本页列出了完整的 Android 企业版功能集。
如果您打算管理 500 部以上的设备,您的 EMM 解决方案必须支持至少一个解决方案集的所有标准功能 (),然后才能进行商业发布。通过标准功能验证的 EMM 解决方案会在 Android 的企业解决方案目录中列出,并被标记为提供标准管理集。
每个解决方案集都提供了一组额外的高级功能。这些功能在每个解决方案集页面中都有注明:个人自有设备上的工作资料、公司自有设备上的工作资料、完全托管式设备和专用设备。通过高级功能验证的 EMM 解决方案会在 Android 的企业解决方案目录中列出,并标明其提供高级管理集。
键
| 标准功能 | 高级功能 | 可选功能 | 不适用 |
1. 设备配置
1.1. 最先采用 DPC 的工作资料配置
从 Google Play 下载 Android Device Policy 后,用户可以配置工作资料。
1.1.1. EMM 会向 IT 管理员提供二维码或激活码,以支持此配置方法(请参阅 注册和配置设备)。
1.2. DPC 标识符设备配置
在设备的设置向导中输入“afw#”可配置全托管式设备或专用设备。
1.2.1. EMM 会向 IT 管理员提供二维码或激活码,以支持此配置方法(请参阅注册和配置设备)。
1.3. NFC 设备配置
IT 管理员可以按照 Play EMM API 开发者文档中定义的实现指南,使用 NFC 标记来配置新设备或恢复出厂设置的设备。
1.3.1. EMM 必须使用内存至少为 888 字节的 NFC Forum 类型 2 标签。 配置必须使用配置 extra 将非敏感注册详细信息(例如服务器 ID 和注册 ID)传递给设备。注册详细信息不应包含密码或证书等敏感信息。
1.3.2. 由于 NFC Beam(也称为 NFC 触碰)已弃用,我们建议从 Android 10 开始使用 NFC 标签。
1.4. 二维码设备配置
EMM 的控制台可以生成一个二维码,IT 管理员可以扫描该二维码来配置全代管式设备或专用设备,具体操作请遵循 Android Management API 开发者文档中定义的实现指南。
1.4.1. 二维码必须使用配置 extra 将非敏感注册详细信息(例如服务器 ID、注册 ID)传递给设备。 注册详细信息不得包含密码或证书等敏感信息。
1.5. 零触摸注册
IT 管理员可以预配置从授权转销商处购买的设备,并使用 EMM 控制台管理这些设备。
1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法来配置公司自有设备。
1.5.2. 当设备首次开机时,系统会自动强制将设备设置为 IT 管理员定义的设置。
1.6. 高级零触摸配置
IT 管理员可以通过零触摸注册自动执行大部分设备注册流程。结合使用登录网址,IT 管理员可以根据 EMM 提供的配置选项,将注册限制为特定账号或网域。
1.6.1. IT 管理员可以使用零触摸注册方法配置公司自有设备。
1.6.2. 此要求已弃用。
1.6.3. 使用登录网址,EMM 必须确保未经授权的用户无法继续进行激活。 至少,必须将激活锁定为仅限特定企业的用户。
1.6.4. 使用登录网址,EMM 必须允许 IT 管理员预先填充注册详细信息(例如服务器 ID、注册 ID),但不能填充唯一的用户或设备信息(例如用户名/密码、激活令牌),以便用户在激活设备时无需输入详细信息。
- EMM 不得在零接触注册的配置中包含密码或证书等敏感信息。
1.7. Google 账号工作资料配置
对于使用受管理的 Google 网域的企业,此功能可在用户在设备设置期间或在已激活的设备上输入其公司 Workspace 凭据后,引导用户完成工作资料的设置。在这两种情况下,公司 Workspace 身份都将迁移到工作资料中。
1.8. Google 账号设备配置
Android Management API 不支持此功能。
1.9. 直接零触摸配置
IT 管理员可以使用 EMM 的控制台通过零触摸 iframe 设置零触摸设备。
1.10. 公司自有设备上的工作资料
EMM 可以通过设置 AllowPersonalUsage 来注册启用了工作资料的公司自有设备。
1.10.1. 故意留空。
1.10.2. IT 管理员可以通过 PersonalUsagePolicies 为公司自有设备上的工作资料设置合规性操作。
1.10.3. IT 管理员可以通过 PersonalUsagePolicies 停用工作资料或整个设备中的相机。
1.10.4. IT 管理员可以通过 PersonalUsagePolicies 停用工作资料或整个设备中的屏幕截图功能。
1.10.5. IT 管理员可以通过 PersonalApplicationPolicy 设置无法在个人资料中安装的应用的禁止名单。
1.10.6. IT 管理员可以通过移除工作资料或擦除整个设备来放弃对公司自有设备的管理权限。
1.11. 专用设备配置
IT 管理员可以注册专用设备,而无需提示用户使用 Google 账号进行身份验证。
2. 设备安全
2.1. 设备安全验证
IT 管理员可以在受管设备上设置并强制执行设备安全验证(PIN 码/解锁图案/密码),并从预定义的 3 个复杂度级别中进行选择。
2.1.1. 政策必须强制执行用于管理设备安全挑战的设置(工作资料的 parentProfilePasswordRequirements,完全受管设备和专用设备的 passwordRequirements)。
2.1.2. 密码复杂度应映射到以下密码复杂度:
- PASSWORD_COMPLEXITY_LOW - 包含重复 (4444) 或有序(1234、4321、2468)序列的解锁图案或 PIN 码。
