Android Enterprise 功能清單

1.1.1. EMM 的 DPC 必須在 Google Play 上公開發布，方便使用者在裝置的個人端安裝 DPC。

1.1.2. 安裝完成後，DPC 必須引導使用者完成工作資料夾的佈建程序。

1.1.3. 佈建完成後，裝置個人端就不會保留管理服務。

• 凡是佈建期間設置的政策，都必須移除。
• 必須撤銷應用程式權限。
• 在裝置的個人端，至少必須關閉 EMM 的 DPC。

1.2.1. EMM 的裝置政策控制器必須在 Google Play 公開發布。您必須輸入 DPC 專屬 ID，才能透過裝置設定精靈安裝 DPC。

1.3.1. EMM 必須使用 NFC 論壇 Type 2 標記，且記憶體至少為 888 個位元組。佈建程序必須使用佈建額外項目，將非敏感的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳送至裝置。註冊詳細資料不應包含密碼或證書等機密資訊。

1.4.1. QR code 必須使用佈建附加元件，將非敏感的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳送至裝置。註冊詳細資料不得包含密碼或證書等機密資訊。

1.4.2. EMM 的 DPC 設定裝置後，DPC 必須立即開啟並鎖定螢幕，直到裝置完成佈建為止。

1.5.1. IT 管理員可以使用「適用於 IT 管理員的零接觸註冊機制」一文中所述的零接觸註冊方法，為公司擁有的裝置進行佈建。

1.6.1. IT 管理員可以使用零接觸註冊機制佈建公司擁有的裝置，詳情請參閱「適用於 IT 管理員的零接觸註冊機制」。

1.6.2. EMM 的 DPC 設定裝置後，必須立即開啟 EMM 的 DPC，並將其鎖定在螢幕上，直到裝置完成佈建為止。

• 如果裝置使用零接觸註冊機制的註冊詳細資料來完全自動佈建 (例如，在專屬裝置部署中)，則不受這項規定影響。

1.6.3. 透過註冊詳細資料，EMM 的 DPC 必須確保叫用 DPC 後，未經授權的使用者就無法繼續執行啟用程序。至少必須將啟用功能鎖定給特定企業的使用者。

1.6.4. 使用註冊詳細資料時，EMM 的 DPC 必須讓 IT 管理員能夠預先填入註冊詳細資料 (例如伺服器 ID、註冊 ID)，以及獨特的使用者或裝置資訊 (例如使用者名稱/密碼、啟用權杖)，這樣使用者在啟用裝置時，就不需要輸入詳細資料。

• EMM 不得在零接觸註冊設定中加入密碼或憑證等機密資訊。

1.8.1. Google 帳戶佈建方法會根據定義的實作指南，佈建公司擁有的裝置。

1.8.2. 除非 EMM 能明確識別裝置為公司資產，否則在佈建程序中，如果沒有提示，就無法佈建裝置。這個提示必須採取非預設動作，例如勾選核取方塊或選取非預設的選單選項。建議 EMM 能將裝置識別為公司資產，這樣就不須使用這個提示。

1.10.1. 故意空白。

1.10.2. IT 管理員可以為公司擁有裝置上的工作資料夾設定法規遵循動作。

1.10.3. IT 管理員可以在工作資料夾或整部裝置中停用相機。

1.10.4. IT 管理員可以在工作資料夾或整部裝置中停用螢幕畫面擷取功能。

1.10.5. IT 管理員可以設定許可清單或封鎖清單，決定哪些應用程式可在個人資料夾中安裝，哪些應用程式則不行。

2.1.1. 政策必須強制執行設定，管理裝置安全性驗證 (工作資料夾的 parentProfilePasswordRequirements、完全受管理和專屬裝置的 passwordRequirements)。

2.1.2. 密碼複雜度必須對應至下列密碼複雜度：

• PASSWORD_COMPLEXITY_LOW - 解鎖圖案或 PIN 碼包含重複數列 (4444) 或規則數列 (1234、4321、2468)。
• PASSWORD_COMPLEXITY_MEDIUM - PIN 碼沒有重複 (4444) 或排序 (1234、4321、2468) 序列、字母或英數字元，長度至少為 4
• PASSWORD_COMPLEXITY_HIGH - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼，長度不得少於 8 個字元，或由英文字母或英數字元組成的密碼，長度不得少於 6 個字元

