Android Enterprise 功能列表

1.1.1. EMM 的 DPC 必须在 Google Play 上公开提供，以便用户可以在设备的个人侧安装该 DPC。

1.1.2. 安装完成后，DPC 必须引导用户完成工作资料配置流程。

1.1.3. 配置完成后，设备的个人侧不能保留任何管理存在。

• 必须移除在配置期间实施的所有政策。
• 必须撤消应用权限。
• EMM 的 DPC 必须至少在设备的个人侧处于关闭状态。

1.2.1. EMM 的 DPC 必须在 Google Play 上公开提供。DPC 必须可通过在设备设置向导中输入 DPC 特有的标识符进行安装。

1.3.1. EMM 必须使用内存至少为 888 字节的 NFC Forum 类型 2 标签。 配置必须使用配置 extra 将非敏感注册详细信息（例如服务器 ID 和注册 ID）传递给设备。注册详细信息不应包含密码或证书等敏感信息。

1.4.1. 二维码必须使用配置额外信息将非敏感注册详细信息（例如服务器 ID 和注册 ID）传递给设备。 注册详细信息不得包含密码或证书等敏感信息。

1.4.2. 在 EMM 的 DPC 设置设备后，DPC 必须立即打开并锁定到屏幕，直到设备完全配置完毕。

1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法来配置公司自有设备。

1.6.1. IT 管理员可以使用零触摸注册方法（如面向 IT 管理员的零触摸注册中所述）来配置公司自有设备。

1.6.2. 在 EMM 的 DPC 设置设备后，EMM 的 DPC 必须立即打开并锁定到屏幕，直到设备完全配置完毕。

• 如果设备使用零触摸注册详细信息以静默方式自行完成完全配置（例如，在专用设备部署中），则可免除此要求。

1.6.3. 使用注册详细信息，EMM 的 DPC 必须确保在调用 DPC 后，未经授权的用户无法继续进行激活。至少，必须将激活锁定到特定企业的用户。

1.6.4. 使用注册详细信息，EMM 的 DPC 必须允许 IT 管理员预先填充注册详细信息（例如服务器 ID、注册 ID），但不能填充唯一的用户或设备信息（例如用户名/密码、激活令牌），以便用户在激活设备时不必输入详细信息。

• EMM 不得在零接触注册的配置中包含密码或证书等敏感信息。

1.8.1. Google 账号配置方法会根据已定义的实现指南配置公司自有设备。

1.8.2. 除非 EMM 能够明确将设备识别为公司资产，否则在配置过程中，他们无法在没有提示的情况下配置设备。此提示必须采取非默认操作，例如选中复选框或选择非默认菜单选项。建议 EMM 能够将设备识别为公司资产，这样就不需要显示提示。

1.10.1. 故意留空。

1.10.2. IT 管理员可以为公司自有设备上的工作资料设置合规性操作。

1.10.3. IT 管理员可以停用工作资料或整个设备中的相机。

1.10.4. IT 管理员可以在工作资料或整个设备中停用屏幕截图功能。

1.10.5. IT 管理员可以设置无法在个人资料中安装的应用的 blocklist。

2.1.1. 政策必须强制执行用于管理设备安全验证的设置（工作资料的 parentProfilePasswordRequirements，完全受管设备和专用设备的 passwordRequirements）。

2.1.2. 密码复杂度必须映射到以下密码复杂度：

• PASSWORD_COMPLEXITY_LOW - 包含重复 (4444) 或有序（1234、4321、2468）序列的解锁图案或 PIN 码。
• PASSWORD_COMPLEXITY_MEDIUM - 不包含重复 (4444) 或有序（1234、4321、2468）序列的 PIN 码，长度至少为 4 的字母或字母数字密码
• PASSWORD_COMPLEXITY_HIGH - 不包含重复 (4444) 或有序（1234、4321、2468）序列且长度至少为 8 的 PIN 码，或者长度至少为 6 的字母或字母数字密码

2.2.1. 政策必须强制执行工作资料的安全验证。 默认情况下，如果未指定范围，IT 管理员应仅针对工作资料设置限制。IT 管理员可以通过指定范围（请参阅要求 2.1）来设置设备范围的限制

