应用管理 在此部分中,您可以设置与应用可用性、安装、更新及权限管理相关的策略。 在设备配置期间,系统会自动创建受管 Google Play 账号。   1. Play 商店模式 此模式用于控制用户在 Play 商店中可以使用的应用,以及当策略中移除应用时设备上的行为。 白名单 (默认) : 仅允许使用策略中的应用,任何不在策略中的应用都将自动从设备中卸载。Play Store 将仅显示可用应用。 黑名单 : 所有应用均可用,任何不应出现在设备上的应用都应在应用策略中明确标记为 已阻止 。Play Store 将显示所有应用,但被阻止的应用除外。   2. 不受信任应用策略 在设备上强制执行的针对不受信任应用(来自未知来源的应用)的策略。此选项用于控制 Android 系统设置,以决定用户是否可以从 Play Store 之外安装应用(侧载)。 不允许 (默认) : 禁止在整个设备上安装不受信任的应用。 仅限个人资料 : 对于具有工作资料的设备,仅允许在设备的个人资料中安装不受信任的应用。 允许 : 允许在整个设备上安装不受信任的应用。   3. Google Play Protect 是否强制执行 Google Play Protect 应用验证。 强制执行 (默认) : 强制启用应用验证。 用户选择 : 允许用户选择是否启用应用验证。   4. 默认权限策略 向应用授予运行时权限请求的策略。 提示 (默认) : 提示用户授予权限。 授予 : 自动授予权限。 拒绝 : 自动拒绝权限。   5. 应用功能 控制是否允许完全托管设备或工作资料中的应用展示应用功能。需要 Android 16 或更高版本。 允许 (默认) : 完全托管设备或工作资料中的应用可以展示应用功能。 不允许 : 完全托管设备或工作资料中的应用无法展示应用功能。   6. 禁用应用安装 是否禁用用户安装应用。   7. 禁用应用卸载 是否禁用用户卸载应用。   8. 权限策略 针对所有应用的显式权限或组授予/拒绝。这些值将覆盖 默认权限策略 设置。 使用 添加权限策略 来创建条目,并使用删除操作将其移除。 每个条目包括: Android 权限/组 :Android 权限或组(必填),例如 android.permission.READ_CALENDAR 或 android.permission_group.CALENDAR 。 策略 :授予 / 拒绝 / 提示(使用与 默认权限策略 相同的策略选项)。   9. 应用 必须包含在策略中的应用列表。该列表内容的行为取决于 Play Store 模式 中设置的值。 如果 Play Store 模式 设置为 白名单 ,则仅允许使用策略中的应用,任何不在策略中的应用都将自动从设备中卸载。 如果 Play Store 模式 设置为 黑名单 ,则所有应用均可用,任何不应出现在设备上的应用都应在应用策略中明确标记为 已阻止 。 要添加新应用,请点击 添加应用 按钮(或 添加应用 图标),然后从 Play Store 中选择应用,并点击应用卡片中的 选择 按钮。 默认情况下,您所在国家/地区在 Play Store 上发布的所有应用均可供选择。要选择您自己的私有应用或 Web 应用,必须先将它们上传到系统。欲了解更多信息,请阅读 私有应用 页面。 每个应用都可以配置其自身的设置,这些设置以卡片的形式直观呈现: 9.1. 安装类型 针对应用执行的安装类型。 可用 :该应用可供安装。 预装 : 应用会自动安装,且用户可以将其移除。 强制安装 : 应用会自动安装,且用户无法将其移除。 已阻止 : 该应用已被阻止且无法安装。如果该应用是在之前的策略下安装的,它将被卸载。 设置所需 : 应用会自动安装,用户无法将其移除;在安装完成之前,将阻止设置流程完成。 Kiosk 模式 : 应用将以 Kiosk 模式自动安装:它将被设置为首选主屏幕意图,并被列入锁定任务模式的白名单。在应用安装完成之前,设备设置将无法完成。安装后,用户将无法移除该应用。每个策略只能为一个应用设置此 安装类型 。当策略中包含此选项时,状态栏将自动禁用。欲了解更多信息,请阅读专门的 Kiosk 模式 页面。 