应用管理

在此部分，您可以设置与应用可用性、安装、更新和权限管理相关的策略。

管理 Google Play 账号会在设备配置时自动创建。

 

1. 应用商店模式

此模式控制用户在应用商店中可用的应用，以及应用从策略中移除时设备上的行为。

白名单 (默认)：只有策略中包含的应用程序可用，且不在策略中的应用程序将自动从设备卸载。应用商店只会显示可用的应用程序。

黑名单：所有应用均可使用，应从设备上移除的应用，需在应用策略中显式标记为阻止。Play 商店将显示所有应用，除了被阻止的应用。

 

2. 不可信应用策略

对不可信应用（来自未知来源的应用）的策略，强制应用于设备。此选项控制允许用户从商店外部安装应用程序（边缘加载）的 Android 系统设置。

禁止（默认）：禁止在整个设备上安装不可信应用。

仅限个人资料：对于具有工作配置的设备，仅允许在设备的个人资料中安装不可信应用。

允许：允许在整个设备上安装不受信任的应用程序。

 

3. 谷歌 玩 应用保护

是否强制执行 Google Play 保护应用验证。

强制执行 (默认)：强制启用应用验证。

用户选择：允许用户选择是否启用应用验证。

 

4. 默认权限策略

应用运行时权限请求授予策略。

提示 (默认)：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

 

5. App functions

Controls whether apps on fully managed devices or in work profiles are allowed to expose app functions. Requires Android 16 or above.

Allowed (default): Apps on fully managed devices or in work profiles can expose app functions.

Disallowed: Apps on fully managed devices or in work profiles cannot expose app functions.

 

6. 禁止安装应用

是否禁用用户应用安装。

 

7. 卸载应用被禁用

用户卸载应用程序是否被禁用。

 

8. 权限策略

对所有应用的显式权限或组的授权或拒绝。这些值将覆盖默认权限策略设置。

Use Add permission policy to create entries and remove them with the delete action.

Each entry includes:

Android permission/group: The Android permission or group (required), for example android.permission.READ_CALENDAR or android.permission_group.CALENDAR.

Policy: Grant / Deny / Prompt (uses the same policy options as Default permission policy).

 

9. 应用程序

必须包含在策略中的应用程序列表。列表内容的行为取决于Play 商店模式设置的值。

如果 应用商店模式设置为 白名单，则只有策略中的应用可用，并且任何不在策略中的应用都将自动从设备中卸载。

如果 Play Store 模式设置为 黑名单，所有应用都可用，并且任何不应在设备上的应用都应在应用程序策略中显式标记为 阻止。

To add a new app, click on the Add applications button (or the Add applications icon), then choose the app from Play Store and click on the Select button in the app card.

默认情况下，您所在国家/地区的所有在 Play Store 上发布的应用程序都可供选择。要选择您自己的私有或 Web 应用程序，您必须首先将它们上传到系统。更多信息请阅读私有应用程序页面。

每个应用程序都可以配置自己的设置，这些设置以卡片形式直观地呈现

9.1. 安装类型

为应用执行的安装类型。

可用: 该应用可供安装。

预装: 该应用已自动安装，用户可将其卸载。

强制安装: 该应用已自动安装，且用户无法将其卸载。

已阻止：应用已被阻止，无法安装。如果应用是在之前的策略下安装的，将会被卸载。

配置要求：该应用将自动安装，用户无法移除，并且会在安装完成后才允许配置完成。

专用的：此应用将自动安装，并在专用的模式下运行：它被设置为首选主意图，并且已在锁定任务模式中被列入白名单。设备设置在应用安装完成后才会完成。安装完成后，用户将无法移除此应用。您只能针对每个策略设置此安装类型，当此项出现在策略中时，状态栏将自动禁用。更多信息请参阅专门的专用的页面。

9.2. Install constraints

Defines a set of restrictions for the app installation. When multiple constraints are selected, all of them must be satisfied for the app to be installed.

This option is shown only when the Install type is Preinstalled or Force installed.

Unmetered network: Install the app only when the device is connected to an unmetered network (e.g. Wi‑Fi).

Charging: Install the app only when the device is charging.

Idle: Install the app only when the device is idle.

9.3. 自动更新模式

控制应用的自动更新模式。

默认：应用以低优先级自动更新，以尽量减少对用户的干扰。应用在满足以下所有条件时进行更新：(1) 设备未积极使用，(2) 设备已连接到非计费网络，(3) 设备正在充电。开发者发布新更新后24小时内，设备将收到通知，之后在满足上述条件时，应用将在下一次更新。

推迟：应用在过期后最多可延迟90天自动更新。在过期90天后，将以低优先级自动安装最新可用版本（请参阅默认自动更新模式）。应用更新后，除非再次过期，否则不会再次自动更新。用户可以随时从Play商店手动更新应用。

高优先级：应用会尽快更新。不适用任何限制。设备在更新可用后会立即收到通知。

9.4. 最小版本代码

设备上运行的最低应用版本。如果设置了此值，设备将尝试将应用更新到至少此版本代码。如果应用不是最新版本，设备将包含不合规详情，且不合规原因设置为APP_NOT_UPDATED。应用必须已发布到 Google Play，且版本代码大于或等于此值。每个策略最多可指定 20 个应用的最低版本代码。

9.5. 委派的权限范围

Android 设备策略应用委托的权限范围。您可以授予其他应用一系列特殊的 Android 权限：

证书安装：授予访问证书安装和管理的权限。

受管配置：授予访问受管配置管理的权限。

阻止卸载：授予阻止卸载的访问权限。

权限：授予访问权限策略和权限授权状态的权限。

包访问：授予访问包访问状态的权限。

系统应用：授予启用系统应用的权限。

9.6. Preferential Network

The preferential network service to use for this app. If set, the app will use the specified enterprise network slice for its connections when available. This must match a network slice configured in the 5G Network Slicing Configuration section of the Cellular panel.

