Workspace ONE Boxer 部署

使用 Workspace ONE UEM console 部署 Workspace ONE Boxer。

配置 Workspace ONE Boxer 应用程序包括以下两个步骤：首先将其添加为公共应用程序，然后将其与已设置的电子邮件配置一起分配给最终用户。

基于智能组的分配

创建一个或多个基于智能组的分配，并部署特定于组织中一组用户的不同 Workspace ONE Boxer 电子邮件设置。分配组代表分配了相同电子邮件配置的一个或多个智能组。

将 Workspace ONE Boxer 部署到 iOS 和 Android 设备将分为两部分进行。您必须执行这两个程序。

将 Workspace ONE Boxer 添加为公共应用程序。
将 Workspace ONE Boxer 分配给智能组。

有关部署公共应用程序的详细说明，请参阅 Workspace ONE UEM 联机帮助主题公共应用程序概述。

注意：如果您在 PowerShell 部署中将 Workspace ONE Boxer 部署为公共应用，则必须在 Exchange 上配置设备访问规则，以允许 Workspace ONE Boxer 用户访问电子邮件。有关配置设备访问规则的详细信息，请参阅《移动电子邮件管理 (MEM) 指南》的“Workspace ONE Boxer 灵活部署解决办法”一节。

将 Workspace ONE Boxer 添加到“公共应用程序”

将 Workspace ONE Boxer 作为公共应用添加到 UEM console。

通过应用商店添加应用程序可使 Workspace ONE UEM 使用控制台中的设置来管理应用程序。

导航到资源 > 应用 > 本机 > 列表视图 > 公共。
选择添加应用程序。

配置显示的文本框，并选择下一步。

选项	说明
管理者	查看应用上传时所在的组织组。
平台	选择合适的平台。目前仅支持 iOS 和 Android 设备。
来源	选择此设置以在 App Store 或 Play Store 中搜索应用。
名称	输入“Workspace ONE Boxer”。

在搜索结果屏幕中找到并选择 Workspace ONE Boxer 应用。
审阅详细信息选项卡中自动填充的信息。
分配使用条款，这将在用户首次从应用目录访问应用时显示。
选择保存并分配。

现在，您可以添加分配，也可以先返回，稍后再添加分配。

现在添加分配 - 选择添加分配，然后按照分配 Workspace ONE Boxer 及电子邮件设置中所述的步骤进行操作。
稍后添加分配 - 选择查看设备分配。控制台会提示您确认不分配应用。Workspace ONE Boxer 将在列表视图中显示，您可以稍后进行编辑，以将其分配给设备，如分配 Workspace ONE Boxer 及电子邮件设置中所述。

使用“应用分配”页面分配和配置 Workspace ONE Boxer

使用“分配”页面中提供的应用策略和应用程序配置（自定义 KVP）配置 Workspace ONE Boxer。

将 Boxer 作为公共应用程序或内部应用程序上载到 Workspace ONE UEM console。

注意：对于控制台 2004 或更高版本，现在可以使用“电子邮件设置”和“应用策略分配”页面中提供的设置配置之前手动添加的大部分应用程序配置值。您可以按照以下步骤使用 Workspace ONE UEM console 版本 2004 或更高版本来分配 Boxer 版本 5.17 或更高版本。如果使用低于 2004 的控制台版本分配较旧版本的 Boxer，请参阅 Workspace ONE Boxer 的应用程序配置。

Workspace ONE UEM Console 上的 Workspace ONE Boxer 分配页面的屏幕截图。“分配”页面包含多个选项卡，如“发布”、“限制”、“Tunnel”和“其他属性”、“应用程序配置”、“电子邮件设置”和“应用策略”。这些选项卡具有配置 Workspace ONE Boxer 所需的各种设置。屏幕截图显示电子邮件设置选项卡的配置。

导航到资源 > 应用 > 本机 > 列表视图 > 公共。
在 Boxer 的安装状态列下，选择分配。或者，也可以选择编辑图标，然后选择保存并分配。

在“分配”窗口中选择添加分配。

a. 在“分发”选项卡中，输入以下信息：

设置	说明
名称	输入分配的名称。
说明	输入分配的说明。
分配组	输入智能组以接收 Workspace ONE Boxer 灵活部署分配。输入智能组名称时，将显示一些选项，您可以从列表中选择相应的智能组。如有必要，可以添加更多分配组。
应用交付方法	按需 - 将 Boxer 部署到部署代理。设备用户可以决定是否安装应用程序以及何时安装。自动 - 注册后，将 Boxer 部署到设备上的部署中心。设备注册后，系统将提示用户在其设备上安装 Boxer。

b. 在限制选项卡中，输入以下信息：

设置	说明
EMM 受管访问	启用自适应管理，可设置 Workspace ONE UEM 来管理设备，以便设备访问应用程序。启用此设置后，只有在 EMM 中注册的设备可以安装应用并接收应用策略。
取消注册时移除	启用后，当设备使用 Workspace ONE UEM 取消注册时，它会从设备中移除应用程序。默认情况下，Workspace ONE UEM 会启用此设置。如果启用此设置，则受监督设备将无法以静默模式安装应用。这是因为设备已锁定，并且置备配置文件安装位于命令队列中，要求解锁设备才能完成安装。如果停用此设置，将不会随安装的应用程序推送置备配置文件。即，如果更新预置配置文件，新的预置配置文件不会自动部署到设备。在这种情况下，需要包含新预置配置文件的应用程序新版本。
禁止移除	启用后，不允许用户卸载应用。这适用于 iOS 14 及更高版本。
禁止应用程序备份	启用此设置可防止将应用程序数据备份到 iCloud。
如果用户已安装应用，则将之纳入 MDM 管理	将以前由用户在其设备上安装的应用程序纳入管理，无论应用程序是否受监督都如此。启用此功能，以便用户无需删除设备上安装的应用程序版本。Workspace ONE UEM 管理应用程序，而不必在设备上安装 Workspace ONE Hub 版本。如果控制台的隐私设置设为阻止收集个人应用程序数据，则此设置无效。

c. 在隧道和其他属性选项卡中，输入以下信息：

设置	说明
应用级 VPN 配置文件	选择每应用 VPN 配置文件以在应用程序级别配置 VPN。
其他属性	应用属性可提供特定于设备的详细信息供 Boxer 使用。
上载 XML	可以上载一个 XML 文件，其中包含应用程序允许用于应用配置的键值对。

d. 在应用程序配置选项卡中，输入以下信息：

设置	说明
发送配置	启用后，它将使用应用开发人员提供的设置来配置 Boxer。
上载 XML	可以上载 XML 文件，其中包含 Boxer 支持的键值对。
添加	您也可以手动添加配置键、值类型和查找值。

