如何配置 Android 配置文件
Android 配置文件可确保设备的正确使用和敏感数据保护。配置文件具有许多不同的用途,包括允许您强制实施企业规则和程序,以及按照 Android 设备的使用方式来定制和准备这些设备。
Android 与 Android 旧版配置文件
部署配置文件时,有两种 Android 配置文件类型:Android 和 Android(旧版)。如果您已完成 Android EMM 注册,请选择 Android 配置文件选项。如果已选择退出 EMM 注册,可以使用 Android(旧版)配置文件。当您选择 Android 但未逐步完成 Android EMM 注册时,系统将显示错误消息,提示您转到设置页面完成 EMM 注册也,或继续进行 Android(旧版)配置文件部署。
工作配置文件与工作受管设备模式
工作配置文件是一种特殊类型的管理员,主要针对 BYOD 用例量身定制。当用户已将个人设备配置为其自己的 Google 帐户时,Workspace ONE UEM 注册将创建一个工作配置文件,其将安装 Workspace ONE Intelligent Hub。Workspace ONE UEM 仅控制工作配置文件。受管应用在工作配置文件中安装,并显示橙色公文包标志来将其与个人应用区分开来。
工作受管设备适用于从未置备或出厂重置状态注册的设备。建议将此模式用于企业拥有的设备。VMware Workspace ONE Intelligent Hub 在设置过程中安装,并设置为设备所有者,这意味着 Workspace ONE UEM 可以完全控制整个设备。
Android 配置文件会显示以下标记:工作配置文件和工作受管设备。
带有“工作配置文件”标记的配置文件选项仅适用于工作配置文件设置和应用,不会影响用户的个人应用或设置。例如,某些限制会关闭访问摄像头或捕获屏幕截图。这些限制仅影响工作配置文件中带有 Android 标志的应用,不会影响个人应用。为工作受管设备配置的配置文件选项适用于整个设备。本节讨论的每个配置文件指明了配置文件影响的设备类型。
配置文件行为
有时,由于各种原因,需要实施多个配置文件。部署重复配置文件时,将优先采用限制性最严格的策略。因此,如果安装了两个配置文件,一个配置文件表示阻止摄像头,另一个配置文件表示允许摄像头,则 Android 版 Intelligent Hub 会组合这些配置文件并阻止摄像头,以选择更安全的选项。
配置配置文件
在 Workspace ONE UEM console 中,您可以针对每个配置文件采用相同的导航路径。预览部分显示已分配的设备总数以及列表视图。您可以在摘要选项卡上查看添加的配置文件。
要配置配置文件,请执行以下操作:
- 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。
-
配置设置:
设置 说明 名称 设置配置文件的名称,并添加可以轻松识别的说明。 配置文件作用域 在生产、注册预备或两者中设置配置文件在环境中的使用方式。 OEM 设置 启用 OEM 设置以配置 Samsung 或 Zebra 设备的特定设置。选择 OEM 后,您将看到 OEM 特有的其他配置文件和设置显示。 -
选择所需配置文件的添加按钮,然后根据需要配置设置。在选择“添加”之前,您可以使用下拉菜单并预览配置文件设置。
-
选择下一步以根据需要配置常规分配和部署配置文件设置。配置以下设置:
设置 说明 智能组 允许排除 启用后,将显示一个新的文本框排除组。然后,您可以选择要从设备配置文件分配中排除的组。 分配类型 确定如何将配置文件部署到设备:自动 – 向所有设备部署配置文件。可选 – 最终用户可以从自助服务门户 (SSP) 有选择性地安装配置文件,或者由管理员自行决定将其部署到单独的设备上。最终用户还可以使用网页剪辑或书签负载来安装代表 Web 应用程序的配置文件。如果您将负载配置为显示在应用程序目录中,则可以从应用程序目录中安装它。合规性 – 在用户无法采取正确的操作使其设备合规时,配置文件由合规引擎应用到设备。 管理者 拥有对配置文件的管理访问权限的组织组。 仅安装区域 启用以显示地理围栏选项:仅在选定区域内的设备上安装:输入世界上任何地点的地址和半径(以公里或英里为单位),以生成“配置文件安装范围”。 计划安装时间 启用以配置时间表设置:启用时间安排和仅在选定时间段内安装:指定设备仅可在那个时间范围内接收配置文件的配置时间表。 -
选择保存并发布。
密码
设置密码策略需要最终用户输入密码,这为设备上的敏感数据提供了第一层保护。
工作配置文件密码策略仅应用于工作应用,以便用户在每次解锁其使用工作配置文件注册的设备时,不必输入复杂的密码。该工作使企业应用数据受到保护,并允许最终用户以自己喜欢的方式访问个人应用和数据。至于工作受管设备模式,此密码策略适用于设备。对于使用工作配置文件注册的设备,工作密码在 Android 7.0 (Nougat) 及以上版本上可用。
设备密码策略适用于整个设备(使用工作配置文件注册或作为工作受管设备注册)。每次解锁设备时都需要输入此密码,且可以和工作密码搭配使用。
默认情况下,创建新配置文件时仅启用工作密码(禁用设备密码)。管理员必须手动启用设备密码。
注意:如果设备上有密码配置文件且用户未设置密码,则在设备合规之前,不会将应用或配置文件推送到设备。
建立密码配置文件设置后,当密码达到最短密码期限或需要更改密码时,UEM console 会通过持久通知来通知用户更新密码设置。用户无法使用 Intelligent Hub,直到他们在配置文件中设置了所需的密码。在 Samsung 设备上,用户被锁定在锁屏设置向导中,直到他们设置符合密码策略要求的密码为止。对于工作受管设备,用户无法使用该设备。对于工作配置文件和 COPE 设备,用户无法访问工作应用。
密码复杂度
设置工作或设备密码时,需要先确定密码复杂度,然后再配置其他设置。首先,您将通过将密码复杂度控制设置为基本或高级来决定最低密码复杂度要求的精确度。
选择基本时只需将复杂度设置为低、中或高。选择低时,用户可以设置任何类型的屏幕锁定。选择中复杂度时,用户需要在其设备上设置复杂的 PIN 码或密码,无最小长度要求。选择高时,用户需要设置以下任一项:
- 最小长度为 8 的复合 PIN 码
- 最小长度为 6 的密码
如果选择高级,则必须设置配置文件设置中列出的密码内容和最小密码长度设置。
下方概述了密码配置文件的可用设置。
| 设置 | 说明 |
|---|---|
| 启用工作密码策略 | 启用此选项以将密码策略仅应用于带有 Android 标记的应用程序。 |
| 密码长度下限 | 设置最小字符数,确保密码具有合适的复杂度。 |
| 密码内容 | 从下拉菜单中选择以下选项之一,以确保密码内容符合您的安全要求:任意、数字、字母数字、字母、复杂、复杂数字或弱生物识别。 |
| 使用简单值以便快速访问,或使用字母数字密码来增强安全性。您还可以要求在密码中使用最低数量的复杂字符(@、#、&、! , ,? )。 | |
| 弱效生物识别通行码内容可使用安全性较低的生物识别解除锁定方法,如面部识别。重要提示:如果密码包含的复杂字符数必须大于 4,则至少需要包含一个小写字符和一个大写字符(仅限 SAFE v5.2 设备)。 | |
| 失败尝试次数上限 | 指定在设备被擦除之前允许的尝试次数。 |
| 最长密码期限 (天) | 指定密码的最长有效天数。 |
| 密码更改提醒 | 设置在密码过期前通知用户更改密码的时间长度。设备密码策略中也会提供此选项。系统会在用户的设备上通过提示来提示其更改密码,但不会阻止用户在设备上执行任何其他功能。您可以配置合规策略或使用适用于 Android 的 VMware Workspace ONE Intelligent Hub 中的设置来创建并强制将密码重新添加到设备。 |
| 密码历史记录 | 设置在可以重复使用旧密码之前必须更改密码的次数。 |
| 工作配置文件锁定超时范围 (以分钟为单位) | 设置在设备屏幕自动锁定之前处于非活跃状态的期限 |
| 需要密码的时间范围(以分钟为单位) | 设置使用非强身份验证方法(如指纹或人脸识别)解锁设备之后需要密码之前的时间长度。设备密码策略中也会提供此选项。 |
| 允许一个锁 | 禁用以强制对工作配置文件密码和设备密码使用更加严格的密码。 |
| 在创建工作配置文件密码之前,将在后台启用“一个锁”。当用户需要创建设备和工作配置文件密码时,用户可以选择先创建哪个,但会先强制实施更复杂的要求。 | |
| 注意:仅适用于 Android 9.0+ 工作配置文件设备和 COPE 设备。 | |
| 允许生物识别选项 | 启用以允许生物识别解锁方法,如人脸识别。 |
| 允许指纹传感器 | 启用后可让用户使用指纹解锁设备。禁用后可防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入配置文件中指定类型的密码。 |
| 允许面部扫描 | 禁用此选项将禁止配置或选择人脸解锁方法。注意:仅适用于 Android 9.0+ 工作受管设备。 |
| 允许虹膜扫描 | 禁用此选项将禁止配置或选择虹膜扫描仪方法。注意:仅适用于 Android 9.0+ 工作受管设备。 |
| 启用设备密码策略 | 对使用工作配置文件注册的设备应用密码策略。需要输入此密码解锁设备,并且可以与工作密码结合使用。对于工作受管设备,此密码策略将应用到设备。 |
| 密码长度下限 | 设置最小字符数,确保密码具有合适的复杂度。 |
| 设置初始密码 | 启用以在所有已部署设备上的设备级别设置初始密码。部署后,可以在设备级别重置密码。注意:仅适用于 Android 7.0+ 工作受管设备。 |
| 密码内容 | 从下拉菜单中选择任意、数字、字母数字、字母、复杂或复杂数字,确保密码内容符合安全要求。 |
| 失败尝试次数上限 | 指定在设备被擦除之前允许的尝试次数。 |
| 最长密码期限 (天) | 指定密码的最长有效天数。 |
| 密码更改提醒 | 设置在密码过期前通知用户更改密码的时间长度。 |
| 密码历史记录 | 设置在可以重复使用旧密码之前必须更改密码的次数。 |
| 工作配置文件锁定超时范围 (以分钟为单位) | 设置在设备屏幕自动锁定之前处于非活跃状态的期限。 |
| 允许生物识别选项 | 启用以允许生物识别解锁方法,如人脸识别。 |
| 允许指纹解锁 | 启用后可让用户使用指纹解锁设备。另外,防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入在配置文件中指定类型的密码。 |
| 允许面部扫描 | 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。注意:仅适用于 Android 9.0+ 工作受管设备。 |
