本页列出了完整的 Android Enterprise 功能。
如果您打算管理 500 台以上的设备,则您的 EMM 解决方案必须支持至少一个解决方案集中的所有标准功能 (企业解决方案 目录作为提供 标准管理组。
),然后才能正式发布。企业移动管理 (EMM) 解决方案 Android 的每个解决方案集额外提供一套高级功能。这些 每个解决方案集页面都会注明:工作资料 、全托管式设备以及 专用设备。 Android 的 Google 企业解决方案目录 视为提供高级管理集。
键
标准 功能 | 高级功能 | 可选功能 | 不适用 |
1. 设备配置
1.1. DPC 优先工作资料配置
从 Google Play 下载 Android Device Policy 后,用户可以配置 工作资料。
1.1.1.EMM 会向 IT 管理员提供二维码或激活码, 支持此配置方法(请参阅 注册和配置设备)。
1.2. DPC 标识符设备配置
输入“afw#”预配一个全托管式或 专用设备。
1.2.1.EMM 会向 IT 管理员提供二维码或激活码,以便其提供支持 此配置方法(请参阅注册和配置设备)。
1.3. NFC 设备配置
IT 管理员可以使用 NFC 标签来配置新设备或恢复出厂设置的设备, 请遵循 Play EMM API 开发者文档。
1.3.1.EMM 必须使用具有至少 888 字节内存的 NFC Forum 类型 2 标记。 配置必须使用配置 extra 将非敏感的注册详细信息(例如服务器 ID 和注册 ID)传递给设备。注册详细信息 不得包含敏感信息,例如密码或证书。
1.3.2. 我们建议在 Android 10 及更高版本中使用 NFC 标签,因为 弃用了 NFC Beam(也称为 NFC 触碰)。
1.4. 二维码设备配置
EMM 的控制台可生成二维码,IT 管理员可以扫描该二维码来配置 完全受管设备或专用设备(符合实现指南) 中定义的 Android Management API 开发者文档。
1.4.1.二维码必须使用配置 extra 来传递非敏感数据 注册详细信息(例如服务器 ID、注册 ID)。 注册详细信息不得包含密码等敏感信息 或证书 。
1.5. 零触摸注册
IT 管理员可以预配置从该处购买的设备 已授权 转销商,并使用您的 EMM 控制台管理他们。
1.5.1.IT 管理员可以使用零触摸功能来配置公司自有设备 适用于 IT 管理员的零触摸注册中所述注册方法。
1.5.2.首次打开设备时,系统会自动强制该设备 IT 管理员定义的设置 。
1.6. 高级零触摸配置
IT 管理员可以通过零触摸方式自动执行大部分设备注册流程 注册。与登录网址合并 ,IT 管理员可以根据规则,将注册范围限制为特定账号或网域 EMM 提供的配置选项。
1.6.1. IT 管理员可以使用零触摸功能配置 注册方法。
1.6.2.此要求已废弃。
1.6.3.使用登录网址 ,EMM 必须确保未经授权的用户无法继续激活。 至少必须仅允许特定企业的用户激活。
1.6.4.使用登录网址,EMM 必须让 IT 管理员能够预先填充注册详细信息(例如服务器 ID、注册 ID)以及唯一用户或设备信息(例如用户名/密码、激活令牌),以便用户在激活设备时无需输入详细信息。
- EMM 不得包含敏感信息,例如密码或 (在零触摸注册配置中)。
1.7.Google 账号工作资料配置
此功能指南适用于使用受管理的 Google 网域的企业, 用户进入他们的公司后,通过设置工作资料 在设备设置过程中或在已验证的设备上提供 Workspace 凭据 。在这两种情况下,企业 Workspace 身份都将迁移到 工作资料。
1.8. Google 账号设备配置
Android Management API 不支持此功能。
1.9.直接零触摸配置
IT 管理员可以使用 EMM 控制台通过零触摸 iframe 设置零触摸设备。
1.10.公司自有设备上的工作资料
EMM 可以通过设置 AllowPersonalUsage 来注册具有工作资料的公司自有设备。
1.10.1. 故意留空。
1.10.2.IT 管理员可以为公司自有的工作资料设置合规操作 通过 PersonalUsagePolicies 保护设备。
1.10.3. IT 管理员可以在工作资料或 通过 PersonalUsagePolicies 访问整个设备。
1.10.4.IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用屏幕截图功能。
1.10.5。IT 管理员可以设置应用许可名单或屏蔽名单, 无法通过 PersonalApplicationPolicy 安装到个人资料中。
1.10.6.IT 管理员可以放弃对公司自有设备的管理,具体方法为: 移除工作资料或擦除整个设备。 。
1.11.专用设备配置
EMM 可以注册专用设备,而无需提示用户 使用 Google 账号进行身份验证。
2. 设备安全
2.1. 设备安全问题
IT 管理员可以设置和强制执行设备安全性验证(PIN 码/解锁图案/密码) 在受管设备上预先选择 3 个复杂度级别。
