网络设置
在本部分,您可以配置与网络相关的策略。
Wi-Fi 配置可以通过系统进行配置和管理,具体方式为Wi-Fi 配置。根据配置 Wi-Fi中设置的值,用户可能对添加/修改网络具有有限的或完全没有的控制权限。
设备的无线电状态
1. Wi-Fi 状态
控制当前Wi-Fi状态,并允许用户更改其状态。
用户选择(默认):允许用户启用/禁用Wi-Fi。
已启用:Wi-Fi 已开启,且用户不允许关闭(Android 13 及更高版本)。
已禁用:Wi-Fi 已关闭,且用户不允许开启(Android 13 及更高版本)。
2. 最小 Wi-Fi 安全级别
设备可连接的 Wi-Fi 网络的最低安全级别。适用于 Android 13 及以上版本的设备,以及公司拥有的设备上的完全管理设备和工作资料。
开放网络(默认):设备可以连接所有类型的 Wi-Fi 网络。
个人网络:禁止使用开放式 Wi-Fi 网络,至少需要个人级别安全保护(例如 WPA2-PSK)。
企业网络:要求使用企业级EAP网络;禁止使用低于此安全级别的Wi-Fi网络。
192位企业级网络:要求使用192位企业级网络;安全级别最高。
3. 超宽带 (UWB) 状态
控制超宽带设置的状态,以及用户是否可以将其开启或关闭。
用户选择(默认):允许用户开启或关闭超宽带功能。
禁用:超宽带功能已禁用,用户无法通过设置进行开启或关闭(Android 14 及以上版本)。
设备连接管理
4. 蓝牙共享
允许蓝牙共享。
允许: 允许蓝牙共享(默认在完全管理的设备上启用,Android 8+)。
不允许: 禁用蓝牙共享(默认在工作配置中使用,Android 8+)。
5. 配置 Wi-Fi
控制 Wi-Fi 配置权限。根据所选选项,用户可以完全、有限或完全控制 Wi-Fi 网络的配置。
允许配置 Wi-Fi(默认):允许用户配置 Wi-Fi。
禁止添加 Wi-Fi 配置:禁止添加新的 Wi-Fi 配置。用户可以切换到已配置的网络(Android 13 及以上版本;完全管理且为公司拥有的工作资料)。
禁止配置 Wi-Fi:禁止配置 Wi-Fi 网络。对于完全管理的设备,此功能会移除用户配置的网络,仅保留通过 Wi-Fi 配置 配置的网络。对于公司拥有的工作资料,现有网络不受影响,但用户无法添加、删除或修改 Wi-Fi 网络。
当禁用 Wi-Fi 配置且设备在启动时无法连接时,系统可能会显示“网络应急通道”,以便用户暂时连接并刷新策略。
6. Wi-Fi 直连设置
控制配置和使用 Wi-Fi 直连设置。仅适用于运行 Android 13 及以上版本的公司拥有的设备。
允许 (默认):允许用户使用 Wi-Fi 直连。
禁止:禁止用户使用 Wi-Fi 直连。
7. 共享网络设置
控制共享网络设置。根据设置的值,用户可能被部分或完全禁止使用不同的共享网络方式。
允许所有共享网络(默认):允许配置和使用所有类型的共享网络。
禁止Wi-Fi共享:禁止用户使用Wi-Fi共享功能(仅适用于公司拥有的Android 13及以上版本的设备)。
禁止所有共享连接:禁止所有类型的共享连接(包括完全管理的设备和公司拥有的工作配置)。
8. Wi-Fi SSID 策略
设备可以连接的 Wi-Fi SSID 限制(这不会影响设备上可以配置的网络)。仅适用于运行 Android 13 及更高版本的公司拥有的设备。
SSID 禁用列表(默认):设备无法连接到任何在其 SSID 列表中出现的 Wi-Fi 网络,但可以连接到其他网络。
允许的SSID列表:设备只能连接到列表中指定的SSID。SSID列表不能为空。
使用 添加SSID 按钮以添加条目。根据所选策略类型,此列表会被解释为允许的SSID或禁止的SSID。
在策略编辑器界面中,SSID 列表分别标记为 允许的 Wi-Fi SSID(用于白名单)和 禁止的 Wi-Fi SSID(用于黑名单)。
9. Wi-Fi漫游设置
配置 Wi-Fi 漫游模式,针对每个 SSID。使用 添加 Wi-Fi 漫游设置 来创建条目。
每个条目包含:
SSID:漫游设置适用的无线网络名称(必填)。
Wi-Fi 漫游模式:默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本,并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。
网络限制:默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本,并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。