| 允许虹膜扫描 | 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。注意:仅适用于 Android 9.0+ 工作受管设备。 |
| 密码可视 | 启用该选项后,在输入密码时,密码会显示在屏幕上。适用于 Samsung 设备。要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung。 |
| 要求 SD 卡加密 | 指示 SD 卡是否要求加密。适用于 Samsung 设备。要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung。 |
| 重复字符数上限 | 通过设置重复字符数上限,防止最终用户输入易于破解的重复性密码(如“1111”)。适用于 Samsung 设备。 |
如果从密码内容文本框中选择“复杂”,则适用以下设置。
| 设置 | 说明 |
|---|---|
| 最低字母数目 | 指定可以在密码中包含的字母个数。 |
| 最低小写字母数目 | 指定密码中必需的小写字母个数。 |
| 最低大写字母数目 | 指定密码中必需的大写字母个数。 |
| 最低非字母数目 | 指定密码中必需的特殊字符个数。 |
| 最低数字数目 | 指定密码中必需的数字个数。 |
| 最低符号数目 | 指定密码中必需的符号个数。 |
以下设置适用于在 Samsung 设备上设置密码。
只有当在常规配置文件中选择了 OEM 设置,并从选择 OEM 下拉列表中选择了 Samsung 时,才会显示这些设置。
| 设置 | 说明 |
|---|---|
| 密码可视 | 启用该选项后,在输入密码时,密码会显示在屏幕上。 |
| 允许指纹解锁 | 启用后可让用户使用指纹解锁设备。另外,防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入在配置文件中指定类型的密码。 |
| 要求 SD 卡加密 | 指示 SD 卡是否要求加密。 |
| 需要密码 | 要求用户输入用于加密 SD 卡的密码。如果未选中,则某些设备允许在不进行用户交互的情况下加密 SD 卡。 |
| 重复字符数上限 | 通过设置重复字符数上限,防止最终用户输入易于破解的重复性密码(如“1111”)。 |
| 数字序列长度上限 | 防止最终用户输入易于破解的数字序列(如 1234)作为密码。适用于 Samsung 设备。 |
| 允许虹膜扫描仪 | 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。 |
| 允许人脸解锁 | 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。 |
| 锁屏覆盖 | 打开后可将信息推送到最终用户设备,并在锁定屏幕上显示此信息。 |
| - 图像覆盖 – 上传要在锁定屏幕上覆盖显示的图像。可以上传主要和次要图像,并确定这些图像的位置和透明度。 | |
| - 公司信息 – 输入要在锁定屏幕上覆盖显示的公司信息。在此设置中,可以输入要在设备丢失或失窃时显示的紧急信息。 | |
| “锁屏覆盖”设置仅适用于 Safe 5.0 和更高版本的设备。“锁屏覆盖”设置在启用后将在设备上保持已配置状态,而且无法由最终用户更改。 |
配置锁屏覆盖 (Android)
通过密码配置文件中的锁屏幕覆盖选项,您可以在屏幕锁定图像上覆盖信息,以便向最终用户或任何可能找到锁定设备的人员提供信息。锁屏覆盖是密码配置文件的一部分。
锁屏覆盖是 Android 的一种本机功能,可跨多个 OEM 使用。
只有当 OEM 设置字段切换为启用且从选择 OEM 字段中选择了“Samsung”时,适用于 Android 配置文件的锁屏覆盖设置才会显示。“常规”配置文件中的“OEM 设置”字段仅适用于 Android 的配置文件,不适用于 Android(旧版)配置。
根据需要配置图像覆盖的设置:
| 设置 | 说明 |
|---|---|
| 图像叠加类型 | 选择单图像或多图像,以确定所需的覆盖图像数量。 |
| 主要图像 | 上载图像文件。 |
| 主要图像顶部位置所占百分比 | 确定顶部图像的位置(从 0 到 90%)。 |
| 主要图像底部位置所占百分比 | 确定底部图像的位置(从 0 到 90%)。 |
| 次要图像 | 根据需要上传另一个图像。仅在从图像覆盖类型字段中选择了“多图像”时,才会显示此字段。 |
| 次要图像位置比例 | 确定顶部图像的位置(从 0 到 90%)。仅在从“图像覆盖类型”字段中选择了“多图像”时才适用。 |
| 次要图像底部位置所占百分比 | 确定底部图像的位置(从 0 到 90%)。仅在从“图像覆盖类型”字段中选择了“多图像”时才适用。 |
| 覆盖图像 | 确定图像的透明度是透明还是不透明。 |
根据需要配置公司信息的设置。
| 设置 | 说明 |
|---|---|
| 公司名称 | 输入要显示的公司名称。 |
| 公司徽标 | 上传带有图像文件的公司徽标。 |
| 公司地址 | 输入公司办公地址。 |
| 公司电话号码 | 输入公司电话号码。 |
| 覆盖图像 | 确定图像的透明度是透明还是不透明。 |
Chrome 浏览器设置
Chrome 浏览器设置配置文件可帮助您管理 Work Chrome 应用的设置。
Chrome 是 Google 的 Web 浏览器。Chrome 提供许多功能,如搜索、omnibox(一个用于搜索和导航的框)、自动填充、保存的密码以及 Google 帐户登录,以便可以跨所有设备即时访问最近使用的标签页和搜索内容。Chrome 应用的工作版本在功能上与 Chrome 个人版本相同。配置此配置文件不会影响用户的个人 Chrome 应用。您可以将此配置文件与单独的 VPN 一起部署,也可以将其与凭证和 Wi-Fi 负载一起部署,以确保最终用户可以进行身份验证和登录内部站点及系统。这样可保证用户必须将 Work Chrome 应用用于商业用途。
Chrome 浏览器设置矩阵 (Android)
Chrome 浏览器设置配置文件可帮助您管理 Work Chrome 应用的设置。配置此配置文件不会影响用户的个人 Chrome 应用。您可以将此配置文件与单独的 VPN 一起部署,也可以将其与凭证或 Wi-Fi 负载一起部署,以确保最终用户可以进行身份验证和登录内部站点及系统。
该矩阵详细介绍了 Chrome 浏览器配置文件中的可用设置:
| 设置 | 说明 |
|---|---|
| **允许 Cookie | 选择此选项以确定浏览器的 Cookie 设置。** |
| 允许这些网站的 Cookie | 指定允许设置 Cookie 的 URL。 |
| 屏蔽这些网站的 Cookie | 指定不允许设置 Cookie 的 URL。 |
| 允许这些网站的会话 Cookie | 指定允许设置会话 Cookie 的网站。 |
| **允许图像 | 选择此选项以确定允许图像的网站。 |
| 允许这些网站的图像 | 指定允许显示图像的 URL 列表。 |
| 屏蔽这些网站的图像 | 指定不允许显示图像的 URL 列表。 |
| 允许 JavaScript | 选择 JavaScript 浏览器设置。 |
| 允许这些网站的 JavaScript | 指定允许运行 JavaScript 的网站。 |
| 屏蔽这些网站的 JavaScript | 指定不允许运行 JavaScript 的网站。 |
| 允许弹出窗口 | 选择弹出窗口浏览器设置。 |
| 允许这些网站的弹出窗口 | 选择此选项以确定允许打开弹出窗口的网站。 |
| 屏蔽这些网站的弹出窗口 | 指定不允许打开弹出窗口的网站。 |
| 允许跟踪位置 | 设置是否允许网站跟踪用户的物理位置。 |
| 代理模式 | 指定 Google Chrome 使用的代理服务器并阻止用户更改代理设置。 |
| 代理服务器 URL | 指定代理服务器的 URL。 |
| 代理 PAC 文件 URL | 指定代理 .pac 文件的 URL。 |
| 不使用代理的规则 | 指定要绕过的代理设置。仅当选择了手动代理设置时,此策略才会生效。 |
| 强制使用 Google SafeSearch | 启用此选项以强制使用 SafeSearch 完成 Google Web 搜索中的搜索查询。 |
| **强制使用 YouTube 安全模式 | 启用此选项可让用户有机会访问成人内容。 |
| **启用触摸式搜索 | 在 Google Chrome 的内容视图中启用触碰式搜索。 |
| 启用默认搜索提供程序 | 指定默认搜索提供商。 |
| 默认搜索提供商名称 | 指定默认搜索提供商的名称。 |
| 默认搜索提供商关键字 | 指定默认搜索提供商的关键字搜索。 |
| 默认搜索提供商搜索 URL | 指定执行默认搜索时使用的搜索引擎的 URL。 |
| 默认搜索提供商建议 URL | 指定用于提供搜索建议的搜索引擎的 URL。 |
| 默认搜索提供商即时 URL | 指定用户输入搜索查询时的默认搜索提供商。 |
| 默认搜索提供商图标 | 指定默认搜索提供商的收藏图标 URL。 |
| 默认搜索提供商编码 | 指定搜索提供商支持的字符编码。编码是指 UTF-8、GB2312 和 ISO-8859-1 等代码页名称。如果未设置,默认将使用 UTF-8。 |
| 默认搜索提供程序的备用 URL 列表 | 指定可用于从搜索引擎提取搜索条件的备用 URL 列表。 |
| 搜索条件替换密钥 | 输入所有搜索条件替换密钥。 |
| 搜索提供商图像 URL | 指定用于提供图像搜索的搜索引擎的 URL。 |
| **新标签页 URL | 指定搜索引擎提供新标签页页面所用的 URL。 |
| POST URL 搜索参数 | 指定使用 POST 搜索 URL 时使用的参数。 |
| POST 建议搜索参数 | 指定使用 POST 执行图像搜索时使用的参数。 |
| POST 图像搜索参数 | 指定使用 POST 执行图像搜索时使用的参数。 |
| 启用密码管理器 | 启用将密码保存至密码管理器。 |
| 启用备用错误页面 | 启用此选项以使用 Google Chrome 中内置的备用错误页面(例如“页面未找到”)。 |
| 启用自动填充 | 启用此选项以允许用户使用以前存储的信息(如地址或信用卡信息)自动填写 Web 表单。 |
| 启用打印 | 启用此选项以允许在 Google Chrome 中进行打印。 |
| 启用数据压缩代理功能 | 为数据压缩代理指定以下选项之一:始终启用,始终禁用。数据压缩代理可以使用在 Google 托管的代理服务器来优化网站内容,从而减少蜂窝数据使用量并加快移动 Web 浏览速度。 |
