Android Enterprise 功能清單

1.2.1.EMM 會提供 QR code 或啟用碼給 IT 管理員，以支援這個佈建方法 (請參閱「註冊及佈建裝置」)。

1.3.1.EMM 必須使用具備至少 888 個位元組記憶體的 NFC 論壇類型 2 標記。 佈建程序必須使用佈建額外項目，將非敏感的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳送至裝置。註冊詳細資料 請勿輸入密碼或憑證等機密資訊。

1.3.2.在 Android 10 以上版本中，建議您使用 NFC 標記，因為 淘汰 NFC Beam (也稱為 NFC Bump)。

1.5.1.IT 管理員可以使用零接觸機制，佈建公司擁有的裝置 註冊方式 (詳情請參閱「適用於 IT 管理員的零接觸註冊機制」)。

1.6.1. IT 管理員可以使用零接觸註冊機制，佈建公司擁有的裝置 註冊方式。

1.6.2.這項要求已淘汰。

1.6.3.使用登入網址 ，EMM 必須確保未經授權的使用者無法繼續進行啟用程序。 您最低必須鎖定特定企業的使用者，啟用這項服務。

1.6.4.使用登入網址 , EMM 必須能讓 IT 管理員會預先填入註冊詳細資料 (例如伺服器 ID、 註冊 ID) 以及不重複使用者或裝置資訊 (例如 使用者名稱/密碼、啟用權杖)，讓使用者不必輸入詳細資料 啟用裝置後

• 在零接觸註冊設定中，EMM 不得包含密碼或憑證等機密資訊。

1.10.1.刻意留空。

1.10.2.IT 管理員可以透過 PersonalUsagePolicies，針對公司裝置上的「工作資料夾」設定法規遵循動作。

1.10.3。IT 管理員可以在工作資料夾或 PersonalUsagePolicies 取得完整裝置存取權。

1.10.4.IT 管理員可以在工作資料夾或 PersonalUsagePolicies 取得完整裝置存取權。

1.10.5。IT 管理員可以設定應用程式的許可清單或封鎖清單， 無法透過 PersonalApplicationPolicy 安裝在個人資料夾中。

2.1.1. 政策必須強制執行設定，管理裝置安全性驗證 (工作資料夾的 parentProfilePasswordRequirements、完全受管理和專屬裝置的 passwordRequirements)。

2.1.2.密碼複雜度應對應至以下密碼 複雜度：

1. PASSWORD_COMPLEXITY_LOW - 重複圖案或釘選 (4444) 或 順序 (1234、4321、2468) 序列。
2. PASSWORD_COMPLEXITY_MEDIUM - 未重複輸入的 PIN 碼 (4444) 或下單 (1234、4321、2468) 序列、字母或英數字元密碼， 長度至少為 4
3. PASSWORD_COMPLEXITY_HIGH：不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼，長度至少為 8 個字元，或是由英文字母或英數字元組成的密碼，長度至少為 6 個字元

2.1.3. 其他密碼限制也可以透過舊版設定強制執行 控制裝置

2.2.1. 政策必須強制執行工作資料夾的安全性驗證。

1. 根據預設，IT 管理員應只為工作資料夾設定限制 如果未指定範圍
2. IT 管理員可以指定範圍來設定整部裝置的權限 (請參閱第 2.1 項規定)

2.2.2.密碼複雜度應對應至以下預先定義的密碼 複雜度：

1. PASSWORD_COMPLEXITY_LOW - 解鎖圖案或 PIN 碼包含重複數列 (4444) 或規則數列 (1234、4321、2468)。
2. PASSWORD_COMPLEXITY_MEDIUM - 未重複輸入的 PIN 碼 (4444) 或下單 (1234、4321、2468) 序列、字母或英數字元密碼， 長度至少為 4
3. PASSWORD_COMPLEXITY_HIGH：不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼，長度不得少於 8 個字元，或是由英文字母或英數字元組成的密碼，長度不得少於 6 個字元

2.3.1. 故意空白。

2.3.2.刻意留空。

2.3.3.您可以為畫面上的每個螢幕鎖定畫面調整下列密碼生命週期設定 裝置：

1. 刻意留空
2. 故意空白
3. 密碼抹除失敗次數上限：指定使用者嘗試清除密碼的次數 才能輸入錯誤的密碼，將公司資料從 裝置。IT 管理員必須關閉這項功能。

2.3.4.(Android 8.0 以上版本) 強式驗證要求逾時：高強度驗證 輸入驗證密碼 (例如 PIN 碼或密碼) 後， IT 管理員設定的逾時期限。逾時期限過後，非強 指紋、人臉解鎖等驗證方式已關閉，直到 裝置已使用高強度驗證密碼解鎖。

