Android Enterprise 功能清單

1.2.1. EMM 會向 IT 管理員提供 QR code 或啟用代碼，以支援這種佈建方式 (請參閱註冊及佈建裝置)。

1.3.1. EMM 必須使用 NFC 論壇類型 2 標記，且記憶體至少有 888 個位元組。佈建作業必須使用佈建額外資料，將非機密的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳遞至裝置。註冊詳細資料不應包含密碼或憑證等機密資訊。

1.3.2. 我們建議 Android 10 以上版本使用 NFC 標記，因為 NFC Beam (又稱為 NFC Bump) 已淘汰。

1.5.1. IT 管理員可以使用零接觸註冊機制佈建公司擁有的裝置，詳情請參閱「適用於 IT 管理員的零接觸註冊機制」一文。

1.6.1. IT 管理員可以使用零接觸註冊機制佈建公司擁有的裝置。

1.6.2. 這項規定已不適用。

1.6.3. EMM 須使用登入網址，確保未經授權的使用者無法繼續進行啟用作業。啟用時至少必須鎖定特定企業的使用者。

1.6.4. 使用登入網址時，EMM 必須可讓 IT 管理員在不重複使用者或裝置資訊 (例如使用者名稱/密碼、啟用權杖) 之外，預先填入註冊詳細資料 (例如伺服器 ID、註冊 ID)，讓使用者在啟用裝置時不必輸入詳細資料。

• EMM 不得在零接觸註冊機制的設定中加入密碼或憑證等機密資訊。

1.10.1. IT 管理員可以使用 QR code 或零接觸註冊機制，在公司擁有的裝置上佈建為工作資料夾。

1.10.2. IT 管理員可以透過 PersonalUsagePolicies，為公司擁有的裝置上的工作資料夾設定法規遵循動作。

1.10.3. IT 管理員可以透過 PersonalUsagePolicies，停用工作資料夾或整個裝置上的攝影機。

1.10.4. IT 管理員可以透過 PersonalUsagePolicies，停用工作資料夾或整個裝置上的螢幕畫面擷取功能。

1.10.5. IT 管理員可以透過 PersonalApplicationPolicy，設定應用程式許可清單或封鎖清單，決定哪些應用程式是否可以安裝在個人資料夾中。

2.1.1 政策必須強制執行管理裝置安全性驗證設定的設定 (Work 設定檔的 parentProfilePassword 規定、全代管及專屬裝置的密碼規定)。

2.1.2. 密碼複雜度應對應至下列密碼複雜度：

1. PASSWORD_COMPLEXITY_LOW - 包含重複 (4444) 或排序 (1234、4321、2468) 序列的圖案或 PIN 碼。
2. PASSWORD_COMPLEXITY_MEDIUM - 沒有重複 (4444) 或排序 (1234、4321、2468) 序列、英文字母或英數字元密碼，長度至少 4 個字元
3. PASSWORD_COMPLEXITY_HIGH - 不含重複 (4444) 或排序序列 (1234、4321、2468) 的 PIN 碼，且長度至少為 8 個或英數字元，且長度至少為 6 個英數字元

2.1.3. 此外，您也可以在公司擁有的裝置上強制執行額外的密碼限制，當做舊版設定。

2.2.1. 政策：必須為工作資料夾強制執行安全性驗證問題。

1. 根據預設，如果未指定範圍，IT 管理員應只針對工作資料夾設定限制
2. IT 管理員可以指定範圍，為所有裝置進行設定 (請參閱規定 2.1)

2.2.2. 密碼複雜度應對應至下列預先定義的密碼複雜性：

1. PASSWORD_COMPLEXITY_LOW - 包含重複 (4444) 或排序 (1234、4321、2468) 序列的圖案或 PIN 碼。
2. PASSWORD_COMPLEXITY_MEDIUM - 沒有重複 (4444) 或排序 (1234、4321、2468) 序列、英文字母或英數字元密碼，長度至少 4 個字元
3. PASSWORD_COMPLEXITY_HIGH - 不含重複 (4444) 或排序序列 (1234、4321、2468) 的 PIN 碼，且長度至少為 8 個或英數字元，且長度至少為 6 個英數字元

2.2.3. 也可以強制執行其他密碼限製做為舊版設定

2.3.1. [刻意留空]

2.3.2. [刻意留空]

