本页列出了 Android Enterprise 的全部功能。
如果您计划管理的设备超过 500 台,那么您的 EMM 解决方案必须支持至少一个解决方案集的所有标准功能 (),然后才能投入市场使用。通过标准功能验证的 EMM 解决方案会在 Android 的企业解决方案目录中列出,并标注为提供标准管理集。
每套解决方案都提供一组额外的高级功能。每个解决方案集页面中都会注明这些功能:个人设备上的工作资料、公司自有设备上的工作资料、完全托管设备和专用设备。通过高级功能验证的 EMM 解决方案会在 Android 的企业解决方案目录中列出,并注明其提供高级管理集。
键
| 标准功能 | 项高级功能 | 可选功能 | 不适用 |
1. 设备配置
1.1. DPC 优先工作资料配置
从 Google Play 下载 Android Device Policy 后,用户可以预配工作资料。
1.1.1. EMM 会向 IT 管理员提供二维码或激活码,以支持此配置方法(请参阅 注册和配置设备)。
1.2. DPC 标识符设备配置
在设备的设置向导中输入“afw#”即可配置全托管式设备或专用设备。
1.2.1. EMM 会向 IT 管理员提供二维码或激活码,以支持此配置方法(请参阅注册和配置设备)。
1.3. NFC 设备配置
IT 管理员可以根据 Play EMM API 开发者文档中定义的实现准则,使用 NFC 标签配置新设备或已恢复出厂设置的设备。
1.3.1. EMM 必须使用内存至少为 888 字节的 NFC Forum 类型 2 标签。配置必须使用配置 extra 将非敏感的注册详细信息(例如服务器 ID 和注册 ID)传递给设备。注册详情不应包含密码或证书等敏感信息。
1.3.2. 由于 NFC Beam(也称为 NFC 感应)已废弃,因此我们建议在 Android 10 及更高版本中使用 NFC 标签。
1.4. 二维码设备配置
EMM 的控制台可以生成二维码,IT 管理员可以扫描该二维码来配置全代管式设备或专用设备,具体取决于 Android Management API 开发者文档中定义的实现准则。
1.4.1. 二维码必须使用配置 extra 将非敏感的注册详细信息(例如服务器 ID、注册 ID)传递给设备。注册详细信息不得包含敏感信息(例如密码或证书)。
1.5. 零触摸注册
IT 管理员可以预配置从授权转销商购买的设备,并使用您的 EMM 控制台管理这些设备。
1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法配置公司自有设备。
1.5.2. 设备首次开机时,系统会自动强制设备采用 IT 管理员定义的设置。
1.6. 高级零触摸配置
IT 管理员可以通过零触摸注册自动执行大部分设备注册流程。通过结合使用登录网址,IT 管理员可以根据 EMM 提供的配置选项,将注册范围限制为特定账号或网域。
1.6.1. IT 管理员可以使用零触摸注册方法配置公司自有设备。
1.6.2. 此要求已废弃。
1.6.3. 使用登录网址时,EMM 必须确保未经授权的用户无法继续进行激活。至少,激活必须仅限于给定企业的用户。
1.6.4. 使用登录网址,EMM 必须让 IT 管理员能够预先填充注册详细信息(例如服务器 ID、注册 ID)以及唯一用户或设备信息(例如用户名/密码、激活令牌),以便用户在激活设备时无需输入详细信息。
- EMM 不得在零触摸注册的配置中包含密码或证书等敏感信息。
1.7. Google 账号工作资料配置
对于使用受管 Google 网域的企业,此功能可在用户在设备设置期间或已激活的设备上输入其企业 Workspace 凭据后,引导用户设置工作资料。在上述两种情况下,企业 Workspace 身份都将迁移到工作资料。
1.8. Google 账号设备配置
Android Management API 不支持此功能。
1.9. 直接零触摸配置
IT 管理员可以使用 EMM 的控制台通过零触摸 iframe 设置零触摸设备。
1.10. 公司自有设备上的工作资料
EMM 可以通过设置 AllowPersonalUsage 来注册具有工作资料的公司自有设备。
1.10.1. 故意留空。
1.10.2. IT 管理员可以通过 PersonalUsagePolicies 为公司自有设备上的工作资料设置合规性操作。
1.10.3. IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用摄像头。
1.10.4. IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用屏幕截图功能。
1.10.5. IT 管理员可以通过 PersonalApplicationPolicy 设置可以或无法安装在个人资料中的应用的许可名单或屏蔽名单。
1.10.6. IT 管理员可以通过移除工作资料或擦除整个设备来放弃对公司自有设备的管理。
1.11. 专用设备配置
EMM 可以注册专用设备,而无需提示用户使用 Google 账号进行身份验证。
2. 设备安全
2.1. 设备安全性验证
IT 管理员可以在受管理的设备上从 3 个预定义复杂度级别中选择,设置和强制执行设备安全质询(PIN 码/图案/密码)。
