IT 管理员可以在注册后更改与设备关联的策略。但是,每台设备一次只能关联一个策略。
在注册(配置)过程中,所需的管理组件会自动安装并配置。在 Android 上,这通常包括 Android 设备策略 (ADP) 应用(根据您的配置,可能还包括 Cerberus Enterprise 伴侣应用)。在 Apple 设备上,一旦设备完成注册,管理就会通过 MDM 应用。因此,相应的策略会自动应用于设备,并且所有关联规则都将由平台管理系统强制执行。一条策略可以应用于多台设备。在这种情况下,当您修改该策略时,所有关联的设备都将接收到更改。
# 设置 # Android 管理设置 要在 Cerberus Enterprise 中管理 Android 设备,您必须首先将您的组织连接到 Google Android Enterprise。设置过程通常需要几分钟,并且需要一个 **工作电子邮件地址**(例如,*name@enterprise.com*)。
## 设置期间会发生什么 - 您将被重定向到 Google Android Enterprise。 - 使用您的工作电子邮件地址进行登录。 - Google 会为您所在的组织创建 Android 管理账号。 - 您将被重定向回 Cerberus Enterprise 以完成设置。 ## 重要信息 请务必使用工作电子邮件地址,而不是个人 Gmail 账号。该电子邮件将用于为您创建 Android 管理的 Google 管理员账号。 ## 后续步骤 完成设置后,请创建一个 [**注册令牌**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens"),并为设备选择合适的配置方法。 # Apple 管理设置 (APNs) 要在 Cerberus Enterprise 中管理 Apple 设备,需要使用 Apple 推送通知服务 (APNs) 证书。请使用与您的组织关联的 Apple ID。APNs 证书有效期为一年,必须每年续期才能继续管理设备。
## 第 1 步:下载 CSR 文件 在控制台中,开始 Apple 管理设置并下载由 Cerberus Enterprise 生成的供应商签名证书签名请求 (CSR) 文件。 ## 第 2 步:在 Apple 门户网站上创建推送证书 - 使用您的 Apple ID 登录 Apple 推送证书门户 (Apple Push Certificates Portal)。 - 点击 *“创建证书”*。 - 上传第 1 步中的 CSR 文件。 - 下载已创建的推送证书。 门户链接:[https://identity.apple.com/](https://identity.apple.com/ "Apple Push Certificates Portal") ## 第 3 步:上传推送证书 将从 Apple 下载的推送证书上传回 Cerberus Enterprise 以完成设置。如果 APNs 证书过期,Apple 设备管理将停止工作,直到证书完成续期。
## 后续步骤 APNs 配置完成后,您可以继续进行 Apple 设备注册。请阅读 [**Apple 配置概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-Hb9 "Apple provisioning overview") 以了解后续步骤。 # 设备配置概览 Cerberus Enterprise 支持 Android 和 Apple 平台的设备管理。您可以根据需要注册的设备,独立配置其中任一平台。 ## 1. 在控制面板中完成平台设置 在注册设备之前,请先在 Cerberus Enterprise 控制面板中完成平台设置。如果您的账户尚未配置,控制面板将引导您完成必要的步骤。 ### Android 设置 (Google Android Enterprise) 有关完整的 Android 设置流程,请阅读 [**Android 管理设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android-Nwl "Android Management setup")》。 - 前往控制面板的注册流程,并选择 **设置 Android 管理**。 - 您将被重定向到 Google,使用 **工作账号** 登录并授权 Android Enterprise。 - 授权后,您将被重定向回 Cerberus Enterprise 以完成设置。 ### Apple 设置 (APNs 推送证书) 有关完整的 Apple 设置流程,请阅读 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)")》。 - 前往控制面板的注册流程,并选择 **设置 Apple 管理**。 - 从 Cerberus Enterprise 下载 CSR 文件。 - 在 Apple 推送证书门户 (Apple Push Certificates Portal) 中创建 APNs 证书,并下载生成的证书。 - 将下载的证书上传回 Cerberus Enterprise,以启用 Apple 设备管理。 ## 2. 注册设备 完成平台设置后,请选择与您的设备所有权模式及操作系统相匹配的注册方法。 ### Android 注册 对于 Android,注册由 [**注册令牌**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens")驱动。根据设备是个人所有还是公司所有,选择合适的方法。 - 个人所有 (BYOD / 工作资料):[请参考本指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/65ded "Personally-owned devices")》。 - 公司所有 (工作与个人使用 / 工作资料):[请参考本指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/8f532 "Company-owned devices for work and personal use")》。 - 公司所有 (仅限工作使用 / 全管理或专用):[请参考本指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/42a0e "Company-owned devices for work use only")》。 - Zero-touch:[请参考本指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/zero-touch "Zero-touch")》。 ### Apple 注册 对于 Apple,请先完成上述的 APNs 设置,然后按照 Apple 注册指南进行操作:[**Apple 注册概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-Hb9 "Apple provisioning overview")》。 # 设备配置 - Android # 支持的设备 通常情况下,任何运行 Android 6 及以上版本并安装了 Google Play 服务的设备都与 Cerberus Enterprise 兼容。 为了获得更好的用户体验,我们建议使用符合 [Android Enterprise Recommended](https://androidenterprisepartners.withgoogle.com/devices/) 标准的设备。某些功能仅限于特定的 Android 版本,或者在不同的操作系统版本中表现可能有所不同。有关特定功能的更多信息,请参阅文档中的 [策略](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies")章节。
Cerberus Enterprise 支持公司拥有的设备和个人拥有的设备,并提供两种管理模式:设备所有者 (Device Owner) 和资料所有者 (Profile Owner)。 **个人拥有的**设备可以通过 **工作资料**进行管理。这通过将员工的工作数据和应用与个人数据及应用分开,实现了一种 BYOD(自带设备)解决方案,从而提高了安全性和隐私性。此选项适用于员工已拥有、且您希望将其注册到组织中用于工作的设备。 **公司拥有的**设备也可以通过工作资料进行管理,但您也可以选择 **完全管理**选项,从而实现对设备的更严格控制。对于向员工提供公司设备用于工作但仍允许个人使用的场景,使用带有工作资料的公司所有设备是合适的。而完全管理的设备更适合仅限用于工作的设备,或 **专用设备**(COSU,公司拥有的单一用途设备),例如自助终端。 有关设备注册的更多信息,请参阅 ["/>设备注册概览](https://enterprise.cerberusapp.com/docs/books/8efb1/page/f4f6d "Device provisioning overview") 页面。Android 注册令牌选项卡仅在完成 [**Android 管理设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android-Nwl "Android Management setup")后可用。
## 在哪里可以找到注册令牌 在控制面板中,打开 **注册令牌**。根据您的账户配置,该页面可能会显示多个选项卡(Android 令牌、Google 登录注册、Apple 手动注册以及 Apple 自动化设备注册)。如果您的 Android 企业由受管 Google 域名 (Google Workspace) 支持,控制面板还可能显示 **使用 Google 注册进行身份验证** 选项卡。有关启用和使用的详细信息,请参阅 [**使用 Google 注册进行身份验证**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google-tQA "Authenticate Using Google enrollment")》。
## 注册令牌列表 (Android) Android 令牌选项卡显示所有令牌的列表。点击某一行将打开该令牌的详细信息页面。 ### 列 - **ID**:内部令牌标识符。 - **状态**:**可用**、**已使用**(一次性令牌已使用)或 **已过期**。 - **有效期**:过期日期/时间,或 **永不过期**。 - **策略**:分配给该令牌的策略(UI 工具提示还会显示策略 ID)。 - **个人使用**:允许 / 不允许 / 专用设备。 - **允许用途**:多次使用或仅限一次。 - **用户**:通过该令牌注册的设备预分配的可选用户。 ### 操作 - 每一行都有一个删除操作(**删除注册令牌**)。当许可证过期时,删除功能将被禁用。 - 该表格支持多行选择:您可以启用选择模式,选择多个令牌,并使用 **删除所选令牌** 进行删除。 - 使用刷新操作来重新加载列表。表格采用分页显示(每页 10/25/50 项)。 ## 创建新的注册令牌 在 Android 令牌选项卡中,点击 **新建注册令牌** 以打开令牌创建页面。如果您的许可证已过期,创建按钮将被禁用。 ### 令牌选项 #### 1. 策略 **必填。** 使用此令牌注册的所有设备都将自动应用该策略。请从您的 [**Android 策略**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies") 中选择一个。如果您还没有任何策略,请先创建一个。 #### 2. 用户 可选。如果设置,新注册的设备将自动与此用户关联。 #### 3. 个人使用 控制是否允许在通过此注册令牌配置的设备上进行个人使用: - **允许**:适用于个人拥有的设备(工作资料)以及用于工作和个人使用的公司所有设备。 - **不允许**:适用于仅供工作使用的公司所有设备(全管理)。 - **专用设备**:适用于自助终端/专用设备(设备不与单个用户关联)。 #### 4. 允许用途 选择该令牌可以多次使用(**多次使用**)还是仅限一次使用(**仅限一次**)。 #### 5. 有效期 选择有效期单位(**分钟**、**小时**、**天**或 **永不过期**)。如果不设置为“永不过期”,请输入有效期数值。允许的范围取决于所选单位,最高可达 10,000 天。 ### 配置选项(仅限二维码) 这些附加选项将嵌入到二维码中,并在通过扫描二维码注册全管理设备的过程中生效。它们不适用于工作资料或使用注册 URL 或令牌注册的设备。 #### Wi-Fi 配置 使用此选项可让设备在配置过程中自动连接到 Wi-Fi,以便下载并初始化管理应用。可用字段包括 **SSID**、**隐藏 SSID**、**安全性**,以及(需要时)**密码**。 您还可以配置 HTTP 代理(**代理**),并根据模式设置 **主机**/**端口**、**PAC URI** 以及 **代理绕过主机**。 #### 其他选项 其他选项包括 **语言区域**、**时区**,以及 **跳过加密**。 ## 注册令牌详细信息 当您打开一个令牌时,详细信息页面将显示该令牌的配置和使用信息: - **状态**、**有效期**、**使用情况**、**个人使用**,以及 **允许用途**。 - **令牌**:原始注册令牌值(可复制)。 - **注册 URL**:Google Android Enterprise 注册 URL(可复制并可通过电子邮件发送)。 - **二维码**:显示在页面右侧,用于注册全管理设备。有关逐步配置流程,请参考 Android 注册指南:[**个人拥有的设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/65ded "Personally-owned devices")>, [**用于工作和个人使用的公司所有设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/8f532 "Company-owned devices for work and personal use")>, [**仅供工作使用的公司所有设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/42a0e "Company-owned devices for work use only")>, 以及 [**Zero-touch**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/zero-touch "Zero-touch")>。
# 个人拥有的设备| Android 版本 |
| 6.0+ |
| Android 版本 |
| 6.0+ |
| Android 版本 |
| 6.0+ |
| Android 版本 |
| 8.0+ |
| Android 版本 |
| 7.0+ |
| Android 版本 |
| 5.1+ |
| Android 版本 | 工作资料 | 完全管理的设备 | 专用设备 |
| 8.0+ (Pixel 7.1+) | ✓ | ✓ | ✓ |
此功能仅适用于由受管 Google 域名 (Google Workspace) 支持的 Android 企业。
