网络
在此部分中,您可以配置与网络相关的策略。
Wi-Fi 配置可以由系统通过 Wi-Fi 配置进行配置和管理。根据在 配置 Wi-Fi 中设置的值,用户对添加/修改网络的控制权限可能受限或完全无法控制。
设备无线电状态
1. Wi-Fi 状态
控制 Wi-Fi 的当前状态,以及用户是否可以更改其状态。
用户选择(默认):允许用户启用/禁用 Wi-Fi。
已启用:Wi-Fi 已开启,且用户不允许将其关闭(Android 13+)。
已禁用:Wi-Fi 已关闭,且用户不允许将其开启(Android 13+)。
2. 最低 Wi-Fi 安全级别
设备可以连接的 Wi-Fi 网络所需的最低安全级别。在 Android 13 及以上版本中受支持,适用于完全管理的设备以及公司拥有的设备上的工作资料。
开放网络(默认):设备可以连接所有类型的 Wi-Fi 网络。
个人网络:不允许连接开放式 Wi-Fi 网络;要求至少具备个人安全级别(例如 WPA2-PSK)。
企业网络:要求使用企业级 EAP 网络;不允许低于此安全级别的 Wi-Fi 网络。
192 位企业网络:要求使用 192 位企业网络;最严格的选项。
3. 超宽带 (UWB) 状态
控制超宽带设置的状态,以及用户是否可以将其开启或关闭。
用户选择(默认): 允许用户开启或关闭 UWB。
已禁用: UWB 已禁用,且不允许用户通过设置进行切换(Android 14+)。
设备连接管理
4. 蓝牙共享
控制是否允许蓝牙共享。
允许: 允许蓝牙共享(在完全管理的设备上为默认设置,Android 8+)。
不允许: 不允许蓝牙共享(在工作资料中为默认设置,Android 8+)。
5. 配置 Wi-Fi
控制 Wi-Fi 配置权限。根据所选选项,用户对配置 Wi-Fi 网络拥有完全、有限或无控制权。
允许配置 Wi-Fi(默认): 允许用户配置 Wi-Fi。
不允许添加 Wi-Fi 配置: 不允许添加新的 Wi-Fi 配置。用户可以在已配置的网络之间进行切换(Android 13+;适用于完全管理的设备和公司拥有的工作资料)。
不允许配置 Wi-Fi: 不允许配置 Wi-Fi 网络。对于完全管理的设备,这将移除用户配置的网络,仅保留通过 Wi-Fi 配置 配置的网络。对于公司拥有的工作资料,现有网络不受影响,但用户无法添加/删除/修改 Wi-Fi 网络。
当禁用 Wi-Fi 配置且设备在启动时无法连接时,系统可以显示 网络逃生口,以便让用户临时连接并刷新策略。
6. Wi-Fi Direct 设置
控制 Wi-Fi Direct 设置的配置与使用。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。
允许(默认): 允许用户使用 Wi-Fi Direct。
不允许: 不允许用户使用 Wi-Fi Direct。
7. 网络共享设置
控制网络共享设置。根据所设定的值,用户将被部分或完全禁止使用不同形式的网络共享。
允许所有网络共享(默认): 允许配置和使用所有形式的网络共享。
不允许 Wi-Fi 网络共享: 不允许用户使用 Wi-Fi 网络共享(适用于公司拥有的 Android 13+ 设备)。
不允许所有网络共享: 不允许所有形式的网络共享(适用于完全管理的设备 + 公司拥有的工作资料)。
8. Wi-Fi SSID 策略
限制设备可以连接的 Wi-Fi SSID(这不会影响设备上可以配置哪些网络)。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。
SSID 黑名单(默认): 设备无法连接到 SSID 在列表中的任何 Wi-Fi 网络,但可以连接到其他网络。
SSID 白名单: 设备只能连接到列表中的 SSID。SSID 列表不能为空。
使用 添加 SSID 来添加条目。根据所选策略类型的不同,该列表将被解释为允许的 SSID 或拒绝的 SSID。
在策略编辑器 UI 中,白名单的 SSID 列表标记为 允许的 Wi-Fi SSID,黑名单的 SSID 列表标记为 拒绝的 Wi-Fi SSID。
9. Wi-Fi 漫游设置
按 SSID 配置 Wi-Fi 漫游模式。使用 添加 Wi-Fi 漫游设置 来创建条目。
每个条目包括:
SSID: 漫游设置适用的 SSID(必填)。
Wi-Fi 漫游模式: 默认 / 已禁用 / 激进。已禁用和激进模式需要 Android 15+,且仅在完全管理的设备以及公司拥有的设备上的工作资料中受支持。
网络限制
10. 禁用蓝牙
是否禁用蓝牙。请优先使用此设置,而非“禁用蓝牙配置”,因为用户可以绕过“禁用蓝牙配置”。
11. 禁用蓝牙联系人共享
