本頁面列出完整的 Android Enterprise 功能。
如果您要管理的裝置超過 500 部,EMM 解決方案必須支援至少一組解決方案集合的所有標準功能 (),才能正式上市。通過標準功能驗證的 EMM 解決方案會在 Android 的企業解決方案目錄中列為提供標準管理組合。
每個解決方案組合都提供額外的進階功能。每個解決方案組合頁面都會標示這些功能:個人裝置上的「工作資料夾」、公司裝置上的「工作資料夾」、全代管裝置和專屬裝置。通過進階功能驗證的 EMM 解決方案會在 Android 的企業解決方案目錄中列為提供進階管理組合。
鍵
| 標準功能 | 進階功能 | 選用功能 | 「」不適用 |
1. 裝置佈建
1.1. DPC 優先工作資料夾佈建功能
從 Google Play 下載 Android Device Policy 後,使用者就能佈建工作資料夾。
1.1.1. EMM 會提供 QR code 或啟用碼給 IT 管理員,以支援這個佈建方法 (請參閱「 註冊及佈建裝置」一文)。
1.2. DPC ID 裝置佈建
在裝置設定精靈中輸入「afw#」即可佈建全代管或專用裝置。
1.2.1. EMM 會提供 QR code 或啟用碼給 IT 管理員,以支援這個佈建方法 (請參閱「註冊及佈建裝置」)。
1.3. NFC 裝置佈建
IT 管理員可以根據 Play EMM API 開發人員說明文件中定義的導入指南,使用 NFC 標記來佈建全新裝置或恢復原廠設定的裝置。
1.3.1. EMM 必須使用 NFC 論壇 Type 2 標記,且記憶體至少為 888 個位元組。佈建程序必須使用佈建額外項目,將非敏感的註冊詳細資料 (例如伺服器 ID 和註冊 ID) 傳送至裝置。註冊詳細資料不應包含密碼或證書等機密資訊。
1.3.2. 由於 NFC Beam (也稱為 NFC 爆發) 已淘汰,建議您在 Android 10 以上版本使用 NFC 標記。
1.4. QR code 裝置佈建
EMM 控制台可產生 QR code,IT 管理員可根據 Android Management API 開發人員說明文件中定義的導入指南,掃描 QR code 來佈建全代管或專用裝置。
1.4.1. QR code 必須使用佈建設定額外項目,將非敏感的註冊詳細資料 (例如伺服器 ID、註冊 ID) 傳送至裝置。註冊詳細資料不得包含密碼或證書等機密資訊。
1.5. 零接觸註冊機制
IT 管理員可以預先設定從授權經銷商購買的裝置,並透過 EMM 控制台管理這些裝置。
1.5.1. IT 管理員可以使用零接觸註冊機制佈建公司擁有的裝置,詳情請參閱「適用於 IT 管理員的零接觸註冊機制」。
1.5.2. 裝置首次開啟時,系統會自動強制將裝置切換至 IT 管理員定義的設定。
1.6. 進階零接觸佈建
IT 管理員可以透過零接觸註冊機制,自動執行大部分的裝置註冊程序。搭配登入網址,IT 管理員可以根據 EMM 提供的設定選項,將註冊限制在特定帳戶或網域。
1.6.1. IT 管理員可以使用零接觸註冊方法,為公司裝置進行佈建。
1.6.2. 這項要求已淘汰。
1.6.3. 使用登入網址時,EMM 必須確保未經授權的使用者無法繼續啟用程序。至少必須將啟用功能鎖定給特定企業的使用者。
1.6.4. 使用登入網址時,EMM 必須讓 IT 管理員能夠預先填入註冊詳細資料 (例如伺服器 ID、註冊 ID),以及專屬使用者或裝置資訊 (例如使用者名稱/密碼、啟用權杖),這樣使用者在啟用裝置時就不必輸入詳細資料。
- EMM 不得在零接觸註冊機制的設定中加入密碼或憑證等機密資訊。
1.7. Google 帳戶工作資料夾佈建
如果企業使用受管理的 Google 網域,在裝置設定期間或在已啟用的裝置上輸入公司 Workspace 憑證後,這項功能會引導使用者設定工作資料夾。無論是哪種情況,公司 Workspace 身分都會遷移至工作資料夾。
1.8. Google 帳戶裝置佈建
Android 管理 API 不支援這項功能。
1.9. 直接零接觸設定
IT 管理員可以使用 EMM 的控制台,透過零接觸 iframe 設定零接觸裝置。
1.10. 公司裝置上的工作資料夾
透過設定 AllowPersonalUsage,EMM 即可註冊設有工作資料夾的公司裝置。
1.10.1. 故意空白。
1.10.2. IT 管理員可以透過 PersonalUsagePolicies 在公司擁有的裝置上,為工作資料夾設定法規遵循動作。
1.10.3. IT 管理員可以透過 PersonalUsagePolicies 在工作資料夾或整個裝置中停用相機。
1.10.4. IT 管理員可以透過 PersonalUsagePolicies 在工作資料夾或整個裝置停用螢幕畫面擷取功能。
1.10.5. IT 管理員可以透過 PersonalApplicationPolicy,設定可在個人資料夾中安裝或禁止安裝的應用程式許可清單或封鎖清單。
1.10.6. IT 管理員可以移除工作資料夾或清除整部裝置,藉此放棄管理公司裝置。
1.11. 佈建專用裝置
EMM 可註冊專屬裝置,不必提示使用者透過 Google 帳戶進行驗證。
2. 裝置安全性
2.1. 裝置安全性驗證問題
IT 管理員可以在受管理的裝置上,從預先選取的 3 種複雜度層級中,設定並強制執行裝置安全性驗證 (PIN 碼/圖案/密碼)。
