应用管理

在本部分，您可以设置与应用程序可用性、安装、更新以及权限管理相关的策略。 已配置的设备会自动创建“受管 Google Play 帐户”。   1. 应用商店模式 此模式控制用户在 Google Play 商店中可用的应用程序，以及从策略中删除应用程序时设备上的行为。 白名单（默认） : 只有策略中包含的应用程序才能使用，策略中未包含的应用程序将自动从设备上卸载。Google Play 商店只会显示可用的应用程序。 黑名单 ：所有应用均可使用，不允许在设备上安装的应用，应在应用策略中明确设置为 禁止 安装。Google Play 商店将显示所有应用，但会排除被禁止的应用。   2. 不可信应用策略 设备上强制执行的不可信应用策略（来自未知来源的应用）。此选项控制 Android 系统设置，该设置决定用户是否可以从 Play 商店外部安装应用程序（即旁加载）。 禁止（默认） ：禁止在整个设备上安装不受信任的应用程序。 仅限个人资料 ：对于具有工作配置的设备，仅允许在设备的个人资料中安装不受信任的应用程序。 允许 ：允许在整个设备上安装不受信任的应用程序。   3. Google Play 保护功能 是否强制执行 Google Play 保护应用验证。 强制执行（默认） ：强制启用应用验证。 用户选择 ：允许用户选择是否启用应用验证。   4. 默认权限策略 授予应用运行时权限请求的策略。 提示（默认） ：提示用户授予权限。 授予 ：自动授予权限。 拒绝 ：自动拒绝权限。   5. 应用功能 控制是否允许完全管理的设备或工作资料中的应用公开其功能。需要 Android 16 或更高版本。 允许 (默认) ：完全管理的设备或工作资料中的应用可以公开其功能。 禁止 ：在完全管理的设备或工作资料中的应用，不允许公开其功能。   6. 安装被禁用的应用程序 是否禁止用户安装应用程序。   7. 禁止卸载应用程序。 用户是否被禁止卸载应用程序。   8. 权限策略 为所有应用程序设置明确的权限、授权或拒绝。这些设置会覆盖 默认权限策略 的设置。 使用 添加权限策略 来创建条目，并使用删除操作来移除它们。 每个条目包含： Android 权限/组 ：Android 权限或组（必需），例如 android.permission.READ_CALENDAR 或 android.permission_group.CALENDAR 。 策略 ：允许 / 拒绝 / 提示（使用与 默认权限策略 相同的策略选项）。   9. 应用程序 必须包含在策略中的应用程序列表。此列表的内容的行为取决于“ 应用商店模式 ”的设置。 如果“ 应用商店模式 ”设置为“ 白名单 ”，则只有策略中包含的应用程序可用，并且任何不在策略中的应用程序都将自动从设备上卸载。 如果 应用商店模式 设置为 黑名单 ，则所有应用都可用，并且任何不应在设备上的应用都应在应用程序策略中明确标记为 禁止 。 要添加新的应用程序，请单击“ 添加应用程序 ”按钮（或“ 添加应用程序 ”图标），然后在应用卡中，从 Play 商店选择应用程序，然后单击“ 选择 ”按钮。 所有在您所在国家/地区的 Google Play 商店上发布的应用程序默认情况下都可供选择。要选择您自己的私有或 Web 应用程序，您必须首先将其上传到系统中。更多信息请阅读 私有应用程序 页面。 每个应用程序都可以配置自己的设置，这些设置以卡片的形式直观地呈现。 9.1. 安装类型 用于安装应用程序的安装类型。 可用： 该应用可供安装。 已预装 ：该应用已自动安装，用户可以将其卸载。 强制安装 ：该应用已自动安装，用户无法将其卸载。 已阻止 ：该应用已被阻止，无法安装。如果该应用是在之前的策略下安装的，则将被卸载。 首次设置时需要 ：该应用将自动安装，用户无法手动卸载，并且在安装完成之前，设置将无法继续。 Kiosk模式： 该应用将自动以 Kiosk 模式安装：它被设置为首选主界面，并且已在锁屏任务模式下被白名单。设备设置将在应用安装完成之前无法继续。安装完成后，用户将无法卸载该应用。您只能为每个策略设置一个应用的 安装类型 。