本页列出了 Android Enterprise 的全部功能。
如果您打算管理超过 500 部设备,则您的 EMM 解决方案必须支持至少一个解决方案集中的所有标准功能 (企业解决方案目录中列出,并标注为提供标准管理套件。
),然后才能正式发布。通过标准功能验证的 EMM 解决方案会在 Android 的每套解决方案都提供一组额外的高级功能。这些功能在每个解决方案集页面中都会有所说明:个人所有设备上的工作资料、公司自有设备上的工作资料、完全受管设备和专用设备。通过高级功能验证的 EMM 解决方案会在 Android 的企业解决方案目录中列出,并标注为提供高级管理集。
键
标准功能 | 项高级功能 | 可选功能 | 不适用 |
1. 设备配置
1.1. DPC 优先工作资料配置
从 Google Play 下载 EMM 的 DPC 后,您可以配置工作资料。
1.1.1. EMM 的 DPC 必须在 Google Play 上公开提供,以便用户能在设备的个人端安装 DPC。
1.1.2. 安装后,DPC 必须引导用户完成工作资料预配流程。
1.1.3. 配置完成后,设备的个人端将不再有任何管理痕迹。
- 必须移除在配置期间设置的所有政策。
- 必须撤消应用权限。
- 必须至少在设备的个人端关闭 EMM 的 DPC。
1.2. DPC 标识符设备配置
IT 管理员可以根据 Play EMM API 开发者文档中定义的实现准则,使用 DPC 标识符(“afw#”)预配全托管式设备或专用设备。
1.2.1. EMM 的 DPC 必须在 Google Play 上公开提供。DPC 必须可通过输入 DPC 专用标识符从设备设置向导安装。
1.2.2. 安装后,EMM 的 DPC 必须引导用户完成全托管式设备或专用设备的配置流程。
1.3. NFC 设备配置
IT 管理员可以使用 NFC 标签根据 Play EMM API 开发者文档中定义的实现准则配置新设备或已恢复出厂设置的设备。
1.3.1. EMM 必须使用具有至少 888 字节内存的 NFC Forum 类型 2 标记。 配置必须使用配置 extra 将非敏感的注册详细信息(例如服务器 ID 和注册 ID)传递给设备。注册详情不应包含密码或证书等敏感信息。
1.3.2. 在 EMM 的 DPC 将自己设为设备所有者后,DPC 必须立即打开并将自身锁定到屏幕,直到设备完全配置完毕。1.3.3. 由于 NFC Beam(也称为 NFC 触碰)已废弃,因此我们建议在 Android 10 及更高版本中使用 NFC 标签。
1.4. 二维码设备配置
IT 管理员可以使用新设备或已恢复出厂设置的设备扫描 EMM 控制台生成的二维码,以配置设备,具体方法请参阅 Play EMM API 开发者文档中定义的实现准则。
1.4.1. 二维码必须使用配置 extra 将非敏感的注册详细信息(例如服务器 ID 和注册 ID)传递给设备。注册详情不得包含密码或证书等敏感信息。
1.4.2. 在 EMM 的 DPC 设置设备后,DPC 必须立即打开并将自身锁定到屏幕,直到设备完全配置完毕。
1.5. 零触摸注册
IT 管理员可以预配置从授权转销商购买的设备,并使用您的 EMM 控制台管理这些设备。
1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法配置公司自有设备。
1.5.2. 首次打开设备时,系统会自动将设备强制采用 IT 管理员定义的设置。
1.6. 高级零触摸配置
IT 管理员可以通过零触摸注册部署 DPC 注册详情,从而自动执行大部分设备注册流程。EMM 的 DPC 支持根据 EMM 提供的配置选项,将注册限制为特定账号或网域。
1.6.1. IT 管理员可以使用零触摸注册方法(如面向 IT 管理员的零触摸注册中所述)来配置公司自有设备。
1.6.2. 在 EMM 的 DPC 设置设备后,EMM 的 DPC 必须立即打开并将自身锁定到屏幕,直到设备完全配置完毕。
- 对于使用零触摸注册注册详细信息以静默方式自行完成完整配置的设备(例如,在专用设备部署中),可以免除此要求。
1.6.3. EMM 的 DPC 必须利用注册详情确保未经授权的用户在调用 DPC 后无法继续激活。至少,激活必须锁定为特定企业的用户。
1.6.4. 借助注册详细信息,EMM 的 DPC 必须允许 IT 管理员预填充除唯一身份用户或设备信息(例如用户名/密码、激活令牌)之外的注册详细信息(例如服务器 ID、注册 ID),这样用户在激活设备时无需输入详细信息。
- EMM 不得在零触式注册的配置中包含密码或证书等敏感信息。
1.7. Google 账号工作资料配置
对于使用代管式 Google 网域的企业,此功能可引导用户在设备设置过程中或在已激活的设备上输入公司 Workspace 凭据后,完成工作资料的设置。在这两种情况下,企业 Workspace 身份都将迁移到工作资料。
1.7.1. Google 账号配置方法会根据定义的实现准则配置工作资料。
1.8. Google 账号设备配置
对于使用 Workspace 的企业,此功能会在用户在初始设备设置期间输入其企业 Workspace 凭据后,引导用户安装其 EMM 的 DPC。安装后,DPC 会完成公司自有设备的设置。
1.8.1. Google 账号配置方法会根据定义的实现准则配置公司自有设备。
1.8.2. 除非 EMM 可以明确将设备识别为公司资产,否则在配置流程中,EMM 无法在没有提示的情况下配置设备。此提示必须执行非默认操作,例如选中复选框或选择非默认菜单选项。建议 EMM 能够将设备标识为公司资产,因此无需提示。
1.9. 直接零触摸配置
IT 管理员可以使用 EMM 控制台通过零触摸 iframe 设置零触摸设备。
1.10. 公司自有设备上的工作资料
EMM 可以注册启用了工作资料的公司自有设备。
1.10.1. 故意留空。
1.10.2. IT 管理员可以在公司自有设备上为工作资料设置合规性操作。
1.10.3. IT 管理员可以在工作资料或整个设备中停用摄像头。
1.10.4. IT 管理员可以在工作资料或整个设备中停用屏幕截图。
1.10.5. IT 管理员可以设置许可名单或屏蔽名单,以指定可以在个人资料中安装或无法在个人资料中安装的应用。
