Android Enterprise 功能列表

本页列出了 Android Enterprise 的全部功能。

如果您打算管理超过 1000 台设备,您的 EMM 解决方案必须支持至少一个解决方案集的所有标准功能 (),然后才能将其用于商业用途。通过标准功能验证的 EMM 解决方案在 Android 的 Google 企业解决方案目录中被列为提供标准管理集

每个解决方案集都提供了一组额外的高级功能。以下功能在每个解决方案集页面中都有说明:工作资料全代管式设备专用设备。通过高级功能验证的 EMM 解决方案在 Android 的 Google 企业解决方案目录中被列为提供高级管理集的 EMM 解决方案。

标准功能 可选功能 不适用

1. 设备配置

1.1. DPC 优先工作资料配置

Android 版本
工作资料
全代管式设备
专用设备
5.1 及更高版本

从 Google Play 下载 Android Device Policy 后,用户可以配置工作资料。

1.1.1. EMM 会向 IT 管理员提供二维码或激活码以支持此配置方法(请参阅 注册和配置设备)。

1.2. DPC 标识符设备配置

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

在设备的设置向导中输入“afw#”即可配置全代管式设备或专用设备。

1.2.1. EMM 会向 IT 管理员提供二维码或激活码,以支持此配置方法(请参阅注册和配置设备)。

1.3. NFC 设备配置

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以根据 Play EMM API 开发者文档中定义的实现指南,使用 NFC 标签配置新设备或恢复出厂设置的设备。

1.3.1. EMM 必须使用至少 888 字节内存的 NFC Forum 2 型标记。配置必须使用配置 extra 将服务器 ID 和注册 ID 等非敏感注册详细信息传递给设备。注册详情不应包含敏感信息,例如密码或证书。

1.3.2. 由于 NFC Beam(也称为 NFC Bump)已弃用,因此我们建议为 Android 10 及更高版本使用 NFC 标签。

1.4. 二维码设备配置

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

EMM 的控制台可以生成二维码,IT 管理员可以根据 Android Management API 开发者文档中定义的实现指南扫描二维码,以配置全托管式设备或专用设备。

1.4.1. 二维码必须使用配置 extra 将非敏感注册详细信息(如服务器 ID、注册 ID)传递给设备。注册详情不得包含敏感信息,例如密码或证书。

1.5. 零触摸注册

Android 版本
工作资料
全代管式设备
专用设备
8.0 及更高版本(Pixel 7.1 及更高版本)

IT 管理员可以预配置从授权转销商购买的设备,并使用您的 EMM 控制台管理这些设备。

1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法配置公司自有设备。

1.5.2. 首次开启设备时,系统会自动强制该设备采用由 IT 管理员定义的设置。

1.6. 高级零触摸配置

IT 管理员可以通过零触摸注册来自动执行大部分设备注册流程。根据 EMM 提供的配置选项,IT 管理员可以将注册网址与登录网址结合使用,仅允许特定帐号或网域进行注册。

1.6.1. IT 管理员可以使用零触摸注册方法配置公司自有设备。

1.6.2. 此要求已废弃。

1.6.3. 使用登录网址,EMM 必须确保未经授权的用户无法继续进行激活。至少必须仅限指定企业的用户进行激活。

1.6.4. 使用登录网址时,EMM 必须让 IT 管理员能够预填充唯一用户或设备信息(例如用户名/密码、激活令牌)之外的注册详细信息(例如服务器 ID、注册 ID),这样用户在激活设备时便无需输入详细信息。

  • EMM 不得在零触摸注册的配置中包含敏感信息,例如密码或证书。

1.7. Google 账号工作资料配置

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

Android Management API 不支持此功能。

1.8 Google 帐号设备配置

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

Android Management API 不支持此功能。

1.9. 直接零触摸配置

Android 版本
工作资料
全代管式设备
专用设备
8.0 及更高版本

IT 管理员可以通过 EMM 的控制台,通过零触摸 iframe 设置零触摸设备。

1.10. 公司自有设备上的工作资料

Android 版本
工作资料
全代管式设备
专用设备
8.0 及更高版本

EMM 可以通过设置 AllowPersonalUsage 来注册具有工作资料的公司自有设备。

1.10.1. IT 管理员可以使用二维码或零触摸注册,将设备配置为公司自有设备上的工作资料。

1.10.2. IT 管理员可以通过 PersonalUsagePolicies 为公司自有设备上的工作资料设置合规性操作。

1.10.3. IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用摄像头。

1.10.4. IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用屏幕截图功能。

1.10.5. IT 管理员可以通过 PersonalApplicationPolicy 设置允许或无法安装在个人资料中的应用许可名单或屏蔽名单。

1.10.6. IT 管理员可以通过移除工作资料或擦除整台设备,来放弃对公司自有设备的管理。


2. 设备安全

2.1. 设备安全性验证

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以在受管理的设备上设置和强制执行设备安全验证(PIN 码/图案/密码),从预设的 3 个复杂级别中选择。

2.1.1 政策必须强制执行管理设备安全验证的设置(工作资料的 parentProfilePasswordRequirements、完全受管设备和专用设备的密码要求)。

