Android Enterprise 功能列表

1.2.1.EMM 会向 IT 管理员提供二维码或激活码，以便其提供支持 此配置方法（请参阅注册和配置设备）。

1.3.1.EMM 必须使用具有至少 888 字节内存的 NFC Forum 类型 2 标记。 配置必须使用配置 extra 将非敏感的注册详细信息（例如服务器 ID 和注册 ID）传递给设备。注册详细信息 不得包含敏感信息，例如密码或证书。

1.3.2. 我们建议在 Android 10 及更高版本中使用 NFC 标签，因为 弃用了 NFC Beam（也称为 NFC 触碰）。

1.5.1.IT 管理员可以使用零触摸功能来配置公司自有设备 适用于 IT 管理员的零触摸注册中所述注册方法。

1.6.1. IT 管理员可以使用零触摸功能配置 注册方法。

1.6.2.此要求已废弃。

1.6.3.使用登录网址 ，EMM 必须确保未经授权的用户无法继续激活。 至少必须仅允许特定企业的用户激活。

1.6.4.使用登录网址，EMM 必须让 IT 管理员能够预先填充注册详细信息（例如服务器 ID、注册 ID）以及唯一用户或设备信息（例如用户名/密码、激活令牌），以便用户在激活设备时无需输入详细信息。

• EMM 不得包含敏感信息，例如密码或 （在零触摸注册配置中）。

1.10.1. 故意留空。

1.10.2.IT 管理员可以为公司自有的工作资料设置合规操作 通过 PersonalUsagePolicies 保护设备。

1.10.3. IT 管理员可以在工作资料或 通过 PersonalUsagePolicies 访问整个设备。

1.10.4.IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用屏幕截图功能。

1.10.5。IT 管理员可以设置应用许可名单或屏蔽名单， 无法通过 PersonalApplicationPolicy 安装到个人资料中。

2.1.1. 政策必须强制执行用于管理设备安全问题的设置（针对工作资料的 parentProfilePasswordRequirements，针对完全受管设备和专用设备的 passwordRequirements）。

2.1.2. 密码复杂度应与以下密码相对应 复杂性：

1. PASSWORD_COMPLEXITY_LOW - 具有重复性 (4444) 的图案或 PIN 码 有序的 (1234, 4321, 2468) 序列。
2. PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码，长度至少为 4 的字母或字母数字密码
3. PASSWORD_COMPLEXITY_HIGH - 没有重复 (4444) 或有序的 PIN 码 (1234, 4321, 2468) 序列，并且长度至少为 8 个或按字母顺序排列 长度至少为 6 个字母数字的密码

2.1.3. 还可在旧版设置中强制执行其他密码限制 。

2.2.1. 政策 必须为工作资料强制执行安全验证。

1. 默认情况下，IT 管理员应仅为工作资料设置限制 如果未指定任何范围
2. IT 管理员可以指定范围（请参阅 要求 2.1）

2.2.2.密码复杂度应与以下预定义密码相对应 复杂性：

1. PASSWORD_COMPLEXITY_LOW - 具有重复性 (4444) 的图案或 PIN 码 有序的 (1234, 4321, 2468) 序列。
2. PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码，长度至少为 4 的字母或字母数字密码
3. PASSWORD_COMPLEXITY_HIGH - 没有重复 (4444) 或有序的 PIN 码 (1234, 4321, 2468) 序列，并且长度至少为 8 个或按字母顺序排列 长度至少为 6 个字母数字的密码

2.3.1. 故意留空。

2.3.2. 故意留空。

2.3.3. 您可为设备上可用的每个锁定屏幕设定以下密码生命周期设置 设备：

1. 故意留空
2. 故意留空
3. 擦除密码失败次数上限：指定用户登录的次数 在系统从 设备。IT 管理员必须能够关闭此功能。

2.3.4. (Android 8.0+) 增强型身份验证需要超时：强 身份验证密码（例如 PIN 码或密码） IT 管理员设置的超时期限。超时期限过后，非加强型身份验证方法（例如指纹、人脸解锁）会被关闭，直到用户使用加强型身份验证密码解锁设备。

