# 策略 - Android

# 摘要

Android 策略是系统的核心实体：它们定义了应用于受管设备并强制执行的规则。

您可以在仪表板的 **策略** 栏目中浏览现有策略并创建新策略。要打开 Android 策略，请点击表格中的策略行：系统将打开 **策略编辑器** 页面。

策略可以与 [注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 相关联，从而在配置过程中自动应用于设备。您还可以在配置完成后更改分配给设备的策略。

<p class="callout info">每个设备一次只能关联一个策略。</p>

<p class="callout info">许多策略选项仅适用于特定的设备类型（完全管理的、专用设备、工作资料）和 Android 版本。不受支持的设置可能会被设备忽略，或者被报告为不合规。</p>

## 策略编辑器布局

策略编辑器由一组可展开的栏目组成。在页面顶部，您可以随时编辑：

- **名称** (必填)
- **ID** (只读)
- **描述** (可选)

以下章节与策略编辑器中的栏目相对应（例如：应用管理、安全性、网络、系统、个人使用、跨资料策略等）。请参阅本手册的相关章节以详细了解每个栏目。

## 保存、删除及关联设备

使用 **保存策略** 来应用您的更改。如果没有待处理的编辑，或者许可证已过期，该按钮将处于禁用状态。

如果您打开的是现有策略（即带有 ID 的策略），页面将显示 **删除策略** 操作，并在底部显示 **关联设备** 列表，以便您查看当前有多少台设备正在使用该策略。

# 应用管理

在此部分中，您可以设置与应用可用性、安装、更新及权限管理相关的策略。

<p class="callout info">在设备配置期间，系统会自动创建受管 Google Play 账号。</p>

#### 1. Play 商店模式

此模式用于控制用户在 Play 商店中可以使用的应用，以及当策略中移除应用时设备上的行为。

**白名单 (默认)**: 仅允许使用策略中的应用，任何不在策略中的应用都将自动从设备中卸载。Play Store 将仅显示可用应用。

**黑名单**: 所有应用均可用，任何不应出现在设备上的应用都应在应用策略中明确标记为 **已阻止**。Play Store 将显示所有应用，但被阻止的应用除外。

#### 2. 不受信任应用策略

在设备上强制执行的针对不受信任应用（来自未知来源的应用）的策略。此选项用于控制 Android 系统设置，以决定用户是否可以从 Play Store 之外安装应用（侧载）。

**不允许 (默认)**: 禁止在整个设备上安装不受信任的应用。

**仅限个人资料**: 对于具有工作资料的设备，仅允许在设备的个人资料中安装不受信任的应用。

**允许**: 允许在整个设备上安装不受信任的应用。

#### 3. Google Play Protect

是否强制执行 Google Play Protect 应用验证。

**强制执行 (默认)**: 强制启用应用验证。

**用户选择**: 允许用户选择是否启用应用验证。

#### 4. 默认权限策略

向应用授予运行时权限请求的策略。

**提示 (默认)**: 提示用户授予权限。

**授予**: 自动授予权限。

**拒绝**: 自动拒绝权限。

#### 5. 应用功能

控制是否允许完全托管设备或工作资料中的应用展示应用功能。需要 Android 16 或更高版本。

**允许 (默认)**: 完全托管设备或工作资料中的应用可以展示应用功能。

**不允许**: 完全托管设备或工作资料中的应用无法展示应用功能。

#### 6. 禁用应用安装

是否禁用用户安装应用。

#### 7. 禁用应用卸载

是否禁用用户卸载应用。

#### 8. 权限策略

针对所有应用的显式权限或组授予/拒绝。这些值将覆盖 **默认权限策略** 设置。

使用 **添加权限策略** 来创建条目，并使用删除操作将其移除。

每个条目包括：

**Android 权限/组**：Android 权限或组（必填），例如 **android.permission.READ\_CALENDAR** 或 **android.permission\_group.CALENDAR**。

**策略**：授予 / 拒绝 / 提示（使用与 **默认权限策略** 相同的策略选项）。

#### 9. 应用

必须包含在策略中的应用列表。该列表内容的行为取决于 **Play Store 模式** 中设置的值。

如果 **Play Store 模式** 设置为 **白名单**，则仅允许使用策略中的应用，任何不在策略中的应用都将自动从设备中卸载。

如果 **Play Store 模式** 设置为 **黑名单**，则所有应用均可用，任何不应出现在设备上的应用都应在应用策略中明确标记为 **已阻止**。

要添加新应用，请点击 **添加应用** 按钮（或 **添加应用** 图标），然后从 Play Store 中选择应用，并点击应用卡片中的 **选择** 按钮。

<p class="callout info">默认情况下，您所在国家/地区在 Play Store 上发布的所有应用均可供选择。要选择您自己的私有应用或 Web 应用，必须先将它们上传到系统。欲了解更多信息，请阅读 [**私有应用**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/b3967 "Private apps") 页面。 </p>

每个应用都可以配置其自身的设置，这些设置以卡片的形式直观呈现：

##### 9.1. 安装类型

针对应用执行的安装类型。

**可用**：该应用可供安装。

**预装**: 应用会自动安装，且用户可以将其移除。

**强制安装**: 应用会自动安装，且用户无法将其移除。

**已阻止**: 该应用已被阻止且无法安装。如果该应用是在之前的策略下安装的，它将被卸载。

**设置所需**: 应用会自动安装，用户无法将其移除；在安装完成之前，将阻止设置流程完成。

**Kiosk 模式**: 应用将以 Kiosk 模式自动安装：它将被设置为首选主屏幕意图，并被列入锁定任务模式的白名单。在应用安装完成之前，设备设置将无法完成。安装后，用户将无法移除该应用。每个策略只能为一个应用设置此 **安装类型**。当策略中包含此选项时，状态栏将自动禁用。欲了解更多信息，请阅读专门的 [**Kiosk 模式**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/a8f15-69s "Kiosk mode") 页面。

##### 9.2. 安装限制

定义了一组应用安装限制。当选择了多个限制条件时，必须同时满足所有条件才能完成应用安装。

<p class="callout info">仅当 **安装类型** 设置为 **预装** 或 **强制安装** 时，才会显示此选项。 </p>

**非计费网络**: 仅当设备连接到非计费网络（例如 Wi-Fi）时才安装应用。

**充电中**: 仅当设备正在充电时才安装应用。

**闲置**: 仅当设备处于闲置状态时才安装应用。

##### 9.3. 自动更新模式

控制应用的自动更新模式。

**默认**: 应用将以低优先级自动更新，以尽量减少对用户的影响。只有在满足以下所有限制条件时，应用才会进行更新：(1) 设备未被活跃使用，(2) 设备连接到非计费网络，(3) 设备正在充电。在开发者发布更新后的 24 小时内，设备会收到新更新的通知，之后在下次满足上述限制条件时，应用将进行更新。

**延迟**: 在应用版本过时后的最多 90 天内，不会自动更新应用。在应用版本过时 90 天后，将以低优先级自动安装最新的可用版本（参见 **默认** 自动更新模式）。应用更新后，在再次过时后的 90 天内不会再次自动更新。用户仍可以随时从 Play Store 手动更新应用。

**高优先级**: 应用将尽快更新。不应用任何限制条件。新版本发布后，设备会立即收到更新通知。

##### 9.4. 最低版本代码

在设备上运行的应用的最低版本。如果设置了此项，设备将尝试将应用更新至至少此版本代码。如果应用未达到最新状态，设备将显示 **不合规详情**，且 **不合规原因** 将被设置为 **APP\_NOT\_UPDATED**。应用必须已发布到 Google Play，且其版本代码大于或等于此值。每个策略最多可为 20 个应用指定最低版本代码。

##### 9.5. 委派范围

从 Android 设备策略委派给应用的范围。您可以向其他应用授予一系列特殊的 Android 权限：

**证书安装**: 授予证书安装和管理的访问权限。

**已管理配置**：授予对已管理配置管理的访问权限。

**阻止卸载**：授予阻止卸载的权限。

**权限**：授予对权限策略和权限授予状态的访问权限。

**应用包访问权限**：授予对应用包访问状态的访问权限。

**系统应用**：授予启用系统应用的权限。

##### 9.6. 优先网络

此应用使用的优先网络服务。如果已设置，当可用时，该应用将使用指定的企业网络切片进行连接。这必须与**移动网络**面板中**5G 网络切片配置**部分配置的网络切片相匹配。