1.10.6. IT 管理员可以通过移除工作资料或擦除整个设备来放弃对公司自有设备的管理。
1.11. 专用设备配置
故意留空。
2. 设备安全
2.1. 设备安全性验证
IT 管理员可以在受管理的设备上从 3 个预定义复杂度级别中选择,设置和强制执行设备安全质询(PIN 码/图案/密码)。
2.1.1. 政策必须强制执行用于管理设备安全性质询的设置(对于工作资料,为 parentProfilePasswordRequirements;对于完全受管设备和专用设备,为 passwordRequirements)。
2.1.2. 密码复杂度必须与以下密码复杂程度相对应:
- PASSWORD_COMPLEXITY_LOW - 解锁图案或 PIN 码包含重复 (4444) 或有序 (1234、4321、2468) 序列。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码,或长度至少为 4 位的字母密码或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234、4321、2468) 序列且长度至少为 8 位的 PIN 码,或长度至少为 6 位的字母或字母数字密码
2.2. 工作安全性挑战
IT 管理员可以为工作资料中的应用和数据设置并强制执行安全性质询,该质询与设备安全性质询是相互独立的,并且具有不同的要求 (2.1)。
2.2.1. 政策必须对工作资料强制执行安全性验证。默认情况下,IT 管理员应仅为工作资料设置限制;如果未指定范围,IT 管理员可以通过指定范围来设置此设备级限制(请参阅要求 2.1)
2.1.2. 密码复杂度应与以下密码复杂度对应:
- PASSWORD_COMPLEXITY_LOW - 解锁图案或 PIN 码包含重复 (4444) 或有序 (1234、4321、2468) 序列。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码,或长度至少为 4 位的字母密码或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234、4321、2468) 序列且长度至少为 8 位的 PIN 码,或长度至少为 6 位的字母或字母数字密码
2.3. 高级密码管理
2.3.1. 故意留空。
2.3.2. 故意留空。
2.3.3. 您可以为设备上可用的每个锁定屏幕设置以下密码生命周期设置:
- 故意留空
- 故意留空
- 擦除密码失败次数上限:指定在从设备中擦除公司数据之前,用户可以输入错误密码的次数。IT 管理员必须能够关闭此功能。
2.4. Smart Lock 管理
IT 管理员可以管理 Android Smart Lock 功能中的哪些可信代理可以解锁设备。IT 管理员可以关闭特定的解锁方法(例如可信蓝牙设备、人脸识别和语音识别),或者根据需要完全关闭该功能。
2.4.1. IT 管理员可以针对设备上可用的每个锁定屏幕独立停用 Smart Lock 信任代理。
2.4.2. IT 管理员可以为设备上可用的每个锁定屏幕独立选择允许和设置 Smart Lock 可信代理,可信代理包括蓝牙、NFC、地点、人脸、随身和语音。
- IT 管理员可以修改可用的信任代理配置参数。
2.5. 清除并锁定
IT 管理员可以使用 EMM 的控制台远程锁定和擦除受管设备上的工作数据。
2.5.1. EMM 的 DPC 必须锁定设备。
2.5.2. EMM 的 DPC 必须擦除设备。
2.6. 强制执行合规性
如果设备不符合安全政策,系统会自动限制工作数据。
2.6.1. 在设备上强制执行的安全政策至少必须包含密码政策。
2.7. 默认安全政策
默认情况下,EMM 必须在设备上强制执行指定的安全政策,而无需 IT 管理员在 EMM 控制台中设置或自定义任何设置。建议 EMM 不允许 IT 管理员更改这些安全功能的默认状态(但不是强制性要求)。
2.7.1. EMM 的 DPC 必须禁止从未知来源安装应用,包括在任何搭载 Android 8.0 及更高版本且具有工作资料的设备上安装在个人资料侧的应用。
2.7.2. EMM 的 DPC 必须屏蔽调试功能。
2.8. 专用设备的安全政策
专用设备被锁定,无法执行其他操作。
2.8.1. 默认情况下,EMM 的 DPC 必须关闭启动到安全模式。
2.8.2. 在配置期间首次启动时,EMM 的 DPC 必须立即打开并锁定到屏幕,以确保不会以任何其他方式与设备交互。
2.8.3. 根据定义的实现准则,必须将 EMM 的 DPC 设置为默认启动器,以确保在启动时将允许的应用锁定到屏幕。
2.9. Play Integrity 支持
EMM 使用 Play Integrity API 来确保设备是有效的 Android 设备。
2.9.1. EMM 的 DPC 会在配置期间实现 Play Integrity API,并且默认情况下,只有当返回的设备完整性为 MEETS_STRONG_INTEGRITY 时,才会使用企业数据完成设备配置。
2.9.2. 每当设备向 EMM 的服务器登记时,EMM 的 DPC 都会执行另一项 Play Integrity 检查(可由 IT 管理员进行配置)。EMM 服务器会先验证完整性检查响应中的 APK 信息和响应本身,然后再更新设备上的企业政策。
2.9.3. IT 管理员可以根据 Play 完整性检查的结果设置不同的政策响应,包括阻止配置、擦除公司数据以及允许继续注册。
- EMM 服务将对每次完整性检查的结果强制执行此政策响应。
2.9.4. 如果初始 Play Integrity 检查失败或返回的结果不符合强一致性要求,并且 EMM 的 DPC 尚未调用 ensureWorkingEnvironment,则必须在配置完成之前执行此操作并重复检查。
2.10. 强制要求验证应用
IT 管理员可以在设备上开启验证应用。验证应用会在 Android 设备上安装应用之前和之后扫描应用,以检测是否存在有害软件,有助于确保恶意应用无法泄露公司数据。
2.10.1. EMM 的 DPC 必须默认开启“验证应用”。
2.11. 直接启动支持