2.2.1. 政策必須強制執行工作資料夾的安全性驗證。根據預設，如果未指定範圍，IT 管理員應只為工作資料夾設定限制。IT 管理員可以指定範圍，以便針對整部裝置設定限制 (請參閱第 2.1 項規定)

2.1.2. 密碼複雜度應對應至下列密碼複雜度：

• PASSWORD_COMPLEXITY_LOW - 解鎖圖案或 PIN 碼包含重複數列 (4444) 或規則數列 (1234、4321、2468)。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼、字母或英數字元密碼，長度不得少於 4 個字元
• PASSWORD_COMPLEXITY_HIGH - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼，長度不得少於 8 個字元，或由英文字母或英數字元組成的密碼，長度不得少於 6 個字元

2.3.2. 故意空白。

2.3.3. 您可以為裝置提供的每個螢幕鎖定畫面調整下列密碼生命週期設定：

1. 故意空白
2. 蓄意空白
3. 密碼輸入錯誤次數上限 (清除裝置資料)：指定使用者輸入錯誤密碼的次數上限，超過上限後，系統就會清除裝置上的公司資料。IT 管理員必須能夠關閉這項功能。

2.4.1. IT 管理員可以停用 Smart Lock 信任的代理程式，且可針對裝置上可用的每個螢幕鎖定畫面個別停用。

2.4.2. IT 管理員可以選擇允許並設定 Smart Lock 信任代理程式，針對裝置上可用的每個螢幕鎖定畫面，分別設定下列信任代理程式：藍牙、NFC、地點、臉孔、身體和語音。

• IT 管理員可以修改可用的 Trust Agent 設定參數。

2.5.1. EMM 的 DPC 必須鎖定裝置。

2.7.1. EMM 的 DPC 必須禁止安裝來源不明的應用程式，包括任何設有工作資料夾的 Android 8.0 以上版本裝置在個人資料夾中安裝的應用程式。

2.8.1. EMM 的 DPC 必須預設關閉啟動至安全模式的功能。

2.8.2. 佈建期間，必須在首次啟動時立即開啟 EMM 的 DPC 並鎖定至螢幕，以確保使用者不會透過任何其他方式與裝置互動。

EMM 會使用 Play Integrity API，確保裝置為有效的 Android 裝置。

2.9.1. EMM 的 DPC 會在佈建期間實作 Play Integrity API，且根據預設，只有在裝置完整性傳回的值為 MEETS_STRONG_INTEGRITY 時，才會為裝置完成佈建程序，並使用企業資料。

2.9.2. EMM 的 DPC 會在裝置與 EMM 伺服器簽入時，執行另一項 Play Integrity 檢查 (可由 IT 管理員設定)。EMM 伺服器會先驗證完整性檢查回應中的 APK 資訊和回應本身，再更新裝置上的企業政策。

2.9.3. IT 管理員可以根據 Play Integrity 檢查結果設定不同的政策回應，包括封鎖裝置、清除公司資料，以及允許註冊程序繼續進行。

• EMM 服務會針對每次完整性檢查的結果強制執行此政策回應。

2.11.1. EMM 的 DPC 會在解密 DPC 的憑證加密儲存空間之前，利用裝置加密儲存空間執行重要管理功能。在直接啟動模式下可用的管理功能必須包括 (但不限於) 下列項目：

• 企業清除功能，包括視需要清除恢復原廠設定保護資料的功能。

2.11.2. EMM 的 DPC 不得在裝置加密儲存空間中揭露公司資料。

2.12.1. IT 管理員可以禁止使用者在裝置上掛載實體外部媒體。

2.12.2. IT 管理員可以禁止使用者使用 NFC 發送功能分享裝置資料。由於 Android 10 以上版本不再支援 NFC 發射功能，因此這個子功能屬於選用功能。

2.13.1. IT 管理員可以為特定裝置啟用安全性記錄，且 EMM 的 DPC 必須能夠自動擷取安全性記錄和重新啟動前的安全性記錄。