2.1.1. 政策必须强制执行用于管理设备安全问题的设置(针对工作资料的 parentProfilePasswordRequirements,针对完全受管设备和专用设备的 passwordRequirements)。
2.1.2. 密码复杂度应与以下密码复杂度对应:
- PASSWORD_COMPLEXITY_LOW - 包含重复 (4444) 或有序 (1234、4321、2468) 序列的图案或 PIN 码。
- PASSWORD_COMPLEXITY_MEDIUM - 不包含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码,长度至少为 4 的字母或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 不包含重复 (4444) 或有序 (1234、4321、2468) 序列且长度至少为 8 的 PIN 码,或长度至少为 6 的字母或字母数字密码
2.1.3. 在公司自有设备上,还可以通过旧版设置强制执行其他密码限制。
2.2. 工作安全性挑战
IT 管理员可以为工作资料中的应用和数据设置并强制执行安全性质询,该质询与设备安全性质询是相互独立的,并且具有不同的要求 (2.1)。
2.2.1. 政策必须对工作资料强制执行安全验证。
- 默认情况下,如果未指定范围,IT 管理员应仅为工作资料设置限制
- IT 管理员可以通过指定范围来设置设备端设置(请参阅要求 2.1)
2.2.2. 密码复杂度应与以下预定义的密码复杂度相对应:
- PASSWORD_COMPLEXITY_LOW - 包含重复 (4444) 或有序 (1234、4321、2468) 序列的图案或 PIN 码。
- PASSWORD_COMPLEXITY_MEDIUM - 不包含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码,长度至少为 4 的字母或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或按顺序排列(1234、4321、2468)序列的 PIN 码,并且长度至少为 8 个或字母数字或字母数字形式的密码,长度至少为 6 个
2.2.3. 您还可以将其他密码限制作为旧版设置强制执行
2.3. 高级密码管理
IT 管理员可以在设备上设置高级密码设置。
2.3.1. 故意留空。
2.3.2. 故意留空。
2.3.3. 您可以为设备上可用的每个锁屏设置以下密码生命周期设置:
- 故意留空
- 故意留空
- 擦除密码失败次数上限:指定在系统从设备中擦除公司数据之前,用户可以输入错误密码的次数。IT 管理员必须能够关闭此功能。
2.3.4. (Android 8.0 及更高版本)强制要求在超时后进行强制身份验证:必须在IT 管理员设置的超时期限过后输入强制身份验证密码(例如 PIN 码或密码)。超时期限结束后,系统会关闭非加强型身份验证方法(例如指纹、人脸解锁),直到用户使用加强型身份验证密码解锁设备。
2.4. 智能锁管理
IT 管理员可以管理 Android Smart Lock 功能中的可信代理是否可以将设备解锁状态延长最多 4 小时。
2.4.1. IT 管理员可以停用设备上的信任代理。
2.5. 清除并锁定
IT 管理员可以使用 EMM 的控制台远程锁定和擦除受管设备上的工作数据。
2.5.1. 必须使用 Android Management API 锁定设备。
2.5.2. 必须使用 Android Management API 清空设备。
2.6. 强制执行合规性
如果设备不符合安全政策,Android Management API 实施的合规性规则会自动限制使用工作数据。
2.6.1. 在设备上强制执行的安全政策必须至少包含密码政策。
2.7. 默认安全政策
默认情况下,EMM 必须在设备上强制执行指定的安全政策,而无需 IT 管理员在 EMM 控制台中设置或自定义任何设置。建议 EMM 不允许 IT 管理员更改这些安全功能的默认状态(但不是强制性要求)。
2.7.1. 必须禁止安装来自未知来源的应用,包括在具有工作资料的任何 Android 8.0 及更高版本设备的个人资料中安装的应用。 此子功能默认受支持。
2.7.2. 必须屏蔽调试功能。此子功能默认受支持。
2.8. 专用设备的安全政策
对于已锁定的专用设备,不允许执行任何其他操作。
2.8.1. 默认情况下,必须使用政策关闭启动进入安全模式(请参阅 safeBootDisabled)。
2.9. Play Integrity 支持
Play Integrity 检查默认处于启用状态。无需额外的实现。
2.9.1. 故意留空。
2.9.2. 故意留空。
2.9.3. IT 管理员可以根据设备的 SecurityRisk 值设置不同的政策响应,包括阻止配置、擦除公司数据以及允许继续注册。
- EMM 服务将针对每次完整性检查的结果强制执行此政策响应。
2.9.4. 故意留空。
2.10. 强制要求验证应用
IT 管理员可以在设备上开启验证应用。在应用安装前后,验证应用会扫描 Android 设备上安装的应用,以检测是否存在有害软件,有助于确保恶意应用无法泄露公司数据。