在刚刚开机的 Android 7.0 及更高版本的设备上,应用无法运行,直到设备首次解锁。直接启动支持可确保 EMM 的 DPC 始终处于活动状态,并且能够强制执行政策,即使设备未解锁也是如此。
2.11.1. 在 DPC 的凭据加密存储空间解密之前,EMM 的 DPC 会利用设备加密存储空间执行关键管理功能。在直接启动期间可用的管理功能必须包括(但不限于):
- 企业级擦除,包括根据需要擦除恢复出厂设置保护数据。
2.11.2. EMM 的 DPC 不得在设备加密存储空间中公开公司数据。
2.11.3. EMM 可以设置和激活令牌,以便在工作资料的锁定屏幕上开启忘记了密码按钮。此按钮用于请求 IT 管理员安全地重置工作资料密码。
2.12. 硬件安全管理
IT 管理员可以锁定公司自有设备的硬件元素,以确保防范数据泄露。
2.12.1. IT 管理员可以禁止用户在其设备上挂载实体外部媒体。
2.12.2. IT 管理员可以阻止用户使用 NFC 感应功能共享设备中的数据。由于 Android 10 及更高版本不再支持 NFC 感应功能,因此此子功能为可选功能。
2.12.3. IT 管理员可以禁止用户通过 USB 从自己的设备传输文件。
2.13. 企业安全日志记录
IT 管理员可以从设备收集使用情况数据,可以解析并以编程方式评估这些数据,以规避恶意或危险行为。记录的活动包括 Android 调试桥 (adb) 活动、应用打开和屏幕解锁。
2.13.1. IT 管理员可以为特定设备启用安全日志记录,并且 EMM 的 DPC 必须能够自动检索安全日志和重新启动前的安全日志。
2.13.2. IT 管理员可以在 EMM 控制台中查看指定设备和可配置时间范围的企业安全日志。
2.13.3. IT 管理员可以从 EMM 控制台中导出企业安全日志。
3. 账号和应用管理
3.1. 企业绑定
IT 管理员可以将 EMM 绑定到其组织,以便 EMM 使用 Google Play 企业版将应用分发到设备。
3.1.1. 拥有现有受管 Google 网域的管理员可以将其网域绑定到 EMM。
3.1.2. EMM 的控制台必须为每个企业静默预配并设置唯一的 ESA。
3.1.3. 使用 Play EMM API 取消注册企业。
3.1.4. EMM 控制台会引导管理员在 Android 注册流程中输入其工作电子邮件地址,并建议他们不要使用 Gmail 账号。
3.1.5. EMM 会在 Android 注册流程中预填充管理员的电子邮件地址。
3.2. Google Play 企业版账号配置
EMM 可以静默方式配置企业用户账号(称为 Google Play 企业版账号)。这些账号用于标识受管理的用户,并允许使用针对每位用户的唯一应用分发规则。
3.2.1. EMM 的 DPC 可以根据定义的实现准则静默配置和激活 Google Play 企业版账号。这样一来:
- 系统会向设备添加类型为
userAccount
的 Google Play 企业版账号。 userAccount
类型的 Google Play 企业版账号必须与 EMM 控制台中的实际用户进行一对一映射。
3.3. Google Play 企业版设备账号配置
EMM 可以创建和配置 Google Play 企业版设备账号。设备账号支持从受管理的 Google Play 商店静默安装应用,并且不绑定到单个用户。而是使用设备账号来标识单台设备,以便在专用设备场景中支持按设备分发应用的规则。
3.3.1. EMM 的 DPC 可以根据指定的实现指南,静默配置和激活受管 Google Play 账号。为此,必须向设备添加类型为 deviceAccount
的 Google Play 企业版账号。
3.4. 旧版设备的 Google Play 企业版账号配置
EMM 可以静默预配企业用户账号(称为“受管理的 Google Play 账号”)。这些账号用于标识受管理的用户,并允许为每位用户设置专属的应用分发规则。
3.4.1. EMM 的 DPC 可以根据定义的实现指南,静默配置和激活受管 Google Play 账号。这样一来:
- 系统会向设备添加类型为
userAccount
的 Google Play 企业版账号。 userAccount
类型的 Google Play 企业版账号必须与 EMM 控制台中的实际用户进行一对一映射。
3.5. 静默应用分发
IT 管理员可以在用户设备上静默分发工作应用,而无需任何用户互动。
3.5.1. EMM 控制台必须使用 Play EMM API,才能允许 IT 管理员在受管设备上安装工作应用。
3.5.2. EMM 控制台必须使用 Play EMM API,才能允许 IT 管理员更新受管设备上的工作应用。
3.5.3. EMM 控制台必须使用 Play EMM API,才能允许 IT 管理员在受管设备上卸载应用。
3.6. 受管配置管理
IT 管理员可以查看和静默设置托管配置或任何支持托管配置的应用。
3.6.1. EMM 的控制台必须能够检索和显示任何 Play 应用的受管理配置设置。
- EMM 可以调用
Products.getAppRestrictionsSchema
来检索应用的托管配置架构,也可以在其 EMM 控制台中嵌入托管配置框架。
3.6.2. EMM 的控制台必须允许 IT 管理员使用 Play EMM API 为任何 Play 应用设置任何配置类型(由 Android 框架定义)。
3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符(例如 $username$ 或 %emailAddress%),以便将针对 Gmail 等应用的单个配置应用于多位用户。受管理的配置 iframe 会自动支持此要求。
3.7. 应用目录管理
IT 管理员可以从 Google Play 企业版 (play.google.com/work) 导入为企业批准的应用列表。
3.7.1. EMM 的控制台可以显示已获批准分发的应用列表,其中包括:
- 在 Google Play 企业版中购买的应用
- IT 管理员可以看到专用应用
- 以程序化方式批准的应用
3.8. 程序化应用审批
EMM 的控制台使用 Google Play 企业版 iframe 来支持 Google Play 的应用发现和审批功能。IT 管理员无需离开 EMM 控制台,即可搜索应用、批准应用以及批准新的应用权限。