9.2. 安装限制 定义了一组应用安装限制。当选择了多个限制条件时,必须同时满足所有条件才能完成应用安装。 仅当 安装类型 设置为 预装 或 强制安装 时,才会显示此选项。 非计费网络 : 仅当设备连接到非计费网络(例如 Wi-Fi)时才安装应用。 充电中 : 仅当设备正在充电时才安装应用。 闲置 : 仅当设备处于闲置状态时才安装应用。 9.3. 自动更新模式 控制应用的自动更新模式。 默认 : 应用将以低优先级自动更新,以尽量减少对用户的影响。只有在满足以下所有限制条件时,应用才会进行更新:(1) 设备未被活跃使用,(2) 设备连接到非计费网络,(3) 设备正在充电。在开发者发布更新后的 24 小时内,设备会收到新更新的通知,之后在下次满足上述限制条件时,应用将进行更新。 延迟 : 在应用版本过时后的最多 90 天内,不会自动更新应用。在应用版本过时 90 天后,将以低优先级自动安装最新的可用版本(参见 默认 自动更新模式)。应用更新后,在再次过时后的 90 天内不会再次自动更新。用户仍可以随时从 Play Store 手动更新应用。 高优先级 : 应用将尽快更新。不应用任何限制条件。新版本发布后,设备会立即收到更新通知。 9.4. 最低版本代码 在设备上运行的应用的最低版本。如果设置了此项,设备将尝试将应用更新至至少此版本代码。如果应用未达到最新状态,设备将显示 不合规详情 ,且 不合规原因 将被设置为 APP_NOT_UPDATED 。应用必须已发布到 Google Play,且其版本代码大于或等于此值。每个策略最多可为 20 个应用指定最低版本代码。 9.5. 委派范围 从 Android 设备策略委派给应用的范围。您可以向其他应用授予一系列特殊的 Android 权限: 证书安装 : 授予证书安装和管理的访问权限。 已管理配置 :授予对已管理配置管理的访问权限。 阻止卸载 :授予阻止卸载的权限。 权限 :授予对权限策略和权限授予状态的访问权限。 应用包访问权限 :授予对应用包访问状态的访问权限。 系统应用 :授予启用系统应用的权限。 9.6. 优先网络 此应用使用的优先网络服务。如果已设置,当可用时,该应用将使用指定的企业网络切片进行连接。这必须与 移动网络 面板中 5G 网络切片配置 部分配置的网络切片相匹配。 9.7. 默认权限策略 该应用请求的所有权限的默认策略。如果指定,它将覆盖适用于所有应用的策略级 默认权限策略 。它不会覆盖适用于所有应用的 权限策略 。 提示 (默认) :提示用户授予权限。 授予 :自动授予权限。 拒绝 :自动拒绝权限。 9.8. 工作与个人应用互通 控制应用是否可以在用户同意的情况下,跨设备的个人资料与工作资料进行通信(Android 11 及更高版本)。 不允许 (默认) :防止应用进行跨配置文件通信。 允许 :在获得用户同意后,允许应用进行跨配置文件通信。 9.9. 始终开启 VPN 锁定豁免 指定在 VPN 未连接且处于 锁定启用 状态时,是否允许该应用进行网络连接。仅支持运行 Android 10 及以上版本的设备。 强制执行 (默认) :应用遵循始终开启 VPN 锁定设置。 豁免 :该应用豁免于始终开启 VPN 锁定设置。 9.10. 工作资料小组件 指定安装在工作资料中的应用是否允许向主屏幕添加小组件。 允许 :应用可以将小组件添加到主屏幕。 不允许 :应用无法将小组件添加到主屏幕。 9.11. 用户控制设置 指定是否允许对特定应用进行用户控制。用户控制包括强制停止和清除应用数据等用户操作(Android 11 及更高版本)。如果为某个应用启用了 extensionConfig ,则无论此设置如何,都将禁止用户控制。对于亭式应用 (Kiosk apps),您可以使用 允许 来允许用户控制。 未指定 :使用应用的默认行为来确定是否允许用户控制。 允许 :允许对该应用进行用户控制。 不允许 :禁止对该应用进行用户控制。 9.12. 已禁用 应用是否已禁用。禁用时,应用数据仍将保留。 9.13. 允许凭据提供程序 应用是否被允许在 Android 14 及更高版本上充当凭据提供程序。 