Android 配置文件可确保设备的正确使用和敏感数据保护。配置文件具有许多不同的用途,包括允许您强制实施企业规则和程序,以及按照 Android 设备的使用方式来定制和准备这些设备。

Android 与 Android 旧版配置文件

部署配置文件时,有两种 Android 配置文件类型:Android 和 Android(旧版)。如果您已完成 Android EMM 注册,请选择 Android 配置文件选项。如果已选择退出 EMM 注册,可以使用 Android(旧版)配置文件。当您选择 Android 但未逐步完成 Android EMM 注册时,系统将显示错误消息,提示您转到设置页面完成 EMM 注册也,或继续进行 Android(旧版)配置文件部署。

工作配置文件与工作受管设备模式

工作配置文件是一种特殊类型的管理员,主要针对 BYOD 用例量身定制。当用户已将个人设备配置为其自己的 Google 帐户时,Workspace ONE UEM 注册将创建一个工作配置文件,其将安装 VMware Workspace ONE Intelligent Hub。Workspace ONE UEM 仅控制工作配置文件。受管应用在工作配置文件中安装,并显示橙色公文包标志来将其与个人应用区分开来。

工作受管设备适用于从未置备状态(出厂重置)注册的设备,建议用于企业拥有的设备。VMware Workspace ONE Intelligent Hub 在设置过程中安装,并设置为设备所有者,这意味着 Workspace ONE UEM 可以完全控制整个设备。

Android 配置文件会显示以下标记:工作配置文件和工作受管设备。

带有“工作配置文件”标记的配置文件选项仅适用于工作配置文件设置和应用,不会影响用户的个人应用或设置。例如,某些限制禁止访问摄像头或捕获屏幕截图。这些限制仅影响工作配置文件中带有 Android 标志的应用,不会影响个人应用。为工作受管设备配置的配置文件选项适用于整个设备。本节讨论的每个配置文件指明了配置文件影响的设备类型。

配置文件行为

有时,由于各种原因,需要实施多个配置文件。部署重复配置文件时,将优先采用限制性最严格的策略。因此,如果安装了两个配置文件,一个配置文件表示阻止摄像头,另一个配置文件表示允许摄像头,则 Android 版 Intelligent Hub 会组合这些配置文件并阻止摄像头,以选择更安全的选项。

配置配置文件

在 Workspace ONE UEM console 中,您可以针对每个配置文件采用相同的导航路径。预览部分显示已分配的设备总数以及列表视图。您可以在摘要选项卡上查看添加的配置文件。

要配置配置文件,请执行以下操作:

  1. 导航到设备 > 配置文件与资源 > 配置文件 > 添加 > 添加配置文件 > Android

  2. 配置设置:

    设置 说明
    名称 设置配置文件的名称,并添加可以轻松识别的说明。
    配置文件作用域 生产注册预备两者中设置配置文件在环境中的使用方式。
    OEM 设置 启用 OEM 设置以配置 Samsung 或 Zebra 设备的特定设置。选择 OEM 后,您将看到 OEM 特有的其他配置文件和设置显示。
  3. 选择所需配置文件的添加按钮,然后根据需要配置设置。在选择“添加”之前,您可以使用下拉菜单并预览配置文件设置。

  4. 选择下一步以根据需要配置常规分配部署配置文件设置。配置以下设置:

    设置 说明
    智能组
    允许排除 启用后,将显示一个新的文本框排除组。此文本框使您能够选择要在设备配置文件分配项中排除的组。
    分配类型 确定如何将配置文件部署到设备:自动 – 向所有设备部署配置文件。可选 – 最终用户可以从自助服务门户 (SSP) 有选择性地安装配置文件,或者由管理员自行决定将其部署到单独的设备上。最终用户还可以使用网页剪辑或书签负载来安装代表 Web 应用程序的配置文件。如果您将负载配置为显示在应用程序目录中,则可以从应用程序目录中安装它。合规性 – 在用户无法采取正确的操作使其设备合规时,配置文件由合规引擎应用到设备。
    管理者 拥有对配置文件的管理访问权限的组织组。
    仅安装区域 启用以显示地理围栏选项:仅在选定区域内的设备上安装:输入世界上任何地点的地址和半径(以公里或英里为单位),以生成“配置文件安装范围”。
    计划安装时间 启用以配置时间表设置:启用时间安排和仅在选定时间段内安装:指定设备仅可在那个时间范围内接收配置文件的配置时间表。
  5. 选择保存并发布

密码

设置密码策略需要最终用户输入密码,这为设备上的敏感数据提供了第一层保护。

工作配置文件密码策略仅应用于工作应用,以便用户在每次解锁其使用工作配置文件注册的设备时,不必输入复杂的密码。该工作使企业应用数据受到保护,并允许最终用户以自己喜欢的方式访问个人应用和数据。至于工作受管设备模式,此密码策略适用于设备。对于使用工作配置文件注册的设备,工作密码在 Android 7.0 (Nougat) 及以上版本上可用。

设备密码策略适用于整个设备(使用工作配置文件注册或作为工作受管设备注册)。每次解锁设备时都需要输入此密码,且可以和工作密码搭配使用。

默认情况下,创建新配置文件时仅启用工作密码(禁用设备密码)。管理员必须手动启用设备密码。

**注意:**如果设备上有密码配置文件且用户未设置密码,则在设备合规之前,不会将应用或配置文件推送到设备。

建立密码配置文件设置后,当密码达到最短密码期限或需要更改密码时,UEM console 会通过持久通知来通知用户更新密码设置。用户无法使用 Intelligent Hub,直到他们在配置文件中设置了所需的密码。

下方概述了密码配置文件的可用设置。

设置 说明
启用工作密码策略 启用此选项以将密码策略仅应用于带有 Android 标记的应用程序。
密码长度下限 设置最小字符数,确保密码具有合适的复杂度。
密码内容 从下拉菜单中选择以下选项之一,以确保密码内容符合您的安全要求:任意数字字母数字字母复杂复杂数字弱生物识别
使用简单值以便快速访问,或使用字母数字密码来增强安全性。您还可以要求在密码中使用最低数量的复杂字符(@、#、&、! , ,? )。
弱效生物识别通行码内容可使用安全性较低的生物识别解除锁定方法,如面部识别。**重要提示:**如果密码包含的复杂字符数必须大于 4,则至少需要包含一个小写字符和一个大写字符(仅限 SAFE v5.2 设备)。
失败尝试次数上限 指定在设备被擦除之前允许的尝试次数。
最长密码期限 (天) 指定密码的最长有效天数。
密码更改提醒 设置在密码过期前通知用户更改密码的时间长度。设备密码策略中也会提供此选项。系统会在用户的设备上通过提示来提示其更改密码,但不会阻止用户在设备上执行任何其他功能。您可以配置合规策略或使用适用于 Android 的 VMware Workspace ONE Intelligent Hub 中的设置来创建并强制将密码重新添加到设备。
密码历史记录 设置在可以重复使用旧密码之前必须更改密码的次数。
设备锁定超时范围(以分钟计) 设置在设备屏幕自动锁定之前处于非活跃状态的期限
需要密码的时间范围(以分钟为单位) 设置使用非强身份验证方法(如指纹或人脸识别)解锁设备之后需要密码之前的时间长度。设备密码策略中也会提供此选项。
允许一个锁 禁用以强制对工作配置文件密码和设备密码使用更加严格的密码。
在创建工作配置文件密码之前,将在后台启用“一个锁”。 当用户需要创建设备和工作配置文件密码时,用户可以选择先创建哪个,但会先强制实施更复杂的要求。
**注意:**仅适用于 Android 9.0+ 工作配置文件设备和 COPE 设备。
允许生物识别选项 启用以允许生物识别解锁方法,如人脸识别。
允许指纹传感器 启用后可让用户使用指纹解锁设备。禁用后可防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入配置文件中指定类型的密码。
允许面部扫描 禁用此选项将禁止配置或选择人脸解锁方法。**注意:**仅适用于 Android 9.0+ 工作受管设备。
允许虹膜扫描 禁用此选项将禁止配置或选择虹膜扫描仪方法。**注意:**仅适用于 Android 9.0+ 工作受管设备。
启用设备密码策略 对使用工作配置文件注册的设备应用密码策略。需要输入此密码解锁设备,并且可以与工作密码结合使用。对于工作受管设备,此密码策略将应用到设备。
密码长度下限 设置最小字符数,确保密码具有合适的复杂度。
设置初始密码 启用以在所有已部署设备上的设备级别设置初始密码。部署后,可以在设备级别重置密码。**注意:**仅适用于 Android 7.0+ 工作受管设备。
密码内容 从下拉菜单中选择任意数字字母数字字母复杂复杂数字,确保密码内容符合安全要求。
失败尝试次数上限 指定在设备被擦除之前允许的尝试次数。
最长密码期限 (天) 指定密码的最长有效天数。
密码更改提醒 设置在密码过期前通知用户更改密码的时间长度。
密码历史记录 设置在可以重复使用旧密码之前必须更改密码的次数。
工作配置文件锁定超时范围 (以分钟为单位) 设置在设备屏幕自动锁定之前处于非活跃状态的期限。
允许生物识别选项 启用以允许生物识别解锁方法,如人脸识别。
允许指纹解锁 启用后可让用户使用指纹解锁设备。另外,防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入在配置文件中指定类型的密码。
允许面部扫描 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。**注意:**仅适用于 Android 9.0+ 工作受管设备。
允许虹膜扫描 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。**注意:**仅适用于 Android 9.0+ 工作受管设备。
密码可视 启用该选项后,在输入密码时,密码会显示在屏幕上。适用于 Samsung 设备。要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung
要求 SD 卡加密 指示 SD 卡是否要求加密。适用于 Samsung 设备。要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung
重复字符数上限 通过设置重复字符数上限,防止最终用户输入易于破解的重复性密码(如“1111”)。适用于 Samsung 设备。

