用户手册

在 Android 上，Cerberus Enterprise 使用 Google 官方的 Android 管理 API 来通过 Android 设备策略应用 (ADP) 管理设备。大部分设置由 ADP 直接强制执行。一些可选功能可能还需要 Cerberus Enterprise 辅助应用，该应用扩展了仅通过 ADP 能够实现的功能。

在 Apple 设备上，Cerberus Enterprise 通过 Apple MDM (移动设备管理) 管理设备。Apple 的管理需要一个 APNs 证书，并且可以选择与 Apple Business Manager 集成，以实现自动注册和应用授权。

每个设备都可以使用注册到系统中，方法是使用注册令牌或注册配置文件（Apple 手动注册）。注册方法与一个策略相关联，该策略包含应应用于设备的规则。

IT 管理员可以在设备注册后修改与该设备关联的策略。但是，每个设备一次只能关联一个策略。

在注册（配置）过程中，所需的管理组件将自动安装和配置。在 Android 设备上，通常包括 Android 设备策略应用程序（以及，根据您的配置，Cerberus Enterprise 助手应用程序）。在 Apple 设备上，设备注册后，管理通过 MDM 进行。因此，相应的策略将自动应用于设备，并且所有相关的规则都由平台管理系统强制执行。

一个策略可以应用于许多设备。在这种情况下，当您修改策略时，所有相关的设备都会接收到这些更改。

设置

Android 设备管理设置

要使用 Cerberus Enterprise 管理 Android 设备，您必须首先将您的组织连接到 Google Android Enterprise。

设置过程通常需要几分钟，并且需要一个 工作邮箱地址（例如，name@enterprise.com）。

设置过程中会发生什么？

您将被重定向到 Google Android Enterprise 页面。
您可以使用您的工作邮箱登录。
Google 会为您的组织创建 Android 管理账户。
您将返回 Cerberus Enterprise 页面以完成设置。

重要信息

请务必使用公司邮箱地址，不要使用个人 Gmail 帐户。此邮箱用于创建您的 Google 管理员帐户，以便进行 Android 设备管理。

下一步。

配置完成后，请创建 注册令牌，并选择适合设备的配置方法。

设置

Apple 设备管理设置 (APNs)。

要管理 Apple 设备，Cerberus Enterprise 需要 Apple 推送通知服务 (APNs) 证书。

请使用与您的组织关联的 Apple ID。APNs 证书的有效期为一年，每年必须续订以继续管理设备。

步骤 1：下载 CSR 文件。

在仪表板中，开始 Apple 设备管理设置，并下载 Cerberus Enterprise 生成的已签名证书请求文件 (CSR 文件)。

步骤 2：在 Apple 开发者门户中创建推送证书。

使用您的 Apple ID 登录 Apple 推送证书门户。
点击 “创建证书”。
请上传第 1 步中的 CSR 文件。
下载已创建的推送证书。

Portal链接：https://identity.apple.com/

步骤 3：上传推送证书。

将从 Apple 下载的推送证书上传回 Cerberus Enterprise，以完成设置。

如果 APNs 证书过期，Apple 设备管理将停止工作，直到证书续订。

下一步。

配置 APNs 后，您可以继续进行 Apple 设备注册。继续阅读 Apple 设备配置指南.

设备配置概览

Cerberus Enterprise 支持 Android 和 Apple 平台的设备管理。您可以根据需要独立配置任一平台。

1. 在仪表板中完成平台设置。

在注册设备之前，请在 Cerberus Enterprise 仪表板中完成平台设置。如果您的帐户尚未配置，仪表板将引导您完成所需的步骤。

Android 设置 (Google Android Enterprise)

如需了解完整的 Android 设置流程，请阅读 Android 管理设置。

转到控制面板的注册流程，然后选择 设置 Android 管理。
您将被重定向到 Google 页面，使用 工作账户进行登录并授权 Android Enterprise。
授权后，您将被重定向回 Cerberus Enterprise 完成设置。

Apple 设置 (APNs 推送证书)

有关完整的 Apple 设置流程，请阅读 Apple 管理设置 (APNs)。

转到仪表盘的注册流程，并选择配置 Apple 管理。
从 Cerberus Enterprise 下载 CSR 文件。
在 Apple Push Certificates Portal 中创建 APNs 证书，然后下载该证书。
将下载的证书上传回 Cerberus Enterprise，以启用对 Apple 设备的管理。

2. 注册设备。

完成平台设置后，选择与您的设备所有权模式和操作系统相匹配的注册方式。

Android 设备注册。

对于 Android 设备，注册由 注册令牌 驱动。根据设备是个人所有还是公司所有，选择适当的方法。

个人设备（BYOD/工作资料）：请参考此指南。
公司设备（工作和个人用途/工作配置）：请参考此指南。
公司所有设备（仅限工作使用/完全管理或专用）：请参考此指南。
零配置：请参考此指南.

Apple 设备注册

对于 Apple 设备，首先按照上述步骤完成 APNs 设置，然后按照 Apple 的配置指南进行操作：Apple 配置指南.

设备配置 - Android

支持的设备

通常，运行 Android 6+ 且安装了 Google Play 服务的设备都与 Cerberus Enterprise 兼容。

为了获得更好的用户体验，我们建议使用符合Android Enterprise 推荐的要求的设备。

某些功能仅限于特定的 Android 版本，或者在不同的操作系统版本下可能表现不同。有关特定功能的更多信息，请参阅文档中的策略章节。

Cerberus Enterprise 支持公司所有设备和个人设备，并提供两种管理模式：设备所有者模式和配置管理模式。

个人设备可以通过工作配置进行管理。这实现了“自带设备办公”（BYOD）方案，通过将员工的工作数据和应用与个人数据和应用隔离开，从而提高安全性和隐私性。此选项适用于员工已拥有的，希望将其注册到贵组织以供工作使用的设备。

公司所有的设备也可以通过工作配置进行管理，但您也可以选择完全托管选项，该选项允许对设备进行更严格的控制。具有工作配置的公司所有设备适用于您向员工提供公司设备以用于工作，同时仍允许个人使用的场景。完全托管的设备更适合于只能用于工作的设备，或用于专用设备（COSU，企业自有单用途设备），例如自助服务终端。

如需了解更多关于设备配置的信息，请参阅设备配置概览页面。

设备配置 - Android

注册令牌

Cerberus Enterprise 使用注册令牌来启动 Android 设备的注册（配置）过程。您选择的令牌定义了应用于已注册设备的初始策略，并影响允许的配置模式。

只有在完成 Android Management setup 之后，Android 注册令牌选项才可用。

在哪里可以找到注册令牌。

在仪表板中，打开 注册令牌。根据您的帐户配置，页面可能显示多个选项卡（Android 令牌、Google 登录注册、Apple 手动注册和 Apple 自动设备注册）。

如果您的 Android 企业版由管理的 Google 域名（Google Workspace）支持，仪表板也可能显示一个 使用 Google 注册进行身份验证 选项卡。有关启用和使用的详细信息，请参阅 使用 Google 注册进行身份验证。

Android 设备注册令牌列表。

Android 令牌选项卡显示所有令牌的表格。点击某行可打开令牌详细信息页面。

列

ID：内部令牌标识符。
状态：可用，已用（一次性令牌已使用），或已过期。
到期时间：到期日期/时间，或永久有效。
策略：分配给此令牌的策略（UI 提示也显示策略 ID）。
个人使用：允许 / 不允许 / 专用设备。
允许的使用方式：可多次使用或仅限一次。
用户：可选的用户，可预先分配给使用令牌注册的设备。

操作

每行包含一个删除操作（删除注册令牌）。当许可证过期时，删除功能将被禁用。
表格支持多行选择：您可以启用选择模式，选择多个令牌，然后使用 删除选定的令牌 功能进行删除。
使用刷新操作重新加载列表。表格支持分页显示（每页显示 10/25/50 项）。

创建新的注册令牌。

在“Android 令牌”选项卡中，点击 新建注册令牌 以打开令牌创建页面。如果您的许可证已过期，则“创建”按钮将被禁用。

令牌选项

1. 策略

必需。 该策略将自动应用于所有使用此令牌注册的设备。选择您的一项 Android 策略。如果您还没有策略，请先创建一个。

2. 用户

可选。如果已设置，新注册的设备将自动与此用户关联。

3. 个人使用。

是否允许在通过此注册令牌配置的设备上进行个人使用。

允许：适用于个人拥有的设备（工作模式）以及用于工作和个人使用的公司拥有的设备。
不允许：适用于仅用于工作用途的公司拥有的设备（完全托管）。
专用设备：适用于自助服务终端/专用设备（设备不与单个用户关联）。

4. 允许的使用方式。

选择是否允许令牌多次使用（多次）或仅使用一次（仅限一次）。

5. 过期时间

选择到期单位（分钟，小时，天，或永不过期）。如果未设置为“永不过期”，请输入到期值。允许的范围取决于所选单位，最高可达10,000天。

配置选项（仅限二维码）。

这些额外的选项已嵌入到二维码中，并在扫描二维码注册设备时生效。这些选项不适用于工作配置或通过注册 URL 或 Token 注册的设备。

Wi-Fi 配置

使用此功能，可以让设备在配置过程中自动连接到 Wi-Fi，以便下载和初始化管理应用。可用的字段包括 SSID、隐藏的 SSID、安全模式，以及（如果需要）密码。

您还可以配置 HTTP 代理（代理），并且，根据模式的不同，可以设置主机/ 端口、PAC URI 和 代理绕过主机。

其他选项

其他选项包括 本地设置、时区以及 跳过加密。

注册令牌的详细信息

当您打开令牌时，详细信息页面会显示令牌的配置和使用信息：

状态，到期时间，使用情况，个人使用，以及允许的使用。
令牌：原始注册令牌的值（可复制）。
注册 URL：一个 Google Android Enterprise 注册 URL（可复制并可通过电子邮件发送）。
二维码：显示在页面右侧，用于注册完全管理的设备。

如需了解分步配置步骤，请参考 Android 注册指南：个人设备，公司拥有的用于工作和个人用途的设备，公司拥有的仅用于工作用途的设备，以及零配置。

设备配置 - Android

个人拥有的设备

员工拥有的设备可以配置为使用工作配置。工作配置提供一个独立的区域，用于存储工作应用程序和数据，与个人应用程序和数据分开。大多数应用程序、数据和其他管理策略仅适用于工作配置，而员工的个人应用程序和数据保持私密。

要在个人设备上设置工作配置，请使用以下配置方法之一（确保注册令牌的允许个人使用设置为允许）：

注册令牌链接

Android版本

6.0+

您可以将注册链接提供给最终用户。当最终用户从其设备上打开该链接时，他们将按照提示完成工作配置设置。

从“设置”中添加工作配置。“设置”

Android版本

6.0+

要为用户设备设置工作配置，用户可以：

1. 前往设置 > Google > 设置与恢复。

2. 点击 “设置您的工作资料”。

这些步骤将启动一个配置向导，用于下载Android 设备策略到设备上。接下来，用户将被提示扫描二维码或手动输入注册令牌以完成工作资料的设置。

下载 Android 设备策略

Android版本

6.0+

要在设备上设置工作资料，用户可以从 Google Play 商店下载 Android 设备策略。安装应用程序后，系统将提示用户扫描二维码或手动输入注册令牌以完成工作资料的设置。

设备配置 - Android

公司所有设备，用于工作和个人用途。

配置公司拥有的设备并启用工作资料，这使设备既可用于工作，也可用于个人用途。在配置了工作资料的公司拥有的设备上：

大多数应用、数据和其他管理策略仅适用于工作资料。
员工的个人资料保持私密。但是，企业可以强制执行某些设备级别的策略和个人使用策略。
企业可以使用阻止范围来对整个设备或仅其工作资料执行合规性操作。
设备注销和设备命令适用于整个设备。

要设置具有工作配置文件的公司拥有的设备，请使用以下注册方法（确保注册令牌的 个人使用 设置为允许）：

二维码方式

Android版本

8.0+

在全新设备或已重置为出厂设置的设备上，用户（通常是 IT 管理员）需要连续点击屏幕六次，以触发设备提示用户扫描二维码。

设备配置 - Android

仅限公司所有设备，仅用于工作用途。

全面设备管理适用于仅供工作用途的公司拥有的设备。企业可以管理设备上的所有应用程序，并可以强制执行 Android 管理 API 的所有策略和命令。

您还可以通过策略将设备锁定到单个应用程序或一组应用程序，以实现特定的用途或用例。这部分完全管理的设备被称为专用设备。

要对公司拥有的设备进行完整管理，请使用以下注册方法之一（确保注册令牌的个人使用设置为禁止）：

二维码方式

Android版本

7.0+

在全新设备或已重置为出厂设置的设备上，用户（通常是 IT 管理员）需要连续点击屏幕六次，以触发设备提示用户扫描二维码。

DPC 标识方法

Android版本

5.1+

如果无法通过二维码添加 Android 设备策略，用户或 IT 管理员可以按照以下步骤配置一个完全管理的设备或专用设备：

1. 请按照新设备或恢复出厂设置后的设备上的设置向导进行操作。

2. 请输入Wi-Fi登录信息，以连接设备到互联网。

3. 当提示您登录时，请输入afw#setup，它将下载 Android 设备策略。

4. 扫描二维码或手动输入注册令牌，即可为设备配置。

设备配置 - Android

零配置

IT 管理员可以使用零配置注册方法配置公司拥有的设备，具体方法请参见 IT 管理员的零配置注册。当设备首次开机时，设备将自动强制进入 IT 管理员定义的设置。

IT 管理员可以预配置从授权的经销商处购买的设备，并使用 Cerberus Enterprise 控制面板进行管理。要连接您的零配置帐户，请转到控制面板中的 零配置 部分，然后按照说明进行操作。

Android版本	工作资料	完全托管设备	专用的设备
8.0+ (Pixel 7.1+)	✓	✓	✓

设备配置 - Android

使用 Google 注册进行身份验证。

使用 Google 注册进行身份验证（也称为 Google 注册身份验证），允许用户在 Android 设备注册过程中使用其 Google Workspace 帐户进行身份验证。

此功能仅适用于使用托管 Google 域（Google Workspace）的企业 Android 设备。

在哪里可以找到它？

在仪表板中，打开 注册令牌，然后选择 使用 Google 注册进行身份验证 选项卡。只有当配置了 Android 管理并且您的企业可用 Google Workspace 集成时，才会显示该选项卡。

启用（或禁用）Google 身份验证

Google 身份验证已在 Google 管理控制台 中启用。修改设置后，请返回 Cerberus Enterprise，并使用 刷新状态 重新加载当前配置。

使用管理员帐户登录到您的 Google 管理控制台。
打开设备。
转到 移动设备与终端 → 设置 → 第三方集成。
找到 Android EMM 集成，并打开它，以使用 Cerberus Enterprise。
点击 管理移动设备管理服务提供商。
切换 使用 Google 身份验证 以启用或禁用 Google 身份验证功能。
点击保存。
返回 Cerberus Enterprise 仪表盘，然后点击 刷新状态，位于 使用 Google 注册进行身份验证 选项卡。