<span style="color: #222222; font-size: 1.4em; font-weight: 400;">9.7. 默认权限策略</span>

该应用请求的所有权限的默认策略。如果指定，它将覆盖适用于所有应用的策略级**默认权限策略**。它不会覆盖适用于所有应用的**权限策略**。

**提示 (默认)**：提示用户授予权限。

**授予**：自动授予权限。

**拒绝**：自动拒绝权限。

##### 9.8. 工作与个人应用互通

控制应用是否可以在用户同意的情况下，跨设备的个人资料与工作资料进行通信（Android 11 及更高版本）。

**不允许 (默认)**：防止应用进行跨配置文件通信。

**允许**：在获得用户同意后，允许应用进行跨配置文件通信。

##### 9.9. 始终开启 VPN 锁定豁免

指定在 VPN 未连接且处于**锁定启用**状态时，是否允许该应用进行网络连接。仅支持运行 Android 10 及以上版本的设备。

**强制执行 (默认)**：应用遵循始终开启 VPN 锁定设置。

**豁免**：该应用豁免于始终开启 VPN 锁定设置。

##### 9.10. 工作资料小组件

指定安装在工作资料中的应用是否允许向主屏幕添加小组件。

**允许**：应用可以将小组件添加到主屏幕。

**不允许**：应用无法将小组件添加到主屏幕。

##### 9.11. 用户控制设置

指定是否允许对特定应用进行用户控制。用户控制包括强制停止和清除应用数据等用户操作（Android 11 及更高版本）。如果为某个应用启用了**extensionConfig**，则无论此设置如何，都将禁止用户控制。对于亭式应用 (Kiosk apps)，您可以使用**允许**来允许用户控制。

**未指定**：使用应用的默认行为来确定是否允许用户控制。

**允许**：允许对该应用进行用户控制。

**不允许**：禁止对该应用进行用户控制。

##### 9.12. 已禁用

应用是否已禁用。禁用时，应用数据仍将保留。

##### 9.13. 允许凭据提供程序

应用是否被允许在 Android 14 及更高版本上充当凭据提供程序。

##### 9.14. 已管理配置

要配置应用的已管理设置，请点击**启用已管理配置**按钮。如果已为该应用设置了已管理配置，您可以通过**已管理配置**按钮修改配置，或通过**移除配置**按钮将其删除。

<p class="callout info">**已管理配置**选项仅适用于支持此功能的应用。 </p>

##### 9.15. 权限策略

针对该应用的明确权限授予或拒绝。这些值将覆盖适用于所有应用的**默认权限策略**和**权限策略**。

使用 **添加权限策略** 为应用卡片添加一条或多条权限规则，并可通过删除操作将其移除。

##### 9.16. 测试轨道 ID

设备可以访问的应用封闭测试轨道 ID 列表。如果选择了多个轨道 ID，设备将接收所有可访问轨道中的最新版本。如果没有选择任何轨道 ID，设备将只能访问应用的正式版轨道。

<p class="callout info">**测试轨道 ID**选项仅适用于至少有一个测试轨道 ID 可供您组织使用的应用。有关如何将您的组织添加到特定应用的封闭测试轨道的更多详细信息，请参阅[此处](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing)。 </p>

#### 10. 默认应用设置

为支持的类型设置默认应用。一旦为至少一种类型设置了默认应用，用户将无法在该个人资料中更改默认应用。

<p class="callout info">每个**默认应用类型**仅允许设置一个默认应用。默认应用列表不得包含重复项。 </p>

##### 10.1. 默认应用类型

选择要配置的应用类别（例如：浏览器、拨号器、短信、钱包或助手）。可用性取决于 Android 版本和管理模式。

##### 10.2. 默认应用范围

选择默认应用适用的范围（全托管、工作资料或个人资料）。只能选择所选类型支持的范围。

<p class="callout info">如果所选范围均不适用于设备的管理模式，设备将报告合规性异常详情。</p>

##### 10.3. 默认应用

可设置为所选类型默认应用的应用列表。第一个安装且符合条件的应用将被设为默认应用。

<p class="callout warning">如果范围包含**全托管**或**工作资料**，则每个应用还必须存在于**应用**列表中，且其**安装类型**未设置为**已阻止**。 </p>

#### 11. 私钥选择

允许在没有匹配规则的情况下，在设备上显示 UI 以供用户选择私钥别名（针对 **选择私钥规则** 中的规则）。

<p class="callout warning">对于 Android P 以下版本的设备，设置此项可能会导致企业密钥面临风险。</p>

#### 12. 选择私钥规则

控制应用对私钥的访问权限。该规则决定了 Android 设备策略（Android Device Policy）将向指定应用授予哪个私钥（如果有）。访问权限的授予发生在以下两种情况：一是当应用调用 `KeyChain.choosePrivateKeyAlias`（或其任何重载方法）以请求给定 URL 的私钥别名时；二是在 Android 11 及更高版本中，对于非特定 URL 的规则（即未设置 `urlPattern`，或将其设置为空字符串或 `.\*`），直接授予权限以便应用可以调用 `KeyChain.getPrivateKey`，而无需先调用 `KeyChain.choosePrivateKeyAlias`。当应用调用 `KeyChain.choosePrivateKeyAlias` 且有多个 `choosePrivateKeyRules` 匹配时，最后一个匹配的规则将决定返回哪个密钥别名。

使用 **添加私钥规则** 来创建条目，并可通过删除操作将其移除。

##### 12.1. 私钥别名

要使用的私钥别名。

##### 12.2. URL 模式

用于与请求的 URL 进行匹配的 URL 模式。如果未设置或为空，则匹配所有 URL。此项使用 `java.util.regex.Pattern` 的正则表达式语法。

##### 12.3. 应用包名

该规则适用的应用包名。系统将针对每个应用的签名证书哈希值与 Play 提供的哈希值进行验证。如果未指定任何包名，则该别名将提供给所有调用 `KeyChain.choosePrivateKeyAlias` 或其任何重载方法的应用（但在 Android 11 及更高版本中，即使不调用 `KeyChain.choosePrivateKeyAlias` 也无法直接获得该别名）。任何与此处指定的包具有相同 Android UID 的应用，在调用 `KeyChain.choosePrivateKeyAlias` 时都将获得访问权限。

使用 **添加应用包名** 来添加条目，并可通过删除操作将其移除。

<p class="callout info">要删除应用，请点击应用卡片底部的**垃圾桶**图标。 </p>

<div id="bkmrk-"><div></div></div>

# 亭式模式

通过亭式模式，您可以将设备功能限制在单个应用或多个应用中。选择单应用还是多应用亭式模式取决于您的业务目标。

在**单应用亭式模式**中，设备被配置为仅运行单个应用，且不允许终端用户访问设备上的其他应用。用户也无法退出该应用，使其成为该特定应用的专用设备。要启用此模式，请在["/&gt;**应用管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/812b4 "App management")部分指定一个应用，并将**安装类型**设置为**亭式模式**。

在**多应用亭式模式**中，设备允许访问多个应用程序。终端用户可以通过自定义启动器在多个应用之间进行切换。要启用此模式，请开启**亭式模式自定义启动器**选项。

启用亭式模式时，您还可以配置终端用户是否可以访问某些系统功能，例如系统设置和状态栏。

##### 亭式模式自定义启动器

是否启用亭式模式自定义启动器。启用后，主屏幕将被一个启动器取代，该启动器会将设备锁定在通过[**应用管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/812b4 "App management")设置中安装的应用。应用将按字母顺序显示在单个页面上。

