# 安全性 在本节中,您可以配置与安全相关的策略。 #### 安全风险操作 选择当设备在状态报告中报告安全风险 (SecurityRisk) 时要执行的操作。 支持的安全风险 (SecurityRisk) 类型: **未知操作系统 (Unknown OS)**: Play Integrity API 检测到设备正在运行未知的操作系统(basicIntegrity 检查通过,但 ctsProfileMatch 失败)。 **受损操作系统 (Compromised OS)**: Play Integrity API 检测到设备正在运行受损的操作系统(basicIntegrity 检查失败)。 **硬件级完整性评估失败**: 如果设备完整性字段中未显示 MEETS\_STRONG\_INTEGRITY 标签,则 Play Integrity API 检测到该设备无法提供强大的系统完整性保证。 可用操作: **擦除企业数据(默认)**: 注销设备并擦除工作数据(如果是完全管理的设备,则擦除整个设备;如果是个人拥有的设备,则仅擦除工作资料)。 **不执行操作**: 保持设备注册状态,不自动执行任何操作。 当您选择 **擦除企业数据** 时,您还可以配置擦除选项: **保留出厂重置保护**: 在擦除设备时保留出厂重置保护 (FRP) 数据。 **擦除外部存储**: 在执行擦除操作时,额外擦除设备的外部存储(如 SD 卡)。 **擦除 eSIM**: 对于公司拥有的设备,擦除设备时将移除所有 eSIM。在个人拥有的设备上,这将移除设备上的受管 eSIM(通过 ADD\_ESIM 命令添加的 eSIM),而不会移除个人拥有的 eSIM。 #### 1. 最大锁定时间 设备锁定前的最大用户活动时间(以秒为单位)。设置为 0 表示没有限制。 #### 2. 充电时保持亮屏 设备保持亮屏的插电模式。使用此设置时,建议清除 **最大锁定时间**,以免设备在保持亮屏时自动锁定。 **交流充电器 (AC charger)**: 电源为交流充电器。 **USB 端口**: 电源为 USB 端口。 **无线充电器**: 电源为无线充电。 #### 3. 禁用锁屏界面 (Keyguard) 如果为 true,则将禁用主显示屏和/或副显示屏的锁屏界面。此策略仅在专用设备管理模式下受支持。 #### 4. 密码要求 密码要求策略。 使用 **配置密码要求** 来添加一个或多个密码要求块。使用 **全部清除** 来移除所有已配置的密码要求。 密码要求可以使用 **自动** 范围(单一要求)或独立的 **设备**/**工作资料** 范围。基于复杂性的要求必须与针对同一范围的基于质量的要求结合使用。 ##### 4.1. 范围 密码要求适用的范围。 **自动**: 未指定范围。对于工作资料设备,密码要求将应用于工作资料;对于完全管理或专用设备,则应用于整个设备。 **设备**: 密码要求仅应用于设备。 **工作资料**: 密码要求仅应用于工作资料。 ##### 4.2. 密码历史长度 密码历史记录的长度。设置此字段后,用户将无法输入与历史记录中任何密码相同的密码。设置为 0 表示没有限制。 ##### 4.3. 擦除前的最大失败密码次数 在设备被擦除之前,允许输入的错误解锁密码次数。设置为 0 表示没有限制。 ##### 4.4. 密码过期超时(天) 此设置将在指定的天数后,强制用户定期更新密码。 ##### 4.5. 需要密码解锁 在设备或工作资料使用强身份验证方式(密码、PIN 码、图案)解锁后,允许使用其他任何身份验证方法(例如指纹、信任代理、面部识别)进行解锁的时长。在指定的时段结束后,只能使用强身份验证方式来解锁设备或工作资料。 **设备默认**: 超时时间设置为设备的默认值。 **每天**: 超时时间设置为 24 小时。 ##### 4.6. 密码质量 要求的密码质量。 **高复杂度**: 定义高密码复杂度范围为:在 Android 12 及以上版本中:不含重复数字 (4444) 或有序序列 (1234, 4321, 2468) 的 PIN 码,长度至少为 8 位;包含字母的密码,长度至少为 6 位;包含字母数字混合的密码,长度至少为 6 位。 **中等复杂度**: 定义中等密码复杂度范围为:不含重复数字 (4444) 或有序序列 (1234, 4321, 2468) 的 PIN 码,长度至少为 4 位;包含字母的密码,长度至少为 4 位;包含字母数字混合的密码,长度至少为 4 位。 **低复杂度**: 定义低密码复杂度范围为:图形密码;包含重复数字 (4444) 或有序序列 (1234, 4321, 2468) 的 PIN 码。 **无**: 没有密码要求。 **弱**: 设备必须至少使用低安全性生物识别技术进行保护。这包括能够识别个人身份、且其强度大致相当于 3 位数字 PIN 码的技术(误报率低于千分之一)。 **任意**: 需要设置密码,但对密码包含的内容没有限制。 **数字**: 密码必须包含数字字符。 **数字复杂**: 密码必须包含数字字符,且不能有重复数字 (4444) 或有序序列 (1234, 4321, 2468)。 **字母**: 密码必须包含字母(或符号)字符。 **字母数字混合**: 密码必须同时包含数字字符和字母(或符号)字符。 **复杂**: 密码必须满足 passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbols 等指定的最低要求。例如,如果 passwordMinimumSymbols 为 2,则密码必须包含至少两个符号。 ##### 4.7. 最小长度 允许的最小密码长度。设置为 0 表示没有限制。 ##### 4.8. 最小字母数 密码中要求的最小字母数。 ##### 4.9. 最小小写字母数 密码中要求的最小小写字母数。 ##### 4.10. 最小大写字母数 密码中要求的最小大写字母数。 ##### 4.11. 最小非字母字符数 密码中要求的最小非字母字符数(数字或符号)。 ##### 4.12. 最小数字位数 密码中要求的最小数字位数。 ##### 4.13. 最小符号数 密码中要求的最小符号数。 ##### 4.14. 统一锁定 控制在运行 Android 9 及以上版本且具有工作资料的设备上,是否允许为该设备和工作资料使用统一锁定。此设置对其他设备没有影响。 **允许统一锁定**: 允许为设备和工作资料使用统一的锁定方式。 **需要独立的工作资料锁定**: 要求为工作资料设置独立的锁定方式。 #### 5. 禁用恢复出厂设置 是否禁用通过设置进行恢复出厂设置。仅适用于完全管理的设备。 #### 6. 恢复出厂重置保护 用于恢复出厂重置保护的设备管理员电子邮件地址。当设备发生未经授权的恢复出厂设置时,将需要其中一位管理员使用 Google 账号电子邮件和密码登录以解锁设备。如果未指定管理员,则设备不会提供恢复出厂重置保护。仅适用于完全管理的设备。 **管理员电子邮件**: 使用 **启用恢复出厂重置保护** 开始配置管理员。然后使用 **添加管理员电子邮件** 来添加地址,并使用删除操作将其移除。 #### 7. 锁屏界面功能 可以禁用的锁屏界面 (Keyguard) 功能。 ##### 7.1. 禁用全部 禁用所有当前及未来的锁屏界面自定义功能。 ##### 7.2. 禁用摄像头 在安全锁屏界面(例如输入 PIN 码时)禁用摄像头。 ##### 7.3. 禁用通知 在安全锁屏界面禁用显示所有通知。 ##### 7.4. 禁用未脱敏通知 在安全锁屏界面禁用未脱敏通知。 ##### 7.5. 忽略信任代理状态 在安全锁屏界面忽略信任代理状态。 ##### 7.6. 禁用指纹解锁 在安全锁屏界面禁用指纹传感器。 ##### 7.7. 禁用通知中的文本输入 在安全锁屏界面禁用通知中的文本输入。 ##### 7.8. 禁用面部身份验证 在安全锁屏界面禁用面部身份验证。 ##### 7.9. 禁用虹膜身份验证 在安全锁屏界面禁用虹膜身份验证。 ##### 7.10. 禁用所有生物识别身份验证 在安全锁屏界面禁用所有生物识别身份验证。 ##### 7.11. 禁用所有快捷方式 在 Android 14 及以上版本的安全锁屏界面上禁用所有快捷方式。