## 在哪里可以找到它 在控制面板中,打开 **注册令牌** 并选择 **使用 Google 注册进行身份验证** 选项卡。仅当已配置 Android 管理且您的企业可以使用 Google Workspace 集成时,才会显示该选项卡。 ## 启用(或禁用)Google 身份验证 Google 身份验证是在 **Google 管理控制台** 中启用的。更改设置后,请返回 Cerberus Enterprise 并使用 **刷新状态** 来重新加载当前配置。 1. 使用管理员账号登录您的 [**Google 管理控制台**](https://admin.google.com/)》。 2. 打开 **设备**。 3. 前往 **移动设备与终端** → **设置** → **第三方集成**。 4. 找到 Cerberus Enterprise 的 **Android EMM 集成** 并打开它。 5. 点击 **管理 EMM 提供商**。 6. 切换 **使用 Google 进行身份验证** 以启用或禁用 Google 注册身份验证。 7. 点击 **保存**。 8. 返回 Cerberus Enterprise 控制面板,并在 **使用 Google 注册进行身份验证** 选项卡上点击 **刷新状态**。 ## Google 身份验证注册令牌 启用 Google 身份验证后,控制面板将显示用于此注册模式的专用注册令牌。该页面可能会显示 **二维码**、**注册令牌** 值以及 **注册 URL**(可复制并可通过电子邮件发送)。 ### 关键选项 - **允许个人使用**:控制该令牌是否可以注册用于工作和个人使用的设备(工作资料场景),或仅用于工作的设备(全管理/专用场景)。 - **备用默认策略**:当注册用户未分配特定的 Google 身份验证默认策略时应用的策略。 ### 策略交互 策略设置 **工作账号设置身份验证** (workAccountSetupConfig.authenticationType) 控制用户在设置工作账号期间如何进行身份验证,但 Google 管理控制台的 **使用 Google 进行身份验证** 设置以及注册令牌类型仍可能需要身份验证。 对于已注册的设备,此策略仅在设备由受管 Google Play 账号管理时(即未通过 **使用 Google 注册进行身份验证** 进行注册)生效。当许可证过期时,某些操作(例如更改令牌选项)可能会被禁用。
## 注册设备 在注册过程中,系统会提示用户使用其 Google Workspace 账号进行身份验证。注册成功后,设备将与已通过身份验证的用户关联。 ### 工作资料(个人拥有的设备) - 将 **注册 URL** 分享给用户。当用户在 Android 设备上打开该链接时,将引导其完成工作资料设置和 Google 身份验证。 - 或者,用户可以从 Android 设置开始,选择工作资料设置流程,然后在提示时扫描二维码或输入注册令牌。 ### 公司所有设备 - **二维码方法**:在全新或已恢复出厂设置的设备上,在屏幕同一位置连续点击多次,直到出现二维码提示,然后扫描控制面板中显示的二维码。 - **DPC 标识符方法**(无法使用二维码扫描时):按照设置向导进行操作,连接 Wi-Fi,然后在提示登录时输入 **afw#setup**,接着通过扫描二维码或输入注册令牌继续操作。在提示时,使用 Google Workspace 账号进行身份验证。 有关常规 Android 配置流程(工作资料与全管理设备),请参阅本手册中的标准 Android 注册页面。 # 设备配置 - Apple # Apple 配置概览 Cerberus Enterprise 支持对 Apple 设备进行注册和管理。Apple 配置需要 APNs 证书,并可以通过不同的注册方法来执行。 ## 先决条件:配置 Apple 管理 (APNs) 在注册任何 Apple 设备之前,请先完成 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)")。 ## 选择一种注册方法 ### 手动注册(注册配置文件) 此方法会提供一个注册 URL 和一个配置配置文件 (mobileconfig),您需将其安装在设备上。请阅读 [**Apple 手动注册**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-UrB "Apple manual enrollment")。 ### 自动化设备注册 (ADE) 此方法与 Apple 商务管理 (ABM) 集成,用于为公司拥有的设备实现自动化注册。请阅读 [**Apple 自动化设备注册 (ADE)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-ade "Apple Automated Device Enrollment")。您可以根据设备群和采购流程,同时使用手动注册和 ADE。
# Apple 手动注册(注册配置文件) Cerberus Enterprise 支持通过注册 URL 和注册配置文件对 Apple 设备进行手动注册。当已配置 Apple 管理 (APNs) 时,可以使用手动注册。如果您尚未完成 APNs 设置,请阅读 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)")。
## 获取注册 URL 和配置文件 - 在控制台中打开 **注册** 栏目,然后选择 **Apple 手动注册(注册配置文件)** 选项卡。 - 复制 **注册 URL**,或使用通过电子邮件发送的操作。 - 下载 **注册配置文件**(mobileconfig 文件)。 ## 如何注册 iPhone 或 iPad iOS/iPadOS 15.0+ 1. 将注册配置文件(*enroll.mobileconfig*)发送到设备,或在设备的 Safari 浏览器中打开注册 URL。 2. 在设备上,打开 *设置* → *已下载的描述文件* → *安装*,然后按照说明进行操作。 3. 注册完成后,您可以在 *设置* → *通用* → *VPN 与设备管理*(或 *描述文件与设备管理*)中验证状态。请仅安装从您的 Cerberus Enterprise 控制台获取的注册配置文件。
# Apple 自动化设备注册 (ADE) 自动化设备注册 (ADE) 与 Apple 商务管理 (ABM) 集成,可在公司拥有的设备首次开机(或恢复出厂设置后)时自动进行注册。ADE 需要首先配置 Apple 管理 (APNs)。如果需要,请阅读 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)")。
## 如何自动注册设备 1. 将设备添加到您的 Apple 商务管理 (ABM) 账户中。 2. 在将新设备添加到您的 ABM 账户后,请在 Cerberus Enterprise 的 **设备** 栏目中使用 **从 ABM 同步** 操作进行同步。 3. 在控制台中通过 **注册** → **Apple 自动化设备注册 (ADE)** → **新建 ADE 配置文件** 创建 ADE 配置文件。 4. 在设备详情页面,通过 **ADE 配置文件** 字段为设备分配 ADE 配置文件。 ## ADE 配置文件设置(概览) ADE 配置文件用于控制设备的注册方式以及设置助理 (Setup Assistant) 的行为。在 Cerberus Enterprise 中,ADE 配置文件包含名称、可选的初始策略以及一些注册选项。 ### 配置文件名称 配置文件的易读名称(例如,*默认 ADE 配置文件*)。 ### 策略 最初应用于已注册设备的策略。您可以在创建新的 ADE 配置文件时分配策略。 ### 注册选项 - **可移除 MDM**:控制是否可以从设备中移除 MDM 负载。 - **允许配对**:控制是否允许配对(Apple 已在 iOS 13 中弃用此功能)。 - **自动推进设置**:自动通过设置助理的各个界面。 - **等待设备配置完成**:在服务器将设备标记为已配置之前,阻止设置助理继续操作。 - **强制执行**:防止在设置过程中跳过配置文件应用。 - **多用户 (共享 iPad)**:将设备配置为共享 iPad 模式。 - **受管模式**:请求对设备进行监管。一旦为设备分配了 ADE 配置文件,它就可以进行自动注册。
# 策略概览 控制面板中的 **策略** 模块(*控制面板* → *策略*)列出了您账户中的所有策略,并允许您创建、复制、编辑和删除它们。 ## 策略列表 策略以表格形式显示。点击某一行即可打开相应的策略编辑器。 ### 列 - **ID**:内部策略标识符。 - **MDM**:策略所属平台(Android 或 Apple)。 - **名称**:策略名称。 - **描述**:策略描述。 - **设备**:当前已分配至该策略的已注册设备数量。 ### 筛选与搜索 - 如果同时配置了 Android 管理和 Apple 管理,您可以按 **全部**、**Android** 或 **Apple** 筛选列表。 - 您可以启用 **搜索**,并根据策略名称或描述进行搜索。 ### 刷新与分页 - 使用刷新操作来重新加载列表。 - 表格采用分页显示(每页 10/25/50 项)。 ## 创建新策略 在“策略”页面底部,您可以创建新策略。根据您账户中配置的平台,您可能会看到以下一项或两项操作: - **创建新 Android 策略** - **创建新 Apple 策略**如果您的许可已过期,策略创建(以及其他写入操作)将被禁用。
## 复制与删除策略 每行策略都有一个操作菜单,其中包含 **复制策略** 和 **删除策略**。 ### 删除策略警告 在删除策略时,控制面板可能会根据该策略的使用方式显示额外的警告。 - 如果该策略已分配给已注册设备,删除策略将导致关联设备取消注册,并清除其应用和数据。 - 如果该策略已分配给注册令牌,则这些令牌可能无法再完成注册。 - 如果该策略被设置为 Google 身份验证注册的默认设置(全局或针对某些用户),删除它可能会导致注册失败。 ### 批量删除策略 策略列表支持多行选择以进行批量删除。在多选模式下,您可以选择多个策略并一次性将其全部删除。只有当所有选中的策略都属于同一平台(全部为 Android 或全部为 Apple)时,才启用批量删除。
## 下一步:编辑策略设置 策略列表是入口。要配置策略设置,请参考相应的编辑器文档:[**策略 → Android**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Android policies") 和 [**策略 → Apple**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/apple-eTr "Apple policies").由注册令牌引用的策略将在设备注册期间自动应用。
# 策略 - Android # 摘要 Android 策略是系统的核心实体:它们定义了应用于受管设备并强制执行的规则。 您可以在仪表板的 **策略** 栏目中浏览现有策略并创建新策略。要打开 Android 策略,请点击表格中的策略行:系统将打开 **策略编辑器** 页面。 策略可以与 [注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 相关联,从而在配置过程中自动应用于设备。您还可以在配置完成后更改分配给设备的策略。每个设备一次只能关联一个策略。
许多策略选项仅适用于特定的设备类型(完全管理的、专用设备、工作资料)和 Android 版本。不受支持的设置可能会被设备忽略,或者被报告为不合规。
## 策略编辑器布局 策略编辑器由一组可展开的栏目组成。在页面顶部,您可以随时编辑: - **名称** (必填) - **ID** (只读) - **描述** (可选) 以下章节与策略编辑器中的栏目相对应(例如:应用管理、安全性、网络、系统、个人使用、跨资料策略等)。请参阅本手册的相关章节以详细了解每个栏目。 ## 保存、删除及关联设备 使用 **保存策略** 来应用您的更改。如果没有待处理的编辑,或者许可证已过期,该按钮将处于禁用状态。 如果您打开的是现有策略(即带有 ID 的策略),页面将显示 **删除策略** 操作,并在底部显示 **关联设备** 列表,以便您查看当前有多少台设备正在使用该策略。 # 应用管理 在此部分中,您可以设置与应用可用性、安装、更新及权限管理相关的策略。在设备配置期间,系统会自动创建受管 Google Play 账号。
#### 1. Play 商店模式 此模式用于控制用户在 Play 商店中可以使用的应用,以及当策略中移除应用时设备上的行为。 **白名单 (默认)**: 仅允许使用策略中的应用,任何不在策略中的应用都将自动从设备中卸载。Play Store 将仅显示可用应用。 **黑名单**: 所有应用均可用,任何不应出现在设备上的应用都应在应用策略中明确标记为 **已阻止**。Play Store 将显示所有应用,但被阻止的应用除外。 #### 2. 不受信任应用策略 在设备上强制执行的针对不受信任应用(来自未知来源的应用)的策略。此选项用于控制 Android 系统设置,以决定用户是否可以从 Play Store 之外安装应用(侧载)。 **不允许 (默认)**: 禁止在整个设备上安装不受信任的应用。 **仅限个人资料**: 对于具有工作资料的设备,仅允许在设备的个人资料中安装不受信任的应用。 **允许**: 允许在整个设备上安装不受信任的应用。 #### 3. Google Play Protect 是否强制执行 Google Play Protect 应用验证。 **强制执行 (默认)**: 强制启用应用验证。 **用户选择**: 允许用户选择是否启用应用验证。 #### 4. 默认权限策略 向应用授予运行时权限请求的策略。 **提示 (默认)**: 提示用户授予权限。 **授予**: 自动授予权限。 **拒绝**: 自动拒绝权限。 #### 5. 应用功能 控制是否允许完全托管设备或工作资料中的应用展示应用功能。需要 Android 16 或更高版本。 **允许 (默认)**: 完全托管设备或工作资料中的应用可以展示应用功能。 **不允许**: 完全托管设备或工作资料中的应用无法展示应用功能。 #### 6. 禁用应用安装 是否禁用用户安装应用。 #### 7. 禁用应用卸载 是否禁用用户卸载应用。 #### 8. 权限策略 针对所有应用的显式权限或组授予/拒绝。这些值将覆盖 **默认权限策略** 设置。 使用 **添加权限策略** 来创建条目,并使用删除操作将其移除。 每个条目包括: **Android 权限/组**:Android 权限或组(必填),例如 **android.permission.READ\_CALENDAR** 或 **android.permission\_group.CALENDAR**。 **策略**:授予 / 拒绝 / 提示(使用与 **默认权限策略** 相同的策略选项)。 #### 9. 应用 必须包含在策略中的应用列表。该列表内容的行为取决于 **Play Store 模式** 中设置的值。 如果 **Play Store 模式** 设置为 **白名单**,则仅允许使用策略中的应用,任何不在策略中的应用都将自动从设备中卸载。 如果 **Play Store 模式** 设置为 **黑名单**,则所有应用均可用,任何不应出现在设备上的应用都应在应用策略中明确标记为 **已阻止**。 要添加新应用,请点击 **添加应用** 按钮(或 **添加应用** 图标),然后从 Play Store 中选择应用,并点击应用卡片中的 **选择** 按钮。默认情况下,您所在国家/地区在 Play Store 上发布的所有应用均可供选择。要选择您自己的私有应用或 Web 应用,必须先将它们上传到系统。欲了解更多信息,请阅读 [**私有应用**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/b3967 "Private apps") 页面。
每个应用都可以配置其自身的设置,这些设置以卡片的形式直观呈现: ##### 9.1. 安装类型 针对应用执行的安装类型。 **可用**:该应用可供安装。 **预装**: 应用会自动安装,且用户可以将其移除。 **强制安装**: 应用会自动安装,且用户无法将其移除。 **已阻止**: 该应用已被阻止且无法安装。如果该应用是在之前的策略下安装的,它将被卸载。 **设置所需**: 应用会自动安装,用户无法将其移除;在安装完成之前,将阻止设置流程完成。 **Kiosk 模式**: 应用将以 Kiosk 模式自动安装:它将被设置为首选主屏幕意图,并被列入锁定任务模式的白名单。在应用安装完成之前,设备设置将无法完成。安装后,用户将无法移除该应用。每个策略只能为一个应用设置此 **安装类型**。当策略中包含此选项时,状态栏将自动禁用。欲了解更多信息,请阅读专门的 [**Kiosk 模式**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/a8f15-69s "Kiosk mode") 页面。 ##### 9.2. 安装限制 定义了一组应用安装限制。当选择了多个限制条件时,必须同时满足所有条件才能完成应用安装。仅当 **安装类型** 设置为 **预装** 或 **强制安装** 时,才会显示此选项。