| 启用安全浏览 | 启用以激活 Google Chrome 的安全浏览。 |
| 禁用保存浏览器历史记录 | 启用此选项可禁止在 Google Chrome 中保存浏览器历史记录。 |
| 出现安全浏览警告后禁止继续进行 | 启用此选项以在显示警告页面后阻止用户继续访问恶意站点。 |
| 禁用 SPDY 协议 | 禁止在 Google Chrome 中使用 SPDY 协议 |
| 启用网络预测 | 在 Google Chrome 中选择网络预测。 |
| 在有限时间内启用已被弃用的 Web 平台功能 | 指定要临时重新启用的已弃用 Web 平台功能列表。 |
| 强制安全搜索 | 使用 Web 浏览器时,启用此选项以激活安全搜索。 |
| 隐身模式可用性 | 指定用户是否可以使用隐身模式在 Google Chrome 中打开页面。 |
| 允许登录 Chromium | 启用此选项可强制 Chrome 用户在通过 Web 登录 Gmail 时登录浏览器。 |
| 启用搜索建议 | 在 Google Chrome 的 omnibox 中启用搜索建议。 |
| 启用翻译 | 在 Google Chrome 上启用集成的 Google 翻译服务。 |
| 启用或禁用书签编辑功能 | 启用此选项以允许添加、移除或修改书签。 |
| 纳管书签 | 指定纳管书签的列表。 |
| 屏蔽对 URL 列表的访问 | 输入 URL 以禁止用户从黑名单 URL 加载网页。 |
| 已屏蔽 URL 列表的例外 | 输入黑名单例外 URL。您可以使用逗号分隔列表。 |
| 启用最低 SSL 版本 | 从下拉列表中选择最低 SSL 版本。 |
| 要回退到的最低 SSL 版本 | 从下拉列表中选择要回退到的最低 SSL 版本。 |
限制
UEM console 中的限制配置文件会锁定 Android 设备的本机功能。可用的限制和行为因设备注册而异。
限制配置文件显示指示是否将选定限制应用到工作配置文件、工作受管设备,还是这两类设备的标签,但适用于工作配置文件设备的限制仅影响带有 Android 标记的应用。例如,为工作配置文件配置限制时,可以禁止访问工作相机。此设置只影响带有 Android 标记的相机,不影响用户个人相机。
请注意,工作配置文件默认包含一些系统应用程序,如 Work Chrome、Google Play、Google 设置、Contacts 以及 Camera,可以使用限制配置文件隐藏这些应用程序,且不会影响用户的个人相机。
对使用非受管 Google 帐户的限制
您可能希望允许用户添加非受管或个人 Google 帐户(例如,用于阅读个人电子邮件),但您仍希望限制个人帐户在设备上安装应用。您可以在 Workspace ONE UEM console 中设置用户可在 Google Play 中使用的帐户列表。
部署限制负载以增强 Android 设备的安全性。限制负载设备可以禁止最终用户访问设备功能,从而确保设备不被篡改。
选择限制配置文件并配置相应设置:
| 设置 | 说明 |
|---|---|
| 设备功能 | 设备级限制可以禁用摄像头、屏幕捕获和出厂重置等设备核心功能,从而有助于提高工作效率和安全性。例如,禁用摄像头可防止敏感资料被拍摄和传播到组织外面。禁止使用设备的屏幕捕获功能有助于保护设备上企业内容的机密性。 |
| 应用程序 | 应用程序级限制可以禁用某些应用程序(例如 YouTube 和本机浏览器),从而能强制用户遵守企业的设备使用政策。 |
| 同步和存储 | 控制信息在设备上的存储方式,并能让您在工作效率和安全性之间保持最佳平衡。例如,禁用 Google 或 USB 备份能让企业移动数据始终存放在每个受管设备上,不会落入坏人手中。 |
| 网络 | 防止设备访问 Wi-Fi 和数据连接,以确保最终用户并未通过不安全的连接来查看敏感信息。 |
| 工作与个人 | 确定如何访问个人容器和工作容器的信息或如何在两者之间共享信息。这些设置仅适用于工作配置文件模式。 |
| 定位服务 | 仅为工作受管设备配置定位服务设置。此限制在不同 Android 版本之间的行为有所不同。在 Android 8.0 及以下版本中,该行为根据 UEM console 中的选定设置起作用。在 Android 9.0 及更高版本中,每个设置按如下方式打开或关闭定位服务:无不执行任何操作。不允许位置访问 - 关闭定位服务,仅设置 GPS 定位 - 打开定位服务。仅设置电池节能定位 - 关闭定位服务。仅设置高精度定位 - 关闭定位服务。 |
| Samsung Knox | 专门为运行 Samsung Knox 的 Android 设备配置限制。仅当常规配置文件中的 OEM 设置处于启用状态且从选择 OEM 字段中选择了“Samsung”时,这部分设置才可用。 |
适用于 Android 的特定限制
此矩阵有代表性地概述了各种设备所有权类型的限制配置文件配置。
| 功能 | 工作受管设备模式 | 工作配置文件模式 | |
|---|---|---|---|
| 设备功能 | |||
| 允许恢复出厂设置 | ✓ | ✓ | |
| 允许屏幕捕获 | ✓ | ✓ | |
| 允许添加 Google 帐户 | ✓ | ✓ | |
| 允许删除 Android 工作帐户 | ✓ | ||
| 允许拨出电话 | ✓ | ||
| 允许发送/接收短信 | ✓ | ||
| 允许凭证变更 | ✓ | ||
| 允许所有键盘锁功能 | ✓ | ||
| 允许键盘锁相机 | ✓ | ||
| 允许键盘锁通知 | ✓ | ||
| 允许键盘锁指纹传感器 | ✓ | ✓ | |
| 允许键盘锁信任 Hub 状态 | ✓ | ✓ | |
| 允许键盘锁未编辑的通知 | ✓ | ✓ | |
| 使用 AC 充电器时,强制开启屏幕 (Android 6.0+) | ✓ | ||
| 使用 USB 充电器时,强制开启屏幕 (Android 6.0+) | ✓ | ||
| 使用无线充电器时,强制开启屏幕 (Android 6.0+) | ✓ | ||
| 允许更换墙纸 (Android 7.0+) | ✓ | ||
| 允许状态栏 | ✓ | ||
| 允许键盘锁 (Android 6.0+) 当设备上存在密码时,将忽略此设置。 | ✓ | ||
| 允许添加用户 | |||
| 允许移除用户 | |||
| 允许安全启动 (Android 6.0+) | ✓ | ||
| 允许更换墙纸 (Android 7.0+) | |||
| 允许更换用户图标 (Android 7.0+) | ✓ | ✓ | |
| 允许添加/删除帐户 | ✓ | ✓ | |
| 防止系统 UI (Toast、活动、警示、错误、叠加) | ✓ | ||
| 设置禁用工作配置文件的最大天数 | ✓ | ||
| 应用程序 | |||
| 允许照相机 | ✓ | ✓ | |
| 允许 Google Play | ✓ | ✓ | |
| 允许 Chrome 浏览器 | ✓ | ||
| 允许安装非 Google Play 应用 | ✓ | ✓ | |
| 允许在设置中修改应用程序 | ✓ | ||
| 允许安装应用程序 | ✓ | ✓ | |
| 允许卸载应用程序 | ✓ | ✓ | |
| 允许禁用应用程序验证 | ✓ | ✓ | |
| 跳过用户教程和介绍性提示 | ✓ | ✓ | |
| 允许白名单可访问性服务 | ✓ | ||
| 限制输入法 | ✓ | ✓ | |
| 同步和存储 | |||
| 允许 USB 调试 | ✓ | ||
| 允许 USB 大容量存储✓ | |||
| 允许装载物理存储媒体 | ✓ | ||
| 允许 USB 文件传输 | ✓ | ||
| 允许备份服务 (Android 8.0+) | |||
| 网络 | |||
| 允许更改 Wi-Fi | ✓ | ||
| 允许蓝牙配对 | ✓ | ||
| 允许蓝牙 (Android 8.0+) | ✓ | ||
| 允许蓝牙联系人共享 (Android 8.0+)* | ✓ | ||
| 允许传出蓝牙连接* | ✓ | ✓ | |
| 允许所有数据共享 | ✓ | ||
| 允许 VPN 变更 | ✓ | ||
| 允许移动网络变更 | ✓ | ||
| 允许近场通信 (NFC) | ✓ | ||
| 允许管理式 Wi-Fi 配置文件变更 (Android 6.0+) | ✓ | ||
| 工作与个人 | |||
| 允许在工作和个人应用之间粘贴剪贴板 | ✓ | ||
| 允许工作应用访问来自个人应用的文档 | ✓ | ||
| 允许个人应用访问来自工作应用的文档 | ✓ | ||
| 允许个人应用与工作应用共享文档 | ✓ | ||
| 允许工作应用与个人应用共享文档 | |||
| 允许工作联系人的来电显示信息在电话拨号程序中显示 | ✓ | ||
| 允许将工作小组件添加到个人主屏 | ✓ | ||
| 允许在个人联系人应用中保存工作联系人 (Android 7.0+) | |||
| 跨配置文件日历访问(使 Android 日历应用开发人员能够使用 Android 10 API 访问工作配置文件日历信息。我们无法保证每个日历应用程序是否支持这些 Android 10 特定的方法。) | ✓ | ||
| 允许应用跨配置文件通信 | ✓ | ||
| 定位服务 | |||
| 允许定位服务配置 | ✓ | ||
| 允许用户修改位置设置 | ✓ | ✓ | |
| Samsung Knox | |||
| 设备功能 | |||
| 允许飞行模式 | ✓ | ||
| 允许麦克风 | ✓ | ||
| 允许模拟位置 | ✓ | ||
| 允许剪贴板 | ✓ | ||
| 允许关闭电源 | ✓ | ||
| 允许 Home 键 | ✓ | ||
| 如允许麦克风,则允许音频录音 | ✓ | ||
| 如允许照相机,则允许视频录像 | ✓ | ||
| 允许电子邮件帐户移除 | ✓ | ||
| 当处于空闲状态时允许终止活动 | ✓ | ||
| 允许用户设置后台进程限制 | ✓ | ||
| 允许耳机 | ✓ | ||
| 同步和存储 | |||
| 允许移动 SD 卡 | ✓ | ||
| 允许通过空中下载升级 | ✓ | ||
| 允许 Google 帐户自动同步 | ✓ | ||
| 允许 SD 卡写入 | ✓ | ||
| 允许 USB 托管存储 | ✓ | ||
| 允许自动填充(Android 8.0 或更高版本) | ✓ | ✓ | |
| 应用程序 | |||
| 允许设置更改 | ✓ | ||
| 允许开发者选项 | ✓ | ||
| 允许后台数据 | ✓ | ||