2.1.2. 密码复杂度应对应以下密码复杂度:

  1. PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 或有序 (1234、4321、2468) 序列的图案或 PIN 码。
  2. PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的密码、字母或字母数字密码(长度至少为 4)
  3. PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234, 4321, 2468) 序列的 PIN 码,长度至少为 8 个,或者字母或字母数字密码(长度至少为 6)

2.1.3. 您还可以在公司自有设备上以旧版设置的形式强制实施其他密码限制。

2.2 工作安全性挑战

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

IT 管理员可以针对工作资料中的应用和数据设置和强制执行安全性挑战,这类挑战与设备安全性挑战 (2.1.) 的要求有所不同。

2.2.1. 政策必须针对工作资料强制执行安全性验证。

  1. 默认情况下,如果未指定范围,IT 管理员应仅为工作资料设置限制
  2. IT 管理员可以通过指定范围来设置此设备级(请参阅要求 2.1)

2.2.2. 密码复杂度应对应以下预定义的密码复杂度:

  1. PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 或有序 (1234、4321、2468) 序列的图案或 PIN 码。
  2. PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的密码、字母或字母数字密码(长度至少为 4)
  3. PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234, 4321, 2468) 序列的 PIN 码,长度至少为 8 个,或者字母或字母数字密码(长度至少为 6)

2.2.3. 其他密码限制也可以作为旧版设置强制执行

2.3. 高级密码管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以在设备上设定高级密码设置。

2.3.1. [特意留空]

2.3.2. [特意留空]

2.3.3. 您可为设备上可用的每个锁定屏幕设定以下密码生命周期设置

  1. [特意留空]
  2. [特意留空]
  3. 擦除失败的密码数量上限:指定在擦除设备上的公司数据之前,用户可以输入错误密码的次数。IT 管理员必须能够关闭此功能。

2.3.4. (Android 8.0+) 强身份验证需要超时:必须在 IT 管理员设置的超时期限之后输入强身份验证密码(例如 PIN 码或密码)。超时期限过后,系统会关闭非安全系数高的身份验证方法(例如指纹、人脸解锁),直到设备使用安全系数高的身份验证密码解锁。

2.4. Smart Lock 管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以管理是否允许 Android Smart Lock 功能中的可信代理将设备解锁时间延长至最长 4 小时。

2.4.1. IT 管理员可以在设备上停用可信代理。

2.5. 擦除并锁定

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以使用 EMM 的控制台远程锁定和擦除受管设备中的工作数据。

2.5.1. 必须使用 Android Management API 锁定设备。

2.5.2. 必须使用 Android Management API 擦除设备。

2.6. 法规遵从

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

如果设备不符合安全政策,Android Management API 制定的合规性规则会自动限制对工作数据的使用。

2.6.1. 在设备上强制执行的安全政策至少必须包含密码政策。

2.7. 默认安全政策

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

默认情况下,EMM 必须在设备上强制执行指定的安全政策,而无需 IT 管理员在 EMM 的控制台中设置或自定义任何设置。建议(但并非必须)EMM 允许 IT 管理员更改这些安全功能的默认状态。

2.7.1. 必须禁止安装来自未知来源的应用,包括在装有工作资料的任何 Android 8.0 及更高版本的设备个人端安装的应用。 默认支持此子功能

2.7.2. 必须禁用调试功能。系统默认支持此子功能。

2.8. 专用设备的安全政策

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

不允许对锁定的专用设备执行任何其他操作。

2.8.1. 启动进入安全模式的操作必须通过政策默认关闭(前往 safeBootDisabled)。

2.9. Play Integrity 支持

Android 版本
工作资料
全代管式设备
专用设备

Play 完整性检查默认处于启用状态。无需额外的实现。

2.9.1. 特意留空。

2.9.2. 特意留空。

2.9.3. IT 管理员可以根据设备的 SecurityRisk 值设置不同的政策响应,包括阻止配置、擦除公司数据以及允许继续注册。

  • EMM 服务将针对每次完整性检查的结果强制执行此政策响应。

2.10. 强制执行验证应用

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以在设备上开启验证应用。“验证应用”功能会在 Android 设备上安装的应用前后扫描是否存在有害软件,帮助确保恶意应用无法破解公司数据。

2.10.1. 必须通过政策默认启用“验证应用”功能(前往 ensureVerifyAppsEnabled)。

2.11. 支持直接启动

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

Android Management API 默认支持此功能。无需额外的实现。

2.12. 硬件安全管理

Android 版本
工作资料
全代管式设备
专用设备
5.1 及更高版本

IT 管理员可以锁定公司自有设备的硬件元件,以防止数据丢失。

2.12.1. IT 管理员可以通过政策(前往 mountPhysicalMediaDisabled)禁止用户装载外部物理介质。

2.12.2. IT 管理员可以通过政策(前往 outgoingBeamDisabled)禁止用户使用 NFC 传输来分享设备中的数据。此子功能是可选的,因为 Android 10 及更高版本不再支持 NFC 传输功能。

2.12.3. IT 管理员可以通过政策(前往 usbFileTransferDisabled)禁止用户通过 USB 传输文件。

2.13. 企业安全日志记录

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

Android Management API 目前不支持此功能。


3. 帐号和应用管理

3.1. Google Play 企业版账号企业注册

Android 版本
工作资料
全代管式设备
专用设备

IT 管理员可以创建一个 Google Play 企业版帐号企业,即一个允许 Google Play 企业版向设备分发应用的实体。以下注册阶段必须集成到 EMM 的控制台中