- PASSWORD_COMPLEXITY_MEDIUM - 不包含重复 (4444) 或有序(1234、4321、2468)序列的 PIN 码,长度至少为 4 的字母或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 不包含重复 (4444) 或有序(1234、4321、2468)序列且长度至少为 8 的 PIN 码,或者长度至少为 6 的字母或字母数字密码
2.1.3. 此外,还可以在公司自有设备上以旧版设置的形式强制执行其他密码限制。
2.2. 工作资料安全验证
IT 管理员可以为工作资料中的应用和数据设置并强制执行安全性质询,该安全性质询与设备安全性质询 (2.1.) 不同,并且有不同的要求。
2.2.1. 政策必须强制执行工作资料的安全验证。
- 默认情况下,如果未指定范围,IT 管理员应仅针对工作资料设置限制
- IT 管理员可以通过指定范围(请参阅要求 2.1)来设置此设备范围
2.2.2. 密码复杂度应映射到以下预定义的密码复杂度:
- PASSWORD_COMPLEXITY_LOW - 包含重复 (4444) 或有序(1234、4321、2468)序列的解锁图案或 PIN 码。
- PASSWORD_COMPLEXITY_MEDIUM - 不包含重复 (4444) 或有序(1234、4321、2468)序列的 PIN 码,长度至少为 4 的字母或字母数字密码
- PASSWORD_COMPLEXITY_HIGH - 不包含重复 (4444) 或有序(1234、4321、2468)序列且长度至少为 8 的 PIN 码,或者长度至少为 6 的字母或字母数字密码
2.2.3. 还可以通过旧版设置强制执行其他密码限制
2.3. 高级密码管理
IT 管理员可以在设备上设置高级密码设置。
2.3.1. 故意留空。
2.3.2. 故意留空。
2.3.3. 您可以为设备上的每个锁屏设置以下密码生命周期设置:
- 故意留空
- 故意留空
- 擦除操作允许的最大密码输入错误次数:指定用户在公司数据从设备中擦除之前可以输入错误密码的次数。IT 管理员必须能够关闭此功能。
2.3.4. (Android 8.0 及更高版本)需要强身份验证的超时时间:在IT 管理员设置的超时时间过后,必须输入强身份验证密码(例如 PIN 码或密码)。在超时期限过后,非加强型身份验证方法(例如指纹、人脸解锁)会被关闭,直到设备通过加强型身份验证密码解锁。
2.4. 智能门锁管理
IT 管理员可以管理是否允许 Android 的 Smart Lock 功能中的可信代理将设备解锁状态延长至最多 4 小时。
2.4.1. IT 管理员可以停用设备上的信任代理。
2.5. 擦除并锁定
IT 管理员可以使用 EMM 的控制台远程锁定受管设备并擦除其中的工作数据。
2.5.1. 设备必须使用 Android Management API 进行锁定。
2.5.2. 必须使用 Android Management API 清除设备。 .
2.6. 合规性强制执行
如果设备不符合安全政策,Android Management API 设置的合规性规则会自动限制工作数据的使用。
2.6.1. 设备上强制执行的安全政策必须至少包含密码政策。
2.7. 默认安全政策
EMM 必须默认在设备上强制执行指定的安全政策,而无需 IT 管理员在 EMM 的控制台中设置或自定义任何设置。建议(但并非强制要求)EMM 不允许 IT 管理员更改这些安全功能的默认状态。
2.7.1. 必须禁止安装未知来源的应用,包括安装在任何设有工作资料的 Android 8.0 及更高版本设备的个人资料中的应用。 默认情况下支持此子功能。
2.7.2. 必须屏蔽调试功能。此子功能默认受支持。
2.8. 专用设备的安全政策
锁定专用设备不允许执行其他操作。
2.8.1. 必须默认使用政策关闭启动进入安全模式(前往 safeBootDisabled)。
2.9. Play Integrity 支持
系统默认会进行 Play Integrity 检查。无需额外的实现。
2.9.1. 故意留空。
2.9.2. 故意留空。
2.9.3. IT 管理员可以根据设备的 SecurityRisk 值设置不同的政策响应,包括阻止配置、清除公司数据和允许继续注册。
- EMM 服务将针对每次完整性检查的结果强制执行此政策响应。
2.9.4. 故意留空。
2.10. 强制要求验证应用
IT 管理员可以在设备上开启验证应用。“验证应用”功能会在 Android 设备上安装应用之前和之后扫描应用,以检测是否存在有害软件,从而有助于确保恶意应用不会泄露公司数据。
2.10.1. 必须使用政策(前往 ensureVerifyAppsEnabled)默认开启“验证应用”。
2.11. 直接启动支持
Android Management API 默认支持此功能。无需进行额外的实现。
2.12. 硬件安全管理
IT 管理员可以锁定公司自有设备的硬件元素,以确保数据泄露防护。
2.12.1. IT 管理员可以使用政策(前往 mountPhysicalMediaDisabled)阻止用户装载物理外部媒体。
2.12.2. IT 管理员可以使用政策(前往 outgoingBeamDisabled)阻止用户使用 NFC Beam 从其设备分享数据。此子功能是可选的,因为 Android 10 及更高版本不再支持 NFC Beam 功能。
2.12.3. IT 管理员可以使用政策(前往 usbFileTransferDisabled)禁止用户通过 USB 传输文件。
2.13. 企业安全日志记录
Android Management API 不支持此功能。