2.1.1. 政策必須強制執行設定,以管理裝置安全性驗證 (工作資料夾的 parentProfilePasswordRequirements、完全受管理和專屬裝置的 passwordRequirements)。
2.1.2. 密碼複雜度應對應至下列密碼複雜度:
- PASSWORD_COMPLEXITY_LOW - 解鎖圖案或 PIN 碼包含重複數列 (4444) 或規則數列 (1234、4321、2468)。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,長度至少為 4 個字元
- PASSWORD_COMPLEXITY_HIGH - PIN 碼沒有重複 (4444) 或順序 (1234、4321、2468) 順序,且長度至少為 8 個、英數字元或英數字元,且長度至少為 6 個
2.1.3. 您也可以在公司擁有的裝置上,將其他密碼限制設為舊版設定。
2.2. 工作安全挑戰
IT 管理員可以為工作資料夾中的應用程式和資料設定及強制執行安全性驗證,這些資料夾與裝置安全性驗證 (2.1.) 的規定不同。
2.2.1. 政策必須針對工作資料夾強制執行安全性驗證。
- 根據預設,IT 管理員應僅在未指定範圍的情況下,才為工作資料夾設定限制
- IT 管理員可以指定範圍,為整部裝置設定這項設定 (請參閱需求 2.1)
2.2.2. 密碼複雜度應對應至下列預先定義的密碼複雜度:
- PASSWORD_COMPLEXITY_LOW - 解鎖圖案或 PIN 碼包含重複數列 (4444) 或規則數列 (1234、4321、2468)。
- PASSWORD_COMPLEXITY_MEDIUM - 不含重複數列 (4444) 或規則數列 (1234、4321、2468) 的 PIN 碼,長度至少為 4 個字元
- PASSWORD_COMPLEXITY_HIGH - PIN 碼沒有重複 (4444) 或順序 (1234、4321、2468) 序列,且長度至少為 8 個、英數字元或英數字元,且長度至少為 6 個
2.2.3. 您也可以將其他密碼限制設為舊版設定
2.3. 進階密碼管理
IT 管理員可以在裝置上設定進階密碼設定。
2.3.1. 故意空白。
2.3.2. 故意空白。
2.3.3. 您可以為裝置上可用的每個螢幕鎖定畫面設定下列密碼生命週期設定:
- 刻意留空
- 蓄意空白
- 密碼輸入錯誤次數上限 (清除裝置資料):指定使用者輸入錯誤密碼的次數上限,超過次數後,系統就會從裝置中清除公司資料。IT 管理員必須能夠關閉這項功能。
2.3.4. (Android 8.0 以上版本) 強式驗證要求的逾時期限:必須在IT 管理員設定的逾時期限後輸入強式驗證密碼 (例如 PIN 碼或密碼)。在逾時期限過後,系統會關閉非高強度驗證方法 (例如指紋、人臉解鎖),直到使用高強度驗證密碼解鎖裝置為止。
2.4. 智慧門鎖管理
IT 管理員可管理 Android Smart Lock 功能中的信任代理程式是否允許將裝置解鎖時間延長至四小時。
2.4.1. IT 管理員可以停用裝置上的信任代理程式。
2.5. 抹除並鎖定
IT 管理員可以使用 EMM 控制台,從受管理的裝置上遠端鎖定及清除工作資料。
2.5.1. 必須使用 Android Management API 鎖定裝置。
2.5.2. 必須使用 Android Management API 清除裝置。
2.6. 強制執行政策
如果裝置不符合安全性政策,Android Management API 設下的法規遵循規則就會自動限制工作資料的使用方式。
2.6.1. 針對裝置強制執行的安全性政策,至少須包含密碼政策。
2.7. 預設安全性政策
EMM 必須在裝置上強制執行指定的安全性政策 (預設),而不需要 IT 系統管理員在 EMM 主控台中設定或自訂任何設定。我們建議 (但不強制規定) 讓 EMM 禁止 IT 管理員變更這些安全性功能的預設狀態。
2.7.1. 必須禁止從不明來源安裝應用程式,包括在設有工作資料夾的任何 Android 8.0 以上版本裝置的個人資料夾中安裝的應用程式。系統預設支援此子功能。
2.7.2. 必須封鎖偵錯功能。系統預設支援此子功能。
2.8. 專用裝置的安全性政策
鎖定的專用裝置不允許執行其他動作。
2.8.1. 根據預設,您必須使用政策 (前往 safeBootDisabled) 關閉啟動安全模式。
2.9. Play Integrity 支援
系統預設會執行 Play Integrity 檢查。不需要額外實作。
2.9.1. 故意空白。
2.9.2. 故意空白。
2.9.3. IT 管理員可以根據裝置的 SecurityRisk 值設定不同的政策回應,包括封鎖裝置佈建、清除公司資料,以及允許註冊程序繼續進行。
- EMM 服務也會針對每項完整性檢查的結果強制執行這項政策回應。
2.9.4. 刻意留空。
2.10. 驗證應用程式的強制執行狀態
IT 管理員可以在裝置上開啟「驗證應用程式」。驗證應用程式會在安裝前後掃描 Android 裝置上安裝的應用程式,檢查是否含有有害軟體,有助於確保惡意應用程式無法竊取公司資料。
2.10.1. 您必須使用政策 (前往 ensureVerifyAppsEnabled) 將「驗證應用程式」預設為啟用。