2.1.1. 政策必须强制执行用于管理设备安全问题的设置(针对工作资料的 parentProfilePasswordRequirements,针对完全受管设备和专用设备的 passwordRequirements)。
2.1.2. 密码复杂度应与以下密码相对应 复杂性:
- PASSWORD_COMPLEXITY_LOW - 具有重复性 (4444) 的图案或 PIN 码 有序的 (1234, 4321, 2468) 序列。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码,长度至少为 4 的字母或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 没有重复 (4444) 或有序的 PIN 码 (1234, 4321, 2468) 序列,并且长度至少为 8 个或按字母顺序排列 长度至少为 6 个字母数字的密码
2.1.3. 还可在旧版设置中强制执行其他密码限制 。
2.2. 工作安全验证
IT 管理员可以针对工作中的应用和数据设置并强制执行安全验证 与设备安全要求不同的独立配置文件 挑战 (2.1.)。
2.2.1. 政策 必须为工作资料强制执行安全验证。
- 默认情况下,IT 管理员应仅为工作资料设置限制 如果未指定任何范围
- IT 管理员可以指定范围(请参阅 要求 2.1)
2.2.2.密码复杂度应与以下预定义密码相对应 复杂性:
- PASSWORD_COMPLEXITY_LOW - 具有重复性 (4444) 的图案或 PIN 码 有序的 (1234, 4321, 2468) 序列。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码,长度至少为 4 的字母或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 没有重复 (4444) 或有序的 PIN 码 (1234, 4321, 2468) 序列,并且长度至少为 8 个或按字母顺序排列 长度至少为 6 个字母数字的密码
2.2.3. 还可在旧版设置中强制执行其他密码限制 。
2.3. 高级密码管理
IT 管理员可以在设备上设置高级密码设置。
2.3.1. 故意留空。
2.3.2. 故意留空。
2.3.3. 您可为设备上可用的每个锁定屏幕设定以下密码生命周期设置 设备:
- 故意留空
- 故意留空
- 擦除密码失败次数上限:指定用户登录的次数 在系统从 设备。IT 管理员必须能够关闭此功能。
2.3.4. (Android 8.0+) 增强型身份验证需要超时:强 身份验证密码(例如 PIN 码或密码) IT 管理员设置的超时期限。超时期限过后,非加强型身份验证方法(例如指纹、人脸解锁)会被关闭,直到用户使用加强型身份验证密码解锁设备。
2.4. Smart Lock 管理
IT 管理员可以管理是否使用 Android 的 Smart Lock 来信任代理 功能最长可将设备解锁时间延长至 4 小时。
2.4.1.IT 管理员可以停用 可信代理。
2.5. 擦除并锁定
IT 管理员可以使用 EMM 的控制台远程锁定和擦除 受管设备。
2.5.1. 必须使用 Android Management API 锁定设备 ,了解所有最新动态。
2.5.2.必须使用 Android Management API 清空设备。
2.6. 强制执行合规性
如果设备不符合安全政策,合规性规则 由 Android Management API 实施的 API 会自动限制工作 数据。
2.6.1.在设备上强制执行的安全政策必须至少包括 密码政策。 。
2.7. 默认安全政策
默认情况下,EMM 必须在设备上强制执行指定的安全政策, 而无需 IT 管理员在 EMM 中设置或自定义任何设置 控制台。鼓励(但不强制要求)使用 EMM,不要允许 IT 管理员进行更改 这些安全功能的默认状态。
2.7.1.必须禁止安装来自未知来源的应用,包括应用 安装在具有工作资料的 Android 8.0 及更高版本的任何设备上的个人端。 此子功能默认受支持。
2.7.2.必须屏蔽调试功能。该子功能 默认支持 64 位架构。
2.8. 专用设备的安全政策
对于已锁定的专用设备,不允许执行任何其他操作。
2.8.1.必须使用 policy 默认关闭启动进入安全模式的功能
(前往 safeBootDisabled
)。
2.9.Play Integrity 支持
默认情况下,系统会执行 Play 完整性检查。无需额外实施 。
2.9.1. 故意留空。
2.9.2.故意留空。
2.9.3.IT 管理员可以根据 设备的SecurityRisk 包括阻止预配、擦除公司数据,以及允许 以继续。
- EMM 服务将针对每次完整性检查的结果强制执行此政策响应。
2.9.4. 故意留空。
2.10.强制要求验证应用
IT 管理员可以开启验证应用 。“验证应用”功能会扫描 Android 设备上安装的应用,以检测是否存在有害内容 软件的安装前后,这有助于确保 应用不得危害公司数据。
2.10.1.必须使用 policy 默认启用“验证应用”功能
(前往 ensureVerifyAppsEnabled
)。
2.11.“直接启动”支持