2.3.3. 您可以為裝置可用的各個螢幕鎖定設定下列密碼生命週期設定：

1. [刻意留空]
2. [刻意留空]
3. 密碼清除失敗次數上限：指定使用者在將公司資料清除前，輸入錯誤密碼的次數。IT 管理員必須能關閉這項功能。

2.3.4. (Android 8.0 以上版本) 要求進行高強度驗證的逾時設定：必須在 IT 管理員設定的逾時期限後輸入高強度驗證密碼 (例如 PIN 碼或密碼)。逾時期限過後，系統會關閉非高強度驗證方法 (例如指紋、人臉解鎖) 功能，直到裝置使用高強度的驗證密碼解鎖。

2.5.1. 必須使用 Android Management API 鎖定裝置。

2.7.1. 必須禁止安裝來源不明的應用程式，包括在搭載工作資料夾的任何 Android 8.0 以上版本裝置的個人側安裝的應用程式。預設支援這項子功能。

IT 管理員可以開啟裝置上的「驗證應用程式」。「驗證應用程式」會在安裝前與安裝完成後，掃描 Android 裝置上安裝的應用程式是否存在有害軟體，協助確保惡意應用程式不會損害企業資料。

2.12.1. IT 管理員可以透過政策禁止使用者掛接實體外部媒體 (前往 mountPhysicalMediaDisabled)。

2.12.2. IT 管理員可透過政策 (前往 outgoingBeamDisabled) 禁止使用者透過 NFC 傳輸功能分享裝置中的資料。由於 Android 10 以上版本已不再支援 NFC 傳輸功能，因此這項子功能為選用功能。

3.1.1. 使用 Android Management API 註冊 Google Play 管理版帳戶企業。

3.2.1. 裝置佈建完成後，系統會自動建立 Google Play 管理版帳戶 (使用者帳戶)。

Android Management API 預設支援這項功能。您不需要額外實作。

3.3.1. 佈建裝置時，系統會自動建立 Google Play 管理版帳戶。

Android Management API 預設支援這項功能。您不需要額外實作。

3.5.1. EMM 控制台必須使用 Android Management API，讓 IT 管理員能夠在受管理的裝置上安裝工作應用程式。

3.5.2. EMM 控制台必須使用 Android Management API，讓 IT 管理員能夠更新受管理裝置上的工作應用程式。

IT 管理員可以針對任何支援受管理設定的應用程式，查看及調整受管理設定。

3.6.1. EMM 控制台必須能夠擷取及顯示任何 Play 應用程式的受管理設定。

3.6.2. EMM 控制台必須允許 IT 管理員使用 Android Management API，為任何 Play 應用程式指定任何設定類型 (根據 Android Enterprise 架構定義)。

3.9.1. EMM 控制台應可讓 IT 管理員管理顯示在使用者基本商店配置中的應用程式。

3.12.1. IT 管理員可使用以下方式，將已發布私人應用程式的新版本上傳至企業：

3.13.1. EMM 控制台提供以下兩個選項，協助 IT 管理員代管應用程式 APK：

• 在 EMM 的伺服器上代管 APK。伺服器可內部部署或雲端。
• 將 APK 託管於 EMM 的伺服器之外，請企業自行斟酌。IT 管理員必須在代管 APK 的 EMM 控制台中指定。

3.13.2. EMM 控制台必須使用提供的 APK 產生適當的 APK 定義檔案，且必須引導 IT 管理員完成發布程序。

3.13.3. IT 管理員可以更新自行代管的私人應用程式，EMM 控制台可以使用 Google Play Developer Publishing API，自動發布更新後的 APK 定義檔案，不另行通知。

3.13.4. EMM 的伺服器會針對自行代管的 APK，提供在要求的 Cookie 內包含有效 JWT 的下載要求，且該要求經過私人應用程式公開金鑰驗證。

• 為協助進行這項程序，EMM 的伺服器必須引導 IT 管理員從 Google Developers Console 下載自行代管的應用程式授權公開金鑰，並將這組金鑰上傳至 EMM 控制台。

3.15.1. EMM 必須遵守 Android Management API 用量限制。如未修正超出上述規範的行為，Google 可能會自行斟酌是否暫停使用 API。

3.15.2. EMM 應在一天內分散來自不同企業的流量，而不是在特定或類似時間合併企業流量。如果符合此流量模式的行為 (例如每部註冊裝置排定的批次作業)，Google 可能會自行斟酌是否暫停使用 API。

3.15.3. EMM 不得提出一致、不完整或故意不正確的要求，且要求不得試圖擷取或管理實際的企業資料。一旦出現符合此流量模式的行為，Google 可能會自行斟酌是否暫停使用 API。

3.16.1. EMM 控制台必須能夠使用下列方法，擷取並顯示任何 Play 應用程式最多四個層級的巢狀受管理設定：

• Google Play 管理版 iframe 或
• 以及自訂 UI

3.16.2. 由 IT 管理員設定時，EMM 控制台必須能夠擷取及顯示應用程式意見回饋管道傳回的所有意見回饋。

• EMM 控制台必須允許 IT 管理員將特定意見回饋項目與來源裝置和應用程式建立關聯。
• EMM 控制台必須允許 IT 管理員訂閱特定訊息類型的快訊或報告 (例如錯誤訊息)。

