIGATION_UNSPECIFIED 未指定,默认为 NAVIGATION_DISABLED
NAVIGATION_ENABLED “主屏幕”和“概览”按钮处于启用状态。
NAVIGATION_DISABLED 无法访问“主屏幕”和“概览”按钮。
HOME_BUTTON_ONLY 只有主屏幕按钮处于启用状态。

StatusBar

指定是否在自助服务终端模式下停用系统信息和通知。

枚举
STATUS_BAR_UNSPECIFIED 未指定,默认为 INFO_AND_NOTIFICATIONS_DISABLED
NOTIFICATIONS_AND_SYSTEM_INFO_ENABLED

在自助服务终端模式下,系统信息和通知会显示在状态栏中。

注意:如需使此政策生效,必须使用 kioskCustomization.systemNavigation 启用设备的主屏幕按钮。

NOTIFICATIONS_AND_SYSTEM_INFO_DISABLED 在自助服务终端模式下,系统信息和通知会被停用。
SYSTEM_INFO_ONLY 状态栏中仅显示系统信息。

DeviceSettings

指定用户在自助服务终端模式下是否可以访问设备的“设置”应用。

枚举
DEVICE_SETTINGS_UNSPECIFIED 未指定,默认为 SETTINGS_ACCESS_ALLOWED
SETTINGS_ACCESS_ALLOWED 在自助服务终端模式下,允许访问“设置”应用。
SETTINGS_ACCESS_BLOCKED 在自助服务终端模式下,不允许访问“设置”应用。

AdvancedSecurityOverrides

高级安全设置。在大多数情况下,无需设置这些参数。

JSON 表示法
{
  "untrustedAppsPolicy": enum (UntrustedAppsPolicy),
  "googlePlayProtectVerifyApps": enum (GooglePlayProtectVerifyApps),
  "developerSettings": enum (DeveloperSettings),
  "commonCriteriaMode": enum (CommonCriteriaMode),
  "personalAppsThatCanReadWorkNotifications": [
    string
  ],
  "mtePolicy": enum (MtePolicy),
  "contentProtectionPolicy": enum (ContentProtectionPolicy)
}
字段
untrustedAppsPolicy

enum (UntrustedAppsPolicy)

在设备上强制执行的针对不可信应用(来自未知来源的应用)的政策。替换了 installUnknownSourcesAllowed (deprecated).

googlePlayProtectVerifyApps

enum (GooglePlayProtectVerifyApps)

是否强制执行 Google Play 保护机制验证。取代 ensureVerifyAppsEnabled(已弃用)。

developerSettings

enum (DeveloperSettings)

控制对开发者设置的访问权限:开发者选项和安全启动。取代了 safeBootDisabled(已废弃)和 debuggingFeaturesAllowed(已废弃)。

commonCriteriaMode

enum (CommonCriteriaMode)

控制 Common Criteria 模式 - 信息技术安全评估通用标准 (CC) 中定义的安全标准。启用通用标准模式可增强设备上某些安全组件的安全性,如需了解详情,请参阅 CommonCriteriaMode

警告:通用评估准则模式会强制执行严格的安全模型,通常仅适用于国家安全系统和其他高度敏感组织使用的 IT 产品。标准设备使用可能会受到影响。仅在需要时启用。如果之前启用了通用评测标准模式,但之后又将其关闭,则所有用户配置的 Wi-Fi 网络都可能会丢失,并且需要用户输入的所有企业配置的 Wi-Fi 网络都可能需要重新配置。

personalAppsThatCanReadWorkNotifications[]

string

可以使用 NotificationListenerService 读取工作资料通知的个人应用。默认情况下,除了系统应用外,任何个人应用都无法读取工作通知。列表中的每个值都必须是软件包名称。

mtePolicy

enum (MtePolicy)

可选。控制设备上的内存标记扩展 (MTE)。需要重新启动设备,才能将更改应用于 MTE 政策。

contentProtectionPolicy

enum (ContentProtectionPolicy)

可选。用于控制是否启用内容保护功能(用于扫描欺骗性应用)。Android 15 及更高版本支持此功能。

UntrustedAppsPolicy

在设备上强制执行的针对不可信应用(来自未知来源的应用)的政策。替换了 installUnknownSourcesAllowed (deprecated).

枚举
UNTRUSTED_APPS_POLICY_UNSPECIFIED 未指定。默认为 DISALLOW_INSTALL。
DISALLOW_INSTALL 默认。禁止在整个设备上安装不可信的应用。
ALLOW_INSTALL_IN_PERSONAL_PROFILE_ONLY 对于装有工作资料的设备,仅允许在设备的个人资料中安装不可信的应用。
ALLOW_INSTALL_DEVICE_WIDE 允许在整个设备上安装不可信的应用。

GooglePlayProtectVerifyApps

是否强制执行 Google Play 保护机制验证。取代 ensureVerifyAppsEnabled(已弃用)。

枚举
GOOGLE_PLAY_PROTECT_VERIFY_APPS_UNSPECIFIED 未指定。默认为 VERIFY_APPS_ENFORCED。
VERIFY_APPS_ENFORCED 默认。强制启用应用验证。
VERIFY_APPS_USER_CHOICE 允许用户选择是否启用应用验证。

DeveloperSettings

控制对开发者设置的访问权限:开发者选项和安全启动。取代了 safeBootDisabled(已废弃)和 debuggingFeaturesAllowed(已废弃)。

枚举
DEVELOPER_SETTINGS_UNSPECIFIED 未指定。默认为 DEVELOPER_SETTINGS_DISABLED。
DEVELOPER_SETTINGS_DISABLED 默认。停用所有开发者设置,并禁止用户访问这些设置。
DEVELOPER_SETTINGS_ALLOWED 允许使用所有开发者设置。用户可以访问这些设置,并可以选择配置这些设置。

