# 策略 - Android

# 摘要。

Android 策略是系统的核心组件：它们定义了应用于并强制执行于受管设备上的规则。

您可以在仪表板的 **策略** 部分浏览现有策略并创建新的策略。要打开一个 Android 策略，请在表格中单击该策略的行，系统将打开 **策略编辑器** 页面。

策略可以与[注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens")相关联，因此它将在设备配置过程中自动应用。您也可以在配置完成后更改已分配给设备的策略。

<p class="callout info">每个设备一次最多只能关联一个策略。</p>

<p class="callout info">许多策略选项仅适用于特定设备类型（完全管理、专用、工作资料）和 Android 版本。不支持的设置可能被设备忽略，或者报告为不符合要求。</p>

## 策略编辑器布局

策略编辑器以可展开的区域组织。在页面的顶部，您可以随时编辑：

- **名称**（必填）
- **ID** (只读)
- **描述**（可选）

以下部分对应策略编辑器的各个面板（例如：应用管理、安全、网络、系统、个人使用、跨配置策略等）。请使用本手册的章节页面，详细了解每个面板。

## 保存、删除和关联的设备。

使用 **保存策略**以应用您的更改。当没有未保存的修改时，或当许可证已过期时，该按钮将被禁用。

如果您打开了一个现有的策略（它具有 ID），页面底部会显示一个 **删除策略** 按钮和一个 **关联设备** 列表，以便您了解当前有多少设备正在使用该策略。

# 应用管理

在本部分，您可以设置与应用程序可用性、安装、更新以及权限管理相关的策略。

<p class="callout info">已配置的设备会自动创建“受管 Google Play 帐户”。</p>

#### 1. 应用商店模式

此模式控制用户在 Google Play 商店中可用的应用程序，以及从策略中删除应用程序时设备上的行为。

**白名单（默认）**: 只有策略中包含的应用程序才能使用，策略中未包含的应用程序将自动从设备上卸载。Google Play 商店只会显示可用的应用程序。

**黑名单**：所有应用均可使用，不允许在设备上安装的应用，应在应用策略中明确设置为**禁止**安装。Google Play 商店将显示所有应用，但会排除被禁止的应用。

#### 2. 不可信应用策略

设备上强制执行的不可信应用策略（来自未知来源的应用）。此选项控制 Android 系统设置，该设置决定用户是否可以从 Play 商店外部安装应用程序（即旁加载）。

**禁止（默认）**：禁止在整个设备上安装不受信任的应用程序。

**仅限个人资料**：对于具有工作配置的设备，仅允许在设备的个人资料中安装不受信任的应用程序。

**允许**：允许在整个设备上安装不受信任的应用程序。

#### 3. Google Play 保护功能

是否强制执行 Google Play 保护应用验证。

**强制执行（默认）**：强制启用应用验证。

**用户选择**：允许用户选择是否启用应用验证。

#### 4. 默认权限策略

授予应用运行时权限请求的策略。

**提示（默认）**：提示用户授予权限。

**授予**：自动授予权限。

**拒绝**：自动拒绝权限。

#### 5. 应用功能

控制是否允许完全管理的设备或工作资料中的应用公开其功能。需要 Android 16 或更高版本。

**允许 (默认)**：完全管理的设备或工作资料中的应用可以公开其功能。

**禁止**：在完全管理的设备或工作资料中的应用，不允许公开其功能。

#### 6. 安装被禁用的应用程序

是否禁止用户安装应用程序。

#### 7. 禁止卸载应用程序。

用户是否被禁止卸载应用程序。

#### 8. 权限策略

为所有应用程序设置明确的权限、授权或拒绝。这些设置会覆盖**默认权限策略**的设置。

使用 **添加权限策略**来创建条目，并使用删除操作来移除它们。

每个条目包含：

**Android 权限/组**：Android 权限或组（必需），例如 **android.permission.READ\_CALENDAR** 或 **android.permission\_group.CALENDAR**。

**策略**：允许 / 拒绝 / 提示（使用与**默认权限策略**相同的策略选项）。

#### 9. 应用程序

必须包含在策略中的应用程序列表。此列表的内容的行为取决于“**应用商店模式**”的设置。

如果“**应用商店模式**”设置为“**白名单**”，则只有策略中包含的应用程序可用，并且任何不在策略中的应用程序都将自动从设备上卸载。

如果 **应用商店模式**设置为 **黑名单**，则所有应用都可用，并且任何不应在设备上的应用都应在应用程序策略中明确标记为 **禁止**。

要添加新的应用程序，请单击“**添加应用程序**”按钮（或“**添加应用程序**”图标），然后在应用卡中，从 Play 商店选择应用程序，然后单击“**选择**”按钮。

<p class="callout info">所有在您所在国家/地区的 Google Play 商店上发布的应用程序默认情况下都可供选择。要选择您自己的私有或 Web 应用程序，您必须首先将其上传到系统中。更多信息请阅读 [**私有应用程序**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/b3967 "Private apps") 页面。</p>

每个应用程序都可以配置自己的设置，这些设置以卡片的形式直观地呈现。

##### 9.1. 安装类型

用于安装应用程序的安装类型。

**可用：** 该应用可供安装。

**已预装**：该应用已自动安装，用户可以将其卸载。

**强制安装**：该应用已自动安装，用户无法将其卸载。

**已阻止**：该应用已被阻止，无法安装。如果该应用是在之前的策略下安装的，则将被卸载。

**首次设置时需要**：该应用将自动安装，用户无法手动卸载，并且在安装完成之前，设置将无法继续。

**Kiosk模式：**该应用将自动以 Kiosk 模式安装：它被设置为首选主界面，并且已在锁屏任务模式下被白名单。设备设置将在应用安装完成之前无法继续。安装完成后，用户将无法卸载该应用。您只能为每个策略设置一个应用的**安装类型**。当该设置存在于策略中时，状态栏将自动禁用。有关更多信息，请阅读专门的[**Kiosk 模式**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/kiosk "Kiosk mode")页面。

##### 9.2. 安装约束条件

定义应用的安装限制。当选择了多个限制条件时，所有条件必须满足才能安装该应用。

<p class="callout info">此选项仅在 **安装类型** 为 **预装** 或 **强制安装** 时显示。</p>

**无流量网络**：仅在设备连接到无流量网络时（例如 Wi-Fi）安装应用程序。

**充电中**：仅当设备正在充电时安装应用。

**空闲状态**：仅当设备处于空闲状态时安装应用。

##### 9.3. 自动更新模式

控制应用的自动更新模式。

**默认设置：** 应用将以较低优先级自动更新，以最大限度地减少对用户的干扰。当满足以下所有条件时，应用将进行更新：(1) 设备未处于活跃使用状态；(2) 设备已连接到非计费网络；(3) 设备正在充电。设备会在开发者发布新版本后的 24 小时内收到通知，之后，当上述条件再次满足时，应用将进行更新。

**延迟**：应用在过期后最多 90 天内不会自动更新。90 天后，最新版本将以较低优先级自动安装（请参阅**默认**自动更新模式）。应用更新后，除非再次过期，否则在接下来的 90 天内不会再次自动更新。用户可以随时从 Google Play 商店手动更新应用。

**高优先级**：应用会尽快更新。不适用任何限制。设备在可用时会立即收到新更新的通知。

##### 9.4. 最低版本代码

设备上运行的最低应用版本。如果已设置，设备会尝试将应用更新到至少此版本代码。如果应用未更新到最新版本，设备将显示 **不合规详情**，其中 **不合规原因** 设置为 **APP\_NOT\_UPDATED**。应用必须已发布到 Google Play，且版本代码大于或等于此值。每个策略最多可指定 20 个应用的最低版本代码。

##### 9.5. 授权范围

来自 Android 设备策略授予应用的权限范围。您可以授予其他应用选择性的 Android 特殊权限：

**证书安装**：授予访问证书安装和管理的权限。

**受管配置**：授予访问受管配置管理权限。

**阻止卸载**：授予访问阻止卸载的权限。

**权限**：授予访问权限策略和权限授予状态的权限。

**应用包访问权限**：授予访问应用包访问状态的权限。

**系统应用**：授予启用系统应用的权限。

##### 9.6. 首选网络

用于此应用程序的首选网络服务。如果已设置，当可用时，该应用程序将使用指定的企业网络切片进行连接。 此设置必须与 **5G 网络切片配置** 部分中配置的网络切片相匹配，该部分位于 **蜂窝** 面板。

