本頁列出 Android Enterprise 的完整功能。
如果你打算管理超過 500 部裝置,就必須支援 EMM 解決方案 所有標準功能 (企業解決方案 目錄是 Standard Management Set (標準管理組合):
),至少為一項 解決方案才能用於商業用途可靈活應用的 EMM 解決方案 已通過標準功能驗證的清單請參閱 Android 的每個解決方案集都提供一組額外的進階功能。這些 功能會在每個解決方案集頁面註明:工作資料夾 、全代管裝置,以及 專屬裝置: 如要瞭解通過進階功能驗證的 EMM 解決方案,請參閱 Android 的 企業解決方案目錄 如同提供進階管理組合。
鍵
標準 精選內容 | 進階 精選內容 | 選用功能 | 不適用 |
1. 裝置佈建
1.1. DPC 優先工作資料夾佈建功能
從 Google Play 下載 Android Device Policy 後,使用者就能佈建工作資料夾。
1.1.1.EMM 會提供 QR code 或啟用碼給 IT 管理員,以支援這個佈建方法 (請參閱「註冊及佈建裝置」一文)。
1.2. DPC ID 裝置佈建
輸入「afw#」會佈建全代管或 專用裝置
1.2.1.EMM 會提供 QR code 或啟用碼給 IT 管理員,以支援這個佈建方法 (請參閱「註冊及佈建裝置」)。
1.3. NFC 裝置佈建
IT 管理員可以根據 Play EMM API 開發人員說明文件中定義的導入指南,使用 NFC 標記來佈建全新裝置或恢復原廠設定的裝置。
1.3.1.EMM 必須使用具備至少 888 個位元組記憶體的 NFC 論壇類型 2 標記。 佈建程序必須使用佈建額外項目,將非敏感的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳送至裝置。註冊詳細資料 請勿輸入密碼或憑證等機密資訊。
1.3.2.在 Android 10 以上版本中,建議您使用 NFC 標記,因為 淘汰 NFC Beam (也稱為 NFC Bump)。
1.4.QR code 裝置佈建
EMM 控制台可產生 QR code,IT 管理員可根據 Android Management API 開發人員說明文件中定義的導入指南,掃描 QR code 來佈建全代管或專用裝置。
1.4.1.QR code 必須使用佈建設定額外項目,將非敏感的註冊詳細資料 (例如伺服器 ID、註冊 ID) 傳送至裝置。註冊詳細資料不得包含密碼等機密資訊 或憑證 ,瞭解如何調查及移除這項存取權。
1.5. 零接觸註冊機制
IT 管理員可以預先設定從 購買的裝置 授權 經銷商,並使用 EMM 控制台管理他們。
1.5.1.IT 管理員可以使用零接觸機制,佈建公司擁有的裝置 註冊方式 (詳情請參閱「適用於 IT 管理員的零接觸註冊機制」)。
1.5.2. 首次開啟裝置時,系統會自動強制開啟裝置 就能調整 IT 管理員定義的設定 ,瞭解如何調查及移除這項存取權。
1.6. 進階零接觸佈建
IT 管理員可透過零接觸機制,自動執行大部分的裝置註冊程序 。結合登入網址 ,IT 管理員可限制只能註冊特定帳戶或網域,做法如下: 以瞭解 EMM 提供的設定選項。
1.6.1. IT 管理員可以使用零接觸註冊機制,佈建公司擁有的裝置 註冊方式。
1.6.2.這項要求已淘汰。
1.6.3.使用登入網址 ,EMM 必須確保未經授權的使用者無法繼續進行啟用程序。 您最低必須鎖定特定企業的使用者,啟用這項服務。
1.6.4.使用登入網址 , EMM 必須能讓 IT 管理員會預先填入註冊詳細資料 (例如伺服器 ID、 註冊 ID) 以及不重複使用者或裝置資訊 (例如 使用者名稱/密碼、啟用權杖),讓使用者不必輸入詳細資料 啟用裝置後
- 在零接觸註冊設定中,EMM 不得包含密碼或憑證等機密資訊。
1.7.Google 帳戶工作資料夾佈建
如果企業使用受管理 Google 網域,這項功能指南 使用者進入公司後所完成的工作資料夾設定。 在裝置設定或先前已使用的裝置上,Workspace 憑證 啟用。在這兩種情況下,企業 Workspace 身分都會遷移至 工作資料夾。
1.8. Google 帳戶裝置佈建
Android 管理 API 不支援這項功能。
1.9.直接零接觸設定
IT 管理員可以使用 EMM 控制台,使用 零接觸 iframe ,直接在 Google Cloud 控制台實際操作。
1.10.公司裝置裝置上的工作資料夾
EMM 可以藉由設定公司裝置,註冊設有工作資料夾的公司裝置 AllowPersonalUsage 。
1.10.1.刻意留空。
1.10.2.IT 管理員可以透過 PersonalUsagePolicies,針對公司裝置上的「工作資料夾」設定法規遵循動作。
1.10.3。IT 管理員可以在工作資料夾或 PersonalUsagePolicies 取得完整裝置存取權。
1.10.4.IT 管理員可以在工作資料夾或 PersonalUsagePolicies 取得完整裝置存取權。
1.10.5。IT 管理員可以設定應用程式的許可清單或封鎖清單, 無法透過 PersonalApplicationPolicy 安裝在個人資料夾中。
1.10.6.IT 管理員可以透過以下方式解除管理工作: 移除工作資料夾或抹除整部裝置的資料。 ,瞭解如何調查及移除這項存取權。
1.11.專用裝置佈建