Google 身份验证注册令牌

当启用 Google 身份验证时，仪表板会显示一个专用于此注册模式的注册令牌。该页面可以显示一个二维码，一个注册令牌值，以及一个注册 URL（可复制并可通过电子邮件发送）。

主要选项

允许个人使用：控制令牌是否可以为工作和个人用途注册设备（工作资料场景），或仅用于工作用途（完全管理/专用场景）。
备用默认策略：当注册用户未分配特定的 Google 身份验证默认策略时，将应用此策略。

策略交互

策略设置 工作帐户设置身份验证 (workAccountSetupConfig.authenticationType) 控制用户在工作帐户设置期间如何进行身份验证，但 Google 管理控制台上的设置 使用 Google 身份验证 以及注册令牌类型仍然可能需要身份验证。

对于已注册的设备，此策略仅在设备由受管的 Google Play 帐户管理时才生效（即，未通过使用 Google 注册进行注册）。

当许可证过期时，某些操作（例如修改令牌选项）可能会被禁用。

注册设备

注册期间，用户需要使用其 Google Workspace 帐户进行身份验证。注册成功后，该设备将与已验证的用户关联。

工作资料 (个人设备)

分享 注册链接 给用户。当用户在他们的 Android 设备上打开该链接时，他们将逐步完成工作资料的设置和 Google 身份验证。
或者，用户也可以从 Android 设置开始，选择工作资料设置流程，然后在提示时扫描二维码或输入注册令牌。

公司所有设备

二维码方法：在新的或已重置出厂设置的设备上，多次在同一位置点击屏幕，直到出现二维码提示，然后扫描仪表板中显示的二维码。
DPC 标识方法（当无法使用二维码扫描时）：按照设置向导进行操作，连接到 Wi-Fi，然后在提示输入登录信息时，输入 afw#setup，然后继续扫描二维码或输入注册令牌。在提示时，使用 Google Workspace 帐户进行身份验证。

关于Android设备的通用配置方法（工作资料与完全管理），请参阅本手册中的标准Android注册页面。

设备配置 - Apple

Apple 设备配置概览

Cerberus Enterprise 支持注册和管理 Apple 设备。Apple 设备配置需要 APNs 证书，可以使用不同的注册方法进行配置。

前提条件：配置 Apple 设备管理 (APNs)。

在注册任何 Apple 设备之前，请完成 Apple 设备管理 (APNs) 设置。

选择注册方式。

手动注册 (注册配置)。

此方法提供一个注册 URL 以及一个配置配置文件 (mobileconfig)，您需要在设备上安装该文件。请阅读 Apple 手动注册.

自动设备注册 (ADE)

此方法与 Apple Business Manager 集成，可自动为公司拥有的设备进行注册。了解 Apple 自动设备注册 (ADE).

您可以根据您的设备管理需求和购买流程，同时使用手动注册和 ADE 两种方式。

设备配置 - Apple

Apple 设备手动注册 (注册配置文件)

Cerberus Enterprise 支持通过注册 URL 和注册配置文件，对 Apple 设备进行手动注册。

当配置了 Apple 设备管理 (APNs) 时，可以使用手动注册功能。如果您尚未完成 APNs 设置，请阅读 Apple 设备管理 (APNs) 设置。

获取注册链接和配置文件。

在仪表板中打开注册区域，并选择 Apple 手动注册（注册配置文件） 选项卡。
复制 注册链接，或者使用通过电子邮件发送的注册方式。
下载 注册配置文件 (mobileconfig 文件).

如何注册 iPhone 或 iPad

iOS/iPadOS 15.0 或更高版本

将设备注册配置文件（enroll.mobileconfig）发送到设备，或在设备的 Safari 浏览器中打开注册 URL。
在设备上，打开设置 → 已下载配置 → 安装，然后按照说明进行操作。
注册完成后，您可以在设置 → 常规 → VPN 与设备管理（或 配置文件与设备管理）中查看状态。

请仅安装从您的 Cerberus Enterprise 控制面板获取的注册配置文件。

设备配置 - Apple

苹果自动化设备注册 (ADE)

自动化设备注册 (ADE) 与 Apple Business Manager (ABM) 集成，可在设备首次开机时（或恢复出厂设置后）自动注册公司拥有的设备。

ADE 需要先配置 Apple Management (APNs)。如果需要，请参阅 Apple Management setup (APNs).

如何自动注册设备？

将设备添加到您的 Apple Business Manager 帐户。
将新设备添加到您的 ABM 帐户后，请从 Cerberus Enterprise 的设备部分，使用 从 ABM 同步 操作进行同步。
在仪表板中创建 ADE 配置文件，路径为：设备注册 → Apple 自动化设备注册 (ADE) → 新的 ADE 配置文件。
使用 ADE 配置文件 字段，从设备详情页面为设备分配一个 ADE 配置文件。

ADE 配置文件设置（概览）

ADE 配置文件控制设备的注册方式以及配置向导的行为。在 Cerberus Enterprise 中，一个 ADE 配置文件包括一个名称、一个可选的初始策略以及一些注册选项。

配置文件名称

为配置文件指定一个易读的名称（例如，默认设备策略配置文件）。

策略

该策略最初适用于已注册的设备。在创建新的 ADE 配置文件时，您可以分配策略。

注册选项

MDM 可移除：控制是否允许从设备中移除 MDM 配置。
允许配对：控制是否允许配对（Apple 在 iOS 13 中已弃用）。
自动配置：自动完成配置向导的各个步骤。
等待设备配置完成：此功能会阻止配置向导继续，直到服务器将设备标记为已配置。
强制：防止在配置过程中跳过策略应用。
多用户（共享iPad模式）：配置设备以支持共享iPad模式。
受管：请求对设备进行管理。

在设备分配了 ADE 配置文件后，它即可自动注册。

策略概览

“策略”部分位于仪表盘（仪表盘 → 策略）中，列出了您账户中的所有策略，并允许您创建、复制、编辑和删除策略。

策略列表

策略以表格形式显示。点击某一行将打开相应的策略编辑器。

列

ID：内部策略标识符。
MDM：用于管理策略的平台（适用于Android或Apple设备）。
名称：策略名称。
描述：策略描述。
设备：当前已分配到该策略的设备数量。

筛选和搜索

如果同时配置了 Android 管理和 Apple 管理，您可以按全部、Android或Apple进行筛选。
您可以启用搜索功能，并按策略名称或描述进行搜索。

刷新和分页

使用刷新操作重新加载列表。
表格已分页显示（每页显示10/25/50个项目）。

创建新的策略

在“策略”页面的底部，您可以创建新的策略。根据您账户中配置的平台，您可能会看到以下一项或两项操作：

创建新的Android策略
创建新的Apple策略

如果您的许可证已过期，则无法创建策略（以及其他需要写入权限的操作）。

复制和删除策略。

每条策略行都有一个操作菜单，其中包含“复制策略”和“删除策略”。

删除策略警告

删除策略时，仪表板可能会根据策略的使用方式显示额外的警告。

如果策略已分配给已注册的设备，则删除该策略将取消注册相关设备，并擦除其应用和数据。
如果策略已分配给注册令牌，则这些令牌可能将无法完成注册。
如果将该策略设置为 Google 身份验证注册的默认设置（全局或针对某些用户），则删除该策略可能会导致注册失败。

删除多个策略。

策略列表支持多行选择，可批量删除。在多选模式下，您可以选择多个策略，并一次性删除它们。

批量删除仅在所选的所有策略都属于同一平台（全部为 Android 或全部为 Apple）时才可用。

下一步：编辑策略设置

策略列表是入口。要配置策略设置，请使用相应的编辑器文档：策略 → Android 和 策略 → Apple。

通过注册令牌引用的策略，将在设备注册过程中自动应用。

策略 - Android

摘要。

Android 策略是系统的核心组件：它们定义了应用于并强制执行于受管设备上的规则。

您可以在仪表板的策略部分浏览现有策略并创建新的策略。要打开一个 Android 策略，请在表格中单击该策略的行，系统将打开 策略编辑器 页面。

策略可以与注册令牌相关联，因此它将在设备配置过程中自动应用。您也可以在配置完成后更改已分配给设备的策略。

每个设备一次最多只能关联一个策略。

许多策略选项仅适用于特定设备类型（完全管理、专用、工作资料）和 Android 版本。不支持的设置可能被设备忽略，或者报告为不符合要求。

策略编辑器布局

策略编辑器以可展开的区域组织。在页面的顶部，您可以随时编辑：

名称（必填）
ID (只读)
描述（可选）

以下部分对应策略编辑器的各个面板（例如：应用管理、安全、网络、系统、个人使用、跨配置策略等）。请使用本手册的章节页面，详细了解每个面板。

保存、删除和关联的设备。

使用 保存策略以应用您的更改。当没有未保存的修改时，或当许可证已过期时，该按钮将被禁用。

如果您打开了一个现有的策略（它具有 ID），页面底部会显示一个 删除策略 按钮和一个 关联设备 列表，以便您了解当前有多少设备正在使用该策略。

策略 - Android

应用管理

在本部分，您可以设置与应用程序可用性、安装、更新以及权限管理相关的策略。

已配置的设备会自动创建“受管 Google Play 帐户”。

1. 应用商店模式

此模式控制用户在 Google Play 商店中可用的应用程序，以及从策略中删除应用程序时设备上的行为。

白名单（默认）: 只有策略中包含的应用程序才能使用，策略中未包含的应用程序将自动从设备上卸载。Google Play 商店只会显示可用的应用程序。

黑名单：所有应用均可使用，不允许在设备上安装的应用，应在应用策略中明确设置为禁止安装。Google Play 商店将显示所有应用，但会排除被禁止的应用。

2. 不可信应用策略

设备上强制执行的不可信应用策略（来自未知来源的应用）。此选项控制 Android 系统设置，该设置决定用户是否可以从 Play 商店外部安装应用程序（即旁加载）。

禁止（默认）：禁止在整个设备上安装不受信任的应用程序。

仅限个人资料：对于具有工作配置的设备，仅允许在设备的个人资料中安装不受信任的应用程序。

允许：允许在整个设备上安装不受信任的应用程序。

3. Google Play 保护功能

是否强制执行 Google Play 保护应用验证。

强制执行（默认）：强制启用应用验证。

用户选择：允许用户选择是否启用应用验证。

4. 默认权限策略

授予应用运行时权限请求的策略。

提示（默认）：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

5. 应用功能

控制是否允许完全管理的设备或工作资料中的应用公开其功能。需要 Android 16 或更高版本。

允许 (默认)：完全管理的设备或工作资料中的应用可以公开其功能。

禁止：在完全管理的设备或工作资料中的应用，不允许公开其功能。

6. 安装被禁用的应用程序

是否禁止用户安装应用程序。

7. 禁止卸载应用程序。

用户是否被禁止卸载应用程序。

8. 权限策略

为所有应用程序设置明确的权限、授权或拒绝。这些设置会覆盖默认权限策略的设置。

使用 添加权限策略来创建条目，并使用删除操作来移除它们。

每个条目包含：

Android 权限/组：Android 权限或组（必需），例如 android.permission.READ_CALENDAR 或 android.permission_group.CALENDAR。

策略：允许 / 拒绝 / 提示（使用与默认权限策略相同的策略选项）。

9. 应用程序

必须包含在策略中的应用程序列表。此列表的内容的行为取决于“应用商店模式”的设置。

如果“应用商店模式”设置为“白名单”，则只有策略中包含的应用程序可用，并且任何不在策略中的应用程序都将自动从设备上卸载。

如果 应用商店模式设置为 黑名单，则所有应用都可用，并且任何不应在设备上的应用都应在应用程序策略中明确标记为禁止。

要添加新的应用程序，请单击“添加应用程序”按钮（或“添加应用程序”图标），然后在应用卡中，从 Play 商店选择应用程序，然后单击“选择”按钮。

所有在您所在国家/地区的 Google Play 商店上发布的应用程序默认情况下都可供选择。要选择您自己的私有或 Web 应用程序，您必须首先将其上传到系统中。更多信息请阅读 私有应用程序 页面。

每个应用程序都可以配置自己的设置，这些设置以卡片的形式直观地呈现。

9.1. 安装类型

用于安装应用程序的安装类型。

可用： 该应用可供安装。

已预装：该应用已自动安装，用户可以将其卸载。

强制安装：该应用已自动安装，用户无法将其卸载。

已阻止：该应用已被阻止，无法安装。如果该应用是在之前的策略下安装的，则将被卸载。

首次设置时需要：该应用将自动安装，用户无法手动卸载，并且在安装完成之前，设置将无法继续。

Kiosk模式：该应用将自动以 Kiosk 模式安装：它被设置为首选主界面，并且已在锁屏任务模式下被白名单。设备设置将在应用安装完成之前无法继续。安装完成后，用户将无法卸载该应用。您只能为每个策略设置一个应用的安装类型。当该设置存在于策略中时，状态栏将自动禁用。有关更多信息，请阅读专门的Kiosk 模式页面。

9.2. 安装约束条件

定义应用的安装限制。当选择了多个限制条件时，所有条件必须满足才能安装该应用。

此选项仅在 安装类型 为预装或 强制安装 时显示。

无流量网络：仅在设备连接到无流量网络时（例如 Wi-Fi）安装应用程序。

充电中：仅当设备正在充电时安装应用。

空闲状态：仅当设备处于空闲状态时安装应用。

9.3. 自动更新模式

控制应用的自动更新模式。

默认设置： 应用将以较低优先级自动更新，以最大限度地减少对用户的干扰。当满足以下所有条件时，应用将进行更新：(1) 设备未处于活跃使用状态；(2) 设备已连接到非计费网络；(3) 设备正在充电。设备会在开发者发布新版本后的 24 小时内收到通知，之后，当上述条件再次满足时，应用将进行更新。

延迟：应用在过期后最多 90 天内不会自动更新。90 天后，最新版本将以较低优先级自动安装（请参阅默认自动更新模式）。应用更新后，除非再次过期，否则在接下来的 90 天内不会再次自动更新。用户可以随时从 Google Play 商店手动更新应用。

高优先级：应用会尽快更新。不适用任何限制。设备在可用时会立即收到新更新的通知。

9.4. 最低版本代码

设备上运行的最低应用版本。如果已设置，设备会尝试将应用更新到至少此版本代码。如果应用未更新到最新版本，设备将显示 不合规详情，其中 不合规原因 设置为 APP_NOT_UPDATED。应用必须已发布到 Google Play，且版本代码大于或等于此值。每个策略最多可指定 20 个应用的最低版本代码。

9.5. 授权范围

来自 Android 设备策略授予应用的权限范围。您可以授予其他应用选择性的 Android 特殊权限：

证书安装：授予访问证书安装和管理的权限。

受管配置：授予访问受管配置管理权限。

阻止卸载：授予访问阻止卸载的权限。

权限：授予访问权限策略和权限授予状态的权限。

应用包访问权限：授予访问应用包访问状态的权限。

系统应用：授予启用系统应用的权限。

9.6. 首选网络

用于此应用程序的首选网络服务。如果已设置，当可用时，该应用程序将使用指定的企业网络切片进行连接。此设置必须与 5G 网络切片配置 部分中配置的网络切片相匹配，该部分位于蜂窝面板。