<span style="color: #222222; font-size: 1.4em; font-weight: 400;">9.7. 默认权限策略</span>

这是适用于所有应用请求的默认策略。如果已指定，则会覆盖应用级别设定的**默认权限策略**，该策略适用于所有应用。它不会覆盖应用于所有应用的**权限策略**。

**提示（默认）**：提示用户授予权限。

**授予**：自动授予权限。

**拒绝**：自动拒绝权限。

##### 9.8. 连接工作和个人应用。

是否允许应用在设备的办公和个人模式之间进行通信，需获得用户许可（Android 11 及以上版本）。

**不允许 (默认)**：阻止应用在不同用户配置文件之间进行通信。

**允许**：在获得用户许可后，允许应用在不同用户配置文件之间进行通信。

##### 9.9. 始终开启的 VPN 锁定例外设置

指定当 VPN 未连接且 **设备锁定** 处于活动状态时，应用程序是否允许进行网络连接。仅支持运行 Android 10 及更高版本的设备。

**强制 (默认)**：该应用会遵循始终开启的 VPN 锁定设置。

**排除**：该应用不受始终开启的 VPN 锁定设置的影响。

##### 9.10. 工作资料小部件

指定是否允许安装在工作资料中的应用将小部件添加到主屏幕。

**允许：**该应用可以向主屏幕添加小部件。

**不允许**：该应用无法向主屏幕添加小部件。

##### 9.11. 用户控制设置

指定是否允许用户对特定应用进行控制。用户控制包括强制停止和清除应用数据等操作（Android 11 及以上版本）。如果启用了 **extensionConfig**，则无论此设置如何，都将禁用用户控制。对于专用的应用，可以使用 **允许** 选项来允许用户控制。

**未指定**：使用应用的默认行为来确定是否允许用户控制。

**允许**：该应用允许用户控制。

**不允许**：该应用禁止用户控制。

##### 9.12. 已禁用。

是否已禁用应用。禁用后，应用数据仍会保留。

##### 9.13. 允许凭据提供程序。

是否允许该应用在 Android 14 及更高版本中充当凭据提供程序。

##### 9.14. 受管配置

要配置应用的受管设置，请点击“**启用受管配置**”按钮。如果应用已设置了受管配置，您可以使用“**受管配置**”按钮进行修改，或使用“**删除配置**”按钮进行删除。

<p class="callout info">**受管配置**选项仅适用于支持此功能的应用程序。</p>

##### 9.15. 权限策略

为应用程序设置显式授权或拒绝权限。这些值会覆盖**默认权限策略**和**权限策略**，这些策略适用于所有应用程序。

使用**添加权限策略**，可以为应用程序添加一个或多个权限规则，并通过删除操作移除它们。

##### 9.16. 跟踪ID

设备可以访问的应用程序内部测试版本ID列表。如果选择了多个版本ID，设备将获取所有可访问版本中最新版本。如果未选择任何版本ID，设备仅能访问应用程序的正式版本。

<p class="callout info">**版本ID**选项仅适用于已为您的组织配置至少一个版本ID的应用程序。有关如何将您的组织添加到特定应用程序的内部测试版本的详细信息，请阅读[此处](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing). </p>

#### 10. 默认应用程序设置

为支持的类型设置默认应用。如果已为至少一种类型设置了默认应用，则用户将无法在该配置中使用更改默认应用的选项。

<p class="callout info">每个**默认应用类型**只能设置一个默认应用。默认应用列表中不得包含重复项。</p>

##### 10.1. 默认应用类型

选择要配置的应用类别（例如：浏览器、拨号、短信、钱包或助手）。可用性取决于 Android 版本和管理模式。

##### 10.2. 默认应用程序范围。

选择默认应用适用的范围（完全管理、工作资料或个人资料）。 只能选择与所选类型兼容的范围。

<p class="callout info">如果所选的任何范围都不适用于设备的管理模式，则设备将报告不符合要求的详细信息。</p>

##### 10.3. 默认应用程序

可设置为所选类型的默认应用的列表。已安装且符合条件的第一个应用将被设置为默认应用。

<p class="callout warning">如果权限范围包括**完全管理**或**工作资料**，则每个应用也必须在**应用**列表中，并且**安装类型**不能设置为**禁止**。</p>

#### 11. 私钥选择

允许在设备上显示UI，以便用户选择私钥别名，如果**选择私钥规则**中没有匹配的规则。

<p class="callout warning">对于Android P及以下版本的设备，设置此项可能会使企业密钥面临安全风险。</p>

#### 12. 选择私钥规则

控制应用对私钥的访问权限。该规则确定，如果存在，Android 设备策略将授予哪个私钥给指定的应用程序。访问权限的授予方式有两种：一是当应用程序调用 KeyChain.choosePrivateKeyAlias（或其任何重载函数）以请求给定 URL 的私钥别名时；二是对于非 URL 相关的规则（即，如果 urlPattern 未设置、为空字符串或设置为 ".\*"），在 Android 11 及以上版本中，可以直接授予访问权限，从而允许应用程序调用 KeyChain.getPrivateKey，而无需先调用 KeyChain.choosePrivateKeyAlias。当应用程序调用 KeyChain.choosePrivateKeyAlias 时，如果多个 choosePrivateKeyRules 规则匹配，则最后一个匹配的规则将定义要返回的密钥别名。

使用 **添加私钥规则**来创建条目，并使用删除操作来移除它们。

##### 12.1. 私钥别名

用于私钥的别名。

##### 12.2. URL 模式。

用于匹配请求 URL 的 URL 模式。如果未设置或为空，则匹配所有 URL。 此处使用 java.util.regex.Pattern 的正则表达式语法。

##### 12.3. 软件包名称

此规则适用的软件包名称。系统会验证每个应用的签名证书的哈希值，并与 Play 提供的哈希值进行比较。如果未指定任何软件包名称，则该别名将提供给所有调用 KeyChain.choosePrivateKeyAlias 或其任何重载的方法（但必须先调用 KeyChain.choosePrivateKeyAlias，即使在 Android 11 及更高版本上也是如此）。任何具有与此处指定的软件包相同的 Android UID 的应用，在调用 KeyChain.choosePrivateKeyAlias 时都将获得访问权限。

使用 **添加软件包名称** 来添加条目，并使用删除操作来移除它们。

<p class="callout info">要删除一个应用，请点击应用卡片底部的 **垃圾桶** 图标。</p>

<div id="bkmrk-"><div></div></div>

# Kiosk 模式

使用 Kiosk 模式，您可以限制设备的可用功能，仅允许使用单个或多个应用程序。选择单应用或多应用 Kiosk 模式取决于您的业务目标。

在**单应用 Kiosk 模式**下，设备被配置为仅运行一个应用程序，并且不允许最终用户访问设备上的其他应用程序。用户也无法退出该应用程序，使其成为专门用于该特定应用程序的设备。要启用此模式，请在[**应用管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/812b4 "App management")部分中指定一个应用程序，并将**安装类型**设置为**Kiosk**。

在 **多应用模式下的自助服务终端**中，设备可以访问多个应用程序。最终用户可以通过自定义启动器在多个应用程序之间进行切换。要启用此模式，请启用 **自助服务终端自定义启动器**选项。

当启用了极简模式时，您还可以配置最终用户是否可以访问某些系统功能，例如系统设置和状态栏。

##### 极简模式自定义启动器。

确定是否启用此设备定制启动器。如果启用，则将替换主屏幕，并使用一个启动器来锁定设备，仅显示通过 [**应用管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/812b4 "App management") 设置安装的应用程序。已安装的应用程序会按字母顺序显示在单个页面上。