2.1.2. 密码复杂度应映射到以下密码复杂度：

• PASSWORD_COMPLEXITY_LOW - 包含重复 (4444) 或有序（1234、4321、2468）序列的解锁图案或 PIN 码。
• PASSWORD_COMPLEXITY_MEDIUM - 不包含重复 (4444) 或有序（1234、4321、2468）序列的 PIN 码，长度至少为 4 的字母或字母数字密码
• PASSWORD_COMPLEXITY_HIGH - 不包含重复 (4444) 或有序（1234、4321、2468）序列且长度至少为 8 的 PIN 码，或者长度至少为 6 的字母或字母数字密码

2.3.2. 故意留空。

2.3.3. 您可以为设备上可用的每个锁屏设置以下密码生命周期设置：

1. 故意留空
2. 故意留空
3. 擦除前允许输错密码的最大次数：指定用户在公司数据从设备中擦除之前可以输入错误密码的次数。IT 管理员必须能够关闭此功能。

2.4.1. IT 管理员可以为设备上可用的每个锁定屏幕单独停用 Smart Lock 可信代理。

2.4.2. IT 管理员可以为设备上可用的每个锁定屏幕分别选择性地允许和设置 Smart Lock 可信代理，这些可信代理包括：蓝牙、NFC、地点、面孔、贴身和语音。

• IT 管理员可以修改可用的 Trust agent 配置参数。

2.5.1. EMM 的 DPC 必须锁定设备。

2.7.1. EMM 的 DPC 必须禁止安装来自未知来源的应用，包括安装在任何设有工作资料的 Android 8.0 及更高版本设备的个人侧的应用。

2.8.1. EMM 的 DPC 必须默认关闭启动进入安全模式。

2.8.2. 在配置期间，EMM 的 DPC 必须在首次启动时立即打开并锁定到屏幕，以确保不会以任何其他方式与设备互动。

EMM 使用 Play Integrity API 来确保设备是有效的 Android 设备。

2.9.1. EMM 的 DPC 在配置期间实现 Play Integrity API，并且默认情况下，仅当返回的设备完整性为 MEETS_STRONG_INTEGRITY 时，才会完成设备与公司数据的配置。

2.9.2. 每次设备与 EMM 的服务器签入时，EMM 的 DPC 都会执行另一次 Play Integrity 检查，IT 管理员可以配置此行为。EMM 服务器会在更新设备上的公司政策之前，验证完整性检查响应中的 APK 信息和响应本身。

2.9.3. IT 管理员可以根据 Play 完整性检查的结果设置不同的政策响应，包括阻止配置、擦除公司数据和允许继续注册。

• EMM 服务将针对每次完整性检查的结果强制执行此政策响应。

2.11.1. 在 DPC 的凭据加密存储空间解密之前，EMM 的 DPC 会利用设备加密的存储空间来执行关键管理功能。在“直接启动”期间可用的管理功能必须包括（但不限于）：

• 企业数据清除，包括在适当情况下清除恢复出厂设置保护数据的功能。

2.11.2. EMM 的 DPC 不得在设备加密存储空间内公开公司数据。

2.12.1. IT 管理员可以禁止用户在其设备上装载物理外部介质。

2.12.2. IT 管理员可以禁止用户使用 NFC 光束共享设备中的数据。此子功能是可选的，因为 Android 10 及更高版本不再支持 NFC Beam 功能。

2.13.1. IT 管理员可以为特定设备启用安全日志记录，并且 EMM 的 DPC 必须能够自动检索安全日志和重新启动前的安全日志。

2.13.2. IT 管理员可以在 EMM 的控制台中查看指定设备和可配置时间窗口的企业安全日志。

3.1.1. 拥有现有受管理 Google 网域的管理员可以将网域绑定到 EMM。

3.1.2. EMM 的控制台必须为每个企业以静默方式预配并设置唯一的 ESA。

3.1.3. 使用 Play EMM API 退订企业。

3.1.4. EMM 控制台会引导管理员在 Android 注册流程中输入其工作电子邮件地址，并建议他们不要使用 Gmail 账号。

3.2.1. EMM 的 DPC 可以根据已定义的实现指南以静默方式配置和激活受管理的 Google Play 账号。这样一来：

• 向设备添加了类型为 userAccount 的 Google Play 企业版账号。
• 类型为 userAccount 的受管理 Google Play 账号必须与 EMM 控制台中的实际用户进行一对一映射。