| 允许语音拨号器 | ✓ | ||
| 允许 Google 故障报告 | ✓ | ||
| 允许 S Beam | ✓ | ||
| 允许提示凭证 | ✓ | ||
| 允许 S Voice | ✓ | ||
| 允许用户停止系统签名的应用程序 | ✓ | ||
| 蓝牙 | |||
| 允许通过蓝牙建立桌面连接 | ✓ | ||
| 允许蓝牙数据传输 | ✓ | ||
| 允许通过蓝牙拨出电话 | ✓ | ||
| 允许蓝牙可发现模式 | ✓ | ||
| 启用蓝牙安全模式 | ✓ | ||
| 网络 | |||
| 允许 Wi-Fi | ✓ | ||
| 允许使用 Wi-Fi 配置文件 | ✓ | ||
| 允许使用不安全的 Wi-Fi | ✓ | ||
| 仅允许使用安全 VPN 连接 | ✓ | ||
| 允许 VPN | ✓ | ||
| 允许自动连接 Wi-Fi | ✓ | ||
| 允许手机网络数据 | ✓ | ||
| 允许使用 Wi-Fi Direct | ✓ | ||
| 正在漫游 | |||
| 允许漫游时自动同步 | ✓ | ||
| 漫游被禁用时允许自动同步 | ✓ | ||
| 允许语音通话漫游 | ✓ | ||
| 漫游数据用量 | ✓ | ||
| 允许漫游时推送消息 | ✓ | ||
| 手机和数据 | |||
| 允许非紧急呼叫 | ✓ | ||
| 允许用户设置移动数据限额 | ✓ | ||
| 允许 WAP 推送 | ✓ | ||
| 硬件限制 | |||
| 允许菜单键 | ✓ | ||
| 允许返回键 | ✓ | ||
| 允许搜索键 | ✓ | ||
| 允许任务管理器 | ✓ | ||
| 允许系统栏 | ✓ | ||
| 允许音量键 | ✓ | ||
| 安全性 | |||
| 允许锁屏设置 | ✓ | ||
| 允许固件恢复 | ✓ | ||
| 数据共享 | |||
| 允许 USB 数据共享 | ✓ | ||
| MMS 限制 | |||
| 允许入站 MMS | ✓ | ||
| 允许出站 MMS | ✓ | ||
| 其他 | |||
| 设置设备字体 | ✓ | ||
| 设置设备字号 | ✓ | ||
| 允许用户停止系统签名的应用程序 | ✓ | ||
| 仅允许使用安全 VPN 连接 | ✓ | ||
Exchange Active Sync
Workspace ONE UEM 在 Android 设备上使用 Exchange ActiveSync (EAS) 配置文件来确保与内部电子邮件、日历以及使用邮件客户端的联系人建立安全连接。例如,为工作配置文件配置的 EAS 电子邮件设置将影响从 Workspace ONE UEM Catalog 下载的带有标志图标的所有电子邮件应用,但不影响用户的个人电子邮件。
为每个用户设置电子邮件地址和用户名后,您可以创建 Exchange Active Sync 配置文件。
注意:Exchange Active Sync 配置文件适用于工作配置文件和工作受管设备模式类型。
选择 Exchange Active Sync 配置文件并配置以下设置。
| 设置 | 说明 |
|---|---|
| 邮件客户端类型 | 使用下拉菜单选择要推送到用户设备的邮件客户端。 |
| 主机 | 指定公司 Active Sync 服务器的外部 URL。 |
| 服务器类型 | 选择 Exchange 或 Lotus。 |
| 使用 SSL | 打开以加密 EAS 数据。 |
| 禁用对 SSL 证书的验证检查 | 启用此选项以允许安全套接字层证书。 |
| S-MIME | 启用此选项以选择在凭证负载上作为用户证书关联的 S/MIME 证书。 |
| S/MIME 签名证书 | 选择允许在客户端上置备用于邮件签名的 S/MIME 证书的证书。 |
| S/MIME 加密证书 | 选择允许在客户端上置备用于邮件加密的 S/MIME 证书的证书。 |
| 域 | 使用查找值以使用特定于设备的值。 |
| 用户名 | 使用查找值以使用特定于设备的值。 |
| 电子邮件地址 | 使用查找值以使用特定于设备的值。 |
| 密码 | 留空将允许最终用户设置自己的密码。 |
| 登录证书 | 从下拉菜单中选择可用证书。 |
| 默认签名 | 指定在新邮件上显示的默认电子邮件签名。 |
| 附件大小的上限 (MB) | 输入允许用户发送的最大附件大小。 |
| 允许联系人和日历同步 | 启用此选项以允许联系人和日历与设备同步。 |
公共应用自动更新
利用公共应用自动更新配置文件,您能够为公共 Android 应用程序配置自动更新和计划维护窗口。
公共应用自动更新配置文件使用 Google API 将配置文件数据直接发送到设备。此配置文件不会显示在 VMware Workspace ONE Intelligent Hub 中。
要配置公共应用自动更新配置文件:
注意:如果配置文件包含公共应用更新负载,则它不能包含任何其他负载。
从负载列表中选择“公共应用自动更新”并配置更新设置:
- 公共应用自动更新策略:指定 Google Play 允许自动更新的时间。选择“允许用户配置”、“始终自动更新”、“仅在使用 Wi-Fi 时更新”或“从不自动更新”。
默认选择为“允许用户配置”。
- 开始时间: 配置应允许前台中的应用程序每天自动更新的本地时间。选择介于 00:30 到 23:30 之间的时间。
注意:仅当选择了仅在使用 Wi-Fi 时更新或始终自动更新时才适用。
- 结束时间: 配置应允许前台中的应用程序每天自动更新的本地时间。选择介于 30 分钟到 24 小时之间的时间。
注意:仅当选择了“仅在使用 Wi-Fi 时更新”和“始终自动更新”时才适用。
根据设定的时间,应用程序仅在指定的开始和结束时间期间自动更新。例如,您可以将 kiosk 设备设置为仅在非营业时间更新,这样做不会中断 kiosk 使用。
凭证
为了提高安全性,您可以实施数字证书来保护企业资产。为此,您必须首先定义一个证书颁发机构,然后配置一个凭证负载,以及 Exchange ActiveSync (EAS)、Wi-Fi 或 VPN 负载。
每个负载中都含有用于关联凭证负载中定义的证书颁发机构的设置。凭证配置文件将用于用户身份验证的企业证书部署到受管设备。根据设备所有权类型,此配置文件中的设置会有所不同。凭证配置文件将应用于工作配置文件和工作受管设备模式类型。
您必须先为设备配置设备 PIN 码,Workspace ONE UEM 才能安装含专用密钥的身份证书。
凭证配置文件将用于用户身份验证的企业证书部署到受管设备。此配置文件中的设置会因设备所有权类型而异。凭证配置文件将应用于工作配置文件和工作受管设备模式类型。
选择凭证配置文件,然后选择配置。
从下拉菜单中选择上传或选择定义的证书颁发机构作为凭证来源。其余配置文件选项取决于来源。如果您选择上传,必须输入凭证名称,然后上传新证书。如果选择定义的证书颁发机构,则必须选择一个预定义的证书颁发机构和模板。
允许应用静默访问证书
如果选择定义的证书颁发机构作为证书来源,您还可以指定可以静默访问此证书颁发机构颁发的客户端证书的应用。此选项被称为允许静默访问应用。如果激活,您可以选择之前在 Workspace ONE UEM Console 中添加的任何 Android 公共和内部应用。
通常,Android 应用程序需要最终用户的授权后才能访问 Android 密钥库中的客户端证书。他们通过向最终用户显示一个对话框来请求此授权,该对话框要求他们从客户端证书列表中进行选择。通过选择证书,最终用户授权应用程序访问它。
使用允许静默访问应用,您可以通过管理方式授权应用程序访问凭证配置文件中的证书。如果应用程序提前知道证书的别名,则可以在不提示最终用户的情况下使用客户端证书。如果是由定义的证书颁发机构颁发的客户端证书,证书别名等同于在“凭据配置文件”中选择的证书模板的主体。可以使用应用程序配置在很多应用程序中设置预期的证书别名。例如,通过 Workspace ONE UEM Console 分配 VPN 应用程序时,应用程序配置可以支持标记为“证书别名”或类似的字段。在此情况下,您可以将此值设置为与在凭据配置文件中选择的证书模板中的主体相匹配。
管理多个凭据负载的最佳做法
Intelligent Hub在 Android 设备上安装证书时,必须为该证书提供别名或设备上的友好名称。Intelligent Hub使用此别名的证书的“主题名称”属性。Intelligent Hub从设备中移除证书时,会移除与此别名匹配的任何证书。
因此,向设备置备两个或更多证书(例如,一个用于 WiFi 的证书和另一个用于 VPN 的证书)的组织应确保这些证书的使用者名称不同。这将防止Intelligent Hub在卸载单个凭证配置文件负载时意外地从设备中移除多个证书。有关如何确定证书的主题名称的详细信息,请参见 Certificate Auhority Integrations。
允许其他应用程序管理设备上的证书
您可以允许其他 Android 应用程序在设备上安装和管理证书。要进行配置,请执行以下操作:
- 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 设置 > 自定义设置。
-
按如下方式配置自定义设置:
设置 说明 自定义设置 添加以下键-值对自定义 (JSON):{ “AuthorizedCertInstaller” : “packagename” },将占位符软件包名称替换为应用的实际软件包名称(通常采用以下格式:com.company.appname)。 - 选择保存。
自定义消息
通过自定义消息配置文件,您可以配置当需要将重要信息中继给用户时在设备主屏幕上显示的消息。
通过自定义消息配置文件,您可以设置锁屏消息、用户尝试执行阻止的设置时显示的消息或设备用户设置。
选择自定义消息配置文件并配置消息设置:
|设置锁屏消息|输入设备锁定时在设备主屏幕上显示的消息。对于丢失或被盗的设备来说,此功能非常有用,可以显示用户的联系信息。| |设置阻止设置的提示消息|输入当用户尝试对被阻止设备执行操作时要显示的消息。使用自定义消息解释功能被阻止的原因。| |设置用户在设置中看到的消息|用户可在其设备上的设置 > 安全 > 设备管理员 > Intelligent Hub 下查看此消息。|
应用程序控制
应用控制配置文件允许您控制批准的应用程序,并防止卸载重要的应用。合规引擎可在用户安装或卸载某些应用程序时发送警示并执行管理操作,而应用程序控制甚至会禁止用户试图作出这些更改。
Warning: Enabling/ disabling critical system apps results in devices becoming unusable.