3.8.1. IT 管理员可以使用 Google Play 企业版 iframe 在 EMM 控制台中搜索应用并批准应用。
3.9. 基本商店布局管理
在设备上,您可以使用 Google Play 企业版商店应用来安装和更新工作应用。默认情况下,系统会显示基本商店布局,并列出已批准用于企业的应用,EMM 会根据政策按个人用户进行过滤。
3.9.1. IT 管理员可以 [管理用户的可用产品组合]/android/work/play/emm-api/samples#grant_a_user_access_to_apps),以允许用户在“商店首页”部分下查看和安装 Google Play 企业版商店中的应用。
3.10. 高级商店布局配置
IT 管理员可以自定义设备上 Google Play 企业版商店应用中显示的商店布局。
3.10.1. IT 管理员可以在 EMM 控制台中执行以下操作,以自定义 Google Play 企业版商店布局:
- 最多可以创建 100 个商店布局页面。页面可以包含任意数量的已本地化的页面名称。
- 每个网页最多可以创建 30 个集群。集群可以有任意数量的本地化集群名称。
- 每个集群最多可分配 100 个应用。
- 每个页面最多可添加 10 个快捷链接。
- 指定集群中应用和页面内集群的排序顺序。
3.11. 应用许可管理
IT 管理员可以通过 EMM 控制台查看和管理在 Google Play 企业版中购买的应用许可。
3.11.1. 对于已获批准供企业使用的付费应用,EMM 的控制台必须显示:
- 已购买的许可数量。
- 使用的许可数和使用许可的用户数。
- 可分发的许可数量。
3.11.2. IT 管理员可以向用户静默分配许可,而无需强制在用户的任何设备上安装该应用。
3.11.3. IT 管理员可以取消向用户分配应用许可。
3.12. Google 托管的专用应用管理
IT 管理员可以通过 EMM 控制台(而非 Google Play 管理中心)更新 Google 托管的专用应用。
3.12.1. IT 管理员可以使用以下工具上传已面向企业私下发布的应用的新版本:
3.13. 自托管专用应用管理
IT 管理员可以设置和发布自主托管的专用应用。与 Google 托管的专用应用不同,Google Play 不托管 APK,相反,EMM 可帮助 IT 管理员自行托管 APK,并通过确保只有在经由受管理的 Google Play 授权后才能安装自托管应用,从而帮助保护自托管应用。
IT 管理员可以参阅支持专用应用了解详情。
3.13.1. EMM 的控制台必须提供以下两个选项,以帮助 IT 管理员托管应用 APK:
- 在 EMM 的服务器上托管 APK。服务器可以是本地服务器,也可以是云端服务器。
- IT 管理员自行决定将 APK 托管在 EMM 服务器之外。IT 管理员必须在 EMM 控制台中指定 APK 的托管位置。
3.13.2. EMM 的控制台必须使用提供的 APK 生成适当的 APK 定义文件,并且必须引导 IT 管理员完成发布流程。
3.13.3. IT 管理员可以更新自托管的专用应用,并且 EMM 的控制台可以使用 Google Play Developer Publishing API 静默发布更新后的 APK 定义文件。
3.13.4. EMM 的服务器仅处理对自托管 APK 的下载请求,该 APK 在请求的 Cookie 中包含有效 JWT(通过专用应用的公钥验证)。
- 为简化此流程,EMM 的服务器必须引导 IT 管理员从 Google Play 管理中心下载自托管应用的许可公钥,并将此密钥上传到 EMM 控制台。
3.14. EMM 拉取通知
EMM 拉取通知不再定期查询 Play 来识别过去的事件,例如包含新权限或受管配置的应用更新,而是由 EMM 拉取通知实时主动通知 EMM,让 EMM 能够执行自动操作并根据这些事件提供自定义管理通知。
3.14.1. EMM 必须使用 Play 的 EMM 通知来提取通知集。
3.14.2. EMM 必须针对以下通知事件自动通知 IT 管理员(例如通过自动发送电子邮件):
newPermissionEvent
:需要 IT 管理员批准新的应用权限,然后才能在用户设备上静默安装或更新应用。appRestrictionsSchemaChangeEvent
:可能需要 IT 管理员更新应用的受管理配置,以保持预期的效率。appUpdateEvent
:对于想要验证核心工作流性能是否不受应用更新影响的 IT 管理员来说,可能很有用。productAvailabilityChangeEvent
:可能会影响安装应用或获取应用更新的能力。installFailureEvent
:Play 无法在设备上静默安装应用,这可能表示设备配置存在某些问题,导致安装失败。EMM 在收到此通知后,不应立即再次尝试静默安装,因为 Play 自己的重试逻辑已失败。
3.14.3. EMM 会根据以下通知事件自动执行适当的操作:
newDeviceEvent
:在设备配置期间,EMM 必须等待newDeviceEvent
,然后才能为新设备发出后续的 Play EMM API 调用,包括静默安装应用和设置受管配置。productApprovalEvent
:如果有有效的 IT 管理员会话,或者在每次 IT 管理员会话开始时未自动重新加载已批准的应用列表,则在收到productApprovalEvent
通知后,EMM 必须自动更新导入到 EMM 控制台的已批准应用列表,以便分发到设备。
3.15. API 使用要求
EMM 可大规模实施 Google 的 API,避免出现可能会对 IT 管理员在生产环境中管理应用的能力产生负面影响的流量模式。
3.15.1. EMM 必须遵守 Play EMM API 用量限制。如不纠正超出这些准则的行为,Google 可自行决定暂停您 API 的使用。
3.15.2. EMM 应在整个日程中分配来自不同企业的流量,而不是在特定时间或类似时间整合企业流量。符合此流量模式的行为(例如为每部已注册的设备安排批量操作)可能会导致 Google 暂停 API 使用,具体取决于 Google 的判断。