9.7. 默认权限策略

这是适用于所有应用请求的默认策略。如果已指定，则会覆盖应用级别设定的默认权限策略，该策略适用于所有应用。它不会覆盖应用于所有应用的权限策略。

提示（默认）：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

9.8. 连接工作和个人应用。

是否允许应用在设备的办公和个人模式之间进行通信，需获得用户许可（Android 11 及以上版本）。

不允许 (默认)：阻止应用在不同用户配置文件之间进行通信。

允许：在获得用户许可后，允许应用在不同用户配置文件之间进行通信。

9.9. 始终开启的 VPN 锁定例外设置

指定当 VPN 未连接且 设备锁定 处于活动状态时，应用程序是否允许进行网络连接。仅支持运行 Android 10 及更高版本的设备。

强制 (默认)：该应用会遵循始终开启的 VPN 锁定设置。

排除：该应用不受始终开启的 VPN 锁定设置的影响。

9.10. 工作资料小部件

指定是否允许安装在工作资料中的应用将小部件添加到主屏幕。

允许：该应用可以向主屏幕添加小部件。

不允许：该应用无法向主屏幕添加小部件。

9.11. 用户控制设置

指定是否允许用户对特定应用进行控制。用户控制包括强制停止和清除应用数据等操作（Android 11 及以上版本）。如果启用了 extensionConfig，则无论此设置如何，都将禁用用户控制。对于专用的应用，可以使用允许选项来允许用户控制。

未指定：使用应用的默认行为来确定是否允许用户控制。

允许：该应用允许用户控制。

不允许：该应用禁止用户控制。

9.12. 已禁用。

是否已禁用应用。禁用后，应用数据仍会保留。

9.13. 允许凭据提供程序。

是否允许该应用在 Android 14 及更高版本中充当凭据提供程序。

9.14. 受管配置

要配置应用的受管设置，请点击“启用受管配置”按钮。如果应用已设置了受管配置，您可以使用“受管配置”按钮进行修改，或使用“删除配置”按钮进行删除。

受管配置选项仅适用于支持此功能的应用程序。

9.15. 权限策略

为应用程序设置显式授权或拒绝权限。这些值会覆盖默认权限策略和权限策略，这些策略适用于所有应用程序。

使用添加权限策略，可以为应用程序添加一个或多个权限规则，并通过删除操作移除它们。

9.16. 跟踪ID

设备可以访问的应用程序内部测试版本ID列表。如果选择了多个版本ID，设备将获取所有可访问版本中最新版本。如果未选择任何版本ID，设备仅能访问应用程序的正式版本。

版本ID选项仅适用于已为您的组织配置至少一个版本ID的应用程序。有关如何将您的组织添加到特定应用程序的内部测试版本的详细信息，请阅读此处.

10. 默认应用程序设置

为支持的类型设置默认应用。如果已为至少一种类型设置了默认应用，则用户将无法在该配置中使用更改默认应用的选项。

每个默认应用类型只能设置一个默认应用。默认应用列表中不得包含重复项。

10.1. 默认应用类型

选择要配置的应用类别（例如：浏览器、拨号、短信、钱包或助手）。可用性取决于 Android 版本和管理模式。

10.2. 默认应用程序范围。

选择默认应用适用的范围（完全管理、工作资料或个人资料）。只能选择与所选类型兼容的范围。

如果所选的任何范围都不适用于设备的管理模式，则设备将报告不符合要求的详细信息。

10.3. 默认应用程序

可设置为所选类型的默认应用的列表。已安装且符合条件的第一个应用将被设置为默认应用。

如果权限范围包括完全管理或工作资料，则每个应用也必须在应用列表中，并且安装类型不能设置为禁止。

11. 私钥选择

允许在设备上显示UI，以便用户选择私钥别名，如果选择私钥规则中没有匹配的规则。

对于Android P及以下版本的设备，设置此项可能会使企业密钥面临安全风险。

12. 选择私钥规则

控制应用对私钥的访问权限。该规则确定，如果存在，Android 设备策略将授予哪个私钥给指定的应用程序。访问权限的授予方式有两种：一是当应用程序调用 KeyChain.choosePrivateKeyAlias（或其任何重载函数）以请求给定 URL 的私钥别名时；二是对于非 URL 相关的规则（即，如果 urlPattern 未设置、为空字符串或设置为 ".*"），在 Android 11 及以上版本中，可以直接授予访问权限，从而允许应用程序调用 KeyChain.getPrivateKey，而无需先调用 KeyChain.choosePrivateKeyAlias。当应用程序调用 KeyChain.choosePrivateKeyAlias 时，如果多个 choosePrivateKeyRules 规则匹配，则最后一个匹配的规则将定义要返回的密钥别名。

使用 添加私钥规则来创建条目，并使用删除操作来移除它们。

12.1. 私钥别名

用于私钥的别名。

12.2. URL 模式。

用于匹配请求 URL 的 URL 模式。如果未设置或为空，则匹配所有 URL。此处使用 java.util.regex.Pattern 的正则表达式语法。

12.3. 软件包名称

此规则适用的软件包名称。系统会验证每个应用的签名证书的哈希值，并与 Play 提供的哈希值进行比较。如果未指定任何软件包名称，则该别名将提供给所有调用 KeyChain.choosePrivateKeyAlias 或其任何重载的方法（但必须先调用 KeyChain.choosePrivateKeyAlias，即使在 Android 11 及更高版本上也是如此）。任何具有与此处指定的软件包相同的 Android UID 的应用，在调用 KeyChain.choosePrivateKeyAlias 时都将获得访问权限。

使用 添加软件包名称 来添加条目，并使用删除操作来移除它们。

要删除一个应用，请点击应用卡片底部的 垃圾桶 图标。

策略 - Android

Kiosk 模式

使用 Kiosk 模式，您可以限制设备的可用功能，仅允许使用单个或多个应用程序。选择单应用或多应用 Kiosk 模式取决于您的业务目标。

在单应用 Kiosk 模式下，设备被配置为仅运行一个应用程序，并且不允许最终用户访问设备上的其他应用程序。用户也无法退出该应用程序，使其成为专门用于该特定应用程序的设备。要启用此模式，请在应用管理部分中指定一个应用程序，并将安装类型设置为Kiosk。

在 多应用模式下的自助服务终端中，设备可以访问多个应用程序。最终用户可以通过自定义启动器在多个应用程序之间进行切换。要启用此模式，请启用 自助服务终端自定义启动器选项。

当启用了极简模式时，您还可以配置最终用户是否可以访问某些系统功能，例如系统设置和状态栏。

极简模式自定义启动器。

确定是否启用此设备定制启动器。如果启用，则将替换主屏幕，并使用一个启动器来锁定设备，仅显示通过 应用管理 设置安装的应用程序。已安装的应用程序会按字母顺序显示在单个页面上。

电源按钮操作

设置用户长按电源按钮时，设备在 Kiosk 模式下的行为。

可用 (默认)：当设备处于 Kiosk 模式时，用户长按电源按钮会显示电源菜单（例如，关机、重启）。

已禁用：当设备处于 Kiosk 模式时，用户长按电源按钮将不会显示电源菜单（例如，关机、重启）。注意：这可能会阻止用户关闭设备。

系统错误提示信息

在设备托管模式下，是否阻止因崩溃或无响应而出现的应用程序系统错误对话框。如果被阻止，系统将强制停止该应用程序，就像用户在UI上选择了“关闭应用程序”选项一样。

已阻止（默认）：所有系统错误对话框，例如崩溃和应用程序无响应（ANR）均被阻止。如果已阻止，系统将强制停止该应用程序，就像用户从UI界面关闭应用程序一样。

已启用：所有系统错误对话框，例如崩溃和应用程序无响应（ANR）都会显示。

指定在 Kiosk 模式下启用的导航功能（例如：主页、概览按钮）。

禁用（默认）：主页和概览按钮不可用。

仅限主页：仅启用主页按钮。

已启用：主页和概览按钮已启用。

状态栏

指定在设备托管模式下，是否禁用系统信息和通知。

禁用 (默认)：在设备托管模式下，系统信息和通知将被禁用。

仅系统：仅显示系统信息在状态栏上。

已启用：在Kiosk模式下，系统信息和通知会显示在状态栏上。注意：要使此策略生效，必须使用`kioskCustomization.systemNavigation`启用设备的Home键。

设备设置

指定是否允许在 Kiosk 模式下使用“设置”应用。

允许（默认）：在 Kiosk 模式下允许访问“设置”应用。

已阻止：在 Kiosk 模式下，不允许访问“设置”应用。

策略 - Android

安全

在本部分，您可以配置与安全相关的策略。

安全风险操作

在状态报告中，选择当设备报告安全风险时应执行的操作。

支持的安全风险类型：

未知操作系统: Play Integrity API 检测到设备正在运行未知操作系统（basicIntegrity 检查成功，但 ctsProfileMatch 失败）。

已受损的操作系统：Play Integrity API 检测到设备正在运行受损的操作系统（basicIntegrity 检查失败）。

硬件安全评估失败：Play Integrity API 检测到设备未提供系统完整性的强有力保障，如果设备完整性字段中未显示 "MEETS_STRONG_INTEGRITY" 标签。

可用的操作：

清除企业数据（默认）：取消注册并擦除工作数据（如果是完全管理的设备，则擦除整个设备；如果是基于配置文件的设备，则仅擦除工作配置文件）。

不执行任何操作：保留设备的注册状态，不自动执行任何操作。

当您选择清除公司数据时，您还可以配置擦除选项：

保留出厂重置保护：擦除设备时，保留设备的出厂重置保护 (FRP) 数据。

擦除外部存储：在执行擦除操作时，还可以选择擦除设备的外部存储（例如 SD 卡）。

擦除 eSIM：对于公司拥有的设备，此操作会在设备被擦除时删除设备上的所有 eSIM。对于个人拥有的设备，此操作将删除设备上的受管理 eSIM（通过 ADD_ESIM 命令添加的 eSIM），而不会删除任何个人 eSIM。

1. 最大锁定时长

用户活动到设备锁定的最大时长（单位：秒）。值为 0 表示无限制。

2. 充电时保持开启。

当设备连接充电器时，以下模式会保持设备开启。使用此设置时，建议清除“最大锁定时间，以防止设备在保持开启状态时自动锁屏。

交流电源适配器：电源来自交流电源适配器。

USB 接口：电源来自 USB 接口。

无线充电器：电源为无线。

3. 禁用锁屏。

如果为真，则禁用主显示屏和/或辅助显示屏的锁屏功能。此策略仅在专用的设备管理模式下支持。

4. 密码要求

密码策略。

使用配置密码要求以添加一个或多个密码要求规则。使用清除所有以删除所有已配置的密码要求。

密码要求可以使用自动范围（单个要求）或独立的设备/工作配置范围。基于复杂度的要求必须与相同范围的基于质量的要求结合使用。

4.1. 适用范围

密码要求的适用范围。

自动：范围未明确指定。密码要求适用于工作设备的配置文件，以及完全托管或专用设备上的整个设备。

设备：密码要求仅适用于该设备。

工作资料：密码要求仅适用于工作资料。

4.2. 密码历史记录长度

密码历史记录长度。设置此项后，用户将无法输入与历史记录中任何密码相同的密码。如果值为 0，则表示没有限制。

4.3. 最大允许的错误密码次数，超过次数将触发设备擦除。

设备解锁密码错误次数限制。设置为 0 表示无限制。

4.4. 密码过期超时时间（天）。

此设置会强制用户定期更新密码，具体时间间隔为指定的天数。

4.5. 强制密码解锁。

使用强认证方式（密码、PIN 码、图案）解锁设备或工作资料后，设备可以在指定时间内使用其他认证方式（例如指纹、信任代理、面部识别）进行解锁。指定时间过后，只能使用强认证方式解锁设备或工作资料。

设备默认值：超时时间已设置为设备的默认值。

每天：超时时间已设置为24小时。

4.6. 密码强度

所需的密码强度。

复杂度高：定义高复杂度密码的范围：在 Android 12 及更高版本上：密码不能包含重复（4444）或有序（1234、4321、2468）的数字序列，长度至少为 8；字母密码长度至少为 6；字母数字密码长度至少为 6。

中等复杂度：定义中等密码复杂度范围为：PIN 码不允许包含重复数字（如 4444）或有序数字序列（如 1234、4321、2468），长度至少为 4；仅包含字母的密码，长度至少为 4；包含字母和数字的密码，长度至少为 4。

复杂度低：定义低密码复杂度范围为：模式；PIN 码不允许包含重复数字（如 4444）或有序数字序列（如 1234、4321、2468）。

无：未设置密码要求。

弱：设备必须采用至少一种低安全级别的生物识别技术进行安全保护。这包括能够识别个人身份的技术，其安全性大致相当于一个3位数的PIN码（误识别率低于1000分之一）。

任意：需要设置密码，但密码内容没有限制。

数字：密码必须包含数字字符。

复杂数字：密码必须包含数字字符，且不能包含重复数字（如4444）或有序数列（如1234、4321、2468）。

字母：密码必须包含字母（或符号）字符。

字母数字：密码必须同时包含数字和字母（或符号）字符。

复杂：密码必须满足 passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbols 等中指定的最低要求。例如，如果 passwordMinimumSymbols 的值为 2，则密码必须包含至少两个特殊字符。

4.7. 最小长度

密码最小长度。值为 0 表示无限制。

4.8. 最小字母数。

密码所需最小字母数。

4.9. 密码所需最小小写字母数。

密码所需最小小写字母数。

4.10. 密码所需最小大写字母数。

密码所需最小大写字母数量。

4.11. 密码所需最小非字母字符数。

密码所需最小非字母字符数（包括数字和符号）。

4.12. 最小数字位数。

密码所需的最少数字位数。

4.13. 最少符号数。

密码中至少需要输入的字符数量。

4.14. 统一锁定。

控制是否允许为设备和工作资料启用统一锁定，仅适用于运行 Android 9 及更高版本的、具有工作资料的设备。对其他设备无效。

允许统一锁定：允许为设备和工作资料设置统一的锁定方式。

强制使用独立的工作资料锁定：需要为工作资料设置独立的锁定方式。

5. 恢复出厂设置功能已禁用。

从设置中恢复出厂设置功能已禁用。仅适用于完全管理的设备。

6. 恢复出厂设置保护。

用于设备恢复出厂设置保护的管理员电子邮件地址。当设备发生未经授权的出厂重置时，需要其中一位管理员使用Google帐户的电子邮件和密码登录以解锁设备。如果未指定管理员，则设备将不会提供恢复出厂设置保护功能。仅适用于完全管理的设备。