##### 电源按钮操作

设置用户在亭式模式下长按电源按钮时的设备行为。

**可用 (默认)**：当用户长按处于亭式模式的设备电源按钮时，将显示电源菜单（例如：关机、重启）。

**已阻止**：当用户长按处于亭式模式的设备电源按钮时，不会显示电源菜单（例如：关机、重启）。注意：这可能会导致用户无法关闭设备。

##### 系统错误警告

指定在亭式模式下是否拦截崩溃或无响应应用的系统错误对话框。如果被拦截，系统将强制停止该应用，其效果等同于用户在 UI 上选择了“关闭应用”选项。

**已阻止 (默认)**：所有系统错误对话框（如崩溃和应用无响应 (ANR)）都将被拦截。拦截时，系统将强制停止该应用，其效果等同于用户从 UI 中关闭了应用。

**启用**：显示所有系统错误对话框，例如崩溃和应用无响应 (ANR)。

##### 系统导航

指定在亭式模式下启用哪些导航功能（例如：主页、概览按钮）。

**已禁用 (默认)**：无法访问主页和概览按钮。

**仅限主页**：仅启用主页按钮。

**启用**：启用主页和概览按钮。

##### 状态栏

指定在亭式模式下是否禁用系统信息和通知。

**已禁用 (默认)**：在亭式模式下禁用系统信息和通知。

**仅限系统**：状态栏仅显示系统信息。

**启用**：在亭式模式下，状态栏将显示系统信息和通知。注意：要使此策略生效，必须使用 kioskCustomization.systemNavigation 启用设备的首页按钮。

##### 设备设置

指定在亭式模式下是否允许使用设置应用。

**允许 (默认)**：在亭式模式下允许访问设置应用。

**已阻止**：在亭式模式下不允许访问设置应用。

# 安全性

在本节中，您可以配置与安全相关的策略。

#### 安全风险操作

选择当设备在状态报告中报告安全风险 (SecurityRisk) 时要执行的操作。

支持的安全风险 (SecurityRisk) 类型：

**未知操作系统 (Unknown OS)**: Play Integrity API 检测到设备正在运行未知的操作系统（basicIntegrity 检查通过，但 ctsProfileMatch 失败）。

**受损操作系统 (Compromised OS)**: Play Integrity API 检测到设备正在运行受损的操作系统（basicIntegrity 检查失败）。

**硬件级完整性评估失败**: 如果设备完整性字段中未显示 MEETS\_STRONG\_INTEGRITY 标签，则 Play Integrity API 检测到该设备无法提供强大的系统完整性保证。

可用操作：

**擦除企业数据（默认）**: 注销设备并擦除工作数据（如果是完全管理的设备，则擦除整个设备；如果是个人拥有的设备，则仅擦除工作资料）。

**不执行操作**: 保持设备注册状态，不自动执行任何操作。

当您选择 **擦除企业数据** 时，您还可以配置擦除选项：

**保留出厂重置保护**: 在擦除设备时保留出厂重置保护 (FRP) 数据。

**擦除外部存储**: 在执行擦除操作时，额外擦除设备的外部存储（如 SD 卡）。

**擦除 eSIM**: 对于公司拥有的设备，擦除设备时将移除所有 eSIM。在个人拥有的设备上，这将移除设备上的受管 eSIM（通过 ADD\_ESIM 命令添加的 eSIM），而不会移除个人拥有的 eSIM。

#### 1. 最大锁定时间

设备锁定前的最大用户活动时间（以秒为单位）。设置为 0 表示没有限制。

#### 2. 充电时保持亮屏

设备保持亮屏的插电模式。使用此设置时，建议清除 **最大锁定时间**，以免设备在保持亮屏时自动锁定。

**交流充电器 (AC charger)**: 电源为交流充电器。

**USB 端口**: 电源为 USB 端口。

**无线充电器**: 电源为无线充电。

#### 3. 禁用锁屏界面 (Keyguard)

如果为 true，则将禁用主显示屏和/或副显示屏的锁屏界面。此策略仅在专用设备管理模式下受支持。

#### 4. 密码要求

密码要求策略。

使用 **配置密码要求** 来添加一个或多个密码要求块。使用 **全部清除** 来移除所有已配置的密码要求。

密码要求可以使用 **自动** 范围（单一要求）或独立的 **设备**/**工作资料** 范围。基于复杂性的要求必须与针对同一范围的基于质量的要求结合使用。

##### 4.1. 范围

密码要求适用的范围。

**自动**: 未指定范围。对于工作资料设备，密码要求将应用于工作资料；对于完全管理或专用设备，则应用于整个设备。

**设备**: 密码要求仅应用于设备。

**工作资料**: 密码要求仅应用于工作资料。

##### 4.2. 密码历史长度

密码历史记录的长度。设置此字段后，用户将无法输入与历史记录中任何密码相同的密码。设置为 0 表示没有限制。

##### 4.3. 擦除前的最大失败密码次数

在设备被擦除之前，允许输入的错误解锁密码次数。设置为 0 表示没有限制。

##### 4.4. 密码过期超时（天）

此设置将在指定的天数后，强制用户定期更新密码。

##### 4.5. 需要密码解锁

在设备或工作资料使用强身份验证方式（密码、PIN 码、图案）解锁后，允许使用其他任何身份验证方法（例如指纹、信任代理、面部识别）进行解锁的时长。在指定的时段结束后，只能使用强身份验证方式来解锁设备或工作资料。

**设备默认**: 超时时间设置为设备的默认值。

**每天**: 超时时间设置为 24 小时。

##### 4.6. 密码质量

要求的密码质量。

**高复杂度**: 定义高密码复杂度范围为：在 Android 12 及以上版本中：不含重复数字 (4444) 或有序序列 (1234, 4321, 2468) 的 PIN 码，长度至少为 8 位；包含字母的密码，长度至少为 6 位；包含字母数字混合的密码，长度至少为 6 位。

**中等复杂度**: 定义中等密码复杂度范围为：不含重复数字 (4444) 或有序序列 (1234, 4321, 2468) 的 PIN 码，长度至少为 4 位；包含字母的密码，长度至少为 4 位；包含字母数字混合的密码，长度至少为 4 位。

**低复杂度**: 定义低密码复杂度范围为：图形密码；包含重复数字 (4444) 或有序序列 (1234, 4321, 2468) 的 PIN 码。

**无**: 没有密码要求。

**弱**: 设备必须至少使用低安全性生物识别技术进行保护。这包括能够识别个人身份、且其强度大致相当于 3 位数字 PIN 码的技术（误报率低于千分之一）。

**任意**: 需要设置密码，但对密码包含的内容没有限制。

**数字**: 密码必须包含数字字符。

**数字复杂**: 密码必须包含数字字符，且不能有重复数字 (4444) 或有序序列 (1234, 4321, 2468)。

**字母**: 密码必须包含字母（或符号）字符。

**字母数字混合**: 密码必须同时包含数字字符和字母（或符号）字符。

**复杂**: 密码必须满足 passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbols 等指定的最低要求。例如，如果 passwordMinimumSymbols 为 2，则密码必须包含至少两个符号。

##### 4.7. 最小长度

允许的最小密码长度。设置为 0 表示没有限制。

##### 4.8. 最小字母数

密码中要求的最小字母数。

##### 4.9. 最小小写字母数

密码中要求的最小小写字母数。

##### 4.10. 最小大写字母数

密码中要求的最小大写字母数。

##### 4.11. 最小非字母字符数

密码中要求的最小非字母字符数（数字或符号）。

##### 4.12. 最小数字位数

密码中要求的最小数字位数。

##### 4.13. 最小符号数

密码中要求的最小符号数。

##### 4.14. 统一锁定

控制在运行 Android 9 及以上版本且具有工作资料的设备上，是否允许为该设备和工作资料使用统一锁定。此设置对其他设备没有影响。

**允许统一锁定**: 允许为设备和工作资料使用统一的锁定方式。

**需要独立的工作资料锁定**: 要求为工作资料设置独立的锁定方式。

#### 5. 禁用恢复出厂设置

是否禁用通过设置进行恢复出厂设置。仅适用于完全管理的设备。

#### 6. 恢复出厂重置保护

用于恢复出厂重置保护的设备管理员电子邮件地址。当设备发生未经授权的恢复出厂设置时，将需要其中一位管理员使用 Google 账号电子邮件和密码登录以解锁设备。如果未指定管理员，则设备不会提供恢复出厂重置保护。仅适用于完全管理的设备。

