本頁列出完整的 Android Enterprise 功能。
如要管理超過 1, 000 部裝置,EMM 解決方案必須支援至少一組解決方案的所有標準功能 (),之後才能用於商業用途。Android 的 Enterprise 解決方案目錄列出了提供標準功能驗證的 EMM 解決方案,做為標準管理組合。
每一組解決方案都提供一組額外進階功能。這些功能分別顯示在每個解決方案集頁面中:工作資料夾、全代管裝置和專用裝置。Android 的 Enterprise 解決方案目錄提供了提供進階管理組合的 EMM 解決方案。
鍵
| 標準功能 | 項選用功能 | 不適用 |
1. 裝置佈建
1.1. 佈建 DPC 工作資料夾
從 Google Play 下載 Android Device Policy 後,使用者即可佈建工作資料夾。
1.1.1. EMM 為 IT 管理員提供 QR 圖碼或啟用代碼,以支援這個佈建方法 (請參閱 註冊和佈建裝置)。
1.2. DPC ID 裝置佈建
在裝置的設定精靈中輸入「afw#」即可佈建全代管或專用裝置。
1.2.1. EMM 為 IT 管理員提供 QR 圖碼或啟用代碼,以支援這個佈建方法 (請參閱註冊和佈建裝置)。
1.3. NFC 裝置佈建
IT 管理員可以使用 Play EMM API 開發人員說明文件中的實作指南,使用 NFC 標記佈建新的或恢復原廠設定的裝置。
1.3.1. EMM 必須使用至少具有 888 位元組記憶體的 NFC 論壇類型 2 標記。佈建作業必須使用佈建額外項目,將非機密的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳送至裝置。註冊詳細資料不應含有機密資訊,例如密碼或憑證。
1.3.2. 由於 NFC Beam 已淘汰 (也稱為 NFC Bump),因此建議你為 Android 10 以上版本使用 NFC 標記。
1.4. QR code 裝置佈建
EMM 的控制台可以產生 QR 圖碼,讓 IT 管理員可掃描 Android Management API 開發人員說明文件中定義的實作指南,藉此佈建全代管或專用裝置。
1.4.1. QR 圖碼必須使用佈建額外功能,將非敏感註冊資訊 (例如伺服器 ID、註冊 ID) 傳遞至裝置。註冊詳細資料不得包含密碼或憑證等機密資訊。
1.5. 零接觸註冊機制
IT 管理員可以預先設定從授權經銷商購買的裝置,並使用 EMM 控制台管理這些裝置。
1.5.1. IT 管理員可以使用零接觸註冊機制佈建公司擁有的裝置,如「IT 管理員的零接觸註冊機制」所述。
1.5.2. 初次開啟裝置時,裝置會自動強制執行 IT 管理員定義的設定。
1.6. 進階零接觸佈建功能
IT 管理員可以透過零接觸註冊機制,自動執行許多裝置註冊程序。結合登入網址後,IT 管理員可以根據 EMM 提供的設定選項,限制只登入特定帳戶或網域。
1.6.1. IT 管理員可以使用零接觸註冊方法佈建公司擁有的裝置。
1.6.2. 這項規定已淘汰。
1.6.3. 使用登入網址,EMM 必須確保未獲授權的使用者無法執行啟用程序。特定啟用功能至少需要對企業使用者啟用。
1.6.4. 使用登入網址時,EMM 必須讓 IT 管理員能夠預先填入註冊詳細資料 (例如伺服器伺服器 ID、註冊 ID),除了不重複使用者或裝置資訊 (例如使用者名稱/密碼、啟用權杖),讓使用者在啟動裝置時不必輸入詳細資料。
- EMM 不得包含零接觸註冊機制設定中的機密資訊 (例如密碼或憑證)。
1.7. Google 帳戶工作資料夾佈建作業
Android Management API 不支援這項功能。
1.8 Google 帳戶裝置佈建
Android Management API 不支援這項功能。
1.9. 直接零接觸設定
IT 管理員可以透過 EMM 的主控台,透過零接觸 iframe 設定零接觸裝置。
1.10. 在公司擁有的裝置上建立工作資料夾
EMM 可以設定 AllowPersonalUsage,藉此註冊擁有工作資料夾的公司擁有裝置。
1.10.1. IT 管理員可以使用 QR 圖碼或零接觸註冊機制,在公司擁有的裝置上佈建裝置做為工作資料夾。
1.10.2. IT 管理員可以透過 PersonalUsagePolicies 設定公司裝置工作資料夾的法規遵循動作。
1.10.3. IT 管理員可以透過 PersonalUsagePolicies 停用工作資料夾或整個裝置中的相機。
1.10.4. IT 管理員可以透過 PersonalUsagePolicies 停用工作資料夾或整個裝置的螢幕畫面擷取功能。
1.10.5. IT 管理員可以透過 PersonalApplicationPolicy 設定許可清單或封鎖清單,允許應用程式安裝至個人資料夾。
1.10.6. IT 管理員可以透過移除工作資料夾或抹除整部裝置,來管理公司擁有的裝置。
2. 裝置安全性
2.1. 裝置安全性挑戰
IT 管理員可以從預先定義的 3 級複雜層級,選擇及強制執行裝置安全性驗證 (PIN 碼、解鎖圖案/密碼)。