Android Management API 默认支持此功能。无需额外付费 实施。
2.12.硬件安全管理
IT 管理员可以锁定公司自有设备的硬件元素, 数据泄露防护。
2.12.1.IT 管理员可以使用
policy(转到
mountPhysicalMediaDisabled
)。
2.12.2.IT 管理员可以禁止用户使用 NFC 分享设备中的数据
使用 policy 进行传输
(前往 outgoingBeamDisabled
)。由于 NFC 传输功能,此子功能是可选的
函数在 Android 10 及更高版本中已不再受支持。
2.12.3.IT 管理员可以禁止用户通过 USB 传输文件,具体方法是:
policy(转到
usbFileTransferDisabled
)。
2.13.企业安全日志记录
Android Management API 不支持此功能。
3. 账号和应用管理
3.1. 企业绑定
IT 管理员可以将 EMM 绑定到其组织,让 EMM 能够使用 Google Play 企业版向设备分发应用。
3.1.1. 拥有现有受管 Google 网域的管理员可以将其网域绑定到 EMM。
3.1.2. 故意留空。
3.1.3. 故意留空。
3.1.4. EMM 控制台会引导管理员在 Android 注册流程,并不鼓励用户使用 Gmail 账号。
3.1.5.EMM 会在 Android 注册流程中预先填充管理员的电子邮件地址。
3.2. Google Play 企业版账号配置
EMM 能够以静默方式配置企业用户账号(称为代管式 Google) Play 账号。这些账号用于标识受管理的用户,并允许为每位用户设置专属的应用分发规则。
3.2.1. 在配置设备时,系统会自动创建受管 Google Play 账号(用户账号)。
Android Management API 默认支持此功能。无需额外付费 实施。
3.3. Google Play 企业版设备账号配置
EMM 可以创建和配置受管 Google Play 设备账号。设备 账号支持通过 Google Play 企业版商店静默安装应用; 并且与单个用户无关。而是使用设备账号来识别身份 一台设备在专用设备中支持每台设备的应用分发规则 场景。
3.3.1. 在设备上执行下列操作时,系统会自动创建 Google Play 企业版账号 配置。
Android Management API 默认支持此功能。无需额外付费 实施。
3.4. 为旧款设备配置 Google Play 企业版账号
此功能已废弃。
3.5. 静默应用分发
IT 管理员可在无任何用户的情况下,在设备上静默分发工作应用 互动。
3.5.1. EMM 的控制台必须使用 Android Management API,才能允许 IT 管理员在受管理的设备上安装工作应用。
3.5.2. EMM 的控制台必须使用 Android Management API 以允许 IT 管理员更新受管设备上的工作应用。
3.5.3.EMM 的控制台必须使用 Android Management API,才能允许 IT 管理员在受管设备上卸载应用。
3.6. 受管配置管理
IT 管理员可以查看和静默设置受管配置 支持托管配置。
3.6.1.EMM 控制台必须能够检索 并显示任何 Play 应用的受管配置设置。
3.6.2.EMM 控制台必须允许 IT 管理员将任何配置类型(如 (由 Android Enterprise 框架定义)适用于使用 Android 管理服务的任何 Play 应用 API ,了解所有最新动态。
3.6.3.EMM 控制台必须允许 IT 管理员设置通配符(例如 $username$ 或 %emailAddress%),以便只对诸如 Gmail 可应用于多个用户。 。
3.7. 应用目录管理
Android Management API 默认支持此功能。否 需要进行额外的实现。
3.8. 程序化应用审批
EMM 控制台使用 Google Play 企业版 iframe 来支持 Google Play 的 应用发现和审批功能。IT 管理员无需离开 EMM 控制台,即可搜索应用、批准应用以及批准新的应用权限。
3.8.1. IT 管理员可以使用 Google Play 企业版 iframe 在 EMM 控制台中搜索应用并批准应用。
3.9. 基本商店布局管理
Google Play 企业版商店应用可用于安装和更新工作应用。 默认情况下,Google Play 企业版商店会显示以下国家/地区的用户已批准的应用: 单个列表。此布局称为基本商店布局。
3.9.1. EMM 的控制台应允许 IT 管理员管理最终用户基本商店布局中显示的应用。
3.10. 高级商店布局配置
3.10.1.IT 管理员可以自定义商店布局 Google Play 企业版商店应用中显示的名称。
3.11. 应用许可管理
此功能已废弃。
3.12. Google 托管的专用应用管理服务
IT 管理员可以改为通过 EMM 控制台更新 Google 托管的专用应用 使用 Google Play 管理服务
3.12.1. IT 管理员可以使用以下工具上传已面向企业私下发布的应用的新版本:
3.13. 自行托管的专用应用管理
IT 管理员可以设置和发布自行托管的专用应用。取消点赞 Google 托管的专用应用,则 Google Play 不托管 APK。相反,EMM 可帮助 IT 管理员自行托管 APK,并通过确保只有在经由受管理的 Google Play 授权后才能安装自托管应用,从而帮助保护自托管应用。
3.13.1.EMM 的控制台必须通过提供以下两种方法来帮助 IT 管理员托管应用 APK: 以下选项之一:
- 在 EMM 的服务器上托管 APK。服务器可以是本地服务器,也可以是云端服务器。
- 在 EMM 服务器之外托管 APK(由企业自行决定)。IT 管理员必须在 EMM 控制台中指定 APK 已托管。
3.13.2.EMM 控制台必须生成适当的 APK 定义 文件(使用提供的 APK) 并且必须指导 IT 管理员完成发布流程。
3.13.3.IT 管理员可以更新自行托管的专用应用以及 EMM 的控制台 可以使用 Google Play Developer Publishing API ,了解所有最新动态。
3.13.4.EMM 的服务器为自托管 APK 处理下载请求 请求 Cookie 中包含有效 JWT,如经 私有应用的公钥。
- 为了简化这一过程,EMM 的服务器必须引导 IT 管理员 从 Play Google Play 下载自托管应用的许可公钥。 Play 管理中心,然后将此密钥上传到 EMM 控制台。
3.14. EMM 拉取通知
此功能不适用于 Android Management API。请改为设置 Pub/Sub 通知。
3.15. API 使用要求
EMM 可大规模实现 Android Management API,避免流量过大 可能会对企业的绩效产生负面影响,管理应用的权限 生产环境。
3.15.1.EMM 必须遵守 Android Management API 用量限额如果不纠正违反这些指南的行为, 将由 Google 自行决定暂停 API 使用。
3.15.2.EMM 应将来自不同企业的流量分配到整个 而不是整合特定或类似位置的企业流量 次。符合此流量模式的行为,例如计划批次 都可能导致 API 暂停使用: 由 Google 自行决定。
3.15.3.EMM 不应出现一致、不完整或故意不正确的情况 不尝试检索或管理实际企业数据的请求。 符合此流量模式的行为可能会导致 API 暂停使用,具体位置为: 由 Google 自行决定。
3.16. 高级受管配置管理
EMM 支持以下高级受管配置管理 功能:
3.16.1. EMM 的控制台必须能够检索和显示最多四个 嵌套的任何 Play 应用的托管配置设置,使用:
- Google Play 企业版 iframe 或
- 提供自定义界面
3.16.2. EMM 的控制台必须能够检索和显示任何反馈 由应用的反馈渠道返回 (由 IT 管理员设置)。
- EMM 控制台必须允许 IT 管理员关联特定反馈内容 与来源设备和应用之间的关联
- EMM 的控制台必须允许 IT 管理员订阅以下内容的提醒或报告: 特定消息类型(例如错误消息)。
3.16.3.EMM 控制台只能发送具有默认值或由管理员手动设置的值 使用:
- 受管配置 iframe,或
- 自定义界面。
3.17. Web 应用管理
IT 管理员可以在 EMM 控制台中创建和分发 Web 应用。
3.17.1.借助 EMM 控制台,IT 管理员可以将快捷方式分发到 Web 应用 使用:
- Google Play 企业版 iframe
- 或 Android Management API ,了解所有最新动态。
3.18. Google Play 企业版账号生命周期管理
EMM 可在以下设备上创建、更新和删除 Google Play 企业版账号: 还可自动从账号到期后恢复订阅。
默认情况下支持此功能。无需额外的 EMM 实施 。
3.19.应用轨道管理
3.19.1.IT 管理员可以提取开发者为特定应用设置的轨道 ID 列表
3.19.2. IT 管理员可以将设备设置为针对应用使用特定的开发轨道。
3.20.高级应用更新管理
IT 管理员可以允许应用立即更新或推迟更新 更新期限为 90 天。
3.20.1.IT 管理员可以允许应用使用高优先级应用更新,以便在有可用更新时进行更新。 3.20.2.IT 管理员可以允许应用将应用更新推迟 90 天。
3.21.配置方法管理
EMM 可以生成配置,并将这些配置提供给 IT 人员 以可供分发给最终用户的表单(例如二维码、 零触摸配置、Play 商店网址)。
4. 设备管理
4.1. 运行时权限政策管理
IT 管理员可以以静默方式为运行时权限请求设置默认响应 工作应用产生的收入。
4.1.1. IT 管理员在设置时必须能够选择以下选项 组织的默认运行时权限政策:
- 提示(允许用户选择)
- allow
- deny
EMM 应使用政策强制执行这些设置。
4.2. 管理运行时权限授予状态
设置默认运行时权限政策(前往 4.1)后,IT 管理员可以 针对基于 API 构建的任何工作应用的特定权限静默设置响应 23 或更高版本。