e. 在电子邮件设置中，输入以下信息：

注意：要设置多个受管帐户 (MMA)，必须在 SDK 设置中配置单点登录 (SSO)。

设置	说明
帐户名称	输入 Exchange 帐户名称。注意：如果最终用户在 Workspace ONE Boxer 应用程序中更改了此设置，则管理员以后无法修改此设置。
Exchange ActiveSync 主机	输入 EAS 服务器 URL。对于 SEG 部署，输入 SEG URL。
EWS URL	输入 EWS 端点或 SEG 端点的地址
电子邮件管理	如果要将移动电子邮件管理与 Boxer 配置相关联，您必须输入至少一个 MEM 配置。
域、用户、用户显示名称和电子邮件地址	输入域名、用户名、用户显示名称和电子邮件地址。默认情况下，登录信息包括目录服务中定义为查找值的 {EmailDomain}、{EmailUserName}、{FirstName}{LastName} 和 {EmailAddress}。要替代这些值，请使用自定义查找值。注意：如果最终用户在 Workspace ONE Boxer 应用程序中更改了用户显示名称，则管理员以后无法修改此设置。
密码	输入密码。注意：密码字段仅支持查找值，而不是实际的密码值。
电子邮件签名	输入电子邮件签名。注意：如果最终用户在 Workspace ONE Boxer 应用程序中更改了此设置，则管理员以后无法修改此设置。
身份验证
现代身份验证	现代身份验证是适用于 Office 365 的基于 OAuth 的令牌身份验证方法。启用后，您将重定向到登录页面进行身份验证。
身份验证类型	选择以下一种身份验证类型，以便最终用户可以使用用于登录 Workspace ONE 的凭据向 Exchange Server 进行身份验证。基本 – 使用用户名和密码进行身份验证。证书 – 使用证书进行身份验证。选择所需的“证书颁发机构”和“证书模板”。两者 - 使用证书向网络设备进行身份验证，使用密码向 Exchange 进行身份验证，两者结合进行身份验证。使用现代身份验证进行基于证书的身份验证（使用现代身份验证进行 CBA）- Workspace ONE Boxer 支持使用现代身份验证进行基于证书的身份验证。Boxer 支持 SCEP。要查看受支持的证书，请参阅“支持的证书颁发机构”部分。假设您已在不启用 SSO 密码的情况下将证书设置为身份验证类型，并且用户先删除再重新安装 Boxer 应用程序。在重新安装时，用户会自动进行身份验证，因为您已将身份验证类型配置为 CBA。此类方案可为对设备具有物理访问权限的入侵者创造攻击途径。如果未添加身份验证质询，则入侵者可以通过先删除再重新安装 Boxer 应用程序来获取电子邮件资源的访问权限。为避开此类入侵者，Boxer 必须先使用 Workspace ONE 凭据对用户进行身份验证，然后才允许他们访问电子邮件。需要 Workspace ONE 凭证的替代解决方案是启用 SSO 工作流，以限制入侵者重置独立密码。指定身份验证重试次数 - 指定失败时的身份验证重试次数。
同步	允许的最长电子邮件同步周期和允许的最长电子邮件同步周期设置允许管理员配置最终用户可以选择同步其电子邮件和日历事件多久（频率）。默认电子邮件同步周期和默认日历同步周期设置允许管理员配置在最终用户设备上部署 Workspace ONE Boxer 时的默认同步周期。注意：无论同步周期如何，一次可以在收件箱中显示的最大电子邮件数为 1500。附件大小上限限制最终用户可附加到出站电子邮件的文件大小。注意：如果最终用户在 Workspace ONE Boxer 应用程序中更改了此设置，则管理员以后无法修改此设置。
通知	配置电子邮件通知服务 (ENS) 及其行为，以提供实时通知。注意：如果最终用户在 Workspace ONE Boxer 应用程序中更改了此设置，则管理员以后无法修改此设置。
垃圾邮件和网络钓鱼报告	配置要对识别为垃圾邮件或网络钓鱼攻击的电子邮件执行的操作。
S/MIME	配置 S/MIME 状态。
电子邮件分类	激活或停用电子邮件分类选项。 AIP 敏感度标签 - 如果激活，用户可以与 AIP 标签进行交互。电子邮件分类 - 激活或停用分类标记。
自定义帐户配置	添加键值对以应用任何帐户级别的配置

