Wi-Fi 配置可以由系统通过 **Wi-Fi 配置**进行配置和管理。根据在 **配置 Wi-Fi** 中设置的值,用户对添加/修改网络的控制权限可能受限或完全无法控制。
## 设备无线电状态 #### 1. Wi-Fi 状态 控制 Wi-Fi 的当前状态,以及用户是否可以更改其状态。 **用户选择(默认)**:允许用户启用/禁用 Wi-Fi。 **已启用**:Wi-Fi 已开启,且用户不允许将其关闭(Android 13+)。 **已禁用**:Wi-Fi 已关闭,且用户不允许将其开启(Android 13+)。 #### 2. 最低 Wi-Fi 安全级别 设备可以连接的 Wi-Fi 网络所需的最低安全级别。在 Android 13 及以上版本中受支持,适用于完全管理的设备以及公司拥有的设备上的工作资料。 **开放网络(默认)**:设备可以连接所有类型的 Wi-Fi 网络。 **个人网络**:不允许连接开放式 Wi-Fi 网络;要求至少具备个人安全级别(例如 WPA2-PSK)。 **企业网络**:要求使用企业级 EAP 网络;不允许低于此安全级别的 Wi-Fi 网络。 **192 位企业网络**:要求使用 192 位企业网络;最严格的选项。 #### 3. 超宽带 (UWB) 状态 控制超宽带设置的状态,以及用户是否可以将其开启或关闭。 **用户选择(默认)**: 允许用户开启或关闭 UWB。 **已禁用**: UWB 已禁用,且不允许用户通过设置进行切换(Android 14+)。 ## 设备连接管理 #### 4. 蓝牙共享 控制是否允许蓝牙共享。 **允许**: 允许蓝牙共享(在完全管理的设备上为默认设置,Android 8+)。 **不允许**: 不允许蓝牙共享(在工作资料中为默认设置,Android 8+)。 #### 5. 配置 Wi-Fi 控制 Wi-Fi 配置权限。根据所选选项,用户对配置 Wi-Fi 网络拥有完全、有限或无控制权。 **允许配置 Wi-Fi(默认)**: 允许用户配置 Wi-Fi。 **不允许添加 Wi-Fi 配置**: 不允许添加新的 Wi-Fi 配置。用户可以在已配置的网络之间进行切换(Android 13+;适用于完全管理的设备和公司拥有的工作资料)。 **不允许配置 Wi-Fi**: 不允许配置 Wi-Fi 网络。对于完全管理的设备,这将移除用户配置的网络,仅保留通过 **Wi-Fi 配置** 配置的网络。对于公司拥有的工作资料,现有网络不受影响,但用户无法添加/删除/修改 Wi-Fi 网络。当禁用 Wi-Fi 配置且设备在启动时无法连接时,系统可以显示 **网络逃生口**,以便让用户临时连接并刷新策略。
#### 6. Wi-Fi Direct 设置 控制 Wi-Fi Direct 设置的配置与使用。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。 **允许(默认)**: 允许用户使用 Wi-Fi Direct。 **不允许**: 不允许用户使用 Wi-Fi Direct。 #### 7. 网络共享设置 控制网络共享设置。根据所设定的值,用户将被部分或完全禁止使用不同形式的网络共享。 **允许所有网络共享(默认)**: 允许配置和使用所有形式的网络共享。 **不允许 Wi-Fi 网络共享**: 不允许用户使用 Wi-Fi 网络共享(适用于公司拥有的 Android 13+ 设备)。 **不允许所有网络共享**: 不允许所有形式的网络共享(适用于完全管理的设备 + 公司拥有的工作资料)。 #### 8. Wi-Fi SSID 策略 限制设备可以连接的 Wi-Fi SSID(这不会影响设备上可以配置哪些网络)。支持在运行 Android 13 及以上版本的公司拥有的设备上使用。 **SSID 黑名单(默认)**: 设备无法连接到 SSID 在列表中的任何 Wi-Fi 网络,但可以连接到其他网络。 **SSID 白名单**: 设备只能连接到列表中的 SSID。SSID 列表不能为空。 使用 **添加 SSID** 来添加条目。根据所选策略类型的不同,该列表将被解释为允许的 SSID 或拒绝的 SSID。 在策略编辑器 UI 中,白名单的 SSID 列表标记为 **允许的 Wi-Fi SSID**,黑名单的 SSID 列表标记为 **拒绝的 Wi-Fi SSID**。 #### 9. Wi-Fi 漫游设置 按 SSID 配置 Wi-Fi 漫游模式。使用 **添加 Wi-Fi 漫游设置** 来创建条目。 每个条目包括: **SSID**: 漫游设置适用的 SSID(必填)。 **Wi-Fi 漫游模式**: 默认 / 已禁用 / 激进。已禁用和激进模式需要 Android 15+,且仅在完全管理的设备以及公司拥有的设备上的工作资料中受支持。 ## 网络限制 #### 10. 禁用蓝牙 是否禁用蓝牙。请优先使用此设置,而非“禁用蓝牙配置”,因为用户可以绕过“禁用蓝牙配置”。 #### 11. 禁用蓝牙联系人共享 是否禁用蓝牙联系人共享。 #### 12. 禁用蓝牙配置 是否禁用蓝牙配置。 #### 13. 禁用网络重置 是否禁用重置网络设置。 #### 14. 禁用 Android Beam 发送 是否禁用通过 NFC 从应用中发送数据。 ## VPN #### 15. 始终连接的 VPN 应用 指定一个“始终连接的 VPN”包名,以确保来自指定受管应用的数据将始终通过已配置的 VPN。