本页列出了完整的 Android Enterprise 功能。
如果您打算管理 500 台以上的设备,则您的 EMM 解决方案必须支持至少一个解决方案集中的所有标准功能 (企业解决方案 目录作为提供 标准管理组。
),然后才能正式发布。企业移动管理 (EMM) 解决方案 Android 的每个解决方案集额外提供一套高级功能。这些 每个解决方案集页面都会注明:工作资料 、全托管式设备以及 专用设备。 Android 的 Google 企业解决方案目录 视为提供高级管理集。
键
标准 功能 | 高级功能 | 可选功能 | 不适用 |
1. 设备配置
1.1. DPC 优先工作资料配置
从以下位置下载 EMM 的 DPC 后,您可以配置工作资料 Google Play。
1.1.1. EMM 的 DPC 必须在 Google Play 上公开发布,以便用户能够 在设备的个人端安装 DPC。
1.1.2. 安装后,DPC 必须引导用户完成 预配工作资料
1.1.3. 配置完成后,将无法保留管理状态 与设备个人相关。
- 必须移除在配置期间设置的所有政策。
- 必须撤消应用权限。
- EMM 的 DPC 必须至少在个人端停用 设备。
1.2. DPC 标识符设备配置
IT 管理员可以使用 DPC 配置完全受管设备或专用设备 标识符 ("afw#")。 Play EMM API 开发者文档。
1.2.1.EMM 的 DPC 必须在 Google Play 上公开发布。必须能够通过输入 DPC 专用标识符从设备设置向导中安装 DPC。
1.2.2.安装后,EMM 的 DPC 必须引导用户完成整个流程 预配完全受管设备或专用设备的步骤 。
1.3. NFC 设备配置
IT 管理员可以使用 NFC 标签来配置新设备或恢复出厂设置的设备 根据实现 指南中定义的 Play EMM API 开发者文档。
1.3.1. EMM 必须使用内存至少为 888 字节的 NFC Forum 类型 2 标签。配置必须使用配置 extra 来传递非敏感注册 向设备添加服务器 ID 和注册 ID 等详细信息。注册详情不应包含密码或证书等敏感信息。
1.3.2.EMM 的 DPC 将自身设置为设备所有者后,必须立即打开并将自身锁定到屏幕,直到设备完成完整配置。1.3.3. 我们建议在 Android 10 及更高版本中使用 NFC 标签,因为 弃用了 NFC Beam(也称为 NFC 触碰)。 。
1.4. 二维码设备配置
IT 管理员可以使用新设备或已恢复出厂设置的设备扫描 EMM 控制台生成的二维码,以配置设备,具体方法请参阅 Play EMM API 开发者文档中定义的实现准则。
1.4.1.二维码必须使用配置 extra 来传递非敏感数据 注册详细信息,例如服务器 ID 和注册 ID。注册 不得包含敏感信息(如密码或 证书。
1.4.2.在 EMM 的 DPC 设置设备后,DPC 必须打开 并将其自身锁定到屏幕,直到设备完全配置完毕。
1.5. 零触摸注册
IT 管理员可以预配置从授权转销商购买的设备,并管理这些设备 使用 EMM 控制台。
1.5.1.IT 管理员可以使用零触摸功能来配置公司自有设备 适用于 IT 管理员的零触摸注册中所述注册方法。
1.5.2.首次打开设备时,系统会自动强制该设备 IT 管理员定义的设置 。
1.6. 高级零触摸配置
IT 管理员可以通过部署 DPC 自动执行大部分设备注册流程 通过零触摸注册获取详细注册信息。EMM 的 DPC 支持根据 EMM 提供的配置选项,将注册限制为特定账号或网域。
1.6.1.IT 管理员可以使用零触摸功能来配置公司自有设备 注册方法,其中介绍了面向 IT 管理员的零触摸注册。
1.6.2. EMM 的 DPC 设置设备后,必须立即打开并将自己锁定到屏幕,直至设备完成完整配置。
- 对于使用零触摸注册的设备,无需满足此要求 (例如 专用设备部署)。
1.6.3.EMM 的 DPC 必须根据注册详情确保: 一旦调用 DPC,未经授权的用户便无法继续激活。在 最低限度,必须限定为只有特定企业的用户才能激活。
1.6.4.根据注册详情,EMM 的 DPC 必须允许 让 IT 管理员预先填充注册详细信息(例如服务器 ID、 注册 ID),而不仅仅是唯一身份用户或设备信息(例如 用户名/密码、激活令牌),这样用户就不必输入详细信息 。
- EMM 不得包含敏感信息,例如密码或 (在零触摸注册配置中)。
1.7.Google 账号工作资料配置
对于使用受管理的 Google 网域的企业, 此功能可引导用户在进入 使用公司 Workspace 凭据创建公司 已启用。在这两种情况下,企业 Workspace 身份都将 会迁移到工作资料中。
1.7.1. Google 账号配置方法会根据定义的实现准则配置工作资料。
1.8. Google 账号设备配置
对于使用 Workspace 的企业,此功能可指导用户完成 在进入公司 Workspace 后安装 EMM 的 DPC 凭据。安装后,DPC 会完成 设置公司自有设备。
1.8.1. Google 账号配置方法会配置公司自有设备, 根据定义的实现 指南 ,了解所有最新动态。
1.8.2.除非 EMM 可以明确地将设备标识为公司 因此在部署期间没有提示的情况下,他们无法配置设备 预配过程此提示必须执行非默认操作,例如 选中复选框或选择非默认菜单选项。推荐 EMM 能够将设备标识为公司资产, 无需输入任何提示。
1.9.直接零触摸配置
IT 管理员可以使用 EMM 的控制台通过零触摸 iframe 设置零触摸设备。
1.10.公司自有设备上的工作资料
EMM 可以注册启用了工作资料的公司自有设备。
1.10.1.故意留空。
1.10.2.IT 管理员可以为公司自有的工作资料设置合规操作 设备。
1.10.3.IT 管理员可以在工作资料或 整个设备
1.10.4.IT 管理员可以在工作资料或 整个设备
1.10.5.IT 管理员可以设置应用许可名单或屏蔽名单, 无法安装在个人资料中。
1.10.6.IT 管理员可以放弃对公司自有设备的管理,只需移除 工作资料或擦除整个设备。 。
1.11.专用设备配置