CommonCriteriaMode

控制 Common Criteria 模式 - 信息技术安全评估通用标准 (CC) 中定义的安全标准。启用 Common Criteria 模式可增强设备上某些安全组件的安全性,包括:

  1. 蓝牙长期密钥的 AES-GCM 加密
  2. Wi-Fi 配置存储
  3. 额外的网络证书验证,需要使用 TLSv1.2 连接到 AM API 目标主机
  4. 加密政策完整性检查。建议将 statusReportingSettings.commonCriteriaModeEnabled 设置为 true,以获取政策完整性检查的状态。如果政策签名验证失败,系统不会在设备上应用该政策,并将 commonCriteriaModeInfo.policy_signature_verification_status 设为 POLICY_SIGNATURE_VERIFICATION_FAILED

只有搭载 Android 11 或更高版本的公司自有设备支持通用标准模式。

警告:通用评估准则模式会强制执行严格的安全模型,通常仅适用于国家安全系统和其他高度敏感组织使用的 IT 产品。标准设备使用可能会受到影响。仅在需要时启用。如果之前启用了通用评测标准模式,但之后又将其关闭,则所有用户配置的 Wi-Fi 网络都可能会丢失,并且需要用户输入的所有企业配置的 Wi-Fi 网络都可能需要重新配置。

枚举
COMMON_CRITERIA_MODE_UNSPECIFIED 未指定。默认为 COMMON_CRITERIA_MODE_DISABLED。
COMMON_CRITERIA_MODE_DISABLED 默认。停用 Common Criteria 模式。
COMMON_CRITERIA_MODE_ENABLED 启用 Common Criteria 模式。

MtePolicy

控制设备上的内存标记扩展 (MTE)

枚举
MTE_POLICY_UNSPECIFIED 未指定。默认为 MTE_USER_CHOICE
MTE_USER_CHOICE 如果设备支持,用户可以选择在设备上启用或停用 MTE。
MTE_ENFORCED

设备上启用了 MTE,且用户无法更改此设置。您可以在完全托管设备上设置此设置,也可以在公司自有设备上设置工作资料。对于其他管理模式,系统会报告带有 MANAGEMENT_MODEnonComplianceDetail。如果设备不支持 MTE,则报告带有 DEVICE_INCOMPATIBLEnonComplianceDetail

Android 14 及更高版本支持此功能。如果 Android 版本低于 14,则报告包含 API_LEVELnonComplianceDetail

MTE_DISABLED

设备上的 MTE 已停用,且用户无法更改此设置。这仅适用于完全受管的设备。在其他情况下,系统会报告包含 MANAGEMENT_MODEnonComplianceDetail。如果设备不支持 MTE,则报告带有 DEVICE_INCOMPATIBLEnonComplianceDetail

Android 14 及更高版本支持此功能。如果 Android 版本低于 14,则报告包含 API_LEVELnonComplianceDetail

ContentProtectionPolicy

用于控制是否启用内容保护功能(用于扫描欺骗性应用)。Android 15 及更高版本支持此功能。

枚举
CONTENT_PROTECTION_POLICY_UNSPECIFIED 未指定。默认为 CONTENT_PROTECTION_DISABLED
CONTENT_PROTECTION_DISABLED 内容保护功能已停用,用户无法更改此设置。
CONTENT_PROTECTION_ENFORCED

内容保护功能处于启用状态,用户无法更改此设置。

Android 15 及更高版本支持此功能。如果 Android 版本低于 15,则报告包含 API_LEVELnonComplianceDetail

CONTENT_PROTECTION_USER_CHOICE

内容保护不受该政策控制。用户可以选择内容保护行为。

Android 15 及更高版本支持此功能。如果 Android 版本低于 15,则报告包含 API_LEVELnonComplianceDetail

PersonalUsagePolicies

用于控制装有工作资料的公司自有设备的个人使用情况的政策。

JSON 表示法
{
  "cameraDisabled": boolean,
  "screenCaptureDisabled": boolean,
  "accountTypesWithManagementDisabled": [
    string
  ],
  "maxDaysWithWorkOff": integer,
  "personalPlayStoreMode": enum (PlayStoreMode),
  "personalApplications": [
    {
      object (PersonalApplicationPolicy)
    }
  ]
}
字段
cameraDisabled

boolean

如果为 true,则在个人资料中停用相机。

screenCaptureDisabled

boolean

如果为 true,则会为所有用户停用屏幕截图功能。

accountTypesWithManagementDisabled[]

string

用户无法管理的账号类型。

maxDaysWithWorkOff

integer

用于控制工作资料可以保持关闭状态的时长。最短时长不得少于 3 天。其他详细信息如下:

  • 如果将时长设置为 0,则表示关闭此功能。
  • 如果将时长设置为小于最短时长的值,该功能会返回错误。
注意:如果您想避免个人资料在长时间休息期间被暂停,可以暂时为此参数设置较大的值。

personalPlayStoreMode

enum (PlayStoreMode)

personalApplications 搭配使用,用于控制个人资料中的应用是被允许还是被屏蔽。

personalApplications[]

object (PersonalApplicationPolicy)

适用于个人资料中应用的政策。

PlayStoreMode

personalApplications 搭配使用,用于控制个人资料中的应用是被允许还是被屏蔽。

枚举
PLAY_STORE_MODE_UNSPECIFIED 未指定。默认为 BLOCKLIST
BLACKLIST

所有 Play 商店应用都可以在个人资料中安装,但 personalApplicationsinstallTypeBLOCKED 的应用除外。

BLOCKLIST 所有 Play 商店应用都可以在个人资料中安装,但 personalApplicationsinstallTypeBLOCKED 的应用除外。
ALLOWLIST 只有在 personalApplications 中明确指定且 installType 设为 AVAILABLE 的应用才能在个人资料中安装。

PersonalApplicationPolicy

适用于装有工作资料的公司自有设备个人资料中的应用的政策。

JSON 表示法
{
  "packageName": string,
  "installType": enum (InstallType)
}
字段
packageName

string

应用的软件包名称。

installType

enum (InstallType)