2.10.1. 默认情况下,必须使用政策启用“验证应用”(请参阅 ensureVerifyAppsEnabled)。
2.11. “直接启动”支持
Android Management API 默认支持此功能。无需额外的实现。
2.12. 硬件安全管理
IT 管理员可以锁定公司自有设备的硬件元素,以确保防范数据泄露。
2.12.1. IT 管理员可以使用政策(请参阅 mountPhysicalMediaDisabled)阻止用户挂载实体外部媒体。
2.12.2. IT 管理员可以使用政策(请参阅 outgoingBeamDisabled)阻止用户使用 NFC 近场通讯功能分享设备中的数据。由于 Android 10 及更高版本不再支持 NFC 近场通讯功能,因此此子功能为可选功能。
2.12.3. IT 管理员可以利用政策禁止用户通过 USB 传输文件(前往 usbFileTransferDisabled)。
2.13. 企业安全日志记录
Android Management API 不支持此功能。
3. 账号和应用管理
3.1. 企业绑定
IT 管理员可以将 EMM 绑定到其组织,以便 EMM 使用 Google Play 企业版将应用分发到设备。
3.1.1. 拥有现有受管 Google 网域的管理员可以将其网域绑定到 EMM。
3.1.2. 故意留空。
3.1.3. 故意留空。
3.1.4. EMM 控制台可引导管理员在 Android 注册流程中输入其工作电子邮件地址,并建议他们不要使用 Gmail 账号。
3.1.5. EMM 会在 Android 注册流程中预先填充管理员的电子邮件地址。
3.2. Google Play 企业版账号配置
EMM 可以静默预配企业用户账号(称为“受管理的 Google Play 账号”)。这些账号用于标识受管理的用户,并允许为每位用户设置专属的应用分发规则。
3.2.1. Google Play 企业版账号(用户账号)是在设备配置后自动创建的。
Android Management API 默认支持此功能。无需额外的实现。
3.3. Google Play 企业版设备账号配置
EMM 可以创建和配置受管 Google Play 设备账号。设备账号支持从受管理的 Google Play 商店静默安装应用,并且不绑定到单个用户。而是使用设备账号来识别单个设备,以便在专用设备场景中支持按设备设置应用分发规则。
3.3.1. 在预配设备时,系统会自动创建 Google Play 企业版账号。
Android Management API 默认支持此功能。无需额外的实现。
3.4. 为旧版设备配置 Google Play 企业版账号
此功能已弃用。
3.5. 静默分发应用
IT 管理员可以在无需用户互动的情况下,在设备上静默分发工作应用。
3.5.1. EMM 的控制台必须使用 Android Management API,才能允许 IT 管理员在受管理的设备上安装工作应用。
3.5.2. EMM 的控制台必须使用 Android Management API,才能允许 IT 管理员更新受管设备上的工作应用。
3.5.3. EMM 的控制台必须使用 Android Management API,才能允许 IT 管理员在受管设备上卸载应用。
3.6. 受管配置管理
IT 管理员可以查看任何支持托管配置的应用的托管配置,并为其静默设置托管配置。
3.6.1. EMM 的控制台必须能够检索并显示任何 Play 应用的受管理配置设置。
3.6.2. EMM 的控制台必须允许 IT 管理员使用 Android Management API 为任何 Play 应用设置任何配置类型(由 Android Enterprise 框架定义)。
3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符(例如 $username$ 或 %emailAddress%),以便将针对 Gmail 等应用的单个配置应用于多位用户。
3.7. 应用目录管理
Android Management API 默认支持此功能。无需额外实现。
3.8. 程序化应用审批
EMM 的控制台使用 Google Play 企业版 iframe 来支持 Google Play 的应用发现和审批功能。IT 管理员无需离开 EMM 控制台,即可搜索应用、批准应用以及批准新的应用权限。
3.8.1. IT 管理员可以使用 Google Play 企业版 iframe 在 EMM 控制台中搜索和批准应用。
3.9. 基本商店布局管理
您可以使用 Google Play 企业版商店应用安装和更新工作应用。 默认情况下,Google Play 企业版商店会在一个列表中显示为用户批准的应用。此布局称为基本商店布局。
3.9.1. EMM 的控制台应允许 IT 管理员管理最终用户基本商店布局中显示的应用。
3.10. 高级商店布局配置
3.10.1. IT 管理员可以自定义 Google Play 企业版商店应用中显示的商店布局。
3.11. 应用许可管理
此功能已弃用。
3.12. Google 托管的专用应用管理
IT 管理员可以通过 EMM 控制台(而不是 Google Play 管理中心)更新 Google 托管的专用应用。
