本頁列出完整的 Android 企業功能。
如果打算管理超過 500 部裝置,EMM 解決方案必須支援至少一組解決方案的所有標準功能 (),才能正式推出。通過標準功能驗證的 EMM 解決方案,會列在 Android 的企業解決方案目錄中,並標示為提供標準管理組合。
每個解決方案組合都提供額外的一組進階功能。這些功能會標示在各解決方案集頁面中:個人裝置上的工作資料夾、公司裝置上的工作資料夾、全代管裝置和專用裝置。通過進階功能驗證的 EMM 解決方案,會列在 Android 的企業解決方案目錄中,並標示為提供進階管理組合。
鍵
| 標準功能 | 進階功能 | 選用功能 | 不適用 |
1. 裝置佈建
1.1. 以 DPC 為優先的工作資料夾佈建
使用者從 Google Play 下載 Android Device Policy 後,即可佈建工作資料夾。
1.1.1. EMM 會提供 QR code 或啟用代碼給 IT 管理員,以支援這個佈建方法 (請參閱 註冊及佈建裝置)。
1.2. DPC ID 裝置佈建
在裝置設定精靈中輸入「afw#」,即可佈建全代管或專用裝置。
1.2.1. EMM 會提供 QR code 或啟用代碼給 IT 管理員,以支援這個佈建方法 (請參閱註冊及佈建裝置)。
1.3. NFC 裝置佈建
IT 管理員可根據Play EMM API 開發人員說明文件中定義的導入指南,使用 NFC 標記佈建全新或已恢復原廠設定的裝置。
1.3.1. EMM 必須使用 NFC 論壇第 2 類標記,且記憶體至少要有 888 個位元組。 佈建時必須使用佈建額外資訊,將伺服器 ID 和註冊 ID 等非機密註冊詳細資料傳遞至裝置。註冊詳細資料不應包含密碼或憑證等機密資訊。
1.3.2. 由於 NFC Beam (又稱 NFC Bump) 已遭淘汰,建議您使用 NFC 標籤搭配 Android 10 以上版本。
1.4. 使用 QR code 佈建裝置
EMM 控制台可以產生 QR code,IT 管理員掃描後即可佈建全代管或專用裝置,請參閱 Android Management API 開發人員說明文件中的實作指南。
1.4.1. QR code 必須使用佈建額外資訊,將非機密的註冊詳細資料 (例如伺服器 ID、註冊 ID) 傳遞至裝置。註冊詳細資料不得包含密碼或憑證等機密資訊。
1.5. 零接觸註冊機制
IT 管理員可以預先設定從授權經銷商購買的裝置,並使用 EMM 控制台管理這些裝置。
1.5.1. IT 管理員可以使用零接觸註冊方法佈建公司裝置,詳情請參閱「適用於 IT 管理員的零接觸註冊機制」一文。
1.5.2. 首次開啟裝置時,系統會自動強制套用 IT 管理員定義的設定。
1.6. 進階零接觸佈建
IT 管理員可以透過零接觸註冊機制,自動執行大部分的裝置註冊程序。搭配登入網址,IT 管理員可以根據 EMM 提供的設定選項,將註冊限制在特定帳戶或網域。
1.6.1. IT 管理員可以使用零接觸註冊方法佈建公司裝置。
1.6.2. 這項規定已淘汰。
1.6.3. EMM 必須使用登入網址,確保未經授權的使用者無法繼續啟用裝置。至少要將啟用程序限制在特定企業的使用者。
1.6.4. 使用登入網址,EMM 必須讓 IT 管理員預先填入註冊詳細資料 (例如伺服器 ID、註冊 ID),但使用者或裝置的專屬資訊 (例如使用者名稱/密碼、啟用權杖) 除外,這樣使用者在啟用裝置時就不必輸入詳細資料。
- EMM 不得在零接觸註冊設定中加入密碼或憑證等私密資訊。
1.7. Google 帳戶工作資料夾佈建
如果企業使用受管理的 Google 網域,這項功能會在使用者於裝置設定期間或在已啟用的裝置上輸入公司 Workspace 憑證後,引導他們設定工作資料夾。在這兩種情況下,公司 Workspace 身分都會移至工作資料夾。
1.8. Google 帳戶裝置佈建
Android Management API 不支援這項功能。
1.9. 直接設定零接觸註冊
IT 管理員可以使用 EMM 的控制台,透過零接觸 iframe 設定零接觸裝置。
1.10. 公司裝置上的工作資料夾
EMM 可以設定AllowPersonalUsage ,註冊含有工作資料夾的公司裝置。
1.10.1. 刻意留白。
1.10.2. IT 管理員可以透過 PersonalUsagePolicies,為公司裝置上的工作資料夾設定合規動作。
1.10.3. IT 管理員可以透過 PersonalUsagePolicies,停用工作資料夾或整部裝置的相機。
1.10.4. IT 管理員可以透過 PersonalUsagePolicies,在工作資料夾或整部裝置中停用螢幕畫面擷取功能。
1.10.5. IT 管理員可以透過 PersonalApplicationPolicy,設定個人資料中無法安裝的應用程式封鎖清單。
1.10.6. IT 管理員可以移除工作資料夾或抹除整個裝置,藉此放棄公司裝置的管理權。
1.11. 專用裝置佈建
IT 管理員可以註冊專用裝置,使用者無須使用 Google 帳戶驗證。
2. 裝置安全性
2.1. 裝置安全驗證
IT 管理員可以在受管理裝置上,從預先定義的 3 個複雜度層級中選取,設定並強制執行裝置安全挑戰 (PIN 碼/圖案/密碼)。
2.1.1. 政策 必須強制執行管理裝置安全挑戰的設定 (工作資料夾的 parentProfilePasswordRequirements,完全受管理和專用裝置的 passwordRequirements)。
2.1.2. 密碼複雜度應對應至下列密碼複雜度:
- PASSWORD_COMPLEXITY_LOW - 解鎖圖案或包含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,或是長度至少 4 個字元的英文字母或英數字元密碼
- PASSWORD_COMPLEXITY_HIGH - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,長度不得少於 8 個字元;或是由英文字母或英數字元組成,長度不得少於 6 個字元
2.1.3. 您也可以在公司擁有的裝置上,以舊版設定強制執行其他密碼限制。
2.2. 工作安全驗證
IT 管理員可以為工作資料夾中的應用程式和資料設定並強制執行安全性驗證,這與裝置安全性驗證 (2.1.) 不同,且有不同的要求。
2.2.1. 政策 必須強制執行工作資料夾的安全身分確認問題。
- 根據預設,如果未指定範圍,IT 管理員應只為工作資料夾設定限制
- IT 管理員可以指定範圍,在裝置上設定這項功能 (請參閱規定 2.1)
2.2.2. 密碼複雜度應對應至下列預先定義的密碼複雜度:
- PASSWORD_COMPLEXITY_LOW - 解鎖圖案或包含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,或是長度至少 4 個字元的英文字母或英數字元密碼
- PASSWORD_COMPLEXITY_HIGH - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,長度不得少於 8 個字元;或是由英文字母或英數字元組成,長度不得少於 6 個字元
2.2.3. 您也可以透過舊版設定強制執行其他密碼限制
2.3. 進階密碼管理
IT 管理員可以在裝置上設定進階密碼設定。
2.3.1. 刻意留白。
2.3.2. 刻意留白。
2.3.3. 您可以為裝置上的每個螢幕鎖定設定下列密碼生命週期設定:
- 刻意留白
- 刻意留白
- 密碼輸入錯誤次數上限 (一旦超出限制,即抹除裝置):指定使用者輸入錯誤密碼的次數上限,一旦超出限制,系統就會從裝置中清除公司資料。IT 管理員必須能夠關閉這項功能。
2.3.4. (Android 8.0 以上版本) 強效驗證逾時規定:在IT 管理員設定的逾時時間過後,使用者必須輸入強效驗證密碼 (例如 PIN 碼或密碼)。逾時時間結束後,系統會停用非高強度驗證方法 (例如指紋、臉部解鎖),直到裝置透過高強度驗證密碼解鎖為止。
2.4. 管理智慧門鎖
IT 管理員可以管理是否允許 Android Smart Lock 功能中的信任代理程式,將裝置解鎖時間延長最多四小時。
2.4.1. IT 管理員可以停用裝置上的信任代理程式。
2.5. 清除及鎖定
IT 管理員可以透過 EMM 控制台,從遠端鎖定受管理的裝置,並抹除工作資料。
2.5.1. 裝置必須使用 Android Management API 鎖定。
2.5.2. 必須使用 Android Management API 清除裝置。
2.6. 強制執行政策
如果裝置不符合安全性政策,Android Management API 實施的法規遵循規則會自動限制使用工作資料。
2.6.1. 裝置強制執行的安全性政策至少須包含密碼政策。
2.7. 預設安全性政策
EMM 必須預設在裝置上強制執行指定的安全政策,不需要 IT 管理員在 EMM 的管理控制台中設定或自訂任何設定。建議 (但非必要) EMM 不允許 IT 管理員變更這些安全防護功能的預設狀態。
2.7.1. 必須禁止安裝來源不明的應用程式,包括安裝在任何設有工作資料夾的 Android 8.0 以上裝置個人端上的應用程式。這項子功能預設為支援。
2.7.2. 必須封鎖偵錯功能。這項子功能預設為支援。
2.8. 專用裝置的安全性政策
鎖定的專用裝置無法執行其他動作。
2.8.1. 根據預設,必須使用政策關閉安全模式開機 (前往 safeBootDisabled)。
2.9. Play Integrity 支援
系統預設會進行 Play Integrity 檢查。無須額外導入。
2.9.1. 刻意留白。
2.9.2. 刻意留白。
2.9.3. IT 管理員可以根據裝置的 SecurityRisk 值設定不同的政策回應,包括封鎖佈建、清除公司資料,以及允許繼續註冊。
- EMM 服務會針對每次完整性檢查的結果,強制執行這項政策回應。
2.9.4. 刻意留白。
2.10. 驗證應用程式的強制執行狀態
IT 管理員可以在裝置上開啟「驗證應用程式」,「驗證應用程式」功能會在 Android 裝置上安裝應用程式前後掃描有害軟體,確保惡意應用程式無法竊取公司資料。
2.10.1. 驗證應用程式必須預設為開啟,請使用政策 (前往 ensureVerifyAppsEnabled)。
2.11. 支援直接啟動
Android Management API 預設支援這項功能。無須額外導入。
2.12. 硬體安全管理
IT 管理員可以鎖定公司裝置的硬體元件,確保資料不會遺失。
2.12.1. IT 管理員可以透過政策禁止使用者掛接實體外部媒體 (前往
mountPhysicalMediaDisabled)。
2.12.2. IT 管理員可以透過政策 (前往 outgoingBeamDisabled),禁止使用者透過 NFC 傳輸功能分享裝置資料。由於 Android 10 以上版本不再支援 NFC 傳輸功能,因此這項子功能為選用功能。
2.12.3. IT 管理員可以透過政策 (前往
usbFileTransferDisabled),禁止使用者透過 USB 傳輸檔案。
2.13. 企業安全記錄
Android Management API 不支援這項功能。
