System
In diesem Abschnitt können Sie systembezogene Richtlinien konfigurieren.
1. Minimale API-Version
Die minimale erlaubte Android API-Version.
2. Verschlüsselungsrichtlinie
Ob die Verschlüsselung aktiviert ist.
Standard: Dieser Wert wird ignoriert, d.h. keine Verschlüsselung erforderlich.
Aktiviert ohne Passwort: Verschlüsselung erforderlich, aber kein Passwort zum Booten erforderlich.
Aktiviert mit Passwort: Verschlüsselung erforderlich mit Passwort erforderlich zum Booten.
3. Automatische Datum- und Zeit
Ob automatische Datums-, Zeit- und Zeitzonen-Einstellung auf einem unternehmenseigenen Gerät aktiviert ist.
Benutzerwahl (Standard): Datum, Uhrzeit und Zeitzone werden der Benutzerwahl überlassen.
Erzwungen: Erzwinge Datum, Uhrzeit und Zeitzone auf dem Gerät.
4. Standortmodus
Der Grad der Standortbestimmung, der aktiviert ist. Der Benutzer kann den Wert ändern, es sei denn, er ist daran gehindert, auf die Geräte Einstellungen zuzugreifen. Gilt nur für unternehmenseigene Geräte.
Benutzerwahl (Standard): Die Standorteinstellung ist auf dem Gerät nicht eingeschränkt. Es wird kein spezifisches Verhalten festgelegt oder erzwungen.
Erzwungen: Standorteinstellung auf dem Gerät aktivieren.
Deaktiviert: Standortdienste auf dem Gerät deaktivieren.
5. Entwickleroptionen
Steuert den Zugriff auf Entwickleroptionen: Entwickleroptionen und sicherer Start.
Deaktiviert (Standard): Deaktiviert alle Entwickler-Einstellungen und verhindert den Zugriff des Benutzers darauf.
Erlaubt: Ermöglicht alle Entwickler-Einstellungen. Der Benutzer kann auf die Einstellungen zugreifen und diese optional konfigurieren.
6. Common Criteria Modus
Steuerung für den Common-Criteria-Modus – Sicherheitsstandards, die in den Common Criteria für Informationssicherheit (CC) definiert sind. Durch Aktivieren des Common-Criteria-Modus werden bestimmte Sicherheitselemente auf einem Gerät erhöht (z. B. AES-GCM-Verschlüsselung von Bluetooth-Langzeit-Keys, zusätzliche Validierung für einige Netzwerk-Zertifikate und kryptografische Richtlinienintegritätsprüfungen). Der Common-Criteria-Modus wird nur auf firmeneigenen Geräten mit Android 11 oder höher unterstützt. Warnung: Der Common-Criteria-Modus erzwingt ein striktes Sicherheitsmodell, das typischerweise nur für hochsensible Organisationen erforderlich ist. Die normale Gerätebedienung kann beeinträchtigt werden; aktivieren Sie ihn nur, wenn dies erforderlich ist.
Deaktiviert (Standard): Deaktiviert den Common-Criteria-Modus.
Aktiviert: Ermöglicht den Gemeinsame-Kriterien-Modus.
7. Memory Tagging Extension (MTE)
Steuert die Memory Tagging Extension (MTE) auf dem Gerät.
Benutzerwahl (Standard): Der Benutzer kann MTE auf dem Gerät aktivieren oder deaktivieren (sofern vom Gerät unterstützt).
Erzwungen: MTE ist aktiviert und der Benutzer darf es nicht ändern (Android 14+; unterstützt auf vollständig verwalteten Geräten und Arbeitsbereichen auf unternehmenseigenen Geräten).
Deaktiviert: MTE ist deaktiviert und der Benutzer darf es nicht ändern (Android 14+; unterstützt auf vollständig verwalteten Geräten und Arbeitsbereichen auf unternehmenseigenen Geräten).
8. Inaktiviert: MTE ist deaktiviert und der Benutzer darf es nicht ändern (Android 14+; unterstützt auf vollständig verwalteten Geräten und Arbeitsbereichen auf unternehmenseigenen Geräten)
Steuert, ob der Inhaltsschutz (der betrügerische Apps erkennt) aktiviert ist. Dies wird auf Android 15 und höher unterstützt.