即使没有应用程序控制配置文件,组织也对可安装在受管设备上的应用程序拥有一定的控制权。默认情况下,受管 Play Store 应用目录中仅提供管理员通过 Workspace ONE UEM Console 分配给设备的公共应用程序。在工作配置文件和企业拥有的个人启用 (COPE) 设备中,此操作仅应用工作配置文件中的 Play Store 目录。
管理员可以对受管设备应用更多应用程序限制。
限制工作应用程序
对于 Android 设备上的受管应用程序,管理员可以应用下表中的限制。
| 设置 | 说明 |
|---|---|
| 禁用对黑名应用的访问 | 启用此选项可防止访问拒绝列表应用程序组中包含的应用程序。如果启用,应用程序将在 Android Launcher 中隐藏,并且最终用户无法启动。此选项不会从设备中卸载应用程序。 |
| 禁止卸载必要应用 | 启用此选项可防止用户或管理员卸载所需应用程序组中包含的应用程序。 |
| 启用系统应用 | 启用此选项可取消隐藏允许列表应用程序组中包含的预安装应用程序。 注意:请谨慎使用。卸载此配置文件后,将禁用分配的允许列表应用程序组中的所有应用程序,无论这些应用程序是系统应用程序还是默认启用。在启用“启用系统应用”的情况下安装新版本的应用程序控制配置文件将导致暂时移除这些应用程序,稍后重新启用。 |
上表中的限制应用如下:
- 工作配置文件或 COPE (Android 11+) 设备:限制仅适用于工作配置文件中的应用程序。
- 工作受管设备:限制适用于整个设备,因为工作和个人应用程序没有分离。
- COPE(Android 10 及更低版本)设备:如果启用了工作受管复选框,则限制适用于设备个人端的应用。如果启用了工作受管复选框,则限制仅适用于工作配置文件。
限制 Android 11+ COPE 设备上的个人应用程序
对于以 COPE 模式注册并运行 Android 11 或更高版本的设备,管理员有一个单独的设置(个人 Play Store 限制)来限制哪些应用程序可以在设备的个人端使用。
| 设置 | 说明 |
|---|---|
| 允许列表 | 只有预安装的应用程序和 COPE 允许列表应用程序组中包含的那些应用程序才能在设备的个人端使用。其他应用程序在 Android Launcher 中被禁用,无法从 Play Store 安装。 |
| 拒绝列表 | COPE 拒绝列表应用程序组中的应用程序在设备的个人端被禁用,无法从 Play Store 进行安装。 |
应用程序组和应用程序控制配置文件
Workspace ONE UEM 将应用控制设置应用于您在 Workspace ONE UEM Console 中创建的应用程序组中定义的应用程序。应用程序组仅适用于分配了应用程序组的设备。换言之,必须将应用程序组和应用程序控制配置文件分配给设备,应用程序控制配置文件中的设置才能生效。
例如,要禁止卸载工作应用程序,应同时将两者分配给设备:
- 包含应用程序的必要类型的应用程序组
- 包含禁止卸载必要应用程序的应用程序控制配置文件
这些分配给设备的顺序也很重要。在设备上下次安装匹配的应用程序控制配置文件之前,对应用程序组中应用程序的更改不会应用于设备。在上面的示例中,为禁止卸载其他应用程序,应首先将该应用程序添加到应用程序组中。然后,应在设备上重新安装应用程序控制配置文件。
最后,可以将多个相同类型的应用程序组分配给一台设备。在此示例中,如果将两个必要类型包含不同应用的应用程序组分配给同一设备,则禁止卸载必要应用设置将应用于在该设备上的两个应用组中定义的应用程序。
有关应用程序组的更多信息,请参阅“移动应用管理”文档。
代理设置
配置代理设置,确保所有 HTTP 和 HTTPS 网络流量都只流经代理。这确保了数据安全,因为所有个人数据和企业数据都将通过“代理设置”配置文件进行筛选。
配置如下代理设置:
| 设置 | 说明 |
|---|---|
| 代理模式 | 选择所需的代理类型。 |
| 代理 PAC URL | 指定代理 .pac 文件的 URL。 |
| 代理服务器 | 输入代理服务器的主机名或 IP 地址。 |
| 排除列表 | 添加主机名,以防止这些主机通过代理进行路由。 |
系统更新
使用此配置文件可管理在将设备注册到 Workspace ONE UEM 时如何处理 Android 设备更新。
选择系统更新配置文件。
从自动更新字段的下拉菜单中选择更新策略。
| 设置 | 说明 |
|---|---|
| 自动更新(Android 6.0 及更高版本的工作受管和 COPE 设备) | 自动安装更新:更新可用时,自动安装更新。 |
| 推迟更新通知:推迟所有更新。发送最长 30 天阻止 OS 更新的策略。 | |
| 设置更新时段:设置更新设备的每天时间范围。 | |
| 每年系统更新冻结期(Android 9.0 和更高版本的工作受管和 COPE 设备) | 设备所有者可以将设备的 OTA 系统更新推迟 90 天,以便在关键时间段(如节假日)冻结这些设备上运行的操作系统版本。系统会在定义的任何冻结时间段后强制实施强制 60 天的缓冲,以防止设备无限期冻结。 |
| 在冻结期内: | |
| 设备不会收到任何有关待定 OTA 更新的通知。 | |
| 设备不会将任何 OTA 更新安装到操作系统。 | |
| 设备用户无法手动检查 OTA 更新。 | |
| 冻结期 | 使用此字段可设置无法安装更新时的冻结期(以月和日为单位)。当设备的时间处于任何冻结期内时,所有传入的系统更新(包括安全修补程序)都将被阻止,并且无法安装。每个单独冻结期最多允许为 90 天,相邻冻结期必须至少相隔 60 天。 |
Wi-Fi
配置 Wi-Fi 配置文件允许设备连接到企业网络,即使这些网络已隐藏、加密或受保护。
对出差到多个使用独特无线网络的办公网点的最终用户而言,或者对于在办公室自动配置设备以连接正确无线网络,Wi-Fi 配置文件都是非常实用的。
将 Wi-Fi 配置文件推送到运行 Android 6.0+ 的设备时,如果用户已通过手动设置将设备连接到 Wi-Fi 网络,无法通过 Workspace ONE UEM 更改 Wi-Fi 配置。例如,如果更改了 Wi-Fi 密码,并向注册设备推送更新后的配置文件,某些用户必须使用新密码手动更新设备。
要配置该配置文件:
配置 Wi-Fi 设置,其中包括:
| 设置 | 说明 |
|---|---|
| 服务集标识符 | 提供设备连接到的网络的名称。 |
| 隐藏网络 | 指示是否隐藏 Wi-Fi 网络。 |
| 设置为活跃网络 | 指示设备在无最终用户交互的情况下是否会连接到网络。 |
| 安全类型 | 指定使用的访问协议和是否需要证书。根据选定的安全类型,此操作将更改必填字段。如果选择了无、WEP、WPA/WPA 2 或任何(个人)区域,则会显示“密码”字段。如果选择 WPA/WPA 2 企业,则会显示“协议”和“身份验证”字段。 |
| 协议 | |
| - 使用双因素身份验证 - 启用后,将显示 TFA 字段。 | |
| - SFA 类型 - 选择身份验证协议。可用选项包括 EAP-TLS、PEAP 或 EAP-TTLS。 | |
| - TFA 类型 - 选择内部身份验证方法。可用选项包括 GTC、MSCHAP、MSCHAPv2 和 PAP。 | |
| 身份验证 | |
| - 身份 - 设置设备用于连接网络的身份和凭据。 | |
| - 身份证书 - 选择身份证书以指定用于客户端授权的私钥和客户端证书链。必须将此证书作为凭据负载的一部分添加到配置文件。 | |
| - 根证书 - 选择设备将用于验证网络服务器的服务器证书的根证书。根证书应为服务器 CA 的根证书。这用于服务器证书验证。如果未指定证书,将跳过服务器证书验证。必须将此证书作为凭据负载的一部分添加到配置文件。 | |
| - 域 - 为用于验证网络服务器的服务器证书的服务器域名设置限制。要向 Android 11 及更高版本的设备添加 WPA2Enterprise 网络,必须执行该操作。如果设置,此 FQDN 将用作 SubjectAltName dNSName 元素中的网络服务器证书的后缀匹配要求。如果在证书中找到匹配的 dNSName,则满足此限制。 | |
| 此处的后缀匹配意味着从顶级域开始,一次对一个标签进行比较。例如,如果域设置为 example.com,它将与 test.example.com 匹配,但与 test-example.com 不匹配。 | |
| 密码 | 提供设备连接到网络所需的凭证。在从安全类型字段中选择 WEP、WPA/WPA2、任何(个人)、WPA/WPA2 企业时,会显示密码字段。 |
| 包括 Fusion 设置 | 启用后可扩展 Fusion 选项,以应用到适用于 Motorola 设备的 Fusion 适配器。Fusion 设置仅适用于 Motorola 强固型设备。如需详细了解 VMware 对 Android 强固型设备的支持,请参阅《Rugged Android Platform Guide》。 |
| 设置 Fusion 802.11d | 打开以使用 Fusion 802.11d 以设置 Fusion 802.11d 设置。 |
| 启用 802.11d | 启用后可将 802.11d 无线规范用于其他管理域中的操作。 |
| 设置国家/地区代码 | 启用后可设置在 802.11d 规范中使用的国家/地区代码。 |
| 设置 RF 频段 | 启用后可选择 2.4 Ghz 和/或 5 Ghz 频段,以及任何适用的通道掩码。 |
| 代理服务器类型 | 启用此选项以配置 Wi-Fi 代理设置。注意:不支持使用每应用 VPN 自动配置 Wi-Fi 代理。 |
| 代理服务器 | 输入代理服务器的主机名或 IP 地址。 |
| 代理服务器端口 | 输入代理服务器的端口。 |
| 排除列表 | 输入要从代理中排除的主机名。此处输入的主机名不会通过代理路由。可使用 * 作为域名通配符。例如:*.air-watch.com 或 *air-watch.com。 |
VPN
虚拟专用网络 (VPN) 为设备提供访问内部资源(例如电子邮件、文件和内容)的安全加密隧道。VPN 配置文件使每台设备能够像接通现场网络一样工作。
根据连接类型和身份验证方法,使用查找值自动填写用户名信息,以简化登录过程。
注意:VPN 配置文件适用于工作配置文件和工作受管设备模式类型。
配置 VPN 设置。下表解释了可以根据 VPN 客户端配置的所有设置。
| 设置 | 说明 |
|---|---|
| 连接类型 | 选择用于协助 VPN 会话的协议。每种连接类型都需要在设备上安装相应的 VPN 客户端,才能部署 VPN 配置文件。这些应用程序应分配给用户并发布为公共应用。 |
| 连接名称 | 为配置文件创建的连接输入分配的名称。 |
| 服务器 | 输入用于 VPN 连接的服务器的名称或地址。 |