如果从密码内容文本框中选择“复杂”,则适用以下设置。

设置 说明
最低字母数目 指定可以在密码中包含的字母个数。
最低小写字母数目 指定密码中必需的小写字母个数。
最低大写字母数目 指定密码中必需的大写字母个数。
最低非字母数目 指定密码中必需的特殊字符个数。
最低数字数目 指定密码中必需的数字个数。
最低符号数目 指定密码中必需的符号个数。

以下设置适用于在 Samsung 设备上设置密码。

只有当在常规配置文件中选择了 OEM 设置,并从选择 OEM 下拉列表中选择了 Samsung 时,才会显示这些设置。

设置 说明
密码可视 启用该选项后,在输入密码时,密码会显示在屏幕上。
允许指纹解锁 启用后可让用户使用指纹解锁设备。另外,防止将指纹用作主要的身份验证方法,而是应当要求最终用户输入在配置文件中指定类型的密码。
要求 SD 卡加密 指示 SD 卡是否要求加密。
需要密码 要求用户输入用于加密 SD 卡的密码。如果未选中,则某些设备允许在不进行用户交互的情况下加密 SD 卡。
重复字符数上限 通过设置重复字符数上限,防止最终用户输入易于破解的重复性密码(如“1111”)。
数字序列长度上限 防止最终用户输入易于破解的数字序列(如 1234)作为密码。适用于 Samsung 设备。
允许虹膜扫描仪 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。
允许人脸解锁 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。
锁屏覆盖 启用后可将信息推送到最终用户设备,并在锁定屏幕上覆盖显示此信息。
- 图像覆盖 – 上传要在锁定屏幕上覆盖显示的图像。可以上传主要和次要图像,并确定这些图像的位置和透明度。
- 公司信息 – 输入要在锁定屏幕上覆盖显示的公司信息。在此设置中,可以输入要在设备丢失或失窃时显示的紧急信息。
“锁屏覆盖”设置仅适用于 Safe 5.0 和更高版本的设备。“锁屏覆盖”设置在启用后将在设备上保持已配置状态,而且无法由最终用户更改。

配置锁屏覆盖 (Android)

密码配置文件中的锁屏覆盖选项能让您在屏幕锁定图像上叠加显示信息,以便向最终用户或可能发现锁定的设备的任何人提供信息。锁屏覆盖是密码配置文件的一部分。

锁屏覆盖是 Android 的一种本机功能,可跨多个 OEM 使用。

只有当 OEM 设置字段切换为启用且从选择 OEM 字段中选择了“Samsung”时,适用于 Android 配置文件的锁屏覆盖设置才会显示。“常规”配置文件中的“OEM 设置”字段仅适用于 Android 的配置文件,不适用于 Android(旧版)配置。

根据需要配置图像覆盖的设置:

设置 说明
图像叠加类型 选择单图像多图像,以确定所需的覆盖图像数量。
主要图像 上载图像文件。
主要图像顶部位置所占百分比 确定顶部图像的位置(从 0 到 90%)。
主要图像底部位置所占百分比 确定底部图像的位置(从 0 到 90%)。
次要图像 根据需要上传另一个图像。仅在从图像覆盖类型字段中选择了“多图像”时,才会显示此字段。
次要图像位置比例 确定顶部图像的位置(从 0 到 90%)。仅在从“图像覆盖类型”字段中选择了“多图像”时才适用。
次要图像底部位置所占百分比 确定底部图像的位置(从 0 到 90%)。仅在从“图像覆盖类型”字段中选择了“多图像”时才适用。
覆盖图像 确定图像的透明度是透明还是不透明

根据需要配置公司信息的设置。

设置 说明
公司名称 输入要显示的公司名称。
公司徽标 上传带有图像文件的公司徽标。
公司地址 输入公司办公地址。
公司电话号码 输入公司电话号码。
覆盖图像 确定图像的透明度是透明还是不透明

Chrome 浏览器设置

Chrome 浏览器设置配置文件可帮助您管理 Work Chrome 应用的设置。

Chrome 是 Google 的 Web 浏览器。Chrome 提供许多功能,如搜索、omnibox(一个用于搜索和导航的框)、自动填充、保存的密码以及 Google 帐户登录,以便可以跨所有设备即时访问最近使用的标签页和搜索内容。Chrome 应用的工作版本在功能上与 Chrome 个人版本相同。配置此配置文件不会影响用户的个人 Chrome 应用。您可以将此配置文件与单独的 VPN 一起部署,也可以将其与凭证和 Wi-Fi 负载一起部署,以确保最终用户可以进行身份验证和登录内部站点及系统。这样可保证用户必须将 Work Chrome 应用用于商业用途。

Chrome 浏览器设置矩阵 (Android)

Chrome 浏览器设置配置文件可帮助您管理 Work Chrome 应用的设置。配置此配置文件不会影响用户的个人 Chrome 应用。您可以将此配置文件与单独的 VPN 一起部署,也可以将其与凭证和 Wi-Fi 负载一起部署,以确保最终用户可以进行身份验证和登录内部站点及系统。

该矩阵详细介绍了 Chrome 浏览器配置文件中的可用设置:

设置 说明
**允许 Cookie 选择此选项以确定浏览器的 Cookie 设置。**
允许这些网站的 Cookie 指定允许设置 Cookie 的 URL。
屏蔽这些网站的 Cookie 指定不允许设置 Cookie 的 URL。
允许这些网站的会话 Cookie 指定允许设置会话 Cookie 的网站。
**允许图像 选择此选项以确定允许图像的网站。
允许这些网站的图像 指定允许显示图像的 URL 列表。
屏蔽这些网站的图像 指定不允许显示图像的 URL 列表。
允许 JavaScript 选择 JavaScript 浏览器设置。
允许这些网站的 JavaScript 指定允许运行 JavaScript 的网站。
屏蔽这些网站的 JavaScript 指定不允许运行 JavaScript 的网站。
允许弹出窗口 选择弹出窗口浏览器设置。
允许这些网站的弹出窗口 选择此选项以确定允许打开弹出窗口的网站。
屏蔽这些网站的弹出窗口 指定不允许打开弹出窗口的网站。
允许跟踪位置 设置是否允许网站跟踪用户的物理位置。
代理模式 指定 Google Chrome 使用的代理服务器并阻止用户更改代理设置。
代理服务器 URL 指定代理服务器的 URL。
代理 PAC 文件 URL 指定代理 .pac 文件的 URL。
不使用代理的规则 指定要绕过的代理设置。仅当选择了手动代理设置时,此策略才会生效。
强制使用 Google SafeSearch 启用此选项以强制使用 SafeSearch 完成 Google Web 搜索中的搜索查询。
**强制使用 YouTube 安全模式 启用此选项可让用户有机会访问成人内容。
启用触碰式搜索 在 Google Chrome 的内容视图中启用触碰式搜索。
启用默认搜索提供商 指定默认搜索提供商。
默认搜索提供商名称 指定默认搜索提供商的名称。
默认搜索提供商关键字 指定默认搜索提供商的关键字搜索。
默认搜索提供商搜索 URL 指定执行默认搜索时使用的搜索引擎的 URL。
默认搜索提供商建议 URL 指定用于提供搜索建议的搜索引擎的 URL。
默认搜索提供商即时 URL 指定用户输入搜索查询时的默认搜索提供商。
默认搜索提供商图标 指定默认搜索提供商的收藏图标 URL。
默认搜索提供商编码 指定搜索提供商支持的字符编码。编码是指 UTF-8、GB2312 和 ISO-8859-1 等代码页名称。如果未设置,默认将使用 UTF-8。
默认搜索提供程序的备用 URL 列表 指定可用于从搜索引擎提取搜索条件的备用 URL 列表。
搜索条件替换密钥 输入所有搜索条件替换密钥。
搜索提供商图像 URL 指定用于提供图像搜索的搜索引擎的 URL。
新选项卡 URL 指定搜索引擎提供新标签页页面所用的 URL。
POST URL 搜索参数 指定使用 POST 搜索 URL 时使用的参数。
POST 建议搜索参数 指定使用 POST 执行图像搜索时使用的参数。
POST 图像搜索参数 指定使用 POST 执行图像搜索时使用的参数。
启用密码管理器 启用将密码保存至密码管理器。
启用备用错误页面 启用此选项以使用 Google Chrome 中内置的备用错误页面(例如“页面未找到”)。
启用自动填充 启用此选项以允许用户使用以前存储的信息(如地址或信用卡信息)自动填写 Web 表单。
启用打印 启用此选项以允许在 Google Chrome 中进行打印。
启用数据压缩代理功能 为数据压缩代理指定以下选项之一:始终启用,始终禁用。数据压缩代理可以使用在 Google 托管的代理服务器来优化网站内容,从而减少蜂窝数据使用量并加快移动 Web 浏览速度。
启用安全浏览 启用此选项以激活 Google Chrome 的安全浏览。
禁用保存浏览器历史记录 启用此选项以禁止在 Google Chrome 中保存浏览器历史记录。
出现安全浏览警告后禁止继续进行 启用此选项以在显示警告页面后阻止用户继续访问恶意站点。
禁用 SPDY 协议 禁止在 Google Chrome 中使用 SPDY 协议
启用网络预测 在 Google Chrome 中选择网络预测。
在有限时间内启用已被弃用的 Web 平台功能 指定要临时重新启用的已弃用 Web 平台功能列表。
强制安全搜索 启用此选项可在使用 Web 浏览器时激活安全搜索。
隐身模式可用性 指定用户是否可以使用隐身模式在 Google Chrome 中打开页面。
允许登录 Chromium 启用此选项可强制 Chrome 用户在通过 Web 登录 Gmail 时登录浏览器。
启用搜索建议 在 Google Chrome 的 omnibox 中启用搜索建议。
启用翻译功能 在 Google Chrome 上启用集成的 Google 翻译服务。
启用或禁用书签编辑 启用此选项以允许添加、移除或修改书签。
纳管书签 指定纳管书签的列表。
屏蔽对 URL 列表的访问 输入 URL 以禁止用户从黑名单 URL 加载网页。
已屏蔽 URL 列表的例外 输入阻止列表例外 URL。可使用逗号分隔列表。
启用最低 SSL 版本 从下拉列表中选择最低 SSL 版本。 
要回退到的最低 SSL 版本 从下拉列表中选择要回退到的最低 SSL 版本。 

限制

UEM console 中的限制配置文件会锁定 Android 设备的本机功能。可用的限制和行为因设备注册而异。

限制配置文件显示指示是否将选定限制应用到工作配置文件、工作受管设备,还是这两类设备的标签,但适用于工作配置文件设备的限制仅影响带有 Android 标记的应用。例如,为工作配置文件配置限制时,可以禁止访问工作相机。此设置只影响带有 Android 标记的相机,不影响用户个人相机。

请注意,工作配置文件默认包含一些系统应用程序,如 Work Chrome、Google Play、Google 设置、Contacts 以及 Camera,可以使用限制配置文件隐藏这些应用程序,且不会影响用户的个人相机。

对使用非受管 Google 帐户的限制

您可能希望允许用户添加非受管或个人 Google 帐户(例如,用于阅读个人电子邮件),但您仍希望限制个人帐户在设备上安装应用。您可以在 Workspace ONE UEM console 中设置用户可在 Google Play 中使用的帐户列表。

部署限制负载以增强 Android 设备的安全性。限制负载设备可以禁止最终用户访问设备功能,从而确保设备不被篡改。

选择限制配置文件并配置相应设置:

设置 说明
设备功能 设备级限制可以禁用摄像头、屏幕捕获和出厂重置等设备核心功能,从而有助于提高工作效率和安全性。例如,禁用摄像头可防止敏感资料被拍摄和传播到组织外面。禁止使用设备的屏幕捕获功能有助于保护设备上企业内容的机密性。
应用程序 应用程序级限制可以禁用某些应用程序(例如 YouTube 和本机浏览器),从而能强制用户遵守企业的设备使用政策。
同步和存储 控制信息在设备上的存储方式,并能让您在工作效率和安全性之间保持最佳平衡。例如,禁用 Google 或 USB 备份能让企业移动数据始终存放在每个受管设备上,不会落入坏人手中。
网络 防止设备访问 Wi-Fi 和数据连接,以确保最终用户并未通过不安全的连接来查看敏感信息。
工作与个人 确定如何访问个人容器和工作容器的信息或如何在两者之间共享信息。这些设置仅适用于工作配置文件模式。
定位服务 仅为工作受管设备配置定位服务设置。此限制在不同 Android 版本之间的行为有所不同。在 Android 8.0 及以下版本中,该行为根据 UEM console 中的选定设置起作用。在 Android 9.0 及更高版本中,每个设置按如下方式打开或关闭定位服务:不执行任何操作。不允许位置访问 - 关闭定位服务,仅设置 GPS 定位 - 打开定位服务。仅设置电池节能定位 - 关闭定位服务。仅设置高精度定位 - 关闭定位服务。
Samsung Knox 专门为运行 Samsung Knox 的 Android 设备配置限制。仅当常规配置文件中的 OEM 设置处于启用状态且从选择 OEM 字段中选择了“Samsung”时,这部分设置才可用。