3.1.1. 使用 Android Management API 注册 Google Play 企业版帐号企业。

3.2. Google Play 企业版账号配置

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

EMM 可以静默配置企业用户帐号(称为 Google Play 企业版帐号)。这些帐号可识别受管理用户,并允许按用户分别应用唯一的应用分发规则。

3.2.1. 配置设备时,系统会自动创建 Google Play 企业版帐号(用户帐号)。

Android Management API 默认支持此功能。无需额外的实现。

3.3. Google Play 企业版设备帐号配置

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

EMM 可以创建和配置 Google Play 企业版设备帐号。设备帐号支持以静默方式安装来自 Google Play 企业版商店的应用,并且未与单个用户关联。相反,设备帐号用于标识单个设备,以便在专用设备场景中支持每个设备的应用分发规则。

3.3.1. 预配设备时,系统会自动创建 Google Play 企业版帐号。

Android Management API 默认支持此功能。无需额外的实现。

3.4. 适用于旧版设备的 Google Play 企业版账号配置

Android 版本
工作资料
全代管式设备
专用设备

此功能已弃用

3.5. 静默式应用分发

Android 版本
工作资料
全代管式设备
专用设备

IT 管理员可以在设备上静默地分发工作应用,而无需与用户互动。

3.5.1. EMM 的控制台必须使用 Android Management API 来允许 IT 管理员在受管设备上安装工作应用。

3.5.2. EMM 的控制台必须使用 Android Management API 来允许 IT 管理员更新受管设备上的工作应用。

3.5.3. EMM 的控制台必须使用 Android Management API,才能允许 IT 管理员在受管设备上卸载应用。

3.6. 代管式配置管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以为支持托管配置的任何应用查看和静默设置托管配置。

3.6.1. EMM 的控制台必须能够检索并显示任何 Play 应用的托管配置设置。

3.6.2. EMM 的控制台必须允许 IT 管理员为使用 Android Management API 的任何 Play 应用设置任何配置类型(由 Android Enterprise 框架定义)。

3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符(例如 $username$ 或 %emailAddress%),以便 Gmail 等应用的一项配置可应用于多个用户。

3.7. 应用目录管理

Android 版本
工作资料
全代管式设备
专用设备

Android Management API 默认支持此功能。无需额外的实现。

3.8. 程序化应用审批

Android 版本
工作资料
全代管式设备
专用设备

EMM 的控制台使用 Google Play 企业版 iframe 来支持 Google Play 的应用发现和审批功能。IT 管理员可以搜索应用、批准应用和批准新的应用权限,而无需离开 EMM 控制台。

3.8.1. IT 管理员可以使用 Google Play 企业版 iframe,在 EMM 的控制台中搜索并批准应用。

3.9. 基本的商店布局管理

Android 版本
工作资料
全代管式设备
专用设备

Google Play 企业版商店应用可用于安装和更新工作应用。 默认情况下,Google Play 企业版商店会在单个列表中显示用户获准使用的应用。此布局称为“基本商店布局”。

3.9.1. EMM 的控制台应允许 IT 管理员管理最终用户的基本商店布局中显示的应用

3.10. 高级商店布局配置

Android 版本
工作资料
全代管式设备
专用设备

3.10.1. IT 管理员可以自定义 Google Play 企业版商店应用中显示的商店布局

3.11. 应用许可管理

Android 版本
工作资料
全代管式设备
专用设备

此功能已弃用

3.12. 管理 Google 托管的专用应用

Android 版本
工作资料
全代管式设备
专用设备

IT 管理员可以通过 EMM 控制台(而非 Google Play 管理中心)更新 Google 托管的专用应用。

3.12.1. IT 管理员可以使用以下命令上传以非公开方式面向企业发布的新版应用:

3.13. 自主托管的专用应用管理

Android 版本
工作资料
全代管式设备
专用设备

IT 管理员可以设置和发布自托管的专用应用。与 Google 托管的专用应用不同,Google Play 不托管 APK。相反,EMM 可帮助 IT 管理员自行托管 APK,并通过确保只有 Google Play 企业版授权才能安装自托管的应用,从而帮助保护此类应用。

3.13.1. EMM 的控制台必须通过提供以下两个选项来帮助 IT 管理员托管应用 APK:

  • 在 EMM 的服务器上托管 APK。服务器可以基于本地或云端。
  • 将 APK 托管在 EMM 服务器之外(由企业自行决定)。IT 管理员必须在托管 APK 的 EMM 控制台中指定。