4.2.1.IT 管理员必须能够设置基于 API 23 或更高版本构建的任何工作应用请求的任何权限的授予状态(默认、授予或拒绝)。EMM 应使用 policy 来强制执行这些设置。
4.3. Wi-Fi 配置管理
IT 管理员可以在受管设备上静默配置企业 Wi-Fi 配置 包括:
4.3.1.SSID(使用 policy)。
4.3.2. 密码,使用 policy。
4.4. Wi-Fi 安全管理
IT 管理员可以配置企业 Wi-Fi 配置 在搭载下列高级安全功能的设备上 功能:
4.4.1. 身份
4.4.2. 用于客户端授权的证书
4.4.3. CA 证书
4.5. 高级 Wi-Fi 管理
IT 管理员可以锁定受管设备上的 Wi-Fi 配置 用户不得创建配置或修改公司配置。
4.5.1. IT 管理员可以在以下任一配置中使用政策锁定企业 Wi-Fi 配置:
- 用户无法修改 EMM 预配的任何 Wi-Fi 配置(请参阅
wifiConfigsLockdownEnabled
),但 可添加和修改自己的用户可配置网络(例如, 个人网络)。 - 用户无法在设备上添加或修改任何 Wi-Fi 网络
(转到
wifiConfigDisabled
),只允许连接到 Wi-Fi 网络 通过 EMM 预配的网络。
4.6. 账号管理
IT 管理员可以确保只有获得授权的企业账号才能与企业数据互动,例如 SaaS 存储空间和效率应用或电子邮件服务。如果不启用此功能,用户可以将个人账号添加到同时支持消费者账号的公司应用,从而与这些个人账号共享公司数据。
4.6.1. IT 管理员可以阻止用户添加或修改
账号
(请参阅 modifyAccountsDisabled
)。
- 在设备上强制执行此政策时,EMM 必须设置此限制 以确保用户无法规避此配置 在政策施行之前添加账号来实施这些政策。
4.7. Workspace 账号管理
Android Management API 不支持此功能。
4.8. 证书管理
允许 IT 管理员将身份证书和证书授权机构部署到 以允许使用公司资源的设备。
4.8.1.IT 管理员可以安装用户身份证书 由其公钥基础设施 (PKI) 针对每个用户生成的。EMM 的控制台必须与至少一个 PKI 集成,并分发通过该基础架构生成的证书。
4.8.2.IT 管理员可以在受管理的密钥库中安装证书颁发机构(请参阅 caCerts
)。不过,系统不支持此子功能
,了解所有最新动态。
4.9. 高级证书管理
允许 IT 管理员以静默方式选择特定受管理应用的证书 。此功能还允许 IT 管理员移除 来自活跃设备的 CA 和身份证书,并禁止用户修改 存储在代管式密钥库中。
4.9.1. 对于分发到设备的任何应用,IT 管理员可以指定证书 应用将在运行时以静默方式授予访问权限。( 子功能不受支持)
- 证书选择必须足够通用,以便允许单个 配置适用于所有用户,每个用户都有自己的 用户身份证书
4.9.2.IT 管理员可以从受管理的密钥库中静默移除证书。
4.9.3.IT 管理员可以静默卸载 CA 证书。(不支持此子功能)
4.9.4.IT 管理员可以阻止用户配置凭据
(前往 credentialsConfigDisabled
)。
4.9.5.IT 管理员可以使用 ChoosePrivateKeyRule 为工作应用预先授予证书。
4.10.委托证书管理
IT 管理员可以将第三方证书管理应用分发到设备, 向该应用授予将证书安装到 密钥库。
4.10.1.IT 管理员可以指定要设置为委托证书管理应用的证书管理软件包(请参阅 delegatedCertInstallerPackage
)。
- EMM 可能会酌情推荐已知的证书管理软件包 但必须允许 IT 管理员从可用于 安装。
4.11.高级 VPN 管理
IT 管理员可指定始终开启的 VPN 指定的受管理应用一律需要设置 VPN。
4.11.1.IT 管理员可以指定任意 VPN 软件包 设置为始终开启的 VPN
- EMM 控制台可能会酌情推荐支持 始终开启的 VPN,但无法限制可使用“始终开启”配置的 VPN 添加到任意列表。
4.11.2. IT 管理员可以使用托管配置指定 一个应用。 。
4.12. IME 管理
IT 管理员可以管理可以为哪些输入法 (IME) 设置 设备。由于 IME 在工作资料和个人资料之间共享, 禁止使用 IME 将使用户无法将这些 IME 用于个人 使用。不过,IT 管理员不得禁止在工作中使用系统 IME (如需了解详情,请前往高级 IME 管理)。
4.12.1.IT 管理员可以设置 IME 许可名单
(前往 permitted_input_methods
)任意长度(包括一个空列表、
(屏蔽非系统 IME),而可能包含任何任意 IME 软件包。
- EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.12.2. EMM 必须告知 IT 管理员,系统 IME 已从 管理。 。
4.13.高级 IME 管理
IT 管理员可以管理用户可在设备上设置哪些输入法 (IME) 设备。高级 IME 管理允许 IT 管理员扩展基本功能 来管理系统 IME 的使用, 或运营商提供的资源。
4.13.1.IT 管理员可以设置 IME 许可名单
