REST Resource: enterprises.policies

string

政策的名称，格式为 enterprises/{enterpriseId}/policies/{policyId}。

string (int64 format)

政策的版本。此字段是只读字段。每次更新政策时，版本都会递增。

object (ApplicationPolicy)

应用于应用的政策。此数组最多可包含 3,000 个元素。

string (int64 format)

用户活动的最长时间（以毫秒为单位），超过此时间后设备将锁定。值为 0 表示没有限制。

boolean

是否停用了屏幕截取功能。

boolean

如果 cameraAccess 设置为除 CAMERA_ACCESS_UNSPECIFIED 以外的任何值，则此属性无效。否则，此字段会控制摄像头是否处于停用状态：如果为 true，则所有摄像头均处于停用状态；否则，摄像头处于可用状态。对于完全受管设备，此字段适用于设备上的所有应用。对于工作资料，此字段仅适用于工作资料中的应用，工作资料之外的应用的摄像头访问权限不受影响。

enum (KeyguardDisabledFeature)

停用了锁屏自定义功能，例如 widget。

enum (PermissionPolicy)

针对运行时权限请求的默认权限政策。

object (PersistentPreferredActivity)

默认 intent 处理程序 activity。

object (Struct format)

设备的网络配置。如需了解详情，请参阅配置网络。

object (SystemUpdate)

系统更新政策，用于控制操作系统更新的应用方式。如果更新类型为 WINDOWED，更新窗口也会自动应用于 Play 应用更新。

注意： Google Play 系统更新（也称为 Mainline 更新）会自动下载，但需要重新启动设备才能安装。如需了解详情，请参阅管理系统更新中的 Mainline 部分。

string

无法由用户管理的账号类型。

boolean

是否禁止添加新用户和个人资料。对于 managementMode 为 DEVICE_OWNER 的设备，系统会忽略此字段，并且永远不允许用户添加或移除用户。

boolean

是否禁止调整主音量。还会将设备设为静音。此设置仅对完全托管的设备有效。

boolean

是否已禁止从设置中恢复出厂设置。

boolean

用户安装应用是否已停用。

boolean

装载实体外部媒体的用户是否已被停用。

boolean

是否已停用添加或移除账号功能。

boolean

是否禁止将设备重新启动进入安全启动模式。

boolean

用户是否无法卸载应用。这样可防止应用被卸载，即使是使用 applications 移除的应用也不例外

boolean

状态栏是否已停用。此设置会停用通知、快速设置和其他允许退出全屏模式的屏幕叠加层。已弃用。如需在自助服务终端设备上停用状态栏，请使用 InstallType KIOSK 或 kioskCustomLauncherEnabled。

boolean

如果为 true，则会针对主显示屏和/或辅助显示屏停用锁定屏幕。此政策仅在专用设备管理模式下受支持。

integer

允许的最低 Android API 级别。

object (StatusReportingSettings)

状态报告设置

boolean

蓝牙联系人共享功能是否已停用。

object (UserFacingMessage)

在管理员停用功能的设置界面中向用户显示的消息。如果消息长度超过 200 个字符，则可能会被截断。

object (UserFacingMessage)

在设备管理员的设置界面中向用户显示的消息。

object (PasswordRequirements)

密码要求。不得设置 passwordRequirements.require_password_unlock 字段。已弃用 - 请改用 passwordPolicies。

注意：

基于复杂程度的 PasswordQuality 值（即 COMPLEXITY_LOW、COMPLEXITY_MEDIUM 和 COMPLEXITY_HIGH）不能在此处使用。此处无法使用 unifiedLockSettings。

boolean

此版本已弃用。

boolean

配置蓝牙是否已停用。

boolean

配置小区广播是否已停用。

boolean

是否已停用配置用户凭据。

boolean

配置移动网络是否已停用。

boolean

是否停用配置网络共享和便携式热点的功能。如果 tetheringSettings 设置为 TETHERING_SETTINGS_UNSPECIFIED 以外的任何值，则此设置将被忽略。

boolean

是否停用配置 VPN。

boolean

配置 Wi-Fi 网络的功能是否已停用。完全受管理的设备和公司自有设备上的工作资料支持此设置。对于完全受管理设备，如果将此值设置为 true，则会移除所有已配置的网络，仅保留使用 openNetworkConfiguration 配置的网络。对于公司自有设备上的工作资料，现有已配置的网络不受影响，用户无法添加、移除或修改 Wi-Fi 网络。如果 configureWifi 设置为 CONFIGURE_WIFI_UNSPECIFIED 以外的任何值，则此设置会被忽略。注意：如果在启动时无法建立网络连接，并且 Wi-Fi 配置处于停用状态，系统会显示网络紧急出口，以便刷新设备政策（请参阅 networkEscapeHatchEnabled）。

boolean

是否停用创建应用窗口以外的窗口。

boolean

是否停用重置网络设置。

boolean

是否停用使用 NFC 从应用传输数据。

boolean

是否停用去电。

boolean

是否已停用移除其他用户的功能。

boolean

位置信息分享功能是否已停用。shareLocationDisabled 同时支持完全托管设备和个人自有工作资料。

boolean

是否已停用短信发送和接收功能。

boolean

如果 microphoneAccess 设置为除 MICROPHONE_ACCESS_UNSPECIFIED 以外的任何值，则此属性无效。否则，此字段会控制麦克风是否处于停用状态：如果为 true，则所有麦克风都处于停用状态；否则，麦克风处于可用状态。此功能仅适用于完全受管设备。

boolean

是否停用了通过 USB 传输文件的功能。只有公司自有设备支持此设置。

boolean

应用验证是否强制启用。

object (PackageNameList)