2.13.2. IT 管理員可以在 EMM 控制台中，查看特定裝置和可設定時間範圍的企業安全性記錄。

3.1.1. 擁有現有受管理 Google 網域的管理員可以將網域繫結至 EMM。

3.1.2. 企業行動管理服務 (EMM) 控制台必須為每家企業靜默地佈建及設定專屬的 ESA。

3.1.3. 使用 Play EMM API 取消註冊企業。

3.1.4. EMM 控制台會引導管理員在 Android 註冊流程中輸入公司電子郵件地址，並建議他們不要使用 Gmail 帳戶。

3.2.1. EMM 的 DPC 可根據定義的實作指南，在無聲的情況下佈建及啟用 Google Play 管理版帳戶。這麼做會導致下列情況：

• 裝置會新增 userAccount 類型的受管理 Google Play 帳戶。
• userAccount 類型的 Google Play 管理版帳戶必須在 EMM 控制台中與實際使用者 1 對 1 對應。

3.4.1. EMM 的 DPC 可根據定義的導入指南，靜默佈建及啟用受管理的 Google Play 帳戶。執行此操作：

1. 裝置會新增 userAccount 類型的受管理 Google Play 帳戶。
2. userAccount 類型的 Google Play 管理版帳戶必須在 EMM 控制台中與實際使用者 1 對 1 對應。

3.5.1. EMM 控制台必須使用 Play EMM API，才能讓 IT 管理員在受管理的裝置上安裝工作應用程式。

3.5.2. EMM 控制台必須使用 Play EMM API，才能讓 IT 管理員更新受管理裝置上的公司應用程式。

3.6.1. EMM 控制台必須能夠擷取及顯示任何 Play 應用程式的受管理設定。

• EMM 可以呼叫 Products.getAppRestrictionsSchema 來擷取應用程式的受管理設定結構定義，或在 EMM 控制台中嵌入受管理設定框架。

3.6.2. EMM 控制台必須允許 IT 管理員為使用 Play EMM API 的任何 Play 應用程式設定任何設定類型 (由 Android 架構定義)。

3.6.3. EMM 的主控台必須允許 IT 管理員設定萬用字元 (例如 $username$ 或 %emailAddress%)，才能將應用程式 (例如 Gmail) 的單一設定套用至多位使用者。受管理設定 iframe 會自動支援這項規定。

3.7.1. EMM 控制台可顯示核准發布的應用程式清單，包括：

• 在 Google Play 管理版購買的應用程式
• IT 管理員可以查看私人應用程式
• 程式輔助核准的應用程式

3.10.1. IT 管理員可以在 EMM 控制台中執行下列操作，自訂 Google Play 管理版商店版面配置：

• 最多可建立 100 個商店版面配置頁面。頁面可以有任意數量的本地化網頁名稱，
• 每個網頁最多可建立 30 個叢集。叢集可有任意數量的本地化叢集名稱。
• 每個叢集最多可以指派 100 個應用程式。
• 每個頁面最多可新增 10 個快速連結。
• 指定叢集內應用程式的排序順序，以及頁面內的叢集。

3.11.1. 對於已獲企業核准的付費應用程式，EMM 控制台必須顯示：

• 已購買的授權數。
• 已使用的授權數量，以及使用授權的使用者。
• 可供發布的授權數量。

3.11.2. IT 管理員可以以靜音方式將授權指派給使用者，不必強制在任何使用者的裝置上安裝該應用程式。

3.12.1. IT 管理員可以使用下列方式，上傳已私下發布給企業的新版應用程式：

IT 管理員可以參閱支援私人應用程式一文瞭解詳情。

3.13.1. EMM 控制台必須提供下列兩種選項，協助 IT 管理員代管應用程式 APK：

• 在 EMM 伺服器上代管 APK。伺服器可以是地端部署伺服器，也可以是雲端伺服器。
• 根據 IT 管理員的判斷，在 EMM 伺服器外部代管 APK。IT 管理員必須在 EMM 控制台中指定 APK 的代管位置。