2.11. 支援直接啟動
Android Management API 預設支援這項功能。不需要額外實作。
2.12. 硬體安全性管理
IT 管理員可以鎖定公司裝置的硬體元素,確保資料不會遺失。
2.12.1. IT 管理員可使用政策 (前往 mountPhysicalMediaDisabled) 禁止使用者掛接實體外部媒體。
2.12.2. IT 管理員可以使用政策 (前往 outgoingBeamDisabled) 禁止使用者透過 NFC 發送功能分享裝置上的資料。由於 Android 10 以上版本不再支援 NFC 發送功能,因此這項子功能屬於選用功能。
2.12.3. IT 管理員可以使用政策 (請參閱 usbFileTransferDisabled) 禁止使用者透過 USB 傳輸檔案。
2.13. 企業安全性記錄
Android Management API 不支援這項功能。
3. 帳戶和應用程式管理
3.1. 企業繫結
IT 管理員可以將 EMM 綁定至機構,讓 EMM 使用 Google Play 管理版,將應用程式發布至裝置。
3.1.1. 擁有現有受管理 Google 網域的管理員可以將網域繫結至 EMM。
3.1.2. 故意空白。
3.1.3. 刻意留空。
3.1.4. EMM 主控台會引導管理員在 Android 註冊流程中輸入公司電子郵件地址,並避免他們使用 Gmail 帳戶。
3.1.5. EMM 會在 Android 註冊流程中預先填入管理員的電子郵件地址。
3.2. Google Play 管理版帳戶佈建
EMM 可靜默佈建企業使用者帳戶 (稱為 Google Play 管理版帳戶)。這些帳戶可識別受管理的使用者,並允許個別使用者的應用程式發布規則。
3.2.1. 裝置佈建時,系統會自動建立 Google Play 管理版帳戶 (使用者帳戶)。
Android Management API 預設支援這項功能。不需要額外實作。
3.3. Google Play 管理版裝置帳戶佈建
EMM 可以建立及佈建 Google Play 管理版裝置帳戶。裝置帳戶可透過 Google Play 管理版商店安裝應用程式,且不會與單一使用者綁定。相反地,裝置帳戶可用於識別單一裝置,以便在專用裝置情境中支援每部裝置的應用程式發行規則。
3.3.1. 裝置佈建時,系統會自動建立 Google Play 管理版帳戶。
Android Management API 預設支援這項功能。而且無須額外導入。
3.4. 為舊版裝置佈建 Google Play 管理版帳戶
這項功能已淘汰。
3.5. 背景發布應用程式
IT 管理員可以在裝置上以無訊息方式發布工作應用程式,無須使用者進行任何操作。
3.5.1. EMM 控制台必須使用 Android Management API,才能讓 IT 管理員在受管理的裝置上安裝工作應用程式。
3.5.2. EMM 控制台必須使用 Android Management API,才能讓 IT 管理員更新受管理裝置上的公司應用程式。
3.5.3. EMM 控制台必須使用 Android Management API,才能讓 IT 管理員解除安裝受管理裝置上的應用程式。
3.6. 受管理的設定管理
IT 管理員可以針對支援受管理設定的應用程式,查看及進行代管設定,而且不顯示任何通知訊息。
3.6.1. EMM 控制台必須能夠擷取並顯示任何 Play 應用程式的受管理設定。
3.6.2. EMM 的主控台必須允許 IT 管理員透過 Android Management API,為任何使用 Android Management API 的 Play 應用程式設定任何設定類型 (由 Android Enterprise 架構定義)。
3.6.3. EMM 主控台必須允許 IT 管理員設定萬用字元 (例如 $username$ 或 %emailAddress%),以便將 Gmail 等應用程式的單一設定套用至多位使用者。
3.7. 應用程式目錄管理
根據預設,Android Management API 支援這項功能。您無須另外實作。
3.8. 程式輔助應用程式核准
EMM 控制台會使用 Google Play 管理版 iframe,支援 Google Play 的應用程式探索和核准功能。IT 管理員可以搜尋應用程式、核准應用程式,以及核准新應用程式權限,無須離開 EMM 控制台。
3.8.1. IT 管理員可以使用 Google Play 管理版 iframe,在 EMM 控制台中搜尋及核准應用程式。
3.9. 基本商店版面配置管理
您可以使用受管理的 Google Play 商店應用程式安裝及更新工作應用程式。根據預設,Google Play 管理版商店會顯示一份清單中的使用者已核准的應用程式。這種版面配置稱為「基本商店版面配置」。
3.9.1. EMM 控制台應可讓 IT 管理員管理應用程式,讓使用者在基本商店版面配置中看到這些應用程式。
3.10. 進階商店版面配置設定
3.10.1. IT 管理員可以自訂 Google Play 管理版應用程式中的商店版面配置。
3.11. 應用程式授權管理
這項功能已淘汰。
3.12. Google 代管的私人應用程式管理服務