3.13.2. EMM 的控制台必须使用提供的 APK 生成适当的 APK 定义文件,并且必须引导 IT 管理员完成发布流程。

3.13.3. IT 管理员可以更新自托管的专用应用,EMM 的控制台可以使用 Google Play Developer Publishing API 以静默方式发布更新后的 APK 定义文件。

3.13.4. EMM 的服务器为自托管 APK 处理下载请求,该 APK 的请求 Cookie 中包含有效 JWT,并已通过专用应用的公钥验证。

  • 为了简化此过程,EMM 的服务器必须指导 IT 管理员从 Play Google Developers Console 下载自托管应用的许可公钥,并将此密钥上传到 EMM 控制台。

3.14. EMM 拉取通知

Android 版本
工作资料
全代管式设备
专用设备

此功能不适用于 Android Management API。请改为设置 Pub/Sub 通知

3.15. API 使用要求

Android 版本
工作资料
全代管式设备
专用设备

EMM 能够大规模实现 Android Management API,避免可能对企业在生产环境中管理应用的能力产生负面影响的流量模式。

3.15.1. EMM 必须遵循 Android Management API 用量限额。如果不纠正超出这些准则的行为,Google 可能会自行决定暂停 API 的使用。

3.15.2. EMM 应该在一天中分配来自不同企业的流量,而不是在特定或相似时间整合企业流量。符合此流量模式的行为(例如为每台已注册的设备安排的批处理操作)可能会导致 API 暂停使用(由 Google 自行决定)。

3.15.3. EMM 不应发出一致、不完整或故意不正确的请求,并且此类请求不应尝试检索或管理实际的企业数据。符合此流量模式的行为可能会导致 API 被暂停使用,具体由 Google 自行决定。

3.16. 高级托管配置管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

EMM 支持以下高级托管配置管理功能

3.16.1. EMM 的控制台必须能够使用以下命令检索和显示任何 Play 应用的最多四层嵌套的托管配置设置

3.16.2. EMM 的控制台必须能够检索和显示应用的反馈渠道返回的任何反馈(由 IT 管理员设置)。

  • EMM 的控制台必须允许 IT 管理员将特定反馈项与其源设备和应用相关联。
  • EMM 的控制台必须允许 IT 管理员订阅特定消息类型的提醒或报告(例如错误消息)。

3.16.3. EMM 的控制台只能发送有默认值或由管理员手动设置的值,要求:

  • 托管配置 iframe,或
  • 自定义界面。

3.17. Web 应用管理

Android 版本
工作资料
全代管式设备
专用设备

IT 管理员可以在 EMM 控制台中创建和分发 Web 应用。

3.17.1. 借助 EMM 控制台,IT 管理员可以通过以下方式分发 Web 应用的快捷方式:

3.18. Google Play 企业版账号生命周期管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

EMM 可以代表 IT 管理员创建、更新和删除 Google Play 企业版帐号,并在帐号到期时自动恢复。

默认情况下支持此功能。无需额外的 EMM 实现。

3.19. 应用轨道管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

3.19.1. IT 管理员可以提取开发者为特定应用设置的轨道 ID 列表

3.19.2. IT 管理员可以对设备进行设置,以便针对应用使用特定的开发轨道

3.20. 高级应用更新管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以允许应用立即更新,或将应用推迟 90 天更新。

3.20.1. IT 管理员可以允许应用使用高优先级应用更新在有可用更新时进行更新。 3.20.2. IT 管理员可以允许应用将更新应用推迟 90 天。

3.21. 配置方法管理

Android 版本
工作资料
全代管式设备
专用设备
MAM

EMM 可以生成配置,并以准备好分发给最终用户的形式(例如二维码、零触摸配置、Play 商店网址)向 IT 管理员显示这些配置。


4. 设备管理

4.1. 运行时权限政策管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以静默地针对工作应用发出的运行时权限请求设置默认响应。

4.1.1. IT 管理员在为其组织设置默认运行时权限政策时,必须能够从以下选项中进行选择:

  • 提示(允许用户选择)
  • allow
  • deny

EMM 应通过政策强制执行这些设置。

4.2. 运行时权限授予状态管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

设置默认的运行时权限政策(请参阅 4.1)后,IT 管理员可以静默地针对基于 API 23 或更高级别构建的任何工作应用的特定权限设置响应。

4.2.1. IT 管理员必须能够设置基于 API 23 或更高级别构建的任何工作应用所请求任何权限的授予状态(默认、授予或拒绝)。EMM 应通过政策强制执行这些设置。

4.3. Wi-Fi 配置管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以在受管设备上静默配置企业 Wi-Fi 配置,包括

4.3.1. SSID(通过 policy)。

4.3.2. 密码(通过 policy)。

4.4. Wi-Fi 安全管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以在包含以下高级安全功能的设备上配置企业 Wi-Fi 配置

4.4.1. 身份

4.4.2. 用于客户端授权的证书

4.4.3. CA 证书

4.5. 高级 Wi-Fi 管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以锁定受管设备上的 Wi-Fi 配置,以防止用户创建配置或修改公司配置。

