Android Enterprise 功能列表

1.2.1. EMM 会向 IT 管理员提供二维码或激活码，以支持此配置方法（请参阅注册和配置设备）。

1.3.1. EMM 必须使用内存至少为 888 个字节的 NFC Forum 2 标记。预配必须使用配置 extra 将非敏感注册详细信息（例如服务器 ID 和注册 ID）传递给设备。注册详情不应包含敏感信息，例如密码或证书。

1.3.2. 由于 NFC Beam（也称为 NFC Bump）已弃用，我们建议为 Android 10 及更高版本使用 NFC 标签。

1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法配置公司自有设备。

1.6.1. IT 管理员可以使用零触摸注册方法配置公司自有设备。

1.6.2. 此要求已废弃。

1.6.3. 使用登录网址，EMM 必须确保未经授权的用户无法继续进行激活。至少必须为给定企业的用户锁定激活流程。

1.6.4. 使用登录网址时，IT 管理员必须能够预先填充唯一用户或设备信息（例如用户名/密码、激活令牌）之外的注册详细信息（例如服务器 ID、注册 ID），这样用户在激活设备时就无需输入详细信息。

• EMM 不得在零触摸注册配置中包含敏感信息（例如密码或证书）。

1.10.1. IT 管理员可以使用二维码或零触摸注册，将设备配置为公司自有设备上的工作资料。

1.10.2. IT 管理员可以通过 PersonalUsagePolicies 为公司自有设备上的工作资料设置合规性操作。

1.10.3. IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用摄像头。

1.10.4. IT 管理员可以通过 PersonalUsagePolicies 在工作资料或整个设备中停用屏幕截图功能。

1.10.5. IT 管理员可以通过 PersonalApplicationPolicy 设置允许或无法安装在个人资料中的应用许可名单或屏蔽名单。

2.1.1 政策必须强制执行管理设备安全验证的设置（工作资料的 parentProfilePasswordRequire 要求、完全受管设备和专用设备的密码要求）。

2.1.2. 密码复杂性应对应于以下密码复杂性：

1. PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 序列或有序 (1234, 4321, 2468) 序列的图案或 PIN 码。
2. PASSWORD_COMPLEXITY_MEDIUM - 密码不得重复 (4444) 或有序 (1234, 4321, 2468) 序列、字母或字母数字密码（长度至少为 4）
3. PASSWORD_COMPLEXITY_HIGH - PIN 码，不能重复 (4444) 或有序 (1234, 4321, 2468) 序列，且长度至少为 8 个，或者由字母或字母数字组成且长度至少为 6

2.1.3. 在公司自有设备上，额外的密码限制还可作为旧版设置强制执行。

2.2.1. 政策必须对工作资料强制执行安全验证。

1. 默认情况下，如果未指定范围，IT 管理员应仅为工作资料设置限制
2. IT 管理员可以通过指定范围来设置此设备的整个范围（请参阅要求 2.1）

2.2.2. 密码复杂度应对应以下预定义的密码复杂度：

1. PASSWORD_COMPLEXITY_LOW - 具有重复 (4444) 序列或有序 (1234, 4321, 2468) 序列的图案或 PIN 码。
2. PASSWORD_COMPLEXITY_MEDIUM - 密码不得重复 (4444) 或有序 (1234, 4321, 2468) 序列、字母或字母数字密码（长度至少为 4）
3. PASSWORD_COMPLEXITY_HIGH - PIN 码，不能重复 (4444) 或有序 (1234, 4321, 2468) 序列，且长度至少为 8 个，或者由字母或字母数字组成且长度至少为 6

2.2.3. 其他密码限制也可以作为旧版设置强制执行

2.3.1. [特意留空]

2.3.2. [特意留空]

2.3.3. 您可以为设备上可用的每个锁定屏幕指定以下密码生命周期设置：

1. [特意留空]
2. [特意留空]
3. 擦除失败的密码数量上限：指定在擦除设备上的公司数据之前，用户可以输入错误密码的次数。IT 管理员必须能够关闭此功能。