IT 管理員可以透過 EMM 控制台,而非 Google Play 管理中心更新 Google 代管的私人應用程式。
3.12.1. IT 管理員可以使用以下方式,上傳已私下發布給企業的新版應用程式:
3.13. 自行代管的私人應用程式管理
IT 管理員可以設定及發布自行代管的私人應用程式。與 Google 代管的私人應用程式不同,Google Play 不會代管 APK。相反地,EMM 可協助 IT 管理員自行代管 APK,並確保只有經過 Google Play 管理版授權的裝置才能安裝自架應用程式,進而保護自架應用程式。
3.13.1. EMM 控制台必須提供下列兩種選項,協助 IT 管理員代管應用程式 APK:
- 在 EMM 伺服器上代管 APK。伺服器可以是地端部署伺服器,也可以是雲端伺服器。
- 在 EMM 伺服器外部代管 APK,由企業自行斟酌。IT 管理員必須在代管 APK 的 EMM 控制台中指定。
3.13.2. EMM 的控制台必須使用提供的 APK 產生適當的 APK 定義檔案,並引導 IT 管理員完成發布程序。
3.13.3. IT 管理員可以更新自架式私人應用程式,而 EMM 主控台則可使用 Google Play Developer Publishing API 悄悄發布更新的 APK 定義檔案。
3.13.4. EMM 伺服器會為自管 APK 提供下載要求,該 APK 在要求的 Cookie 中包含有效的 JWT,並經過私人應用程式的公開金鑰驗證。
- 為簡化這項程序,EMM 伺服器必須引導 IT 管理員從 Play 管理中心下載自管應用程式的授權公開金鑰,並將這組金鑰上傳至 EMM 控制台。
3.14。EMM 提取通知
這項功能不適用於 Android 管理 API。請改為設定 Pub/Sub 通知。
3.15. API 使用規定
EMM 會大規模實作 Android 管理 API,避免流量模式對企業在正式環境中管理應用程式的能力造成負面影響。
3.15.1. EMM 必須遵守 Android Management API 的用量限制。若未修正超過這些規範的行為,Google 可自行斟酌是否停用 API。
3.15.2. EMM 應在一天內平均分配不同企業的流量,而不是合併特定或類似時間的企業流量。符合這類流量模式的行為 (例如為每部註冊裝置安排批次作業),可能會導致 Google 暫停使用 API。
3.15.3. EMM 不應提出一再重複、不完整或刻意錯誤的要求,因為這會導致系統無法擷取或管理實際的企業資料。符合這種流量模式的行為可能會導致 Google 暫停 API 使用權限。
3.16. 進階受管理設定管理
EMM 支援下列進階受管理設定管理功能:
3.16.1. EMM 的主控台必須能夠使用下列指令,擷取及顯示任何 Play 應用程式的最多四個巢狀層級受管理設定:
- Google Play 管理版 iframe
- 也可以建立自訂使用者介面
3.16.2. EMM 的主控台必須能在 IT 管理員設定時,擷取及顯示應用程式意見回饋管道傳回的任何意見回饋。
- EMM 控制台必須允許 IT 管理員將特定意見回饋項目與其來源裝置和應用程式建立關聯。
- EMM 的主控台必須允許 IT 管理員訂閱特定訊息類型 (例如錯誤訊息) 的快訊或報告。
3.16.3. EMM 主控台只能傳送具有預設值或由管理員手動設定的值:
- 受管理的設定 iframe,或
- 自訂 UI。
3.17。網頁應用程式管理
IT 管理員可以在 EMM 控制台中建立及發布網頁應用程式。
3.17.1. IT 管理員可透過 EMM 控制台使用以下項目,發布捷徑至網頁應用程式:
3.18. Google Play 管理版帳戶生命週期管理
EMM 可代表 IT 管理員建立、更新及刪除 Google Play 管理版帳戶,並在帳戶到期時自動還原。
這項功能預設為支援。無須額外導入 EMM。
3.19. 應用程式追蹤管理
3.19.1. IT 管理員可以擷取開發人員為特定應用程式設定的測試群組 ID 清單。
3.19.2. IT 管理員可以設定裝置使用特定開發測試群組來測試應用程式。
3.20。進階應用程式更新管理
IT 管理員可以讓應用程式立即更新,或是延後 90 天更新。
3.20.1. IT 管理員可以允許應用程式在更新可用時使用高優先順序應用程式更新。3.20.2. IT 管理員可以允許應用程式將應用程式更新延後 90 天。
3.21. 佈建方法管理
EMM 可產生佈建設定,並以可供使用者使用的形式 (例如 QR code、零接觸設定、Play 商店網址) 呈現給 IT 管理員。
4. 裝置管理
4.1. 執行階段權限政策管理
IT 管理員可以針對工作應用程式提出的執行階段權限要求,設定預設回應。
4.1.1. 為所屬機構設定預設的執行階段權限政策時,IT 管理員必須能夠從下列選項中選擇:
- 提示 (允許使用者選擇)
- allow
- deny
EMM 應使用政策強制執行這些設定。
4.2. 執行階段權限授予狀態管理
設定預設的執行階段權限政策後 (請參閱 4.1 節),IT 管理員可以針對任何以 API 23 以上版本建構的工作應用程式,靜默設定特定權限的回應。
4.2.1. IT 管理員必須能夠針對以 API 23 以上版本建構的任何工作應用程式要求的任何權限,設定授予狀態 (預設、授予或拒絕)。EMM 應使用政策強制執行這些設定。