**管理员电子邮件**: 使用 **启用恢复出厂重置保护** 开始配置管理员。然后使用 **添加管理员电子邮件** 来添加地址，并使用删除操作将其移除。

#### 7. 锁屏界面功能

可以禁用的锁屏界面 (Keyguard) 功能。

##### 7.1. 禁用全部

禁用所有当前及未来的锁屏界面自定义功能。

##### 7.2. 禁用摄像头

在安全锁屏界面（例如输入 PIN 码时）禁用摄像头。

##### 7.3. 禁用通知

在安全锁屏界面禁用显示所有通知。

##### 7.4. 禁用未脱敏通知

在安全锁屏界面禁用未脱敏通知。

##### 7.5. 忽略信任代理状态

在安全锁屏界面忽略信任代理状态。

##### 7.6. 禁用指纹解锁

在安全锁屏界面禁用指纹传感器。

##### 7.7. 禁用通知中的文本输入

在安全锁屏界面禁用通知中的文本输入。

##### 7.8. 禁用面部身份验证

在安全锁屏界面禁用面部身份验证。

##### 7.9. 禁用虹膜身份验证

在安全锁屏界面禁用虹膜身份验证。

##### 7.10. 禁用所有生物识别身份验证

在安全锁屏界面禁用所有生物识别身份验证。

##### 7.11. 禁用所有快捷方式

在 Android 14 及以上版本的安全锁屏界面上禁用所有快捷方式。

# 多媒体

在此部分中，您可以配置摄像头/麦克风行为、USB 数据访问、打印以及显示相关的限制。

#### 1. 摄像头访问权限

控制摄像头的使用情况，以及用户是否可以访问摄像头访问开关（Android 12+）。通常情况下，在完全管理的设备上禁用摄像头将应用于整个设备；而在工作资料设备上，则仅适用于工作资料内部。

**用户选择（默认）**：默认设备行为。摄像头可用，且（Android 12+）用户可以切换摄像头访问权限。

**已禁用**：所有摄像头均被禁用（完全管理设备：全设备范围内；工作资料设备：仅针对工作资料应用）。在受管范围内，摄像头访问开关无效。

**强制执行**：摄像头可用。在运行 Android 12+ 的完全管理设备上，用户无法切换摄像头访问权限。在其他设备/版本上，其行为类似于“用户选择”。

#### 2. 麦克风访问权限

在完全管理的设备上，此设置可控制麦克风的使用情况，以及用户是否可以访问麦克风访问开关（Android 12+）。此设置对非完全管理的设备无效。

**用户选择（默认）**：默认行为。麦克风可用，且（Android 12+）用户可以切换麦克风访问权限。

**已禁用**：麦克风被禁用（全设备范围内）。麦克风访问开关无效。

**强制执行**：麦克风可用。在 Android 12+ 上，用户无法切换麦克风访问权限。在 Android 11 或更低版本上，其行为类似于“用户选择”。

#### 3. USB 数据访问权限

控制可以通过 USB 传输哪些文件和/或数据。仅在公司拥有的设备上受支持。

**不允许文件传输（默认）**：不允许文件传输，但允许其他 USB 数据连接（例如鼠标/键盘）。

**不允许数据传输**：禁止所有类型的 USB 数据传输（Android 12+ 且具备 USB HAL 1.3+）。如果设备不支持，则回退至“不允许文件传输”。

**允许数据传输**：允许所有类型的 USB 数据传输。

#### 4. 打印

控制是否允许打印（Android 9+）。

**允许（默认）**：允许打印。

**不允许**：不允许打印（Android 9+）。

#### 5. 屏幕亮度设置

控制屏幕亮度模式以及（可选地）亮度值。

屏幕亮度模式：

**用户选择（默认）**：允许用户配置屏幕亮度。

**自动**：亮度为自动调节，用户无法更改。您仍可以设置一个亮度值，该值将作为自动调节的一部分（完全管理的 Android 9+；公司拥有的 Android 15+ 上的工作资料）。

**固定**：亮度被设置为配置的值，用户无法更改。必须设置亮度值（完全管理的 Android 9+；公司拥有的 Android 15+ 上的工作资料）。

屏幕亮度：

数值范围为 1 到 255（1 = 最低，255 = 最高）。数值为 0 表示未设置亮度值。

#### 6. 屏幕超时设置

控制用户是否可以配置屏幕超时，以及在强制执行时设置超时值。

**屏幕超时模式**字段用于在用户控制和强制执行行为之间进行选择。

**用户选择（默认）**：允许用户配置屏幕超时。

**强制执行**：屏幕超时被设置为配置的值，用户无法更改（完全管理的 Android 9+；公司拥有的 Android 15+ 上的工作资料）。

屏幕超时：

以秒为单位的超时时长。数值必须大于 0。如果该值大于 **最大锁定时间**，系统可能会对其进行限制并报告不合规。

#### 7. 禁用屏幕截取

是否禁用屏幕截取。

#### 8. 禁用调节音量

是否禁用调节主音量。

#### 9. 禁用挂载实体介质

是否禁用挂载外部实体介质。

# 移动网络

在此部分中，您可以配置与移动网络相关的策略。

#### 1. 飞行模式

控制用户是否可以切换飞行模式。

**用户选择 (默认)**：允许用户开启或关闭飞行模式。

**已禁用**：禁用飞行模式。不允许用户开启飞行模式。支持 Android 9 及以上版本。

#### 2. 移动网络 2G

控制用户是否可以切换移动网络 2G 设置。

**用户选择 (默认)**：允许用户开启或关闭移动网络 2G。

**已禁用**：禁用移动网络 2G。不允许用户通过设置开启移动网络 2G。支持 Android 14 及以上版本。

#### 3. 覆盖 APN

控制是否启用覆盖 APN。启用时，仅使用配置的覆盖 APN，设备上的所有其他 APN 都将被忽略。

**已禁用 (默认)**：所有配置的 APN 设置都保存在设备上，但它们处于禁用状态且不起作用。设备上的所有其他 APN 仍在使用中。

**启用**：仅使用覆盖 APN，所有其他 APN 都将被忽略。此设置仅可在运行 Android 10 及以上版本的全托管设备上进行配置。

#### 4. APN 设置

配置一个或多个 APN 条目。使用 **添加 APN** 来创建条目，并使用 **移除 APN** 来将其删除。

每个 APN 都有必填字段：

**APN 类型**：为此 APN 选择一个或多个流量类型（可用性取决于管理模式和 Android 版本）。

**APN 名称**：由您的运营商提供的 APN 标识符。

**显示名称**：在 UI 中显示的友好名称。

可选的 APN 字段：

**身份验证类型**、**用户名**、**密码**：配置运营商身份验证（如果需要）。

**协议**和**漫游协议**：IP 协议配置。

**网络类型**：限制该 APN 可使用的移动网络技术（例如 LTE/5G NR）。

**代理地址**和**代理端口**：用于数据流量的 HTTP 代理（如果适用）。

**MMS 代理地址**、**MMS 代理端口**、**MMSC (MMS 中心 URI)**：与 MMS 相关的设置。

**数字运营商 ID (MCC+MNC)**和**运营商 ID**：运营商标识字段。

**始终开启设置**：由该 APN 激活的 PDU 会话是否应始终开启。支持 Android 15 及以上版本。

**MVNO 类型**：移动虚拟网络运营商标识类型。

**MTU IPv4**和**MTU IPv6**：IPv4/IPv6 路由的最大传输单元。支持 Android 13 及以上版本。

#### 5. 禁用小区广播配置

是否禁用小区广播配置。

#### 6. 禁用移动网络配置

是否禁用移动网络配置。

#### 7. 禁用漫游数据

是否禁用漫游数据服务。

#### 8. 禁用拨出电话

是否禁用拨出电话。

#### 9. 禁用短信

是否禁用发送和接收短信。

#### 10. 5G 网络切片配置

配置优先网络服务设置以启用企业级 5G 网络切片。您可以设置多达 5 个企业切片，并将应用分配给特定网络以优化流量路由。

##### 10.1. 默认优先网络

适用于不在应用列表中的应用，或未设置应用**优先网络**时的默认优先网络 ID。必须为指定的网络 ID 具有配置（除非设置为**无优先网络**）。

注意：像 **com.google.android.apps.work.clouddpc** 和 **com.google.android.gms** 这样的关键应用不属于此默认设置范围。