3.16.3. EMM 控制台只能傳送有預設值，或是由管理員手動設定的值，如下所示：

• 受管理的設定 iframe；或
• 自訂 UI。

3.17.1. EMM 控制台可讓 IT 管理員透過下列裝置發布網頁應用程式的捷徑：

• Google Play 管理版 iframe
• 或 Android Management API。

此功能預設為支援。您不需要額外導入 EMM。

3.20.1. IT 管理員可允許應用程式在更新準備就緒時更新高優先順序應用程式更新。 3.20.2. IT 管理員可以允許應用程式延後 90 天。

4.1.1. 為機構設定預設執行階段權限政策時，IT 管理員必須能夠選擇下列任一選項：

• 提示 (可讓使用者選擇)
• allow
• deny

4.3.1. SSID (透過政策)。

IT 管理員可以在搭載下列進階安全防護功能的裝置上佈建企業 Wi-Fi 設定：

4.4.1. 身分

4.4.2. 用戶端授權憑證

4.4.3. CA 憑證

4.5.1. IT 管理員可以透過以下任一設定中的政策鎖定企業 Wi-Fi 設定：

• 使用者無法修改 EMM 佈建的任何 Wi-Fi 設定 (前往 wifiConfigsLockdownEnabled)，但可能會新增及修改自己可由使用者設定的網路 (例如個人網路)。
• 使用者無法在裝置上新增或修改任何 Wi-Fi 網路 (前往 wifiConfigDisabled)，僅將 Wi-Fi 連線限制為僅限 EMM 佈建的網路。

4.6.1. IT 管理員可以禁止使用者新增或修改帳戶 (請參閱 modifyAccountsDisabled)。

• 在裝置上強制執行這項政策時，EMM 必須在佈建完成前設定這項限制，確保使用者在政策生效前新增帳戶，就無法規避這項政策。

4.8.1. IT 管理員可以針對每位使用者，安裝 PKI 產生的使用者身分憑證。EMM 控制台必須與至少一個 PKI 整合，並發布該基礎架構產生的憑證。

4.9.1. 針對發布至裝置的任何應用程式，IT 管理員可以指定應用程式在執行階段期間獲得存取權，不顯示通知。(目前不支援這項子功能)

• 憑證選取作業必須廣泛，才能套用至所有使用者的單一設定，每個設定可能會具備使用者專屬的識別憑證。

4.9.2. IT 管理員可以直接在代管 KeyStore 中移除憑證。

4.9.3. IT 管理員可以直接解除安裝 CA 憑證，不必另行通知。(目前不支援這項子功能)

4.9.4. IT 管理員可以禁止使用者在代管 KeyStore 中設定憑證 (前往 credentialsConfigDisabled)。

4.10.1. IT 管理員可以指定憑證管理套件 (前往 delegatedCertInstallerPackage)，並設為委派憑證管理應用程式。

• EMM 可能會視需要建議已知的憑證管理套件，但必須允許 IT 管理員從可供安裝的應用程式清單中，為適用的使用者選擇。

4.11.1. IT 管理員可以指定任意 VPN 套件，設為永久連線的 VPN。

• EMM 控制台可能會視需要建議支援永久連線的 VPN 的已知 VPN 套件，但無法將可用於「永久連線」設定的 VPN 限制為任意清單。

4.12.1. IT 管理員可以設定任意長度的 IME 許可清單 (前往 permitted_input_methods)，包括封鎖非系統 IME 的空白清單，其中可能包含任意 IME 套件。

• EMM 控制台可能會視需要建議將已知或建議的輸入法編輯器納入許可清單，但必須允許 IT 管理員從適用於適用的使用者清單中，選擇可安裝的應用程式。

4.13.1. IT 管理員可以設定任意長度的 IME 許可清單 (前往 permitted_input_methods)，但空白清單會封鎖所有 IME，其中可能會包含任何任意輸入法編輯器套件。

• EMM 控制台可能會視需要建議將已知或建議的輸入法編輯器納入許可清單，但必須允許 IT 管理員從適用於適用的使用者清單中，選擇可安裝的應用程式。

4.13.2. EMM 必須防止 IT 管理員設定空白許可清單，因為這項設定會禁止裝置上設定所有 IME (包括系統輸入法編輯器)。

4.14.1. IT 管理員可以設定任意長度的無障礙服務許可清單 (前往 permittedAccessibilityServices)，包括封鎖非系統無障礙服務的空白清單，其中可能包含任何任意無障礙服務套件。如果套用至工作資料夾，個人資料夾和工作資料夾都會受到影響。