如果存在，则仅允许使用此列表中的软件包提供的输入法。如果此字段存在，但列表为空，则仅允许使用系统输入法。

enum (BatteryPluggedMode)

设备在哪些已接通电源的模式下保持开启状态。使用此设置时，建议清除 maximumTimeToLock，以便设备在保持开启状态时不会自行锁定。

object (ProxyInfo)

独立于网络的全局 HTTP 代理。通常，应在 openNetworkConfiguration 中按网络配置代理。不过，对于常规内部过滤等特殊配置，全局 HTTP 代理可能很有用。如果无法访问代理，网络访问可能会中断。全局代理只是一个建议，部分应用可能会忽略它。

boolean

是否禁止更改用户图标。此设置仅对完全托管的设备有效。

boolean

是否停用了更改壁纸的功能。

object (ChoosePrivateKeyRule)

用于确定应用对私钥的访问权限的规则。如需了解详情，请参阅 ChoosePrivateKeyRule。如果任何应用具有 CERT_SELECTION 委托范围，则此字段必须为空。

object (AlwaysOnVpnPackage)

始终开启的 VPN 连接的配置。与 vpnConfigDisabled 搭配使用可防止修改此设置。

string

用于恢复出厂设置保护机制的设备管理员的电子邮件地址。当设备恢复出厂设置后，需要其中一位管理员使用 Google 账号电子邮件地址和密码登录才能解锁设备。如果未指定任何管理员，设备将不会提供恢复出厂设置保护。

object (UserFacingMessage)

要在锁定屏幕上显示的设备所有者信息。

boolean

漫游数据服务是否已停用。

enum (LocationMode)

已启用的位置信息检测程度。

boolean

网络紧急出口是否已启用。如果在启动时无法建立网络连接，逃生出口会提示用户暂时连接到网络，以便刷新设备政策。应用政策后，系统会忘记临时网络，设备将继续启动。这样可防止出现以下情况：如果上一个政策中没有合适的网络，并且设备以锁定任务模式启动到某个应用，或者用户无法访问设备设置，则无法连接到网络。

注意：在特定情况下，将 wifiConfigDisabled 设置为 true 会覆盖此设置。如需了解详情，请参阅 wifiConfigDisabled。在特定情况下，将 configureWifi 设置为 DISALLOW_CONFIGURING_WIFI 会替换此设置。如需了解详情，请参阅 DISALLOW_CONFIGURING_WIFI。

boolean

蓝牙是否已停用。建议使用此设置，而不是 bluetoothConfigDisabled，因为用户可以绕过 bluetoothConfigDisabled。

object (ComplianceRule)

用于声明在设备不符合其政策时应采取哪些缓解措施的规则。如果满足多条规则的条件，系统会采取相应规则的所有缓解措施。规则数量上限为 100 条。请改用政策强制执行规则。

boolean

是否禁止安装 applications 中配置的应用以外的应用。如果设置了此政策，系统会自动卸载根据先前政策安装但不再出现在该政策中的应用。

boolean

此字段无效。

boolean

用户是否可以启用调试功能。

boolean

用户是否可以玩乐。控制是否停用“设置”中的彩蛋游戏。

boolean

是否需要自动设置时间，如果需要，则禁止用户手动设置日期和时间。如果设置了 autoDateAndTimeZone，则此字段会被忽略。

object (PackageNameList)

指定允许的无障碍服务。如果未设置该字段，则可以使用任何无障碍服务。如果设置了该字段，则只能使用此列表中的辅助功能服务和系统的内置辅助功能服务。特别是，如果该字段设置为空，则只能使用系统的内置无障碍服务。此设置可在完全受管设备和工作资料中进行。如果将此设置应用于工作资料，则会同时影响个人资料和工作资料。

enum (AppAutoUpdatePolicy)

建议的替代方案：autoUpdateMode，此设置是按应用设置的，可更灵活地控制更新频率。

如果 autoUpdateMode 设置为 AUTO_UPDATE_POSTPONED 或 AUTO_UPDATE_HIGH_PRIORITY，则此字段无效。

应用自动更新政策，用于控制何时可以应用自动应用更新。

boolean

信息亭自定义启动器是否已启用。这会将主屏幕替换为启动器，该启动器会将设备锁定为通过 applications 设置安装的应用。应用按字母顺序显示在单个页面上。使用 kioskCustomization 进一步配置自助服务终端设备行为。

enum (AppTrack)

不支持此设置。系统会忽略任何值。

boolean

用于在首次使用时跳过提示的标志。企业管理员可以启用应用系统推荐功能，以便用户在首次启动时跳过用户教程和其他入门提示。

boolean

允许在设备上显示界面，以便用户在 ChoosePrivateKeyRules 中没有匹配规则时选择私钥别名。对于低于 Android P 的设备，设置此标志可能会使企业密钥容易受到攻击。如果任何应用具有 CERT_SELECTION 委托范围，此值将不起作用。

enum (EncryptionPolicy)