9.7. 默认权限策略

应用程序请求的所有权限的默认策略。如果指定，则会覆盖应用于所有应用程序的策略级别的默认权限策略，但不会覆盖应用于所有应用程序的权限策略。

提示 (默认)：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

9.8. 工作和个人应用互联

允许应用在设备的工作和个人资料之间进行通信，需用户同意（Android 11+）。

不允许 (默认)：阻止应用跨配置文件通信。

允许：在获得用户许可后，允许应用跨配置文件进行通信。

9.9. Always On VPN lockdown exemption

Specifies whether the app is allowed networking when the VPN is not connected and lockdown enabled is active. Only supported on devices running Android 10 and above.

Enforced (default): The app respects the always-on VPN lockdown setting.

Exempt: The app is exempt from the always-on VPN lockdown setting.

9.10. Work profile widgets

Specifies whether the app installed in the work profile is allowed to add widgets to the home screen.

Allowed: The application can add widgets to the home screen.

Disallowed: The application cannot add widgets to the home screen.

9.11. User control settings

Specifies whether user control is permitted for a given app. User control includes user actions like force-stopping and clearing app data (Android 11+). If extensionConfig is enabled for an app, user control is disallowed regardless of this setting. For kiosk apps, you can use Allowed to allow user control.

Unspecified: Uses the default behavior of the app to determine if user control is allowed or disallowed.

Allowed: User control is allowed for the app.

Disallowed: User control is disallowed for the app.

9.12. 已禁用

应用是否已禁用。禁用时，应用数据仍然保留。

9.13. Allow Credential Provider

Whether the app is allowed to act as a credential provider on Android 14 and above.

9.14. 已配置管理

要配置应用的已配置管理设置，请单击启用已配置管理配置按钮。如果应用已设置了已配置管理配置，您可以使用已配置管理配置按钮进行修改，或使用移除配置按钮删除。

已配置管理配置选项仅适用于支持此功能的应用。

9.15. 权限策略

用于应用显示的明确权限授予或拒绝。这些值会覆盖默认权限策略和权限策略，这些策略适用于所有应用。

Use Add permission policy to add one or more permission rules for the app card and remove them with the delete action.

9.16. 追踪 ID

设备可以访问的应用封闭测试轨道 ID 列表。如果选择了多个轨道 ID，设备将接收所有可访问轨道中最新版本。如果没有选择任何轨道 ID，设备将仅访问应用的生产轨道。

轨道 ID选项仅适用于你的组织至少有一个轨道 ID 可用的应用。有关如何将你的组织添加到特定应用的封闭测试轨道，请阅读这里。

 

10. 私钥选择

允许在设备上显示UI，以便用户选择私钥别名，如果 选择私钥规则中没有匹配的规则。

对于低于 Android P 的设备，设置此项可能会使企业密钥面临安全风险

 

11. 选择私钥规则

控制应用对私钥的访问权限。该规则决定 Android 设备策略授予指定应用哪个私钥（如果存在）。应用通过调用 KeyChain.choosePrivateKeyAlias（或任何重载）来请求给定 URL 的私钥别名，或者对于非 URL 专用规则（如果 urlPattern 未设置，或设置为空字符串或 .*）在 Android 11 及以上版本的直接访问权限，从而获取访问权限，这样应用即可调用 KeyChain.getPrivateKey，而无需先调用 KeyChain.choosePrivateKeyAlias。当应用调用 KeyChain.choosePrivateKeyAlias 时，如果多个 choosePrivateKeyRules 匹配，则最后一个匹配规则定义要返回哪个密钥别名。

Use Add private key rule to create entries and remove them with the delete action.

10.1. 私钥别名

要使用的私钥别名。

10.2. URL 模式

用于匹配请求 URL 的 URL 模式。如果未设置或为空，则匹配所有 URL。此模式使用 java.util.regex.Pattern 的正则表达式语法。

10.3. 包名

此规则适用的包名。KeyChain.choosePrivateKeyAlias 调用时，会验证每个应用的签名证书哈希与 Play 提供的哈希是否匹配。如果没有指定包名，则 KeyChain.choosePrivateKeyAlias 将提供给所有调用 KeyChain.choosePrivateKeyAlias 或任何重载的应用（但不包括未调用 KeyChain.choosePrivateKeyAlias 的情况，即使在 Android 11 及以上版本）。 具有与此处指定包名相同的 Android UID 的任何应用在调用 KeyChain.choosePrivateKeyAlias 时都将获得访问权限。

Use Add package name to add entries and remove them with the delete action.

 

要删除一个应用，请点击应用卡底部垃圾桶图标。