3. 帳戶和應用程式管理
3.1. 企業繫結
IT 管理員可以將 EMM 繫結至機構,允許 EMM 使用 Google Play 管理版將應用程式發布至裝置。
3.1.1. 如果管理員已有受管理 Google 網域,可以將網域繫結至 EMM。
3.1.2. 刻意留白。
3.1.3. 刻意留白。
3.1.4. EMM 控制台會引導管理員在 Android 註冊流程中輸入公司電子郵件地址,並避免使用 Gmail 帳戶。
3.1.5. EMM 會在 Android 註冊流程中預先填入管理員的電子郵件地址。
3.2. 佈建 Google Play 管理版帳戶
EMM 可以自動佈建企業使用者帳戶,也就是 Google Play 管理版帳戶。這些帳戶可識別受管理的使用者,並允許為每位使用者設定專屬的應用程式發布規則。
3.2.1. 佈建裝置時,系統會自動建立 Google Play 管理版帳戶 (使用者帳戶)。
Android Management API 預設支援這項功能。無須額外導入。
3.3. Google Play 管理版裝置帳戶佈建
EMM 可以建立及佈建 Google Play 管理版裝置帳戶。裝置帳戶支援從 Google Play 管理版商店無聲安裝應用程式,且不會與單一使用者綁定。而是用來識別單一裝置,以便在專用裝置情境中,支援各裝置的應用程式發布規則。
3.3.1. 裝置佈建時,系統會自動建立 Google Play 管理版帳戶。
Android Management API 預設支援這項功能。無須額外導入。
3.4. 為舊版裝置佈建 Google Play 管理版帳戶
這項功能已淘汰。
3.5. 在背景中發布應用程式
IT 管理員可以在裝置上自動發布工作應用程式,使用者無須進行任何操作。
3.5.1. EMM 的控制台必須使用 Android Management API,允許 IT 管理員在受管理裝置上安裝工作應用程式。
3.5.2. EMM 的控制台必須使用 Android Management API,IT 管理員才能更新受管理裝置上的工作應用程式。
3.5.3. EMM 控制台必須使用 Android Management API,IT 管理員才能解除安裝受管理裝置上的應用程式。
3.6. 管理受管理的設定
IT 管理員可以查看並以無聲模式設定任何支援受管理設定的應用程式。
3.6.1. EMM 控制台必須能夠擷取及顯示任何 Play 應用程式的受管理設定。
3.6.2. EMM 控制台必須允許 IT 管理員使用 Android Management API,為任何 Play 應用程式設定任何類型的設定 (如 Android Enterprise 架構所定義)。
3.6.3. EMM 主控台必須允許 IT 管理員設定萬用字元 (例如 $username$ 或 %emailAddress%),這樣一來,Gmail 等應用程式的單一設定就能套用至多位使用者。
3.7. 管理應用程式目錄
Android Management API 預設支援這項功能。您無須採取額外導入作業。
3.8. 透過程式輔助核准應用程式
EMM 控制台會使用 Google Play 管理版 iframe,支援 Google Play 的應用程式探索和核准功能。IT 管理員不必離開 EMM 控制台,即可搜尋及核准應用程式,以及核准新的應用程式權限。
3.8.1. IT 管理員可以使用 Google Play 管理版 iframe,在 EMM 控制台內搜尋及核准應用程式。
3.9. 基本商店版面配置管理
您可以使用 Google Play 管理版商店應用程式安裝及更新工作應用程式。 根據預設,Google Play 管理版商店會以單一清單顯示使用者核准的應用程式。這種版面配置稱為「基本商店版面配置」。
3.9.1. EMM 控制台應允許 IT 管理員管理應用程式,這些應用程式會顯示在使用者基本商店版面配置中。
3.10. 進階商店版面配置設定
3.10.1. IT 管理員可以自訂 Google Play 管理版商店應用程式中顯示的商店版面配置。
3.11. 管理應用程式授權
這項功能已淘汰。
3.12. 管理 Google 代管的私人應用程式
IT 管理員可以透過 EMM 控制台更新 Google 代管的私人應用程式, 不必透過 Google Play 管理中心。
3.12.1. IT 管理員可以使用下列方式,將已發布的應用程式新版本私下上傳至企業:
3.13. 自行代管的私人應用程式管理
IT 管理員可以設定及發布自行代管的私人應用程式。與 Google 代管的私人應用程式不同,Google Play 不會代管 APK。而是協助 IT 管理員自行代管 APK,並確保只有在 Google Play 管理版授權後,才能安裝自行代管的應用程式,藉此保護這些應用程式。
3.13.1. EMM 控制台必須提供下列兩種選項,協助 IT 管理員代管應用程式 APK:
- 在 EMM 伺服器上代管 APK。伺服器可以是地端或雲端型。
- 由企業自行決定是否在 EMM 伺服器以外的位置代管 APK。IT 管理員必須在 EMM 控制台中指定 APK 的代管位置。
3.13.2. EMM 管理中心必須使用提供的 APK 產生適當的 APK 定義檔案,並引導 IT 管理員完成發布程序。
3.13.3. IT 管理員可以更新自行代管的私人應用程式,EMM 主控台則可使用 Google Play Developer Publishing API,以無聲模式發布更新的 APK 定義檔。
3.13.4. EMM 伺服器會處理自架主機 APK 的下載要求,這些要求必須在 Cookie 中包含有效的 JWT,並通過私有應用程式公開金鑰的驗證。