##### 10.2. 网络服务配置

使用 **添加网络配置** 来创建切片配置。您可以添加多达 5 个配置。每个配置包含：

**优先网络 ID (自动分配)**：网络 ID 为自动分配，无法更改。

**回退到默认连接**：是否允许回退到设备范围内的默认网络。如果禁止，则在 5G 切片不可用时，应用将无法访问互联网。

**非匹配网络**：受此配置约束的应用是否可以使用优先服务以外的网络。如果设置为**不允许**，则**回退到默认连接**也必须设置为**不允许**。需要 Android 14 及以上版本。

# 网络

在此部分中，您可以配置与网络相关的策略。

<p class="callout info">Wi-Fi 配置可以由系统通过 **Wi-Fi 配置**进行配置和管理。根据在 **配置 Wi-Fi** 中设置的值，用户对添加/修改网络的控制权限可能受限或完全无法控制。 </p>

## 设备无线电状态

#### 1. Wi-Fi 状态

控制 Wi-Fi 的当前状态，以及用户是否可以更改其状态。

**用户选择（默认）**：允许用户启用/禁用 Wi-Fi。

**已启用**：Wi-Fi 已开启，且用户不允许将其关闭（Android 13+）。

**已禁用**：Wi-Fi 已关闭，且用户不允许将其开启（Android 13+）。

#### 2. 最低 Wi-Fi 安全级别

设备可以连接的 Wi-Fi 网络所需的最低安全级别。在 Android 13 及以上版本中受支持，适用于完全管理的设备以及公司拥有的设备上的工作资料。

**开放网络（默认）**：设备可以连接所有类型的 Wi-Fi 网络。

**个人网络**：不允许连接开放式 Wi-Fi 网络；要求至少具备个人安全级别（例如 WPA2-PSK）。

**企业网络**：要求使用企业级 EAP 网络；不允许低于此安全级别的 Wi-Fi 网络。

**192 位企业网络**：要求使用 192 位企业网络；最严格的选项。

#### 3. 超宽带 (UWB) 状态

控制超宽带设置的状态，以及用户是否可以将其开启或关闭。

**用户选择（默认）**: 允许用户开启或关闭 UWB。

**已禁用**: UWB 已禁用，且不允许用户通过设置进行切换（Android 14+）。

## 设备连接管理

#### 4. 蓝牙共享

控制是否允许蓝牙共享。

**允许**: 允许蓝牙共享（在完全管理的设备上为默认设置，Android 8+）。

**不允许**: 不允许蓝牙共享（在工作资料中为默认设置，Android 8+）。

#### 5. 配置 Wi-Fi

控制 Wi-Fi 配置权限。根据所选选项，用户对配置 Wi-Fi 网络拥有完全、有限或无控制权。

**允许配置 Wi-Fi（默认）**: 允许用户配置 Wi-Fi。

**不允许添加 Wi-Fi 配置**: 不允许添加新的 Wi-Fi 配置。用户可以在已配置的网络之间进行切换（Android 13+；适用于完全管理的设备和公司拥有的工作资料）。

**不允许配置 Wi-Fi**: 不允许配置 Wi-Fi 网络。对于完全管理的设备，这将移除用户配置的网络，仅保留通过 **Wi-Fi 配置** 配置的网络。对于公司拥有的工作资料，现有网络不受影响，但用户无法添加/删除/修改 Wi-Fi 网络。

<p class="callout info">当禁用 Wi-Fi 配置且设备在启动时无法连接时，系统可以显示 **网络逃生口**，以便让用户临时连接并刷新策略。 </p>

#### 6. Wi-Fi Direct 设置

控制 Wi-Fi Direct 设置的配置与使用。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。

**允许（默认）**: 允许用户使用 Wi-Fi Direct。

**不允许**: 不允许用户使用 Wi-Fi Direct。

#### 7. 网络共享设置

控制网络共享设置。根据所设定的值，用户将被部分或完全禁止使用不同形式的网络共享。

**允许所有网络共享（默认）**: 允许配置和使用所有形式的网络共享。

**不允许 Wi-Fi 网络共享**: 不允许用户使用 Wi-Fi 网络共享（适用于公司拥有的 Android 13+ 设备）。

**不允许所有网络共享**: 不允许所有形式的网络共享（适用于完全管理的设备 + 公司拥有的工作资料）。

#### 8. Wi-Fi SSID 策略

限制设备可以连接的 Wi-Fi SSID（这不会影响设备上可以配置哪些网络）。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。

**SSID 黑名单（默认）**: 设备无法连接到 SSID 在列表中的任何 Wi-Fi 网络，但可以连接到其他网络。

**SSID 白名单**: 设备只能连接到列表中的 SSID。SSID 列表不能为空。

使用 **添加 SSID** 来添加条目。根据所选策略类型的不同，该列表将被解释为允许的 SSID 或拒绝的 SSID。

在策略编辑器 UI 中，白名单的 SSID 列表标记为 **允许的 Wi-Fi SSID**，黑名单的 SSID 列表标记为 **拒绝的 Wi-Fi SSID**。

#### 9. Wi-Fi 漫游设置

按 SSID 配置 Wi-Fi 漫游模式。使用 **添加 Wi-Fi 漫游设置** 来创建条目。

每个条目包括：

**SSID**: 漫游设置适用的 SSID（必填）。

**Wi-Fi 漫游模式**: 默认 / 已禁用 / 激进。已禁用和激进模式需要 Android 15+，且仅在完全管理的设备以及公司拥有的设备上的工作资料中受支持。

## 网络限制

#### 10. 禁用蓝牙

是否禁用蓝牙。请优先使用此设置，而非“禁用蓝牙配置”，因为用户可以绕过“禁用蓝牙配置”。

#### 11. 禁用蓝牙联系人共享

是否禁用蓝牙联系人共享。

#### 12. 禁用蓝牙配置

是否禁用蓝牙配置。

#### 13. 禁用网络重置

是否禁用重置网络设置。

#### 14. 禁用 Android Beam 发送

是否禁用通过 NFC 从应用中发送数据。

## VPN

#### 15. 始终连接的 VPN 应用

指定一个“始终连接的 VPN”包名，以确保来自指定受管应用的数据将始终通过已配置的 VPN。

<p class="callout info">注意：此功能需要部署同时支持“始终连接”和“按应用 VPN”功能的 VPN 客户端。</p>

#### 16. VPN 锁定模式

在 VPN 未连接时禁止进行网络连接。

#### 17. 禁用 VPN 配置

是否禁用 VPN 配置。

## 代理与网络服务

#### 18. 首选网络服务

控制是否在工作资料中启用首选网络服务。例如，组织可能与运营商达成了协议，规定工作数据通过专门用于企业使用的运营商网络服务（例如 5G 网络上的企业切片）进行传输。此设置对完全管理的设备没有影响。

**已禁用**: 工作资料中的首选网络服务已禁用。

**已启用**: 工作资料中的首选网络服务已启用。

<p class="callout info">如果您使用企业网络切片，请同时在 **蜂窝网络** 策略面板下配置 **5G 网络切片配置**，并使用 **首选网络** 设置将应用分配给切片。 </p>

#### 19. 推荐的全局代理

与网络无关的全局 HTTP 代理。通常情况下，应在 Wi-Fi 配置中针对每个网络进行代理设置。全局代理对于某些特殊配置（如通用内部过滤）可能非常有用。全局代理仅作为一种推荐，某些应用可能会忽略它。