管理员邮箱：使用 启用恢复出厂设置保护 功能开始配置管理员。然后，使用 添加管理员邮箱 添加地址，并使用删除操作移除它们。

7. 锁屏功能

可禁用锁屏功能。

7.1. 禁用所有。

禁用所有当前和未来的锁屏自定义设置。

7.2. 禁用摄像头。

禁用安全锁屏（例如 PIN 码）上的摄像头。

7.3. 禁用通知。

禁用在安全锁屏界面显示所有通知。

7.4. 禁用未经过审查的通知。

禁用在安全锁屏界面上的未审查通知。

7.5. 忽略信任代理的状态。

忽略安全锁屏上的信任代理状态。

7.6. 禁用指纹识别。

禁用指纹传感器，适用于安全锁屏界面。

7.7. 禁止在通知中输入文本。

禁止在安全锁屏通知中输入文本。

7.8. 禁用面部识别。

禁用面部识别功能，适用于安全锁屏。

7.9. 禁用虹膜识别功能。

禁用虹膜认证功能，仅限安全锁屏界面。

7.10. 禁用所有生物识别认证。

禁用所有安全锁屏上的生物识别认证。

7.11. 禁用所有快捷方式。

禁用 Android 14 及以上版本中安全锁屏上的所有快捷方式。

策略 - Android

多媒体

在本部分，您可以配置摄像头/麦克风的行为、USB数据访问、打印以及显示相关的限制。

1. 摄像头访问权限。

控制摄像头的使用权限，以及用户是否可以启用/禁用摄像头访问功能（Android 12 及更高版本）。通常，禁用摄像头会影响整个设备（对于完全管理的设备），仅影响工作资料中的设备（对于使用工作资料的设备）。

用户选择（默认）：默认设备行为。摄像头可用，并且（Android 12 及更高版本）用户可以切换摄像头访问权限。

禁用：所有摄像头均被禁用（完全管理：设备范围内；工作配置文件：仅适用于工作配置文件应用）。在受管理范围内，摄像头访问权限的开关设置无效。

已启用：摄像头可用。在完全管理的Android 12+设备上，用户无法切换摄像头访问权限。在其他设备/版本上，其行为类似于用户选择。

2. 麦克风访问权限

在完全管理的设备上，可控制麦克风的使用，以及用户是否可以访问麦克风访问开关（Android 12 及更高版本）。此设置对非完全管理的设备无效。

用户选择（默认）：默认行为。麦克风可用，并且（Android 12 及更高版本）用户可以启用或禁用麦克风访问。

禁用：麦克风已禁用（全局设置）。启用或禁用麦克风访问的开关将不起作用。

强制：麦克风可用。在 Android 12 及更高版本中，用户无法切换麦克风访问权限。在 Android 11 及更低版本中，其行为类似于用户的选择。

3. USB 数据访问

控制哪些文件和/或数据可以通过 USB 传输。仅适用于公司拥有的设备。

禁止文件传输（默认）：禁止文件传输，但仍允许其他 USB 数据连接（例如鼠标/键盘）。

禁止数据传输：禁止所有类型的 USB 数据传输（Android 12 及更高版本，且使用 USB HAL 1.3 及更高版本）。如果不支持，设备将回退到“禁止文件传输”模式。

允许数据传输：允许所有类型的 USB 数据传输。

4. 打印

是否允许打印 (Android 9+)。

允许（默认）：允许打印。

禁止：不允许打印（Android 9及更高版本）。

5. 屏幕亮度设置

控制屏幕亮度模式，并（可选）设置亮度值。

屏幕亮度模式：

用户选择（默认）：允许用户自定义屏幕亮度。

自动：亮度自动调整，用户无法手动更改。您仍然可以设置一个亮度值，该值将用作自动调整的一部分（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

固定：亮度设置为配置的值，用户无法手动更改。需要设置亮度值（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

屏幕亮度：固定：亮度设置为配置值，用户无法手动更改。需要设置亮度值（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

值范围为 1 到 255（1 为最低，255 为最高）。值 0 表示未设置亮度值。

6. 屏幕超时设置。

控制用户是否可以配置屏幕超时设置，以及当强制启用时，超时的时间长度。

该屏幕超时模式字段允许选择用户自定义或强制执行的模式。

用户自定义（默认）：允许用户配置屏幕超时设置。

强制：屏幕超时设置为配置值，用户无法修改（适用于完全管理的 Android 9+ 设备；适用于公司拥有的 Android 15+ 设备的受限访问配置文件）。

屏幕超时：

超时时长，单位为秒。该值必须大于 0。如果该值大于最大锁定时间，系统可能会将其限制，并报告不符合要求。

7. 禁用屏幕截图功能。

是否已禁用屏幕截图功能。

8. 禁用音量调节。

是否已禁用主音量调节。

9. 禁用物理介质挂载。

是否已禁用挂载物理外部存储设备。

策略 - Android

蜂窝网络

在本部分，您可以配置与移动网络相关的策略。

1. 飞行模式

是否允许用户启用/禁用飞行模式。

用户选择（默认）：允许用户启用或禁用飞行模式。

禁用：飞行模式已禁用。用户不允许启用或禁用飞行模式。仅在 Android 9 及更高版本中支持。

2. 蜂窝网络 2G

是否允许用户切换蜂窝网络 2G 设置。

用户选择（默认）：允许用户开启或关闭蜂窝网络 2G 功能。

禁用：蜂窝网络 2G 已禁用。用户不允许通过设置开启蜂窝网络 2G 功能。仅支持 Android 14 及以上版本。

3. 覆盖 APN 设置。

启用或禁用覆盖 APN 设置。启用后，仅使用配置的覆盖 APN，忽略设备上所有其他 APN。

禁用（默认）：所有配置的 APN 设置都保存在设备上，但处于禁用状态，不生效。设备上的所有其他 APN 仍然可用。

已启用：仅使用覆盖的 APN 设置，忽略所有其他 APN 设置。此设置仅可在完全管理的 Android 10 及以上版本的设备上配置。

4. APN 设置

配置一个或多个APN条目。使用添加APN来创建条目，并使用删除APN来删除它。

每个APN条目都包含必填字段：

APN类型：选择一个或多个用于此APN的网络类型（可用性取决于管理模式和Android版本）。

APN 名称：您的运营商提供的 APN 标识符。

显示名称：在界面中显示的友好名称。

可选的 APN 字段：

认证类型，用户名，密码：配置运营商认证（如果需要）。

协议和漫游协议：IP协议配置。

网络类型：限制APN可使用的蜂窝技术（例如 LTE/5G NR）。

代理服务器地址 和 代理服务器端口：用于数据流量的 HTTP 代理服务器（如果适用）。

MMS 代理服务器地址，MMS 代理服务器端口，MMSC（MMS 中心 URI）：与 MMS 相关的设置。

数字运营商标识符（MCC+MNC） 以及 运营商ID：用于标识运营商的字段。

“始终开启”设置：用于确定是否应始终保持此APN激活的PDN会话。Android 15及以上版本支持此功能。

MVNO类型：移动虚拟网络运营商标识类型。

MTU IPv4 和 MTU IPv6：IPv4/IPv6 路由的最大传输单元。Android 13 及以上版本支持。

5. 广播消息配置已禁用。

是否已禁用广播消息配置。

6. 移动网络配置已禁用。

是否已禁用移动网络配置。

7. 已禁用漫游数据。

是否已禁用漫游数据服务。

8. 禁用外呼电话。

是否禁用外呼电话。

9. 禁用短信。

是否已禁用发送和接收短信功能。

10. 5G网络切片配置。

配置首选网络服务设置，以启用企业级5G网络切片。您可以设置最多5个企业级切片，并将应用程序分配到特定网络，以优化流量路由。

10.1. 默认首选网络

用于未在应用程序列表中显示的应用程序，或如果应用程序的首选网络未设置的默认首选网络 ID。必须为指定的网络 ID 配置一个设置（除非设置为无首选网络）。

注意：一些关键应用，例如 com.google.android.apps.work.clouddpc 和 com.google.android.gms，已从此默认设置中排除。

10.2. 网络服务配置。

使用 添加网络配置 来创建切片配置。您最多可以添加 5 个配置。每个配置包含：

首选网络ID（自动分配）：网络ID将自动分配，且无法修改。

降级为默认连接：是否允许降级到设备的全局默认网络。如果禁止，当5G专网不可用时，应用程序将无法访问互联网。

不匹配的网络：是否允许受此配置影响的应用程序使用除首选服务以外的网络。如果设置为禁止，则降级为默认连接也必须设置为禁止。需要 Android 14 或更高版本。

策略 - Android

网络设置

在本部分，您可以配置与网络相关的策略。

Wi-Fi 配置可以通过系统进行配置和管理，具体方式为Wi-Fi 配置。根据配置 Wi-Fi中设置的值，用户可能对添加/修改网络具有有限的或完全没有的控制权限。

设备的无线电状态

1. Wi-Fi 状态

控制当前Wi-Fi状态，并允许用户更改其状态。

用户选择（默认）：允许用户启用/禁用Wi-Fi。

已启用：Wi-Fi 已开启，且用户不允许关闭（Android 13 及更高版本）。

已禁用：Wi-Fi 已关闭，且用户不允许开启（Android 13 及更高版本）。

2. 最小 Wi-Fi 安全级别

设备可连接的 Wi-Fi 网络的最低安全级别。适用于 Android 13 及以上版本的设备，以及公司拥有的设备上的完全管理设备和工作资料。

开放网络（默认）：设备可以连接所有类型的 Wi-Fi 网络。

个人网络：禁止使用开放式 Wi-Fi 网络，至少需要个人级别安全保护（例如 WPA2-PSK）。

企业网络：要求使用企业级EAP网络；禁止使用低于此安全级别的Wi-Fi网络。

192位企业级网络：要求使用192位企业级网络；安全级别最高。

3. 超宽带 (UWB) 状态

控制超宽带设置的状态，以及用户是否可以将其开启或关闭。

用户选择（默认）：允许用户开启或关闭超宽带功能。

禁用：超宽带功能已禁用，用户无法通过设置进行开启或关闭（Android 14 及以上版本）。

设备连接管理

5. 配置 Wi-Fi

控制 Wi-Fi 配置权限。根据所选选项，用户可以完全、有限或完全控制 Wi-Fi 网络的配置。

允许配置 Wi-Fi（默认）：允许用户配置 Wi-Fi。

禁止添加 Wi-Fi 配置：禁止添加新的 Wi-Fi 配置。用户可以切换到已配置的网络（Android 13 及以上版本；完全管理且为公司拥有的工作资料）。

禁止配置 Wi-Fi：禁止配置 Wi-Fi 网络。对于完全管理的设备，此功能会移除用户配置的网络，仅保留通过 Wi-Fi 配置 配置的网络。对于公司拥有的工作资料，现有网络不受影响，但用户无法添加、删除或修改 Wi-Fi 网络。

当禁用 Wi-Fi 配置且设备在启动时无法连接时，系统可能会显示“网络应急通道”，以便用户暂时连接并刷新策略。

6. Wi-Fi 直连设置

控制配置和使用 Wi-Fi 直连设置。仅适用于运行 Android 13 及以上版本的公司拥有的设备。

允许 (默认)：允许用户使用 Wi-Fi 直连。

禁止：禁止用户使用 Wi-Fi 直连。

7. 共享网络设置

控制共享网络设置。根据设置的值，用户可能被部分或完全禁止使用不同的共享网络方式。

允许所有共享网络（默认）：允许配置和使用所有类型的共享网络。

禁止Wi-Fi共享：禁止用户使用Wi-Fi共享功能（仅适用于公司拥有的Android 13及以上版本的设备）。

禁止所有共享连接：禁止所有类型的共享连接（包括完全管理的设备和公司拥有的工作配置）。

8. Wi-Fi SSID 策略

设备可以连接的 Wi-Fi SSID 限制（这不会影响设备上可以配置的网络）。仅适用于运行 Android 13 及更高版本的公司拥有的设备。

SSID 禁用列表（默认）：设备无法连接到任何在其 SSID 列表中出现的 Wi-Fi 网络，但可以连接到其他网络。

允许的SSID列表：设备只能连接到列表中指定的SSID。SSID列表不能为空。

使用 添加SSID 按钮以添加条目。根据所选策略类型，此列表会被解释为允许的SSID或禁止的SSID。

在策略编辑器界面中，SSID 列表分别标记为 允许的 Wi-Fi SSID（用于白名单）和 禁止的 Wi-Fi SSID（用于黑名单）。

9. Wi-Fi漫游设置

配置 Wi-Fi 漫游模式，针对每个 SSID。使用 添加 Wi-Fi 漫游设置 来创建条目。

每个条目包含：

SSID：漫游设置适用的无线网络名称（必填）。

Wi-Fi 漫游模式：默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本，并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。

网络限制：默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本，并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。

10. 蓝牙已禁用。

蓝牙是否已禁用。

11. 禁用蓝牙通讯录共享。

是否已禁用蓝牙通讯录共享。

12. 蓝牙配置已禁用。

是否已禁用蓝牙配置。

13. 已禁用网络重置。

是否已禁用重置网络设置。

14. 已禁用出站信令。

是否已禁用使用NFC从应用程序传输数据的功能。

VPN

15. 始终在线 VPN 应用

指定一个始终在线 VPN 的包名，以确保来自指定管理的应用程序的数据始终通过配置的 VPN 连接。

注意：此功能需要部署支持“始终在线”和按应用 VPN 功能的 VPN 客户端。

16. VPN 锁定。

当 VPN 未连接时，禁止网络连接。

17. VPN 配置已禁用。

是否已禁用 VPN 配置。

代理和网络服务。

18. 优先网络服务。

是否启用工作配置文件的优先网络服务。例如，组织可能与运营商达成协议，通过专用于企业使用的运营商网络服务（例如，5G网络的企业专享通道）发送工作数据。对完全托管的设备没有影响。

禁用：工作配置文件的首选网络服务已禁用。

已启用：工作配置文件的首选网络服务已启用。

如果您使用企业网络切片，还请在 “移动网络切片配置”下配置 “蜂窝”策略，并使用其 “首选网络”设置将应用分配到切片。

19. 推荐的全局代理设置。

一个与网络无关的全局 HTTP 代理。通常，代理应在 Wi-Fi 配置中按网络进行配置。全局代理可能适用于某些特殊配置，例如一般的内部过滤。全局代理仅为建议，某些应用程序可能会忽略它。

已禁用

直连代理

自动配置代理 (PAC)