3.13.2. EMM 的控制台必須使用提供的 APK 產生適當的 APK 定義檔案，並引導 IT 管理員完成發布程序。

3.13.3. IT 管理員可以更新自架式私人應用程式，而 EMM 主控台則可使用 Google Play Developer Publishing API 悄悄發布更新的 APK 定義檔案。

3.13.4. EMM 伺服器只會針對自管 APK 提供下載要求，這些 APK 在要求的 Cookie 中包含有效的 JWT，並經過私人應用程式的公開金鑰驗證。

• 為簡化這項程序，EMM 伺服器必須引導 IT 管理員從 Play 管理中心下載自管應用程式的授權公開金鑰，並將這組金鑰上傳至 EMM 控制台。

3.14.1. EMM 必須使用 Play 的 EMM 通知，才能提取通知集。

3.14.2. EMM 必須自動通知 IT 管理員下列通知事件：

• newPermissionEvent：IT 管理員必須核准新的應用程式權限，應用程式才能在使用者的裝置上靜默安裝或更新。
• appRestrictionsSchemaChangeEvent：可能需要 IT 管理員更新應用程式的受管理設定，以維持預期效率。
• appUpdateEvent：可能適合想驗證核心工作流程效能不會受到應用程式更新影響的 IT 管理員。
• productAvailabilityChangeEvent：可能會影響安裝應用程式或更新應用程式的功能。
• installFailureEvent：Play 無法在裝置上靜默安裝應用程式，表示裝置設定可能會阻止安裝作業。收到這則通知後，EMM 不應立即再次嘗試靜默安裝，因為 Play 本身的重試邏輯已失敗。

3.14.3. EMM 會根據下列通知事件自動採取適當行動：

• newDeviceEvent：在裝置佈建期間，EMM 必須等待 newDeviceEvent，才能為新裝置發出後續的 Play EMM API 呼叫，包括靜默安裝應用程式和設定受管理的設定。
• productApprovalEvent：收到 productApprovalEvent 通知後，如果有有效的 IT 管理員工作階段，或是在每個 IT 管理員工作階段開始時，系統未自動重新載入核准應用程式清單，EMM 就必須自動更新清單，以便將應用程式發布至裝置。

3.15.1. EMM 必須遵守 Play EMM API 用量限制。如果您未修正違反這些規範的行為，Google 可能會視情況暫停您的 API 使用權限。

3.15.2. EMM 應在一天內平均分配不同企業的流量，而不是合併特定或類似時間的企業流量。Google 可自行斟酌是否將符合此流量模式的行為 (例如，為每個註冊裝置排定批次作業) 暫停使用 API。

• Google Play 管理版 iframe，或
• 自訂 UI。

3.16.2. 當 IT 管理員設定 EMM 控制台時，該控制台必須能夠擷取並顯示任何由應用程式意見回饋管道傳回的意見回饋。

• EMM 控制台必須允許 IT 管理員將特定意見回饋項目與其來源裝置和應用程式建立關聯。
• EMM 的主控台必須允許 IT 管理員訂閱特定訊息類型 (例如錯誤訊息) 的快訊或報告。

3.16.3. EMM 的主控台只能使用以下條件傳送具有預設值或由管理員手動設定的值：

• 受管理的設定 iframe，或
• 自訂 UI。

3.17.1. IT 管理員可以使用 EMM 控制台，透過以下方式發布網頁應用程式的捷徑：

3.18.1. EMM 可根據 Play EMM API 開發人員說明文件中定義的導入指南，管理 Google Play 管理版帳戶的生命週期。

3.18.2. EMM 不需要使用者互動，就能重新驗證 Google Play 管理版帳戶。

3.20.2. IT 管理員可以允許應用程式將應用程式更新延後 90 天。

4.1.1. 為所屬機構設定預設的執行階段權限政策時，IT 管理員必須能夠從下列選項中選擇：

• 提示 (允許使用者選擇)
• allow
• deny

4.3.1. SSID，使用 EMM 的 DPC。

4.4.1. 身分，使用EMM 的 DPC。

4.4.2. 使用 EMM 的 DPC 時，用於授權用戶端的憑證。

4.5.1. IT 管理員可以透過下列任一設定，鎖定公司 Wi-Fi 設定：

• 使用者無法修改由 EMM 佈建的任何 Wi-Fi 設定，但可以新增及修改自己的可設定網路 (例如個人網路)。
• 使用者無法在裝置上新增或修改任何 Wi-Fi 網路，Wi-Fi 連線功能僅限於 EMM 佈建的網路。