**已禁用**

**直接代理**

**代理自动配置 (PAC)**

##### 19.1. 主机

直接代理的主机。

##### 19.2. 端口

直接代理的端口。

##### 19.3. PAC URI

用于配置代理的 PAC 脚本 URI。

##### 19.4. 排除的主机

对于直接代理，这些是绕过代理的主机。主机名可以包含通配符，例如 **\*.example.com**。

使用 **添加排除的主机** 来添加条目（仅适用于直接代理）。

## Wi-Fi 配置

定义系统将在设备上应用的 Wi-Fi 网络配置。使用 **添加 Wi-Fi 配置** 来创建条目，并使用删除操作将其移除。

#### 20. Wi-Fi 配置字段

每个配置包括：

**配置名称**: 必填。

**SSID**: 必填。

**自动连接**: 是否在网络范围内时自动连接该网络。

**快速转换 (Fast Transition)**: 是否应尝试与网络使用快速转换 (IEEE 802.11r-2008) 技术。

**隐藏 SSID**: 是否广播 SSID。

**MAC 随机化模式**: 硬件或自动（Android 13+）。

##### 20.1. 安全性

Wi-Fi 安全选项：

**WEP-PSK**: WEP（预共享密钥）。

**WPA-PSK**: WPA/WPA2/WPA3-个人版（预共享密钥）。

**WPA-EAP**: WPA/WPA2/WPA3-企业版（可扩展身份验证协议）。

**WPA3 192位模式**: 仅允许使用 WPA3 192 位模式的 WPA-EAP 网络。

##### 20.2. 密码 (预共享密钥)

当安全性设置为 **WEP-PSK** 或 **WPA-PSK** 时显示。必须输入密码。

##### 20.3. EAP 方法（企业版）

当安全性设置为 **WPA-EAP** 或 **WPA3 192位模式** 时显示。请选择一种 EAP 外部方法：

**EAP-TLS**

**EAP-TTLS**

**PEAP**

**EAP-SIM**

**EAP-AKA**

##### 20.4. 第二阶段身份验证

适用于隧道外部方法（**EAP-TTLS** 和 **PEAP**）。

**MSCHAPv2**

**PAP**

##### 20.5. 来自用户的 EAP 凭据

启用后，系统将按用户为设备自动应用 EAP 凭据。您可以在 **用户** 栏目中配置用户凭据。

##### 20.6. 客户端证书

对于 **EAP-TLS**，您可以分配用于 Wi-Fi 身份验证的客户端证书。欲了解更多信息，请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。

如果已分配证书，您可以使用 **打开证书** 进行查看，或使用 **更改证书** 选择其他证书。

或者，您可以指定 **客户端证书密钥对别名**，它引用了存储在 Android 钥匙串中并允许用于 Wi-Fi 身份验证的客户端证书。

<p class="callout info">如果同时设置了 **客户端证书** 和 **客户端证书密钥对别名**，则密钥对别名将被忽略。 </p>

##### 20.7. 身份信息

用户身份。对于隧道外部协议（PEAP、EAP-TTLS），此项用于在隧道内进行身份验证，而 **匿名身份** 用于隧道外的 EAP 身份。对于非隧道外部协议，此项用于 EAP 身份。

##### 20.8. 匿名身份

仅适用于隧道协议，这表示向外部协议提供的用户身份。

##### 20.9. 密码

用户密码。如果未指定，则默认为提示用户输入。

##### 20.10. 服务器 CA 证书

用于验证主机证书链的 CA 证书列表。必须至少有一个 CA 证书匹配。欲了解更多信息，请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。

使用 **添加服务器 CA 证书** 来添加条目，并使用删除操作将其移除。

##### 20.11. 域名后缀匹配

服务器域名约束列表。这些条目将作为后缀匹配要求，用于验证身份验证服务器证书中备用主体名称的 DNS 名称。

# 系统

在本节中，您可以配置与系统相关的策略。

#### 1. 最小 API 级别

允许的最小 Android API 级别。

#### 2. 加密策略

是否启用加密。

**默认**: 该值将被忽略，即不需要加密。

**启用但无需密码**: 需要加密，但启动时无需输入密码。

**启用并需要密码**: 需要加密，且启动时需要输入密码。

#### 3. 自动日期和时间

是否在公司拥有的设备上启用自动日期、时间及时区。

**用户选择（默认）**: 自动日期、时间及时区由用户自行选择。

**强制执行**: 在设备上强制执行自动日期、时间及时区。

#### 4. 开发者选项

控制对开发者设置的访问权限：包括开发者选项和安全启动。

**已禁用（默认）**: 禁用所有开发者设置，并防止用户访问它们。

**允许**：允许所有开发者设置。用户可以访问并根据需要配置这些设置。

#### 5. 通用标准模式

控制通用标准模式——即信息技术安全评估通用标准 (CC) 中定义的安全性标准。启用通用标准模式会增强设备上的某些安全组件（例如：蓝牙长期密钥的 AES-GCM 加密、对某些网络证书的额外验证以及加密策略完整性检查）。通用标准模式仅在运行 Android 11 或更高版本的公司所有设备上受支持。警告：通用标准模式会强制执行严格的安全模型，通常仅为高度敏感的组织所需要。这可能会影响设备的标准使用；请仅在确有必要时启用。

**禁用（默认）**：禁用通用标准模式。

**启用**：启用通用标准模式。

#### 6. 内存标记扩展 (MTE)

控制设备上的内存标记扩展 (MTE)。

**用户选择（默认）**：用户可以选择在设备上启用或禁用 MTE（如果设备支持）。

**强制执行**：启用 MTE 且不允许用户更改（Android 14+；支持在公司所有设备的完全托管设备和工作资料中使用）。

**禁用**：禁用 MTE 且不允许用户更改（Android 14+；仅支持在完全托管设备中使用）。

#### 7. 内容保护

控制是否启用内容保护（用于扫描欺骗性应用）。此功能在 Android 15 及更高版本上受支持。

**禁用（默认）**：禁用内容保护，且用户无法更改此设置。

**强制执行**：启用内容保护，且用户无法更改此设置（Android 15+）。

**用户选择**：策略不控制内容保护；用户可以自行选择（Android 15+）。

#### 8. 辅助内容

控制是否允许将辅助内容 (AssistContent) 发送到具有特权的应用程序，例如助手类应用（例如“圈选即搜”）。辅助内容包括屏幕截图和有关应用的信息，例如包名。此功能在 Android 15 及更高版本上受支持。

**允许（默认）**：允许将辅助内容发送到特权应用（Android 15+）。

**禁止**：禁止将辅助内容发送到特权应用（Android 15+）。

#### 9. 禁用创建窗口

是否禁用除应用窗口之外的窗口创建。此选项可防止显示以下系统 UI：吐司消息 (toasts) 和 SnackBar、电话活动（如来电）和优先级电话活动（如通话中）、系统警报、系统错误以及系统叠加层。

#### 10. 网络紧急出口

是否启用网络紧急出口。如果在启动时无法建立网络连接，该紧急出口将提示用户临时连接到网络，以便刷新设备策略。应用策略后，系统将忘记该临时网络并继续启动设备。这可以防止在最后一次应用的策略中没有合适网络，且设备进入锁定任务模式的应用或用户无法访问设备设置时，导致无法连接到网络的情况。

#### 11. 默认活动

用于处理符合特定意图过滤器 (intent filter) 的意图的默认活动列表。例如，此功能允许 IT 管理员选择哪个浏览器应用自动打开网页链接，或在点击主页按钮时使用哪个启动器应用。

使用 **添加默认活动** 来创建条目。在条目内，使用 **添加操作** 和 **添加类别** 来构建意图过滤器。

##### 11.1. 接收器活动

应作为默认意图处理程序的活动。这应当是一个 Android 组件名称，例如 com.android.enterprise.app/.MainActivity。或者，该值也可以是应用程序的包名，这将使 Android 设备策略从该应用中选择合适的活动来处理意图。