EMM 可以註冊專用裝置,而不必提示使用者 使用 Google 帳戶進行驗證
2. 裝置安全性
2.1. 裝置安全性驗證問題
IT 管理員可以設定及強制執行裝置安全性驗證 (PIN 碼、圖案/密碼) 為受管理裝置的 3 個複雜等級選取預設選項。
2.1.1. 政策必須強制執行設定,管理裝置安全性驗證 (工作資料夾的 parentProfilePasswordRequirements、完全受管理和專屬裝置的 passwordRequirements)。
2.1.2.密碼複雜度應對應至以下密碼 複雜度:
- PASSWORD_COMPLEXITY_LOW - 重複圖案或釘選 (4444) 或 順序 (1234、4321、2468) 序列。
- PASSWORD_COMPLEXITY_MEDIUM - 未重複輸入的 PIN 碼 (4444) 或下單 (1234、4321、2468) 序列、字母或英數字元密碼, 長度至少為 4
- PASSWORD_COMPLEXITY_HIGH:不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,長度至少為 8 個字元,或是由英文字母或英數字元組成的密碼,長度至少為 6 個字元
2.1.3. 其他密碼限制也可以透過舊版設定強制執行 控制裝置
2.2. 工作安全性挑戰
IT 管理員可以為工作中的應用程式和資料設定及強制執行安全性驗證問題 設定檔,規定與裝置安全性不同 挑戰 (2.1.)。
2.2.1. 政策必須強制執行工作資料夾的安全性驗證。
- 根據預設,IT 管理員應只為工作資料夾設定限制 如果未指定範圍
- IT 管理員可以指定範圍來設定整部裝置的權限 (請參閱第 2.1 項規定)
2.2.2.密碼複雜度應對應至以下預先定義的密碼 複雜度:
- PASSWORD_COMPLEXITY_LOW - 解鎖圖案或 PIN 碼包含重複數列 (4444) 或規則數列 (1234、4321、2468)。
- PASSWORD_COMPLEXITY_MEDIUM - 未重複輸入的 PIN 碼 (4444) 或下單 (1234、4321、2468) 序列、字母或英數字元密碼, 長度至少為 4
- PASSWORD_COMPLEXITY_HIGH:不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,長度不得少於 8 個字元,或是由英文字母或英數字元組成的密碼,長度不得少於 6 個字元
2.2.3.您也可以將其他密碼限制設為舊版設定
2.3. 進階密碼管理服務
IT 管理員可以在裝置上設置進階密碼設定。
2.3.1. 故意空白。
2.3.2.刻意留空。
2.3.3.您可以為畫面上的每個螢幕鎖定畫面調整下列密碼生命週期設定 裝置:
- 刻意留空
- 故意空白
- 密碼抹除失敗次數上限:指定使用者嘗試清除密碼的次數 才能輸入錯誤的密碼,將公司資料從 裝置。IT 管理員必須關閉這項功能。
2.3.4.(Android 8.0 以上版本) 強式驗證要求逾時:高強度驗證 輸入驗證密碼 (例如 PIN 碼或密碼) 後, IT 管理員設定的逾時期限。逾時期限過後,非強 指紋、人臉解鎖等驗證方式已關閉,直到 裝置已使用高強度驗證密碼解鎖。
2.4. Smart Lock 管理
IT 管理員可以管理 Android Smart Lock 中的信任的代理程式 功能可讓你將裝置解鎖時間最長可達 4 小時。
2.4.1.IT 管理員可以停用裝置上的信任代理程式。
2.5.抹除並鎖定
IT 管理員可以使用 EMM 控制台,從受管理的裝置上遠端鎖定及清除工作資料。
2.5.1.必須使用 Android Management API 鎖定裝置。
2.5.2.必須使用 Android Management API 抹除裝置資料 ,直接在 Google Cloud 控制台實際操作。
2.6.強制執行政策
如果裝置不符合安全性政策,「規範」 自動限制使用 資料。
2.6.1.針對裝置強制執行的安全性政策,至少必須包含 密碼政策。 ,瞭解如何調查及移除這項存取權。
2.7.預設安全性政策
EMM 必須在裝置上強制執行指定的安全性政策 (預設),而不需要 IT 管理員在 EMM 主控台中設定或自訂任何設定。我們建議 EMM 採用 (但非必要) 禁止 IT 管理員變更 這些安全性功能的預設狀態
2.7.1.必須禁止安裝來源不明的應用程式,包括在設有工作資料夾的任何 Android 8.0 以上版本裝置的個人資料夾中安裝的應用程式。預設支援這項子功能。
2.7.2.必須封鎖偵錯功能。系統預設支援此子功能。
2.8. 專用裝置的安全性政策
不得對已鎖定的專用裝置執行其他動作。
2.8.1.系統預設會使用政策關閉啟動進入安全模式
(請前往 safeBootDisabled
)。
2.9.Play Integrity 支援
Play Integrity 檢查預設為執行。無需額外導入 應用程式。
2.9.1.刻意留空。
2.9.2.刻意留空。
2.9.3.IT 管理員可以根據 裝置的 SecurityRisk ,包括封鎖佈建、清除公司資料,以及允許 才能繼續操作。
- EMM 服務會強制執行這項政策回應, 每項完整性檢查結果
2.9.4.刻意留空。
2.10.驗證應用程式的強制執行狀態
IT 管理員可以開啟驗證應用程式功能 應用程式。驗證應用程式會在安裝前後掃描 Android 裝置上安裝的應用程式,確認是否含有有害軟體,有助於確保惡意應用程式無法竊取公司資料。