3.15.3. EMM 不应发出持续、不完整或故意不正确的请求,也不应尝试检索或管理实际企业数据。符合此流量模式的行为可能会导致 API 使用暂停,具体由 Google 自行决定。
3.16. 高级受管配置管理
3.16.1. EMM 的控制台必须能够通过以下方式检索和显示任何 Play 应用的托管配置设置(最多可嵌套四层):
- Google Play 企业版 iFrame,或者
- 自定义界面。
3.16.2. 当 IT 管理员设置好应用的反馈渠道后,EMM 的控制台必须能够检索和显示应用返回的任何反馈。
- EMM 的控制台必须允许 IT 管理员将特定反馈项与其来源设备和应用相关联。
- EMM 的控制台必须允许 IT 管理员订阅特定消息类型(例如错误消息)的提醒或报告。
3.16.3. EMM 的控制台只能发送具有默认值或由管理员手动设置的值,具体方法如下:
- 托管配置 iframe,或
- 自定义界面。
3.17. Web 应用管理
IT 管理员可以在 EMM 控制台中创建和分发 Web 应用。
3.17.1. IT 管理员可以使用 EMM 控制台分发 Web 应用的快捷方式,具体方法如下:
3.18. Google Play 企业版账号生命周期管理
EMM 可以代表 IT 管理员创建、更新和删除 Google Play 企业版账号。
3.18.1. EMM 可以根据 Play EMM API 开发者文档中定义的实现指南管理 Google Play 企业版账号的生命周期。
3.18.2. EMM 无需用户互动即可重新对受管理的 Google Play 账号进行身份验证。
3.19. 应用轨道管理
3.19.1. IT 管理员可以拉取开发者为特定应用设置的轨道 ID 列表。
3.19.2. IT 管理员可以将设备设置为针对应用使用特定开发轨道。
3.20. 高级应用更新管理
3.20.1. IT 管理员可以允许应用使用高优先级应用更新,以便在有更新可用时进行更新。
3.20.2. IT 管理员可以允许应用将应用更新推迟 90 天。
3.21. 配置方法管理
EMM 可以生成配置,并以可分发给最终用户的形式(例如二维码、零触摸配置、Play 商店网址)将其呈现给 IT 管理员。
4. 设备管理
4.1. 运行时权限政策管理
IT 管理员可以为工作应用发出的运行时权限请求静默设置默认响应。
4.1.1. IT 管理员在为其组织设置默认运行时权限政策时,必须能够从以下选项中进行选择:
- 提示(允许用户选择)
- allow
- deny
EMM 应使用 EMM 的 DPC 强制执行这些设置。
4.2. 运行时权限授予状态管理
设置默认运行时权限政策(请参阅 4.1),IT 管理员可以针对基于 API 23 或更高版本构建的任何工作应用,为特定权限静默设置响应。
4.2.1. IT 管理员必须能够设置基于 API 23 或更高版本构建的任何工作应用请求的任何权限的授予状态(默认、授予或拒绝)。EMM 应使用 EMM 的 DPC 强制执行这些设置。
4.3. Wi-Fi 配置管理
IT 管理员可以在受管理设备上静默预配企业 Wi-Fi 配置,包括:
4.3.1. SSID(使用 EMM 的 DPC)。
4.3.2. 密码(使用 EMM 的 DPC)。
4.4. Wi-Fi 安全管理
IT 管理员可以在受管设备上预配企业 Wi-Fi 配置,其中包含以下高级安全功能:
4.4.1. 身份,使用 EMM 的 DPC。
4.4.2. 用于客户端授权的证书,使用 EMM 的 DPC。
4.4.3. CA 证书,使用 EMM 的 DPC。
4.5. 高级 Wi-Fi 管理
IT 管理员可以锁定受管理设备上的 Wi-Fi 配置,以防止用户创建配置或修改公司配置。
4.5.1. IT 管理员可以在以下任一配置中锁定企业 Wi-Fi 配置:
- 用户无法修改 EMM 预配的任何 Wi-Fi 配置,但可以添加和修改自己的用户可配置网络(例如个人网络)。
- 用户无法在设备上添加或修改任何 Wi-Fi 网络,这会将 Wi-Fi 连接限制为仅限 EMM 预配的网络。
4.6. 账号管理
IT 管理员可以确保未经授权的公司账号无法与 SaaS 存储和办公应用等服务或者电子邮件的公司数据交互。如果不启用此功能,个人账号可以添加到同时支持消费者账号的企业应用中,从而与这些个人账号共享企业数据。
4.6.1. IT 管理员可以禁止添加或修改账号。
- 在设备上强制执行此政策时,EMM 必须在配置完成之前设置此限制,以确保您无法在政策生效之前通过添加账号来规避此政策。
4.7. Workspace 账号管理
IT 管理员可以确保未经授权的 Google 账号无法与企业数据互动。如果没有此功能,可将个人 Google 账号添加到公司 Google 应用(例如 Google 文档或 Google 云端硬盘),使这些应用与这些个人账号共享公司数据。
4.7.1. 在账号管理锁定生效后,IT 管理员可以在配置期间指定要激活的 Google 账号。
4.7.2. EMM 的 DPC 必须提示启用 Google 账号,并确保通过指定要添加的账号,只能启用特定账号。
- 在低于 Android 7.0 的设备上,DPC 必须 先暂时关闭账号管理限制,然后再提示用户。
4.8. 证书管理
允许 IT 管理员将身份证书和证书授权机构部署到设备,以允许访问公司资源。
4.8.1. IT 管理员可以按用户安装其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个公钥基础设施 (PKI) 集成,并分发由该基础架构生成的证书。
4.8.2. IT 管理员可以在托管式密钥库中安装证书授权机构。
4.9. 高级证书管理
允许 IT 管理员静默选择特定受管理应用应使用的证书。此外,此功能还可让 IT 管理员从处于活动状态的设备中移除 CA 和身份证书。此功能可防止用户修改存储在受管密钥库中的凭据。
4.9.1. 对于分发到设备的任何应用,IT 管理员都可以指定一个证书,系统会在运行时静默授予该应用访问权限。
- 证书选择必须足够通用,以允许单个配置适用于所有用户,每个用户都可能具有特定于用户的身份证书。
4.9.2. IT 管理员可以从受管理的密钥库中静默移除证书。
