Android Enterprise 功能清單

1.1.1. EMM 的 DPC 必須在 Google Play 上公開發布，使用者才能在裝置的個人端安裝 DPC。

1.1.2. 安裝完成後，DPC 必須引導使用者完成工作資料夾佈建程序。

1.1.3. 佈建完成後，裝置的個人端不得保留任何管理狀態。

• 必須移除在佈建期間設定的所有政策。
• 必須撤銷應用程式權限。
• EMM 的 DPC 至少必須在裝置的個人端關閉。

1.2.1. EMM 的 DPC 必須在 Google Play 上公開發布。使用者必須在裝置設定精靈中輸入 DPC 專屬 ID，才能安裝 DPC。

1.3.1. EMM 必須使用 NFC 論壇第 2 類標記，且記憶體至少要有 888 個位元組。 佈建時必須使用佈建額外資訊，將伺服器 ID 和註冊 ID 等非機密註冊詳細資料傳遞至裝置。註冊詳細資料不應包含密碼或憑證等機密資訊。

1.4.1. QR code 必須使用佈建額外資訊，將伺服器 ID 和註冊 ID 等非機密註冊詳細資料傳遞至裝置。註冊詳細資料不得包含密碼或憑證等機密資訊。

1.4.2. EMM 的 DPC 設定裝置後，DPC 必須立即開啟並鎖定螢幕，直到裝置完成佈建為止。

1.5.1. IT 管理員可以使用零接觸註冊方法佈建公司裝置，詳情請參閱「適用於 IT 管理員的零接觸註冊機制」一文。

1.6.1. IT 管理員可以使用零接觸註冊方法佈建公司裝置，詳情請參閱「適用於 IT 管理員的零接觸註冊機制」一文。

1.6.2. EMM 的 DPC 設定裝置後，必須立即開啟並鎖定螢幕，直到裝置完成佈建為止。

• 如果裝置使用零接觸註冊機制註冊詳細資料，以無聲方式完成佈建 (例如在專用裝置部署作業中)，則可免除這項規定。

1.6.3. 使用註冊詳細資料時，EMM 的 DPC 必須確保 DPC 遭到叫用後，未經授權的使用者無法繼續啟用。至少要將啟用程序限制在特定企業的使用者。

1.6.4. EMM 的 DPC 必須使用註冊詳細資料，讓 IT 管理員預先填入註冊詳細資料 (例如伺服器 ID、註冊 ID)，但使用者或裝置的專屬資訊 (例如使用者名稱/密碼、啟用權杖) 除外，這樣使用者在啟用裝置時就不必輸入詳細資料。

• EMM 不得在零接觸註冊設定中加入密碼或憑證等私密資訊。

1.8.1. Google 帳戶佈建方法會根據定義的實作指南佈建公司擁有的裝置。

1.8.2. 除非 EMM 能明確將裝置識別為公司資產，否則在佈建過程中，系統會提示使用者，EMM 才能佈建裝置。這個提示必須執行非預設動作，例如勾選核取方塊或選取非預設選單選項。建議 EMM 能夠將裝置識別為公司資產，這樣就不需要提示。

1.10.1. 刻意留白。

1.10.2. IT 管理員可以為公司裝置上的工作資料夾設定合規動作。

1.10.3. IT 管理員可以停用工作資料夾或整部裝置的相機。

1.10.4. IT 管理員可以在工作資料夾或整部裝置中停用螢幕畫面擷取功能。

1.10.5. IT 管理員可以設定應用程式封鎖清單，禁止使用者在個人資料夾中安裝這些應用程式。

2.1.1. 政策必須強制執行管理裝置安全挑戰的設定 (工作資料夾的 parentProfilePasswordRequirements，以及完全受管理和專用裝置的 passwordRequirements)。

2.1.2. 密碼複雜度必須對應下列密碼複雜度：

• PASSWORD_COMPLEXITY_LOW - 解鎖圖案或包含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼， 長度至少 4 個字元的英文字母或英數字元密碼
• PASSWORD_COMPLEXITY_HIGH - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼，長度不得少於 8 個字元；或由英文字母或英數字元組成，長度不得少於 6 個字元

2.2.1. 政策必須強制執行工作資料夾的安全驗證。 根據預設，如果未指定範圍，IT 管理員應只為工作資料夾設定限制。IT 管理員可以指定範圍，在裝置上設定限制 (請參閱規定 2.1)