要执行的安装类型。

InstallType

个人资料应用可能具有的安装行为类型。

枚举
INSTALL_TYPE_UNSPECIFIED 未指定。默认为 AVAILABLE
BLOCKED 该应用已被屏蔽,无法在个人资料中安装。如果该应用之前已安装在设备上,系统会将其卸载。
AVAILABLE 该应用可在个人资料中安装。

AutoDateAndTimeZone

公司自有设备上是否启用了自动日期、时间和时区功能。

枚举
AUTO_DATE_AND_TIME_ZONE_UNSPECIFIED 未指定。默认为 AUTO_DATE_AND_TIME_ZONE_USER_CHOICE
AUTO_DATE_AND_TIME_ZONE_USER_CHOICE 自动日期、时间和时区由用户自行选择。
AUTO_DATE_AND_TIME_ZONE_ENFORCED 在设备上强制执行自动日期、时间和时区设置。

OncCertificateProvider

此功能尚未正式发布。

JSON 表示法
{
  "certificateReferences": [
    string
  ],

  // Union field endpoint can be only one of the following:
  "contentProviderEndpoint": {
    object (ContentProviderEndpoint)
  }
  // End of list of possible types for union field endpoint.
}
字段
certificateReferences[]

string

此功能尚未正式发布。

联合字段 endpoint

此功能尚未正式发布。endpoint 只能是下列其中一项:

contentProviderEndpoint

object (ContentProviderEndpoint)

此功能尚未正式发布。

ContentProviderEndpoint

此功能尚未正式发布。

JSON 表示法
{
  "uri": string,
  "packageName": string,
  "signingCertsSha256": [
    string
  ]
}
字段
uri

string

此功能尚未正式发布。

packageName

string

此功能尚未正式发布。

signingCertsSha256[]

string

必需。此功能尚未正式发布。

CrossProfilePolicies

控制哪些工作资料中的数据可以从个人资料访问,以及哪些个人资料中的数据可以从工作资料访问。如果设备没有工作资料,则会报告 nonComplianceDetailMANAGEMENT_MODE

JSON 表示法
{
  "showWorkContactsInPersonalProfile": enum (ShowWorkContactsInPersonalProfile),
  "crossProfileCopyPaste": enum (CrossProfileCopyPaste),
  "crossProfileDataSharing": enum (CrossProfileDataSharing),
  "workProfileWidgetsDefault": enum (WorkProfileWidgetsDefault),
  "exemptionsToShowWorkContactsInPersonalProfile": {
    object (PackageNameList)
  }
}
字段
showWorkContactsInPersonalProfile

enum (ShowWorkContactsInPersonalProfile)

个人应用是否可以访问存储在工作资料中的联系人。

另请参阅 exemptionsToShowWorkContactsInPersonalProfile

crossProfileCopyPaste

enum (CrossProfileCopyPaste)

是否可以将从一个资料(个人资料或工作资料)复制的文本粘贴到另一个资料中。

crossProfileDataSharing

enum (CrossProfileDataSharing)

一个资料(个人资料或工作资料)中的数据能否与另一个资料中的应用共享。专门通过 intent 控制简单的数据共享。其他跨资料通信渠道(例如联系人搜索、复制/粘贴或关联的工作应用和个人应用)的管理需要单独进行配置。

workProfileWidgetsDefault

enum (WorkProfileWidgetsDefault)

指定工作资料微件的默认行为。如果政策未为特定应用指定 workProfileWidgets,则该应用将根据此处指定的值进行行为。

exemptionsToShowWorkContactsInPersonalProfile

object (PackageNameList)

ShowWorkContactsInPersonalProfile 设置中排除的应用的列表。如需设置此属性,必须将 ShowWorkContactsInPersonalProfile 设置为以下值之一:

Android 14 及更高版本支持此功能。如果 Android 版本低于 14,则报告包含 API_LEVELnonComplianceDetail

ShowWorkContactsInPersonalProfile

个人应用是否可以访问工作资料联系人,包括联系人搜索和来电

注意:一旦任何个人应用访问了工作联系人,我们无法保证该联系人会保留在同一应用中,因为该联系人可能会被共享或转移到任何其他应用,具体取决于允许的应用的行为。

枚举
SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_UNSPECIFIED

未指定。默认为 SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_ALLOWED

设置此标志时,不得设置 exemptionsToShowWorkContactsInPersonalProfile

SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_DISALLOWED

阻止个人应用访问工作资料联系人和查找工作联系人。

设置此项后,exemptionsToShowWorkContactsInPersonalProfile 中指定的个人应用会被列入许可名单,并且可以直接访问工作资料联系人。

Android 7.0 及更高版本支持此设置。如果 Android 版本低于 7.0,则报告包含 API_LEVELnonComplianceDetail

SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_ALLOWED

默认。允许个人资料中的应用访问工作资料联系人,包括联系人搜索和来电。

设置此项后,exemptionsToShowWorkContactsInPersonalProfile 中指定的个人应用会被列入屏蔽名单,无法直接访问工作资料联系人。

Android 7.0 及更高版本支持此设置。如果 Android 版本低于 7.0,则报告包含 API_LEVELnonComplianceDetail

SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_DISALLOWED_EXCEPT_SYSTEM

除了 OEM 默认的拨号器、信息和通讯录应用外,阻止大多数个人应用访问工作资料联系人(包括联系人搜索和来电)。用户配置的拨号器、信息和通讯录应用,以及任何其他系统或 Play 安装的应用都无法直接查询工作联系人。

设置此项后,exemptionsToShowWorkContactsInPersonalProfile 中指定的个人应用会被列入许可名单,并且可以访问工作资料联系人。

Android 14 及更高版本支持此功能。如果在 Android 版本低于 14 的设备上设置此值,则行为会回退到 SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_DISALLOWED,并报告包含 API_LEVELnonComplianceDetail