**非计费网络**: 仅当设备连接到非计费网络(例如 Wi-Fi)时才安装应用。 **充电中**: 仅当设备正在充电时才安装应用。 **闲置**: 仅当设备处于闲置状态时才安装应用。 ##### 9.3. 自动更新模式 控制应用的自动更新模式。 **默认**: 应用将以低优先级自动更新,以尽量减少对用户的影响。只有在满足以下所有限制条件时,应用才会进行更新:(1) 设备未被活跃使用,(2) 设备连接到非计费网络,(3) 设备正在充电。在开发者发布更新后的 24 小时内,设备会收到新更新的通知,之后在下次满足上述限制条件时,应用将进行更新。 **延迟**: 在应用版本过时后的最多 90 天内,不会自动更新应用。在应用版本过时 90 天后,将以低优先级自动安装最新的可用版本(参见 **默认** 自动更新模式)。应用更新后,在再次过时后的 90 天内不会再次自动更新。用户仍可以随时从 Play Store 手动更新应用。 **高优先级**: 应用将尽快更新。不应用任何限制条件。新版本发布后,设备会立即收到更新通知。 ##### 9.4. 最低版本代码 在设备上运行的应用的最低版本。如果设置了此项,设备将尝试将应用更新至至少此版本代码。如果应用未达到最新状态,设备将显示 **不合规详情**,且 **不合规原因** 将被设置为 **APP\_NOT\_UPDATED**。应用必须已发布到 Google Play,且其版本代码大于或等于此值。每个策略最多可为 20 个应用指定最低版本代码。 ##### 9.5. 委派范围 从 Android 设备策略委派给应用的范围。您可以向其他应用授予一系列特殊的 Android 权限: **证书安装**: 授予证书安装和管理的访问权限。 **已管理配置**:授予对已管理配置管理的访问权限。 **阻止卸载**:授予阻止卸载的权限。 **权限**:授予对权限策略和权限授予状态的访问权限。 **应用包访问权限**:授予对应用包访问状态的访问权限。 **系统应用**:授予启用系统应用的权限。 ##### 9.6. 优先网络 此应用使用的优先网络服务。如果已设置,当可用时,该应用将使用指定的企业网络切片进行连接。这必须与**移动网络**面板中**5G 网络切片配置**部分配置的网络切片相匹配。 9.7. 默认权限策略 该应用请求的所有权限的默认策略。如果指定,它将覆盖适用于所有应用的策略级**默认权限策略**。它不会覆盖适用于所有应用的**权限策略**。 **提示 (默认)**:提示用户授予权限。 **授予**:自动授予权限。 **拒绝**:自动拒绝权限。 ##### 9.8. 工作与个人应用互通 控制应用是否可以在用户同意的情况下,跨设备的个人资料与工作资料进行通信(Android 11 及更高版本)。 **不允许 (默认)**:防止应用进行跨配置文件通信。 **允许**:在获得用户同意后,允许应用进行跨配置文件通信。 ##### 9.9. 始终开启 VPN 锁定豁免 指定在 VPN 未连接且处于**锁定启用**状态时,是否允许该应用进行网络连接。仅支持运行 Android 10 及以上版本的设备。 **强制执行 (默认)**:应用遵循始终开启 VPN 锁定设置。 **豁免**:该应用豁免于始终开启 VPN 锁定设置。 ##### 9.10. 工作资料小组件 指定安装在工作资料中的应用是否允许向主屏幕添加小组件。 **允许**:应用可以将小组件添加到主屏幕。 **不允许**:应用无法将小组件添加到主屏幕。 ##### 9.11. 用户控制设置 指定是否允许对特定应用进行用户控制。用户控制包括强制停止和清除应用数据等用户操作(Android 11 及更高版本)。如果为某个应用启用了**extensionConfig**,则无论此设置如何,都将禁止用户控制。对于亭式应用 (Kiosk apps),您可以使用**允许**来允许用户控制。 **未指定**:使用应用的默认行为来确定是否允许用户控制。 **允许**:允许对该应用进行用户控制。 **不允许**:禁止对该应用进行用户控制。 ##### 9.12. 已禁用 应用是否已禁用。禁用时,应用数据仍将保留。 ##### 9.13. 允许凭据提供程序 应用是否被允许在 Android 14 及更高版本上充当凭据提供程序。 ##### 9.14. 已管理配置 要配置应用的已管理设置,请点击**启用已管理配置**按钮。如果已为该应用设置了已管理配置,您可以通过**已管理配置**按钮修改配置,或通过**移除配置**按钮将其删除。**已管理配置**选项仅适用于支持此功能的应用。
##### 9.15. 权限策略 针对该应用的明确权限授予或拒绝。这些值将覆盖适用于所有应用的**默认权限策略**和**权限策略**。 使用 **添加权限策略** 为应用卡片添加一条或多条权限规则,并可通过删除操作将其移除。 ##### 9.16. 测试轨道 ID 设备可以访问的应用封闭测试轨道 ID 列表。如果选择了多个轨道 ID,设备将接收所有可访问轨道中的最新版本。如果没有选择任何轨道 ID,设备将只能访问应用的正式版轨道。**测试轨道 ID**选项仅适用于至少有一个测试轨道 ID 可供您组织使用的应用。有关如何将您的组织添加到特定应用的封闭测试轨道的更多详细信息,请参阅[此处](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing)。
#### 10. 默认应用设置 为支持的类型设置默认应用。一旦为至少一种类型设置了默认应用,用户将无法在该个人资料中更改默认应用。每个**默认应用类型**仅允许设置一个默认应用。默认应用列表不得包含重复项。
##### 10.1. 默认应用类型 选择要配置的应用类别(例如:浏览器、拨号器、短信、钱包或助手)。可用性取决于 Android 版本和管理模式。 ##### 10.2. 默认应用范围 选择默认应用适用的范围(全托管、工作资料或个人资料)。只能选择所选类型支持的范围。如果所选范围均不适用于设备的管理模式,设备将报告合规性异常详情。
##### 10.3. 默认应用 可设置为所选类型默认应用的应用列表。第一个安装且符合条件的应用将被设为默认应用。如果范围包含**全托管**或**工作资料**,则每个应用还必须存在于**应用**列表中,且其**安装类型**未设置为**已阻止**。
#### 11. 私钥选择 允许在没有匹配规则的情况下,在设备上显示 UI 以供用户选择私钥别名(针对 **选择私钥规则** 中的规则)。对于 Android P 以下版本的设备,设置此项可能会导致企业密钥面临风险。
#### 12. 选择私钥规则 控制应用对私钥的访问权限。该规则决定了 Android 设备策略(Android Device Policy)将向指定应用授予哪个私钥(如果有)。访问权限的授予发生在以下两种情况:一是当应用调用 `KeyChain.choosePrivateKeyAlias`(或其任何重载方法)以请求给定 URL 的私钥别名时;二是在 Android 11 及更高版本中,对于非特定 URL 的规则(即未设置 `urlPattern`,或将其设置为空字符串或 `.\*`),直接授予权限以便应用可以调用 `KeyChain.getPrivateKey`,而无需先调用 `KeyChain.choosePrivateKeyAlias`。当应用调用 `KeyChain.choosePrivateKeyAlias` 且有多个 `choosePrivateKeyRules` 匹配时,最后一个匹配的规则将决定返回哪个密钥别名。 使用 **添加私钥规则** 来创建条目,并可通过删除操作将其移除。 ##### 12.1. 私钥别名 要使用的私钥别名。 ##### 12.2. URL 模式 用于与请求的 URL 进行匹配的 URL 模式。如果未设置或为空,则匹配所有 URL。此项使用 `java.util.regex.Pattern` 的正则表达式语法。 ##### 12.3. 应用包名 该规则适用的应用包名。系统将针对每个应用的签名证书哈希值与 Play 提供的哈希值进行验证。如果未指定任何包名,则该别名将提供给所有调用 `KeyChain.choosePrivateKeyAlias` 或其任何重载方法的应用(但在 Android 11 及更高版本中,即使不调用 `KeyChain.choosePrivateKeyAlias` 也无法直接获得该别名)。任何与此处指定的包具有相同 Android UID 的应用,在调用 `KeyChain.choosePrivateKeyAlias` 时都将获得访问权限。 使用 **添加应用包名** 来添加条目,并可通过删除操作将其移除。要删除应用,请点击应用卡片底部的**垃圾桶**图标。
Wi-Fi 配置可以由系统通过 **Wi-Fi 配置**进行配置和管理。根据在 **配置 Wi-Fi** 中设置的值,用户对添加/修改网络的控制权限可能受限或完全无法控制。
## 设备无线电状态 #### 1. Wi-Fi 状态 控制 Wi-Fi 的当前状态,以及用户是否可以更改其状态。 **用户选择(默认)**:允许用户启用/禁用 Wi-Fi。 **已启用**:Wi-Fi 已开启,且用户不允许将其关闭(Android 13+)。 **已禁用**:Wi-Fi 已关闭,且用户不允许将其开启(Android 13+)。 #### 2. 最低 Wi-Fi 安全级别 设备可以连接的 Wi-Fi 网络所需的最低安全级别。在 Android 13 及以上版本中受支持,适用于完全管理的设备以及公司拥有的设备上的工作资料。 **开放网络(默认)**:设备可以连接所有类型的 Wi-Fi 网络。 **个人网络**:不允许连接开放式 Wi-Fi 网络;要求至少具备个人安全级别(例如 WPA2-PSK)。 **企业网络**:要求使用企业级 EAP 网络;不允许低于此安全级别的 Wi-Fi 网络。 **192 位企业网络**:要求使用 192 位企业网络;最严格的选项。 #### 3. 超宽带 (UWB) 状态 控制超宽带设置的状态,以及用户是否可以将其开启或关闭。 **用户选择(默认)**: 允许用户开启或关闭 UWB。 **已禁用**: UWB 已禁用,且不允许用户通过设置进行切换(Android 14+)。 ## 设备连接管理 #### 4. 蓝牙共享 控制是否允许蓝牙共享。 **允许**: 允许蓝牙共享(在完全管理的设备上为默认设置,Android 8+)。 **不允许**: 不允许蓝牙共享(在工作资料中为默认设置,Android 8+)。 #### 5. 配置 Wi-Fi 控制 Wi-Fi 配置权限。根据所选选项,用户对配置 Wi-Fi 网络拥有完全、有限或无控制权。 **允许配置 Wi-Fi(默认)**: 允许用户配置 Wi-Fi。 **不允许添加 Wi-Fi 配置**: 不允许添加新的 Wi-Fi 配置。用户可以在已配置的网络之间进行切换(Android 13+;适用于完全管理的设备和公司拥有的工作资料)。 **不允许配置 Wi-Fi**: 不允许配置 Wi-Fi 网络。对于完全管理的设备,这将移除用户配置的网络,仅保留通过 **Wi-Fi 配置** 配置的网络。对于公司拥有的工作资料,现有网络不受影响,但用户无法添加/删除/修改 Wi-Fi 网络。当禁用 Wi-Fi 配置且设备在启动时无法连接时,系统可以显示 **网络逃生口**,以便让用户临时连接并刷新策略。
#### 6. Wi-Fi Direct 设置 控制 Wi-Fi Direct 设置的配置与使用。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。 **允许(默认)**: 允许用户使用 Wi-Fi Direct。 **不允许**: 不允许用户使用 Wi-Fi Direct。 #### 7. 网络共享设置 控制网络共享设置。根据所设定的值,用户将被部分或完全禁止使用不同形式的网络共享。 **允许所有网络共享(默认)**: 允许配置和使用所有形式的网络共享。 **不允许 Wi-Fi 网络共享**: 不允许用户使用 Wi-Fi 网络共享(适用于公司拥有的 Android 13+ 设备)。 **不允许所有网络共享**: 不允许所有形式的网络共享(适用于完全管理的设备 + 公司拥有的工作资料)。 #### 8. Wi-Fi SSID 策略 限制设备可以连接的 Wi-Fi SSID(这不会影响设备上可以配置哪些网络)。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。 **SSID 黑名单(默认)**: 设备无法连接到 SSID 在列表中的任何 Wi-Fi 网络,但可以连接到其他网络。 **SSID 白名单**: 设备只能连接到列表中的 SSID。SSID 列表不能为空。 使用 **添加 SSID** 来添加条目。根据所选策略类型的不同,该列表将被解释为允许的 SSID 或拒绝的 SSID。 在策略编辑器 UI 中,白名单的 SSID 列表标记为 **允许的 Wi-Fi SSID**,黑名单的 SSID 列表标记为 **拒绝的 Wi-Fi SSID**。 #### 9. Wi-Fi 漫游设置 按 SSID 配置 Wi-Fi 漫游模式。使用 **添加 Wi-Fi 漫游设置** 来创建条目。 每个条目包括: **SSID**: 漫游设置适用的 SSID(必填)。 **Wi-Fi 漫游模式**: 默认 / 已禁用 / 激进。已禁用和激进模式需要 Android 15+,且仅在完全管理的设备以及公司拥有的设备上的工作资料中受支持。 ## 网络限制 #### 10. 禁用蓝牙 是否禁用蓝牙。请优先使用此设置,而非“禁用蓝牙配置”,因为用户可以绕过“禁用蓝牙配置”。 #### 11. 禁用蓝牙联系人共享 是否禁用蓝牙联系人共享。 #### 12. 禁用蓝牙配置 是否禁用蓝牙配置。 #### 13. 禁用网络重置 是否禁用重置网络设置。 #### 14. 禁用 Android Beam 发送 是否禁用通过 NFC 从应用中发送数据。 ## VPN #### 15. 始终连接的 VPN 应用 指定一个“始终连接的 VPN”包名,以确保来自指定受管应用的数据将始终通过已配置的 VPN。注意:此功能需要部署同时支持“始终连接”和“按应用 VPN”功能的 VPN 客户端。
#### 16. VPN 锁定模式 在 VPN 未连接时禁止进行网络连接。 #### 17. 禁用 VPN 配置 是否禁用 VPN 配置。 ## 代理与网络服务 #### 18. 首选网络服务 控制是否在工作资料中启用首选网络服务。例如,组织可能与运营商达成了协议,规定工作数据通过专门用于企业使用的运营商网络服务(例如 5G 网络上的企业切片)进行传输。此设置对完全管理的设备没有影响。 **已禁用**: 工作资料中的首选网络服务已禁用。 **已启用**: 工作资料中的首选网络服务已启用。如果您使用企业网络切片,请同时在 **蜂窝网络** 策略面板下配置 **5G 网络切片配置**,并使用 **首选网络** 设置将应用分配给切片。
#### 19. 推荐的全局代理 与网络无关的全局 HTTP 代理。通常情况下,应在 Wi-Fi 配置中针对每个网络进行代理设置。全局代理对于某些特殊配置(如通用内部过滤)可能非常有用。全局代理仅作为一种推荐,某些应用可能会忽略它。 **已禁用** **直接代理** **代理自动配置 (PAC)** ##### 19.1. 主机 直接代理的主机。 ##### 19.2. 端口 直接代理的端口。 ##### 19.3. PAC URI 用于配置代理的 PAC 脚本 URI。 ##### 19.4. 排除的主机 对于直接代理,这些是绕过代理的主机。主机名可以包含通配符,例如 **\*.example.com**。 使用 **添加排除的主机** 来添加条目(仅适用于直接代理)。 ## Wi-Fi 配置 定义系统将在设备上应用的 Wi-Fi 网络配置。使用 **添加 Wi-Fi 配置** 来创建条目,并使用删除操作将其移除。 #### 20. Wi-Fi 配置字段 每个配置包括: **配置名称**: 必填。 **SSID**: 必填。 **自动连接**: 是否在网络范围内时自动连接该网络。 **快速转换 (Fast Transition)**: 是否应尝试与网络使用快速转换 (IEEE 802.11r-2008) 技术。 **隐藏 SSID**: 是否广播 SSID。 **MAC 随机化模式**: 硬件或自动(Android 13+)。 ##### 20.1. 安全性 Wi-Fi 安全选项: **WEP-PSK**: WEP(预共享密钥)。 **WPA-PSK**: WPA/WPA2/WPA3-个人版(预共享密钥)。 **WPA-EAP**: WPA/WPA2/WPA3-企业版(可扩展身份验证协议)。 **WPA3 192位模式**: 仅允许使用 WPA3 192 位模式的 WPA-EAP 网络。 ##### 20.2. 密码 (预共享密钥) 当安全性设置为 **WEP-PSK** 或 **WPA-PSK** 时显示。必须输入密码。 ##### 20.3. EAP 方法(企业版) 当安全性设置为 **WPA-EAP** 或 **WPA3 192位模式** 时显示。