适用于 Android 的特定限制

此矩阵有代表性地概述了各种设备所有权类型的限制配置文件配置。

功能 工作受管设备模式 工作配置文件模式
设备功能
允许恢复出厂设置
允许屏幕捕获
允许添加 Google 帐户
允许删除 Android 工作帐户  
允许拨出电话  
允许发送/接收短信  
允许凭证变更  
允许所有键盘锁功能  
允许键盘锁相机  
允许键盘锁通知  
允许键盘锁指纹传感器
允许键盘锁信任 Hub 状态
允许键盘锁未编辑的通知  
使用 AC 充电器时,强制开启屏幕 (Android 6.0+)  
使用 USB 充电器时,强制开启屏幕 (Android 6.0+)  
使用无线充电器时,强制开启屏幕 (Android 6.0+)  
允许更换墙纸 (Android 7.0+)  
允许状态栏  
允许键盘锁 (Android 6.0+)  
允许添加用户    
允许移除用户    
允许安全启动 (Android 6.0+)  
允许更换墙纸 (Android 7.0+)    
允许更换用户图标 (Android 7.0+)
允许添加/删除帐户
防止系统 UI (Toast、活动、警示、错误、叠加)  
应用程序
允许照相机
允许 Google Play
允许 Chrome 浏览器  
允许安装非 Google Play 应用
允许在设置中修改应用程序  
允许安装应用程序
允许卸载应用程序
允许禁用应用程序验证
跳过用户教程和介绍性提示
允许白名单可访问性服务  
限制输入法
同步和存储
允许 USB 调试  
允许 USB 大容量存储✓  
允许装载物理存储媒体  
允许 USB 文件传输  
允许备份服务 (Android 8.0+)   
网络
允许更改 Wi-Fi  
允许蓝牙配对  
允许蓝牙 (Android 8.0+)  
允许蓝牙联系人共享 (Android 8.0+)*  
允许传出蓝牙连接*
允许所有数据共享  
允许 VPN 变更  
允许移动网络变更  
允许近场通信 (NFC)  
允许管理式 Wi-Fi 配置文件变更 (Android 6.0+)  
工作与个人
允许在工作和个人应用之间粘贴剪贴板  
允许工作应用访问来自个人应用的文档  
允许个人应用访问来自工作应用的文档  
允许个人应用与工作应用共享文档  
允许工作应用与个人应用共享文档    
允许工作联系人的来电显示信息在电话拨号程序中显示  
允许将工作小组件添加到个人主屏  
允许在个人联系人应用中保存工作联系人 (Android 7.0+)    
跨配置文件日历访问  
定位服务
允许定位服务配置
Samsung Knox
设备功能
允许飞行模式  
允许麦克风  
允许模拟位置  
允许剪贴板  
允许关闭电源  
允许 Home 键  
如允许麦克风,则允许音频录音  
如允许照相机,则允许视频录像  
允许电子邮件帐户移除  
当处于空闲状态时允许终止活动  
允许用户设置后台进程限制  
允许耳机  
同步和存储
允许移动 SD 卡  
允许通过空中下载升级  
允许 Google 帐户自动同步  
允许 SD 卡写入  
允许 USB 托管存储  
允许自动填充(Android 8.0 或更高版本)
应用程序
允许设置更改  
允许开发者选项  
允许后台数据  
允许语音拨号器  
允许 Google 故障报告  
允许 S Beam  
允许提示凭证  
允许 S Voice  
允许用户停止系统签名的应用程序  
蓝牙
允许通过蓝牙建立桌面连接  
允许蓝牙数据传输  
允许通过蓝牙拨出电话  
允许蓝牙可发现模式  
启用蓝牙安全模式  
网络
允许 Wi-Fi  
允许使用 Wi-Fi 配置文件  
允许使用不安全的 Wi-Fi  
仅允许使用安全 VPN 连接  
允许 VPN  
允许自动连接 Wi-Fi  
允许手机网络数据  
允许使用 Wi-Fi Direct  
正在漫游
允许漫游时自动同步  
漫游被禁用时允许自动同步  
允许语音通话漫游  
漫游时使用数据流量  
允许漫游时推送消息  
手机和数据
允许非紧急呼叫  
允许用户设置移动数据限额  
允许 WAP 推送  
硬件限制
允许菜单键  
允许返回键  
允许搜索键  
允许任务管理器  
允许系统栏  
允许音量键  
安全性
允许锁屏设置  
允许固件恢复  
数据共享
允许 USB 数据共享  
MMS 限制
允许入站 MMS  
允许出站 MMS  
其他
设置设备字体  
设置设备字号  
允许用户停止系统签名的应用程序  
仅允许使用安全 VPN 连接  

Exchange Active Sync

Workspace ONE UEM 在 Android 设备上使用 Exchange ActiveSync (EAS) 配置文件来确保与内部电子邮件、日历以及使用邮件客户端的联系人建立安全连接。例如,为工作配置文件配置的 EAS 电子邮件设置将影响从 Workspace ONE UEM Catalog 下载的带有标志图标的所有电子邮件应用,但不影响用户的个人电子邮件。

为每个用户设置电子邮件地址和用户名后,您可以创建 Exchange Active Sync 配置文件。

**注意:**Exchange Active Sync 配置文件适用于工作配置文件和工作受管设备模式类型。

选择 Exchange Active Sync 配置文件并配置以下设置。

设置 说明
邮件客户端类型 使用下拉菜单选择要推送到用户设备的邮件客户端。
主机 指定公司 Active Sync 服务器的外部 URL。
服务器类型 选择 ExchangeLotus
使用 SSL 启用此选项以加密 EAS 数据。
禁用对 SSL 证书的验证检查 启用此选项以允许安全套接字层证书。
S-MIME 启用此选项以选择在凭证负载上作为用户证书关联的 S/MIME 证书。
S/MIME 签名证书 选择允许在客户端上置备用于邮件签名的 S/MIME 证书的证书。
S/MIME 加密证书 选择允许在客户端上置备用于邮件加密的 S/MIME 证书的证书。
使用查找值以使用特定于设备的值。
用户名 使用查找值以使用特定于设备的值。
电子邮件地址 使用查找值以使用特定于设备的值。
密码 留空将允许最终用户设置自己的密码。
登录证书 从下拉菜单中选择可用证书。
默认签名 指定在新邮件上显示的默认电子邮件签名。
附件大小的上限 (MB) 输入允许用户发送的最大附件大小。
允许联系人和日历同步 启用此选项以允许联系人和日历与设备同步。

公共应用自动更新

利用公共应用自动更新配置文件,您能够为公共 Android 应用程序配置自动更新和计划维护窗口。

公共应用自动更新配置文件使用 Google API 将配置文件数据直接发送到设备。此配置文件不会显示在 VMware Workspace ONE Intelligent Hub 中。

要配置公共应用自动更新配置文件:

**注意:**如果配置文件包含公共应用更新负载,则它不能包含任何其他负载。

从负载列表中选择“公共应用自动更新”并配置更新设置:

  • 公共应用自动更新策略:指定 Google Play 允许自动更新的时间。选择“允许用户配置”、“始终自动更新”、“仅在使用 Wi-Fi 时更新”或“从不自动更新”。

默认选择为“允许用户配置”。

  • 开始时间: 配置应允许前台中的应用程序每天自动更新的本地时间。选择介于 00:30 到 23:30 之间的时间。

注意:仅当选择了仅在使用 Wi-Fi 时更新始终自动更新时才适用。

  • 结束时间: 配置应允许前台中的应用程序每天自动更新的本地时间。选择介于 30 分钟到 24 小时之间的时间。

**注意:**仅当选择了“仅在使用 Wi-Fi 时更新”和“始终自动更新”时才适用。

根据设定的时间,应用程序仅在指定的开始和结束时间期间自动更新。例如,您可以将 kiosk 设备设置为仅在非营业时间更新,这样做不会中断 kiosk 使用。

凭证

为了提高安全性,您可以实施数字证书来保护企业资产。为此,您必须首先定义一个证书颁发机构,然后配置一个凭证负载,以及 Exchange ActiveSync (EAS)、Wi-Fi 或 VPN 负载。

每个负载中都含有用于关联凭证负载中定义的证书颁发机构的设置。凭证配置文件将用于用户身份验证的企业证书部署到受管设备。根据设备所有权类型,此配置文件中的设置会有所不同。凭证配置文件将应用于工作配置文件和工作受管设备模式类型。