注意:此功能需要部署同时支持“始终连接”和“按应用 VPN”功能的 VPN 客户端。
#### 16. VPN 锁定模式 在 VPN 未连接时禁止进行网络连接。 #### 17. 禁用 VPN 配置 是否禁用 VPN 配置。 ## 代理与网络服务 #### 18. 首选网络服务 控制是否在工作资料中启用首选网络服务。例如,组织可能与运营商达成了协议,规定工作数据通过专门用于企业使用的运营商网络服务(例如 5G 网络上的企业切片)进行传输。此设置对完全管理的设备没有影响。 **已禁用**: 工作资料中的首选网络服务已禁用。 **已启用**: 工作资料中的首选网络服务已启用。如果您使用企业网络切片,请同时在 **蜂窝网络** 策略面板下配置 **5G 网络切片配置**,并使用 **首选网络** 设置将应用分配给切片。
#### 19. 推荐的全局代理 与网络无关的全局 HTTP 代理。通常情况下,应在 Wi-Fi 配置中针对每个网络进行代理设置。全局代理对于某些特殊配置(如通用内部过滤)可能非常有用。全局代理仅作为一种推荐,某些应用可能会忽略它。 **已禁用** **直接代理** **代理自动配置 (PAC)** ##### 19.1. 主机 直接代理的主机。 ##### 19.2. 端口 直接代理的端口。 ##### 19.3. PAC URI 用于配置代理的 PAC 脚本 URI。 ##### 19.4. 排除的主机 对于直接代理,这些是绕过代理的主机。主机名可以包含通配符,例如 **\*.example.com**。 使用 **添加排除的主机** 来添加条目(仅适用于直接代理)。 ## Wi-Fi 配置 定义系统将在设备上应用的 Wi-Fi 网络配置。使用 **添加 Wi-Fi 配置** 来创建条目,并使用删除操作将其移除。 #### 20. Wi-Fi 配置字段 每个配置包括: **配置名称**: 必填。 **SSID**: 必填。 **自动连接**: 是否在网络范围内时自动连接该网络。 **快速转换 (Fast Transition)**: 是否应尝试与网络使用快速转换 (IEEE 802.11r-2008) 技术。 **隐藏 SSID**: 是否广播 SSID。 **MAC 随机化模式**: 硬件或自动(Android 13+)。 ##### 20.1. 安全性 Wi-Fi 安全选项: **WEP-PSK**: WEP(预共享密钥)。 **WPA-PSK**: WPA/WPA2/WPA3-个人版(预共享密钥)。 **WPA-EAP**: WPA/WPA2/WPA3-企业版(可扩展身份验证协议)。 **WPA3 192位模式**: 仅允许使用 WPA3 192 位模式的 WPA-EAP 网络。 ##### 20.2. 密码 (预共享密钥) 当安全性设置为 **WEP-PSK** 或 **WPA-PSK** 时显示。必须输入密码。 ##### 20.3. EAP 方法(企业版) 当安全性设置为 **WPA-EAP** 或 **WPA3 192位模式** 时显示。请选择一种 EAP 外部方法: **EAP-TLS** **EAP-TTLS** **PEAP** **EAP-SIM** **EAP-AKA** ##### 20.4. 第二阶段身份验证 适用于隧道外部方法(**EAP-TTLS** 和 **PEAP**)。 **MSCHAPv2** **PAP** ##### 20.5. 来自用户的 EAP 凭据 启用后,系统将按用户为设备自动应用 EAP 凭据。您可以在 **用户** 栏目中配置用户凭据。 ##### 20.6. 客户端证书 对于 **EAP-TLS**,您可以分配用于 Wi-Fi 身份验证的客户端证书。欲了解更多信息,请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 如果已分配证书,您可以使用 **打开证书** 进行查看,或使用 **更改证书** 选择其他证书。 或者,您可以指定 **客户端证书密钥对别名**,它引用了存储在 Android 钥匙串中并允许用于 Wi-Fi 身份验证的客户端证书。如果同时设置了 **客户端证书** 和 **客户端证书密钥对别名**,则密钥对别名将被忽略。
##### 20.7. 身份信息 用户身份。对于隧道外部协议(PEAP、EAP-TTLS),此项用于在隧道内进行身份验证,而 **匿名身份** 用于隧道外的 EAP 身份。对于非隧道外部协议,此项用于 EAP 身份。 ##### 20.8. 匿名身份 仅适用于隧道协议,这表示向外部协议提供的用户身份。 ##### 20.9. 密码 用户密码。如果未指定,则默认为提示用户输入。 ##### 20.10. 服务器 CA 证书 用于验证主机证书链的 CA 证书列表。必须至少有一个 CA 证书匹配。欲了解更多信息,请阅读 [**证书管理**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/115f8 "Certificate management") 页面。 使用 **添加服务器 CA 证书** 来添加条目,并使用删除操作将其移除。 ##### 20.11. 域名后缀匹配 服务器域名约束列表。这些条目将作为后缀匹配要求,用于验证身份验证服务器证书中备用主体名称的 DNS 名称。