2.1.1 政策必須強制執行裝置管理服務安全性設定 (適用於工作資料夾的家長設定檔密碼規定、全代管與專用裝置的密碼規定)。
2.1.2. 密碼複雜度應對應至下列密碼複雜度:
- PASSWORD_COMPLEXITY_LOW - 有重複圖案 (4444) 或有序 (1234、4321、2468) 的序列或 PIN 碼。
- 密碼
- PASSWORD_COMPLEXITY_HIGH - 沒有重複的 (4444) 或順序 (1234、4321、2468) 序列,且長度至少 8 個或英數字元,且長度至少為 6 個字元
2.1.3. 您也可以在公司擁有的裝置上,強制套用舊版密碼限制設定。
2.2 工作安全性挑戰
IT 管理員可以為工作資料夾中的應用程式和資料設定及強制執行安全驗證,但裝置安全性驗證的需求條件各不相同 (2.1)。
2.2.1. 政策必須強制執行工作資料夾的安全性問題。
- 根據預設,IT 管理員只會在未指定範圍的情況下設定工作資料夾的限制
- IT 管理員可以指定範圍,藉此設定這部裝置的整個裝置 (請參閱需求 2.1)
2.2.2. 密碼複雜度應對應至下列預先定義的密碼複雜度:
- PASSWORD_COMPLEXITY_LOW - 有重複圖案 (4444) 或有序 (1234、4321、2468) 的序列或 PIN 碼。
- 密碼
- PASSWORD_COMPLEXITY_HIGH - 沒有重複的 (4444) 或順序 (1234、4321、2468) 序列,且長度至少 8 個或英數字元,且長度至少為 6 個字元
2.2.3. 您也可以將舊版密碼限制設為舊版設定
2.3. 進階密碼管理
IT 管理員可以在裝置上進行進階密碼設定。
2.3.1. [刻意留空]
2.3.2. [刻意留空]
2.3.3. 您可以為裝置上的每個螢幕鎖定設定下列密碼生命週期設定:
- [刻意留空]
- [刻意留空]
- 抹除密碼次數上限:指定在使用者可以抹除公司資料前,使用者輸入錯誤密碼的次數。IT 管理員必須停用這項功能。
2.3.4. (Android 8.0 以上版本) 需要進行高強度驗證 (逾時):已設定高強度驗證密碼 (例如 PIN 碼或密碼) 後,必須在 IT 管理員設定的時間範圍結束後輸入高強度密碼。逾時時間結束後,系統會關閉非高強度的驗證方法 (例如指紋、人臉解鎖),直到裝置使用高強度驗證密碼解鎖為止。
2.4. 智慧鎖定功能
IT 管理員可以管理 Android 的 Smart Lock 功能中是否允許信任的代理程式將裝置解鎖時間延長至四小時。
2.4.1. IT 管理員可以在裝置上停用信任的代理程式。
2.5. 抹除及鎖定
IT 管理員可以透過 EMM 的控制台,從遠端鎖定及抹除受管理裝置上的工作資料。
2.5.1. 裝置必須使用 Android Management API 鎖定。
2.5.2. 必須使用 Android Management API 抹除裝置資料。
2.6. 強制執行違規處置
如果裝置不符合安全性政策,Android Management API 制定的法規遵循規則會自動限制使用工作資料。
2.6.1. 裝置上的強制執行安全性政策至少須包含密碼政策。
2.7. 預設安全性政策
EMM 必須在預設裝置上強制執行指定的安全性政策,讓 IT 管理員不必在 EMM 控制台中調整或自訂任何設定。我們建議 EMM (但不強制) 不允許 IT 管理員變更這些安全性功能的預設狀態。
2.7.1. 請務必封鎖從不明來源安裝的應用程式,包括在任何設有工作資料夾的 Android 8.0 以上版本裝置上安裝的應用程式。系統預設支援這個子功能。
2.7.2. 偵錯功能必須遭到封鎖。系統預設支援這個子功能。
2.8. 專用裝置的安全性政策
裝置遭到鎖定時,不得執行其他操作。
2.8.1. 您必須透過政策關閉啟動安全模式 (前往 safeBootDisabled)。
2.9. Play Integrity 支援
系統預設會進行 Play Integrity 檢查。您完全不需要另外導入。
2.9.1. 刻意留空。
2.9.2. 刻意留空。
2.9.3. IT 管理員可以根據裝置的 SecurityRisk 值設定不同的政策回應,包括封鎖佈建、抹除公司資料,以及允許註冊以繼續。
- EMM 服務會針對每項完整性檢查的結果強制執行這項政策回應。
2.10. 驗證應用程式強制執行狀態
IT 管理員可以在裝置上啟用驗證應用程式功能。「驗證應用程式」會掃描安裝在 Android 裝置上的應用程式,或在安裝前找出有害軟體,確保惡意應用程式無法竊取公司資料。
2.10.1. 「驗證應用程式」必須預設為透過政策開啟 (前往 ensureVerifyAppsEnabled)。
2.11. 直接啟動支援
根據預設,Android Management API 支援這項功能。不需要額外導入。
2.12. 硬體安全性管理
IT 管理員可以鎖定公司擁有裝置的硬體元素,以免資料遺失。
2.12.1. IT 管理員可以透過政策禁止使用者安裝外部外部媒體 (請前往 mountPhysicalMediaDisabled)。
