Android Enterprise 设备设置列表,用于允许或限制个人拥有的设备上使用Intune
本文介绍可在 Android Enterprise 设备上控制的不同设置。 作为移动设备管理 (MDM) 解决方案的一部分,使用这些设置来允许或禁用功能、控制安全性等。
此功能适用于:
- Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
提示
- 对于 AOSP,请转到 Android (AOSP) 设备设置,以允许或限制使用 Intune 的功能。
- 对于 Android Enterprise 公司拥有的工作配置文件 (COPE) 、完全托管的 (COBO) 或专用设备 (COSU) ,请转到 Android Enterprise 设备设置,以使用 Intune 允许或限制公司拥有的设备上的功能。
开始之前
创建 Android 设备限制配置文件。
工作配置文件设置
这些设置适用于 Android Enterprise 个人拥有的设备,其工作配置文件 (BYOD) 。
常规设置
在工作和个人配置文件之间复制和粘贴: “阻止” 可阻止工作和个人应用之间的复制和粘贴。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用个人配置文件中的应用进行复制和粘贴来共享数据。
工作配置文件和个人配置文件之间的数据共享:选择工作配置文件中的应用是否可以与个人配置文件中的应用共享。 例如,可以控制应用程序中的共享操作,例如 Chrome 浏览器应用中的 “共享...” 选项。 此设置不适用于复制/粘贴剪贴板行为。 选项包括:
- 设备默认值:阻止从工作配置文件共享到个人配置文件。 允许从个人配置文件共享到工作配置文件。
- 工作配置文件中的应用可以处理来自个人配置文件的共享请求:启用内置 Android 功能,该功能允许从个人配置文件共享到工作配置文件。 启用后,来自个人配置文件中的应用的共享请求可与工作配置文件中的应用共享。
- 对共享没有限制:启用跨工作配置文件边界双向共享。 选择此设置时,工作配置文件中的应用可以与个人配置文件中的非基应用共享数据。 此设置允许工作配置文件中的托管应用与设备非托管端的应用共享。 因此,请谨慎使用此设置。
设备锁定时的工作配置文件通知: “阻止” 可阻止窗口通知,包括 Toast、传入呼叫、传出呼叫、系统警报和系统错误在锁定的设备上显示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示通知。
默认应用权限:设置工作配置文件中所有应用的默认权限策略。 从 Android 6 开始,启动应用时,系统会提示用户授予应用所需的某些权限。 此策略设置允许你确定是否提示用户授予工作配置文件中所有应用的权限。 例如,将应用分配给需要位置访问权限的工作配置文件。 通常,该应用会提示用户批准或拒绝对应用的位置访问。 使用此策略可以在没有提示的情况下自动授予权限、在无提示的情况下自动拒绝权限或让用户决定。 选项包括:
- 设备默认值
- Prompt
- 自动授予
- 自动拒绝
还可以使用应用配置策略为单个应用授予权限, (应用>应用配置策略) 。
添加和删除帐户:此设置允许或阻止在工作配置文件中添加帐户,包括 Google 帐户。 选项包括:
允许除默认) (Google 帐户以外的所有帐户类型:Intune不会更改或更新此设置。 默认情况下,OS 可能允许在工作配置文件中添加帐户。
在以前的版本中,此设置名为 “未配置”。
允许所有帐户类型:允许所有帐户,包括 Google 帐户。 这些 Google 帐户被阻止从 托管的 Google Play 商店安装应用。
还可以配置:
Google 域允许列表:限制用户在工作配置文件中仅添加某些 Google 帐户域。 可以采用以下格式导入允许的域列表:
contoso.com microsoft.com或者,使用
contoso.com格式单独添加域。 默认情况下,如果留空,OS 可能允许在工作配置文件中添加所有 Google 域。
此设置需要:
- 80970100或更高版本的 Google Play 应用版本
阻止所有帐户类型:阻止用户在工作配置文件中手动添加或删除帐户。 例如,将 Gmail 应用部署到工作配置文件时,可以阻止用户在此工作配置文件中添加或删除帐户。
注意
在具有工作配置文件 (BYOD) 的个人拥有设备上,以及具有工作配置文件 (COPE) 的公司自有设备上,Google 帐户无法添加到 “设置” 应用 >“帐户>工作”。