- 為簡化這個程序,EMM 伺服器必須引導 IT 管理員從 Play 管理中心下載自代管應用程式的授權公開金鑰,然後將這個金鑰上傳至 EMM 控制台。
3.14. EMM 提取通知
這項功能不適用於 Android Management API。請改為設定 Pub/Sub 通知。
3.15. API 使用規定
EMM 會大規模實作 Android Management API,避免流量模式對企業在正式環境中管理應用程式的能力造成負面影響。
3.15.1. EMM 必須遵守 Android Management API 用量限制。如果行為超出這些規範,且未加以修正,Google 可自行決定是否暫停 API 使用權。
3.15.2. EMM 應在一天內分散不同企業的流量,而不是在特定或類似時間集中處理企業流量。如果您的行為符合這種流量模式 (例如為每個已註冊的裝置排定批次作業),Google 可能會視情況暫停您的 API 使用權。
3.15.3. EMM 不應持續發出不完整或刻意錯誤的要求,且不嘗試擷取或管理實際的企業資料。如果您的行為符合這種流量模式,Google 可自行決定是否暫停您的 API 使用權。
3.16. 進階受管理設定管理
EMM 支援下列進階受管理設定管理功能:
3.16.1. EMM 控制台必須能夠使用下列項目,擷取並顯示任何 Play 應用程式最多四個層級的巢狀管理設定:
- Google Play 管理版 iframe ,或
- 自訂 UI。
3.16.2. IT 管理員設定後,EMM 控制台必須能夠擷取並顯示應用程式意見回饋管道傳回的任何意見回饋。
- EMM 控制台必須允許 IT 管理員將特定意見回饋項目與來源裝置和應用程式建立關聯。
- EMM 控制台必須允許 IT 管理員訂閱特定訊息類型 (例如錯誤訊息) 的快訊或報告。
3.16.3. EMM 主控台只能傳送具有預設值或由管理員手動設定的值,方法如下:
- 受管理的設定 iframe,或
- 自訂 UI。
3.17. 管理網頁應用程式
IT 管理員可以在 EMM 控制台中建立及發布網頁應用程式。
3.17.1. IT 管理員可透過 EMM 控制台,使用下列方式發布網頁應用程式捷徑:
3.18. 管理 Google Play 帳戶生命週期
EMM 可以代表 IT 管理員建立、更新及刪除 Google Play 管理版帳戶,並在帳戶過期時自動復原。
這項功能預設為支援。無須額外導入 EMM。
3.19. 管理應用程式測試群組
3.19.1. IT 管理員可以擷取開發人員為特定應用程式設定的測試群組 ID 清單。
3.19.2. IT 管理員可以將裝置設為使用特定開發軌來更新應用程式。
3.20. 進階應用程式更新管理
IT 管理員可以允許應用程式立即更新,或延後 90 天再更新。
3.20.1. IT 管理員可以允許應用程式使用高優先順序應用程式更新,在更新準備就緒時進行更新。 3.20.2. IT 管理員可以允許應用程式延後更新 90 天。
3.21. 管理佈建方法
EMM 可以產生佈建設定,並以適合發布給使用者的形式 (例如 QR code、零接觸設定、Play 商店網址) 提供給 IT 管理員。
3.22. 升級 Enterprise 繫結
IT 管理員可將企業繫結類型升級為 Managed Google Domains 企業, 讓機構在已註冊的裝置上存取 Google 帳戶服務和功能。
3.22.1. IT 管理員可透過 EMM 控制台,使用必要 API,將現有的 Google Play 管理版帳戶企業升級為受管理 Google 網域企業。
3.22.2. EMM 應使用 Pub/Sub 接收 IT 管理員啟動的升級事件通知 (即使這些事件發生在 EMM 控制台之外),並更新 UI 來反映這些變更。
3.23. 受管理 Google 帳戶佈建
EMM 可以為裝置佈建企業使用者帳戶,也就是 Google Play 管理版帳戶。 這些帳戶可識別受管理的使用者、允許應用程式發布規則,以及允許存取 Google 服務。IT 管理員也可以設定政策,在註冊期間或之後要求驗證受管理 Google 帳戶。
3.23.1. EMM 可以根據定義的導入規範,佈建 Google 管理帳戶。
這麼做會導致下列情況:
- 在裝置上新增受管理 Google 帳戶。
- 受管理 Google 帳戶必須與 EMM 控制台中的實際使用者一一對應。
3.23.2. IT 管理員可以使用這項政策,讓使用者選擇登入受管理的 Google 帳戶進行註冊。
3.23.3. IT 管理員可以透過這項政策,控管使用者是否必須登入受管理的 Google 帳戶才能完成註冊。
3.23.4. IT 管理員可以選擇針對特定裝置,將升級流程限制為特定帳戶 ID (電子郵件地址)。
3.24. 升級 Google Play 管理版帳戶
IT 管理員可以將使用者帳戶類型升級為受管理 Google 帳戶,讓裝置存取已註冊裝置上的 Google 帳戶服務和功能。
3.24.1. IT 管理員可以將裝置上現有的 Google Play 管理版帳戶升級為受管理 Google 帳戶。
3.24.2. IT 管理員可以選擇針對特定裝置,將升級流程限制為特定帳戶 ID (電子郵件地址)。
4. 裝置管理
4.1. 管理執行階段權限政策
IT 管理員可以針對工作應用程式提出的執行階段權限要求, 以無聲方式設定預設回應。
4.1.1. IT 管理員為機構設定預設執行階段權限政策時,必須能夠選擇下列選項:
- 提示 (允許使用者選擇)
- allow
- deny
EMM 應使用政策強制執行這些設定。 .