f. 在“应用策略”中，输入以下信息：

设置	说明
应用密码	您可以在 SDK 密码设置中设置密码。有关配置 SDK 密码的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。选择用于用户身份验证的密码类型。数字 - 为用户显示数字键盘。字母数字 - 为用户显示字母数字键盘。无 - Boxer 将应用 Exchange 密码策略（如果存在）。
数据丢失防护
复制粘贴	如果受限：最终用户无法将内容从 Workspace ONE Boxer 复制并粘贴到其他应用程序。如果启用了个人帐户，则最终用户可以在个人帐户和工作帐户之间进行复制和粘贴。因此，请考虑停用个人帐户，以彻底限制复制和粘贴功能。在选择文本时，应用程序中的共享和定义选项将不可用。注意：在适用于 iOS 的 Workspace ONE Boxer 中，只能通过 Workspace ONE SDK 设置应用“复制粘贴”设置。有关此数据丢失防护 (DLP) SDK 设置的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。
本地日历	设置为 true，以在 Workspace ONE Boxer 中启用本地日历。
个人联系人	如果该选项受限，则最终用户只能从应用中的电子邮件帐户访问联系人。如果不受限，最终用户可从设备上的其他应用访问联系人。
[iOS] 允许打印	激活或停用打印电子邮件和附件。
[iOS] 允许自定义键盘	激活或停用第三方键盘。
[iOS] 限制不安全的 HTTP 连接	禁止从不安全 (HTTP) 连接加载内容。
共享	这些设置决定了用户是否可以在其他应用程序中打开电子邮件或其附件。根据您的要求，您可以使用“允许列表”选项指定允许的应用程序，也可以在任何应用程序中允许共享。注：在 Workspace ONE UEM Console 中，也可以使用类似的允许列表选项作为 SDK 管理员设置。如果在 iOS 和 SDK 管理员设置的 Workspace ONE Boxer 中都选择了该选项，并且在两个列表中输入了应用程序，则这些列表将合并在一起。有关允许列表功能的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。
控制打开方式	激活或停用“打开”或“共享”将其他应用中的文件附加到 Workspace ONE Boxer。
控制来自外部提供商的附件	使用 Workspace ONE Boxer 激活或停用来自外部提供程序（例如：iCloud、Dropbox、Google 云端硬盘）的附件。
水印文本	定义水印文本。
水印不透明度	定义文本的不透明度。您可以设置从 0 到 100 的任意数字。
水印颜色	以十六进制格式定义水印文本的颜色。默认颜色为蓝色。
个人帐户	如果受限，最终用户无法再向应用添加任何其他帐户。如果最终用户的设备上已安装 Workspace ONE Boxer，并配置了个人帐户，则系统将提示他们是立即还是稍后移除现有个人帐户。最终用户在移除所有个人帐户之前无法通过 Workspace ONE Boxer 接收工作电子邮件。
内部域列表	定义内部域或允许的域。
外部收件人警告	当用户输入来自外部域的收件人时启用警告。如果配置了域且已启用“外部收件人警告”，则用户无法使用“发送前确认”设置。当显示警告时，用户可以接受并返回到“撰写邮件”菜单，也可以忽略并继续向外部收件人发送电子邮件。
Browser (浏览器)	超链接受限时，所有超链接都只能在 Workspace ONE Web 中打开。
浏览器例外	如果超链接在 Console 中受限制，您可以为域或站点添加例外列表，以便始终在默认浏览器中打开超链接。
可用性
跳过应用内教程	启用此选项可跳过在应用程序首次启动时显示的应用内教程。
来电显示	启用此设置，以便为所有 Workspace ONE Boxer 联系人提供来电显示功能。通过启用此功能，Workspace ONE Boxer 只会将姓名和电话号码导出到本机联系人应用。
默认来电显示	默认情况下，允许导出联系人、姓名和电话号码。此选项要求将“来电显示”选项设置为“无限制”。
启用头像	激活或停用头像。
存档操作	允许或阻止对电子邮件进行存档的功能。
对话分组	使对话视图按对话对电子邮件进行分组。
企业内容	在 Boxer 中配置企业内容。
显示 CallKit 选项	需要用户交互才能启用 CallKit 来电显示的 iOS 设置。
左短滑默认设置、左长滑默认设置、右短滑默认设置和右长滑默认设置	定义默认滑动操作。用户可以使用 Workspace ONE Boxer 应用中提供的选项来自定义滑动操作。
支持
允许日志记录	允许用户发送日志。
支持电子邮件地址	输入通过支持菜单发送日志时要指定的地址。
允许崩溃报告	默认情况下，允许 Boxer 以匿名方式报告崩溃。
高级
转发/添加附件	允许用户添加或转发附件。
附件下载	激活或停用附件下载和转发。
附加照片	激活或停用从图片库和相机中附加图片和媒体文件。
纯文本模式	激活或停用 Boxer 的纯文本模式。如果激活，则在同步时，Boxer 只会从 HTML 邮件检索纯文本。无论电子邮件为哪种格式，Workspace ONE Boxer 都仅发送纯文本。撰写视图中的格式设置控件已停用，并且只能从富文本或 HTML 内容复制和粘贴文本。
使用 Mime 重新提取空链接	对于包含指向非服务器域的非标准 URL 方案的电子邮件（使用 HTML 获取），Exchange 会将 URL 替换为两个空格。激活或停用此选项，以便允许或禁止 Boxer 检测此问题并使用 MIME 重新下载受影响的正文，该过程不会受 URL 替换错误的影响。
禁用密钥托管（忘记密码）	停用服务器上的托管密钥。如果停用此功能，则忘记密码功能也会被停用。
匿名衡量指标	激活此选项以允许收集匿名使用情况数据，以改善用户的 Workspace ONE Boxer 体验。激活后，当启动 Workspace ONE Boxer 时，系统将向用户显示数据共享声明。设备用户可导航至设置 > 隐私 > 数据共享来激活或停用数据共享。
QuickJoin 自定义 URL	这将激活在日历邀请中找到的快速加入按钮。
应用程序更新源	选择要下载 Boxer 的源。
仅 Swift SDK 密钥封装模式	启用此选项以充分利用密钥封装安全功能。
FastSync 到期	设置 Workspace ONE Boxer 不再接收 FastSync 密钥时的到期时间 (以小时为单位)。启用和配置电子邮件通知服务时，将应用 FastSync 设置。
启用 FastSync	FastSync 可改进后台同步和后续同步的速度。启用和配置电子邮件通知服务时，将应用 FastSync 设置。

选择创建。

灵活的部署分配与 Workspace ONE Boxer

通过灵活部署实现的分配可将电子邮件设置映射到智能组。

一个分配可包含属于某个组织组的单个或多个智能组。将采用相同电子邮件设置的分配归为一组。您可以选择现有的智能组，也可以按自己的要求从“已分配的智能组”字段创建新的智能组。

如果您有多个已分配给不同分配组的电子邮件设置，则最新创建的设置将获得高优先级。如果设备处于配置了不同电子邮件设置的多个分配组中，则该设备将从优先级最高的分配组接收电子邮件设置。

分配 Workspace ONE Boxer 及电子邮件设置

使用称为灵活部署的分配功能将 Workspace ONE Boxer 分配给设备。在分配过程中配置安全性和电子邮件管理功能，以满足组织的需求。

重要提示： 如果将密码设置为无，则不会加密 Workspace ONE Boxer 应用。如果您不强制执行应用级密码，则应考虑使用加密 iOS 设备的设备配置文件强制执行设备级密码。

所有附件安全性、数据丢失防护 (DLP) 和加密都在 Workspace ONE Boxer 应用本身内部进行处理。
如果最终用户删除了其本地通讯录，则启用 DLP > 来电显示设置会导致错误。有关详细信息，请参阅“设备管理”主题中的第三方通讯录解决办法 - iOS。
有关可选应用程序配置的信息，请参阅 [Workspace ONE Boxer 的应用程序配置] (ApplicationConfigurations.md)。
使用以下任一路径进行导航。
- 在“分配”窗口中选择添加分配。
  
  此导航反映在将应用添加到控制台的公共选项卡后，立即添加分配。
- 转到资源 > 应用 > 本机 > 列表视图 > 公共，然后选择 Boxer 应用程序的安装状态列下的分配链接。
  