3.4.1. EMM 的 DPC 可以根据已定义的实现指南以静默方式配置和激活受管理的 Google Play 账号。 这样一来：

1. 向设备添加了类型为 userAccount 的 Google Play 企业版账号。
2. 类型为 userAccount 的受管理 Google Play 账号必须与 EMM 控制台中的实际用户进行一对一映射。

3.5.1. EMM 控制台必须使用 Play EMM API，以便 IT 管理员在受管理的设备上安装工作应用。

3.5.2. EMM 控制台必须使用 Play EMM API，以便 IT 管理员更新受管设备上的工作应用。

3.6.1. EMM 的控制台必须能够检索和显示任何 Play 应用的受管理配置设置。

• EMM 可以调用 Products.getAppRestrictionsSchema 来检索应用的受管理配置架构，也可以在其 EMM 控制台中嵌入受管理配置框架。

3.6.2. EMM 的控制台必须允许 IT 管理员使用 Play EMM API 为任何 Play 应用设置任何配置类型（由 Android 框架定义）。

3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符（例如 $username$ 或 %emailAddress%），以便将 Gmail 等应用的单个配置应用于多个用户。受管理的配置 iframe 会自动支持此要求。

3.7.1. EMM 的控制台可以显示已获准分发的应用列表，包括：

• 在 Google Play 企业版中购买的应用
• IT 管理员可以查看专用应用
• 以编程方式批准的应用

3.10.1. IT 管理员可以在 EMM 的控制台中执行以下操作，以自定义 Google Play 企业版商店布局：

• 最多可创建 100 个商店布局页面。网页可以有任意数量的本地化网页名称。
• 为每个网页最多创建 30 个聚类。集群可以有任意数量的本地化集群名称。
• 为每个集群分配最多 100 个应用。
• 为每个网页添加最多 10 个快捷链接。
• 指定集群内应用和页面内集群的排序顺序。

3.11.1. 对于获批在企业中使用的付费应用，EMM 的控制台必须显示：

• 购买的许可数量。
• 已使用的许可数以及使用许可的用户。
• 可分发的许可数量。

3.11.2. IT 管理员可以以静默方式向用户分配许可，而无需强制在任何用户的设备上安装相应应用。

3.12.1. IT 管理员可以使用以下方法将已私下发布给企业的新版应用上传到企业：

IT 管理员可以前往支持专用应用了解详情。

3.13.1. EMM 的控制台必须通过提供以下两种选项来帮助 IT 管理员托管应用 APK：

• 在 EMM 的服务器上托管 APK。服务器可以是本地服务器，也可以是基于云的服务器。
• 由 IT 管理员自行决定是否将 APK 托管在 EMM 的服务器之外。IT 管理员必须在 EMM 控制台中指定 APK 的托管位置。