2.3.4. (Android 8.0+) 强身份验证需要超时：IT 管理员设置的超时期限过后，必须输入安全系数高的身份验证密码（例如 PIN 码或密码）。超时时限过后，系统会停用非安全系数高的身份验证方法（例如指纹、人脸解锁），直到设备使用安全系数高的身份验证密码解锁为止。

2.5.1. 必须使用 Android Management API 锁定设备。

2.7.1. 必须阻止安装来自未知来源的应用，包括在装有工作资料的 Android 8.0 及更高版本设备的个人端安装的应用。 默认情况下支持此子功能。

IT 管理员可以在设备上开启验证应用。“验证应用”功能会在 Android 设备上安装的应用前后扫描应用是否存在有害软件，帮助确保恶意应用无法破解公司数据。

2.12.1. IT 管理员可以通过政策（转到 mountPhysicalMediaDisabled）禁止用户装载外部物理介质。

2.12.2. IT 管理员可以通过政策（前往 outgoingBeamDisabled）禁止用户使用 NFC 传输来分享设备中的数据。此子功能是可选的，因为 Android 10 及更高版本不再支持 NFC 传输功能。

3.1.1. 使用 Android Management API 注册 Google Play 企业版帐号企业。

3.2.1. 配置设备时，系统会自动创建 Google Play 企业版帐号（用户帐号）。

Android Management API 默认支持此功能。无需额外的实现。

3.3.1. 配置设备时，系统会自动创建 Google Play 企业版帐号。

Android Management API 默认支持此功能。无需额外的实现。

3.5.1. EMM 的控制台必须使用 Android Management API 来允许 IT 管理员在受管设备上安装工作应用。

3.5.2. EMM 的控制台必须使用 Android Management API，以允许 IT 管理员更新受管设备上的工作应用。

IT 管理员可以查看和静默设置支持托管配置的任何应用的托管配置。

3.6.1. EMM 的控制台必须能够检索并显示任何 Play 应用的受管理配置设置。

3.6.2. EMM 的控制台必须允许 IT 管理员为使用 Android Management API 的任何 Play 应用设置任何配置类型（由 Android Enterprise 框架定义）。

3.9.1. EMM 的控制台应允许 IT 管理员管理最终用户的基本商店布局中显示的应用。

3.12.1. IT 管理员可以通过以下方式上传以非公开方式向企业发布的应用的新版本：

3.13.1. EMM 的控制台必须通过提供以下两个选项来帮助 IT 管理员托管应用 APK：

• 在 EMM 的服务器上托管 APK。服务器可以是本地服务器，也可以是云端服务器。
• 将 APK 托管在 EMM 服务器之外（由企业自行决定）。IT 管理员必须在 EMM 控制台中指定托管 APK 的位置。

3.13.2. EMM 的控制台必须使用提供的 APK 生成适当的 APK 定义文件，并且必须引导 IT 管理员完成发布流程。

3.13.3. IT 管理员可以更新自托管的专用应用，EMM 的控制台可以使用 Google Play Developer Publishing API 以静默方式发布更新后的 APK 定义文件。

3.13.4. EMM 的服务器为自托管的 APK 处理下载请求，该 APK 在请求的 Cookie 中包含有效 JWT，由私有应用的公钥验证。

• 为了加快此过程，EMM 的服务器必须指导 IT 管理员从 Play Google Developers Console 下载自主托管的应用的许可公钥，然后将此密钥上传到 EMM 控制台。

3.15.1. EMM 必须遵循 Android Management API 用量限额。如不纠正超出这些准则的行为，Google 可能会自行决定暂停使用相应 API。

3.15.2. EMM 应该在一天之中分配来自不同企业的流量，而不是在特定或类似的时间整合企业流量。符合此流量模式的行为（例如为每台已注册的设备安排的批量操作）可能会导致 Google 自行决定暂停 API 的使用。

3.15.3. EMM 不应发出一致、不完整或故意不正确的请求，并且此类请求不得尝试检索或管理实际的企业数据。符合此流量模式的行为可能会导致 API 被中止使用，具体由 Google 自行决定。

3.16.1. EMM 的控制台必须能够通过以下方式检索和显示任何 Play 应用的最多四层的嵌套托管配置设置：

• Google Play 企业版 iframe，或
• 自定义界面

3.16.2. EMM 的控制台必须能够检索并显示应用反馈渠道返回的任何反馈（如果反馈由 IT 管理员设置）。

• EMM 的控制台必须允许 IT 管理员将特定反馈项与其源的设备和应用相关联。
• EMM 的控制台必须允许 IT 管理员订阅特定消息类型（例如错误消息）的提醒或报告。