19.1. 主机

直接代理的主机。

19.2. 端口。

直接代理的端口。

19.3. PAC URI。

用于配置代理的 PAC 脚本的 URI。

19.4. 排除的主机。

对于直连代理，这里配置的是跳过代理的主机。主机名可以包含通配符，例如 *.example.com。

使用 添加排除主机 功能以添加条目（仅适用于直连代理）。

Wi-Fi 配置

定义系统将应用于设备的Wi-Fi网络配置。使用添加Wi-Fi配置来创建条目，并使用删除操作来移除它。

20. Wi-Fi 配置字段

每个配置包含：

配置名称：必填。

SSID：必填。

自动连接：当设备在范围内时，是否自动连接到该网络。

快速切换：是否允许客户端尝试使用快速切换（IEEE 802.11r-2008）功能连接到该网络。

隐藏的SSID：是否允许广播该SSID。

MAC地址随机化模式：硬件或自动（Android 13及以上版本）。

20.1. 安全性

Wi-Fi 安全选项：

WEP-PSK：WEP（预共享密钥）。

WPA‑PSK：WPA/WPA2/WPA3-个人模式（预共享密钥）。

WPA‑EAP：WPA/WPA2/WPA3-企业版（可扩展身份验证协议）。

WPA3 192 位模式：仅允许使用 WPA3 192 位模式的 WPA‑EAP 网络。

20.2. 密码短语（预共享密钥）

当安全模式为 WEP-PSK 或 WPA-PSK 时显示。需要输入密码。

20.3. EAP 方法（企业版）

当安全模式设置为 WPA‑EAP 或 WPA3 192 位模式 时显示。选择一种 EAP 外部方法：

EAP‑TLS

EAP‑TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. 第二阶段身份验证

用于隧道传输外部方法（如EAP‑TTLS和PEAP）。

MSCHAPv2

PAP

20.5. 用户提供的EAP凭据。

启用后，系统会自动为每个用户在设备上应用EAP凭据。您可以在“用户”部分配置用户凭据。

20.6. 客户端证书

对于 EAP‑TLS，您可以分配一个用于 Wi-Fi 身份验证的客户端证书。更多信息请阅读 证书管理 页面。

如果已分配证书，您可以使用打开证书进行查看，或使用更改证书选择不同的证书。

或者，您可以指定客户端证书密钥对别名，它引用存储在 Android 密钥链中的客户端证书，并允许进行 Wi-Fi 认证。

如果同时设置了客户端证书和客户端证书密钥对别名，则密钥对别名将被忽略。

20.7. 身份验证

用户身份。对于隧道传输的外部协议（PEAP、EAP-TTLS），此项用于在隧道内部进行身份验证，而匿名身份用于隧道外部的EAP身份验证。对于非隧道传输的外部协议，此项用于EAP身份验证。

20.8. 匿名身份

仅适用于隧道协议，此项表示向外部协议呈现的用户身份。

20.9. 密码

用户密码。如果未指定，则默认为提示用户输入。

20.10 服务器 CA 证书。

用于验证主机证书链的 CA 证书列表。至少必须有一个 CA 证书匹配。如需更多信息，请参阅 证书管理 页面。

使用 添加服务器 CA 证书 功能，可以添加条目，并使用删除操作移除它们。

20.11. 域名后缀匹配

服务器域名约束列表。这些条目用于与身份验证服务器证书的替代主题名称的 DNS 名称进行后缀匹配。

策略 - Android

系统

在本部分，您可以配置与系统相关的策略。

1. 最低 API 级别

允许的最低 Android API 级别。

2. 加密策略

是否已启用加密。

默认：此值将被忽略，即不需要加密。

已启用，无需密码：需要加密，但启动时无需密码。

已启用密码：需要加密，且启动时需要密码。

3. 自动日期和时间

是否已在企业拥有的设备上启用自动日期、时间和时区。

用户选择（默认）：自动日期、时间和时区设置由用户自行选择。

强制：在设备上强制启用自动日期、时间和时区设置。

4. 开发者设置

控制对开发者设置的访问：包括开发者选项和安全启动。

禁用 (默认)：禁用所有开发者设置，并阻止用户访问这些设置。

允许：允许所有开发者设置。用户可以访问并根据需要配置这些设置。

5. 通用标准模式。

“通用标准模式”控制：安全标准，定义于《信息技术安全评估通用标准》。启用“通用标准模式”会增强设备上的某些安全功能（例如：蓝牙长期密钥的 AES-GCM 加密、某些网络证书的额外验证以及加密策略完整性检查）。“通用标准模式”仅适用于运行 Android 11 或更高版本的公司拥有的设备。警告：启用“通用标准模式”会强制执行严格的安全模型，通常仅适用于高度敏感的组织。标准设备使用可能会受到影响；仅在必要时才启用。

已禁用（默认）：禁用“通用标准模式”。

启用：启用通用标准模式。

6. 内存标记扩展 (MTE)

启用/禁用设备上的内存标记扩展 (MTE)。

用户选择（默认）：用户可以选择在设备上启用或禁用 MTE（如果设备支持）。

强制：MTE 已启用，用户不允许更改此设置（Android 14 及以上版本；仅在完全管理的设备和公司拥有的设备上的工作资料中支持）。

已禁用：MTE 已禁用，用户不允许修改此设置（Android 14 及以上版本；仅在完全管理的设备上支持）。

7. 内容保护

是否启用内容保护功能（该功能会扫描潜在的恶意应用）。仅在 Android 15 及更高版本中支持。

禁用（默认）：内容保护已禁用，用户无法修改此设置。

强制：内容保护已启用，用户无法修改此设置（适用于 Android 15 及更高版本）。

用户选择：内容保护不由策略控制，用户可以选择。（适用于 Android 15 及更高版本）

8. 辅助内容

控制是否允许将辅助内容发送到特权应用，例如辅助应用（例如，Circle to Search）。辅助内容包括屏幕截图以及有关应用的的信息，例如包名。此功能在 Android 15 及更高版本中受支持。

允许 (默认)：允许将辅助内容发送到特权应用（Android 15 及更高版本）。

禁止：辅助内容无法发送到特权应用（Android 15 及更高版本）。

9. 创建窗口时，禁用此功能。

是否禁用创建非应用程序窗口。禁用此选项可防止以下系统UI显示：通知和悬浮窗、电话活动（如来电）、重要电话活动（如通话中）、系统警报、系统错误和系统覆盖层。

10. 网络逃生通道

是否启用网络逃生通道。如果设备启动时无法连接到网络，逃生通道会提示用户暂时连接到网络以刷新设备策略。应用策略后，临时网络连接将被清除，设备将继续启动。这可防止在设备策略中没有可用的网络连接时，设备无法连接到网络，尤其是在设备以应用锁定模式启动或用户无法访问设备设置时。

11. 默认活动。

用于处理与特定意图过滤器匹配的意图的默认活动列表。例如，此功能允许 IT 管理员选择哪个浏览器应用程序自动打开网页链接，或使用哪个启动器应用程序来响应主按钮的点击。

使用 添加默认活动来创建条目。在每个条目中，使用 添加操作和 添加类别来构建意图过滤器。

11.1. 接收器活动

应设为默认处理程序的活动。这应该是一个 Android 组件名称，例如 com.android.enterprise.app/.MainActivity。或者，该值可以是应用程序的包名，Android 设备策略会从中选择一个合适的活动来处理该意图。

11.2. 操作

过滤器中需要匹配的意图操作。如果过滤器中包含任何操作，则意图的操作必须是这些值之一才能匹配。如果没有包含任何操作，则忽略意图的操作。

11.3. 类别

过滤器中需要匹配的意图类别。一个意图包含它所需要的类别，所有这些类别都必须包含在过滤器中才能匹配。换句话说，向过滤器添加一个类别，除非该类别在意图中被指定，否则不会影响匹配。

12. 允许的输入方法。

指定允许的输入方式。

允许的全部方式：未应用任何限制。所有输入方式均允许。

仅限系统：仅允许使用系统内置的输入方式。

仅限系统自带及提供的：仅允许使用系统内置和提供的输入方式。

12.1. 允许的输入方式

允许使用的输入法包名。仅当“允许的输入方式”设置为“仅系统自带和已提供”时生效。

使用 添加输入法功能，可以添加条目，并通过删除操作移除它们。

13. 允许使用的辅助功能服务。

允许指定的辅助功能服务。

允许使用的所有：任何辅助功能服务都可以使用。

仅限系统：仅允许使用系统自带的辅助功能服务。

仅限系统：仅允许使用系统自带以及提供的辅助功能服务。

13.1. 允许使用的辅助功能服务。

允许使用的辅助功能服务。仅在允许系统和提供的辅助功能设置为仅限系统和提供的时生效。

使用辅助功能服务，可以添加条目，并使用删除操作将其移除。

14. 系统更新策略

用于管理系统更新的配置。

默认：遵循设备的默认更新行为，通常需要用户接受系统更新。

自动：在有可用更新时，立即自动安装。

窗口模式：在设定的每日维护时段内自动安装更新。这也会将 Play 应用配置为在维护时段内进行更新。强烈建议在设备端使用此功能，因为这是唯一可以确保始终在后台运行的应用能够通过 Play 进行更新的方法。

延迟：可以将自动安装延迟，最长可达 30 天。

14.1. 维护窗口（仅限窗口模式）

当 系统更新策略 设置为 窗口模式 时，您可以使用从和到字段来定义每日维护时间。

14.2. 系统更新冻结时间段

每年重复的OTA系统更新暂停期，用于固定设备上运行的操作系统版本。为了防止设备无限期地被锁定，每个暂停期之间必须间隔至少60天。每个暂停期不得超过90天。

使用 添加系统更新暂停期 功能来创建条目。

15. 凭证提供商的默认设置。

控制哪些应用程序在 Android 14 及更高版本上被允许作为凭证提供程序。

不允许（默认）：未在应用程序中指定的 credentialProviderPolicy 的应用程序，不允许作为凭证提供程序。

不允许（默认）：未指定 credentialProviderPolicy 的应用程序，不允许作为凭证提供程序，除非是 OEM 默认的凭证提供程序。

策略 - Android

位置和地理围栏

此面板会分组显示控制设备位置报告、位置执行和地理围栏定义的 Android 策略设置。当您希望 Cerberus Enterprise 收集设备位置或检测设备进入或离开已配置区域时，请使用它。

位置报告

报告位置

启用设备地理位置报告。通过此设置收集的位置数据由仪表盘位置地图、设备概览位置历史记录和地理围栏处理使用。

在未完全管理的设备上，位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。

定位模式

控制公司拥有的设备位置设置。

用户选择：定位服务不受策略限制。
强制：设备已启用定位服务。
已禁用：设备上已禁用定位服务。

分享位置已禁用

禁用工作应用的位置共享。在拥有者设备上，这会影响工作资料。在完全管理的设备上，它会禁用整个设备的位置，并覆盖设备定位模式。

活动地理围栏的自动行为

活动地理围栏需要位置报告才能工作。至少有一个地理围栏处于活动状态时，Cerberus Enterprise 会自动保持相关的定位设置一致。

报告位置在活动地理围栏存在时强制开启。
位置模式被强制为强制。
位置共享已禁用。

如果您尝试禁用报告位置，同时一个或多个地理围栏处于活动状态，Cerberus Enterprise 会显示一个确认对话框。如果您继续，则策略中所有活动的地理围栏将被停用。

地理围栏列表

一项策略最多可以包含 10 个地理围栏。地理围栏名称在策略内必须是唯一的。

使用 添加地理围栏 以创建新的条目。每个地理围栏包含以下主要字段：

名称：必需且唯一。
纬度和经度：区域的中心。
半径 (米)：必需，从 100 到 10000 米。
描述: 管理员可填写的可选备注。
报告进入和报告退出：选择需要生成的过渡事件。
启用：启用或禁用地理围栏而不删除它。

至少一个进入报告或离开报告必须为每个地理围栏启用。

地图编辑工具

每个地理围栏卡片包含该区域的地图预览。您可以从地图或数值字段编辑几何图形。

点击地图可在区域编辑解锁时移动地理围栏中心。
使用 当前位置 按钮将地图定位到您的当前浏览器位置。
使用 重新定位地图 按钮以恢复该地理围栏的首选视图范围。
使用锁定按钮以防止意外更改地理围栏的几何形状。

地理围栏数据的位置

可以在 Android 设备概览页面，位于位置面板的地理围栏选项卡中。该选项卡会显示带有过滤工具和转换列表的专用地图。

策略 - Android

用户管理

添加禁用用户

是否禁用添加新用户和配置文件的功能。对于 `managementMode` 为 设备所有者 的设备，此字段将被忽略，用户将永远无法添加或删除用户。

修改已禁用的帐户。

是否禁用添加或删除帐户的功能。

已禁用用户凭据配置。

是否已禁用配置用户凭据。

移除已禁用的用户。

是否禁用移除其他用户的权限。

设置用户图标禁用。

是否禁用更改用户图标功能。

设置壁纸功能已禁用。

是否已禁用更改壁纸功能。

工作账户配置的身份验证

控制用户在工作账户设置期间的身份验证方式。此选项仅适用于使用受管理 Google 域名 (Google Workspace) 提供的 Android 企业环境。

在设备设置/注册过程中，此策略会影响是否需要工作账户登录，但 Google 管理控制台中的“使用 Google 身份验证”设置以及注册令牌类型仍然可能需要身份验证。

对于已注册的设备，此策略仅在设备由管理的 Google Play 账户管理时才生效（即，未通过 使用 Google 身份验证注册 进行注册时）。

有关更多详细信息和故障排除，请参阅 使用 Google 身份验证注册。

被阻止的账户类型

用户无法管理的账户类型。此选项可防止设备用户添加未经批准的账户。

使用 添加阻止的账户类型，以添加一种或多种账户类型。

每个条目都有一个账户类型字段（必填）。请输入一个字符串，例如com.google。使用删除操作来删除一个条目。

策略 - Android

个人使用。

在配置用于工作和个人使用的公司设备时，您可以设置一些规则，以限制用户在工作资料之外如何使用该设备进行个人用途。

本部分内容仅适用于带有工作配置的公司设备。对完全受管设备或个人设备无效。

1. 相机已禁用。

是否已禁用相机。

2. 禁止截屏。

是否已禁用屏幕截图功能。

3. 最多可休假天数。

控制工作模式的持续关闭时长。

5. 私有空间

是否允许设备上创建私有空间。

6. 应用商店模式

此模式控制哪些应用允许或阻止用户在个人资料的 Google Play 商店中访问。

黑名单（默认）：所有应用都可用，如果某个应用不应该在设备上，则需要在“应用”部分中明确标记为阻止。

白名单：仅允许在“应用程序”部分中明确指定的，且“安装类型”设置为可用的应用程序安装到个人配置文件中。

7. 应用程序

此列表显示必须允许或阻止在个人配置文件中的应用程序。此列表内容的行为取决于 “Play 商店模式” 的设置。

要从 Google Play 商店添加新的应用程序，请点击 + 按钮。

7.1. 安装类型

个人配置文件应用程序可以具有的安装行为类型。

已阻止：该应用已被阻止，无法在个人配置文件中安装。

可用：该应用可在个人配置文件中安装。

8. 被阻止的账户类型

用户无法管理的账户类型。此选项可防止设备用户在其个人资料中添加未经批准的账户。

策略 - Android

跨配置文件策略

仅适用于具有个人和工作配置文件的设备。

跨配置文件的复制/粘贴。

是否可以将从一个配置文件（个人或工作）复制的文本粘贴到另一个配置文件中。

禁止 (默认)：防止用户将从工作配置文件复制的文本粘贴到个人配置文件中。可以从个人配置文件复制的文本可以粘贴到工作配置文件中。

允许：无论从哪个配置文件复制的文本，都可以粘贴到另一个配置文件中。

跨配置文件数据共享

此功能控制是否允许从一个配置文件（个人或工作）中的数据与另一个配置文件中的应用程序共享。具体而言，它控制通过 intent 进行的简单数据共享。其他跨配置文件的通信渠道的管理，例如联系人搜索、复制/粘贴，
或连接的工作和个人应用程序，需要单独进行配置。