3.13.2. EMM 的控制台必须使用提供的 APK 生成相应的 APK 定义文件，并引导 IT 管理员完成发布流程。

3.13.3. IT 管理员可以更新自行托管的专用应用，EMM 的控制台可以使用 Google Play Developer Publishing API 静默发布更新后的 APK 定义文件。

3.13.4. EMM 的服务器仅处理以下自行托管 APK 的下载请求：该请求的 Cookie 中包含有效的 JWT，并且该 JWT 已通过私密应用的公钥验证。

• 为方便此流程，EMM 的服务器必须引导 IT 管理员从 Google Play 管理中心下载自行托管应用的许可公钥，并将此密钥上传到 EMM 控制台。

3.14.1. EMM 必须使用 Play 的 EMM 通知来提取通知集。

3.14.2. EMM 必须自动通过电子邮件等方式将以下通知事件告知 IT 管理员：

• newPermissionEvent：要求 IT 管理员批准新的应用权限，然后才能在用户设备上静默安装或更新应用。
• appRestrictionsSchemaChangeEvent：可能需要 IT 管理员更新应用的受管理配置，以保持预期效率。
• appUpdateEvent：可能对希望验证核心工作流性能是否不受应用更新影响的 IT 管理员有用。
• productAvailabilityChangeEvent：可能会影响安装应用或接收应用更新的能力。
• installFailureEvent：Play 无法在设备上静默安装应用，这表明设备配置可能存在阻止安装的问题。收到此通知后，EMM 不应立即再次尝试静默安装，因为 Play 自身的重试逻辑已失败。

3.14.3. EMM 会根据以下通知事件自动采取适当措施：

• newDeviceEvent：在设备配置期间，EMM 必须等待 newDeviceEvent，然后才能为新设备发出后续的 Play EMM API 调用，包括静默应用安装和设置受管理的配置。
• productApprovalEvent：收到 productApprovalEvent 通知后，如果 IT 管理员会话处于有效状态，或者如果批准的应用列表在每个 IT 管理员会话开始时不会自动重新加载，EMM 必须自动更新导入到 EMM 控制台中的批准的应用列表，以便分发到设备。

3.15.1. EMM 必须遵守 Play EMM API 用量限制。如果不纠正超出这些准则的行为，Google 可能会自行决定暂停 API 使用权限。

3.15.2. EMM 应在一天内分配来自不同企业的流量，而不是在特定或相似的时间合并企业流量。如果出现符合此流量模式的行为（例如为每个已注册的设备安排批量操作），Google 可能会自行决定暂停 API 使用权限。

• Google Play 企业版 iFrame，或
• 自定义界面。

3.16.2. 当 IT 管理员设置 EMM 的控制台时，该控制台必须能够检索并显示应用反馈渠道返回的任何反馈。

• EMM 的控制台必须允许 IT 管理员将特定反馈项与生成该反馈项的设备和应用相关联。
• EMM 的控制台必须允许 IT 管理员订阅特定消息类型（例如错误消息）的提醒或报告。

3.16.3. EMM 的控制台必须仅发送具有默认值或由管理员手动设置的值，方法是使用：

• 受管理配置 iframe，或
• 自定义界面。

3.17.1. IT 管理员可以使用 EMM 的控制台通过以下方式分发 Web 应用的快捷方式：

3.18.1. EMM 可以根据 Play EMM API 开发者文档中定义的实现指南来管理受管理的 Google Play 账号的生命周期。

3.18.2. EMM 可以重新验证受管理的 Google Play 企业版账号，而无需用户互动。

3.20.2. IT 管理员可以允许应用推迟应用更新 90 天。

3.22.1. 借助 EMM 控制台，IT 管理员可以使用必需的 API 将现有的 Google Play 企业版账号集升级为 Google 企业版域名。

3.23.1. EMM 的 DPC 可以根据已定义的实现指南来配置受管理的 Google 账号。

这样一来：

• 向设备添加受管理的 Google 账号。
• 受管理的 Google 账号必须与 EMM 控制台中的实际用户一一对应。

3.23.2. IT 管理员可以使用此政策为用户提供登录受管理的 Google 账号以进行注册的选项。

3.23.3. IT 管理员可以使用此政策来控制用户是否必须登录受管理的 Google 账号才能完成注册。

3.24.1. IT 管理员可以将设备上现有的 Google Play 企业版账号升级为受管理的 Google 账号。

4.1.1. IT 管理员在为其组织设置默认运行时权限政策时，必须能够从以下选项中进行选择：

• 提示（允许用户选择）
• allow
• deny

4.3.1. SSID，使用 EMM 的 DPC。

4.4.1. 使用 EMM 的 DPC 的身份。

4.4.2. 用于客户端授权的证书，使用 EMM 的 DPC。

4.5.1. IT 管理员可以采用以下任一配置来锁定公司 Wi-Fi 配置：

• 用户无法修改 EMM 提供的任何 Wi-Fi 配置，但可以添加和修改自己的用户可配置网络（例如个人网络）。
• 用户无法在设备上添加或修改任何 Wi-Fi 网络，从而将 Wi-Fi 连接限制为仅限 EMM 预配的网络。

