设置密码策略需要最终用户输入密码,这为设备上的敏感数据提供了第一层保护。

过程

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android
  2. 如果合适,配置常规配置文件设置。
  3. 从负载列表中选择密码,然后配置密码设置:
    设置 说明
    启用工作密码策略 启用此选项以将密码策略仅应用于带有 Android 标记的应用程序。
    密码长度下限 设置最小字符数,确保密码具有合适的复杂度。
    密码内容

    从下拉菜单中选择以下选项之一:

    从下拉菜单中选择任意数字字母数字字母复杂复杂数字弱生物识别

    使用简单值以便快速访问,或使用字母数字密码来增强安全性。您还可以要求在密码中使用最低数量的复杂字符(@、#、&、!、?)。

    弱效生物识别通行码内容可使用安全性较低的生物识别解除锁定方法,如面部识别。

    重要事项: 如果密码包含的复杂字符数必须大于 4,则至少需要包含一个小写字符和一个大写字符(仅限 SAFE v5.2 设备)。
    失败尝试次数上限 指定在设备被擦除之前允许的尝试次数。
    最长密码期限 (天) 指定密码的最长有效天数。
    密码更改提醒 设置在密码过期前通知用户更改密码的时间长度。设备密码策略中也会提供此选项。

    系统会在用户的设备上通过提示来提示其更改密码,但不会阻止用户在设备上执行任何其他功能。您可以配置合规策略或使用适用于 Android 的 Workspace ONE Intelligent Hub 中的设置来创建并强制将密码重新添加到设备。

    密码历史记录 设置在可以重复使用旧密码之前必须更改密码的次数。
    设备锁定超时范围(以分钟计) 设置在设备屏幕自动锁定之前处于非活跃状态的期限
    密码需要更改(以分钟为单位) 设置使用非强身份验证方法(如指纹或人脸识别)解锁设备之后需要密码之前的时间长度。设备密码策略中也会提供此选项。
    允许一个锁 禁用以强制为工作配置文件和设备使用单独的密码
    注: 仅适用于 Android 9.0+ 工作配置文件设备和 COPE 设备。
    允许生物识别选项 启用以允许生物识别解锁方法,如人脸识别。
    允许指纹传感器 启用后可让用户使用指纹解锁设备。禁用后可防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入配置文件中指定类型的密码。
    允许面部扫描 禁用此选项将禁止配置或选择人脸解锁方法。
    注: 仅适用于 Android 9.0+ 工作受管设备。
    允许虹膜扫描 禁用此选项将禁止配置或选择虹膜扫描仪方法。
    注: 仅适用于 Android 9.0+ 工作受管设备。
    启用设备密码策略 对使用工作配置文件注册的设备应用密码策略。需要输入此密码解锁设备,并且可以与工作密码结合使用。对于工作受管设备,此密码策略将应用到设备。
    密码长度下限 设置最小字符数,确保密码具有合适的复杂度。
    设置初始密码 启用以在所有已部署设备上的设备级别设置初始密码。部署后,可以在设备级别重置密码。
    注: 仅适用于 Android 7.0+ 工作受管设备。
    密码内容

    从下拉菜单中选择任意数字字母数字字母复杂复杂数字,确保密码内容符合安全要求。

    失败尝试次数上限 指定在设备被擦除之前允许的尝试次数。
    最长密码期限 (天) 指定密码的最长有效天数。
    密码更改提醒 设置在密码过期前通知用户更改密码的时间长度。
    密码历史记录 设置在可以重复使用旧密码之前必须更改密码的次数。
    设备锁定超时范围(以分钟计) 设置在设备屏幕自动锁定之前处于非活跃状态的期限。
    允许生物识别选项 启用以允许生物识别解锁方法,如人脸识别。
    允许指纹解锁 启用后可让用户使用指纹解锁设备。另外,防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入在配置文件中指定类型的密码。
    允许面部扫描 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。
    注: 仅适用于 Android 9.0+ 工作受管设备。
    允许虹膜扫描 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。
    注: 仅适用于 Android 9.0+ 工作受管设备。
    密码可视 启用该选项后,在输入密码时,密码会显示在屏幕上。适用于 Samsung 设备。

    要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung

    要求 SD 卡加密 指示 SD 卡是否要求加密。适用于 Samsung 设备。

    要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung

    重复字符数上限 通过设置重复字符数上限,防止最终用户输入易于破解的重复性密码(如“1111”)。适用于 Samsung 设备。
    如果从 密码内容文本框中选择“复杂”,则适用以下设置。
    设置 说明
    最低字母数目 指定可以在密码中包含的字母个数。
    最低小写字母数目 指定密码中必需的小写字母个数。
    最低大写字母数目 指定密码中必需的大写字母个数。
    最低非字母数目 指定密码中必需的特殊字符个数。
    最低数字数目 指定密码中必需的数字个数。
    最低符号数目 指定密码中必需的符号个数。
    以下设置适用于在 Samsung 设备上设置密码。

    只有在常规配置文件中选择了 OEM 设置,并从选择 OEM 下拉列表中选择了 Samsung 时,

    这些设置才可用。
    设置 说明
    密码可视 启用该选项后,在输入密码时,密码会显示在屏幕上。
    允许指纹解锁 启用后可让用户使用指纹解锁设备。另外,防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入在配置文件中指定类型的密码。
    要求 SD 卡加密 指示 SD 卡是否要求加密。
    需要密码 要求用户输入用于加密 SD 卡的密码。如果未选中,则某些设备允许在不进行用户交互的情况下加密 SD 卡。
    重复字符数上限 通过设置重复字符数上限,防止最终用户输入易于破解的重复性密码(如“1111”)。

    数字序列长度上限

    防止最终用户输入易于破解的数字序列(如 1234)作为密码。适用于 Samsung 设备。
    允许使用虹膜扫描仪 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。
    允许人脸解锁 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。
    锁屏覆盖

    启用后可将信息推送到最终用户设备,并在锁定屏幕上覆盖显示此信息。

    • 图像覆盖 – 上传要在锁定屏幕上覆盖显示的图像。可以上传主要和次要图像,并确定这些图像的位置和透明度。
    • 公司信息 – 输入要在锁定屏幕上覆盖显示的公司信息。在此设置中,可以输入要在设备丢失或失窃时显示的紧急信息。

    “锁屏覆盖”设置仅适用于 Safe 5.0 和更高版本的设备。“锁屏覆盖”设置在启用后将在设备上保持已配置状态,而且无法由最终用户更改。

    有关锁屏覆盖设置的详细信息,请参阅配置锁屏覆盖 (Android)。

  4. 选择保存并发布,将配置文件指定给关联的设备。