应用管理

在本部分，您可以设置与应用程序可用性、安装、更新和权限管理相关的策略。

管理 Google Play 账号会在设备配置时自动创建。

 

1. 应用商店模式

此模式控制用户在应用商店中可用的应用，以及应用从策略中移除时设备上的行为。

白名单（默认）：仅策略中包含的应用程序可用，任何不在策略中的应用程序都将自动从设备中卸载。Play 商店只会显示可用的应用程序。

黑名单（默认）：所有应用均可使用，不允许在设备上安装的应用应在应用程序策略中显式标记为阻止。Play 商店将显示所有应用，除了被阻止的应用。

 

2. 不可信应用策略

设备上强制执行的不信任应用（来自未知来源的应用）策略。此选项控制允许用户从 Play 商店外部安装应用（边缘安装）的 Android 系统设置。

禁止（默认）：禁止在整个设备上安装不受信任的应用。

仅限个人资料：对于具有工作配置的设备，仅允许在设备的个人资料中安装不可信应用。

允许：允许在整个设备上安装不受信任的应用。

 

3. 谷歌 玩 应用保护

是否强制执行 Google Play 保护应用验证。

强制执行 (默认)：强制启用应用验证。

用户选择：允许用户选择是否启用应用验证。

 

4. 默认权限策略

应用运行时权限请求授予策略。

提示 (默认)：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

 

5. 应用功能

控制是否允许完全管理的设备或工作资料中的应用公开应用功能。需要 Android 16 或以上版本。

允许 (默认)：完全管理的设备或工作资料中的应用可以公开应用功能。

不允许：完全管理的设备或工作资料中的应用无法公开应用功能。

 

6. 禁止安装应用

是否禁用用户应用安装。

 

7. 卸载应用被禁用

用户卸载应用程序是否被禁用。

 

8. 权限策略

对所有应用的显式权限或组的授权或拒绝。这些值将覆盖默认权限策略设置。

使用 添加权限策略 来创建条目并使用删除操作移除它们。

每个条目包含：

Android 权限/组: Android 权限或组 (必需)，例如 android.permission.READ_CALENDAR 或 android.permission_group.CALENDAR。

策略：允许/拒绝/提示 (使用与 默认权限策略 相同的策略选项)。

 

9. 应用程序

必须包含在策略中的应用程序列表。列表内容的行为取决于Play 商店模式设置的值。

如果 应用商店模式设置为 白名单，则只有策略中的应用可用，并且任何不在策略中的应用都将自动从设备中卸载。

如果 Play Store 模式设置为 黑名单，所有应用都可用，并且任何不应在设备上的应用都应在应用程序策略中显式标记为 阻止。

要添加新的应用，请单击 添加应用 按钮（或 添加应用 图标），然后在应用卡中单击 选择 按钮。

默认情况下，您所在国家/地区的所有在 Play Store 上发布的应用程序都可供选择。要选择您自己的私有或 Web 应用程序，您必须首先将它们上传到系统。更多信息请阅读私有应用程序页面。

每个应用程序都可以配置自己的设置，这些设置以卡片形式直观地呈现

9.1. 安装类型

为应用执行的安装类型。

可用: 该应用可供安装。

预装: 该应用已自动安装，用户可将其卸载。

强制安装: 该应用已自动安装，且用户无法将其卸载。

已阻止：应用已被阻止，无法安装。如果应用是在之前的策略下安装的，将会被卸载。

配置要求：该应用将自动安装，用户无法移除，并且会在安装完成后才允许配置完成。

专用的：此应用将自动安装，并在专用的模式下运行：它被设置为首选主意图，并且已在锁定任务模式中被列入白名单。设备设置在应用安装完成后才会完成。安装完成后，用户将无法移除此应用。您只能针对每个策略设置此安装类型，当此项出现在策略中时，状态栏将自动禁用。更多信息请参阅专门的专用的页面。

9.2. 安装约束条件

定义应用安装的限制集。选择多个约束条件时，所有条件必须满足才能安装应用。

此选项仅在 安装类型为 预装或 强制安装时显示。

无计量网络：仅在设备连接到无计量网络时（例如 Wi‑Fi）安装应用。

充电：仅当设备正在充电时安装应用。

空闲：仅当设备空闲时安装应用。

9.3. 自动更新模式

控制应用的自动更新模式。

默认：应用以低优先级自动更新，以尽量减少对用户的干扰。应用在满足以下所有条件时进行更新：(1) 设备未积极使用，(2) 设备已连接到非计费网络，(3) 设备正在充电。开发者发布新更新后24小时内，设备将收到通知，之后在满足上述条件时，应用将在下一次更新。

延迟：应用在过期后最长可延迟 90 天更新。过期后 90 天，将以低优先级自动安装最新可用版本（请参阅默认自动更新模式）。应用更新后，除非再次过期，否则不会再次自动更新，直到过期后的 90 天。用户可以在任何时间从 Play Store 手动更新应用。

高优先级：应用会尽快更新。不适用任何限制。设备在更新可用后会立即收到通知。

9.4. 最小版本代码

设备上运行的最低应用版本。如果已设置，设备将尝试将应用更新到至少此版本代码。如果应用不是最新版本，设备将包含不合规详情以及不合规原因设置为APP_NOT_UPDATED。应用必须已发布到 Google Play，版本代码大于或等于此值。每个策略最多可指定 20 个应用的最小版本代码。