3.12.1. IT 管理员可以通过以下方式将已非公开发布到企业的新版应用上传:
3.13. 自托管专用应用管理
IT 管理员可以设置和发布自主托管的专用应用。与 Google 托管的专用应用不同,Google Play 不托管 APK,相反,EMM 可帮助 IT 管理员自行托管 APK,并通过确保只有在经由受管理的 Google Play 授权后才能安装自托管应用,从而帮助保护自托管应用。
3.13.1. EMM 的控制台必须提供以下两个选项,以帮助 IT 管理员托管应用 APK:
- 在 EMM 的服务器上托管 APK。服务器可以是本地服务器,也可以是云端服务器。
- 在 EMM 服务器之外托管 APK(由企业自行决定)。IT 管理员必须在 EMM 控制台中指定 APK 的托管位置。
3.13.2. EMM 的控制台必须使用提供的 APK 生成适当的 APK 定义文件,并且必须引导 IT 管理员完成发布流程。
3.13.3. IT 管理员可以更新自托管的专用应用,并且 EMM 的控制台可以使用 Google Play Developer Publishing API 静默发布更新后的 APK 定义文件。
3.13.4. EMM 的服务器为自托管 APK 提供下载请求,该 APK 在请求的 Cookie 中包含通过专用应用的公钥验证的有效 JWT。
- 为简化此流程,EMM 的服务器必须引导 IT 管理员从 Google Play 管理中心下载自托管应用的许可公钥,并将此密钥上传到 EMM 控制台。
3.14. EMM 拉取通知
此功能不适用于 Android Management API。请改为设置 Pub/Sub 通知。
3.15. API 使用要求
EMM 会大规模实现 Android 管理 API,避免可能对企业在生产环境中管理应用的能力产生负面影响的流量模式。
3.15.1. EMM 必须遵守 Android Management API 用量限制。如不纠正超出这些准则的行为,Google 可自行决定暂停您 API 的使用。
3.15.2. EMM 应在整个日程中分配来自不同企业的流量,而不是在特定时间或类似时间整合企业流量。符合此流量模式的行为(例如为每部已注册的设备安排批量操作)可能会导致 Google 暂停 API 使用,具体取决于 Google 的判断。
3.15.3. EMM 不应发出持续、不完整或故意错误的请求,也不应尝试检索或管理实际企业数据。符合此流量模式的行为可能会导致 Google 暂停您的 API 使用权限,具体取决于 Google 的判断。
3.16. 高级受管配置管理
EMM 支持以下高级受管配置管理功能:
3.16.1. EMM 的控制台必须能够使用以下方法检索和显示任何 Play 应用的最多四级嵌套受管理的配置设置:
- Google Play 企业版 iframe,或
- 自定义界面。
3.16.2. 当由 IT 管理员设置时,EMM 的控制台必须能够检索和显示应用的反馈渠道返回的任何反馈。
- EMM 的控制台必须允许 IT 管理员将特定反馈项与其来源的设备和应用相关联。
- EMM 的控制台必须允许 IT 管理员订阅特定消息类型(例如错误消息)的提醒或报告。
3.16.3. EMM 控制台必须仅发送具有默认值或管理员使用以下应用手动设置的值:
- 受管配置 iframe,或
- 自定义界面。
3.17. Web 应用管理
IT 管理员可以在 EMM 控制台中创建和分发 Web 应用。
3.17.1. EMM 控制台允许 IT 管理员通过以下方式将快捷方式分发到 Web 应用:
3.18. Google Play 企业版账号生命周期管理
EMM 可以代表 IT 管理员创建、更新和删除受管理的 Google Play 账号,并自动恢复过期的账号。
此功能默认受支持。无需额外的 EMM 实现。
3.19. 应用轨道管理
3.19.1. IT 管理员可以拉取开发者为特定应用设置的轨道 ID 列表。
3.19.2. IT 管理员可以将设备设置为为应用使用特定开发轨道。
3.20. 高级应用更新管理
IT 管理员可以允许应用立即更新,也可以将应用的更新推迟 90 天。
3.20.1. IT 管理员可以允许应用使用高优先级应用更新,以便在有更新可用时进行更新。3.20.2. IT 管理员可以允许应用将应用更新推迟 90 天。
3.21. 配置方法管理
EMM 可以生成配置,并以可分发给最终用户的形式(例如二维码、零触摸配置、Play 商店网址)将其呈现给 IT 管理员。
4. 设备管理
4.1. 运行时权限政策管理
IT 管理员可以为工作应用发出的运行时权限请求静默设置默认响应。
4.1.1. IT 管理员在为其组织设置默认运行时权限政策时,必须能够从以下选项中进行选择:
- 提示(允许用户选择)
- allow
- deny
EMM 应使用政策强制执行这些设置。
4.2. 运行时权限授予状态管理
设置默认运行时权限政策(请参阅 4.1),IT 管理员可以针对基于 API 23 或更高版本构建的任何工作应用,为特定权限静默设置响应。
4.2.1. IT 管理员必须能够设置基于 API 23 或更高版本构建的任何工作应用请求的任何权限的授予状态(默认、授予或拒绝)。EMM 应使用政策强制执行这些设置。
4.3. Wi-Fi 配置管理