4.3. Wi-Fi 設定管理
IT 管理員可以在受管理的裝置上靜默佈建企業 Wi-Fi 設定,包括:
4.3.1. 使用政策設定 SSID。
4.3.2. 密碼,使用政策。
4.4. Wi-Fi 安全性管理
IT 管理員可以在裝置上佈建企業 Wi-Fi 設定,這些裝置必須具備下列進階安全性功能:
4.4.1. 身分識別
4.4.2. 用於用戶端授權的憑證
4.4.3. CA 憑證
4.5. 進階 Wi-Fi 管理
IT 管理員可以鎖定受管理裝置的 Wi-Fi 設定,防止使用者建立設定或修改公司設定。
4.5.1. IT 管理員可以使用下列任一設定中的政策,鎖定企業 Wi-Fi 設定:
- 使用者無法修改 EMM 提供的任何 Wi-Fi 設定 (請參閱
wifiConfigsLockdownEnabled),但可以新增及修改自己可設定的網路 (例如個人網路)。 - 使用者無法新增或修改裝置上的任何 Wi-Fi 網路 (前往
wifiConfigDisabled),只能將 Wi-Fi 連線範圍限制為 EMM 佈建的網路。
4.6. 帳戶管理
IT 管理員可以確保只有授權的企業帳戶可使用公司資料,例如 SaaS 儲存空間和生產力應用程式,或是電子郵件。在沒有這項功能的情況下,使用者可以將個人帳戶新增至同時支援消費者帳戶的公司應用程式,以便與這些個人帳戶共用公司資料。
4.6.1. IT 管理員可以禁止使用者新增或修改帳戶 (請參閱 modifyAccountsDisabled)。
- 在裝置上強制執行這項政策時,EMM 必須在佈建完成前設定這項限制,確保使用者無法在政策生效前,透過新增帳戶規避這項政策。
4.7. Workspace 帳戶管理
Android 管理 API 不支援這項功能。
4.8. 憑證管理功能
允許 IT 管理員將身分憑證和憑證授權單位部署到裝置,以便使用公司資源。
4.8.1. IT 管理員可以為每位使用者安裝由 PKI 產生的使用者身分憑證。EMM 主控台必須整合至少一個 PKI,並發布該基礎架構產生的憑證。
4.8.2. IT 管理員可以在受管理的鍵值儲存庫中安裝憑證授權機構 (請參閱 caCerts)。但不支援這項子功能。
4.9. 進階憑證管理
允許 IT 管理員靜默選取特定受管理應用程式應使用的憑證。這項功能還可讓 IT 管理員從使用中的裝置移除 CA 和識別憑證,並防止使用者修改受管理 KeyStore 中儲存的憑證。
4.9.1. 對於發布到裝置的任何應用程式,IT 管理員可以指定憑證,讓應用程式在執行階段靜默授予存取權。(不支援此子功能)
- 憑證選取必須夠通用,才能允許套用至所有使用者的單一設定,且每個設定都可能有使用者專屬的身分憑證。
4.9.2. IT 管理員可以從受管理的鍵值儲存庫中移除憑證。
4.9.3. IT 管理員可以在無訊息的情況下解除安裝 CA 憑證。(不支援此子功能)
4.9.4. IT 管理員可以禁止使用者在受管理的 KeyStore 中設定憑證 (請參閱 credentialsConfigDisabled)。
4.9.5. IT 管理員可以使用 ChoosePrivateKeyRule 為工作應用程式預先授權憑證。
4.10. 委派憑證管理
IT 管理員可以將第三方憑證管理應用程式發布到裝置,並授權該應用程式在受管理的 KeyStore 中安裝憑證。
4.10.1. IT 管理員可以指定憑證管理套件 (請參閱 delegatedCertInstallerPackage),將其設為委派的憑證管理應用程式。
- EMM 可視需要建議已知的憑證管理套件,但必須讓 IT 管理員為適用的使用者,從可供安裝的應用程式清單中選擇。
4.11. 進階 VPN 管理
允許 IT 管理員指定永久連線的 VPN,確保指定的受管理應用程式資料一律會經過 VPN 設定。
4.11.1. IT 管理員可以指定任意 VPN 套件,設為永久連線的 VPN。
- EMM 控制台可能會視需要建議支援永久連線 VPN 的已知 VPN 套件,但無法將永久連線設定可用的 VPN 限制在任意清單。
4.11.2. IT 管理員可以使用受管理設定,指定應用程式的 VPN 設定。
4.12. 輸入法編輯器管理
IT 管理員可以管理裝置可設定的輸入法 (IME)。由於工作資料夾和個人資料夾會共用輸入法編輯器,因此封鎖 IME 後,使用者就無法再將這些 IME 用於個人用途。不過,IT 管理員不得在工作資料夾中封鎖系統 IME 的使用權限 (請參閱進階 IME 管理,瞭解詳情)。
4.12.1. IT 管理員可以設定任意長度的「IME 許可清單」(前往 permitted_input_methods),包括可封鎖非系統 IME 的空白清單,其中可能包含任意輸入法編輯器套件。
- EMM 控制台可視需要建議已知或建議的 IME,以便納入許可清單,但必須允許 IT 管理員為適用的使用者,從可安裝應用程式清單中選擇。
4.12.2. EMM 必須告知 IT 管理員,系統 IME 不受設有工作資料夾的裝置管理。
4.13. 進階 IME 管理
IT 管理員可以管理使用者可在裝置上設定的輸入法 (IME)。進階 IME 管理功能可擴充基本功能,讓 IT 管理員也能管理系統 IME 的使用情形,而這類 IME 通常由裝置製造商或裝置電信業者提供。