| 帐户 | 输入用于验证连接的用户帐户。 |
| 始终使用 VPN | 启用此选项可将 Android 配置为持续启用 VPN 连接。Android 将在引导时启动应用程序的 VPN 服务,并在设备打开电源时保持其运行。 |
| 锁定 | 强制应用仅通过 VPN 进行连接。如果 VPN 断开连接或不可用,则应用将无法访问任何 Internet。 |
| 允许应用绕过锁定 | 启用此选项后可指定应用继续访问 Internet,即使 VPN 断开连接或不可用。 |
| 锁定允许列表 | 如果启用了锁定允许列表并添加了软件包,当 VPN 断开连接后,则列出的应用将能够直接连接到 Internet |
| 设为活跃 | 启用此选项可在配置文件应用到设备后打开 VPN。 |
| 每应用 VPN 规则 | 启用每应用 VPN,可根据特定的应用程序配置 VPN 流量规则。系统仅为支持的 VPN 供应商显示此文本框。注意:不支持使用每应用 VPN 自动配置 Wi-Fi 代理。 |
| 协议 | 选择 VPN 的身份验证协议。在“连接类型”中选择 Cisco AnyConnect 时可用。 |
| 用户名 | 输入用户名。在“连接类型”中选择 Cisco AnyConnect 时可用。 |
| 用户身份验证 | 选择进行 VPN 会话身份验证的方法。 |
| 密码 | 提供最终用户 VPN 访问所需的凭证。 |
| 客户端证书 | 从下拉菜单中选择客户端证书。这些证书在凭证配置文件中配置。 |
| 证书吊销 | 启用以打开证书吊销。 |
| AnyConnect 配置文件 | 输入 AnyConnect 配置文件名称。 |
| FIPS 模式 | 启用以打开 FIPS 模式。 |
| 严格模式 | 启用以打开严格模式。 |
| 供应商密钥 | 创建进入到供应商配置字典中的自定义密钥。 |
| 键 | 输入供应商提供的特定密钥。 |
| 值 | 输入每个密钥的 VPN 值。 |
| 标识证书 | 选择要用于 VPN 连接的身份证书。在“连接类型”中选择 Workspace ONE Tunnel 时可用。 |
配置每应用 VPN 规则
您可以强制选定应用程序通过企业 VPN 进行连接。VPN 供应商必须支持该功能,同时您必须将应用发布为纳管应用程序。
注意:不支持使用每应用 VPN 自动配置 Wi-Fi 代理。
-
从列表中选择 VPN 负载。
-
从连接类型字段中选择您的 VPN 供应商。
-
配置 VPN 配置文件。
-
选择每应用 VPN 规则以启用将 VPN 配置文件关联到所需应用程序的功能。对于 Workspace ONE Tunnel 客户端,默认情况下启用此选项。启用该复选框后,可在应用程序分配页面的“应用隧道”配置文件下拉列表中选择此配置文件。
-
选择保存并发布。
如果启用了每应用 VPN 规则作为现有 VPN 配置文件的更新,则以前使用 VPN 连接的设备/应用程序将受到影响。以前路由所有应用流量的 VPN 连接将断开连接,并且 VPN 仅适用于与更新的配置文件关联的应用程序。
要将公共应用配置为使用每应用 VPN 配置文件,请参阅“Android 应用程序管理”出版物中的“为 Android 添加公共应用程序”。
权限
使用 Workspace ONE UEM console,管理员能够查看应用程序正在使用的所有权限的列表,并设置应用运行时的默认操作。权限配置文件在使用工作受管设备和工作配置文件模式的 Android 6.0+ 设备上可用。
您可以为每个 Android 应用设置运行时权限策略。在单个应用程序级别配置应用程序时检索最新权限。
**
配置权限设置,包括:
| 设置 | 说明 |
|---|---|
| 权限策略 | 为所有工作应用程序,选择是否提示用户获取权限、授予所有权限,或拒绝所有权限。 |
| 例外 | 搜索已添加到 AirWatch 的应用程序(仅应包括获批的 Android 应用),并对应用设置权限策略例外。 |
可以通过权限配置文件控制哪些权限?
Android 应用权限的三个主要类别是安装时权限、运行时(又称危险)权限和特殊权限。从“例外”列表中选择应用时,将列出在应用清单中声明的所有权限。但是,权限配置文件(包括全局权限策略设置和每应用例外)仅适用于运行时(又称危险)权限。运行时权限涵盖应用程序请求包含用户个人信息或可能影响用户存储数据的数据的区域。
注意:在 Android 12 及更高版本中,不能使用权限策略向在“工作配置文件”或“企业拥有、个人启用”模式下注册的设备上的应用程序授予传感器相关权限(如位置和摄像头)。有关详细信息,请参见为 Android 12 (82775) 推出做好准备。
对特殊权限的访问受到进一步限制,因为它们可保护平台和设备 OEM 认为特别敏感的操作。Workspace ONE UEM无法通过权限配置文件向应用授予或拒绝特殊权限。最终用户必须手动向应用程序授予这些权限。有关特殊权限的详细信息,请参见此处。
锁定任务模式
锁定任务模式允许应用将自身固定到前台,从而实现单一用途,例如 kiosk 模式。应用必须支持锁定任务模式,并通过“应用与图书”设置添加以在白名单应用中显示。应用开发人员可在应用开发期间配置锁定任务设置,锁定任务配置文件设置允许您配置权限和设置。
注意:有关支持的应用程序的更多信息,请参阅 Workspace ONE UEM Console 中锁定任务模式配置文件中的链接,以访问 Google 开发者站点了解具体内容。
配置锁定任务模式设置:
| 设置 | 说明 |
|---|---|
| 白名单应用 | 选择所需的应用以将设备锁定为锁定任务模式。 |
| “主页”按钮 | 启用后可在屏幕上显示“主页”按钮,以便用户访问。 |
| “最近使用的应用”按钮 | 启用后可显示最近所使用应用的概览。 |
| 全局操作 | 启用后可让用户长按电源按钮以查看全局操作(如电源按钮)或设备上使用的其他常见操作。 |
| 应用通知 | 启用后可在状态栏上显示通知图标。 |
| 状态栏中的系统信息 | 启用后可显示设备信息栏,并显示电池续航时间、连接和存储空间等信息。 |
| 锁定屏幕 | 打开锁定屏幕。 |
锁定任务模式最佳做法
出于一种目的使用锁定任务模式策略时,考虑应用这些策略和限制,可以获得最佳体验和维护。在最终用户不与设备关联的情况下,如果您要为 kiosk 和数字标牌用例中的设备部署锁定任务模式配置文件,可采纳这些建议。
创建“限制”配置文件并在文件中配置以下选项:
- 禁用设备功能下面的以下选项:
- 允许状态栏 - 当设备锁定为锁定任务模式时,此操作可以确保身临其境的体验。
- 允许键盘锁 - 此操作可以确保设备不被锁定。当设备上存在密码时,将忽略此设置。
-
在设备功能下启用以下选项:
- 使用 AC 充电器时,强制开启屏幕
- 使用 USB 充电时,强制开启屏幕
- 使用无线充电器时,强制开启屏幕 这些选项可确保设备屏幕始终处于开启状态以进行交互。
部署系统更新策略配置文件,以保证设备在几乎不需要人工干预的情况下也能够收到最新修补程序。
Android 设备的日期/时间
配置日期/时间同步设置,以确保设备在不同地区之间始终具有正确的时间。在 Android 9.0 或更高版本设备上受支持。
配置日期/时间设置,包括:
| 设置 | 说明 |
|---|---|
| 日期/时间 | 设置设备从哪个数据源获取日期和时间设置。选择自动、HTTP URL 或 SNTP 服务器。 |
| 自动:基于本机设备设置来设置日期和时间。 | |
| HTTP URL:基于 URL 设置时间。此 URL 可以是任何 URL。例如,可以使用 www.google.com 作为 URL。 | |
| SNTP 服务器:输入服务器地址。例如,可以输入 time.nist.gov。 | |
| 对于 HTTP URL 和 SNTP 服务器,配置其他设置:启用定期同步 – 启用后可将设备设置为在多天内定期同步日期/时间。设置时区 – 从可用选项指定时区。 | |
| 允许用户更改日期/时间 | 打开以允许用户从设备手动更改日期/时间。 |
Samsung 设备的日期/时间
配置日期/时间同步设置,以确保设备在不同地区之间始终具有正确的时间。
在启用 OEM 设置,并且在“常规”配置文件设置中将选择 OEM 字段设置为 Samsung 后,此配置文件可用。
注意:仅在 OEM 设置字段切换到启用时,才会显示日期/时间配置文件
配置 Samsung 的日期/时间设置,包括:
| 设置 | 说明 | |
|---|---|---|
| 日期格式 | 更改月、日和年的显示顺序。 | |
| 时间格式 | 选择 12 或 24 小时格式。 | |
| 日期/时间 | 设置设备从哪个数据源获取日期和时间设置: | |
| 自动:基于本机设备设置来设置日期和时间。 | ||
| 服务器时间:基于创建配置文件时 Workspace ONE UEM console 的服务器时间来设置时间。请注意,这可能会导致设备时间因推送配置文件延迟而延迟。 | 将显示其他字段设置时区,可用于选择时区。 | |
| HTTP URL:基于 URL 设置时间。此 URL 可以是任何 URL。例如,可以使用 www.google.com 作为 URL。 | ||
| SNTP 服务器:输入服务器。 | ||
| 对于 HTTP URL 和 SNTP 服务器,配置其他设置:启用定期同步 – 启用后可将设备设置为在多天内定期同步日期/时间。设置时区 – 从可用选项指定时区。 |
Workspace ONE Launcher
Workspace ONE Launcher 是一款应用程序启动程序,让您能够针对个别用例锁定 Android 设备,并自定义受管 Android 设备的外观和行为。Workspace ONE Launcher 应用程序将设备界面替换为满足业务需求的自定义界面。
您可以将 Android 6.0 Marshmallow 和更高版本设备配置为企业所有一次使用 (COSU) 模式。在 COSU 模式下,可以通过将支持的内部和公共应用程序加入白名单,将设备配置用于一次性用途,例如自助终端模式。单应用模式、多应用模式以及模板模式下均支持 COSU 模式。有关在 COSU 模式下部署 Workspace ONE Launcher 配置文件的更多信息,请参阅 Workspace ONE Launcher 出版物。
有关配置 Workspace ONE Launcher 的更全面的指南,请参阅 Workspace ONE Launcher 出版物。
防火墙
防火墙负载允许管理员为 Android 设备配置防火墙规则。每种防火墙规则类型都允许您添加多个规则。
在启用 OEM 设置,并且在“常规”配置文件设置中将选择 OEM 字段设置为 Samsung 后,此配置文件可用。
注意:防火墙负载仅适用于 SAFE 2.0+ 设备。
-