IT 管理员可以在受管理设备上静默预配企业 Wi-Fi 配置,包括:
4.3.1. SSID,使用政策。
4.3.2. 密码,使用 policy。
4.4. Wi-Fi 安全管理
IT 管理员可以在具有以下高级安全功能的设备上预配企业 Wi-Fi 配置:
4.4.1. 身份
4.4.2. 用于客户端授权的证书
4.4.3. CA 证书
4.5. 高级 Wi-Fi 管理
IT 管理员可以锁定受管理设备上的 Wi-Fi 配置,以防止用户创建配置或修改公司配置。
4.5.1. IT 管理员可以在以下任一配置中使用政策锁定企业 Wi-Fi 配置:
- 用户无法修改 EMM 预配的任何 Wi-Fi 配置(转到
wifiConfigsLockdownEnabled),但可以添加和修改他们自己的用户可配置网络(例如个人网络)。 - 用户无法在设备上添加或修改任何 Wi-Fi 网络(请参阅
wifiConfigDisabled),这会将 Wi-Fi 连接限制为仅限 EMM 预配的网络。
4.6. 账号管理
IT 管理员可以确保只有获得授权的企业账号才能与企业数据互动,例如 SaaS 存储空间和效率应用或电子邮件服务。如果不启用此功能,用户可以将个人账号添加到同时支持消费者账号的公司应用,从而与这些个人账号共享公司数据。
4.6.1. IT 管理员可以禁止用户添加或修改账号(请参阅 modifyAccountsDisabled)。
- 在设备上强制执行此政策时,EMM 必须在配置完成之前设置此限制,以确保用户在政策施行前添加账号来规避此政策。
4.7. Workspace 账号管理
Android Management API 不支持此功能。
4.8. 证书管理
允许 IT 管理员将身份证书和证书授权机构部署到设备,以便使用公司资源。
4.8.1. IT 管理员可以按用户安装由其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个 PKI 集成,并分发从该基础架构生成的证书。
4.8.2. IT 管理员可以在托管式密钥库中安装证书授权机构(请参阅 caCerts)。不过,此子功能不受支持。
4.9. 高级证书管理
允许 IT 管理员静默选择特定受管应用应使用的证书。此外,此功能还可让 IT 管理员从处于活动状态的设备中移除 CA 和身份证书,并阻止用户修改存储在受管密钥库中的凭据。
4.9.1. 对于分发到设备的任何应用,IT 管理员可以指定一个证书,从而在运行时以静默方式授予应用访问权限。(不支持此子功能)
- 证书选择必须足够通用,以允许单个配置适用于所有用户,每个用户都可能具有特定于用户的身份证书。
4.9.2. IT 管理员可以从受管理的密钥库中静默移除证书。
4.9.3. IT 管理员可以静默卸载 CA 证书。(不支持此子功能)
4.9.4. IT 管理员可以阻止用户在受管理密钥库中配置凭据(请参阅 credentialsConfigDisabled)。
4.9.5. IT 管理员可以使用 ChoosePrivateKeyRule 为工作应用预先授予证书。
4.10. 委托证书管理
IT 管理员可以将第三方证书管理应用分发到设备,并向该应用授予将证书安装到受管理密钥库的权限。
4.10.1. IT 管理员可以指定要设置为委托证书管理应用的证书管理软件包(请参阅 delegatedCertInstallerPackage)。
- EMM 可以选择建议已知的证书管理软件包,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.11. 高级 VPN 管理
允许 IT 管理员指定始终开启的 VPN,以确保来自指定受管理应用的数据始终经过 VPN 设置。
4.11.1. IT 管理员可以指定任意 VPN 软件包,将其设置为始终开启的 VPN。
- EMM 的控制台可以选择建议支持始终开启的 VPN 的已知 VPN 软件包,但不能将可用于始终开启配置的 VPN 限制为任何任意列表。
4.11.2. IT 管理员可以使用受管理的配置为应用指定 VPN 设置。
4.12. IME 管理
IT 管理员可以管理可以为设备设置哪些输入法 (IME)。由于 IME 会在工作资料和个人资料之间共享,因此禁止使用 IME 也会阻止用户允许这些 IME 用于个人用途。不过,IT 管理员不得禁止在工作资料中使用系统 IME(如需了解详情,请参阅高级 IME 管理)。
4.12.1. IT 管理员可以设置任意长度的 IME 许可名单(前往 permitted_input_methods),包括空白列表(用于屏蔽非系统 IME),其中可以包含任何任意 IME 软件包。
- EMM 控制台可能会建议要列入许可名单的已知或推荐的 IME,但必须允许 IT 管理员从可供适用安装的应用列表中选择面向适用用户的 IME。
4.12.2. EMM 必须告知 IT 管理员,系统 IME 不在具有工作资料的设备的管理范围内。
4.13. 高级 IME 管理
IT 管理员可以管理用户可以在设备上设置哪些输入法 (IME)。高级 IME 管理功能还允许 IT 管理员管理系统 IME 的使用(设备制造商或运营商通常提供系统 IME ),从而扩展了基本功能。