2.5.1.必須使用 Android Management API 鎖定裝置。

2.7.1.必須禁止安裝來源不明的應用程式，包括在設有工作資料夾的任何 Android 8.0 以上版本裝置的個人資料夾中安裝的應用程式。預設支援這項子功能。

IT 管理員可以開啟驗證應用程式功能 應用程式。驗證應用程式會在安裝前後掃描 Android 裝置上安裝的應用程式，確認是否含有有害軟體，有助於確保惡意應用程式無法竊取公司資料。

2.12.1.IT 管理員可以透過 政策 (請前往 mountPhysicalMediaDisabled)。

2.12.2. IT 管理員可以禁止使用者透過 NFC 分享裝置中的資料 使用政策的傳輸技術 (請前往 outgoingBeamDisabled)。此子功能為選用項目，因為 NFC 傳輸 函式。

3.1.1. 管理員如果已使用受管理 Google 網域，可以將自身網域繫結至 EMM。

3.1.2. 故意空白。

3.1.3. 故意空白。

3.1.4. EMM 控制台會指示管理員在 Android 申請流程，且不建議使用 Gmail 帳戶。

3.1.5.EMM 會在 Android 註冊流程中預先填入管理員的電子郵件地址。

3.2.1. Google Play 管理版帳戶 (使用者帳戶) 會自動建立 並決定佈建裝置的方式

根據預設，Android Management API 支援這項功能。不需額外 實作。

3.3.1.當裝置執行下列操作時，系統會自動建立 Google Play 管理版帳戶 已佈建完成

根據預設，Android Management API 支援這項功能。不需額外 實作。

3.5.1.EMM 的控制台必須使用 Android Management API IT 管理員可在受管理的裝置上安裝工作應用程式。

3.5.2. EMM 控制台必須使用 Android Management API，才能讓 IT 管理員更新受管理裝置上的商務應用程式。

IT 管理員可針對符合以下條件的應用程式，查看及設置受管理設定，且不顯示任何通知訊息： 支援受管理的設定

3.6.1.EMM 的控制台必須能擷取 並顯示任何 Play 應用程式的受管理設定。

3.6.2.EMM 的控制台必須允許 IT 管理員設定任何設定類型 (例如 定義；該架構適用於使用 Android 管理服務的任何 Play 應用程式 API ，直接在 Google Cloud 控制台實際操作。

3.9.1. EMM 的控制台應可讓 IT 管理員管理使用者基本商店版面配置中顯示的應用程式。

3.12.1.IT 管理員可以上傳已發布的新版應用程式 私下加入企業的行列：

3.13.1.EMM 的控制台可提供以下兩者，協助 IT 管理員代管應用程式 APK 選項：

• 在 EMM 的伺服器上代管 APK。伺服器可以是地端部署伺服器，也可以是雲端伺服器。
• 企業可視需要在 EMM 伺服器以外代管 APK。IT 管理員必須在 EMM 控制台中指定 APK 的代管位置。

3.13.2.EMM 控制台必須產生適當的 APK 定義 透過提供的 APK 且必須引導 IT 管理員完成發布程序。

3.13.3.IT 管理員可以更新自行代管的私人應用程式和 EMM 控制台 可以使用 Google Play Developer Publishing API ，直接在 Google Cloud 控制台實際操作。

3.13.4.EMM 的伺服器為自行代管的 APK 處理下載要求 會在要求的 Cookie 中包含有效的 JWT，且經 或私人應用程式的公開金鑰。

• 為方便進行這項程序，EMM 的伺服器必須引導 IT 管理員完成以下作業 從 Play Google Play 下載自行管理應用程式的授權公開金鑰 ，然後將這組金鑰上傳至 EMM 控制台。

3.15.1. EMM 必須遵守 Android Management API 的用量限制。若未修正超出這些準則的行為， Google 有權單方面決定停用 API 使用資格。

3.15.2.EMM 應在整天中分散不同企業的流量，而不是在特定或相近時間合併企業流量。符合此流量模式的行為，例如排定的批次 否則可能必須暫停 API 使用，位置為 並自行決定。

3.15.3.EMM 不應出現一致性、不完整或故意錯誤 不會嘗試擷取或管理實際企業資料的要求。 若行為符合此流量模式的行為，可能會導致 API 遭到停用。 並自行決定。