3. 账号和应用管理
3.1. 企业绑定
IT 管理员可以将 EMM 绑定到组织,从而允许 EMM 使用 Google Play 企业版向设备分发应用。
3.1.1. 拥有现有受管理 Google 网域的管理员可以将网域绑定到 EMM。
3.1.2. 故意留空。
3.1.3. 故意留空。
3.1.4. EMM 控制台会引导管理员在 Android 注册流程中输入其工作电子邮件地址,并建议他们不要使用 Gmail 账号。
3.1.5. EMM 会在 Android 注册流程中预填充管理员的电子邮件地址。
3.2. Google Play 企业版账号配置
EMM 可以静默配置企业用户账号(称为受管理的 Google Play 账号)。这些账号用于标识受管理的用户,并允许制定针对每个用户的独特应用分发规则。
3.2.1. 在配置设备时,系统会自动创建 Google Play 企业版账号(用户账号)。
Android Management API 默认支持此功能。无需进行额外的实现。
3.3. Google Play 企业版设备账号配置
EMM 可以创建和配置 Google Play 企业版设备账号。设备账号支持从 Google Play 企业版商店静默安装应用,并且不与单个用户相关联。而是使用设备账号来标识单个设备,以便在专用设备场景中支持按设备设置的应用分发规则。
3.3.1. 当设备完成配置后,系统会自动创建 Google Play 企业版账号。
Android Management API 默认支持此功能。无需进行额外的实现。
3.4. 为旧版设备配置 Google Play 企业版账号
此功能已弃用。
3.5. 静默应用分发
IT 管理员可以在设备上静默分发工作应用,无需任何用户互动。
3.5.1. EMM 的控制台必须使用 Android Management API,以便 IT 管理员在受管理设备上安装工作应用。
3.5.2. EMM 的控制台必须使用 Android Management API,以便 IT 管理员更新受管设备上的工作应用。
3.5.3. EMM 的控制台必须使用 Android Management API,以便 IT 管理员在受管理的设备上卸载应用。
3.6. 受管理配置管理
IT 管理员可以查看并以静默方式设置支持受管配置的任何应用的受管配置。
3.6.1. EMM 的控制台必须能够检索和显示任何 Play 应用的受管理配置设置。
3.6.2. EMM 的控制台必须允许 IT 管理员使用 Android Management API 为任何 Play 应用设置任何配置类型(如 Android Enterprise 框架所定义)。
3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符(例如 $username$ 或 %emailAddress%),以便将 Gmail 等应用的单个配置应用于多个用户。
3.7. 应用目录管理
Android Management API 默认支持此功能。无需进行其他实现。
3.8. 程序化应用审批
EMM 的控制台使用 Google Play 企业版 iframe 来支持 Google Play 的应用发现和审批功能。IT 管理员无需离开 EMM 的控制台,即可搜索应用、批准应用和批准新的应用权限。
3.8.1. IT 管理员可以使用 Google Play 企业版 iframe 在 EMM 的控制台中搜索应用并批准应用。
3.9. 基本商店布局管理
您可以使用 Google Play 企业版商店应用安装和更新工作应用。 默认情况下,Google Play 企业版商店会以单个列表显示为用户批准的应用。此布局称为基本商店布局。
3.9.1. EMM 的控制台应允许 IT 管理员管理最终用户基本商店布局中显示的应用。
3.10. 高级商店布局配置
3.10.1. IT 管理员可以自定义 Google Play 企业版商店应用中显示的商店布局。
3.11. 应用许可管理
此功能已弃用。
3.12. Google 托管的专用应用管理
IT 管理员可以通过 EMM 控制台(而非 Google Play 管理中心)更新 Google 托管的专用应用。
3.12.1. IT 管理员可以使用以下方法将已私下发布给企业的新版应用上传到企业:
3.13. 自行托管的专用应用管理
IT 管理员可以设置和发布自托管的专用应用。与 Google 托管的专用应用不同,Google Play 不托管 APK。相反,EMM 会帮助 IT 管理员自行托管 APK,并通过确保只有在受管理的 Google Play 授权的情况下才能安装自行托管的应用,来帮助保护这些应用。
3.13.1. EMM 的控制台必须通过提供以下两种选项来帮助 IT 管理员托管应用 APK:
- 在 EMM 的服务器上托管 APK。服务器可以是本地服务器,也可以是基于云的服务器。
- 由企业自行决定是否在 EMM 的服务器之外托管 APK。IT 管理员必须在 EMM 控制台中指定 APK 的托管位置。
3.13.2. EMM 的控制台必须使用提供的 APK 生成相应的 APK 定义文件,并引导 IT 管理员完成发布流程。
3.13.3. IT 管理员可以更新自行托管的专用应用,并且 EMM 的控制台可以使用 Google Play Developer Publishing API 静默发布更新后的 APK 定义文件。
3.13.4. EMM 的服务器会处理对包含有效 JWT 的自托管 APK 的下载请求,该 JWT 位于请求的 Cookie 中,并已通过私密应用的公钥进行验证。
- 为方便此流程,EMM 的服务器必须引导 IT 管理员从 Google Play 管理中心下载自行托管应用的许可公钥,并将此密钥上传到 EMM 控制台。