是否已启用加密

boolean

是否启用了 USB 存储设备。已弃用。

object (PermissionGrant)

针对所有应用的明确权限或群组授予/拒绝。这些值会替换 defaultPermissionPolicy。

enum (PlayStoreMode)

此模式用于控制 Play 商店中可供用户使用的应用，以及从政策中移除应用时设备上的行为。

object (SetupAction)

在设置过程中需要采取的操作。最多只能指定一项操作。

object (PasswordRequirements)

密码要求政策。通过在政策中设置 passwordScope 字段，可以为工作资料或完全受管设备设置不同的政策。

object (PolicyEnforcementRule)

用于定义特定政策无法应用于设备时的行为的规则

object (KioskCustomization)

用于控制设备在自助服务终端模式下的行为的设置。如需启用自助服务终端模式，请将 kioskCustomLauncherEnabled 设置为 true，或在政策中指定应用，并使用 installType KIOSK。

object (AdvancedSecurityOverrides)

高级安全设置。在大多数情况下，无需设置这些属性。

object (PersonalUsagePolicies)

用于管理公司自有设备上的个人用途的政策。

enum (AutoDateAndTimeZone)

公司自有设备上是否启用了自动确定日期、时间和时区功能。如果设置了此参数，则会忽略 autoTimeRequired。

object (OncCertificateProvider)

此功能尚未正式发布。

object (CrossProfilePolicies)

设备上应用的跨个人资料政策。

enum (PreferentialNetworkService)

控制是否在工作资料或完全受管理的设备上启用优先网络服务。例如，某组织可能与运营商达成协议，规定其员工设备中的所有工作数据都将通过专供企业使用的网络服务发送。受支持的优先网络服务的一个示例是 5G 网络上的企业切片。如果搭载 Android 13 或更高版本的设备上设置了 preferentialNetworkServiceSettings 或 ApplicationPolicy.preferentialNetworkId，此政策将不会产生任何影响。

object (UsageLog)

设备活动日志记录的配置。

enum (CameraAccess)

控制相机的使用情况以及用户是否可以访问相机访问权限切换开关。

enum (MicrophoneAccess)

控制麦克风的使用，以及用户是否可以访问麦克风使用权切换开关。此设置仅适用于全代管式设备。

object (DeviceConnectivityManagement)

涵盖设备连接的控制，例如 Wi-Fi、USB 数据访问、键盘/鼠标连接等。

object (DeviceRadioState)

涵盖了无线状态（例如 Wi-Fi、蓝牙等）的控制。

enum (CredentialProviderPolicyDefault)

控制哪些应用可以在 Android 14 及更高版本上充当凭据提供程序。这些应用会存储凭据，如需了解详情，请参阅这篇文章和这篇文章。另请参阅 credentialProviderPolicy。

enum (PrintingPolicy)

可选。控制是否允许打印。搭载 Android 9 及更高版本的设备支持此功能。。

object (DisplaySettings)

可选。显示设置的控件。

enum (AssistContentPolicy)

可选。控制是否允许将 AssistContent 发送到特权应用（例如辅助应用）。AssistContent 包括屏幕截图和有关应用的信息（例如软件包名称）。Android 15 及更高版本支持此功能。

object (WorkAccountSetupConfig)

可选。控制工作账号设置配置，例如是否需要经过 Google 身份验证的账号。

enum (WipeDataFlag)

可选。擦除标志，用于指示因任何原因（例如不合规）触发设备或个人资料擦除时要擦除哪些数据。此属性不适用于 enterprises.devices.delete 方法。。此列表不得包含重复项。

enum (EnterpriseDisplayNameVisibility)

可选。控制 enterpriseDisplayName 是否在设备上显示（例如公司自有设备上的锁定屏幕消息）。

enum (AppFunctions)

可选。控制是否允许完全受管理的设备上的应用或具有工作资料的设备上的工作资料中的应用公开应用功能。

object (DefaultApplicationSetting)

可选。受支持类型的默认应用设置。如果成功为个人资料中的至少一种应用类型设置了默认应用，则系统会阻止用户更改该个人资料中的任何默认应用。

每个 DefaultApplicationType 只能有一个 DefaultApplicationSetting。

如需了解详情，请参阅默认应用设置指南。

string

应用的软件包名称。例如，YouTube 应用的软件包名称为 com.google.android.youtube。

enum (InstallType)

要执行的安装类型。

boolean

应用是否可以锁定为全屏模式。已弃用。使用 InstallType KIOSK 或 kioskCustomLauncherEnabled 配置专用设备。

enum (PermissionPolicy)

应用请求的所有权限的默认政策。如果指定，此设置会覆盖适用于所有应用的政策级 defaultPermissionPolicy。它不会替换适用于所有应用的 permissionGrants。

object (PermissionGrant)

针对应用的明确权限授予或拒绝。这些值会替换适用于所有应用的 defaultPermissionPolicy 和 permissionGrants。

object (Struct format)

