IT 管理员可以在设备注册后修改与该设备关联的策略。但是,每个设备一次只能关联一个策略。
在注册(配置)过程中,所需的管理组件将自动安装和配置。在 Android 设备上,通常包括 Android 设备策略应用程序(以及,根据您的配置,Cerberus Enterprise 助手应用程序)。在 Apple 设备上,设备注册后,管理通过 MDM 进行。因此,相应的策略将自动应用于设备,并且所有相关的规则都由平台管理系统强制执行。一个策略可以应用于许多设备。在这种情况下,当您修改策略时,所有相关的设备都会接收到这些更改。
# 设置 # Android 设备管理设置 要使用 Cerberus Enterprise 管理 Android 设备,您必须首先将您的组织连接到 Google Android Enterprise。设置过程通常需要几分钟,并且需要一个 **工作邮箱地址**(例如,*name@enterprise.com*)。
## 设置过程中会发生什么? - 您将被重定向到 Google Android Enterprise 页面。 - 您可以使用您的工作邮箱登录。 - Google 会为您的组织创建 Android 管理账户。 - 您将返回 Cerberus Enterprise 页面以完成设置。 ## 重要信息 请务必使用公司邮箱地址,不要使用个人 Gmail 帐户。此邮箱用于创建您的 Google 管理员帐户,以便进行 Android 设备管理。 ## 下一步。 配置完成后,请创建 [**注册令牌**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens"),并选择适合设备的配置方法。 # Apple 设备管理设置 (APNs)。 要管理 Apple 设备,Cerberus Enterprise 需要 Apple 推送通知服务 (APNs) 证书。请使用与您的组织关联的 Apple ID。APNs 证书的有效期为一年,每年必须续订以继续管理设备。
## 步骤 1:下载 CSR 文件。 在仪表板中,开始 Apple 设备管理设置,并下载 Cerberus Enterprise 生成的已签名证书请求文件 (CSR 文件)。 ## 步骤 2:在 Apple 开发者门户中创建推送证书。 - 使用您的 Apple ID 登录 Apple 推送证书门户。 - 点击 *“创建证书”*。 - 请上传第 1 步中的 CSR 文件。 - 下载已创建的推送证书。 Portal链接:[https://identity.apple.com/](https://identity.apple.com/ "Apple Push Certificates Portal") ## 步骤 3:上传推送证书。 将从 Apple 下载的推送证书上传回 Cerberus Enterprise,以完成设置。如果 APNs 证书过期,Apple 设备管理将停止工作,直到证书续订。
## 下一步。 配置 APNs 后,您可以继续进行 Apple 设备注册。继续阅读 [**Apple 设备配置指南**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-ywE "Apple provisioning overview"). # 设备配置概览 Cerberus Enterprise 支持 Android 和 Apple 平台的设备管理。您可以根据需要独立配置任一平台。 ## 1. 在仪表板中完成平台设置。 在注册设备之前,请在 Cerberus Enterprise 仪表板中完成平台设置。如果您的帐户尚未配置,仪表板将引导您完成所需的步骤。 ### Android 设置 (Google Android Enterprise) 如需了解完整的 Android 设置流程,请阅读 [**Android 管理设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android "Android Management setup")。 - 转到控制面板的注册流程,然后选择 **设置 Android 管理**。 - 您将被重定向到 Google 页面,使用 **工作账户**进行登录并授权 Android Enterprise。 - 授权后,您将被重定向回 Cerberus Enterprise 完成设置。 ### Apple 设置 (APNs 推送证书) 有关完整的 Apple 设置流程,请阅读 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns "Apple Management setup (APNs)")。 - 转到仪表盘的注册流程,并选择**配置 Apple 管理**。 - 从 Cerberus Enterprise 下载 CSR 文件。 - 在 Apple Push Certificates Portal 中创建 APNs 证书,然后下载该证书。 - 将下载的证书上传回 Cerberus Enterprise,以启用对 Apple 设备的管理。 ## 2. 注册设备。 完成平台设置后,选择与您的设备所有权模式和操作系统相匹配的注册方式。 ### Android 设备注册。 对于 Android 设备,注册由 [**注册令牌**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 驱动。根据设备是个人所有还是公司所有,选择适当的方法。 - 个人设备(BYOD/工作资料):[请参考此指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/65ded "Personally-owned devices")。 - 公司设备(工作和个人用途/工作配置):[请参考此指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/eb163 "Company-owned devices for work and personal use")。 - 公司所有设备(仅限工作使用/完全管理或专用):[请参考此指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/17000 "Company-owned devices for work use only")。 - 零配置:[请参考此指南](https://enterprise.cerberusapp.com/docs/books/8efb1/page/01386 "Zero-touch"). ### Apple 设备注册 对于 Apple 设备,首先按照上述步骤完成 APNs 设置,然后按照 Apple 的配置指南进行操作:[**Apple 配置指南**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-ywE "Apple provisioning overview"). # 设备配置 - Android # 支持的设备 通常,运行 Android 6+ 且安装了 Google Play 服务的设备都与 Cerberus Enterprise 兼容。 为了获得更好的用户体验,我们建议使用符合[Android Enterprise 推荐](https://androidenterprisepartners.withgoogle.com/devices/)的要求的设备。某些功能仅限于特定的 Android 版本,或者在不同的操作系统版本下可能表现不同。有关特定功能的更多信息,请参阅文档中的 [策略](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies") 章节。
Cerberus Enterprise 支持公司所有设备和个人设备,并提供两种管理模式:设备所有者模式和配置管理模式。 **个人**设备可以通过**工作配置**进行管理。这实现了“自带设备办公”(BYOD)方案,通过将员工的工作数据和应用与个人数据和应用隔离开,从而提高安全性和隐私性。此选项适用于员工已拥有的,希望将其注册到贵组织以供工作使用的设备。 **公司所有**的设备也可以通过工作配置进行管理,但您也可以选择**完全托管**选项,该选项允许对设备进行更严格的控制。 具有工作配置的公司所有设备适用于您向员工提供公司设备以用于工作,同时仍允许个人使用的场景。 完全托管的设备更适合于只能用于工作的设备,或用于**专用设备**(COSU,企业自有单用途设备),例如自助服务终端。 如需了解更多关于设备配置的信息,请参阅[设备配置概览](https://enterprise.cerberusapp.com/docs/books/8efb1/page/f4f6d "Device provisioning overview")页面。只有在完成 [**Android Management setup**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android "Android Management setup") 之后,Android 注册令牌选项才可用。
## 在哪里可以找到注册令牌。 在仪表板中,打开 **注册令牌**。根据您的帐户配置,页面可能显示多个选项卡(Android 令牌、Google 登录注册、Apple 手动注册和 Apple 自动设备注册)。如果您的 Android 企业版由管理的 Google 域名(Google Workspace)支持,仪表板也可能显示一个 **使用 Google 注册进行身份验证** 选项卡。有关启用和使用的详细信息,请参阅 [**使用 Google 注册进行身份验证**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google "Authenticate Using Google enrollment")。
## Android 设备注册令牌列表。 Android 令牌选项卡显示所有令牌的表格。点击某行可打开令牌详细信息页面。 ### 列 - **ID**:内部令牌标识符。 - **状态**:**可用**,**已用**(一次性令牌已使用),或**已过期**。 - **到期时间**:到期日期/时间,或**永久有效**。 - **策略**:分配给此令牌的策略(UI 提示也显示策略 ID)。 - **个人使用**:允许 / 不允许 / 专用设备。 - **允许的使用方式**:可多次使用或仅限一次。 - **用户**:可选的用户,可预先分配给使用令牌注册的设备。 ### 操作 - 每行包含一个删除操作(**删除注册令牌**)。当许可证过期时,删除功能将被禁用。 - 表格支持多行选择:您可以启用选择模式,选择多个令牌,然后使用 **删除选定的令牌** 功能进行删除。 - 使用刷新操作重新加载列表。 表格支持分页显示(每页显示 10/25/50 项)。 ## 创建新的注册令牌。 在“Android 令牌”选项卡中,点击 **新建注册令牌** 以打开令牌创建页面。 如果您的许可证已过期,则“创建”按钮将被禁用。 ### 令牌选项 #### 1. 策略 **必需。** 该策略将自动应用于所有使用此令牌注册的设备。选择您的一项 [**Android 策略**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies")。 如果您还没有策略,请先创建一个。 #### 2. 用户 可选。如果已设置,新注册的设备将自动与此用户关联。 #### 3. 个人使用。 是否允许在通过此注册令牌配置的设备上进行个人使用。 - **允许**:适用于个人拥有的设备(工作模式)以及用于工作和个人使用的公司拥有的设备。 - **不允许**:适用于仅用于工作用途的公司拥有的设备(完全托管)。 - **专用设备**:适用于自助服务终端/专用设备(设备不与单个用户关联)。 #### 4. 允许的使用方式。 选择是否允许令牌多次使用(**多次**)或仅使用一次(**仅限一次**)。 #### 5. 过期时间 选择到期单位(**分钟**,**小时**,**天**,或**永不过期**)。如果未设置为“永不过期”,请输入到期值。允许的范围取决于所选单位,最高可达10,000天。 ### 配置选项(仅限二维码)。 这些额外的选项已嵌入到二维码中,并在扫描二维码注册设备时生效。这些选项不适用于工作配置或通过注册 URL 或 Token 注册的设备。 #### Wi-Fi 配置 使用此功能,可以让设备在配置过程中自动连接到 Wi-Fi,以便下载和初始化管理应用。 可用的字段包括 **SSID**、**隐藏的 SSID**、**安全模式**,以及(如果需要)**密码**。 您还可以配置 HTTP 代理(**代理**),并且,根据模式的不同,可以设置 **主机**/ **端口**、**PAC URI** 和 **代理绕过主机**。 #### 其他选项 其他选项包括 **本地设置**、**时区**以及 **跳过加密**。 ## 注册令牌的详细信息 当您打开令牌时,详细信息页面会显示令牌的配置和使用信息: - **状态**,**到期时间**,**使用情况**,**个人使用**,以及**允许的使用**。 - **令牌**:原始注册令牌的值(可复制)。 - **注册 URL**:一个 Google Android Enterprise 注册 URL(可复制并可通过电子邮件发送)。 - **二维码**:显示在页面右侧,用于注册完全管理的设备。如需了解分步配置步骤,请参考 Android 注册指南:[**个人设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/65ded "Personally-owned devices"),[**公司拥有的用于工作和个人用途的设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/eb163 "Company-owned devices for work and personal use"),[**公司拥有的仅用于工作用途的设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/17000 "Company-owned devices for work use only"),以及[**零配置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/01386 "Zero-touch")。
# 个人拥有的设备| Android版本 |
| 6.0+ |
| Android版本 |
| 6.0+ |
| Android版本 |
| 6.0+ |
| Android版本 |
| 8.0+ |
| Android版本 |
| 7.0+ |
| Android版本 |
| 5.1+ |
| Android版本 | 工作资料 | 完全托管设备 | 专用的设备 |
| 8.0+ (Pixel 7.1+) | ✓ | ✓ | ✓ |
此功能仅适用于使用托管 Google 域(Google Workspace)的企业 Android 设备。
## 在哪里可以找到它? 在仪表板中,打开 **注册令牌**,然后选择 **使用 Google 注册进行身份验证** 选项卡。 只有当配置了 Android 管理并且您的企业可用 Google Workspace 集成时,才会显示该选项卡。 ## 启用(或禁用)Google 身份验证 Google 身份验证已在 **Google 管理控制台** 中启用。修改设置后,请返回 Cerberus Enterprise,并使用 **刷新状态** 重新加载当前配置。 1. 使用管理员帐户登录到您的 [**Google 管理控制台**](https://admin.google.com/)。 2. 打开 **设备**。 3. 转到 **移动设备与终端** → **设置** → **第三方集成**。 4. 找到 **Android EMM 集成**,并打开它,以使用 Cerberus Enterprise。 5. 点击 **管理移动设备管理服务提供商**。 6. 切换 **使用 Google 身份验证** 以启用或禁用 Google 身份验证功能。 7. 点击 **保存**。 8. 返回 Cerberus Enterprise 仪表盘,然后点击 **刷新状态**,位于 **使用 Google 注册进行身份验证** 选项卡。 ## Google 身份验证注册令牌 当启用 Google 身份验证时,仪表板会显示一个专用于此注册模式的注册令牌。该页面可以显示一个**二维码**,一个**注册令牌**值,以及一个**注册 URL**(可复制并可通过电子邮件发送)。 ### 主要选项 - **允许个人使用**:控制令牌是否可以为工作和个人用途注册设备(工作资料场景),或仅用于工作用途(完全管理/专用场景)。 - **备用默认策略**:当注册用户未分配特定的 Google 身份验证默认策略时,将应用此策略。 ### 策略交互 策略设置 **工作帐户设置身份验证** (workAccountSetupConfig.authenticationType) 控制用户在工作帐户设置期间如何进行身份验证,但 Google 管理控制台上的设置 **使用 Google 身份验证** 以及注册令牌类型仍然可能需要身份验证。 对于已注册的设备,此策略仅在设备由受管的 Google Play 帐户管理时才生效(即,未通过**使用 Google 注册**进行注册)。当许可证过期时,某些操作(例如修改令牌选项)可能会被禁用。
## 注册设备 注册期间,用户需要使用其 Google Workspace 帐户进行身份验证。 注册成功后,该设备将与已验证的用户关联。 ### 工作资料 (个人设备) - 分享 **注册链接** 给用户。当用户在他们的 Android 设备上打开该链接时,他们将逐步完成工作资料的设置和 Google 身份验证。 - 或者,用户也可以从 Android 设置开始,选择工作资料设置流程,然后在提示时扫描二维码或输入注册令牌。 ### 公司所有设备 - **二维码方法**:在新的或已重置出厂设置的设备上,多次在同一位置点击屏幕,直到出现二维码提示,然后扫描仪表板中显示的二维码。 - **DPC 标识方法**(当无法使用二维码扫描时):按照设置向导进行操作,连接到 Wi-Fi,然后在提示输入登录信息时,输入 **afw#setup**,然后继续扫描二维码或输入注册令牌。在提示时,使用 Google Workspace 帐户进行身份验证。 关于Android设备的通用配置方法(工作资料与完全管理),请参阅本手册中的标准Android注册页面。 # 设备配置 - Apple # Apple 设备配置概览 Cerberus Enterprise 支持注册和管理 Apple 设备。Apple 设备配置需要 APNs 证书,可以使用不同的注册方法进行配置。 ## 前提条件:配置 Apple 设备管理 (APNs)。 在注册任何 Apple 设备之前,请完成 [**Apple 设备管理 (APNs) 设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns "Apple Management setup (APNs)")。 ## 选择注册方式。 ### 手动注册 (注册配置)。 此方法提供一个注册 URL 以及一个配置配置文件 (mobileconfig),您需要在设备上安装该文件。请阅读 [**Apple 手动注册**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-gxH "Apple manual enrollment"). ### 自动设备注册 (ADE) 此方法与 Apple Business Manager 集成,可自动为公司拥有的设备进行注册。 了解 [**Apple 自动设备注册 (ADE)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/ade "Apple Automated Device Enrollment").您可以根据您的设备管理需求和购买流程,同时使用手动注册和 ADE 两种方式。
# Apple 设备手动注册 (注册配置文件) Cerberus Enterprise 支持通过注册 URL 和注册配置文件,对 Apple 设备进行手动注册。当配置了 Apple 设备管理 (APNs) 时,可以使用手动注册功能。 如果您尚未完成 APNs 设置,请阅读 [**Apple 设备管理 (APNs) 设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns "Apple Management setup (APNs)")。
## 获取注册链接和配置文件。 - 在仪表板中打开 **注册** 区域,并选择 **Apple 手动注册(注册配置文件)** 选项卡。 - 复制 **注册链接**,或者使用通过电子邮件发送的注册方式。 - 下载 **注册配置文件** (mobileconfig 文件). ## 如何注册 iPhone 或 iPad iOS/iPadOS 15.0 或更高版本 1. 将设备注册配置文件(*enroll.mobileconfig*)发送到设备,或在设备的 Safari 浏览器中打开注册 URL。 2. 在设备上,打开 *设置* → *已下载配置* → *安装*,然后按照说明进行操作。 3. 注册完成后,您可以在 *设置* → *常规* → *VPN 与设备管理*(或 *配置文件与设备管理*)中查看状态。请仅安装从您的 Cerberus Enterprise 控制面板获取的注册配置文件。
# 苹果自动化设备注册 (ADE) 自动化设备注册 (ADE) 与 Apple Business Manager (ABM) 集成,可在设备首次开机时(或恢复出厂设置后)自动注册公司拥有的设备。ADE 需要先配置 Apple Management (APNs)。如果需要,请参阅 [**Apple Management setup (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns "Apple Management setup (APNs)").
