系统

~~在本部分，~~在本节中，您可以配置与系统相关的策略。

1. 最低最小 API 级别

~~允许的最低~~允许的最小 Android API 级别。

2. 加密策略

~~是否已启用加密。~~是否启用加密。

默认~~：此值将被忽略，~~: 该值将被忽略，即不需要加密。

~~已启用，无需密码~~启用但无需密码：: 需要加密，~~但启动时无需密码。~~但启动时无需输入密码。

~~已启用密码~~启用并需要密码：: 需要加密，~~且启动时需要密码。~~且启动时需要输入密码。

3. 自动日期和时间

~~是否已在企业拥有的设备上启用自动日期、时间和时区。~~是否在公司拥有的设备上启用自动日期、时间及时区。

用户选择（默认）：: 自动日期、~~时间和时区设置由用户自行选择。~~时间及时区由用户自行选择。

强制强制执行~~：在设备上强制启用自动日期、时间和时区设置。~~: 在设备上强制执行自动日期、时间及时区。

4. 开发者设置开发者选项

~~控制对开发者设置的访问：~~控制对开发者设置的访问权限：包括开发者选项和安全启动。

禁用已禁用（默认）: ~~(默认)~~：禁用所有开发者设置，~~并阻止用户访问这些设置。~~并防止用户访问它们。

允许：允许所有开发者设置。用户可以访问并根据需要配置这些设置。

5. 通用标准模式。通用标准模式

~~“通用标准模式”控制：安全标准，定义于《信息技术安全评估通用标准》。启用“通用标准模式”会增强设备上的某些安全功能（~~控制通用标准模式——即信息技术安全评估通用标准 (CC) 中定义的安全性标准。启用通用标准模式会增强设备上的某些安全组件（例如：蓝牙长期密钥的 AES-GCM 加密、~~某些网络证书的额外验证以及加密策略完整性检查）~~对某些网络证书的额外验证以及加密策略完整性检查）。~~“通用标准模式”仅适用于运行~~通用标准模式仅在运行 Android 11 ~~或更高版本的公司拥有的设备。~~或更高版本的公司所有设备上受支持。警告：~~启用“通用标准模式”会强制执行严格的安全模型，通常仅适用于高度敏感的组织。标准设备使用可能会受到影响；仅在必要时才启用。~~通用标准模式会强制执行严格的安全模型，通常仅为高度敏感的组织所需要。这可能会影响设备的标准使用；请仅在确有必要时启用。

~~已禁用（~~禁用（默认）：~~禁用“通用标准模式”。~~禁用通用标准模式。

启用：启用通用标准模式。

6. 内存标记扩展 (MTE)

~~启用/禁用设备上的内存标记扩展~~控制设备上的内存标记扩展 (MTE)。

用户选择（默认）：用户可以选择在设备上启用或禁用 MTE（如果设备支持）。

强制强制执行：启用 MTE ~~已启用，用户不允许更改此设置（~~且不允许用户更改（Android 1414+；支持在公司所有设备的完全托管设备和工作资料中使用）。 ~~及以上版本；仅在完全管理的设备和公司拥有的设备上的工作资料中支持）。~~

~~已禁用~~禁用：禁用 MTE ~~已禁用，用户不允许修改此设置（~~且不允许用户更改（Android 1414+；仅支持在完全托管设备中使用）。 ~~及以上版本；仅在完全管理的设备上支持）。~~

7. 内容保护

~~是否启用内容保护功能（该功能会扫描潜在的恶意应用）~~控制是否启用内容保护（用于扫描欺骗性应用）。仅在此功能在 Android 15 ~~及更高版本中支持。~~及更高版本上受支持。

禁用（默认）：~~内容保护已禁用，用户无法修改此设置。~~禁用内容保护，且用户无法更改此设置。

强制强制执行：~~内容保护已启用，用户无法修改此设置（适用于~~ 启用内容保护，且用户无法更改此设置（Android 1515+）。 ~~及更高版本）。~~

用户选择：~~内容保护不由策略控制，用户可以选择。（适用于~~ 策略不控制内容保护；用户可以自行选择（Android 1515+）。 ~~及更高版本）~~

8. 辅助内容

~~控制是否允许将辅助内容发送到特权应用，例如辅助应用（例如，Circle~~控制是否允许将辅助内容 to(AssistContent) ~~Search）~~发送到具有特权的应用程序，例如助手类应用（例如“圈选即搜”）。~~辅助内容包括屏幕截图以及有关应用的的信息，~~辅助内容包括屏幕截图和有关应用的信息，例如包名。此功能在 Android 15 ~~及更高版本中受支持。~~及更高版本上受支持。