##### 电源按钮操作

设置用户长按电源按钮时，设备在 Kiosk 模式下的行为。

**可用 (默认)**：当设备处于 Kiosk 模式时，用户长按电源按钮会显示电源菜单（例如，关机、重启）。

**已禁用**：当设备处于 Kiosk 模式时，用户长按电源按钮将不会显示电源菜单（例如，关机、重启）。注意：这可能会阻止用户关闭设备。

##### 系统错误提示信息

在设备托管模式下，是否阻止因崩溃或无响应而出现的应用程序系统错误对话框。如果被阻止，系统将强制停止该应用程序，就像用户在UI上选择了“关闭应用程序”选项一样。

**已阻止（默认）**：所有系统错误对话框，例如崩溃和应用程序无响应（ANR）均被阻止。如果已阻止，系统将强制停止该应用程序，就像用户从UI界面关闭应用程序一样。

**已启用**：所有系统错误对话框，例如崩溃和应用程序无响应（ANR）都会显示。

##### 系统导航

指定在 Kiosk 模式下启用的导航功能（例如：主页、概览按钮）。

**禁用（默认）**：主页和概览按钮不可用。

**仅限主页**：仅启用主页按钮。

**已启用**：主页和概览按钮已启用。

##### 状态栏

指定在设备托管模式下，是否禁用系统信息和通知。

**禁用 (默认)**：在设备托管模式下，系统信息和通知将被禁用。

**仅系统**：仅显示系统信息在状态栏上。

**已启用**：在Kiosk模式下，系统信息和通知会显示在状态栏上。注意：要使此策略生效，必须使用`kioskCustomization.systemNavigation`启用设备的Home键。

##### 设备设置

指定是否允许在 Kiosk 模式下使用“设置”应用。

**允许（默认）**：在 Kiosk 模式下允许访问“设置”应用。

**已阻止**：在 Kiosk 模式下，不允许访问“设置”应用。

# 安全

在本部分，您可以配置与安全相关的策略。

#### 安全风险操作

在状态报告中，选择当设备报告安全风险时应执行的操作。

支持的安全风险类型：

**未知操作系统**: Play Integrity API 检测到设备正在运行未知操作系统（basicIntegrity 检查成功，但 ctsProfileMatch 失败）。

**已受损的操作系统**：Play Integrity API 检测到设备正在运行受损的操作系统（basicIntegrity 检查失败）。

**硬件安全评估失败**：Play Integrity API 检测到设备未提供系统完整性的强有力保障，如果设备完整性字段中未显示 "MEETS\_STRONG\_INTEGRITY" 标签。

可用的操作：

**清除企业数据（默认）**：取消注册并擦除工作数据（如果是完全管理的设备，则擦除整个设备；如果是基于配置文件的设备，则仅擦除工作配置文件）。

**不执行任何操作**：保留设备的注册状态，不自动执行任何操作。

当您选择**清除公司数据**时，您还可以配置擦除选项：

**保留出厂重置保护**：擦除设备时，保留设备的出厂重置保护 (FRP) 数据。

**擦除外部存储**：在执行擦除操作时，还可以选择擦除设备的外部存储（例如 SD 卡）。

**擦除 eSIM**：对于公司拥有的设备，此操作会在设备被擦除时删除设备上的所有 eSIM。对于个人拥有的设备，此操作将删除设备上的受管理 eSIM（通过 ADD\_ESIM 命令添加的 eSIM），而不会删除任何个人 eSIM。

#### 1. 最大锁定时长

用户活动到设备锁定的最大时长（单位：秒）。 值为 0 表示无限制。

#### 2. 充电时保持开启。

当设备连接充电器时，以下模式会保持设备开启。使用此设置时，建议清除“**最大锁定时间**，以防止设备在保持开启状态时自动锁屏。

**交流电源适配器**：电源来自交流电源适配器。

**USB 接口**：电源来自 USB 接口。

**无线充电器**：电源为无线。

#### 3. 禁用锁屏。

如果为真，则禁用主显示屏和/或辅助显示屏的锁屏功能。 此策略仅在专用的设备管理模式下支持。

#### 4. 密码要求

密码策略。

使用**配置密码要求**以添加一个或多个密码要求规则。使用**清除所有**以删除所有已配置的密码要求。

密码要求可以使用 **自动**范围（单个要求）或独立的 **设备**/**工作配置**范围。基于复杂度的要求必须与相同范围的基于质量的要求结合使用。

##### 4.1. 适用范围

密码要求的适用范围。

**自动**：范围未明确指定。密码要求适用于工作设备的配置文件，以及完全托管或专用设备上的整个设备。

**设备**：密码要求仅适用于该设备。

**工作资料**：密码要求仅适用于工作资料。

##### 4.2. 密码历史记录长度

密码历史记录长度。设置此项后，用户将无法输入与历史记录中任何密码相同的密码。如果值为 0，则表示没有限制。

##### 4.3. 最大允许的错误密码次数，超过次数将触发设备擦除。

设备解锁密码错误次数限制。设置为 0 表示无限制。

##### 4.4. 密码过期超时时间（天）。

此设置会强制用户定期更新密码，具体时间间隔为指定的天数。

##### 4.5. 强制密码解锁。

使用强认证方式（密码、PIN 码、图案）解锁设备或工作资料后，设备可以在指定时间内使用其他认证方式（例如指纹、信任代理、面部识别）进行解锁。指定时间过后，只能使用强认证方式解锁设备或工作资料。

**设备默认值**：超时时间已设置为设备的默认值。

**每天**：超时时间已设置为24小时。

##### 4.6. 密码强度

所需的密码强度。

**复杂度高**：定义高复杂度密码的范围：在 Android 12 及更高版本上：密码不能包含重复（4444）或有序（1234、4321、2468）的数字序列，长度至少为 8；字母密码长度至少为 6；字母数字密码长度至少为 6。

**中等复杂度**：定义中等密码复杂度范围为：PIN 码不允许包含重复数字（如 4444）或有序数字序列（如 1234、4321、2468），长度至少为 4；仅包含字母的密码，长度至少为 4；包含字母和数字的密码，长度至少为 4。

**复杂度低**：定义低密码复杂度范围为：模式；PIN 码不允许包含重复数字（如 4444）或有序数字序列（如 1234、4321、2468）。

**无**：未设置密码要求。

**弱**：设备必须采用至少一种低安全级别的生物识别技术进行安全保护。这包括能够识别个人身份的技术，其安全性大致相当于一个3位数的PIN码（误识别率低于1000分之一）。

**任意**：需要设置密码，但密码内容没有限制。

**数字**：密码必须包含数字字符。

**复杂数字**：密码必须包含数字字符，且不能包含重复数字（如4444）或有序数列（如1234、4321、2468）。

**字母**：密码必须包含字母（或符号）字符。

**字母数字**：密码必须同时包含数字和字母（或符号）字符。

**复杂**：密码必须满足 passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbols 等中指定的最低要求。例如，如果 passwordMinimumSymbols 的值为 2，则密码必须包含至少两个特殊字符。

##### 4.7. 最小长度

密码最小长度。 值为 0 表示无限制。

##### 4.8. 最小字母数。

密码所需最小字母数。

##### 4.9. 密码所需最小小写字母数。

密码所需最小小写字母数。

##### 4.10. 密码所需最小大写字母数。

密码所需最小大写字母数量。

##### 4.11. 密码所需最小非字母字符数。

密码所需最小非字母字符数（包括数字和符号）。

##### 4.12. 最小数字位数。

密码所需的最少数字位数。

##### 4.13. 最少符号数。

密码中至少需要输入的字符数量。

##### 4.14. 统一锁定。

控制是否允许为设备和工作资料启用统一锁定，仅适用于运行 Android 9 及更高版本的、具有工作资料的设备。对其他设备无效。

**允许统一锁定**：允许为设备和工作资料设置统一的锁定方式。

**强制使用独立的工作资料锁定**：需要为工作资料设置独立的锁定方式。

#### 5. 恢复出厂设置功能已禁用。

从设置中恢复出厂设置功能已禁用。仅适用于完全管理的设备。

#### 6. 恢复出厂设置保护。

用于设备恢复出厂设置保护的管理员电子邮件地址。当设备发生未经授权的出厂重置时，需要其中一位管理员使用Google帐户的电子邮件和密码登录以解锁设备。如果未指定管理员，则设备将不会提供恢复出厂设置保护功能。仅适用于完全管理的设备。