导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。
仅当启用了 OEM 设置字段且从选择 OEM 字段中选择了“Samsung”时,防火墙配置文件才会面向 Android 配置文件显示。“常规”配置文件中的 OEM 设置字段仅适用于 Android 的配置文件,不适用于 Android(旧版)配置。
-
选择设备以部署配置文件。
-
配置常规配置文件设置。
“常规”设置决定配置文件的部署方式和接收对象。
-
选择防火墙配置文件。
-
选择所需规则下方的添加按钮,以配置设置:
设置 说明 允许规则 允许设备从特定网络位置发送和接收流量。 拒绝规则 阻止设备从特定网络位置发送和接收流量。 重新路由规则 将来自特定网络位置的流量重定向到备用网络。如果允许的网站重定向到其他 URL,请将所有已重定向的 URL 添加到“允许规则”部分,以便能访问该网站。 重定向例外规则 避免将流量重定向。 -
选择保存并发布。
APN
配置 Android 设备的接入点名称 (APN) 设置,以统一设备群运营商设置和纠正错误的配置。
-
导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。
-
选择设备,将您的配置文件部署到设备。
-
为配置文件配置常规设置。仅在 OEM 设置字段切换为已启用且从选择 OEM 字段中选择了“Samsung”时,才会显示 APN 配置文件。
“常规”配置文件设置决定配置文件的部署方式和接收对象。
-
选择 APN 负载。
-
配置 APN 设置,包括:
设置 说明 显示名称 提供用户友好的接入名称。 访问点名称 (APN) 输入运营商提供的 APN(例如:come.moto.cellular)。 接入点类型 指定哪些类型的数据通信应使用此 APN 配置。 移动国家代码 (MCC) 输入 3 位数的国家代码。此值用于检查设备漫游时所属的运营商是否不同于在此处输入的运营商。它与移动网络代码 (MNC) 组合使用,能独一无二地标识使用 GSM(包括 GSM-R)、UMTS 和 LTE 移动网络的移动网络运营商。 移动网络代码 (MNC) 输入 3 位数的网络代码。此值用于检查设备漫游时所属的运营商是否不同于在此处输入的运营商。它与移动国家代码 (MCC) 组合使用,能独一无二地标识使用 GSM(包括 GSM-R)、UMTS 和 LTE 移动网络的移动网络运营商。 MMS 服务器 (MMSC) 指定服务器地址。 MMS 代理服务器 输入 MMS 端口号。 MMS 代理服务器端口 输入代理服务器的目标端口。 服务器 输入用于连接的名称或地址。 代理服务器 输入代理服务器详细信息。 代理服务器端口 输入所有流量的代理服务器端口。 Access Point 用户名 指定连接到接入点的用户名。 接入点密码 指定用于验证接入点的密码。 身份验证类型 选择身份验证协议。 设为首选 APN 启用后可确保所有最终用户设备都具有相同的 APN 设置,并可防止通过设备或运营商进行任何更改。 -
选择保存并发布。
企业出厂重置保护
出厂重置保护 (FRP) 是一种 Android 安全方法,可防止在未授权的出厂数据重置后使用设备。
启用后,在出厂重置后无法使用受保护的设备,直至您使用之前设置的相同 Google 帐户登录。
如果用户启用了 FRP,设备返还给组织后(例如,用户离开了公司),由于此设备功能,您可能无法再次设置该设备。
企业出厂重置保护配置文件使用 Google 用户 ID,通过该 ID,您可以在出厂重置后覆盖 Google 帐户,以将设备分配给其他用户。要获取此 Google 用户 ID,请访问 People:get。
为 Android 设备的出厂重置保护配置文件生成 Google 用户 ID
通过此 Google 用户 ID,您无需原始 Google 帐户即可重置设备。使用 People:get API 获取 Google 用户 ID 以配置配置文件。开始之前,您必须从 People:get 网站获取您的 Google 用户 ID。
-
导航到 People:get。
-
在尝试此 API 窗口中,配置以下设置。
设置 说明 resourceName 输入 people/me。 personFields 输入 metadata,emailAddresses requestMask.includefield 将此字段留空。 凭证 同时启用 Google OAuth 2.0 和 API 密钥字段。 -
选择执行。
-
如果出现提示,请登录您的 Google 帐户。这是在启用 FRP 时用于解锁设备的帐户。
-
选择允许以授予权限。
-
在 id 字段的 application/json 选项卡中查找 21 位数字。
-
返回 Workspace ONE UEM console,然后配置企业出厂重置保护配置文件。
为 Android 配置企业出厂重置保护配置文件
在企业出厂重置保护配置文件中输入 Google 用户 ID。
-
导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。
-
如果合适,配置常规配置文件设置。
-
选择企业出厂重置保护负载。
-
配置以下设置来设置您应用程序部署的控制级别:
设置 说明 Google 用户 ID 输入从 Google People:get 获取的 Google 用户 ID。 -
选择保存并发布。
Zebra MX
通过 Zebra MX 配置文件,您可以在 Android 设备上使用 Zebra MX 服务应用程序提供的其他功能。Zebra MX Service 应用可以从 Google Play 推送,也可以结合此配置文件从 Workspace ONE UEM console 中作为内部应用分发的 My Workspace ONE 进行推送。
-
导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。
-
如果合适,配置常规配置文件设置。启用 OEM 设置字段,然后从选择 OEM 字段选择 Zebra 以启用 Zebra MX 配置文件。
-
配置 Zebra MX 配置文件设置:
设置 说明 包括 Fusion 设置 启用后可扩展 Fusion 选项,以应用到适用于 Motorola 设备的 Fusion 适配器。 设置 Fusion 802.11d 打开以使用 Fusion 802.11d 以设置 Fusion 802.11d 设置。 启用 802.11d 启用后可将 802.11d 无线规范用于其他管理域中的操作。 设置国家/地区代码 启用后可设置在 802.11d 规范中使用的国家/地区代码。 设置 RF 频段 启用后可选择 2.4 Ghz 和/或 5 Ghz 频段,以及任何适用的通道掩码。 允许飞行模式 启用此选项以允许访问飞行模式设置屏幕。 允许模拟位置 启用或禁用模拟位置(在设置 > 开发者选项中)。 允许后台数据 打开或禁用后台数据。 睡眠期间保持 Wi-Fi 开启 永远开启 - 当设备进入睡眠状态时,Wi-Fi 保持连接。仅当接通电源时 - 只有当设备正在充电时,Wi-Fi 才在设备进入睡眠状态时保持连接。从不开启 - 当设备进入睡眠状态时,Wi-Fi 断开连接。 漫游数据用量 启用此选项以允许在漫游时使用数据连接。 强制 Wi-Fi 开启 启用此选项以强制开启 Wi-fi 网络,使用户无法将其关闭。 允许蓝牙 启用此选项以允许使用蓝牙。 允许剪贴板 启用以允许复制/粘贴。 允许网络监控通知 启用此选项以允许网络监控报警通知,通常在安装证书后显示。 启用日期/时间设置 启用以设置日期/时间设置 日期格式:确定年、月和日的显示顺序。 时间格式:选择 12 或 24 小时。 日期/时间:设置设备从哪个数据源获取日期和时间设置: 自动根据本机设备设置来设置日期和时间。 服务器时间 – 根据 Workspace ONE UEM console 的服务器时间来设置时间。 设置时区 – 指定时区。 HTTP URL – Workspace ONE UEM Intelligent Hub 会访问 URL 并从 HTTP 标头中获取时间戳。然后,将该时间应用到设备。它不会处理重定向的站点 URL – 输入日期/时间表的网址。必须包含 http://。示例:http://www.google.com / 不支持 HTTPS。 启用定期同步 – 启用后可将设备设置为在多天内定期检查日期/时间。 设置时区 – 指定时区。 SNTP 服务器:- NTP 设置会直接应用于设备。 URL –输入 NTP/SNTP 服务器的网址。例如,可以输入 time.nist.gov。 启用定期同步 – 启用后可将设备设置为在多天内定期检查日期/时间。 启用声音设置 启用声音设置,在设备上配置音频设置。- 音乐、视频、游戏及其他媒体:将滑块设置为您要在设备上锁定的音量大小。 铃声和通知:将滑块设置为您要在设备上锁定的音量。 语音通话:将滑块设置为您要在设备上锁定的音量。 启用默认通知:允许设备上的默认通知发出声音。 启用拨号盘按键音:允许设备上的拨号盘按键发出声音。 启用按键音:允许设备上的按键发出声音。 启用屏幕锁定声音:允许设备在被锁定时播放声音。 启用触摸时振动**:允许激活振动设置。- 启用显示设置 启用以设置显示设置:- 显示屏亮度:将滑块设置为您要在设备上锁定的亮度水平。 启用自动旋转屏幕:使用此选项可锁定设备方向。 设置睡眠状态:选择在屏幕设置为睡眠模式之前经过的时间长度。 -
选择保存并发布。
自定义设置
在发布 Workspace ONE UEM console 当前无法通过其本机负载支持的新 Android 功能时,可以使用自定义设置负载。使用自定义设置负载和 XML 代码手动启用或禁用某些设置。
-
导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。
-
为配置文件配置常规设置。
-
配置适用的负载 (如“限制”或“密码”) 。
在准备“保存并发布”之前,您可以对某一“测试”组织组下保存的配置文件副本进行设置,以免影响其他用户。
-
保存,但不发布配置文件。
-
为您要自定义的配置文件所在的行选择配置文件列表视图中的单选按钮。
-
选择顶部的 XML 按钮,查看配置文件 XML。
-
对于之前配置的配置文件负载,请复制
和 标记(包括这些标记)中包含的 XML 代码部分。如果配置文件具有多个负载,请标识要为其复制 XML 代码的负载标记。例如,密码配置文件将具有 标记的“type”值为 com.airwatch.android.androidwork.apppasswordpolicy。 -
复制此文本部分,然后关闭 XML 视图。打开您的配置文件。
-
选择自定义设置负载并单击配置。将您复制的 XML 粘贴到文本框内。粘贴的 XML 代码应包含从