2.12.2. IT 管理員可利用政策 (前往 outgoingBeamDisabled),禁止使用者透過 NFC 傳輸裝置分享資料。
2.12.3. IT 管理員可以透過政策來禁止使用者透過 USB 傳輸檔案 (請前往 usbFileTransferDisabled)。
2.13. 企業安全性記錄
Android Management API 目前不支援這項功能。
3. 帳戶和應用程式管理
3.1. Google Play 管理版企業註冊
IT 管理員可以建立「Google Play 管理版帳戶企業」,這種實體可讓 Google Play 管理版在裝置中發布應用程式。下列註冊階段必須整合至 EMM 的控制台:
3.1.1. 使用 Android Management API 註冊 Google Play 管理版帳戶企業。
3.2. Google Play 管理版帳戶佈建
EMM 可以自動佈建企業使用者帳戶,這類帳戶稱為 Google Play 管理版帳戶。這些帳戶可識別受管理的使用者,並允許針對每位使用者發布不重複的應用程式發布規則。
3.2.1. 佈建裝置時,系統會自動建立受管理的 Google Play 帳戶 (使用者帳戶)。
根據預設,Android Management API 支援這項功能。不需要額外導入。
3.3. Google Play 管理版裝置佈建
EMM 可以建立及管理 Google Play 管理版裝置帳戶。裝置帳戶支援從 Google Play 管理版商店中安裝應用程式,且不會綁定單一使用者。而是使用裝置帳戶識別單一裝置,以支援在專用裝置情境中支援各裝置的應用程式發布規則。
3.3.1. 佈建裝置時,系統會自動建立 Google Play 管理版帳戶。
根據預設,Android Management API 支援這項功能。不需要額外導入。
3.4. 為舊版裝置佈建 Google Play 管理版帳戶
這項功能已淘汰。
3.5. 靜音應用程式發行
IT 管理員可以在沒有使用者互動的情況下,在裝置上自動發布工作應用程式。
3.5.1. EMM 控制台必須使用 Android Management API,允許 IT 管理員在受管理的裝置上安裝工作應用程式。
3.5.2. EMM 控制台必須使用 Android Management API,允許 IT 管理員在受管理的裝置上更新工作應用程式。
3.5.3. EMM 控制台必須使用 Android Management API,允許 IT 管理員在受管理的裝置上解除安裝應用程式。
3.6. 代管設定管理服務
針對支援受管理設定的應用程式,IT 管理員可以查看和忽略受管理設定。
3.6.1. EMM 控制台必須能夠擷取並顯示任何 Play 應用程式的受管理設定。
3.6.2. EMM 控制台必須允許 IT 管理員使用 Android Management API 為任何 Play 應用程式設定任何設定類型 (由 Android Enterprise 架構定義)。
3.6.3. EMM 控制台必須允許 IT 管理員設定萬用字元 (例如 $username$ 或 %emailAddress%),以便針對應用程式套用單一設定 (例如 Gmail)。
3.7. 管理應用程式目錄
根據預設,Android Management API 支援這項功能。不需要其他實作。
3.8. 程式輔助應用程式核准程序
EMM 的主控台使用 Google Play 管理版 iframe 支援 Google Play 的應用程式探索和核准功能。IT 管理員無需離開 EMM 控制台,就能搜尋應用程式、核准應用程式,以及核准新的應用程式權限。
3.8.1. IT 管理員可以使用 Google Play 管理版 iframe 在 EMM 控制台中搜尋並核准應用程式。
3.9. 基本商店版面配置管理
Google Play 管理版應用程式可用於安裝及更新工作應用程式。 根據預設,Google Play 管理版商店會在單一清單中顯示已核准使用者的應用程式。這種版面配置稱為「基本商店版面配置」。
3.9.1. EMM 的控制台應允許 IT 管理員管理使用者基本商店版面配置中顯示的應用程式。
3.10. 進階商店版面配置設定
3.10.1. IT 管理員可以在 Google Play 管理版應用程式中自訂商店版面配置。
3.11. 應用程式授權管理
這項功能已淘汰。
3.12. Google 代管的私人應用程式管理服務
IT 管理員可以透過 EMM 控制台更新 Google 代管的私人應用程式,而不必透過 Google Play 管理中心。
3.12.1. IT 管理員可以使用以下版本,將私人應用程式發布給企業:
3.13. 自行管理的私人應用程式管理
IT 管理員可以設定及發布自行託管的私人應用程式。與 Google 代管的私人應用程式不同,Google Play 不會代管 APK。相反地,EMM 會協助 IT 管理員自行代管 APK,確保應用程式只有在獲 Google Play 管理版授權時安裝後,才能保護自行託管的應用程式。