通过蓝牙进行联系人共享: 启用 允许使用工作配置文件联系人共享和访问个人拥有的设备,这些联系人来自另一台设备(包括使用蓝牙配对的汽车)。 启用此设置可能允许某些蓝牙设备在第一次连接时缓存工作联系人。 在初始配对/同步后禁用此策略可能无法从蓝牙设备中删除工作联系人。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会共享工作联系人。
此设置适用于:
- 具有工作配置文件的 Android 8.0 及更新个人拥有的设备
屏幕捕获: “阻止” 可阻止工作配置文件中设备上的屏幕截图或屏幕捕获。 它还可防止内容在没有安全视频输出的显示设备上显示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许获取屏幕截图。
在个人资料中显示工作联系人呼叫者 ID: “阻止” 不会在个人资料中显示工作联系人呼叫者号码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示工作联系人呼叫方详细信息。
此设置适用于:
- 具有工作配置文件的 Android 8.0 及更新个人拥有的设备
从个人资料中搜索工作联系人:“阻止”可阻止用户在个人配置文件中的应用中搜索工作联系人。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在个人个人资料中搜索工作联系人。
相机: “阻止” 可阻止访问个人拥有的工作配置文件中的设备上的相机。 此设置不会影响个人侧的相机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问相机。
允许来自工作配置文件应用的小组件: 启用 允许用户将应用公开的小组件放在主屏幕上。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会禁用此功能。
例如,Outlook 安装在用户的工作配置文件上。 设置为 “启用”时,用户可以将议程小组件放在设备主屏幕上。
工作配置文件密码
这些密码设置适用于个人拥有的工作配置文件设备上的工作配置文件密码。
所有 Android 设备
需要工作配置文件密码: “需要” 强制使用仅适用于工作配置文件中的应用的密码策略。 默认情况下,用户可以使用两个单独定义的 PIN。 或者,用户可以将 PIN 合并为两个 PIN 中的更强。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在不输入密码的情况下使用工作应用。
此设置适用于:
- 具有工作配置文件的 Android 8.0 及更新个人拥有的设备
工作配置文件锁定前的最大非活动分钟数:输入设备在屏幕自动锁定之前必须处于空闲状态的时间长度。 用户必须输入其凭据才能重新获得访问权限。 例如,输入
5以在空闲 5 分钟后锁定设备。 当该值为空或设置为“未配置”时,Intune不会更改或更新此设置。在设备上,用户无法设置大于配置文件中配置的时间值。 用户可以设置较短的时间值。 例如,如果配置文件设置为
15分钟,则用户可以将值设置为 5 分钟。 用户无法将值设置为 30 分钟。擦除设备前的登录失败次数:输入擦除设备上的工作配置文件之前允许的错误密码数(从 4 到 11)。 当值为空时,Intune对此设置使用默认值。
密码过期 (天) :输入用户密码必须从 1-365) (更改之前的天数。
防止重用以前的密码:使用此设置可限制用户创建以前使用的密码。 输入以前使用过的不能使用的密码数(从 1 到 24)。 例如,输入
5,以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时,Intune不会更改或更新此设置。人脸解锁: “阻止” 可阻止用户使用设备的面部识别来解锁个人拥有的工作配置文件。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用面部识别解锁设备。
指纹解锁: “阻止” 可阻止用户使用设备的指纹扫描仪解锁个人拥有的工作配置文件。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用指纹解锁设备。
虹膜解锁: “阻止” 可阻止用户使用设备的虹膜扫描仪解锁个人拥有的工作配置文件。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用虹膜扫描仪解锁设备。
智能锁和其他信任代理: “阻止” 可阻止 Smart Lock 或其他信任代理在兼容设备上调整锁屏界面设置。 如果设备位于受信任位置,则此功能(也称为信任代理)可用于禁用或绕过设备锁屏界面密码。 例如,当设备连接到特定蓝牙设备或设备靠近 NFC 标记时,请绕过工作配置文件密码。 使用此设置可阻止用户配置智能锁。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