2.5.1. 必须使用 Android Management API 锁定设备 ，了解所有最新动态。

2.7.1.必须禁止安装来自未知来源的应用，包括应用 安装在具有工作资料的 Android 8.0 及更高版本的任何设备上的个人端。 此子功能默认受支持。

IT 管理员可以开启验证应用 。“验证应用”功能会扫描 Android 设备上安装的应用，以检测是否存在有害内容 软件的安装前后，这有助于确保 应用不得危害公司数据。

2.12.1.IT 管理员可以使用 policy（转到 mountPhysicalMediaDisabled）。

2.12.2.IT 管理员可以禁止用户使用 NFC 分享设备中的数据 使用 policy 进行传输 （前往 outgoingBeamDisabled）。由于 NFC 传输功能，此子功能是可选的 函数在 Android 10 及更高版本中已不再受支持。

3.1.1. 拥有现有受管 Google 网域的管理员可以将其网域绑定到 EMM。

3.1.2. 故意留空。

3.1.3. 故意留空。

3.1.4. EMM 控制台会引导管理员在 Android 注册流程，并不鼓励用户使用 Gmail 账号。

3.1.5.EMM 会在 Android 注册流程中预先填充管理员的电子邮件地址。

3.2.1. 在配置设备时，系统会自动创建受管 Google Play 账号（用户账号）。

Android Management API 默认支持此功能。无需额外付费 实施。

3.3.1. 在设备上执行下列操作时，系统会自动创建 Google Play 企业版账号 配置。

Android Management API 默认支持此功能。无需额外付费 实施。

3.5.1. EMM 的控制台必须使用 Android Management API，才能允许 IT 管理员在受管理的设备上安装工作应用。

3.5.2. EMM 的控制台必须使用 Android Management API 以允许 IT 管理员更新受管设备上的工作应用。

IT 管理员可以查看和静默设置受管配置 支持托管配置。

3.6.1.EMM 控制台必须能够检索 并显示任何 Play 应用的受管配置设置。

3.6.2.EMM 控制台必须允许 IT 管理员将任何配置类型（如 （由 Android Enterprise 框架定义）适用于使用 Android 管理服务的任何 Play 应用 API ，了解所有最新动态。

3.9.1. EMM 的控制台应允许 IT 管理员管理最终用户基本商店布局中显示的应用。

3.12.1. IT 管理员可以使用以下工具上传已面向企业私下发布的应用的新版本：

3.13.1.EMM 的控制台必须通过提供以下两种方法来帮助 IT 管理员托管应用 APK： 以下选项之一：

• 在 EMM 的服务器上托管 APK。服务器可以是本地服务器，也可以是云端服务器。
• 在 EMM 服务器之外托管 APK（由企业自行决定）。IT 管理员必须在 EMM 控制台中指定 APK 已托管。

3.13.2.EMM 控制台必须生成适当的 APK 定义 文件（使用提供的 APK） 并且必须指导 IT 管理员完成发布流程。

3.13.3.IT 管理员可以更新自行托管的专用应用以及 EMM 的控制台 可以使用 Google Play Developer Publishing API ，了解所有最新动态。

3.13.4.EMM 的服务器为自托管 APK 处理下载请求 请求 Cookie 中包含有效 JWT，如经 私有应用的公钥。

• 为了简化这一过程，EMM 的服务器必须引导 IT 管理员 从 Play Google Play 下载自托管应用的许可公钥。 Play 管理中心，然后将此密钥上传到 EMM 控制台。

3.15.1.EMM 必须遵守 Android Management API 用量限额如果不纠正违反这些指南的行为， 将由 Google 自行决定暂停 API 使用。

3.15.2.EMM 应将来自不同企业的流量分配到整个 而不是整合特定或类似位置的企业流量 次。符合此流量模式的行为，例如计划批次 都可能导致 API 暂停使用： 由 Google 自行决定。

3.15.3.EMM 不应出现一致、不完整或故意不正确的情况 不尝试检索或管理实际企业数据的请求。 符合此流量模式的行为可能会导致 API 暂停使用，具体位置为： 由 Google 自行决定。