4.5.1. IT 管理员可以在以下任一配置中通过政策锁定企业 Wi-Fi 配置:

  • 用户无法修改 EMM 配置的任何 Wi-Fi 配置(前往 wifiConfigsLockdownEnabled),但可以添加和修改自己的用户可配置网络(例如个人网络)。
  • 用户无法在设备上添加或修改任何 Wi-Fi 网络(前往 wifiConfigDisabled),将 Wi-Fi 连接限制为只能与 EMM 预配的网络连接。

4.6. 账号管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以确保只有获得授权的公司账号才能与公司数据进行交互,以用于 SaaS 存储和效率应用或电子邮件等服务。如果没有此功能,用户就可以将个人账号添加到那些也支持消费者账号的公司应用,以便与这些个人账号共享公司数据。

4.6.1. IT 管理员可以阻止用户添加或修改帐号(请参阅 modifyAccountsDisabled)。

  • 在设备上强制执行此政策时,EMM 必须在完成配置之前设置此限制,以确保用户在此政策生效前不能通过添加帐号来规避此政策。

4.7. Workspace 账号管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

Android Management API 不支持此功能。

4.8. 证书管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

让 IT 管理员能够将身份证书和证书授权机构部署到设备,以允许使用公司资源。

4.8.1. IT 管理员可以按用户安装由其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个 PKI 集成,并分发通过该基础架构生成的证书。

4.8.2. IT 管理员可以在托管式密钥库中安装证书授权机构(请参阅 caCerts)。不过,此子功能目前不受支持。

4.9. 高级证书管理

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

让 IT 管理员可以静默选择特定受管理应用应使用的证书。此功能还使 IT 管理员能够从活跃设备中移除 CA 和身份证书,并防止用户修改存储在代管式密钥库中的凭据。

4.9.1. 对于分发到设备的任何应用,IT 管理员可以指定在运行时以静默方式向应用授予访问权限的证书。(目前不支持此子功能)

  • 证书选择的选择必须足够通用,以允许将单个配置应用于所有用户,并且每个证书可能都有特定于用户的身份证书。

4.9.2. IT 管理员可以以静默方式从托管式密钥库中移除证书

4.9.3. IT 管理员可以静默卸载 CA 证书。(目前不支持此子功能)

4.9.4. IT 管理员可以阻止用户在代管式密钥库中配置凭据(前往 credentialsConfigDisabled)。

4.9.5. IT 管理员可以使用 ChoosePrivateKeyRule 为工作应用预授权证书。

4.10. 委托证书管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以将第三方证书管理应用分发到设备,并向该应用授予将证书安装到代管式密钥库的特权访问权限。

4.10.1. IT 管理员可以指定证书管理软件包(前往 delegatedCertInstallerPackage)设置为委托证书管理应用。

  • EMM 可能会选择性地推荐已知的证书管理软件包,但必须允许 IT 管理员从适用用户可安装应用的列表中进行选择。

4.11. 高级 VPN 管理

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

让 IT 管理员可以指定始终开启的 VPN,以确保来自指定受管理应用的数据始终通过已设置的虚拟专用网 (VPN) 进行。

4.11.1. IT 管理员可以指定任意 VPN 软件包设置为 Always On VPN。

  • EMM 的控制台可能会选择推荐支持 Always On VPN 的已知 VPN 软件包,但无法将可用于“始终开启”配置的 VPN 限制为任何列表。

4.11.2. IT 管理员可以使用托管配置为应用指定 VPN 设置。

4.12. IME 管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以管理能够为设备设置哪些输入法 (IME)。由于工作资料和个人资料共用 IME,因此禁止使用 IME 后,用户也无法允许这些 IME 用于个人用途。不过,IT 管理员不得禁止在工作资料中使用系统 IME(如需了解详情,请转到高级 IME 管理)。

4.12.1. IT 管理员可以设置任意长度(包括屏蔽非系统 IME 的空列表)的 IME 许可名单(前往 permitted_input_methods),其中可能包含任何任意 IME 软件包。

  • EMM 的控制台可能会建议将已知或建议的 IME 添加到许可名单中,但必须允许 IT 管理员从适用用户可安装的应用列表中选择。

4.12.2. EMM 必须通知 IT 管理员已从具有工作资料的设备的管理中排除系统 IME。

4.13. 高级 IME 管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以管理用户可以在设备上设置哪些输入法 (IME)。高级 IME 管理通过允许 IT 管理员管理设备制造商或设备的运营商通常提供的系统 IME 的使用情况来扩展基本功能。

4.13.1. IT 管理员可以设置任意长度的 IME 许可名单(前往 permitted_input_methods),但空列表会屏蔽包括系统 IME 在内的所有 IME,其中可能包含任何任意 IME 软件包。

  • EMM 的控制台可能会建议将已知或建议的 IME 添加到许可名单中,但必须允许 IT 管理员从适用用户可安装的应用列表中选择。

4.13.2. EMM 必须阻止 IT 管理员设置空许可名单,因为此设置会禁止在设备上设置所有 IME(包括系统 IME)。

4.13.3. EMM 必须确保,如果 IME 许可名单不包含系统 IME,系统会在将许可名单应用到设备之前静默安装第三方 IME。

4.14. 无障碍服务管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以管理用户可在设备上使用哪些无障碍服务。无障碍服务是非常强大的工具,适用于残障用户或暂时无法与设备进行全面互动的用户。但他们可能会以不符合公司政策的方式与公司数据互动。借助此功能,IT 管理员可以关闭任何非系统无障碍服务。