  此导航反映在将应用添加到控制台的公共选项卡后，稍后添加任务。

完成电子邮件设置页面上的设置。

设置	说明
已分配的智能组	输入智能组以接收 Workspace ONE Boxer 灵活部署分配。
是仅限静默安装的应用 (Android)	启用此设置，以将应用分配给仅支持静默安装或静默卸载功能的设备。
帐户名称	输入邮件帐户的描述。
Exchange ActiveSync 主机	输入您的 EAS 服务器 URL。对于 SEG 部署，则改为输入 SEG URL。
域名、用户、电子邮件地址	输入登录信息，包括域名、用户名和电子邮件地址。默认情况下，登录信息包括目录服务中定义为查找值的 {EmailDomain}、{EmailUserName} 和 {EmailAddress}。如果您需要覆盖这些值，则可以使用自定义查询值。
密码（仅限 Android）	输入电子邮件帐户的密码，或输入用于从用户帐户中拉取密码的查询值。
电子邮件签名	指定要在通过 Workspace ONE Boxer 发送的电子邮件中使用的电子邮件签名。
身份验证类型	为最终用户选择以下一种身份验证类型，以使用 Exchange 进行身份验证：基本 – 使用用户名和密码进行身份验证。证书 – 使用证书进行身份验证。选择所需的“证书颁发机构”和“证书模板”。全选 – 使用证书对网络设备进行身份验证，使用密码对 Exchange 进行身份验证，两者结合进行身份验证。现代身份验证 - 适用于 Office 365 的基于 OAuth 的令牌身份验证方法。要进行设置，请参阅“现代身份验证”部分。基于证书的身份验证与现代身份验证（CBA 与现代身份验证）- Workspace ONE Boxer 支持基于证书的身份验证与现代身份验证。Boxer 支持 SCEP。要查看受支持的证书，请参阅《内部部署证书颁发机构管理指南》中的“受支持的证书颁发机构”一节。
同步	允许的最长电子邮件同步周期和允许的最长电子邮件同步周期设置允许管理员配置最终用户可以选择同步其电子邮件和日历事件多久（频率）。默认电子邮件同步周期和默认日历同步周期设置允许管理员配置在最终用户设备上部署 Workspace ONE Boxer 时的默认同步周期。注意：无论同步周期如何，一次可以在收件箱中显示的最大电子邮件数为 1500。附件大小上限限制最终用户可附加到出站电子邮件的文件大小。
数据丢失防护	通过配置以下设置，确定您的最终用户如何访问电子邮件、电子邮件附件和超链接。
复制粘贴	如果受限：最终用户无法将内容从 Workspace ONE Boxer 复制并粘贴到其他应用程序。如果启用了个人帐户，则最终用户可以在个人帐户和工作帐户之间进行复制和粘贴。因此，请考虑停用个人帐户，以彻底限制复制和粘贴功能。在选择文本时，应用程序中的共享和定义选项将不可用。如果应用于这些应用的 SDK 设置相似，则 Workspace ONE 应用将共享相同的剪贴板，而不是将其作为一个应用的默认配置文件和另一个应用的自定义配置文件应用。注意：在适用于 iOS 的 Workspace ONE Boxer 中，只能通过 Workspace ONE SDK 设置应用“复制粘贴”设置。有关此数据丢失防护 (DLP) SDK 设置的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。
屏幕截图（仅限 Android）	如果受限，Android 最终用户将无法对 Workspace ONE Boxer 应用程序进行屏幕截图。
屏幕截图（仅限 iOS）	如果已停用捕获屏幕截图，并且用户捕获了屏幕截图，则会向用户显示阻止程序屏幕。
允许电子邮件小组件（仅限 Android）	如果启用，Android 最终用户可以将 Workspace ONE Boxer 电子邮件小组件添加到其主屏幕。
允许日历小组件	如果启用，Workspace ONE Boxer 最终用户可以将 Workspace ONE Boxer 日历小组件添加到其主屏幕。
超链接	如果受限，则最终用户只能在 Workspace ONE Web 中打开超链接。
共享	根据最终用户是否可以在其他应用中打开电子邮件及其附件，选择以下任一限制：仅预览 - 为最终用户设置此限制，以仅在 Workspace ONE Boxer 应用程序中预览电子邮件和附件。最终用户无法在任何其他应用中打开附件。允许列表 - 设置此限制，并指定应用程序的包 ID，以在指定的应用程序中打开电子邮件及其附件。系统将预填充 Content Locker 和 Evernote 的捆绑 ID。不受限 - 为最终用户设置此限制，以在任意应用程序中打开电子邮件和附件。注：在 Workspace ONE UEM Console 中，也可以使用类似的允许列表选项作为 SDK 管理员设置。如果在 iOS 和 SDK 管理员设置的 Workspace ONE Boxer 中都选择了该选项，并且在两个列表中输入了应用程序，则这些列表将合并在一起。有关允许列表功能的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。
来电显示	启用此设置，以便为所有 Workspace ONE Boxer 联系人提供来电显示功能。通过启用此功能，Workspace ONE Boxer 只会将姓名和电话号码导出到本机联系人应用。
个人与工作分开	您可以通过在 UEM Console 上配置以下设置，允许最终用户添加多个个人帐户，并使用本地联系人。
个人帐户	如果受限，最终用户无法再向应用添加任何其他帐户。如果最终用户的设备上已安装 Workspace ONE Boxer，并配置了个人帐户，则系统将提示他们是立即还是稍后移除现有个人帐户。最终用户在移除所有个人帐户之前无法通过 Workspace ONE Boxer 接收工作电子邮件。
个人联系人	如果受限，最终用户只能从应用中的电子邮件帐户访问联系人。如果不受限，最终用户可从设备上的其他应用访问联系人。
应用程序配置	您可以使用配置键和配置值对为 Workspace ONE Boxer 部署配置设置。应用程序配置为可选。

选择保存。

如果要限制在 Workspace ONE Boxer 与其他受支持的应用之间复制和粘贴数据，请在应用 > 设置和策略 > 安全策略 > 数据丢失防护下配置这些设置。

必须启用“身份验证类型”和“单点登录”，才能在最终用户设备上应用这些设置。这些限制将应用于所有受支持的 VMware 应用程序。

设置	说明
启用复制与贴出	（仅限 iOS）停用后，最终用户无法将 Workspace ONE Boxer 中的内容复制并粘贴到除 Workspace ONE 生产力应用之外的其他应用程序中。
启用复制与贴入	停用后，最终用户无法将除了 Workspace ONE 生产力应用之外的其他应用程序中的内容复制并粘贴到 Workspace ONE Boxer 中。

最终用户可以在共享 SDK 设置的 Workspace ONE 应用程序之间复制或粘贴内容。这些 SDK 设置可作为一个应用程序的默认配置文件以及其他应用程序的自定义配置文件应用。

注意：

在 iOS 上，默认签名链接到 Workspace ONE® 用户区页面，该页面提供了有关 Workspace ONE Boxer 的详细信息。
Boxer 不支持 SDK 的集成身份验证功能。

Workspace ONE Boxer 中的多个受管帐户

在 Workspace ONE Boxer 中添加并配置多个受管帐户 (MMA)。

根据用户的业务要求，用户可以在不同的域中具有多个电子邮件帐户。例如，一个员工在母公司中可能有一个电子邮件帐户，在子公司中有另一个电子邮件帐户。这两个帐户可能具有符合其相应组织的要求的不同策略和限制。Workspace ONE Boxer 使您能够在同一 UEM console 中管理具有不同设置的两个附加电子邮件帐户。

多个受管帐户的要求

MMA 仅在 Workspace ONE Boxer 5.21 或更高版本中可用。
要在 Boxer 中启用 MMA，您必须使用 Workspace ONE UEM console 2008 或更高版本。
您必须在 SDK 配置文件和 Boxer 的应用策略中启用并配置单点登录 (SSO)。激活 SSO 后，更改此设置有时可能会导致出现问题。例如：如果用户已在 Workspace ONE Boxer 中注册，则不会考虑 SSO 更改。要了解如何为 SDK 配置文件设置 SSO，请参阅 Android（旧版）平台指南中的“强制使用应用级单点登录密码”主题。

多个受管帐户在 Workspace ONE Boxer 中支持以下功能。

邮件、日历和联系人的所有功能。
S/MIME、Azure 信息保护 (AIP)、基于证书的身份验证 (CBA)、垃圾邮件和网络钓鱼报告。
配置 ENS2 后，MMA 支持辅助帐户通知和第三帐户通知。
电子邮件签名和同步周期。
在 iOS 上，运行状况检查将显示所有帐户的组合状态；而在 Android 上，只会显示主帐户的状态。
在源为托管网关时用于对电子邮件进行签名和加密的 S/MIME 证书。