故意留空。
2. 设备安全
2.1. 设备安全问题
IT 管理员可以设置和强制执行设备安全性验证(PIN 码/解锁图案/密码) 在受管设备上预先选择 3 个复杂度级别。
2.1.1. 政策必须强制执行管理设备安全性验证的设置 (工作资料的 parentProfilePasswordRequirements, 全代管式专用设备)。
2.1.2.密码复杂度必须与以下密码复杂程度相对应:
- PASSWORD_COMPLEXITY_LOW - 解锁图案或 PIN 码包含重复 (4444) 或有序 (1234、4321、2468) 序列。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序(1234、4321、2468)序列的 PIN 码, 字母或字母数字密码,长度至少为 4
- PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序(1234、4321、2468)序列的 PIN 码,且 长度至少为 8 个,或者是字母或字母数字密码,长度为 至少 6 个
2.2. 工作安全验证
IT 管理员可以针对工作中的应用和数据设置并强制执行安全验证 与设备安全要求不同的独立配置文件 挑战 (2.1.)。
2.2.1. 政策必须针对工作资料强制执行安全性挑战。 默认情况下,IT 管理员应仅在未对工作资料设置限制时 范围已指定 IT 管理员可以通过指定范围在整个设备范围内进行设置 (请参阅要求 2.1)
2.1.2.密码复杂度应与以下密码复杂度相对应:
- PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 或有序(1234、4321、2468)序列的图案或图钉。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序(1234、4321、2468)序列的 PIN 码, 字母或字母数字密码,长度至少为 4
- PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序(1234、4321、2468)序列的 PIN 码,且 长度至少为 8 个,或者是字母或字母数字密码,长度为 至少 6 个
2.3. 高级密码管理
2.3.1.故意留空。
2.3.2. 故意留空。
2.3.3. 您可以为每个锁定屏幕设定以下密码生命周期设置 :
- 故意留空
- 故意留空
- 擦除密码失败次数上限 :指定用户在此之前可输入错误密码的次数 此设备上的公司数据会被擦除。IT 管理员必须能够关闭 。
2.4. Smart Lock 管理
IT 管理员可以管理 Android Smart Lock 中信任的代理 功能来解锁设备。IT 管理员可以关闭特定解锁功能 信任的蓝牙设备、人脸识别和语音识别等方法, 也可以选择完全关闭该功能。
2.4.1. IT 管理员可以针对设备上可用的每个锁定屏幕独立停用 Smart Lock 信任代理。
2.4.2. IT 管理员可以有选择地允许和设置 Smart Lock 信任 客服人员 ,针对设备上可用的每个锁屏分别 可信代理:蓝牙、NFC、地点、人脸、贴身和语音。
- IT 管理员可以修改 可用的信任 代理配置参数。
2.5. 擦除并锁定
IT 管理员可以使用 EMM 的控制台远程锁定和擦除 受管设备。
2.5.1. EMM 的 DPC 必须锁定设备。
2.5.2.EMM 的 DPC 必须擦除设备。
2.6. 强制执行合规性
如果设备不符合安全政策,系统会自动限制工作数据。
2.6.1.在设备上强制执行的安全政策必须至少包括 密码政策。 。
2.7. 默认安全政策
默认情况下,EMM 必须在设备上强制执行指定的安全政策, 而无需 IT 管理员在 EMM 中设置或自定义任何设置 控制台。鼓励(但不强制要求)使用 EMM,不要允许 IT 管理员进行更改 这些安全功能的默认状态。
2.7.1.EMM 的 DPC 必须禁止安装来自未知来源的应用,包括在个人端安装的应用 装有工作资料的 Android 8.0 及更高版本的设备。
2.7.2. EMM 的 DPC 必须阻止调试功能。
2.8. 专用设备的安全政策
专用设备被锁定,无法执行其他操作。
2.8.1. EMM 的 DPC 必须默认关闭启动进入安全模式的功能。
2.8.2.EMM 的 DPC 必须立即打开并锁定到屏幕 在配置期间首次启动,以确保不与设备交互 以任何其他方式存储数据
2.8.3.您必须将 EMM 的 DPC 设为默认启动器,以确保允许 根据定义的实现 指南。
2.9.Play Integrity 支持
EMM 使用 Play Integrity API 以确保设备是有效的 Android 设备。
2.9.1.EMM 的 DPC 实现 Play Integrity API 期间 并且默认情况下仅完成具有如下配置的设备配置: 公司数据(如果返回的设备完整性为 MEETS_STRONG_INTEGRITY) ,了解所有最新动态。
2.9.2.EMM 的 DPC 将在每次发生以下情况时执行一次 Play 完整性检查: 设备签入 EMM 服务器(可由 IT 管理员配置)。EMM 服务器将验证完整性检查响应中的 APK 信息,以及 然后再更新设备上的企业政策。
2.9.3.IT 管理员可以根据以下结果设置不同的政策响应: Play 完整性检查,包括阻止配置、擦除 数据,然后允许继续注册。
- EMM 服务会对以下结果强制执行此政策响应: 每次完整性检查
2.9.4.如果初始 Play Integrity 检查失败或返回的结果不符合强一致性要求,并且 EMM 的 DPC 尚未调用 ensureWorkingEnvironment,则必须在配置完成之前执行此操作并重复检查。
2.10.强制执行应用验证
IT 管理员可以开启验证应用 。“验证应用”功能会扫描 Android 设备上安装的应用,以检测是否存在有害内容 软件的安装前后,这有助于确保 应用不得危害公司数据。
2.10.1.EMM 的 DPC 必须默认开启“验证应用”。
2.11.直接启动支持