您必须先为设备配置设备 PIN 码,Workspace ONE UEM 才能安装含专用密钥的身份证书。

凭证配置文件将用于用户身份验证的企业证书部署到受管设备。此配置文件中的设置会因设备所有权类型而异。凭证配置文件将应用于工作配置文件和工作受管设备模式类型。

选择凭证配置文件,然后选择配置

从下拉菜单中选择上传或选择定义的证书颁发机构作为凭证来源。其余配置文件选项取决于来源。如果您选择上传,必须输入凭证名称,然后上传新证书。如果选择定义的证书颁发机构,则必须选择一个预定义的证书颁发机构模板。

使用自定义 XML 管理证书

可通过适用于 Android 的 Workspace ONE Intelligent Hub 使用 UEM console 中的自定义 XML 来管理证书。您可以指定可用于管理 Android 设备上的证书的软件包名称。您可以通过自定义设置添加软件包名称。

要推送这些软件包,请执行以下操作:

  1. 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 设置 > 自定义设置

  2. 相应地配置自定义 XML:

    设置 说明
    自定义设置 粘贴以下自定义 XML:{ "AuthorizedCertInstaller" : "packagename" },将占位符软件包名称替换为应用的实际软件包名称(通常采用以下格式:com.company.appname)。
  3. 保存自定义 XML。

自定义消息

通过自定义消息配置文件,您可以配置当需要将重要信息中继给用户时在设备主屏幕上显示的消息。

通过自定义消息配置文件,您可以设置锁屏消息、用户尝试执行阻止的设置时显示的消息或设备用户设置。

选择自定义消息配置文件并配置消息设置:

|设置锁屏消息|输入设备锁定时在设备主屏幕上显示的消息。对于丢失或被盗的设备来说,此功能非常有用,可以显示用户的联系信息。| |设置阻止设置的提示消息|输入当用户尝试对被阻止设备执行操作时要显示的消息。使用自定义消息解释功能被阻止的原因。| |设置用户在设置中看到的消息|用户可在其设备上的设置 > 安全 > 设备管理员 > Intelligent Hub 下查看此消息。|

应用程序控制

应用控制配置文件允许您控制批准的应用程序,并防止卸载重要的应用。合规引擎可在用户安装或卸载某些应用程序时发送警示并执行管理操作,而应用程序控制甚至会禁止用户试图作出这些更改。

配置应用控制配置文件时,只有管理员批准的应用才会显示在 Play 商店中。例如,您可以自动将所选浏览器作为受管应用推送到设备,并将其添加到必要应用“应用程序组”。此设置与在应用程序控制配置文件中启用“禁止卸载必要应用”选项相结合,可防止卸载浏览器和在“应用程序组”中配置的任何其他必要应用。

Warning: Enabling/ disabling critical system apps results in devices becoming unusable.

有关应用程序组的更多信息,请参阅“移动应用管理”文档。

要控制应用程序对 Android 设备的访问权限,请创建一个配置文件,以使用应用控制配置文件允许、阻止、卸载或启用系统应用程序。

选择应用控制负载,并配置以下设置以设置应用程序部署的控制级别:

设置 说明
禁用对黑名单应用的访问 选择此选项可禁止访问应用程序组中定义的、被视为黑名单应用的应用程序。如果启用,此选项不会从设备中卸载应用程序。
禁止卸载必要应用 启用此选项以禁止卸载应用程序组中定义的必备应用程序。
启用系统应用 启用此选项以按照应用程序组中的白名单应用程序定义取消隐藏预安装的应用程序。对于 COPE,“工作受管”复选框适用于个人,“工作配置文件”适用于企业。

代理设置

配置代理设置,确保所有 HTTP 和 HTTPS 网络流量都只流经代理。这确保了数据安全,因为所有个人数据和企业数据都将通过“代理设置”配置文件进行筛选。

配置如下代理设置:

设置 说明
代理模式 选择所需的代理类型。
代理 PAC URL 指定代理 .pac 文件的 URL。
代理服务器 输入代理服务器的主机名或 IP 地址。
排除列表 添加主机名,以防止这些主机通过代理进行路由。

系统更新

使用此配置文件可管理在将设备注册到 Workspace ONE UEM 时如何处理 Android 设备更新。

选择系统更新配置文件。

自动更新字段的下拉菜单中选择更新策略。

设置 说明
自动更新(Android 6.0 和更高版本的工作受管设备) 自动安装更新:更新可用时,自动安装更新。
推迟更新通知:推迟所有更新。发送最长 30 天阻止 OS 更新的策略。
设置更新时段:设置更新设备的每天时间范围。
每年系统更新冻结期(Android 9.0 和更高版本的工作受管设备) 设备所有者可以将设备的 OTA 系统更新推迟 90 天,以便在关键时间段(如节假日)冻结这些设备上运行的操作系统版本。系统会在定义的任何冻结时间段后强制实施强制 60 天的缓冲,以防止设备无限期冻结。
在冻结期内:
设备不会收到任何有关待定 OTA 更新的通知。
设备不会将任何 OTA 更新安装到操作系统。
设备用户无法手动检查 OTA 更新。
冻结期 使用此字段可设置无法安装更新时的冻结期(以月和日为单位)。当设备的时间处于任何冻结期内时,所有传入的系统更新(包括安全修补程序)都将被阻止,并且无法安装。每个单独冻结期最多允许为 90 天,相邻冻结期必须至少相隔 60 天。

Wi-Fi

配置 Wi-Fi 配置文件允许设备连接到企业网络,即使这些网络已隐藏、加密或受保护。

对出差到多个使用独特无线网络的办公网点的最终用户而言,或者对于在办公室自动配置设备以连接正确无线网络,Wi-Fi 配置文件都是非常实用的。

将 Wi-Fi 配置文件推送到运行 Android 6.0+ 的设备时,如果用户已通过手动设置将设备连接到 Wi-Fi 网络,无法通过 Workspace ONE UEM 更改 Wi-Fi 配置。例如,如果更改了 Wi-Fi 密码,并向注册设备推送更新后的配置文件,某些用户必须使用新密码手动更新设备。

要配置该配置文件:

配置 Wi-Fi 设置,其中包括:

设置 > 说明
服务集标识符 提供设备连接到的网络的名称。
隐藏网络 指示是否隐藏 Wi-Fi 网络。
设置为活跃网络 指示设备在无最终用户交互的情况下是否会连接到网络。
安全类型 指定使用的访问协议以及是否需要证书。根据所选安全类型,此操作将更改必填字段。如果选择WEP、WPA/WPA2、任何(个人),则会显示密码字段。如果选择 WPA/WPA2 企业,则会显示“协议”和“身份验证”字段。
协议
- 使用双重身份验证
- SFA 类型
身份验证
- 标识
- 匿名标识
- 用户名
- 密码
- 标识证书
- 根证书
密码 提供设备连接到网络所需的凭证。在从安全类型字段中选择 WEP、WPA/WPA2、任何(个人)、WPA/WPA2 企业时,会显示密码字段。
包括 Fusion 设置 启用后可扩展 Fusion 选项,以应用到适用于 Motorola 设备的 Fusion 适配器。Fusion 设置仅适用于 Motorola 强固型设备。如需详细了解 VMware 对 Android 强固型设备的支持,请参阅**《Rugged Android Platform Guide》**。
设置 Fusion 802.11d 启用后可使用 Fusion 802.11d 来配置 Fusion 802.11d 设置。
启用 802.11d 启用后可将 802.11d 无线规范用于其他管理域中的操作。
设置国家/地区代码 启用后可设置在 802.11d 规范中使用的国家/地区代码
设置 RF 频段 启用后可选择 2.4 Ghz 和/或 5 Ghz 频段,以及任何适用的通道掩码。
代理服务器类型 启用此选项以配置 Wi-Fi 代理设置。**注意:**不支持使用每应用 VPN 自动配置 Wi-Fi 代理。
代理服务器 输入代理服务器的主机名或 IP 地址。
代理服务器端口 输入代理服务器的端口。
排除列表 输入要从代理中排除的主机名。此处输入的主机名不会通过代理路由。可使用 * 作为域名通配符。例如:*.air-watch.com 或 *air-watch.com。