3.14. EMM 拉取通知
此功能不适用于 Android Management API。请改为设置 Pub/Sub 通知。
3.15. API 使用要求
EMM 会大规模实现 Android Management API,避免可能对企业在生产环境中管理应用的能力产生负面影响的流量模式。
3.15.1. EMM 必须遵守 Android Management API 用量限制。如果不纠正超出这些准则的行为,Google 可能会自行决定暂停 API 使用权限。
3.15.2. EMM 应在一天内分配来自不同企业的流量,而不是在特定或相似的时间合并企业流量。如果出现符合此流量模式的行为(例如为每个已注册的设备安排批量操作),Google 可能会自行决定暂停 API 使用权限。
3.15.3. EMM 不应持续发出不完整或故意不正确的请求,并且不尝试检索或管理实际的企业数据。如果行为符合此流量模式,Google 可能会自行决定暂停相应 API 的使用。
3.16. 高级受管配置管理
EMM 支持以下高级受管配置管理功能:
3.16.1. EMM 的控制台必须能够使用以下方式检索和显示任何 Play 应用的最多四级嵌套受管理配置设置:
- Google Play 企业版 iframe,或
- 自定义界面。
3.16.2. 当 IT 管理员设置 EMM 的控制台时,该控制台必须能够检索并显示应用反馈渠道返回的任何反馈。
- EMM 的控制台必须允许 IT 管理员将特定反馈项与生成该反馈项的设备和应用相关联。
- EMM 的控制台必须允许 IT 管理员订阅特定消息类型(例如错误消息)的提醒或报告。
3.16.3. EMM 的控制台必须仅发送具有默认值或由管理员手动设置的值,方法是使用:
- 受管理配置 iframe,或
- 自定义界面。
3.17. Web 应用管理
IT 管理员可以在 EMM 控制台中创建和分发 Web 应用。
3.17.1. 借助 EMM 控制台,IT 管理员可以使用以下方式分发 Web 应用的快捷方式:
3.18. Google Play 企业版账号生命周期管理
EMM 可以代表 IT 管理员创建、更新和删除受管理的 Google Play 账号,并自动从账号过期中恢复。
此功能默认受支持。无需额外的 EMM 实现。
3.19. 应用轨道管理
3.19.1. IT 管理员可以提取开发者为特定应用设置的轨道 ID 列表。
3.19.2. IT 管理员可以将设备设置为使用应用的特定开发轨道。
3.20. 高级应用更新管理
IT 管理员可以允许立即更新应用,也可以将应用更新推迟 90 天。
3.20.1. IT 管理员可以允许应用使用高优先级应用更新,以便在更新准备就绪时进行更新。 3.20.2. IT 管理员可以允许应用推迟应用更新 90 天。
3.21. 配置方法管理
EMM 可以生成配置配置,并以可分发给最终用户的形式(例如二维码、零触摸配置、Play 商店网址)将其呈现给 IT 管理员。
3.22. 升级企业绑定
IT 管理员可以将企业绑定类型升级为受管理的 Google 企业版网域,从而允许组织在已注册的设备上访问 Google 账号服务和功能。
3.22.1. 借助 EMM 控制台,IT 管理员可以使用必需的 API 将现有的 Google Play 企业版账号集升级为 Google 企业版域名。
3.22.2. EMM 应使用 Pub/Sub 接收有关 IT 管理员发起的升级事件(即使这些事件发生在 EMM 控制台之外)的通知,并更新其界面以反映这些更改。
3.23. 受管理的 Google 账号配置
EMM 可以为设备配置企业用户账号,称为受管理的 Google 账号。 这些账号用于标识受管理的用户,并允许应用分发规则,以及允许访问 Google 服务。此外,IT 管理员还可以设置政策,以要求在注册期间或之后进行受管理的 Google 账号身份验证。
3.23.1. EMM 可以根据已定义的实施指南预配受管理的 Google 账号。
这样一来:
- 向设备添加受管理的 Google 账号。
- 受管理的 Google 账号必须与 EMM 控制台中的实际用户一一对应。
3.23.2. IT 管理员可以使用此政策为用户提供登录受管理的 Google 账号以进行注册的选项。
3.23.3. IT 管理员可以使用此政策来控制用户是否必须登录受管理的 Google 账号才能完成注册。
3.23.4. IT 管理员可以选择性地将升级流程限制为特定设备的特定账号标识符(电子邮件地址)。
3.24. Google Play 企业版账号升级
IT 管理员可以将用户账号类型升级为受管理的 Google 账号,从而允许设备在已注册的设备上访问 Google 账号服务和功能。
3.24.1. IT 管理员可以将设备上现有的 Google Play 企业版账号升级为受管理的 Google 账号。
3.24.2. IT 管理员可以选择性地将升级流程限制为特定设备的特定账号标识符(电子邮件地址)。
4. 设备管理
4.1. 运行时权限政策管理
IT 管理员可以静默设置对工作应用发出的运行时权限请求的默认响应。
4.1.1. IT 管理员在为其组织设置默认运行时权限政策时,必须能够从以下选项中进行选择:
- 提示(允许用户选择)
- allow
- deny
EMM 应使用政策强制执行这些设置。
4.2. 运行时权限授予状态管理
设置默认运行时权限政策(前往 4.1)后,IT 管理员可以为基于 API 23 或更高版本构建的任何工作应用中的特定权限静默设置响应。