3.16.1. EMM 的控制台必须能够检索和显示最多四个 嵌套的任何 Play 应用的托管配置设置，使用：

• Google Play 企业版 iframe 或
• 提供自定义界面

3.16.2. EMM 的控制台必须能够检索和显示任何反馈 由应用的反馈渠道返回 （由 IT 管理员设置）。

• EMM 控制台必须允许 IT 管理员关联特定反馈内容 与来源设备和应用之间的关联
• EMM 的控制台必须允许 IT 管理员订阅以下内容的提醒或报告： 特定消息类型（例如错误消息）。

3.16.3.EMM 控制台只能发送具有默认值或由管理员手动设置的值 使用：

• 受管配置 iframe，或
• 自定义界面。

3.17.1.借助 EMM 控制台，IT 管理员可以将快捷方式分发到 Web 应用 使用：

• Google Play 企业版 iframe
• 或 Android Management API ，了解所有最新动态。

默认情况下支持此功能。无需额外的 EMM 实施 。

3.20.1.IT 管理员可以允许应用使用高优先级应用更新，以便在有可用更新时进行更新。 3.20.2.IT 管理员可以允许应用将应用更新推迟 90 天。

4.1.1. IT 管理员在设置时必须能够选择以下选项 组织的默认运行时权限政策：

• 提示（允许用户选择）
• allow
• deny

4.3.1.SSID（使用 policy）。

IT 管理员可以配置企业 Wi-Fi 配置 在搭载下列高级安全功能的设备上 功能：

4.4.1. 身份

4.4.2. 用于客户端授权的证书

4.4.3. CA 证书

4.5.1. IT 管理员可以在以下任一配置中使用政策锁定企业 Wi-Fi 配置：

• 用户无法修改 EMM 预配的任何 Wi-Fi 配置（请参阅 wifiConfigsLockdownEnabled），但 可添加和修改自己的用户可配置网络（例如， 个人网络）。
• 用户无法在设备上添加或修改任何 Wi-Fi 网络 （转到wifiConfigDisabled），只允许连接到 Wi-Fi 网络 通过 EMM 预配的网络。

4.6.1. IT 管理员可以阻止用户添加或修改 账号 （请参阅 modifyAccountsDisabled）。

• 在设备上强制执行此政策时，EMM 必须设置此限制 以确保用户无法规避此配置 在政策施行之前添加账号来实施这些政策。

4.8.1.IT 管理员可以安装用户身份证书 由其公钥基础设施 (PKI) 针对每个用户生成的。EMM 的控制台必须与至少一个 PKI 集成，并分发通过该基础架构生成的证书。

4.9.1. 对于分发到设备的任何应用，IT 管理员可以指定证书 应用将在运行时以静默方式授予访问权限。（ 子功能不受支持）

• 证书选择必须足够通用，以便允许单个 配置适用于所有用户，每个用户都有自己的 用户身份证书

4.9.2.IT 管理员可以从受管理的密钥库中静默移除证书。

4.9.3.IT 管理员可以静默卸载 CA 证书。（不支持此子功能）

4.9.4.IT 管理员可以阻止用户配置凭据 （前往 credentialsConfigDisabled）。

4.10.1.IT 管理员可以指定要设置为委托证书管理应用的证书管理软件包（请参阅 delegatedCertInstallerPackage）。

• EMM 可能会酌情推荐已知的证书管理软件包 但必须允许 IT 管理员从可用于 安装。

4.11.1.IT 管理员可以指定任意 VPN 软件包 设置为始终开启的 VPN

• EMM 控制台可能会酌情推荐支持 始终开启的 VPN，但无法限制可使用“始终开启”配置的 VPN 添加到任意列表。

4.12.1.IT 管理员可以设置 IME 许可名单 （前往 permitted_input_methods）任意长度（包括一个空列表、 （屏蔽非系统 IME），而可能包含任何任意 IME 软件包。

• EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.13.1.IT 管理员可以设置 IME 许可名单 （转到permitted_input_methods）任意长度（不包括空列表、 （屏蔽包括系统 IME 在内的所有 IME），其中可能包含任何 IME 软件包。

• EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.13.2.EMM 必须阻止 IT 管理员设置空白许可名单，因为此设置会阻止在设备上设置所有 IME（包括系统 IME）。

4.14.1.IT 管理员可以设置无障碍服务许可名单 （前往 permittedAccessibilityServices），任意长度的 列表（该列表会阻止非系统无障碍服务），这可能包含 任意无障碍服务软件包。应用于工作资料时， 同时影响个人资料和工作资料。

• 控制台可能会选择性地建议已知或推荐的无障碍服务 添加到许可名单，但必须允许 IT 管理员选择 可供适用用户安装的应用的列表。

4.15.1.IT 管理员可以在工作资料中停用位置信息服务（前往 shareLocationDisabled）。

4.16.1.IT 管理员可以设置设备位置信息服务 以下各种模式：

• 高精确度。
• 仅传感器，如 GPS，但不包括网络提供的传感器 位置。
• 省电模式，会限制更新频率。
• 关闭。

4.17.1.IT 管理员可以禁止用户恢复出厂设置 （前往factoryResetDisabled）其设备。

4.17.2.IT 管理员可以在设备恢复出厂设置后指定获授权用于预配设备的企业解锁账号（请参阅 frpAdminEmails）。

• 此账号可以与个人相关联，也可以供整个企业用于解锁设备。

4.17.3. IT 管理员可以停用恢复出厂设置保护 （转到 factoryResetDisabled）。

IT 管理员可以禁止用户卸载或修改受管理的应用 应用。例如，阻止强制关闭应用或 清除应用的数据缓存

4.18.1.IT 管理员可以禁止卸载任意受管理的应用，也可以全部 受管理的应用（请转到 uninstallAppsDisabled）。

4.18.2.IT 管理员可以禁止用户修改应用数据 设置。（Android Management API 不支持此子功能）

4.19.1.IT 管理员可以禁止用户截取屏幕截图（请参阅 screenCaptureDisabled）。

IT 管理员可以远程重启受管设备。

4.23.1.IT 管理员可以远程重新启动 受管设备。

4.24.1.IT 管理员可以关闭服务发送的小区广播 提供商（转到 cellBroadcastsConfigDisabled）。

4.24.2.IT 管理员可以禁止用户在以下位置修改移动网络设置： 设置（前往 mobileNetworksConfigDisabled）。

4.24.3.IT 管理员可以禁止用户在以下位置重置所有网络设置： 设置。（请参阅 networkResetDisabled）。

4.24.4.IT 管理员可以设置设备是否允许使用移动流量 漫游时（转到 dataRoamingDisabled）。

4.24.5.IT 管理员可以设置该设备是否可以外拨电话 呼叫，不包括紧急呼叫（转到outGoingCallsDisabled）。

4.24.6.IT 管理员可以设置设备是否可以发送和接收短信 消息（转到 smsDisabled）。

4.24.7.IT 管理员可以通过网络共享（前往 tetheringConfigDisabled）阻止用户将其设备用作便携式热点。

4.24.8.IT 管理员可以将 Wi-Fi 超时设置为默认值（在接通电源时）。 从不。（Android Management API 不支持此子功能）

4.24.9.IT 管理员可以禁止用户设置或修改现有蓝牙连接（请参阅 bluetoothConfigDisabled）。

IT 管理员可以静默控制设备音频功能，包括将设备静音、禁止用户修改音量设置，以及禁止用户取消静音设备麦克风。

4.25.1.IT 管理员可以将受管理的设备静默设为静音。 （Android Management API 不支持此子功能）

4.25.2.IT 管理员可以禁止用户修改设备音量 设置（前往 adjustVolumeDisabled）。此操作还会将设备静音。

对于专用设备，IT 管理员可以使用 政策来支持 各种自助服务终端应用场景

4.27.1.IT 管理员可以关闭设备键盘锁（前往 keyguardDisabled）。

4.27.2.IT 管理员可以关闭设备状态栏、屏蔽通知和 快捷设置（前往 statusBarDisabled）。