应用无法在刚刚开机的 Android 7.0+ 设备上运行,直到 设备首次处于解锁状态直接启动 支持确保 EMM 的 DPC 始终有效并能够强制执行政策 即使设备尚未解锁。
2.11.1.EMM 的 DPC 利用设备加密存储空间来执行关键任务 之前 DPC 的凭据加密存储 已解密。在直接启动期间可用的管理功能必须包括(但不限于):
- 企业擦除,包括能够 将恢复出厂设置保护数据清除为 适当的选择。
2.11.2.EMM 的 DPC 不得在设备加密存储空间中公开公司数据。
2.11.3. EMM 可以设置和激活令牌,以开启忘记密码功能 按钮。使用此按钮 IT 管理员安全地重置工作资料密码。 。
2.12.硬件安全管理
IT 管理员可以锁定公司自有设备的硬件元素, 数据泄露防护。
2.12.1.IT 管理员可以禁止用户 媒体 。
2.12.2.IT 管理员可以禁止用户使用 NFC 分享设备中的数据 Beam ,了解所有最新动态。此子功能是可选的,因为 NFC 传输功能已不再受支持 (在 Android 10 及更高版本中)。
2.12.3.IT 管理员可以阻止用户通过 USB 从其设备传输文件。
2.13.企业安全日志记录
IT 管理员可以从设备收集使用情况数据,可以解析并以编程方式评估这些数据,以规避恶意或危险行为。记录的活动数 包括 Android 调试桥 (adb) activity、应用打开和屏幕解锁。
2.13.1.IT 管理员可以启用安全日志记录 且 EMM 的 DPC 必须能够检索安全性 日志 以及重新启动前的安全日志。
2.13.2.IT 管理员可以查看企业安全日志 。
2.13.3. IT 管理员可以从 EMM 的控制台导出企业安全日志。 。
3. 账号和应用管理
3.1. 企业绑定
IT 管理员可以将 EMM 绑定到其组织,让 EMM 能够使用 Google Play 企业版向设备分发应用。
3.1.1. 拥有现有受管 Google 网域的管理员可以将其网域绑定到 EMM。
3.1.2. EMM 控制台必须以静默方式配置和设置 ESA 。
3.1.3. 使用 Play EMM API 取消注册企业。
3.1.4. EMM 控制台会引导管理员在 Android 注册流程,并不鼓励用户使用 Gmail 账号。
3.1.5.EMM 会在 Android 注册流程中预填充管理员的电子邮件地址。 。
3.2. Google Play 企业版账号配置
EMM 可以静默方式配置企业用户账号, Google Play 企业版账号这些账号会识别受管理的用户和 允许针对每位用户的唯一应用分发规则。
3.2.1. EMM 的 DPC 可以根据指定的实现指南,静默配置和激活受管 Google Play 账号。这样做有以下好处:
userAccount
类型的 Google Play 企业版账号会添加到 设备。userAccount
类型的 Google Play 企业版账号必须采用一对一 与实际用户进行映射
3.3. Google Play 企业版设备账号配置
EMM 可以创建和配置 Google Play 企业版设备账号 ,了解所有最新动态。设备账号支持从受管理的 Google Play 商店静默安装应用,并且不绑定到单个用户。而是使用设备账号来标识单台设备,以便在专用设备场景中支持按设备分发应用的规则。
3.3.1. EMM 的 DPC 可静默配置和激活 Google Play 企业版
账号。
执行此操作时,必须添加类型为“deviceAccount
”的 Google Play 企业版账号
发送到设备
3.4. 旧版设备的 Google Play 企业版账号配置
EMM 能够以静默方式配置企业用户账号(称为代管式 Google) Play 账号。这些账号用于标识受管理的用户,并允许每位用户唯一 应用分发规则。
3.4.1. EMM 的 DPC 可静默配置和激活 Google Play 企业版 账号。 这样做有以下好处:
userAccount
类型的 Google Play 企业版账号会添加到 设备。- 类型为
userAccount
的 Google Play 企业版账号必须与 EMM 控制台中的实际用户进行 1 对 1 的映射。
3.5. 静默应用分发
IT 管理员可以将工作应用分发到用户没有任何用户的设备 互动。
3.5.1. EMM 控制台必须使用 Play EMM API 以允许 IT 管理员在受管理的设备上安装工作应用。
3.5.2. EMM 控制台必须使用 Play EMM API 以允许 IT 管理员更新受管设备上的工作应用。
3.5.3.EMM 控制台必须使用 Play EMM API 以允许 IT 管理员卸载受管设备上的应用。
3.6. 受管配置管理
IT 管理员可以查看和静默设置受管配置 支持托管配置。
3.6.1.EMM 控制台必须能够检索和显示受管理的 任何 Play 应用的配置设置。
- EMM 可以调用
Products.getAppRestrictionsSchema
来检索 应用的托管配置架构,或将托管配置 iframe嵌入其 EMM 控制台。
3.6.2.EMM 控制台必须允许 IT 管理员将任何配置类型(如 (由 Android 框架定义)适用于任何使用 Play EMM 的 Play 应用 API。
3.6.3. EMM 控制台必须允许 IT 管理员设置通配符(例如 $username$ 或 %emailAddress%),以便只对诸如 Gmail 可应用于多个用户。受管配置 iframe 自动支持此要求。
3.7. 应用目录管理
IT 管理员可以导入为企业批准的应用列表 Google Play 企业版 (play.google.com/work)。
3.7.1. EMM 的控制台可以显示已批准的应用列表 包括:
- 在 Google Play 企业版中购买的应用
- IT 管理员可以看到专用应用
- 以程序化方式 已批准的应用
3.8. 程序化应用审批
EMM 控制台使用 Google Play 企业版 iframe 来支持 Google Play 的 应用发现和审批功能。IT 管理员可以搜索应用 无需离开 EMM 控制台,即可批准应用以及批准新的应用权限。