常规信息

除了您的主要电子邮件帐户外，您还可以添加两个附加受管帐户。
派生的凭据仅支持主帐户。Workspace ONE Boxer 不支持使用派生的凭据作为辅助帐户和第三帐户的证书源。
确保添加并配置 PolicyDerivedCredentials 键，以在低于 5.21 的 Boxer 版本中使用 PIV-D。
如果您在 UEM 中选择了适用于 S/MIME 证书的托管网关，还添加了 PolicyDerivedCredentialsSMIME 键并将值设置为 1 或 2，则在迁移 S/MIME 证书源后，将显示派生的凭据。
属于同一个域的两个 CBA 配置帐户不能包含生成具有相同 UPN（用户主体名称）详细信息的证书的相同或不同模板。
如果对多个帐户使用相同的 S/MIME 证书，则这些帐户必须具有相同的吊销策略。
在 iOS Boxer 中：
- MMA 支持不适用于独立注册。
- 如果与特定于帐户的键（例如 PolicySMIMETrustStore 和 PolicySMIMERevocationCheckUrl）相冲突，Boxer 将使用主要电子邮件帐户的值。

使用 Workspace ONE UEM 在 Workspace ONE Boxer 中配置多个受管帐户

配置 Workspace ONE Boxer 以支持多达两个附加受管帐户。在控制台 2004 或更高版本中，之前合并的电子邮件与应用设置现已分开并置于“电子邮件设置”和“应用策略”页面中，允许您使用“电子邮件设置”页面配置特定于每个帐户的设置，并使用“应用策略”页面配置特定于整个应用的设置。
注意：在开始配置受管帐户之前，您必须使用 Workspace ONE UEM console 版本 2008 或更高版本，将 Workspace ONE Boxer 版本 5.21 或更高版本作为公共应用程序进行上载。

导航到资源 > 应用 > 本机 > 列表视图 > 公共。
在 Boxer 应用程序的安装状态列下，选择分配链接。或者，也可以选择编辑图标，然后选择保存并分配。

在“分配”屏幕上，选择添加分配，然后输入所需的信息。

a. 在分发选项卡中，输入以下信息：

设置	说明
名称	输入分配名称。
说明	输入分配的说明。
分配组	输入要将应用程序分配到的智能组的名称。输入智能组名称时，将显示一些选项，您可以从列表中选择相应的智能组。如有必要，可以添加更多分配组。
应用交付方法	按需 - 将应用程序部署到部署代理。设备用户可以决定是否安装应用程序以及何时安装。自动 - 注册后，将应用程序部署到设备上的部署中心。设备注册后，系统将提示用户在其设备上安装 Boxer 应用程序。

b. 在限制选项卡中，输入以下信息：

设置	说明
EMM 受管访问	启用此选项以管理访问权限。只有在 EMM 中注册的设备可以安装应用并接收管理员设置的策略。

c. 在隧道选项卡中，输入以下信息：

设置	说明
Android 或 iOS 旧版	选择要用于应用程序的 VPN 配置文件。用户使用 VPN 访问应用程序，从而有助于确保对应用程序的访问和使用是受信任且安全的。

d. 在应用程序配置选项卡中，输入以下信息：

设置	说明
添加	您也可以手动添加配置键、值类型和查找值。

注意：这些 KVP 是应用级别设置，并应用于整个应用程序。如果要将任何配置应用于特定电子邮件帐户，您必须在电子邮件设置中将键添加到自定义帐户配置，以避免任何中断。

e. 要将更多配置添加到应用程序，请选择添加。

注意：确保此 KVP 应用于整个应用。仅应用于特定电子邮件帐户的任何配置都必须移至电子邮件设置中的“自定义帐户配置”，以避免任何中断。

f. 在“电子邮件设置”中，点击 + 添加以添加其他帐户。如果您没有“+ 添加”选项，请确保您使用的是 Workspace ONE UEM console 2008 或更高版本。
Boxer 支持已注册用户的“高级”选项卡中的自定义属性。它会将这些自定义属性映射到用户的辅助帐户。您必须在 Active Directory 中进行配置，以避免用户手动插入输入。

在帐户级别输入以下信息：

设置	说明
帐户名称	输入 Exchange 帐户名称。
Exchange ActiveSync 主机	输入您的 EAS 服务器 URL。对于 SEG 部署，输入 SEG URL。
EWS URL	输入 EWS 端点或 SEG 端点的地址。
电子邮件管理	如果要将移动电子邮件管理与此 Boxer 配置相关联，请至少输入一个 MEM 配置。
域名、用户和电子邮件地址	输入域名、用户名和电子邮件地址。默认情况下，登录信息包括目录服务中定义为查找值的 {EmailDomain}、{EmailUserName} 和 {EmailAddress}。要替代这些值，请使用自定义查找值。
密码	输入密码。注意：密码字段仅支持查找值，而不是实际的密码值。
电子邮件签名	输入电子邮件签名。
身份验证	为最终用户选择以下一种身份验证类型，以使用 Workspace ONE 凭据向 Exchange 进行身份验证：基本 – 使用用户名和密码进行身份验证。证书 – 使用证书进行身份验证。选择所需的证书颁发机构和证书模板。两者 –使用证书对网络设备进行身份验证，使用密码对 Exchange 进行身份验证，两者结合进行身份验证。现代身份验证 - 适用于 Office 365 的基于 OAuth 的令牌身份验证方法。要进行设置，请参见“现代身份验证”部分。使用现代身份验证进行基于证书的身份验证（使用现代身份验证进行 CBA）- Workspace ONE Boxer 支持使用现代身份验证进行基于证书的身份验证。Boxer 支持 SCEP。要查看受支持的证书，请参阅“支持的证书颁发机构”部分。注意：假设您已在不启用 SSO 密码的情况下将证书设置为身份验证类型，并且用户先删除再重新安装 Boxer 应用程序。在重新安装时，用户会自动进行身份验证，因为您已将身份验证类型配置为 CBA。此类方案可为对设备具有物理访问权限的入侵者创造攻击途径。如果未添加身份验证质询，则入侵者可以通过先删除再重新安装 Boxer 应用程序来获取电子邮件资源的访问权限。为避开此类入侵者，Boxer 必须先使用 Workspace ONE 凭据对用户进行身份验证，然后才允许他们访问电子邮件。如果不想使用 Workspace ONE 凭据，您可以选择的替代解决方案是启用 SSO 工作流，以禁止入侵者使独立密码失效。指定身份验证重试次数 - 指定失败时的身份验证重试次数。
同步	允许的最长电子邮件同步周期和允许的最长电子邮件同步周期设置允许管理员配置最终用户可以选择同步其电子邮件和日历事件多久（频率）。默认电子邮件同步周期和默认日历同步周期设置允许管理员配置在最终用户设备上部署 Workspace ONE Boxer 时的默认同步周期。注意：无论同步周期如何，一次可以在收件箱中显示的最大电子邮件数为 1500。附件大小上限限制最终用户可附加到出站电子邮件的文件大小。
通知	启用并配置电子邮件通知服务 (ENS) 以提供实时通知。 ENS2 - 激活或停用 ENS2。通知内容 - 配置在每个传入电子邮件通知警示中披露的信息。
垃圾邮件和网络钓鱼报告	激活或停用要对识别为垃圾邮件或网络钓鱼攻击的电子邮件执行的操作。
S/MIME	激活或停用 S/MIME 状态。
电子邮件分类	激活或停用电子邮件分类选项。 AIP 敏感度标签 - 如果激活，用户可以与 AIP 标签进行交互。电子邮件分类 - 激活或停用分类标记。