• 控制台可能會視需要建議已知或建議的無障礙服務，加入許可清單，但必須允許 IT 管理員從可供安裝的應用程式清單中選擇適用於適用使用者的應用程式。

4.15.1. IT 管理員可以在工作資料夾中停用定位服務 (前往 shareLocationDisabled)。

4.16.1. IT 管理員可以將裝置定位服務設定為以下三種模式：

• 。
• 感應器僅用於 GPS 執行個體，不包括網路提供的位置。
• 省電模式，這會限制更新頻率。
• 關閉。

4.17.1. IT 管理員可以透過「設定」禁止使用者將裝置恢復原廠設定 (前往 factoryResetDisabled)。

4.17.2. IT 管理員可以在恢復原廠設定後指定有權佈建裝置的公司解鎖帳戶 (前往 frpAdminEmails)。

• 這個帳戶可以與個人連結，或供整個企業用來解鎖裝置。

4.17.3. IT 管理員可以為指定裝置停用恢復原廠設定保護機制 (前往 0 factoryResetDisabled)。

IT 管理員可禁止使用者透過「設定」解除安裝或修改受管理的應用程式。例如防止強制關閉應用程式或清除應用程式的資料快取。

4.18.1. IT 管理員可以禁止解除安裝任何受管理的應用程式，或所有受管理的應用程式 (前往 uninstallAppsDisabled)。

4.18.2. IT 管理員可禁止使用者透過「設定」修改應用程式資料。(Android Management API 不支援這項子功能)

4.19.1. IT 管理員可以禁止使用者擷取螢幕截圖 (請前往 screenCaptureDisabled)。

IT 管理員可以從遠端重新啟動受管理的裝置。

4.23.1. IT 管理員可以從遠端重新啟動受管理的裝置。

4.24.1. IT 管理員可以關閉服務供應商傳送的區域廣播 (前往 cellBroadcastsConfigDisabled)。

4.24.2. IT 管理員可禁止使用者修改「設定」中的行動網路設定 (前往 mobileNetworksConfigDisabled)。

4.24.3. IT 管理員可以禁止使用者重設「設定」中的所有網路設定。(前往 networkResetDisabled)。

4.24.4. IT 管理員可設定裝置是否允許在漫遊時使用行動數據 (前往 dataRoamingDisabled)。

4.24.5. IT 管理員可以設定裝置是否能撥打電話，但不包括緊急電話 (前往 outGoingCallsDisabled)。

4.24.6. IT 管理員可以設定裝置能否收發簡訊 (前往 smsDisabled)。

4.24.7. IT 管理員可以透過網路共用功能，禁止使用者將裝置做為可攜式無線基地台 (請前往 tetheringConfigDisabled)。

4.24.8. IT 管理員可以將 Wi-Fi 逾時設定為預設、接上電源時或一律拒絕。(Android Management API 不支援這項子功能)

4.24.9. IT 管理員可以禁止使用者設定或修改現有的藍牙連線 (前往 bluetoothConfigDisabled)。

IT 管理員可以在靜音模式下控管裝置音訊功能，包括將裝置設為靜音、禁止使用者修改音量設定，以及禁止使用者取消關閉裝置麥克風。

4.25.1. IT 管理員可以將受管理的裝置設為靜音。(Android Management API 不支援這項子功能)

4.25.2. IT 管理員可禁止使用者修改裝置音量設定 (請前往 adjustVolumeDisabled)。這麼做也會將裝置設為靜音。

如果是專用裝置，IT 管理員可以透過政策管理下列功能，以支援各種資訊站使用情境。

4.27.1. IT 管理員可以關閉裝置鍵盤保護功能 (前往 keyguardDisabled)。

4.27.2. IT 管理員可以關閉裝置狀態列、封鎖通知和快速設定 (前往 statusBarDisabled)。

4.27.3. IT 管理員可以在裝置接上電源時，強制開啟裝置螢幕 (前往 stayOnPluggedModes)。