应用于应用的受管配置。配置的格式由应用支持的 ManagedProperty 值决定。受管配置中的每个字段名称都必须与 ManagedProperty 的 key 字段匹配。字段值必须与 ManagedProperty 的 type 兼容：

boolean

应用是否已停用。停用后，应用数据仍会保留。

integer

设备上运行的应用的最低版本。如果设置了此值，设备会尝试将应用更新到至少此版本号。如果应用不是最新版本，设备将包含一个 NonComplianceDetail，并将 nonComplianceReason 设置为 APP_NOT_UPDATED。应用必须已发布到 Google Play，且版本代码大于或等于此值。每项政策最多可指定 20 个应用的最低版本代码。

enum (DelegatedScope)

从 Android Device Policy 委托给应用的范围。这些权限可为应用提供额外的特权。

object (ManagedConfigurationTemplate)

应用的托管配置模板，从托管配置 iframe 中保存。如果设置了 managedConfiguration，则此字段将被忽略。

string

企业所属设备可访问的应用轨道 ID 列表。如果该列表包含多个轨道 ID，设备会接收所有可访问轨道中的最新版本。如果该列表不包含任何轨道 ID，则设备只能访问应用的正式版轨道。如需详细了解每个轨道，请参阅 AppTrackInfo。

enum (ConnectedWorkAndPersonalApp)

控制应用是否可以在设备的工作资料和个人资料之间相互通信，但需征得用户同意。

enum (AutoUpdateMode)

控制应用的自动更新模式。

object (ExtensionConfig)

用于将此应用配置为扩展应用，使其能够离线与 Android 设备政策互动。

此字段最多只能针对一个应用进行设置。如果有任何应用具有 COMPANION_APP 角色，则无法设置此字段。

设备上应用的签名密钥证书指纹必须与 ApplicationPolicy.signingKeyCerts 或 ExtensionConfig.signingKeyFingerprintsSha256（已弃用）中的某个条目相匹配，或者与从 Play 商店获取的签名密钥证书指纹相匹配，这样应用才能与 Android Device Policy 通信。如果应用不在 Play 商店中，且未设置 ApplicationPolicy.signingKeyCerts 和 ExtensionConfig.signingKeyFingerprintsSha256（已弃用），则会报告包含 INVALID_VALUE 的 NonComplianceDetail。

enum (AlwaysOnVpnLockdownExemption)

指定在未连接 VPN 且 alwaysOnVpnPackage.lockdownEnabled 处于启用状态时，是否允许应用联网。如果设置为 VPN_LOCKDOWN_ENFORCED，则不允许应用联网；如果设置为 VPN_LOCKDOWN_EXEMPTION，则允许应用联网。仅在搭载 Android 10 及更高版本的设备上受支持。如果设备不支持此功能，则设备将包含一个 NonComplianceDetail，其中 nonComplianceReason 设置为 API_LEVEL，并包含一个 fieldPath。如果此设置不适用于相应应用，设备将包含一个 NonComplianceDetail，其中 nonComplianceReason 设置为 UNSUPPORTED，并包含一个 fieldPath。fieldPath 设置为 applications[i].alwaysOnVpnLockdownExemption，其中 i 是 applications 政策中软件包的索引。

enum (WorkProfileWidgets)

指定工作资料中安装的应用是否可以向主屏幕添加 widget。

enum (CredentialProviderPolicy)

可选。应用是否可以在 Android 14 及更高版本上充当凭据提供程序。

object (CustomAppConfig)

可选。相应自定义应用的配置。

必须将 installType 设置为 CUSTOM，才能设置此属性。

object (InstallConstraint)

可选。安装应用的限制条件。您最多可以指定一个 InstallConstraint。多个限制条件被拒绝。

integer

可选。在将 installType 设置为以下值的应用中：

• FORCE_INSTALLED
• PREINSTALLED

此属性用于控制安装的相对优先级。值为 0（默认值）表示此应用不比其他应用具有更高的优先级。对于介于 1 到 10,000 之间的值，值越小，优先级越高。超出 0 到 10,000（含）范围的值将被拒绝。

enum (UserControlSettings)

可选。指定是否允许用户控制应用。用户控制包括强行停止和清除应用数据等用户操作。某些类型的应用会受到特殊处理，详情请参阅 USER_CONTROL_SETTINGS_UNSPECIFIED 和 USER_CONTROL_ALLOWED。

enum (PreferentialNetworkId)

可选。应用使用的优先网络的 ID。preferentialNetworkServiceConfigs 中必须存在指定网络 ID 的配置。如果设置为 PREFERENTIAL_NETWORK_ID_UNSPECIFIED，应用将使用 defaultPreferentialNetworkId 中指定的默认网络 ID。如需查看不采用此默认设置的应用列表，请参阅 defaultPreferentialNetworkId 的文档。此方法适用于 Android 13 及更高版本上的工作资料和完全受管设备。

object (ApplicationSigningKeyCert)

可选。应用的签名密钥证书。

在以下情况下，此字段是必需的：

• 应用的 installType 设置为 CUSTOM （即自定义应用）。
• 应用已将 roles 设置为非空列表，但该应用在 Play 商店中不存在。
• 应用已设置 extensionConfig（即扩展应用），但未设置 ExtensionConfig.signingKeyFingerprintsSha256（已弃用），且应用在 Play 商店中不存在。

