Wi-Fi 配置可以通过系统进行配置和管理,具体方式为**Wi-Fi 配置**。根据**配置 Wi-Fi**中设置的值,用户可能对添加/修改网络具有有限的或完全没有的控制权限。
## 设备的无线电状态 #### 1. Wi-Fi 状态 控制当前Wi-Fi状态,并允许用户更改其状态。 **用户选择(默认)**:允许用户启用/禁用Wi-Fi。 **已启用**:Wi-Fi 已开启,且用户不允许关闭(Android 13 及更高版本)。 **已禁用**:Wi-Fi 已关闭,且用户不允许开启(Android 13 及更高版本)。 #### 2. 最小 Wi-Fi 安全级别 设备可连接的 Wi-Fi 网络的最低安全级别。适用于 Android 13 及以上版本的设备,以及公司拥有的设备上的完全管理设备和工作资料。 **开放网络(默认)**:设备可以连接所有类型的 Wi-Fi 网络。 **个人网络**:禁止使用开放式 Wi-Fi 网络,至少需要个人级别安全保护(例如 WPA2-PSK)。 **企业网络**:要求使用企业级EAP网络;禁止使用低于此安全级别的Wi-Fi网络。 **192位企业级网络**:要求使用192位企业级网络;安全级别最高。 #### 3. 超宽带 (UWB) 状态 控制超宽带设置的状态,以及用户是否可以将其开启或关闭。 **用户选择(默认)**:允许用户开启或关闭超宽带功能。 **禁用**:超宽带功能已禁用,用户无法通过设置进行开启或关闭(Android 14 及以上版本)。 ## 设备连接管理 #### 4. 蓝牙共享 允许蓝牙共享。 **允许:** 允许蓝牙共享(默认在完全管理的设备上启用,Android 8+)。 **不允许:** 禁用蓝牙共享(默认在工作配置中使用,Android 8+)。 #### 5. 配置 Wi-Fi 控制 Wi-Fi 配置权限。根据所选选项,用户可以完全、有限或完全控制 Wi-Fi 网络的配置。 **允许配置 Wi-Fi(默认)**:允许用户配置 Wi-Fi。 **禁止添加 Wi-Fi 配置**:禁止添加新的 Wi-Fi 配置。用户可以切换到已配置的网络(Android 13 及以上版本;完全管理且为公司拥有的工作资料)。 **禁止配置 Wi-Fi**:禁止配置 Wi-Fi 网络。对于完全管理的设备,此功能会移除用户配置的网络,仅保留通过 **Wi-Fi 配置** 配置的网络。对于公司拥有的工作资料,现有网络不受影响,但用户无法添加、删除或修改 Wi-Fi 网络。当禁用 Wi-Fi 配置且设备在启动时无法连接时,系统可能会显示“**网络应急通道**”,以便用户暂时连接并刷新策略。
#### 6. Wi-Fi 直连设置 控制配置和使用 Wi-Fi 直连设置。仅适用于运行 Android 13 及以上版本的公司拥有的设备。 **允许 (默认)**:允许用户使用 Wi-Fi 直连。 **禁止**:禁止用户使用 Wi-Fi 直连。 #### 7. 共享网络设置 控制共享网络设置。根据设置的值,用户可能被部分或完全禁止使用不同的共享网络方式。 **允许所有共享网络(默认)**:允许配置和使用所有类型的共享网络。 **禁止Wi-Fi共享**:禁止用户使用Wi-Fi共享功能(仅适用于公司拥有的Android 13及以上版本的设备)。 **禁止所有共享连接**:禁止所有类型的共享连接(包括完全管理的设备和公司拥有的工作配置)。 #### 8. Wi-Fi SSID 策略 设备可以连接的 Wi-Fi SSID 限制(这不会影响设备上可以配置的网络)。仅适用于运行 Android 13 及更高版本的公司拥有的设备。 **SSID 禁用列表(默认)**:设备无法连接到任何在其 SSID 列表中出现的 Wi-Fi 网络,但可以连接到其他网络。 **允许的SSID列表**:设备只能连接到列表中指定的SSID。SSID列表不能为空。 使用 **添加SSID** 按钮以添加条目。根据所选策略类型,此列表会被解释为允许的SSID或禁止的SSID。 在策略编辑器界面中,SSID 列表分别标记为 **允许的 Wi-Fi SSID**(用于白名单)和 **禁止的 Wi-Fi SSID**(用于黑名单)。 #### 9. Wi-Fi漫游设置 配置 Wi-Fi 漫游模式,针对每个 SSID。使用 **添加 Wi-Fi 漫游设置** 来创建条目。 每个条目包含: **SSID**:漫游设置适用的无线网络名称(必填)。 **Wi-Fi 漫游模式**:默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本,并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。 ## 网络限制:默认 / 禁用 / 激进。禁用和激进模式需要 Android 15 或更高版本,并且仅在完全管理的设备和公司拥有的设备上的工作资料中受支持。 #### 10. 蓝牙已禁用。 蓝牙是否已禁用。 #### 11. 禁用蓝牙通讯录共享。 是否已禁用蓝牙通讯录共享。 #### 12. 蓝牙配置已禁用。 是否已禁用蓝牙配置。 #### 13. 已禁用网络重置。 是否已禁用重置网络设置。 #### 14. 已禁用出站信令。 是否已禁用使用NFC从应用程序传输数据的功能。 ## VPN #### 15. 