应用管理

~~在本部分，您可以设置与应用程序可用性、~~在此部分中，您可以设置与应用可用性、安装、~~更新以及权限管理相关的策略。~~更新及权限管理相关的策略。

~~已配置的设备会自动创建“受管~~在设备配置期间，系统会自动创建受管 Google Play ~~帐户”。~~账号。

1. 应用商店模式Play 商店模式

~~此模式控制用户在 Google~~此模式用于控制用户在 Play ~~商店中可用的应用程序，以及从策略中删除应用程序时设备上的行为。~~商店中可以使用的应用，以及当策略中移除应用时设备上的行为。

~~白名单（默认）~~白名单 (默认): ~~只有策略中包含的应用程序才能使用，策略中未包含的应用程序将自动从设备上卸载。Google~~ 仅允许使用策略中的应用，任何不在策略中的应用都将自动从设备中卸载。Play ~~商店只会显示可用的应用程序。~~Store 将仅显示可用应用。

黑名单~~：所有应用均可使用，不允许在设备上安装的应用，应在应用策略中明确设置为~~: 所有应用均可用，任何不应出现在设备上的应用都应在应用策略中明确标记为 禁止已阻止~~安装。Google~~ 。Play ~~商店将显示所有应用，但会排除被禁止的应用。~~Store 将显示所有应用，但被阻止的应用除外。

2. 不可信应用策略不受信任应用策略

~~设备上强制执行的不可信应用策略（~~在设备上强制执行的针对不受信任应用（来自未知来源的应用）~~。此选项控制~~的策略。此选项用于控制 Android 系统设置，~~该设置决定用户是否可以从~~以决定用户是否可以从 Play ~~商店外部安装应用程序（即旁加载）~~Store 之外安装应用（侧载）。

~~禁止（默认）~~不允许 (默认)~~：禁止在整个设备上安装不受信任的应用程序。~~: 禁止在整个设备上安装不受信任的应用。

仅限个人资料~~：对于具有工作配置的设备，仅允许在设备的个人资料中安装不受信任的应用程序。~~: 对于具有工作资料的设备，仅允许在设备的个人资料中安装不受信任的应用。

允许~~：允许在整个设备上安装不受信任的应用程序。~~: 允许在整个设备上安装不受信任的应用。

3. Google Play 保护功能Protect

是否强制执行 Google Play ~~保护应用验证。~~Protect 应用验证。

~~强制执行（默认）~~强制执行 (默认)：: 强制启用应用验证。

用户选择：: 允许用户选择是否启用应用验证。

4. 默认权限策略

~~授予应用运行时权限请求的策略。~~向应用授予运行时权限请求的策略。

~~提示（默认）~~提示 (默认)：: 提示用户授予权限。

授予：: 自动授予权限。

拒绝：: 自动拒绝权限。

5. 应用功能

~~控制是否允许完全管理的设备或工作资料中的应用公开其功能。~~控制是否允许完全托管设备或工作资料中的应用展示应用功能。需要 Android 16 或更高版本。

允许 (默认)~~：完全管理的设备或工作资料中的应用可以公开其功能。~~: 完全托管设备或工作资料中的应用可以展示应用功能。

禁止不允许~~：在完全管理的设备或工作资料中的应用，不允许公开其功能。~~: 完全托管设备或工作资料中的应用无法展示应用功能。

6. 安装被禁用的应用程序禁用应用安装

~~是否禁止用户安装应用程序。~~是否禁用用户安装应用。

7. 禁止卸载应用程序。禁用应用卸载

~~用户是否被禁止卸载应用程序。~~是否禁用用户卸载应用。

8. 权限策略

~~为所有应用程序设置明确的权限、授权或拒绝。这些设置会覆盖~~针对所有应用的显式权限或组授予/拒绝。这些值将覆盖 默认权限策略~~的设置。~~ 设置。

使用 添加权限策略 来创建条目，~~并使用删除操作来移除它们。~~并使用删除操作将其移除。

~~每个条目包含：~~每个条目包括：

Android 权限/组：Android 权限或组（~~必需）~~必填），例如 android.permission.READ_CALENDAR 或 android.permission_group.CALENDAR。

策略：允许授予 / 拒绝 / 提示（使用与 默认权限策略 相同的策略选项）。

9. 应用程序应用

~~必须包含在策略中的应用程序列表。此列表的内容的行为取决于“~~必须包含在策略中的应用列表。该列表内容的行为取决于 ~~应用商店模式~~Play Store 模式~~”的设置。~~