3.8.1. IT 管理员可以使用 Google Play 企业版 iframe 在 EMM 控制台中搜索应用并批准应用。
3.9. 基本商店布局管理
您可以在设备上使用 Google Play 企业版商店应用进行安装 和更新工作应用。默认情况下,系统会显示基本商店布局 已获准在企业中使用的应用(EMM 按用户过滤) 。
3.9.1.IT 管理员可以管理用户的可用的商品集 以允许从 Google Play 企业版查看和安装应用 在“商店首页”部分下找到商店。
3.10. 高级商店布局配置
IT 管理员可以自定义 Google Play 企业版中显示的商店布局 在设备上发布应用。
3.10.1.IT 管理员可以在 EMM 控制台中执行以下操作,以自定义 Google Play 企业版商店布局:
- 最多可创建 100 个商店布局页面。页面可以包含任意数量的 已本地化的网页名称。
- 最多可为每个页面创建 30 个集群。集群可以有任意数量的本地化集群名称。
- 最多可向每个集群分配 100 个应用。
- 每个页面最多可添加 10 个快捷链接。
- 指定集群内应用和集群内集群的排序顺序 页面。
3.11. 应用许可管理
IT 管理员可以查看和管理在 Google Play 企业版中购买的应用许可 登录账号。
3.11.1. 对于已获批准供企业使用的付费应用,EMM 的控制台必须显示:
- 已购买的许可数量。
- 使用的许可数和使用许可的用户数。
- 可分发的许可数量。
3.11.2.IT 管理员可以向用户静默分配许可,而无需强制在用户的任何设备上安装该应用。
3.11.3.IT 管理员可以取消分配 用户。
3.12. Google 托管的专用应用管理
IT 管理员可以改为通过 EMM 控制台更新 Google 托管的专用应用 使用 Google Play 管理服务
3.12.1. IT 管理员可以上传已发布的新版应用 私下提供给企业:
3.13. 自行托管的专用应用管理
IT 管理员可以设置和发布自行托管的专用应用。取消点赞 Google 托管的专用应用,则 Google Play 不托管 APK。相反, EMM 可帮助 IT 管理员自行托管 APK,并帮助保护自托管 确保应用只能在获得受管理的 Google 授权的情况下安装 Play。
IT 管理员可以参阅支持专用应用 了解详情。
3.13.1.EMM 的控制台必须通过提供以下两种方法来帮助 IT 管理员托管应用 APK: 以下选项之一:
- 在 EMM 的服务器上托管 APK。服务器可以是本地服务器 基于云
- 将 APK 托管在 EMM 服务器之外,由 IT 管理员。IT 管理员必须在 EMM 控制台中指定 APK 已托管。
3.13.2.EMM 控制台必须生成适当的 APK 定义 文件(使用提供的 APK) 并且必须指导 IT 管理员完成发布流程。
3.13.3. IT 管理员可以更新自行托管的专用应用以及 EMM 的控制台 可以使用 Google Play Developer Publishing API。
3.13.4.EMM 的服务器仅针对请求的 Cookie 中包含有效 JWT(已通过私有应用的公钥进行验证)的自托管 APK 提供下载请求。
- 为了简化这一过程,EMM 的服务器必须引导 IT 管理员 从 Play Google Play 下载自托管应用的许可公钥。 Play 管理中心,然后将此密钥上传到 EMM 控制台。
3.14. EMM 拉取通知
EMM 拉取通知会主动通知 EMM 此类事件,而不是定期查询 Play 以识别过去的事件(例如包含新权限或受管理配置的应用更新),从而让 EMM 能够根据这些事件执行自动操作并提供自定义管理通知。
3.14.1. EMM 必须使用 Play 的 EMM 通知 来拉取通知集。
3.14.2. EMM 必须自动向 IT 管理员(例如通过自动发送的电子邮件)发送以下通知事件:
newPermissionEvent
:新应用需要 IT 管理员批准 然后才能在用户的 Play 管理中心静默安装或更新应用 设备。appRestrictionsSchemaChangeEvent
:可能需要 IT 管理员进行更新 应用的受管配置,以保持预期功能。appUpdateEvent
:希望执行以下操作的 IT 管理员可能会感兴趣: 验证核心工作流功能是否不受应用更新的影响。productAvailabilityChangeEvent
:可能会影响安装 或获取应用更新。installFailureEvent
:Play 无法在 这表明该设备可能存在 配置阻止安装。EMM 在收到此通知后不应立即再次尝试静默安装,因为 Play 自己的重试逻辑已失败。
3.14.3.EMM 会根据以下信息自动采取适当的措施 通知事件:
newDeviceEvent
:在设备配置期间,EMM 必须等待newDeviceEvent
,然后才能为新设备发出后续的 Play EMM API 调用,包括静默安装应用和设置受管配置。productApprovalEvent
:收到productApprovalEvent
后 EMM 必须自动更新已导入的已批准应用的列表 如果有活跃的 IT 管理员,则可以将其分发到 EMM 控制台 或者,如果获得批准的应用列表未在 启动每个 IT 管理员会话。
3.15. API 使用要求
EMM 可大规模使用 Google 的 API,避免出现 可能会对 IT 管理员的可管理正式版应用 环境。
3.15.1. EMM 必须遵守 Play EMM API 用量限额如果不纠正违反这些指南的行为, 将由 Google 自行决定暂停 API 使用。
3.15.2.EMM 应将来自不同企业的流量分配到整个 而不是整合特定或类似位置的企业流量 次。符合此流量模式的行为,例如计划批次 都可能导致 API 暂停使用: 由 Google 自行决定。
3.15.3.EMM 不应一致、不完整或故意为之 未尝试检索或管理实际企业 数据。符合此流量模式的行为可能会导致 Google 自行决定暂停 API 使用。
3.16. 高级受管配置管理