4.13.1. IT 管理员可以设置任意长度的 IME 许可名单(请参阅 permitted_input_methods),其中可以包含任何任意的 IME 软件包(不包括空白列表,该列表会屏蔽所有 IME,包括系统 IME)。
- EMM 控制台可能会建议要列入许可名单的已知或推荐的 IME,但必须允许 IT 管理员从可供适用安装的应用列表中选择面向适用用户的 IME。
4.13.2. EMM 必须阻止 IT 管理员设置空白许可名单,因为此设置会阻止在设备上设置所有 IME(包括系统 IME)。
4.13.3. EMM 必须确保,如果 IME 许可名单不包含系统 IME,则在设备上应用该许可名单之前,第三方 IME 会静默安装。
4.14. 无障碍服务管理
IT 管理员可以管理用户可以在设备上允许使用哪些无障碍服务。无障碍服务是面向残障用户或暂时无法与设备进行全面互动的用户的强大工具。但是,它们与公司数据的互动方式可能不符合公司政策。借助此功能,IT 管理员可以关闭任何非系统无障碍服务。
4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单(请参阅 permittedAccessibilityServices),包括空白名单(用于屏蔽非系统无障碍服务),其中可以包含任何任意无障碍服务软件包。应用于工作资料时,这会同时影响个人资料和工作资料。
- 控制台可以选择建议添加到许可名单中的已知或推荐的无障碍服务,但必须允许 IT 管理员为适用用户从可安装应用列表中进行选择。
4.15. 位置信息分享管理
IT 管理员可以阻止用户与工作资料中的应用共享位置数据。否则,您可以在“设置”中配置工作资料中的位置信息设置。
4.15.1. IT 管理员可以在工作资料中停用位置信息服务(前往 shareLocationDisabled)。
4.16. 高级位置信息分享管理
IT 管理员可以在受管设备上强制执行指定的位置信息分享设置。 此功能可确保企业应用始终拥有高精确度的位置数据。此功能还可以将位置信息设置限制为“耗电量低”模式,从而确保不消耗额外的电量。
4.16.1. IT 管理员可以将设备位置信息服务设置为以下任一模式:
- 高精确度。
- 仅限传感器(例如 GPS),但不包括网络提供的位置信息。
- 省电模式,用于限制更新频率。
- 关闭。
4.17. 恢复出厂设置保护管理
允许 IT 管理员确保未经授权的用户无法将公司自有设备恢复出厂设置,从而保护这些设备免遭盗窃。如果恢复出厂设置保护功能在将设备交还给 IT 部门后增加了操作复杂性,IT 管理员可以完全关闭恢复出厂设置保护功能。
4.17.1. IT 管理员可以阻止用户从“设置”中将设备恢复出厂设置(前往 factoryResetDisabled)。
4.17.2. IT 管理员可以在设备恢复出厂设置后指定获授权用于预配设备的企业解锁账号(请参阅 frpAdminEmails)。
- 此账号可以与个人相关联,也可以供整个企业用于解锁设备。
4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护 (go to0 factoryResetDisabled)。
4.17.4. IT 管理员可以启动远程设备擦除,以便选择擦除重置保护数据,从而移除恢复出厂设置保护。
4.18. 高级应用控制
IT 管理员可以阻止用户通过“设置”卸载或以其他方式修改受管理的应用。例如,阻止强制关闭应用或清除应用的数据缓存。
4.18.1. IT 管理员可以禁止卸载任何任意受管应用,或所有受管应用(请参阅 uninstallAppsDisabled)。
4.18.2. IT 管理员可以通过“设置”阻止用户修改应用数据。(Android Management API 不支持此子功能)
4.19. 屏幕截图管理
IT 管理员可以禁止用户在使用受管理的应用时截屏。 此设置包括屏蔽使用系统屏幕截图功能的屏幕共享应用和类似应用(例如 Google 助理)。
4.19.1. IT 管理员可以禁止用户截取屏幕截图(请参阅 screenCaptureDisabled)。
4.20. 停用相机
IT 管理员可以禁止受管理应用使用设备摄像头。
4.20.1. IT 管理员可以禁止受管理的应用使用设备相机(前往 cameraDisabled)。
4.21. 网络统计信息收集
Android Management API 不支持此功能。
4.22. 高级网络统计信息收集
Android Management API 不支持此功能。
4.23. 重新启动设备
IT 管理员可以远程重启受管理的设备。
4.23.1. IT 管理员可以远程重新启动受管设备。
4.24. 系统电台管理
使用政策为 IT 管理员提供对系统网络无线电和相关使用政策的精细管理。
4.24.1. IT 管理员可以关闭服务提供商发送的小区广播(转到 cellBroadcastsConfigDisabled)。
4.24.2. IT 管理员可以禁止用户在“设置”(前往 mobileNetworksConfigDisabled)中修改移动网络设置。
4.24.3. IT 管理员可以阻止用户在“设置”中重置所有网络设置。(请参阅 networkResetDisabled)。