~~如果“~~~~应用商店模式~~~~”设置为“~~~~白名单~~~~”，则只有策略中包含的应用程序可用，并且任何不在策略中的应用程序都将自动从设备上卸载。~~ 中设置的值。

如果 ~~应用商店模式~~Play Store 模式 设置为 白名单，则仅允许使用策略中的应用，任何不在策略中的应用都将自动从设备中卸载。

如果 Play Store 模式 设置为 黑名单，~~则所有应用都可用，并且任何不应在设备上的应用都应在应用程序策略中明确标记为~~则所有应用均可用，任何不应出现在设备上的应用都应在应用策略中明确标记为 禁止已阻止。

~~要添加新的应用程序，请单击“~~要添加新应用，请点击 ~~添加应用程序~~添加应用” 按钮（或“或 ~~添加应用程序~~添加应用” 图标），~~然后在应用卡中，从~~然后从 Play ~~商店选择应用程序，然后单击“~~Store 中选择应用，并点击应用卡片中的选择” 按钮。

~~所有在您所在国家/地区的 Google~~默认情况下，您所在国家/地区在 Play ~~商店上发布的应用程序默认情况下都可供选择。要选择您自己的私有或~~Store 上发布的所有应用均可供选择。要选择您自己的私有应用或 Web ~~应用程序，您必须首先将其上传到系统中。更多信息请阅读~~应用，必须先将它们上传到系统。欲了解更多信息，请阅读 ~~私有应用程序~~私有应用 页面。

~~每个应用程序都可以配置自己的设置，这些设置以卡片的形式直观地呈现。~~每个应用都可以配置其自身的设置，这些设置以卡片的形式直观呈现：

9.1. 安装类型

~~用于安装应用程序的安装类型。~~针对应用执行的安装类型。

~~可用：~~可用：该应用可供安装。 ~~该应用可供安装。~~

~~已预装~~预装~~：该应用已自动安装，用户可以将其卸载。~~: 应用会自动安装，且用户可以将其移除。

强制安装~~：该应用已自动安装，用户无法将其卸载。~~: 应用会自动安装，且用户无法将其移除。

已阻止~~：该应用已被阻止，无法安装。~~: 该应用已被阻止且无法安装。如果该应用是在之前的策略下安装的，~~则将被卸载。~~它将被卸载。

~~首次设置时需要~~设置所需~~：该应用将自动安装，用户无法手动卸载，并且在安装完成之前，设置将无法继续。~~: 应用会自动安装，用户无法将其移除；在安装完成之前，将阻止设置流程完成。

~~Kiosk模式：~~Kiosk 模式~~该应用将自动以~~: 应用将以 Kiosk 模式安装：它被设置为首选主界面，并且已在锁屏任务模式下被白名单。设备设置将在应用安装完成之前无法继续。安装完成后，用户将无法卸载该应用。您只能为每个策略设置一个应用的模式自动安装：它将被设置为首选主屏幕意图，并被列入锁定任务模式的白名单。在应用安装完成之前，设备设置将无法完成。安装后，用户将无法移除该应用。每个策略只能为一个应用设置此 安装类型。~~当该设置存在于策略中时，~~当策略中包含此选项时，状态栏将自动禁用。~~有关更多信息，~~欲了解更多信息，请阅读专门的 Kiosk 模式 页面。

9.2. 安装约束条件安装限制

~~定义应用的安装限制。~~定义了一组应用安装限制。当选择了多个限制条件时，~~所有条件必须满足才能安装该应用。~~必须同时满足所有条件才能完成应用安装。

~~此选项仅在~~仅当 安装类型 为设置为预装或 强制安装 ~~时显示。~~时，才会显示此选项。

~~无流量网络~~非计费网络~~：仅在设备连接到无流量网络时（~~: 仅当设备连接到非计费网络（例如 Wi-Fi）~~安装应用程序。~~时才安装应用。

充电中~~：仅当设备正在充电时安装应用。~~: 仅当设备正在充电时才安装应用。

~~空闲状态~~闲置~~：仅当设备处于空闲状态时安装应用。~~: 仅当设备处于闲置状态时才安装应用。

9.3. 自动更新模式

控制应用的自动更新模式。

~~默认设置：~~默认: ~~应用将以较低优先级自动更新，以最大限度地减少对用户的干扰。当满足以下所有条件时，应用将进行更新：~~应用将以低优先级自动更新，以尽量减少对用户的影响。只有在满足以下所有限制条件时，应用才会进行更新：(1) ~~设备未处于活跃使用状态；~~设备未被活跃使用，(2) ~~设备已连接到非计费网络；~~设备连接到非计费网络，(3) 设备正在充电。~~设备会在开发者发布新版本后的~~在开发者发布更新后的 24 ~~小时内收到通知，之后，当上述条件再次满足时，~~小时内，设备会收到新更新的通知，之后在下次满足上述限制条件时，应用将进行更新。