## 如何自动注册设备? 1. 将设备添加到您的 Apple Business Manager 帐户。 2. 将新设备添加到您的 ABM 帐户后,请从 Cerberus Enterprise 的 **设备** 部分,使用 **从 ABM 同步** 操作进行同步。 3. 在仪表板中创建 ADE 配置文件,路径为:**设备注册** → **Apple 自动化设备注册 (ADE)** → **新的 ADE 配置文件**。 4. 使用 **ADE 配置文件** 字段,从设备详情页面为设备分配一个 ADE 配置文件。 ## ADE 配置文件设置(概览) ADE 配置文件控制设备的注册方式以及配置向导的行为。在 Cerberus Enterprise 中,一个 ADE 配置文件包括一个名称、一个可选的初始策略以及一些注册选项。 ### 配置文件名称 为配置文件指定一个易读的名称(例如,*默认设备策略配置文件*)。 ### 策略 该策略最初适用于已注册的设备。在创建新的 ADE 配置文件时,您可以分配策略。 ### 注册选项 - **MDM 可移除**:控制是否允许从设备中移除 MDM 配置。 - **允许配对**:控制是否允许配对(Apple 在 iOS 13 中已弃用)。 - **自动配置**:自动完成配置向导的各个步骤。 - **等待设备配置完成**:此功能会阻止配置向导继续,直到服务器将设备标记为已配置。 - **强制**:防止在配置过程中跳过策略应用。 - **多用户(共享iPad模式)**:配置设备以支持共享iPad模式。 - **受管**:请求对设备进行管理。在设备分配了 ADE 配置文件后,它即可自动注册。
# 策略概览 “**策略**”部分位于仪表盘(*仪表盘* → *策略*)中,列出了您账户中的所有策略,并允许您创建、复制、编辑和删除策略。 ## 策略列表 策略以表格形式显示。点击某一行将打开相应的策略编辑器。 ### 列 - **ID**:内部策略标识符。 - **MDM**:用于管理策略的平台(适用于Android或Apple设备)。 - **名称**:策略名称。 - **描述**:策略描述。 - **设备**:当前已分配到该策略的设备数量。 ### 筛选和搜索 - 如果同时配置了 Android 管理和 Apple 管理,您可以按**全部**、**Android**或**Apple**进行筛选。 - 您可以启用 **搜索**功能,并按策略名称或描述进行搜索。 ### 刷新和分页 - 使用刷新操作重新加载列表。 - 表格已分页显示(每页显示10/25/50个项目)。 ## 创建新的策略 在“策略”页面的底部,您可以创建新的策略。根据您账户中配置的平台,您可能会看到以下一项或两项操作: - **创建新的Android策略** - **创建新的Apple策略**如果您的许可证已过期,则无法创建策略(以及其他需要写入权限的操作)。
## 复制和删除策略。 每条策略行都有一个操作菜单,其中包含“**复制策略**”和“**删除策略**”。 ### 删除策略警告 删除策略时,仪表板可能会根据策略的使用方式显示额外的警告。 - 如果策略已分配给已注册的设备,则删除该策略将取消注册相关设备,并擦除其应用和数据。 - 如果策略已分配给注册令牌,则这些令牌可能将无法完成注册。 - 如果将该策略设置为 Google 身份验证注册的默认设置(全局或针对某些用户),则删除该策略可能会导致注册失败。 ### 删除多个策略。 策略列表支持多行选择,可批量删除。在多选模式下,您可以选择多个策略,并一次性删除它们。批量删除仅在所选的所有策略都属于同一平台(全部为 Android 或全部为 Apple)时才可用。
## 下一步:编辑策略设置 策略列表是入口。要配置策略设置,请使用相应的编辑器文档:[**策略 → Android**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Android policies") 和 [**策略 → Apple**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/apple-eTr "Apple policies")。通过注册令牌引用的策略,将在设备注册过程中自动应用。
# 策略 - Android # 摘要。 Android 策略是系统的核心组件:它们定义了应用于并强制执行于受管设备上的规则。 您可以在仪表板的 **策略** 部分浏览现有策略并创建新的策略。要打开一个 Android 策略,请在表格中单击该策略的行,系统将打开 **策略编辑器** 页面。 策略可以与[注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens")相关联,因此它将在设备配置过程中自动应用。您也可以在配置完成后更改已分配给设备的策略。每个设备一次最多只能关联一个策略。
许多策略选项仅适用于特定设备类型(完全管理、专用、工作资料)和 Android 版本。不支持的设置可能被设备忽略,或者报告为不符合要求。
## 策略编辑器布局 策略编辑器以可展开的区域组织。在页面的顶部,您可以随时编辑: - **名称**(必填) - **ID** (只读) - **描述**(可选) 以下部分对应策略编辑器的各个面板(例如:应用管理、安全、网络、系统、个人使用、跨配置策略等)。请使用本手册的章节页面,详细了解每个面板。 ## 保存、删除和关联的设备。 使用 **保存策略**以应用您的更改。当没有未保存的修改时,或当许可证已过期时,该按钮将被禁用。 如果您打开了一个现有的策略(它具有 ID),页面底部会显示一个 **删除策略** 按钮和一个 **关联设备** 列表,以便您了解当前有多少设备正在使用该策略。 # 应用管理 在本部分,您可以设置与应用程序可用性、安装、更新以及权限管理相关的策略。已配置的设备会自动创建“受管 Google Play 帐户”。
#### 1. 应用商店模式 此模式控制用户在 Google Play 商店中可用的应用程序,以及从策略中删除应用程序时设备上的行为。 **白名单(默认)**: 只有策略中包含的应用程序才能使用,策略中未包含的应用程序将自动从设备上卸载。Google Play 商店只会显示可用的应用程序。 **黑名单**:所有应用均可使用,不允许在设备上安装的应用,应在应用策略中明确设置为**禁止**安装。Google Play 商店将显示所有应用,但会排除被禁止的应用。 #### 2. 不可信应用策略 设备上强制执行的不可信应用策略(来自未知来源的应用)。此选项控制 Android 系统设置,该设置决定用户是否可以从 Play 商店外部安装应用程序(即旁加载)。 **禁止(默认)**:禁止在整个设备上安装不受信任的应用程序。 **仅限个人资料**:对于具有工作配置的设备,仅允许在设备的个人资料中安装不受信任的应用程序。 **允许**:允许在整个设备上安装不受信任的应用程序。 #### 3. Google Play 保护功能 是否强制执行 Google Play 保护应用验证。 **强制执行(默认)**:强制启用应用验证。 **用户选择**:允许用户选择是否启用应用验证。 #### 4. 默认权限策略 授予应用运行时权限请求的策略。 **提示(默认)**:提示用户授予权限。 **授予**:自动授予权限。 **拒绝**:自动拒绝权限。 #### 5. 应用功能 控制是否允许完全管理的设备或工作资料中的应用公开其功能。需要 Android 16 或更高版本。 **允许 (默认)**:完全管理的设备或工作资料中的应用可以公开其功能。 **禁止**:在完全管理的设备或工作资料中的应用,不允许公开其功能。 #### 6. 安装被禁用的应用程序 是否禁止用户安装应用程序。 #### 7. 禁止卸载应用程序。 用户是否被禁止卸载应用程序。 #### 8. 权限策略 为所有应用程序设置明确的权限、授权或拒绝。这些设置会覆盖**默认权限策略**的设置。 使用 **添加权限策略**来创建条目,并使用删除操作来移除它们。 每个条目包含: **Android 权限/组**:Android 权限或组(必需),例如 **android.permission.READ\_CALENDAR** 或 **android.permission\_group.CALENDAR**。 **策略**:允许 / 拒绝 / 提示(使用与**默认权限策略**相同的策略选项)。 #### 9. 应用程序 必须包含在策略中的应用程序列表。此列表的内容的行为取决于“**应用商店模式**”的设置。 如果“**应用商店模式**”设置为“**白名单**”,则只有策略中包含的应用程序可用,并且任何不在策略中的应用程序都将自动从设备上卸载。 如果 **应用商店模式**设置为 **黑名单**,则所有应用都可用,并且任何不应在设备上的应用都应在应用程序策略中明确标记为 **禁止**。 要添加新的应用程序,请单击“**添加应用程序**”按钮(或“**添加应用程序**”图标),然后在应用卡中,从 Play 商店选择应用程序,然后单击“**选择**”按钮。所有在您所在国家/地区的 Google Play 商店上发布的应用程序默认情况下都可供选择。要选择您自己的私有或 Web 应用程序,您必须首先将其上传到系统中。更多信息请阅读 [**私有应用程序**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/b3967 "Private apps") 页面。
每个应用程序都可以配置自己的设置,这些设置以卡片的形式直观地呈现。 ##### 9.1. 安装类型 用于安装应用程序的安装类型。 **可用:** 该应用可供安装。 **已预装**:该应用已自动安装,用户可以将其卸载。 **强制安装**:该应用已自动安装,用户无法将其卸载。 **已阻止**:该应用已被阻止,无法安装。如果该应用是在之前的策略下安装的,则将被卸载。 **首次设置时需要**:该应用将自动安装,用户无法手动卸载,并且在安装完成之前,设置将无法继续。 **Kiosk模式:**该应用将自动以 Kiosk 模式安装:它被设置为首选主界面,并且已在锁屏任务模式下被白名单。设备设置将在应用安装完成之前无法继续。安装完成后,用户将无法卸载该应用。您只能为每个策略设置一个应用的**安装类型**。当该设置存在于策略中时,状态栏将自动禁用。有关更多信息,请阅读专门的[**Kiosk 模式**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/kiosk "Kiosk mode")页面。 ##### 9.2. 安装约束条件 定义应用的安装限制。当选择了多个限制条件时,所有条件必须满足才能安装该应用。此选项仅在 **安装类型** 为 **预装** 或 **强制安装** 时显示。
**无流量网络**:仅在设备连接到无流量网络时(例如 Wi-Fi)安装应用程序。 **充电中**:仅当设备正在充电时安装应用。 **空闲状态**:仅当设备处于空闲状态时安装应用。 ##### 9.3. 自动更新模式 控制应用的自动更新模式。 **默认设置:** 应用将以较低优先级自动更新,以最大限度地减少对用户的干扰。当满足以下所有条件时,应用将进行更新:(1) 设备未处于活跃使用状态;(2) 设备已连接到非计费网络;(3) 设备正在充电。设备会在开发者发布新版本后的 24 小时内收到通知,之后,当上述条件再次满足时,应用将进行更新。 **延迟**:应用在过期后最多 90 天内不会自动更新。90 天后,最新版本将以较低优先级自动安装(请参阅**默认**自动更新模式)。应用更新后,除非再次过期,否则在接下来的 90 天内不会再次自动更新。用户可以随时从 Google Play 商店手动更新应用。 **高优先级**:应用会尽快更新。不适用任何限制。设备在可用时会立即收到新更新的通知。 ##### 9.4. 最低版本代码 设备上运行的最低应用版本。如果已设置,设备会尝试将应用更新到至少此版本代码。如果应用未更新到最新版本,设备将显示 **不合规详情**,其中 **不合规原因** 设置为 **APP\_NOT\_UPDATED**。应用必须已发布到 Google Play,且版本代码大于或等于此值。每个策略最多可指定 20 个应用的最低版本代码。 ##### 9.5. 授权范围 来自 Android 设备策略授予应用的权限范围。您可以授予其他应用选择性的 Android 特殊权限: **证书安装**:授予访问证书安装和管理的权限。 **受管配置**:授予访问受管配置管理权限。 **阻止卸载**:授予访问阻止卸载的权限。 **权限**:授予访问权限策略和权限授予状态的权限。 **应用包访问权限**:授予访问应用包访问状态的权限。 **系统应用**:授予启用系统应用的权限。 ##### 9.6. 首选网络 用于此应用程序的首选网络服务。如果已设置,当可用时,该应用程序将使用指定的企业网络切片进行连接。 此设置必须与 **5G 网络切片配置** 部分中配置的网络切片相匹配,该部分位于 **蜂窝** 面板。 9.7. 默认权限策略 这是适用于所有应用请求的默认策略。如果已指定,则会覆盖应用级别设定的**默认权限策略**,该策略适用于所有应用。它不会覆盖应用于所有应用的**权限策略**。 **提示(默认)**:提示用户授予权限。 **授予**:自动授予权限。 **拒绝**:自动拒绝权限。 ##### 9.8. 连接工作和个人应用。 是否允许应用在设备的办公和个人模式之间进行通信,需获得用户许可(Android 11 及以上版本)。 **不允许 (默认)**:阻止应用在不同用户配置文件之间进行通信。 **允许**:在获得用户许可后,允许应用在不同用户配置文件之间进行通信。 ##### 9.9. 始终开启的 VPN 锁定例外设置 指定当 VPN 未连接且 **设备锁定** 处于活动状态时,应用程序是否允许进行网络连接。仅支持运行 Android 10 及更高版本的设备。 **强制 (默认)**:该应用会遵循始终开启的 VPN 锁定设置。 **排除**:该应用不受始终开启的 VPN 锁定设置的影响。 ##### 9.10. 工作资料小部件 指定是否允许安装在工作资料中的应用将小部件添加到主屏幕。 **允许:**该应用可以向主屏幕添加小部件。 **不允许**:该应用无法向主屏幕添加小部件。 ##### 9.11. 用户控制设置 指定是否允许用户对特定应用进行控制。用户控制包括强制停止和清除应用数据等操作(Android 11 及以上版本)。如果启用了 **extensionConfig**,则无论此设置如何,都将禁用用户控制。对于专用的应用,可以使用 **允许** 选项来允许用户控制。 **未指定**:使用应用的默认行为来确定是否允许用户控制。 **允许**:该应用允许用户控制。 **不允许**:该应用禁止用户控制。 ##### 9.12. 已禁用。 是否已禁用应用。禁用后,应用数据仍会保留。 ##### 9.13. 允许凭据提供程序。 是否允许该应用在 Android 14 及更高版本中充当凭据提供程序。 ##### 9.14. 受管配置 要配置应用的受管设置,请点击“**启用受管配置**”按钮。如果应用已设置了受管配置,您可以使用“**受管配置**”按钮进行修改,或使用“**删除配置**”按钮进行删除。**受管配置**选项仅适用于支持此功能的应用程序。
##### 9.15. 权限策略 为应用程序设置显式授权或拒绝权限。这些值会覆盖**默认权限策略**和**权限策略**,这些策略适用于所有应用程序。 使用**添加权限策略**,可以为应用程序添加一个或多个权限规则,并通过删除操作移除它们。 ##### 9.16. 跟踪ID 设备可以访问的应用程序内部测试版本ID列表。如果选择了多个版本ID,设备将获取所有可访问版本中最新版本。如果未选择任何版本ID,设备仅能访问应用程序的正式版本。**版本ID**选项仅适用于已为您的组织配置至少一个版本ID的应用程序。有关如何将您的组织添加到特定应用程序的内部测试版本的详细信息,请阅读[此处](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing).