当该设置存在于策略中时，状态栏将自动禁用。有关更多信息，请阅读专门的 Kiosk 模式 页面。 9.2. 安装约束条件 定义应用的安装限制。当选择了多个限制条件时，所有条件必须满足才能安装该应用。 此选项仅在 安装类型 为 预装 或 强制安装 时显示。 无流量网络 ：仅在设备连接到无流量网络时（例如 Wi-Fi）安装应用程序。 充电中 ：仅当设备正在充电时安装应用。 空闲状态 ：仅当设备处于空闲状态时安装应用。 9.3. 自动更新模式 控制应用的自动更新模式。 默认设置： 应用将以较低优先级自动更新，以最大限度地减少对用户的干扰。当满足以下所有条件时，应用将进行更新：(1) 设备未处于活跃使用状态；(2) 设备已连接到非计费网络；(3) 设备正在充电。设备会在开发者发布新版本后的 24 小时内收到通知，之后，当上述条件再次满足时，应用将进行更新。 延迟 ：应用在过期后最多 90 天内不会自动更新。90 天后，最新版本将以较低优先级自动安装（请参阅 默认 自动更新模式）。应用更新后，除非再次过期，否则在接下来的 90 天内不会再次自动更新。用户可以随时从 Google Play 商店手动更新应用。 高优先级 ：应用会尽快更新。不适用任何限制。设备在可用时会立即收到新更新的通知。 9.4. 最低版本代码 设备上运行的最低应用版本。如果已设置，设备会尝试将应用更新到至少此版本代码。如果应用未更新到最新版本，设备将显示 不合规详情 ，其中 不合规原因 设置为 APP_NOT_UPDATED 。应用必须已发布到 Google Play，且版本代码大于或等于此值。每个策略最多可指定 20 个应用的最低版本代码。 9.5. 授权范围 来自 Android 设备策略授予应用的权限范围。您可以授予其他应用选择性的 Android 特殊权限： 证书安装 ：授予访问证书安装和管理的权限。 受管配置 ：授予访问受管配置管理权限。 阻止卸载 ：授予访问阻止卸载的权限。 权限 ：授予访问权限策略和权限授予状态的权限。 应用包访问权限 ：授予访问应用包访问状态的权限。 系统应用 ：授予启用系统应用的权限。 9.6. 首选网络 用于此应用程序的首选网络服务。如果已设置，当可用时，该应用程序将使用指定的企业网络切片进行连接。 此设置必须与 5G 网络切片配置 部分中配置的网络切片相匹配，该部分位于 蜂窝 面板。 9.7. 默认权限策略 这是适用于所有应用请求的默认策略。如果已指定，则会覆盖应用级别设定的 默认权限策略 ，该策略适用于所有应用。它不会覆盖应用于所有应用的 权限策略 。 提示（默认） ：提示用户授予权限。 授予 ：自动授予权限。 拒绝 ：自动拒绝权限。 9.8. 连接工作和个人应用。 是否允许应用在设备的办公和个人模式之间进行通信，需获得用户许可（Android 11 及以上版本）。 不允许 (默认) ：阻止应用在不同用户配置文件之间进行通信。 允许 ：在获得用户许可后，允许应用在不同用户配置文件之间进行通信。 9.9. 始终开启的 VPN 锁定例外设置 指定当 VPN 未连接且 设备锁定 处于活动状态时，应用程序是否允许进行网络连接。仅支持运行 Android 10 及更高版本的设备。 强制 (默认) ：该应用会遵循始终开启的 VPN 锁定设置。 排除 ：该应用不受始终开启的 VPN 锁定设置的影响。 9.10. 工作资料小部件 指定是否允许安装在工作资料中的应用将小部件添加到主屏幕。 允许： 该应用可以向主屏幕添加小部件。 不允许 ：该应用无法向主屏幕添加小部件。 9.11. 用户控制设置 指定是否允许用户对特定应用进行控制。用户控制包括强制停止和清除应用数据等操作（Android 11 及以上版本）。如果启用了 extensionConfig ，则无论此设置如何，都将禁用用户控制。对于专用的应用，可以使用 允许 选项来允许用户控制。 未指定 ：使用应用的默认行为来确定是否允许用户控制。 允许 ：该应用允许用户控制。 不允许 ：该应用禁止用户控制。 9.12. 已禁用。 是否已禁用应用。禁用后，应用数据仍会保留。 9.13. 允许凭据提供程序。 是否允许该应用在 Android 14 及更高版本中充当凭据提供程序。 