Deaktiviert (Standard): Der Inhaltsschutz ist deaktiviert und der Benutzer kann dies nicht ändern.
Erzwungen: Der Inhaltschutz ist aktiviert und der Benutzer kann dies nicht ändern (Android 15+).
Benutzerwahl: Der Inhaltschutz wird nicht durch die Richtlinie gesteuert; der Benutzer kann dies selbst wählen (Android 15+).
9. Inhaltsunterstützung
Bestimmt, ob AssistContent an privilegierte Apps wie Assistenten-Apps (z. B. Circle to Search) gesendet werden darf. AssistContent umfasst Screenshots und Informationen über eine App, wie z. B. den Paketnamen. Dies wird auf Android 15 und höher unterstützt.
Erlaubt (Standard): Assist-Inhalte dürfen an eine privilegierte App gesendet werden (Android 15+).
Verboten: Assist-Inhalte dürfen nicht an eine privilegierte App gesendet werden (Android 15+).
10. Standortfreigabe deaktiviert
Ob die Ortung für Arbeits-Apps deaktiviert ist. Bei Geräten mit Profilbesitzern die Ortung für das Arbeitsprofil deaktivieren. Bei vollständig verwalteten Geräten die Ortung für das gesamte Gerät deaktivieren (überschreibt auch „Ortungsmodus“).
11. Fenstererstellung deaktivieren
Ob das Erstellen von Fenstern neben App-Fenstern deaktiviert ist. Diese Option verhindert die Anzeige der folgenden System-UIs: Toasts und Snackbars, Telefonaktivitäten (z. B. eingehende Anrufe) und Prioritätstelefonaktivitäten (z. B. laufende Anrufe), Systemwarnungen, Systemfehler und Systemüberlagerungen.
12. Netzwerk-Ausweichmöglichkeit
Ob die Netzwerk-Notausgangsfunktion aktiviert ist. Wenn beim Start keine Netzwerkverbindung hergestellt werden kann, fordert der Notausgang den Benutzer auf, sich temporär mit einem Netzwerk zu verbinden, um die Geräte-Richtlinie zu aktualisieren. Nach Anwendung der Richtlinie wird die temporäre Netzwerkverbindung vergessen und das Gerät fährt normal hoch. Dies verhindert, dass das Gerät nicht mit einem Netzwerk verbunden werden kann, wenn beim letzten Richtlinien-Download kein geeignetes Netzwerk verfügbar war und das Gerät in den Sperrbildschirm-Modus bootet oder der Benutzer andernfalls nicht auf die Geräte-Einstellungen zugreifen kann.
13. Standardaktivitäten
Eine Liste von Standardaktivitäten zur Verarbeitung von Absichten, die einem bestimmten Intent-Filter entsprechen. Beispielsweise ermöglicht diese Funktion IT-Administratoren, zu wählen, welche Browser-App automatisch Web-Links öffnet, oder welche Launcher-App verwendet wird, wenn die Home-Taste gedrückt wird.
Verwenden Sie Standardaktivität hinzufügen, um Einträge zu erstellen. Innerhalb eines Eintrags verwenden Sie Aktion hinzufügen und Kategorie hinzufügen, um den Intent-Filter zu erstellen.
13.1. Empfangene Aktivität
Die Aktivität, die als Standard-Intent-Handler verwendet werden soll. Dies sollte ein Android-Komponentenname sein, z. B. com.android.enterprise.app/.MainActivity. Alternativ kann der Wert der Paketname einer App sein, wodurch Android Device Policy eine geeignete Aktivität aus der App zur Intent-Verarbeitung auswählt.
13.2. Aktion
Die Absichten, die im Filter abgeglichen werden müssen. Wenn Aktionen im Filter enthalten sind, muss die Aktion der Absicht einer dieser Werte entsprechen, damit sie übereinstimmt. Wenn keine Aktionen enthalten sind, wird die Aktion der Absicht ignoriert.