3.16.1. EMM 主控台必須能夠擷取及顯示任何 Play 應用程式的管理版設定，最多可分為四個巢狀層級，方法如下：

• Google Play 管理版 iframe ，或
• 也可以建立自訂使用者介面

3.16.2.EMM 的控制台必須能夠擷取及顯示任何意見回饋 是由應用程式的意見回饋管道傳回的 。

• EMM 的控制台必須允許 IT 管理員將特定意見回饋項目建立關聯 與使用者相關的裝置和應用程式互動
• EMM 控制台必須允許 IT 管理員訂閱特定訊息類型 (例如錯誤訊息) 的快訊或報表。

3.16.3. EMM 的控制台只能傳送具有預設值或由管理員手動設定的值 使用：

• 受管理的設定 iframe；
• 自訂 UI。

3.17.1.IT 管理員可透過 EMM 控制台將捷徑發布至網頁應用程式 使用：

• Google Play 管理版 iframe
• 或 Android Management API ，直接在 Google Cloud 控制台實際操作。

系統預設支援這項功能。不需額外導入 EMM 應用程式。

3.20.1. IT 管理員可允許應用程式使用高優先順序的應用程式更新，在可用更新時進行更新。 3.20.2.IT 管理員可以允許應用程式將應用程式更新延後 90 天。

4.1.1.IT 管理員必須在設定時選擇下列選項 機構的預設執行階段權限政策：

• 提示 (使用者可自行選擇)
• allow
• deny

4.3.1.SSID，使用政策。

IT 管理員可以佈建企業的 Wi-Fi 設定 並且支援下列進階安全功能 功能：

4.4.1. 身分識別

4.4.2. 用戶端授權憑證

4.4.3. CA 憑證

4.5.1. IT 管理員可以使用下列任一設定中的政策，鎖定企業 Wi-Fi 設定：

• 使用者無法修改 EMM 佈建的任何 Wi-Fi 設定 (請前往 wifiConfigsLockdownEnabled)，但 可能會新增及修改可供使用者設定的聯播網 (例如 個人網路)。
• 使用者無法在裝置上新增或修改任何 Wi-Fi 網路 (前往 wifiConfigDisabled)，將 Wi-Fi 連線範圍限制為僅限您的 網路。

4.6.1.IT 管理員可以禁止使用者新增或修改帳戶 (請參閱 modifyAccountsDisabled)。

• 在裝置上強制執行這項政策時，EMM 必須設定這項限制 ，確保使用者無法規避這項程序 政策生效。

4.8.1. IT 管理員可以安裝使用者身分憑證 的 KKI 層級必須整合 EMM 控制台 擁有至少一個 PKI，並發布由此連結產生的憑證 基礎架構

4.9.1.IT 管理員可以為發布至裝置的任何應用程式指定憑證 應用程式會在執行階段自動授予存取權。( 子功能)

• 憑證選取條件必須夠通用，只能代表單一 全域設定檔 使用者專屬識別憑證

4.9.2.IT 管理員可在不發出通知的情況下移除憑證 從代管 KeyStore 擷取金鑰

4.9.3.IT 管理員可以在無訊息的情況下解除安裝 CA 憑證。(這項子功能是 不支援)

4.9.4.IT 管理員可以禁止使用者在受管理的 KeyStore 中設定憑證 (請參閱 credentialsConfigDisabled)。

4.10.1.IT 管理員可以指定憑證管理套件 (前往 delegatedCertInstallerPackage) 即可設為委派憑證 管理應用程式

• EMM 可能會選擇性推薦已知的憑證管理套件。 但必須允許 IT 管理員從可用應用程式清單中選擇 安裝專屬應用程式

4.11.1. IT 管理員可以指定任意 VPN 套件 即可設為永久連線 VPN

• EMM 控制台可能會視情況推薦支援已知 VPN 套件 永久連線的 VPN，但無法限制永久連線設定可用的 VPN 然後再加進任意清單

4.12.1.IT 管理員可以設定 IME 許可清單 任意長度的 (前往 permitted_input_methods)，包括空白清單 封鎖非系統 IME，可能包含任意輸入法編輯器套件。

• EMM 控制台可能會選擇推薦已知或建議的 IME 加入許可清單，但必須允許 IT 管理員從清單中選擇 以及適用的使用者

4.13.1.IT 管理員可以設定 IME 許可清單 (前往 permitted_input_methods) 任意長度 (空白清單除外)， 封鎖包括系統 IME 在內的所有 IME，當中可能包含 IME 套件。