##### 11.2. 操作

过滤器中要匹配的意图操作。如果过滤器中包含任何操作，则该意图的操作必须是这些值之一才能匹配。如果没有包含任何操作，则忽略意图操作。

##### 11.3. 类别

过滤器中要匹配的意图类别。一个意图包含其所需的类别，所有这些类别都必须包含在过滤器中才能匹配。换句话说，除非该类别已在意图中指定，否则向过滤器中添加类别不会对匹配产生影响。

#### 12. 允许的输入法

指定允许的输入法。

**全部允许**：不应用任何限制。允许所有输入法。

**仅限系统内置**：仅允许使用系统内置的输入法。

**仅限系统内置及提供的**：仅允许使用提供的以及系统内置的输入法。

##### 12.1. 允许的输入法

允许的输入法包名。仅在将 **允许的输入法** 设置为 **仅限系统内置及提供的** 时生效。

使用 **添加输入法** 来添加条目，并使用删除操作将其移除。

#### 13. 允许的辅助功能服务

指定允许的辅助功能服务。

**全部允许**：可以使用任何辅助功能服务。

**仅限系统内置**：仅允许使用系统内置的辅助功能服务。

**仅限系统内置及提供的**: 仅允许使用提供的以及系统内置的辅助功能服务。

##### 13.1. 允许的辅助功能服务

允许的辅助功能服务。仅在将 **允许的辅助功能服务** 设置为 **仅限系统内置及提供的** 时生效。

使用 **添加辅助功能服务** 来添加条目，并使用删除操作将其移除。

#### 14. 系统更新策略

用于管理系统更新的配置。

**默认**：遵循设备的默认更新行为，这通常需要用户接受系统更新。

**自动**：一旦有可用更新，立即自动安装。

**窗口期**：在每日维护窗口期内自动安装。此选项还会配置 Play 应用在窗口期内进行更新。对于自助服务终端 (Kiosk) 设备，强烈建议使用此选项，因为这是通过 Play 更新持久固定在前景中的应用的唯一方式。

**延迟**：延迟自动安装，最多可延迟 30 天。

##### 14.1. 维护窗口（仅限窗口期模式）

当 **系统更新策略** 设置为 **窗口期** 时，您可以使用 **从** 和 **至** 字段来定义每日维护窗口。

##### 14.2. 系统更新冻结期

每年重复出现的一个时间段，在此期间会推迟无线下载 (OTA) 系统更新，以冻结设备上运行的操作系统版本。为防止无限期冻结设备，每个冻结期之间必须间隔至少 60 天。每个冻结期不得超过 90 天。

使用 **添加系统更新冻结期** 来创建条目。

#### 15. 凭据提供程序默认设置

控制在 Android 14 及更高版本中允许哪些应用充当凭据提供程序。

**禁止（默认）**：未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序。

**除系统外禁止**：未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序，但 OEM 默认凭据提供程序除外。

# 位置与地理围栏

 此面板汇总了用于控制设备位置报告、位置强制执行和地理围栏定义的 Android 策略设置。当您希望 Cerberus Enterprise 收集设备位置，或检测设备何时进入或离开配置区域时，请使用此面板。

## 位置报告

### 报告位置

启用设备地理位置报告。通过此设置收集的位置数据将用于[**仪表板位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/d6459 "Dashboard location map")、设备概览位置历史记录以及地理围栏处理。

<p class="callout info"> 对于未进行完全管理的设备，位置数据仍可能取决于 Cerberus Enterprise 应用是否具有所需的位置权限，以及设备上是否已启用位置服务。 </p>

### 位置模式

 控制公司拥有的设备上的位置设置。

- **用户选择**：位置服务不受策略限制。
- **强制执行**：设备上的位置服务已启用。
- **已禁用**：设备上的位置服务已禁用。

### 禁用位置共享

 禁用工作应用的地理位置共享。在个人资料所有者 (Profile-owner) 设备上，此设置会影响工作资料。在全托管设备上，它将禁用整个设备的位置信息，并覆盖设备的定位模式。

## 处于活动状态的地理围栏下的自动行为

 处于活动状态的地理围栏需要启用位置报告才能正常工作。当至少有一个地理围栏处于活动状态时，Cerberus Enterprise 会自动保持相关的定位设置一致。

- 当存在活动状态的地理围栏时，将强制开启**报告位置**。
- **位置模式**被强制设置为**强制执行**。
- **禁用位置共享**将被强制关闭。

如果您尝试在存在一个或多个活动状态的地理围栏时禁用**报告位置**，Cerberus Enterprise 将显示确认对话框。如果您继续操作，策略中的所有活动状态的地理围栏都将被停用。

## 地理围栏列表

 一个策略最多可以包含 **10 个地理围栏**》。地理围栏名称在策略内必须是唯一的。

 使用 **添加地理围栏** 来创建新条目。每个地理围栏包含以下主要字段：

- **名称**：必填且必须唯一。
- **纬度**和**经度**：区域中心。
- **半径 (米)**：必填，范围为 **100** 至 **10000** 米。
- **描述**：供管理员使用的可选备注。
- **报告进入**和**报告离开**：选择应生成哪些转换事件。
- **活动状态**：启用或禁用该地理围栏，而无需将其删除。

<p class="callout info"> 每个地理围栏必须至少启用 **报告进入** 或 **报告离开** 中的其中一项。 </p>

## 地图编辑工具

 每个地理围栏卡片都包含该区域的地图预览。您可以直接从地图或通过数值字段进行编辑。

- 在区域编辑处于解锁状态时，点击地图即可移动地理围栏中心。
- 使用 **当前位置** 按钮，将地图中心定位到您当前的浏览器位置。
- 使用 **重新居中地图** 按钮，恢复该地理围栏的首选视口。
- 使用锁定按钮可防止误操作更改地理围栏几何形状。

## 地理围栏数据显示位置

 地理围栏转换可以在 Android [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview") 页面中，位置面板的 **地理围栏** 选项卡内进行查看。该选项卡会在专用地图上显示转换信息，并配有筛选工具和转换列表。

# 用户管理

##### 禁用添加用户

是否禁用添加新用户和资料。对于 managementMode 为 **DEVICE\_OWNER** 的设备，此字段将被忽略，且用户永远不允许添加或删除用户。

##### 禁用修改账户

是否禁用添加或删除账户。

##### 禁用用户凭据配置

是否禁用配置用户凭据。

##### 禁用删除用户

是否禁用删除其他用户。

##### 禁用设置用户图标

是否禁用更改用户图标。

##### 禁用设置壁纸

是否禁用更改壁纸。

##### 工作账号设置身份验证

控制用户在设置工作账号时的身份验证方式。此选项仅适用于由受管 Google 域 (Google Workspace) 支持的 Android 企业版。

在设备设置/注册期间，此策略会影响是否需要进行工作账号登录，但 Google 管理控制台中的 **使用 Google 进行身份验证** 设置以及注册令牌类型仍可能要求进行身份验证。

对于已注册的设备，此策略仅在设备由受管 Google Play 账号管理时（即未通过 **使用 Google 进行身份验证注册** 进行注册）时生效。

有关更多详细信息和故障排除，请参阅 [**使用 Google 进行身份验证注册**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google-tQA "Authenticate Using Google enrollment")。

##### 已拦截的账户类型

用户无法管理的账户类型。此选项可防止设备用户添加未经批准的账户。

使用 **添加已拦截的账户类型** 来添加一个或多个账户类型。

每个条目都有一个 **账户类型** 字段（必填）。输入字符串，例如 **com.google**。使用删除操作移除条目。

# 个人使用

在 [配置用于工作和个人使用的公司拥有的设备](https://enterprise.cerberusapp.com/docs/books/8efb1/page/8f532 "Company-owned devices for work and personal use")时，您可以指定一些规则来限制用户在工作资料之外进行个人使用时的设备操作方式。

<p class="callout info">本节仅适用于带有工作资料的公司拥有设备。对于完全管理的设备或个人拥有的设备，这些设置将不会产生影响。</p>

<div id="bkmrk-"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>#### 1. 禁用摄像头