4.9.3. IT 管理员可以静默卸载 CA 证书或所有非系统 CA 证书。
4.9.4. IT 管理员可以禁止用户在受管理的密钥库中配置凭据。
4.9.5. IT 管理员可以为工作应用预先授予证书。
4.10. 委托证书管理
IT 管理员可以将第三方证书管理应用分发到设备,并向该应用授予将证书安装到受管理的密钥库的权限。
4.10.1. IT 管理员指定一个证书管理软件包,以被 DPC 设为委托证书管理应用。
- 控制台可以选择建议已知的证书管理软件包,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.11. 高级 VPN 管理
允许 IT 管理员指定始终开启的 VPN,以确保来自指定受管应用的数据始终通过已设置的 VPN 传输。
4.11.1. IT 管理员可以指定任意 VPN 软件包,将其设置为始终开启的 VPN。
- EMM 的控制台可以选择建议支持始终开启的 VPN 的已知 VPN 软件包,但不能将可用于始终开启配置的 VPN 限制为任何任意列表。
4.11.2. IT 管理员可以使用托管配置为应用指定 VPN 设置。
4.12. IME 管理
IT 管理员可以管理可以为设备设置哪些输入法 (IME)。由于 IME 会在工作资料和个人资料之间共享,因此禁止使用 IME 也会禁止将这些 IME 用于个人用途。不过,IT 管理员不得在工作资料中屏蔽系统 IME(如需了解详情,请参阅高级 IME 管理)。
4.12.1. IT 管理员可以设置任意长度的 IME 许可名单(包括空白列表,用于屏蔽非系统 IME),其中可以包含任何任意 IME 软件包。
- EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.12.2. EMM 必须告知 IT 管理员,系统 IME 不在具有工作资料的设备的管理范围内。
4.13. 高级 IME 管理
IT 管理员可以管理可以为设备设置哪些输入法 (IME)。高级输入法管理功能扩展了基本功能,让 IT 管理员还可以管理系统输入法(通常由设备制造商或设备运营商提供)的使用。
4.13.1. IT 管理员可以设置任意长度的 IME 许可名单(不包括空列表,空列表会屏蔽包括系统 IME 在内的所有 IME),其中可能包含任何任意 IME 软件包。
- EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.13.2. EMM 必须阻止 IT 管理员设置空白许可名单,因为此设置会阻止在设备上设置所有 IME(包括系统 IME)。
4.13.3. EMM 必须确保:如果 IME 许可名单不包含系统 IME,则在将该许可名单应用到设备上之前,第三方 IME 会静默安装。
4.14. 无障碍服务管理
IT 管理员可以管理用户设备上允许使用的无障碍服务。对于残障用户或暂时无法与设备完全交互的用户而言,无障碍服务是强大的工具,但它们可能会以不符合公司政策的方式与公司数据交互。此功能允许 IT 管理员关闭所有非系统无障碍服务。
4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单(包括空白列表,用于屏蔽非系统无障碍服务),其中可以包含任何任意无障碍服务软件包。当应用于工作资料时,这会同时影响个人资料和工作资料。
- 控制台可以选择建议添加到许可名单中的已知或推荐的无障碍服务,但必须允许 IT 管理员为适用用户从可安装应用列表中进行选择。
4.15. 位置信息分享管理
IT 管理员可以阻止用户与工作资料中的应用共享位置数据。否则,您可以在“设置”中配置工作资料的位置信息设置。
4.15.1. IT 管理员可以在工作资料中停用位置信息服务。
4.16. 高级位置信息分享管理
IT 管理员可以在受管设备上强制执行指定的位置信息分享设置。此功能可确保企业应用始终可以访问高精确度位置数据。此功能还可以通过将位置信息设置限制为省电模式,确保不会额外耗电。
4.16.1. IT 管理员可以将设备位置信息服务设置为以下任一模式:
- 高精确度。
- 仅限传感器(例如 GPS),但不包括网络提供的位置信息。
- 省电模式,用于限制更新频率。
- 关闭。
4.17. 恢复出厂设置保护管理
让 IT 管理员能够确保未经授权的用户无法将公司自有设备恢复出厂设置,从而保护这些设备免遭盗窃。如果恢复出厂设置保护功能会在设备退还给 IT 部门时引入操作复杂性,IT 管理员还可以完全关闭恢复出厂设置保护功能。
4.17.1. IT 管理员可以在“设置”中阻止用户将设备恢复出厂设置。
4.17.2. IT 管理员可以在设备恢复出厂设置后指定获授权用于预配设备的公司解锁账号。
- 此账号可以与个人相关联,也可以供整个企业用于解锁设备。
4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护。
4.17.4. IT 管理员可以启动远程设备清除,可选择清除恢复出厂设置保护数据,从而移除已重置设备上的恢复出厂设置保护。
4.18. 高级应用控制
IT 管理员可以阻止用户通过“设置”卸载或以其他方式修改受管理的应用,例如强制关闭应用或清除应用的数据缓存。
4.18.1. IT 管理员可以禁止卸载任何任意受管应用,或所有受管应用。
4.18.2. IT 管理员可以禁止用户在“设置”中修改应用数据。
4.19. 屏幕截图管理
IT 管理员可以禁止用户在使用受管应用时截取屏幕截图。此设置包括屏蔽使用系统屏幕截图功能的屏幕共享应用和类似应用(例如 Google 助理)。
4.19.1. IT 管理员可以禁止用户截取屏幕截图。
4.20. 停用相机
IT 管理员可以禁止受管理的应用使用设备相机。
4.20.1. IT 管理员可以禁止受管理的应用使用设备相机。
4.21. 网络统计信息收集
IT 管理员可以查询设备工作资料中的网络使用情况统计信息。收集的统计信息反映的是“设置”的数据使用情况部分中与用户共享的使用情况数据。收集的统计信息适用于工作资料中应用的使用情况。
4.21.1. IT 管理员可以针对给定设备和可配置时间范围查询工作资料的网络统计信息摘要,并在 EMM 的控制台中查看这些详细信息。