设备和工作配置文件的一个锁: “阻止” 可阻止用户对设备和工作配置文件上的锁屏界面使用相同的密码。 最终用户需要输入设备密码才能解锁设备,并输入其工作配置文件密码才能访问其工作配置文件。
设置为“未配置” (默认) 时,Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户使用单个密码访问其工作配置文件。
Android 12 及更高版本
密码复杂性:使用此设置设置密码复杂性要求。 选项包括:
- 无:Intune不会更改或更新此设置。 默认情况下,OS 可能不需要密码。
- 低:允许重复 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN。
- 中:阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度、字母长度或字母数字长度必须至少为四个字符。
- 高:阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度必须至少为 8 个字符。 字母或字母数字长度必须至少为六个字符。
在具有工作配置文件的个人拥有设备上,有两个密码受此 密码复杂性 设置的影响:
- 解锁设备的设备密码
- 允许用户访问工作配置文件的工作配置文件密码
如果设备密码复杂性太低,则设备密码会自动更改为需要 高 复杂性。 最终用户必须更新设备密码以满足复杂性要求。 然后,他们登录到工作配置文件,并被提示更新策略的 “密码复杂性 ”设置中配置的工作配置文件复杂性。
重要
在“ 密码复杂性 ”设置可用之前,已使用 “必需密码类型 ”和 “最短密码长度 ”设置。 这些设置仍然可用,但 Google 已弃用这些设置,适用于具有工作配置文件的 Android 12+ 个人拥有的设备。 有关这些设置的信息,请转到本文) 中的 Android 11 及更低版本 (。
以下是你需要了解的内容:
如果“ 必需密码类型 ”和 “最小密码长度 ”设置从策略中的默认值更改,则:
新注册的 Android Enterprise 12+ 设备将自动使用 密码复杂性 设置和 “高 复杂性”。 因此,如果不希望 高 密码复杂性,请为 Android Enterprise 12+ 设备创建新策略,并配置 “密码复杂性 ”设置。
现有 Android Enterprise 12+ 设备将继续使用所需的密码类型和最小密码长度设置,以及已配置的现有值。
如果使用“ 必需密码类型 ”和“ 最小密码长度 ”设置更改现有策略,则 Android Enterprise 12+ 设备将自动使用“ 密码复杂性 ”设置和 “高 复杂性”。
对于 Android Enterprise 12+ 设备,建议配置 “密码复杂性 ”设置。
如果 “必需密码类型 ”和 “最小密码长度 ”设置未更改策略中的默认值,则不会自动将密码策略应用于新注册的 Android Enterprise 12+ 设备。
Android 11 及更早版本
重要
- Google 已弃用工作配置文件的 Android 12+ 个人拥有设备的这些必需密码类型和最小密码长度设置,并将其替换为新的密码复杂性要求。 有关此更改的详细信息,请转到 Android 13 的天零支持。
- 在 Android Enterprise 12+ 设备上,使用 “密码复杂性” 设置。
所需的密码类型:输入所需的密码复杂性级别,以及是否可以使用生物识别设备。 选项包括:
- 设备默认 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能不需要密码。
- 低安全性生物识别: 强生物识别与弱生物识别 (打开 Android 网站)
- 必需
- 至少为数值:包括数字字符,例如
123456789。 - 数值复数:不允许使用重复或连续的数字,例如
1111或1234。 - 至少按字母顺序排列:包括字母表中的字母。 不需要数字和符号。
- 至少为字母数字:包括大写字母、小写字母和数字字符。
- 至少包含符号的字母数字:包括大写字母、小写字母、数字字符、标点符号和符号。
最小密码长度:输入密码必须具有的最小长度,默认值为 4 () 到 16 个字符。
Password
这些密码设置适用于具有工作配置文件的个人拥有设备上的设备密码。
所有 Android 设备
屏幕锁定前的最大非活动分钟数:输入设备在屏幕自动锁定之前必须处于空闲状态的时间长度。 用户必须输入其凭据才能重新获得访问权限。 例如,输入