g. 要应用任何帐户级别配置，请在自定义帐户配置中添加键值对。

h. 激活或停用以下应用策略：

设置	说明
数据丢失防护
复制粘贴	如果受限：最终用户无法将内容从 Workspace ONE Boxer 复制并粘贴到其他应用程序。如果启用个人帐户，则最终用户可以在个人帐户和工作帐户之间复制和粘贴。因此，请考虑停用个人帐户，以完全限制复制和粘贴功能。选择文本时，应用程序中的共享和定义选项将不可用。注意：在适用于 iOS 的 Workspace ONE Boxer 中，只能通过 Workspace ONE SDK 设置应用“复制粘贴”设置。有关此数据丢失防护 (DLP) SDK 设置的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。
屏幕截图	（仅限 Android）禁止用户从应用中截取屏幕截图。
个人联系人	如果该选项受限，则最终用户只能从应用中的电子邮件帐户访问联系人。如果不受限，最终用户可从设备上的其他应用访问联系人。
允许添加日历和电子邮件小组件	控制用户是否可以向主屏幕中添加 Boxer 日历或电子邮件小组件。
共享	这些设置决定了用户是否可以在其他应用程序中打开电子邮件或其附件。根据您的要求，您可以使用“允许列表”选项指定允许的应用程序，也可以在任何应用程序中允许共享。注：在 Workspace ONE UEM Console 中，也可以使用类似的允许列表选项作为 SDK 管理员设置。如果在 iOS 和 SDK 管理员设置的 Workspace ONE Boxer 中都选择了该选项，并且在两个列表中输入了应用程序，则这些列表将合并在一起。有关允许列表功能的详细信息，请参阅 SDK 和管理应用程序文档（VMware 文档）中的 SDK 安全政策配置文件。
控制打开方式	激活或停用“打开”或“共享”将其他应用中的文件附加到 Workspace ONE Boxer。
控制来自外部提供商的附件	激活或停用来自外部提供程序的附件。
水印文本、不透明度、颜色	定义水印文本。
内部域列表	定义允许的内部域
外部收件人警告	向外部用户发送邮件时通知用户。
附件下载	激活或停用用户以下载附件。
个人帐户	如果受限，最终用户无法再向应用添加任何其他帐户。如果最终用户的设备上已安装 Workspace ONE Boxer，并配置了个人帐户，则系统将提示他们是立即还是稍后移除现有个人帐户。最终用户在移除所有个人帐户之前不能通过 Workspace ONE Boxer 接收工作电子邮件。
Browser (浏览器)
超链接	受限时，将在 Workspace ONE Web 中打开所有超链接。
可用性
跳过应用内教程	启用此选项可跳过在应用程序首次启动时显示的应用内教程。
来电显示	启用此设置，以便为所有 Workspace ONE Boxer 联系人提供来电显示功能。通过启用此功能，Workspace ONE Boxer 只会将姓名和电话号码导出到本机联系人应用。
默认来电显示	默认情况下，允许导出联系人、姓名和电话号码。此选项要求将“来电显示”选项设置为“无限制”。
头像	为 Exchange 联系人激活或停用头像。
允许归档电子邮件	这会允许或禁止将电子邮件存档。
对话线程	激活或停用会话线程。
企业内容	激活或停用企业内容
允许最终用户报告垃圾邮件	允许用户启用垃圾邮件选项。
支持
日志记录	允许用户发送日志。
支持电子邮件地址	输入通过支持菜单发送日志时要指定的地址。
崩溃报告	激活或停用崩溃报告。默认情况下，Boxer 可以报告崩溃。
高级
转发/添加附件	允许用户添加或转发附件。
附件下载	激活或停用附件下载和转发。
附加照片	激活或停用从图片库和相机中附加图片和媒体文件。
纯文本模式	激活或停用 Workspace ONE Boxer纯文本模式。设置此选项后，在同步时，Workspace ONE Boxer 仅从 HTML 邮件检索纯文本。无论电子邮件为哪种格式，Workspace ONE Boxer 都仅发送纯文本。撰写视图中的格式设置控件已停用，并且只能从富文本或 HTML 内容复制和粘贴文本。
使用 Mime 重新提取空链接	对于包含指向非服务器域的非标准 URL 方案的电子邮件（使用 HTML 获取），Exchange 会将 URL 替换为两个空格。激活或停用此策略，以检测此问题并使用 MIME 重新下载受影响的正文，该过程不会受 URL 替换错误的影响。
禁用密钥托管（忘记密码）	停用服务器上的托管密钥。如果停用此功能，则忘记密码功能也会被停用。
匿名衡量指标	启用此选项以允许收集匿名使用情况数据，以改善用户的 Workspace ONE Boxer 体验。启用此策略后，当启动 Workspace ONE Boxer 时，系统将向用户显示数据共享声明。设备用户可导航至设置 > 隐私 > 数据共享来激活或停用数据共享。
QuickJoin 自定义 URL	激活或停用在具有联机会议邀请的日历邀请中找到的快速加入按钮。
应用程序更新源	选择要下载 Boxer 的源。
仅 Swift SDK 密钥封装模式	启用此选项以充分利用密钥封装安全功能。
FastSync 到期	设置 Workspace ONE Boxer 不再接收 FastSync 密钥时的到期时间 (以小时为单位)。启用和配置电子邮件通知服务时，将应用 FastSync 设置。
启用 FastSync	FastSync 可改进后台同步和后续同步的速度。启用和配置电子邮件通知服务时，将应用 FastSync 设置。

选择创建。

配置指纹身份验证

Android 版和 iOS 版 Workspace ONE Boxer 支持指纹身份验证。请在常规部署和分配过程中配置身份验证方法。

Android 版 Workspace ONE Boxer 4.5 和 iOS 版 Workspace ONE Boxer 4.2
Workspace ONE UEM Console v9.0.5+
导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 安全策略。
选择覆盖以覆盖任何继承的设置。
将身份验证类型设置为密码或用户名和密码。

必须启用“密码”和“生物特征识别”才能在 Workspace ONE Boxer 中使用指纹功能。
展开“身份验证类型”设置。
为身份验证超时输入一个大于 0 的值。
将生物特征识别模式设置为启用。
选择屏幕底部的保存。