3.16.3. EMM 的控制台只能发送以下值：具有默认值的值或由管理员手动设置的值：

• 托管配置 iframe，或
• 自定义界面。

3.17.1. 借助 EMM 控制台，IT 管理员可以通过以下方式向 Web 应用分发快捷方式：

• Google Play 企业版 iframe
• 或 Android Management API。

默认情况下支持此功能。无需额外的 EMM 实现。

3.20.1. IT 管理员可以允许应用使用高优先级应用更新在有可用更新时进行更新。 3.20.2. IT 管理员可以允许应用将应用更新推迟 90 天。

4.1.1. IT 管理员在为其组织设置默认运行时权限政策时，必须能够从以下选项中进行选择：

• 提示（允许用户选择）
• allow
• deny

4.3.1. SSID（通过 policy）。

IT 管理员可以在包含以下高级安全功能的设备上预配企业 Wi-Fi 配置：

4.4.1. 身份

4.4.2. 用于客户端授权的证书

4.4.3. CA 证书

4.5.1. IT 管理员可以在以下任一配置中通过政策锁定企业 Wi-Fi 配置：

• 用户无法修改 EMM 预配的任何 Wi-Fi 配置（转到 wifiConfigsLockdownEnabled），但可以添加和修改自己的用户可配置网络（例如个人网络）。
• 用户无法在设备上添加或修改任何 Wi-Fi 网络（前往 wifiConfigDisabled），这会将 Wi-Fi 连接限制为只能连接由 EMM 预配的网络。