4.21.2. IT 管理员可以查询工作资料网络使用统计信息中的应用摘要(针对给定设备和可配置的时间范围),并在 EMM 控制台中查看按 UID 整理的这些详细信息。
4.21.3. IT 管理员可以针对指定设备和可配置的时间范围查询工作资料的网络使用历史数据,并在 EMM 控制台中按 UID 查看这些按 UID 整理的详细信息。
4.22. 高级网络统计信息收集
IT 管理员可以查询整个受管设备的网络使用情况统计信息。收集的统计信息反映了“设置”的数据使用部分中与用户分享的使用数据。收集的统计信息适用于设备上的应用使用情况。
4.22.1. IT 管理员可以针对给定设备和可配置的时间范围查询整个设备的网络统计信息摘要,并在 EMM 控制台中查看这些详细信息。
4.22.2. IT 管理员可以针对指定设备和可配置的时间范围查询应用网络使用情况统计信息摘要,并在 EMM 控制台中查看按 UID 整理的这些详细信息。
4.22.3. IT 管理员可以针对给定设备和可配置的时间范围查询网络使用情况历史数据,并在 EMM 控制台中查看按 UID 整理的这些详细信息。
4.23. 重新启动设备
IT 管理员可以远程重启受管理的设备。
4.23.1. IT 管理员可以远程重新启动受管设备。
4.24. 系统无线电管理
允许 IT 管理员对系统网络无线电和关联的使用政策进行精细管理。
4.24.1. IT 管理员可以停用服务提供商发送的移动网络广播(例如 AMBER 提醒)。
4.24.2. IT 管理员可以禁止用户在“设置”中修改移动网络设置。
4.24.3. IT 管理员可以阻止用户在“设置”中重置网络设置。
4.24.4. IT 管理员可以允许或禁止在漫游时使用移动流量。
4.24.5. IT 管理员可以设置设备能否拨打电话(不包括紧急呼叫)。
4.24.6. IT 管理员可以设置设备是否可以收发短信。
4.24.7. IT 管理员可以禁止用户通过网络共享将其设备用作便携式热点。
4.24.8. IT 管理员可以将Wi-Fi 超时设置为默认、仅在插入电源时或永不。
4.24.9. IT 管理员可以阻止用户设置或修改现有蓝牙连接。
4.25. 系统音频管理
IT 管理员可以静默管理设备音频功能,包括将设备静音、禁止用户更改音量设置,以及禁止用户取消静音设备麦克风。
4.25.1. IT 管理员可以静默将受管设备设为静音。
4.25.2. IT 管理员可以禁止用户修改设备音量设置。
4.25.3. IT 管理员可以禁止用户取消静音设备麦克风。
4.26. 系统时钟管理
IT 管理员可以管理设备时钟和时区设置,并禁止用户修改设备的自动设置。
4.26.1. IT 管理员可以强制执行系统自动时间,以防止用户设置设备的日期和时间。
4.26.2. IT 管理员可以静默开启或关闭自动时间和自动时区。
4.27. 高级专用设备功能
让 IT 管理员能够更精细地管理专用设备功能,以支持各种自助服务终端用例。
4.27.1. IT 管理员可以停用设备键盘锁。
4.27.2. IT 管理员可以关闭设备状态栏,屏蔽通知和快捷设置。
4.27.3. IT 管理员可以在设备接通电源时强制让设备屏幕保持开启状态。
4.27.4. IT 管理员可以阻止显示以下系统界面:
- 消息框
- 应用叠加层。
4.27.5. IT 管理员可以允许系统建议应用在首次启动时跳过用户教程和其他介绍性提示。
4.28. 委托范围管理
IT 管理员能够将额外的权限授予各个软件包。
4.28.1. IT 管理员可以管理以下范围:
4.29. 针对注册的身份证件支持
从 Android 12 开始,工作资料将无法再访问硬件专用标识符。IT 管理员可以通过注册专用 ID(在恢复出厂设置后保留)跟踪具有工作资料的设备的生命周期。
4.29.2. 此注册专用 ID 在恢复出厂设置后必须保持不变
5. 设备易用性
5.1. 托管配置自定义
IT 管理员可以修改默认设置流程用户体验,以包含特定于企业的功能。(可选)IT 管理员可以在配置期间显示 EMM 提供的品牌信息。
5.1.1. IT 管理员可以通过指定以下企业专用详细信息来自定义配置流程:企业颜色、企业徽标、企业服务条款和其他免责声明。
5.1.2. IT 管理员可以部署不可配置的 EMM 专用自定义设置,其中包括以下详细信息:EMM 颜色、EMM 徽标、EMM 服务条款和其他免责声明。
在 Android 10 及更高版本中,5.1.3 [primaryColor
] 已废弃。
- EMM 必须在系统预配免责声明软件包中包含其预配流程的预配服务条款和其他免责声明,即使不使用 EMM 专用自定义也是如此。
- EMM 可以将其不可配置的 EMM 专用自定义设置为所有部署的默认设置,但必须允许 IT 管理员设置自己的自定义设置。
5.2. 企业自定义
IT 管理员可以使用企业品牌设置来自定义工作资料的各个方面。例如,IT 管理员可以将工作资料中的用户图标设置为公司徽标。再举一个例子,就是设置工作挑战的背景颜色。
5.2.1. IT 管理员可以设置组织颜色,以用作工作挑战的背景颜色。
5.2.2. IT 管理员可以设置工作资料的显示名称。
5.2.3. IT 管理员可以设置工作资料的用户图标。
5.2.4. IT 管理员可以阻止用户修改工作资料用户图标。
5.3. 高级企业自定义
IT 管理员可以使用企业品牌自定义受管设备。例如,IT 管理员可以将主要用户图标设置为公司徽标,或设置设备壁纸。
5.3.1. IT 管理员可以为受管设备设置显示名称。
5.3.2. IT 管理员可以设置受管理设备的用户图标。
5.3.3. IT 管理员可以禁止用户修改设备用户图标。
5.3.4. IT 管理员可以设置设备壁纸。
5.3.5. IT 管理员可以阻止用户修改设备壁纸。
5.4. 锁定屏幕消息
IT 管理员可以设置始终显示在设备锁定屏幕上的自定义消息,且无需解锁设备即可查看。
5.4.1. IT 管理员可以设置自定义锁定屏幕消息。
5.5. 政策透明度管理
IT 管理员可以自定义在用户修改设备上的受管设置时向其提供的帮助文本,或部署 EMM 提供的通用支持消息。您可以自定义简短和长篇幅的支持消息。例如,在尝试卸载 IT 管理员已阻止卸载的受管理应用等情况下,系统会显示这些消息。