4.13.1. IT 管理員可以設定任意長度的輸入法編輯器許可清單 (請參閱 permitted_input_methods),但空白清單除外,因為空白清單會封鎖所有輸入法編輯器,包括系統輸入法編輯器),且可包含任意輸入法編輯器套件。
- EMM 的主控台可能會選擇性建議要加入許可清單的已知或建議的 IME,但必須允許 IT 管理員從可安裝的應用程式清單中,針對適用使用者選擇安裝。
4.13.2. EMM 必須防止 IT 管理員設定空白的許可清單,因為這項設定會阻止所有 IME (包括系統 IME) 在裝置上設定。
4.13.3. EMM 必須確保如果 IME 許可清單不含系統 IME,系統會在為裝置套用許可清單前,以無訊息方式安裝第三方 IME。
4.14. 無障礙服務管理
IT 管理員可以管理使用者可在裝置上允許的無障礙服務。無障礙服務是一項強大的工具,可協助身心障礙使用者,或是暫時無法與裝置全面互動的使用者。但他們可能會以不符合公司政策的方式存取公司資料。透過這項功能,IT 管理員可關閉任何非系統無障礙服務。
4.14.1. IT 管理員可以設定任意長度的無障礙服務許可清單 (包括空白清單,封鎖非系統無障礙服務),其中可能包含任何任意類型的無障礙服務套件。permittedAccessibilityServices套用至工作資料夾時,這會影響個人資料夾和工作資料夾。
- 管理控制台可視需要建議可納入許可清單的已知或建議無障礙服務,但必須讓 IT 管理員為適用的使用者,從可安裝的應用程式清單中選擇。
4.15. 位置資訊分享管理
IT 管理員可以禁止使用者在工作資料夾中與應用程式分享位置資料。否則,您可以在「設定」中設定工作資料夾中的地點設定。
4.15.1. IT 管理員可以在工作資料夾中停用位置服務 (請前往 shareLocationDisabled)。
4.16. 進階位置資訊分享管理
IT 管理員可以在受管理的裝置上強制執行指定的位置資訊分享設定。 這項功能可確保公司應用程式隨時都能取得高精確度的位置資料。這項功能也可以將位置資訊設定限制為省電模式,確保不會耗用額外電力。
4.16.1. IT 管理員可以將裝置位置資訊服務設定為下列任一模式:
- 。
- 僅限感應器,例如 GPS,但不包括網路提供的位置資訊。
- 省電模式,可限制更新頻率。
- 關閉。
4.17。恢復原廠設定保護機制管理
IT 管理員可透過這項功能,確保未經授權的使用者無法將公司裝置恢復原廠設定,進而防止裝置遭竊。如果將裝置歸還給 IT 系統時,恢復原廠設定保護機製造成作業複雜程度,IT 管理員可以完全關閉恢復原廠設定保護機制。
4.17.1. IT 管理員可以禁止使用者透過「設定」應用程式將裝置恢復原廠設定 (請參閱 factoryResetDisabled)。
4.17.2. IT 管理員可以在恢復原廠設定後,指定有權設定裝置的企業解鎖帳戶 (請參閱 frpAdminEmails)。
- 這個帳戶可以連結至個人,也可以由整個企業用來解鎖裝置。
4.17.3. IT 管理員可以為指定裝置停用恢復原廠設定保護機制 (請參閱 factoryResetDisabled)。
4.17.4. IT 管理員可以啟動遠端裝置清除程序,選擇清除重設保護資料,藉此移除裝置上的恢復原廠設定保護機制。
4.18. 進階應用程式控制項
IT 管理員可以禁止使用者透過「設定」解除安裝或修改受管理的應用程式。例如,防止強制關閉應用程式或清除應用程式的資料快取。
4.18.1. IT 管理員可以禁止解除安裝任何受管理的應用程式或所有受管理應用程式 (請前往 uninstallAppsDisabled)。
4.18.2. IT 管理員可以禁止使用者在「設定」中修改應用程式資料。(Android Management API 不支援這項子功能)。
4.19. 螢幕畫面擷取管理
IT 管理員可以禁止使用者在使用受管理的應用程式時擷取螢幕畫面。包括禁止分享螢幕畫面的應用程式,以及使用系統螢幕截圖功能的類似應用程式 (例如 Google 助理)。
4.19.1. IT 管理員可以禁止使用者擷取螢幕截圖 (請前往 screenCaptureDisabled)。
4.20。停用相機
IT 管理員可以關閉受管理應用程式使用裝置相機的權限。
4.20.1. IT 管理員可以停用受管理應用程式使用裝置相機的權限 (請參閱 cameraDisabled)。
4.21. 收集網路統計資料
Android 管理 API 不支援這項功能。
4.22. 進階網路統計資料收集
Android Management API 不支援這項功能。
4.23. 重新啟動裝置
IT 管理員可以從遠端重新啟動受管理的裝置。
4.23.1. IT 管理員可以從遠端重新啟動受管理的裝置。
4.24. 系統無線電管理
為 IT 管理員提供使用 policy 管理系統網路無線電和相關使用政策的精細管理功能。
4.24.1. IT 管理員可以關閉服務供應商傳送的行動廣播訊息 (請前往 cellBroadcastsConfigDisabled)。
4.24.2. IT 管理員可禁止使用者在「設定」(前往 mobileNetworksConfigDisabled) 中修改行動網路設定。