如果未为自定义应用设置此字段，系统会拒绝该政策。如果非自定义应用在需要时未设置此值，系统会报告 INVALID_VALUE 的 NonComplianceDetail。

在其他情况下，此字段是可选的，系统会使用从 Play 商店获取的签名密钥证书。

请参阅以下政策设置，了解此字段的用途：

• choosePrivateKeyRules
• ApplicationPolicy.InstallType.CUSTOM
• ApplicationPolicy.extensionConfig
• ApplicationPolicy.roles

object (Role)

可选。应用所具有的角色。

在 Android 14 及更高版本中，具有某些角色的应用可以免受电源和后台执行限制、暂停和休眠的限制。在 Android 11 及更高版本中，还可以禁止具有某些角色的应用使用用户控件。如需了解详情，请参阅各个 RoleType 的文档。

如果应用具有 <meta-data android:name="com.google.android.managementapi.notification.NotificationReceiverService.SERVICE_APP_ROLES" android:value="" /> 的通知接收器服务，则会收到有关为其设置的角色的通知。每当应用的任何角色更新时，或者在应用安装后（如果应用的角色列表不为空），系统都会通知该应用。应用可以使用此通知在安装后自行启动。如需详细了解该服务的相关要求，请参阅与 AMAPI SDK 集成和管理应用角色指南。

为了应用豁免并通知应用有关角色，设备上应用的签名密钥证书指纹必须与从 Play 商店获得的签名密钥证书指纹之一或 ApplicationPolicy.signingKeyCerts 中的条目之一相匹配。否则，系统会报告 APP_SIGNING_CERT_MISMATCH 的 NonComplianceDetail。

不得存在具有相同 roleType 的重复角色。多个应用不能持有具有相同 roleType 的角色。不允许使用类型为 ROLE_TYPE_UNSPECIFIED 的角色。

string

Android 权限或群组，例如 android.permission.READ_CALENDAR 或 android.permission_group.CALENDAR。

enum (PermissionPolicy)

授予相应权限的政策。

string

受管理的配置模板的 ID。

map (key: string, value: string)

可选，一个包含为配置定义的 <键，值> 配置变量的映射。

包含一系列 "key": value 对的对象。示例：{ "name": "wrench", "mass": "1.3kg", "count": "3" }。

string

扩展应用签名密钥证书的十六进制编码 SHA-256 哈希值。只有 64 个字符的十六进制字符串表示形式有效。

签名密钥证书指纹始终从 Play 商店获取，此字段用于提供额外的签名密钥证书指纹。不过，如果应用未在 Play 商店中发布，则需要设置此字段。如果应用在 Play 商店中不可用，但未设置此字段，系统会报告 INVALID_VALUE 的 NonComplianceDetail。

设备上扩展应用所用签名密钥证书的指纹必须与从 Play 商店获取的签名密钥证书指纹之一相符，或者与此字段中提供的指纹之一相符，这样应用才能与 Android 设备政策进行通信。

在生产用例中，建议将此字段留空。

string

接收器服务类的完全限定类名称，用于让 Android Device Policy 向扩展应用通知任何本地命令状态更新。该服务必须在扩展应用中导出，并扩展 NotificationReceiverService（如需了解详情，请参阅与 AMAPI SDK 集成指南）。AndroidManifest.xml

enum (UserUninstallSettings)

可选。自定义应用的用户卸载设置。

enum (NetworkTypeConstraint)

可选。网络类型限制。

enum (ChargingConstraint)

可选。充电限制。

enum (DeviceIdleConstraint)

可选。设备空闲状态限制。

string (bytes format)

必需。应用的签名密钥证书的 SHA-256 哈希值。此值必须是有效的 SHA-256 哈希值，即 32 字节。否则，系统会拒绝该政策。

使用 base64 编码的字符串。

enum (RoleType)

必需。应用可拥有的角色类型。

string

应作为默认 intent 处理程序的 activity。这应为 Android 组件名称，例如 com.android.enterprise.app/.MainActivity。或者，该值也可以是应用的软件包名称，这会导致 Android 设备政策从应用中选择合适的 activity 来处理 intent。

string

要在过滤器中匹配的 intent 操作。如果过滤条件中包含任何操作，则 intent 的操作必须是这些值之一才能匹配。如果未包含任何操作，则忽略 intent 操作。

string

要在过滤器中匹配的 intent 类别。intent 包含其所需的所有类别，所有这些类别都必须包含在过滤器中才能匹配。换句话说，除非 intent 中指定了某个类别，否则向过滤器添加该类别不会对匹配产生任何影响。

enum (SystemUpdateType)

要配置的系统更新类型。

integer

如果类型为 WINDOWED，则表示维护窗口的开始时间，以设备本地时间午夜后的分钟数来衡量。此值必须介于 0 到 1439 之间（含边界值）。

integer

如果类型为 WINDOWED，则表示维护窗口的结束时间，以设备本地时间午夜后的分钟数来衡量。此值必须介于 0 到 1439 之间（含边界值）。如果此值小于 startMinutes，则维护窗口会跨越午夜。如果指定的维护窗口小于 30 分钟，则实际窗口会延长到开始时间后的 30 分钟。

object (FreezePeriod)