CrossProfileCopyPaste

是否可以将从一个资料(个人资料或工作资料)复制的文本粘贴到另一个资料中。

枚举
CROSS_PROFILE_COPY_PASTE_UNSPECIFIED 未指定。默认为 COPY_FROM_WORK_TO_PERSONAL_DISALLOWED
COPY_FROM_WORK_TO_PERSONAL_DISALLOWED 默认。阻止用户将从工作资料复制的文本粘贴到个人资料中。从个人资料复制的文本可以粘贴到工作资料中,从工作资料复制的文本也可以粘贴到工作资料中。
CROSS_PROFILE_COPY_PASTE_ALLOWED 在任一资料中复制的文本都可以粘贴到另一资料中。

CrossProfileDataSharing

一个资料(个人资料或工作资料)中的数据能否与另一个资料中的应用共享。专门通过 intent 控制简单的数据共享。这包括打开网络浏览器、打开地图、分享内容、打开文档等操作。您可以单独配置其他跨资料通信渠道,例如联系人搜索、复制/粘贴或关联的工作应用和个人应用。

枚举
CROSS_PROFILE_DATA_SHARING_UNSPECIFIED 未指定。默认为 DATA_SHARING_FROM_WORK_TO_PERSONAL_DISALLOWED。
CROSS_PROFILE_DATA_SHARING_DISALLOWED 阻止将数据从个人资料共享到工作资料,以及将数据从工作资料共享到个人资料。
DATA_SHARING_FROM_WORK_TO_PERSONAL_DISALLOWED 默认。阻止用户将工作资料中的数据分享给个人资料中的应用。个人数据可以与工作应用共享。
CROSS_PROFILE_DATA_SHARING_ALLOWED 这两个个人资料中的数据可以共享。

WorkProfileWidgetsDefault

控制是否允许工作资料应用向未定义任何应用专用政策的主屏幕添加微件。否则,应用专用政策的优先级将高于此政策。

枚举
WORK_PROFILE_WIDGETS_DEFAULT_UNSPECIFIED 未指定。默认为 WORK_PROFILE_WIDGETS_DEFAULT_DISALLOWED。
WORK_PROFILE_WIDGETS_DEFAULT_ALLOWED 默认情况下,允许使用工作资料微件。这意味着,如果政策未将 workProfileWidgets 指定为应用的 WORK_PROFILE_WIDGETS_DISALLOWED,则该应用将能够将微件添加到主屏幕。
WORK_PROFILE_WIDGETS_DEFAULT_DISALLOWED 默认情况下,不允许使用工作资料微件。这意味着,如果政策未将 workProfileWidgets 指定为应用的 WORK_PROFILE_WIDGETS_ALLOWED,则该应用将无法将微件添加到主屏幕。

PreferentialNetworkService

控制是否在工作资料中启用优先网络服务。详情请参见 preferentialNetworkService

枚举
PREFERENTIAL_NETWORK_SERVICE_UNSPECIFIED 未指定。默认为 PREFERENTIAL_NETWORK_SERVICES_DISABLED
PREFERENTIAL_NETWORK_SERVICE_DISABLED 工作资料中的优选网络服务已停用。
PREFERENTIAL_NETWORK_SERVICE_ENABLED 工作资料中启用了优选网络服务。

UsageLog

用于控制从设备收集并通过 Pub/Sub 通知报告的设备活动日志的类型。

JSON 表示法
{
  "enabledLogTypes": [
    enum (LogType)
  ],
  "uploadOnCellularAllowed": [
    enum (LogType)
  ]
}
字段
enabledLogTypes[]

enum (LogType)

指定启用的日志类型。请注意,启用使用情况日志记录后,用户会收到设备端消息。

uploadOnCellularAllowed[]

enum (LogType)

指定哪些已启用的日志类型可以通过移动流量上传。默认情况下,日志会在设备连接到 Wi-Fi 时加入队列以进行上传。

LogType

设备报告的设备活动日志类型。

枚举
LOG_TYPE_UNSPECIFIED 此值未使用。
SECURITY_LOGS 启用设备端安全事件日志记录,例如输入设备密码不正确或挂载了可移动存储设备时。如需查看已记录的安全事件的完整说明,请参阅 UsageLogEvent。适用于搭载 Android 7 及更高版本的完全受管设备。适用于搭载 Android 12 及更高版本且设有工作资料的公司自有设备,在这些设备上,系统只会记录工作资料中的安全事件。可由应用委托的范围 SECURITY_LOGS 替换
NETWORK_ACTIVITY_LOGS 启用设备端网络事件(例如 DNS 查询和 TCP 连接)的日志记录。如需查看已记录的网络事件的完整说明,请参阅 UsageLogEvent。适用于搭载 Android 8 及更高版本的完全受管设备。适用于搭载 Android 12 及更高版本且设有工作资料的公司自有设备,仅会记录工作资料中的网络事件。可由应用委托的范围 NETWORK_ACTIVITY_LOGS 替换

CameraAccess

控制相机的使用以及用户是否有权访问相机访问切换开关。Android 12 及更高版本中提供了相机访问权限切换开关。一般而言,在完全受管设备上,可以停用设备端摄像头;在具有工作资料的设备上,只能在工作资料中停用摄像头。停用摄像头使用权限切换开关的选项仅适用于完全受管理的设备,在这种情况下,该选项会应用于整个设备。如需了解详情,请参阅枚举值。

枚举
CAMERA_ACCESS_UNSPECIFIED 如果 cameraDisabled 为 true,则等同于 CAMERA_ACCESS_DISABLED。否则,这等同于 CAMERA_ACCESS_USER_CHOICE
CAMERA_ACCESS_USER_CHOICE 系统会忽略 cameraDisabled 字段。这是设备的默认行为:设备上的所有摄像头均可使用。在 Android 12 及更高版本中,用户可以使用相机访问权限切换开关。
CAMERA_ACCESS_DISABLED