(转到permitted_input_methods
)任意长度(不包括空列表、
(屏蔽包括系统 IME 在内的所有 IME),其中可能包含任何
IME 软件包。
- EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.13.2.EMM 必须阻止 IT 管理员设置空白许可名单,因为此设置会阻止在设备上设置所有 IME(包括系统 IME)。
4.13.3.EMM 必须确保:如果 IME 许可名单不包含系统 IME, 在应用许可名单之前,第三方 IME 会静默安装 。 。
4.14.无障碍服务管理
IT 管理员可以管理哪些无障碍服务 设置限制无障碍服务是面向残障用户或暂时无法与设备进行全面互动的用户的强大工具。但是,它们可能会以 违反公司政策。此功能可让 IT 管理员关闭 任何非系统无障碍服务。
4.14.1.IT 管理员可以设置无障碍服务许可名单
(前往 permittedAccessibilityServices
),任意长度的
列表(该列表会阻止非系统无障碍服务),这可能包含
任意无障碍服务软件包。应用于工作资料时,
同时影响个人资料和工作资料。
- 控制台可能会选择性地建议已知或推荐的无障碍服务 添加到许可名单,但必须允许 IT 管理员选择 可供适用用户安装的应用的列表。
4.15.位置信息分享管理
IT 管理员可以禁止用户与工作应用分享位置数据 个人资料。否则,您可以在以下位置配置工作资料中的位置信息设置: 设置。
4.15.1.IT 管理员可以在工作资料中停用位置信息服务(前往 shareLocationDisabled
)。
4.16.高级位置信息分享管理
IT 管理员可以在受管理的设备上强制执行特定的位置信息分享设置。 此功能可确保企业应用始终拥有高精确度的位置数据。此功能还可确保应用不会消耗额外的电量, 将位置信息设置限制为“耗电量低”模式。
4.16.1.IT 管理员可以设置设备位置信息服务 以下各种模式:
- 高精确度。
- 仅传感器,如 GPS,但不包括网络提供的传感器 位置。
- 省电模式,会限制更新频率。
- 关闭。
4.17.恢复出厂设置保护管理
使 IT 管理员能够确保公司自有设备免遭盗窃,从而 未经授权的用户无法将设备恢复出厂设置。如果恢复出厂设置保护功能会在设备退回给 IT 部门时引入操作复杂性,IT 管理员可以完全关闭恢复出厂设置保护功能。
4.17.1.IT 管理员可以禁止用户恢复出厂设置
(前往factoryResetDisabled
)其设备。
4.17.2.IT 管理员可以在设备恢复出厂设置后指定获授权用于预配设备的企业解锁账号(请参阅 frpAdminEmails
)。
- 此账号可以与个人相关联,也可以供整个企业用于解锁设备。
4.17.3. IT 管理员可以停用恢复出厂设置保护
(转到 factoryResetDisabled
)。
4.17.4. IT 管理员可以远程擦除设备 选择性地擦除重置保护数据,从而移除恢复出厂设置 保护服务。
4.18.高级应用控制
IT 管理员可以禁止用户卸载或修改受管理的应用 应用。例如,阻止强制关闭应用或 清除应用的数据缓存
4.18.1.IT 管理员可以禁止卸载任意受管理的应用,也可以全部
受管理的应用(请转到
uninstallAppsDisabled
)。
4.18.2.IT 管理员可以禁止用户修改应用数据 设置。(Android Management API 不支持此子功能)
4.19.屏幕截图管理
IT 管理员可以禁止用户在使用受管理的应用时截屏。 此设置包括屏蔽屏幕共享应用和类似应用(例如 Google 助理)使用系统屏幕截图功能。
4.19.1.IT 管理员可以禁止用户截取屏幕截图(请参阅 screenCaptureDisabled
)。
4.20.停用相机
IT 管理员可以禁止受管理的应用使用设备相机。
4.20.1.IT 管理员可以禁止使用设备相机
(转到cameraDisabled
)。
4.21. 网络统计信息收集
Android Management API 不支持此功能。
4.22.高级网络统计信息收集
Android Management API 不支持此功能。
4.23.重新启动设备
IT 管理员可以远程重启受管设备。
4.23.1.IT 管理员可以远程重新启动 受管设备。
4.24.系统电台管理
使用政策为 IT 管理员提供对系统网络无线电和相关使用政策的精细管理。
4.24.1.IT 管理员可以关闭服务发送的小区广播
提供商(转到 cellBroadcastsConfigDisabled
)。
4.24.2.IT 管理员可以禁止用户在以下位置修改移动网络设置:
设置(前往 mobileNetworksConfigDisabled
)。
4.24.3.IT 管理员可以禁止用户在以下位置重置所有网络设置:
设置。(请参阅 networkResetDisabled
)。
4.24.4.IT 管理员可以设置设备是否允许使用移动流量
漫游时(转到 dataRoamingDisabled
)。
4.24.5.IT 管理员可以设置该设备是否可以外拨电话