2.10.1.驗證應用程式必須預設使用 policy 啟用
(請前往 ensureVerifyAppsEnabled
)。
2.11. 直接啟動支援
Android Management API 預設支援這項功能。不需要額外實作。
2.12.硬體安全性管理
IT 管理員可以鎖定公司裝置的硬體元素, 資料遺失防護功能
2.12.1.IT 管理員可以透過
政策 (請前往
mountPhysicalMediaDisabled
)。
2.12.2. IT 管理員可以禁止使用者透過 NFC 分享裝置中的資料
使用政策的傳輸技術
(請前往 outgoingBeamDisabled
)。此子功能為選用項目,因為 NFC 傳輸
函式。
2.12.3.IT 管理員可以禁止使用者使用 USB 傳輸檔案
政策 (請前往
usbFileTransferDisabled
)。
2.13.企業安全性記錄
Android Management API 不支援這項功能。
3. 帳戶和應用程式管理
3.1. 企業繫結
IT 管理員可以將 EMM 綁定至機構,讓 EMM 使用 Google Play 管理版,將應用程式發布至裝置。
3.1.1. 管理員如果已使用受管理 Google 網域,可以將自身網域繫結至 EMM。
3.1.2. 故意空白。
3.1.3. 故意空白。
3.1.4. EMM 控制台會指示管理員在 Android 申請流程,且不建議使用 Gmail 帳戶。
3.1.5.EMM 會在 Android 註冊流程中預先填入管理員的電子郵件地址。
3.2. Google Play 管理版帳戶佈建
EMM 可靜默佈建企業使用者帳戶 (稱為 Google Play 管理版帳戶)。這些帳戶可識別受管理的使用者,並允許個別使用者的應用程式發布規則。
3.2.1. Google Play 管理版帳戶 (使用者帳戶) 會自動建立 並決定佈建裝置的方式
根據預設,Android Management API 支援這項功能。不需額外 實作。
3.3. Google Play 管理版裝置帳戶佈建
EMM 可以建立及佈建 Google Play 管理版裝置帳戶。裝置 帳戶支援您從 Google Play 管理版商店安裝應用程式 不會綁定單一使用者相反地,裝置帳戶可用於識別單一裝置,以便在專用裝置情境中支援每部裝置的應用程式發行規則。
3.3.1.當裝置執行下列操作時,系統會自動建立 Google Play 管理版帳戶 已佈建完成
根據預設,Android Management API 支援這項功能。不需額外 實作。
3.4. Google Play 管理版帳戶佈建 (適用於舊版裝置)
這項功能已淘汰。
3.5. 靜音應用程式發布
IT 管理員可在沒有使用者的情況下,自行將工作應用程式發布到裝置上 互動。
3.5.1.EMM 的控制台必須使用 Android Management API IT 管理員可在受管理的裝置上安裝工作應用程式。
3.5.2. EMM 控制台必須使用 Android Management API,才能讓 IT 管理員更新受管理裝置上的商務應用程式。
3.5.3.EMM 控制台必須使用 Android Management API,才能讓 IT 管理員解除安裝受管理裝置上的應用程式。
3.6. 受管理設定管理
IT 管理員可針對符合以下條件的應用程式,查看及設置受管理設定,且不顯示任何通知訊息: 支援受管理的設定
3.6.1.EMM 的控制台必須能擷取 並顯示任何 Play 應用程式的受管理設定。
3.6.2.EMM 的控制台必須允許 IT 管理員設定任何設定類型 (例如 定義;該架構適用於使用 Android 管理服務的任何 Play 應用程式 API ,直接在 Google Cloud 控制台實際操作。
3.6.3.EMM 的控制台必須允許 IT 管理員設定萬用字元 (例如 $username$ 或 %emailAddress%),為應用程式 (例如 Gmail 可套用至多位使用者。 ,瞭解如何調查及移除這項存取權。
3.7. 應用程式目錄管理
根據預設,Android Management API 支援這項功能。否 必須另外導入。
3.8. 程式輔助應用程式核准
EMM 控制台採用 Google Play 管理版 iframe 來支援 Google Play 探索和核准功能。IT 管理員可以搜尋應用程式 不必離開 EMM 控制台,即可核准應用程式及核准新的應用程式權限。
3.8.1.IT 管理員可以在 EMM 控制台中搜尋及核准應用程式 使用 Google Play 管理版 iframe。
3.9.基本商店版面配置管理
您可以使用 Google Play 管理版應用程式安裝及更新工作應用程式。 根據預設,Google Play 管理版商店會在單一清單中顯示已核准的使用者應用程式。這種版面配置稱為「基本商店版面配置」。
3.9.1. EMM 的控制台應可讓 IT 管理員管理使用者基本商店版面配置中顯示的應用程式。
3.10.進階商店版面配置設定
3.10.1.IT 管理員可以自訂商店版面配置 顯示在 Google Play 管理版應用程式中顯示的名稱
3.11. 應用程式授權管理
這項功能已淘汰。
3.12.Google 代管的私人應用程式管理服務