系统会忽略 cameraDisabled 字段。停用设备上的所有相机(对于完全受管设备,此设置适用于整个设备;对于工作资料,此设置仅适用于工作资料)。

Android 12 及更高版本对相机访问权限切换开关没有明确限制:在受完全管理的设备上,由于所有摄像头都处于停用状态,因此相机访问权限切换开关没有任何影响。在具有工作资料的设备上,此切换开关对工作资料中的应用没有影响,但会影响工作资料之外的应用。

CAMERA_ACCESS_ENFORCED 系统会忽略 cameraDisabled 字段。设备上的所有摄像头均可使用。在搭载 Android 12 及更高版本的完全受管设备上,用户无法使用相机访问权限切换开关。在非全托管设备或搭载 Android 11 或更低版本的设备上,这相当于 CAMERA_ACCESS_USER_CHOICE

MicrophoneAccess

在完全托管的设备上,控制麦克风的使用以及用户是否有权使用麦克风使用权限切换开关。此设置对非完全托管的设备没有影响。Android 12 及更高版本中提供了麦克风使用权限切换开关。

枚举
MICROPHONE_ACCESS_UNSPECIFIED 如果 unmuteMicrophoneDisabled 为 true,则等同于 MICROPHONE_ACCESS_DISABLED。否则,这等同于 MICROPHONE_ACCESS_USER_CHOICE
MICROPHONE_ACCESS_USER_CHOICE 系统会忽略 unmuteMicrophoneDisabled 字段。这是设备的默认行为:设备上的麦克风可用。在 Android 12 及更高版本中,用户可以使用麦克风访问权限切换开关。
MICROPHONE_ACCESS_DISABLED

系统会忽略 unmuteMicrophoneDisabled 字段。设备上的麦克风已停用(对于完全受管理的设备,此设置会应用于整个设备)。

由于麦克风已停用,因此麦克风使用权限切换开关没有任何效果。

MICROPHONE_ACCESS_ENFORCED 系统会忽略 unmuteMicrophoneDisabled 字段。设备上的麦克风可用。在搭载 Android 12 及更高版本的设备上,用户无法使用麦克风使用权限切换开关。在搭载 Android 11 或更低版本的设备上,这相当于 MICROPHONE_ACCESS_USER_CHOICE

DeviceConnectivityManagement

涵盖设备连接的控件,例如 Wi-Fi、USB 数据访问、键盘/鼠标连接等。

JSON 表示法
{
  "usbDataAccess": enum (UsbDataAccess),
  "configureWifi": enum (ConfigureWifi),
  "wifiDirectSettings": enum (WifiDirectSettings),
  "tetheringSettings": enum (TetheringSettings),
  "wifiSsidPolicy": {
    object (WifiSsidPolicy)
  },
  "wifiRoamingPolicy": {
    object (WifiRoamingPolicy)
  }
}
字段
usbDataAccess

enum (UsbDataAccess)

控制哪些文件和/或数据可以通过 USB 传输。仅适用于公司自有设备。

configureWifi

enum (ConfigureWifi)

控制 Wi-Fi 配置权限。根据所设置的选项,用户在配置 Wi-Fi 网络时将拥有完全控制权、有限控制权或无控制权。

wifiDirectSettings

enum (WifiDirectSettings)

用于控制配置和使用 Wi-Fi 直连设置的控件。在搭载 Android 13 及更高版本的公司自有设备上受支持。

tetheringSettings

enum (TetheringSettings)

控制网络共享设置。根据所设置的值,系统会禁止用户部分或完全使用不同的网络共享方式。

wifiSsidPolicy

object (WifiSsidPolicy)

限制设备可以连接到哪些 Wi-Fi SSID。请注意,这不会影响设备上可以配置的网络。在搭载 Android 13 及更高版本的公司自有设备上受支持。

wifiRoamingPolicy

object (WifiRoamingPolicy)

可选。Wi-Fi 漫游政策。

UsbDataAccess

控制哪些文件和/或数据可以通过 USB 传输。不会影响充电功能。仅适用于公司自有设备。

枚举
USB_DATA_ACCESS_UNSPECIFIED 未指定。默认为 DISALLOW_USB_FILE_TRANSFER
ALLOW_USB_DATA_TRANSFER 允许所有类型的 USB 数据传输。usbFileTransferDisabled 会被忽略。
DISALLOW_USB_FILE_TRANSFER 不允许通过 USB 传输文件。允许使用其他类型的 USB 数据连接,例如鼠标和键盘连接。usbFileTransferDisabled 会被忽略。
DISALLOW_USB_DATA_TRANSFER 设置后,系统会禁止所有类型的 USB 数据传输。适用于搭载 Android 12 或更高版本且具有 USB HAL 1.3 或更高版本的设备。如果不支持该设置,系统会设置 DISALLOW_USB_FILE_TRANSFER。如果 Android 版本低于 12,则报告包含 API_LEVELnonComplianceDetail。如果设备不具有 USB HAL 1.3 或更高版本,则报告带有 DEVICE_INCOMPATIBLEnonComplianceDetailusbFileTransferDisabled 会被忽略。