3.16.1.EMM 控制台必须能够检索和显示受管理的 任何 Play 应用的配置设置(最多可嵌套四个级别):
- Google Play 企业版 iFrame,或者
- 自定义界面。
3.16.2.EMM 的控制台必须能够检索和显示任何反馈 由应用的反馈渠道返回 (由 IT 管理员设置)。
- EMM 控制台必须允许 IT 管理员关联特定反馈内容 与来源设备和应用之间的关联
- EMM 的控制台必须允许 IT 管理员订阅以下内容的提醒或报告: 特定消息类型(例如错误消息)。
3.16.3.EMM 控制台只能发送具有默认值或由管理员手动设置的值 使用:
- 受管配置 iframe,或
- 自定义界面。
3.17. Web 应用管理
IT 管理员可以在 EMM 控制台中创建和分发 Web 应用。
3.17.1.IT 管理员可以使用 EMM 控制台分发 Web 应用的快捷方式,具体方法如下:
- Google Play 企业版 iframe,或者
- Play EMM API ,了解所有最新动态。
3.18. Google Play 企业版账号生命周期管理
EMM 可以代表 IT 管理员创建、更新和删除 Google Play 企业版账号。
3.18.1.EMM 可以管理 Google Play 企业版账号的生命周期 按照 Play EMM API 开发者文档中定义的实现指南操作。
3.18.2.EMM 可在没有用户的情况下重新对 Google Play 企业版账号进行身份验证 互动
3.19.应用轨道管理
3.19.1. IT 管理员可以提取开发者为 特定应用。
3.19.2.IT 管理员可以将设备设置为使用应用的特定开发轨道。
3.20. 高级应用更新管理
3.20.1.IT 管理员可以允许应用使用高优先级应用更新,以便在有可用更新时进行更新。
3.20.2.IT 管理员可以允许应用将应用更新推迟 90 天。
3.21. 配置方法管理
EMM 可以生成配置,并以可分发给最终用户的形式(例如二维码、零触摸配置、Play 商店网址)将其呈现给 IT 管理员。
4. 设备管理
4.1. 运行时权限政策管理
IT 管理员可以以静默方式为运行时权限请求设置默认响应 工作应用产生的收入。
4.1.1. IT 管理员在设置时必须能够选择以下选项 组织的默认运行时权限政策:
- 提示(允许用户选择)
- allow
- deny
EMM 应使用 EMM 的 DPC 强制执行这些设置。
4.2. 管理运行时权限授予状态
设置默认运行时权限政策(前往 4.1)后,IT 管理员可以 针对基于 API 构建的任何工作应用的特定权限静默设置响应 23 或更高版本。
4.2.1.IT 管理员必须能够设置授权状态(默认、授予或拒绝) 由基于 API 23 或更高版本构建的任何工作应用请求的任何权限。EMM 应使用 EMM 的 DPC 强制执行这些设置 ,了解所有最新动态。
4.3. Wi-Fi 配置管理
IT 管理员可以在受管设备上静默配置企业 Wi-Fi 配置 包括:
4.3.1.SSID(使用 EMM 的 DPC)。
4.3.2.密码,使用 EMM 的 DPC。
4.4. Wi-Fi 安全管理
IT 管理员可以在受管设备上配置企业 Wi-Fi 配置 提供以下高级安全功能:
4.4.1. 使用 EMM 的 DPC 验证身份。
4.4.2. 客户端授权证书(使用 EMM 的 DPC) ,了解所有最新动态。
4.4.3. CA 证书,使用 EMM 的 DPC。
4.5. 高级 Wi-Fi 管理
IT 管理员可以锁定受管设备上的 Wi-Fi 配置 用户不得创建配置或修改公司配置。
4.5.1. IT 管理员可以在以下任一国家/地区锁定公司 Wi-Fi 配置 以下配置:
- 用户无法修改任何 Wi-Fi 网络 通过 EMM 配置的配置,但可以自行添加和修改自己的 用户可配置的网络(例如个人网络)。
- 用户无法添加或修改 设备,从而限制 Wi-Fi 连接只能用于预配的那些网络 按 EMM 显示。
4.6. 账号管理
IT 管理员可以确保未经授权的公司账号无法与 企业数据,用于 SaaS 存储和办公应用等服务;或 电子邮件。如果没有此功能,用户可将个人账号添加到 同时支持消费者账号的企业应用,使他们能够 公司数据。
4.6.1.IT 管理员可以禁止添加或修改账号。
- 在设备上强制执行此政策时,EMM 必须在配置完成之前设置此限制,以确保您无法在政策生效之前通过添加账号来规避此政策。
4.7. Workspace 账号管理
IT 管理员可以确保未经授权的 Google 账号无法与 企业数据。如果没有此功能,用户可将个人 Google 账号添加到 企业 Google 应用(例如 Google 文档或 Google 云端硬盘),允许它们 与这些个人账号共享公司数据。
4.7.1.IT 管理员可以指定要激活的 Google 账号 在配置期间,完成账号管理之后 锁定 是否已经就绪。
4.7.2.EMM 的 DPC 必须提示启用 Google 账号,并确保通过指定要添加的账号,只能启用特定账号。
- 在搭载 Android 7.0 以下版本的设备上,DPC 必须 先暂时关闭账号管理限制,然后再提示 用户。
4.8. 证书管理
允许 IT 管理员将身份证书和证书授权机构部署到 从而允许其访问公司资源。
4.8.1.IT 管理员可以安装由其公钥基础设施 (PKI) 生成的用户身份证书 按用户数量分配EMM 控制台必须至少集成一个公钥基础设施 (PKI),并且 分发从该基础架构生成的证书。
4.8.2.IT 管理员可以安装证书授权机构 。
4.9. 高级证书管理
允许 IT 管理员以静默方式选择特定受管理应用的证书 。此外,此功能还可让 IT 管理员从处于活动状态的设备中移除 CA 和身份证书。此功能可防止用户修改 存储在代管式密钥库中。
4.9.1.对于分发到设备的任何应用,IT 管理员都可以指定一个证书,系统会在运行时静默授予该应用访问权限。
- 证书选择必须足够通用,以允许单个配置适用于所有用户,每个用户都可能具有特定于用户的身份证书。
4.9.2.IT 管理员可以从受管理的密钥库中静默移除证书。
4.9.3.IT 管理员可以静默卸载 CA 证书, 或所有非系统 CA 证书。