IT 管理員可以改為透過 EMM 控制台更新 Google 代管的私人應用程式 提出的問題
3.12.1.IT 管理員可以上傳已發布的新版應用程式 私下加入企業的行列:
- Google Play 管理版 iframe ,或
- Google Play Developer Publishing API ,直接在 Google Cloud 控制台實際操作。
3.13. 自行代管的私人應用程式管理
IT 管理員可以設定及發布自行代管的私人應用程式。取消喜歡 Google 代管的私人應用程式,Google Play 不會代管 APK。 EMM 可協助 IT 管理員自行代管 APK,並協助保護自行代管的 APK 確保只能安裝受到受管理 Google 授權的應用程式 播放。
3.13.1.EMM 的控制台可提供以下兩者,協助 IT 管理員代管應用程式 APK 選項:
- 在 EMM 的伺服器上代管 APK。伺服器可以是地端部署伺服器,也可以是雲端伺服器。
- 企業可視需要在 EMM 伺服器以外代管 APK。IT 管理員必須在 EMM 控制台中指定 APK 的代管位置。
3.13.2.EMM 控制台必須產生適當的 APK 定義 透過提供的 APK 且必須引導 IT 管理員完成發布程序。
3.13.3.IT 管理員可以更新自行代管的私人應用程式和 EMM 控制台 可以使用 Google Play Developer Publishing API ,直接在 Google Cloud 控制台實際操作。
3.13.4.EMM 的伺服器為自行代管的 APK 處理下載要求 會在要求的 Cookie 中包含有效的 JWT,且經 或私人應用程式的公開金鑰。
- 為方便進行這項程序,EMM 的伺服器必須引導 IT 管理員完成以下作業 從 Play Google Play 下載自行管理應用程式的授權公開金鑰 ,然後將這組金鑰上傳至 EMM 控制台。
3.14。EMM 提取通知
這項功能不適用於 Android Management API。設定 改為顯示 Pub/Sub 通知。
3.15.API 使用規範
EMM 會大規模實作 Android 管理 API,避免流量模式對企業在正式環境中管理應用程式的能力造成負面影響。
3.15.1. EMM 必須遵守 Android Management API 的用量限制。若未修正超出這些準則的行為, Google 有權單方面決定停用 API 使用資格。
3.15.2.EMM 應在整天中分散不同企業的流量,而不是在特定或相近時間合併企業流量。符合此流量模式的行為,例如排定的批次 否則可能必須暫停 API 使用,位置為 並自行決定。
3.15.3.EMM 不應出現一致性、不完整或故意錯誤 不會嘗試擷取或管理實際企業資料的要求。 若行為符合此流量模式的行為,可能會導致 API 遭到停用。 並自行決定。
3.16. 進階受管理設定管理
EMM 支援下列進階受管理設定管理服務 特色:
3.16.1. EMM 主控台必須能夠擷取及顯示任何 Play 應用程式的管理版設定,最多可分為四個巢狀層級,方法如下:
- Google Play 管理版 iframe ,或
- 也可以建立自訂使用者介面
3.16.2.EMM 的控制台必須能夠擷取及顯示任何意見回饋 是由應用程式的意見回饋管道傳回的 。
- EMM 的控制台必須允許 IT 管理員將特定意見回饋項目建立關聯 與使用者相關的裝置和應用程式互動
- EMM 控制台必須允許 IT 管理員訂閱特定訊息類型 (例如錯誤訊息) 的快訊或報表。
3.16.3. EMM 的控制台只能傳送具有預設值或由管理員手動設定的值 使用:
- 受管理的設定 iframe;
- 自訂 UI。
3.17。網頁應用程式管理
IT 管理員可以在 EMM 控制台中建立及發布網頁應用程式。
3.17.1.IT 管理員可透過 EMM 控制台將捷徑發布至網頁應用程式 使用:
- Google Play 管理版 iframe
- 或 Android Management API ,直接在 Google Cloud 控制台實際操作。
3.18.Google Play 管理版帳戶生命週期管理
EMM 可建立、更新及刪除 Google Play 管理版帳戶: 並自動在帳戶到期後復原。
系統預設支援這項功能。不需額外導入 EMM 應用程式。
3.19.應用程式追蹤管理
3.19.1. IT 管理員可以擷取開發人員為特定應用程式設定的追蹤 ID 清單
3.19.2.IT 管理員可以設定裝置,為應用程式使用特定開發測試群組。
3.20。進階應用程式更新管理
IT 管理員可允許應用程式立即更新,或延後應用程式 90 天更新
3.20.1. IT 管理員可允許應用程式使用高優先順序的應用程式更新,在可用更新時進行更新。 3.20.2.IT 管理員可以允許應用程式將應用程式更新延後 90 天。
3.21.佈建方法管理
EMM 可以產生佈建設定,並提供給 IT 人員 具備可向使用者發布的表單 (例如 QR code、 零接觸設定、Play 商店網址)。
4. 裝置管理
4.1. 執行階段權限政策管理
IT 管理員可在不發出通知的情況下,對執行階段權限要求設定預設回應 用於輔助工作應用程式
4.1.1.IT 管理員必須在設定時選擇下列選項 機構的預設執行階段權限政策:
- 提示 (使用者可自行選擇)
- allow
- deny
