Android Enterprise 功能列表

1.1.1. EMM 的 DPC 必须在 Google Play 上公开发布，以便用户可以在设备个人端安装 DPC。

1.1.2. 安装后，DPC 必须引导用户完成工作资料配置流程。

1.1.3. 配置完成后，设备的个人端不能保留管理状态。

• 必须移除预配期间实施的任何政策。
• 必须撤消应用权限。
• EMM 的 DPC 必须至少在设备个人端关闭。

1.2.1. EMM 的 DPC 必须在 Google Play 上公开发布。必须可通过输入 DPC 专用标识符从设备设置向导安装 DPC。

1.3.1. EMM 必须使用至少 888 字节内存的 NFC Forum 2 型标记。配置必须使用配置 extra 将服务器 ID 和注册 ID 等非敏感注册详细信息传递给设备。注册详情不应包含敏感信息，例如密码或证书。

1.3.2. EMM 的 DPC 将自己设为设备所有者后，DPC 必须立即打开并锁定到屏幕，直到设备完全配置完毕。

1.4.1. 二维码必须使用配置 extra 将非敏感注册详细信息（如服务器 ID 和注册 ID）传递给设备。注册详情不得包含敏感信息，例如密码或证书。

1.4.2. EMM 的 DPC 设置设备后，DPC 必须立即打开并自行锁定到屏幕，直到设备完全配置完毕。

1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法配置公司自有设备。

1.6.1. IT 管理员可以使用零触摸注册方法（如面向 IT 管理员的零触摸注册中所述）配置公司自有设备。

1.6.2. EMM 的 DPC 设置设备后，EMM 的 DPC 必须立即打开并自行锁定到屏幕，直到设备完全配置完毕。

• 对于使用零触摸注册注册详情以静默方式进行完全配置的设备（例如，在专用设备部署中），可豁免此要求。

1.6.3. EMM 的 DPC 必须使用注册详细信息来确保在调用 DPC 后无法继续激活未经授权的用户。至少必须仅限指定企业的用户进行激活。

1.6.4. EMM 的 DPC 必须使用注册详细信息，让 IT 管理员能够预填充唯一身份用户或设备信息（例如用户名/密码、激活令牌）之外的注册详细信息（例如服务器 ID、注册 ID），这样用户在激活设备时无需输入详细信息。

• EMM 不得在零触摸注册的配置中包含敏感信息，例如密码或证书。

1.8.1. Google 帐号配置方法根据定义的实现指南配置公司自有设备。

1.8.2. 除非 EMM 能够明确将设备标识为公司资产，否则在配置过程中，如果未发出提示，就无法配置设备。此提示必须执行非默认操作，例如勾选复选框或选择非默认菜单选项。建议 EMM 能够将设备识别为公司资产，这样就无需提示。

1.10.1 IT 管理员可以使用二维码或零触摸注册，将设备配置为公司自有设备上的工作资料。

1.10.2 IT 管理员可以针对公司自有设备上的工作资料设置法规遵从操作。

1.10.3 IT 管理员可以在工作资料或整个设备中停用摄像头。

1.10.4 IT 管理员可以在工作资料或整个设备中停用屏幕截图功能。

1.10.5 IT 管理员可以针对个人资料中可安装或无法安装的应用设置许可名单或屏蔽名单。

2.1.1. 政策必须强制执行设置来管理设备安全验证（工作资料的 parentProfilePasswordRequirements、完全受管设备和专用设备的密码要求）。

2.1.2. 密码复杂度必须与以下密码复杂度相对应：

• PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 或有序 (1234、4321、2468) 序列的图案或 PIN 码。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的密码、字母或字母数字密码（长度至少为 4）
• PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码，长度至少为 8 个，或者字母或字母数字密码（长度至少为 6）

2.2.1. 政策必须对工作资料强制执行安全性验证。 默认情况下，如果未指定范围，IT 管理员应仅为工作资料设置限制。IT 管理员可以通过指定范围来设置此设备级（请参阅要求 2.1）

2.1.2. 密码复杂度应对应以下密码复杂度：

• PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 或有序 (1234、4321、2468) 序列的图案或 PIN 码。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的密码、字母或字母数字密码（长度至少为 4）
• PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码，长度至少为 8 个，或者字母或字母数字密码（长度至少为 6）

2.3.2. [特意留空]

2.3.3. 您可为设备上可用的每个锁定屏幕设置以下密码生命周期设置：

1. [特意留空]
2. [特意留空]
3. 擦除失败的密码数量上限：指定在擦除设备上的公司数据之前，用户可以输入错误密码的次数。IT 管理员必须能够关闭此功能。