呼叫,不包括紧急呼叫(转到outGoingCallsDisabled
)。
4.24.6.IT 管理员可以设置设备是否可以发送和接收短信
消息(转到 smsDisabled
)。
4.24.7.IT 管理员可以通过网络共享(前往 tetheringConfigDisabled
)阻止用户将其设备用作便携式热点。
4.24.8.IT 管理员可以将 Wi-Fi 超时设置为默认值(在接通电源时)。 从不。(Android Management API 不支持此子功能)
4.24.9.IT 管理员可以禁止用户设置或修改现有蓝牙连接(请参阅 bluetoothConfigDisabled
)。
4.25.系统音频管理
IT 管理员可以静默控制设备音频功能,包括将设备静音、禁止用户修改音量设置,以及禁止用户取消静音设备麦克风。
4.25.1.IT 管理员可以将受管理的设备静默设为静音。 (Android Management API 不支持此子功能)
4.25.2.IT 管理员可以禁止用户修改设备音量
设置(前往 adjustVolumeDisabled
)。此操作还会将设备静音。
4.25.3.IT 管理员可以禁止用户取消静音设备麦克风(请参阅 unmuteMicrophoneDisabled
)。
4.26.系统时钟管理
IT 管理员可以管理设备时钟和时区设置,并禁止用户执行以下操作: 修改自动设备设置。
4.26.1.IT 管理员可以设置系统自动确定时间和自动确定时区, 阻止用户设置广告系列的日期、时间和时区 。
4.27. 高级专用设备功能
对于专用设备,IT 管理员可以使用 政策来支持 各种自助服务终端应用场景
4.27.1.IT 管理员可以关闭设备键盘锁(前往 keyguardDisabled
)。
4.27.2.IT 管理员可以关闭设备状态栏、屏蔽通知和
快捷设置(前往 statusBarDisabled
)。
4.27.3. IT 管理员可以强制设备屏幕保持开启状态
已插入电源(前往 stayOnPluggedModes
)。
4.27.4.IT 管理员可以屏蔽以下系统界面
显示(转到 createWindowsDisabled
):
- 消息框
- 应用叠加层。
4.27.5.IT 管理员可以允许系统推荐应用跳过
用户教程和其他入门提示(请访问
skip_first_use_hints
)。
4.28.委托范围管理
IT 管理员能够将额外的权限授予各个软件包。
4.28.1.IT 管理员可以管理以下范围:
- 证书安装和管理
- 故意留空
- 网络日志记录
- 安全日志记录(不适用于员工自带设备工作资料)
4.29. 特定于注册的 ID 支持
从 Android 12 开始,工作资料将无法再访问 硬件专用标识符IT 管理员可以跟踪设备的生命周期 通过注册专用 ID 创建工作资料,该 ID 会保留 恢复出厂设置。
4.29.1.IT 管理员可以获取注册专用 ID
4.29.2. 此注册专用 ID 必须在恢复出厂设置后保持不变
5. 设备易用性
5.1. 托管配置自定义
IT 管理员可以修改默认设置流程用户体验,以包含 企业独有的功能(可选)IT 管理员可以显示 EMM 提供的 品牌信息。
5.1.1. IT 管理员可以通过指定企业专用服务条款和其他免责声明来自定义配置流程(请参阅 termsAndConditions
)。
5.1.2. IT 管理员可以部署
特定于 EMM 的不可配置的服务条款和其他免责声明
(前往 termsAndConditions
)。
- EMM 可将特定于 EMM 的不可配置自定义设置设为 默认用于部署,但必须允许 IT 管理员自行设置 自定义。
5.1.3. 已针对 Android 上的企业资源弃用 primaryColor
10 及更高版本。
5.2. 企业自定义
Android Management API 不支持此功能。
5.3. 高级企业自定义
Android Management API 不支持此功能。
5.4. 锁定屏幕消息
IT 管理员可以设置始终显示在设备锁定屏幕上的自定义消息,且无需解锁设备即可查看。
5.4.1. IT 管理员可以设置自定义锁定屏幕消息
(前往 deviceOwnerLockScreenInfo
)。
5.5. 政策透明度管理
IT 管理员可以自定义在用户尝试以下操作时向其提供的帮助文本: 修改设备上的受管设置,或部署 EMM 提供的通用设备 支持消息。短支持消息和长支持消息均可自定义,并且 (例如尝试卸载受管应用而 IT 管理员已阻止卸载。
5.5.1. IT 管理员可以自定义面向用户的短期和长期支持服务 消息。
5.5.2. IT 管理员可以部署不可配置且特定于 EMM 的部署,无论其采用长短均可
支持消息(请参阅 shortSupportMessage
和 longSupportMessage
,
policies
)。
- EMM 可以将其不可配置的 EMM 专用支持消息设置为部署的默认消息,但必须允许 IT 管理员设置自己的消息。
5.6. 跨资料联系人管理
5.6.1.IT 管理员可以禁止在个人资料中显示工作联系人 联系人搜索和来电。
5.6.2.IT 管理员可以停用蓝牙联系人共享功能 工作联系人,例如在汽车或耳机中免提通话。