EMM 應根據政策強制執行這些設定 ,直接在 Google Cloud 控制台實際操作。
4.2. 執行階段權限授予狀態管理
設定預設的執行階段權限政策後 (前往 4.1),IT 管理員可以 從任何以 API 建構的工作應用程式擷取特定權限,且不傳送任何回應 23 以上版本。
4.2.1. IT 管理員必須能夠設定授予狀態 (預設、授予或拒絕) 。EMM 應使用政策強制執行這些設定。
4.3. Wi-Fi 設定管理
IT 管理員可在受管理的情況下,自動佈建企業 Wi-Fi 設定 裝置,包括:
4.3.1.SSID,使用政策。
4.3.2. 密碼,使用政策。
4.4. Wi-Fi 安全性管理
IT 管理員可以佈建企業的 Wi-Fi 設定 並且支援下列進階安全功能 功能:
4.4.1. 身分識別
4.4.2. 用戶端授權憑證
4.4.3. CA 憑證
4.5. 進階 Wi-Fi 管理
IT 管理員可以鎖定受管理裝置的 Wi-Fi 設定,防止 不讓使用者建立設定或修改公司設定。
4.5.1. IT 管理員可以使用下列任一設定中的政策,鎖定企業 Wi-Fi 設定:
- 使用者無法修改 EMM 佈建的任何 Wi-Fi 設定 (請前往
wifiConfigsLockdownEnabled
),但 可能會新增及修改可供使用者設定的聯播網 (例如 個人網路)。 - 使用者無法在裝置上新增或修改任何 Wi-Fi 網路
(前往
wifiConfigDisabled
),將 Wi-Fi 連線範圍限制為僅限您的 網路。
4.6. 帳戶管理
IT 管理員可以確保只有授權的企業帳戶可使用公司資料,例如 SaaS 儲存空間和生產力應用程式或電子郵件。使用者不必使用這項功能,就能為 支援個人帳戶的公司應用程式,可讓使用者與他人共用 和企業資料。
4.6.1.IT 管理員可以禁止使用者新增或修改帳戶 (請參閱 modifyAccountsDisabled
)。
- 在裝置上強制執行這項政策時,EMM 必須設定這項限制 ,確保使用者無法規避這項程序 政策生效。
4.7. Workspace 帳戶管理服務
Android Management API 不支援這項功能。
4.8. 憑證管理功能
IT 管理員可允許 IT 管理員部署身分憑證和憑證授權單位 允許使用企業資源。
4.8.1. IT 管理員可以安裝使用者身分憑證 的 KKI 層級必須整合 EMM 控制台 擁有至少一個 PKI,並發布由此連結產生的憑證 基礎架構
4.8.2.IT 管理員可以在受管理的鍵值儲存庫中安裝憑證授權機構 (請參閱 caCerts
)。但是這項子功能不受支援
,直接在 Google Cloud 控制台實際操作。
4.9. 進階憑證管理
允許 IT 管理員靜默選取特定受管理應用程式應使用的憑證。IT 管理員也可透過這項功能 使用中裝置的 CA 和識別憑證,並禁止使用者修改 儲存在代管 KeyStore 的憑證。
4.9.1.IT 管理員可以為發布至裝置的任何應用程式指定憑證 應用程式會在執行階段自動授予存取權。( 子功能)
- 憑證選取條件必須夠通用,只能代表單一 全域設定檔 使用者專屬識別憑證
4.9.2.IT 管理員可在不發出通知的情況下移除憑證 從代管 KeyStore 擷取金鑰
4.9.3.IT 管理員可以在無訊息的情況下解除安裝 CA 憑證。(這項子功能是 不支援)
4.9.4.IT 管理員可以禁止使用者在受管理的 KeyStore 中設定憑證 (請參閱 credentialsConfigDisabled
)。
4.9.5.IT 管理員可以使用 ChoosePrivateKeyRule 為工作應用程式預先授權憑證。
4.10.委派憑證管理
IT 管理員可以將第三方憑證管理應用程式提供給裝置和 授予應用程式特殊權限,將憑證安裝到受管理的應用程式 KeyStore。
4.10.1.IT 管理員可以指定憑證管理套件
(前往 delegatedCertInstallerPackage
) 即可設為委派憑證
管理應用程式
- EMM 可能會選擇性推薦已知的憑證管理套件。 但必須允許 IT 管理員從可用應用程式清單中選擇 安裝專屬應用程式
4.11.進階 VPN 管理
允許 IT 管理員指定永久連線 VPN,以確保來自 指定的受管理應用程式一律會完成 VPN 設定。
4.11.1. IT 管理員可以指定任意 VPN 套件 即可設為永久連線 VPN
- EMM 控制台可能會視情況推薦支援已知 VPN 套件 永久連線的 VPN,但無法限制永久連線設定可用的 VPN 然後再加進任意清單
4.11.2. IT 管理員可以使用受管理的設定來指定 VPN 設定 應用程式。 ,瞭解如何調查及移除這項存取權。
4.12.輸入法編輯器管理
IT 管理員可以管理可以設定哪些輸入法 (IME) 裝置。由於工作和個人資料夾會共用 IME,因此禁止使用 IME 會導致使用者無法允許這些 IME 用於個人使用。然而,IT 管理員可能不會禁止在工作時使用系統輸入法編輯器 請前往進階輸入法編輯器管理服務。
4.12.1.IT 管理員可以設定 IME 許可清單
任意長度的 (前往 permitted_input_methods
),包括空白清單
封鎖非系統 IME,可能包含任意輸入法編輯器套件。
- EMM 控制台可能會選擇推薦已知或建議的 IME 加入許可清單,但必須允許 IT 管理員從清單中選擇 以及適用的使用者