**管理员邮箱**：使用 **启用恢复出厂设置保护** 功能开始配置管理员。然后，使用 **添加管理员邮箱** 添加地址，并使用删除操作移除它们。

#### 7. 锁屏功能

可禁用锁屏功能。

##### 7.1. 禁用所有。

禁用所有当前和未来的锁屏自定义设置。

##### 7.2. 禁用摄像头。

禁用安全锁屏（例如 PIN 码）上的摄像头。

##### 7.3. 禁用通知。

禁用在安全锁屏界面显示所有通知。

##### 7.4. 禁用未经过审查的通知。

禁用在安全锁屏界面上的未审查通知。

##### 7.5. 忽略信任代理的状态。

忽略安全锁屏上的信任代理状态。

##### 7.6. 禁用指纹识别。

禁用指纹传感器，适用于安全锁屏界面。

##### 7.7. 禁止在通知中输入文本。

禁止在安全锁屏通知中输入文本。

##### 7.8. 禁用面部识别。

禁用面部识别功能，适用于安全锁屏。

##### 7.9. 禁用虹膜识别功能。

禁用虹膜认证功能，仅限安全锁屏界面。

##### 7.10. 禁用所有生物识别认证。

禁用所有安全锁屏上的生物识别认证。

##### 7.11. 禁用所有快捷方式。

禁用 Android 14 及以上版本中安全锁屏上的所有快捷方式。

# 多媒体

在本部分，您可以配置摄像头/麦克风的行为、USB数据访问、打印以及显示相关的限制。

#### 1. 摄像头访问权限。

控制摄像头的使用权限，以及用户是否可以启用/禁用摄像头访问功能（Android 12 及更高版本）。通常，禁用摄像头会影响整个设备（对于完全管理的设备），仅影响工作资料中的设备（对于使用工作资料的设备）。

**用户选择（默认）**：默认设备行为。摄像头可用，并且（Android 12 及更高版本）用户可以切换摄像头访问权限。

**禁用**：所有摄像头均被禁用（完全管理：设备范围内；工作配置文件：仅适用于工作配置文件应用）。在受管理范围内，摄像头访问权限的开关设置无效。

**已启用**：摄像头可用。在完全管理的Android 12+设备上，用户无法切换摄像头访问权限。在其他设备/版本上，其行为类似于用户选择。

#### 2. 麦克风访问权限

在完全管理的设备上，可控制麦克风的使用，以及用户是否可以访问麦克风访问开关（Android 12 及更高版本）。此设置对非完全管理的设备无效。

**用户选择（默认）**：默认行为。麦克风可用，并且（Android 12 及更高版本）用户可以启用或禁用麦克风访问。

**禁用**：麦克风已禁用（全局设置）。启用或禁用麦克风访问的开关将不起作用。

**强制**：麦克风可用。在 Android 12 及更高版本中，用户无法切换麦克风访问权限。在 Android 11 及更低版本中，其行为类似于用户的选择。

#### 3. USB 数据访问

控制哪些文件和/或数据可以通过 USB 传输。仅适用于公司拥有的设备。

**禁止文件传输（默认）**：禁止文件传输，但仍允许其他 USB 数据连接（例如鼠标/键盘）。

**禁止数据传输**：禁止所有类型的 USB 数据传输（Android 12 及更高版本，且使用 USB HAL 1.3 及更高版本）。如果不支持，设备将回退到“禁止文件传输”模式。

**允许数据传输**：允许所有类型的 USB 数据传输。

#### 4. 打印

是否允许打印 (Android 9+)。

**允许（默认）**：允许打印。

**禁止**：不允许打印（Android 9及更高版本）。

#### 5. 屏幕亮度设置

控制屏幕亮度模式，并（可选）设置亮度值。

屏幕亮度模式：

**用户选择（默认）**：允许用户自定义屏幕亮度。

**自动**：亮度自动调整，用户无法手动更改。 您仍然可以设置一个亮度值，该值将用作自动调整的一部分（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

**固定**：亮度设置为配置的值，用户无法手动更改。 需要设置亮度值（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

屏幕亮度：固定：亮度设置为配置值，用户无法手动更改。需要设置亮度值（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

值范围为 1 到 255（1 为最低，255 为最高）。 值 0 表示未设置亮度值。

#### 6. 屏幕超时设置。

控制用户是否可以配置屏幕超时设置，以及当强制启用时，超时的时间长度。

该**屏幕超时模式**字段允许选择用户自定义或强制执行的模式。

**用户自定义（默认）**：允许用户配置屏幕超时设置。

**强制**：屏幕超时设置为配置值，用户无法修改（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

屏幕超时：

超时时长，单位为秒。该值必须大于 0。如果该值大于**最大锁定时间**，系统可能会将其限制，并报告不符合要求。

#### 7. 禁用屏幕截图功能。

是否已禁用屏幕截图功能。

#### 8. 禁用音量调节。

是否已禁用主音量调节。

#### 9. 禁用物理介质挂载。

是否已禁用挂载物理外部存储设备。

# 蜂窝网络

在本部分，您可以配置与移动网络相关的策略。

#### 1. 飞行模式

是否允许用户启用/禁用飞行模式。

**用户选择（默认）**：允许用户启用或禁用飞行模式。

**禁用**：飞行模式已禁用。用户不允许启用或禁用飞行模式。仅在 Android 9 及更高版本中支持。

#### 2. 蜂窝网络 2G

是否允许用户切换蜂窝网络 2G 设置。

**用户选择（默认）**：允许用户开启或关闭蜂窝网络 2G 功能。

**禁用**：蜂窝网络 2G 已禁用。用户不允许通过设置开启蜂窝网络 2G 功能。仅支持 Android 14 及以上版本。

#### 3. 覆盖 APN 设置。

启用或禁用覆盖 APN 设置。 启用后，仅使用配置的覆盖 APN，忽略设备上所有其他 APN。

**禁用（默认）**：所有配置的 APN 设置都保存在设备上，但处于禁用状态，不生效。 设备上的所有其他 APN 仍然可用。

**已启用**：仅使用覆盖的 APN 设置，忽略所有其他 APN 设置。 此设置仅可在完全管理的 Android 10 及以上版本的设备上配置。

#### 4. APN 设置

配置一个或多个APN条目。使用**添加APN**来创建条目，并使用**删除APN**来删除它。

每个APN条目都包含必填字段：

**APN类型：**选择一个或多个用于此APN的网络类型（可用性取决于管理模式和Android版本）。

**APN 名称**：您的运营商提供的 APN 标识符。

**显示名称**：在界面中显示的友好名称。

可选的 APN 字段：

**认证类型**，**用户名**，**密码**：配置运营商认证（如果需要）。

**协议**和**漫游协议**：IP协议配置。

**网络类型**：限制APN可使用的蜂窝技术（例如 LTE/5G NR）。

**代理服务器地址** 和 **代理服务器端口**：用于数据流量的 HTTP 代理服务器（如果适用）。

**MMS 代理服务器地址**，**MMS 代理服务器端口**，**MMSC（MMS 中心 URI）**：与 MMS 相关的设置。

**数字运营商标识符（MCC+MNC）** 以及 **运营商ID**：用于标识运营商的字段。

**“始终开启”设置**：用于确定是否应始终保持此APN激活的PDN会话。Android 15及以上版本支持此功能。

**MVNO类型**：移动虚拟网络运营商标识类型。

**MTU IPv4** 和 **MTU IPv6**：IPv4/IPv6 路由的最大传输单元。Android 13 及以上版本支持。

#### 5. 广播消息配置已禁用。

是否已禁用广播消息配置。

#### 6. 移动网络配置已禁用。

是否已禁用移动网络配置。

#### 7. 已禁用漫游数据。

是否已禁用漫游数据服务。

#### 8. 禁用外呼电话。

是否禁用外呼电话。

#### 9. 禁用短信。

是否已禁用发送和接收短信功能。

#### 10. 5G网络切片配置。

配置首选网络服务设置，以启用企业级5G网络切片。您可以设置最多5个企业级切片，并将应用程序分配到特定网络，以优化流量路由。

##### 10.1. 默认首选网络

用于未在应用程序列表中显示的应用程序，或如果应用程序的**首选网络**未设置的默认首选网络 ID。必须为指定的网络 ID 配置一个设置（除非设置为**无首选网络**）。