4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单(前往 permittedAccessibilityServices),其中包括一个空列表,该名单会阻止非系统无障碍服务,其中可能包含任何任意无障碍服务软件包。应用于工作资料时,此操作会同时影响个人资料和工作资料。

  • 控制台可能会建议用户将已知或推荐的无障碍服务列入许可名单,但必须允许 IT 管理员从适用用户可安装的应用列表中选择该服务。

4.15. 位置信息分享管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以禁止用户与工作资料中的应用共享位置数据。否则,可在“设置”中配置工作资料中的位置信息设置。

4.15.1. IT 管理员可以在工作资料中停用位置信息服务(前往 shareLocationDisabled)。

4.16. 高级位置信息分享管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以在受管理的设备上强制执行指定的位置信息分享设置。此功能可以确保公司应用始终拥有高精确度的位置数据。此外,该功能还可以将位置信息设置限制为“耗电量低”模式,从而确保不会消耗额外的电量。

4.16.1. IT 管理员可以将设备位置信息服务设置为以下每种模式:

  • 高精确度。
  • 仅限传感器,例如 GPS,但不包括网络提供的位置。
  • 耗电量低,这会限制更新频率。
  • 已关闭。

4.17. 恢复出厂设置保护管理

Android 版本
工作资料
全代管式设备
专用设备
5.1 及更高版本

让 IT 管理员可以确保未经授权的用户无法将设备恢复出厂设置,从而防止公司自有设备被盗。如果恢复出厂设置保护在将设备退回 IT 时导致操作变得复杂,IT 管理员可以完全关闭恢复出厂设置保护。

4.17.1. IT 管理员可以通过“设置”禁止用户将设备恢复出厂设置(前往 factoryResetDisabled)。

4.17.2. IT 管理员可以指定有权在恢复出厂设置后预配设备的公司解锁帐号(前往 frpAdminEmails)。

  • 此帐号可以与个人关联,也可以供整个企业用来解锁设备。

4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护(转到 0 factoryResetDisabled)。

4.17.4. IT 管理员可以启动远程设备擦除,可以选择擦除重置保护数据,从而移除重置设备上的恢复出厂设置保护。

4.18. 高级应用控制

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以通过“设置”阻止用户卸载或修改受管理的应用。例如,防止强制关闭应用或清除应用的数据缓存。

4.18.1. IT 管理员可以阻止卸载任何任意受管理的应用或所有受管理的应用(前往 uninstallAppsDisabled)。

4.18.2. IT 管理员可以阻止用户通过“设置”修改应用数据(Android Management API 不支持此子功能)

4.19. 屏幕截图管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以禁止用户在使用受管理的应用时截取屏幕截图。 此设置包括屏蔽屏幕共享应用以及会利用系统屏幕截图功能的类似应用(例如 Google 助理)。