4.12.2.EMM 必須告知 IT 管理員,系統已從 IME 中排除系統 IME 管理工作資料夾。 ,瞭解如何調查及移除這項存取權。
4.13.進階輸入法編輯器管理
IT 管理員可以控管使用者可以設定哪些輸入法 (IME) 裝置。進階輸入法編輯器管理服務可讓 IT 管理員擴充基本功能 管理系統輸入法編輯器的使用情形 或裝置的電信業者
4.13.1.IT 管理員可以設定 IME 許可清單
(前往 permitted_input_methods
) 任意長度 (空白清單除外),
封鎖包括系統 IME 在內的所有 IME,當中可能包含
IME 套件。
- EMM 控制台可能會選擇推薦已知或建議的 IME 加入許可清單,但必須允許 IT 管理員從清單中選擇 以及適用的使用者
4.13.2.EMM 必須禁止 IT 管理員設定空白的許可清單,因為 設定會使您無法在 裝置。
4.13.3.EMM 必須確保輸入法編輯器許可清單不含系統 IME 系統會在套用許可清單前,以無訊息方式安裝第三方輸入法編輯器 應用程式。 ,瞭解如何調查及移除這項存取權。
4.14。無障礙服務管理
IT 管理員可以管理無障礙服務 使用者允許在裝置上使用無障礙服務是使用者的強大工具 或暫時無法與身心障礙者 裝置。但他們可能會以不符合公司政策的方式存取公司資料。IT 管理員可使用這項功能 用於啟動任何非系統無障礙服務
4.14.1.IT 管理員可以設定無障礙服務許可清單
(前往 permittedAccessibilityServices
) 不拘長度 (包括空白長度)
清單,其中會封鎖非系統無障礙服務,其中可能包含
任意無障礙服務套件套用到工作資料夾時
會影響個人資料夾和工作資料夾。
- 控制台可能會選擇性推薦已知或建議的無障礙服務 加入許可清單,但必須允許 IT 管理員選擇 供適用的使用者安裝的應用程式清單。
4.15.管理位置資訊分享
IT 管理員可禁止使用者與工作中的應用程式分享位置資料 否則,您可以前往「設定」來設定工作資料夾中的地點設定。
4.15.1.IT 管理員可以停用定位服務
(前往 shareLocationDisabled
)。
4.16.進階位置資訊分享管理
IT 管理員可以在受管理的裝置上強制執行特定位置資訊分享設定。這項功能可確保公司應用程式隨時保有高精確度 資料。這項功能還可限制位置設定為省電模式,確保不會耗用額外電池電力。
4.16.1.IT 管理員可以設定裝置定位服務 分別指定下列三種模式:
- 。
- 僅限 GPS 等感應器,不含網路提供的資料 或 HTTP/HTTPS 位置
- 節約耗電量,用於限制更新頻率。
- 關閉。
4.17。恢復原廠設定保護機制管理
讓 IT 管理員確保公司擁有的裝置不會遭到盜用 未經授權的使用者無法將裝置恢復原廠設定。是否恢復原廠設定 裝置歸 IT 管理員、IT 管理員後,作業上變得相當複雜 就可以完全關閉恢復原廠設定保護機制。
4.17.1.IT 管理員可以禁止使用者恢復原廠設定
(前往factoryResetDisabled
) 孩子的裝置。
4.17.2. IT 管理員可以指定有權進行企業解鎖的帳戶
佈建裝置
恢復原廠設定後,請前往 frpAdminEmails
。
- 這個帳戶可以與個人連結,也可以由整個企業使用 來解鎖裝置。
4.17.3.IT 管理員可以停用恢復原廠設定保護機制
(前往 0 factoryResetDisabled
)。
4.17.4.IT 管理員可以從遠端抹除裝置資料 視需要清除重設保護資料,因此移除恢復原廠設定 安全機制。
4.18. 進階應用程式控制項
IT 管理員可以禁止使用者透過「設定」解除安裝或修改受管理的應用程式。例如禁止強制關閉應用程式 清除應用程式的資料快取。
4.18.1.IT 管理員可以禁止解除安裝任何受管理的應用程式,也可以全部封鎖
受管理的應用程式 (請前往
uninstallAppsDisabled
)。
4.18.2.IT 管理員可以禁止使用者修改應用程式資料 前往「設定」頁面(Android Management API 不支援這項子功能)。
4.19. 螢幕畫面擷取管理
IT 管理員可以禁止使用者在使用受管理的應用程式時擷取螢幕畫面。 這項設定包括封鎖使用系統螢幕截圖功能的螢幕分享應用程式和類似應用程式 (例如 Google 助理)。
4.19.1. IT 管理員可以禁止使用者擷取螢幕截圖
(請前往 screenCaptureDisabled
)。
4.20。停用相機
IT 管理員可以關閉受管理應用程式使用裝置相機的功能。
4.20.1.IT 管理員可以停用裝置相機
請前往 cameraDisabled
。
4.21.收集網路統計資料
Android Management API 不支援這項功能。
4.22.進階網路統計資料收集
Android Management API 不支援這項功能。
4.23.重新啟動裝置
IT 管理員可以從遠端重新啟動受管理的裝置。
4.23.1. IT 管理員可以從遠端重新啟動受管理的裝置。
4.24。系統無線電管理
為 IT 管理員提供精細的系統網路無線電與 使用政策的相關聯的使用政策 。
4.24.1.IT 管理員可以關閉透過服務傳送的區域廣播訊息
提供者 (請前往 cellBroadcastsConfigDisabled
)。
4.24.2. IT 管理員可以禁止使用者在以下位置修改行動網路設定:
設定 (前往「mobileNetworksConfigDisabled