4.2.1. IT 管理员必须能够设置基于 API 23 或更高版本构建的任何工作应用所请求的任何权限的授予状态(默认、授予或拒绝)。EMM 应使用政策强制执行这些设置。
4.3. Wi-Fi 配置管理
IT 管理员可以在受管理设备上以静默方式预配企业 Wi-Fi 配置,包括:
4.3.1. SSID,使用政策。
4.3.2. 密码,使用政策。
4.4. Wi-Fi 安全管理
IT 管理员可以在包含以下高级安全功能的设备上配置企业 Wi-Fi 配置:
4.4.1. 身份
4.4.2. 用于客户端授权的证书
4.4.3. CA 证书
4.5. 高级 Wi-Fi 管理
IT 管理员可以锁定受管理设备上的 Wi-Fi 配置,以防止用户创建配置或修改公司配置。
4.5.1. IT 管理员可以使用政策锁定公司 Wi-Fi 配置,方法是采用以下任一配置:
- 用户无法修改 EMM 提供的任何 Wi-Fi 配置(前往
wifiConfigsLockdownEnabled),但可以添加和修改自己的用户可配置网络(例如个人网络)。 - 用户无法在设备上添加或修改任何 Wi-Fi 网络(前往
wifiConfigDisabled),从而将 Wi-Fi 连接限制为仅限 EMM 预配的网络。
4.6. 账号管理
IT 管理员可以确保只有授权的公司账号才能与公司数据互动,例如 SaaS 存储和效率类应用或电子邮件。如果不使用此功能,用户可以将个人账号添加到也支持消费者账号的公司应用中,从而能够与这些个人账号共享公司数据。
4.6.1. IT 管理员可以禁止用户添加或修改账号(请参阅 modifyAccountsDisabled)。
- 在设备上强制执行此政策时,EMM 必须在完成配置之前设置此限制,以确保用户无法通过在政策生效之前添加账号来规避此政策。
4.7. Workspace 账号管理
此功能已弃用。如需了解更换要求,请参阅 3.23.
4.8. 证书管理
允许 IT 管理员将身份证书和证书授权机构部署到设备,以允许使用公司资源。
4.8.1. IT 管理员可以根据用户,安装由其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个 PKI 集成,并分发从该基础架构生成的证书。
4.8.2. IT 管理员可以在受管理的密钥库中安装证书授权机构(请参阅 caCerts)。不过,此子功能不受支持。
4.9. 高级证书管理
允许 IT 管理员以静默方式选择特定受管理应用应使用的证书。借助此功能,IT 管理员还可以从有效设备中移除 CA 和身份证书,并阻止用户修改受管理的密钥库中存储的凭据。
4.9.1. 对于分发到设备的任何应用,IT 管理员都可以指定应用在运行时将以静默方式获得访问权限的证书。(不支持此子功能)
- 证书选择必须足够通用,以便允许单个配置应用于所有用户,每个用户可能都有特定于用户的身份证书。
4.9.2. IT 管理员可以从受管理的密钥库中静默移除证书。
4.9.3. IT 管理员可以静默卸载 CA 证书。(不支持此子功能)
4.9.4. IT 管理员可以禁止用户在受管理的密钥库中配置凭据(前往 credentialsConfigDisabled)。
4.9.5. IT 管理员可以使用 ChoosePrivateKeyRule 为工作应用预先授予证书。
4.10. 委托证书管理
IT 管理员可以向设备分发第三方证书管理应用,并授予该应用特权访问权限,以将证书安装到受管理的密钥库中。
4.10.1. IT 管理员可以指定要设置为委托证书管理应用的证书管理软件包(前往 delegatedCertInstallerPackage)。
- EMM 可以选择性地建议已知的证书管理软件包,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.11. 高级 VPN 管理
允许 IT 管理员指定“始终开启的 VPN”,以确保指定受管理应用的数据始终通过设置的 VPN。
4.11.1. IT 管理员可以指定任意 VPN 软件包设置为“始终开启的 VPN”。
- EMM 的控制台可能会选择性地建议支持“始终开启的 VPN”的已知 VPN 软件包,但不能将可用于“始终开启”配置的 VPN 限制为任何任意列表。
4.11.2. IT 管理员可以使用受管理的配置来指定应用的 VPN 设置。
4.12. IME 管理
IT 管理员可以管理可为设备设置哪些输入法 (IME)。由于 IME 在工作资料和个人资料之间共享,因此屏蔽 IME 的使用也会阻止用户允许将这些 IME 用于个人用途。不过,IT 管理员不得阻止在工作资料中使用系统 IME(如需了解详情,请参阅高级 IME 管理)。
4.12.1. IT 管理员可以设置任意长度的 IME 许可名单(前往 permitted_input_methods),其中可以包含任意 IME 软件包(包括空列表,用于屏蔽非系统 IME)。
- EMM 的控制台可以选择性地建议将已知或推荐的 IME 纳入许可名单,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.12.2. EMM 必须告知 IT 管理员,在设置了工作资料的设备上,系统 IME 不受管理。
4.13. 高级 IME 管理
IT 管理员可以管理用户可以在设备上设置哪些输入法 (IME)。高级 IME 管理功能扩展了基本功能,允许 IT 管理员管理系统 IME 的使用情况,而系统 IME 通常由设备制造商或设备运营商提供。
4.13.1. IT 管理员可以设置任意长度的 IME 许可名单(前往 permitted_input_methods)(空列表除外,空列表会屏蔽所有 IME,包括系统 IME),其中可以包含任何任意 IME 软件包。