注意：一些关键应用，例如 **com.google.android.apps.work.clouddpc** 和 **com.google.android.gms**，已从此默认设置中排除。

##### 10.2. 网络服务配置。

使用 **添加网络配置** 来创建切片配置。 您最多可以添加 5 个配置。 每个配置包含：

**首选网络ID（自动分配）**：网络ID将自动分配，且无法修改。

**降级为默认连接**：是否允许降级到设备的全局默认网络。如果禁止，当5G专网不可用时，应用程序将无法访问互联网。

**不匹配的网络**：是否允许受此配置影响的应用程序使用除首选服务以外的网络。如果设置为**禁止**，则**降级为默认连接**也必须设置为**禁止**。需要 Android 14 或更高版本。

# 网络设置

在本部分，您可以配置与网络相关的策略。

<p class="callout info">Wi-Fi 配置可以通过系统进行配置和管理，具体方式为**Wi-Fi 配置**。根据**配置 Wi-Fi**中设置的值，用户可能对添加/修改网络具有有限的或完全没有的控制权限。</p>

## 设备的无线电状态

#### 1. Wi-Fi 状态

控制当前Wi-Fi状态，并允许用户更改其状态。

**用户选择（默认）**：允许用户启用/禁用Wi-Fi。

**已启用**：Wi-Fi 已开启，且用户不允许关闭（Android 13 及更高版本）。

**已禁用**：Wi-Fi 已关闭，且用户不允许开启（Android 13 及更高版本）。

#### 2. 最小 Wi-Fi 安全级别

设备可连接的 Wi-Fi 网络的最低安全级别。适用于 Android 13 及以上版本的设备，以及公司拥有的设备上的完全管理设备和工作资料。

**开放网络（默认）**：设备可以连接所有类型的 Wi-Fi 网络。

**个人网络**：禁止使用开放式 Wi-Fi 网络，至少需要个人级别安全保护（例如 WPA2-PSK）。

**企业网络**：要求使用企业级EAP网络；禁止使用低于此安全级别的Wi-Fi网络。

**192位企业级网络**：要求使用192位企业级网络；安全级别最高。

#### 3. 超宽带 (UWB) 状态

控制超宽带设置的状态，以及用户是否可以将其开启或关闭。

**用户选择（默认）**：允许用户开启或关闭超宽带功能。

**禁用**：超宽带功能已禁用，用户无法通过设置进行开启或关闭（Android 14 及以上版本）。

## 设备连接管理

#### 4. 蓝牙共享

允许蓝牙共享。

**允许：** 允许蓝牙共享（默认在完全管理的设备上启用，Android 8+）。

**不允许：** 禁用蓝牙共享（默认在工作配置中使用，Android 8+）。

#### 5. 配置 Wi-Fi

控制 Wi-Fi 配置权限。根据所选选项，用户可以完全、有限或完全控制 Wi-Fi 网络的配置。

**允许配置 Wi-Fi（默认）**：允许用户配置 Wi-Fi。

**禁止添加 Wi-Fi 配置**：禁止添加新的 Wi-Fi 配置。用户可以切换到已配置的网络（Android 13 及以上版本；完全管理且为公司拥有的工作资料）。

**禁止配置 Wi-Fi**：禁止配置 Wi-Fi 网络。对于完全管理的设备，此功能会移除用户配置的网络，仅保留通过 **Wi-Fi 配置** 配置的网络。对于公司拥有的工作资料，现有网络不受影响，但用户无法添加、删除或修改 Wi-Fi 网络。

<p class="callout info">当禁用 Wi-Fi 配置且设备在启动时无法连接时，系统可能会显示“**网络应急通道**”，以便用户暂时连接并刷新策略。</p>

#### 6. Wi-Fi 直连设置

控制配置和使用 Wi-Fi 直连设置。仅适用于运行 Android 13 及以上版本的公司拥有的设备。

**允许 (默认)**：允许用户使用 Wi-Fi 直连。

**禁止**：禁止用户使用 Wi-Fi 直连。

#### 7. 共享网络设置

控制共享网络设置。根据设置的值，用户可能被部分或完全禁止使用不同的共享网络方式。

**允许所有共享网络（默认）**：允许配置和使用所有类型的共享网络。

**禁止Wi-Fi共享**：禁止用户使用Wi-Fi共享功能（仅适用于公司拥有的Android 13及以上版本的设备）。

**禁止所有共享连接**：禁止所有类型的共享连接（包括完全管理的设备和公司拥有的工作配置）。

#### 8. Wi-Fi SSID 策略

设备可以连接的 Wi-Fi SSID 限制（这不会影响设备上可以配置的网络）。仅适用于运行 Android 13 及更高版本的公司拥有的设备。

**SSID 禁用列表（默认）**：设备无法连接到任何在其 SSID 列表中出现的 Wi-Fi 网络，但可以连接到其他网络。

**允许的SSID列表**：设备只能连接到列表中指定的SSID。SSID列表不能为空。

使用 **添加SSID** 按钮以添加条目。根据所选策略类型，此列表会被解释为允许的SSID或禁止的SSID。

在策略编辑器界面中，SSID 列表分别标记为 **允许的 Wi-Fi SSID**（用于白名单）和 **禁止的 Wi-Fi SSID**（用于黑名单）。

#### 9. Wi-Fi漫游设置

配置 Wi-Fi 漫游模式，针对每个 SSID。使用 **添加 Wi-Fi 漫游设置** 来创建条目。

每个条目包含：

**SSID**：漫游设置适用的无线网络名称（必填）。

**Wi-Fi 漫游模式**：默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本，并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。

## 网络限制：默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本，并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。

#### 10. 蓝牙已禁用。

蓝牙是否已禁用。

#### 11. 禁用蓝牙通讯录共享。

是否已禁用蓝牙通讯录共享。

#### 12. 蓝牙配置已禁用。

是否已禁用蓝牙配置。

#### 13. 已禁用网络重置。

是否已禁用重置网络设置。

#### 14. 已禁用出站信令。

是否已禁用使用NFC从应用程序传输数据的功能。

## VPN

#### 15. 始终在线 VPN 应用

指定一个始终在线 VPN 的包名，以确保来自指定管理的应用程序的数据始终通过配置的 VPN 连接。

<p class="callout info">注意：此功能需要部署支持“始终在线”和按应用 VPN 功能的 VPN 客户端。</p>

#### 16. VPN 锁定。

当 VPN 未连接时，禁止网络连接。

#### 17. VPN 配置已禁用。

是否已禁用 VPN 配置。

## 代理和网络服务。

#### 18. 优先网络服务。

是否启用工作配置文件的优先网络服务。例如，组织可能与运营商达成协议，通过专用于企业使用的运营商网络服务（例如，5G网络的企业专享通道）发送工作数据。对完全托管的设备没有影响。

**禁用**：工作配置文件的首选网络服务已禁用。

**已启用**：工作配置文件的首选网络服务已启用。

<p class="callout info">如果您使用企业网络切片，还请在 **“移动网络切片配置”**下配置 **“蜂窝”**策略，并使用其 **“首选网络”**设置将应用分配到切片。</p>

#### 19. 推荐的全局代理设置。

一个与网络无关的全局 HTTP 代理。通常，代理应在 Wi-Fi 配置中按网络进行配置。全局代理可能适用于某些特殊配置，例如一般的内部过滤。全局代理仅为建议，某些应用程序可能会忽略它。