2.3.4. (Android 8.0+) 强身份验证需要超时：必须在 IT 管理员设置的超时期限之后输入强身份验证密码（例如 PIN 码或密码）。超时期限过后，系统会关闭非安全系数高的身份验证方法（例如指纹、人脸解锁），直到设备使用安全系数高的身份验证密码解锁。

2.4.1. IT 管理员可以针对设备上可用的每个锁定屏幕单独停用 Smart Lock 可信代理。

2.4.2. IT 管理员可以针对设备上可用的每个锁定屏幕，针对以下可信代理选择性地允许并设置 Smart Lock 可信代理：蓝牙、NFC、地点、人脸、贴身和语音。

• IT 管理员可以修改可用的可信代理配置参数。

2.5.1. EMM 的 DPC 必须锁定设备。

2.7.1. EMM 的 DPC 必须禁止安装来自未知来源的应用，包括任何搭载 Android 8.0 及更高版本且装有工作资料的设备的个人端安装的应用。

2.8.1. EMM 的 DPC 必须默认停止启动进入安全模式。

2.8.2. 在配置期间，EMM 的 DPC 必须在首次启动时立即打开并锁定到屏幕，以确保不以任何其他方式与设备交互。

EMM 使用 Play Integrity API 确保设备是有效的 Android 设备。

2.9.1. EMM 的 DPC 会在配置期间实现 Play Integrity API。默认情况下，仅当返回的设备完整性为 MEETS_STRONG_INTEGRITY 时，EMM 的 DPC 才会使用公司数据完成设备配置。

2.9.2. 每次设备在 EMM 服务器签入时，EMM 的 DPC 都会执行另一项 Play 完整性检查（可由 IT 管理员进行配置）。EMM 服务器会先验证完整性检查响应中的 APK 信息以及响应本身，然后再更新设备上的企业政策。

2.9.3. IT 管理员可以根据 Play 完整性检查的结果设置不同的政策响应，包括阻止配置、擦除公司数据以及允许继续注册。

• EMM 服务将针对每次完整性检查的结果强制执行此政策响应。

2.11.1. EMM 的 DPC 会在解密 DPC 的凭据加密存储空间之前利用设备加密存储空间执行关键管理功能。“直接启动”期间可用的管理功能必须包括（但不限于）：

• 企业擦除，包括视情况擦除恢复出厂设置保护数据的功能。

2.11.2. EMM 的 DPC 不得公开设备加密存储空间内的公司数据。

2.12.1. IT 管理员可以禁止用户在其设备上装载外部物理介质。

2.12.2. IT 管理员可以禁止用户使用 NFC 传输功能分享设备中的数据。此子功能是可选的，因为 Android 10 及更高版本不再支持 NFC 传输功能。

2.13.1. IT 管理员可以为特定设备启用安全日志记录，EMM 的 DPC 必须能够自动检索安全日志和重新启动前安全日志。

2.13.2. IT 管理员可以在 EMM 的控制台中查看给定设备和可配置时间范围的企业安全日志。

3.1.1. 使用 Play EMM API 注册 Google Play 企业版帐号企业。

3.1.2. EMM 的控制台必须为每个企业以静默方式预配和设置唯一的 ESA。

3.2.1. EMM 的 DPC 可以根据定义的实现指南以静默方式配置和激活 Google Play 企业版帐号。具体操作步骤如下：

• 将一个类型为 userAccount 的 Google Play 企业版帐号添加到了设备中。
• userAccount 类型的 Google Play 企业版帐号必须与 EMM 控制台中的实际用户进行一对一映射。

3.4.1. EMM 的 DPC 可以根据定义的实现指南以静默方式配置和激活 Google Play 企业版帐号。具体操作步骤如下：

1. 将一个类型为 userAccount 的 Google Play 企业版帐号添加到了设备中。
2. userAccount 类型的 Google Play 企业版帐号必须与 EMM 控制台中的实际用户进行一对一映射。

3.5.1. EMM 控制台必须使用 Play EMM API，才能允许 IT 管理员在受管设备上安装工作应用。

3.5.2. EMM 控制台必须使用 Play EMM API，才能允许 IT 管理员更新受管理设备上的工作应用。

3.6.1. EMM 的控制台必须能够检索并显示任何 Play 应用的受管理配置设置。

• EMM 可以调用 Products.getAppRestrictionsSchema 来检索应用的托管配置架构，或在其 EMM 控制台中嵌入托管配置 iframe。