4.19.1. IT 管理员可以禁止用户截取屏幕截图(前往 screenCaptureDisabled)。

4.20. 停用相机

Android 版本
工作资料
全代管式设备
专用设备
依赖项
8.0 及以上
5.0 及以上
5.0 及以上

IT 管理员可以禁止受管理的应用使用设备摄像头。

4.20.1. IT 管理员可以禁止受管理的应用使用设备摄像头(前往 cameraDisabled)。

4.21. 网络统计信息收集

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

Android Management API 目前不支持此功能。

4.22. 高级网络统计信息收集

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

Android Management API 目前不支持此功能。

4.23. 重新启动设备

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

IT 管理员可以远程重启受管理的设备。

4.23.1. IT 管理员可以远程重新启动受管设备。

4.24. 系统无线装置管理

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

通过政策,为 IT 管理员提供对系统网络无线装置和相关使用政策的精细管理。

4.24.1. IT 管理员可以关闭服务提供商发送的小区广播(前往 cellBroadcastsConfigDisabled)。

4.24.2. IT 管理员可以禁止用户在“设置”(前往 mobileNetworksConfigDisabled)中修改移动网络设置。

4.24.3. IT 管理员可以阻止用户在“设置”中重置所有网络设置。(前往 networkResetDisabled)。

4.24.4. IT 管理员可以设置设备是否允许在漫游时使用移动流量(前往 dataRoamingDisabled)。

4.24.5. IT 管理员可以设置设备是否可以拨出电话,不包括紧急呼叫(前往 outGoingCallsDisabled)。

4.24.6. IT 管理员可以设置设备是否可以收发短信(前往 smsDisabled)。

4.24.7. IT 管理员可以通过网络共享来阻止用户将设备用作便携式热点(前往 tetheringConfigDisabled)。

4.24.8. IT 管理员可以将 Wi-Fi 超时设置为默认值、接通电源时或永不。(Android Management API 不支持此子功能)

4.24.9. IT 管理员可以禁止用户设置或修改现有蓝牙连接(前往 bluetoothConfigDisabled)。

4.25. 系统音频管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

IT 管理员可以以静默方式控制设备音频功能,包括将设备静音、阻止用户修改音量设置,以及阻止用户将设备麦克风取消静音。

4.25.1. IT 管理员可以将受管理的设备静音,且无需静音。(Android Management API 不支持此子功能)

4.25.2. IT 管理员可以禁止用户修改设备音量设置(前往 adjustVolumeDisabled)。此操作还会将设备静音。

4.25.3. IT 管理员可以禁止用户将设备麦克风取消静音(前往 unmuteMicrophoneDisabled)。

4.26. 系统时钟管理

Android 版本
工作资料
全代管式设备
专用设备
依赖项
8.0 及以上
5.0 及以上
5.0 及以上

IT 管理员可以管理设备时钟和时区设置,并禁止用户修改自动设备设置。

4.26.1. IT 管理员可以强制执行系统自动时间和自动时区设置,从而阻止用户设置设备的日期、时间和时区。

4.27. 高级专用设备功能

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

对于专用设备,IT 管理员可以通过政策管理以下功能,以支持各种自助服务终端用例。

4.27.1. IT 管理员可以关闭设备锁屏功能(前往 keyguardDisabled)。

4.27.2. IT 管理员可以关闭设备状态栏,屏蔽通知和快捷设置(前往 statusBarDisabled)。

4.27.3. IT 管理员可以强制设备屏幕在接通电源期间保持开启状态(前往 stayOnPluggedModes)。

4.27.4. IT 管理员可以阻止显示以下系统界面(前往 createWindowsDisabled):

  • 消息框
  • 应用叠加层。

4.27.5. IT 管理员可以允许系统建议在应用首次启动时跳过用户教程和其他入门提示(前往 skip_first_use_hints)。

4.28. 委托范围管理

Android 版本
工作资料
全代管式设备
专用设备
8.0 及更高版本

IT 管理员可以向个别软件包授予额外的权限。

4.28.1. IT 管理员可以管理以下范围

  • 证书安装和管理
  • 托管配置管理
  • 网络日志记录
  • 安全日志记录

4.29. 注册专属 ID 支持

Android 版本
工作资料
全代管式设备
专用设备
12.0 及更高版本

从 Android 12 开始,工作资料将无法再访问硬件专用标识符。IT 管理员可以通过注册专用 ID 跟踪具有工作资料的设备的生命周期,该 ID 在恢复出厂设置后将保持不变

4.29.1. IT 管理员可以获取注册专用 ID

4.29.2. 此注册专用 ID 必须在恢复出厂设置后保留


5. 设备易用性

5.1. 托管配置自定义

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

IT 管理员可以修改默认设置流程用户体验,以包含企业专用功能。(可选)IT 管理员可以在配置期间显示 EMM 提供的品牌信息。

5.1.1. IT 管理员可以指定企业专用服务条款和其他免责声明(前往 termsAndConditions),自定义配置过程。

5.1.2. IT 管理员可以deploy不可配置且特定于 EMM 的服务条款和其他免责声明(前往 termsAndConditions)。

  • EMM 可能会将其不可配置且特定于 EMM 的自定义项设置为部署的默认选项,但必须允许 IT 管理员设置自己的自定义项。

对于 Android 10 及更高版本的企业资源,5.1.3 primaryColor 已废弃。

5.2. 企业自定义

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

Android Management API 不支持此功能。

5.3. 高级企业自定义功能

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

Android Management API 不支持此功能。

5.4. 锁屏消息

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

IT 管理员可以设置一条自定义消息,该消息会始终显示在设备锁定屏幕上,且无需解锁设备即可查看。

5.4.1. IT 管理员可以设置自定义锁定屏幕消息(前往 deviceOwnerLockScreenInfo)。

5.5. 政策透明度管理

Android 版本
工作资料
全代管式设备
专用设备
MAM
7.0 及更高版本

当用户尝试修改设备上的受管理设置或部署 EMM 提供的通用支持消息时,IT 管理员可以自定义向其提供的帮助文本。简短支持消息和长支持消息均可自定义,并且会显示在各种实例中(例如,尝试卸载 IT 管理员已阻止卸载的受管理应用)。

5.5.1. IT 管理员可以自定义面向用户的简短支持消息和长消息。

5.5.2. IT 管理员可以部署不可配置、特定于 EMM 的简短支持消息和长支持消息(请前往 policies 中的 shortSupportMessagelongSupportMessage)。

  • EMM 可能会将其不可配置且特定于 EMM 的支持消息设置为默认部署,但必须允许 IT 管理员设置自己的消息。

5.6. 跨资料联系人管理

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

5.6.1. IT 管理员可以禁止在个人资料联系人搜索和来电中显示工作联系人

5.6.2. IT 管理员可以停用工作联系人的蓝牙联系人共享功能,例如在汽车或耳机上进行免提通话。

5.7. 跨资料数据管理

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

让 IT 管理员可以管理可在工作资料和个人资料之间共享的数据类型,从而方便管理员根据自己的要求平衡易用性和数据安全。

5.7.1. IT 管理员可以配置跨资料数据共享政策,以便个人应用可以解析工作资料中的 intent,例如共享 intent 或网页链接。

5.7.2. IT 管理员可以允许工作资料中的应用创建 widget,并在个人资料的主屏幕上显示 widget。此功能默认处于关闭状态,但可以使用 workProfileWidgetsworkProfileWidgetsDefault 字段设为允许。