4.9.4. IT 管理员可以阻止用户配置凭据 。
4.9.5.IT 管理员可以针对以下项目预先授予证书: 工作应用
4.10.委托证书管理
IT 管理员可以将第三方证书管理应用分发到设备,并向该应用授予将证书安装到受管理的密钥库的权限。
4.10.1.IT 管理员指定要设置为 由 DPC 提供委托的证书管理应用。
- 控制台可以选择推荐已知的证书管理软件包, 但必须允许 IT 管理员从可用于 安装。
4.11.高级 VPN 管理
IT 管理员可指定始终开启的 VPN 指定的受管理应用将一律通过已设置的 VPN 连接。
4.11.1.IT 管理员可以指定任意 VPN 软件包 设置为始终开启的 VPN
- EMM 控制台可能会酌情推荐支持 始终开启的 VPN,但无法限制可使用“始终开启”配置的 VPN 添加到任意列表。
4.11.2.IT 管理员可以使用托管配置指定 一个应用。
4.12.IME 管理
IT 管理员可以管理可以为哪些输入法 (IME) 设置 设备。由于 IME 会在工作资料和个人资料之间共享,因此禁止使用 IME 也会禁止将这些 IME 用于个人用途。不过,IT 管理员不得在工作中屏蔽系统 IME (如需了解详情,请前往高级 IME 管理)。
4.12.1.IT 管理员可以设置 IME 许可名单 任意长度(包括会屏蔽非系统 IME 的空列表), 可能包含任意 IME 软件包。
- EMM 控制台可能会酌情推荐已知或推荐的 IME 已列入许可名单,但必须允许 IT 管理员从列表中选择 可供适用用户安装的应用。
4.12.2. EMM 必须告知 IT 管理员,系统 IME 已从 管理。 。
4.13.高级 IME 管理
IT 管理员可以管理可以为哪些输入法 (IME) 设置 设备。高级 IME 管理允许 IT 管理员扩展基本功能 用于管理系统 IME 的使用,这些系统通常由 设备制造商或运营商。
4.13.1.IT 管理员可以设置 IME 许可名单 任意长度的 IME(不包括空列表,空列表会阻止所有 IME,包括 系统 IME),这些 IME 可能包含任意 IME 软件包。
- EMM 控制台可能会酌情推荐已知或推荐的 IME 已列入许可名单,但必须允许 IT 管理员从列表中选择 可供适用用户安装的应用。
4.13.2.EMM 必须防止 IT 管理员设置空的许可名单,因为 设置会禁止在 设备。
4.13.3.EMM 必须确保:如果 IME 许可名单不包含系统 IME, 在应用许可名单之前,第三方 IME 会静默安装 。 。
4.14.无障碍服务管理
IT 管理员可以管理用户设备上允许使用的无障碍服务。虽然无障碍服务非常强大 为残障用户或暂时无法完全 可能会以如下方式与公司数据交互: 不符合公司政策。此功能可让 IT 管理员 关闭任何非系统无障碍服务。
4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单(包括空白列表,用于屏蔽非系统无障碍服务),其中可以包含任何任意无障碍服务软件包。如果应用于工作资料,此设置会同时影响个人资料 以及工作资料
- 控制台可能会选择性地建议已知或推荐的无障碍服务 添加到许可名单,但必须允许 IT 管理员选择 可供适用用户安装的应用的列表。
4.15.位置信息分享管理
IT 管理员可以禁止用户与工作应用分享位置数据 个人资料。否则,您可以在“设置”中配置工作资料的位置信息设置。
4.15.1.IT 管理员可以停用位置信息服务 工作资料中
4.16. 高级位置信息分享管理
IT 管理员可以在受管理的设备上强制执行特定的位置信息分享设置。 此功能可确保企业应用始终有权访问 精确位置数据。此功能还可确保延长电池续航时间 不会因为将位置信息设置限定为“耗电量低”模式而消耗电量。
4.16.1.IT 管理员可以设置设备位置信息服务 以下各种模式:
- 高精确度。
- 仅传感器,如 GPS,但不包括网络提供的传感器 位置。
- 省电模式,会限制更新频率。
- 关闭。
4.17.恢复出厂设置保护管理
让 IT 管理员能够确保公司自有设备免遭盗窃, 未经授权的用户无法将设备恢复出厂设置。如果恢复出厂设置保护功能会在设备退回给 IT 部门时引入操作复杂性,IT 管理员还可以完全关闭恢复出厂设置保护功能。
4.17.1.IT 管理员可以禁止用户恢复出厂设置 其设备。
4.17.2. IT 管理员可以指定有权配置设备的企业解锁账号 恢复了出厂设置
- 此账号可以与个人绑定,也可以供整个企业使用 解锁设备。
4.17.3.IT 管理员可以为指定设备停用恢复出厂设置保护。
4.17.4.IT 管理员可以启动远程设备清除,可选择清除恢复出厂设置保护数据,从而移除已重置设备上的恢复出厂设置保护。
4.18.高级应用控制
IT 管理员可以禁止用户卸载或修改受管理的应用 通过“设置”更改应用,例如强制关闭应用或清除应用的 数据缓存。
4.18.1.IT 管理员可以禁止卸载任意受管理的应用或所有受管理的应用。
4.18.2.IT 管理员可以禁止用户修改应用数据 设置。
4.19.屏幕截图管理
IT 管理员可以禁止用户在使用受管理的应用时截屏。此设置包括屏蔽使用系统屏幕截图功能的屏幕共享应用和类似应用(例如 Google 助理)。
4.19.1. IT 管理员可以阻止用户截取屏幕截图 ,了解所有最新动态。
4.20.停用相机
IT 管理员可以禁止受管理的应用使用设备相机。
4.20.1.IT 管理员可以关闭设备摄像头使用权限 由受管理的应用管理
4.21.网络统计信息收集
IT 管理员可以查询设备工作资料中的网络使用情况统计信息。收集的统计信息反映了“设置”的流量使用情况部分中与用户分享的使用情况数据。收集的统计信息适用于 工作资料内应用的使用情况。
4.21.1.IT 管理员可以查询工作资料的网络统计信息摘要, 并可在 EMM 的控制台。
4.21.2. IT 管理员可以查询工作资料网络使用情况中的应用摘要 统计信息, 以及查看这些详细信息 在 EMM 控制台中按 UID 进行整理。
4.21.3.IT 管理员可以针对指定设备和可配置的时间范围查询工作资料的网络使用历史数据,并在 EMM 控制台中按 UID 查看这些按 UID 整理的详细信息。