延迟~~：应用在过期后最多~~: 在应用版本过时后的最多 90 ~~天内不会自动更新。~~天内，不会自动更新应用。在应用版本过时 90 天后，~~最新版本将以较低优先级自动安装（请参阅~~将以低优先级自动安装最新的可用版本（参见默认自动更新模式）。应用更新后，~~除非再次过期，否则在接下来的~~在再次过时后的 90 天内不会再次自动更新。~~用户可以随时从 Google~~用户仍可以随时从 Play ~~商店手动更新应用。~~Store 手动更新应用。

高优先级~~：应用会尽快更新。不适用任何限制。设备在可用时会立即收到新更新的通知。~~: 应用将尽快更新。不应用任何限制条件。新版本发布后，设备会立即收到更新通知。

9.4. 最低版本代码

~~设备上运行的最低应用版本。如果已设置，设备会尝试将应用更新到至少此版本代码。如果应用未更新到最新版本，~~在设备上运行的应用的最低版本。如果设置了此项，设备将尝试将应用更新至至少此版本代码。如果应用未达到最新状态，设备将显示 不合规详情，其中且 不合规原因 ~~设置为~~将被设置为 APP_NOT_UPDATED。应用必须已发布到 Google Play，~~且版本代码大于或等于此值。每个策略最多可指定~~且其版本代码大于或等于此值。每个策略最多可为 20 ~~个应用的最低版本代码。~~个应用指定最低版本代码。

9.5. 授权范围委派范围

来自从 Android ~~设备策略授予应用的权限范围。您可以授予其他应用选择性的~~设备策略委派给应用的范围。您可以向其他应用授予一系列特殊的 Android ~~特殊权限：~~权限：

证书安装~~：授予访问证书安装和管理的权限。~~: 授予证书安装和管理的访问权限。

~~受管配置~~已管理配置：~~授予访问受管配置管理权限。~~授予对已管理配置管理的访问权限。

阻止卸载：~~授予访问阻止卸载的权限。~~授予阻止卸载的权限。

权限：~~授予访问权限策略和权限授予状态的权限。~~授予对权限策略和权限授予状态的访问权限。

应用包访问权限：~~授予访问应用包访问状态的权限。~~授予对应用包访问状态的访问权限。

系统应用：授予启用系统应用的权限。

9.6. 首选网络优先网络

~~用于此应用程序的首选网络服务。~~此应用使用的优先网络服务。如果已设置，当可用时，~~该应用程序将使用指定的企业网络切片进行连接。此设置必须与~~ 该应用将使用指定的企业网络切片进行连接。这必须与移动网络面板中5G 网络切片配置部分配置的网络切片相匹配。 ~~部分中配置的网络切片相匹配，该部分位于~~ 蜂窝 ~~面板。~~

9.7. 默认权限策略

~~这是适用于所有应用请求的默认策略。如果已指定，则会覆盖应用级别设定的~~该应用请求的所有权限的默认策略。如果指定，它将覆盖适用于所有应用的策略级默认权限策略~~，该策略适用于所有应用。它不会覆盖应用于所有应用的~~。它不会覆盖适用于所有应用的权限策略。

~~提示（默认）~~提示 (默认)：提示用户授予权限。

授予：自动授予权限。

拒绝：自动拒绝权限。

9.8. 连接工作和个人应用。工作与个人应用互通

~~是否允许应用在设备的办公和个人模式之间进行通信，需获得用户许可（~~控制应用是否可以在用户同意的情况下，跨设备的个人资料与工作资料进行通信（Android 11 ~~及以上版本）~~及更高版本）。

不允许 (默认)：~~阻止应用在不同用户配置文件之间进行通信。~~防止应用进行跨配置文件通信。

允许：~~在获得用户许可后，允许应用在不同用户配置文件之间进行通信。~~在获得用户同意后，允许应用进行跨配置文件通信。

9.9. 始终开启的始终开启 VPN 锁定例外设置锁定豁免

~~指定当~~指定在 VPN ~~未连接且~~ 未连接且处于~~设备锁定~~锁定启用 ~~处于活动状态时，应用程序是否允许进行网络连接。~~状态时，是否允许该应用进行网络连接。仅支持运行 Android 10 ~~及更高版本的设备。~~及以上版本的设备。