ConfigureWifi

控制 Wi-Fi 配置权限。根据所设置的选项,用户在配置 Wi-Fi 网络时将拥有完全控制权、有限控制权或无控制权。

枚举
CONFIGURE_WIFI_UNSPECIFIED 未指定。默认值为 ALLOW_CONFIGURING_WIFI,除非 wifiConfigDisabled 设置为 true。如果将 wifiConfigDisabled 设置为 true,则等同于 DISALLOW_CONFIGURING_WIFI
ALLOW_CONFIGURING_WIFI 允许用户配置 Wi-Fi。wifiConfigDisabled 会被忽略。
DISALLOW_ADD_WIFI_CONFIG 不允许添加新的 Wi-Fi 配置。用户只能在已配置的网络之间切换。在 Android 13 及更高版本、完全托管设备以及公司自有设备上的工作资料中受支持。如果不支持此设置,则设置 ALLOW_CONFIGURING_WIFI。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetailwifiConfigDisabled 会被忽略。
DISALLOW_CONFIGURING_WIFI 禁止配置 Wi-Fi 网络。设置此值后,系统会忽略 wifiConfigDisabled 设置。在所有受支持的 API 级别上,完全受管设备和公司自有设备上的“工作资料”均受支持。对于完全受管理的设备,设置此属性会移除所有已配置的网络,仅保留使用 openNetworkConfiguration 政策配置的网络。对于公司自有设备上的工作资料,现有已配置的网络不会受到影响,并且用户将无法添加、移除或修改 Wi-Fi 网络。注意:如果无法在启动时建立网络连接,并且配置 Wi-Fi 已停用,系统会显示网络应急舱口,以便刷新设备政策(请参阅 networkEscapeHatchEnabled)。

WifiDirectSettings

控制 Wi-Fi 直连设置。在搭载 Android 13 及更高版本的公司自有设备上受支持。

枚举
WIFI_DIRECT_SETTINGS_UNSPECIFIED 未指定。默认设置为 ALLOW_WIFI_DIRECT
ALLOW_WIFI_DIRECT 允许用户使用 Wi-Fi 直连。
DISALLOW_WIFI_DIRECT 用户无法使用 Wi-Fi 直连。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetail

TetheringSettings

控制用户可以使用不同形式的网络共享(例如 Wi-Fi 网络共享、蓝牙网络共享等)的程度。

枚举
TETHERING_SETTINGS_UNSPECIFIED 未指定。默认值为 ALLOW_ALL_TETHERING,除非 tetheringConfigDisabled 设置为 true。如果将 tetheringConfigDisabled 设置为 true,则等同于 DISALLOW_ALL_TETHERING
ALLOW_ALL_TETHERING 允许配置和使用所有形式的网络共享。tetheringConfigDisabled 会被忽略。
DISALLOW_WIFI_TETHERING 禁止用户使用 Wi-Fi 网络共享。在搭载 Android 13 及更高版本的公司自有设备上受支持。如果不支持该设置,系统会设置 ALLOW_ALL_TETHERING。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetailtetheringConfigDisabled 会被忽略。
DISALLOW_ALL_TETHERING 禁止所有形式的网络共享。在所有受支持的 Android 版本上,完全受管设备和公司自有设备上的“工作资料”均支持此设置。系统会忽略设置 tetheringConfigDisabled

WifiSsidPolicy

限制设备可以连接到哪些 Wi-Fi SSID。请注意,这不会影响设备上可以配置的网络。在搭载 Android 13 及更高版本的公司自有设备上受支持。

JSON 表示法
{
  "wifiSsidPolicyType": enum (WifiSsidPolicyType),
  "wifiSsids": [
    {
      object (WifiSsid)
    }
  ]
}
字段
wifiSsidPolicyType

enum (WifiSsidPolicyType)

要应用的 Wi-Fi SSID 政策的类型。

wifiSsids[]

object (WifiSsid)

可选。应在政策中应用的 Wi-Fi SSID 列表。当 WifiSsidPolicyType 设置为 WIFI_SSID_ALLOWLIST 时,此字段不得为空。如果将此属性设置为非空列表,则如果 Android 版本低于 13,系统会报告包含 API_LEVELnonComplianceDetail 详细信息;如果设备不归公司所有,则会报告包含 MANAGEMENT_MODEnonComplianceDetail

WifiSsidPolicyType

可在设备上应用的 Wi-Fi SSID 政策类型。

枚举
WIFI_SSID_POLICY_TYPE_UNSPECIFIED 默认为 WIFI_SSID_DENYLIST。不得设置 wifiSsids。设备可以连接的 SSID 没有任何限制。
WIFI_SSID_DENYLIST 设备无法连接到 SSID 位于 wifiSsids 中的任何 Wi-Fi 网络,但可以连接到其他网络。
WIFI_SSID_ALLOWLIST 设备只能与 wifiSsids 中的 SSID 建立 Wi-Fi 连接。wifiSsids 不能为空。设备将无法连接到任何其他 Wi-Fi 网络。

WifiSsid

表示 Wi-Fi SSID。

JSON 表示法
{
  "wifiSsid": string
}
字段
wifiSsid

string

必需。以字符串表示的 Wi-Fi SSID。

WifiRoamingPolicy

Wi-Fi 漫游政策。

JSON 表示法
{
  "wifiRoamingSettings": [
    {
      object (WifiRoamingSetting)
    }
  ]
}
字段
wifiRoamingSettings[]

object (WifiRoamingSetting)

可选。Wi-Fi 漫游设置。此列表中提供的 SSID 必须是唯一的,否则系统会拒绝该政策。

WifiRoamingSetting

Wi-Fi 漫游设置。

JSON 表示法
{
  "wifiSsid": string,
  "wifiRoamingMode": enum (WifiRoamingMode)
}
字段
wifiSsid

string

必需。Wi-Fi 网络的 SSID。

wifiRoamingMode

enum (WifiRoamingMode)

必需。指定 SSID 的 Wi-Fi 漫游模式。

WifiRoamingMode

Wi-Fi 漫游模式。

枚举
WIFI_ROAMING_MODE_UNSPECIFIED 未指定。默认为 WIFI_ROAMING_DEFAULT
WIFI_ROAMING_DEFAULT 设备的默认 Wi-Fi 漫游模式。
WIFI_ROAMING_AGGRESSIVE 激进漫游模式,可加快 Wi-Fi 漫游速度。在 Android 15 及更高版本的完全托管设备和公司自有设备的工作资料中受支持。对于其他管理模式,系统会报告带有 MANAGEMENT_MODEnonComplianceDetail。如果 Android 版本低于 15,则报告包含 API_LEVELnonComplianceDetail。如果设备不支持激进漫游模式,则报告带有 DEVICE_INCOMPATIBLEnonComplianceDetail