VPN

虚拟专用网络 (VPN) 为设备提供访问内部资源(例如电子邮件、文件和内容)的安全加密隧道。VPN 配置文件能让每台设备像接通现场网络一样工作。

根据连接类型和身份验证方法,使用查找值自动填写用户名信息,以简化登录过程。

**注意:**VPN 配置文件适用于工作配置文件和工作受管设备模式类型。

配置 VPN 设置。下表解释了可以根据 VPN 客户端配置的所有设置。

设置 说明
连接类型 选择用于协助 VPN 会话的协议。每种连接类型都需要在设备上安装相应的 VPN 客户端,才能部署 VPN 配置文件。这些应用程序应分配给用户并发布为公共应用。
连接名称 为配置文件创建的连接输入分配的名称。
服务器 输入用于 VPN 连接的服务器的名称或地址。
帐户 输入用于验证连接的用户帐户。
始终使用 VPN 启用此选项以强制所有来自工作应用程序的流量通过 VPN 传递。
设为活跃 启用此选项,以在配置文件应用到设备后打开 VPN。
每应用 VPN 规则 启用每应用 VPN,可根据特定的应用程序配置 VPN 流量规则。系统仅为支持的 VPN 供应商显示此文本框。**注意:**不支持使用每应用 VPN 自动配置 Wi-Fi 代理。
协议 选择 VPN 的身份验证协议。在“连接类型”中选择 Cisco AnyConnect 时可用。
用户名 输入用户名。在“连接类型”中选择 Cisco AnyConnect 时可用。
用户身份验证 选择进行 VPN 会话身份验证的方法。
密码 提供最终用户 VPN 访问所需的凭证。
客户端证书 从下拉菜单中选择客户端证书。这些证书在凭证配置文件中配置。
证书吊销 启用此选项以启用证书吊销。
AnyConnect 配置文件 输入 AnyConnect 配置文件名称。
FIPS 模式 启用此选项以启用 FIPS 模式。
严格模式 启用此选项以启用严格模式。
供应商密钥 创建进入到供应商配置字典中的自定义密钥。
输入供应商提供的特定密钥。
输入每个密钥的 VPN 值。
标识证书 选择要用于 VPN 连接的身份证书。在“连接类型”中选择 Workspace ONE Tunnel 时可用。

配置每应用 VPN 规则

您可以强制选定应用程序通过企业 VPN 进行连接。VPN 供应商必须支持该功能,同时您必须将应用发布为纳管应用程序。

**注意:**不支持使用每应用 VPN 自动配置 Wi-Fi 代理。

  1. 从列表中选择 VPN 负载。

  2. 连接类型字段中选择您的 VPN 供应商。

  3. 配置 VPN 配置文件。

  4. 选择每应用 VPN 规则以启用将 VPN 配置文件关联到所需应用程序的功能。对于 Workspace ONE Tunnel 客户端,默认情况下启用此选项。启用该复选框后,可在应用程序分配页面的“应用隧道”配置文件下拉列表中选择此配置文件。

  5. 选择保存并发布

    如果启用了每应用 VPN 规则作为现有 VPN 配置文件的更新,则以前使用 VPN 连接的设备/应用程序将受到影响。以前路由所有应用流量的 VPN 连接将断开连接,并且 VPN 仅适用于与更新的配置文件关联的应用程序。

要将公共应用配置为使用每应用 VPN 配置文件,请参阅“Android 应用程序管理”出版物中的“为 Android 添加公共应用程序”。

权限

使用 Workspace ONE UEM console,管理员能够查看应用程序正在使用的所有权限的列表,并设置应用运行时的默认操作。权限配置文件在使用工作受管设备和工作配置文件模式的 Android 6.0+ 设备上可用。

您可以为每个 Android 应用设置运行时权限策略。在单个应用程序级别配置应用程序时检索最新权限。

**注意:**从“例外”列表中选择应用程序时,该应用程序使用的所有权限都将列出,但是来自 Workspace ONE UEM Console 的权限策略仅适用于 Google 视为危险的权限。危险权限涵盖应用程序请求包括用户个人信息的数据,或可能会影响用户存储数据的情况。有关详细信息,请参见 Android Developer 网站。

配置权限设置,包括:

设置 说明
权限策略 为所有工作应用程序,选择是否提示用户获取权限授予所有权限,或拒绝所有权限
例外 搜索已添加到 AirWatch 的应用程序(仅应包括获批的 Android 应用),并对应用设置权限策略例外。

锁定任务模式

锁定任务模式允许您将 Android 设备用于单个用途(如 kiosk 模式),并允许您将应用固定到前台。

注意:  有关支持的应用程序的更多信息,请参阅 Workspace ONE UEM console 中锁定任务模式配置文件中的链接,以访问 Google 开发者站点了解具体内容。

配置锁定任务模式设置:

设置 说明
白名单应用 选择所需的应用以将设备锁定为锁定任务模式。
“主页”按钮 启用后可在屏幕上显示“主页”按钮,以便用户访问。
“最近使用的应用”按钮 启用后可显示最近所使用应用的概览。
全局操作 启用后可让用户长按电源按钮以查看全局操作(如电源按钮)或设备上使用的其他常见操作。
应用通知 启用后可在状态栏上显示通知图标。
状态栏中的系统信息 启用后可显示设备信息栏,并显示电池续航时间、连接和存储空间等信息。
锁定屏幕 启用锁定屏幕。

锁定任务模式最佳做法

出于一种目的使用锁定任务模式策略时,考虑应用这些策略和限制,可以获得最佳体验和维护。在最终用户不与设备关联的情况下,如果您要为 kiosk 和数字标牌用例中的设备部署锁定任务模式配置文件,可采纳这些建议。

创建“限制”配置文件并在文件中配置以下选项:

  • 禁用设备功能下面的以下选项:

    • 允许状态栏 - 当设备锁定为锁定任务模式时,此操作可以确保身临其境的体验。
    • 允许键盘锁 - 此操作可以确保设备不被锁定。
  • 启用设备功能下面的以下选项:

    • 使用 AC 充电器时,强制开启屏幕
    • 使用 USB 充电时,强制开启屏幕
    • 使用无线充电器时,强制开启屏幕 这些选项可确保设备屏幕始终处于开启状态以进行交互。

部署系统更新策略配置文件,以保证设备在几乎不需要人工干预的情况下也能够收到最新修补程序。

Android 设备的日期/时间

配置日期/时间同步设置,以确保设备在不同地区之间始终具有正确的时间。

配置日期/时间设置,包括:

设置 说明
日期/时间 设置设备从哪个数据源获取日期和时间设置。选择自动HTTP URLSNTP 服务器
自动:基于本机设备设置来设置日期和时间。
HTTP URL:基于 URL 设置时间。此 URL 可以是任何 URL。例如,可以使用 www.google.com 作为 URL。
SNTP 服务器:输入服务器地址。例如,可以输入 time.nist.gov。
对于 HTTP URL 和 SNTP 服务器,配置其他设置:启用定期同步 – 启用后可将设备设置为在多天内定期同步日期/时间。 设置时区 – 从可用选项指定时区。
允许用户更改日期/时间 启用后允许用户从设备手动更改日期/时间。

Samsung 设备的日期/时间

配置日期/时间同步设置,以确保设备在不同地区之间始终具有正确的时间。

在启用 OEM 设置,并且在“常规”配置文件设置中将选择 OEM 字段设置为 Samsung 后,此配置文件可用。

注意:仅在 OEM 设置字段切换到已启用时,才会显示日期/时间配置文件

配置 Samsung 的日期/时间设置,包括:

设置 说明
日期格式 更改月、日和年的显示顺序。
时间格式 选择 12 或 24 小时格式。
日期/时间 设置设备从哪个数据源获取日期和时间设置:
自动:基于本机设备设置来设置日期和时间。
服务器时间:基于创建配置文件时 Workspace ONE UEM console 的服务器时间来设置时间。 请注意,这可能会导致设备时间因推送配置文件延迟而延迟。 将显示其他字段设置时区,可用于选择时区。
HTTP URL:基于 URL 设置时间。此 URL 可以是任何 URL。例如,可以使用 www.google.com 作为 URL。
SNTP 服务器:输入服务器。
对于 HTTP URL 和 SNTP 服务器,配置其他设置:启用定期同步 – 启用后可将设备设置为在多天内定期同步日期/时间。 设置时区 – 从可用选项指定时区。

Workspace ONE Launcher

Workspace ONE Launcher 是一款应用程序启动程序,让您能够针对个别用例锁定 Android 设备,并自定义受管 Android 设备的外观和行为。Workspace ONE Launcher 应用程序将设备界面替换为满足业务需求的自定义界面。

您可以将 Android 6.0 Marshmallow 和更高版本设备配置为企业所有一次使用 (COSU) 模式。在 COSU 模式下,可以通过将支持的内部和公共应用程序加入白名单,将设备配置用于一次性用途,例如自助终端模式。单应用模式、多应用模式以及模板模式下均支持 COSU 模式。有关在 COSU 模式下部署 Workspace ONE Launcher 配置文件的更多信息,请参阅 Workspace ONE Launcher 出版物。

有关配置 Workspace ONE Launcher 的更全面的指南,请参阅 Workspace ONE Launcher 出版物

防火墙

防火墙负载允许管理员为 Android 设备配置防火墙规则。每种防火墙规则类型都允许您添加多个规则。

在启用 OEM 设置,并且在“常规”配置文件设置中将选择 OEM 字段设置为 Samsung 后,此配置文件可用。

**注意:**防火墙负载仅适用于 SAFE 2.0+ 设备。

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android

    仅当启用了 OEM 设置字段且从选择 OEM 字段中选择了“Samsung”时,防火墙配置文件才会面向 Android 配置文件显示。“常规”配置文件中的 OEM 设置字段仅适用于 Android 的配置文件,不适用于 Android(旧版)配置。

  2. 选择设备以部署配置文件。

  3. 配置常规配置文件设置。

    “常规”设置决定配置文件的部署方式和接收对象。

  4. 选择防火墙配置文件。

  5. 选择所需规则下方的添加按钮,以配置设置:

    设置 说明
    允许规则 允许设备从特定网络位置发送和接收流量。
    拒绝规则 阻止设备从特定网络位置发送和接收流量。
    重新路由规则 将来自特定网络位置的流量重定向到备用网络。如果允许的网站重定向到其他 URL,请将所有已重定向的 URL 添加到“允许规则”部分,以便能访问该网站。
    重定向例外规则 避免将流量重定向。
  6. 选择保存并发布

APN

配置 Android 设备的接入点名称 (APN) 设置,以统一设备群运营商设置和纠正错误的配置。

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android

  2. 选择设备,将您的配置文件部署到设备。

  3. 为配置文件配置常规设置。仅在 OEM 设置字段切换为已启用且从选择 OEM 字段中选择了“Samsung”时,才会显示 APN 配置文件。

    “常规”配置文件设置决定配置文件的部署方式和接收对象。

  4. 选择 APN 负载。

  5. 配置 APN 设置,包括:

    设置 说明
    显示名称 提供用户友好的接入名称。
    访问点名称 (APN) 输入运营商提供的 APN(例如:come.moto.cellular)。
    接入点类型 指定哪些类型的数据通信应使用此 APN 配置。
    移动国家代码 (MCC) 输入 3 位数的国家代码。此值用于检查设备漫游时所属的运营商是否不同于在此处输入的运营商。它与移动网络代码 (MNC) 组合使用,能独一无二地标识使用 GSM(包括 GSM-R)、UMTS 和 LTE 移动网络的移动网络运营商。
    移动网络代码 (MNC) 输入 3 位数的网络代码。此值用于检查设备漫游时所属的运营商是否不同于在此处输入的运营商。它与移动国家代码 (MCC) 组合使用,能独一无二地标识使用 GSM(包括 GSM-R)、UMTS 和 LTE 移动网络的移动网络运营商。
    MMS 服务器 (MMSC) 指定服务器地址。
    MMS 代理服务器 输入 MMS 端口号。
    MMS 代理服务器端口 输入代理服务器的目标端口。
    服务器 输入用于连接的名称或地址。
    代理服务器 输入代理服务器详细信息。
    代理服务器端口 输入所有流量的代理服务器端口。
    Access Point 用户名 指定连接到接入点的用户名。
    接入点密码 指定用于验证接入点的密码。
    身份验证类型 选择身份验证协议。
    设为首选 APN 启用后可确保所有最终用户设备都具有相同的 APN 设置,并可防止通过设备或运营商进行任何更改。
  6. 选择保存并发布

企业出厂重置保护

出厂重置保护 (FRP) 是一种 Android 安全方法,可防止在未授权的出厂数据重置后使用设备。

启用后,在出厂重置后无法使用受保护的设备,直至您使用之前设置的相同 Google 帐户登录。

如果用户启用了 FRP,设备返还给组织后(例如,用户离开了公司),由于此设备功能,您可能无法再次设置该设备。

企业出厂重置保护配置文件使用 Google 用户 ID,通过该 ID,您可以在出厂重置后覆盖 Google 帐户,以将设备分配给其他用户。要获取此 Google 用户 ID,请访问 People:get。

为 Android 设备的出厂重置保护配置文件生成 Google 用户 ID

通过此 Google 用户 ID,您无需原始 Google 帐户即可重置设备。使用 People:get API 获取 Google 用户 ID 以配置配置文件。开始之前,您必须从 People:get 网站获取您的 Google 用户 ID。

  1. 导航到 People:get

  2. 尝试此 API 窗口中,配置以下设置。

    设置 说明
    resourceName 输入 people/me
    personFields 输入 metadata,emailAddresses
    requestMask.includefield 将此字段留空。
    凭证 同时启用 Google OAuth 2.0API 密钥字段。
  3. 选择执行

  4. 如果出现提示,请登录您的 Google 帐户。这是在启用 FRP 时用于解锁设备的帐户。

  5. 选择允许以授予权限。

  6. id 字段的 application/json 选项卡中查找 21 位数字。

  7. 返回 Workspace ONE UEM console,然后配置企业出厂重置保护配置文件。

为 Android 配置企业出厂重置保护配置文件

在企业出厂重置保护配置文件中输入 Google 用户 ID。

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android

  2. 如果合适,配置常规配置文件设置。

  3. 选择企业出厂重置保护负载。

  4. 配置以下设置来设置您应用程序部署的控制级别:

    设置 说明
    Google 用户 ID 输入从 Google People:get 获取的 Google 用户 ID。
  5. 选择保存并发布

Zebra MX

通过 Zebra MX 配置文件,您可以在 Android 设备上使用 Zebra MX 服务应用程序提供的其他功能。Zebra MX Service 应用可以从 Google Play 推送,也可以结合此配置文件从 Workspace ONE UEM console 中作为内部应用分发的 My Workspace ONE 进行推送。

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android

  2. 如果合适,配置常规配置文件设置。启用 OEM 设置字段,然后从选择 OEM 字段选择 Zebra 以启用 Zebra MX 配置文件。

  3. 配置 Zebra MX 配置文件设置:

    设置 说明
    包括 Fusion 设置 启用后可扩展 Fusion 选项,以应用到适用于 Motorola 设备的 Fusion 适配器。
    设置 Fusion 802.11d 启用后可使用 Fusion 802.11d 来配置 Fusion 802.11d 设置。
    启用 802.11d 启用后可将 802.11d 无线规范用于其他管理域中的操作。
    设置国家/地区代码 启用后可设置在 802.11d 规范中使用的国家/地区代码。
    设置 RF 频段 启用后可选择 2.4 GHz 和/或 5 Ghz 频段,以及任何适用的通道掩码。
    允许飞行模式 启用此选项以允许访问飞行模式设置屏幕。
    允许模拟位置 启用或禁用模拟位置(在设置 > 开发者选项中)。
    允许后台数据 启用或禁用后台数据。
    睡眠期间保持 Wi-Fi 开启 永远开启 - 当设备进入睡眠状态时,Wi-Fi 保持连接。仅当接通电源时 - 只有当设备正在充电时,Wi-Fi 才在设备进入睡眠状态时保持连接。从不开启 - 当设备进入睡眠状态时,Wi-Fi 断开连接。
    漫游时使用数据流量 启用此选项以允许在漫游时使用数据连接。
    强制 Wi-Fi 开启 启用此选项以强制开启 Wi-fi 网络,使用户无法将其关闭。
    允许蓝牙 启用此选项以允许使用蓝牙。
    允许剪贴板 启用此选项以允许复制/粘贴。
    允许网络监控通知 启用此选项以允许网络监控报警通知,通常在安装证书后显示。
    启用日期/时间设置 启用此选项以设置日期/时间设置
    日期格式:确定年、月和日的显示顺序。
    时间格式:选择 12 或 24 小时。
    日期/时间:设置设备从哪个数据源获取日期和时间设置:
    自动根据本机设备设置来设置日期和时间。
    服务器时间 – 根据 Workspace ONE UEM console 的服务器时间来设置时间。
    设置时区 – 指定时区。
    HTTP URL – Workspace ONE UEM Intelligent Hub 会访问 URL 并从 HTTP 标头中获取时间戳。然后,将该时间应用到设备。它不会处理重定向的站点
    URL – 输入日期/时间表的网址。必须包含 http://。示例:http://www.google.com / 不支持 HTTPS。
    启用定期同步 – 启用后可将设备设置为在多天内定期检查日期/时间。
    设置时区 – 指定时区。
    SNTP 服务器:- NTP 设置会直接应用于设备。
    URL –输入 NTP/SNTP 服务器的网址。例如,可以输入 time.nist.gov。
    启用定期同步 – 启用后可将设备设置为在多天内定期检查日期/时间。
    启用声音设置 “启用声音设置”可在设备上配置音频设置。 - 音乐、视频、游戏及其他媒体:将滑块设置为您要在设备上锁定的音量大小。
    铃声和通知:将滑块设置为您要在设备上锁定的音量。
    语音通话:将滑块设置为您要在设备上锁定的音量。
    启用默认通知:允许设备上的默认通知发出声音。
    启用拨号盘按键音:允许设备上的拨号盘按键发出声音。
    启用按键音:允许设备上的按键发出声音。
    启用屏幕锁定声音:允许设备在被锁定时播放声音。
    启用“触摸时振动”**:允许激活振动设置。-
    启用显示设置 启用此选项以设置显示设置。 - 显示屏亮度:将滑块设置为您要在设备上锁定的亮度水平。
    启用自动旋转屏幕:将滑块设置为您要在设备上锁定的亮度水平。
    设置睡眠状态:选择在屏幕设置为睡眠模式之前经过的时间长度。
  4. 选择保存并发布

自定义设置

在发布 Workspace ONE UEM console 当前无法通过其本机负载支持的新 Android 功能时,可以使用自定义设置负载。使用自定义设置负载和 XML 代码手动启用或禁用某些设置。

请确保您的配置文件类型使用的是正确的特性类型:

  • 对于 Android 配置文件,请使用特性类型 =“com.airwatch.android.androidwork.launcher”。
  • 对于 Android(旧版)配置文件,请使用特性类型 =“com.airwatch.android.kiosk.settings”。

  • 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android

  • 为配置文件配置常规设置。

  • 配置适用的负载 (如“限制”或“密码”) 。

    在准备“保存并发布”之前,您可以对某一“测试”组织组下保存的配置文件副本进行设置,以免影响其他用户。

  • 保存,但不发布配置文件。

  • 为您要自定义的配置文件所在的行选择配置文件列表视图中的单选按钮。

  • 选择顶部的 XML 按钮,查看配置文件 XML。

  • 找到您之前配置的以 ... 开头的文本部分,例如“限制”或“密码”。该部分包含标识其用途 (例如“限制”) 的配置类型。

  • 复制此文本部分,然后关闭 XML 视图。打开您的配置文件。

  • 选择自定义设置负载并单击配置。将您复制的 XML 粘贴到文本框内。粘贴的 XML 代码应包含从 的完整代码块。

    • 此 XML 应包含为每个自定义 XML 列出的完整代码块。
    • 管理员应根据需要配置从 的每个设置。
    • 如果需要证书,请在配置文件中配置证书负载,并在“自定义设置”负载中引用 PayloadUUID。
  • 选择基本负载部分,然后选择减号 [-] 按钮,来删除您配置的原始负载。您现在可以通过添加自定义 XML 代码来增强配置文件,从而增加新功能。

    凡未升级到最新版本的设备均会忽略您所创建的增强功能。既然现在使用了自定义代码,仍应在使用旧版的设备上测试该配置文件以验证预期行为。

  • 选择保存并发布

适用于 Android 设备的自定义 XML

在 Android 11 中,使用第三方自定义属性的客户需要使用自定义设置配置文件指定用于存储自定义属性文件的备用位置。客户应用还需要将此相同文件夹位置作为目标,这可能需要对其应用进行更改。

自定义 XML 示例(根据客户首选项,值可能会有所不同):

<characteristic type="com.android.agent.miscellaneousSettingsGroup" uuid="2c787565-1c4a-4eaa-8cd4-3bca39b8e98b"><parm name="attributes_file_path" value="/storage/emulated/0/Documents/Attributes" /></characteristic>

适用于 Android 的特定配置文件功能

这些功能矩阵有代表性地概述了 OS 特定的关键功能,其中重点介绍了适用于 Android 设备管理的最重要功能。

功能 工作配置文件 工作受管设备
应用程序控制
禁用对黑名单应用的访问
禁止卸载必要应用程序
启用系统更新策略  
运行时权限管理
Browser (浏览器)
允许 Cookie
允许图像
启用 JavaScript
允许弹出窗口
允许跟踪位置
配置代理设置
强制使用 Google SafeSearch
强制使用 YouTube 安全模式
启用触碰式搜索
启用默认搜索提供商
启用密码管理器
启用备用错误页面
启用自动填充
启用打印
启用数据压缩代理功能
启用安全浏览
禁用保存浏览器历史记录
出现安全浏览警告后禁止继续进行
禁用 SPDY 协议
启用网络预测
在有限时间内启用已被弃用的 Web 平台功能
强制安全搜索
隐身模式可用性
允许登录 Chromium
启用搜索建议
启用翻译功能
允许使用书签
允许访问某些 URL
阻止访问某些 URL
设置最低 SSL 版本
密码策略
允许用户设置新密码
密码失败尝试次数上限
允许简单密码
允许字母数字密码
设置设备锁定超时 (分钟)
设置最长密码使用期限
密码历史记录长度
密码历史记录长度
设置密码长度下限
设置数字位数下限
设置小写字母数下限
设置大写字母数下限
设置大写字母数下限
设置特殊字符数下限
设置符号数下限
命令
允许企业擦除
允许设备擦除  
允许容器或配置文件擦除  
允许 SD 卡擦除  
锁定设备
允许锁定容器或配置文件    
电子邮件
本机电子邮件配置
允许联系人和日历同步
网络
配置 VPN 类型
启用每应用 VPN(仅适用于特定的 VPN 客户端)
使用 Web 登录进行身份验证(仅适用于特定的 VPN 客户端)
设置 HTTP 全局代理
允许 Wi-Fi 数据连接
始终使用 VPN
加密
要求设备完全加密
报告加密状态    
check-circle-line exclamation-circle-line close-line
Scroll to top icon