始终在线 VPN 应用 指定一个始终在线 VPN 的包名,以确保来自指定管理的应用程序的数据始终通过配置的 VPN 连接。注意:此功能需要部署支持“始终在线”和按应用 VPN 功能的 VPN 客户端。
#### 16. VPN 锁定。 当 VPN 未连接时,禁止网络连接。 #### 17. VPN 配置已禁用。 是否已禁用 VPN 配置。 ## 代理和网络服务。 #### 18. 优先网络服务。 是否启用工作配置文件的优先网络服务。例如,组织可能与运营商达成协议,通过专用于企业使用的运营商网络服务(例如,5G网络的企业专享通道)发送工作数据。对完全托管的设备没有影响。 **禁用**:工作配置文件的首选网络服务已禁用。 **已启用**:工作配置文件的首选网络服务已启用。如果您使用企业网络切片,还请在 **“移动网络切片配置”**下配置 **“蜂窝”**策略,并使用其 **“首选网络”**设置将应用分配到切片。
#### 19. 推荐的全局代理设置。 一个与网络无关的全局 HTTP 代理。通常,代理应在 Wi-Fi 配置中按网络进行配置。全局代理可能适用于某些特殊配置,例如一般的内部过滤。全局代理仅为建议,某些应用程序可能会忽略它。 **已禁用** **直连代理** **自动配置代理 (PAC)** ##### 19.1. 主机 直接代理的主机。 ##### 19.2. 端口。 直接代理的端口。 ##### 19.3. PAC URI。 用于配置代理的 PAC 脚本的 URI。 ##### 19.4. 排除的主机。 对于直连代理,这里配置的是跳过代理的主机。主机名可以包含通配符,例如 **\*.example.com**。 使用 **添加排除主机** 功能以添加条目(仅适用于直连代理)。 ## Wi-Fi 配置 定义系统将应用于设备的Wi-Fi网络配置。使用**添加Wi-Fi配置**来创建条目,并使用删除操作来移除它。 #### 20. Wi-Fi 配置字段 每个配置包含: **配置名称**:必填。 **SSID**:必填。 **自动连接**:当设备在范围内时,是否自动连接到该网络。 **快速切换**:是否允许客户端尝试使用快速切换(IEEE 802.11r-2008)功能连接到该网络。 **隐藏的SSID**:是否允许广播该SSID。 **MAC地址随机化模式**:硬件或自动(Android 13及以上版本)。 ##### 20.1. 安全性 Wi-Fi 安全选项: **WEP-PSK**:WEP(预共享密钥)。 **WPA‑PSK**:WPA/WPA2/WPA3-个人模式(预共享密钥)。 **WPA‑EAP**:WPA/WPA2/WPA3-企业版(可扩展身份验证协议)。 **WPA3 192 位模式**:仅允许使用 WPA3 192 位模式的 WPA‑EAP 网络。 ##### 20.2. 密码短语(预共享密钥) 当安全模式为 **WEP-PSK** 或 **WPA-PSK** 时显示。需要输入密码。 ##### 20.3. EAP 方法(企业版) 当安全模式设置为 **WPA‑EAP** 或 **WPA3 192 位模式** 时显示。选择一种 EAP 外部方法: **EAP‑TLS** **EAP‑TTLS** **PEAP** **EAP‑SIM** **EAP‑AKA** ##### 20.4. 第二阶段身份验证 用于隧道传输外部方法(如**EAP‑TTLS**和**PEAP**)。 **MSCHAPv2** **PAP** ##### 20.5. 用户提供的EAP凭据。 启用后,系统会自动为每个用户在设备上应用EAP凭据。您可以在“**用户**”部分配置用户凭据。 ##### 20.6. 客户端证书 对于 **EAP‑TLS**,您可以分配一个用于 Wi-Fi 身份验证的客户端证书。 更多信息请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 如果已分配证书,您可以使用**打开证书**进行查看,或使用**更改证书**选择不同的证书。 或者,您可以指定**客户端证书密钥对别名**,它引用存储在 Android 密钥链中的客户端证书,并允许进行 Wi-Fi 认证。如果同时设置了**客户端证书**和**客户端证书密钥对别名**,则密钥对别名将被忽略。
##### 20.7. 身份验证 用户身份。对于隧道传输的外部协议(PEAP、EAP-TTLS),此项用于在隧道内部进行身份验证,而**匿名身份**用于隧道外部的EAP身份验证。对于非隧道传输的外部协议,此项用于EAP身份验证。 ##### 20.8. 匿名身份 仅适用于隧道协议,此项表示向外部协议呈现的用户身份。 ##### 20.9. 密码 用户密码。如果未指定,则默认为提示用户输入。 ##### 20.10 服务器 CA 证书。 用于验证主机证书链的 CA 证书列表。至少必须有一个 CA 证书匹配。如需更多信息,请参阅 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 使用 **添加服务器 CA 证书** 功能,可以添加条目,并使用删除操作移除它们。 ##### 20.11. 域名后缀匹配 服务器域名约束列表。 这些条目用于与身份验证服务器证书的替代主题名称的 DNS 名称进行后缀匹配。