9.14. 已管理配置 要配置应用的已管理设置,请点击 启用已管理配置 按钮。如果已为该应用设置了已管理配置,您可以通过 已管理配置 按钮修改配置,或通过 移除配置 按钮将其删除。 已管理配置 选项仅适用于支持此功能的应用。 9.15. 权限策略 针对该应用的明确权限授予或拒绝。这些值将覆盖适用于所有应用的 默认权限策略 和 权限策略 。 使用 添加权限策略 为应用卡片添加一条或多条权限规则,并可通过删除操作将其移除。 9.16. 测试轨道 ID 设备可以访问的应用封闭测试轨道 ID 列表。如果选择了多个轨道 ID,设备将接收所有可访问轨道中的最新版本。如果没有选择任何轨道 ID,设备将只能访问应用的正式版轨道。 测试轨道 ID 选项仅适用于至少有一个测试轨道 ID 可供您组织使用的应用。有关如何将您的组织添加到特定应用的封闭测试轨道的更多详细信息,请参阅 此处 。   10. 默认应用设置 为支持的类型设置默认应用。一旦为至少一种类型设置了默认应用,用户将无法在该个人资料中更改默认应用。 每个 默认应用类型 仅允许设置一个默认应用。默认应用列表不得包含重复项。 10.1. 默认应用类型 选择要配置的应用类别(例如:浏览器、拨号器、短信、钱包或助手)。可用性取决于 Android 版本和管理模式。 10.2. 默认应用范围 选择默认应用适用的范围(全托管、工作资料或个人资料)。只能选择所选类型支持的范围。 如果所选范围均不适用于设备的管理模式,设备将报告合规性异常详情。 10.3. 默认应用 可设置为所选类型默认应用的应用列表。第一个安装且符合条件的应用将被设为默认应用。 如果范围包含 全托管 或 工作资料 ,则每个应用还必须存在于 应用 列表中,且其 安装类型 未设置为 已阻止 。   11. 私钥选择 允许在没有匹配规则的情况下,在设备上显示 UI 以供用户选择私钥别名(针对 选择私钥规则 中的规则)。 对于 Android P 以下版本的设备,设置此项可能会导致企业密钥面临风险。   12. 选择私钥规则 控制应用对私钥的访问权限。该规则决定了 Android 设备策略(Android Device Policy)将向指定应用授予哪个私钥(如果有)。访问权限的授予发生在以下两种情况:一是当应用调用 `KeyChain.choosePrivateKeyAlias`(或其任何重载方法)以请求给定 URL 的私钥别名时;二是在 Android 11 及更高版本中,对于非特定 URL 的规则(即未设置 `urlPattern`,或将其设置为空字符串或 `.*`),直接授予权限以便应用可以调用 `KeyChain.getPrivateKey`,而无需先调用 `KeyChain.choosePrivateKeyAlias`。当应用调用 `KeyChain.choosePrivateKeyAlias` 且有多个 `choosePrivateKeyRules` 匹配时,最后一个匹配的规则将决定返回哪个密钥别名。 使用 添加私钥规则 来创建条目,并可通过删除操作将其移除。 12.1. 私钥别名 要使用的私钥别名。 12.2. URL 模式 用于与请求的 URL 进行匹配的 URL 模式。如果未设置或为空,则匹配所有 URL。此项使用 `java.util.regex.Pattern` 的正则表达式语法。 12.3. 应用包名 该规则适用的应用包名。系统将针对每个应用的签名证书哈希值与 Play 提供的哈希值进行验证。如果未指定任何包名,则该别名将提供给所有调用 `KeyChain.choosePrivateKeyAlias` 或其任何重载方法的应用(但在 Android 11 及更高版本中,即使不调用 `KeyChain.choosePrivateKeyAlias` 也无法直接获得该别名)。任何与此处指定的包具有相同 Android UID 的应用,在调用 `KeyChain.choosePrivateKeyAlias` 时都将获得访问权限。 使用 添加应用包名 来添加条目,并可通过删除操作将其移除。   要删除应用,请点击应用卡片底部的 垃圾桶 图标。