4.24.3. IT 管理員可以防止使用者在「設定」中重設所有網路設定。(前往 networkResetDisabled)。
4.24.4. IT 管理員可以設定裝置是否允許在漫遊時使用行動數據 (請參閱 dataRoamingDisabled)。
4.24.5. IT 管理員可以設定裝置能否撥打電話,但無法撥打緊急電話 (請前往 outGoingCallsDisabled)。
4.24.6. IT 管理員可以設定裝置是否能收發簡訊 (請前往 smsDisabled)。
4.24.7. IT 管理員可以透過網路共用功能,禁止使用者將裝置做為可攜式無線基地台使用 (請前往 tetheringConfigDisabled)。
4.24.8. IT 管理員可以將 Wi-Fi 逾時時間設為預設值、插電時或永不逾時。(Android Management API 不支援此子功能)
4.24.9. IT 管理員可以禁止使用者設定或修改現有的藍牙連線 (請參閱 bluetoothConfigDisabled)。
4.25. 系統音訊管理
IT 管理員可以無聲控制裝置的音訊功能,包括將裝置設為靜音、禁止使用者修改音量設定,以及禁止使用者取消裝置的麥克風靜音。
4.25.1. IT 管理員可以將受管理的裝置設為靜音。(Android Management API 不支援此子功能)
4.25.2. IT 管理員可以禁止使用者修改裝置音量設定 (請參閱 adjustVolumeDisabled)。這麼做也會將裝置靜音。
4.25.3. IT 管理員可以禁止使用者將裝置麥克風取消靜音 (前往 unmuteMicrophoneDisabled)。
4.26. 系統時鐘管理
IT 管理員可以管理裝置時鐘和時區設定,並禁止使用者修改自動裝置設定。
4.26.1. IT 管理員可以強制執行系統的自動時間和自動時區,防止使用者設定裝置的日期、時間和時區。
4.27. 專用裝置的進階功能
針對專用裝置,IT 管理員可以使用政策管理下列功能,以支援各種資訊亭用途。
4.27.1. IT 管理員可以關閉裝置防護鎖 (請參閱 keyguardDisabled)。
4.27.2. IT 管理員可以關閉裝置狀態列、封鎖通知和快速設定 (請前往 statusBarDisabled)。
4.27.3. IT 管理員可以強制裝置在充電時保持螢幕開啟 (請參閱 stayOnPluggedModes)。
4.27.4. IT 管理員可以禁止系統顯示下列系統 UI (前往 createWindowsDisabled):
- 浮動式訊息
- 應用程式重疊。
4.27.5. IT 管理員可讓系統推薦應用程式,在首次啟動時略過使用者教學課程和其他入門提示 (前往 skip_first_use_hints)。
4.28. 委派範圍管理
IT 管理員可以將額外權限委派給個別套件。
4.28.1. IT 管理員可以管理下列範圍:
- 憑證安裝和管理
- 蓄意空白
- 網路記錄
- 安全性記錄 (不適用於個人裝置上的工作資料夾)
4.29. 註冊專屬 ID 支援
自 Android 12 起,工作資料夾將不再能存取硬體專屬 ID。IT 管理員可以透過註冊專屬 ID,追蹤設有工作資料夾的裝置生命週期,這些 ID 會在恢復原廠設定後保留下來。
4.29.1. IT 管理員可以取得註冊專屬 ID
4.29.2. 這個註冊專屬 ID 必須在恢復原廠設定後仍保留
5. 裝置可用性
5.1. 自訂代管佈建功能
IT 管理員可以修改預設設定流程使用者體驗,加入企業專屬功能。IT 管理員可以選擇在佈建期間顯示 EMM 提供的品牌資訊。
5.1.1. IT 管理員可以指定企業專屬的服務條款和其他免責事項,自訂佈建程序 (請參閱 termsAndConditions)。
5.1.2. IT 管理員可以部署不可設定的 EMM 專屬服務條款和其他免責事項 (請參閱 termsAndConditions)。
- EMM 可以將無法設定的 EMM 專屬自訂項目設為部署作業的預設值,但必須允許 IT 管理員設定自己的自訂項目。
5.1.3. primaryColor 已淘汰,不適用於 Android 10 以上版本的企業資源。
5.2. 企業自訂
Android 管理 API 不支援這項功能。
5.3. 進階企業自訂功能
Android Management API 不支援這項功能。
5.4. 鎖定螢幕訊息
IT 管理員可以設定自訂訊息,讓訊息一律顯示在裝置螢幕鎖定畫面上,且不需要解鎖裝置即可查看。
5.4.1. IT 管理員可以設定自訂螢幕鎖定訊息 (請前往 deviceOwnerLockScreenInfo)。
5.5. 政策資訊公開管理
IT 管理員可以在使用者嘗試修改裝置上的受管理設定,或部署 EMM 提供的一般支援訊息時,自訂向使用者提供的說明文字。您可以自訂短版和長版支援訊息,並在嘗試解除安裝 IT 管理員已封鎖解除安裝的受管理應用程式時顯示。
5.5.1. IT 管理員可以自訂向使用者顯示的支援訊息 (短版和長版)。
5.5.2. IT 管理員可以部署無法設定、EMM 專用、簡短和長版的支援訊息 (請前往 policies 中的 shortSupportMessage 和 longSupportMessage)。
- EMM 可能會將其 EMM 專屬支援訊息設為部署項目的預設選項,且該訊息無法設定,不過必須允許 IT 管理員自行設定訊息。