- EMM 的控制台可以选择性地建议将已知或推荐的 IME 纳入许可名单,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.13.2. EMM 必须阻止 IT 管理员设置空白的许可名单,因为此设置会阻止在设备上设置所有 IME,包括系统 IME。
4.13.3. EMM 必须确保,如果 IME 许可名单不包含系统 IME,则在将许可名单应用于设备之前,第三方 IME 会以静默方式安装。
4.14. 无障碍服务管理
IT 管理员可以管理用户可以在设备上允许哪些无障碍服务。无障碍服务是功能强大的工具,可帮助残障用户或暂时无法与设备进行全面互动的用户。不过,它们可能会以不符合公司政策的方式与公司数据互动。借助此功能,IT 管理员可以关闭任何非系统无障碍服务。
4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单(前往 permittedAccessibilityServices),其中可以包含任何任意无障碍服务软件包(包括空列表,用于阻止非系统无障碍服务)。如果将此设置应用于工作资料,则会同时影响个人资料和工作资料。
- 控制台可以选择性地建议将已知或推荐的无障碍服务纳入许可名单,但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。
4.15. 位置信息分享管理
IT 管理员可以禁止用户与工作资料中的应用共享位置数据。否则,您可以在“设置”中配置工作资料中的位置信息设置。
4.15.1. IT 管理员可以停用工作资料中的位置信息服务(前往 shareLocationDisabled)。
4.16. 高级位置信息分享管理
IT 管理员可以在受管理的设备上强制执行给定的位置信息分享设置。 此功能可确保企业应用始终具有高精度的位置数据。此功能还可以通过将位置信息设置限制为省电模式来确保不会消耗额外的电池电量。
4.16.1. IT 管理员可以将设备位置信息服务设置为以下任一模式:
- 高精确度。
- 仅限传感器,例如 GPS,但不包括网络提供的位置。
- 省电模式,可限制更新频率。
- 关闭。
4.17. 恢复出厂设置保护机制管理
允许 IT 管理员通过确保未经授权的用户无法将公司自有设备恢复出厂设置来保护这些设备免遭盗窃。如果恢复出厂设置保护在设备退回给 IT 部门时引入了操作复杂性,IT 管理员可以完全关闭恢复出厂设置保护。
4.17.1. IT 管理员可以禁止用户通过“设置”(factoryResetDisabled) 将设备恢复出厂设置。
4.17.2. IT 管理员可以指定有权在恢复出厂设置后配置设备的授权企业解锁账号(前往 frpAdminEmails)。
- 此账号可以与个人相关联,也可以供整个企业用于解锁设备。
4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护(前往 0 factoryResetDisabled)。
4.17.4. IT 管理员可以启动远程设备数据清空,该操作可以选择性地清空重置保护数据,从而移除重置设备上的恢复出厂设置保护机制。
4.18. 高级应用控制
IT 管理员可以通过“设置”禁止用户卸载或以其他方式修改受管理的应用。例如,防止强制关闭应用或清除应用的数据缓存。
4.18.1. IT 管理员可以禁止卸载任何任意受管理的应用,也可以禁止卸载所有受管理的应用(前往 uninstallAppsDisabled)。
4.18.2. IT 管理员可以禁止用户通过“设置”修改应用数据。(Android Management API 不支持此子功能)
4.19. 屏幕截图管理
IT 管理员可以禁止用户在使用受管理的应用时截取屏幕截图。 此设置包括屏蔽使用系统屏幕截图功能的屏幕共享应用和类似应用(例如 Google 助理)。
4.19.1. IT 管理员可以禁止用户截取屏幕截图(前往 screenCaptureDisabled)。
4.20. 停用相机
IT 管理员可以禁止受管理的应用使用设备摄像头。
4.20.1. IT 管理员可以禁止受管理的应用使用设备摄像头(前往 cameraDisabled)。
4.21. 网络统计信息收集
Android Management API 不支持此功能。
4.22. 高级网络统计信息收集
Android Management API 不支持此功能。
4.23. 重新启动设备
IT 管理员可以远程重启受管理的设备。
4.23.1. IT 管理员可以远程重启受管理的设备。
4.24. 系统无线电管理
使用政策为 IT 管理员提供对系统网络无线装置和相关使用政策的精细管理。
4.24.1. IT 管理员可以关闭服务提供商发送的手机广播(前往 cellBroadcastsConfigDisabled)。
4.24.2. IT 管理员可以禁止用户在“设置”(前往 mobileNetworksConfigDisabled)中修改移动网络设置。
4.24.3. IT 管理员可以禁止用户在“设置”中重置所有网络设置。(前往 networkResetDisabled)。
4.24.4. IT 管理员可以设置设备在漫游时是否允许使用移动数据网络(前往 dataRoamingDisabled)。
4.24.5. IT 管理员可以设置设备是否可以拨出电话(不包括紧急呼叫)(前往 outGoingCallsDisabled)。
4.24.6. IT 管理员可以设置设备是否可以发送和接收短信(请前往 smsDisabled)。
4.24.7. IT 管理员可以通过网络共享(前往 tetheringConfigDisabled)禁止用户将设备用作便携式热点。