3.13.1. EMM 的主控台必須提供以下兩種方法,協助 IT 管理員代管應用程式 APK:
- 在 EMM 伺服器上代管 APK。伺服器可能是位於地端部署系統或雲端式服務。
- 在 Enterprise 之外代管 APK,由企業自行斟酌。IT 管理員必須在代管 APK 的 EMM 控制台中指定這項資訊。
3.13.2. EMM 控制台必須使用提供的 APK 產生適當的 APK 定義檔案,且指示 IT 管理員完成發布程序。
3.13.3. IT 管理員可以更新自行託管的私人應用程式,而 EMM 的控制台可使用 Google Play Developer Publishing API 自動發布更新過的 APK 定義檔案。
3.13.4. Elf 的伺服器會針對自行託管的 APK 提供下載要求,該要求會在要求的 Cookie 中納入有效 JWT,而私人應用程式使用的公開金鑰會驗證該憑證。
- 如要執行這項程序,EMM 的伺服器必須引導 IT 管理員從 Google Play 管理中心下載自行管理的應用程式的授權公開金鑰,並將這組金鑰上傳到 EMM 控制台。
3.14. EMM 提取通知
這項功能不適用於 Android Management API。設定 Pub/Sub 通知。
3.15. API 使用需求
EMM 會大規模實作 Android Management API,避免流量模式可能對企業在實際工作環境中管理應用程式的能力造成負面影響。
3.15.1. EMM 必須遵循 Android Management API 使用限制,如未修正違反上述規範的行為,Google 有權停用 API 的使用權限。
3.15.2. EMM 應在一天內分配來自不同企業的流量,而不是在特定時間或類似時間整合企業流量。Google 有權自行斟酌這類流量模式的行為 (例如每部註冊裝置的排定批次作業),或是暫停使用 API。
3.15.3. EMM 不應提出一致、不完整或蓄意錯誤的要求,這類要求不會試圖擷取或管理實際的企業資料。Google 有權決定是否將這類流量模式的行為停權。
3.16. 進階代管設定管理
EMM 支援下列進階代管設定管理功能:
3.16.1. EMM 控制台必須能夠擷取和顯示任何 Play 應用程式的巢狀層級,最多有四個層級:
- Google Play 管理版 iframe;或
- 自訂使用者介面
3.16.2. IT 管理員設定時,EMM 控制台必須能擷取及顯示應用程式意見回饋管道傳回的任何意見回饋。
- EMM 控制台必須允許 IT 管理員將特定意見回饋項目與特定來源的裝置和應用程式建立關聯。
- EMM 控制台必須允許 IT 管理員訂閱特定訊息類型的快訊或報告 (例如錯誤訊息)。
3.16.3. EMM 控制台只能傳送具有預設值或由管理員手動設定的值,並使用:
- 受管理設定 iframe
- 自訂 UI。
3.17. 網頁應用程式管理
IT 管理員可以在 EMM 控制台中建立及發布網頁應用程式。
3.17.1. EMM 控制台可讓 IT 管理員使用下列應用程式將捷徑發布至網頁應用程式:
3.18. Google Play 管理版帳戶生命週期管理
EMM 可以代表 IT 管理員建立、更新及刪除 Google Play 管理版帳戶,並自動在帳戶過期後復原帳戶。
系統預設支援這項功能。而且不需要額外導入 EMM。
3.19. 應用程式追蹤管理
3.19.1. IT 管理員可以擷取開發人員為特定應用程式設定的追蹤 ID 清單
3.19.2. IT 管理員可以設定裝置,為應用程式使用特定開發測試群組。
3.20. 進階應用程式更新管理
IT 管理員可以允許應用程式立即更新,也可以延後 90 天更新應用程式。
3.20.1. IT 管理員可以允許應用程式在更新準備就緒時,使用高優先順序的應用程式更新。 3.20.2. IT 管理員可以允許應用程式在 90 天內延後應用程式更新。
3.21. 佈建方法管理
EMM 可以產生佈建設定,並提供給 IT 管理員,以準備好發布給使用者的形式 (例如 QR code、零接觸設定、Play 商店網址)。
4. 裝置管理
4.1. 管理執行階段權限政策
IT 管理員可以無預警地設定工作應用程式要求執行階段權限要求的預設回應。
4.1.1. 為機構設定預設執行階段權限政策時,IT 管理員必須選擇下列選項:
- 提示 (允許使用者選擇)
- allow
- deny
EMM 應透過政策強制執行這些設定。
4.2. 執行階段權限授權狀態管理
設定預設的執行階段權限政策 (前往 4.1) 後,IT 管理員可以用 API 23 以上版本建立的任何工作應用程式,直接設定特定權限的回應。
4.2.1. IT 管理員必須能對透過 API 23 以上版本建構的任何工作應用程式要求任何權限 (預設、授予或拒絕)。EMM 應透過政策強制執行這些設定。
4.3. Wi-Fi 設定管理
IT 管理員可以直接在受管理的裝置上佈建企業 Wi-Fi 設定,包括:
4.3.1. SSID (透過政策)。
4.3.2. 密碼 (透過政策)。
4.4. Wi-Fi 安全性管理
如果裝置支援下列進階安全性功能,IT 管理員可以佈建裝置的 Wi-Fi 設定:
4.4.1. Identity
4.4.2. 用戶端憑證
4.4.3. CA 憑證
4.5. 進階 Wi-Fi 管理
IT 管理員可以鎖定受管理裝置的 Wi-Fi 設定,禁止使用者建立設定或修改公司設定。
4.5.1. IT 管理員可以在下列任一設定中,透過政策鎖定公司 Wi-Fi 設定:
- 使用者無法修改 EMM 佈建的任何 Wi-Fi 設定 (前往
wifiConfigsLockdownEnabled),但可以新增及修改使用者可自行設定的網路 (例如個人網路)。 - 使用者無法新增或修改裝置上的任何 Wi-Fi 網路 (前往
wifiConfigDisabled),限制 Wi-Fi 連線範圍僅限於 EE 佈建的網路。
4.6. 帳戶管理
IT 管理員可以確保只有授權的公司帳戶能與公司資料互動,例如軟體式服務 (SaaS) 儲存空間和效率提升應用程式,或電子郵件。如果沒有這項功能,使用者就能在個人帳戶 (包括支援個人帳戶的帳戶) 中新增個人帳戶,讓使用者與這些個人帳戶共用公司資料。
4.6.1. IT 管理員可以禁止使用者新增或修改帳戶 (請參閱 modifyAccountsDisabled)。
- 在裝置上強制執行這項政策時,EMM 必須在佈建完成前設定這項限制,以確保使用者無法在這項政策生效前新增帳戶,藉此規避這項政策。
4.7. Workspace 帳戶管理
Android Management API 不支援這項功能。
4.8. 憑證管理功能
允許 IT 管理員將身分憑證和憑證授權單位部署至裝置,以便允許使用公司資源。
4.8.1. IT 管理員可以安裝每位使用者在 PKI 產生的使用者身分憑證。EMM 控制台必須整合至少一個 PKI,並發布由該基礎架構產生的憑證。
4.8.2. IT 管理員可以在代管的 KeyStore 中安裝憑證授權單位 (請參閱 caCerts)。
4.9. 進階憑證管理
讓 IT 管理員無聲讀出特定受管理應用程式應使用的憑證。這項功能也讓 IT 管理員能夠移除使用中裝置的 CA 和身分憑證,以及禁止使用者修改儲存在 KeyStore 中的憑證。
4.9.1. 針對發布至裝置的任何應用程式,IT 管理員可以指定在執行階段中無權限存取的應用程式憑證。(目前不支援這項子功能)
- 憑證選取機制必須夠普遍,才能為所有使用者套用單一設定,而每位使用者都會有使用者專屬的身分識別憑證。
4.9.2. IT 管理員可以直接從代管 KeyStore 中移除憑證。
4.9.3. IT 管理員可以無聲解除安裝 CA 憑證。(目前不支援這項子功能)
4.9.4. IT 管理員可以禁止使用者在代管 KeyStore 中設定憑證 (請前往 credentialsConfigDisabled)。
4.9.5. IT 管理員可以使用 ChoosePrivateKeyRule 預先授予工作應用程式的憑證。
4.10. 委派憑證管理
IT 管理員可以將第三方憑證管理應用程式發布到裝置,並授予應用程式權限,允許將憑證安裝至代管的 KeyStore。
4.10.1. IT 管理員可以指定憑證管理套件 (前往 delegatedCertInstallerPackage),將其設定為委派憑證管理應用程式。
- EMM 可能會建議您提出已知的憑證管理套件,但必須允許 IT 管理員從適用的應用程式清單中選取可安裝的應用程式。
4.11. 進階 VPN 管理
允許 IT 管理員指定永久連線的 VPN,確保來自指定受管理應用程式的資料一律會通過設定虛擬私人網路 (VPN)。
4.11.1. IT 管理員可以指定任意 VPN 套件,並將其設為「永久連線的 VPN」。
- EMM 控制台可能會選擇性建議您支援「永久 VPN」的已知 VPN 套件,但無法將「一律開啟」設定的 VPN 限制在任何位置清單中。
4.11.2. IT 管理員可以使用受管理的設定來指定應用程式的 VPN 設定。
4.12. 輸入法編輯器管理
IT 管理員可以管理使用者可以為裝置設定哪些輸入法 (IME)。由於輸入法和個人設定檔共用輸入法編輯器,因此封鎖 IME 會導致使用者無法允許這些 IME 用於個人用途。不過,IT 管理員不得禁止在工作資料夾中使用系統輸入法編輯器 (詳情請參閱進階輸入法編輯器管理)。
4.12.1. IT 管理員可以設定任意長度的 IME 許可清單 (包括 permitted_input_methods,這個清單會封鎖非系統輸入法編輯器),且可能包含任何任意輸入法編輯器套件。
- EMM 控制台可能會選擇性建議您將其納入已知或建議的 IME 以便加入許可清單,但必須允許 IT 管理員從可用應用程式清單中選取可供安裝的應用程式清單。
4.12.2. EMM 必須通知 IT 管理員,在設有工作資料夾的裝置上排除系統輸入法編輯器。
4.13. 進階輸入法編輯器管理