#### 10. 默认应用程序设置 为支持的类型设置默认应用。如果已为至少一种类型设置了默认应用,则用户将无法在该配置中使用更改默认应用的选项。每个**默认应用类型**只能设置一个默认应用。默认应用列表中不得包含重复项。
##### 10.1. 默认应用类型 选择要配置的应用类别(例如:浏览器、拨号、短信、钱包或助手)。可用性取决于 Android 版本和管理模式。 ##### 10.2. 默认应用程序范围。 选择默认应用适用的范围(完全管理、工作资料或个人资料)。 只能选择与所选类型兼容的范围。如果所选的任何范围都不适用于设备的管理模式,则设备将报告不符合要求的详细信息。
##### 10.3. 默认应用程序 可设置为所选类型的默认应用的列表。已安装且符合条件的第一个应用将被设置为默认应用。如果权限范围包括**完全管理**或**工作资料**,则每个应用也必须在**应用**列表中,并且**安装类型**不能设置为**禁止**。
#### 11. 私钥选择 允许在设备上显示UI,以便用户选择私钥别名,如果**选择私钥规则**中没有匹配的规则。对于Android P及以下版本的设备,设置此项可能会使企业密钥面临安全风险。
#### 12. 选择私钥规则 控制应用对私钥的访问权限。该规则确定,如果存在,Android 设备策略将授予哪个私钥给指定的应用程序。访问权限的授予方式有两种:一是当应用程序调用 KeyChain.choosePrivateKeyAlias(或其任何重载函数)以请求给定 URL 的私钥别名时;二是对于非 URL 相关的规则(即,如果 urlPattern 未设置、为空字符串或设置为 ".\*"),在 Android 11 及以上版本中,可以直接授予访问权限,从而允许应用程序调用 KeyChain.getPrivateKey,而无需先调用 KeyChain.choosePrivateKeyAlias。当应用程序调用 KeyChain.choosePrivateKeyAlias 时,如果多个 choosePrivateKeyRules 规则匹配,则最后一个匹配的规则将定义要返回的密钥别名。 使用 **添加私钥规则**来创建条目,并使用删除操作来移除它们。 ##### 12.1. 私钥别名 用于私钥的别名。 ##### 12.2. URL 模式。 用于匹配请求 URL 的 URL 模式。如果未设置或为空,则匹配所有 URL。 此处使用 java.util.regex.Pattern 的正则表达式语法。 ##### 12.3. 软件包名称 此规则适用的软件包名称。系统会验证每个应用的签名证书的哈希值,并与 Play 提供的哈希值进行比较。如果未指定任何软件包名称,则该别名将提供给所有调用 KeyChain.choosePrivateKeyAlias 或其任何重载的方法(但必须先调用 KeyChain.choosePrivateKeyAlias,即使在 Android 11 及更高版本上也是如此)。任何具有与此处指定的软件包相同的 Android UID 的应用,在调用 KeyChain.choosePrivateKeyAlias 时都将获得访问权限。 使用 **添加软件包名称** 来添加条目,并使用删除操作来移除它们。要删除一个应用,请点击应用卡片底部的 **垃圾桶** 图标。
Wi-Fi 配置可以通过系统进行配置和管理,具体方式为**Wi-Fi 配置**。根据**配置 Wi-Fi**中设置的值,用户可能对添加/修改网络具有有限的或完全没有的控制权限。
## 设备的无线电状态 #### 1. Wi-Fi 状态 控制当前Wi-Fi状态,并允许用户更改其状态。 **用户选择(默认)**:允许用户启用/禁用Wi-Fi。 **已启用**:Wi-Fi 已开启,且用户不允许关闭(Android 13 及更高版本)。 **已禁用**:Wi-Fi 已关闭,且用户不允许开启(Android 13 及更高版本)。 #### 2. 最小 Wi-Fi 安全级别 设备可连接的 Wi-Fi 网络的最低安全级别。适用于 Android 13 及以上版本的设备,以及公司拥有的设备上的完全管理设备和工作资料。 **开放网络(默认)**:设备可以连接所有类型的 Wi-Fi 网络。 **个人网络**:禁止使用开放式 Wi-Fi 网络,至少需要个人级别安全保护(例如 WPA2-PSK)。 **企业网络**:要求使用企业级EAP网络;禁止使用低于此安全级别的Wi-Fi网络。 **192位企业级网络**:要求使用192位企业级网络;安全级别最高。 #### 3. 超宽带 (UWB) 状态 控制超宽带设置的状态,以及用户是否可以将其开启或关闭。 **用户选择(默认)**:允许用户开启或关闭超宽带功能。 **禁用**:超宽带功能已禁用,用户无法通过设置进行开启或关闭(Android 14 及以上版本)。 ## 设备连接管理 #### 4. 蓝牙共享 允许蓝牙共享。 **允许:** 允许蓝牙共享(默认在完全管理的设备上启用,Android 8+)。 **不允许:** 禁用蓝牙共享(默认在工作配置中使用,Android 8+)。 #### 5. 配置 Wi-Fi 控制 Wi-Fi 配置权限。根据所选选项,用户可以完全、有限或完全控制 Wi-Fi 网络的配置。 **允许配置 Wi-Fi(默认)**:允许用户配置 Wi-Fi。 **禁止添加 Wi-Fi 配置**:禁止添加新的 Wi-Fi 配置。用户可以切换到已配置的网络(Android 13 及以上版本;完全管理且为公司拥有的工作资料)。 **禁止配置 Wi-Fi**:禁止配置 Wi-Fi 网络。对于完全管理的设备,此功能会移除用户配置的网络,仅保留通过 **Wi-Fi 配置** 配置的网络。对于公司拥有的工作资料,现有网络不受影响,但用户无法添加、删除或修改 Wi-Fi 网络。当禁用 Wi-Fi 配置且设备在启动时无法连接时,系统可能会显示“**网络应急通道**”,以便用户暂时连接并刷新策略。
#### 6. Wi-Fi 直连设置 控制配置和使用 Wi-Fi 直连设置。仅适用于运行 Android 13 及以上版本的公司拥有的设备。 **允许 (默认)**:允许用户使用 Wi-Fi 直连。 **禁止**:禁止用户使用 Wi-Fi 直连。 #### 7. 共享网络设置 控制共享网络设置。根据设置的值,用户可能被部分或完全禁止使用不同的共享网络方式。 **允许所有共享网络(默认)**:允许配置和使用所有类型的共享网络。 **禁止Wi-Fi共享**:禁止用户使用Wi-Fi共享功能(仅适用于公司拥有的Android 13及以上版本的设备)。 **禁止所有共享连接**:禁止所有类型的共享连接(包括完全管理的设备和公司拥有的工作配置)。 #### 8. Wi-Fi SSID 策略 设备可以连接的 Wi-Fi SSID 限制(这不会影响设备上可以配置的网络)。仅适用于运行 Android 13 及更高版本的公司拥有的设备。 **SSID 禁用列表(默认)**:设备无法连接到任何在其 SSID 列表中出现的 Wi-Fi 网络,但可以连接到其他网络。 **允许的SSID列表**:设备只能连接到列表中指定的SSID。SSID列表不能为空。 使用 **添加SSID** 按钮以添加条目。根据所选策略类型,此列表会被解释为允许的SSID或禁止的SSID。 在策略编辑器界面中,SSID 列表分别标记为 **允许的 Wi-Fi SSID**(用于白名单)和 **禁止的 Wi-Fi SSID**(用于黑名单)。 #### 9. Wi-Fi漫游设置 配置 Wi-Fi 漫游模式,针对每个 SSID。使用 **添加 Wi-Fi 漫游设置** 来创建条目。 每个条目包含: **SSID**:漫游设置适用的无线网络名称(必填)。 **Wi-Fi 漫游模式**:默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本,并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。 ## 网络限制:默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本,并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。 #### 10. 蓝牙已禁用。 蓝牙是否已禁用。 #### 11. 禁用蓝牙通讯录共享。 是否已禁用蓝牙通讯录共享。 #### 12. 蓝牙配置已禁用。 是否已禁用蓝牙配置。 #### 13. 已禁用网络重置。 是否已禁用重置网络设置。 #### 14. 已禁用出站信令。 是否已禁用使用NFC从应用程序传输数据的功能。 ## VPN #### 15. 始终在线 VPN 应用 指定一个始终在线 VPN 的包名,以确保来自指定管理的应用程序的数据始终通过配置的 VPN 连接。注意:此功能需要部署支持“始终在线”和按应用 VPN 功能的 VPN 客户端。
#### 16. VPN 锁定。 当 VPN 未连接时,禁止网络连接。 #### 17. VPN 配置已禁用。 是否已禁用 VPN 配置。 ## 代理和网络服务。 #### 18. 优先网络服务。 是否启用工作配置文件的优先网络服务。例如,组织可能与运营商达成协议,通过专用于企业使用的运营商网络服务(例如,5G网络的企业专享通道)发送工作数据。对完全托管的设备没有影响。 **禁用**:工作配置文件的首选网络服务已禁用。 **已启用**:工作配置文件的首选网络服务已启用。如果您使用企业网络切片,还请在 **“移动网络切片配置”**下配置 **“蜂窝”**策略,并使用其 **“首选网络”**设置将应用分配到切片。
#### 19. 推荐的全局代理设置。 一个与网络无关的全局 HTTP 代理。通常,代理应在 Wi-Fi 配置中按网络进行配置。全局代理可能适用于某些特殊配置,例如一般的内部过滤。全局代理仅为建议,某些应用程序可能会忽略它。 **已禁用** **直连代理** **自动配置代理 (PAC)** ##### 19.1. 主机 直接代理的主机。 ##### 19.2. 端口。 直接代理的端口。 ##### 19.3. PAC URI。 用于配置代理的 PAC 脚本的 URI。 ##### 19.4. 排除的主机。 对于直连代理,这里配置的是跳过代理的主机。主机名可以包含通配符,例如 **\*.example.com**。 使用 **添加排除主机** 功能以添加条目(仅适用于直连代理)。 ## Wi-Fi 配置 定义系统将应用于设备的Wi-Fi网络配置。使用**添加Wi-Fi配置**来创建条目,并使用删除操作来移除它。 #### 20. Wi-Fi 配置字段 每个配置包含: **配置名称**:必填。 **SSID**:必填。 **自动连接**:当设备在范围内时,是否自动连接到该网络。 **快速切换**:是否允许客户端尝试使用快速切换(IEEE 802.11r-2008)功能连接到该网络。 **隐藏的SSID**:是否允许广播该SSID。 **MAC地址随机化模式**:硬件或自动(Android 13及以上版本)。 ##### 20.1. 安全性 Wi-Fi 安全选项: **WEP-PSK**:WEP(预共享密钥)。 **WPA‑PSK**:WPA/WPA2/WPA3-个人模式(预共享密钥)。 **WPA‑EAP**:WPA/WPA2/WPA3-企业版(可扩展身份验证协议)。 **WPA3 192 位模式**:仅允许使用 WPA3 192 位模式的 WPA‑EAP 网络。 ##### 20.2. 密码短语(预共享密钥) 当安全模式为 **WEP-PSK** 或 **WPA-PSK** 时显示。需要输入密码。 ##### 20.3. EAP 方法(企业版) 当安全模式设置为 **WPA‑EAP** 或 **WPA3 192 位模式** 时显示。选择一种 EAP 外部方法: **EAP‑TLS** **EAP‑TTLS** **PEAP** **EAP‑SIM** **EAP‑AKA** ##### 20.4. 第二阶段身份验证 用于隧道传输外部方法(如**EAP‑TTLS**和**PEAP**)。 **MSCHAPv2** **PAP** ##### 20.5. 用户提供的EAP凭据。 启用后,系统会自动为每个用户在设备上应用EAP凭据。您可以在“**用户**”部分配置用户凭据。 ##### 20.6. 客户端证书 对于 **EAP‑TLS**,您可以分配一个用于 Wi-Fi 身份验证的客户端证书。 更多信息请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 如果已分配证书,您可以使用**打开证书**进行查看,或使用**更改证书**选择不同的证书。 或者,您可以指定**客户端证书密钥对别名**,它引用存储在 Android 密钥链中的客户端证书,并允许进行 Wi-Fi 认证。如果同时设置了**客户端证书**和**客户端证书密钥对别名**,则密钥对别名将被忽略。
##### 20.7. 身份验证 用户身份。对于隧道传输的外部协议(PEAP、EAP-TTLS),此项用于在隧道内部进行身份验证,而**匿名身份**用于隧道外部的EAP身份验证。对于非隧道传输的外部协议,此项用于EAP身份验证。 ##### 20.8. 匿名身份 仅适用于隧道协议,此项表示向外部协议呈现的用户身份。 ##### 20.9. 密码 用户密码。如果未指定,则默认为提示用户输入。 ##### 20.10 服务器 CA 证书。 用于验证主机证书链的 CA 证书列表。至少必须有一个 CA 证书匹配。如需更多信息,请参阅 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 使用 **添加服务器 CA 证书** 功能,可以添加条目,并使用删除操作移除它们。 ##### 20.11. 域名后缀匹配 服务器域名约束列表。 这些条目用于与身份验证服务器证书的替代主题名称的 DNS 名称进行后缀匹配。 # 系统 在本部分,您可以配置与系统相关的策略。 #### 1. 最低 API 级别 允许的最低 Android API 级别。 #### 2. 加密策略 是否已启用加密。 **默认**:此值将被忽略,即不需要加密。 **已启用,无需密码**:需要加密,但启动时无需密码。 **已启用密码**:需要加密,且启动时需要密码。 #### 3. 自动日期和时间 是否已在企业拥有的设备上启用自动日期、时间和时区。 **用户选择(默认)**:自动日期、时间和时区设置由用户自行选择。 **强制**:在设备上强制启用自动日期、时间和时区设置。 #### 4. 开发者设置 控制对开发者设置的访问:包括开发者选项和安全启动。 **禁用 (默认)**:禁用所有开发者设置,并阻止用户访问这些设置。 **允许**:允许所有开发者设置。用户可以访问并根据需要配置这些设置。 #### 5. 通用标准模式。 “通用标准模式”控制:安全标准,定义于《信息技术安全评估通用标准》。