请选择一种 EAP 外部方法: **EAP-TLS** **EAP-TTLS** **PEAP** **EAP-SIM** **EAP-AKA** ##### 20.4. 第二阶段身份验证 适用于隧道外部方法(**EAP-TTLS** 和 **PEAP**)。 **MSCHAPv2** **PAP** ##### 20.5. 来自用户的 EAP 凭据 启用后,系统将按用户为设备自动应用 EAP 凭据。您可以在 **用户** 栏目中配置用户凭据。 ##### 20.6. 客户端证书 对于 **EAP-TLS**,您可以分配用于 Wi-Fi 身份验证的客户端证书。欲了解更多信息,请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 如果已分配证书,您可以使用 **打开证书** 进行查看,或使用 **更改证书** 选择其他证书。 或者,您可以指定 **客户端证书密钥对别名**,它引用了存储在 Android 钥匙串中并允许用于 Wi-Fi 身份验证的客户端证书。如果同时设置了 **客户端证书** 和 **客户端证书密钥对别名**,则密钥对别名将被忽略。
##### 20.7. 身份信息 用户身份。对于隧道外部协议(PEAP、EAP-TTLS),此项用于在隧道内进行身份验证,而 **匿名身份** 用于隧道外的 EAP 身份。对于非隧道外部协议,此项用于 EAP 身份。 ##### 20.8. 匿名身份 仅适用于隧道协议,这表示向外部协议提供的用户身份。 ##### 20.9. 密码 用户密码。如果未指定,则默认为提示用户输入。 ##### 20.10. 服务器 CA 证书 用于验证主机证书链的 CA 证书列表。必须至少有一个 CA 证书匹配。欲了解更多信息,请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 使用 **添加服务器 CA 证书** 来添加条目,并使用删除操作将其移除。 ##### 20.11. 域名后缀匹配 服务器域名约束列表。这些条目将作为后缀匹配要求,用于验证身份验证服务器证书中备用主体名称的 DNS 名称。 # 系统 在本节中,您可以配置与系统相关的策略。 #### 1. 最小 API 级别 允许的最小 Android API 级别。 #### 2. 加密策略 是否启用加密。 **默认**: 该值将被忽略,即不需要加密。 **启用但无需密码**: 需要加密,但启动时无需输入密码。 **启用并需要密码**: 需要加密,且启动时需要输入密码。 #### 3. 自动日期和时间 是否在公司拥有的设备上启用自动日期、时间及时区。 **用户选择(默认)**: 自动日期、时间及时区由用户自行选择。 **强制执行**: 在设备上强制执行自动日期、时间及时区。 #### 4. 开发者选项 控制对开发者设置的访问权限:包括开发者选项和安全启动。 **已禁用(默认)**: 禁用所有开发者设置,并防止用户访问它们。 **允许**:允许所有开发者设置。用户可以访问并根据需要配置这些设置。 #### 5. 通用标准模式 控制通用标准模式——即信息技术安全评估通用标准 (CC) 中定义的安全性标准。启用通用标准模式会增强设备上的某些安全组件(例如:蓝牙长期密钥的 AES-GCM 加密、对某些网络证书的额外验证以及加密策略完整性检查)。通用标准模式仅在运行 Android 11 或更高版本的公司所有设备上受支持。警告:通用标准模式会强制执行严格的安全模型,通常仅为高度敏感的组织所需要。这可能会影响设备的标准使用;请仅在确有必要时启用。 **禁用(默认)**:禁用通用标准模式。 **启用**:启用通用标准模式。 #### 6. 内存标记扩展 (MTE) 控制设备上的内存标记扩展 (MTE)。 **用户选择(默认)**:用户可以选择在设备上启用或禁用 MTE(如果设备支持)。 **强制执行**:启用 MTE 且不允许用户更改(Android 14+;支持在公司所有设备的完全托管设备和工作资料中使用)。 **禁用**:禁用 MTE 且不允许用户更改(Android 14+;仅支持在完全托管设备中使用)。 #### 7. 内容保护 控制是否启用内容保护(用于扫描欺骗性应用)。此功能在 Android 15 及更高版本上受支持。 **禁用(默认)**:禁用内容保护,且用户无法更改此设置。 **强制执行**:启用内容保护,且用户无法更改此设置(Android 15+)。 **用户选择**:策略不控制内容保护;用户可以自行选择(Android 15+)。 #### 8. 辅助内容 控制是否允许将辅助内容 (AssistContent) 发送到具有特权的应用程序,例如助手类应用(例如“圈选即搜”)。辅助内容包括屏幕截图和有关应用的信息,例如包名。此功能在 Android 15 及更高版本上受支持。 **允许(默认)**:允许将辅助内容发送到特权应用(Android 15+)。 **禁止**:禁止将辅助内容发送到特权应用(Android 15+)。 #### 9. 禁用创建窗口 是否禁用除应用窗口之外的窗口创建。此选项可防止显示以下系统 UI:吐司消息 (toasts) 和 SnackBar、电话活动(如来电)和优先级电话活动(如通话中)、系统警报、系统错误以及系统叠加层。 #### 10. 网络紧急出口 是否启用网络紧急出口。如果在启动时无法建立网络连接,该紧急出口将提示用户临时连接到网络,以便刷新设备策略。应用策略后,系统将忘记该临时网络并继续启动设备。这可以防止在最后一次应用的策略中没有合适网络,且设备进入锁定任务模式的应用或用户无法访问设备设置时,导致无法连接到网络的情况。 #### 11. 默认活动 用于处理符合特定意图过滤器 (intent filter) 的意图的默认活动列表。例如,此功能允许 IT 管理员选择哪个浏览器应用自动打开网页链接,或在点击主页按钮时使用哪个启动器应用。 使用 **添加默认活动** 来创建条目。在条目内,使用 **添加操作** 和 **添加类别** 来构建意图过滤器。 ##### 11.1. 接收器活动 应作为默认意图处理程序的活动。这应当是一个 Android 组件名称,例如 com.android.enterprise.app/.MainActivity。或者,该值也可以是应用程序的包名,这将使 Android 设备策略从该应用中选择合适的活动来处理意图。 ##### 11.2. 操作 过滤器中要匹配的意图操作。如果过滤器中包含任何操作,则该意图的操作必须是这些值之一才能匹配。如果没有包含任何操作,则忽略意图操作。 ##### 11.3. 类别 过滤器中要匹配的意图类别。一个意图包含其所需的类别,所有这些类别都必须包含在过滤器中才能匹配。换句话说,除非该类别已在意图中指定,否则向过滤器中添加类别不会对匹配产生影响。 #### 12. 允许的输入法 指定允许的输入法。 **全部允许**:不应用任何限制。允许所有输入法。 **仅限系统内置**:仅允许使用系统内置的输入法。 **仅限系统内置及提供的**:仅允许使用提供的以及系统内置的输入法。 ##### 12.1. 允许的输入法 允许的输入法包名。仅在将 **允许的输入法** 设置为 **仅限系统内置及提供的** 时生效。 使用 **添加输入法** 来添加条目,并使用删除操作将其移除。 #### 13. 允许的辅助功能服务 指定允许的辅助功能服务。 **全部允许**:可以使用任何辅助功能服务。 **仅限系统内置**:仅允许使用系统内置的辅助功能服务。 **仅限系统内置及提供的**: 仅允许使用提供的以及系统内置的辅助功能服务。 ##### 13.1. 允许的辅助功能服务 允许的辅助功能服务。仅在将 **允许的辅助功能服务** 设置为 **仅限系统内置及提供的** 时生效。 使用 **添加辅助功能服务** 来添加条目,并使用删除操作将其移除。 #### 14. 系统更新策略 用于管理系统更新的配置。 **默认**:遵循设备的默认更新行为,这通常需要用户接受系统更新。 **自动**:一旦有可用更新,立即自动安装。 **窗口期**:在每日维护窗口期内自动安装。此选项还会配置 Play 应用在窗口期内进行更新。对于自助服务终端 (Kiosk) 设备,强烈建议使用此选项,因为这是通过 Play 更新持久固定在前景中的应用的唯一方式。 **延迟**:延迟自动安装,最多可延迟 30 天。 ##### 14.1. 维护窗口(仅限窗口期模式) 当 **系统更新策略** 设置为 **窗口期** 时,您可以使用 **从** 和 **至** 字段来定义每日维护窗口。 ##### 14.2. 系统更新冻结期 每年重复出现的一个时间段,在此期间会推迟无线下载 (OTA) 系统更新,以冻结设备上运行的操作系统版本。为防止无限期冻结设备,每个冻结期之间必须间隔至少 60 天。每个冻结期不得超过 90 天。 使用 **添加系统更新冻结期** 来创建条目。 #### 15. 凭据提供程序默认设置 控制在 Android 14 及更高版本中允许哪些应用充当凭据提供程序。 **禁止(默认)**:未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序。 **除系统外禁止**:未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序,但 OEM 默认凭据提供程序除外。 # 位置与地理围栏 此面板汇总了用于控制设备位置报告、位置强制执行和地理围栏定义的 Android 策略设置。当您希望 Cerberus Enterprise 收集设备位置,或检测设备何时进入或离开配置区域时,请使用此面板。 ## 位置报告 ### 报告位置 启用设备地理位置报告。通过此设置收集的位置数据将用于[**仪表板位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/d6459 "Dashboard location map")、设备概览位置历史记录以及地理围栏处理。对于未进行完全管理的设备,位置数据仍可能取决于 Cerberus Enterprise 应用是否具有所需的位置权限,以及设备上是否已启用位置服务。
### 位置模式 控制公司拥有的设备上的位置设置。 - **用户选择**:位置服务不受策略限制。 - **强制执行**:设备上的位置服务已启用。 - **已禁用**:设备上的位置服务已禁用。 ### 禁用位置共享 禁用工作应用的地理位置共享。在个人资料所有者 (Profile-owner) 设备上,此设置会影响工作资料。在全托管设备上,它将禁用整个设备的位置信息,并覆盖设备的定位模式。 ## 处于活动状态的地理围栏下的自动行为 处于活动状态的地理围栏需要启用位置报告才能正常工作。当至少有一个地理围栏处于活动状态时,Cerberus Enterprise 会自动保持相关的定位设置一致。 - 当存在活动状态的地理围栏时,将强制开启**报告位置**。 - **位置模式**被强制设置为**强制执行**。 - **禁用位置共享**将被强制关闭。 如果您尝试在存在一个或多个活动状态的地理围栏时禁用**报告位置**,Cerberus Enterprise 将显示确认对话框。如果您继续操作,策略中的所有活动状态的地理围栏都将被停用。 ## 地理围栏列表 一个策略最多可以包含 **10 个地理围栏**》。地理围栏名称在策略内必须是唯一的。 使用 **添加地理围栏** 来创建新条目。每个地理围栏包含以下主要字段: - **名称**:必填且必须唯一。 - **纬度**和**经度**:区域中心。 - **半径 (米)**:必填,范围为 **100** 至 **10000** 米。 - **描述**:供管理员使用的可选备注。 - **报告进入**和**报告离开**:选择应生成哪些转换事件。 - **活动状态**:启用或禁用该地理围栏,而无需将其删除。每个地理围栏必须至少启用 **报告进入** 或 **报告离开** 中的其中一项。
## 地图编辑工具 每个地理围栏卡片都包含该区域的地图预览。您可以直接从地图或通过数值字段进行编辑。 - 在区域编辑处于解锁状态时,点击地图即可移动地理围栏中心。 - 使用 **当前位置** 按钮,将地图中心定位到您当前的浏览器位置。 - 使用 **重新居中地图** 按钮,恢复该地理围栏的首选视口。 - 使用锁定按钮可防止误操作更改地理围栏几何形状。 ## 地理围栏数据显示位置 地理围栏转换可以在 Android [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview") 页面中,位置面板的 **地理围栏** 选项卡内进行查看。该选项卡会在专用地图上显示转换信息,并配有筛选工具和转换列表。 # 用户管理 ##### 禁用添加用户 是否禁用添加新用户和资料。对于 managementMode 为 **DEVICE\_OWNER** 的设备,此字段将被忽略,且用户永远不允许添加或删除用户。 ##### 禁用修改账户 是否禁用添加或删除账户。 ##### 禁用用户凭据配置 是否禁用配置用户凭据。 ##### 禁用删除用户 是否禁用删除其他用户。 ##### 禁用设置用户图标 是否禁用更改用户图标。 ##### 禁用设置壁纸 是否禁用更改壁纸。 ##### 工作账号设置身份验证 控制用户在设置工作账号时的身份验证方式。此选项仅适用于由受管 Google 域 (Google Workspace) 支持的 Android 企业版。 在设备设置/注册期间,此策略会影响是否需要进行工作账号登录,但 Google 管理控制台中的 **使用 Google 进行身份验证** 设置以及注册令牌类型仍可能要求进行身份验证。 对于已注册的设备,此策略仅在设备由受管 Google Play 账号管理时(即未通过 **使用 Google 进行身份验证注册** 进行注册)时生效。 有关更多详细信息和故障排除,请参阅 [**使用 Google 进行身份验证注册**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google-tQA "Authenticate Using Google enrollment")。 ##### 已拦截的账户类型 用户无法管理的账户类型。此选项可防止设备用户添加未经批准的账户。 使用 **添加已拦截的账户类型** 来添加一个或多个账户类型。 每个条目都有一个 **账户类型** 字段(必填)。输入字符串,例如 **com.google**。使用删除操作移除条目。 # 个人使用 在 [配置用于工作和个人使用的公司拥有的设备](https://enterprise.cerberusapp.com/docs/books/8efb1/page/8f532 "Company-owned devices for work and personal use")时,您可以指定一些规则来限制用户在工作资料之外进行个人使用时的设备操作方式。本节仅适用于带有工作资料的公司拥有设备。对于完全管理的设备或个人拥有的设备,这些设置将不会产生影响。
此设置取决于策略级的 **应用功能**选项(位于应用管理部分)。如果“应用功能”被设置为 **不允许**,则 API 将拒绝设置为 **允许** 的跨配置文件应用功能。