3.6.2. EMM 的控制台必须允许 IT 管理员为使用 Play EMM API 的任何 Play 应用设置任何配置类型（由 Android 框架定义）。

3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符（例如 $username$ 或 %emailAddress%），以便 Gmail 等应用的一项配置可应用于多个用户。托管配置 iframe 自动支持此要求。

3.7.1. EMM 的控制台可以显示已获准分发的应用列表，包括：

• 在 Google Play 企业版中购买的应用
• IT 管理员可以看到的专用应用
• 以编程方式批准的应用

3.10.1. IT 管理员可以在 EMM 的控制台中执行以下操作，自定义 Google Play 企业版商店布局：

• 最多可创建 100 个商店布局页面。网页可以有任意数量的本地化网页名称。
• 为每个页面最多创建 30 个集群。集群可以具有任意数量的本地化集群名称。
• 最多可向每个集群分配 100 个应用。
• 每个页面最多可添加 10 个快速链接。
• 指定集群中的应用和单个页面的排列顺序。

3.11.1. 对于已获准用于企业的付费应用，EMM 的控制台必须显示：

• 购买的许可数量。
• 使用许可的用户数和使用许可的用户数。
• 可供分发的许可数量。

3.11.2. IT 管理员可以以静默方式向用户分配许可，而无需强制在任何用户设备上安装该应用。

3.12.1. IT 管理员可以使用以下命令上传以非公开方式面向企业发布的新版应用：

IT 管理员可以转到支持专用应用了解详情。

3.13.1. EMM 的控制台必须通过提供以下两个选项来帮助 IT 管理员托管应用 APK：

• 在 EMM 的服务器上托管 APK。服务器可以基于本地或云端。
• 将 APK 托管在 EMM 服务器之外（由 IT 管理员自行决定）。IT 管理员必须在托管 APK 的 EMM 控制台中指定。

3.13.2. EMM 的控制台必须使用提供的 APK 生成适当的 APK 定义文件，并且必须引导 IT 管理员完成发布流程。

3.13.3. IT 管理员可以更新自托管的专用应用，EMM 的控制台可以使用 Google Play Developer Publishing API 以静默方式发布更新后的 APK 定义文件。

3.13.4. EMM 的服务器仅处理自托管的 APK 的下载请求，该 APK 的请求 Cookie 中包含有效 JWT，且已通过专用应用的公钥验证。

• 为了简化此过程，EMM 的服务器必须指导 IT 管理员从 Play Google Developers Console 下载自托管应用的许可公钥，并将此密钥上传到 EMM 控制台。

3.14.1. EMM 必须使用 Play 的 EMM 通知来拉取通知集。

3.14.2. EMM 必须自动将以下通知事件通知 IT 管理员（例如通过自动发送的电子邮件）：

• newPermissionEvent：需要 IT 管理员批准新的应用权限，才能在用户的设备上静默安装或更新应用。
• appRestrictionsSchemaChangeEvent：可能会要求 IT 管理员更新应用的托管配置以维护预期功能。
• appUpdateEvent：可能需要验证核心工作流功能是否不受应用更新影响的 IT 管理员可能感兴趣。
• productAvailabilityChangeEvent：可能会影响能否安装应用或获取应用更新。
• installFailureEvent：Play 无法在设备上以静默方式安装应用，这表明设备配置可能存在问题，阻止了安装。收到此通知后，EMM 不应立即再次尝试静默安装，因为 Play 自己的重试逻辑已经失败。

3.14.3. EMM 会根据以下通知事件自动执行适当的操作：

• newDeviceEvent：在设备配置期间，EMM 必须等待 newDeviceEvent 才能针对新设备进行后续 Play EMM API 调用，包括静默应用安装和设置托管配置。
• productApprovalEvent：收到 productApprovalEvent 通知后，如果有正在进行的 IT 管理员会话，或者已批准的应用列表不会在每个 IT 管理员会话开始时自动重新加载，EMM 必须自动更新导入 EMM 控制台的已批准应用列表以分发到设备。