4.6.1. IT 管理员可以禁止添加或修改账号。

• 在设备上强制执行此政策时，EMM 必须在完成配置之前设置此限制，以确保您无法通过在政策生效之前添加账号来规避此政策。

4.8.1. IT 管理员可以根据具体用户安装由其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个 PKI 集成，并分发从该基础架构生成的证书。

4.9.1. 对于分发到设备的任何应用，IT 管理员都可以指定应用在运行时将静默授予访问权限的证书。

• 证书选择必须足够通用，以允许单个配置适用于所有用户，而每个用户可能都有特定于用户的身份证书。

4.9.2. IT 管理员可以从受管理的密钥库中静默移除证书。

4.9.3. IT 管理员可以静默卸载 CA 证书或所有非系统 CA 证书。

4.9.4. IT 管理员可以禁止用户在受管理的密钥库中配置凭据。

4.10.1. IT 管理员指定一个证书管理软件包，以设置为 DPC 委托的证书管理应用。

• 控制台可以选择性地建议已知的证书管理软件包，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.11.1. IT 管理员可以指定任意 VPN 软件包设置为“始终开启的 VPN”。

• EMM 的控制台可能会选择性地建议支持“始终开启的 VPN”的已知 VPN 软件包，但不能将可用于“始终开启”配置的 VPN 限制为任何任意列表。

4.11.2. IT 管理员可以使用受管理的配置来指定应用的 VPN 设置。

4.12.1. IT 管理员可以设置任意长度的 IME 许可名单（包括空列表，用于屏蔽非系统 IME），其中可以包含任何任意 IME 软件包。

• EMM 的控制台可以选择性地建议将已知或推荐的 IME 纳入许可名单，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.13.1. IT 管理员可以设置任意长度的 IME 许可名单（不包括空列表，空列表会屏蔽所有 IME，包括系统 IME），其中可以包含任意 IME 软件包。

• EMM 的控制台可以选择性地建议将已知或推荐的 IME 纳入许可名单，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.13.2. EMM 必须阻止 IT 管理员设置空白的许可名单，因为此设置会阻止在设备上设置所有 IME（包括系统 IME）。

4.14.1. IT 管理员可以设置任意长度的辅助服务许可名单（包括空列表，用于阻止非系统辅助服务），其中可以包含任何任意辅助服务软件包。如果应用于工作资料，则会同时影响个人资料和工作资料。

• 控制台可以选择性地建议将已知或推荐的无障碍服务纳入许可名单，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.16.1. IT 管理员可以将设备位置信息服务设置为以下任一模式：