到 的完整代码。 - 此 XML 应包含为每个自定义 XML 列出的完整代码块。
- 管理员应根据需要配置
到 的每个设置。 - 如果需要证书,请在配置文件中配置证书负载,并在“自定义设置”负载中引用 Payload UUID。
-
选择基本负载部分,然后选择减号 [-] 按钮,来删除您配置的原始负载。您现在可以通过添加自定义 XML 代码来增强配置文件,从而增加新功能。
-
为 Launcher 配置文件应用自定义设置时,请确保为您的配置文件类型使用正确的特性类型:
- 对于 Android 配置文件,请使用特性类型 =“com.airwatch.android.androidwork.launcher”。
- 对于 Android(旧版)配置文件,请使用特性类型 =“com.airwatch.android.kiosk.settings”。
凡未升级到最新版本的设备均会忽略您所创建的增强功能。既然现在使用了自定义代码,仍应在使用旧版的设备上测试该配置文件以验证预期行为。
-
-
选择保存并发布。
为应用程序推送应用程序配置
您可以通过 Android 自定义设置配置文件推送应用程序配置键值对。为此,请按照以下模板进行操作,并提供:- 应用程序包 - 对于每个应用程序配置键值对、键名称、值和值数据类型
<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
<parm name="key1" value="string" type="string" />
<parm name="key2" value="1" type="integer" />
<parm name="key3" value="False" type="boolean" />
</characteristic>
示例
<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:com.airwatch.testapp" target="1">
<parm name="server_hostname" value="test.com" type="string" />
<parm name="connection_timeout" value="60" type="integer" />
<parm name="feature_flag" value="True" type="boolean" />
</characteristic>
注意:可以在分配 Android 应用程序时添加应用程序配置。有关更多信息,请参见向您的应用程序添加分配项和排除项。
启用 Always On VPN(仅适用于 VPN 客户端)
Android 可以在引导时自动启动 VPN 连接并使其保持启用状态。这称为 Always On VPN。要为任何 VPN 客户端启用 Always On VPN,请使用下面的 自定义设置 XML 模板。在 XML 的第一行中指定目标 VPN 客户端的 packageID。
<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
<parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
</characteristic>
您可以选择为 VPN 客户端配置 VPN 锁定。除非启用 VPN 连接,否则锁定将阻止设备上的应用程序使用设备网络连接。要启用锁定,请使用以下模板:
<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
<parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
<parm name="LockDown" value="True" type="boolean"/>
</characteristic>
最后,您还可以指定不受锁定限制的应用程序的允许列表。
<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
<parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
<parm name="LockDown" value="True" type="boolean"/>
<parm name="EnableLockDownWhitelist" value="True" type="boolean"/>
<parm name="LockdownWhitelistedPackageIds" value="packageID_1, packageID_2" type="string"/>
</characteristic>
注意:要同时推送应用程序配置并为 VPN 客户端配置始终开启 VPN,请在同一自定义设置负载中组合这两种配置的键值对。
适用于 Android 设备的自定义 XML
在 Android 11 中,使用第三方自定义属性的客户需要使用自定义设置配置文件指定用于存储自定义属性文件的备用位置。客户应用还需要将此相同文件夹位置作为目标,这可能需要对其应用进行更改。
自定义 XML 示例(根据客户首选项,值可能会有所不同):
<characteristic type="com.android.agent.miscellaneousSettingsGroup" uuid="2c787565-1c4a-4eaa-8cd4-3bca39b8e98b">
<parm name="attributes_file_path" value="/storage/emulated/0/Documents/Attributes"/></characteristic>
无外设应用报告
默认情况下,仅向 Workspace ONE UEM 控制台报告没有可启动 UI 或应用程序图标的预定义应用程序列表。不会报告没有可启动 UI 或应用程序图标的其他应用程序。发生这种情况时,您无法确认安装状态,并且不会将这些应用的配置文件推送到设备。
此处定义了应用程序的预定义列表。您可以使用此自定义 XML 配置文件负载指定将报告给控制台的其他软件包 ID,即使应用程序没有可启动的 UI 也是如此。实施后:
- 安装后,将报告配置文件中指定的软件包 ID。它们将在控制台中显示为“已安装”。
- 还可以在控制台中查看反馈通道数据(如果应用支持)。
使用以下自定义 XML 配置文件指定 Hub 应向控制台报告的应用:
<characteristic type="com.android.agent.miscellaneousSettingsGroup" uuid="2c787987-1c4a-4eaa-8cd4-3acb39b8f97b"> <parm name="headlessapps" value="com.example1.com, com.example2.com, com.example3.com"/></characteristic>
适用于 Android 的特定配置文件功能
这些功能矩阵有代表性地概述了 OS 特定的关键功能,其中重点介绍了适用于 Android 设备管理的最重要功能。
| 功能 | 工作配置文件 | 工作受管设备 |
|---|---|---|
| 应用程序控制 | ||
| 禁用对黑名单应用的访问 | ✓ | ✓ |
| 禁止卸载必要应用程序 | ✓ | ✓ |
| 启用系统更新策略 | ✓ | |
| 运行时权限管理 | ✓ | ✓ |
| Browser (浏览器) | ||
| 允许 Cookie | ✓ | ✓ |
| 允许图像 | ✓ | ✓ |
| 启用 JavaScript | ✓ | ✓ |
| 允许弹出窗口 | ✓ | ✓ |
| 允许跟踪位置 | ✓ | ✓ |
| 配置代理设置 | ✓ | ✓ |
| 强制使用 Google SafeSearch | ✓ | ✓ |
| 强制使用 YouTube 安全模式 | ✓ | ✓ |
| 启用触摸式搜索 | ✓ | ✓ |
| 启用默认搜索提供程序 | ✓ | ✓ |
| 启用密码管理器 | ✓ | ✓ |
| 启用备用错误页面 | ✓ | ✓ |
| 启用自动填充 | ✓ | ✓ |
| 启用打印 | ✓ | ✓ |
| 启用数据压缩代理功能 | ✓ | ✓ |
| 启用安全浏览 | ✓ | ✓ |
| 禁用保存浏览器历史记录 | ✓ | ✓ |
| 出现安全浏览警告后禁止继续进行 | ✓ | ✓ |
| 禁用 SPDY 协议 | ✓ | ✓ |
| 启用网络预测 | ✓ | ✓ |
| 在有限时间内启用已被弃用的 Web 平台功能 | ✓ | ✓ |
| 强制安全搜索 | ✓ | ✓ |
| 隐身模式可用性 | ✓ | ✓ |
| 允许登录 Chromium | ✓ | ✓ |
| 启用搜索建议 | ✓ | ✓ |
| 启用翻译 | ✓ | ✓ |
| 允许使用书签 | ✓ | ✓ |
| 允许访问某些 URL | ✓ | ✓ |
| 阻止访问某些 URL | ✓ | ✓ |
| 设置最低 SSL 版本 | ✓ | ✓ |
| 密码策略 | ||
| 允许用户设置新密码 | ✓ | ✓ |
| 密码失败尝试次数上限 | ✓ | ✓ |
| 允许简单密码 | ✓ | ✓ |
| 允许字母数字密码 | ✓ | ✓ |
| 设置设备锁定超时 (分钟) | ✓ | ✓ |
| 设置最长密码使用期限 | ✓ | ✓ |
| 密码历史记录长度 | ✓ | ✓ |
| 密码历史记录长度 | ✓ | ✓ |
| 设置密码长度下限 | ✓ | ✓ |
| 设置数字位数下限 | ✓ | ✓ |
| 设置小写字母数下限 | ✓ | ✓ |
| 设置大写字母数下限 | ✓ | ✓ |
| 设置大写字母数下限 | ✓ | ✓ |
| 设置特殊字符数下限 | ✓ | ✓ |
| 设置符号数下限 | ✓ | ✓ |
| 命令 | ||
| 允许企业擦除 | ✓ | ✓ |
| 允许设备擦除 | ✓ | |
| 允许容器或配置文件擦除 | ✓ | |
| 允许 SD 卡擦除 | ✓ | |
| 锁定设备 | ✓ | ✓ |
| 允许锁定容器或配置文件 | ||
| 电子邮件 | ||
| 本机电子邮件配置 | ✓ | ✓ |
| 允许联系人和日历同步 | ✓ | ✓ |
| 网络 | ||
| 配置 VPN 类型 | ✓ | ✓ |
| 启用每应用 VPN(仅适用于特定的 VPN 客户端) | ✓ | ✓ |
| 使用 Web 登录进行身份验证(仅适用于特定的 VPN 客户端) | ✓ | ✓ |
| 设置 HTTP 全局代理 | ✓ | |
| 允许 Wi-Fi 数据连接 | ✓ | ✓ |
| 始终使用 VPN | ✓ | ✓ |
| 加密 | ||
| 要求设备完全加密 | ✓ | ✓ |
| 报告加密状态 | ||