3.15.1. EMM 必须遵循 Play EMM API 用量限额。如果不纠正超出这些准则的行为，Google 可能会自行决定暂停 API 的使用。

3.15.2. EMM 应该在一天中分配来自不同企业的流量，而不是在特定或相似时间整合企业流量。符合此流量模式的行为（例如为每台已注册的设备安排的批处理操作）可能会导致 API 暂停使用（由 Google 自行决定）。

• Google Play 企业版 iframe，或
• 自定义界面

3.16.2. EMM 的控制台必须能够检索和显示 由应用的反馈渠道返回的任何反馈（由 IT 管理员设置）。

• EMM 的控制台必须允许 IT 管理员将特定反馈项与其源设备和应用相关联。
• EMM 的控制台必须允许 IT 管理员订阅特定消息类型的提醒或报告（例如错误消息）。

3.16.3. EMM 的控制台只能发送具有默认值或由管理员手动设置的值，方法如下：

• 托管配置 iframe，或
• 自定义界面。

3.17.1. IT 管理员可以通过 EMM 的控制台通过以下方式向 Web 应用分发快捷方式：

3.18.1. EMM 可以根据 Play EMM API 开发者文档中定义的实现指南来管理 Google Play 企业版帐号的生命周期。

3.18.2. EMM 无需用户交互即可重新对 Google Play 企业版帐号进行身份验证。

3.20.2. IT 管理员可以允许应用将更新应用推迟 90 天。

4.1.1. IT 管理员在为其组织设置默认运行时权限政策时，必须能够从以下选项中进行选择：

• 提示（允许用户选择）
• allow
• deny

4.3.1. SSID（通过 EMM 的 DPC）。

4.4.1. 身份（通过 EMM 的 DPC）。

4.4.2. 客户端授权证书（通过 EMM 的 DPC）。

4.5.1. IT 管理员可以通过以下任一配置锁定企业 Wi-Fi 配置：

• 用户无法修改 EMM 预配的任何 Wi-Fi 配置，但可以添加和修改自己的用户可配置网络（例如个人网络）。
• 用户无法在设备上添加或修改任何 Wi-Fi 网络，从而将 Wi-Fi 连接限制为只能由 EMM 预配的那些网络连接。

4.6.1. IT 管理员可以阻止添加或修改帐号。

• 在设备上强制执行此政策时，EMM 必须在完成配置之前设置此限制，以确保您无法在此政策生效前通过添加帐号来规避此政策。

4.7.1. IT 管理员可以指定在帐号管理锁定生效后在预配期间激活的 Google 帐号。

4.7.2. EMM 的 DPC 必须提示激活 Google 帐号，并通过指定要添加的帐号来确保只能激活特定帐号。

• 在低于 Android 7.0 的设备上，DPC 必须 暂时关闭帐号管理限制，然后再提示用户。

4.8.1. IT 管理员可以针对每位用户安装由其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个 PKI 集成，并分发通过该基础架构生成的证书。

4.9.1. 对于分发到设备的任何应用，IT 管理员可以指定在运行时以静默方式向应用授予访问权限的证书。

• 证书选择的选择必须足够通用，以允许将单个配置应用于所有用户，并且每个证书可能都有特定于用户的身份证书。

4.9.2. IT 管理员可以以静默方式从代管式密钥库中移除证书。

4.9.3. IT 管理员可以静默地卸载 CA 证书或所有非系统 CA 证书。

4.9.4. IT 管理员可以阻止用户在代管式密钥库中配置凭据。

4.9.5. IT 管理员可以为工作应用预授权证书。

4.10.1. IT 管理员指定一个证书管理软件包，以由 DPC 设置为委派证书管理应用。

• 控制台可能会选择性地推荐已知的证书管理软件包，但必须允许 IT 管理员从适用用户可安装应用的列表中进行选择。

4.11.1. IT 管理员可以指定任意 VPN 软件包设置为始终开启的 VPN。

• EMM 的控制台可能会选择推荐支持 Always On VPN 的已知 VPN 软件包，但无法将可用于“始终开启”配置的 VPN 限制为任何列表。

4.11.2. IT 管理员可以使用托管配置为应用指定 VPN 设置。

4.12.1. IT 管理员可以设置任意长度的 IME 许可名单（包括屏蔽非系统 IME 的空列表），其中可能包含任何任意 IME 软件包。

• EMM 的控制台可能会建议将已知或建议的 IME 添加到许可名单中，但必须允许 IT 管理员从适用用户可安装的应用列表中选择。

4.13.1. IT 管理员可以设置任意长度的 IME 许可名单（不包括空列表，此列表会屏蔽包括系统 IME 在内的所有 IME），其中可能包含任何任意 IME 软件包。

• EMM 的控制台可能会建议将已知或建议的 IME 添加到许可名单中，但必须允许 IT 管理员从适用用户可安装的应用列表中选择。

4.13.2. EMM 必须阻止 IT 管理员设置空许可名单，因为此设置会禁止在设备上设置所有 IME（包括系统 IME）。

4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单（包括屏蔽非系统无障碍服务的空列表），其中可包含任何任意无障碍服务软件包。应用于工作资料时，此操作会同时影响个人资料和工作资料。