##### 个人资料中的工作联系人 存储在工作资料中的联系人是否可以在个人资料的联系人搜索和来电中显示。 **允许 (默认)**:允许工作资料中的联系人出现在个人资料中。 **不允许**:防止个人应用访问工作资料联系人及查询工作联系人。 **除系统应用外不允许**:防止大多数个人应用访问工作资料联系人,但 OEM 默认的拨号器、信息和联系人应用除外(Android 14 及以上版本)。 配置“个人资料中的工作联系人”时,您可以选择定义一个**豁免应用包名**列表。根据所选模式,这些豁免项将作为个人应用的白名单或黑名单。 # 状态报告 在本节中,您可以配置应从设备中检索哪些数据。状态数据可以在 [**设备状态**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/1a5b1 "Device status") 仪表板页面中查看。 ##### 应用报告 是否启用应用报告。(关于已安装应用的报告信息。)此选项是系统(用于伴侣应用集成)所必需的,且始终处于启用状态;无法禁用。
##### 包含已移除的应用 是否在应用报告中包含已移除的应用。 ##### 设备设置 是否启用设备设置报告。(关于设备上与安全相关的设置信息。) ##### 软件信息 是否启用软件信息报告。(关于设备软件的信息。) ##### 内存信息 是否启用内存报告。(与内存和存储测量相关的事件。) ##### 网络信息 是否启用网络信息报告。(设备网络信息。) ##### 显示信息 是否启用显示信息报告。对于带有工作资料的个人拥有设备,无法获取报告数据。(设备显示信息。) ##### 电源管理事件 是否启用电源管理事件报告。对于带有工作资料的个人拥有设备,无法获取报告数据。 ##### 硬件状态 是否启用硬件状态报告。对于带有工作资料的个人拥有设备,无法获取报告数据。 ##### 系统属性 是否启用系统属性报告。 ##### 通用准则模式 (Common Criteria Mode) 是否启用通用准则模式 (Common Criteria Mode) 报告。 # 其他 #### 1. 禁用彩蛋游戏 设置中的彩蛋游戏是否已禁用。 #### 2. 跳过首次使用提示 用于在首次使用时跳过提示的标记。企业管理员可以启用此系统建议,让应用在首次启动时跳过用户教程和其他引导提示。 #### 3. 简短支持消息 在设置界面中,当管理员禁用了某项功能时向用户显示的提示消息。如果消息长度超过 200 个字符,可能会被截断。 #### 4. 长支持消息 在设备管理员设置界面中向用户显示的提示消息。 #### 5. 所有者锁屏信息 要在锁屏上显示的设备所有者信息。 #### 6. 设置操作 在设置过程中的操作。在注册期间,您可以要求用户打开一个或多个用于设备设置的应用。 使用 **添加设置操作** 来创建条目,并可通过删除操作将其移除。 ##### 6.1. 启动应用 要启动的应用包名 ##### 6.2. 标题 提供一条面向用户的消息,向用户解释为什么要启动该应用。 ##### 6.3. 描述 提供一条面向用户的消息,向用户解释为什么要启动该应用。 #### 7. 企业显示名称可见性 控制企业显示名称是否在设备上可见(例如,作为公司拥有的设备上的锁屏消息)。 **可见 (默认)**:企业显示名称在设备上可见(支持 Android 7+ 的工作资料和 Android 8+ 的全托管设备)。 **隐藏**:企业显示名称在设备上被隐藏。 # 策略执行规则 如果设备或工作资料未能遵守下面列出的任何策略设置,Android 设备策略默认会立即拦截对该设备或工作资料的使用: - **密码要求** - **加密策略** - **禁用锁屏界面 (Keyguard)** - **允许的输入法** - **允许的辅助功能服务** 如果设备或工作资料在 10 天后仍未符合规范,Android 设备策略将对设备进行恢复出厂设置或删除工作资料。 在本节中,您可以覆盖默认的合规执行规则或添加新规则。 #### 规则 定义当特定策略无法应用于设备时的行为规则列表。 使用 **添加规则** 来创建新规则。可以使用删除操作移除每个规则卡片。 ##### 设置名称 要执行的顶级策略。例如,**应用**或**密码要求**。 **必填。** 该值必须与受支持的顶级策略名称匹配;否则,该字段将被标记为无效。 ##### 在多少天后拦截 在设备或工作资料被拦截之前,策略处于非合规状态的天数。若要立即拦截访问,请设置为 0。**在多少天后拦截**必须小于 **在多少天后擦除**。仅适用于公司拥有的设备。 允许范围:0–300。 ##### 拦截范围 指定拦截操作的范围。仅适用于公司拥有的设备。 默认(新规则):**工作资料**。 **工作资料**: 拦截操作仅应用于工作资料中的应用。个人资料中的应用不受影响。 **整个设备**: 拦截操作应用于整个设备,包括个人资料中的应用。 ##### 在多少天后擦除 在设备或工作资料被擦除之前,策略处于非合规状态的天数。 **在多少天后擦除**必须大于 **在多少天后拦截**。仅适用于公司拥有的设备。 **必填。** 默认(新规则):**1**。 允许范围:1–300。 ##### 保留出厂重置保护 是否在设备上保留出厂重置保护数据。此设置不适用于工作资料。 默认(新规则):已启用。 # 策略 - Apple # Apple 策略 Apple 策略定义了 Cerberus Enterprise 通过 MDM 应用于 Apple 设备的管理设置。这些设置可在控制面板的 Apple 策略编辑器中进行配置。 ## 开始之前 Apple 设备管理需要配置 Apple 管理 (APNs)。如有需要,请阅读 [Apple 管理设置 (APNs)](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)") 页面。 ## 打开 Apple 策略编辑器 在控制面板中,打开 **策略** 并点击 **创建新 Apple 策略**。要编辑现有的 Apple 策略,请点击策略列表中的对应行。 ## 编辑器布局 Apple 策略编辑器由一组可展开的区块组成。在页面顶部,您可以随时编辑: - **名称**(必填) - **ID**(只读) - **描述**(可选) ## 策略区块 以下区块与当前 Apple 策略编辑器中可用的面板相对应: - **应用管理**:配置与应用相关的限制以及受管应用。 - **密码设置**:配置密码要求及相关规则。 - **安全**:控制自动解锁和生物识别解锁等功能。 - **iCloud**:允许或禁止特定的 iCloud 服务(备份、钥匙串同步、私密传送等)。 - **多媒体**:允许/禁止使用摄像头及相关功能。 - **蜂窝网络**:控制蜂窝网络相关设置(应用蜂窝数据设置、eSIM、方案更改)。 - **网络**:控制 AirDrop/AirPrint/AirPlay 及其他连接设置。 - **账户**:限制账户修改,并(可选地)配置 Google 和邮件账户。Apple 策略编辑器中的许多选项都包含工具提示,用于说明相关要求和支持的操作系统版本。
## 保存、删除及关联设备 使用 **保存策略** 来应用您的更改。如果没有待处理的编辑或许可证已过期,该按钮将处于禁用状态。 在编辑现有策略时,页面还会显示 **删除策略** 操作。编辑器底部可能会显示 **关联设备** 列表,以便您查看当前有多少台设备正在使用该策略。 ## 后续页面 - 密码:配置密码要求及相关的安全选项。 - 限制:定义允许的功能和操作系统层面的限制。 - 应用与描述文件:配置已安装的应用和配置描述文件。 # Apple 策略:密码 **密码设置**部分用于控制设备密码要求及相关的安全规则(例如,最小长度和复杂度)。 ## 选项 在 Apple 策略编辑器中,密码选项通过开关和数字字段组合进行配置。许多字段都包含工具提示,用于说明支持的操作系统版本和监管要求。 ### 密码开关 - **ChangeAtNextAuth**:在用户下次进行身份验证时强制重置密码。 - **RequireAlphanumericPasscode**:要求至少包含一个字母字符和一个数字。 - **RequireComplexPasscode**:要求使用“复杂”密码(不得包含重复/连续模式,且至少包含一个非字母数字字符)。 - **RequirePasscode**:要求设置密码,但不包含额外的长度/质量要求。注意:设置其他密码选项会隐式地要求设置密码。 ### 数字字段 - **FailedAttemptsResetInMinutes**:失败尝试计数器重置前的分钟数(需要设置 MaximumFailedAttempts)。 - **MaximumFailedAttempts**:在设备被抹除/锁定前允许的失败尝试次数(范围:2–11)。 - **MaximumGracePeriodInMinutes**:设备在无需输入密码的情况下可以保持解锁状态的时长(0 = 无)。 - **MaximumInactivityInMinutes**:设备锁定前的闲置时间(范围:0–15)。 - **MaximumPasscodeAgeInDays**:强制更改前的最大密码有效期(范围:0–730)。 - **MinimumComplexCharacters**:最小“复杂”字符数(范围:0–4)。 - **MinimumLength**:最小密码长度(范围:0–16)。 - **PasscodeReuseLimit**:用于防止重复使用旧密码的密码历史记录长度(范围:1–50)。 # Apple 策略:限制 “限制”部分用于控制受管 Apple 设备允许使用哪些操作系统功能。在 Apple 策略编辑器中,这些选项以带有多个开关的分组面板形式呈现。许多限制仅在特定的操作系统版本上受支持,并且可能需要监管设备。请参考控制面板中的工具提示以获取权威的要求说明。
## 安全 - **允许自动解锁** - **允许使用指纹解锁** - **允许修改指纹** ## iCloud - **允许 iCloud 通讯录** - **允许 iCloud 备份** - **允许 iCloud 书签** - **允许 iCloud 日历** - **允许 iCloud 桌面与文稿** - **允许 iCloud 文档同步** - **允许 iCloud 无边记** - **允许 iCloud 钥匙串同步** - **允许 iCloud 邮件** - **允许 iCloud 备忘录** - **允许使用 iCloud 照片库** - **允许使用 iCloud 私密传送** - **允许使用 iCloud 提醒事项** ## 多媒体 - **允许使用摄像头** - **允许修改文件共享** - **允许“文件”访问 USB 驱动器** ## 蜂窝网络 - **允许修改应用蜂窝数据设置** - **允许修改蜂窝网络方案** - **允许修改 eSIM** - **允许 eSIM 转出** ## 网络 - **允许使用 AirDrop** - **允许 AirPlay 传入请求** - **允许使用 AirPrint** - **允许存储 AirPrint 凭据** - **允许 AirPrint iBeacon 发现** - **允许修改蓝牙设置** - **允许修改蓝牙共享设置** - **允许“文件”访问网络驱动器** - **允许修改互联网共享设置** ## 账户(限制) “账户”面板包含限制设置以及(可选的)账户配置。限制开关用于控制用户是否可以修改系统账户。 - **允许修改账户** # Apple 策略:应用与描述文件 本章节记录了如何为 Apple 设备配置受管应用和账号有效负载。 ## 应用管理 **应用管理**面板包含通用的应用相关限制以及受管应用列表。 ### 通用应用限制 - **允许 App Clips** - **允许安装应用** - **允许删除应用** - **允许自动下载应用** - **允许隐藏应用** - **允许锁定应用** - **允许应用内购买** ### 受管应用 使用 **添加应用** 将应用添加到策略中。每个受管应用都以卡片形式显示。您可以展开卡片来编辑其设置,并使用删除操作移除该应用。 - **App Store ID**:受管应用的 App Store 标识符。 - **Bundle ID**:应用包标识符。 - **安装行为**:控制应用必须保持安装状态,还是可以由用户自行安装/移除。 - **分配**:许可证分配类型。 - **VPP 许可证**:用于通过 App Store 进行安装的 VPP 许可证类型。 ## 账号 **账号**面板允许您配置应用于受管设备的账号。它还包含一个用于限制账号修改的开关。 ### 限制 - **允许修改账号**:禁用时,用户无法修改 Apple 账号和互联网账号等。 ### 添加账号 使用 **添加 Google 账号** 或 **添加邮件账号** 将账号有效负载添加到策略中。每个账号都会以带有其配置字段的卡片形式显示。 ### 来自用户的账号凭据 Google 和邮件账号卡片都提供 **来自用户的账号凭据**开关。启用时,系统将按用户分别应用账号凭据。禁用时,您将在策略中输入账号身份信息。 ### Google 账号字段 - **可见名称**:向用户显示的账号名称。 - **Google 电子邮件地址**:用户电子邮件地址。 - **姓名全称**:用户的全名。 ### 邮件账号字段 邮件账号包括身份字段以及传入/传出服务器配置。必须填写主机名。 - **可见名称**:向用户显示的邮件账号名称。 - **电子邮件地址**:用户电子邮件地址。 - **姓名全称**:用户的全名。 #### 传入服务器 - **服务器类型**:邮件协议(例如 IMAP 或 POP)。 - **身份验证方法**:服务器的身份验证方法。 - **IMAP 路径前缀**:仅在服务器类型为 IMAP 时显示。 - **主机名**:必填项。 - **端口**:服务器端口 (1–65535)。 #### 传出服务器 - **身份验证方法** - **主机名**:必填项。 - **端口**:服务器端口 (1–65535)。 ### S/MIME 选项 对于邮件账号,您还可以配置 S/MIME 加密和签名行为。 #### 加密 - **S/MIME 加密** - **身份可由用户覆盖** - **启用单条消息开关** - **用户可覆盖** #### 签名 - **S/MIME 签名** - **身份可由用户覆盖** - **用户可覆盖**账号和限制选项在控制面板中包含工具提示,用于记录先决条件和支持的操作系统版本。
# 设备状态 # 设备概览 通过点击设备行,从 **控制台** → **设备** 打开设备。页面标题会显示设备的 **型号**(如果可用)和内部 **ID**。 ## 历史数据与当前注册信息对比 当设备具有多个注册信息时,Cerberus Enterprise 可以显示只读的历史记录。在这种情况下,页面会显示一个 **历史数据** 横幅,以及一个返回当前注册信息的按钮。 ## 顶部字段 顶部部分总结了设备的身份、分配和管理状态。某些字段是特定于平台的,仅针对 Android 或 Apple 设备显示。 - **ID** 和 **型号**:只读标识符。 - **用户**:显示当前分配的用户(如果有)。通过用户菜单,您可以 **打开用户**或 **更改用户**,或者在未设置用户时进行分配。 - **管理模式** 和 **所有权**:在 UI 中通过工具提示显示。 - **状态**:当前设备状态(包含图标和工具提示详情)。 - **ADE 配置文件**(仅限 Apple):显示分配的自动化设备注册 (ADE) 配置文件(如果有),并允许您打开或更改它。 - **策略**:显示分配的策略,并允许您打开或更改它,或者在未设置时进行分配。 - **策略合规状态**(在已分配策略时):指示设备是否合规。 - **策略版本**(在已分配策略时):指示设备是否已应用最新的策略版本。 - **注册日期** 和 **最后状态报告**:注册时间戳和最后报告状态的时间戳。 - **注销日期**:当设备已注销时显示。只有在设备策略中启用了相应的类别时,某些数据和面板才可用。欲了解更多信息,请阅读 [**状态报告**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/74071 "Status reporting") 和 [**位置与地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/e96ed "Location and geofence") 页面。
## 面板 设备编辑器按可展开的部分进行组织。根据平台和状态,您可能会看到以下一个或多个面板: - **位置地图**:一个带有选项卡的面板,包含当前设备的 **位置**历史记录;在 Android 设备上,当存在地理围栏数据时,还包含一个用于查看地理围栏转换的 **地理围栏**选项卡。 - **命令**:向设备发送命令并查看命令历史记录(特定于平台)。 - **安全状态**(仅限 Android):包含状态、Play Integrity 判定结果和安全风险。 - **应用报告**(仅限 Android):已安装的应用以及反馈/错误报告。 - **受管应用**(仅限 Apple):受管应用状态和安装详情。 - **不合规详情**:当设备不合规时显示;列出不符合要求的策略设置。 - **状态报告**:由设备报告的额外数据,以类别和值的树状结构显示。 - **注册历史记录**:该物理设备的过往注册记录,以列表形式显示。 ## 位置面板选项卡 **位置地图** 面板现在使用选项卡,以便将位置历史记录与地理围栏转换分开显示。 - **位置**:显示当前设备的历史记录筛选器、日期范围搜索、位置标记、精度范围圈以及实时追踪控制项。 - **地理围栏**(仅限 Android):在专用地图上显示地理围栏转换历史,包含时段筛选器、可选的已存档地理围栏开关以及转换列表。 有关这些选项卡的完整行为,请参阅 [**位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/5ef05 "Location map")。 ## 操作 在页面底部,您可以刷新数据,并根据平台、设备状态和许可证状态执行相应的操作。 - **刷新数据**:重新加载设备记录。 - **禁用设备** / **启用设备**(仅限 Android):在受支持的状态下可用。 - **注销设备**:从设备中移除管理。具体行为取决于平台和所有权(例如,Android 可能会清除工作资料或进行恢复出厂设置)。 - **删除设备**:当设备已注销且其记录可以被移除时可用。 # 命令 设备编辑器提供了一个 **命令**面板,用于向受管设备发送远程命令。可用命令取决于平台(Android 或 Apple)和设备状态。如果设备当前不在线,命令将在设备连接到互联网后立即送达并执行。对于 Android 命令,您可以设置 **持续时间** 参数,以确定未送达的命令保持有效的时间。
## Android (AMAPI) 命令 对于 Android 设备,命令面板包含一个 **持续时间** 字段(数值 + 单位)和一个 **命令**选择器。某些命令需要额外的参数,这些参数会在您选择命令时动态显示。 ### 通用参数 - **持续时间**:如果命令无法立即执行,其有效期的时长。 - **命令**:选择要发送给设备的动作。 ### 带有附加字段的命令 - **重置密码**:需要输入 **新密码** 和 **确认新密码**。可选开关包括 **立即锁定**、**需要输入凭据**,以及 **启动时不询问凭据**。 - **清除应用数据**:需要指定目标 **包名**。 - **启动丢失模式**:需要输入 **丢失信息**,并支持可选的联系信息字段(街道地址、组织、电话号码、电子邮件)。 - **请求设备信息**:需要选择要请求的设备信息。 - **添加 eSIM**:需要 **激活码** 和 **激活状态**。 - **移除 eSIM**:需要输入 eSIM 的 **ICCID**。 - **清除**:支持 **清除原因消息**(在个人设备上向用户显示)以及可选的清除标志。 ### 命令历史记录 在发送控制项下方,控制台会显示一个命令历史记录表。该表格支持排序和分页。部分行可以展开以查看额外的参数或执行详情。 #### Android 历史记录列 - **创建日期** - **命令** - **有效期** - **状态** - **错误** - **执行日期** ## Apple (MDM) 命令 对于 Apple 设备,命令面板提供了一个 **命令**选择器。某些命令需要额外的输入。与 Android 一样,下方会显示一个命令历史记录表。 ### 带有附加字段的命令 - **安装应用**:需要应用的 **Bundle ID**。 - **发送通知**:需要输入 **通知消息**(最大长度为 200 个字符)。 #### Apple 历史记录列 - **创建日期** - **命令** - **状态** - **状态时间** ## 刷新 使用命令面板中的刷新操作来重新加载命令历史记录。 # 位置地图 本页记录了 [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview") 中可用的特定设备位置工具。该面板包含一个用于查看位置历史记录的 **位置** 选项卡,以及在 Android 设备上用于查看地理围栏转换的 **地理围栏** 选项卡。 ## 先决条件 只有在设备策略中启用了位置报告,才会显示设备位置数据。要启用此功能,请打开策略并开启 **位置与地理围栏** → **报告位置**。有关更多详细信息,请参阅 [**位置与地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/e96ed "Location and geofence")。对于未进行完全管理的设备,位置数据仍可能取决于 Cerberus Enterprise 应用是否具有所需的位置权限,以及设备上是否已启用位置服务。
有关从控制台可用的全局多设备地图,请参阅 [**控制台位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/d6459 "Dashboard location map")。
## 加载与无数据状态 - 在加载位置数据时,面板会在地图上显示一个加载遮罩层。 - 如果设备没有可用的位置数据,面板将显示 **无可用位置数据** 消息,并提示您在分配的策略中启用位置报告。 - 如果已启用日期筛选且没有匹配的样本,面板将显示 **所选日期范围内无可用数据**。 ## 位置选项卡 打开 **位置** 选项卡以检查单个设备的历史记录。可用的筛选条件包括最后已知位置、近期历史范围、自定义日期范围以及实时追踪。 - **最后一次**:显示最后已知位置。 - **今天**、**最近 7 天**和**最近 30 天**:显示所选时段内记录的位置。 - **搜索**:允许您选择自定义日期范围。 - **实时追踪**:开始或停止当前设备的实时追踪。 ## 标记详情 当您点击位置标记时,将打开一个包含以下内容的详情窗口: - 位置记录的时间戳。 - 报告的 **精度**(单位:米)。 - 报告的 **速度**(如果设备提供)。 - 报告的 **航向**或方位角(如果设备提供)。 ## 精度范围圈 当信息窗口打开时,标记周围会显示一个精度范围圈。圆圈半径与报告的精度(以米为单位)相对应。关闭信息窗口后,该圆圈将隐藏。 ## 实时追踪 在设备历史记录视图中,选择 **实时** 筛选器将针对该特定设备发起实时追踪请求。Cerberus Enterprise 在发起请求前会要求进行确认。 - 实时追踪最长运行 **15 分钟**。 - 在实时追踪处于活动状态时,设备会显示一条通知。 - 在实时追踪处于活动状态时,面板会不断刷新最新位置,且实时追踪指示器将保持可见。 - 再次选择实时筛选器,即可在超时结束前停止实时追踪。 ## 地理围栏选项卡 在 Android 设备上,第二个选项卡会显示由分配策略中定义的地理围栏所产生的地理围栏转换。当设备存在地理围栏数据时,此选项卡可用。 - 地图显示当前的地理围栏区域以及记录的转换点。 - 右侧的转换列表可让您检查 **进入** 和 **离开** 事件。 - 可用的筛选条件包括 **今天**、**最近 7 天**、**最近 30 天**,以及自定义日期范围搜索。 - **包含已存档内容** 还会显示与当前策略中已不存在的旧地理围栏定义相关的转换事件。 ## 地理围栏转换详情 选择一个转换将会在地图上打开其详情,并高亮显示相应的列表条目。如果可用,Cerberus Enterprise 还会显示该转换的设备坐标和报告的精度。 # 控制台位置地图 控制台位置地图提供了正在报告位置数据的设备的最新已知位置的全局视图。从 **控制台**打开它,即可在同一个 Google 地图中查看多个设备。 ## 先决条件 只有在分配给设备的策略中启用了位置报告,设备才会显示在此地图上。要启用此功能,请打开策略并开启 **位置与地理围栏** → **报告位置**。有关更多详细信息,请参阅 [**位置与地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/e96ed "Location and geofence")。对于未进行完全管理的设备,位置数据仍可能取决于 Cerberus Enterprise 应用是否具有所需的位置权限,以及设备上是否已启用位置服务。
有关设备编辑器中提供的单台设备历史记录和地理围栏转换,请参阅 [**位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/5ef05 "Location map")。
## 加载与无数据状态 - 在加载位置数据时,地图会显示一个加载遮罩层。 - 如果当前没有任何设备可用的位置数据,页面将显示 **无可用位置数据** 消息。 ## 标记与聚合 每个具有可用位置数据的设备都会显示为一个标记。当许多设备聚集在一起时,标记会自动聚合,以保持地图的可读性。 当前处于实时追踪状态的设备将通过动画标记进行高亮显示,以便在地图上更容易被发现。 ## 地图控制项 当地图包含设备位置时,Cerberus Enterprise 会在地图的右上角显示操作按钮。 - **当前位置**:使用您的浏览器位置将地图移动到您当前的位置,并适应报告的精度范围。 - **重新居中地图**:重新调整地图范围,以适应当前显示的设备标记。 - **已追踪**实时追踪状态标签:当一个或多个设备正在进行实时追踪时显示,并显示当前有多少个处于活动状态。 - **停止所有实时追踪**:实时追踪状态标签内的图标按钮在确认后,将停止所有当前正在进行追踪的设备的实时追踪。 ## 标记详情 点击标记将打开一个包含以下内容的详情窗口: - 设备 **型号** 和内部 **ID**。 - 最新报告位置的时间戳。 - 报告的 **精度**(单位:米)。 - 报告的 **速度**(如有)。 - 报告的 **航向**或方位角(如有)。 信息窗口中的设备标识符是一个链接,点击后将打开相应的 [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview") 页面。 ## 信息窗口操作 每个信息窗口还包含针对所选设备的操作按钮。 - **设备链接**:信息窗口顶部的设备名称和 ID 会打开相应的设备概览页面。 - **放大**:将地图中心对准所选设备,并更紧密地适应其报告的精度范围。 - **实时追踪**:开始对该设备进行实时追踪。如果实时追踪已处于活动状态,在确认后点击同一按钮将停止追踪。 - **实时追踪已激活**:如果显示此状态行,则表示所选设备正在进行实时追踪。 ## 精度范围圈 当选中标记时,地图会在位置周围显示一个精度范围圈。该圆圈的半径与报告的精度相匹配。 ## 实时追踪行为 从信息窗口开始实时追踪会向该设备发送实时追踪请求。在会话处于活动状态期间,Cerberus Enterprise 会自动刷新地图。 - 每个实时追踪会话最长运行 **15 分钟**。 - 在实时追踪处于活动状态时,设备会显示一条通知。 - 实时追踪既可以从所选设备的详情窗口停止,也可以通过地图上的全局 **停止所有实时追踪** 按钮停止。 # 私有应用 通过此仪表板部分,您可以上传自己的私有 Android 应用或创建 Web 应用以分发到您的设备上。 您只需提供应用的标题和 APK。私有应用会自动获得您组织的批准,通常在 10 分钟内即可准备好进行分发。您每天总共可以上传 15 个私有应用。请注意,Web 应用也计入此总数。 首次发布私有应用时,您需要提供一个电子邮件地址,以便接收来自 Play Console 关于您的应用和 Google Play 开发者账号的通知。此外,受管 Play 会代表您的组织自动创建一个 Play 开发者账号。您无需为此账号支付注册费用。 通过 iframe 发布了私有应用: - 不受与其他应用相同的检查限制。因此,它们无法转换为公开应用。 - 不可转让。您无法将应用的归属权转移到不同的 Play 开发者账号。 有关更多详细信息,请访问 [受管 Google Play 帮助中心](https://support.google.com/googleplay/work/answer/9146439) # 证书管理 控制台包含一个 **证书** 栏目,用于导入、查看和删除证书。点击证书行将打开证书编辑器。 ## 证书列表 证书显示在可排序的分页表格中。列表包含客户端证书和证书颁发机构 (CA)。 ### 筛选器 在页面顶部,您可以使用标签列表启用筛选器。某些筛选器是互斥的。 - **全部**:显示所有证书。 - **客户端**:仅显示客户端证书。 - **证书颁发机构 (CA)**:仅显示 CA 证书。 - **搜索**:显示一个文本字段(标签为 **名称或文件名**),用于通过证书名称或导入的文件名进行搜索。 - **无用户**:显示未关联任何用户的客户端证书。 ### 表格列 - **名称** - **类型** - **过期日期** - **用户** (仅针对客户端证书显示) - **导入的文件名** - **导入日期** ### 操作 - **打开证书**:点击行即可打开证书编辑器。 - **删除证书**:仅在证书未关联用户/策略且未被设备使用时可用。当许可过期时,该操作也可能被禁用。 - **多行选择**:您可以启用多行选择以一次性删除多个证书。只能选择可删除的证书。 - **刷新**:重新加载证书列表。 ## 导入证书 若要导入证书,请点击 **导入证书** 并选择一个或多个文件。支持的格式显示在导入按钮的工具提示中。 ### 客户端 支持格式:Base64 编码的 PKCS#12 (.p12 / .pfx)。 客户端证书用于识别企业网络中的用户或设备。客户端证书可以与特定用户关联。 每个客户端证书都可以选择分配给特定用户:这允许在许多设备上部署相同的 Wi-Fi EAP 配置。您可以在策略的 [网络配置](https://enterprise.cerberusapp.com/docs/books/8efb1/page/b6d76 "Networking")部分中,通过使用 **来自用户的 EAP 凭据**选项来完成此操作。或者,您也可以从 **用户**页面为用户分配证书。
### 证书颁发机构 (CA) 支持的格式:Base64 编码的 X.509 (.crt / .pem / .cer / .der)。 CA 证书用于标识证书颁发机构 (CA),并告知设备应信任由该 CA 颁发的所有证书。控制台将验证导入的 X.509 证书是否为 CA 证书。 ## 证书编辑器 当您打开证书时,编辑器会显示其主要字段以及一个只读的 **证书信息** 面板。 ### 主要字段 - **名称** (必填) - **ID** (只读) - **类型** (只读) - **有效期** (只读) - **导入日期** (只读) - **导入文件名** (只读) ### 用户关联(客户端证书) 对于 **客户端**证书,编辑器会显示 **用户**字段。如果已分配用户,菜单将允许您 **打开用户**、**更改用户**或 **取消关联用户**。如果没有分配用户,您可以使用用户操作按钮进行分配。 ### 删除证书 当证书当前已关联用户或正在策略中使用时,删除操作将被禁用。此外,如果许可证已过期,该操作也可能被禁用。 # 事件规则 事件规则允许您针对支持的设备事件实现自动化响应。打开 **控制面板** → **事件规则**,即可创建用于监控注册、注销、不合规以及 Android 地理围栏事件的规则,并自动触发一个或多个操作。 ## 事件规则的功能 每条规则都结合了一个 **主体**、一个 **事件**以及一个或两个 **操作**。支持的主体包括 **所有设备**、**特定设备**以及 **策略**。 - **事件**:设备注册、设备注销、设备变为不合规、进入地理围栏、离开地理围栏。 - **设备操作**:禁用设备、启用设备、锁定设备。 - **邮件操作**:向管理员以及(在启用时)委派经理发送通知邮件。规则可以仅包含邮件操作,仅包含设备操作,或者一个设备操作加一个邮件操作。如果同时配置了这两种操作,Cerberus Enterprise 会先执行设备操作,然后再执行邮件操作。
## 平台与兼容性规则 可用的事件和操作取决于所选的主体以及适用于该主体的平台。 - **Android** 支持注册、注销、不合规以及地理围栏事件。 - **Apple** 支持注册、注销以及不合规事件。 - **禁用设备**和**启用设备**是仅限 Android 的操作。 - **锁定设备**和**发送邮件**在所选事件支持的情况下,可在 Android 和 Apple 上使用。 - **设备注销**仅支持邮件操作。 ## 规则列表 事件规则列表是该功能的主要管理页面。它包含一个可搜索的表格,其中列出了规则名称、主体、事件、操作、平台、启用状态和更新时间。 - 使用筛选标签在全部规则、已启用规则、已禁用规则和文本搜索之间进行切换。 - 使用 **刷新** 按钮来重新加载当前的表格视图。 - 使用每行中的启用开关来临时启用或禁用规则。 - 使用多行选择模式同时删除多条规则。 - 使用 **创建事件规则** 来打开新规则的编辑器。 ## 规则编辑器 编辑器分为 **常规**、**范围**、**触发器**和 **操作**部分。在页面底部,一个悬浮操作栏会在您滚动时保持主要按钮可见。 ### 常规 - **名称**:必填,最多 150 个字符。 - **描述**:可选,最多 2000 个字符。 - **启用规则**:保存规则的启用或禁用状态。 ### 范围 范围定义了规则可以匹配哪些设备。编辑器还会显示解析后的平台,以及(如果可用)生效的策略上下文。 - **所有设备**:该规则可以匹配企业内所有受支持的设备。 - **特定设备**:从选择对话框中选择一台受管设备。 - **策略**:从选择对话框中选择一个策略模板。 ### 触发器 触发器部分会根据所选范围和平台自动筛选可用事件。 #### 地理围栏触发器 地理围栏进入和退出规则仅支持 Android,并且需要有效的 Android 策略上下文。有关位置报告和地理围栏定义,请参阅 [**位置与地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/e96ed "Location and geofence")。 - 如果对象是 **所有设备**,则该规则始终适用于 **任何地理围栏**。 - 如果对象是设备或策略,您可以选择 **任何地理围栏** 或 **特定地理围栏**。 - 特定地理围栏列表是从所选设备或策略的生效策略上下文中加载的。 ### 操作 操作部分允许您选择可选的设备操作和可选的电子邮件通知。界面会自动隐藏不支持的组合。 - 如果所选事件和范围没有可用的设备操作,您仍然可以保存仅限电子邮件的规则。 - 如果所选事件和平台禁用了电子邮件,则无法使用电子邮件开关。 - 不包含任何操作的规则是无效的,无法保存。 ## 电子邮件收件人 电子邮件操作始终包含具有 **ADMIN** 角色的企业用户。如果企业通过多租户模式进行管理,您可以扩展收件人以包含 MT 管理员。 - **仅限主要管理员**:包含企业管理员和主要 MT 管理员联系人。 - **主要管理员及子账户管理员**:同时添加指定的子账户管理员。 - 预览列表显示了规则运行时将使用的实际电子邮件地址。 - 只有被授予企业访问权限的委派管理员会被包含在最终收件人列表中。 ## 执行行为 当 Cerberus Enterprise 从后端集成接收到支持的事件时,事件规则会立即运行。已禁用的规则会自动跳过。 成功和失败的执行记录将以易于阅读的消息形式保存在系统日志中。 # 设备 # 设备 控制面板中的 **设备** 章节(*控制面板* → *设备*)列出了您账户中所有已注册的设备。在此页面上,您可以筛选列表、打开设备记录,并执行禁用或注销等设备操作。 ## 筛选条件 在页面顶部,您可以使用标签列表启用一个或多个筛选条件。已选中的标签代表当前处于激活状态的筛选条件。 ### 可用筛选条件 - **全部**:显示所有设备。 - **Android**:仅显示 Android 设备。 - **Apple**:仅显示 Apple 设备。 - **公司拥有的**:仅显示公司拥有的设备。 - **个人拥有的**:仅显示个人拥有的设备。 - **资料所有者**:仅显示 Android 工作资料设备。 - **设备所有者**:仅显示 Android 完全管理的设备。 - **处于活动状态**:显示处于活动状态的设备。 - **符合策略**:显示符合策略的设备。 - **不符合策略**:显示不符合策略的设备。 - **安全**:显示具有安全状态的设备。 - **不安全**:显示具有非安全状态的设备。 - **策略未更新**:显示有待处理策略更改的设备。 - **状态未更新**:显示在过去 72 小时内未报告状态的设备。 - **应用错误**:显示应用已发送错误反馈的设备。 - **搜索**:启用文本搜索字段。 ### 搜索 当您启用 **搜索** 筛选条件时,会出现一个标签为 **ID、型号或用户** 的文本字段。停止输入后,列表会自动更新。 ## 设备列表表格 设备显示在可排序的分页表格中。点击某一行将打开设备编辑器。 ### 列 - **ID**:设备内部标识符。 - **MDM**:平台(Android 或 Apple)。 - **型号**:设备型号。 - **所有权**:公司拥有或个人拥有(包含工具提示详情)。 - **管理模式**:管理模式(包含工具提示详情)。 - **策略**:当前分配的策略。 - **用户**:关联用户(根据可用性显示姓名、电子邮件或 ID)。 - **最后状态报告**:最近的状态报告时间戳(如果可用)。 - **状态**:设备状态(包含工具提示详情)。 - **合规性**:合规状态指示器。 - **安全性**:安全状态(包含工具提示详情)。 - **应用错误**:应用错误指示器。 ### 刷新与分页 - 使用刷新操作来重新加载列表。 - 表格采用分页显示(每页 10/25/50 项)。 ## 设备操作 根据平台和设备状态,每行设备都可以提供相应的操作。当您的许可过期或终止时,某些操作将被禁用。 ### 单台设备操作 - **禁用设备** / **启用设备**:适用于处于支持状态的 Android 设备。 - **注销设备**:移除管理。在 Android 上,这可能会清除工作资料或进行恢复出厂设置(取决于所有权);在 Apple 上,这会移除策略设置。 - **删除设备**:适用于已注销的设备(从系统中移除记录)。 ### 多行选择 您可以通过表格下方的操作栏启用多行选择。启用后,您可以选择多行并执行批量操作(禁用、启用、注销或删除),具体取决于所选设备的类型。 ## Apple Business Manager 同步 如果已配置 Apple 管理并存在自动化设备注册令牌,该页面可能会显示 **从 ABM 同步** 操作,以便从 Apple Business Manager 导入设备。 ## 注册设备 使用 **注册设备** 打开注册令牌部分并开始注册新设备。 # 用户 # 用户 仪表板的 **用户** 部分(*仪表板* → *用户*)列出了您账号中配置的所有用户。在此页面上,您可以搜索用户、打开用户编辑器、创建新用户,并删除当前未与设备关联的用户。 ## 搜索 页面顶部有一个带有 **搜索** 标签和 **姓名、用户名或电子邮件** 占位符的搜索字段。列表会在您停止输入后自动更新。 ## 用户列表表格 用户显示在可排序的分页表格中。点击行将打开用户编辑器。 ### 列 - **ID**:内部用户标识符。 - **名字**:用户的名字。 - **姓氏**:用户的姓氏。 - **用户名**:用户名(通常为目录用户名)。 - **电子邮件**:用户的电子邮件地址。 - **设备**:当前与该用户关联的设备数量。 - **Wi-Fi 证书**:显示是否已为用户分配 Wi-Fi 证书的指示器。 ### 刷新与分页 - 刷新操作将重新加载列表。 - 表格采用分页显示(每页 10/25/50 项)。 ## 用户操作 ### 创建新用户 使用 **创建新用户** 来打开用户创建对话框。当您的许可证已过期时,此操作将被禁用。 ### 从 Google Workspace 同步 如果您的账号可以使用 Google Workspace 目录同步,页面将显示 **从 Google Workspace 同步**。开始同步后,在请求运行时会显示进度指示器。 ### 删除用户 只有在用户未与任何设备关联时(**设备**列必须为 0)才能删除用户。当您的许可证已过期或终止时,删除操作将被禁用。 ### 多行选择与批量删除 可以通过表格下方的操作栏启用多行选择。在此模式下,您可以选择多个用户并进行批量删除。 - **资格**:只有 **设备** = 0 的用户才能被选中进行删除。 - **全选**:勾选 **全部** 复选框将选中当前页面的所有符合条件的行。 - **批量删除**:当未选中任何行,或者您的许可证已过期/终止时,**删除选中的用户**将被禁用。 ## Wi-Fi 证书与 EAP **Wi-Fi 证书** 列显示当前是否已为用户分配证书。用户证书通常用于 Wi-Fi EAP(例如 EAP-TLS)配置。有关证书分配和管理,请参阅 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management"). # 用户编辑器 用户编辑器可通过点击用户行,从 *仪表板* → *用户* 进行访问。它允许您编辑用户详细信息、配置每个用户的 Wi-Fi EAP 凭据,并查看与该用户关联的设备。 ## 用户详细信息 顶部部分包含用户的主要字段。某些字段是必填的,如果缺失或无效,编辑器将显示验证错误。 - **ID**:只读标识符。 - **名字**:必填。 - **姓氏**:必填。 - **用户名**:必填。 - **电子邮件**:必填,且必须是有效的电子邮件地址。 - **电话号码**:可选。 - **Google 账号**:可选,如果提供,则必须是有效的电子邮件地址。 ## Google 身份验证默认策略 在启用了 Google 身份验证的 Google Workspace 环境中,编辑器可以显示 **Google 身份验证默认策略**。这是应用于该用户使用 Google 身份验证注册的设备的策略。 - **更改策略**:打开策略选择对话框。 - **打开策略**:在策略编辑器中打开所选策略(当已设置策略时)。 - 选择新的默认策略后,您必须保存用户才能应用更改。编辑器会显示通知提醒您进行保存。 ## Wi-Fi EAP 凭据 **Wi-Fi EAP 凭据** 部分用于配置每个用户的凭据。当分配给该用户的策略包含需要这些凭据的 Wi-Fi EAP 配置时,这些凭据会自动安装在用户的设备上。Wi-Fi EAP 配置是 Android 策略 [网络配置](https://enterprise.cerberusapp.com/docs/books/8efb1/page/b6d76 "Networking") 的一部分。 ### 客户端证书 您可以选择为用户分配客户端证书。分配证书后,它将显示在 **客户端证书** 字段中,并可通过菜单执行操作。如果没有分配证书,该字段将显示 **未分配证书**,您可以进行分配。 - **分配证书**:打开证书选择对话框。 - **打开证书**:打开证书编辑器。 - **更改证书**:选择不同的客户端证书。 - **取消关联证书**:从用户中移除证书。系统还会从与该用户关联的所有设备中移除证书。 有关证书导入和管理,请参阅 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management")。 ### 身份、匿名身份和密码 - **身份**:用户的身份。对于隧道外层协议 (PEAP, EAP-TTLS),此身份将用于隧道内部。 - **匿名身份**:用于隧道外层协议,作为在隧道外显示的身份。如果未指定,则默认为空字符串。 - **密码**:用于需要密码的 EAP 方法的用户密码。如果未指定,设备可以提示用户输入。显示/隐藏操作可切换密码可见性。 ## 关联设备 **关联设备** 部分显示当前与该用户关联的设备列表。如果用户有一个或多个关联设备,则无法删除该用户。 ## 保存与删除 - **保存用户**:仅在表单有效、存在待处理更改且许可证处于活动状态时启用。保存时会显示进度指示器。 - **删除用户**:当用户与设备有关联,或许可证已过期/终止时,此选项将被禁用。允许删除时,将显示确认对话框。如果该用户已分配给注册令牌,对话框会发出警告,提示使用这些令牌注册的设备将不再分配给用户。 ## 未保存更改警告 如果您有未保存的更改并尝试离开页面,仪表板会询问您是否要放弃这些更改。 # 账户 # 设置 **设置** 页面 (*控制台* → *设置*) 汇总了账户和许可信息,并提供了管理账单、平台设置(Android 管理和 Apple 管理)以及可选的目录/令牌集成的操作。 ## 许可横幅(即将到期 / 已过期) 当您的许可处于 **即将到期**、**已过期** 或 **已终止** 状态时,页面顶部会显示一个醒目的横幅。根据您的订阅状态,它将提供 **管理账单** 操作(Stripe 客户门户)或 **购买许可** 操作。当许可过期后,账户功能将受限,仅能进行设备注销操作。在宽限期结束后,账户可能会被取消,并且设备可能会被自动注销。
## 账户信息 **账户信息** 卡片显示只读字段: - **用户名** - **企业名称** - **企业 ID** ### 修改密码 如果您不是通过 Google 或 Apple 登录的,该卡片还会显示 **修改密码** 操作。这将打开一个对话框以继续进行密码更改流程。 ## 许可信息 **许可信息** 卡片显示当前的许可状态和您的设备限制。它还提供了联系销售、管理账单或购买许可的操作。 - **许可状态**:显示为 **有效** 或 **已过期**(带有图标徽章和工具提示)。 - **免费试用**:当账户当前处于试用模式时显示。 - **许可设备数**:许可允许的最大设备数量。*需要更多设备?* 链接将打开一条联系支持人员的消息。 - **下次计划续订**:适用于会自动续订的有效订阅。否则,卡片将显示 **过期日期**。 ## Android 管理 **Android 管理** 卡片显示您企业的 Android 管理状态。如果尚未配置 Android 管理,该卡片将提供 **设置 Android 管理** 操作,点击后将打开设置流程。 ### 已配置状态 当配置了 Android 管理时,卡片可以显示: - **管理 ID** - **已与 Google Workspace 同步**(当目录同步处于活动状态时显示徽章) - **受管 Google Play 帐号设置**(指向 Google Play 管理员设置的链接,如适用) - **Google 管理控制台**(链接,如适用) - **与 Google Workspace 同步** (当未配置目录同步时显示;将打开页面底部的说明面板) ## Apple 设备管理 **Apple 设备管理** 卡片显示您企业的 Apple 设备管理 (MDM) 状态。如果尚未配置 Apple 管理,该卡片将提供 **设置 Apple 管理** 操作,点击后将打开设置流程。 ### 已配置状态 当配置了 Apple 管理时,卡片可以显示: - **Apple ID** - **Apple 推送证书过期日期**:显示过期日期和图标徽章。如果证书即将到期或已过期,该徽章可点击并打开续订说明。 - **ABM 令牌过期日期**:显示 Apple Business Manager 令牌的过期日期(当需要执行操作时,会显示一个可点击的徽章)。 - **VPP 令牌**:显示 Apple 批量购买计划 (VPP) 令牌的组织名称和过期日期(当需要执行操作时,会显示一个可点击的徽章)。 - **Apple Business Manager 门户**:当存在 ABM 令牌时显示的链接。 - **与 Apple Business Manager 同步** 和 **与 Apple 批量购买计划同步**:当缺少令牌时显示。Apple 管理需要设置 APNs 证书。如果需要,请参阅 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)").
## 偏好设置与隐私 **偏好设置与隐私** 卡片包含营销偏好开关,以及指向服务条款和隐私政策的链接。使用 **保存偏好设置** 来应用更改(保存时会显示进度指示器)。 ## 发送反馈 当账户启用了订阅功能时,页面可以显示 **发送反馈** 卡片,其中包含以下链接:**提交功能需求** 以及外部评论平台。 ## 内嵌式设置与续订说明 在页面底部,控制台可以根据当前状态显示可展开的说明面板(例如当证书/令牌缺失或即将过期时)。 ### 续订 Apple 推送证书 (APNs) 当 APNs 证书即将到期或已过期时,页面会显示一个包含操作步骤的面板,包括下载 CSR、在 Apple 门户网站上续订证书,以及将新证书上传到 Cerberus Enterprise。 ### 与 Apple Business Manager (ABM) 同步 当 ABM 令牌缺失、已过期或即将到期时,页面会显示一个包含操作步骤的面板,包括从 Apple Business Manager 下载令牌并将其上传到 Cerberus Enterprise。 ### 与 Apple 批量购买计划 (VPP) 同步 当 VPP 令牌缺失、已过期或即将到期时,页面会显示一个包含操作步骤的面板,包括从 Apple Business Manager 下载内容令牌并将其上传到 Cerberus Enterprise。 ### 与 Google Workspace 同步 当未配置 Google Workspace 目录同步时,页面会显示一个解释集成流程并提供授权按钮的面板。它还会列出所需的 Google OAuth 范围:**https://www.googleapis.com/auth/admin.directory.user.readonly**》。有关初始 Android 设置,请参阅 [**Android 管理设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android-Nwl "Android Management setup").