IT 管理員可以管理使用者可以在裝置上設定哪些輸入法 (IME)。進階 IME 管理可讓 IT 管理員管理系統 IME 的使用情形,藉此提供裝置 IME 的使用方法,因為裝置製造商通常提供裝置製造商或電信業者。
4.13.1. IT 管理員可以設定任意長度的 IME 許可清單 (前往 permitted_input_methods,但會封鎖所有 IME),包括任何輸入法編輯器套件。
- EMM 控制台可能會選擇性建議您將其納入已知或建議的 IME 以便加入許可清單,但必須允許 IT 管理員從可用應用程式清單中選取可供安裝的應用程式清單。
4.13.2. EMM 必須禁止 IT 管理員設定空白許可清單,因為這項設定會封鎖裝置上的所有 IME,包括系統輸入法編輯器。
4.13.3. EMM 必須確保 IME 許可清單不包含系統 IME,而在裝置套用許可清單前,系統會以靜音方式安裝第三方 IME。
4.14. 無障礙服務管理
IT 管理員可以管理使用者在裝置上可使用的無障礙服務。無障礙服務是一項強大的工具,適合身心障礙者或無法完全與裝置完全互動的使用者。不過,這些公司與公司資料互動時,可能違反公司政策。這項功能可讓 IT 管理員關閉任何非系統的無障礙服務。
4.14.1. IT 管理員可以設定任意長度的無障礙服務許可清單 (包含 permittedAccessibilityServices,這個清單會封鎖非系統的無障礙服務),其中可能包含任何任意的無障礙服務套件。套用至工作資料夾時,你對個人資料夾和工作資料夾都會受到影響。
- Cloud Console 可能會建議將已知或建議的無障礙服務納入許可清單,但前提是 IT 管理員能夠從適用的應用程式清單中,選擇適用於適用的使用者。
4.15. 位置資訊分享管理
IT 管理員可以禁止使用者與工作資料夾中的應用程式分享位置資料,否則,您可以在「設定」中指定工作資料夾中的位置資訊設定。
4.15.1. IT 管理員可以在工作資料夾中停用定位服務 (請前往 shareLocationDisabled)。
4.16. 進階位置資訊分享管理
IT 管理員可以在受管理的裝置上強制執行特定「位置資訊分享」設定。這項功能可確保公司應用程式一律取得高精確度的位置資料。你也可以將位置資訊設定限制為省電模式,避免耗電。
4.16.1. IT 管理員可以針對下列模式設定裝置定位服務:
- 。
- 感應器,例如 GPS,但不含網路提供的位置。
- 節約耗電量,這會限制更新頻率。
- 關閉。
4.17. 恢復原廠設定保護機制管理
可讓 IT 管理員確保未獲授權的使用者無法恢復原廠設定,防止公司擁有的裝置遭竊。如果裝置採用恢復原廠設定保護機制,在裝置回歸 IT 人員時造成作業較為複雜,IT 管理員可以完全關閉恢復原廠設定保護機制。
4.17.1. IT 管理員可以從設定中禁止使用者將裝置恢復原廠設定 (請前往 factoryResetDisabled)。
4.17.2. 恢復原廠設定後,IT 管理員可以指定可佈建裝置的公司解鎖帳戶 (請前往 frpAdminEmails)。
- 這個帳戶可與單一個人建立關聯,或是讓全企業用於解鎖裝置。
4.17.3. IT 管理員可以針對特定裝置停用恢復原廠設定保護機制 (前往 factoryResetDisabled)。
4.17.4. IT 管理員可以啟動遠端清除裝置資料 (可視需要抹除重設保護資料),藉此為重設的裝置移除恢復原廠設定保護機制。
4.18. 進階應用程式控制項
IT 管理員可以禁止使用者透過「設定」解除安裝或以其他方式修改受管理的應用程式。例如,強制強制關閉應用程式或清除應用程式的資料快取。
4.18.1. IT 管理員可以封鎖任何解除安裝的應用程式或所有受管理應用程式的解除安裝作業 (前往 uninstallAppsDisabled)。
4.18.2. IT 管理員可以禁止使用者透過「設定」修改應用程式資料。(Android Management API 不支援這項子功能)
4.19. 螢幕畫面擷取管理
IT 管理員可以禁止使用者透過受管理的應用程式擷取螢幕截圖。 這項設定包含封鎖螢幕分享應用程式,以及運用系統螢幕截圖功能的類似應用程式 (例如 Google 助理)。
4.19.1. IT 管理員可以禁止使用者擷取螢幕截圖 (請前往 screenCaptureDisabled)。
4.20. 停用相機
IT 管理員可以關閉受管理應用程式使用裝置相機的功能。
4.20.1. IT 管理員可以停用受管理應用程式的裝置相機功能 (前往 cameraDisabled)。
4.21. 網路統計資料收集
Android Management API 目前不支援這項功能。
4.22. 進階網路統計資料收集
Android Management API 目前不支援這項功能。
4.23. 重新啟動裝置
IT 管理員可以從遠端重新啟動受管理的裝置。
4.23.1. IT 管理員可以遠端重新啟動受管理裝置。
4.24. 系統無線電管理
透過政策,為 IT 管理員提供精細的系統網路無線電和相關相關聯政策的管理功能。