4.6.1. IT 管理员可以阻止用户添加或修改帐号（请参阅 modifyAccountsDisabled）。

• 在设备上强制执行此政策时，EMM 必须在完成配置之前设置此限制，以确保用户在实施此政策之前无法通过添加帐号来规避此政策。

4.8.1. IT 管理员可以按用户安装由其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个 PKI 集成，并分发通过该基础架构生成的证书。

4.9.1. 对于分发到设备的任何应用，IT 管理员可以指定证书在运行时以静默方式向应用授予访问权限。（目前不支持此子功能）

• 证书选择必须足够宽泛，以便允许单个配置适用于所有用户，并且每个证书都可能具有特定于用户的身份证书。

4.9.2. IT 管理员可以静默地从托管式密钥库中移除证书。

4.9.3. IT 管理员可以静默卸载 CA 证书。（目前不支持此子功能）

4.9.4. IT 管理员可以阻止用户在代管式密钥库中配置凭据（转到 credentialsConfigDisabled）。

4.10.1. IT 管理员可以指定证书管理软件包（前往 delegatedCertInstallerPackage）设置为委托证书管理应用。

• EMM 可能会选择性地推荐已知的证书管理软件包，但必须允许 IT 管理员从可供安装应用的列表中进行选择，以供适用用户使用。

4.11.1. IT 管理员可以指定任意 VPN 软件包设置为始终开启的 VPN。

• EMM 的控制台可能会选择推荐支持“始终开启的 VPN”的已知 VPN 软件包，但无法将可用于“始终开启”配置的 VPN 限制为任意列表。

4.12.1. IT 管理员可以设置任意长度的 IME 许可名单 (前往 permitted_input_methods)（包括一个屏蔽非系统 IME 的空列表），其中可能包含任何任意 IME 软件包。

• EMM 的控制台可以选择性地建议已知或推荐的 IME 并将其添加到许可名单，但必须允许 IT 管理员从可供安装的应用列表中进行选择，以供适用用户使用。

4.13.1. IT 管理员可以设置任意长度的 IME 许可名单（转到 permitted_input_methods），但空列表除外，它会屏蔽包括系统 IME 在内的所有 IME，其中可能包含任何任意 IME 软件包。

• EMM 的控制台可以选择性地建议已知或推荐的 IME 并将其添加到许可名单，但必须允许 IT 管理员从可供安装的应用列表中进行选择，以供适用用户使用。

4.13.2. EMM 必须阻止 IT 管理员设置空许可名单，因为此设置会阻止在设备上设置包括系统 IME 在内的所有 IME。

4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单（前往 permittedAccessibilityServices），其中包括一个空列表，该名单会阻止非系统无障碍服务，其中可能包含任何任意无障碍服务软件包。应用于工作资料时，此配置会同时影响个人资料和工作资料。

• 控制台可能会建议将已知或推荐的无障碍服务添加到许可名单中，但必须允许 IT 管理员从可供安装的应用列表中进行选择，以供适用用户参考。

4.15.1. IT 管理员可以在工作资料中停用位置信息服务（前往 shareLocationDisabled）。

4.16.1. IT 管理员可以将设备位置信息服务设置为以下每种模式：

• 高精确度。
• 仅限传感器（例如 GPS），但不包括网络提供的位置信息。
• 低耗电量（限制更新频率）。
• 已关闭。

4.17.1. IT 管理员可以在“设置”中禁止用户将其设备恢复出厂设置（前往 factoryResetDisabled）。

4.17.2. IT 管理员可以指定有权在恢复出厂设置后预配设备的公司解锁帐号（转到 frpAdminEmails）。

• 此帐号可以与个人关联，也可以供整个企业用于解锁设备。

4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护（前往 factoryResetDisabled）。