禁止：阻止个人配置文件和工作配置文件之间的数据共享。

工作配置文件与个人配置文件之间的数据共享被禁用（默认设置）：防止用户将工作配置文件中的数据共享到个人配置文件中的应用程序。个人数据可以与工作应用程序共享。

允许：来自工作配置文件或个人配置文件的任何数据都可以与另一个配置文件共享。

工作配置文件小部件的默认设置。

工作配置文件小部件的默认行为。如果某个应用程序未定义小部件策略，则采用此处设置的默认值。

跨配置文件的应用程序功能。

控制是否允许个人配置文件中的应用程序调用工作配置文件中的应用程序功能。需要 Android 16 或更高版本。

此设置取决于策略级别的 应用程序功能 选项（位于应用程序管理部分）。如果将“应用程序功能”设置为禁止，则 API 将拒绝设置为允许的跨配置文件应用程序功能。

个人资料中的工作联系人

工作配置文件中的联系人是否可以在个人配置文件联系人搜索和来电显示中显示。

允许（默认）：允许工作配置文件中的联系人出现在个人配置文件中。

禁用：阻止个人应用程序访问工作配置文件中的联系人，以及查找工作联系人。

不允许，系统应用除外：防止大多数个人应用程序访问工作配置文件的联系人，但允许设备制造商默认的拨号、短信和联系人应用程序（Android 14 及更高版本）。

当在个人资料中配置工作联系人时，您可以选择性地定义一个 例外应用包名 列表。根据所选模式，这些例外项将作为白名单或黑名单来管理个人应用程序的访问权限。

策略 - Android

状态报告

在本部分，您可以配置从设备中检索哪些数据。状态数据可以在 设备状态仪表板页面中查看。

应用程序报告。

是否启用应用报告（关于已安装应用的报告信息）。

此选项由系统强制要求（用于与配套应用的集成），始终启用，无法禁用。

包含已移除的应用程序。

是否将已移除的应用程序包含在应用程序报告中。

设备设置

是否启用设备设置报告。（关于设备安全相关设置的信息。）

软件信息

是否启用软件信息报告。（关于设备软件的信息。）

内存信息

是否启用内存报告。（与内存和存储度量相关的事件。）

网络信息

是否启用网络信息报告。（设备网络信息。）

显示信息

是否启用报告显示。报告数据在具有工作配置的个人设备上不可用。(设备显示信息。)

电源管理事件。

是否启用电源管理事件报告。报告数据无法在配置了工作资料的个人设备上获取。

硬件状态

是否启用硬件状态报告。个人设备上的工作配置文件无法获取报告数据。

系统属性。

是否启用系统属性报告。

通用标准模式。

是否启用通用标准模式报告。

策略 - Android

其他

1. 彩蛋游戏已禁用

设置中彩蛋游戏是否已禁用。

2. 跳过首次使用提示。

标记以跳过首次使用的提示。企业管理员可以启用系统推荐，允许应用程序在首次启动时跳过用户教程和其他介绍性提示。

3. 简短的帮助信息。

在设置界面，当管理员禁用某个功能时，会向用户显示此消息。如果消息长度超过 200 个字符，可能会被截断。

4. 较长的支持信息。

用户在设备管理员设置屏幕上看到的提示信息。

5. 设备所有者锁屏信息。

设备所有者信息，将在锁屏界面上显示。

6. 设置操作

在设置过程中需要执行的操作。在设备注册过程中，您可以要求用户打开一个或多个用于设备设置的应用程序。

使用添加设置操作来创建条目，并使用删除操作来移除它们。

6.1. 启动应用

要启动的应用程序的包名。

6.2. 标题

提供面向用户的消息，用于向用户解释为什么需要启动该应用。

6.3. 描述。

提供面向用户的消息，用于向用户解释为什么需要启动该应用。

7. 企业显示名称可见性。

控制是否在设备上显示企业名称（例如，在公司拥有的设备的锁屏消息中）。

可见（默认）：在设备上是否显示企业名称（Android 7+ 版本的受保护配置和 Android 8+ 版本的完全托管设备支持此功能）。

隐藏：在设备上隐藏企业名称。

策略 - Android

策略执行规则。

如果设备或工作资料未能符合以下任何策略设置，Android 设备策略默认会立即阻止对该设备或工作资料的使用：

密码要求
加密策略
禁用锁屏。
允许的输入方法。
允许使用的辅助功能服务。

如果设备或工作资料在 10 天后仍未达到合规状态，Android 设备策略将重置设备或删除工作资料。

在本部分，您可以覆盖默认的合规性强制规则，或添加新的规则。

规则

定义当特定策略无法应用于设备时，系统行为的规则列表。

使用 添加规则 创建新的规则。每个规则卡片都可以通过删除操作进行移除。

设置名称

要强制执行的顶级策略。例如，应用程序或密码要求。

必需。 该值必须与受支持的顶级策略名称匹配；否则，该字段将被标记为无效。

封锁时长（天）。

策略不符合要求的天数，超过该天数后，设备或工作资料将被锁定。如需立即锁定访问，请设置为 0。 “锁定时长（天）” 必须小于 “擦除时长（天）”。仅适用于公司拥有的设备。

允许范围：0–300。

块作用域。

指定块操作的范围。仅适用于公司拥有的设备。

默认（新规则）：工作资料。

工作资料：阻止操作仅适用于工作资料中的应用。个人资料中的应用不受影响。

整个设备：阻止操作会应用于整个设备，包括个人资料中的应用。

擦除数据后，需间隔的天数

如果设备或工作资料由于策略不符合而需要被清除，则此项设置指定了需要等待的天数。
擦除数据后，需间隔的天数 必须大于 锁定后天数。仅适用于公司拥有的设备。

必需。 默认（新规则）：1。

允许范围：1–300。

保留出厂设置保护。

是否保留设备的出厂设置保护数据。此设置不适用于工作配置文件。

默认（新规则）：已启用。

策略 - Apple

Apple 策略

Apple 策略定义了 Cerberus Enterprise 通过移动设备管理 (MDM) 应用于 Apple 设备的管理设置。这些设置可在 Apple 策略编辑器中的仪表板中进行配置。

开始之前

管理 Apple 设备需要配置 Apple 管理 (APNs)。如果需要，请阅读 Apple 管理设置 (APNs) 页面。

打开 Apple 策略编辑器

在仪表板中，打开策略，然后点击 创建新的 Apple 策略。要编辑现有的 Apple 策略，请在策略表中点击其行。

编辑器布局

Apple策略编辑器以可展开的部分组织结构呈现。您始终可以在页面的顶部编辑以下内容：

名称（必填）
ID (只读)
描述（可选）

策略部分（可选）

以下部分与 Apple Policy Editor 中目前可用的面板相对应：

应用管理：配置与应用相关的限制，并管理已安装的应用。
密码设置：配置密码要求以及相关的规则。
安全：管理如自动解锁和生物识别解锁等功能。
iCloud：允许或禁止特定的 iCloud 服务（备份、钥匙串同步、私密保护等）。
多媒体：允许或禁止相机以及相关功能。
移动网络：控制与移动网络相关的设置（例如，应用程序的移动数据设置、eSIM、套餐变更）。
网络：控制 AirDrop/AirPrint/AirPlay 以及其他连接设置。
账户：限制账户修改，并（可选）配置 Google 和邮件账户。

苹果策略编辑器中的许多选项都包含工具提示，用于说明要求和支持的操作系统版本。

保存、删除和关联的设备。

使用 保存策略以应用您的更改。当没有未保存的修改时，或当许可证过期时，该按钮将被禁用。

编辑现有策略时，页面还会显示一个 删除策略 选项。编辑器可以在底部显示一个 关联设备 列表，以便您了解当前有多少设备正在使用该策略。

密码：配置密码要求以及相关的安全选项。
限制：定义允许的功能和操作系统级别的限制。
应用和配置：配置已安装的应用和配置文件。

策略 - Apple

Apple 策略：密码。

“密码设置”部分用于控制设备密码的要求以及相关的安全规则（例如，最小长度和复杂度）。密码设置

选项

在 Apple 策略编辑器中，密码选项的配置方式是混合使用开关和数字字段。许多字段都包含工具提示，用于指示支持的操作系统版本和监管要求。

密码选项开关。

下次身份验证时强制重置密码：在用户下次进行身份验证时，强制执行密码重置。
强制使用包含字母和数字的密码：要求密码至少包含一个字母和一个数字。
RequireComplexPasscode：要求使用复杂的密码（不允许重复或连续的模式，且至少包含一个非字母数字字符）。
RequirePasscode：要求设置密码，但对密码的长度或质量没有其他要求。请注意：设置其他密码相关选项，默认会要求设置密码。

数字字段

失败尝试重置时间（分钟）：在重置失败尝试计数器之前的时间（需要设置“最大失败尝试次数”）。
最大失败尝试次数：设备在被擦除/锁定之前允许的最大失败尝试次数（范围：2–11）。
最大允许解锁无密码时间（分钟）：设备在需要输入密码之前允许的解锁无密码时间（0 表示无此功能）。
最大允许空闲时间（分钟）：设备在锁定之前允许的空闲时间（范围：0–15）。
最大密码有效期（天数）：密码到期前的最大天数，超过该天数需要强制更改密码（范围：0–730）。
最小复杂字符数：密码中至少包含的“复杂”字符数量（范围：0–4）。
最小密码长度：密码的最小长度（范围：0–16）。
密码重复使用限制：限制密码历史记录的长度，以防止重复使用旧密码（范围：1–50）。

策略 - Apple

Apple 策略：限制

“限制” 部分用于控制哪些操作系统功能允许在受管理的 Apple 设备上使用。在 Apple 策略编辑器中，这些选项以分组面板的形式呈现，每个面板包含多个开关。

许多限制仅在特定操作系统版本上受支持，并且可能需要经过配置的设备。请在仪表板中使用工具提示查看权威要求。

安全

允许自动解锁
允许使用指纹解锁
允许修改指纹

iCloud

允许访问 iCloud 地址簿
允许 iCloud 备份
允许 iCloud 书签
允许 iCloud 日历
允许 iCloud 桌面和文档
允许 iCloud 文档同步
允许使用 iCloud Freeform
允许 iCloud 钥匙串同步
允许 iCloud 邮件
允许 iCloud 笔记
允许访问 iCloud 照片图库
允许使用 iCloud 私密保护
允许使用 iCloud 提醒

多媒体

允许使用相机
允许修改文件共享设置
允许访问USB存储设备上的文件

蜂窝网络

允许应用修改蜂窝数据
允许修改蜂窝数据套餐
允许修改eSIM设置
允许eSIM出站转账

网络设置

允许使用 AirDrop
允许接收 AirPlay 请求
允许 AirPrint
允许存储 AirPrint 凭据
允许 AirPrint iBeacon 发现
允许修改蓝牙设置
允许修改蓝牙共享设置
允许文件访问网络驱动器
允许修改互联网共享设置

帐户（限制）

“帐户”面板包含限制设置，以及（可选的）帐户配置。限制开关控制用户是否可以修改系统帐户。

允许修改帐户

策略 - Apple

Apple 策略：应用与配置文件。

本部分介绍如何配置 Apple 设备的受管应用和配置信息。

应用管理

“应用管理”面板包含与应用程序相关的常规限制以及已管理的应用程序列表。

应用的常规限制

允许应用片段
允许应用安装
允许卸载应用
允许自动下载应用程序
允许隐藏应用程序
允许锁定应用程序
允许应用内购买

受管应用

使用 添加应用 将应用添加到策略中。每个受管应用都以卡片的形式显示。您可以展开卡片以编辑其设置，并使用删除操作移除该应用。

应用商店ID：受管应用的App Store标识符。
Bundle ID：应用的Bundle标识符。
安装行为：控制应用程序是否必须保持安装状态，或是否允许用户自行安装/卸载。
授权：许可证授权类型。
VPP 授权：用于通过 App Store 进行安装的 VPP 授权类型。

帐户

“帐户”面板允许您配置应用于管理设备的帐户，并包含一个用于限制帐户修改的开关。

限制

允许修改账户：当禁用此选项时，用户将无法修改诸如 Apple 账户和互联网账户等信息。

添加账户

使用 添加 Google 账户 或 添加邮件账户，以便将账户信息添加到策略中。每个账户都以卡片形式显示，包含其配置字段。

用户的账户凭据

无论是 Google 账户还是 Mail 账户，都提供了 用户的账户凭据 切换开关。启用后，系统会为每个用户应用账户凭据。禁用后，您需要在策略中输入账户身份。

Google 账户字段

可见名称：显示给用户的账户名称。
Google 邮箱地址：用户的电子邮件地址。
姓名：用户的全名。

邮件帐户字段。

邮件帐户包含身份信息字段，以及收发服务器配置。必须填写主机名。

显示名称：为邮件帐户显示的名称。
电子邮件地址：用户的电子邮件地址。
姓名：用户的全名。

接收服务器

服务器类型：邮件协议（例如 IMAP 或 POP）。
认证方式：服务器的认证方法。
IMAP 路径前缀：仅在服务器类型为 IMAP 时显示。
主机名：必填。
端口：服务器端口（1–65535）。

出站服务器

认证方式
主机名：必填。
端口：服务器端口（1–65535）。

S/MIME 选项

对于邮件账户，您还可以配置 S/MIME 加密和签名行为。

加密

S/MIME 加密
用户身份，可由管理员覆盖
每个消息的开关已启用
用户可自定义

签名

S/MIME 签名
用户身份，可由管理员覆盖
用户可自定义

帐户和限制选项中，仪表板提供了工具提示，详细说明了先决条件和支持的操作系统版本。

设备状态

设备概览

从 仪表盘 → 设备中，通过点击设备行来打开一个设备。页面标题会显示设备的型号（如果可用），以及内部 ID。

历史数据与当前已注册设备

当设备存在多个注册时，Cerberus Enterprise可以显示只读的历史记录。在这种情况下，页面会显示一个 历史数据 的提示，以及一个返回当前注册数据的按钮。

顶级字段

顶部区域概括了设备身份、分配和管理状态。某些字段是特定于平台的，仅在 Android 或 Apple 设备上显示。

ID和型号：只读标识符。
用户：显示当前已分配的用户（如果已分配）。从用户菜单中，您可以打开用户或更改用户，或者在未设置用户时进行分配。
管理模式和所有权：在UI中以提示信息的形式显示。
状态：当前设备状态（带图标和工具提示详情）。
ADE 配置文件（仅限 Apple 设备）：显示已分配的自动设备注册配置文件（如果有），并允许您打开或修改它。
策略：显示已分配的策略，并允许您打开或修改它，或者在未设置策略时进行分配。
策略合规性状态（当已分配策略时）：指示设备是否符合策略要求。
策略版本（当已分配策略时）：指示设备是否已应用最新的策略版本。
注册于以及上次状态报告：记录注册时间和上次报告的状态的时间戳。
已取消注册于：当设备已取消注册时显示。

部分数据和面板仅在设备策略中启用了相应类别时可用。更多信息请阅读 状态报告 和 位置和地理围栏 页面。

面板

设备编辑器以可展开的部分进行组织。根据平台和状态，您可能会看到以下一个或多个面板：

位置地图：一个分层面板，包含用于当前设备的位置历史记录，以及在 Android 设备上，一个地理围栏选项卡，用于地理围栏数据可用时显示地理围栏转换。
命令：向设备发送命令并查看命令历史记录（平台相关）。
安全态势（仅限 Android）：包括安全态势、Play Integrity 验证结果以及安全风险。
应用报告（仅限 Android）：已安装的应用以及反馈/错误报告。
已管理的应用程序（仅限 Apple）：已管理的应用程序状态和安装详情。
不合规详情：当设备不符合要求时显示；列出不符合策略设置的各项内容。
状态报告：设备报告的附加数据，以分类和值的树状结构显示。
设备注册历史记录：此设备的先前注册信息，以列表形式显示。

位置面板选项卡

地图位置面板现在使用标签，以便位置历史记录和地理围栏转换保持分离。

位置：显示历史记录筛选器、日期范围搜索、位置标记、精度圆以及当前设备的实时跟踪控制。
地理围栏 (仅限 Android)：在专用地图上显示地理围栏转换历史记录，带有时间段筛选器、可选的归档地理围栏开关以及转换侧边列表。

如需了解这些选项卡的完整行为，请参阅 位置地图.