~~允许 (默认)~~允许（默认）：允许将辅助内容发送到特权应用（Android 1515+）。 ~~及更高版本）。~~

禁止：~~辅助内容无法发送到特权应用（~~禁止将辅助内容发送到特权应用（Android 1515+）。 ~~及更高版本）。~~

9. 创建窗口时，禁用此功能。禁用创建窗口

~~是否禁用创建非应用程序窗口。~~是否禁用除应用窗口之外的窗口创建。此选项可防止显示以下系统 ~~禁用此选项可防止以下系统UI显示：通知和悬浮窗、~~UI：吐司消息 (toasts) 和 SnackBar、电话活动（如来电）~~、重要电话活动（~~和优先级电话活动（如通话中）、系统警报、~~系统错误和系统覆盖层。~~系统错误以及系统叠加层。

10. 网络逃生通道网络紧急出口

~~是否启用网络逃生通道。如果设备启动时无法连接到网络，逃生通道会提示用户暂时连接到网络以刷新设备策略。~~是否启用网络紧急出口。如果在启动时无法建立网络连接，该紧急出口将提示用户临时连接到网络，以便刷新设备策略。应用策略后，临时网络连接将被清除，设备将继续启动。这可防止在设备策略中没有可用的网络连接时，设备无法连接到网络，尤其是在设备以应用锁定模式启动或用户无法访问设备设置时。系统将忘记该临时网络并继续启动设备。这可以防止在最后一次应用的策略中没有合适网络，且设备进入锁定任务模式的应用或用户无法访问设备设置时，导致无法连接到网络的情况。

11. 默认活动。默认活动

~~用于处理与特定意图过滤器匹配的意图的默认活动列表。~~用于处理符合特定意图过滤器 (intent filter) 的意图的默认活动列表。例如，此功能允许 IT ~~管理员选择哪个浏览器应用程序自动打开网页链接，或使用哪个启动器应用程序来响应主按钮的点击。~~管理员选择哪个浏览器应用自动打开网页链接，或在点击主页按钮时使用哪个启动器应用。

使用 添加默认活动 来创建条目。~~在每个条目中，~~在条目内，使用 添加操作 和 添加类别 来构建意图过滤器。

11.1. 接收器活动

~~应设为默认处理程序的活动。这应该是一个~~应作为默认意图处理程序的活动。这应当是一个 Android 组件名称，例如 com.android.enterprise.app/.MainActivity。或者，~~该值可以是应用程序的包名，~~该值也可以是应用程序的包名，这将使 Android ~~设备策略会从中选择一个合适的活动来处理该意图。~~设备策略从该应用中选择合适的活动来处理意图。

11.2. 操作

~~过滤器中需要匹配的意图操作。~~过滤器中要匹配的意图操作。如果过滤器中包含任何操作，~~则意图的操作必须是这些值之一才能匹配。~~则该意图的操作必须是这些值之一才能匹配。如果没有包含任何操作，~~则忽略意图的操作。~~则忽略意图操作。

11.3. 类别

~~过滤器中需要匹配的意图类别。一个意图包含它所需要的类别，~~过滤器中要匹配的意图类别。一个意图包含其所需的类别，所有这些类别都必须包含在过滤器中才能匹配。换句话说，~~向过滤器添加一个类别，除非该类别在意图中被指定，否则不会影响匹配。~~除非该类别已在意图中指定，否则向过滤器中添加类别不会对匹配产生影响。