配置自定义 SDK 配置文件

每次客户部署自己的证书颁发机构 (CA) 并将 Workspace ONE Boxer 与基于证书的身份验证结合使用时，都应配置自定义 SDK 配置文件。

配置自定义 SDK 配置文件。

a. 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 配置文件，然后选择添加配置文件。

b. 选择 SDK 配置文件。

c. 选择平台。

d. 配置常规设置。

e. 配置凭证。

f. 选择证书颁发机构。

g. 保存配置文件。
使用基于证书的身份验证分配 Workspace ONE Boxer。

a. 导航到应用与图书 > 公共。

b. 在列表视图页面上，从公用应用列表中选择 iOS Workspace ONE Boxer。

c. 选择编辑。

d. 导航到 SDK 选项卡。

e. 选择自定义 SDK 配置文件。

f. 选择保存并分配。

使用派生凭证 (PIV-D) 配置 Workspace ONE Boxer

使用派生凭证创建并配置 SDK 配置文件，并将配置文件分配给 Boxer。SDK 配置文件允许 Boxer 从 VMware PIV-D Manager 应用程序提取派生凭证证书，以便设备可以使用这些证书安全地访问资源。

派生凭证是最终用户在注册过程中使用现有智能卡（CAC 或 PIV）证明其身份后，在移动设备上生成（或颁发）的客户端证书。

当您在凭证负载上将“凭证来源”设置为“派生凭证”时，Boxer 会从 PIV-D 应用程序导入身份验证、签名和加密证书。然后，将使用 PIV-D 证书向 Exchange Server 验证用户身份，或者提取 SMIME 证书以对电子邮件进行签名和加密。PIV-D 允许进行证书身份验证，即使配置了现代身份验证也是如此。

配置 SDK 配置文件。

a. 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 配置文件，然后选择添加配置文件。

b. 选择 SDK 配置文件。

c. 选择所需的平台。

d. 为配置文件配置常规设置。

e. 选择凭证负载，然后选择配置。

f. 将凭证来源设置为派生凭证。

g. 根据证书的使用方式，选择密钥用法。选择身份验证、签名或加密。
要添加其他证书，请使用配置文件窗口底部的加号。

h. 选择保存并发布。
将 SDK 配置文件分配给 Boxer。

a. 导航到应用与图书 > 本机 > 公共 > 添加应用程序，然后添加 Boxer。
如果已添加 Boxer 应用程序，则可以跳过上述步骤。

b. 选择编辑。

c. 导航到 SDK 选项卡，然后将 SDK 配置文件设置为配置了派生凭证来源和密钥用法的 SDK 配置文件。

d. 选择保存并分配。

e. 创建一个智能组（如果没有）并修改分配。

f. 在更多电子邮件设置下，将身份验证类型设置为证书或两者。
如果使用 AccountUseOauth 键配置采用现代身份验证的 iOS Boxer，则必须确保将身份验证类型设置为“基本”，而不是“证书”或“两者”。您还必须使用凭证负载配置设备配置文件，其中“凭证来源”设置为“派生凭证”，密钥用法类型设置为“身份验证”。如果您未在 iOS 上配置现代身份验证，则可以跳至下一步。

g. 添加虚拟证书颁发机构。

h. 在“应用程序配置”下，添加 AppForceActivateSSO 和 PolicyDerivedCredentials 键。

注：仅在适用于 Android 的 Workspace ONE Boxer 中支持 AppForceActivateSSO。

有关这些配置键的更多信息，请参阅 Workspace ONE Boxer 的应用程序配置。

i. 选择添加。

在 Workspace ONE Boxer 中配置对 Azure 条件访问策略的支持

要在 Workspace ONE Boxer中添加对 Azure 条件访问策略的支持，必须集成 Microsoft Azure 和 Workspace ONE UEM Console。此集成允许 Workspace ONE UEM 和 Workspace ONE Boxer 根据策略（如将设备标记为合规或不合规）读取和设置设备状态，并为最终用户提供对资源（如 Office 365 Online Exchange Server）的访问权限。

配置 Microsoft Azure

必须将 Microsoft Azure 配置为允许 Workspace ONE UEM Console 与 Azure Active Directory 服务进行通信，以读取和写入最终用户的设备合规性状态。Azure 还配置了应用于 Workspace ONE Boxer 的条件访问策略。

必备条件

确保您已使用必要的许可证创建 Azure 租户，并将这些许可证应用于组织的相关用户。

过程

在 Microsoft Endpoint Manager 管理中心，导航到租户管理>连接器和令牌>合作伙伴合规性管理。
单击添加合规性合作伙伴。
在创建合规性合作伙伴页面上，选择 VMware Workspace ONE 移动合规性作为下拉列表中的合规性合作伙伴。

注意：如果您同时需要 Android 和 iOS 平台，则必须为每个平台创建合规性合作伙伴连接。
为 iOS 和 Android 和现代身份验证应用设置策略，以仅允许合规设备。
单击下一步。
在分配选项卡上，将所需的用户分配给 VMware Workspace ONE 移动合规性合作伙伴。
根据屏幕提示完成下一组步骤。
对于 Android，请执行以下步骤：

a. 导航到 Azure Active Directory>移动（MDM 和 MAM）。

b. 单击添加应用程序。

c. 选择 Airwatch by VMware。

d. 查看 Microsoft Graph 需要的权限和 Windows Azure Active Directory。

e. 要通过 VMware 应用程序接受 AirWatch 的权限，请单击添加。

此步骤可确保将“Airwatch by VMware”应用程序作为移动 MDM 应用程序添加到 Azure 租户。
在 Azure 主页上，找到 Azure AD 条件访问服务，然后导航到“条件访问”页面。
单击策略。
单击新建策略。
在此页面上输入以下内容：

a. 输入策略的名称。

B. 将策略应用于所需的用户或组。

c. 选择 Office 365 Exchange Online Server 应用程序，并将策略应用于此应用程序。

d. 设置以下条件：

i) 根据您的要求，选择 Android 或 iOS 作为设备平台。

ii）对于客户端应用 > 现代身份验证客户端，根据在前面的步骤中选择的平台，选择以下选项：

平台现代身份验证客户端

Android 移动应用和桌面客户端

iOS Browser (浏览器)

e. 在访问控制中，根据您的要求，选择所需的授予访问权限。

平台	现代身份验证客户端
Android	移动应用和桌面客户端
iOS	Browser (浏览器)

配置Workspace ONE UEM Console

要在 Workspace ONE Boxer 中激活 Azure 条件访问策略支持，在执行标准配置时，需要在 Workspace ONE UEM Console 上设置一些特定的设置。此过程仅侧重于此支持所需的特定选项。

必备条件

如果您使用的是 Android 平台，请确保遵循以下必备条件：

如果要在 Work Profile Play Store 中激活任何新添加的应用程序（Workspace ONE UEM Console），并在设备成功注册 Workspace ONE Hub 后在最终用户设备上激活自动安装（应用程序），则必须将 Workspace ONE UEM 注册为 Google 企业移动化管理 (EMM) 提供程序。

要进行注册，请导航到组与设置 > 所有设置 >设备与用户> Android > Android EMM 注册。
确保您已将 Workspace ONE Boxer 应用程序作为公共应用程序添加到 Workspace ONE UEM Console。