**已禁用**

**直连代理**

**自动配置代理 (PAC)**

##### 19.1. 主机

直接代理的主机。

##### 19.2. 端口。

直接代理的端口。

##### 19.3. PAC URI。

用于配置代理的 PAC 脚本的 URI。

##### 19.4. 排除的主机。

对于直连代理，这里配置的是跳过代理的主机。主机名可以包含通配符，例如 **\*.example.com**。

使用 **添加排除主机** 功能以添加条目（仅适用于直连代理）。

## Wi-Fi 配置

定义系统将应用于设备的Wi-Fi网络配置。使用**添加Wi-Fi配置**来创建条目，并使用删除操作来移除它。

#### 20. Wi-Fi 配置字段

每个配置包含：

**配置名称**：必填。

**SSID**：必填。

**自动连接**：当设备在范围内时，是否自动连接到该网络。

**快速切换**：是否允许客户端尝试使用快速切换（IEEE 802.11r-2008）功能连接到该网络。

**隐藏的SSID**：是否允许广播该SSID。

**MAC地址随机化模式**：硬件或自动（Android 13及以上版本）。

##### 20.1. 安全性

Wi-Fi 安全选项：

**WEP-PSK**：WEP（预共享密钥）。

**WPA‑PSK**：WPA/WPA2/WPA3-个人模式（预共享密钥）。

**WPA‑EAP**：WPA/WPA2/WPA3-企业版（可扩展身份验证协议）。

**WPA3 192 位模式**：仅允许使用 WPA3 192 位模式的 WPA‑EAP 网络。

##### 20.2. 密码短语（预共享密钥）

当安全模式为 **WEP-PSK** 或 **WPA-PSK** 时显示。需要输入密码。

##### 20.3. EAP 方法（企业版）

当安全模式设置为 **WPA‑EAP** 或 **WPA3 192 位模式** 时显示。选择一种 EAP 外部方法：

**EAP‑TLS**

**EAP‑TTLS**

**PEAP**

**EAP‑SIM**

**EAP‑AKA**

##### 20.4. 第二阶段身份验证

用于隧道传输外部方法（如**EAP‑TTLS**和**PEAP**）。

**MSCHAPv2**

**PAP**

##### 20.5. 用户提供的EAP凭据。

启用后，系统会自动为每个用户在设备上应用EAP凭据。您可以在“**用户**”部分配置用户凭据。

##### 20.6. 客户端证书

对于 **EAP‑TLS**，您可以分配一个用于 Wi-Fi 身份验证的客户端证书。 更多信息请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。

如果已分配证书，您可以使用**打开证书**进行查看，或使用**更改证书**选择不同的证书。

或者，您可以指定**客户端证书密钥对别名**，它引用存储在 Android 密钥链中的客户端证书，并允许进行 Wi-Fi 认证。

<p class="callout info">如果同时设置了**客户端证书**和**客户端证书密钥对别名**，则密钥对别名将被忽略。</p>

##### 20.7. 身份验证

用户身份。对于隧道传输的外部协议（PEAP、EAP-TTLS），此项用于在隧道内部进行身份验证，而**匿名身份**用于隧道外部的EAP身份验证。对于非隧道传输的外部协议，此项用于EAP身份验证。

##### 20.8. 匿名身份

仅适用于隧道协议，此项表示向外部协议呈现的用户身份。

##### 20.9. 密码

用户密码。如果未指定，则默认为提示用户输入。

##### 20.10 服务器 CA 证书。

用于验证主机证书链的 CA 证书列表。至少必须有一个 CA 证书匹配。如需更多信息，请参阅 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。

使用 **添加服务器 CA 证书** 功能，可以添加条目，并使用删除操作移除它们。

##### 20.11. 域名后缀匹配

服务器域名约束列表。 这些条目用于与身份验证服务器证书的替代主题名称的 DNS 名称进行后缀匹配。

# 系统

在本部分，您可以配置与系统相关的策略。

#### 1. 最低 API 级别

允许的最低 Android API 级别。

#### 2. 加密策略

是否已启用加密。

**默认**：此值将被忽略，即不需要加密。

**已启用，无需密码**：需要加密，但启动时无需密码。

**已启用密码**：需要加密，且启动时需要密码。

#### 3. 自动日期和时间

是否已在企业拥有的设备上启用自动日期、时间和时区。

**用户选择（默认）**：自动日期、时间和时区设置由用户自行选择。

**强制**：在设备上强制启用自动日期、时间和时区设置。

#### 4. 开发者设置

控制对开发者设置的访问：包括开发者选项和安全启动。

**禁用 (默认)**：禁用所有开发者设置，并阻止用户访问这些设置。

**允许**：允许所有开发者设置。用户可以访问并根据需要配置这些设置。

#### 5. 通用标准模式。

“通用标准模式”控制：安全标准，定义于《信息技术安全评估通用标准》。启用“通用标准模式”会增强设备上的某些安全功能（例如：蓝牙长期密钥的 AES-GCM 加密、某些网络证书的额外验证以及加密策略完整性检查）。“通用标准模式”仅适用于运行 Android 11 或更高版本的公司拥有的设备。警告：启用“通用标准模式”会强制执行严格的安全模型，通常仅适用于高度敏感的组织。标准设备使用可能会受到影响；仅在必要时才启用。

**已禁用（默认）**：禁用“通用标准模式”。

**启用**：启用通用标准模式。

#### 6. 内存标记扩展 (MTE)

启用/禁用设备上的内存标记扩展 (MTE)。

**用户选择（默认）：**用户可以选择在设备上启用或禁用 MTE（如果设备支持）。

**强制**：MTE 已启用，用户不允许更改此设置（Android 14 及以上版本；仅在完全管理的设备和公司拥有的设备上的工作资料中支持）。

**已禁用**：MTE 已禁用，用户不允许修改此设置（Android 14 及以上版本；仅在完全管理的设备上支持）。

#### 7. 内容保护

是否启用内容保护功能（该功能会扫描潜在的恶意应用）。仅在 Android 15 及更高版本中支持。

**禁用（默认）**：内容保护已禁用，用户无法修改此设置。

**强制**：内容保护已启用，用户无法修改此设置（适用于 Android 15 及更高版本）。

**用户选择**：内容保护不由策略控制，用户可以选择。（适用于 Android 15 及更高版本）

#### 8. 辅助内容

控制是否允许将辅助内容发送到特权应用，例如辅助应用（例如，Circle to Search）。辅助内容包括屏幕截图以及有关应用的的信息，例如包名。此功能在 Android 15 及更高版本中受支持。

**允许 (默认)**：允许将辅助内容发送到特权应用（Android 15 及更高版本）。

**禁止**：辅助内容无法发送到特权应用（Android 15 及更高版本）。

#### 9. 创建窗口时，禁用此功能。

是否禁用创建非应用程序窗口。 禁用此选项可防止以下系统UI显示：通知和悬浮窗、电话活动（如来电）、重要电话活动（如通话中）、系统警报、系统错误和系统覆盖层。

#### 10. 网络逃生通道

是否启用网络逃生通道。如果设备启动时无法连接到网络，逃生通道会提示用户暂时连接到网络以刷新设备策略。应用策略后，临时网络连接将被清除，设备将继续启动。这可防止在设备策略中没有可用的网络连接时，设备无法连接到网络，尤其是在设备以应用锁定模式启动或用户无法访问设备设置时。

#### 11. 默认活动。

用于处理与特定意图过滤器匹配的意图的默认活动列表。例如，此功能允许 IT 管理员选择哪个浏览器应用程序自动打开网页链接，或使用哪个启动器应用程序来响应主按钮的点击。

使用 **添加默认活动**来创建条目。在每个条目中，使用 **添加操作**和 **添加类别**来构建意图过滤器。

##### 11.1. 接收器活动

应设为默认处理程序的活动。这应该是一个 Android 组件名称，例如 com.android.enterprise.app/.MainActivity。或者，该值可以是应用程序的包名，Android 设备策略会从中选择一个合适的活动来处理该意图。

##### 11.2. 操作

过滤器中需要匹配的意图操作。如果过滤器中包含任何操作，则意图的操作必须是这些值之一才能匹配。如果没有包含任何操作，则忽略意图的操作。

##### 11.3. 类别

过滤器中需要匹配的意图类别。一个意图包含它所需要的类别，所有这些类别都必须包含在过滤器中才能匹配。换句话说，向过滤器添加一个类别，除非该类别在意图中被指定，否则不会影响匹配。