10. 蓝牙已禁用。
蓝牙是否已禁用。
11. 禁用蓝牙通讯录共享。
是否已禁用蓝牙通讯录共享。
12. 蓝牙配置已禁用。
是否已禁用蓝牙配置。
13. 已禁用网络重置。
是否已禁用重置网络设置。
14. 已禁用出站信令。
是否已禁用使用NFC从应用程序传输数据的功能。
VPN
15. 始终在线 VPN 应用
指定一个始终在线 VPN 的包名,以确保来自指定管理的应用程序的数据始终通过配置的 VPN 连接。
注意:此功能需要部署支持“始终在线”和按应用 VPN 功能的 VPN 客户端。
16. VPN 锁定。
当 VPN 未连接时,禁止网络连接。
17. VPN 配置已禁用。
是否已禁用 VPN 配置。
代理和网络服务。
18. 优先网络服务。
是否启用工作配置文件的优先网络服务。例如,组织可能与运营商达成协议,通过专用于企业使用的运营商网络服务(例如,5G网络的企业专享通道)发送工作数据。对完全托管的设备没有影响。
禁用:工作配置文件的首选网络服务已禁用。
已启用:工作配置文件的首选网络服务已启用。
如果您使用企业网络切片,还请在 “移动网络切片配置”下配置 “蜂窝”策略,并使用其 “首选网络”设置将应用分配到切片。
19. 推荐的全局代理设置。
一个与网络无关的全局 HTTP 代理。通常,代理应在 Wi-Fi 配置中按网络进行配置。全局代理可能适用于某些特殊配置,例如一般的内部过滤。全局代理仅为建议,某些应用程序可能会忽略它。
已禁用
直连代理
自动配置代理 (PAC)
19.1. 主机
直接代理的主机。
19.2. 端口。
直接代理的端口。
19.3. PAC URI。
用于配置代理的 PAC 脚本的 URI。
19.4. 排除的主机。
对于直连代理,这里配置的是跳过代理的主机。主机名可以包含通配符,例如 *.example.com。
使用 添加排除主机 功能以添加条目(仅适用于直连代理)。
Wi-Fi 配置
定义系统将应用于设备的Wi-Fi网络配置。使用添加Wi-Fi配置来创建条目,并使用删除操作来移除它。
20. Wi-Fi 配置字段
每个配置包含:
配置名称:必填。
SSID:必填。
自动连接:当设备在范围内时,是否自动连接到该网络。
快速切换:是否允许客户端尝试使用快速切换(IEEE 802.11r-2008)功能连接到该网络。
MAC地址随机化模式:硬件或自动(Android 13及以上版本)。
20.1. 安全性
Wi-Fi 安全选项:
WPA‑PSK:WPA/WPA2/WPA3-个人模式(预共享密钥)。
WPA‑EAP:WPA/WPA2/WPA3-企业版(可扩展身份验证协议)。
WPA3 192 位模式:仅允许使用 WPA3 192 位模式的 WPA‑EAP 网络。
20.2. 密码短语(预共享密钥)
当安全模式为 WEP-PSK 或 WPA-PSK 时显示。需要输入密码。
20.3. EAP 方法(企业版)
当安全模式设置为 WPA‑EAP 或 WPA3 192 位模式 时显示。选择一种 EAP 外部方法:
EAP‑TLS
EAP‑TTLS
PEAP
EAP‑SIM
EAP‑AKA
20.4. 第二阶段身份验证
用于隧道传输外部方法(如EAP‑TTLS和PEAP)。
MSCHAPv2
PAP
20.5. 用户提供的EAP凭据。
启用后,系统会自动为每个用户在设备上应用EAP凭据。您可以在“用户”部分配置用户凭据。
20.6. 客户端证书
对于 EAP‑TLS,您可以分配一个用于 Wi-Fi 身份验证的客户端证书。 更多信息请阅读 证书管理 页面。
如果已分配证书,您可以使用打开证书进行查看,或使用更改证书选择不同的证书。
或者,您可以指定客户端证书密钥对别名,它引用存储在 Android 密钥链中的客户端证书,并允许进行 Wi-Fi 认证。
如果同时设置了客户端证书和客户端证书密钥对别名,则密钥对别名将被忽略。
20.7. 身份验证
用户身份。对于隧道传输的外部协议(PEAP、EAP-TTLS),此项用于在隧道内部进行身份验证,而匿名身份用于隧道外部的EAP身份验证。对于非隧道传输的外部协议,此项用于EAP身份验证。
20.8. 匿名身份
仅适用于隧道协议,此项表示向外部协议呈现的用户身份。
20.9. 密码
用户密码。如果未指定,则默认为提示用户输入。
20.10 服务器 CA 证书。
用于验证主机证书链的 CA 证书列表。至少必须有一个 CA 证书匹配。如需更多信息,请参阅 证书管理 页面。
使用 添加服务器 CA 证书 功能,可以添加条目,并使用删除操作移除它们。
20.11. 域名后缀匹配
服务器域名约束列表。 这些条目用于与身份验证服务器证书的替代主题名称的 DNS 名称进行后缀匹配。