5以在空闲 5 分钟后锁定设备。 当该值为空或设置为“未配置”时,Intune不会更改或更新此设置。在设备上,用户无法设置大于配置文件中配置的时间值。 用户可以设置较短的时间值。 例如,如果配置文件设置为
15分钟,则用户可以将值设置为 5 分钟。 用户无法将值设置为 30 分钟。擦除设备前的登录失败次数:输入擦除设备中个人拥有的工作配置文件之前允许的错误密码数(从 4 到 11)。
0(零) 可能会禁用设备擦除功能。 当值为空时,Intune不会更改或更新此设置。密码过期 (天) :输入设备密码必须更改之前的天数(从 1 到 365)。 例如,输入
90以在 90 天后使密码过期。 密码过期时,系统会提示用户创建新密码。 当值为空时,Intune不会更改或更新此设置。防止重用以前的密码:使用此设置可限制用户创建以前使用的密码。 输入以前使用过的不能使用的密码数(从 1 到 24)。 例如,输入
5,以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时,Intune不会更改或更新此设置。指纹解锁: “阻止” 可阻止用户使用设备的指纹扫描仪解锁设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用指纹解锁设备。
人脸解锁: “阻止” 可阻止用户使用设备的面部识别解锁设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用面部识别解锁设备。
虹膜解锁: “阻止” 可阻止用户使用设备的虹膜扫描仪解锁设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用虹膜扫描仪解锁设备。
智能锁和其他信任代理: “阻止” 可阻止 Smart Lock 或其他信任代理在兼容设备上调整锁屏界面设置。 如果设备位于受信任位置,则此功能(也称为信任代理)可用于禁用或绕过设备锁屏界面密码。 例如,当设备连接到特定蓝牙设备或设备接近 NFC 标记时,请绕过个人拥有的工作配置文件密码。 使用此设置可阻止用户配置智能锁。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
Android 12 及更高版本
密码复杂性:使用此设置设置密码复杂性要求。 选项包括:
- 无:Intune不会更改或更新此设置。 默认情况下,OS 可能不需要密码。
- 低:允许重复 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN。
- 中:阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度、字母长度或字母数字长度必须至少为四个字符。
- 高:阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度必须至少为 8 个字符。 字母或字母数字长度必须至少为六个字符。
在具有工作配置文件的个人拥有设备上,有两个密码受此 密码复杂性 设置的影响:
- 解锁设备的设备密码
- 允许用户访问工作配置文件的工作配置文件密码
如果设备密码复杂性太低,则设备密码会自动更改为需要 高 复杂性。 最终用户必须更新设备密码以满足复杂性要求。 然后,他们登录到工作配置文件,并被提示更新策略的 “密码复杂性 ”设置中配置的工作配置文件复杂性。
重要
在“ 密码复杂性 ”设置可用之前,已使用 “必需密码类型 ”和 “最短密码长度 ”设置。 这些设置仍然可用,但 Google 已弃用这些设置,适用于具有工作配置文件的 Android 12+ 个人拥有的设备。 有关这些设置的详细信息,请转到本文) 中的 Android 11 及更低版本 (。
以下是你需要了解的内容:
如果“ 必需密码类型 ”和 “最小密码长度 ”设置从策略中的默认值更改,则:
新注册的 Android Enterprise 12+ 设备将自动使用 密码复杂性 设置和 “高 复杂性”。 因此,如果不希望 高 密码复杂性,请为 Android Enterprise 12+ 设备创建新策略,并配置 “密码复杂性 ”设置。
现有 Android Enterprise 12+ 设备将继续使用所需的密码类型和最小密码长度设置,以及已配置的现有值。
如果使用“ 必需密码类型 ”和“ 最小密码长度 ”设置更改现有策略,则 Android Enterprise 12+ 设备将自动使用“ 密码复杂性 ”设置和 “高 复杂性”。
对于 Android Enterprise 12+ 设备,建议配置 “密码复杂性 ”设置。
如果 “必需密码类型 ”和 “最小密码长度 ”设置未更改策略中的默认值,则不会自动将密码策略应用于新注册的 Android Enterprise 12+ 设备。