9.5. 委派的权限范围

Android 设备策略应用委托的权限范围。您可以授予其他应用一系列特殊的 Android 权限：

证书安装：授予访问证书安装和管理的权限。

受管配置：授予访问受管配置管理的权限。

阻止卸载：授予阻止卸载的访问权限。

权限：授予访问权限策略和权限授权状态的权限。

包访问：授予访问包访问状态的权限。

系统应用：授予启用系统应用的权限。

9.6. 首选网络

用于此应用的优先网络服务。如果已设置，当可用时，应用将使用指定的企业网络切片进行连接。 此设置必须与 5G网络切片配置 部分的 蜂窝 面板中的配置匹配。

9.7. 默认权限策略

应用程序请求的所有权限的默认策略。如果指定，则会覆盖应用于所有应用程序的策略级别的默认权限策略，但不会覆盖应用于所有应用程序的权限策略。

提示 (默认)：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

9.8. 工作和个人应用互联

允许应用在设备的工作和个人资料之间进行通信，需用户同意（Android 11+）。

不允许 (默认)：阻止应用跨配置文件通信。

允许：在获得用户许可后，允许应用跨配置文件进行通信。

9.9. 始终开启的 VPN 锁定豁免

指定当 VPN 未连接且 锁定启用时，应用是否允许联网。仅支持运行 Android 10 及以上版本的设备。

强制 (默认)：该应用遵循始终开启 VPN 锁定设置。

豁免：该应用不受始终开启 VPN 锁定设置的限制。

9.10. 工作资料小部件

允许工作资料中的应用将小部件添加到主屏幕。

允许：应用程序可以将小部件添加到主屏幕。

不允许：应用程序无法将小部件添加到主屏幕。

9.11. 用户控制设置

指定是否允许用户对特定应用进行控制。用户控制包括强制停止和清除应用数据等操作（Android 11+）。如果extensionConfig已启用，无论此设置如何，都会禁止用户控制。对于极客应用，可以使用允许来允许用户控制。

未指定：使用应用的默认行为来确定是否允许或禁止用户控制。

允许：应用的用户控制被允许。

不允许：应用的用户控制被禁止。

9.12. 已禁用

应用是否已禁用。禁用时，应用数据仍然保留。

9.13. 允许凭据提供程序

是否允许应用作为 Android 14 及以上版本的凭据提供程序。

9.14. 已配置管理

要配置应用的已配置管理设置，请单击启用已配置管理配置按钮。如果应用已设置了已配置管理配置，您可以使用已配置管理配置按钮进行修改，或使用移除配置按钮删除。

已配置管理配置选项仅适用于支持此功能的应用。

9.15. 权限策略

用于应用显示的明确权限授予或拒绝。这些值会覆盖默认权限策略和权限策略，这些策略适用于所有应用。

使用添加权限策略以添加或移除应用卡片的权限规则。

9.16. 追踪 ID

设备可以访问的应用封闭测试轨道 ID 列表。如果选择了多个轨道 ID，设备将接收所有可访问轨道中最新版本。如果没有选择任何轨道 ID，设备将仅访问应用的生产轨道。

轨道 ID选项仅适用于你的组织至少有一个轨道 ID 可用的应用。有关如何将你的组织添加到特定应用的封闭测试轨道，请阅读这里。

 

10. 私钥选择

允许在设备上显示UI，以便用户选择私钥别名，如果 选择私钥规则中没有匹配的规则。

对于低于 Android P 的设备，设置此项可能会使企业密钥面临安全风险

 

11. 选择私钥规则

控制应用对私钥的访问权限。该规则决定 Android 设备策略授予指定应用哪个私钥（如果存在）。应用通过调用 KeyChain.choosePrivateKeyAlias（或任何重载）来请求给定 URL 的私钥别名，或者对于非 URL 专用规则（如果 urlPattern 未设置，或设置为空字符串或 .*）在 Android 11 及以上版本的直接访问权限，从而获取访问权限，这样应用即可调用 KeyChain.getPrivateKey，而无需先调用 KeyChain.choosePrivateKeyAlias。当应用调用 KeyChain.choosePrivateKeyAlias 时，如果多个 choosePrivateKeyRules 匹配，则最后一个匹配规则定义要返回哪个密钥别名。

使用添加私钥规则以创建条目，并使用删除操作移除它们。

10.1. 私钥别名

要使用的私钥别名。

10.2. URL 模式

用于匹配请求 URL 的 URL 模式。如果未设置或为空，则匹配所有 URL。此模式使用 java.util.regex.Pattern 的正则表达式语法。

10.3. 包名

此规则适用的包名。KeyChain.choosePrivateKeyAlias 调用时，会验证每个应用的签名证书哈希与 Play 提供的哈希是否匹配。如果没有指定包名，则 KeyChain.choosePrivateKeyAlias 将提供给所有调用 KeyChain.choosePrivateKeyAlias 或任何重载的应用（但不包括未调用 KeyChain.choosePrivateKeyAlias 的情况，即使在 Android 11 及以上版本）。 具有与此处指定包名相同的 Android UID 的任何应用在调用 KeyChain.choosePrivateKeyAlias 时都将获得访问权限。

使用添加包名以创建条目，并使用删除操作移除它们。

 

要删除一个应用，请点击应用卡底部垃圾桶图标。