• 高精确度。
• 仅限传感器，例如 GPS，但不包括网络提供的位置。
• 省电模式，可限制更新频率。
• 关闭。

4.17.1. IT 管理员可以禁止用户通过“设置”将设备恢复出厂设置。

4.17.2. IT 管理员可以指定有权在恢复出厂设置后配置设备的解锁公司账号。

• 此账号可以与个人相关联，也可以供整个企业用于解锁设备。

4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护。

4.17.4. IT 管理员可以启动远程设备数据清除，该操作可以选择性地清除重置保护数据，从而移除重置设备上的恢复出厂设置保护。

4.18.1. IT 管理员可以禁止卸载任何任意受管理的应用，或所有受管理的应用。

4.21.1. IT 管理员可以查询工作资料的网络统计信息摘要（针对指定设备和可配置的时间窗口），并在 EMM 的控制台中查看这些详细信息。

4.21.2. IT 管理员可以查询工作资料中应用的流量使用情况统计摘要，查询指定设备在可配置时间范围内的流量使用情况，并在 EMM 的控制台中查看按 UID 整理的这些详细信息。

4.21.3. IT 管理员可以查询工作资料的网络使用历史数据（针对特定设备和可配置的时间窗口），并在 EMM 的控制台中查看按 UID 整理的这些详细信息。

4.22.1. IT 管理员可以查询整个设备的网络统计信息摘要，也可以查询指定设备在可配置时间窗口内的网络统计信息摘要，并在 EMM 的控制台中查看这些详细信息。

4.22.2. IT 管理员可以查询指定设备在可配置时间窗口内的应用网络使用情况统计摘要，并在 EMM 的控制台中查看按 UID 整理的这些详细信息。

IT 管理员可以远程重启受管理的设备。

4.23.1. IT 管理员可以远程重启受管理的设备。

4.24.1. IT 管理员可以停用服务提供商发送的手机广播（例如 AMBER 警报）。

4.24.2. IT 管理员可以禁止用户在“设置”中修改移动网络设置。

4.24.3. IT 管理员可以禁止用户在“设置”中重置网络设置。

4.24.4. IT 管理员可以允许或禁止在漫游时使用移动数据。

4.24.5. IT 管理员可以设置设备是否可以拨出电话（紧急呼叫除外）。

4.24.6. IT 管理员可以设置设备是否可以收发短信。

4.24.7. IT 管理员可以通过网络共享来禁止用户将设备用作便携式热点。

4.24.8. IT 管理员可以将 Wi-Fi 超时时间设置为默认、仅在插电时或从不。

4.25.1. IT 管理员可以静默将受管理的设备设为静音。

4.25.2. IT 管理员可以禁止用户修改设备音量设置。

4.25.3. IT 管理员可以禁止用户将设备麦克风设为非静音状态。

4.26.1. IT 管理员可以强制执行系统自动时间，从而阻止用户设置设备的日期和时间。

4.26.2. IT 管理员可以静默关闭或开启自动时间和自动时区。

4.27.1. IT 管理员可以停用设备锁屏。

4.27.2. IT 管理员可以关闭设备状态栏，从而屏蔽通知和“快捷设置”。

4.27.3. IT 管理员可以强制设备屏幕在接通电源时保持开启状态。

4.27.4. IT 管理员可以阻止显示以下系统界面：

• 消息框
• 应用叠加层。

IT 管理员能够将额外的权限委托给各个软件包。

4.28.1. IT 管理员可以管理以下范围：

• 证书安装和管理
• 故意留空
• 网络日志记录
• 安全日志记录（个人自有设备上的工作资料不支持此功能）

从 Android 12 开始，工作资料将无法再访问特定于硬件的标识符。IT 管理员可以通过注册专用 ID 跟踪具有工作资料的设备的生命周期，该 ID 在恢复出厂设置后仍会保留。

4.29.1. IT 管理员可以设置和获取注册专用 ID

4.30.1 IT 管理员可以选择性地屏蔽设备上（或工作资料内）的所有凭据管理器。

4.30.2 IT 管理员可以指定仅允许预加载的（系统应用）凭据管理器。

4.31.1 IT 管理员可以静默地在设备上配置 eSIM 卡配置文件。

4.31.2 IT 管理员可以从设备中删除受管理的 eSIM 卡。

4.31.3 IT 管理员可以禁止用户在“设置”中修改移动网络设置（前往 mobileNetworksConfigDisabled）。

4.31.4 当 IT 管理员对设备或工作资料执行远程清除操作时，可以选择同时从设备中移除受管理的 eSIM 卡。默认情况下，受管理的 eSIM 卡会从个人自带设备上的工作资料中移除，但在公司自有设备上会保留。

4.31.5（可选）IT 管理员可以使用 EMM 控制台界面（或等效方法）检索设备的 EID（嵌入式身份文档）标识符，并导出这些值。

5.1.1. IT 管理员可以通过指定以下企业专用详细信息来自定义配置流程：企业颜色、企业徽标、企业服务条款和其他免责声明。

5.1.2. IT 管理员可以部署不可配置的 EMM 特定自定义设置，其中包括以下详细信息：EMM 颜色、EMM 徽标、EMM 服务条款和其他免责声明。

5.1.3 [primaryColor] 已针对 Android 10 及更高版本上的企业资源弃用。

• 即使不使用 EMM 特定的自定义设置，EMM 也必须在其配置流程中包含配置服务条款和系统配置免责声明软件包中的其他免责声明。
• EMM 可以将其不可配置的 EMM 特定自定义项设置为所有部署的默认设置，但必须允许 IT 管理员设置自己的自定义项。