4.6.1. IT 管理員可以禁止新增或修改帳戶。

• 在裝置上強制執行這項政策時，EMM 必須在佈建完成前設定這項限制，確保您無法在政策生效前透過新增帳戶規避這項政策。

4.7.1. 在帳戶管理鎖定功能啟用後，IT 管理員可以指定要啟用的 Google 帳戶。

4.7.2. EMM 的 DPC 必須提示啟用 Google 帳戶，並指定要新增的帳戶，確保只有特定帳戶可以啟用。

• 在 Android 7.0 以下版本的裝置上，DPC 必須 暫時關閉帳戶管理限制，再向使用者發出提示。

4.8.1. IT 管理員可以根據個別使用者，安裝 PKI 產生的使用者身分憑證。EMM 主控台必須整合至少一個 PKI，並發布該基礎架構產生的憑證。

4.9.1. 針對發布至裝置的任何應用程式，IT 管理員可以指定應用程式在執行階段期間以靜音方式授予存取權的憑證。

• 憑證選取必須夠通用，才能讓單一設定套用至所有使用者，而每位使用者都可能擁有專屬的使用者身分憑證。

4.9.2. IT 管理員可以從受管理的鍵值儲存庫中移除憑證。

4.9.3. IT 管理員可以悄悄解除安裝 CA 憑證，或解除安裝所有非系統 CA 憑證。

4.9.4. IT 管理員可以禁止使用者在受管理的 KeyStore 中設定憑證。

4.10.1. IT 管理員會指定憑證管理套件，以便 DPC 設為委派的憑證管理應用程式。

• 控制台可選擇性提供已知的憑證管理套件建議，但必須允許 IT 管理員從清單中針對適用使用者選擇安裝的應用程式。

4.11.1. IT 管理員可以指定任意 VPN 套件，將其設為永久連線的 VPN。

• EMM 控制台可視需要建議支援永久連線 VPN 的已知 VPN 套件，但無法將可用於永久連線設定的 VPN 限制在任意清單中。

4.11.2. IT 管理員可以使用受管理設定，指定應用程式的 VPN 設定。

4.12.1. IT 管理員可以設定任意長度的輸入法編輯器許可清單 (包括空白清單，可封鎖非系統輸入法編輯器)，其中可包含任意輸入法編輯器套件。

• EMM 控制台可視需要建議已知或建議的 IME，以便納入許可清單，但必須允許 IT 管理員為適用的使用者，從可安裝應用程式清單中選擇。

4.13.1. IT 管理員可以設定任意長度的輸入法編輯器許可清單 (不含空白清單，因為這會封鎖所有輸入法編輯器，包括系統輸入法編輯器)，其中可包含任意輸入法編輯器套件。

• EMM 的控制台可能會建議您建議要加入許可清單的已知或建議的 IME，但必須允許 IT 管理員從可安裝的應用程式清單中，針對適用使用者進行安裝。

4.13.2. EMM 必須防止 IT 管理員設定空白的許可清單，因為這項設定會阻止所有 IME (包括系統 IME) 在裝置上設定。

4.14.1. IT 管理員可以設定任意長度的無障礙服務許可清單 (包括空白清單，可封鎖非系統無障礙服務)，其中可包含任何無障礙服務套件。套用至工作資料夾時，這會影響個人資料夾和工作資料夾。

• 管理控制台可視需要建議可納入許可清單的已知或建議無障礙服務，但必須讓 IT 管理員為適用的使用者，從可安裝的應用程式清單中選擇。

4.16.1. IT 管理員可以將裝置位置資訊服務設定為下列任一模式：

• 。
• 僅限感應器，例如 GPS，但不包括網路提供的位置資訊。
• 省電模式，可限制更新頻率。
• 關閉。

4.17.1. IT 管理員可以透過「設定」禁止使用者將裝置恢復原廠設定。

4.17.2. IT 管理員可以在恢復原廠設定後，指定有權佈建裝置的公司解鎖帳戶。

• 這個帳戶可以連結至個人，也可以由整個企業使用來解鎖裝置。

4.17.3. IT 管理員可以為指定裝置停用恢復原廠設定保護機制。

4.17.4. IT 管理員可以啟動遠端裝置清除程序，並視需要清除重設保護資料，藉此移除重設裝置上的恢復原廠設定保護機制。