强制强制执行 (默认)：~~该应用会遵循始终开启的~~应用遵循始终开启 VPN 锁定设置。

排除豁免：~~该应用不受始终开启的~~该应用豁免于始终开启 VPN ~~锁定设置的影响。~~锁定设置。

9.10. 工作资料小部件工作资料小组件

~~指定是否允许安装在工作资料中的应用将小部件添加到主屏幕。~~指定安装在工作资料中的应用是否允许向主屏幕添加小组件。

~~允许：~~允许~~该应用可以向主屏幕添加小部件。~~：应用可以将小组件添加到主屏幕。

不允许：~~该应用无法向主屏幕添加小部件。~~应用无法将小组件添加到主屏幕。

9.11. 用户控制设置

~~指定是否允许用户对特定应用进行控制。用户控制包括强制停止和清除应用数据等操作（~~指定是否允许对特定应用进行用户控制。用户控制包括强制停止和清除应用数据等用户操作（Android 11 ~~及以上版本）~~及更高版本）。~~如果启用了~~ 如果为某个应用启用了extensionConfig，则无论此设置如何，~~都将禁用用户控制。对于专用的应用，可以使用~~都将禁止用户控制。对于亭式应用 (Kiosk apps)，您可以使用允许来允许用户控制。 ~~选项来允许用户控制。~~

未指定：使用应用的默认行为来确定是否允许用户控制。

允许：~~该应用允许用户控制。~~允许对该应用进行用户控制。

不允许：~~该应用禁止用户控制。~~禁止对该应用进行用户控制。

9.12. 已禁用。已禁用

~~是否已禁用应用。禁用后，应用数据仍会保留。~~应用是否已禁用。禁用时，应用数据仍将保留。

9.13. 允许凭据提供程序。允许凭据提供程序

~~是否允许该应用在~~应用是否被允许在 Android 14 ~~及更高版本中充当凭据提供程序。~~及更高版本上充当凭据提供程序。

9.14. 受管配置已管理配置

~~要配置应用的受管设置，请点击“~~要配置应用的已管理设置，请点击~~启用受管配置~~启用已管理配置”按钮。~~如果应用已设置了受管配置，您可以使用“~~如果已为该应用设置了已管理配置，您可以通过~~受管配置~~已管理配置~~”按钮进行修改，或使用“~~按钮修改配置，或通过~~删除配置~~移除配置~~”按钮进行删除。~~按钮将其删除。

~~受管配置~~已管理配置~~选项仅适用于支持此功能的应用程序。~~选项仅适用于支持此功能的应用。

9.15. 权限策略

~~为应用程序设置显式授权或拒绝权限。这些值会覆盖~~针对该应用的明确权限授予或拒绝。这些值将覆盖适用于所有应用的默认权限策略和权限策略~~，这些策略适用于所有应用程序。~~。

使用 添加权限策略~~，可以为应用程序添加一个或多个权限规则，并通过删除操作移除它们。~~ 为应用卡片添加一条或多条权限规则，并可通过删除操作将其移除。

9.16. 跟踪ID测试轨道 ID

设备可以访问的应用程序内部测试版本ID列表。如果选择了多个版本ID，设备将获取所有可访问版本中最新版本。如果未选择任何版本ID，设备仅能访问应用程序的正式版本。设备可以访问的应用封闭测试轨道 ID 列表。如果选择了多个轨道 ID，设备将接收所有可访问轨道中的最新版本。如果没有选择任何轨道 ID，设备将只能访问应用的正式版轨道。

~~版本ID~~测试轨道 ID~~选项仅适用于已为您的组织配置至少一个版本ID的应用程序。有关如何将您的组织添加到特定应用程序的内部测试版本的详细信息，请阅读~~选项仅适用于至少有一个测试轨道 ID 可供您组织使用的应用。有关如何将您的组织添加到特定应用的封闭测试轨道的更多详细信息，请参阅此处.。

10. 默认应用程序设置默认应用设置

为支持的类型设置默认应用。~~如果已为至少一种类型设置了默认应用，则用户将无法在该配置中使用更改默认应用的选项。~~一旦为至少一种类型设置了默认应用，用户将无法在该个人资料中更改默认应用。