#### 12. 允许的输入方法。

指定允许的输入方式。

**允许的全部方式**：未应用任何限制。所有输入方式均允许。

**仅限系统**：仅允许使用系统内置的输入方式。

**仅限系统自带及提供的**：仅允许使用系统内置和提供的输入方式。

##### 12.1. 允许的输入方式

允许使用的输入法包名。仅当“**允许的输入方式**”设置为“**仅系统自带和已提供**”时生效。

使用 **添加输入法**功能，可以添加条目，并通过删除操作移除它们。

#### 13. 允许使用的辅助功能服务。

允许指定的辅助功能服务。

**允许使用的所有**：任何辅助功能服务都可以使用。

**仅限系统**：仅允许使用系统自带的辅助功能服务。

**仅限系统**：仅允许使用系统自带以及提供的辅助功能服务。

##### 13.1. 允许使用的辅助功能服务。

允许使用的辅助功能服务。仅在**允许系统和提供的辅助功能**设置为**仅限系统和提供的**时生效。

使用**辅助功能服务**，可以添加条目，并使用删除操作将其移除。

#### 14. 系统更新策略

用于管理系统更新的配置。

**默认**：遵循设备的默认更新行为，通常需要用户接受系统更新。

**自动**：在有可用更新时，立即自动安装。

**窗口模式**：在设定的每日维护时段内自动安装更新。 这也会将 Play 应用配置为在维护时段内进行更新。 强烈建议在设备端使用此功能，因为这是唯一可以确保始终在后台运行的应用能够通过 Play 进行更新的方法。

**延迟**：可以将自动安装延迟，最长可达 30 天。

##### 14.1. 维护窗口（仅限窗口模式）

当 **系统更新策略** 设置为 **窗口模式** 时，您可以使用 **从** 和 **到** 字段来定义每日维护时间。

##### 14.2. 系统更新冻结时间段

每年重复的OTA系统更新暂停期，用于固定设备上运行的操作系统版本。为了防止设备无限期地被锁定，每个暂停期之间必须间隔至少60天。每个暂停期不得超过90天。

使用 **添加系统更新暂停期** 功能来创建条目。

#### 15. 凭证提供商的默认设置。

控制哪些应用程序在 Android 14 及更高版本上被允许作为凭证提供程序。

**不允许（默认）**：未在应用程序中指定的 credentialProviderPolicy 的应用程序，不允许作为凭证提供程序。

**不允许（默认）**：未指定 credentialProviderPolicy 的应用程序，不允许作为凭证提供程序，除非是 OEM 默认的凭证提供程序。

# 位置和地理围栏

 此面板会分组显示控制设备位置报告、位置执行和地理围栏定义的 Android 策略设置。当您希望 Cerberus Enterprise 收集设备位置或检测设备进入或离开已配置区域时，请使用它。

## 位置报告

### 报告位置

 启用设备地理位置报告。通过此设置收集的位置数据由[**仪表盘位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/93db8 "Dashboard location map")、设备概览位置历史记录和地理围栏处理使用。

<p class="callout info"> 在未完全管理的设备上，位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。 </p>

### 定位模式

 控制公司拥有的设备位置设置。

- **用户选择**：定位服务不受策略限制。
- **强制**：设备已启用定位服务。
- **已禁用**：设备上已禁用定位服务。

### 分享位置已禁用

 禁用工作应用的位置共享。 在拥有者设备上，这会影响工作资料。 在完全管理的设备上，它会禁用整个设备的位置，并覆盖设备定位模式。

## 活动地理围栏的自动行为

 活动地理围栏需要位置报告才能工作。至少有一个地理围栏处于活动状态时，Cerberus Enterprise 会自动保持相关的定位设置一致。

- **报告位置**在活动地理围栏存在时强制开启。
- **位置模式**被强制为**强制**。
- **位置共享已禁用**。

 如果您尝试禁用**报告位置**，同时一个或多个地理围栏处于活动状态，Cerberus Enterprise 会显示一个确认对话框。 如果您继续，则策略中所有活动的地理围栏将被停用。

## 地理围栏列表

 一项策略最多可以包含 **10 个地理围栏**。地理围栏名称在策略内必须是唯一的。

 使用 **添加地理围栏** 以创建新的条目。每个地理围栏包含以下主要字段：

- **名称**：必需且唯一。
- **纬度** 和 **经度**：区域的中心。
- **半径 (米)**：必需，从 **100** 到 **10000** 米。
- **描述**: 管理员可填写的可选备注。
- **报告进入**和**报告退出**：选择需要生成的过渡事件。
- **启用**：启用或禁用地理围栏而不删除它。

<p class="callout info">至少一个**进入报告**或**离开报告**必须为每个地理围栏启用。</p>

## 地图编辑工具

 每个地理围栏卡片包含该区域的地图预览。您可以从地图或数值字段编辑几何图形。

- 点击地图可在区域编辑解锁时移动地理围栏中心。
- 使用 **当前位置** 按钮将地图定位到您的当前浏览器位置。
- 使用 **重新定位地图** 按钮以恢复该地理围栏的首选视图范围。
- 使用锁定按钮以防止意外更改地理围栏的几何形状。

## 地理围栏数据的位置

 可以在 Android [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview")页面，位于位置面板的**地理围栏**选项卡中。该选项卡会显示带有过滤工具和转换列表的专用地图。

# 用户管理

##### 添加禁用用户

是否禁用添加新用户和配置文件的功能。对于 `managementMode` 为 **设备所有者** 的设备，此字段将被忽略，用户将永远无法添加或删除用户。

##### 修改已禁用的帐户。

是否禁用添加或删除帐户的功能。

##### 已禁用用户凭据配置。

是否已禁用配置用户凭据。

##### 移除已禁用的用户。

是否禁用移除其他用户的权限。

##### 设置用户图标禁用。

是否禁用更改用户图标功能。

##### 设置壁纸功能已禁用。

是否已禁用更改壁纸功能。

##### 工作账户配置的身份验证

控制用户在工作账户设置期间的身份验证方式。此选项仅适用于使用受管理 Google 域名 (Google Workspace) 提供的 Android 企业环境。

在设备设置/注册过程中，此策略会影响是否需要工作账户登录，但 Google 管理控制台中的“**使用 Google 身份验证**”设置以及注册令牌类型仍然可能需要身份验证。

对于已注册的设备，此策略仅在设备由管理的 Google Play 账户管理时才生效（即，未通过 **使用 Google 身份验证注册** 进行注册时）。

有关更多详细信息和故障排除，请参阅 [**使用 Google 身份验证注册**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google "Authenticate Using Google enrollment")。

##### 被阻止的账户类型

用户无法管理的账户类型。此选项可防止设备用户添加未经批准的账户。

使用 **添加阻止的账户类型**，以添加一种或多种账户类型。

每个条目都有一个**账户类型**字段（必填）。请输入一个字符串，例如**com.google**。使用删除操作来删除一个条目。

# 个人使用。

在[配置用于工作和个人使用的公司设备](https://enterprise.cerberusapp.com/docs/books/8efb1/page/eb163 "Company-owned devices for work and personal use")时，您可以设置一些规则，以限制用户在工作资料之外如何使用该设备进行个人用途。

<p class="callout info">本部分内容仅适用于带有工作配置的公司设备。对完全受管设备或个人设备无效。</p>

<div id="bkmrk-"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>#### 1. 相机已禁用。