启用“通用标准模式”会增强设备上的某些安全功能(例如:蓝牙长期密钥的 AES-GCM 加密、某些网络证书的额外验证以及加密策略完整性检查)。“通用标准模式”仅适用于运行 Android 11 或更高版本的公司拥有的设备。警告:启用“通用标准模式”会强制执行严格的安全模型,通常仅适用于高度敏感的组织。标准设备使用可能会受到影响;仅在必要时才启用。 **已禁用(默认)**:禁用“通用标准模式”。 **启用**:启用通用标准模式。 #### 6. 内存标记扩展 (MTE) 启用/禁用设备上的内存标记扩展 (MTE)。 **用户选择(默认):**用户可以选择在设备上启用或禁用 MTE(如果设备支持)。 **强制**:MTE 已启用,用户不允许更改此设置(Android 14 及以上版本;仅在完全管理的设备和公司拥有的设备上的工作资料中支持)。 **已禁用**:MTE 已禁用,用户不允许修改此设置(Android 14 及以上版本;仅在完全管理的设备上支持)。 #### 7. 内容保护 是否启用内容保护功能(该功能会扫描潜在的恶意应用)。仅在 Android 15 及更高版本中支持。 **禁用(默认)**:内容保护已禁用,用户无法修改此设置。 **强制**:内容保护已启用,用户无法修改此设置(适用于 Android 15 及更高版本)。 **用户选择**:内容保护不由策略控制,用户可以选择。(适用于 Android 15 及更高版本) #### 8. 辅助内容 控制是否允许将辅助内容发送到特权应用,例如辅助应用(例如,Circle to Search)。辅助内容包括屏幕截图以及有关应用的的信息,例如包名。此功能在 Android 15 及更高版本中受支持。 **允许 (默认)**:允许将辅助内容发送到特权应用(Android 15 及更高版本)。 **禁止**:辅助内容无法发送到特权应用(Android 15 及更高版本)。 #### 9. 创建窗口时,禁用此功能。 是否禁用创建非应用程序窗口。 禁用此选项可防止以下系统UI显示:通知和悬浮窗、电话活动(如来电)、重要电话活动(如通话中)、系统警报、系统错误和系统覆盖层。 #### 10. 网络逃生通道 是否启用网络逃生通道。如果设备启动时无法连接到网络,逃生通道会提示用户暂时连接到网络以刷新设备策略。应用策略后,临时网络连接将被清除,设备将继续启动。这可防止在设备策略中没有可用的网络连接时,设备无法连接到网络,尤其是在设备以应用锁定模式启动或用户无法访问设备设置时。 #### 11. 默认活动。 用于处理与特定意图过滤器匹配的意图的默认活动列表。例如,此功能允许 IT 管理员选择哪个浏览器应用程序自动打开网页链接,或使用哪个启动器应用程序来响应主按钮的点击。 使用 **添加默认活动**来创建条目。在每个条目中,使用 **添加操作**和 **添加类别**来构建意图过滤器。 ##### 11.1. 接收器活动 应设为默认处理程序的活动。这应该是一个 Android 组件名称,例如 com.android.enterprise.app/.MainActivity。或者,该值可以是应用程序的包名,Android 设备策略会从中选择一个合适的活动来处理该意图。 ##### 11.2. 操作 过滤器中需要匹配的意图操作。如果过滤器中包含任何操作,则意图的操作必须是这些值之一才能匹配。如果没有包含任何操作,则忽略意图的操作。 ##### 11.3. 类别 过滤器中需要匹配的意图类别。一个意图包含它所需要的类别,所有这些类别都必须包含在过滤器中才能匹配。换句话说,向过滤器添加一个类别,除非该类别在意图中被指定,否则不会影响匹配。 #### 12. 允许的输入方法。 指定允许的输入方式。 **允许的全部方式**:未应用任何限制。所有输入方式均允许。 **仅限系统**:仅允许使用系统内置的输入方式。 **仅限系统自带及提供的**:仅允许使用系统内置和提供的输入方式。 ##### 12.1. 允许的输入方式 允许使用的输入法包名。仅当“**允许的输入方式**”设置为“**仅系统自带和已提供**”时生效。 使用 **添加输入法**功能,可以添加条目,并通过删除操作移除它们。 #### 13. 允许使用的辅助功能服务。 允许指定的辅助功能服务。 **允许使用的所有**:任何辅助功能服务都可以使用。 **仅限系统**:仅允许使用系统自带的辅助功能服务。 **仅限系统**:仅允许使用系统自带以及提供的辅助功能服务。 ##### 13.1. 允许使用的辅助功能服务。 允许使用的辅助功能服务。仅在**允许系统和提供的辅助功能**设置为**仅限系统和提供的**时生效。 使用**辅助功能服务**,可以添加条目,并使用删除操作将其移除。 #### 14. 系统更新策略 用于管理系统更新的配置。 **默认**:遵循设备的默认更新行为,通常需要用户接受系统更新。 **自动**:在有可用更新时,立即自动安装。 **窗口模式**:在设定的每日维护时段内自动安装更新。 这也会将 Play 应用配置为在维护时段内进行更新。 强烈建议在设备端使用此功能,因为这是唯一可以确保始终在后台运行的应用能够通过 Play 进行更新的方法。 **延迟**:可以将自动安装延迟,最长可达 30 天。 ##### 14.1. 维护窗口(仅限窗口模式) 当 **系统更新策略** 设置为 **窗口模式** 时,您可以使用 **从** 和 **到** 字段来定义每日维护时间。 ##### 14.2. 系统更新冻结时间段 每年重复的OTA系统更新暂停期,用于固定设备上运行的操作系统版本。为了防止设备无限期地被锁定,每个暂停期之间必须间隔至少60天。每个暂停期不得超过90天。 使用 **添加系统更新暂停期** 功能来创建条目。 #### 15. 凭证提供商的默认设置。 控制哪些应用程序在 Android 14 及更高版本上被允许作为凭证提供程序。 **不允许(默认)**:未在应用程序中指定的 credentialProviderPolicy 的应用程序,不允许作为凭证提供程序。 **不允许(默认)**:未指定 credentialProviderPolicy 的应用程序,不允许作为凭证提供程序,除非是 OEM 默认的凭证提供程序。 # 位置和地理围栏 此面板会分组显示控制设备位置报告、位置执行和地理围栏定义的 Android 策略设置。当您希望 Cerberus Enterprise 收集设备位置或检测设备进入或离开已配置区域时,请使用它。 ## 位置报告 ### 报告位置 启用设备地理位置报告。通过此设置收集的位置数据由[**仪表盘位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/93db8 "Dashboard location map")、设备概览位置历史记录和地理围栏处理使用。在未完全管理的设备上,位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。
### 定位模式 控制公司拥有的设备位置设置。 - **用户选择**:定位服务不受策略限制。 - **强制**:设备已启用定位服务。 - **已禁用**:设备上已禁用定位服务。 ### 分享位置已禁用 禁用工作应用的位置共享。 在拥有者设备上,这会影响工作资料。 在完全管理的设备上,它会禁用整个设备的位置,并覆盖设备定位模式。 ## 活动地理围栏的自动行为 活动地理围栏需要位置报告才能工作。至少有一个地理围栏处于活动状态时,Cerberus Enterprise 会自动保持相关的定位设置一致。 - **报告位置**在活动地理围栏存在时强制开启。 - **位置模式**被强制为**强制**。 - **位置共享已禁用**。 如果您尝试禁用**报告位置**,同时一个或多个地理围栏处于活动状态,Cerberus Enterprise 会显示一个确认对话框。 如果您继续,则策略中所有活动的地理围栏将被停用。 ## 地理围栏列表 一项策略最多可以包含 **10 个地理围栏**。地理围栏名称在策略内必须是唯一的。 使用 **添加地理围栏** 以创建新的条目。每个地理围栏包含以下主要字段: - **名称**:必需且唯一。 - **纬度** 和 **经度**:区域的中心。 - **半径 (米)**:必需,从 **100** 到 **10000** 米。 - **描述**: 管理员可填写的可选备注。 - **报告进入**和**报告退出**:选择需要生成的过渡事件。 - **启用**:启用或禁用地理围栏而不删除它。至少一个**进入报告**或**离开报告**必须为每个地理围栏启用。
## 地图编辑工具 每个地理围栏卡片包含该区域的地图预览。您可以从地图或数值字段编辑几何图形。 - 点击地图可在区域编辑解锁时移动地理围栏中心。 - 使用 **当前位置** 按钮将地图定位到您的当前浏览器位置。 - 使用 **重新定位地图** 按钮以恢复该地理围栏的首选视图范围。 - 使用锁定按钮以防止意外更改地理围栏的几何形状。 ## 地理围栏数据的位置 可以在 Android [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview")页面,位于位置面板的**地理围栏**选项卡中。该选项卡会显示带有过滤工具和转换列表的专用地图。 # 用户管理 ##### 添加禁用用户 是否禁用添加新用户和配置文件的功能。对于 `managementMode` 为 **设备所有者** 的设备,此字段将被忽略,用户将永远无法添加或删除用户。 ##### 修改已禁用的帐户。 是否禁用添加或删除帐户的功能。 ##### 已禁用用户凭据配置。 是否已禁用配置用户凭据。 ##### 移除已禁用的用户。 是否禁用移除其他用户的权限。 ##### 设置用户图标禁用。 是否禁用更改用户图标功能。 ##### 设置壁纸功能已禁用。 是否已禁用更改壁纸功能。 ##### 工作账户配置的身份验证 控制用户在工作账户设置期间的身份验证方式。此选项仅适用于使用受管理 Google 域名 (Google Workspace) 提供的 Android 企业环境。 在设备设置/注册过程中,此策略会影响是否需要工作账户登录,但 Google 管理控制台中的“**使用 Google 身份验证**”设置以及注册令牌类型仍然可能需要身份验证。 对于已注册的设备,此策略仅在设备由管理的 Google Play 账户管理时才生效(即,未通过 **使用 Google 身份验证注册** 进行注册时)。 有关更多详细信息和故障排除,请参阅 [**使用 Google 身份验证注册**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google "Authenticate Using Google enrollment")。 ##### 被阻止的账户类型 用户无法管理的账户类型。此选项可防止设备用户添加未经批准的账户。 使用 **添加阻止的账户类型**,以添加一种或多种账户类型。 每个条目都有一个**账户类型**字段(必填)。请输入一个字符串,例如**com.google**。使用删除操作来删除一个条目。 # 个人使用。 在[配置用于工作和个人使用的公司设备](https://enterprise.cerberusapp.com/docs/books/8efb1/page/eb163 "Company-owned devices for work and personal use")时,您可以设置一些规则,以限制用户在工作资料之外如何使用该设备进行个人用途。本部分内容仅适用于带有工作配置的公司设备。对完全受管设备或个人设备无效。
此设置取决于策略级别的 **应用程序功能** 选项(位于应用程序管理部分)。如果将“应用程序功能”设置为 **禁止**,则 API 将拒绝设置为 **允许**的跨配置文件应用程序功能。
##### 个人资料中的工作联系人 工作配置文件中的联系人是否可以在个人配置文件联系人搜索和来电显示中显示。 **允许(默认)**:允许工作配置文件中的联系人出现在个人配置文件中。 **禁用**:阻止个人应用程序访问工作配置文件中的联系人,以及查找工作联系人。 **不允许,系统应用除外**:防止大多数个人应用程序访问工作配置文件的联系人,但允许设备制造商默认的拨号、短信和联系人应用程序(Android 14 及更高版本)。 当在个人资料中配置工作联系人时,您可以选择性地定义一个 **例外应用包名** 列表。根据所选模式,这些例外项将作为白名单或黑名单来管理个人应用程序的访问权限。 # 状态报告 在本部分,您可以配置从设备中检索哪些数据。状态数据可以在 [**设备状态**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/1a5b1 "Device status")仪表板页面中查看。 ##### 应用程序报告。 是否启用应用报告(关于已安装应用的报告信息)。此选项由系统强制要求(用于与配套应用的集成),始终启用,无法禁用。
##### 包含已移除的应用程序。 是否将已移除的应用程序包含在应用程序报告中。 ##### 设备设置 是否启用设备设置报告。(关于设备安全相关设置的信息。) ##### 软件信息 是否启用软件信息报告。(关于设备软件的信息。) ##### 内存信息 是否启用内存报告。(与内存和存储度量相关的事件。) ##### 网络信息 是否启用网络信息报告。(设备网络信息。) ##### 显示信息 是否启用报告显示。 报告数据在具有工作配置的个人设备上不可用。(设备显示信息。) ##### 电源管理事件。 是否启用电源管理事件报告。 报告数据无法在配置了工作资料的个人设备上获取。 ##### 硬件状态 是否启用硬件状态报告。 个人设备上的工作配置文件无法获取报告数据。 ##### 系统属性。 是否启用系统属性报告。 ##### 通用标准模式。 是否启用通用标准模式报告。 # 其他 #### 1. 彩蛋游戏已禁用 设置中彩蛋游戏是否已禁用。 #### 2. 跳过首次使用提示。 标记以跳过首次使用的提示。企业管理员可以启用系统推荐,允许应用程序在首次启动时跳过用户教程和其他介绍性提示。 #### 3. 简短的帮助信息。 在设置界面,当管理员禁用某个功能时,会向用户显示此消息。如果消息长度超过 200 个字符,可能会被截断。 #### 4. 较长的支持信息。 用户在设备管理员设置屏幕上看到的提示信息。 #### 5. 设备所有者锁屏信息。 设备所有者信息,将在锁屏界面上显示。 #### 6. 设置操作 在设置过程中需要执行的操作。在设备注册过程中,您可以要求用户打开一个或多个用于设备设置的应用程序。 使用**添加设置操作**来创建条目,并使用删除操作来移除它们。 ##### 6.1. 启动应用 要启动的应用程序的包名。 ##### 6.2. 标题 提供面向用户的消息,用于向用户解释为什么需要启动该应用。 ##### 6.3. 描述。 提供面向用户的消息,用于向用户解释为什么需要启动该应用。 #### 7. 企业显示名称可见性。 