4.18.1. IT 管理員可以禁止解除安裝任何受管理的應用程式或所有受管理的應用程式。

4.21.1. IT 管理員可以在指定裝置和可設定的時間範圍中查詢工作資料夾的網路統計資料摘要，然後在 EMM 控制台中查看這些詳細資料。

4.21.2. IT 管理員可以查詢工作資料夾的網路使用統計資料中應用程式的摘要，針對特定裝置和可設定的時間範圍，查看這些詳細資料，並在 EMM 控制台中依 UID 查看這些詳細資料。

4.21.3. IT 管理員可以針對特定裝置和可設定的時間範圍查詢工作資料夾的網路使用歷來資料，然後在 EMM 控制台中查看依 UID 整理的詳細資料。

4.22.1. IT 管理員可以針對特定裝置和可設定的時間範圍，查詢整個裝置的網路統計資料摘要，並在 EMM 控制台中查看這些詳細資料。

4.22.2. IT 管理員可以針對特定裝置和可設定的時間範圍查詢應用程式網路使用統計資料的摘要，並在 EMM 控制台中查看由 UID 整理的詳細資料。

IT 管理員可以從遠端重新啟動受管理的裝置。

4.23.1. IT 管理員可以從遠端重新啟動受管理的裝置。

4.24.1. IT 管理員可以停用服務供應商傳送的行動廣播訊息 (例如 AMBER 警報)。

4.24.2. IT 管理員可以禁止使用者在「設定」中修改行動網路設定。

4.24.3. IT 管理員可以禁止使用者在「設定」中重設網路設定。

4.24.4. IT 管理員可以允許或禁止漫遊期間使用行動數據。

4.24.5. IT 管理員可以設定裝置能否撥打電話 (但不包括緊急電話)。

4.24.6. IT 管理員可以設定裝置是否可傳送及接收簡訊。

4.24.7. IT 管理員可以禁止使用者透過 Tethering 將裝置當成行動熱點使用。

4.24.8. IT 管理員可以設定 Wi-Fi 逾時時間，將其設為預設值、僅在插電時或永不。

4.25.1. IT 管理員可以將受管理的裝置設為靜音。

4.25.2. IT 管理員可以禁止使用者修改裝置音量設定。

4.25.3. IT 管理員可以禁止使用者開啟裝置麥克風。

4.26.1. IT 管理員可以強制執行系統自動時間，防止使用者設定裝置的日期和時間。

4.26.2. IT 管理員可關閉或開啟自動時間和自動時區，不發出任何通知。

4.27.1. IT 管理員可以停用裝置鍵盤鎖。

4.27.2. IT 管理員可以關閉裝置狀態列，封鎖通知和快速設定。

4.27.3. IT 管理員可以強制裝置螢幕保持開啟，即使裝置已插上充電器也一樣。

4.27.4. IT 管理員可以避免顯示下列系統 UI：

• 浮動式訊息
• 應用程式重疊。

IT 管理員可以將額外權限委派給個別套件。

4.28.1. IT 管理員可以管理下列範圍：

• 憑證安裝和管理
• 故意空白
• 網路記錄
• 安全性記錄 (不支援個人裝置上的工作資料夾)

自 Android 12 起，工作資料夾將不再能存取硬體專屬 ID。IT 管理員可以透過註冊專屬 ID，追蹤設有工作資料夾的裝置生命週期，這些 ID 會在恢復原廠設定後保留下來。

4.29.1. IT 管理員可以設定及取得註冊專屬 ID

5.1.1. IT 管理員可以指定下列企業專屬詳細資料，自訂佈建程序：企業顏色、企業標誌、企業服務條款和其他免責事項。

5.1.2. IT 管理員可以部署無法設定的 EMM 專屬自訂設定，包括以下詳細資料：EMM 顏色、EMM 標誌、EMM 服務條款和其他免責事項。

5.1.3 [primaryColor] 已淘汰，不適用於 Android 10 以上版本的企業資源。

• EMM 必須在系統佈建免責事項套件中納入佈建流程的佈建服務條款和其他免責事項，即便並未使用 EMM 專用的自訂項目也一樣。
• EMM 可能會將不可設定且無法設定的 EMM 專屬自訂項目，設為所有部署作業的預設值，但必須允許 IT 管理員自行設定。