# 多租户 # 多租户概览 **多租户**章节适用于通过单一登录即可管理多个客户企业的 MSP 和企业管理员账号。本章将解释企业范围模型、企业切换、受管企业管理以及子账号。如需申请多租户账号,请联系 [**enterprise@cerberusapp.com**](mailto:enterprise@cerberusapp.com)。
## 核心概念 - **主多租户账号**:可以访问全局多租户工作区的首要管理账号。 - **子账号**:由主账号创建的委派管理账号,可进行可选的企业分配。 - **所选企业上下文**:当前在控制面板中处于活动状态的企业,用于日常操作。 - **委派**:由企业所有者授予的权限,允许管理账号进入并管理该企业。 ## 导航模型 当未选择企业上下文时,侧边导航栏会显示多租户区域,例如 **企业**,对于主账号还会显示 **子账号**。进入企业后,控制面板将切换到标准的单企业导航(主页、用户、设备、注册、策略等)。 ## 所有权与委派 每个受管企业都有一个所有者。所有者始终可以访问该企业。非所有者的管理账号只有在获得委派时才能访问企业。所有者和委派状态直接显示在企业卡片上,以便在进入企业之前明确访问范围。
## 许可证与账单操作 多租户视图会展示许可证状态、设备限额和企业账单操作。根据企业的订阅状态和您的权限,卡片可能会显示 **管理账单** 或 **购买许可证**。 对于由多租户账号创建的企业,许可证管理由多租户用户负责。主账号始终可以管理许可证,而子账号只有在主账号为其启用了 **可以管理许可证** 权限时,才能管理许可证。 ## 本章包含的页面 - [**受管企业**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/a01a0 "Managed enterprises"):搜索、筛选、卡片详情以及企业创建。 - [**企业切换**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/66808 "Enterprise switching"):顶部切换器行为与范围转换。 - [**子账号**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/1be3b "Sub-accounts"):委派操作员、分配以及凭据管理。 # 受管企业 **企业** 页面(*仪表板* → *企业*)是受管企业访问的控制中心。它列出了您的多租户账户可见的所有企业,并允许您进行筛选、检查所有权/委派、进入企业上下文以及创建新的受管企业(仅限主账户)。 ## 搜索与筛选 - **搜索企业**:通过企业名称或企业 ID 进行筛选。 - **委派**:**全部**、**已委派**或**未委派**。 - **许可证状态**:**全部**、**有效**、**即将过期**、**已过期**或**已终止**。 ## 企业卡片 每张企业卡片都会显示关键的管理元数据: - **许可证状态**,带有图标徽章和上下文工具提示。 - **已授权设备**(企业设备限额)。 - **下次计划续订**或**到期日期**,取决于订阅状态。 - **委派**状态 (**所有者**、**已授予**或**未授予**)。 - **所有者**显示名称和用户名。 ### 最近选择的企业 您最近访问过的企业已固定在**最近选择**部分,以加快重复切换上下文的速度。 ## 企业操作 - **进入企业**:在允许委派/所有权访问时,打开所选的企业上下文。 - **管理账单**:在可用且允许的情况下,打开企业账单管理。 - **购买许可证**:在账单未激活时,打开企业购买流程。 ### 谁可以管理许可证 对于由多租户账号创建的企业,许可证管理由多租户用户控制。主账号始终可以管理这些企业的账单和许可证操作。 子账号只有在主账号于[](https://enterprise.cerberusapp.com/docs/books/8efb1/page/1be3b "Sub-accounts")页面中授予了**可以管理许可证**权限的情况下,才能管理账单和许可证操作。 # 切换企业 顶部工具栏中的企业切换器允许多租户用户在委派的企业之间进行切换,而无需注销。当至少可以选择一个企业上下文时,该功能即可使用。 ## 切换器行为 - 触发器显示当前企业名称(如果无法显示名称,则显示企业 ID)。 - 菜单列出了委派/可访问的企业,并将当前企业标记为已选中。 - 在切换过程中,切换器操作会暂时禁用,以防止并发的范围更改。 ## 退出企业 切换菜单包含 **退出企业**,这将清除当前企业上下文并返回到全局多租户工作区。 ## 上下文重置规则 切换企业或退出企业会重置仪表板范围。企业特定页面和数据将针对新选择的上下文进行刷新,且菜单可见性会根据当前是否已选中企业而自动调整。使用切换器可以快速更改运营上下文,但在执行策略更新或设备命令等敏感操作之前,请务必核实所选的企业名称。
# 子账号 **子账号**页面(*控制面板* → *子账号*)适用于主多租户账号。它允许您创建委派管理用户、分配受管企业、控制账单权限并维护子账号凭据。 ## 子账号列表 每个子账号卡片都会显示身份信息和管理控制选项: - **姓名**与**用户名/电子邮件**。 - **受管企业**多选分配。 - **可以管理许可证**权限开关。 - **重置密码**与**删除**操作。 ## 受管企业分配 企业分配通过 **受管企业**多选字段进行编辑。在更改后关闭选择器时,控制面板会在保存更新前请求确认。 ## 许可证管理权限 **可以管理许可证**开关用于控制子账号是否可以访问企业账单/许可证管理操作。 对于由多租户账号创建的企业,主账号始终拥有许可证管理权。只有当主账号启用此开关时,子账号才会获得许可证管理权。 ## 重置密码 **重置密码**将在确认后生成新的临时密码,并通过电子邮件发送给子账号。 ## 删除子账号 删除子账号需要确认,并且会永久移除该账号的委派访问权限。 ## 创建子账号 使用底部操作面板中的 **创建子账号** 来添加新的委派管理员。 - **电子邮件**:必填项,且需符合电子邮件格式。 - **姓名**:必填的显示名称。 - **可以管理许可证**:可选的初始账单权限。 - 在创建之前,确认对话框会提醒您,临时密码已发送至所提供的地址。 # 洞察 以下是一些深入探讨 MDM 如何助力您业务的文章: ## [什么是亭式模式?Android 与 Apple 设备业务锁定指南](https://enterprise.cerberusapp.com/zh/insights/what-is-kiosk-mode-lock-down-android-apple-business) 亭式模式可将标准手机和平板电脑转变为专注的业务工具。Cerberus Enterprise 帮助组织将设备锁定在单个应用程序或一小组经过批准的应用程序中,以满足零售 POS、面向客户的签到和车队导航等使用场景,同时使这些专用设备更易于进行大规模的安全防护、支持和管理。 ## [如何选择合适的 MDM 解决方案:面向小企业的 7 点清单](https://enterprise.cerberusapp.com/zh/insights/choose-right-mdm-solution-small-business-checklist) 如果在购买过程后期才选择 MDM,只要保持对比的实用性,过程就会变得更加容易。这份清单旨在帮助小企业根据通常在实际部署中最关键的七项标准来评估供应商:安全性、Android 和 Apple 支持、精简团队的使用便捷性、可扩展性、隐私边界、总拥有成本以及日常支持能力。 ## [打造安全且专注的数字课堂:K-12 学校 MDM 指南](https://enterprise.cerberusapp.com/zh/insights/k12-schools-mdm-safe-focused-digital-classroom) 当学校管理的设备专注于学习时,其效果最佳。Cerberus Enterprise 帮助 K-12 组织通过受管应用、亭式限制、标准化的共享或借用设备设置,以及减少丢失、偏离和课堂干扰的远程恢复操作,使学生设备保持专注。 ## [为现场技术人员配备设备:MDM 如何提升现场效率与安全性](https://enterprise.cerberusapp.com/zh/insights/field-technicians-mdm-onsite-efficiency-security) 现场技术人员在现场工作时,需要依靠移动设备来查看日程、服务笔记、技术参考资料、客户历史记录和工作更新。Cerberus Enterprise 通过受管应用、标准化的设备模型、远程支持命令以及具备位置感知能力的可见性,帮助这些设备保持就绪状态,从而在加强现场安全性的同时提高调度协调效率。 ## [超越地图:利用 MDM 实现更智能的车队管理与驾驶安全](https://enterprise.cerberusapp.com/zh/insights/mdm-smarter-fleet-management-driver-safety) 车队运营依赖移动设备进行导航、调度、消息传递、日志记录和现场执行。Cerberus Enterprise 通过受管应用、亭式及专用设备控制、安全通信策略、远程故障排除以及具备位置感知能力的监管,帮助这些设备专注于经过批准的工作流,从而减少停机时间并支持更安全的驾驶作业。 ## [地理围栏、实时追踪与位置地图如何提升企业运营效率](https://enterprise.cerberusapp.com/zh/insights/geofences-live-tracking-location-maps) Cerberus Enterprise 中的位置感知功能可帮助组织从简单的设备可见性转向更具实用性的运营控制。定期位置报告、实时追踪、地理围栏切换以及交互式地图,可以为物流、现场服务、医疗保健、零售、建筑及其他需要深入了解工作发生地点以及设备进入或离开重要区域的分布式团队提供支持。 ## [多租户模式如何帮助 MSP 扩展 MDM 服务并创造新的收入来源](https://enterprise.cerberusapp.com/zh/insights/multi-tenancy-mdm-msp-growth) 多租户模式允许 MSP、转售商和多公司组织通过单个 Cerberus Enterprise 账户管理多个企业,同时保持各环境相互独立。这种模式减少了运营摩擦,提高了服务的可扩展性,并通过子账户和明确的客户控制管理支持委派访问。对于希望将软件许可与入职、支持、合规及移动管理服务相结合的服务商而言,这还创造了更强大的业务机会。 ## [利用 MDM 解决方案提升企业运营能力](https://enterprise.cerberusapp.com/zh/insights/mdm-operativity) 移动设备管理(MDM)使公司设备的控制实现集中化,简化了注册、配置和维护流程。自动化配置和批量操作减少了手动 IT 工作量,并确保所有设备执行统一的策略。加密、合规性监控和远程擦除等安全功能可保护企业数据。总体而言,MDM 在提高生产力的同时,降低了支持成本和运营复杂性。 ## [Android 企业管理中的高级安全性](https://enterprise.cerberusapp.com/zh/insights/android-enterprise-security) Android Enterprise 使用工作资料(Work Profile)将公司应用和数据与同一设备上的个人内容进行隔离。这种容器化技术创建了由 IT 管理员独立管理的隔离加密环境。安全策略可以在不影响个人应用的情况下控制公司数据的共享。即使个人应用程序遭到破坏,该架构也能保护业务数据。 ## [Apple iPhone MDM 与自动注册](https://enterprise.cerberusapp.com/zh/insights/apple-iphone-mdm) Apple 的 MDM 框架可在企业环境中实现 iPhone 的集中管理。结合 Apple Business Manager,设备在首次激活时即可自动进行注册和配置。管理员可以静默部署和配置公司应用、强制执行安全设置并监控合规性。这种自动化确保了设备配置的一致性,并减少了设置错误。 ## [深入了解移动设备管理](https://enterprise.cerberusapp.com/zh/insights/understanding-mdm) 移动设备管理(MDM)提供了一个集中化的平台,用于监控、保护和控制访问公司系统的移动设备。其核心功能包括强制执行安全策略、管理应用程序,以及远程锁定或擦除丢失的设备。MDM 在保持设备合规性的同时,有助于保护公司数据。它使各种规模的组织都能安全地管理不断增长的移动办公人员。 ## [企业设备部署模式](https://enterprise.cerberusapp.com/zh/insights/device-deployment-models) 组织可以采用多种设备所有权模式,例如 BYOD、CYOD、COPE、COBO 和 COSU。每种模式在成本、用户灵活性和安全控制之间有着不同的平衡。BYOD 优先考虑用户便利性,而 COBO 和 COSU 则最大限度地提高了公司控制力和安全性。选择正确的模式取决于监管要求、员工需求和 IT 管理能力。 ## [MDM 与 EMM 与 UEM 的区别](https://enterprise.cerberusapp.com/zh/insights/mdm-emm-uem-difference) MDM 专注于通过策略执行、配置控制和远程管理来管理及保护移动设备。EMM 将此范围扩展到包括应用和内容管理,而 UEM 则试图管理包括笔记本电脑和台式机在内的所有终端。对于许多中小企业而言,完整的 EMM 或 UEM 套件会增加不必要的复杂性。在实践中,强大的 MDM 功能通常就能满足大多数移动管理需求。 ## [个人手机上的 MDM 与员工隐私](https://enterprise.cerberusapp.com/zh/insights/mdm-personal-phone-privacy) 现代 MDM 系统使用容器化技术将员工自有设备上的工作数据与个人数据进行分离。雇主只能管理和监控工作环境,包括公司应用和设备合规信息。照片、消息和浏览记录等个人数据对公司而言仍是无法访问的。这种技术隔离在保护员工隐私的同时,也使安全的 BYOD 计划成为可能。 ## [MDM 的投资回报率 (ROI) 与业务价值](https://enterprise.cerberusapp.com/zh/insights/mdm-roi-business-value) MDM 应被视为一项战略投资,而非简单的安全支出。它通过减少设备丢失、降低 IT 支持成本和提高运营效率来产生财务回报。自动化管理还能提高员工生产力并减少停机时间。此外,更强大的安全性可以降低数据泄露带来的风险和财务影响。 ## [符合 HIPAA 标准的设备管理](https://enterprise.cerberusapp.com/zh/insights/hipaa-compliant-device-management) 医疗保健组织必须根据 HIPAA 安全要求保护电子患者数据。MDM 有助于强制执行加密、身份验证控制、安全数据传输和详细的审计日志。它还可为访问医疗系统的设备提供远程擦除和集中式策略执行功能。这些控制措施在降低合规风险的同时,也为医疗环境中的移动工作流提供了支持。 ## [零售运营与安全中的 MDM](https://enterprise.cerberusapp.com/zh/insights/retail-operations-mdm-security) 零售组织依赖移动设备进行 POS 系统、库存管理和店内运营。MDM 可确保这些设备保持安全、及时更新,并符合 PCI-DSS 等标准。集中化管理可减少停机时间,并简化多地点间的设备部署。其结果是提高了运营效率,并降低了与支付相关的安全事件风险。