控制是否在设备上显示企业名称(例如,在公司拥有的设备的锁屏消息中)。 **可见(默认)**:在设备上是否显示企业名称(Android 7+ 版本的受保护配置和 Android 8+ 版本的完全托管设备支持此功能)。 **隐藏**:在设备上隐藏企业名称。 # 策略执行规则。 如果设备或工作资料未能符合以下任何策略设置,Android 设备策略默认会立即阻止对该设备或工作资料的使用: - **密码要求** - **加密策略** - **禁用锁屏。** - **允许的输入方法。** - **允许使用的辅助功能服务。** 如果设备或工作资料在 10 天后仍未达到合规状态,Android 设备策略将重置设备或删除工作资料。 在本部分,您可以覆盖默认的合规性强制规则,或添加新的规则。 #### 规则 定义当特定策略无法应用于设备时,系统行为的规则列表。 使用 **添加规则** 创建新的规则。每个规则卡片都可以通过删除操作进行移除。 ##### 设置名称 要强制执行的顶级策略。例如,**应用程序**或**密码要求**。 **必需。** 该值必须与受支持的顶级策略名称匹配;否则,该字段将被标记为无效。 ##### 封锁时长(天)。 策略不符合要求的天数,超过该天数后,设备或工作资料将被锁定。如需立即锁定访问,请设置为 0。 “**锁定时长(天)**” 必须小于 “**擦除时长(天)**”。仅适用于公司拥有的设备。 允许范围:0–300。 ##### 块作用域。 指定块操作的范围。仅适用于公司拥有的设备。 默认(新规则):**工作资料**。 **工作资料**:阻止操作仅适用于工作资料中的应用。个人资料中的应用不受影响。 **整个设备**:阻止操作会应用于整个设备,包括个人资料中的应用。 ##### 擦除数据后,需间隔的天数 如果设备或工作资料由于策略不符合而需要被清除,则此项设置指定了需要等待的天数。 **擦除数据后,需间隔的天数** 必须大于 **锁定后天数**。 仅适用于公司拥有的设备。 **必需。** 默认(新规则):**1**。 允许范围:1–300。 ##### 保留出厂设置保护。 是否保留设备的出厂设置保护数据。 此设置不适用于工作配置文件。 默认(新规则):已启用。 # 策略 - Apple # Apple 策略 Apple 策略定义了 Cerberus Enterprise 通过移动设备管理 (MDM) 应用于 Apple 设备的管理设置。这些设置可在 Apple 策略编辑器中的仪表板中进行配置。 ## 开始之前 管理 Apple 设备需要配置 Apple 管理 (APNs)。如果需要,请阅读 [Apple 管理设置 (APNs)](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns "Apple Management setup (APNs)") 页面。 ## 打开 Apple 策略编辑器 在仪表板中,打开 **策略**,然后点击 **创建新的 Apple 策略**。 要编辑现有的 Apple 策略,请在策略表中点击其行。 ## 编辑器布局 Apple策略编辑器以可展开的部分组织结构呈现。您始终可以在页面的顶部编辑以下内容: - **名称**(必填) - **ID** (只读) - **描述**(可选) ## 策略部分(可选) 以下部分与 Apple Policy Editor 中目前可用的面板相对应: - **应用管理**:配置与应用相关的限制,并管理已安装的应用。 - **密码设置**:配置密码要求以及相关的规则。 - **安全**:管理如自动解锁和生物识别解锁等功能。 - **iCloud**:允许或禁止特定的 iCloud 服务(备份、钥匙串同步、私密保护等)。 - **多媒体**:允许或禁止相机以及相关功能。 - **移动网络**:控制与移动网络相关的设置(例如,应用程序的移动数据设置、eSIM、套餐变更)。 - **网络**:控制 AirDrop/AirPrint/AirPlay 以及其他连接设置。 - **账户**:限制账户修改,并(可选)配置 Google 和邮件账户。苹果策略编辑器中的许多选项都包含工具提示,用于说明要求和支持的操作系统版本。
## 保存、删除和关联的设备。 使用 **保存策略**以应用您的更改。 当没有未保存的修改时,或当许可证过期时,该按钮将被禁用。 编辑现有策略时,页面还会显示一个 **删除策略** 选项。 编辑器可以在底部显示一个 **关联设备** 列表,以便您了解当前有多少设备正在使用该策略。 ## 下一页 - 密码:配置密码要求以及相关的安全选项。 - 限制:定义允许的功能和操作系统级别的限制。 - 应用和配置:配置已安装的应用和配置文件。 # Apple 策略:密码。 “密码设置”部分用于控制设备密码的要求以及相关的安全规则(例如,最小长度和复杂度)。**密码设置** ## 选项 在 Apple 策略编辑器中,密码选项的配置方式是混合使用开关和数字字段。许多字段都包含工具提示,用于指示支持的操作系统版本和监管要求。 ### 密码选项开关。 - **下次身份验证时强制重置密码**:在用户下次进行身份验证时,强制执行密码重置。 - **强制使用包含字母和数字的密码**:要求密码至少包含一个字母和一个数字。 - **RequireComplexPasscode**:要求使用复杂的密码(不允许重复或连续的模式,且至少包含一个非字母数字字符)。 - **RequirePasscode**:要求设置密码,但对密码的长度或质量没有其他要求。请注意:设置其他密码相关选项,默认会要求设置密码。 ### 数字字段 - **失败尝试重置时间(分钟)**:在重置失败尝试计数器之前的时间(需要设置“最大失败尝试次数”)。 - **最大失败尝试次数**:设备在被擦除/锁定之前允许的最大失败尝试次数(范围:2–11)。 - **最大允许解锁无密码时间(分钟)**:设备在需要输入密码之前允许的解锁无密码时间(0 表示无此功能)。 - **最大允许空闲时间(分钟)**:设备在锁定之前允许的空闲时间(范围:0–15)。 - **最大密码有效期(天数)**:密码到期前的最大天数,超过该天数需要强制更改密码(范围:0–730)。 - **最小复杂字符数**: 密码中至少包含的“复杂”字符数量(范围:0–4)。 - **最小密码长度**: 密码的最小长度(范围:0–16)。 - **密码重复使用限制**: 限制密码历史记录的长度,以防止重复使用旧密码(范围:1–50)。 # Apple 策略:限制 “限制” 部分用于控制哪些操作系统功能允许在受管理的 Apple 设备上使用。 在 Apple 策略编辑器中,这些选项以分组面板的形式呈现,每个面板包含多个开关。许多限制仅在特定操作系统版本上受支持,并且可能需要经过配置的设备。 请在仪表板中使用工具提示查看权威要求。
## 安全 - **允许自动解锁** - **允许使用指纹解锁** - **允许修改指纹** ## iCloud - **允许访问 iCloud 地址簿** - **允许 iCloud 备份** - **允许 iCloud 书签** - **允许 iCloud 日历** - **允许 iCloud 桌面和文档** - **允许 iCloud 文档同步** - **允许使用 iCloud Freeform** - **允许 iCloud 钥匙串同步** - **允许 iCloud 邮件** - **允许 iCloud 笔记** - **允许访问 iCloud 照片图库** - **允许使用 iCloud 私密保护** - **允许使用 iCloud 提醒** ## 多媒体 - **允许使用相机** - **允许修改文件共享设置** - **允许访问USB存储设备上的文件** ## 蜂窝网络 - **允许应用修改蜂窝数据** - **允许修改蜂窝数据套餐** - **允许修改eSIM设置** - **允许eSIM出站转账** ## 网络设置 - **允许使用 AirDrop** - **允许接收 AirPlay 请求** - **允许 AirPrint** - **允许存储 AirPrint 凭据** - **允许 AirPrint iBeacon 发现** - **允许修改蓝牙设置** - **允许修改蓝牙共享设置** - **允许文件访问网络驱动器** - **允许修改互联网共享设置** ## 帐户(限制) “帐户”面板包含限制设置,以及(可选的)帐户配置。 限制开关控制用户是否可以修改系统帐户。 - **允许修改帐户** # Apple 策略:应用与配置文件。 本部分介绍如何配置 Apple 设备的受管应用和配置信息。 ## 应用管理 “**应用管理**”面板包含与应用程序相关的常规限制以及已管理的应用程序列表。 ### 应用的常规限制 - **允许应用片段** - **允许应用安装** - **允许卸载应用** - **允许自动下载应用程序** - **允许隐藏应用程序** - **允许锁定应用程序** - **允许应用内购买** ### 受管应用 使用 **添加应用** 将应用添加到策略中。每个受管应用都以卡片的形式显示。您可以展开卡片以编辑其设置,并使用删除操作移除该应用。 - **应用商店ID**:受管应用的App Store标识符。 - **Bundle ID**:应用的Bundle标识符。 - **安装行为**:控制应用程序是否必须保持安装状态,或是否允许用户自行安装/卸载。 - **授权**:许可证授权类型。 - **VPP 授权**:用于通过 App Store 进行安装的 VPP 授权类型。 ## 帐户 “**帐户**”面板允许您配置应用于管理设备的帐户,并包含一个用于限制帐户修改的开关。 ### 限制 - **允许修改账户**:当禁用此选项时,用户将无法修改诸如 Apple 账户和互联网账户等信息。 ### 添加账户 使用 **添加 Google 账户** 或 **添加邮件账户**,以便将账户信息添加到策略中。每个账户都以卡片形式显示,包含其配置字段。 ### 用户的账户凭据 无论是 Google 账户还是 Mail 账户,都提供了 **用户的账户凭据** 切换开关。 启用后,系统会为每个用户应用账户凭据。 禁用后,您需要在策略中输入账户身份。 ### Google 账户字段 - **可见名称**: 显示给用户的账户名称。 - **Google 邮箱地址**:用户的电子邮件地址。 - **姓名**:用户的全名。 ### 邮件帐户字段。 邮件帐户包含身份信息字段,以及收发服务器配置。必须填写主机名。 - **显示名称**:为邮件帐户显示的名称。 - **电子邮件地址**:用户的电子邮件地址。 - **姓名**:用户的全名。 #### 接收服务器 - **服务器类型**:邮件协议(例如 IMAP 或 POP)。 - **认证方式**:服务器的认证方法。 - **IMAP 路径前缀**:仅在服务器类型为 IMAP 时显示。 - **主机名**:必填。 - **端口**:服务器端口(1–65535)。 #### 出站服务器 - **认证方式** - **主机名**:必填。 - **端口**:服务器端口(1–65535)。 ### S/MIME 选项 对于邮件账户,您还可以配置 S/MIME 加密和签名行为。 #### 加密 - **S/MIME 加密** - **用户身份,可由管理员覆盖** - **每个消息的开关已启用** - **用户可自定义** #### 签名 - **S/MIME 签名** - **用户身份,可由管理员覆盖** - **用户可自定义**帐户和限制选项中,仪表板提供了工具提示,详细说明了先决条件和支持的操作系统版本。
# 设备状态 # 设备概览 从 **仪表盘** → **设备** 中,通过点击设备行来打开一个设备。页面标题会显示设备的 **型号**(如果可用),以及内部 **ID**。 ## 历史数据与当前已注册设备 当设备存在多个注册时,Cerberus Enterprise可以显示只读的历史记录。在这种情况下,页面会显示一个 **历史数据** 的提示,以及一个返回当前注册数据的按钮。 ## 顶级字段 顶部区域概括了设备身份、分配和管理状态。某些字段是特定于平台的,仅在 Android 或 Apple 设备上显示。 - **ID**和**型号**:只读标识符。 - **用户**:显示当前已分配的用户(如果已分配)。从用户菜单中,您可以**打开用户**或**更改用户**,或者在未设置用户时进行分配。 - **管理模式**和**所有权**:在UI中以提示信息的形式显示。 - **状态**:当前设备状态(带图标和工具提示详情)。 - **ADE 配置文件**(仅限 Apple 设备):显示已分配的自动设备注册配置文件(如果有),并允许您打开或修改它。 - **策略**:显示已分配的策略,并允许您打开或修改它,或者在未设置策略时进行分配。 - **策略合规性状态**(当已分配策略时):指示设备是否符合策略要求。 - **策略版本**(当已分配策略时):指示设备是否已应用最新的策略版本。 - **注册于**以及**上次状态报告**:记录注册时间和上次报告的状态的时间戳。 - **已取消注册于**:当设备已取消注册时显示。部分数据和面板仅在设备策略中启用了相应类别时可用。 更多信息请阅读 [**状态报告**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/74071 "Status reporting") 和 [**位置和地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/821fa "Location and geofence") 页面。
## 面板 设备编辑器以可展开的部分进行组织。根据平台和状态,您可能会看到以下一个或多个面板: - **位置地图**:一个分层面板,包含用于当前设备的**位置**历史记录,以及在 Android 设备上,一个**地理围栏**选项卡,用于地理围栏数据可用时显示地理围栏转换。 - **命令**:向设备发送命令并查看命令历史记录(平台相关)。 - **安全态势**(仅限 Android):包括安全态势、Play Integrity 验证结果以及安全风险。 - **应用报告**(仅限 Android):已安装的应用以及反馈/错误报告。 - **已管理的应用程序**(仅限 Apple):已管理的应用程序状态和安装详情。 - **不合规详情**:当设备不符合要求时显示;列出不符合策略设置的各项内容。 - **状态报告**:设备报告的附加数据,以分类和值的树状结构显示。 - **设备注册历史记录**:此设备的先前注册信息,以列表形式显示。 ## 位置面板选项卡 地图 **位置** 面板现在使用标签,以便位置历史记录和地理围栏转换保持分离。 - **位置**:显示历史记录筛选器、日期范围搜索、位置标记、精度圆以及当前设备的实时跟踪控制。 - **地理围栏** (仅限 Android):在专用地图上显示地理围栏转换历史记录,带有时间段筛选器、可选的归档地理围栏开关以及转换侧边列表。 