# 系统

在本节中，您可以配置与系统相关的策略。

#### 1. 最小 API 级别

允许的最小 Android API 级别。

#### 2. 加密策略

是否启用加密。

**默认**: 该值将被忽略，即不需要加密。

**启用但无需密码**: 需要加密，但启动时无需输入密码。

**启用并需要密码**: 需要加密，且启动时需要输入密码。

#### 3. 自动日期和时间

是否在公司拥有的设备上启用自动日期、时间及时区。

**用户选择（默认）**: 自动日期、时间及时区由用户自行选择。

**强制执行**: 在设备上强制执行自动日期、时间及时区。

#### 4. 开发者选项

控制对开发者设置的访问权限：包括开发者选项和安全启动。

**已禁用（默认）**: 禁用所有开发者设置，并防止用户访问它们。

**允许**：允许所有开发者设置。用户可以访问并根据需要配置这些设置。

#### 5. 通用标准模式

控制通用标准模式——即信息技术安全评估通用标准 (CC) 中定义的安全性标准。启用通用标准模式会增强设备上的某些安全组件（例如：蓝牙长期密钥的 AES-GCM 加密、对某些网络证书的额外验证以及加密策略完整性检查）。通用标准模式仅在运行 Android 11 或更高版本的公司所有设备上受支持。警告：通用标准模式会强制执行严格的安全模型，通常仅为高度敏感的组织所需要。这可能会影响设备的标准使用；请仅在确有必要时启用。

**禁用（默认）**：禁用通用标准模式。

**启用**：启用通用标准模式。

#### 6. 内存标记扩展 (MTE)

控制设备上的内存标记扩展 (MTE)。

**用户选择（默认）**：用户可以选择在设备上启用或禁用 MTE（如果设备支持）。

**强制执行**：启用 MTE 且不允许用户更改（Android 14+；支持在公司所有设备的完全托管设备和工作资料中使用）。

**禁用**：禁用 MTE 且不允许用户更改（Android 14+；仅支持在完全托管设备中使用）。

#### 7. 内容保护

控制是否启用内容保护（用于扫描欺骗性应用）。此功能在 Android 15 及更高版本上受支持。

**禁用（默认）**：禁用内容保护，且用户无法更改此设置。

**强制执行**：启用内容保护，且用户无法更改此设置（Android 15+）。

**用户选择**：策略不控制内容保护；用户可以自行选择（Android 15+）。

#### 8. 辅助内容

控制是否允许将辅助内容 (AssistContent) 发送到具有特权的应用程序，例如助手类应用（例如“圈选即搜”）。辅助内容包括屏幕截图和有关应用的信息，例如包名。此功能在 Android 15 及更高版本上受支持。

**允许（默认）**：允许将辅助内容发送到特权应用（Android 15+）。

**禁止**：禁止将辅助内容发送到特权应用（Android 15+）。

#### 9. 禁用创建窗口

是否禁用除应用窗口之外的窗口创建。此选项可防止显示以下系统 UI：吐司消息 (toasts) 和 SnackBar、电话活动（如来电）和优先级电话活动（如通话中）、系统警报、系统错误以及系统叠加层。

#### 10. 网络紧急出口

是否启用网络紧急出口。如果在启动时无法建立网络连接，该紧急出口将提示用户临时连接到网络，以便刷新设备策略。应用策略后，系统将忘记该临时网络并继续启动设备。这可以防止在最后一次应用的策略中没有合适网络，且设备进入锁定任务模式的应用或用户无法访问设备设置时，导致无法连接到网络的情况。

#### 11. 默认活动

用于处理符合特定意图过滤器 (intent filter) 的意图的默认活动列表。例如，此功能允许 IT 管理员选择哪个浏览器应用自动打开网页链接，或在点击主页按钮时使用哪个启动器应用。

使用 **添加默认活动** 来创建条目。在条目内，使用 **添加操作** 和 **添加类别** 来构建意图过滤器。

##### 11.1. 接收器活动

应作为默认意图处理程序的活动。这应当是一个 Android 组件名称，例如 com.android.enterprise.app/.MainActivity。或者，该值也可以是应用程序的包名，这将使 Android 设备策略从该应用中选择合适的活动来处理意图。

##### 11.2. 操作

过滤器中要匹配的意图操作。如果过滤器中包含任何操作，则该意图的操作必须是这些值之一才能匹配。如果没有包含任何操作，则忽略意图操作。

##### 11.3. 类别

过滤器中要匹配的意图类别。一个意图包含其所需的类别，所有这些类别都必须包含在过滤器中才能匹配。换句话说，除非该类别已在意图中指定，否则向过滤器中添加类别不会对匹配产生影响。

#### 12. 允许的输入法

指定允许的输入法。

**全部允许**：不应用任何限制。允许所有输入法。

**仅限系统内置**：仅允许使用系统内置的输入法。

**仅限系统内置及提供的**：仅允许使用提供的以及系统内置的输入法。

##### 12.1. 允许的输入法

允许的输入法包名。仅在将 **允许的输入法** 设置为 **仅限系统内置及提供的** 时生效。

使用 **添加输入法** 来添加条目，并使用删除操作将其移除。

#### 13. 允许的辅助功能服务

指定允许的辅助功能服务。

**全部允许**：可以使用任何辅助功能服务。

**仅限系统内置**：仅允许使用系统内置的辅助功能服务。

**仅限系统内置及提供的**: 仅允许使用提供的以及系统内置的辅助功能服务。

##### 13.1. 允许的辅助功能服务

允许的辅助功能服务。仅在将 **允许的辅助功能服务** 设置为 **仅限系统内置及提供的** 时生效。

使用 **添加辅助功能服务** 来添加条目，并使用删除操作将其移除。

#### 14. 系统更新策略

用于管理系统更新的配置。

**默认**：遵循设备的默认更新行为，这通常需要用户接受系统更新。

**自动**：一旦有可用更新，立即自动安装。

**窗口期**：在每日维护窗口期内自动安装。此选项还会配置 Play 应用在窗口期内进行更新。对于自助服务终端 (Kiosk) 设备，强烈建议使用此选项，因为这是通过 Play 更新持久固定在前景中的应用的唯一方式。

**延迟**：延迟自动安装，最多可延迟 30 天。

##### 14.1. 维护窗口（仅限窗口期模式）

当 **系统更新策略** 设置为 **窗口期** 时，您可以使用 **从** 和 **至** 字段来定义每日维护窗口。

##### 14.2. 系统更新冻结期

每年重复出现的一个时间段，在此期间会推迟无线下载 (OTA) 系统更新，以冻结设备上运行的操作系统版本。为防止无限期冻结设备，每个冻结期之间必须间隔至少 60 天。每个冻结期不得超过 90 天。

使用 **添加系统更新冻结期** 来创建条目。

#### 15. 凭据提供程序默认设置

控制在 Android 14 及更高版本中允许哪些应用充当凭据提供程序。

**禁止（默认）**：未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序。

**除系统外禁止**：未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序，但 OEM 默认凭据提供程序除外。