DeviceRadioState

用于控制设备无线设置的控件。

JSON 表示法
{
  "wifiState": enum (WifiState),
  "airplaneModeState": enum (AirplaneModeState),
  "ultraWidebandState": enum (UltraWidebandState),
  "cellularTwoGState": enum (CellularTwoGState),
  "minimumWifiSecurityLevel": enum (MinimumWifiSecurityLevel)
}
字段
wifiState

enum (WifiState)

控制 Wi-Fi 的当前状态以及用户能否更改其状态。

airplaneModeState

enum (AirplaneModeState)

控制用户是否可以切换飞行模式。

ultraWidebandState

enum (UltraWidebandState)

控制超宽带设置的状态以及用户能否将其开启或关闭。

cellularTwoGState

enum (CellularTwoGState)

控制用户是否可以切换移动网络 2G 设置。

minimumWifiSecurityLevel

enum (MinimumWifiSecurityLevel)

设备可连接的 Wi-Fi 网络的最低安全级别要求。

WifiState

控制 Wi-Fi 是处于开启还是关闭状态,以及用户是否可以更改该状态。在搭载 Android 13 及更高版本的公司自有设备上受支持。

枚举
WIFI_STATE_UNSPECIFIED 未指定。默认设置为 WIFI_STATE_USER_CHOICE
WIFI_STATE_USER_CHOICE 允许用户启用/停用 Wi-Fi。
WIFI_ENABLED Wi-Fi 处于开启状态,并且用户无法将其关闭。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetail
WIFI_DISABLED Wi-Fi 处于关闭状态,且用户无法将其开启。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetail

AirplaneModeState

控制飞行模式的状态以及用户能否开启或关闭飞行模式。Android 9 及更高版本支持此属性。完全托管设备和公司自有设备上的工作资料支持此设置。

枚举
AIRPLANE_MODE_STATE_UNSPECIFIED 未指定。默认为 AIRPLANE_MODE_USER_CHOICE
AIRPLANE_MODE_USER_CHOICE 用户可以开启或关闭飞行模式。
AIRPLANE_MODE_DISABLED 飞行模式已停用。用户无法开启飞行模式。如果 Android 版本低于 9,则报告包含 API_LEVELnonComplianceDetail

UltraWidebandState

控制超宽带设置的状态以及用户能否将其切换为开启或关闭状态。Android 14 及更高版本支持此属性。完全托管设备和公司自有设备上的工作资料支持此设置。

枚举
ULTRA_WIDEBAND_STATE_UNSPECIFIED 未指定。默认为 ULTRA_WIDEBAND_USER_CHOICE
ULTRA_WIDEBAND_USER_CHOICE 用户可以开启或关闭超宽带。
ULTRA_WIDEBAND_DISABLED 超宽带已停用。用户无法通过设置开启超宽带。如果 Android 版本低于 14,则报告包含 API_LEVELnonComplianceDetail

CellularTwoGState

用于控制移动网络 2G 设置的状态,以及用户能否将其开启或关闭。Android 14 及更高版本支持此属性。完全托管设备和公司自有设备上的工作资料支持此设置。

枚举
CELLULAR_TWO_G_STATE_UNSPECIFIED 未指定。默认为 CELLULAR_TWO_G_USER_CHOICE
CELLULAR_TWO_G_USER_CHOICE 允许用户开启或关闭移动网络 2G。
CELLULAR_TWO_G_DISABLED 移动网络 2G 已停用。用户无法通过设置开启移动网络 2G。如果 Android 版本低于 14,则报告包含 API_LEVELnonComplianceDetail

MinimumWifiSecurityLevel

定义连接到 Wi-Fi 网络所需的不同最低 Wi-Fi 安全级别。Android 13 及更高版本支持此设置。完全托管设备和公司自有设备上的工作资料支持此设置。

枚举
MINIMUM_WIFI_SECURITY_LEVEL_UNSPECIFIED 默认为 OPEN_NETWORK_SECURITY,这意味着设备将能够连接到所有类型的 Wi-Fi 网络。
OPEN_NETWORK_SECURITY 设备将能够连接到所有类型的 Wi-Fi 网络。
PERSONAL_NETWORK_SECURITY 个人网络(例如 WEP、WPA2-PSK)是最低安全要求。设备将无法连接到开放的 Wi-Fi 网络。这比 OPEN_NETWORK_SECURITY 更严格。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetail
ENTERPRISE_NETWORK_SECURITY 企业 EAP 网络是最低安全级别要求。设备将无法连接到低于此安全级别的 Wi-Fi 网络。这比 PERSONAL_NETWORK_SECURITY 更严格。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetail
ENTERPRISE_BIT192_NETWORK_SECURITY 192 位企业网络是最低安全级别要求。设备将无法连接到低于此安全级别的 Wi-Fi 网络。这比 ENTERPRISE_NETWORK_SECURITY 更严格。如果 Android 版本低于 13,则报告包含 API_LEVELnonComplianceDetail

CredentialProviderPolicyDefault

用于控制在 Android 14 及更高版本中哪些应用可以充当凭据提供程序。这些应用会存储凭据,如需了解详情,请参阅这篇文章这篇文章。另请参阅 credentialProviderPolicy

枚举
CREDENTIAL_PROVIDER_POLICY_DEFAULT_UNSPECIFIED 未指定。默认为 CREDENTIAL_PROVIDER_DEFAULT_DISALLOWED。
CREDENTIAL_PROVIDER_DEFAULT_DISALLOWED 不允许将 credentialProviderPolicy 未指定的应用用作凭据提供程序。
CREDENTIAL_PROVIDER_DEFAULT_DISALLOWED_EXCEPT_SYSTEM 除了 OEM 默认凭据提供程序外,不允许 credentialProviderPolicy 未指定的应用充当凭据提供程序。OEM 默认凭据提供程序始终可以充当凭据提供程序。