操作

在页面底部，您可以刷新数据并执行操作，具体取决于平台、设备状态和许可证状态。

刷新数据：重新加载设备记录。
禁用设备 / 启用设备 (仅限 Android)：仅在支持的状态下可用。
解除设备注册：从设备中移除管理。具体行为取决于平台和所有权（例如，Android 可能会擦除工作配置文件或恢复出厂设置）。
删除设备：仅当设备已解除注册且可以删除其记录时可用。

设备状态

命令

设备编辑器提供了命令面板，用于向受管设备发送远程命令。可用的命令取决于平台（Android 或 Apple）和设备状态。

如果设备当前未连接到网络，则命令将在设备连接到互联网时被发送和执行。对于 Android 平台的命令，您可以设置持续时间参数，以确定未发送的命令的有效时长。

Android (AMAPI) 命令

对于 Android 设备，命令面板包含一个 持续时间字段（值 + 单位）和一个命令选择器。某些命令需要额外的参数，这些参数会在您选择命令时动态显示。

常用参数

持续时间：如果命令无法立即执行，则表示该命令的有效时长。
命令：选择要发送到设备的执行操作。

带有附加字段的命令。

重置密码：需要新密码和确认新密码。可选选项包括立即锁定、要求输入和启动时不要求凭据。
清除应用数据：需要目标包名。
启动查找模式：需要设置丢失信息，并支持可选的联系方式字段（例如：街道地址、公司名称、电话号码、电子邮件）。
请求设备信息：需要选择要请求的设备信息。
添加 eSIM：需要提供激活码和激活状态。
移除 eSIM：需要 eSIM ICCID。
清除：支持清除原因消息（显示给用户，仅限个人设备），以及可选的清除标志。

命令历史记录

在发送控件下方，仪表板显示命令历史记录表格。该表格可排序，并支持分页。某些行可以展开以查看更多参数或执行详情。

Android 历史记录列。

创建日期
命令
有效期
状态
错误
执行日期

Apple (MDM) 命令

对于 Apple 设备，命令面板提供了命令选择器。某些命令需要额外的输入。与 Android 一样，下方会显示命令历史记录表。

带有附加字段的命令。

安装应用程序：需要应用程序的Bundle ID。
发送通知：需要一个通知消息（最大长度为200个字符）。

Apple的历史记录。

创建日期
命令
状态
状态时间

刷新

使用“命令”面板中的“刷新”操作，重新加载命令历史记录。

设备状态

位置地图

本页面记录了 设备概览 中提供的设备特定定位工具。该面板包含一个定位选项卡，用于位置历史记录，以及在 Android 设备上，一个 地理围栏 选项卡，用于地理围栏过渡。

前提条件

设备位置数据仅在设备策略中启用位置报告时显示。要启用它，请打开策略并打开 位置和地理围栏 → 报告位置。更多详情请参阅 位置和地理围栏。

在未完全管理的设备上，位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。

要了解来自仪表盘的全球多设备地图，请参阅 仪表盘位置地图.

加载中，暂无数据。

位置数据加载时，面板会在地图上显示加载遮罩。
如果设备没有可用位置数据，面板会显示一条消息，说明 没有可用位置数据，并提醒在分配的策略中启用位置报告。
如果已启用日期筛选器但没有匹配的样本，则面板会显示所选日期范围内无可用数据。

定位标签

打开定位标签以检查单个设备的历史记录。可用的筛选器包括最后已知位置、最近历史范围、自定义日期范围和实时跟踪。

上次：显示上次已知位置。
今天，过去 7 天，和 过去 30 天：显示所选时间段内的记录位置。
搜索：允许您选择自定义日期范围。
实时：启动或停止当前设备的实时跟踪。

标记详情

当你点击位置标记时，将打开信息窗口，其中包含：

位置记录的时间戳。
报告的精度（单位：米）。
报告的速度，当设备提供时。
报告的标题或方位角，当设备提供时。

精度范围

当信息窗口打开时，会显示一个围绕标记的精度范围。该圆的半径对应于报告的精度（以米为单位）。关闭信息窗口会隐藏该圆。

实时跟踪

在设备历史记录视图中，选择实时跟踪过滤器将为该设备发起一个实时跟踪请求。Cerberus Enterprise 在开始请求前会请求确认。

实时跟踪时长可达15分钟。
设备在实时追踪时会显示通知。
实时跟踪处于活动状态时，面板会持续刷新最新位置，且实时指示器保持可见。
再次选择实时过滤器，您可以提前结束实时跟踪，而无需等待超时。

地理围栏选项卡

在 Android 设备上，第二个选项卡显示来自分配策略中定义的地理围栏生成的地理围栏事件。当设备存在地理围栏数据时，此选项卡可用。

地图显示当前的地理围栏区域以及记录的转换点。
右侧的转换列表，您可以查看进入和退出事件。
可用的筛选器有今天，过去 7 天，过去 30 天，以及自定义日期范围搜索。
包含存档也显示与过时地理围栏定义相关的转换，这些定义不再存在于当前策略中。

地理围栏转换详情

选择一个转换会打开其在地图上的详情并突出显示相应的列表项。当可用时，Cerberus Enterprise还会显示该转换的设备坐标和报告的精度。

仪表盘位置地图

仪表盘位置地图提供设备最新已知位置的全球视图，这些设备正在报告位置数据。从 仪表盘 中打开，以在同一 Google 地图上查看多个设备。

前提条件

设备仅在分配的策略中启用位置报告时才会在地图上显示。要启用它，请打开策略并启用 位置和地理围栏 → 报告位置。更多详情请参阅 位置和地理围栏。

在未完全管理的设备上，位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。

要了解设备编辑器中可用的按设备历史记录和地理围栏转换，请参阅位置地图.

加载中，暂无数据。

位置数据加载时，地图会显示加载遮罩。
如果当前没有设备有可用位置数据，页面会显示没有可用位置数据提示。

标记与聚类

带有可用位置数据的每个设备都显示为标记。当许多设备靠得很近时，标记将自动聚类以保持地图的可读性。

正在实时追踪的设备会以动画标记突出显示，方便您在地图上辨认。

地图控件

当地图包含设备位置时，Cerberus Enterprise会在地图右上角显示操作按钮。

当前位置：使用浏览器定位将地图移动到您当前位置，并适应报告的精度区域。
重新居中地图：重新将地图缩放至当前显示的设备标记区域。
实时跟踪药丸：当一个或多个设备正在实时跟踪时显示，并显示当前活动设备数量。
停止所有实时跟踪：实时跟踪药丸内的图标按钮可在确认后停止对所有正在跟踪的设备的实时跟踪。

标记详情

点击标记会打开信息窗口，其中包含：

设备型号和内部 ID。
最后报告位置的时间戳
报告的精度，单位为米。
报告的速度，当可用时。
报告的标题或方位角，当可用时。

信息窗口中的设备标识符是一个链接，打开相应的 设备概览 页面。

信息窗口操作

每个信息窗口也包含所选设备的动作按钮。

设备链接：信息窗口顶部的设备名称和 ID 打开相应的设备概览页面。
缩放：将地图定位到所选设备，并使其报告的精度范围更紧密地围绕该设备。
实时：开始对该设备进行实时跟踪。如果实时跟踪已启用，则相同的按钮将在确认后停止跟踪。
实时跟踪已启用：当显示此状态行时，表示选定的设备正在进行实时跟踪。

精度范围

选中标记后，地图会显示一个围绕位置的精度范围。该范围的半径与报告的精度相符。

实时追踪行为

从信息窗口开始实时追踪会向该设备发送实时追踪请求。Cerberus Enterprise 会在会话期间自动刷新地图。

每个实时追踪会话最多可运行15分钟。
设备在实时追踪时会显示通知。
实时追踪可以在所选设备的详细信息窗口或地图上的停止所有实时追踪按钮上停止。

私有应用

从仪表盘的此部分，您可以上传自己的私有 Android 应用程序，或创建 Web 应用程序，以便在您的设备上进行分发。

您只需要提供应用程序的标题和 APK 文件。私有应用程序将自动获得您组织的批准，通常在 10 分钟内即可准备好进行分发。您每天最多可以上传 15 个私有应用程序。请注意，Web 应用程序也计入此总数。

首次发布私有应用时，您需要提供一个电子邮件地址，以接收来自 Google Play 控制台有关您的应用和 Google Play 开发者帐户的通知。此外，受管的 Play 会代表您的组织自动创建一个 Play 开发者帐户，您无需为此帐户支付注册费。

从 iframe 中发布的私有应用：

这些应用不受与其他应用相同的检查约束。因此，它们无法转换为公开应用。
这些应用无法转移。您无法将应用的拥有权转移到其他 Google Play 开发者帐户。

如需更多详情，请访问 Google Play 管理控制台帮助文档

证书管理

仪表板包含一个证书区域，用于导入、查看和删除证书。点击证书行将打开证书编辑器。

证书列表

证书以可排序、分页的表格形式显示。列表包含客户端证书和证书颁发机构 (CA)。

筛选条件

在页面顶部，您可以使用芯片列表来启用筛选条件。某些筛选条件是互斥的。

全部：显示所有证书。
客户端：仅显示客户端证书。
证书颁发机构 (CA)：仅显示 CA 证书。
搜索：显示一个文本框（标签为 证书名称或文件名），用于通过证书名称或导入的文件名进行搜索。
无用户：显示未与任何用户关联的客户端证书。

表格列

名称
类型
过期
用户（仅适用于客户端证书）
导入的文件名
导入日期

操作

打开证书：点击某一行以打开证书编辑器。
删除证书：仅当证书未与用户/策略关联且未被设备使用时，此操作才可用。当许可证过期时，此操作也可以被禁用。
多行选择：您可以启用多行选择功能，以便一次性删除多个证书。只能选择可删除的证书。
刷新：重新加载证书列表。

导入证书

要导入证书，请点击 导入证书，然后选择一个或多个文件。支持的格式显示在导入按钮的提示信息中。

客户端

支持的格式：Base64 编码的 PKCS#12 文件（.p12 / .pfx）。

客户端证书用于在企业网络中识别用户或设备。客户端证书可以与特定用户关联。

每个客户端证书可以选择性地分配给特定的用户：这允许在许多设备上部署相同的 Wi-Fi EAP 配置。您可以在策略的网络配置部分，使用 用户的 EAP 凭据 选项来实现。

或者，您也可以从“用户”页面为用户分配证书。

证书颁发机构 (CA)

支持的格式：Base64 编码的 X.509 格式 (.crt / .pem / .cer / .der)。

CA 证书用于标识证书颁发机构，并指示设备信任由该 CA 颁发的任何证书。仪表板验证导入的 X.509 证书是否为 CA 证书。

证书编辑器

打开证书时，编辑器会显示其主要字段以及一个只读的 证书信息 面板。

主要字段

名称（必填）
ID (只读)
类型 (只读)
过期时间 (只读)
导入日期 (只读)
导入的文件名 (只读)

用户关联 (客户端证书)

对于 客户端 证书，编辑器会显示一个用户字段。如果已为用户分配，则菜单允许您 打开用户，更改用户，或 取消用户关联。如果未分配用户，您可以使用用户操作按钮进行分配。

删除证书

当证书当前与用户关联或用于策略时，删除操作将被禁用。当许可证过期时，删除操作也可能被禁用。

设备

在仪表盘的设备部分（仪表盘 → 设备），您可以查看您账户中已注册的所有设备。在此页面，您可以筛选设备列表，打开设备记录，并执行诸如禁用或解除注册等设备操作。

筛选条件

在页面的顶部，您可以使用芯片列表启用一个或多个筛选器。选中的芯片代表当前生效的筛选器。

可用的筛选器。

全部：显示所有设备。
Android：仅显示 Android 设备。
Apple：仅显示 Apple 设备。
公司资产：仅显示公司拥有的设备。
个人设备：仅显示个人拥有的设备。
配置所有者：仅显示 Android 工作配置文件的设备。
设备所有者：仅显示 Android 完全管理的设备。
已启用：仅显示处于活动状态的设备。
合规：仅显示符合策略的设备。
不合规：显示未符合策略的设备。
安全：显示安全状态正常的设备。
未安全：显示安全状态不正常的设备。
策略未更新：显示那些有待更新策略的设备。
状态未更新：显示那些在过去 72 小时内未报告状态的设备。
应用程序错误：显示已发送应用程序错误反馈的设备。
搜索：启用文本搜索功能。

搜索

启用“搜索”过滤器后，会显示一个文本框，其标签为ID、型号或用户。当您停止输入时，列表将自动更新。

设备列表

设备以可排序、分页的表格形式显示。点击某一行将打开设备编辑器。

列

ID：设备内部标识符。
MDM：平台（Android 或 Apple）。
型号：设备型号。
所有权：公司所有或个人所有（带有详细提示）。
管理模式：管理模式（附带详细说明）。
策略：当前已应用的策略。
用户：关联用户（根据可用性，显示姓名、电子邮件或 ID）。
上次状态报告：最近状态报告的时间戳（如果可用）。
状态：设备状态（带工具提示的详细信息）。
合规性：合规状态指示器。
安全：安全态势（附详细提示信息）。
应用错误：应用错误指示器。

刷新和分页

使用刷新操作重新加载列表。
表格已分页显示（每页显示10/25/50个项目）。

设备操作

每个设备行可以提供相应的操作，具体取决于平台和设备状态。当您的许可证过期或终止时，某些操作将被禁用。

每个设备的可用操作。

禁用设备 / 启用设备：仅适用于受支持状态的 Android 设备。
取消设备注册：移除设备管理。在 Android 上，这可能会擦除工作资料或恢复出厂设置（取决于设备所有权）；在 Apple 上，这会删除策略设置。
删除设备：仅适用于已取消注册的设备（从系统中移除设备记录）。

多行选择

您可以在下方的操作栏中启用多行选择。启用后，您可以选择多行，并对所选设备执行批量操作（禁用、启用、取消注册或删除）。

Apple Business Manager 同步

如果已配置 Apple Management，并且存在自动设备注册令牌，则页面可能会显示“从 ABM 同步”操作，用于从 Apple Business Manager 导入设备。