4.2. 管理執行階段權限授予狀態
設定預設的執行階段權限政策後 (請參閱 4.1 節),IT 管理員可以針對以 API 23 以上版本建構的任何工作應用程式,以無聲方式設定特定權限的回應。
4.2.1. IT 管理員必須能夠為以 API 23 以上版本建構的任何工作應用程式,設定所要求權限的授予狀態 (預設、授予或拒絕)。EMM 應使用政策強制執行這些設定。
4.3. Wi-Fi 設定管理
IT 管理員可以在受管理裝置上以無聲方式佈建企業 Wi-Fi 設定,包括:
4.3.1. SSID,使用政策。
4.3.2. 密碼,使用政策。
4.4. Wi-Fi 安全性管理
IT 管理員可以在裝置上佈建企業 Wi-Fi 設定,這些裝置必須具備下列進階安全性功能:
4.4.1. 身分識別
4.4.2. 用戶端授權憑證
4.4.3. CA 憑證
4.5. 進階 Wi-Fi 管理
IT 管理員可以鎖定受管理裝置的 Wi-Fi 設定,禁止使用者建立設定或修改公司設定。
4.5.1. IT 管理員可以使用政策,在下列任一設定中鎖定公司 Wi-Fi 設定:
- 使用者無法修改 EMM 佈建的任何 Wi-Fi 設定 (前往
wifiConfigsLockdownEnabled),但可以新增及修改自己的使用者可設定網路 (例如個人網路)。 - 使用者無法在裝置上新增或修改任何 Wi-Fi 網路 (前往
wifiConfigDisabled),因此 Wi-Fi 連線僅限於 EMM 佈建的網路。
4.6. 帳戶管理
IT 管理員可以確保只有獲得授權的公司帳戶可使用公司資料,例如 SaaS 儲存空間和生產力應用程式,或電子郵件。如果沒有這項功能,使用者可以將個人帳戶新增至也支援個人帳戶的公司應用程式,並與這些個人帳戶共用公司資料。
4.6.1. IT 管理員可以禁止使用者新增或修改帳戶 (請參閱 modifyAccountsDisabled)。
- 在裝置上強制執行這項政策時,EMM 必須在佈建完成前設定這項限制,確保使用者無法在政策生效前新增帳戶,藉此規避政策。
4.7. 管理 Workspace 帳戶
這項功能已淘汰。請參閱3.23. 瞭解更換規定。
4.8. 憑證管理功能
IT 管理員可將身分識別憑證和憑證授權單位部署到裝置,允許使用公司資源。
4.8.1. IT 管理員可以為每位使用者安裝 PKI 產生的使用者身分憑證。EMM 控制台必須整合至少一個 PKI,並發布從該基礎架構產生的憑證。
4.8.2. IT 管理員可以安裝憑證授權單位 (請參閱 caCerts) 至受管理金鑰儲存區。不過,系統不支援這項子功能。
4.9. 進階憑證管理
IT 管理員可以為特定受管理應用程式,以無聲模式選取要使用的憑證。IT 管理員也能透過這項功能,從使用中的裝置移除 CA 和識別憑證,並禁止使用者修改受管理 KeyStore 中儲存的憑證。
4.9.1. 對於發布到裝置的任何應用程式,IT 管理員可以指定應用程式在執行階段無須提示即可存取的憑證。(不支援這項子功能)
- 選取的憑證必須夠通用,才能讓單一設定套用至所有使用者,而每位使用者都可能擁有專屬的身分識別憑證。
4.9.2. IT 管理員可以從受管理金鑰儲存區移除憑證。
4.9.3. IT 管理員可以無聲解除安裝 CA 憑證。(不支援這項子功能)
4.9.4. IT 管理員可以禁止使用者在受管理的金鑰儲存區中設定憑證 (前往 credentialsConfigDisabled)。
4.9.5. IT 管理員可以使用 ChoosePrivateKeyRule,預先授予工作應用程式憑證。
4.10. 委派憑證管理
IT 管理員可以將第三方憑證管理應用程式發布到裝置,並授權該應用程式在受管理的 KeyStore 中安裝憑證。
4.10.1. IT 管理員可以指定憑證管理套件 (前往 delegatedCertInstallerPackage),做為委派憑證管理應用程式。
- EMM 可視需要建議已知的憑證管理套件,但必須允許 IT 管理員為適用使用者從可安裝的應用程式清單中選擇。
4.11. 進階 VPN 管理
IT 管理員可以指定永久連線的 VPN,確保特定受管理應用程式的資料一律會通過設定的 VPN。
4.11.1. IT 管理員可以指定任意 VPN 套件,設為永久連線的 VPN。
- EMM 控制台可能會建議支援「永久連線 VPN」的已知 VPN 套件,但無法將可設定為永久連線的 VPN 限制為任意清單。
4.11.2. IT 管理員可以透過受管理設定,為應用程式指定 VPN 設定。
4.12. IME 管理
IT 管理員可以管理裝置可設定的輸入法 (IME)。由於工作和個人設定檔會共用 IME,因此封鎖 IME 的使用權後,使用者也無法在個人設定檔中允許使用這些 IME。不過,IT 管理員可能無法禁止在工作資料夾中使用系統 IME (詳情請參閱進階 IME 管理)。
4.12.1. IT 管理員可以設定任意長度的輸入法編輯器允許清單 (前往 permitted_input_methods),包括空白清單 (可封鎖非系統輸入法編輯器),其中可包含任意輸入法編輯器套件。
- EMM 控制台可能會建議將已知或建議的 IME 加入許可清單,但必須允許 IT 管理員從可供安裝的應用程式清單中選擇適用於使用者的項目。
4.12.2. EMM 必須通知 IT 管理員,系統 IME 不會納入設有工作資料夾的裝置管理範圍。
4.13. 進階 IME 管理
IT 管理員可以控管使用者可在裝置上設定的輸入法。進階 IME 管理功能擴充了基本功能,可讓 IT 管理員管理系統 IME 的使用情形,這類 IME 通常由裝置製造商或電信業者提供。