2.1.2. 密碼複雜度應對應至下列密碼複雜度：

• PASSWORD_COMPLEXITY_LOW - 解鎖圖案或包含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼， 長度至少 4 個字元的英文字母或英數字元密碼
• PASSWORD_COMPLEXITY_HIGH - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼，長度不得少於 8 個字元；或由英文字母或英數字元組成，長度不得少於 6 個字元

2.3.2. 刻意留白。

2.3.3. 您可以為裝置上的每個可用螢幕鎖定設定下列密碼生命週期設定：

1. 刻意留白
2. 刻意留白
3. 密碼輸入錯誤次數上限 (一旦超出限制，即抹除裝置) ：指定使用者輸入錯誤密碼的次數上限，一旦超出限制，系統就會從裝置中清除公司資料。IT 管理員必須能夠關閉這項功能。

2.4.1. IT 管理員可以針對裝置上的每個螢幕鎖定功能，個別停用 Smart Lock 信任的代理程式。

2.4.2. IT 管理員可以選擇性允許及設定 Smart Lock 信任的代理程式，針對裝置上可用的每個螢幕鎖定功能，分別設定藍牙、NFC、地點、臉部、體感和語音等信任的代理程式。

• IT 管理員可以修改可用的 Trust 代理程式設定參數。

2.5.1. EMM 的 DPC 必須鎖定裝置。

2.7.1. EMM 的 DPC 必須禁止安裝來源不明的應用程式，包括安裝在設有工作資料夾的 Android 8.0 以上裝置個人端的應用程式。

2.8.1. EMM 的 DPC 必須預設關閉啟動安全模式。

2.8.2. 在佈建期間首次啟動時，EMM 的 DPC 必須立即開啟並鎖定螢幕，確保裝置不會以任何其他方式互動。

EMM 會使用 Play Integrity API 確保裝置是有效的 Android 裝置。

2.9.1. EMM 的 DPC 會在佈建期間實作 Play Integrity API，且根據預設，只有在裝置完整性傳回 MEETS_STRONG_INTEGRITY 時，才會完成佈建裝置並提供公司資料。

2.9.2. 每當裝置向 EMM 伺服器回報時，EMM 的 DPC 都會再次執行 Play Integrity 檢查，IT 管理員可設定檢查頻率。EMM 伺服器會先驗證完整性檢查回應中的 APK 資訊和回應本身，再更新裝置上的公司政策。

2.9.3. IT 管理員可以根據 Play Integrity 檢查結果設定不同的政策回應，包括封鎖佈建、清除公司資料，以及允許註冊程序繼續進行。

• EMM 服務會針對每次完整性檢查的結果，強制執行這項政策回應。

2.11.1. 在 DPC 的憑證加密儲存空間解密前，EMM 的 DPC 會利用裝置加密儲存空間執行重要管理功能。直接啟動模式下可用的管理功能必須包括 (但不限於)：

• 企業清除，包括視需要清除原廠重設保護資料。

2.11.2. EMM 的 DPC 不得洩露裝置加密儲存空間中的公司資料。

2.12.1. IT 管理員可以禁止使用者在裝置上掛接實體外部媒體。

2.12.2. IT 管理員可以禁止使用者透過 NFC 快速分享功能分享裝置資料。由於 Android 10 以上版本不再支援 NFC 傳輸功能，因此這項子功能為選用功能。

2.13.1. IT 管理員可以為特定裝置啟用安全性記錄，且 EMM 的 DPC 必須能夠自動擷取安全性記錄和重新啟動前的安全性記錄。

2.13.2. IT 管理員可以在 EMM 控制台中，查看特定裝置和可設定時間範圍的企業安全性記錄。

3.1.1. 如果管理員已有受管理 Google 網域，可以將網域繫結至 EMM。

3.1.2. EMM 控制台必須以無聲方式佈建及設定每個企業專屬的 ESA。

3.1.3. 使用 Play EMM API 取消註冊企業。

3.1.4. EMM 控制台會引導管理員在 Android 註冊流程中輸入公司電子郵件地址，並避免使用 Gmail 帳戶。

3.2.1. EMM 的 DPC 可根據定義的導入指南，以無聲方式佈建及啟用受管理的 Google Play 帳戶。這麼做會導致下列情況：

• 在裝置上新增 userAccount 類型的受管理 Google Play 帳戶。
• EMM 控制台中的實際使用者必須與 userAccount 類型的 Google Play 管理版帳戶一一對應。