注册设备

点击 注册设备 以打开设备注册页面，并开始注册新的设备。

用户

在仪表盘的用户部分（仪表盘 → 用户），您可以看到已配置到您帐户中的所有用户。在此页面，您可以搜索用户，打开用户编辑器，创建新用户，以及删除当前未与任何设备关联的用户。

搜索

在页面顶部，有一个搜索字段，标签为搜索，提示语为 姓名、用户名或电子邮件。列表会在您停止输入后自动更新。

用户列表

用户以可排序、分页的表格形式显示。点击某一行将打开用户编辑器。

列

ID：内部用户标识符。
名：用户姓名。
姓氏：用户姓氏。
用户名：用户名（通常是用于登录的用户名）。
邮箱：用户邮箱地址。
设备：当前与用户关联的设备数量。
Wi-Fi 证书：指示是否已为用户分配 Wi-Fi 证书。

刷新和分页

刷新操作会重新加载列表。
表格已分页显示（每页显示10/25/50个项目）。

用户操作

创建新用户

使用 创建新用户 打开用户创建对话框。当您的许可证过期时，此操作将被禁用。

从 Google Workspace 同步

如果您的帐户支持从 Google Workspace 同步，页面将显示从 Google Workspace 同步。当您开始同步时，会显示进度指示器，直到同步完成。

删除用户

您只能在用户未与任何设备关联时删除用户（设备列的值必须为 0）。当您的许可证过期或终止时，删除操作将被禁用。

多行选择和批量删除

在表格下方的操作栏中，您可以启用多行选择。在此模式下，您可以选择多个用户并批量删除。

资格：只有那些设备数量为 0 的用户才能被选定进行删除。
选择全部：勾选全部复选框将选中当前页面上所有符合条件的行。
批量删除：删除选中的用户功能在未选择任何行或您的许可证已过期或终止时将不可用。

Wi‑Fi 证书和 EAP。

"Wi-Fi 证书" 列显示是否已为用户分配了证书。用户证书通常用于 Wi-Fi EAP（例如 EAP-TLS）配置。有关证书分配和管理，请参阅 证书管理。

用户

用户编辑器

用户编辑器可在“仪表盘”→“用户”中通过点击用户行访问。它允许您编辑用户详细信息，配置用户的 Wi-Fi EAP 凭据，并查看用户的相关设备。

用户详情

顶部的区域包含用户的主要信息。某些字段是必填项，如果缺少或无效，编辑器会显示验证错误。

ID：只读标识符。
名：必填。
姓氏：必填。
用户名：必填。
电子邮件：必填，且必须是有效的电子邮件地址。
电话号码：可选。
Google 帐户：可选，如果提供，必须是有效的电子邮件地址。

Google 身份验证默认策略

在启用了 Google 身份验证的 Google Workspace 环境中，编辑器可以显示 Google 身份验证默认策略。这项策略适用于该用户通过 Google 身份验证注册的设备。

修改策略：打开策略选择对话框。
打开策略：在策略编辑器中打开所选策略（当已设置策略时）。
选择新的默认策略后，您必须保存用户才能应用更改。编辑器会显示一个通知，提醒您保存。

Wi-Fi EAP 凭据

Wi-Fi EAP 凭据 部分用于配置为用户安装的凭据，这些凭据会在用户的设备上自动安装，前提是其分配的策略包含需要 Wi-Fi EAP 配置。Wi-Fi EAP 配置是 Android 策略网络配置的一部分。

客户端证书

您可以选择为用户分配客户端证书。当已分配证书时，它将显示在 客户端证书 字段中，并且会提供一个菜单以执行操作。如果没有分配证书，该字段将显示 未分配证书，您可以分配一个。

分配证书：打开证书选择对话框。
打开证书：打开证书编辑器。
更改证书：选择不同的客户端证书。
取消关联证书：从用户处移除证书。系统也会从与该用户关联的所有设备中移除该证书。

有关证书导入和管理的详细信息，请参阅证书管理。

身份、匿名身份和密码

身份：用户的身份信息。对于隧道传输的外部协议（PEAP、EAP-TTLS），此信息用于隧道内部。
匿名身份：用于隧道传输的外部协议（如PEAP、EAP-TTLS），此信息用于隧道内部的身份验证。如果未指定，则默认为空字符串。
密码：用于需要密码的EAP方法的用户的密码。如果未指定，设备可以提示用户。一个显示/隐藏操作可以切换密码的可见性。

关联设备

关联设备 部分显示当前与用户关联的设备列表。如果用户有一个或多个关联设备，则无法删除该用户。

保存并删除

保存用户：仅在表单有效、存在未保存的更改且许可证处于激活状态时可用。保存时会显示进度指示器。
删除用户：当用户与设备关联或许可证已过期/终止时，此功能不可用。如果允许删除，将显示确认对话框。如果用户已分配到注册令牌，则对话框会警告，使用这些令牌注册的设备将不再分配给任何用户。

未保存的更改警告

如果您有未保存的更改，并且尝试离开当前页面，仪表盘会询问您是否要放弃这些更改。

账户

设置

在“设置”页面（仪表盘 → 设置），您可以查看帐户和许可信息，并执行管理账单、平台配置（Android 管理和 Apple 管理）以及可选的目录/令牌集成等操作。

许可证横幅（即将到期/已过期）

当您的许可证即将到期、已过期或被终止时，页面顶部会显示一个醒目的横幅。根据您的订阅状态，它会提供“管理账单”操作（Stripe 客户门户）或“购买许可证”操作。

当许可证过期时，账户功能仅限于设备解除注册。在宽限期结束后，账户可能会被取消，并且设备可能会自动解除注册。

账户信息

“账户信息” 卡片显示只读字段：

用户名
企业名称
企业ID

修改密码

如果您未通过 Google 或 Apple 登录，卡片上还会显示一个 修改密码 选项。点击该选项会打开一个对话框，以继续密码修改流程。

许可证信息

《许可证信息》卡片显示当前的许可证状态以及您的设备数量限制。它还提供了联系销售、管理账单或购买许可证的选项。

许可证状态：显示为激活或过期（带有图标和提示信息）。
免费试用：当账户处于试用状态时显示。
已授权设备：许可证允许的最大设备数量。如果需要更多设备？，点击此链接以联系支持人员。
下一次自动续订时间：仅显示已激活且自动续订的订阅。否则，卡片会显示到期日期。

Android 设备管理

"Android 管理卡片显示您企业的 Android 管理状态。如果尚未配置 Android 管理，则卡片会提供一个配置 Android 管理操作，该操作会打开配置流程。

已配置状态

配置 Android 管理后，卡片可以显示以下内容：

管理ID
已与 Google Workspace 同步（当目录同步处于活动状态时，会显示徽章）
受管理 Google Play 帐户设置（链接至 Google Play 管理设置，如适用）。
Google 管理控制台（链接，如适用）。
与 Google Workspace 同步（当目录同步未配置时显示；打开页面底部的说明面板）。

苹果设备管理

“苹果设备管理” 卡片显示您企业的苹果设备管理 (MDM) 状态。如果尚未配置苹果设备管理，该卡片会提供一个“配置苹果管理” 按钮，点击该按钮将打开配置流程。

已配置状态

配置 Apple 设备管理后，卡片可以显示以下内容：

Apple 账号
Apple 推送证书到期：显示到期日期和图标。如果证书即将到期或已过期，则图标可点击，以打开续订说明。
ABM 令牌到期：显示 Apple Business Manager 令牌的到期日期（当需要采取操作时，可点击该图标）。
VPP 令牌：显示组织名称和 Apple 批量购买计划令牌的到期日期（当需要采取操作时，可点击该图标）。
Apple Business Manager 门户：当存在 ABM 令牌时，会显示此链接。
与 Apple Business Manager 同步 以及 与 Apple 批量购买计划同步：当缺少令牌时显示。

Apple 管理需要配置 APNs 证书。如果需要，请参阅 Apple 管理设置 (APNs)。

偏好设置与隐私

“偏好设置与隐私”卡片包含营销偏好设置开关，以及指向服务条款和隐私政策的链接。点击保存偏好设置以应用更改（保存过程中会显示进度指示器）。

发送反馈

当为帐户启用了订阅时，页面可以显示一个发送反馈卡片，其中包含指向以下内容的链接：提交功能请求以及外部评论平台。

内联设置和续订说明

在页面底部，仪表板可以根据当前状态显示可展开的说明面板（例如，当证书/令牌缺失或即将过期时）。

续订 Apple 推送证书 (APNs)。

当 APNs 证书即将过期或已过期时，页面会显示一个面板，其中包含下载 CSR 文件的步骤，以及在 Apple 门户网站上续订证书的步骤，以及上传新证书到 Cerberus Enterprise 的步骤。

与 Apple Business Manager (ABM) 同步

当 ABM 令牌缺失、已过期或即将过期时，页面会显示一个面板，其中包含步骤，指导您从 Apple Business Manager 下载令牌，并将其上传到 Cerberus Enterprise。

与 Apple 批量购买计划 (VPP) 同步

当 VPP 令牌缺失、已过期或即将过期时，页面会显示一个面板，其中包含从 Apple Business Manager 下载内容令牌并将其上传到 Cerberus Enterprise 的步骤。

同步到 Google Workspace。

当未配置 Google Workspace 目录同步时，页面会显示一个面板，该面板会解释集成方式并提供一个授权按钮。它还列出了所需的 Google OAuth 权限范围：https://www.googleapis.com/auth/admin.directory.user.readonly。

关于Android初始设置，请参阅 Android 管理设置。

多租户

多租户概览

该 多租户 部分适用于通过单个登录管理多个客户企业的 MSP 和企业级管理员帐户。本章介绍企业范围模型、企业切换、托管企业管理和子帐户。

要请求多租户帐户，请联系 enterprise@cerberusapp.com.

核心概念

主多租户帐户：可以访问全局多租户工作区的首要管理帐户。
子帐户：由主帐户创建的委派管理帐户，可选择企业分配。
已选企业环境：仪表板中当前打开的、用于日常运营的企业环境。
委派：企业所有者授予的权限，允许管理账户进入和管理该企业。

导航模式

如果未选择企业环境，侧边导航会显示多租户区域，例如企业和，对于主账号，子账号。进入企业后，仪表盘会切换到标准单企业导航（Home、用户、设备、注册、策略等）。

所有权和委托

每个受管企业都有所有者。所有者始终可以访问该企业。非所有者管理员帐户只能在授权委托时访问企业。

所有者和委托状态会直接显示在企业卡片上，以便在进入企业前明确访问范围。

许可证和账单操作

多租户视图显示许可证状态、设备限制和企业账单操作。根据企业订阅状态和您的权限，卡片可能显示管理账单或购买许可证。

对于由多租户帐户创建的企业，许可由多租户用户管理。主帐户始终可以管理许可，而子帐户只有在主帐户启用可以管理许可证 为该子帐户时才能管理许可。

本章的页面

已管理的企业：搜索、筛选、卡片详情和企业创建。
企业切换：顶级切换器行为和范围转换。
子账户：委派操作员、分配和凭据管理。

多租户

管理的企业

该企业页面（仪表盘 → 企业）是用于管理企业访问的控制中心。它列出了多租户帐户可见的所有企业，并允许您过滤、检查所有权/委派、进入企业上下文以及创建新的管理企业（仅限主帐户）。

搜索和筛选

搜索企业：按企业名称或企业ID筛选。
委派：全部、已委派，或未委派。
许可状态: 全部，有效，即将到期，已过期，或已终止。

企业卡

每张企业卡显示关键管理元数据：

许可证状态，带有图标徽章和上下文工具提示。
已授权设备 (企业设备限制).
下一次计划续期或到期日期，取决于订阅状态。
委派状态（所有者，已授权，或未授权）。
所有者的显示名称和用户名。

企业操作

输入企业：在委派/所有权允许访问时，打开选定的企业环境。
管理账单：在可用且允许的情况下，打开企业账单管理。
购买许可：在账单未激活时，打开企业采购流程。

谁可以管理许可证

对于由多租户帐户创建的企业，许可证管理由多租户用户控制。主帐户始终可以管理这些企业的账单和许可证操作。

子帐户仅能在主帐户授予“可管理许可证”权限的情况下管理账单和许可证操作，具体设置请在子帐户页面查看。

创建管理的企业

主要的多租户帐户可以从底部操作区域扩展 创建管理的企业.

企业名称 是必需的。
创建企业管理员用户控制所有权模式。
启用时，管理员用户名（电子邮件格式）和 管理员姓名是必需的。
创建前，确认对话框会总结操作，并在适用时警告临时凭据将通过电子邮件发送给新的管理员用户。

所有权模式

企业级管理员已启用：新的管理员用户拥有企业并可以将管理委派给您的多租户帐户。
企业级管理员已禁用：企业由您的多租户帐户直接拥有。

企业配额

如果账户达到配置的企业配额，则创建被阻止，表单会显示支持联系方式消息，其中包含当前的企业数量和最大企业数量。

当企业配额达到上限时，您需要增加配额上限后才能创建更多管理的企业。

多租户

企业迁移

顶栏中的企业切换器允许多租户用户在不注销的情况下在委派的企业之间切换。当至少可以选择一个企业上下文时可用。

切换行为

触发器显示当前企业名称（或企业 ID，如果企业名称不可用）。
菜单列出了委派/可访问的企业，并标记了当前企业为已选。
切换期间，切换操作将被临时禁用，以防止并发范围更改。

退出企业

切换器菜单包含 退出企业，这会清除当前的企业上下文并返回到全局多租户工作区。

上下文重置规则

切换企业或退出企业会重置仪表板范围。企业特定的页面和数据会为新选定的上下文刷新，菜单可见性会根据是否选择了企业而调整。

使用切换器进行快速的操作上下文更改，但在执行策略更新或设备命令等敏感操作之前，请务必确认所选企业的名称。

多租户

子账户

子账户 页面 (仪表盘 → 子账户) 仅为主多租户帐户可用。它允许您创建委派管理员用户，分配托管企业，控制账单权限，并维护子账户凭据。

子帐户列表

每个子帐户卡片显示身份和管理控件：

名称和 用户名/邮箱。
管理企业 多选分配。
可管理证书 权限开关。
重置密码和删除操作。

管理企业分配

企业分配可通过管理的企业多选字段进行编辑。在更改后关闭选择器时，仪表板会要求确认后再保存更新。

许可证管理权限

可以管理许可证 许可证 开关控制次级帐户是否可以访问企业计费/许可证管理操作。

对于通过多租户帐户创建的企业，主帐户始终具有许可证管理权限。次级帐户仅当主帐户启用此开关时才获得许可证管理权限。

密码重置

重置密码会生成一个新的临时密码，并在确认后通过电子邮件发送给子帐户。

删除子帐户

删除子帐户需要确认，并且会永久移除该帐户的委派访问权限。

创建子帐户

使用底部的操作面板 创建子帐户 以添加新的委派管理员。

邮箱：必需且已验证为电子邮件格式。
姓名：必需的显示名称。
可管理许可证：可选的初始计费权限。
创建前，确认对话框会提示会将临时密码电子邮件发送至提供的地址。

洞察

以下是一些文章，深入探讨移动设备管理 (MDM) 如何助力您的业务：