4.22. 高级网络统计信息收集
IT 管理员可以查询整个受管设备的网络使用情况统计信息。通过 收集的统计信息反映的是“数据使用”计划中与用户分享的用途数据 部分。收集的统计信息适用于应用使用行为 。
4.22.1. IT 管理员可以查询整个设备的网络统计信息摘要 ,并在可配置的时间窗口内查看这些详细信息, EMM 的控制台。
4.22.2.IT 管理员可以查询应用网络使用情况摘要 统计信息, 以及查看这些详细信息 在 EMM 控制台中按 UID 进行整理。
4.22.3. IT 管理员可以查询网络使用情况历史数据, 以及查看这些详细信息 在 EMM 控制台中按 UID 进行整理。
4.23.重新启动设备
IT 管理员可以远程重启受管设备。
4.23.1.IT 管理员可以远程重新启动 受管设备。
4.24.系统电台管理
IT 管理员可对系统网络无线装置和相关设备进行精细管理 使用政策。
4.24.1. IT 管理员可以停用小区广播 服务提供商发送的提醒(例如安珀警报)。
4.24.2.IT 管理员可以禁止用户在“设置”中修改移动网络设置。
4.24.3.IT 管理员可以禁止用户在“设置”中重置网络设置 ,了解所有最新动态。
4.24.4.IT 管理员可以在漫游时允许或禁止使用移动数据 ,了解所有最新动态。
4.24.5. IT 管理员可以设置是否允许设备拨打电话 ,不包括紧急呼叫。
4.24.6.IT 管理员可以设置是否允许设备收发短信 ,了解所有最新动态。
4.24.7.IT 管理员可以禁止用户通过网络共享将其设备用作便携式热点。
4.24.8.IT 管理员可以设置 Wi-Fi 超时 更改为默认值 ,仅在接通电源时 或永不 ,了解所有最新动态。
4.24.9.IT 管理员可以阻止用户设置或修改现有的蓝牙连接 ,了解所有最新动态。
4.25.系统音频管理
IT 管理员可以以静默方式管理设备音频功能,包括将 设备、禁止用户更改音量设置以及禁止用户 设备麦克风取消静音。
4.25.1. IT 管理员可以静默将受管设备设为静音。
4.25.2. IT 管理员可以禁止用户修改设备音量设置。
4.25.3. IT 管理员可以禁止用户将设备麦克风取消静音。
4.26.系统时钟管理
IT 管理员可以管理设备时钟和时区设置,并禁止用户执行以下操作: 修改自动设备设置。
4.26.1.IT 管理员可以强制执行系统自动时间,以防止用户设置设备的日期和时间。
4.26.2. IT 管理员可以以静默方式关闭或同时关闭自动时间 和自动时区。
4.27.高级专用设备功能
让 IT 管理员能够管理更精细的专用设备 功能来支持各种自助服务终端应用场景。
4.27.1. IT 管理员可以停用设备键盘锁。
4.27.2.IT 管理员可以关闭设备状态栏, 屏蔽通知和快捷设置
4.27.3.IT 管理员可以强制使设备屏幕保持开启状态 当设备接通电源时。
4.27.4.IT 管理员可以屏蔽以下系统界面 禁止显示:
- 消息框
- 应用叠加层。
4.27.5. IT 管理员可以允许系统推荐应用跳过用户教程和其他入门提示 启动此 SDK 时。
4.28. 委托范围管理
IT 管理员能够将额外的权限授予各个软件包。
4.28.1.IT 管理员可以管理 以下范围:
4.29.针对注册的身份证件支持
从 Android 12 开始,工作资料将无法再访问 硬件专用标识符IT 管理员可以跟踪设备的生命周期 通过注册专用 ID 创建工作资料,该 ID 会保留 恢复出厂设置。
4.29.2.恢复出厂设置后,此注册专用 ID 必须保持不变 。
5. 设备易用性
5.1. 托管配置自定义
IT 管理员可以修改默认设置流程用户体验,以包含 企业独有的功能(可选)IT 管理员可以显示 EMM 提供的 品牌信息。
5.1.1. IT 管理员可以通过指定 以下针对企业的详细信息:enterprise color、 企业徽标、 企业服务条款和其他免责声明。
5.1.2. IT 管理员可以部署特定于 EMM 且不可配置的自定义设置, 包含以下详细信息:EMM 颜色、EMM 徽标、 EMM 服务条款和其他免责声明。
5.1.3 [primaryColor
] 已弃用,用于
Android 10 及更高版本。
- EMM 必须包含配置的服务条款和其他免责声明 配置流程的 配置免责声明包,即使特定于 EMM 的自定义自定义 未使用。
- EMM 可将特定于 EMM 的不可配置自定义设置设为 所有部署的默认设置,但必须允许 IT 管理员设置自己的 自定义。
5.2. 企业自定义
IT 管理员可以使用公司品牌信息来自定义工作资料的各个方面。 例如,IT 管理员可以将工作资料中的用户图标设为 公司徽标。另一个例子是设置 工作挑战。
5.2.1. IT 管理员可以设置组织颜色,以用作工作挑战的背景颜色。
5.2.2. IT 管理员可以设置工作资料的显示名称 ,了解所有最新动态。
5.2.3. IT 管理员可以设置工作资料的用户图标 ,了解所有最新动态。
5.2.4. IT 管理员可以阻止用户修改工作资料用户图标。
5.3. 高级企业自定义
IT 管理员可以使用公司品牌信息来自定义受管设备。例如,IT 管理员可以将主要用户图标设置为公司徽标,或设置设备壁纸。
5.3.1. IT 管理员可以为受管设备设置显示名称 ,了解所有最新动态。
5.3.2. IT 管理员可以设置受管理设备的用户图标 ,了解所有最新动态。
5.3.3. IT 管理员可以禁止用户修改设备用户图标。
5.3.4. IT 管理员可以设置设备壁纸 ,了解所有最新动态。
5.3.5.IT 管理员可以禁止用户修改设备壁纸。
5.4. 锁定屏幕消息
IT 管理员可以设置始终显示在设备锁定屏幕上的自定义消息,且无需解锁设备即可查看。
5.4.1. IT 管理员可以设置自定义锁定屏幕消息。
5.5. 政策透明度管理
IT 管理员可以自定义在用户修改设备上的受管设置时向其提供的帮助文本,或部署 EMM 提供的通用支持消息。短支持消息和长支持消息均可自定义。这些邮件 (例如尝试卸载受管应用) 因为 IT 管理员已阻止卸载。