4.13.1. IT 管理員可以設定任意長度的輸入法編輯器允許清單 (前往 permitted_input_methods),但不得為空白清單 (空白清單會封鎖所有輸入法編輯器,包括系統輸入法編輯器),且可包含任何任意輸入法編輯器套件。
- EMM 控制台可能會建議將已知或建議的 IME 加入許可清單,但必須允許 IT 管理員從可供安裝的應用程式清單中選擇適用於使用者的項目。
4.13.2. EMM 必須禁止 IT 管理員設定空白的允許清單,因為這項設定會封鎖所有 IME,包括裝置上的系統 IME。
4.13.3. EMM 必須確保如果輸入法編輯器許可清單不含系統輸入法編輯器,第三方輸入法編輯器會在許可清單套用至裝置前,以無聲模式安裝。
4.14. 管理無障礙服務
IT 管理員可以管理使用者在裝置上允許的無障礙服務。無障礙服務是強大的工具,可協助身心障礙使用者,或是暫時無法與裝置全面互動的使用者。但他們與公司資料互動的方式可能不符合公司政策。IT 管理員可以透過這項功能關閉任何非系統無障礙服務。
4.14.1. IT 管理員可以設定任意長度的無障礙服務允許清單 (前往 permittedAccessibilityServices),包括空白清單 (可封鎖非系統無障礙服務),其中可能包含任何無障礙服務套件。如果套用至工作資料夾,這項設定會同時影響個人資料夾和工作資料夾。
- 控制台可視需要建議將已知或建議的無障礙服務納入許可清單,但必須允許 IT 管理員從可供安裝的應用程式清單中,為適用使用者選擇服務。
4.15. 管理位置資訊分享設定
IT 管理員可以禁止使用者與工作資料夾中的應用程式分享位置資訊。否則,您可以在「設定」中設定工作資料夾的位置資訊設定。
4.15.1. IT 管理員可以停用工作資料夾中的定位服務
(前往 shareLocationDisabled)。
4.16. 進階位置資訊分享管理
IT 管理員可以在受管理裝置上強制執行特定位置資訊分享設定。 這項功能可確保企業應用程式一律取得高精確度的位置資訊資料。這項功能也會將位置資訊設定限制為省電模式,確保不會消耗額外電量。
4.16.1. IT 管理員可以將裝置定位服務設為下列任一模式:
- 。
- 僅限感應器,例如 GPS,但不包括網路提供的位置資訊。
- 節省電力,但會限制更新頻率。
- 關閉。
4.17. 管理恢復原廠設定保護機制
IT 管理員可以確保未經授權的使用者無法將公司裝置恢復原廠設定,藉此保護裝置免於遭竊。如果恢復原廠設定保護機制在裝置退回 IT 部門時,造成作業複雜度增加,IT 管理員可以完全關閉恢復原廠設定保護機制。
4.17.1. IT 管理員可以禁止使用者透過「設定」應用程式將裝置恢復原廠設定
(前往 factoryResetDisabled)。
4.17.2. IT 管理員可以指定有權在裝置恢復原廠設定後佈建裝置的企業解鎖帳戶 (前往 frpAdminEmails)。
- 這個帳戶可以與個人綁定,也可以供整個企業用來解鎖裝置。
4.17.3. IT 管理員可以停用特定裝置的恢復原廠設定保護機制 (前往 0 factoryResetDisabled)。
4.17.4. IT 管理員可以啟動遠端清除裝置資料,選擇性清除恢復原廠設定保護機制資料,藉此移除重設裝置的恢復原廠設定保護機制。
4.18. 進階應用程式控制項
IT 管理員可以禁止使用者透過「設定」解除安裝或修改受管理應用程式。例如,防止強制關閉應用程式或清除應用程式的資料快取。
4.18.1. IT 管理員可以封鎖任意受管理應用程式的解除安裝作業,或封鎖所有受管理應用程式 (前往uninstallAppsDisabled)。
4.18.2. IT 管理員可以禁止使用者透過「設定」修改應用程式資料。(Android Management API 不支援這項子功能)
4.19. 管理螢幕截圖
IT 管理員可以禁止使用者在使用受管理應用程式時擷取螢幕截圖。 這項設定包括封鎖使用系統螢幕截圖功能的螢幕分享應用程式和類似應用程式 (例如 Google 助理)。
4.19.1. IT 管理員可以禁止使用者擷取螢幕截圖
(前往 screenCaptureDisabled)。
4.20. 停用相機
IT 管理員可以禁止受管理應用程式使用裝置相機。
4.20.1. IT 管理員可以禁止受管理應用程式使用裝置相機 (前往 cameraDisabled)。
4.21. 收集網路統計資料
Android Management API 不支援這項功能。
4.22. 收集進階網路統計資料
Android Management API 不支援這項功能。
4.23. 重新啟動裝置
IT 管理員可以從遠端重新啟動受管理裝置。
4.23.1. IT 管理員可以從遠端重新啟動受管理裝置。
4.24. 系統無線電管理
IT 管理員可使用政策,精細管理系統網路無線電和相關使用政策。
4.24.1. IT 管理員可以關閉服務供應商傳送的細胞廣播 (請前往 cellBroadcastsConfigDisabled)。
4.24.2. IT 管理員可以禁止使用者在「設定」中修改行動網路設定 (前往 mobileNetworksConfigDisabled)。
4.24.3. IT 管理員可以禁止使用者在「設定」中重設所有網路設定。(前往 networkResetDisabled)。
4.24.4. IT 管理員可以設定裝置是否允許漫遊時使用行動數據 (請前往 dataRoamingDisabled)。
4.24.5. IT 管理員可以設定裝置是否能撥打電話 (緊急電話除外),詳情請參閱outGoingCallsDisabled。
4.24.6. IT 管理員可以設定裝置能否收發簡訊 (請參閱smsDisabled)。
4.24.7. IT 管理員可以禁止使用者透過網路共用將裝置當成可攜式無線基地台 (請前往 tetheringConfigDisabled)。