3.4.1. EMM 的 DPC 可根據定義的導入指南，以無聲方式佈建及啟用受管理的 Google Play 帳戶。這麼做會導致下列情況：

1. 在裝置上新增 userAccount 類型的受管理 Google Play 帳戶。
2. EMM 控制台中的實際使用者必須與 userAccount 類型的 Google Play 管理版帳戶一一對應。

3.5.1. EMM 控制台必須使用 Play EMM API，IT 管理員才能在受管理裝置上安裝工作應用程式。

3.5.2. EMM 控制台必須使用 Play EMM API，IT 管理員才能更新受管理裝置上的工作應用程式。

3.6.1. EMM 控制台必須能夠擷取及顯示任何 Play 應用程式的受管理設定。

• EMM 供應商可以呼叫 Products.getAppRestrictionsSchema 擷取應用程式的受管理設定結構定義，或在 EMM 控制台中嵌入受管理設定框架。

3.6.2. EMM 控制台必須允許 IT 管理員使用 Play EMM API，為任何 Play 應用程式設定任何類型的設定 (如 Android 架構所定義)。

3.6.3. EMM 主控台必須允許 IT 管理員設定萬用字元 (例如 $username$ 或 %emailAddress%)，這樣一來，Gmail 等應用程式的單一設定就能套用至多位使用者。受管理設定 iframe 會自動支援這項要求。

3.7.1. EMM 控制台會顯示核准發布的應用程式清單，包括：

• 透過 Google Play 管理版購買的應用程式
• IT 管理員可查看私人應用程式
• 程式輔助核准的應用程式

3.10.1. IT 管理員可以在 EMM 控制台中執行下列動作，自訂 Google Play 管理版商店版面配置：

• 最多可建立 100 個商店版面配置頁面。網頁可有任意數量的本地化網頁名稱。
• 每個網頁最多可建立 30 個叢集。叢集可有任意數量的本地化叢集名稱。
• 每個叢集最多可指派 100 個應用程式。
• 每個頁面最多可新增 10 個快速連結。
• 指定叢集內應用程式的排序順序，以及頁面內叢集的排序順序。

3.11.1. 如果企業核准使用付費應用程式，EMM 控制台必須顯示：

• 購買的授權數量。
• 已使用的授權數量，以及使用授權的使用者。
• 可供發布的授權數量。

3.11.2. IT 管理員可以自動將授權指派給使用者，不必在任何使用者的裝置上強制安裝應用程式。

3.12.1. IT 管理員可以使用下列方式，將已發布的應用程式新版本私下上傳至企業：

IT 管理員可以參閱「支援私人應用程式」一文瞭解詳情。

3.13.1. EMM 控制台必須提供下列兩種選項，協助 IT 管理員代管應用程式 APK：

• 在 EMM 伺服器上代管 APK。伺服器可以是地端或雲端型。
• 由 IT 管理員自行決定是否在 EMM 伺服器以外的位置代管 APK。IT 管理員必須在 EMM 控制台中指定 APK 的代管位置。

3.13.2. EMM 管理中心必須使用提供的 APK 產生適當的 APK 定義檔案，並引導 IT 管理員完成發布程序。

3.13.3. IT 管理員可以更新自行代管的私人應用程式，EMM 主控台則可使用 Google Play Developer Publishing API，以無聲模式發布更新的 APK 定義檔。

3.13.4. EMM 伺服器只會處理要求 Cookie 中含有有效 JWT 的自代管 APK 下載要求，並由私有應用程式的公開金鑰驗證。

• 為簡化這個程序，EMM 伺服器必須引導 IT 管理員從 Play 管理中心下載自代管應用程式的授權公開金鑰，然後將這個金鑰上傳至 EMM 控制台。

3.14.1. EMM 必須使用 Google Play 的 EMM 通知提取通知集。

3.14.2. EMM 必須自動通知 IT 管理員 (例如透過自動電子郵件) 下列通知事件：

• newPermissionEvent：必須先由 IT 管理員核准新的應用程式權限，應用程式才能在使用者裝置上自動安裝或更新。
• appRestrictionsSchemaChangeEvent：可能需要 IT 管理員更新應用程式的受管理設定，才能維持預期效率。
• appUpdateEvent：如果 IT 管理員想驗證核心工作流程效能是否不受應用程式更新影響，這項屬性或許能派上用場。
• productAvailabilityChangeEvent：可能會影響應用程式的安裝或更新。
• installFailureEvent：Play 無法在裝置上自動安裝應用程式，這表示裝置設定可能存在問題，導致無法安裝應用程式。收到這則通知後，EMM 不應立即再次嘗試無聲安裝，因為 Play 的重試邏輯已失敗。