5.5.1. IT 管理员自定义简短版本 和 long 支持消息。
5.5.2. IT 管理员可以部署不可配置的 EMM 专用简短和详细支持消息。
- EMM 可能会将特定于 EMM 的不可配置支持消息设置为 所有部署的默认设置,但必须允许 IT 管理员设置自己的 消息。
5.6. 跨资料联系人管理
IT 管理员可以控制哪些联系人数据可以离开工作资料。两者都有 电话和短信 (SMS) 应用必须在个人资料中运行,以及 需要访问工作资料联系人数据才能提供工作功能 联系人,但管理员可能会选择停用这些功能以保护工作数据。
5.6.1.IT 管理员可以停用跨资料联系人搜索 使用系统联系人提供程序的个人应用。
5.6.2.IT 管理员可以停用跨资料来电显示查找 。
5.6.3.IT 管理员可以停用与蓝牙设备共享蓝牙联系人的功能 使用系统联系人提供程序,例如在车载设备上进行免提通话 或头戴设备。
5.7. 跨资料数据管理
让 IT 管理员能够控制哪些数据可以离开工作资料,等等 工作资料的默认安全功能。借助此功能,IT 管理员 可以允许某些类型的跨资料数据共享,以提高密钥的易用性 用例。IT 管理员还可以通过更多锁定功能进一步保护公司数据。
5.7.1. IT 管理员可以配置跨资料 intent 过滤器 以便个人应用可以解析工作资料中的 intent,例如共享 intent 或 网页链接。
- 控制台可能会选择性地针对 配置,但不能将 intent 过滤器限制为任意列表。
5.7.2.IT 管理员可以在主屏幕上允许显示 widget 的受管应用。
- EMM 控制台必须让 IT 管理员能够从列表中进行选择 可供适用用户安装的应用的数量。
5.7.3. IT 管理员可以禁止在工作资料和个人资料之间复制/粘贴内容。
5.7.4.IT 管理员可以通过如下方式禁止用户共享工作资料中的数据: NFC 传输。
5.7.5.IT 管理员可以允许个人应用打开工作资料中的网页链接。
5.8. 系统更新政策
IT 管理员可以设置和应用无线 (OTA) 系统更新 设备。
5.8.1.EMM 的控制台允许 IT 管理员设置以下 OTA 配置:
- 自动:设备会在 OTA 更新可用时安装更新。
- 推迟:IT 管理员必须能够将 OTA 更新推迟最多 30 天。此政策不影响安全更新(例如每月安全更新) 补丁)。
- 窗口化:IT 管理员必须能够在每天的 维护窗口。
5.8.2.EMM 的 DPC 将 OTA 配置应用于设备。
5.9. 锁定任务模式管理
IT 管理员可以将一个或一组应用锁定到屏幕, 无法退出应用
5.9.1.借助 EMM 的控制台,IT 管理员可以静默允许一组任意应用安装并锁定到设备。EMM 的 DPC 允许专用设备模式。
5.10. 永久性首选 activity 管理
允许 IT 管理员将应用设为以下 intent 的默认 intent 处理程序 与特定的 intent 过滤器匹配。例如,让 IT 管理员可以选择 浏览器应用会自动打开网页链接,或在以下情况下使用哪个启动器应用 按主屏幕按钮。
5.10.1.IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序。
- EMM 控制台可能会针对 配置,但不能将 intent 限制为任意列表。
- EMM 控制台必须允许 IT 管理员从应用列表中进行选择 可供适用用户安装的应用。
5.11. 键盘锁功能管理
- 可信代理
- 指纹解锁
- 未隐去信息的通知
5.11.2. EMM 的 DPC 可以在工作资料中关闭以下锁屏功能:
- 可信代理
- 指纹解锁
5.12. 高级屏保功能管理
5.13. 远程调试
IT 管理员可以从设备中检索调试资源,而无需额外提供 步骤。
5.13.1.IT 管理员可以远程请求获取错误报告 在 EMM 控制台中查看 bug 报告,并从 EMM 的控制台下载 bug 报告 控制台。
5.14.MAC 地址检索
EMM 可以静默方式提取设备的 MAC 地址。MAC 地址可用于 识别企业基础架构其他部分(例如 识别设备以进行网络访问权限控制时)。
5.14.1.EMM 可以静默地检索 设备的 MAC 地址,并可在 EMM 的 控制台。
5.15.高级锁定任务模式管理
将设备设为专用设备后,IT 管理员可以使用 EMM 的 控制台执行以下任务:
5.15.1.使用 EMM 的 DPC 以静默方式允许单个应用锁定到设备。
5.15.2.使用 EMM 的 DPC 开启或关闭以下系统界面功能 :
- “主屏幕”按钮
- 概览
- 全局操作
- 通知
- 系统信息 / 状态栏
- 屏幕保护程序(锁定屏幕)
5.15.3.使用 EMM 的 DPC 关闭系统错误对话框。
5.16.高级系统更新政策
IT 管理员可以在指定的冻结期内阻止设备上的系统更新。
5.16.1. EMM 的 DPC 可以将无线下载 (OTA) 系统更新应用于特定冻结的设备 。
5.17.工作资料政策透明度管理
IT 管理员可以自定义移除工作时向用户显示的消息 创建个人资料
5.17.1. IT 管理员可以提供在工作资料被擦除时要显示的自定义文本。
5.18.关联的应用支持
IT 管理员可以设置软件包列表 能够跨越工作资料边界的通信
5.19.手动系统更新
IT 管理员可以提供路径来手动安装系统更新。
6. 设备管理服务弃用
6.1. 设备管理服务弃用
EMM 必须在 2022 年底前发布方案,否则将停止提供客户服务 对于设备管理员 。
7. API 用量
7.1. 新绑定的标准政策控制器
默认情况下,对于任何新的绑定,设备都必须使用 Android Device Policy 进行管理。EMM 可能会在“高级”或类似术语标题下的设置区域中提供使用自定义 DPC 管理设备的选项。新客户数量 不得在任何技术栈之间进行任意选择, 新手入门或设置工作流程。 。
7.2. 适用于新设备的标准政策控制器
默认情况下,对于所有新设备注册(包括现有绑定和新绑定),设备都必须使用 Android Device Policy 进行管理。EMM 可提供 在标题下方的设置区域中使用自定义设备政策控制器 (DPC) 管理设备的选项 “高级”或类似术语。