如需了解这些选项卡的完整行为,请参阅 [**位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/5ef05 "Location map"). ## 操作 在页面底部,您可以刷新数据并执行操作,具体取决于平台、设备状态和许可证状态。 - **刷新数据**:重新加载设备记录。 - **禁用设备** / **启用设备** (仅限 Android):仅在支持的状态下可用。 - **解除设备注册**:从设备中移除管理。具体行为取决于平台和所有权(例如,Android 可能会擦除工作配置文件或恢复出厂设置)。 - **删除设备**:仅当设备已解除注册且可以删除其记录时可用。 # 命令 设备编辑器提供了**命令**面板,用于向受管设备发送远程命令。可用的命令取决于平台(Android 或 Apple)和设备状态。如果设备当前未连接到网络,则命令将在设备连接到互联网时被发送和执行。对于 Android 平台的命令,您可以设置**持续时间**参数,以确定未发送的命令的有效时长。
## Android (AMAPI) 命令 对于 Android 设备,命令面板包含一个 **持续时间**字段(值 + 单位)和一个 **命令**选择器。某些命令需要额外的参数,这些参数会在您选择命令时动态显示。 ### 常用参数 - **持续时间**:如果命令无法立即执行,则表示该命令的有效时长。 - **命令**:选择要发送到设备的执行操作。 ### 带有附加字段的命令。 - **重置密码**:需要**新密码**和**确认新密码**。 可选选项包括**立即锁定**、**要求输入**和**启动时不要求凭据**。 - **清除应用数据**:需要目标**包名**。 - **启动查找模式**:需要设置**丢失信息**,并支持可选的联系方式字段(例如:街道地址、公司名称、电话号码、电子邮件)。 - **请求设备信息**:需要选择要请求的设备信息。 - **添加 eSIM**:需要提供**激活码**和**激活状态**。 - **移除 eSIM**:需要 eSIM **ICCID**。 - **清除**:支持**清除原因消息**(显示给用户,仅限个人设备),以及可选的清除标志。 ### 命令历史记录 在发送控件下方,仪表板显示命令历史记录表格。该表格可排序,并支持分页。某些行可以展开以查看更多参数或执行详情。 #### Android 历史记录列。 - **创建日期** - **命令** - **有效期** - **状态** - **错误** - **执行日期** ## Apple (MDM) 命令 对于 Apple 设备,命令面板提供了**命令**选择器。某些命令需要额外的输入。与 Android 一样,下方会显示命令历史记录表。 ### 带有附加字段的命令。 - **安装应用程序**:需要应用程序的**Bundle ID**。 - **发送通知**:需要一个**通知消息**(最大长度为200个字符)。 #### Apple的历史记录。 - **创建日期** - **命令** - **状态** - **状态时间** ## 刷新 使用“命令”面板中的“刷新”操作,重新加载命令历史记录。 # 位置地图 本页面记录了 [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview") 中提供的设备特定定位工具。该面板包含一个 **定位** 选项卡,用于位置历史记录,以及在 Android 设备上,一个 **地理围栏** 选项卡,用于地理围栏过渡。 ## 前提条件 设备位置数据仅在设备策略中启用位置报告时显示。要启用它,请打开策略并打开 **位置和地理围栏** → **报告位置**。更多详情请参阅 [**位置和地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/821fa "Location and geofence")。在未完全管理的设备上,位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。
要了解来自仪表盘的全球多设备地图,请参阅 [**仪表盘位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/93db8 "Dashboard location map").
## 加载中,暂无数据。 - 位置数据加载时,面板会在地图上显示加载遮罩。 - 如果设备没有可用位置数据,面板会显示一条消息,说明 **没有可用位置数据**,并提醒在分配的策略中启用位置报告。 - 如果已启用日期筛选器但没有匹配的样本,则面板会显示**所选日期范围内无可用数据**。 ## 定位标签 打开 **定位** 标签以检查单个设备的历史记录。可用的筛选器包括最后已知位置、最近历史范围、自定义日期范围和实时跟踪。 - **上次**:显示上次已知位置。 - **今天**,**过去 7 天**,和 **过去 30 天**:显示所选时间段内的记录位置。 - **搜索**: 允许您选择自定义日期范围。 - **实时**: 启动或停止当前设备的实时跟踪。 ## 标记详情 当你点击位置标记时,将打开信息窗口,其中包含: - 位置记录的时间戳。 - 报告的**精度**(单位:米)。 - 报告的**速度**,当设备提供时。 - 报告的**标题**或方位角,当设备提供时。 ## 精度范围 当信息窗口打开时,会显示一个围绕标记的精度范围。该圆的半径对应于报告的精度(以米为单位)。关闭信息窗口会隐藏该圆。 ## 实时跟踪 在设备历史记录视图中,选择 **实时** 跟踪过滤器将为该设备发起一个实时跟踪请求。Cerberus Enterprise 在开始请求前会请求确认。 - 实时跟踪时长可达**15分钟**。 - 设备在实时追踪时会显示通知。 - 实时跟踪处于活动状态时,面板会持续刷新最新位置,且实时指示器保持可见。 - 再次选择实时过滤器,您可以提前结束实时跟踪,而无需等待超时。 ## 地理围栏选项卡 在 Android 设备上,第二个选项卡显示来自分配策略中定义的地理围栏生成的地理围栏事件。当设备存在地理围栏数据时,此选项卡可用。 - 地图显示当前的地理围栏区域以及记录的转换点。 - 右侧的转换列表,您可以查看**进入**和**退出**事件。 - 可用的筛选器有 **今天**,**过去 7 天**,**过去 30 天**,以及自定义日期范围搜索。 - **包含存档**也显示与过时地理围栏定义相关的转换,这些定义不再存在于当前策略中。 ## 地理围栏转换详情 选择一个转换会打开其在地图上的详情并突出显示相应的列表项。当可用时,Cerberus Enterprise还会显示该转换的设备坐标和报告的精度。 # 仪表盘位置地图 仪表盘位置地图提供设备最新已知位置的全球视图,这些设备正在报告位置数据。从 **仪表盘** 中打开,以在同一 Google 地图上查看多个设备。 ## 前提条件 设备仅在分配的策略中启用位置报告时才会在地图上显示。要启用它,请打开策略并启用 **位置和地理围栏** → **报告位置**。 更多详情请参阅 [**位置和地理围栏**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/821fa "Location and geofence")。在未完全管理的设备上,位置数据可能仍然取决于Cerberus Enterprise应用拥有所需的定位权限以及设备上已启用定位服务。
要了解设备编辑器中可用的按设备历史记录和地理围栏转换,请参阅[**位置地图**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/5ef05 "Location map").
## 加载中,暂无数据。 - 位置数据加载时,地图会显示加载遮罩。 - 如果当前没有设备有可用位置数据,页面会显示**没有可用位置数据**提示。 ## 标记与聚类 带有可用位置数据的每个设备都显示为标记。当许多设备靠得很近时,标记将自动聚类以保持地图的可读性。 正在实时追踪的设备会以动画标记突出显示,方便您在地图上辨认。 ## 地图控件 当地图包含设备位置时,Cerberus Enterprise会在地图右上角显示操作按钮。 - **当前位置**:使用浏览器定位将地图移动到您当前位置,并适应报告的精度区域。 - **重新居中地图**:重新将地图缩放至当前显示的设备标记区域。 - **实时跟踪**药丸:当一个或多个设备正在实时跟踪时显示,并显示当前活动设备数量。 - **停止所有实时跟踪**:实时跟踪药丸内的图标按钮可在确认后停止对所有正在跟踪的设备的实时跟踪。 ## 标记详情 点击标记会打开信息窗口,其中包含: - 设备 **型号**和内部 **ID**。 - 最后报告位置的时间戳 - 报告的**精度**,单位为米。 - 报告的**速度**,当可用时。 - 报告的**标题**或方位角,当可用时。 信息窗口中的设备标识符是一个链接,打开相应的 [**设备概览**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/37bc2 "Device overview") 页面。 ## 信息窗口操作 每个信息窗口也包含所选设备的动作按钮。 - **设备链接**:信息窗口顶部的设备名称和 ID 打开相应的设备概览页面。 - **缩放**:将地图定位到所选设备,并使其报告的精度范围更紧密地围绕该设备。 - **实时**:开始对该设备进行实时跟踪。如果实时跟踪已启用,则相同的按钮将在确认后停止跟踪。 - **实时跟踪已启用**:当显示此状态行时,表示选定的设备正在进行实时跟踪。 ## 精度范围 选中标记后,地图会显示一个围绕位置的精度范围。该范围的半径与报告的精度相符。 ## 实时追踪行为 从信息窗口开始实时追踪会向该设备发送实时追踪请求。Cerberus Enterprise 会在会话期间自动刷新地图。 - 每个实时追踪会话最多可运行**15分钟**。 - 设备在实时追踪时会显示通知。 - 实时追踪可以在所选设备的详细信息窗口或地图上的**停止所有实时追踪**按钮上停止。 # 私有应用 从仪表盘的此部分,您可以上传自己的私有 Android 应用程序,或创建 Web 应用程序,以便在您的设备上进行分发。 您只需要提供应用程序的标题和 APK 文件。私有应用程序将自动获得您组织的批准,通常在 10 分钟内即可准备好进行分发。您每天最多可以上传 15 个私有应用程序。请注意,Web 应用程序也计入此总数。 首次发布私有应用时,您需要提供一个电子邮件地址,以接收来自 Google Play 控制台有关您的应用和 Google Play 开发者帐户的通知。此外,受管的 Play 会代表您的组织自动创建一个 Play 开发者帐户,您无需为此帐户支付注册费。 从 iframe 中发布的私有应用: - 这些应用不受与其他应用相同的检查约束。因此,它们无法转换为公开应用。 - 这些应用无法转移。您无法将应用的拥有权转移到其他 Google Play 开发者帐户。 如需更多详情,请访问 [Google Play 管理控制台帮助文档 ](https://support.google.com/googleplay/work/answer/9146439) # 证书管理 仪表板包含一个 **证书** 区域,用于导入、查看和删除证书。点击证书行将打开证书编辑器。 ## 证书列表 证书以可排序、分页的表格形式显示。列表包含客户端证书和证书颁发机构 (CA)。 ### 筛选条件 在页面顶部,您可以使用芯片列表来启用筛选条件。 某些筛选条件是互斥的。 - **全部**:显示所有证书。 - **客户端**:仅显示客户端证书。 - **证书颁发机构 (CA)**:仅显示 CA 证书。 - **搜索**:显示一个文本框(标签为 **证书名称或文件名**),用于通过证书名称或导入的文件名进行搜索。 - **无用户**:显示未与任何用户关联的客户端证书。 ### 表格列 - **名称** - **类型** - **过期** - **用户**(仅适用于客户端证书) - **导入的文件名** - **导入日期** ### 操作 - **打开证书**:点击某一行以打开证书编辑器。 - **删除证书**:仅当证书未与用户/策略关联且未被设备使用时,此操作才可用。当许可证过期时,此操作也可以被禁用。 - **多行选择**:您可以启用多行选择功能,以便一次性删除多个证书。 只能选择可删除的证书。 - **刷新**:重新加载证书列表。 ## 导入证书 要导入证书,请点击 **导入证书**,然后选择一个或多个文件。支持的格式显示在导入按钮的提示信息中。 ### 客户端 支持的格式:Base64 编码的 PKCS#12 文件(.p12 / .pfx)。 客户端证书用于在企业网络中识别用户或设备。客户端证书可以与特定用户关联。 每个客户端证书可以选择性地分配给特定的用户:这允许在许多设备上部署相同的 Wi-Fi EAP 配置。您可以在策略的 [网络配置](https://enterprise.cerberusapp.com/docs/books/8efb1/page/2a79e "Networking") 部分,使用 **用户的 EAP 凭据** 选项来实现。或者,您也可以从“**用户**”页面为用户分配证书。
### 证书颁发机构 (CA) 支持的格式:Base64 编码的 X.509 格式 (.crt / .pem / .cer / .der)。 CA 证书用于标识证书颁发机构,并指示设备信任由该 CA 颁发的任何证书。仪表板验证导入的 X.509 证书是否为 CA 证书。 ## 证书编辑器 打开证书时,编辑器会显示其主要字段以及一个只读的 **证书信息** 面板。 ### 主要字段 - **名称**(必填) - **ID** (只读) - **类型** (只读) - **过期时间** (只读) - **导入日期** (只读) - **导入的文件名** (只读) ### 用户关联 (客户端证书) 对于 **客户端** 证书,编辑器会显示一个 **用户** 字段。 如果已为用户分配,则菜单允许您 **打开用户**,**更改用户**,或 **取消用户关联**。 如果未分配用户,您可以使用用户操作按钮进行分配。 ### 删除证书 当证书当前与用户关联或用于策略时,删除操作将被禁用。当许可证过期时,删除操作也可能被禁用。 # 设备 # 设备 在仪表盘的 **设备** 部分(*仪表盘* → *设备*),您可以查看您账户中已注册的所有设备。 在此页面,您可以筛选设备列表,打开设备记录,并执行诸如禁用或解除注册等设备操作。 ## 筛选条件 在页面的顶部,您可以使用芯片列表启用一个或多个筛选器。 选中的芯片代表当前生效的筛选器。 ### 可用的筛选器。 - **全部**:显示所有设备。 - **Android**:仅显示 Android 设备。 - **Apple**:仅显示 Apple 设备。 - **公司资产**:仅显示公司拥有的设备。 - **个人设备**:仅显示个人拥有的设备。 - **配置所有者**:仅显示 Android 工作配置文件的设备。 - **设备所有者**:仅显示 Android 完全管理的设备。 - **已启用**:仅显示处于活动状态的设备。 - **合规**:仅显示符合策略的设备。 - **不**合规:显示未符合策略的设备。 - **安全**:显示安全状态正常的设备。 - **未安全**:显示安全状态不正常的设备。 - **策略未更新**:显示那些有待更新策略的设备。 - **状态未更新**:显示那些在过去 72 小时内未报告状态的设备。 - **应用程序错误**:显示已发送应用程序错误反馈的设备。 - **搜索**:启用文本搜索功能。 ### 搜索 启用“**搜索**”过滤器后,会显示一个文本框,其标签为**ID、型号或用户**。 当您停止输入时,列表将自动更新。 ## 设备列表 设备以可排序、分页的表格形式显示。点击某一行将打开设备编辑器。 ### 列 - **ID**:设备内部标识符。 - **MDM**:平台(Android 或 Apple)。 - **型号**:设备型号。 - **所有权**:公司所有或个人所有(带有详细提示)。 - **管理模式**:管理模式(附带详细说明)。 - **策略**:当前已应用的策略。 - **用户**:关联用户(根据可用性,显示姓名、电子邮件或 ID)。 - **上次状态报告**:最近状态报告的时间戳(如果可用)。 - **状态**:设备状态(带工具提示的详细信息)。 - **合规性**:合规状态指示器。 - **安全**:安全态势(附详细提示信息)。 - **应用错误**:应用错误指示器。 ### 刷新和分页 - 使用刷新操作重新加载列表。 - 表格已分页显示(每页显示10/25/50个项目)。 ## 设备操作 每个设备行可以提供相应的操作,具体取决于平台和设备状态。当您的许可证过期或终止时,某些操作将被禁用。 ### 每个设备的可用操作。 - **禁用设备** / **启用设备**:仅适用于受支持状态的 Android 设备。 - **取消设备注册**:移除设备管理。在 Android 上,这可能会擦除工作资料或恢复出厂设置(取决于设备所有权);在 Apple 上,这会删除策略设置。 - **删除设备**:仅适用于已取消注册的设备(从系统中移除设备记录)。 ### 多行选择 您可以在下方的操作栏中启用多行选择。 启用后,您可以选择多行,并对所选设备执行批量操作(禁用、启用、取消注册或删除)。 ## Apple Business Manager 同步 如果已配置 Apple Management,并且存在自动设备注册令牌,则页面可能会显示“**从 ABM 同步**”操作,用于从 Apple Business Manager 导入设备。 ## 注册设备 点击 **注册设备** 以打开设备注册页面,并开始注册新的设备。 # 用户 # 用户 在仪表盘的 **用户** 部分(*仪表盘* → *用户*),您可以看到已配置到您帐户中的所有用户。 在此页面,您可以搜索用户,打开用户编辑器,创建新用户,以及删除当前未与任何设备关联的用户。 ## 搜索 在页面顶部,有一个搜索字段,标签为 **搜索**,提示语为 **姓名、用户名或电子邮件**。列表会在您停止输入后自动更新。 ## 用户列表 用户以可排序、分页的表格形式显示。点击某一行将打开用户编辑器。 ### 列 - **ID**:内部用户标识符。 - **名**:用户姓名。 - **姓氏**:用户姓氏。 - **用户名**:用户名(通常是用于登录的用户名)。 - **邮箱**:用户邮箱地址。 - **设备**:当前与用户关联的设备数量。 - **Wi-Fi 证书**:指示是否已为用户分配 Wi-Fi 证书。 ### 刷新和分页 - 刷新操作会重新加载列表。 - 表格已分页显示(每页显示10/25/50个项目)。 ## 用户操作 ### 创建新用户 使用 **创建新用户** 打开用户创建对话框。 当您的许可证过期时,此操作将被禁用。 ### 从 Google Workspace 同步 如果您的帐户支持从 Google Workspace 同步,页面将显示**从 Google Workspace 同步**。当您开始同步时,会显示进度指示器,直到同步完成。 ### 删除用户 您只能在用户未与任何设备关联时删除用户(**设备** 列的值必须为 0)。当您的许可证过期或终止时,删除操作将被禁用。 ### 多行选择和批量删除 在表格下方的操作栏中,您可以启用多行选择。 在此模式下,您可以选择多个用户并批量删除。 - **资格**:只有那些**设备**数量为 0 的用户才能被选定进行删除。 - **选择全部**:勾选**全部**复选框将选中当前页面上所有符合条件的行。 - **批量删除**:**删除选中的用户**功能在未选择任何行或您的许可证已过期或终止时将不可用。 ## Wi‑Fi 证书和 EAP。 "**Wi-Fi 证书**" 列显示是否已为用户分配了证书。用户证书通常用于 Wi-Fi EAP(例如 EAP-TLS)配置。有关证书分配和管理,请参阅 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management")。 # 用户编辑器 用户编辑器可在“*仪表盘*”→“*用户*”中通过点击用户行访问。它允许您编辑用户详细信息,配置用户的 Wi-Fi EAP 凭据,并查看用户的相关设备。 ## 用户详情 顶部的区域包含用户的主要信息。某些字段是必填项,如果缺少或无效,编辑器会显示验证错误。 - **ID**:只读标识符。 - **名**:必填。 - **姓氏**:必填。 - **用户名**:必填。 - **电子邮件**:必填,且必须是有效的电子邮件地址。 - **电话号码**:可选。 - **Google 帐户**:可选,如果提供,必须是有效的电子邮件地址。 ## Google 身份验证 默认策略 在启用了 Google 身份验证的 Google Workspace 环境中,编辑器可以显示 **Google 身份验证默认策略**。 这项策略适用于该用户通过 Google 身份验证注册的设备。 - **修改策略**:打开策略选择对话框。 - **打开策略**:在策略编辑器中打开所选策略(当已设置策略时)。 - 选择新的默认策略后,您必须保存用户才能应用更改。编辑器会显示一个通知,提醒您保存。 ## Wi-Fi EAP 凭据 **Wi-Fi EAP 凭据** 部分用于配置为用户安装的凭据,这些凭据会在用户的设备上自动安装,前提是其分配的策略包含需要 Wi-Fi EAP 配置。Wi-Fi EAP 配置是 Android 策略 [网络配置](https://enterprise.cerberusapp.com/docs/books/8efb1/page/2a79e "Networking") 的一部分。 ### 客户端证书 您可以选择为用户分配客户端证书。当已分配证书时,它将显示在 **客户端证书** 字段中,并且会提供一个菜单以执行操作。如果没有分配证书,该字段将显示 **未分配证书**,您可以分配一个。 - **分配证书**:打开证书选择对话框。 - **打开证书**:打开证书编辑器。 - **更改证书**:选择不同的客户端证书。 - **取消关联证书**:从用户处移除证书。系统也会从与该用户关联的所有设备中移除该证书。 有关证书导入和管理的详细信息,请参阅[**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management")。 ### 身份、匿名身份和密码 - **身份**:用户的身份信息。对于隧道传输的外部协议(PEAP、EAP-TTLS),此信息用于隧道内部。 - **匿名身份**:用于隧道传输的外部协议(如PEAP、EAP-TTLS),此信息用于隧道内部的身份验证。如果未指定,则默认为空字符串。 - **密码**:用于需要密码的EAP方法的用户的密码。如果未指定,设备可以提示用户。一个显示/隐藏操作可以切换密码的可见性。 ## 关联设备 **关联设备** 部分显示当前与用户关联的设备列表。 如果用户有一个或多个关联设备,则无法删除该用户。 ## 保存并删除 - **保存用户**:仅在表单有效、存在未保存的更改且许可证处于激活状态时可用。保存时会显示进度指示器。 - **删除用户**:当用户与设备关联或许可证已过期/终止时,此功能不可用。如果允许删除,将显示确认对话框。如果用户已分配到注册令牌,则对话框会警告,使用这些令牌注册的设备将不再分配给任何用户。 ## 未保存的更改警告 如果您有未保存的更改,并且尝试离开当前页面,仪表盘会询问您是否要放弃这些更改。 # 账户 # 设置 在“**设置**”页面(*仪表盘* → *设置*),您可以查看帐户和许可信息,并执行管理账单、平台配置(Android 管理和 Apple 管理)以及可选的目录/令牌集成等操作。 ## 许可证横幅(即将到期/已过期) 当您的许可证即将**到期**、**已过期**或**被终止**时,页面顶部会显示一个醒目的横幅。根据您的订阅状态,它会提供“**管理账单**”操作(Stripe 客户门户)或“**购买许可证**”操作。当许可证过期时,账户功能仅限于设备解除注册。在宽限期结束后,账户可能会被取消,并且设备可能会自动解除注册。
## 账户信息 “**账户信息**” 卡片显示只读字段: - **用户名** - **企业名称** - **企业ID** ### 修改密码 如果您未通过 Google 或 Apple 登录,卡片上还会显示一个 **修改密码** 选项。 点击该选项会打开一个对话框,以继续密码修改流程。 ## 许可证信息 《**许可证信息**》卡片显示当前的许可证状态以及您的设备数量限制。它还提供了联系销售、管理账单或购买许可证的选项。 - **许可证状态**:显示为**激活**或**过期**(带有图标和提示信息)。 - **免费试用**:当账户处于试用状态时显示。 - **已授权设备**:许可证允许的最大设备数量。 如果*需要更多设备?*,点击此链接以联系支持人员。 - **下一次自动续订时间**:仅显示已激活且自动续订的订阅。否则,卡片会显示**到期日期**。 ## Android 设备管理 "**Android 管理**卡片显示您企业的 Android 管理状态。如果尚未配置 Android 管理,则卡片会提供一个**配置 Android 管理**操作,该操作会打开配置流程。 ### 已配置状态 配置 Android 管理后,卡片可以显示以下内容: - **管理ID** - **已与 Google Workspace 同步**(当目录同步处于活动状态时,会显示徽章) - **受管理 Google Play 帐户设置**(链接至 Google Play 管理设置,如适用)。 - **Google 管理控制台**(链接,如适用)。 - **与 Google Workspace 同步**(当目录同步未配置时显示;打开页面底部的说明面板)。 ## 苹果设备管理 “**苹果设备管理**” 卡片显示您企业的苹果设备管理 (MDM) 状态。如果尚未配置苹果设备管理,该卡片会提供一个“**配置苹果管理**” 按钮,点击该按钮将打开配置流程。 ### 已配置状态 配置 Apple 设备管理后,卡片可以显示以下内容: - **Apple 账号** - **Apple 推送证书到期**:显示到期日期和图标。如果证书即将到期或已过期,则图标可点击,以打开续订说明。 - **ABM 令牌到期**:显示 Apple Business Manager 令牌的到期日期(当需要采取操作时,可点击该图标)。 - **VPP 令牌**:显示组织名称和 Apple 批量购买计划令牌的到期日期(当需要采取操作时,可点击该图标)。 - **Apple Business Manager 门户**:当存在 ABM 令牌时,会显示此链接。 - **与 Apple Business Manager 同步** 以及 **与 Apple 批量购买计划同步**:当缺少令牌时显示。Apple 管理需要配置 APNs 证书。如果需要,请参阅 [**Apple 管理设置 (APNs)**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns "Apple Management setup (APNs)")。
## 偏好设置与隐私 “**偏好设置与隐私**”卡片包含营销偏好设置开关,以及指向服务条款和隐私政策的链接。点击**保存偏好设置**以应用更改(保存过程中会显示进度指示器)。 ## 发送反馈 当为帐户启用了订阅时,页面可以显示一个**发送反馈**卡片,其中包含指向以下内容的链接:**提交功能请求**以及外部评论平台。 ## 内联设置和续订说明 在页面底部,仪表板可以根据当前状态显示可展开的说明面板(例如,当证书/令牌缺失或即将过期时)。 ### 续订 Apple 推送证书 (APNs)。 当 APNs 证书即将过期或已过期时,页面会显示一个面板,其中包含下载 CSR 文件的步骤,以及在 Apple 门户网站上续订证书的步骤,以及上传新证书到 Cerberus Enterprise 的步骤。 ### 与 Apple Business Manager (ABM) 同步 当 ABM 令牌缺失、已过期或即将过期时,页面会显示一个面板,其中包含步骤,指导您从 Apple Business Manager 下载令牌,并将其上传到 Cerberus Enterprise。 ### 与 Apple 批量购买计划 (VPP) 同步 当 VPP 令牌缺失、已过期或即将过期时,页面会显示一个面板,其中包含从 Apple Business Manager 下载内容令牌并将其上传到 Cerberus Enterprise 的步骤。 ### 同步到 Google Workspace。 当未配置 Google Workspace 目录同步时,页面会显示一个面板,该面板会解释集成方式并提供一个授权按钮。它还列出了所需的 Google OAuth 权限范围:**https://www.googleapis.com/auth/admin.directory.user.readonly**。关于Android初始设置,请参阅 [**Android 管理设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android "Android Management setup")。
# 多租户 # 多租户概览 该 **多租户** 部分适用于通过单个登录管理多个客户企业的 MSP 和企业级管理员帐户。本章介绍企业范围模型、企业切换、托管企业管理和子帐户。要请求多租户帐户,请联系 [**enterprise@cerberusapp.com**](mailto:enterprise@cerberusapp.com).