3.14.3. EMM 會根據下列通知事件自動採取適當行動：

• newDeviceEvent：在裝置佈建期間，EMM 必須等待 newDeviceEvent，才能為新裝置發出後續的 Play EMM API 呼叫，包括無聲安裝應用程式和設定受管理的設定。
• productApprovalEvent：收到 productApprovalEvent 通知後，如果 IT 管理員工作階段處於啟用狀態，或如果核准的應用程式清單未在每個 IT 管理員工作階段開始時自動重新載入，EMM 必須自動更新匯入 EMM 主控台的核准應用程式清單，以便發布至裝置。

3.15.1. EMM 必須遵守 Play EMM API 的用量限制。如果行為超出這些規範，且未加以修正，Google 可自行決定是否暫停 API 使用權。

3.15.2. EMM 應在一天內分散不同企業的流量，而不是在特定或類似時間集中處理企業流量。如果您的行為符合這種流量模式 (例如為每個已註冊的裝置排定批次作業)，Google 可能會視情況暫停您的 API 使用權。

• Google Play 管理版 iFrame ，或
• 自訂 UI。

3.16.2. IT 管理員設定後，EMM 控制台必須能夠擷取並顯示應用程式意見回饋管道傳回的任何意見回饋。

• EMM 控制台必須允許 IT 管理員將特定意見回饋項目與來源裝置和應用程式建立關聯。
• EMM 控制台必須允許 IT 管理員訂閱特定訊息類型 (例如錯誤訊息) 的快訊或報告。

3.16.3. EMM 主控台只能傳送具有預設值或由管理員手動設定的值，方法如下：

• 受管理的設定 iframe，或
• 自訂 UI。

3.17.1. IT 管理員可以使用 EMM 的控制台，透過下列方式發布網頁應用程式捷徑：

3.18.1. EMM 可以根據 Play EMM API 開發人員說明文件中定義的實作指南，管理 Google Play 管理版帳戶的生命週期。

3.18.2. EMM 無須使用者互動，即可重新驗證 Google Play 管理版帳戶。

3.20.2. IT 管理員可以允許應用程式延後更新 90 天。

3.22.1. IT 管理員可透過 EMM 控制台，使用必要 API，將現有的 Google Play 管理版帳戶企業升級為受管理 Google 網域企業。

3.23.1. EMM 的 DPC 可根據定義的實作指南，佈建受管理的 Google 帳戶。

這麼做會導致下列情況：

• 在裝置上新增受管理 Google 帳戶。
• 受管理 Google 帳戶必須與 EMM 控制台中的實際使用者一一對應。

3.23.2. IT 管理員可以使用這項政策，讓使用者選擇登入受管理的 Google 帳戶進行註冊。

3.23.3. IT 管理員可以透過這項政策，控管使用者是否必須登入受管理的 Google 帳戶才能完成註冊。

3.24.1. IT 管理員可以將裝置上現有的 Google Play 管理版帳戶升級為受管理 Google 帳戶。

4.1.1. IT 管理員為機構設定預設執行階段權限政策時，必須能夠選擇下列選項：

• 提示 (允許使用者選擇)
• allow
• deny

4.3.1. SSID，使用 EMM 的 DPC。

4.4.1. 身分，使用 EMM 的 DPC。

4.4.2. 用於授權用戶端的憑證，使用 EMM 的 DPC。

4.5.1. IT 管理員可以透過下列任一設定鎖定公司 Wi-Fi 設定：

• 使用者無法修改 EMM 佈建的任何 Wi-Fi 設定，但可以新增及修改自己的使用者可設定網路 (例如個人網路)。
• 使用者無法在裝置上新增或修改任何 Wi-Fi 網路，因此只能連線至 EMM 佈建的網路。