5.5.2. IT 管理员可以部署不可配置的 EMM 专用简短和详细支持消息。
- EMM 可以将其不可配置的 EMM 专用支持消息设置为所有部署的默认消息,但必须允许 IT 管理员设置自己的消息。
5.6. 跨资料联系人管理
IT 管理员可以控制哪些联系人数据可以离开工作资料。电话和即时通讯 (SMS) 应用都必须在个人资料中运行,并且需要访问工作资料联系人数据,以便高效处理工作联系人,但管理员可以选择停用这些功能以保护工作数据。
5.6.1. 对于使用系统联系人提供程序的个人应用,IT 管理员可以停用跨资料联系人搜索。
5.6.2. 对于使用系统联系人提供程序的个人拨号器应用,IT 管理员可以停用跨资料来电显示查找。
5.6.3. IT 管理员可以禁止与使用系统联系人提供程序的蓝牙设备共享蓝牙联系人,例如汽车或耳机中的免提通话。
5.7. 跨资料数据管理
除了工作资料的默认安全功能之外,还可让 IT 管理员管理哪些数据可以离开工作资料。借助此功能,IT 管理员可以允许进行特定类型的跨资料数据共享,以提高关键用例的易用性。IT 管理员还可以通过更多锁定功能进一步保护公司数据。
5.7.1. IT 管理员可以配置跨资料 intent 过滤器,以便个人应用可以解析工作资料中的 intent,例如共享 intent 或网页链接。
- 控制台可以选择为配置建议已知或推荐的 intent 过滤器,但不能将 intent 过滤器限制为任何任意列表。
5.7.2. IT 管理员可以在主屏幕上允许显示 widget 的受管应用。
- EMM 的控制台必须让 IT 管理员能够从可向适用用户安装的应用列表中进行选择。
5.7.3. IT 管理员可以禁止在工作资料和个人资料之间使用复制/粘贴功能。
5.7.4. IT 管理员可以禁止用户使用 NFC 传输功能共享工作资料中的数据。
5.7.5. IT 管理员可以允许个人应用打开工作资料中的网页链接。
5.8. 系统更新政策
IT 管理员可以为设备设置和应用无线下载 (OTA) 系统更新。
5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置:
- 自动:设备会在 OTA 更新可用时安装更新。
- 推迟:IT 管理员必须能够推迟最多 30 天 OTA 更新。此政策不会影响安全更新(例如每月安全补丁)。
- 窗口期:IT 管理员必须能够在每日维护期内安排 OTA 更新。
5.8.2. EMM 的 DPC 会将 OTA 配置应用于设备。
5.9. 锁定任务模式管理
IT 管理员可以将应用或一组应用锁定到屏幕,并确保用户无法退出应用。
5.9.1. 借助 EMM 的控制台,IT 管理员可以静默允许一组任意应用安装并锁定到设备。EMM 的 DPC 允许专用设备模式。
5.10. 持久性首选活动管理
允许 IT 管理员将应用设置为与特定 intent 过滤器匹配的 intent 的默认 intent 处理程序。例如,让 IT 管理员能够选择在点按主屏幕按钮时,使用哪个浏览器应用自动打开网页链接,或使用哪个启动器应用。
5.10.1. IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序。
- EMM 的控制台可以选择建议已知或推荐的 intent 进行配置,但不能将 intent 限制为任何任意列表。
- EMM 的控制台必须允许 IT 管理员从可供为适用用户安装的应用列表中进行选择。
5.11. 锁屏功能管理
- 可信代理
- 指纹解锁
- 未隐去敏感信息的通知
5.11.2. EMM 的 DPC 可以在工作资料中关闭以下屏幕锁定功能:
- 可信代理
- 指纹解锁
5.12. 高级屏幕保护功能管理
5.13. 远程调试
IT 管理员无需执行额外步骤,即可从设备检索调试资源。
5.13.1. IT 管理员可以远程请求 bug 报告、在 EMM 控制台中查看 bug 报告,以及从 EMM 控制台中下载 bug 报告。
5.14. 检索 MAC 地址
EMM 可以静默式提取设备的 MAC 地址。MAC 地址可用于识别企业基础架构的其他部分中的设备(例如,在识别设备以进行网络访问控制时)。
5.14.1. EMM 可以静默检索设备的 MAC 地址,并在 EMM 的控制台中将其与设备关联。
5.15. 高级锁定任务模式管理
如果设备被设置为专用设备,IT 管理员可以使用 EMM 的控制台执行以下任务:
5.15.1. 允许单个应用使用 EMM 的 DPC 静默锁定到设备。
5.15.2. 使用 EMM 的 DPC 开启或关闭以下系统界面功能:
- “主屏幕”按钮
- 概览
- 全局操作
- 通知
- 系统信息 / 状态栏
- 锁屏(锁屏状态)
5.15.3. 使用 EMM 的 DPC 关闭系统错误对话框。
5.16. 高级系统更新政策
IT 管理员可以在指定的冻结期内阻止设备上的系统更新。
5.16.1. EMM 的 DPC 可以在指定的冻结期内将无线下载 (OTA) 系统更新应用于设备。
5.17. 工作资料政策透明度管理
IT 管理员可以自定义从设备中移除工作资料时向用户显示的消息。
5.17.1. IT 管理员可以提供在工作资料被擦除时要显示的自定义文本。
5.18. 关联的应用支持
IT 管理员可以设置可跨工作资料边界通信的软件包列表。
5.19. 手动系统更新
IT 管理员可以提供路径来手动安装系统更新。
6. 设备管理服务的弃用
6.1. 设备管理服务弃用
EMM 必须在 2022 年底之前发布一项计划,以便在 2023 年第 1 季度末之前停止对 GMS 设备上的设备管理功能提供客户支持。
7. API 用量
7.1. 适用于新绑定的标准政策控制器
默认情况下,对于任何新的绑定,设备都必须使用 Android Device Policy 进行管理。EMM 可能会在“高级”或类似标题下的设置区域中提供使用自定义 DPC 管理设备的选项。在任何新手入门或设置工作流中,都不得让新客户在技术栈之间进行任意选择。
7.2. 适用于新设备的标准政策控制器
默认情况下,对于所有新设备注册(包括现有绑定和新绑定),设备都必须使用 Android Device Policy 进行管理。EMM 可以在“高级”或类似术语标题下的设置区域中提供使用自定义 DPC 管理设备的选项。