是否禁用蓝牙联系人共享。
12. 禁用蓝牙配置
是否禁用蓝牙配置。
13. 禁用网络重置
是否禁用重置网络设置。
14. 禁用 Android Beam 发送
是否禁用通过 NFC 从应用中发送数据。
VPN
15. 始终连接的 VPN 应用
指定一个“始终连接的 VPN”包名,以确保来自指定受管应用的数据将始终通过已配置的 VPN。
注意:此功能需要部署同时支持“始终连接”和“按应用 VPN”功能的 VPN 客户端。
16. VPN 锁定模式
在 VPN 未连接时禁止进行网络连接。
17. 禁用 VPN 配置
是否禁用 VPN 配置。
代理与网络服务
18. 首选网络服务
控制是否在工作资料中启用首选网络服务。例如,组织可能与运营商达成了协议,规定工作数据通过专门用于企业使用的运营商网络服务(例如 5G 网络上的企业切片)进行传输。此设置对完全管理的设备没有影响。
已禁用: 工作资料中的首选网络服务已禁用。
已启用: 工作资料中的首选网络服务已启用。
如果您使用企业网络切片,请同时在 蜂窝网络 策略面板下配置 5G 网络切片配置,并使用 首选网络 设置将应用分配给切片。
19. 推荐的全局代理
与网络无关的全局 HTTP 代理。通常情况下,应在 Wi-Fi 配置中针对每个网络进行代理设置。全局代理对于某些特殊配置(如通用内部过滤)可能非常有用。全局代理仅作为一种推荐,某些应用可能会忽略它。
已禁用
直接代理
代理自动配置 (PAC)
19.1. 主机
直接代理的主机。
19.2. 端口
直接代理的端口。
19.3. PAC URI
用于配置代理的 PAC 脚本 URI。
19.4. 排除的主机
对于直接代理,这些是绕过代理的主机。主机名可以包含通配符,例如 *.example.com。
使用 添加排除的主机 来添加条目(仅适用于直接代理)。
Wi-Fi 配置
定义系统将在设备上应用的 Wi-Fi 网络配置。使用 添加 Wi-Fi 配置 来创建条目,并使用删除操作将其移除。
20. Wi-Fi 配置字段
每个配置包括:
配置名称: 必填。
SSID: 必填。
自动连接: 是否在网络范围内时自动连接该网络。
快速转换 (Fast Transition): 是否应尝试与网络使用快速转换 (IEEE 802.11r-2008) 技术。
MAC 随机化模式: 硬件或自动(Android 13+)。
20.1. 安全性
Wi-Fi 安全选项:
WPA-PSK: WPA/WPA2/WPA3-个人版(预共享密钥)。
WPA-EAP: WPA/WPA2/WPA3-企业版(可扩展身份验证协议)。
WPA3 192位模式: 仅允许使用 WPA3 192 位模式的 WPA-EAP 网络。
20.2. 密码 (预共享密钥)
当安全性设置为 WEP-PSK 或 WPA-PSK 时显示。必须输入密码。
20.3. EAP 方法(企业版)
当安全性设置为 WPA-EAP 或 WPA3 192位模式 时显示。请选择一种 EAP 外部方法:
EAP-TLS
EAP-TTLS
PEAP
EAP-SIM
EAP-AKA
20.4. 第二阶段身份验证
适用于隧道外部方法(EAP-TTLS 和 PEAP)。
MSCHAPv2
PAP
20.5. 来自用户的 EAP 凭据
启用后,系统将按用户为设备自动应用 EAP 凭据。您可以在 用户 栏目中配置用户凭据。
20.6. 客户端证书
对于 EAP-TLS,您可以分配用于 Wi-Fi 身份验证的客户端证书。欲了解更多信息,请阅读 证书管理 页面。
如果已分配证书,您可以使用 打开证书 进行查看,或使用 更改证书 选择其他证书。
或者,您可以指定 客户端证书密钥对别名,它引用了存储在 Android 钥匙串中并允许用于 Wi-Fi 身份验证的客户端证书。
如果同时设置了 客户端证书 和 客户端证书密钥对别名,则密钥对别名将被忽略。
20.7. 身份信息
用户身份。对于隧道外部协议(PEAP、EAP-TTLS),此项用于在隧道内进行身份验证,而 匿名身份 用于隧道外的 EAP 身份。对于非隧道外部协议,此项用于 EAP 身份。
20.8. 匿名身份
仅适用于隧道协议,这表示向外部协议提供的用户身份。
20.9. 密码
用户密码。如果未指定,则默认为提示用户输入。
20.10. 服务器 CA 证书
用于验证主机证书链的 CA 证书列表。必须至少有一个 CA 证书匹配。欲了解更多信息,请阅读 证书管理 页面。
使用 添加服务器 CA 证书 来添加条目,并使用删除操作将其移除。
20.11. 域名后缀匹配
服务器域名约束列表。这些条目将作为后缀匹配要求,用于验证身份验证服务器证书中备用主体名称的 DNS 名称。