4.6.1. IT 管理員可以禁止新增或修改帳戶。

• 在裝置上強制執行這項政策時，EMM 必須在佈建完成前設定這項限制，確保您無法在政策生效前新增帳戶，藉此規避這項政策。

4.8.1. IT 管理員可以為每位使用者安裝 PKI 產生的使用者身分憑證。EMM 控制台必須整合至少一個 PKI，並發布從該基礎架構產生的憑證。

4.9.1. 對於發布到裝置的任何應用程式，IT 管理員可以指定應用程式在執行階段無須提示即取得存取權的憑證。

• 選取的憑證必須夠通用，才能讓單一設定套用至所有使用者，而每位使用者可能都有專屬的身分識別憑證。

4.9.2. IT 管理員可以從受管理金鑰儲存區移除憑證。

4.9.3. IT 管理員可以解除安裝 CA 憑證，或所有非系統 CA 憑證。

4.9.4. IT 管理員可以禁止使用者在受管理的金鑰儲存區中設定憑證。

4.10.1. IT 管理員指定憑證管理套件，設為 DPC 委派的憑證管理應用程式。

• 控制台可視需要建議已知的憑證管理套件，但必須允許 IT 管理員從可供安裝的應用程式清單中選擇適用於使用者的項目。

4.11.1. IT 管理員可以指定任意 VPN 套件，設為永久連線的 VPN。

• EMM 控制台可能會建議支援「永久連線 VPN」的已知 VPN 套件，但無法將可設定為永久連線的 VPN 限制為任意清單。

4.11.2. IT 管理員可以使用受管理設定，為應用程式指定 VPN 設定。

4.12.1. IT 管理員可以設定任意長度的輸入法編輯器允許清單 (包括空白清單，可封鎖非系統輸入法編輯器)，其中可包含任意輸入法編輯器套件。

• EMM 控制台可能會建議將已知或建議的 IME 加入許可清單，但必須允許 IT 管理員從可供安裝的應用程式清單中選擇適用於使用者的項目。

4.13.1. IT 管理員可以設定任意長度的輸入法編輯器允許清單 (不包括空白清單，因為空白清單會封鎖所有輸入法編輯器，包括系統輸入法編輯器)，其中可包含任何任意輸入法編輯器套件。

• EMM 控制台可能會建議將已知或建議的 IME 加入許可清單，但必須允許 IT 管理員從可供安裝的應用程式清單中選擇適用於使用者的項目。

4.13.2. EMM 必須禁止 IT 管理員設定空白的允許清單，因為這項設定會禁止在裝置上設定所有 IME，包括系統 IME。

4.14.1. IT 管理員可以設定任意長度的無障礙服務允許清單 (包括空白清單，這會封鎖非系統無障礙服務)，其中可包含任何任意無障礙服務套件。如果套用至工作資料夾，則會影響個人資料夾和工作資料夾。

• 管理控制台可選擇性地建議將已知或建議的無障礙服務納入許可清單，但必須允許 IT 管理員從可供安裝的應用程式清單中，為適用使用者選擇服務。

4.16.1. IT 管理員可以將裝置定位服務設為下列任一模式：

• 。
• 僅限感應器，例如 GPS，但不包括網路提供的位置資訊。
• 節省電力，但會限制更新頻率。
• 關閉。

4.17.1. IT 管理員可以禁止使用者透過「設定」將裝置恢復原廠設定。

4.17.2. IT 管理員可以指定有權在裝置恢復原廠設定後佈建裝置的公司解鎖帳戶。

• 這個帳戶可以與個人綁定，也可以供整個企業用來解鎖裝置。

4.17.3. IT 管理員可以停用特定裝置的恢復原廠設定保護機制。

4.17.4. IT 管理員可以啟動遠端裝置清除作業，並視需要清除恢復原廠設定保護機制資料，移除已重設裝置上的恢復原廠設定保護機制。

4.18.1. IT 管理員可以封鎖任意受管理應用程式，或所有受管理應用程式的解除安裝作業。

4.21.1. IT 管理員可以查詢工作資料夾的網路統計摘要，瞭解特定裝置在可設定的時間範圍內的網路使用情況，並在 EMM 控制台中查看這些詳細資料。

4.21.2. IT 管理員可以查詢特定裝置在可設定時間範圍內，工作資料夾網路用量統計資料中應用程式的摘要，並在 EMM 控制台中查看按 UID 整理的詳細資料。

4.21.3. IT 管理員可以查詢工作資料夾的網路用量歷史資料，包括指定裝置和可設定的時間範圍，並在 EMM 控制台中查看按 UID 整理的詳細資料。