过程

要再的 UEM 控制台行配置 Azure AD 连接，请导航到组合设置>所有设置>系统>企业集成>目录服务。

A. 启用 AZure AD 集成。

B. 启用为标识服务使用 Azure AD。

c. 在 Azure Active Directory 部分中，按照 UEM Console 上显示的说明进行操作，并根据需要配置字段。

记下以下内容：
- 确保在 Azure 门户中粘贴 MDM 发现 URL 和 MDM 使用条款 URL（导航到 Azure Active Directory 服务 -> 移动性（MDM 和 MAM））。您可以在 Workspace ONE UEM Console 上找到执行此配置的说明。
- 启用在 Azure 条件访问策略中使用合规性数据。
- 启用在适用于 iOS、Android 和 macOS 的 Azure 条件访问策略中使用合规性数据。
  
  有关 Azure Active Directory 配置选项的详细信息，请参阅 VMware Docs 上的目录服务集成文档。
对于 Android，为 Workspace ONE Boxer 应用程序创建分配时，请在电子邮件设置中添加 ConditionalAccessEnabled KVP。

此 KVP 是帐户级别的 KVP。

a. 要启用 KVP，请将 KVP 值设置为 true。

默认情况下，此 KVP 的值为 false。

b. 根据您的要求完成其余分配。

有关 KVP 的详细信息，请参阅 Workspace ONE Boxer 的应用程序配置中的条件访问策略部分

有关使用“应用分配”页面分配和配置 Workspace ONE Boxer 以及使用电子邮件设置分配 Workspace ONE Boxer 的更多信息，请参阅 Workspace ONE Boxer 管理指南中的 Boxer 部署部分。
对于 Android，将 Microsoft Authenticator 作为公共应用程序添加到 Workspace ONE UEM Console。

有关将应用程序添加到 Workspace ONE UEM Console 的详细信息，请参阅应用程序生命周期管理文档中的在设备上部署公共应用程序部分。

如果您希望 iOS 平台支持条件访问策略，则必须创建 SSO 扩展。

a. 导航到设备>配置文件和资源>配置文件。

b. 单击添加>添加配置文件

c. 选择 Apple iOS>设备配置文件

d. 配置配置文件常规设置。

e. 选择SSO 扩展负载。

f. 配置配置文件设置。

平台	现代身份验证客户端	建议设置
扩展类型	选择应用程序的 SSO 扩展类型。如果选择了“通用”，请在扩展标识符字段中提供为指定 URL 执行 SSO 的应用程序扩展的包 ID。如果选择了 Kerberos，请提供 Active Directory 领域和域。	通用 SSO 扩展类型设置。
扩展标识符	输入为指定 URL 执行 SSO 的应用程序扩展的团队标识符。	最佳做法是，您可以输入 com.microsoft.azureauthenticator.ssoextension。
类型	选择“凭据”或“重定向”作为扩展类型。凭证扩展用于质询/响应身份验证。重定向扩展可以使用 OpenID Connect、OAuth 和 SAML 身份验证。	最佳做法是选择“重定向”作为扩展类型。
URL	输入应用程序扩展在其中执行 SSO 的身份提供程序的一个或多个 URL 前缀。	最佳做法是，您可以输入以下内容： https://login.microsoftonline.com https://login.windows.net https://sts.windows.net https://login.microsoft.com
其他设置	输入应用程序扩展在其中执行 SSO 的身份提供程序的一个或多个 URL 前缀。	最佳做法是，您可以输入以下内容： TeamIdentifier SGGM6D27TK

注：SGGM6D27TK 是 Office 应用的标识符。

g. 选择保存并发布。

h. 在 Microsoft Authenticator 应用程序中，确保 sharedDeviceMode 配置键值为 false。

i) 导航到应用与图书>应用程序>本机>公共或购买，然后选择 iOS Microsoft Authenticator 应用程序。

ii) 导航到应用程序的“应用程序配置”页面。

iii) 如果 sharedDeviceMode 配置键值为 true，请将该值设置为 false。

配置 Microsoft Azure 和 Workspace ONE UEM 控制台后，Workspace ONE Boxer现在支持条件访问策略。要为使用 Android 的最终用户激活此功能，用户必须在 Authenticator 应用程序中使用其 Microsoft 凭据进行身份验证。

配置 Workspace ONE Boxer 的隐私设置

使用 UEM Console 中的配置密钥，执行隐私披露和数据收集的其他做法。对于升级至或使用最新版本的 Workspace ONE Boxer 的最终用户，Workspace ONE Boxer 启动时会显示隐私声明。

隐私对话框屏幕将向用户显示以下信息：

应用收集的数据 – 提供应用程序收集和处理的数据的摘要。Workspace ONE UEM 管理控制台管理员可以看到这些数据中的部分数据。
设备权限 – 提供应用启用产品功能特性（例如向设备推送通知）所需设备权限的摘要。
公司隐私权政策 – 默认情况下，系统将向用户显示一条消息，通知用户联系所在公司以获取更多信息。您可以在 UEM Console 中配置隐私权政策 URL。配置后，用户可以从 Workspace ONE Boxer 访问所在公司的隐私权政策。

使用 SDK 默认设置配置隐私设置

使用 SDK 默认设置配置隐私设置。

导航至组与设置 > 所有设置。
从“所有设置”导航至应用 > 设置和策略 > 设置。
选择启用自定义设置，然后按照您的要求粘贴配置密钥。

例如，要启用崩溃报告，{"PolicyAllowCrashReporting": true}。
选择保存。

使用自定义 SDK 配置文件配置隐私设置

使用自定义 SDK 配置文件配置隐私设置。

导航到组与设置 > 所有设置。
如果您有现有的自定义设置文件，请导航至应用 > 设置和策略 > 配置文件 > 自定义配置文件 > 自定义设置。
如果要添加自定义配置文件，请导航到应用 > 设置和策略 > 配置文件 > 添加配置文件 > SDK 配置文件 > iOS 或 Android > 自定义设置。

在“自定义设置”中选择配置，然后按照您的要求粘贴以下配置键。

配置键	值类型	支持的值	说明
{ “DisplayPrivacyDialog” }	整数	0 = 已停用 1 = 已激活（默认）	设置为“1”（已激活）时，Workspace ONE Boxer 将向用户显示有关所收集数据的隐私声明，以及为实现应用的最佳功能在设备上所需的权限。
{ “PolicyAllowFeatureAnalytics” }	整数	0 = 已停用 1 = 已激活（默认）	当设置为“1”（已激活）时，Workspace ONE Boxer 将向用户显示选项声明，询问用户是否要加入匿名功能使用分析计划，以帮助 VMware 改进产品功能和开发新的产品功能。当设置为“0”时，系统不会显示数据共享声明，也不会从设备收集数据以优化应用体验。设备用户可导航至设置 > 隐私 > 数据共享来激活或停用数据共享。
{ “PolicyAllowCrashReporting” }	布尔	True = 已激活 False = 已停用	设置为“True”时，应用崩溃都会报告给 VMware。
{ “PrivacyPolicyLink” }	字符串	https://www.acme.com	请提供您希望用户从隐私声明中选择公司隐私权政策后访问的隐私权政策 URL。
SDK 配置示例：{“PolicyAllowFeatureAnalytics”:1, “PrivacyPolicyLink”:https://www.acme.com/privacypolicy, “PolicyAllowCrashReporting”:true}

选择保存。