4.24.1. IT 管理員可以關閉服務供應商傳送的儲存格播送 (請前往 cellBroadcastsConfigDisabled)。
4.24.2. IT 管理員可以禁止使用者在「設定」中修改行動網路設定 (前往 mobileNetworksConfigDisabled)。
4.24.3. IT 管理員可以禁止使用者在「設定」中重設所有網路設定,(前往 networkResetDisabled)。
4.24.4. IT 管理員可以設定裝置是否在漫遊時允許行動數據 (前往 dataRoamingDisabled)。
4.24.5. IT 管理員可以設定裝置是否可撥打電話,但無法撥打緊急電話 (前往 outGoingCallsDisabled)。
4.24.6. IT 管理員可以設定裝置是否可收發簡訊 (請前往 smsDisabled)。
4.24.7. IT 管理員可以透過網路共用功能 (tetheringConfigDisabled),避免使用者將裝置做為可攜式無線基地台。
4.24.8. IT 管理員可以將 Wi-Fi 逾時設為預設值 (插入時) 或一律無法存取。(Android Management API 不支援這項子功能)
4.24.9. IT 管理員可以禁止使用者設定或修改現有的藍牙連線 (前往 bluetoothConfigDisabled)。
4.25. 系統音訊管理
IT 管理員可以無聲控制裝置音訊功能,包括將裝置靜音、禁止使用者修改音量設定,以及防止使用者取消裝置的麥克風靜音。
4.25.1. IT 管理員可以無聲忽略受管理的裝置。(Android Management API 不支援這項子功能)
4.25.2. IT 管理員可以禁止使用者修改裝置音量設定 (前往 adjustVolumeDisabled),這麼做也會忽略裝置。
4.25.3. IT 管理員可以禁止使用者取消裝置麥克風 (請前往 unmuteMicrophoneDisabled)。
4.26. 系統時鐘管理
IT 管理員可以管理裝置時鐘與時區設定,以及禁止使用者修改自動裝置設定。
4.26.1. IT 管理員可以強制執行系統時間和時區,防止使用者設定裝置的日期、時間和時區。
4.27. 進階裝置專屬功能
針對專用裝置,IT 管理員可以透過政策管理下列功能,以支援各種資訊站用途。
4.27.1. IT 管理員可以關閉裝置 Keyguard (前往 keyguardDisabled)。
4.27.2. IT 管理員可以關閉裝置狀態列、封鎖通知和快速設定 (前往 statusBarDisabled)。
4.27.3. 當裝置插入電源時,IT 管理員可以強制讓裝置螢幕保持開啟狀態 (前往 stayOnPluggedModes)。
4.27.4. IT 管理員可以防止下列系統 UI 顯示 (前往 createWindowsDisabled):
- 吐司
- 應用程式重疊。
4.27.5. IT 管理員可以允許系統建議應用程式,在首次啟動時略過使用者教學課程和其他入門提示 (前往 skip_first_use_hints)。
4.28. 委派範圍管理
IT 管理員可以將額外的權限委派給個別套件。
4.28.1. IT 管理員可以管理下列範圍:
- 安裝及管理憑證
- 受管理的設定管理
- 網路記錄
- 安全記錄
4.29. 註冊專屬 ID 支援
自 Android 12 起,工作資料夾將失去硬體專屬 ID 的存取權。IT 管理員可透過註冊專屬 ID 追蹤裝置生命週期與裝置生命週期,而這些裝置 ID 會恢復原廠設定
4.29.1. IT 管理員可以取得註冊專屬 ID
4.29.2. 這個註冊 ID 必須恢復原廠設定才能保留
5. 裝置可用性
5.1. 自訂代管佈建
IT 管理員可以修改預設的設定流程使用者體驗,藉此納入企業專屬功能。如有需要,IT 管理員可以在佈建期間顯示 EMM 提供的品牌。
5.1.1. IT 管理員可以指定企業專屬服務條款和其他免責事項,藉此自訂佈建程序 (前往 termsAndConditions)。
5.1.2. IT 管理員可以部署無法設定、EMM 專屬的服務條款及其他免責事項 (請前往 termsAndConditions)。
- EMM 可將無法調整的 EMM 專屬自訂項目設為部署的預設項目,但必須允許 IT 管理員自訂設定。
Android 10 以上版本的企業資源已淘汰 5.1.3 primaryColor。
5.2. 企業自訂功能
Android Management API 不支援這項功能。
5.3. 進階的企業自訂功能
Android Management API 不支援這項功能。
5.4. 螢幕鎖定訊息
IT 管理員可以設定一律顯示在裝置螢幕鎖定畫面上的自訂訊息,而且無須解鎖裝置即可查看。
5.4.1. IT 管理員可以設定自訂螢幕鎖定訊息 (前往 deviceOwnerLockScreenInfo)。
5.5. 政策透明度管理
IT 管理員可在使用者修改裝置的受管理設定,或部署 EMM 提供的一般支援訊息時,自訂提供給使用者的說明文字。自訂訊息和簡短支援訊息均可自訂,並會顯示在執行個體中,例如嘗試解除安裝 IT 管理員已禁止解除安裝的代管應用程式。