13.3. Kategorie
Die übereinstimmenden Intent-Kategorien für den Filter. Ein Intent enthält die Kategorien, die er benötigt, alle müssen im Filter enthalten sein, um übereinstimmen zu können. Anders ausgedrückt: Das Hinzufügen einer Kategorie zum Filter hat keinen Einfluss auf die Übereinstimmung, es sei denn, diese Kategorie ist im Intent angegeben.
14. Erlaubte Eingabemethoden
Legt die zulässigen Eingabemethoden fest.
Alle zulässig: Keine Einschränkung angewendet. Alle Eingabemethoden sind erlaubt.
Nur System: Nur die in das System integrierten Eingabemethoden sind erlaubt.
Nur System und bereitgestellte Eingabemethoden sind erlaubt.
14.1. Erlaubte Eingabemethoden
Eingabenamen von Paketen, die erlaubt sind. Gilt nur, wenn Erlaubte Eingabemethoden auf Nur System- und bereitgestellte eingestellt ist.
Verwenden Sie Eingabemethode hinzufügen, um Einträge hinzuzufügen und diese mit der Löschaktion zu entfernen.
15. Erlaubte Bedienhilfen
Legt die zulässigen Barrierefreiheitsdienste fest.
Alle erlaubt: Jeder Barrierefreiheitsdienst kann verwendet werden.
Nur System-: Nur die in das System integrierten Barrierefreiheitsdienste können verwendet werden.
Nur System-: Nur die bereitgestellten und in das System integrierten Barrierefreiheitsdienste können verwendet werden.
15.1. Ermöglichte Barrierefreiheitsdienste
Ermöglichte Barrierefreiheitsdienste. Gilt nur, wenn Ermöglichte Barrierefreiheitsdienste auf nur System- und bereitgestellte eingestellt ist.
Verwenden Sie Hinzufügen des Barrierefreiheitsdienstes, um Einträge hinzuzufügen und diese mit der Löschfunktion zu entfernen.
16. System-Update-Richtlinie
Konfiguration zur Verwaltung von Systemaktualisierungen.
Standard: Verwendet das Standard-Update-Verhalten für das Gerät, das in der Regel erfordert, dass der Benutzer Systemupdates akzeptiert.
Automatisch: Installiere die Updates automatisch, sobald eine neue Version verfügbar ist.
Fenstergesteuert: Installiere Updates automatisch innerhalb eines täglichen Wartungsfensters. Dies konfiguriert auch Play-Apps, um innerhalb des Fensters aktualisiert zu werden. Dies wird dringend für Kiosk-Geräte empfohlen, da dies die einzige Möglichkeit ist, Apps, die dauerhaft im Vordergrund befestigt sind, mit Play zu aktualisieren.
Verschieben: Automatisches Installieren bis zu 30 Tagen verschieben.
16.1. Wartungsfenster (Nur für Fenster)
Wenn System-Update-Richtlinie auf Fenstermodus eingestellt ist, können Sie das tägliche Wartungsfenster mithilfe der von- und bis-Felder definieren.
16.2. Systemupdate-Sperrzeiten
Ein jährlich wiederkehrender Zeitraum, in dem Over-the-Air (OTA)-Systemupdates verschoben werden, um die auf einem Gerät laufende OS-Version einzufrieren. Um ein dauerhaftes Einfrieren des Geräts zu verhindern, muss jede Einfrierphase mindestens 60 Tage getrennt sein. Jede Einfrierphase darf nicht länger als 90 Tage dauern.
Verwenden Sie Systemupdate-Einfrierperiode hinzufügen, um Einträge zu erstellen.
17. Anmeldeinformationsanbieter standardmäßig
Steuert, welche Apps auf Android 14 und höher als Anmeldeinformationsanbieter fungieren dürfen.
Verboten (Standard): Apps mit nicht definierter credentialProviderPolicy dürfen nicht als Anmeldeinformationsanbieter fungieren.
Nicht zulässig, außer für System: Apps mit nicht definierter credentialProviderPolicy dürfen nicht als Anmeldeinformationsanbieter fungieren, außer für die Standard-Anmeldeinformationsanbieter des Geräteherstellers.