4.24.8. IT 管理员可以将 Wi-Fi 超时设置为默认、插电时或从不。(Android Management API 不支持此子功能)
4.24.9. IT 管理员可以禁止用户设置或修改现有的蓝牙连接(前往 bluetoothConfigDisabled)。
4.25. 系统音频管理
IT 管理员可以以静默方式控制设备音频功能,包括将设备静音、禁止用户修改音量设置,以及禁止用户取消设备麦克风静音。
4.25.1. IT 管理员可以静默地将受管理的设备设为静音。 (Android Management API 不支持此子功能)
4.25.2. IT 管理员可以禁止用户修改设备音量设置(前往 adjustVolumeDisabled)。此操作还会使设备静音。
4.25.3. IT 管理员可以禁止用户将设备麦克风设为非静音状态(前往 unmuteMicrophoneDisabled)。
4.26. 系统时钟管理
IT 管理员可以管理设备时钟和时区设置,并阻止用户修改自动设备设置。
4.26.1. IT 管理员可以强制执行系统自动时间和自动时区,从而阻止用户设置设备的日期、时间和时区。
4.27. 高级专用设备功能
对于专用设备,IT 管理员可以使用政策管理以下功能,以支持各种自助服务终端使用情形。
4.27.1. IT 管理员可以关闭设备锁屏(前往 keyguardDisabled)。
4.27.2. IT 管理员可以关闭设备状态栏,从而屏蔽通知和“快捷设置”(前往 statusBarDisabled)。
4.27.3. IT 管理员可以强制设备在接通电源时保持屏幕开启状态(前往 stayOnPluggedModes)。
4.27.4. IT 管理员可以阻止显示以下系统界面(前往 createWindowsDisabled):
- 消息框
- 应用叠加层。
4.27.5. IT 管理员可以允许系统在首次启动时跳过应用的用户教程和其他入门提示(前往 skip_first_use_hints)。
4.28. 委托范围管理
IT 管理员能够将额外的权限委托给各个软件包。
4.28.1. IT 管理员可以管理以下范围:
- 证书安装和管理
- 故意留空
- 网络日志记录
- 安全日志记录(不支持个人自有设备上的工作资料)
4.29. 注册专用 ID 支持
从 Android 12 开始,工作资料将无法再访问特定于硬件的标识符。IT 管理员可以通过注册专用 ID 跟踪具有工作资料的设备的生命周期,该 ID 在恢复出厂设置后仍会保留。
4.29.1. IT 管理员可以获取注册专用 ID
4.29.2. 此注册特定 ID 必须在恢复出厂设置后保持不变
4.30. 凭据管理器政策
IT 管理员可以使用凭据提供程序政策默认设置或凭据提供程序政策来管理允许或屏蔽哪些凭据管理器应用。
4.30.1 IT 管理员可以使用政策阻止设备上(或工作资料内)的所有凭据管理器。
4.30.2 IT 管理员可以指定仅允许预加载的(系统应用)凭据管理器。
4.30.3 IT 管理员可以指定软件包名称列表,以启用凭据管理器功能。
4.31. 基本 eSIM 卡管理
允许 IT 管理员使用 eSIM 卡配置文件配置设备,并管理设备上的 eSIM 卡生命周期。
4.31.1 IT 管理员可以使用政策在设备上以静默方式配置 eSIM 卡配置文件。
4.31.2 IT 管理员可以使用政策从设备中删除受管理的 eSIM 卡。
4.31.3 IT 管理员可以禁止用户在“设置”中修改移动网络设置(前往 mobileNetworksConfigDisabled)。
4.31.4 IT 管理员可以远程向设备或工作资料发送清除命令。 此命令可以选择性地从设备中移除受管理的 eSIM 卡。默认情况下,受管理的 eSIM 卡会从个人自带设备上的工作资料中移除,但在公司自有设备上会保留。
4.31.5 IT 管理员可以使用 EMM 控制台界面(或等效方法)检索设备的 EID(嵌入式身份文档)标识符。
5. 设备可用性
5.1. 托管配置自定义
IT 管理员可以修改默认设置流程用户体验,以纳入企业专用功能。(可选)IT 管理员可以在配置期间显示 EMM 提供的品牌信息。
5.1.1. IT 管理员可以通过指定企业专用服务条款和其他免责声明来自定义配置流程(请前往 termsAndConditions)。
5.1.2. IT 管理员可以部署不可配置的 EMM 专用服务条款和其他免责声明(请参阅 termsAndConditions)。
- EMM 可以将其不可配置的 EMM 特定自定义项设置为部署的默认设置,但必须允许 IT 管理员设置自己的自定义项。
5.1.3. 对于 Android 10 及更高版本中的企业资源,primaryColor 已被弃用。
5.2. 企业自定义
Android Management API 不支持此功能。
5.3. 高级企业自定义功能
Android Management API 不支持此功能。
5.4. 锁定屏幕消息
IT 管理员可以设置始终显示在设备锁定屏幕上的自定义消息,无需解锁设备即可查看。
5.4.1. IT 管理员可以设置自定义锁屏消息(前往 deviceOwnerLockScreenInfo)。
5.5. 政策透明度管理
IT 管理员可以自定义在用户尝试修改设备上的受管理设置时向其提供的帮助文本,也可以部署 EMM 提供的通用支持消息。短支持消息和长支持消息均可自定义,并且会在尝试卸载 IT 管理员已阻止卸载的受管理应用等情况下显示。
5.5.1. IT 管理员可以自定义简短和较长的面向用户的支持消息。
5.5.2. IT 管理员可以部署不可配置的、EMM 特有的短支持消息和长支持消息(请参阅 policies 中的 shortSupportMessage 和 longSupportMessage)。