4.24.8. IT 管理員可以將 Wi-Fi 超時設為預設值、充電時或永不超時。(Android Management API 不支援這項子功能)
4.24.9. IT 管理員可以禁止使用者設定或修改現有的藍牙連線 (請前往 bluetoothConfigDisabled)。
4.25. 系統音訊管理
IT 管理員可以在使用者不知情的情況下控制裝置音訊功能,包括將裝置設為靜音、禁止使用者修改音量設定,以及禁止使用者取消將裝置麥克風設為靜音。
4.25.1. IT 管理員可以將受管理裝置設為靜音。 (Android Management API 不支援這項子功能)
4.25.2. IT 管理員可以禁止使用者修改裝置音量設定 (請前往 adjustVolumeDisabled)。這也會將裝置設為靜音。
4.25.3. IT 管理員可以禁止使用者取消將裝置麥克風設為靜音 (請前往 unmuteMicrophoneDisabled)。
4.26. 系統時鐘管理
IT 管理員可以管理裝置時鐘和時區設定,並禁止使用者修改系統自動完成的裝置設定。
4.26.1. IT 管理員可以強制使用系統自動設定時間和時區,禁止使用者設定裝置的日期、時間和時區。
4.27. 專用裝置的進階功能
IT 管理員可以使用政策管理專用裝置的下列功能,支援各種 Kiosk 使用情境。
4.27.1. IT 管理員可以關閉裝置的螢幕鎖定功能 (請前往 keyguardDisabled)。
4.27.2. IT 管理員可以關閉裝置狀態列,封鎖通知和「快速設定」(請參閱statusBarDisabled)。
4.27.3. IT 管理員可以強制裝置在充電時保持螢幕開啟 (請參閱stayOnPluggedModes)。
4.27.4. IT 管理員可以禁止顯示下列系統 UI (前往 createWindowsDisabled):
- 浮動式訊息
- 應用程式重疊。
4.27.5. IT 管理員可以允許系統推薦應用程式,在首次啟動時略過使用者教學和其他入門提示 (請前往skip_first_use_hints)。
4.28. 委派範圍管理
IT 管理員可以將額外權限委派給個別套件。
4.28.1. IT 管理員可以管理下列範圍:
- 安裝及管理憑證
- 刻意留白
- 網路記錄
- 安全記錄 (不支援個人裝置上的工作資料夾)
4.29. 註冊專屬 ID 支援
從 Android 12 開始,工作資料夾將無法再存取硬體專屬 ID。IT 管理員可以透過註冊專屬 ID 追蹤設有工作資料夾的裝置生命週期,即使裝置恢復原廠設定,ID 也不會變更。
4.29.1. IT 管理員可以取得註冊專屬 ID
4.29.2. 這個註冊專屬 ID 必須在恢復原廠設定後仍存在
4.30. 憑證管理員政策
IT 管理員可以使用認證供應商政策預設值或認證供應商政策,管理允許或封鎖的認證管理員應用程式。
4.30.1 IT 管理員可以透過政策,禁止在裝置 (或工作資料夾) 中使用憑證管理工具。
4.30.2 IT 管理員可以指定只允許預先載入的 (系統應用程式) 憑證管理員。
4.30.3 IT 管理員可以指定套件名稱清單,啟用憑證管理工具功能。
4.31. 基本 eSIM 卡管理
IT 管理員可透過這項功能在裝置上佈建 eSIM 設定檔,並管理裝置的生命週期。
4.31.1 IT 管理員可以使用政策,在裝置上以無聲方式佈建 eSIM 卡設定檔。
4.31.2 IT 管理員可以使用政策,從裝置中刪除受管理 eSIM 卡。
4.31.3 IT 管理員可以禁止使用者在「設定」中修改行動網路設定 (前往 mobileNetworksConfigDisabled)。
4.31.4 IT 管理員可以從遠端將清除指令傳送至裝置或工作資料夾。 這個指令可選擇從裝置中移除受管理的 eSIM 卡。根據預設,系統會從個人裝置的工作資料夾中移除受管理 eSIM 卡,但會保留在公司裝置上。
4.31.5 IT 管理員可以使用 EMM 控制台 UI (或同等方法),擷取裝置的 EID (內嵌身分證件) 識別碼。
5. 裝置可用性
5.1. 自訂受管理的佈建作業
IT 管理員可以修改預設設定流程的使用者體驗,加入企業專屬功能。IT 管理員可以選擇在佈建期間顯示 EMM 提供的品牌宣傳內容。
5.1.1. IT 管理員可以指定企業專屬的服務條款和其他免責事項 (請前往 termsAndConditions),自訂佈建程序。
5.1.2. IT 管理員可以部署不可設定的 EMM 專屬服務條款和其他免責事項 (請前往 termsAndConditions)。
- EMM 可以將無法設定的 EMM 專屬自訂項目設為部署作業的預設值,但必須允許 IT 管理員設定自己的自訂項目。
5.1.3. 在 Android 10 以上版本中,企業資源已淘汰 primaryColor。
5.2. 企業自訂
Android Management API 不支援這項功能。
5.3. 進階企業自訂功能
Android Management API 不支援這項功能。
5.4. 鎖定螢幕訊息
IT 管理員可以設定自訂訊息,讓裝置螢幕鎖定畫面一律顯示該訊息,且不需解鎖裝置即可查看。
5.4.1. IT 管理員可以設定自訂螢幕鎖定訊息 (前往 deviceOwnerLockScreenInfo)。
5.5. 政策資訊公開管理
IT 管理員可以自訂使用者嘗試修改裝置的受管理設定時,系統提供的說明文字,也可以部署 EMM 提供的通用支援訊息。您可自訂短版和長版支援訊息,並在嘗試解除安裝管理員已封鎖解除安裝的受管理應用程式等情況下顯示。
5.5.1. IT 管理員可以自訂向使用者顯示的簡短和長篇支援訊息。