• EMM 控制台可能會選擇推薦已知或建議的 IME 加入許可清單，但必須允許 IT 管理員從清單中選擇 以及適用的使用者

4.13.2.EMM 必須禁止 IT 管理員設定空白的許可清單，因為 設定會使您無法在 裝置。

4.14.1.IT 管理員可以設定無障礙服務許可清單 (前往 permittedAccessibilityServices) 不拘長度 (包括空白長度) 清單，其中會封鎖非系統無障礙服務，其中可能包含 任意無障礙服務套件套用到工作資料夾時 會影響個人資料夾和工作資料夾。

• 控制台可能會選擇性推薦已知或建議的無障礙服務 加入許可清單，但必須允許 IT 管理員選擇 供適用的使用者安裝的應用程式清單。

4.15.1.IT 管理員可以停用定位服務 (前往 shareLocationDisabled)。

4.16.1.IT 管理員可以設定裝置定位服務 分別指定下列三種模式：

• 。
• 僅限 GPS 等感應器，不含網路提供的資料 或 HTTP/HTTPS 位置
• 節約耗電量，用於限制更新頻率。
• 關閉。

4.17.1.IT 管理員可以禁止使用者恢復原廠設定 (前往factoryResetDisabled) 孩子的裝置。

4.17.2. IT 管理員可以指定有權進行企業解鎖的帳戶 佈建裝置 恢復原廠設定後，請前往 frpAdminEmails。

• 這個帳戶可以與個人連結，也可以由整個企業使用 來解鎖裝置。

4.17.3.IT 管理員可以停用恢復原廠設定保護機制 (前往 0 factoryResetDisabled)。

IT 管理員可以禁止使用者透過「設定」解除安裝或修改受管理的應用程式。例如禁止強制關閉應用程式 清除應用程式的資料快取。

4.18.1.IT 管理員可以禁止解除安裝任何受管理的應用程式，也可以全部封鎖 受管理的應用程式 (請前往 uninstallAppsDisabled)。

4.18.2.IT 管理員可以禁止使用者修改應用程式資料 前往「設定」頁面(Android Management API 不支援這項子功能)。

4.19.1. IT 管理員可以禁止使用者擷取螢幕截圖 (請前往 screenCaptureDisabled)。

IT 管理員可以從遠端重新啟動受管理的裝置。

4.23.1. IT 管理員可以從遠端重新啟動受管理的裝置。

4.24.1.IT 管理員可以關閉透過服務傳送的區域廣播訊息 提供者 (請前往 cellBroadcastsConfigDisabled)。

4.24.2. IT 管理員可以禁止使用者在以下位置修改行動網路設定： 設定 (前往「mobileNetworksConfigDisabled」)。

4.24.3.IT 管理員可以禁止使用者重設以下項目的所有網路設定： 。(請前往 networkResetDisabled)。

4.24.4.IT 管理員可以設定裝置是否允許使用行動數據 漫遊時 (請前往 dataRoamingDisabled)。

4.24.5.IT 管理員可以設定裝置是否能撥打電話 來電，不含緊急電話 (請前往 outGoingCallsDisabled)。

4.24.6.IT 管理員可以設定裝置是否能傳送及接收簡訊 訊息 (請前往 smsDisabled)。

4.24.7.IT 管理員可以禁止使用者將裝置做為可攜式裝置使用 透過網路共用功能取得無線基地台 (請前往 tetheringConfigDisabled)。

4.24.8.IT 管理員可以在接上電源時，預設 Wi-Fi 逾時時間； 永不到期。(Android Management API 不支援這項子功能)。

4.24.9. IT 管理員可以禁止使用者設定或修改現有專案 藍牙連線 (前往 bluetoothConfigDisabled)。

IT 管理員可以靜默控制裝置音訊功能，包括將裝置靜音、禁止使用者修改音量設定，以及禁止使用者取消靜音裝置麥克風。

4.25.1.IT 管理員可將受管理的裝置設為靜音。 (Android Management API 不支援這項子功能)。

4.25.2.IT 管理員可以禁止使用者修改裝置音量設定 (請參閱 adjustVolumeDisabled)，這也會將裝置設為靜音。

如果是專用裝置，IT 管理員可以使用 政策 各種資訊站用途

4.27.1. IT 管理員可以關閉裝置鍵盤保護功能 (請前往 keyguardDisabled)。

4.27.2.IT 管理員可以關閉裝置狀態列、封鎖通知，以及 快速設定 (前往 statusBarDisabled)。

4.27.3.IT 管理員可以強制裝置螢幕保持開啟狀態 已接上電源 (前往 stayOnPluggedModes)。

4.27.4.IT 管理員可以禁止顯示下列系統 UI (請前往 createWindowsDisabled)：

• 吐司
• 應用程式重疊。

4.27.5.IT 管理員可以允許系統建議的應用程式在首次啟動時略過使用者教學課程和其他入門提示 (請參閱 skip_first_use_hints)。

IT 管理員可以將額外權限委派給個別套件。

4.28.1.IT 管理員可以管理下列範圍：

• 憑證安裝與管理
• 故意空白
• 網路記錄
• 安全性記錄 (不適用於自攜裝置工作資料夾)