5.6. 跨設定檔聯絡人管理
5.6.1. IT 管理員可以停止在個人資料夾的聯絡人搜尋和來電顯示工作聯絡人。
5.6.2. IT 管理員可以停用工作聯絡人的藍牙聯絡人共用功能,例如使用汽車或耳機的免持通話功能。
5.7. 跨設定檔資料管理
IT 管理員可管理工作和個人資料夾之間可共用的資料類型,以便根據需求平衡可用性和資料安全性。
5.7.1. IT 管理員可以設定跨資料夾資料分享政策,讓個人應用程式能夠解析工作資料夾的意圖,例如分享意圖或網頁連結。
5.7.2. IT 管理員可允許工作資料夾中的應用程式,在個人資料夾的主畫面建立及顯示小工具。這項功能預設為關閉,但可以使用 workProfileWidgets 和 workProfileWidgetsDefault 欄位設定為允許。
5.7.3. IT 管理員可以控管使用者在工作和個人資料夾之間複製/貼上資料的權限。
5.8. 系統更新政策
IT 管理員可以設定無線 (OTA) 系統更新裝置,並套用更新。
5.8.1. 透過 EMM 控制台,IT 管理員可以設定下列 OTA 設定:
- 自動:裝置會在無線更新 (OTA) 推出時安裝。
- 延後:IT 管理員必須能將 OTA 更新時間延後最多 30 天。這項政策不會影響安全性更新 (例如每月安全性修補程式)。
- 有時間限制:IT 管理員必須能夠在每日維護期間內安排 OTA 更新。
5.8.2. OTA 設定會套用到使用政策的裝置。
5.9. 鎖定工作模式管理
IT 管理員可以將應用程式或一組應用程式鎖定在螢幕上,確保使用者無法退出應用程式。
5.9.1. EMM 控制台可讓 IT 管理員靜默允許任意應用程式組合安裝至裝置並鎖定。政策:可設定專屬裝置。
5.10. 持續偏好的活動管理
允許 IT 管理員將應用程式設為符合特定意圖篩選器的意圖的預設意圖處理常式。舉例來說,這項功能可讓 IT 管理員選擇要自動開啟網頁連結的瀏覽器應用程式。這項功能可管理輕觸主畫面按鈕時使用的啟動器應用程式。
5.10.1. IT 管理員可以將任何套件設為預設意圖處理程序,用於任何意圖篩選器。
- EMM 控制台可視需要建議已知或建議的意圖設定,但無法將意圖限制為任何任意清單。
- EMM 控制台必須允許 IT 管理員從應用程式清單中選擇可供適用使用者安裝的應用程式。
5.11. 鎖定螢幕功能管理
IT 管理員可以管理使用者在解鎖裝置鍵盤鎖定畫面和工作挑戰鍵盤鎖定畫面前,可使用的功能。
5.11.1.政策可關閉下列裝置鎖定畫面功能:
- 信任的代理程式
- 指紋解鎖
- 未遮蓋的通知
5.11.2. 您可以使用政策關閉工作資料夾的下列防護密碼功能:
- 信任的代理程式
- 指紋解鎖
5.12. 進階鎖定畫面功能管理
- 確保攝影機安全
- 所有通知
- 未遮蓋
- 信任的代理程式
- 指紋解鎖
- 所有鎖定畫面功能
5.13. 遠端偵錯
Android Management API 不支援這項功能。
5.14. MAC 位址擷取
EMM 可以無訊息地擷取裝置的 MAC 位址,以識別企業基礎架構中其他部分的裝置 (例如識別用於網路存取權控管的裝置)。
5.14.1. EMM 可以靜默擷取裝置的 MAC 位址,並在 EMM 控制台中將其與裝置建立關聯。
5.15. 進階鎖定任務模式管理
透過專用裝置,IT 管理員可以透過 EMM 控制台執行以下工作:
5.15.1. 允許單一應用程式安裝並鎖定裝置。
5.15.2. 啟用或停用下列系統 UI 功能:
- 主畫面按鈕
- 總覽
- 全域動作
- 通知
- 系統資訊 / 狀態列
- 鍵盤鎖 (螢幕鎖定)。實作 5.15.1 時,這項子功能預設為開啟。
5.16. 進階系統更新政策
IT 管理員可以設定特定的凍結期間,在裝置上封鎖系統更新。
5.16.1. EMM 控制台必須允許 IT 管理員在指定的凍結期間封鎖無線 (OTA) 系統更新。
5.17. 工作資料夾政策資訊公開管理
IT 管理員可以自訂訊息,在使用者從裝置移除工作資料夾時顯示給使用者。
5.17.1. IT 管理員可以提供要顯示的自訂文字 (請參閱 wipeReasonMessage),以便在抹除工作資料夾時顯示。
5.18. 連結的應用程式支援
IT 管理員可以設定可跨工作資料夾邊界進行通訊的套件清單,方法是設定 ConnectedWorkAndPersonalApp。
5.19. 手動系統更新
Android 管理 API 不支援這項功能。
6. 裝置管理員淘汰作業
6.1. 裝置管理員淘汰通知
截至 2023 年第 1 季結束前,EMM 供應商都必須在 2022 年底前停止支援 GMS 裝置的裝置管理員方案。
7. API 使用量
7.1. 適用於新繫結的標準政策控制器
預設情況下,裝置必須使用 Android Device Policy 管理任何新的繫結。EMM 可能會在「進階」標題或類似術語下的設定區域中,提供使用自訂 DPC 管理裝置的選項。新客戶不得在任何新手上路或設定工作流程中,自由選擇使用不同技術堆疊的方式。
7.2. 新裝置的標準政策控制器
根據預設,註冊新裝置和新繫結時,都必須使用 Android Device Policy 進行管理。EMM 可能會在「進階」標題或類似術語底下的設定區域中,提供使用自訂 DPC 管理裝置的選項。