4.22.1. IT 管理員可以查詢整部裝置的網路統計資料摘要，也可以查詢特定裝置在可設定時間範圍內的網路統計資料，並在 EMM 控制台中查看這些詳細資料。

4.22.2. IT 管理員可以查詢特定裝置和可設定時間範圍的應用程式網路使用統計資料摘要，並在 EMM 控制台中查看按 UID 整理的詳細資料。

IT 管理員可以從遠端重新啟動受管理裝置。

4.23.1. IT 管理員可以從遠端重新啟動受管理裝置。

4.24.1. IT 管理員可以停用服務供應商傳送的細胞廣播 (例如 AMBER 警報)。

4.24.2. IT 管理員可以禁止使用者在「設定」中修改行動網路設定。

4.24.3. IT 管理員可以禁止使用者在「設定」中重設網路設定。

4.24.4. IT 管理員可以允許或禁止裝置在漫遊時使用行動數據。

4.24.5. IT 管理員可以設定裝置是否能撥打電話 (緊急電話除外)。

4.24.6. IT 管理員可以設定裝置是否能傳送及接收簡訊。

4.24.7. IT 管理員可以禁止使用者透過網路共用，將裝置當做可攜式無線基地台。

4.24.8. IT 管理員可以將 Wi-Fi 超時設定為預設、僅在充電時或永不。

4.25.1. IT 管理員可以將受管理裝置設為靜音。

4.25.2. IT 管理員可以禁止使用者修改裝置音量設定。

4.25.3. IT 管理員可以禁止使用者解除裝置麥克風靜音。

4.26.1. IT 管理員可以強制使用系統自動時間，禁止使用者設定裝置的日期和時間。

4.26.2. IT 管理員可以無聲無息地開啟或關閉自動時間和自動時區。

4.27.1. IT 管理員可以停用裝置的密碼鎖定畫面。

4.27.2. IT 管理員可以關閉裝置狀態列， 封鎖通知和快速設定。

4.27.3. IT 管理員可以強制讓裝置螢幕在充電時保持開啟。

4.27.4. IT 管理員可以禁止顯示下列系統 UI：

• 浮動式訊息
• 應用程式重疊。

IT 管理員可以將額外權限委派給個別套件。

4.28.1. IT 管理員可以管理下列範圍：

• 憑證安裝與管理
• 刻意留白
• 網路記錄
• 安全性記錄 (不支援個人裝置上的工作資料夾)

從 Android 12 開始，工作資料夾將無法再存取硬體專屬 ID。IT 管理員可以透過註冊專屬 ID 追蹤設有工作資料夾的裝置生命週期，即使裝置恢復原廠設定，ID 也不會變更。

4.29.1. IT 管理員可以設定及取得註冊專屬 ID

4.30.1 IT 管理員可以選擇封鎖裝置上的所有憑證管理工具 (或工作資料夾中的憑證管理工具)。

4.30.2 IT 管理員可以指定只允許預先載入的 (系統應用程式) 憑證管理員。

4.31.1 IT 管理員可以將 eSIM 卡設定檔無聲自動佈建到裝置上。

4.31.2 IT 管理員可以從裝置中刪除受管理的 eSIM 卡。

4.31.3 IT 管理員可以禁止使用者在「設定」中修改行動網路設定 (前往 mobileNetworksConfigDisabled)。

4.31.4 IT 管理員對裝置或工作資料夾執行遠端清除作業時，可以選擇一併移除裝置上的受管理 eSIM 卡。根據預設，系統會從個人裝置的工作資料夾中移除受管理 eSIM 卡，但會保留在公司裝置上。

4.31.5 (選用) IT 管理員可以使用 EMM 控制台 UI (或同等方法) 擷取裝置的 EID (內嵌身分證件) 識別碼，並匯出這些值。

5.1.1. IT 管理員可以指定下列企業專屬詳細資料，自訂佈建程序：企業顏色、企業標誌、企業服務條款和其他免責事項。

5.1.2. IT 管理員可以部署無法設定的 EMM 專屬自訂項目，包括：EMM 顏色、EMM 標誌、EMM 服務條款和其他免責事項。

5.1.3 [primaryColor] 已淘汰，不再適用於 Android 10 以上版本的企業資源。

• 即使未使用 EMM 專屬的自訂項目，EMM 也必須在系統佈建免責事項套件中，納入佈建服務條款和佈建流程的其他免責事項。
• EMM 可以將無法設定的 EMM 專屬自訂項目設為所有部署作業的預設值，但必須允許 IT 管理員設定自己的自訂項目。