4.24.4. IT 管理员可以设置设备是否允许在漫游时使用移动数据网络(前往 dataRoamingDisabled)。
4.24.5. IT 管理员可以设置设备是否可以拨打电话(不包括紧急呼叫)(请参阅 outGoingCallsDisabled)。
4.24.6. IT 管理员可以设置设备是否可以发送和接收短信(请参阅 smsDisabled)。
4.24.7. IT 管理员可以通过网络共享(前往 tetheringConfigDisabled)阻止用户将其设备用作便携式热点。
4.24.8. IT 管理员可以将 Wi-Fi 超时设置为默认值、接通电源时或永不超时。(Android Management API 不支持此子功能)
4.24.9. IT 管理员可以禁止用户设置或修改现有蓝牙连接(请参阅 bluetoothConfigDisabled)。
4.25. 系统音频管理
IT 管理员可以静默控制设备音频功能,包括将设备静音、禁止用户修改音量设置,以及禁止用户取消静音设备麦克风。
4.25.1. IT 管理员可以静默地将受管理设备设为静音。 (Android Management API 不支持此子功能)
4.25.2. IT 管理员可以禁止用户修改设备音量设置(前往 adjustVolumeDisabled)。这也会将设备静音。
4.25.3. IT 管理员可以阻止用户将设备麦克风取消静音(前往 unmuteMicrophoneDisabled)。
4.26. 系统时钟管理
IT 管理员可以管理设备时钟和时区设置,并阻止用户修改自动设备设置。
4.26.1. IT 管理员可以强制执行系统自动时间和自动时区,阻止用户设置设备的日期、时间和时区。
4.27. 高级专用设备功能
对于专用设备,IT 管理员可以使用政策管理以下功能,以支持各种自助服务终端用例。
4.27.1. IT 管理员可以关闭设备键盘锁(前往 keyguardDisabled)。
4.27.2. IT 管理员可以关闭设备状态栏,屏蔽通知和快捷设置(前往 statusBarDisabled)。
4.27.3. IT 管理员可以强制设备屏幕在设备接通电源期间保持开启状态(前往 stayOnPluggedModes)。
4.27.4. IT 管理员可以阻止显示以下系统界面(请参阅 createWindowsDisabled):
- 消息框
- 应用叠加层。
4.27.5. IT 管理员可以允许系统推荐应用,使其在首次启动时跳过用户教程和其他介绍性提示(前往 skip_first_use_hints)。
4.28. 委托范围管理
IT 管理员能够将额外的权限授予各个软件包。
4.28.1. IT 管理员可以管理以下范围:
- 证书安装和管理
- 故意留空
- 网络日志记录
- 安全日志记录(不支持个人所有设备上的工作资料)
4.29. 特定于注册的身份证件支持
从 Android 12 开始,工作资料将无法再访问硬件专用标识符。IT 管理员可以通过注册专用 ID(在恢复出厂设置后保留)跟踪具有工作资料的设备的生命周期。
4.29.1. IT 管理员可以获取注册专用 ID
4.29.2. 此注册专用 ID 必须在恢复出厂设置后保持不变
5. 设备易用性
5.1. 托管配置自定义
IT 管理员可以修改默认设置流程用户体验,以包含特定于企业的功能。(可选)IT 管理员可以在配置期间显示 EMM 提供的品牌信息。
5.1.1. IT 管理员可以指定企业专用服务条款和其他免责声明(前往 termsAndConditions),从而自定义配置过程。
5.1.2. IT 管理员可以部署不可配置、特定于 EMM 的服务条款和其他免责声明(前往 termsAndConditions)。
- EMM 可以将其不可配置的 EMM 专用自定义设置为部署的默认设置,但必须允许 IT 管理员设置自己的自定义设置。
5.1.3. 在 Android 10 及更高版本中,primaryColor 已被弃用。
5.2. 企业自定义
Android Management API 不支持此功能。
5.3. 高级企业自定义
Android Management API 不支持此功能。
5.4. 锁定屏幕消息
IT 管理员可以设置始终显示在设备锁定屏幕上的自定义消息,且无需解锁设备即可查看。
5.4.1. IT 管理员可以设置自定义锁定屏幕消息(请参阅 deviceOwnerLockScreenInfo)。
5.5. 政策透明度管理
IT 管理员可以自定义向用户在其设备上尝试修改受管理设置时提供的帮助文本,或部署 EMM 提供的通用支持消息。您可以自定义简短和详细的支持消息,并在用户尝试卸载 IT 管理员已禁止卸载的受管应用等情况下显示这些消息。
5.5.1. IT 管理员可以自定义面向用户的简短和较长的支持消息。
5.5.2. IT 管理员可以部署不可配置的 EMM 专用短消息和长消息(请前往 policies 中的 shortSupportMessage 和 longSupportMessage)。
- EMM 可以将特定于 EMM 的不可配置支持消息设置为部署的默认消息,但必须允许 IT 管理员设置自己的消息。
5.6. 跨资料联系人管理
5.6.1. IT 管理员可以禁止在个人资料联系人搜索和来电中显示工作联系人。