每年重复出现的时间段，在此期间，无线下载 (OTA) 系统更新会被推迟，以冻结设备上运行的操作系统版本。为防止设备无限期冻结，每次冻结期之间必须间隔至少 60 天。

object (Date)

冻结期的开始日期（含）。注意：必须设置 day 和 month。不应设置 year，因为该属性不会被使用。例如 {"month": 1,"date": 30}。

object (Date)

冻结期的结束日期（含此日期）。不得晚于开始日期后的 90 天。如果结束日期早于开始日期，则冻结期被视为跨年。注意：必须设置 day 和 month。不应设置 year，因为该属性不会被使用。例如 {"month": 1,"date": 30}。

integer

日期中的年份。必须介于 1 到 9999 之间，或为 0（即指定不含年份的日期）。

integer

一年中的第几个月。必须介于 1 到 12 之间，或为 0（即只指定年份，不指定月份和天值）。

integer

一个月中的第几天。必须介于 1 到 31 之间并且对年份和月份有效，或为 0（即天不重要，指定单独的年份或者年份和月份）。

boolean

是否启用了应用报告。

boolean

是否启用设备设置报告。

boolean

是否启用了软件信息报告。

boolean

是否启用了内存事件报告。

boolean

是否已启用网络信息报告。

boolean

是否启用了展示报告。报告数据不适用于设置了工作资料的个人自有设备。

boolean

是否启用了电源管理事件报告。报告数据不适用于设置了工作资料的个人自有设备。

boolean

是否启用硬件状态报告。报告数据不适用于设置了工作资料的个人自有设备。

boolean

是否启用了系统属性报告。

object (ApplicationReportingSettings)

应用报告设置。仅在 applicationReportsEnabled 为 true 时适用。

boolean

是否启用了 Common Criteria Mode 报告。只有公司自有设备支持此设置。

boolean

可选。是否启用了 defaultApplicationInfo 报告。

boolean

是否在应用报告中包含已移除的应用。

string

软件包名称列表。

string

直接代理的主机。

integer

直接代理的端口。

string

对于直接代理，绕过代理的主机。主机名可以包含通配符，例如 *.example.com。

string

用于配置代理的 PAC 脚本的 URI。

string

要与请求的网址进行匹配的网址格式。如果未设置或为空，则匹配所有网址。此字段使用 java.util.regex.Pattern 的正则表达式语法。

string

此规则所适用的软件包名称。系统会根据 Play 商店和 ApplicationPolicy.signingKeyCerts 提供的签名密钥证书指纹验证应用的签名密钥证书指纹。如果未指定任何软件包名称，则别名会提供给调用 KeyChain.choosePrivateKeyAlias 或任何重载的所有应用（但即使在 Android 11 及更高版本上，也必须调用 KeyChain.choosePrivateKeyAlias）。如果某个应用的 Android UID 与此处指定的软件包相同，则该应用在调用 KeyChain.choosePrivateKeyAlias 时将具有访问权限。

string

要使用的私钥的别名。

string

VPN 应用的软件包名称。

boolean

不允许在 VPN 未连接时进行联网。

boolean

如果设置为 true，则规则包含用于停用应用的缓解措施，以便有效停用设备，但保留应用数据。如果设备在锁定任务模式下运行应用，系统将关闭该应用，并显示说明不合规原因的界面。

string

如果设置了此属性，规则会包含一项缓解措施，用于停用列表中指定的应用，但应用数据会保留。

object (NonComplianceDetailCondition)

如果设备存在任何匹配的 NonComplianceDetail，则满足相应条件。

object (ApiLevelCondition)

一种条件，如果设备上的 Android 框架 API 级别不满足最低要求，则满足该条件。

string

政策设置的名称。这是顶级 Policy 字段的 JSON 字段名称。如果未设置，则此条件与任何设置名称都匹配。

enum (NonComplianceReason)

设备不符合相应设置的原因。如果未设置，则此条件与任何原因都匹配。

string

不合规应用的软件包名称。如果未设置，则此条件与任何软件包名称都匹配。

integer

所需的最低 Android 框架 API 级别。如果设备不满足最低要求，则满足此条件。必须大于零。

object (UserFacingMessage)

相应操作的标题。

object (UserFacingMessage)

相应操作的说明。

object (LaunchAppAction)

用于启动应用的操作。系统将使用包含 extra 的 intent 启动应用，该 extra 的键 com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION 设置为布尔值 true，以表明这是一个设置操作流程。如果 SetupAction 引用了某个应用，则应用政策中对应的 installType 必须设置为 REQUIRED_FOR_SETUP，否则相应设置会失败。

string

要启动的应用的软件包名称

object (BlockAction)

用于阻止对公司自有设备或工作资料中的应用和数据的访问的操作。此操作还会触发面向用户的通知，其中包含有关如何修正违规问题的信息（如果可能）。注意：还必须指定 wipeAction。

object (WipeAction)

用于重置公司自有设备或删除工作资料的操作。注意：还必须指定 blockAction。

string

要强制执行的顶级政策。例如，applications 或 passwordPolicies。

integer

在设备或工作资料被屏蔽之前，政策处于不合规状态的天数。如需立即阻止访问，请设置为 0。blockAfterDays 必须小于 wipeAfterDays。

enum (BlockScope)