5.2.1. IT 管理員可以設定機構顏色，做為工作挑戰的背景顏色。

5.2.2. IT 管理員可以設定工作資料夾的顯示名稱。

5.2.3. IT 管理員可以設定工作資料夾的使用者圖示。

5.2.4. IT 管理員可以防止使用者修改工作資料夾使用者圖示。

5.3.1. IT 管理員可以設定受管裝置的顯示名稱。

5.3.2. IT 管理員可以設定受管理裝置的使用者圖示。

5.3.3. IT 管理員可以禁止使用者修改裝置使用者圖示。

5.3.4. IT 管理員可以設定裝置桌布。

5.5.1. IT 管理員可以自訂簡短和長篇支援訊息。

5.5.2. IT 管理員可以部署不可設定的 EMM 專屬短和長支援訊息。

• EMM 可能會將其設為所有部署項目的預設 EMM 專屬支援訊息，無法設定，但必須允許 IT 管理員自行設定訊息。

5.6.1. IT 管理員可以為使用系統聯絡資料提供者的個人應用程式，停用跨設定檔聯絡人搜尋功能。

5.6.2. IT 管理員可以針對使用系統聯絡人供應商的個人撥號應用程式，停用跨設定檔來電顯示查詢功能。

5.6.3. IT 管理員可以停用藍牙聯絡人與藍牙裝置的共用功能，例如車輛或耳機的免持聽筒模式。

5.7.1. IT 管理員可以設定跨資料夾意圖篩選器，讓個人應用程式能夠解析工作資料夾中的意圖，例如分享意圖或網頁連結。

• 控制台可選擇為設定建議已知或建議的意圖篩選器，但無法將意圖篩選器限制為任何清單。

5.7.2. IT 管理員可以允許受管理的應用程式在主畫面上顯示小工具。

• EMM 控制台必須讓 IT 管理員從應用程式清單中選擇可供適用使用者安裝的應用程式。

5.7.3. IT 管理員可以禁止在工作資料夾和個人資料夾之間複製/貼上資料。

5.7.4. IT 管理員可以禁止使用者透過 NFC 傳輸功能分享工作資料夾中的資料。

5.7.5. IT 管理員可以允許個人應用程式從工作資料夾開啟網頁連結。

5.8.1. 透過 EMM 控制台，IT 管理員可以設定下列 OTA 設定：

• 自動：裝置會在無線更新 (OTA) 推出時安裝。
• 延後：IT 管理員必須能將 OTA 更新時間延後最多 30 天。這項政策不會影響安全性更新 (例如每月安全性修補程式)。
• 有時間限制：IT 管理員必須能夠在每日維護期間內安排 OTA 更新。

5.10.1. IT 管理員可以針對任何意圖篩選器，將任何套件設為預設意圖處理常式。

• EMM 控制台可視需要建議已知或建議的意圖設定，但無法將意圖限制為任何任意清單。
• EMM 控制台必須允許 IT 管理員從應用程式清單中選擇可供適用使用者安裝的應用程式。

• 信任的代理程式
• 指紋解鎖
• 未遮蓋的通知

5.11.2. EMM 的 DPC 可在工作資料夾中關閉下列 Keyguard 功能：

• 信任的代理程式
• 指紋解鎖

• 安全相機
• 所有通知
• 未經修飾的通知
• 信任的代理程式
• 指紋解鎖
• 所有鎖定畫面功能

5.14.1. EMM 可以靜默擷取裝置的 MAC 位址，並在 EMM 主控台中將該位址與裝置建立關聯。

5.15.1. 使用 EMM 的 DPC，讓單一應用程式在裝置上靜默鎖定。

5.15.2. 使用EMM 的 DPC 開啟或關閉下列系統 UI 功能：

• [首頁] 按鈕
• 總覽
• 全域動作
• 通知
• 系統資訊 / 狀態列
• 鍵盤鎖 (螢幕鎖定畫面)

5.15.3. 使用 EMM 的 DPC 關閉系統錯誤對話方塊。

5.17.1. IT 管理員可以提供要顯示的自訂文字，以便在清除工作資料夾時顯示。