## 核心概念 - **主多租户帐户**:可以访问全局多租户工作区的首要管理帐户。 - **子帐户**:由主帐户创建的委派管理帐户,可选择企业分配。 - **已选企业环境**:仪表板中当前打开的、用于日常运营的企业环境。 - **委派**:企业所有者授予的权限,允许管理账户进入和管理该企业。 ## 导航模式 如果未选择企业环境,侧边导航会显示多租户区域,例如 **企业** 和,对于主账号,**子账号**。进入企业后,仪表盘会切换到标准单企业导航(Home、用户、设备、注册、策略等)。 ## 所有权和委托 每个受管企业都有所有者。所有者始终可以访问该企业。非所有者管理员帐户只能在授权委托时访问企业。所有者和委托状态会直接显示在企业卡片上,以便在进入企业前明确访问范围。
## 许可证和账单操作 多租户视图显示许可证状态、设备限制和企业账单操作。根据企业订阅状态和您的权限,卡片可能显示**管理账单**或**购买许可证**。 对于由多租户帐户创建的企业,许可由多租户用户管理。主帐户始终可以管理许可,而子帐户只有在主帐户启用**可以管理许可证** 为该子帐户时才能管理许可。 ## 本章的页面 - [**已管理的企业**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/6c834 "Managed enterprises"):搜索、筛选、卡片详情和企业创建。 - [**企业切换**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/04025 "Enterprise switching"):顶级切换器行为和范围转换。 - [**子账户**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/82aa4 "Sub-accounts"):委派操作员、分配和凭据管理。 # 管理的企业 该 **企业**页面(*仪表盘* → *企业*)是用于管理企业访问的控制中心。它列出了多租户帐户可见的所有企业,并允许您过滤、检查所有权/委派、进入企业上下文以及创建新的管理企业(仅限主帐户)。 ## 搜索和筛选 - **搜索企业**:按企业名称或企业ID筛选。 - **委派**:**全部**、**已委派**,或**未委派**。 - **许可状态**: **全部**,**有效**,**即将到期**,**已过期**,或**已终止**。 ## 企业卡 每张企业卡显示关键管理元数据: - **许可证状态**,带有图标徽章和上下文工具提示。 - **已授权设备** (企业设备限制). - **下一次计划续期**或**到期日期**,取决于订阅状态。 - **委派**状态(**所有者**,**已授权**,或**未授权**)。 - **所有者**的显示名称和用户名。 ### 最近选的企业 您最近访问的企业会被钉到 **最近选的企业** 部分,以加快重复上下文切换的速度。 ## 企业操作 - **输入企业**:在委派/所有权允许访问时,打开选定的企业环境。 - **管理账单**:在可用且允许的情况下,打开企业账单管理。 - **购买许可**:在账单未激活时,打开企业采购流程。 ### 谁可以管理许可证 对于由多租户帐户创建的企业,许可证管理由多租户用户控制。主帐户始终可以管理这些企业的账单和许可证操作。 子帐户仅能在主帐户授予“**可管理许可证**”权限的情况下管理账单和许可证操作,具体设置请在[**子帐户**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/82aa4 "Sub-accounts")页面查看。 ## 创建管理的企业 主要的多租户帐户可以从底部操作区域扩展 **创建管理的企业**. - **企业名称** 是必需的。 - **创建企业管理员用户**控制所有权模式。 - 启用时,**管理员用户名**(电子邮件格式)和 **管理员姓名**是必需的。 - 创建前,确认对话框会总结操作,并在适用时警告临时凭据将通过电子邮件发送给新的管理员用户。 ### 所有权模式 - **企业级管理员已启用**:新的管理员用户拥有企业并可以将管理委派给您的多租户帐户。 - **企业级管理员已禁用**:企业由您的多租户帐户直接拥有。 ### 企业配额 如果账户达到配置的企业配额,则创建被阻止,表单会显示支持联系方式消息,其中包含当前的企业数量和最大企业数量。当企业配额达到上限时,您需要增加配额上限后才能创建更多管理的企业。
# 企业迁移 顶栏中的企业切换器允许多租户用户在不注销的情况下在委派的企业之间切换。当至少可以选择一个企业上下文时可用。 ## 切换行为 - 触发器显示当前企业名称(或企业 ID,如果企业名称不可用)。 - 菜单列出了委派/可访问的企业,并标记了当前企业为已选。 - 切换期间,切换操作将被临时禁用,以防止并发范围更改。 ## 退出企业 切换器菜单包含 **退出企业**,这会清除当前的企业上下文并返回到全局多租户工作区。 ## 上下文重置规则 切换企业或退出企业会重置仪表板范围。企业特定的页面和数据会为新选定的上下文刷新,菜单可见性会根据是否选择了企业而调整。使用切换器进行快速的操作上下文更改,但在执行策略更新或设备命令等敏感操作之前,请务必确认所选企业的名称。
# 子账户 **子账户** 页面 (*仪表盘* → *子账户*) 仅为主多租户帐户可用。它允许您创建委派管理员用户,分配托管企业,控制账单权限,并维护子账户凭据。 ## 子帐户列表 每个子帐户卡片显示身份和管理控件: - **名称** 和 **用户名/邮箱**。 - **管理企业** 多选分配。 - **可管理证书** 权限开关。 - **重置密码**和**删除**操作。 ## 管理企业分配 企业分配可通过**管理的企业**多选字段进行编辑。 在更改后关闭选择器时,仪表板会要求确认后再保存更新。 ## 许可证管理权限 可以管理许可证 **许可证** 开关控制次级帐户是否可以访问企业计费/许可证管理操作。 对于通过多租户帐户创建的企业,主帐户始终具有许可证管理权限。次级帐户仅当主帐户启用此开关时才获得许可证管理权限。 ## 密码重置 **重置密码**会生成一个新的临时密码,并在确认后通过电子邮件发送给子帐户。 ## 删除子帐户 删除子帐户需要确认,并且会永久移除该帐户的委派访问权限。 ## 创建子帐户 使用底部的操作面板 **创建子帐户** 以添加新的委派管理员。 - **邮箱**:必需且已验证为电子邮件格式。 - **姓名**:必需的显示名称。 - **可管理许可证**:可选的初始计费权限。 - 创建前,确认对话框会提示会将临时密码电子邮件发送至提供的地址。 # 洞察 以下是一些文章,深入探讨移动设备管理 (MDM) 如何助力您的业务: ## [什么是亭台模式?商务版 Android 和 Apple 设备锁定指南](https://enterprise.cerberusapp.com/zh/insights/what-is-kiosk-mode-lock-down-android-apple-business) 亭台模式可以将普通手机和平板电脑变成专注的商务工具。Cerberus Enterprise 帮助组织将设备锁定到一个应用或少量批准的应用,用于零售 POS、客户签入和车队导航等用例,同时使这些专用设备更容易大规模地进行安全、支持和管理。 ## [如何选择合适的移动设备管理解决方案:面向小型企业的 7 个要点清单](https://enterprise.cerberusapp.com/zh/insights/choose-right-mdm-solution-small-business-checklist) 在购买过程中较晚选择移动设备管理 (MDM) 解决方案更容易,只要比较保持实用性。此清单可帮助小型企业根据在实际部署中通常最重要的七个标准来评估供应商:安全性、Android 和 Apple 支持、精简团队的易用性、可扩展性、隐私边界、总拥有成本以及日常可维护性。 ## [为 K-12 学校打造安全且专注的数字课堂:移动设备管理指南](https://enterprise.cerberusapp.com/zh/insights/k12-schools-mdm-safe-focused-digital-classroom) 学校管理的设备在专注于学习时效果最佳。Cerberus Enterprise 帮助 K-12 机构通过管理应用、模拟亭限制、标准化的共享或借用设备设置以及减少丢失、设备漂移和课堂中断的远程恢复操作来保持学生设备的专注。 ## [装备您的现场技术人员:MDM如何提升现场效率与安全](https://enterprise.cerberusapp.com/zh/insights/field-technicians-mdm-onsite-efficiency-security) 现场技术人员在现场工作时,依赖移动设备来获取日程安排、服务记录、技术参考、客户历史和工作更新。Cerberus Enterprise 通过托管应用、标准化的设备型号、远程支持命令以及可提高调度协调能力并加强现场安全的定位感知可见性,帮助保持这些设备随时可用。 ## [地图之外:通过移动设备管理实现更智能的机队管理和驾驶员安全](https://enterprise.cerberusapp.com/zh/insights/mdm-smarter-fleet-management-driver-safety) 机队运营依赖移动设备进行导航、调度、消息传递、日志记录和现场执行。Cerberus Enterprise 通过托管应用、设备亭和专用设备控制、安全通信策略、远程故障排除以及可减少停机时间并支持更安全驾驶操作的基于位置的监督,帮助这些设备专注于批准的工作流程。 ## [地理围栏、实时追踪和定位地图如何提升企业运营](https://enterprise.cerberusapp.com/zh/insights/geofences-live-tracking-location-maps) Cerberus Enterprise 的定位感知功能助力企业从简单的设备可见性转向更实用的运营控制。 定期位置报告、实时追踪、地理围栏过渡和交互式地图可为物流、外勤服务、医疗保健、零售、建筑等需要了解工作发生的地点和设备进入或离开重要区域的分布式团队提供支持。 ## [多租户模式如何帮助 MSP 扩展 MDM 服务并创造新的收入来源](https://enterprise.cerberusapp.com/zh/insights/multi-tenancy-mdm-msp-growth) 多租户模式允许 MSP、转售商和多元公司组织通过单个 Cerberus Enterprise 账户管理多个企业,同时保持每个环境的独立性。 这种模式降低了运营摩擦,提高了服务可扩展性,并通过子账户和客户明确控制的权限管理支持委托访问。 它还为希望将软件许可与入职、支持、合规性和托管移动服务相结合的提供商创造了更强大的业务机会。 ## [通过移动设备管理解决方案提升企业运营效率:](https://enterprise.cerberusapp.com/zh/insights/mdm-operativity) 移动设备管理集中控制公司设备,简化注册、配置和维护。自动化配置和批量操作减少了手动 IT 工作,并在所有设备上确保了策略的一致性。加密、合规性监控和远程擦除等安全功能保护公司数据。总的来说,移动设备管理提高了生产力,同时降低了支持成本和运营复杂性。 ## [Android 企业管理中的高级安全保障](https://enterprise.cerberusapp.com/zh/insights/android-enterprise-security) Android 企业版使用工作资料来隔离设备上企业应用和数据与个人内容。这种容器化创建了独立的加密环境,由 IT 管理员独立管理。安全策略可以控制企业数据的共享,而不会影响个人应用。这种架构保护业务数据,即使个人应用程序受到威胁。 ## [苹果 iPhone MDM 及自动化注册](https://enterprise.cerberusapp.com/zh/insights/apple-iphone-mdm) Apple 的 MDM 框架可实现企业环境中 iPhone 的集中管理。结合 Apple Business Manager,设备在首次激活时可自动注册和配置。管理员可以静默部署和配置企业应用,强制执行安全设置,并监控合规性。这种自动化可确保设备配置的一致性,并减少设置错误。 ## [了解移动设备管理](https://enterprise.cerberusapp.com/zh/insights/understanding-mdm) 移动设备管理提供一个集中式平台,用于监控、保护和控制访问企业系统的移动设备。核心功能包括实施安全策略、管理应用程序以及远程锁定或擦除丢失的设备。MDM 帮助保护企业数据,同时保持设备合规性。它使任何规模的组织都可以安全地管理不断增长的移动工作队伍。 ## [企业设备部署模式](https://enterprise.cerberusapp.com/zh/insights/device-deployment-models) 企业可以采用多种设备所有权模式,例如BYOD、CYOD、COPE、COBO和COSU。每种模式在成本、用户灵活性和安全控制方面都有不同的权衡。BYOD优先考虑用户便利性,而COBO和COSU最大程度地提升企业控制和安全。选择合适的模式取决于法规要求、员工需求和IT管理能力。 ## [MDM 与 EMM 与 UEM](https://enterprise.cerberusapp.com/zh/insights/mdm-emm-uem-difference) MDM 侧重于通过策略执行、配置控制和远程管理来管理和保护移动设备。EMM 在此基础上扩展到包括应用程序和内容管理,而 UEM 试图管理所有终端,包括笔记本电脑和台式机。对于许多中小型企业而言,完整的 EMM 或 UEM 套件会增加不必要的复杂性。实际上,强大的 MDM 功能通常能够满足大部分移动设备管理需求。 ## [移动设备管理与个人手机和员工隐私](https://enterprise.cerberusapp.com/zh/insights/mdm-personal-phone-privacy) 现代 MDM 系统使用容器化技术,将工作数据与个人数据在员工自有设备上隔离。雇主只能管理和监控工作环境,包括企业应用和设备合规信息。照片、消息和浏览历史等个人数据对公司仍然无法访问。这种技术隔离既能实现安全的 BYOD 计划,又能保护员工隐私。 ## [移动设备管理 (MDM) 的投资回报率及商业价值](https://enterprise.cerberusapp.com/zh/insights/mdm-roi-business-value) 应将移动设备管理 (MDM) 视为一项战略投资,而非简单的安全支出。通过减少设备丢失、降低 IT 支持成本以及提高运营效率,它可以产生财务回报。自动化管理还能提高员工生产力并减少停机时间。此外,更强的安全性降低了数据泄露的风险和财务影响。 ## [符合 HIPAA 要求的设备管理](https://enterprise.cerberusapp.com/zh/insights/hipaa-compliant-device-management) 医疗机构必须根据 HIPAA 安全要求保护电子病患数据。MDM 可帮助执行加密、身份验证控制、安全数据传输和详细的审计日志。它还可以实现远程擦除和集中策略执行,以访问医疗系统的设备。这些控制措施降低了合规风险,同时在医疗环境中支持移动工作流程。 ## [零售运营与安全管理的 MDM](https://enterprise.cerberusapp.com/zh/insights/retail-operations-mdm-security) 零售企业依赖移动设备进行 POS 系统、库存管理和店内运营。MDM 确保这些设备保持安全、更新并符合 PCI-DSS 等标准。集中管理减少了停机时间,并简化了跨多个地点的设备部署。结果是提高了运营效率,并降低了与支付相关的安全事件的风险。