5.7.3. IT 管理员可以控制在工作资料和个人资料之间复制/粘贴的功能

5.8. 系统更新政策

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以设置并应用无线下载 (OTA) 系统更新设备。

5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置:

  • 自动:在 OTA 更新可用时,设备会收到 OTA 更新。
  • 推迟:IT 管理员必须能够将 OTA 更新最多推迟 30 天。此政策不会影响安全更新(例如每月安全补丁)。
  • 窗口化:IT 管理员必须能够在每日维护期内安排 OTA 更新。

5.8.2. OTA 配置通过政策应用于设备。

5.9. 锁定任务模式管理

Android 版本
工作资料
全代管式设备
专用设备
6.0 及更高版本

IT 管理员可以将一个或一组应用锁定到屏幕,并确保用户无法退出应用。

5.9.1. EMM 的控制台可让 IT 管理员以静默方式允许任意一组应用安装并锁定到设备。政策允许设置专用设备。

5.10. 永久性首选 activity 管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本

让 IT 管理员可以将应用设置为与特定 intent 过滤器匹配的 intent 的默认 intent 处理程序。例如,IT 管理员可通过此功能选择自动打开网页链接的浏览器应用。此功能可以管理在点按主屏幕按钮时使用哪个启动器应用。

5.10.1. IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序

  • EMM 的控制台可以选择性地建议已知或推荐 intent 以进行配置,但不能将 intent 限制为任意列表。
  • EMM 的控制台必须允许 IT 管理员从可供适用用户安装的应用列表中进行选择。

5.11. 锁屏功能管理

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

IT 管理员可以在解锁设备锁屏(锁定屏幕)和工作挑战锁屏(锁定屏幕)之前管理用户可用的功能。

5.11.1.政策可关闭以下设备锁屏功能:

  • 可信代理
  • 指纹解锁
  • 未隐去数据的通知

5.11.2. 工作资料的以下锁屏功能可通过政策关闭:

  • 可信代理
  • 指纹解锁

5.12. 高级锁屏功能管理

Android 版本
工作资料
全代管式设备
专用设备
5.0 及更高版本
IT 管理员可以管理公司自有设备上的高级设备锁屏功能。 5.12.1. IT 管理员可以通过政策关闭以下设备锁屏功能:
  • 安全摄像头
  • 所有通知
  • 未隐去
  • 可信代理
  • 指纹解锁
  • 所有键盘锁功能

5.13. 远程调试

Android Management API 目前不支持此功能。

5.14. MAC 地址检索

Android 版本
工作资料
全代管式设备
专用设备
7.0 及更高版本

EMM 可以静默提取设备的 MAC 地址,用于识别企业基础架构中其他部分的设备(例如,在识别设备以进行网络访问权限控制时)。

5.14.1. EMM 可以以静默方式检索设备的 MAC 地址,并且可以在 EMM 的控制台中将其与设备相关联。

5.15. 高级锁定任务模式管理

Android 版本
工作资料
全代管式设备
专用设备
9.0 及更高版本

通过专用设备,IT 管理员可以使用 EMM 的控制台执行以下任务

5.15.1. 以静默方式允许安装单个应用并锁定到设备

5.15.2. 启用或停用以下系统界面功能:

5.15.3. 关闭系统错误对话框

5.16. 高级系统更新政策

Android 版本
工作资料
全代管式设备
专用设备
9.0 及更高版本

IT 管理员可以设置指定的冻结期,以阻止设备上的系统更新。

5.16.1. EMM 的控制台必须允许 IT 管理员在指定的冻结期内阻止无线下载 (OTA) 系统更新。

5.17. 工作资料政策透明度管理

Android 版本
工作资料
全代管式设备
专用设备
9.0 及更高版本

IT 管理员可以自定义从设备中移除工作资料时向用户显示的消息。

5.17.1. IT 管理员可以提供在擦除工作资料时显示的自定义文本(前往 wipeReasonMessage)。

5.18. 关联的应用支持

Android 版本
工作资料
全代管式设备
专用设备
11.0 及更高版本

IT 管理员可以通过设置 ConnectedWorkAndPersonalApp 来设置可以跨工作资料边界进行通信的软件包列表。

5.19. 手动系统更新

Android 版本
工作资料
全代管式设备
专用设备
11.0 及更高版本

Android Management API 不支持此功能。

6. 设备管理服务弃用

6. 设备管理服务弃用

Android 版本
工作资料
全代管式设备
专用设备
MAM
5.0 及更高版本

EMM 必须在 2022 年底前发布方案,并于 2023 年第 1 季度末停止在 GMS 设备上为设备管理员提供客户支持。