PrintingPolicy

控制是否允许打印。搭载 Android 9 及更高版本的设备支持此功能。

枚举
PRINTING_POLICY_UNSPECIFIED 未指定。默认为 PRINTING_ALLOWED
PRINTING_DISALLOWED 不允许打印。如果 Android 版本低于 9,则报告包含 API_LEVELnonComplianceDetail
PRINTING_ALLOWED 允许打印。

DisplaySettings

显示设置的控件。

JSON 表示法
{
  "screenBrightnessSettings": {
    object (ScreenBrightnessSettings)
  },
  "screenTimeoutSettings": {
    object (ScreenTimeoutSettings)
  }
}
字段
screenBrightnessSettings

object (ScreenBrightnessSettings)

可选。控制屏幕亮度设置。

screenTimeoutSettings

object (ScreenTimeoutSettings)

可选。控制屏幕超时设置。

ScreenBrightnessSettings

屏幕亮度设置的控件。

JSON 表示法
{
  "screenBrightnessMode": enum (ScreenBrightnessMode),
  "screenBrightness": integer
}
字段
screenBrightnessMode

enum (ScreenBrightnessMode)

可选。控制屏幕亮度模式。

screenBrightness

integer

可选。屏幕亮度介于 1 到 255 之间,其中 1 表示亮度最低,255 表示亮度最高。值为 0(默认值)表示未设置屏幕亮度。系统会拒绝任何其他值。screenBrightnessMode 必须为 BRIGHTNESS_AUTOMATICBRIGHTNESS_FIXED,才能进行此设置。全托管式设备搭载 Android 9 及更高版本时支持此功能。如果 Android 版本低于 9,则报告包含 API_LEVELNonComplianceDetail。Android 15 及更高版本的公司自有设备上的“工作资料”支持此功能。

ScreenBrightnessMode

控制屏幕亮度模式。

枚举
SCREEN_BRIGHTNESS_MODE_UNSPECIFIED 未指定。默认为 BRIGHTNESS_USER_CHOICE
BRIGHTNESS_USER_CHOICE 用户可以配置屏幕亮度。不得设置 screenBrightness
BRIGHTNESS_AUTOMATIC 屏幕亮度模式为自动,系统会自动调整亮度,并且不允许用户配置屏幕亮度。您仍然可以设置 screenBrightness,系统会在自动调节亮度时将其纳入考量。全托管式设备搭载 Android 9 及更高版本时支持此功能。如果 Android 版本低于 9,则报告包含 API_LEVELNonComplianceDetail。Android 15 及更高版本的公司自有设备上的“工作资料”支持此功能。
BRIGHTNESS_FIXED 屏幕亮度模式是固定的,亮度设为 screenBrightness,并且用户不得配置屏幕亮度。必须设置 screenBrightness。全托管式设备搭载 Android 9 及更高版本时支持此功能。如果 Android 版本低于 9,则报告包含 API_LEVELNonComplianceDetail。Android 15 及更高版本的公司自有设备上的“工作资料”支持此功能。

ScreenTimeoutSettings

控制屏幕超时设置。

JSON 表示法
{
  "screenTimeoutMode": enum (ScreenTimeoutMode),
  "screenTimeout": string
}
字段
screenTimeoutMode

enum (ScreenTimeoutMode)

可选。控制是否允许用户配置屏幕超时。

screenTimeout

string (Duration format)

可选。控制屏幕超时时长。屏幕超时时长必须大于 0,否则会被拒绝。此外,此值不应大于 maximumTimeToLock,否则系统会将屏幕超时设置为 maximumTimeToLock,并报告包含 INVALID_VALUE 原因和 SCREEN_TIMEOUT_GREATER_THAN_MAXIMUM_TIME_TO_LOCK 具体原因的 NonComplianceDetail。如果屏幕超时时间小于特定下限,则将其设置为下限。下限可能因设备而异。如果设置了此标志,则 screenTimeoutMode 必须为 SCREEN_TIMEOUT_ENFORCED。全托管式设备搭载 Android 9 及更高版本时支持此功能。如果 Android 版本低于 9,则报告包含 API_LEVELNonComplianceDetail。Android 15 及更高版本的公司自有设备上的“工作资料”支持此功能。

该时长以秒为单位,最多包含九个小数位,以“s”结尾。示例:"3.5s"

ScreenTimeoutMode

控制是否允许用户配置屏幕超时。

枚举
SCREEN_TIMEOUT_MODE_UNSPECIFIED 未指定。默认为 SCREEN_TIMEOUT_USER_CHOICE
SCREEN_TIMEOUT_USER_CHOICE 用户可以配置屏幕超时。不得设置 screenTimeout
SCREEN_TIMEOUT_ENFORCED 屏幕超时设置为 screenTimeout,并且用户无法配置超时。必须设置 screenTimeout。全托管式设备搭载 Android 9 及更高版本时支持此功能。如果 Android 版本低于 9,则报告包含 API_LEVELNonComplianceDetail。Android 15 及更高版本的公司自有设备上的“工作资料”支持此功能。

AssistContentPolicy

用于控制是否允许将 AssistContent 发送到特权应用(例如辅助应用)。AssistContent 包含屏幕截图和应用相关信息(例如软件包名称)。Android 15 及更高版本支持此功能。

枚举
ASSIST_CONTENT_POLICY_UNSPECIFIED 未指定。默认为 ASSIST_CONTENT_ALLOWED
ASSIST_CONTENT_DISALLOWED

系统会阻止将辅助内容发送到特权应用。

Android 15 及更高版本支持此功能。如果 Android 版本低于 15,则报告包含 API_LEVELnonComplianceDetail

ASSIST_CONTENT_ALLOWED

允许将辅助内容发送到特权应用。

Android 15 及更高版本支持此功能。

方法

delete

删除政策。

get

获取政策。

list

列出指定企业的政策。

patch

更新或创建政策。