4.27.4. IT 管理員可以禁止顯示下列系統 UI (前往 createWindowsDisabled)：

• 烤麵包機
• 應用程式重疊。

4.27.5. IT 管理員可讓系統建議應用程式在首次啟動時略過使用者教學課程和其他簡介提示 (前往 skip_first_use_hints)。

IT 管理員可以將額外權限委派給個別套件。

4.28.1. IT 管理員可以管理以下範圍：

• 憑證安裝與管理
• 管理化設定
• 網路記錄
• 安全記錄

自 Android 12 起，工作資料夾將無法再存取硬體專屬 ID。IT 管理員可以使用註冊專屬 ID 追蹤設有工作資料夾的裝置生命週期，此 ID 恢復原廠設定後仍會保留下來

4.29.1. IT 管理員可以取得註冊專屬 ID

4.29.2. 這組註冊專屬 ID 必須在恢復原廠設定後保留

5.1.1. IT 管理員可以指定企業專屬的服務條款和其他免責事項 (前往 termsAndConditions)，自訂佈建程序。

5.1.2. IT 管理員可以deploy不可設定的 EMM 專用服務條款和其他免責事項 (前往 termsAndConditions)。

• EMM 可能會將部署作業的 EMM 專屬自訂項目設為部署作業的預設值，但必須允許 IT 管理員自行設定自訂功能。

5.1.3 primaryColor 在 Android 10 以上版本中的企業資源已淘汰。

5.5.1. IT 管理員可以自訂簡短和長版面向使用者的支援訊息。

5.5.2. IT 管理員可以部署無法設定的 EMM 專用、簡短和長版支援訊息 (請前往 policies 的 shortSupportMessage 和 longSupportMessage)。

• EMM 可能會將部署作業的 EMM 專屬支援訊息設為部署作業的預設值，但必須允許 IT 管理員自行設定訊息。

5.7.1. IT 管理員可以設定跨設定檔資料共用政策，讓個人應用程式能夠解析工作資料夾中的意圖，例如共用意圖或網頁連結。

5.7.2. IT 管理員可以允許工作資料夾中的應用程式在個人資料夾的主畫面建立及顯示小工具。此功能預設為關閉，但您可以使用 workProfileWidgets 和 workProfileWidgetsDefault 欄位設為允許。

5.8.1. EMM 控制台可讓 IT 管理員指定下列 OTA 設定：

• 自動：裝置會在 OTA 更新推出時收到更新。
• 延後：IT 管理員必須能夠將 OTA 更新延後最多 30 天。這項政策不會影響安全性更新 (例如每月安全性修補程式)。
• 維護期間：IT 管理員必須能夠在每日維護期間內排定 OTA 更新時間。

5.9.1. EMM 控制台可讓 IT 管理員在不發出通知的情況下，允許特定一組應用程式安裝並鎖定裝置。政策可讓您設定專用裝置。

5.10.1. IT 管理員可以為任何任意意圖篩選器，將任何套件設為預設意圖處理常式。

• EMM 控制台可能會建議設定已知或建議的意圖，但無法將意圖限制為任何任意清單。
• EMM 控制台必須允許 IT 管理員從清單中為適用的使用者提供安裝的應用程式。

5.11.1.「政策」可關閉下列裝置鍵盤保護功能：

• 信任的代理程式
• 指紋解鎖
• 未遮蓋的通知

5.11.2. 下列工作資料夾的鍵盤保護功能可以透過政策關閉：

• 信任的代理程式
• 指紋解鎖

• 固定式相機
• 所有通知
• 未遮蓋
• 信任的代理程式
• 指紋解鎖
• 所有鍵盤鎖功能

Android Management API 目前不支援這項功能。

5.15.1. 允許單一應用程式安裝並鎖定至裝置。

5.15.2. 開啟或關閉下列系統 UI 功能：

• 主畫面按鈕
• 總覽
• 全域動作
• 通知
• 系統資訊 / 狀態列
• 鍵盤鎖 (螢幕鎖定)。在實作 5.15.1. 時，這項子功能預設為開啟。

5.15.3. 關閉「系統錯誤對話方塊」。

5.17.1. IT 管理員可以在工作資料夾抹除資料時，提供要顯示的自訂文字 (前往 wipeReasonMessage)。

IT 管理員可以設定 ConnectedWorkAndPersonalApp，以設定能在工作資料夾邊界通訊的套件清單。