IT 管理员可以通过“设置”阻止用户卸载或修改受管理的应用。例如，防止强制关闭应用或清除应用的数据缓存。

4.18.1. IT 管理员可以阻止卸载任何任意受管理的应用或所有受管理的应用（转到 uninstallAppsDisabled）。

4.18.2. IT 管理员可以通过“设置”禁止用户修改应用数据。（Android Management API 不支持此子功能）

4.19.1. IT 管理员可以禁止用户截取屏幕截图（前往 screenCaptureDisabled）。

IT 管理员可以远程重启受管理的设备。

4.23.1. IT 管理员可以远程重新启动受管设备。

4.24.1. IT 管理员可以关闭服务提供商发送的小区广播（前往 cellBroadcastsConfigDisabled）。

4.24.2. IT 管理员可以禁止用户在“设置”（前往 mobileNetworksConfigDisabled）中修改移动网络设置。

4.24.3. IT 管理员可以在“设置”中阻止用户重置所有网络设置。（请前往 networkResetDisabled）。

4.24.4. IT 管理员可以设置设备在漫游时是否允许使用移动流量（前往 dataRoamingDisabled）。

4.24.5. IT 管理员可以设置设备是否可以拨出电话，不包括紧急呼叫（转到 outGoingCallsDisabled）。

4.24.6. IT 管理员可以设置设备是否可以收发短信（前往 smsDisabled）。

4.24.7. IT 管理员可以通过网络共享来阻止用户将设备用作便携式热点（转到 tetheringConfigDisabled）。

4.24.8. IT 管理员可以将 Wi-Fi 超时设置为默认值、接通电源时或永不。（Android Management API 不支持此子功能）

4.24.9. IT 管理员可以禁止用户设置或修改现有蓝牙连接（前往 bluetoothConfigDisabled）。

IT 管理员可以静默控制设备音频功能，包括将设备静音、阻止用户修改音量设置，以及阻止用户将设备麦克风取消静音。

4.25.1. IT 管理员可以将受管理的设备设为静音。（Android Management API 不支持此子功能）

4.25.2. IT 管理员可以禁止用户修改设备音量设置（前往 adjustVolumeDisabled）。此操作还会将设备静音。

对于专用设备，IT 管理员可以通过政策管理以下功能，以支持各种自助服务终端用例。

4.27.1. IT 管理员可以关闭设备锁屏功能（前往 keyguardDisabled）。

4.27.2. IT 管理员可以关闭设备状态栏，屏蔽通知和快捷设置（前往 statusBarDisabled）。

4.27.3. IT 管理员可以强制设备屏幕在接通电源时保持开启状态（前往 stayOnPluggedModes）。

4.27.4. IT 管理员可以禁止显示以下系统界面（前往 createWindowsDisabled）：

• 消息框
• 应用叠加层。

4.27.5. IT 管理员可以允许系统建议在应用首次启动时跳过用户教程和其他介绍性提示（前往 skip_first_use_hints）。

IT 管理员可以向各个软件包委派额外的权限。

4.28.1. IT 管理员可以管理以下范围：

• 证书安装和管理
• 托管配置管理
• 网络日志记录
• 安全日志记录

从 Android 12 开始，工作资料将无法再访问硬件专用标识符。IT 管理员可以通过注册专用 ID 跟踪具有工作资料的设备的生命周期，该 ID 在恢复出厂设置后将保持不变

4.29.1. IT 管理员可以获取注册专用 ID

4.29.2. 此注册专用 ID 在恢复出厂设置后必须保留

5.1.1. IT 管理员可以指定企业专用服务条款和其他免责声明（转到 termsAndConditions），自定义预配过程。

5.1.2. IT 管理员可以deploy不可配置且特定于 EMM 的服务条款和其他免责声明（请参阅 termsAndConditions）。

• EMM 可以将其不可配置、特定于 EMM 的自定义设置设为部署的默认自定义设置，但必须允许 IT 管理员设置自己的自定义设置。

已针对 Android 10 及更高版本上的企业资源废弃 5.1.3 primaryColor。

5.5.1. IT 管理员可以自定义面向用户的简短支持消息。

5.5.2. IT 管理员可以部署不可配置、特定于 EMM、简短和长期的支持消息（转到 policies 中的 shortSupportMessage 和 longSupportMessage）。

• EMM 可能会将其不可配置且特定于 EMM 的支持消息设置为部署的默认支持消息，但必须允许 IT 管理员设置自己的消息。

5.7.1. IT 管理员可以配置跨资料数据共享政策，以便个人应用可以解析工作资料中的 intent，例如共享 intent 或网站链接。

5.7.2. Android Management API 尚不支持工作微件管理。

5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置：

• 自动：设备会在 OTA 更新可用时收到更新。
• 推迟：IT 管理员必须能够将 OTA 更新最多推迟 30 天。此政策不会影响安全更新（例如每月安全补丁）。
• 窗口化：IT 管理员必须能够在每日维护期内安排 OTA 更新。

5.9.1. EMM 的控制台可让 IT 管理员以静默方式允许任意一组应用安装和锁定到设备。政策允许设置专用设备。

5.10.1. IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序。

• EMM 的控制台可以选择性地建议已知或推荐的 intent 进行配置，但不能将 intent 限制为任意列表。
• EMM 的控制台必须允许 IT 管理员从可供适用用户安装的应用列表中进行选择。

5.11.1.政策可以关闭以下设备锁屏功能：

• 可信代理
• 指纹解锁
• 未隐去数据的通知

5.11.2. 工作资料的以下锁屏功能可通过政策关闭：

• 可信代理
• 指纹解锁

• 安全摄像头
• 所有通知
• 未隐去
• 可信代理
• 指纹解锁
• 所有键盘锁功能

Android Management API 目前不支持此功能。

5.15.1. 以静默方式允许单个应用安装并锁定到设备。

5.15.2. 开启或关闭以下系统界面功能：

• 主屏幕按钮
• 概览
• 全局操作
• 通知
• 系统信息 / 状态栏
• Keyguard（锁定屏幕）。在实现 5.15.1 版本后，此子功能默认处于开启状态。

5.15.3. 关闭系统错误对话框。

5.17.1. IT 管理员可以提供在工作资料被擦除后显示的自定义文本（转到 wipeReasonMessage）。

IT 管理员可以通过设置 ConnectedWorkAndPersonalApp，设置可以跨工作资料边界进行通信的软件包列表。