是否禁用摄像头。

#### 2. 禁用屏幕截图

是否禁用屏幕截图。

#### 3. 工作模式关闭的最大天数

控制工作资料可以保持关闭状态的时长。

#### 4. 蓝牙共享

控制是否允许在带有工作资料的公司拥有设备上的个人资料中进行蓝牙共享。

#### 5. 私密空间

控制是否允许在设备上使用私密空间。

#### 6. Play 商店模式

此模式控制在个人资料的 Play 商店中，哪些应用对用户是允许或被拦截的。

**黑名单（默认）**: 所有应用均可用，任何不应出现在设备上的应用都应在 **应用** 栏目中明确标记为 **已拦截**。

**白名单**: 仅允许在个人资料中安装在 **应用** 栏目中明确指定且 **安装类型** 设置为 **可用** 的应用。

#### 7. 应用

必须在个人资料中允许或拦截的应用列表。该列表内容的行为取决于 **Play 商店模式** 的设置值。

要从 Play 商店添加新应用，请点击 **+** 图标。

##### 7.1. 安装类型

个人资料应用可以具备的安装行为类型。

**已拦截**: 该应用已被拦截，无法在个人资料中安装。

**可用**: 该应用可在个人资料中安装。

#### 8. 已拦截的账户类型

用户无法管理的账户类型。此选项可防止设备用户在个人资料中添加未经批准的账户。

<div id="bkmrk--0"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>

# 跨配置文件策略

仅适用于同时具有个人资料和工作资料的设备。

##### 跨配置文件复制/粘贴

从一个配置文件（个人或工作）复制的文本是否可以在另一个配置文件中粘贴。

**不允许 (默认)**：防止用户将从工作资料复制的文本粘贴到个人资料中。从个人资料复制的文本可以粘贴到工作资料中。

**允许**：在任一配置文件中复制的文本都可以在另一个配置文件中粘贴。

##### 跨配置文件数据共享

一个配置文件（个人或工作）中的数据是否可以与另一个配置文件中的应用共享。专门用于控制通过 Intent 进行的简单数据共享。其他跨配置文件通信渠道的管理（例如联系人搜索、复制/粘贴，  
或工作与个人应用互通）将分别进行配置。

**不允许**：防止数据在个人资料与工作资料之间进行双向共享。

**禁止从工作资料到个人资料 (默认)**：防止用户将数据从工作资料共享到个人资料中的应用。个人数据可以与工作应用进行共享。

**允许**：任一配置文件的数据都可以与另一个配置文件共享。

##### 工作资料小组件默认设置

工作资料小组件的默认行为。如果特定应用未定义小组件策略，则将遵循此处设置的默认值。

##### 跨配置文件应用功能

控制个人资料应用是否可以调用工作资料应用的函数。这需要 Android 16 或更高版本。

<p class="callout info">此设置取决于策略级的 **应用功能**选项（位于应用管理部分）。如果“应用功能”被设置为 **不允许**，则 API 将拒绝设置为 **允许** 的跨配置文件应用功能。 </p>

##### 个人资料中的工作联系人

存储在工作资料中的联系人是否可以在个人资料的联系人搜索和来电中显示。

**允许 (默认)**：允许工作资料中的联系人出现在个人资料中。

**不允许**：防止个人应用访问工作资料联系人及查询工作联系人。

**除系统应用外不允许**：防止大多数个人应用访问工作资料联系人，但 OEM 默认的拨号器、信息和联系人应用除外（Android 14 及以上版本）。

配置“个人资料中的工作联系人”时，您可以选择定义一个**豁免应用包名**列表。根据所选模式，这些豁免项将作为个人应用的白名单或黑名单。

# 状态报告

在本节中，您可以配置应从设备中检索哪些数据。状态数据可以在 [**设备状态**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/1a5b1 "Device status") 仪表板页面中查看。

##### 应用报告

是否启用应用报告。（关于已安装应用的报告信息。）

<p class="callout info">此选项是系统（用于伴侣应用集成）所必需的，且始终处于启用状态；无法禁用。</p>

##### 包含已移除的应用

是否在应用报告中包含已移除的应用。

##### 设备设置

是否启用设备设置报告。（关于设备上与安全相关的设置信息。）

##### 软件信息

是否启用软件信息报告。（关于设备软件的信息。）

##### 内存信息

是否启用内存报告。（与内存和存储测量相关的事件。）

##### 网络信息

是否启用网络信息报告。（设备网络信息。）

##### 显示信息

是否启用显示信息报告。对于带有工作资料的个人拥有设备，无法获取报告数据。（设备显示信息。）

##### 电源管理事件

是否启用电源管理事件报告。对于带有工作资料的个人拥有设备，无法获取报告数据。

##### 硬件状态

是否启用硬件状态报告。对于带有工作资料的个人拥有设备，无法获取报告数据。

##### 系统属性

是否启用系统属性报告。

##### 通用准则模式 (Common Criteria Mode)

是否启用通用准则模式 (Common Criteria Mode) 报告。

# 其他

#### 1. 禁用彩蛋游戏

设置中的彩蛋游戏是否已禁用。

#### 2. 跳过首次使用提示

用于在首次使用时跳过提示的标记。企业管理员可以启用此系统建议，让应用在首次启动时跳过用户教程和其他引导提示。

#### 3. 简短支持消息

在设置界面中，当管理员禁用了某项功能时向用户显示的提示消息。如果消息长度超过 200 个字符，可能会被截断。

#### 4. 长支持消息

在设备管理员设置界面中向用户显示的提示消息。

#### 5. 所有者锁屏信息

要在锁屏上显示的设备所有者信息。

#### 6. 设置操作

在设置过程中的操作。在注册期间，您可以要求用户打开一个或多个用于设备设置的应用。

使用 **添加设置操作** 来创建条目，并可通过删除操作将其移除。

##### 6.1. 启动应用

要启动的应用包名

##### 6.2. 标题

提供一条面向用户的消息，向用户解释为什么要启动该应用。

##### 6.3. 描述

提供一条面向用户的消息，向用户解释为什么要启动该应用。

#### 7. 企业显示名称可见性

控制企业显示名称是否在设备上可见（例如，作为公司拥有的设备上的锁屏消息）。

**可见 (默认)**：企业显示名称在设备上可见（支持 Android 7+ 的工作资料和 Android 8+ 的全托管设备）。

**隐藏**：企业显示名称在设备上被隐藏。

# 策略执行规则

如果设备或工作资料未能遵守下面列出的任何策略设置，Android 设备策略默认会立即拦截对该设备或工作资料的使用：

- **密码要求**
- **加密策略**
- **禁用锁屏界面 (Keyguard)**
- **允许的输入法**
- **允许的辅助功能服务**

如果设备或工作资料在 10 天后仍未符合规范，Android 设备策略将对设备进行恢复出厂设置或删除工作资料。

在本节中，您可以覆盖默认的合规执行规则或添加新规则。

#### 规则

定义当特定策略无法应用于设备时的行为规则列表。

使用 **添加规则** 来创建新规则。可以使用删除操作移除每个规则卡片。

##### 设置名称

要执行的顶级策略。例如，**应用**或**密码要求**。

**必填。** 该值必须与受支持的顶级策略名称匹配；否则，该字段将被标记为无效。

##### 在多少天后拦截

在设备或工作资料被拦截之前，策略处于非合规状态的天数。若要立即拦截访问，请设置为 0。**在多少天后拦截**必须小于 **在多少天后擦除**。仅适用于公司拥有的设备。

允许范围：0–300。

##### 拦截范围

指定拦截操作的范围。仅适用于公司拥有的设备。

默认（新规则）：**工作资料**。

**工作资料**: 拦截操作仅应用于工作资料中的应用。个人资料中的应用不受影响。

**整个设备**: 拦截操作应用于整个设备，包括个人资料中的应用。

##### 在多少天后擦除

在设备或工作资料被擦除之前，策略处于非合规状态的天数。  
**在多少天后擦除**必须大于 **在多少天后拦截**。仅适用于公司拥有的设备。

**必填。** 默认（新规则）：**1**。

允许范围：1–300。

##### 保留出厂重置保护

是否在设备上保留出厂重置保护数据。此设置不适用于工作资料。

默认（新规则）：已启用。