從 Android 12 開始，工作資料夾將無法再存取工作資料夾 硬體專屬 IDIT 管理員可以透過註冊專屬 ID 追蹤設有工作資料夾的裝置生命週期，這個 ID 會在裝置恢復原廠設定後持續存在。

4.29.1.IT 管理員可以取得註冊專屬 ID

4.29.2.這個註冊專屬 ID 必須在恢復原廠設定後持續保留

5.1.1. IT 管理員可以透過指定 enterprise-specific 服務條款和其他免責事項 (請前往 termsAndConditions)。

5.1.2. IT 管理員可以部署 不可設定且 EMM 專屬服務條款和其他免責事項 (請前往 termsAndConditions)。

• EMM 可能會將 EMM 專屬的自訂項目設為 部署項目的預設值，但必須允許 IT 管理員自行設定 。

5.1.3. Android 上的企業資源已淘汰 primaryColor 10 以及更高版本。

5.5.1.IT 管理員可以自訂向使用者顯示的支援訊息 (短版和長版)。

5.5.2.IT 管理員可以部署無法設定、EMM 專用、短、長的 EMM 支援訊息 (請前往 shortSupportMessage 和 longSupportMessage policies)。

• EMM 可能會將 EMM 專屬支援訊息設為無法設定 部署項目的預設值，但必須允許 IT 管理員自行設定 訊息。

5.7.1.IT 管理員可以設定跨設定檔資料共用政策 ，讓個人應用程式可解析工作資料夾中的意圖，例如： 意圖或網頁連結

5.7.2.IT 管理員可讓工作資料夾中的應用程式建立及執行 在個人資料夾的主畫面顯示小工具。這項功能 預設為關閉，但您可以使用 workProfileWidgets 和 workProfileWidgetsDefault 欄位將其設為允許。

5.8.1.IT 管理員可透過 EMM 的控制台設定下列 OTA 配置：

• 自動：裝置會在無線更新 (OTA) 推出時安裝。
• 延後：IT 管理員必須能將 OTA 更新延後到最多 30 個 天。這項政策不會影響安全性更新 (例如每月安全性) 修補程式)。
• 期限：IT 管理員必須能在每日更新 OTA 時安排更新作業 維護期間

5.9.1.EMM 控制台可讓 IT 管理員靜默允許任意應用程式組合安裝至裝置並鎖定。政策：可讓您設定專用裝置。

5.10.1. IT 管理員可以將任何套件設為預設意圖處理常式 套用至任意意圖篩選器

• EMM 的控制台可能會為以下使用者選擇建議已知或建議的意圖： ，但無法將意圖限制為任何任意清單。
• EMM 的控制台必須允許 IT 管理員從應用程式清單中選擇 供適用使用者安裝

5.11.1.Policy 可能關閉以下裝置鍵盤鎖功能：

• 信任的代理程式
• 指紋解鎖
• 未遮蓋的通知

5.11.2.你可以關閉工作資料夾的下列鍵盤鎖功能 使用政策：

• 信任的代理程式
• 指紋解鎖

• 確保攝影機安全
• 所有通知
• 未遮蓋
• 信任的代理程式
• 指紋解鎖
• 所有鍵盤功能

Android 管理 API 不支援這項功能。

5.15.1.允許單一應用程式安裝並鎖定在裝置上，無須顯示任何訊息。

5.15.2.啟用或停用下列系統 UI 功能：

• 主畫面按鈕
• 總覽
• 全域動作
• 通知
• 系統資訊 / 狀態列
• 鍵盤鎖 (螢幕鎖定)。在 5.15.1.

5.15.3.關閉「系統錯誤對話方塊」。

5.17.1.IT 管理員可以提供要顯示的自訂文字 (請前往 wipeReasonMessage)。

IT 管理員可以設定套件清單，並在 設定 ConnectedWorkAndPersonalApp 工作設定檔邊界。