5.6.2. IT 管理员可以停用工作联系人的蓝牙联系人共享功能,例如在汽车或耳机中进行免提通话。
5.7. 跨资料数据管理
允许 IT 管理员管理可以在工作资料和个人资料之间共享的数据类型,以便管理员根据自己的要求平衡易用性和数据安全性。
5.7.1. IT 管理员可以配置跨资料数据共享政策,以便个人应用可以解析工作资料中的 intent,例如共享 intent 或网页链接。
5.7.2. IT 管理员可以允许工作资料中的应用创建微件,并将其显示在个人资料的主屏幕上。此功能默认处于停用状态,但可以使用 workProfileWidgets 和 workProfileWidgetsDefault 字段设置为允许。
5.7.3. IT 管理员可以控制在工作资料和个人资料之间复制/粘贴内容的功能。
5.8. 系统更新政策
IT 管理员可以设置无线下载 (OTA) 系统更新并将其应用于设备。
5.8.1. 借助 EMM 的控制台,IT 管理员可以设置以下 OTA 配置:
- 自动:设备会在 OTA 更新可用时安装更新。
- 推迟:IT 管理员必须能够推迟最多 30 天 OTA 更新。此政策不会影响安全更新(例如每月安全补丁)。
- 窗口期:IT 管理员必须能够在每日维护期内安排 OTA 更新。
5.8.2. OTA 配置是使用政策应用于设备的。
5.9. 锁定任务模式管理
IT 管理员可以将应用或一组应用锁定到屏幕,并确保用户无法退出应用。
5.9.1. 借助 EMM 的控制台,IT 管理员可以静默允许一组任意应用安装并锁定到设备。政策允许设置专用设备。
5.10. 持久性首选活动管理
允许 IT 管理员将应用设置为与特定 intent 过滤器匹配的 intent 的默认 intent 处理程序。例如,此功能可以让 IT 管理员选择自动打开网页链接的浏览器应用。此功能可管理点按主屏幕按钮时使用的启动器应用。
5.10.1. IT 管理员可以为任何任意 intent 过滤器将任何软件包设置为默认 intent 处理程序。
- EMM 的控制台可以选择建议已知或推荐的 intent 进行配置,但不能将 intent 限制为任何任意列表。
- EMM 的控制台必须允许 IT 管理员从可供为适用用户安装的应用列表中进行选择。
5.11. 锁屏功能管理
IT 管理员可以在用户解锁设备锁屏(锁定屏幕)和工作资料验证锁屏(锁定屏幕)之前管理可供用户使用的功能。
5.11.1.政策可以关闭以下设备屏幕保护功能:
- 可信代理
- 指纹解锁
- 未隐去敏感信息的通知
5.11.2. 您可以使用 policy 关闭工作资料的以下锁屏功能:
- 可信代理
- 指纹解锁
5.12. 高级屏幕保护功能管理
- 安全摄像头
- 所有通知
- 未隐去
- 可信代理
- 指纹解锁
- 所有屏保功能
5.13. 远程调试
Android Management API 不支持此功能。
5.14. 检索 MAC 地址
EMM 可以静默提取设备的 MAC 地址,以便在企业基础架构的其他部分识别设备(例如,在识别设备以进行网络访问控制时)。
5.14.1. EMM 可以静默检索设备的 MAC 地址,并在 EMM 控制台中将其与设备关联。
5.15. 高级锁定任务模式管理
借助专用设备,IT 管理员可以使用 EMM 的控制台执行以下任务:
5.15.1. 静默允许一款应用安装并锁定到设备。
5.15.2. 开启或关闭以下系统界面功能:
- 主屏幕按钮
- 概览
- 全局操作
- 通知
- 系统信息 / 状态栏
- 屏幕保护程序(锁屏)。实现 5.15.1 后,此子功能默认处于开启状态。
5.15.3. 关闭系统错误对话框。
5.16. 高级系统更新政策
IT 管理员可以设置指定的冻结期,以阻止设备上的系统更新。
5.16.1. EMM 的控制台必须允许 IT 管理员在指定的冻结期内屏蔽无线下载 (OTA) 系统更新。
5.17. 工作资料政策透明度管理
IT 管理员可以自定义从设备中移除工作资料时向用户显示的消息。
5.17.1. IT 管理员可以在工作资料被擦除时提供要显示的自定义文本(请参阅 wipeReasonMessage)。
5.18. 关联的应用支持
IT 管理员可以通过设置 ConnectedWorkAndPersonalApp 来设置可以跨工作资料边界进行通信的软件包列表。
5.19. 手动系统更新
Android Management API 不支持此功能。
6. 设备管理服务弃用
6.1. 设备管理服务弃用
EMM 必须在 2022 年底之前发布一项计划,以便在 2023 年第 1 季度末之前停止对 GMS 设备上的设备管理功能提供客户支持。
7. API 用量
7.1. 适用于新绑定的标准政策控制器
默认情况下,对于任何新的绑定,设备都必须使用 Android Device Policy 进行管理。EMM 可能会在“高级”或类似术语标题下的设置区域中提供使用自定义 DPC 管理设备的选项。在任何新手入门或设置工作流中,不得让新客户在技术栈之间进行任意选择。
7.2. 适用于新设备的标准政策控制器
默认情况下,对于所有新设备注册(包括现有和新绑定),设备都必须使用 Android Device Policy 进行管理。EMM 可能会在“高级”或类似术语标题下的设置区域中提供使用自定义 DPC 管理设备的选项。