系统
In this section you can configure system-related policies.
1. 最低 API 级别
最低允许的 Android API 版本。
2. 加密策略
是否启用加密。
默认:此值将被忽略,即无需加密。
已启用无密码:需要加密,但启动时无需密码。
已启用密码:需要加密,且启动时需要密码。
3. 自动日期和时间
公司设备是否启用了自动日期、时间和时区。
默认User choice (default):未指定。默认为用户选择。
用户选择:自动日期、时间和时区,由用户自行选择。: Auto date, time, and time zone are left to user's choice.
强制:在设备上强制自动日期、时间和时区。
4. 定位模式
允许的位置检测程度。用户可以在未被阻止访问设备设置时更改此值。仅适用于公司拥有的设备。
默认User choice (default):: 默认为用户选择。
用户选择:位置设置在设备上不受限。未设置或强制执行特定行为。Location setting is not restricted on the device. No specific behavior is set or enforced.
强制:在设备上启用位置设置。
已禁用:在设备上禁用位置设置。
5. 开发者设置
控制访问开发者设置:开发者选项和安全启动。
默认Disabled (default):未指定。默认禁用。
禁用:禁用所有开发者设置并阻止用户访问它们。: Disables all developer settings and prevents the user from accessing them.
允许:允许所有开发者设置。用户可以访问和根据需要配置这些设置。
6. 通用准则模式
控制通用标准模式—通用标准信息技术安全评估标准Controls Common Criteria Mode—security standards defined in the Common Criteria for Information Technology Security Evaluation (CC). 定义的安全标准。启用通用标准模式会增加设备上的某些安全组件,包括蓝牙长期密钥的Enabling Common Criteria Mode increases certain security components on a device (for example: AES-GCM 加密以及encryption Wi-Fiof 配置存储。警告:通用标准模式强制执行严格的安全模型,通常仅适用于国家安全系统和其他高度敏感组织的Bluetooth ITLong 产品。标准设备使用可能会受到影响。仅在需要时启用。Term Keys, additional validation for some network certificates, and cryptographic policy integrity checks). Common Criteria Mode is supported only on company-owned devices running Android 11 or above. Warning: Common Criteria Mode enforces a strict security model typically only required for highly sensitive organizations. Standard device use may be affected; enable it only if required.
默认Disabled (default):未指定。默认禁用。
禁用:默认。禁用通用标准模式。: Disables Common Criteria Mode.
启用:启用通用标准模式。
7. Memory Tagging Extension (MTE)
Controls Memory Tagging Extension (MTE) on the device.
User choice (default): The user can choose to enable or disable MTE on the device (if supported by the device).
Enforced: MTE is enabled and the user is not allowed to change it (Android 14+; supported on fully managed devices and work profiles on company-owned devices).
Disabled: MTE is disabled and the user is not allowed to change it (Android 14+; supported on fully managed devices only).
8. Content protection
Controls whether content protection (which scans for deceptive apps) is enabled. This is supported on Android 15 and above.
Disabled (default): Content protection is disabled and the user cannot change this.
Enforced: Content protection is enabled and the user cannot change this (Android 15+).
User choice: Content protection is not controlled by the policy; the user can choose (Android 15+).
9. Assist content
Controls whether AssistContent is allowed to be sent to a privileged app such as an assistant app (for example, Circle to Search). AssistContent includes screenshots and information about an app, such as package name. This is supported on Android 15 and above.
Allowed (default): Assist content is allowed to be sent to a privileged app (Android 15+).
Disallowed: Assist content is blocked from being sent to a privileged app (Android 15+).
10. 分享位置已禁用
工作应用是否已禁用位置共享。在拥有用户资料的设备上,禁用工作资料的位置。在完全管理的设备上,禁用整个设备的位置(也会覆盖“位置模式”)。
8.11. 创建窗口时禁用
是否禁用创建非应用窗口。此选项可阻止显示以下系统UI:吐示符和snackbar、电话活动(例如来电)和高优先级电话活动(例如正在进行的通话)、系统警报、系统错误和系统覆盖层。
9.12. 网络逃生通道
网络逃生通道是否已启用。如果设备启动时无法建立网络连接,逃生通道会提示用户暂时连接网络以刷新设备策略。应用策略后,临时网络会被遗忘,设备将继续启动。这可防止在上次策略中没有合适的网络可用时,设备进入应用锁任务模式或用户无法访问设备设置时无法连接网络。
10.13. 默认活动
针对特定意图过滤器的意图处理默认活动列表。例如,此功能允许 IT 管理员选择自动打开网页链接的浏览器应用,或用于点击主页按钮的启动器应用。
Use Add default activity to create entries. Within an entry, use Add action and Add category to build the intent filter.
10.13.1. 接收器活动
应设为默认意图处理程序的活动。 这应该是一个 Android 组件名称,例如 com.android.enterprise.app/.MainActivity。 或者,该值可以是应用的包名,这会导致 Android 设备策略从该应用中选择合适的活动来处理意图。
10.13.2. 操作
筛选器中匹配的操作意图。如果筛选器中包含任何操作,则意图的操作必须是这些值之一才能匹配。如果没有包含任何操作,则意图操作将被忽略。
10.13.3. 分类
筛选器中匹配的意图类别。意图包含其所需的类别,所有类别都必须在筛选器中包含,才能匹配。换句话说,将类别添加到筛选器对匹配没有影响,除非该类别在意图中指定。
11.14. 允许的输入法
指定允许的输入方式。
允许全部:未应用任何限制。所有输入方式均允许。
仅限系统:仅允许系统内置的输入方式。
仅限系统和已提供的:仅允许已提供和系统内置的输入方式。
11.14.1. 允许使用的输入方式
允许的输入方式包名。仅当允许的输入方式设置为仅系统和提供的。
Use Add input method to add entries and remove them with the delete action.
12.15. 允许的辅助功能服务
指定允许的辅助服务。
所有允许的:任何辅助功能服务都可以使用。
仅系统:仅可使用系统内置的辅助功能服务。
仅系统和提供:仅可使用提供的系统内置的辅助功能服务。
12.15.1. 允许的辅助功能服务
允许的辅助功能服务。仅在允许的辅助功能服务 设置为仅系统和提供的时生效。
Use Add accessibility service to add entries and remove them with the delete action.
13.16. 系统更新策略
系统更新管理配置
默认:遵循设备的默认更新行为,通常需要用户接受系统更新。
自动:在更新可用时立即自动安装。
窗口模式:在每日维护窗口内自动安装。这也会配置Play应用在窗口内更新。对于自助服务设备,强烈建议使用此方法,因为这是确保前台固定应用通过 Play 进行更新的唯一方式。
推迟:可以将自动安装推迟至最长30天。
14.16.1. 系统更新冻结期
Maintenance window (Windowed only)每年重复的时期,在此期间会推迟通过空中When System update policy is set to Windowed, you can define the daily maintenance window using the from and to fields.
16.2. System update freeze periods
An annually repeating time period in which over-the-air (OTA) 系统更新,以冻结设备上运行的操作系统版本。为防止设备无限期冻结,每个冻结期必须间隔至少system updates are postponed to freeze the OS version running on a device. To prevent freezing the device indefinitely, each freeze period must be separated by at least 60 天。days. Each freeze period must not exceed 90 days.
Use Add system update freeze period to create entries.
17. Credential providers default
Controls which apps are allowed to act as credential providers on Android 14 and above.
Disallowed (default): Apps with credentialProviderPolicy unspecified are not allowed to act as a credential provider.
Disallowed except system: Apps with credentialProviderPolicy unspecified are not allowed to act as a credential provider, except for the OEM default credential providers.