」)。
4.24.3.IT 管理員可以禁止使用者重設以下項目的所有網路設定:
。(請前往 networkResetDisabled
)。
4.24.4.IT 管理員可以設定裝置是否允許使用行動數據
漫遊時 (請前往 dataRoamingDisabled
)。
4.24.5.IT 管理員可以設定裝置是否能撥打電話
來電,不含緊急電話 (請前往 outGoingCallsDisabled
)。
4.24.6.IT 管理員可以設定裝置是否能傳送及接收簡訊
訊息 (請前往 smsDisabled
)。
4.24.7.IT 管理員可以禁止使用者將裝置做為可攜式裝置使用
透過網路共用功能取得無線基地台 (請前往 tetheringConfigDisabled
)。
4.24.8.IT 管理員可以在接上電源時,預設 Wi-Fi 逾時時間; 永不到期。(Android Management API 不支援這項子功能)。
4.24.9. IT 管理員可以禁止使用者設定或修改現有專案
藍牙連線 (前往 bluetoothConfigDisabled
)。
4.25. 系統音訊管理
IT 管理員可以靜默控制裝置音訊功能,包括將裝置靜音、禁止使用者修改音量設定,以及禁止使用者取消靜音裝置麥克風。
4.25.1.IT 管理員可將受管理的裝置設為靜音。 (Android Management API 不支援這項子功能)。
4.25.2.IT 管理員可以禁止使用者修改裝置音量設定 (請參閱 adjustVolumeDisabled
),這也會將裝置設為靜音。
4.25.3.IT 管理員可以禁止使用者取消靜音裝置麥克風 (請參閱 unmuteMicrophoneDisabled
)。
4.26. 系統時鐘管理
IT 管理員可以管理裝置時鐘和時區設定,並禁止使用者修改自動裝置設定。
4.26.1.IT 管理員可以強制執行系統自動時間和自動時區,防止使用者設定裝置的日期、時間和時區。
4.27。進階專用裝置功能
如果是專用裝置,IT 管理員可以使用 政策 各種資訊站用途
4.27.1. IT 管理員可以關閉裝置鍵盤保護功能 (請前往 keyguardDisabled
)。
4.27.2.IT 管理員可以關閉裝置狀態列、封鎖通知,以及
快速設定 (前往 statusBarDisabled
)。
4.27.3.IT 管理員可以強制裝置螢幕保持開啟狀態
已接上電源 (前往 stayOnPluggedModes
)。
4.27.4.IT 管理員可以禁止顯示下列系統 UI (請前往 createWindowsDisabled
):
- 吐司
- 應用程式重疊。
4.27.5.IT 管理員可以允許系統建議的應用程式在首次啟動時略過使用者教學課程和其他入門提示 (請參閱 skip_first_use_hints
)。
4.28。委派範圍管理
IT 管理員可以將額外權限委派給個別套件。
4.28.1.IT 管理員可以管理下列範圍:
- 憑證安裝與管理
- 故意空白
- 網路記錄
- 安全性記錄 (不適用於自攜裝置工作資料夾)
4.29.支援註冊專屬 ID
從 Android 12 開始,工作資料夾將無法再存取工作資料夾 硬體專屬 IDIT 管理員可以透過註冊專屬 ID 追蹤設有工作資料夾的裝置生命週期,這個 ID 會在裝置恢復原廠設定後持續存在。
4.29.1.IT 管理員可以取得註冊專屬 ID
4.29.2.這個註冊專屬 ID 必須在恢復原廠設定後持續保留
5. 裝置可用性
5.1. 受管理的佈建作業自訂
IT 管理員可以修改預設的設定流程使用者體驗,將報表納入 企業專屬功能IT 管理員可以選擇在佈建期間顯示 EMM 提供的品牌資訊。
5.1.1. IT 管理員可以透過指定
enterprise-specific
服務條款和其他免責事項 (請前往 termsAndConditions
)。
5.1.2. IT 管理員可以部署
不可設定且 EMM 專屬服務條款和其他免責事項
(請前往 termsAndConditions
)。
- EMM 可能會將 EMM 專屬的自訂項目設為 部署項目的預設值,但必須允許 IT 管理員自行設定 。
5.1.3. Android 上的企業資源已淘汰 primaryColor
10 以及更高版本。
5.2. 企業自訂
Android 管理 API 不支援這項功能。
5.3. 進階企業自訂功能
Android Management API 不支援這項功能。
5.4. 螢幕鎖定畫面訊息
IT 管理員可以設定一律在裝置鎖定畫面上顯示的自訂訊息 不必解鎖裝置也能觀看。
5.4.1.IT 管理員可以設定自訂螢幕鎖定訊息
(請前往 deviceOwnerLockScreenInfo
)。
5.5. 政策透明化管理
IT 管理員可以自訂要向使用者顯示的說明文字,當使用者嘗試修改裝置的受管理設定時,這項說明文字會顯示在裝置上,或是部署 EMM 提供的一般支援訊息。您可以自訂短版和長版支援訊息,並在嘗試解除安裝 IT 管理員已封鎖解除安裝權限的受管理應用程式時顯示。
5.5.1.IT 管理員可以自訂向使用者顯示的支援訊息 (短版和長版)。
5.5.2.IT 管理員可以部署無法設定、EMM 專用、短、長的 EMM
支援訊息 (請前往 shortSupportMessage
和 longSupportMessage
policies
)。