- EMM 可以将其不可配置的 EMM 特定支持消息设置为部署的默认消息,但必须允许 IT 管理员设置自己的消息。
5.6. 跨资料联系人管理
5.6.1. IT 管理员可以禁止在个人资料联系人搜索和来电中显示工作联系人。
5.6.2. IT 管理员可以停用工作联系人的蓝牙联系人共享功能,例如在汽车或耳机中使用免提通话功能。
5.7. 跨资料数据管理
允许 IT 管理员管理工作资料和个人资料之间可以共享的数据类型,从而让管理员能够根据自己的要求平衡可用性和数据安全性。
5.7.1. IT 管理员可以配置跨个人资料数据共享政策,以便个人应用可以解析工作资料中的 intent,例如共享 intent 或网页链接。
5.7.2. IT 管理员可以允许工作资料中的应用在个人资料的主屏幕上创建和显示 widget。此功能默认处于关闭状态,但可以使用 workProfileWidgets 和 workProfileWidgetsDefault 字段将其设置为允许。
5.7.3. IT 管理员可以控制工作资料和个人资料之间复制/粘贴数据的能力。
5.8. 系统更新政策
IT 管理员可以设置无线下载 (OTA) 系统更新并将其应用于设备。
5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置:
- 自动:设备会在 OTA 更新推出时安装。
- 推迟:IT 管理员必须能够将 OTA 更新推迟最多 30 天。此政策不会影响安全更新(例如每月安全补丁)。
- 窗口化:IT 管理员必须能够在每日维护窗口内安排 OTA 更新。
5.8.2. OTA 配置通过政策应用于设备。
5.9. 锁定任务模式管理
IT 管理员可以将一个或一组应用锁定到屏幕上,并确保用户无法退出该应用。
5.9.1. 通过 EMM 的控制台,IT 管理员可以静默允许任意一组应用安装到设备并锁定到设备。政策允许设置专用设备。
5.10. 持久的首选 activity 管理
允许 IT 管理员将应用设置为与特定 intent 过滤器匹配的 intent 的默认 intent 处理程序。例如,借助此功能,IT 管理员可以选择哪个浏览器应用自动打开网页链接。此功能可管理在点按主屏幕按钮时使用的启动器应用。
5.10.1. IT 管理员可以为任何任意 intent 过滤器将任何软件包设置为默认 intent 处理程序。
- EMM 的控制台可能会选择性地建议用于配置的已知 intent 或推荐 intent,但不能将 intent 限制为任何任意列表。
- EMM 的控制台必须允许 IT 管理员从可供适用用户安装的应用列表中进行选择。
5.11. Keyguard 功能管理
IT 管理员可以管理用户在解锁设备锁屏和工作挑战锁屏之前可使用的功能。
5.11.1.政策可以关闭以下设备锁屏功能:
- 可信代理
- 指纹解锁
- 未经过编辑的通知
5.11.2. 可以使用政策关闭工作资料的以下锁屏功能:
- 可信代理
- 指纹解锁
5.12. 高级锁屏功能管理
- 安全摄像头
- 所有通知
- 未隐去
- 可信代理
- 指纹解锁
- 所有锁屏功能
5.13. 远程调试
Android Management API 不支持此功能。
5.14. MAC 地址检索
EMM 可以静默获取设备的 MAC 地址,以便在企业基础架构的其他部分中识别设备(例如,在识别设备以进行网络访问控制时)。
5.14.1. EMM 可以静默检索设备的 MAC 地址,并可以在 EMM 的控制台中将其与设备相关联。
5.15. 高级锁定任务模式管理
借助专用设备,IT 管理员可以使用 EMM 的控制台执行以下任务:
5.15.1. 静默允许单个应用安装并锁定到设备。
5.15.2. 开启或关闭以下系统界面功能:
- 主屏幕按钮
- 概览
- 全局操作
- 通知
- 系统信息 / 状态栏
- Keyguard(锁屏)。如果实现了 5.15.1,此子功能默认处于开启状态。
5.15.3. 关闭系统错误对话框。
5.16. 高级系统更新政策
IT 管理员可以设置指定的冻结期,以阻止设备上的系统更新。
5.16.1. EMM 的控制台必须允许 IT 管理员在指定的冻结期内阻止无线下载 (OTA) 系统更新。
5.17. 工作资料政策透明度管理
IT 管理员可以自定义从设备中移除工作资料时向用户显示的消息。
5.17.1. IT 管理员可以提供要显示的自定义文本(前往 wipeReasonMessage),以便在工作资料被擦除时显示。
5.18. 关联的应用支持
IT 管理员可以通过设置 ConnectedWorkAndPersonalApp 来指定可在工作资料边界之间通信的一系列软件包。
5.19. 手动系统更新
Android Management API 不支持此功能。
6. 设备管理服务弃用
6.1. 设备管理服务弃用
EMM 必须在 2022 年底之前发布计划,以便在 2023 年第 1 季度末之前结束对 GMS 设备上设备管理员的客户支持。
7. API 用量
7.1. 新绑定的标准政策控制器
默认情况下,任何新绑定都必须使用 Android Device Policy 来管理设备。EMM 可能会提供使用自定义 DPC 管理设备的选项,该选项位于标题为“高级”或类似术语的设置区域下。新客户在任何初始配置或设置工作流程中,都不应面临技术堆栈的任意选择。
7.2. 新设备的标准政策控制器
默认情况下,对于所有新设备注册(包括现有绑定和新绑定),设备都必须使用 Android Device Policy 进行管理。EMM 可能会提供相应选项,以便在标题为“高级”或类似术语的设置区域中使用自定义 DPC 管理设备。