12. 允许的输入方法。允许的输入法

~~指定允许的输入方式。~~指定允许的输入法。

~~允许的全部方式~~全部允许：~~未应用任何限制。所有输入方式均允许。~~不应用任何限制。允许所有输入法。

~~仅限系统~~仅限系统内置：~~仅允许使用系统内置的输入方式。~~仅允许使用系统内置的输入法。

~~仅限系统自带及提供的~~仅限系统内置及提供的：~~仅允许使用系统内置和提供的输入方式。~~仅允许使用提供的以及系统内置的输入法。

12.1. 允许的输入方式允许的输入法

~~允许使用的输入法包名。仅当“~~允许的输入法包名。仅在将 ~~允许的输入方式~~允许的输入法~~”设置为“~~ 设置为 ~~仅系统自带和已提供~~仅限系统内置及提供的” 时生效。

使用 添加输入法~~功能，可以添加条目，并通过删除操作移除它们。~~ 来添加条目，并使用删除操作将其移除。

13. 允许使用的辅助功能服务。允许的辅助功能服务

~~允许指定的辅助功能服务。~~指定允许的辅助功能服务。

~~允许使用的所有~~全部允许：~~任何辅助功能服务都可以使用。~~可以使用任何辅助功能服务。

~~仅限系统~~仅限系统内置：~~仅允许使用系统自带的辅助功能服务。~~仅允许使用系统内置的辅助功能服务。

~~仅限系统~~仅限系统内置及提供的~~：仅允许使用系统自带以及提供的辅助功能服务。~~: 仅允许使用提供的以及系统内置的辅助功能服务。

13.1. 允许使用的辅助功能服务。允许的辅助功能服务

~~允许使用的辅助功能服务。仅在~~允许的辅助功能服务。仅在将 ~~允许系统和提供的辅助功能~~允许的辅助功能服务 设置为 ~~仅限系统和提供的~~仅限系统内置及提供的 时生效。

使用 ~~辅助功能服务~~添加辅助功能服务~~，可以添加条目，~~ 来添加条目，并使用删除操作将其移除。

14. 系统更新策略

用于管理系统更新的配置。

默认：遵循设备的默认更新行为，~~通常需要用户接受系统更新。~~这通常需要用户接受系统更新。

自动：~~在有可用更新时，~~一旦有可用更新，立即自动安装。

~~窗口模式~~窗口期：~~在设定的每日维护时段内自动安装更新。这也会将~~在每日维护窗口期内自动安装。此选项还会配置 Play ~~应用配置为在维护时段内进行更新。~~应用在窗口期内进行更新。对于自助服务终端 ~~强烈建议在设备端使用此功能，因为这是唯一可以确保始终在后台运行的应用能够通过~~(Kiosk) 设备，强烈建议使用此选项，因为这是通过 Play ~~进行更新的方法。~~更新持久固定在前景中的应用的唯一方式。

延迟：~~可以将自动安装延迟，最长可达~~延迟自动安装，最多可延迟 30 天。

14.1. 维护窗口（仅限窗口模式）仅限窗口期模式）

当 系统更新策略 设置为 ~~窗口模式~~窗口期 时，您可以使用从和到至 ~~字段来定义每日维护时间。~~字段来定义每日维护窗口。

14.2. 系统更新冻结时间段系统更新冻结期

每年重复的OTA系统更新暂停期，用于固定设备上运行的操作系统版本。为了防止设备无限期地被锁定，每个暂停期之间必须间隔至少60天。每个暂停期不得超过90天。每年重复出现的一个时间段，在此期间会推迟无线下载 (OTA) 系统更新，以冻结设备上运行的操作系统版本。为防止无限期冻结设备，每个冻结期之间必须间隔至少 60 天。每个冻结期不得超过 90 天。

使用 ~~添加系统更新暂停期~~添加系统更新冻结期 ~~功能来创建条目。~~来创建条目。

15. 凭证提供商的默认设置。凭据提供程序默认设置

~~控制哪些应用程序在~~控制在 Android 14 ~~及更高版本上被允许作为凭证提供程序。~~及更高版本中允许哪些应用充当凭据提供程序。

~~不允许（默认）~~~~：未在应用程序中指定的 credentialProviderPolicy 的应用程序，不允许作为凭证提供程序。~~

~~不允许（~~禁止（默认）：未指定 credentialProviderPolicy ~~的应用程序，不允许作为凭证提供程序，除非是~~的应用不允许充当凭据提供程序。

除系统外禁止：未指定 credentialProviderPolicy 的应用不允许充当凭据提供程序，但 OEM ~~默认的凭证提供程序。~~默认凭据提供程序除外。