是否已禁用相机。

#### 2. 禁止截屏。

是否已禁用屏幕截图功能。

#### 3. 最多可休假天数。

控制工作模式的持续关闭时长。

#### 4. 蓝牙共享

控制是否允许在公司设备的工作资料中使用蓝牙共享功能。

#### 5. 私有空间

是否允许设备上创建私有空间。

#### 6. 应用商店模式

此模式控制哪些应用允许或阻止用户在个人资料的 Google Play 商店中访问。

**黑名单（默认）**：所有应用都可用，如果某个应用不应该在设备上，则需要在“**应用**”部分中明确标记为**阻止**。

**白名单**：仅允许在“**应用程序**”部分中明确指定的，且“**安装类型**”设置为**可用**的应用程序安装到个人配置文件中。

#### 7. 应用程序

此列表显示必须允许或阻止在个人配置文件中的应用程序。此列表内容的行为取决于 **“Play 商店模式**” 的设置。

要从 Google Play 商店添加新的应用程序，请点击 **+** 按钮。

##### 7.1. 安装类型

个人配置文件应用程序可以具有的安装行为类型。

**已阻止**：该应用已被阻止，无法在个人配置文件中安装。

**可用**：该应用可在个人配置文件中安装。

#### 8. 被阻止的账户类型

用户无法管理的账户类型。此选项可防止设备用户在其个人资料中添加未经批准的账户。

<div id="bkmrk--0"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>

# 跨配置文件策略

仅适用于具有个人和工作配置文件的设备。

##### 跨配置文件的复制/粘贴。

是否可以将从一个配置文件（个人或工作）复制的文本粘贴到另一个配置文件中。

**禁止 (默认)**：防止用户将从工作配置文件复制的文本粘贴到个人配置文件中。可以从个人配置文件复制的文本可以粘贴到工作配置文件中。

**允许**：无论从哪个配置文件复制的文本，都可以粘贴到另一个配置文件中。

##### 跨配置文件数据共享

此功能控制是否允许从一个配置文件（个人或工作）中的数据与另一个配置文件中的应用程序共享。具体而言，它控制通过 intent 进行的简单数据共享。其他跨配置文件的通信渠道的管理，例如联系人搜索、复制/粘贴，  
或连接的工作和个人应用程序，需要单独进行配置。

**禁止**：阻止个人配置文件和工作配置文件之间的数据共享。

**工作配置文件与个人配置文件之间的数据共享被禁用（默认设置）**：防止用户将工作配置文件中的数据共享到个人配置文件中的应用程序。个人数据可以与工作应用程序共享。

**允许**：来自工作配置文件或个人配置文件的任何数据都可以与另一个配置文件共享。

##### 工作配置文件小部件的默认设置。

工作配置文件小部件的默认行为。如果某个应用程序未定义小部件策略，则采用此处设置的默认值。

##### 跨配置文件的应用程序功能。

控制是否允许个人配置文件中的应用程序调用工作配置文件中的应用程序功能。 需要 Android 16 或更高版本。

<p class="callout info">此设置取决于策略级别的 **应用程序功能** 选项（位于应用程序管理部分）。如果将“应用程序功能”设置为 **禁止**，则 API 将拒绝设置为 **允许**的跨配置文件应用程序功能。</p>

##### 个人资料中的工作联系人

工作配置文件中的联系人是否可以在个人配置文件联系人搜索和来电显示中显示。

**允许（默认）**：允许工作配置文件中的联系人出现在个人配置文件中。

**禁用**：阻止个人应用程序访问工作配置文件中的联系人，以及查找工作联系人。

**不允许，系统应用除外**：防止大多数个人应用程序访问工作配置文件的联系人，但允许设备制造商默认的拨号、短信和联系人应用程序（Android 14 及更高版本）。

当在个人资料中配置工作联系人时，您可以选择性地定义一个 **例外应用包名** 列表。根据所选模式，这些例外项将作为白名单或黑名单来管理个人应用程序的访问权限。

# 状态报告

在本部分，您可以配置从设备中检索哪些数据。状态数据可以在 [**设备状态**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/1a5b1 "Device status")仪表板页面中查看。

##### 应用程序报告。

是否启用应用报告（关于已安装应用的报告信息）。

<p class="callout info">此选项由系统强制要求（用于与配套应用的集成），始终启用，无法禁用。</p>

##### 包含已移除的应用程序。

是否将已移除的应用程序包含在应用程序报告中。

##### 设备设置

是否启用设备设置报告。（关于设备安全相关设置的信息。）

##### 软件信息

是否启用软件信息报告。（关于设备软件的信息。）

##### 内存信息

是否启用内存报告。（与内存和存储度量相关的事件。）

##### 网络信息

是否启用网络信息报告。（设备网络信息。）

##### 显示信息

是否启用报告显示。 报告数据在具有工作配置的个人设备上不可用。(设备显示信息。)

##### 电源管理事件。

是否启用电源管理事件报告。 报告数据无法在配置了工作资料的个人设备上获取。

##### 硬件状态

是否启用硬件状态报告。 个人设备上的工作配置文件无法获取报告数据。

##### 系统属性。

是否启用系统属性报告。

##### 通用标准模式。

是否启用通用标准模式报告。

# 其他

#### 1. 彩蛋游戏已禁用

设置中彩蛋游戏是否已禁用。

#### 2. 跳过首次使用提示。

标记以跳过首次使用的提示。企业管理员可以启用系统推荐，允许应用程序在首次启动时跳过用户教程和其他介绍性提示。

#### 3. 简短的帮助信息。

在设置界面，当管理员禁用某个功能时，会向用户显示此消息。如果消息长度超过 200 个字符，可能会被截断。

#### 4. 较长的支持信息。

用户在设备管理员设置屏幕上看到的提示信息。

#### 5. 设备所有者锁屏信息。

设备所有者信息，将在锁屏界面上显示。

#### 6. 设置操作

在设置过程中需要执行的操作。在设备注册过程中，您可以要求用户打开一个或多个用于设备设置的应用程序。

使用**添加设置操作**来创建条目，并使用删除操作来移除它们。

##### 6.1. 启动应用

要启动的应用程序的包名。

##### 6.2. 标题

提供面向用户的消息，用于向用户解释为什么需要启动该应用。

##### 6.3. 描述。

提供面向用户的消息，用于向用户解释为什么需要启动该应用。

#### 7. 企业显示名称可见性。

控制是否在设备上显示企业名称（例如，在公司拥有的设备的锁屏消息中）。

**可见（默认）**：在设备上是否显示企业名称（Android 7+ 版本的受保护配置和 Android 8+ 版本的完全托管设备支持此功能）。

**隐藏**：在设备上隐藏企业名称。

# 策略执行规则。

如果设备或工作资料未能符合以下任何策略设置，Android 设备策略默认会立即阻止对该设备或工作资料的使用：

- **密码要求**
- **加密策略**
- **禁用锁屏。**
- **允许的输入方法。**
- **允许使用的辅助功能服务。**

如果设备或工作资料在 10 天后仍未达到合规状态，Android 设备策略将重置设备或删除工作资料。

在本部分，您可以覆盖默认的合规性强制规则，或添加新的规则。

#### 规则

定义当特定策略无法应用于设备时，系统行为的规则列表。

使用 **添加规则** 创建新的规则。每个规则卡片都可以通过删除操作进行移除。

##### 设置名称

要强制执行的顶级策略。例如，**应用程序**或**密码要求**。

**必需。** 该值必须与受支持的顶级策略名称匹配；否则，该字段将被标记为无效。

##### 封锁时长（天）。

策略不符合要求的天数，超过该天数后，设备或工作资料将被锁定。如需立即锁定访问，请设置为 0。 “**锁定时长（天）**” 必须小于 “**擦除时长（天）**”。仅适用于公司拥有的设备。

允许范围：0–300。

##### 块作用域。

指定块操作的范围。仅适用于公司拥有的设备。

默认（新规则）：**工作资料**。

**工作资料**：阻止操作仅适用于工作资料中的应用。个人资料中的应用不受影响。

**整个设备**：阻止操作会应用于整个设备，包括个人资料中的应用。

##### 擦除数据后，需间隔的天数

如果设备或工作资料由于策略不符合而需要被清除，则此项设置指定了需要等待的天数。   
**擦除数据后，需间隔的天数** 必须大于 **锁定后天数**。 仅适用于公司拥有的设备。

**必需。** 默认（新规则）：**1**。

允许范围：1–300。

##### 保留出厂设置保护。

是否保留设备的出厂设置保护数据。 此设置不适用于工作配置文件。

默认（新规则）：已启用。