5.7. 跨资料数据管理
让 IT 管理员能够管理工作场所之间可以共享的数据类型 和个人资料,让管理员能够在易用性和数据安全之间取得平衡 以符合其要求。
5.7.1.IT 管理员可以配置跨资料数据共享政策 以便个人应用可以解析工作资料中的 intent,例如分享 意图或网页链接。
5.7.2.IT 管理员可以允许工作资料中的应用创建和
在个人资料的主屏幕上显示微件。此功能
默认处于停用状态,但您可以使用 workProfileWidgets
和 workProfileWidgetsDefault
字段将其设为“允许”。
5.7.3.IT 管理员可以控制在工作资料和个人资料之间复制/粘贴内容的功能。
5.8. 系统更新政策
IT 管理员可以设置和应用无线下载 (OTA) 系统更新 设备。
5.8.1.EMM 的控制台允许 IT 管理员设置以下 OTA 配置:
- 自动:设备会在 OTA 更新可用时安装更新。
- 推迟:IT 管理员必须能够将 OTA 更新推迟最多 30 天。此政策不影响安全更新(例如每月安全更新) 补丁)。
- 窗口化:IT 管理员必须能够在每天的 维护窗口。
5.8.2.OTA 配置会应用于使用 政策 ,了解所有最新动态。
5.9. 锁定任务模式管理
IT 管理员可以将应用或一组应用锁定到屏幕,并确保用户无法退出应用。
5.9.1.IT 管理员可以通过 EMM 的控制台静默地允许任意一组 要安装并锁定到设备上的应用。政策允许设置专用设备。
5.10. 永久性首选 activity 管理
允许 IT 管理员将应用设为匹配的 intent 的默认 intent 处理程序 某个 intent 过滤器。例如,借助此功能,IT 管理员可以选择哪个浏览器应用自动打开网页链接。此功能可以管理在点按主屏幕按钮时使用哪个启动器应用。
5.10.1.IT 管理员可以将任何软件包设为默认的 intent 处理程序 任意 intent 过滤器。
- EMM 控制台可能会针对 配置,但不能将 intent 限制为任意列表。
- EMM 控制台必须允许 IT 管理员从应用列表中进行选择 可供适用用户安装的应用。
5.11. 键盘锁功能管理
IT 管理员可以在解锁 设备键盘锁(锁定屏幕)和工作挑战键盘锁(锁定屏幕)。
5.11.1.Policy 可以关闭设备的以下键盘锁功能:
- 可信代理
- 指纹解锁
- 未隐去信息的通知
5.11.2. 您可以使用政策关闭工作资料的以下屏幕保护功能:
- 可信代理
- 指纹解锁
5.12. 高级屏保功能管理
- 安全摄像头
- 所有通知
- 未隐去
- 可信代理
- 指纹解锁
- 所有屏保功能
5.13.远程调试
Android Management API 不支持此功能。
5.14.MAC 地址检索
EMM 可以静默提取设备的 MAC 地址,以便在企业基础架构的其他部分识别设备(例如,在识别设备以进行网络访问控制时)。
5.14.1.EMM 可以静默检索设备的 MAC 地址。 并能在 EMM 控制台中将其与设备相关联。
5.15.高级锁定任务模式管理
通过专用设备,IT 管理员可以使用 EMM 的 控制台执行以下任务:
5.15.1.允许安装单个应用并将其锁定到设备,但不发出提示音 ,了解所有最新动态。
5.15.2.开启或关闭以下系统界面功能:
- 主屏幕按钮
- 概览
- 全局操作
- 通知
- 系统信息 / 状态栏
- 键盘锁(锁屏状态)。在下列情况下,系统会默认启用该子功能: 5.15.1.已实现。
5.15.3. 关闭系统错误对话框。
5.16.高级系统更新政策
IT 管理员可以设置指定的冻结期,以阻止设备上的系统更新。
5.16.1.EMM 的控制台必须允许 IT 管理员阻止无线下载 (OTA) 指定的冻结期内进行系统更新。
5.17.工作资料政策透明度管理
IT 管理员可以自定义移除工作时向用户显示的消息 创建个人资料
5.17.1.IT 管理员可以提供要显示的自定义文本
(前往wipeReasonMessage
)。
5.18.关联的应用支持
IT 管理员可以设置一个软件包列表 工作资料边界(通过设置 ConnectedWorkAndPersonalApp 来实现)。
5.19.手动系统更新
Android Management API 不支持此功能。
6. 设备管理服务弃用
6.1. 设备管理服务弃用
在 2022 年底前,EMM 必须在 2023 年第 1 季度末发布针对 GMS 设备上的设备管理客户服务的方案。
7. API 用量
7.1. 新绑定的标准政策控制器
默认情况下,对于任何新设备,必须使用 Android Device Policy 进行管理 绑定。EMM 可提供通过自定义 DPC 管理设备的选项, 设置区域(位于“高级”标题下)或类似术语。新客户数量 不得在任何技术栈之间进行任意选择, 新手入门或设置工作流程。
7.2. 适用于新设备的标准政策控制器
默认情况下,对于所有新设备,必须使用 Android Device Policy 管理设备 设备注册(包括现有绑定和新绑定)。EMM 可提供 在标题下方的设置区域中使用自定义设备政策控制器 (DPC) 管理设备的选项 “高级”或类似术语。 。