• 控制台可能会建议将已知或推荐的无障碍服务列入许可名单，但必须允许 IT 管理员从适用用户可安装的应用列表中选择该服务。

• 高精确度。
• 仅限传感器，例如 GPS，但不包括网络提供的位置。
• 耗电量低，这会限制更新频率。
• 已关闭。

4.17.1. IT 管理员可以通过“设置”禁止用户将设备恢复出厂设置。

4.17.2. IT 管理员可以指定有权在恢复出厂设置后预配设备的公司解锁帐号。

• 此帐号可以与个人关联，也可以供整个企业用来解锁设备。

4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护。

4.17.4. IT 管理员可以启动远程设备擦除操作，以便选择擦除重置保护数据，从而移除重置设备上的恢复出厂设置保护。

4.18.1. IT 管理员可以阻止卸载任何任意受管理的应用或所有受管理的应用。

4.21.1. IT 管理员可以针对给定设备和可配置时间范围查询工作资料的网络统计信息摘要，并在 EMM 的控制台中查看这些详细信息。

4.21.2. IT 管理员可以针对给定设备和可配置时间范围在工作资料的网络使用统计信息中查询应用的摘要，并在 EMM 的控制台中查看按 UID 整理的这些详细信息。

4.21.3. IT 管理员可以针对给定设备和可配置时间范围查询工作资料的网络使用历史数据，并在 EMM 的控制台中查看这些按 UID 整理的详细信息。

4.22.1. IT 管理员可以针对给定设备和可配置时间范围查询整个设备的网络统计信息摘要，并在 EMM 的控制台中查看这些详细信息。

4.22.2. IT 管理员可以针对给定设备和可配置时间范围查询应用网络使用情况统计信息摘要，并在 EMM 的控制台中查看这些按 UID 整理的详细信息。

IT 管理员可以远程重启受管理的设备。

4.23.1. IT 管理员可以远程重新启动受管设备。

4.24.1. IT 管理员可以停用服务提供商发送的小区广播（例如安珀警报）。

4.24.2. IT 管理员可以禁止用户在“设置”中修改移动网络设置。

4.24.3. IT 管理员可以禁止用户在“设置”中重置网络设置。

4.24.4. IT 管理员可以允许或禁止在漫游时使用移动数据。

4.24.5. IT 管理员可以设置设备是否可以拨出电话（紧急呼叫除外）。

4.24.6. IT 管理员可以设置设备是否可以收发短信。

4.24.7. IT 管理员可以通过网络共享防止用户将其设备用作便携式热点。

4.24.8. IT 管理员可以将 Wi-Fi 超时设置设为默认值、仅在接通电源时或永不。

4.25.1. IT 管理员可以在不发出提示的情况下将受管理的设备设为静音。

4.25.2. IT 管理员可以禁止用户修改设备音量设置。

4.25.3. IT 管理员可以禁止用户将设备的麦克风取消静音。

4.26.1. IT 管理员可以强制执行系统自动时间，从而阻止用户设置设备的日期和时间。

4.26.2. IT 管理员可以静默地关闭或开启自动时间和自动时区。

4.27.1. IT 管理员可以停用设备锁屏。

4.27.2. IT 管理员可以关闭设备状态栏，以及屏蔽通知和快捷设置。

4.27.3. IT 管理员可以在设备接通电源时强制设备屏幕保持开启。

4.27.4. IT 管理员可以阻止显示以下系统界面：

• 消息框
• 应用叠加层。

IT 管理员可以向个别软件包授予额外的权限。

4.28.1. IT 管理员可以管理以下范围：

• 证书安装和管理
• 托管配置管理
• 网络日志记录
• 安全日志记录

从 Android 12 开始，工作资料将无法再访问硬件专用标识符。IT 管理员可以通过注册专用 ID 跟踪具有工作资料的设备的生命周期，该 ID 在恢复出厂设置后将保持不变