- EMM 可能會將 EMM 專屬支援訊息設為無法設定 部署項目的預設值,但必須允許 IT 管理員自行設定 訊息。
5.6. 跨資料夾聯絡人管理
5.6.1. IT 管理員可以停止在個人資料夾中顯示工作聯絡人 聯絡人搜尋和來電
5.6.2.IT 管理員可以停用藍牙聯絡人共用功能 ,例如車子或耳機的免持通話功能。
5.7.跨設定檔資料管理
讓 IT 管理員控管工作間可共用的資料類型 和個人資料夾,讓管理員在可用性和資料安全性之間取得平衡 根據各自的需求
5.7.1.IT 管理員可以設定跨設定檔資料共用政策 ,讓個人應用程式可解析工作資料夾中的意圖,例如: 意圖或網頁連結
5.7.2.IT 管理員可讓工作資料夾中的應用程式建立及執行
在個人資料夾的主畫面顯示小工具。這項功能
預設為關閉,但您可以使用 workProfileWidgets
和 workProfileWidgetsDefault
欄位將其設為允許。
5.7.3.IT 管理員可以控管工作資料夾和個人資料夾之間複製/貼上的功能。
5.8.系統更新政策
IT 管理員可以設定無線 (OTA) 系統更新裝置,並套用更新。
5.8.1.IT 管理員可透過 EMM 的控制台設定下列 OTA 配置:
- 自動:裝置會在無線更新 (OTA) 推出時安裝。
- 延後:IT 管理員必須能將 OTA 更新延後到最多 30 個 天。這項政策不會影響安全性更新 (例如每月安全性) 修補程式)。
- 期限:IT 管理員必須能在每日更新 OTA 時安排更新作業 維護期間
5.8.2.OTA 設定會套用到採用 政策 ,直接在 Google Cloud 控制台實際操作。
5.9.鎖定工作模式管理
IT 管理員可以將一或多個應用程式鎖定在畫面上,而且 使用者無法結束應用程式
5.9.1.EMM 控制台可讓 IT 管理員靜默允許任意應用程式組合安裝至裝置並鎖定。政策:可讓您設定專用裝置。
5.10.持續偏好的活動管理
允許 IT 管理員將應用程式設為與特定意圖篩選器相符的意圖的預設意圖處理常式。舉例來說,這項功能可讓 IT 管理員選擇要自動開啟網頁連結的瀏覽器應用程式。這項功能可管理輕觸主畫面按鈕時要使用的啟動器應用程式。
5.10.1. IT 管理員可以將任何套件設為預設意圖處理常式 套用至任意意圖篩選器
- EMM 的控制台可能會為以下使用者選擇建議已知或建議的意圖: ,但無法將意圖限制為任何任意清單。
- EMM 的控制台必須允許 IT 管理員從應用程式清單中選擇 供適用使用者安裝
5.11.鍵盤防護功能管理
IT 管理員可以管理使用者可用的功能,再解鎖 裝置鍵盤鎖 (螢幕鎖定) 和工作驗證鍵盤鎖 (螢幕鎖定)。
5.11.1.Policy 可能關閉以下裝置鍵盤鎖功能:
- 信任的代理程式
- 指紋解鎖
- 未遮蓋的通知
5.11.2.你可以關閉工作資料夾的下列鍵盤鎖功能 使用政策:
- 信任的代理程式
- 指紋解鎖
5.12.進階鍵盤防護功能管理
- 確保攝影機安全
- 所有通知
- 未遮蓋
- 信任的代理程式
- 指紋解鎖
- 所有鍵盤功能
5.13. 遠端偵錯
Android 管理 API 不支援這項功能。
5.14。MAC 位址擷取
EMM 可以無訊息地擷取裝置的 MAC 位址,藉此識別裝置 其他部分 (例如 網路存取權控制裝置)。
5.14.1.EMM 可以靜音擷取裝置的 MAC 位址 並在 EMM 控制台中將該裝置與裝置建立關聯。
5.15. 進階鎖定工作模式管理
IT 管理員可透過專用裝置使用 EMM 執行以下工作:
5.15.1.允許單一應用程式安裝並鎖定在裝置上,無須顯示任何訊息。
5.15.2.啟用或停用下列系統 UI 功能:
- 主畫面按鈕
- 總覽
- 全域動作
- 通知
- 系統資訊 / 狀態列
- 鍵盤鎖 (螢幕鎖定)。在 5.15.1.
5.16.進階系統更新政策
IT 管理員可以設定特定的凍結期間,在裝置上封鎖系統更新。
5.16.1.EMM 的控制台必須允許 IT 管理員封鎖無線更新 (OTA) 系統更新的指定凍結期間。
5.17。工作資料夾政策透明度管理
IT 管理員可以自訂移除工作時向使用者顯示的訊息 儲存資料
5.17.1.IT 管理員可以提供要顯示的自訂文字
(請前往 wipeReasonMessage
)。
5.18.連結的應用程式支援
IT 管理員可以設定套件清單,並在 設定 ConnectedWorkAndPersonalApp 工作設定檔邊界。
5.19. 手動系統更新
Android Management API 不支援這項功能。
6. 裝置管理員淘汰通知
6.1. 裝置管理員淘汰通知
電子行動裝置管理員 (EMM) 必須在 2022 年底前發布計畫,並在 2023 年第 1 季結束前,停止為 GMS 裝置提供裝置管理員客戶服務。
7. API 使用量
7.1. 新繫結的標準政策控制器
所有新裝置都必須使用 Android Device Policy 管理裝置 繫結。EMM 可能會提供選項,讓您管理使用自訂 DPC 的裝置 然後在「進階」標題底下或類似術語新顧客 不得暴露於任何技術堆疊 新手上路或設定工作流程。
7.2. 新裝置的標準政策控制器
根據預設,所有新裝置都必須透過 Android Device Policy 管理裝置 註冊裝置 (適用於現有繫結和新繫結)。EMM 可能會提供 選項,可在標題下的設定區域中,使用自訂 DPC 管理裝置 進階或類似術語 ,瞭解如何調查及移除這項存取權。