每个默认应用类型~~只能设置一个默认应用。默认应用列表中不得包含重复项。~~仅允许设置一个默认应用。默认应用列表不得包含重复项。

10.1. 默认应用类型

选择要配置的应用类别（例如：浏览器、~~拨号、~~拨号器、短信、钱包或助手）。可用性取决于 Android 版本和管理模式。

10.2. 默认应用程序范围。默认应用范围

选择默认应用适用的范围（~~完全管理、~~全托管、工作资料或个人资料）。 ~~只能选择与所选类型兼容的范围。~~只能选择所选类型支持的范围。

~~如果所选的任何范围都不适用于设备的管理模式，则设备将报告不符合要求的详细信息。~~如果所选范围均不适用于设备的管理模式，设备将报告合规性异常详情。

10.3. 默认应用程序默认应用

~~可设置为所选类型的默认应用的列表。已安装且符合条件的第一个应用将被设置为默认应用。~~可设置为所选类型默认应用的应用列表。第一个安装且符合条件的应用将被设为默认应用。

~~如果权限范围包括~~如果范围包含~~完全管理~~全托管或工作资料，~~则每个应用也必须在~~则每个应用还必须存在于应用列表中，并且且其安装类型~~不能设置为~~未设置为禁止已阻止。

11. 私钥选择

~~允许在设备上显示UI，以便用户选择私钥别名，如果~~允许在没有匹配规则的情况下，在设备上显示 UI 以供用户选择私钥别名（针对 选择私钥规则~~中没有匹配的规则。~~ 中的规则）。

~~对于Android~~对于 ~~P及以下版本的设备，设置此项可能会使企业密钥面临安全风险。~~Android P 以下版本的设备，设置此项可能会导致企业密钥面临风险。

12. 选择私钥规则

控制应用对私钥的访问权限。~~该规则确定，如果存在，~~该规则决定了 Android ~~设备策略将授予哪个私钥给指定的应用程序。访问权限的授予方式有两种：一是当应用程序调用~~设备策略（Android Device Policy）将向指定应用授予哪个私钥（如果有）。访问权限的授予发生在以下两种情况：一是当应用调用 `KeyChain.~~choosePrivateKeyAlias（或其任何重载函数）~~choosePrivateKeyAlias`（或其任何重载方法）以请求给定 URL 的私钥别名时；~~二是对于非 URL 相关的规则（即，如果 urlPattern 未设置、为空字符串或设置为 ".*"），在~~二是在 Android 11 ~~及以上版本中，可以直接授予访问权限，从而允许应用程序调用~~及更高版本中，对于非特定 URL 的规则（即未设置 `urlPattern`，或将其设置为空字符串或 `.*`），直接授予权限以便应用可以调用 `KeyChain.~~getPrivateKey，~~getPrivateKey`，而无需先调用 `KeyChain.~~choosePrivateKeyAlias。当应用程序调用~~choosePrivateKeyAlias`。当应用调用 `KeyChain.~~choosePrivateKeyAlias~~choosePrivateKeyAlias` ~~时，如果多个~~且有多个 ~~choosePrivateKeyRules~~`choosePrivateKeyRules` ~~规则匹配，则最后一个匹配的规则将定义要返回的密钥别名。~~匹配时，最后一个匹配的规则将决定返回哪个密钥别名。

使用 添加私钥规则 来创建条目，~~并使用删除操作来移除它们。~~并可通过删除操作将其移除。

12.1. 私钥别名

~~用于私钥的别名。~~要使用的私钥别名。

12.2. URL 模式。模式

~~用于匹配请求~~用于与请求的 URL 的进行匹配的 URL 模式。如果未设置或为空，则匹配所有 URL。此项使用 ~~此处使用~~ `java.util.regex.~~Pattern~~Pattern` 的正则表达式语法。

12.3. 软件包名称应用包名

~~此规则适用的软件包名称。系统会验证每个应用的签名证书的哈希值，并与~~该规则适用的应用包名。系统将针对每个应用的签名证书哈希值与 Play ~~提供的哈希值进行比较。如果未指定任何软件包名称，~~提供的哈希值进行验证。如果未指定任何包名，则该别名将提供给所有调用 `KeyChain.~~choosePrivateKeyAlias~~choosePrivateKeyAlias` ~~或其任何重载的方法（但必须先调用 KeyChain.choosePrivateKeyAlias，即使在~~或其任何重载方法的应用（但在 Android 11 ~~及更高版本上也是如此）~~及更高版本中，即使不调用 `KeyChain.choosePrivateKeyAlias` 也无法直接获得该别名）。~~任何具有与此处指定的软件包相同的~~任何与此处指定的包具有相同 Android UID 的应用，在调用 `KeyChain.~~choosePrivateKeyAlias~~choosePrivateKeyAlias` 时都将获得访问权限。

使用 ~~添加软件包名称~~添加应用包名 来添加条目，~~并使用删除操作来移除它们。~~并可通过删除操作将其移除。

~~要删除一个应用，~~要删除应用，请点击应用卡片底部的 垃圾桶图标。 ~~图标。~~