4.29.1. IT 管理员可以设置和obtain注册专用 ID

4.29.2. 此注册专用 ID 必须在恢复出厂设置后保留

5.1.1. IT 管理员可以指定以下特定于企业的详细信息来自定义预配流程：企业颜色、企业徽标、企业服务条款和其他免责声明。

5.1.2. IT 管理员可以部署不可配置且特定于 EMM 的自定义设置，其中包括以下详细信息：EMM 颜色、EMM 徽标、EMM 服务条款和其他免责声明。

已针对 Android 10 及更高版本的企业资源废弃 5.1.3 [primaryColor]。

• EMM 必须在系统配置免责声明包中针对配置流程提供配置服务条款和其他免责声明，即使未使用特定于 EMM 的自定义设置也是如此。
• EMM 可能会将其不可配置、特定于 EMM 的自定义设置设为所有部署的默认选项，但必须允许 IT 管理员设置自己的自定义设置。

5.2.1. IT 管理员可以设置组织颜色，作为工作挑战的背景颜色。

5.2.2. IT 管理员可以设置工作资料的显示名称。

5.2.3. IT 管理员可以设置工作资料的用户图标。

5.2.4. IT 管理员可以禁止用户修改工作资料用户图标。

5.3.1. IT 管理员可以为受管设备设置显示名称。

5.3.2. IT 管理员可以设置受管设备的用户图标。

5.3.3. IT 管理员可以禁止用户修改设备用户图标。

5.3.4. IT 管理员可以设置设备壁纸。

5.3.5. IT 管理员可以禁止用户修改设备壁纸。

5.5.1. IT 管理员可自定义短和长支持消息。

5.5.2. IT 管理员可以部署不可配置且特定于 EMM 的短和长支持消息。

• EMM 可能会将其不可配置且特定于 EMM 的支持消息设置为所有部署的默认支持消息，但必须允许 IT 管理员设置自己的消息。

5.6.1. 对于使用系统联系人提供程序的个人应用，IT 管理员可以停用跨资料联系人搜索功能。

5.6.2. IT 管理员可以针对使用系统联系人提供程序的个人拨号器应用停用跨资料来电显示查找功能。

5.6.3. IT 管理员可以停用与使用系统联系人提供程序的蓝牙设备进行蓝牙联系人共享功能，例如在汽车或耳机中进行免触摸通话。

5.7.1. IT 管理员可以配置跨资料 intent 过滤器，以便个人应用可以解析工作资料中的 intent，例如共享 intent 或网页链接。

• 控制台可以选择性地建议已知或推荐的 intent 过滤器以进行配置，但不能将 intent 过滤器限制为任意列表。

5.7.2. IT 管理员可以允许受管理的应用在主屏幕上显示微件。

• EMM 的控制台必须让 IT 管理员能够从可供适用用户安装的应用列表中进行选择。

5.7.3. IT 管理员可以禁止在工作资料和个人资料之间复制/粘贴。

5.7.4. IT 管理员可以禁止用户使用 NFC 传输功能共享工作资料中的数据。

5.7.5. IT 管理员可以允许个人应用通过工作资料打开网页链接。

5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置：

• 自动：在 OTA 更新可用时，设备会收到 OTA 更新。
• 推迟：IT 管理员必须能够将 OTA 更新最多推迟 30 天。此政策不会影响安全更新（例如每月安全补丁）。
• 窗口化：IT 管理员必须能够在每日维护期内安排 OTA 更新。

5.10.1. IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序。

• EMM 的控制台可以选择性地建议已知或推荐 intent 以进行配置，但不能将 intent 限制为任意列表。
• EMM 的控制台必须允许 IT 管理员从可供适用用户安装的应用列表中进行选择。

• 可信代理
• 指纹解锁
• 未隐去数据的通知

5.11.2. EMM 的 DPC 可以关闭工作资料中的以下锁屏功能：

• 可信代理
• 指纹解锁

• 锁定摄像头
• 所有通知
• 未隐去数据的通知
• 可信代理
• 指纹解锁
• 所有键盘锁功能

5.14.1. EMM 可以以静默方式检索设备的 MAC 地址，并在 EMM 的控制台中将其与该设备相关联。

5.15.1. 通过 EMM 的 DPC，以静默方式允许单个应用锁定到设备。

5.15.2. 通过 EMM 的 DPC 启用或停用以下系统界面功能：

• “主屏幕”按钮
• 概览
• 全局操作
• 通知
• 系统信息 / 状态栏
• 锁屏（锁定屏幕）

5.15.3. 通过 EMM 的 DPC 关闭“系统错误”对话框。

5.17.1. IT 管理员可以提供在擦除工作资料时显示的自定义文本。