指定相应 BlockAction 的范围。仅适用于公司自有设备。

integer

设备或工作资料在违规多少天后会被擦除。wipeAfterDays 必须大于 blockAfterDays。

boolean

设备上是否保留了恢复出厂设置保护机制数据。此设置不适用于工作资料。

enum (PowerButtonActions)

设置设备在信息亭模式下，当用户按住（长按）电源按钮时的行为。

enum (SystemErrorWarnings)

指定在自助服务终端模式下是否屏蔽崩溃或无响应应用的系统错误对话框。如果应用被屏蔽，系统会强制停止该应用，就像用户在界面上选择“关闭应用”选项一样。

enum (SystemNavigation)

指定在自助服务终端模式下启用哪些导航功能（例如“主屏幕”按钮、“概览”按钮）。

enum (StatusBar)

指定在自助服务终端模式下是否停用系统信息和通知。

enum (DeviceSettings)

指定是否允许在自助服务终端模式下使用“设置”应用。

enum (UntrustedAppsPolicy)

在设备上强制执行的针对不受信任的应用（来自未知来源的应用）的政策。取代了 installUnknownSourcesAllowed (deprecated).

enum (GooglePlayProtectVerifyApps)

是否强制执行 Google Play 保护机制验证。取代 ensureVerifyAppsEnabled（已弃用）。

enum (DeveloperSettings)

控制对开发者设置（开发者选项和安全启动）的访问权限。取代 safeBootDisabled（已弃用）和 debuggingFeaturesAllowed（已弃用）。在设有工作资料的个人自有设备上，设置此政策不会停用安全启动。在这种情况下，系统会报告具有 MANAGEMENT_MODE 的 NonComplianceDetail。

enum (CommonCriteriaMode)

控制“通用准则模式” - 信息技术安全评估通用准则 (CC) 中定义的安全标准。启用通用标准模式可增强设备上某些安全组件的安全性，详情请参阅 CommonCriteriaMode。

警告：通用评估准则模式会强制执行严格的安全模型，通常仅适用于国家安全系统和其他高度敏感的组织中使用的 IT 产品。标准设备使用可能会受到影响。仅在需要时启用。如果之前已启用通用准则模式，但之后又将其关闭，则所有用户配置的 Wi-Fi 网络可能会丢失，并且任何需要用户输入的企业配置的 Wi-Fi 网络可能都需要重新配置。

string

可以使用 NotificationListenerService 读取工作资料通知的个人应用。默认情况下，除了系统应用之外，任何个人应用都无法读取工作通知。列表中的每个值都必须是软件包名称。

enum (MtePolicy)

可选。控制设备上的内存标记扩展 (MTE)。设备需要重新启动才能应用对 MTE 政策的更改。

enum (ContentProtectionPolicy)

可选。控制是否启用内容保护功能（该功能会扫描欺骗性应用）。Android 15 及更高版本支持此功能。

boolean

如果为 true，则表示在个人资料中停用了摄像头。

boolean

如果为 true，则禁止所有用户截屏。

string

无法由用户管理的账号类型。

integer

控制工作资料可以保持关闭状态的时间。最短时长必须至少为 3 天。其他详细信息如下：

• 如果将时长设置为 0，则该功能会关闭。
• 如果将时长设置为小于最短时长的值，该功能会返回错误。

enum (PlayStoreMode)

与 personalApplications 一起使用，用于控制个人资料中的应用是被允许还是被屏蔽。

object (PersonalApplicationPolicy)

应用于个人资料中应用的政策。

enum (PrivateSpacePolicy)

可选。控制是否允许在设备上使用私密空间。

enum (BluetoothSharing)

可选。是否允许蓝牙共享。

string

应用的软件包名称。

enum (InstallType)

要执行的安装类型。

string

此功能尚未正式发布。

object (ContentProviderEndpoint)

此功能尚未正式发布。

string

此功能尚未正式发布。

string

此功能尚未正式发布。

string

必需。此功能尚未正式发布。

enum (ShowWorkContactsInPersonalProfile)

个人应用是否可以访问工作资料中存储的联系人。

另请参阅 exemptionsToShowWorkContactsInPersonalProfile。

enum (CrossProfileCopyPaste)

从一个个人资料（个人或工作）复制的文本是否可以粘贴到另一个个人资料中。

enum (CrossProfileDataSharing)

一个资料（个人或工作）中的数据是否可以与另一个资料中的应用共享。专门控制通过 intent 进行的简单数据共享。其他跨资料通信渠道（例如联系人搜索、复制/粘贴或关联的工作应用和个人应用）的管理功能需单独配置。

enum (WorkProfileWidgetsDefault)

指定工作资料 widget 的默认行为。如果政策未针对特定应用指定 workProfileWidgets，则会根据此处指定的值运行。

enum (CrossProfileAppFunctions)

可选。控制个人资料应用是否可以调用工作资料中应用公开的应用函数。

object (PackageNameList)

从 ShowWorkContactsInPersonalProfile 设置中排除的应用的列表。若要设置此值，ShowWorkContactsInPersonalProfile 必须设置为以下值之一：

• SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_ALLOWED。在这种情况下，这些豁免充当屏蔽名单。
• SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_DISALLOWED。在这种情况下，这些豁免充当许可名单。
• SHOW_WORK_CONTACTS_IN_PERSONAL_PROFILE_DISALLOWED_EXCEPT_SYSTEM。在这种情况下，除了已列入许可名单的系统应用之外，这些豁免还充当许可名单。