5.2.1. IT 管理員可以設定機構顏色，做為工作挑戰的背景顏色。

5.2.2. IT 管理員可以設定工作資料夾的顯示名稱。

5.2.3. IT 管理員可以設定工作資料夾的使用者圖示。

5.2.4. IT 管理員可以禁止使用者修改工作資料夾使用者圖示。

5.3.1. IT 管理員可以設定受管理裝置的顯示名稱。

5.3.2. IT 管理員可以設定受管理裝置的使用者圖示。

5.3.3. IT 管理員可以禁止使用者修改裝置使用者圖示。

5.3.4. IT 管理員可以設定裝置桌布。

5.5.1. IT 管理員可自訂簡短和完整的支援訊息。

5.5.2. IT 管理員可以部署 EMM 專用的不可設定短和長支援訊息。

• EMM 可以將無法設定的 EMM 專屬支援訊息設為所有部署作業的預設訊息，但必須允許 IT 管理員設定自己的訊息。

5.6.1. IT 管理員可以停用跨設定檔聯絡人搜尋功能，適用於使用系統聯絡人供應商的個人應用程式。

5.6.2. IT 管理員可以停用跨設定檔來電顯示查詢功能，適用於使用系統聯絡人供應商的個人撥號應用程式。

5.6.3. IT 管理員可以停用藍牙裝置的藍牙聯絡人分享功能，例如車輛或耳機的免持通話功能，這些裝置會使用系統聯絡人供應器。

5.7.1. IT 管理員可以設定跨資料夾意圖篩選器，讓個人應用程式解析工作資料夾的意圖，例如共用意圖或網頁連結。

• 控制台可能會建議設定已知的或建議的意圖篩選器，但無法將意圖篩選器限制為任意清單。

5.7.2. IT 管理員可以允許受管理應用程式在主畫面上顯示小工具。

• EMM 控制台必須提供 IT 管理員從可供適當使用者安裝的應用程式清單中選擇的功能。

5.7.3. IT 管理員可以禁止在工作和個人資料夾之間複製/貼上資料。

5.7.4. IT 管理員可以禁止使用者透過 NFC 傳輸分享工作資料夾中的資料。

5.7.5. IT 管理員可以允許個人應用程式開啟工作資料夾中的網頁連結。

5.8.1. IT 管理員可在 EMM 的控制台中設定下列 OTA 設定：

• 自動：裝置會在無線更新推出時自動安裝。
• 延後：IT 管理員必須能夠延後 OTA 更新，最多可延後 30 天。這項政策不會影響安全性更新 (例如每月安全性修補程式)。
• 分時更新：IT 管理員必須能在每日維護期間安排 OTA 更新。

5.10.1. IT 管理員可以將任何套件設為任意意圖篩選器的預設意圖處理常式。

• EMM 控制台可能會建議設定已知的意圖或建議的意圖，但無法將意圖限制為任何任意清單。
• EMM 控制台必須允許 IT 管理員從應用程式清單中，為適用使用者選擇要安裝的應用程式。

• 信任的代理程式
• 指紋解鎖
• 未經過編輯的通知

5.11.2. EMM 的 DPC 可以關閉工作資料夾中的下列 Keyguard 功能：

• 信任的代理程式
• 指紋解鎖

• 安全攝影機
• 接收所有通知
• 未經編輯的通知
• 信任的代理程式
• 指紋解鎖
• 所有 Keyguard 功能

5.14.1. EMM 可以在背景擷取裝置的 MAC 位址，並在 EMM 的控制台中將該位址與裝置建立關聯。

5.15.1. 使用 EMM 的 DPC，在裝置上以無聲模式鎖定單一應用程式。

5.15.2. 使用 EMM 的 DPC 開啟或關閉下列系統 UI 功能：

• [首頁] 按鈕
• 總覽
• 全域動作
• 通知
• 系統資訊 / 狀態列
• 鍵盤鎖 (螢幕鎖定)

5.15.3. 使用 EMM 的 DPC 關閉「系統錯誤」對話方塊。

5.17.1. IT 管理員可以自訂抹除工作資料夾時顯示的文字。