4.27.3. IT 管理员可以强制设备屏幕保持开启状态 已插入电源（前往 stayOnPluggedModes）。

4.27.4.IT 管理员可以屏蔽以下系统界面 显示（转到 createWindowsDisabled）：

• 消息框
• 应用叠加层。

4.27.5.IT 管理员可以允许系统推荐应用跳过 用户教程和其他入门提示（请访问 skip_first_use_hints）。

IT 管理员能够将额外的权限授予各个软件包。

4.28.1.IT 管理员可以管理以下范围：

• 证书安装和管理
• 故意留空
• 网络日志记录
• 安全日志记录（不适用于员工自带设备工作资料）

从 Android 12 开始，工作资料将无法再访问 硬件专用标识符IT 管理员可以跟踪设备的生命周期 通过注册专用 ID 创建工作资料，该 ID 会保留 恢复出厂设置。

4.29.1.IT 管理员可以获取注册专用 ID

4.29.2. 此注册专用 ID 必须在恢复出厂设置后保持不变

5.1.1. IT 管理员可以通过指定企业专用服务条款和其他免责声明来自定义配置流程（请参阅 termsAndConditions）。

5.1.2. IT 管理员可以部署 特定于 EMM 的不可配置的服务条款和其他免责声明 （前往 termsAndConditions）。

• EMM 可将特定于 EMM 的不可配置自定义设置设为 默认用于部署，但必须允许 IT 管理员自行设置 自定义。

5.1.3. 已针对 Android 上的企业资源弃用 primaryColor 10 及更高版本。

5.5.1. IT 管理员可以自定义面向用户的短期和长期支持服务 消息。

5.5.2. IT 管理员可以部署不可配置且特定于 EMM 的部署，无论其采用长短均可 支持消息（请参阅 shortSupportMessage 和 longSupportMessage， policies）。

• EMM 可以将其不可配置的 EMM 专用支持消息设置为部署的默认消息，但必须允许 IT 管理员设置自己的消息。

5.7.1.IT 管理员可以配置跨资料数据共享政策 以便个人应用可以解析工作资料中的 intent，例如分享 意图或网页链接。

5.7.2.IT 管理员可以允许工作资料中的应用创建和 在个人资料的主屏幕上显示微件。此功能 默认处于停用状态，但您可以使用 workProfileWidgets 和 workProfileWidgetsDefault 字段将其设为“允许”。

5.8.1.EMM 的控制台允许 IT 管理员设置以下 OTA 配置：

• 自动：设备会在 OTA 更新可用时安装更新。
• 推迟：IT 管理员必须能够将 OTA 更新推迟最多 30 天。此政策不影响安全更新（例如每月安全更新） 补丁）。
• 窗口化：IT 管理员必须能够在每天的 维护窗口。

5.9.1.IT 管理员可以通过 EMM 的控制台静默地允许任意一组 要安装并锁定到设备上的应用。政策允许设置专用设备。

5.10.1.IT 管理员可以将任何软件包设为默认的 intent 处理程序 任意 intent 过滤器。

• EMM 控制台可能会针对 配置，但不能将 intent 限制为任意列表。
• EMM 控制台必须允许 IT 管理员从应用列表中进行选择 可供适用用户安装的应用。

5.11.1.Policy 可以关闭设备的以下键盘锁功能：

• 可信代理
• 指纹解锁
• 未隐去信息的通知

5.11.2. 您可以使用政策关闭工作资料的以下屏幕保护功能：

• 可信代理
• 指纹解锁

• 安全摄像头
• 所有通知
• 未隐去
• 可信代理
• 指纹解锁
• 所有屏保功能

Android Management API 不支持此功能。

5.15.1.允许安装单个应用并将其锁定到设备，但不发出提示音 ，了解所有最新动态。

5.15.2.开启或关闭以下系统界面功能：

• 主屏幕按钮
• 概览
• 全局操作
• 通知
• 系统信息 / 状态栏
• 键盘锁（锁屏状态）。在下列情况下，系统会默认启用该子功能： 5.15.1.已实现。

5.15.3. 关闭系统错误对话框。

5.17.1.IT 管理员可以提供要显示的自定义文本 （前往wipeReasonMessage）。

IT 管理员可以设置一个软件包列表 工作资料边界（通过设置 ConnectedWorkAndPersonalApp 来实现）。