5.5.2. IT 管理員可以部署不可設定的 EMM 專屬支援訊息,包括短訊息和長訊息 (請前往 policies 中的 shortSupportMessage 和 longSupportMessage)。
- EMM 可以將無法設定的 EMM 專屬支援訊息設為部署作業的預設訊息,但必須允許 IT 管理員設定自己的訊息。
5.6. 跨設定檔管理聯絡人
5.6.1. IT 管理員可以禁止在個人資料夾的聯絡人搜尋結果和來電顯示中顯示工作聯絡人。
5.6.2. IT 管理員可以停用藍牙聯絡人分享功能,例如車輛或耳機的免持通話功能。
5.7. 跨商家檔案資料管理
IT 管理員可以管理工作和個人資料夾之間可共用的資料類型,並根據需求平衡可用性和資料安全性。
5.7.1. IT 管理員可以設定跨設定檔資料共用政策,讓個人應用程式解析工作資料夾的意圖,例如共用意圖或網頁連結。
5.7.2. IT 管理員可以允許工作資料夾中的應用程式在個人資料夾的主畫面上建立及顯示小工具。這項功能預設為關閉,但可使用 workProfileWidgets 和 workProfileWidgetsDefault 欄位設為允許。
5.7.3. IT 管理員可以控管工作和個人資料夾之間的複製/貼上功能。
5.8. 系統更新政策
IT 管理員可以設定無線 (OTA) 系統更新,並套用至裝置。
5.8.1. IT 管理員可在 EMM 的控制台中設定下列 OTA 設定:
- 自動:裝置會在無線更新推出時自動安裝。
- 延後:IT 管理員必須能夠延後 OTA 更新,最多可延後 30 天。這項政策不會影響安全性更新 (例如每月安全性修補程式)。
- 分時更新:IT 管理員必須能在每日維護期間安排 OTA 更新。
5.8.2. 系統會使用政策將 OTA 設定套用到裝置。
5.9. 管理鎖定任務模式
IT 管理員可以將一或多個應用程式鎖定在畫面上,確保使用者無法退出應用程式。
5.9.1. IT 管理員可透過 EMM 控制台,在裝置上以無聲模式安裝任意應用程式組合,並鎖定這些應用程式。政策可讓您設定專用裝置。
5.10. 持續管理偏好的活動
IT 管理員可以將應用程式設為意圖的預設處理常式,以處理符合特定意圖篩選器的意圖。舉例來說,IT 管理員可以透過這項功能,選擇要自動開啟網頁連結的瀏覽器應用程式。這項功能可管理輕觸主畫面按鈕時使用的啟動器應用程式。
5.10.1. IT 管理員可以將任何套件設為任意意圖篩選器的預設意圖處理常式。
- EMM 控制台可能會建議設定已知的意圖或建議的意圖,但無法將意圖限制為任何任意清單。
- EMM 控制台必須允許 IT 管理員從應用程式清單中,為適用使用者選擇要安裝的應用程式。
5.11. 管理 Keyguard 功能
IT 管理員可以管理使用者在解鎖裝置鍵盤鎖 (螢幕鎖定) 和工作挑戰鍵盤鎖 (螢幕鎖定) 前可使用的功能。
5.11.1.政策 可以關閉下列裝置 Keyguard 功能:
- 信任的代理程式
- 指紋解鎖
- 未經過編輯的通知
5.11.2. 您可以使用政策關閉工作資料夾的下列螢幕鎖定功能:
- 信任的代理程式
- 指紋解鎖
5.12. 管理進階 Keyguard 功能
- 固定攝影機
- 所有通知
- 未遮蓋
- 信任的代理程式
- 指紋解鎖
- 所有 Keyguard 功能
5.13. 遠端偵錯
Android Management API 不支援這項功能。
5.14. 擷取 MAC 位址
EMM 可以自動擷取裝置的 MAC 位址,用於識別企業基礎架構其他部分的裝置 (例如識別裝置以進行網路存取控制)。
5.14.1. EMM 可以在裝置上擷取 MAC 位址,並在 EMM 控制台中將該位址與裝置建立關聯。
5.15. 進階鎖定任務模式管理
使用專用裝置時,IT 管理員可以透過 EMM 的控制台執行下列工作:
5.15.1. 以無訊息方式允許單一應用程式安裝並鎖定裝置。
5.15.2. 開啟或關閉下列系統 UI 功能:
- 首頁按鈕
- 總覽
- 全域動作
- 通知
- 系統資訊 / 狀態列
- Keyguard (螢幕鎖定)。實作 5.15.1 時,這項子功能預設為開啟。
5.16. 進階系統更新政策
IT 管理員可以設定特定凍結期間,禁止裝置進行系統更新。
5.16.1. EMM 控制台必須允許 IT 管理員在指定凍結期間封鎖無線 (OTA) 系統更新。
5.17. 管理工作資料夾政策資訊公開
IT 管理員可以自訂訊息,在使用者從裝置移除工作資料夾時顯示給使用者。
5.17.1. IT 管理員可以提供自訂文字 (前往 wipeReasonMessage),在工作資料夾遭抹除時顯示。
5.18. 連結的應用程式支援
IT 管理員可以設定 ConnectedWorkAndPersonalApp,指定可跨工作資料夾界線通訊的套件清單。
5.19. 手動更新系統
Android Management API 不支援這項功能。
6. 裝置管理員淘汰作業
6.1. 裝置管理員淘汰作業
EMM 必須在 2022 年底前發布計畫,說明如何於 2023 年第 1 季結束前,停止為 GMS 裝置上的裝置管理員提供客戶支援。
7. API 使用量
7.1. 新繫結的標準政策控制器
根據預設,裝置必須使用 Android Device Policy 管理任何新的繫結。EMM 可能會提供選項,讓您在「進階」或類似用語的標題下方,使用自訂 DPC 管理裝置。新客戶在任何新手上路或設定工作流程中,都不應任意選擇技術堆疊。
7.2. 新裝置的標準政策控制器
根據預設,所有新註冊的裝置 (包括現有和新的繫結) 都必須使用 Android Device Policy 管理。EMM 可能會提供選項,讓您在「進階」或類似用語的標題下,使用自訂 DPC 管理裝置。