5.5.1. IT 管理員可以自訂簡短且向使用者顯示的支援訊息。
5.5.2. IT 管理員可以部署無法設定、EMM 特定、簡短且較長的支援訊息 (前往 policies 中的 shortSupportMessage 和 longSupportMessage)。
- EMM 可將無法設定的 EMM 專屬支援訊息設為預設部署,但允許 IT 管理員自行設定訊息。
5.6. 跨設定檔聯絡人管理
5.6.1. IT 管理員可以禁止在個人資料夾聯絡人和來電中顯示工作聯絡人。
5.6.2. IT 管理員可以停用工作聯絡人的藍牙聯絡人分享功能,例如不必動手操作汽車或耳機。
5.7. 跨設定檔資料管理
允許 IT 管理員管理可在工作設定檔和個人設定檔之間共用的資料類型,讓管理員根據自身需求在可用性和資料安全性之間取得平衡。
5.7.1. IT 管理員可以設定跨設定檔資料共用政策,讓個人應用程式能夠解析工作資料夾中的意圖,例如共用意圖或網頁連結。
5.7.2. Android Management API 目前尚未提供工作小工具管理功能。
5.7.3. IT 管理員可以控管在工作資料夾和個人設定檔之間複製/貼上的功能。
5.8. 系統更新政策
IT 管理員可以設定及套用無線更新 (OTA) 系統更新裝置。
5.8.1. EMM 的控制台可讓 IT 管理員進行下列 OTA 設定:
- 自動:裝置會在有可用的 OTA 更新時立即接收更新。
- 延期:IT 管理員必須延後 OTA 更新推送 30 天。
- 期間:IT 管理員必須能在每日維護期間安排 OTA 更新作業。
5.8.2. OTA 設定會透過政策套用到裝置。
5.9. 鎖定工作模式管理
IT 管理員可以鎖定應用程式或一組應用程式,並確保使用者無法結束應用程式。
5.9.1. EMM 的主控台可讓 IT 管理員無限制地利用任意應用程式安裝及鎖定裝置。政策可讓您設定專用裝置。
5.10. 永久偏好活動管理
允許 IT 管理員將應用程式設為符合特定意圖篩選器的預設意圖處理常式。舉例來說,這項功能可讓 IT 管理員選擇要讓哪些瀏覽器應用程式自動開啟網頁連結。這項功能可以管理輕觸主畫面按鈕時要使用的啟動器應用程式。
5.10.1. IT 管理員可以為任何任意意圖篩選器將任何套件設為預設意圖處理常式。
- EMM 控制台可能會選擇性建議您設定已知或建議的意圖,但無法將意圖限制為任意清單。
- EMM 控制台必須允許 IT 管理員從可供使用者安裝的應用程式清單中選擇。
5.11. Keyguard 功能管理
IT 管理員可以在解鎖裝置 Keyguard (螢幕鎖定) 和工作驗證 Keyguard (螢幕鎖定) 之前,管理使用者可用的功能。
5.11.1.政策可關閉下列裝置 Keyguard 功能:
- 信任的代理程式
- 指紋解鎖
- 未遮蓋的通知
5.11.2. 您可以透過 policy 關閉工作資料夾的鍵盤保護功能:
- 信任的代理程式
- 指紋解鎖
5.12. 進階 Keyguard 功能管理
- 監視攝影機
- 所有通知
- 未遮蓋
- 信任的代理程式
- 指紋解鎖
- 所有 Keyguard 功能
5.13. 遠端偵錯
Android Management API 目前不支援這項功能。
5.14. 擷取 MAC 位址
EMM 可以默示擷取裝置的 MAC 位址,用來識別企業基礎架構其他部分的裝置 (例如識別裝置以進行網路存取權控管時)。
5.14.1. EMM 可以自動擷取裝置的 MAC 位址,並將其與 EMM 控制台中的裝置建立關聯。
5.15. 進階鎖定工作模式管理
使用專屬裝置時,IT 管理員可以使用 EMM 控制台執行下列工作:
5.15.1. 默示允許單一應用程式安裝及鎖定裝置。
5.15.2. 開啟或關閉下列系統 UI 功能:
- 主畫面按鈕
- 總覽
- 通用動作
- 通知
- 系統資訊 / 狀態列
- Keyguard (螢幕鎖定)。在實作 5.15.1. 時,這個子功能預設為開啟。
5.16. 進階系統更新政策
IT 管理員可以設定指定的凍結期,讓裝置停止更新系統更新。
5.16.1. EMM 控制台必須允許 IT 管理員在指定的凍結期內封鎖無線 (OTA) 系統更新。
5.17. 工作資料夾政策透明度管理
從裝置移除工作資料夾時,IT 管理員可以自訂要向使用者顯示的訊息。
5.17.1. 工作資料夾抹除時,IT 管理員可以提供要顯示的自訂文字 (請前往 wipeReasonMessage)。
5.18. 支援連結應用程式
IT 管理員可以設定 LinkedWorkAndPersonalApp,藉此設定可在工作設定檔邊界通訊的套件清單。
5.19. 手動系統更新
Android Management API 不支援這項功能。
6. 淘汰裝置管理員
6. 淘汰裝置管理員
我們將於 2023 年第 1 季結束,在 GMS 裝置上為裝置管理員提供客戶支援服務,EMM 將於 2022 年底結束。