5.2.1. IT 管理员可以设置组织颜色，以用作工作挑战的背景颜色。

5.2.2. IT 管理员可以设置工作资料的显示名称。

5.2.3. IT 管理员可以设置工作资料的用户图标。

5.2.4. IT 管理员可以阻止用户修改工作资料用户图标。

5.3.1. IT 管理员可以为受管理的设备设置显示名称。

5.3.2. IT 管理员可以设置受管理设备的用户图标。

5.3.3. IT 管理员可以禁止用户修改设备用户图标。

5.3.4. IT 管理员可以设置设备壁纸。

5.5.1. IT 管理员可以自定义简短和详细支持消息。

5.5.2. IT 管理员可以部署不可配置的 EMM 特有简短和长篇支持消息。

• EMM 可以将其不可配置的 EMM 特有支持消息设置为所有部署的默认消息，但必须允许 IT 管理员设置自己的消息。

5.6.1. IT 管理员可以为使用系统联系人提供程序的个人应用停用跨资料联系人搜索功能。

5.6.2. IT 管理员可以为使用系统联系人提供程序的个人拨号器应用停用跨资料来电显示查找功能。

5.6.3. IT 管理员可以停用与使用系统联系人提供程序的蓝牙设备（例如汽车或耳机中的免提通话）的蓝牙联系人共享功能。

5.7.1. IT 管理员可以配置跨资料 intent 过滤器，以便个人应用可以解析工作资料中的 intent，例如共享 intent 或网页链接。

• 控制台可能会选择性地建议用于配置的已知或推荐的 intent 过滤器，但不能将 intent 过滤器限制为任何任意列表。

5.7.2. IT 管理员可以允许在主屏幕上显示 widget 的受管理应用。

• EMM 的控制台必须为 IT 管理员提供从可供安装的应用列表中进行选择的功能，以便将应用安装到适用的用户设备上。

5.7.3. IT 管理员可以禁止在工作资料和个人资料之间使用复制/粘贴功能。

5.7.4. IT 管理员可以禁止用户使用 NFC 光束共享工作资料中的数据。

5.7.5. IT 管理员可以允许个人应用打开工作资料中的网页链接。

5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置：

• 自动：设备会在 OTA 更新推出时安装。
• 推迟：IT 管理员必须能够将 OTA 更新推迟最多 30 天。此政策不会影响安全更新（例如每月安全补丁）。
• 窗口化：IT 管理员必须能够在每日维护窗口内安排 OTA 更新。

5.10.1. IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序。

• EMM 的控制台可能会选择性地建议用于配置的已知 intent 或推荐 intent，但不能将 intent 限制为任何任意列表。
• EMM 的控制台必须允许 IT 管理员从可供适用用户安装的应用列表中进行选择。

• 可信代理
• 指纹解锁
• 未经过编辑的通知

5.11.2. EMM 的 DPC 可以关闭工作资料中的以下锁屏功能：

• 可信代理
• 指纹解锁

• 安全摄像头
• 接收所有通知
• 未经过编辑的通知
• 可信代理
• 指纹解锁
• 所有锁屏功能

5.14.1. EMM 可以静默检索设备的 MAC 地址，并将其与 EMM 控制台中的设备相关联。

5.15.1. 使用 EMM 的 DPC 以静默方式允许单个应用锁定到设备。

5.15.2. 使用 EMM 的 DPC 开启或关闭以下系统界面功能：

• “主屏幕”按钮
• 概览
• 全局操作
• 通知
• 系统信息 / 状态栏
• Keyguard（锁定屏幕）

5.15.3. 使用 EMM 的 DPC 关闭“系统错误”对话框。

5.17.1. IT 管理员可以提供在工作资料被擦除时显示的自定义文本。