在 Android 14 及更高版本上受支持。如果 Android 版本低于 14，则报告具有 API_LEVEL 的 NonComplianceDetail。

enum (LogType)

指定启用了哪些日志类型。请注意，启用使用情况日志记录后，用户会收到设备上的消息。

enum (LogType)

指定哪些已启用的日志类型可以通过移动数据上传。默认情况下，当设备连接到 Wi-Fi 时，日志会排队等待上传。

enum (UsbDataAccess)

控制可通过 USB 传输哪些文件和/或数据。仅在公司自有设备上受支持。

enum (ConfigureWifi)

控制 Wi-Fi 配置权限。根据设置的选项，用户在配置 Wi-Fi 网络时将拥有完全控制权、有限控制权或无控制权。

enum (WifiDirectSettings)

控制配置和使用 Wi-Fi Direct 设置。在搭载 Android 13 及更高版本的公司自有设备上受支持。

enum (TetheringSettings)

控制网络共享设置。根据设置的值，用户会被部分或完全禁止使用不同形式的网络共享。

object (WifiSsidPolicy)

限制设备可以连接到的 Wi-Fi SSID。请注意，这不会影响可在设备上配置的网络。在搭载 Android 13 及更高版本的公司自有设备上受支持。

object (WifiRoamingPolicy)

可选。Wi-Fi 漫游政策。

enum (BluetoothSharing)

可选。控制是否允许蓝牙共享。

object (PreferentialNetworkServiceSettings)

可选。优先网络服务配置。设置此字段会覆盖 preferentialNetworkService。此设置可在搭载 Android 13 及更高版本的设备上针对工作资料和完全受管设备进行设置。如需了解详情，请参阅 5G 网络切片指南。

object (ApnPolicy)

可选。接入点名称 (APN) 政策。接入点名称 (APN) 的配置，可能会替换设备上的任何其他 APN。如需了解详情，请参阅 OVERRIDE_APNS_ENABLED 和 overrideApns。

enum (WifiSsidPolicyType)

要应用的 Wi-Fi SSID 政策的类型。

object (WifiSsid)

可选。应在政策中应用的 Wi-Fi SSID 列表。当 WifiSsidPolicyType 设置为 WIFI_SSID_ALLOWLIST 时，此字段不得为空。如果此属性设置为非空列表，则当 Android 版本低于 13 时，系统会报告包含 API_LEVEL 的 NonComplianceDetail 详细信息；对于非公司自有设备，系统会报告包含 MANAGEMENT_MODE 的 NonComplianceDetail。

string

必需。以字符串表示的 Wi-Fi SSID。

object (WifiRoamingSetting)

可选。Wi-Fi 漫游设置。此列表中提供的 SSID 必须是唯一的，否则系统会拒绝相应政策。

string

必需。Wi-Fi 网络的 SSID。

enum (WifiRoamingMode)

必需。指定 SSID 的 Wi-Fi 漫游模式。

object (PreferentialNetworkServiceConfig)

必需。优先网络服务配置，可实现多个企业切片。不得有多个具有相同 preferentialNetworkId 的配置。如果某个配置未通过设置 ApplicationPolicy.preferentialNetworkId 或 defaultPreferentialNetworkId 被任何应用引用，则会被忽略。对于使用 4G 网络的设备，还需要配置企业 APN，以便设置数据通话以获得优先网络服务。可以使用 apnPolicy 添加这些 APN。

enum (PreferentialNetworkId)

必需。不在 applications 中的应用的默认优先网络 ID，或者 ApplicationPolicy.preferentialNetworkId 设置为 PREFERENTIAL_NETWORK_ID_UNSPECIFIED 时的默认优先网络 ID。除非将此属性设置为 NO_PREFERENTIAL_NETWORK，否则 preferentialNetworkServiceConfigs 中必须包含指定网络 ID 的配置。如果设置为 PREFERENTIAL_NETWORK_ID_UNSPECIFIED 或未设置，则默认为 NO_PREFERENTIAL_NETWORK。注意：如果默认的优先网络配置错误，未设置 ApplicationPolicy.preferentialNetworkId 的应用将无法访问互联网。此设置不适用于以下关键应用：

• com.google.android.apps.work.clouddpc
• com.google.android.gms

ApplicationPolicy.preferentialNetworkId 仍可用于为其配置首选网络。

enum (PreferentialNetworkId)

必需。优先网络标识符。不得将此政策设置为 NO_PREFERENTIAL_NETWORK 或 PREFERENTIAL_NETWORK_ID_UNSPECIFIED，否则系统会拒绝该政策。

enum (FallbackToDefaultConnection)

可选。是否允许回退到设备级默认网络。如果此政策设置为 FALLBACK_TO_DEFAULT_CONNECTION_ALLOWED，则 nonMatchingNetworks 不得设置为 NON_MATCHING_NETWORKS_DISALLOWED，否则该政策将被拒绝。注意：如果此设置设为 FALLBACK_TO_DEFAULT_CONNECTION_DISALLOWED，则在 5G 切片不可用的情况下，应用将无法访问互联网。