9.14. 受管配置 要配置应用的受管设置，请点击“ 启用受管配置 ”按钮。如果应用已设置了受管配置，您可以使用“ 受管配置 ”按钮进行修改，或使用“ 删除配置 ”按钮进行删除。 受管配置 选项仅适用于支持此功能的应用程序。 9.15. 权限策略 为应用程序设置显式授权或拒绝权限。这些值会覆盖 默认权限策略 和 权限策略 ，这些策略适用于所有应用程序。 使用 添加权限策略 ，可以为应用程序添加一个或多个权限规则，并通过删除操作移除它们。 9.16. 跟踪ID 设备可以访问的应用程序内部测试版本ID列表。如果选择了多个版本ID，设备将获取所有可访问版本中最新版本。如果未选择任何版本ID，设备仅能访问应用程序的正式版本。 版本ID 选项仅适用于已为您的组织配置至少一个版本ID的应用程序。有关如何将您的组织添加到特定应用程序的内部测试版本的详细信息，请阅读 此处 .   10. 默认应用程序设置 为支持的类型设置默认应用。如果已为至少一种类型设置了默认应用，则用户将无法在该配置中使用更改默认应用的选项。 每个 默认应用类型 只能设置一个默认应用。默认应用列表中不得包含重复项。 10.1. 默认应用类型 选择要配置的应用类别（例如：浏览器、拨号、短信、钱包或助手）。可用性取决于 Android 版本和管理模式。 10.2. 默认应用程序范围。 选择默认应用适用的范围（完全管理、工作资料或个人资料）。 只能选择与所选类型兼容的范围。 如果所选的任何范围都不适用于设备的管理模式，则设备将报告不符合要求的详细信息。 10.3. 默认应用程序 可设置为所选类型的默认应用的列表。已安装且符合条件的第一个应用将被设置为默认应用。 如果权限范围包括 完全管理 或 工作资料 ，则每个应用也必须在 应用 列表中，并且 安装类型 不能设置为 禁止 。   11. 私钥选择 允许在设备上显示UI，以便用户选择私钥别名，如果 选择私钥规则 中没有匹配的规则。 对于Android P及以下版本的设备，设置此项可能会使企业密钥面临安全风险。   12. 选择私钥规则 控制应用对私钥的访问权限。该规则确定，如果存在，Android 设备策略将授予哪个私钥给指定的应用程序。访问权限的授予方式有两种：一是当应用程序调用 KeyChain.choosePrivateKeyAlias（或其任何重载函数）以请求给定 URL 的私钥别名时；二是对于非 URL 相关的规则（即，如果 urlPattern 未设置、为空字符串或设置为 ".*"），在 Android 11 及以上版本中，可以直接授予访问权限，从而允许应用程序调用 KeyChain.getPrivateKey，而无需先调用 KeyChain.choosePrivateKeyAlias。当应用程序调用 KeyChain.choosePrivateKeyAlias 时，如果多个 choosePrivateKeyRules 规则匹配，则最后一个匹配的规则将定义要返回的密钥别名。 使用 添加私钥规则 来创建条目，并使用删除操作来移除它们。 12.1. 私钥别名 用于私钥的别名。 12.2. URL 模式。 用于匹配请求 URL 的 URL 模式。如果未设置或为空，则匹配所有 URL。 此处使用 java.util.regex.Pattern 的正则表达式语法。 12.3. 软件包名称 此规则适用的软件包名称。系统会验证每个应用的签名证书的哈希值，并与 Play 提供的哈希值进行比较。如果未指定任何软件包名称，则该别名将提供给所有调用 KeyChain.choosePrivateKeyAlias 或其任何重载的方法（但必须先调用 KeyChain.choosePrivateKeyAlias，即使在 Android 11 及更高版本上也是如此）。任何具有与此处指定的软件包相同的 Android UID 的应用，在调用 KeyChain.choosePrivateKeyAlias 时都将获得访问权限。 使用 添加软件包名称 来添加条目，并使用删除操作来移除它们。   要删除一个应用，请点击应用卡片底部的 垃圾桶 图标。