Android 11 及更早版本
重要
- Google 已弃用工作配置文件的 Android 12+ 个人拥有设备的这些必需密码类型和最小密码长度设置,并将其替换为新的密码复杂性要求。 有关此更改的详细信息,请转到 Android 13 的天零支持。
- 在 Android Enterprise 12+ 设备上,使用 “密码复杂性” 设置。
所需的密码类型:输入所需的密码复杂性级别,以及是否可以使用生物识别设备。 选项包括:
- 设备默认 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能不需要密码。
- 低安全性生物识别: 强生物识别与弱生物识别 (打开 Android 网站)
- 必需
- 至少为数值:包括数字字符,例如
123456789。 - 数值复数:不允许使用重复或连续的数字,例如
1111或1234。 - 至少按字母顺序排列:包括字母表中的字母。 不需要数字和符号。
- 至少为字母数字:包括大写字母、小写字母和数字字符。
- 至少包含符号的字母数字:包括大写字母、小写字母、数字字符、标点符号和符号。
最小密码长度:输入密码必须具有的最小长度,默认值为 4 () 到 16 个字符。
系统安全
应用威胁扫描: “需要 ”强制为工作和个人配置文件启用 “验证应用” 设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
此设置适用于:
- Android 8 (Oreo) 以及具有工作配置文件的较新个人拥有的设备
阻止从个人配置文件中的未知源安装应用:根据设计,具有工作配置文件的 Android Enterprise 个人拥有的设备不能从 Play Store 以外的源安装应用。 此设置允许管理员对来自未知源的应用安装进行更多控制。 “阻止” 可阻止从个人配置文件中的 Google Play 商店以外的源安装应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许从个人配置文件中的未知源安装应用。 从本质上说,具有工作配置文件的个人拥有的设备旨在采用双配置文件:
- 个人拥有的设备,其工作配置文件使用 MDM 进行管理。
- 与 MDM 管理隔离的个人配置文件。
连接性
Always-On VPN: “启用” 将 VPN 客户端设置为自动连接并重新连接到 VPN。 始终可用 VPN 连接保持连接。 或者,当用户锁定设备、设备重启或无线网络更改时立即连接。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会为所有 VPN 客户端禁用 Always-On VPN。
重要
请确保仅将一个Always On VPN 策略部署到单个设备。 不支持将多个 Always VPN 策略部署到单个设备。
VPN 客户端:选择支持Always On的 VPN 客户端。 选项包括:
- Cisco AnyConnect
- F5 Access
- Palo Alto Networks GlobalProtect
- 脉冲安全
- 自定义警报
- 包 ID:在 Google Play 商店中输入应用的包 ID。 例如,如果 Play 商店中应用的 URL 为
https://play.google.com/store/details?id=com.contosovpn.android.prod,则包 ID 为com.contosovpn.android.prod。
- 包 ID:在 Google Play 商店中输入应用的包 ID。 例如,如果 Play 商店中应用的 URL 为
重要
- 所选的 VPN 客户端必须安装在设备上。 它还必须在具有工作配置文件的个人拥有的设备中支持每应用 VPN。 否则,就会出错。
- 你需要在托管的 Google Play 商店中批准 VPN 客户端应用,将应用同步到Intune,并将应用部署到设备。 执行此操作后,应用将安装到具有工作配置文件的用户个人拥有的设备中。
- 将每应用 VPN 与适用于 Android 3.0.4 的 F5 访问配合使用时,可能存在已知问题。 有关详细信息,请参阅 适用于 Android 3.0.4 的 F5 Access 的发行说明。
锁定模式: 启用 将强制所有网络流量使用 VPN 隧道。 如果未建立与 VPN 的连接,则设备将无法访问网络。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许流量流经 VPN 隧道或移动网络。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