Intune 中的 Android 和 Samsung Knox Standard 裝置限制設定清單

  • 發行項

本文說明您可以為執行 Android 的裝置設定的所有Microsoft Intune裝置限制設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來允許或停用功能、設定密碼需求、控制安全性等等。

本功能適用於:

  • Android 裝置系統管理員 (DA)

重要事項

Microsoft Intune于 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支援結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援

提示

如果您想要的設定無法使用,您可能可以使用 自訂設定檔來設定裝置。

開始之前

建立 Android 裝置系統管理員裝置限制組態設定檔

一般

  • 相機[封鎖 ] 會防止存取裝置相機。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取裝置相機。

    Intune 只會管理裝置相機的存取權。 它無法存取圖片或影片。

  • 只) (Samsung Knox 複製並貼上 [封鎖 ] 會防止複製和貼上。 [未設定] 允許在裝置上複製和貼上函式。

  • 僅限 Samsung Knox (應用程式之間的剪貼簿共用) [封鎖 ] 會防止在應用程式之間使用剪貼簿進行複製和貼上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上複製和貼上功能。

  • 診斷資料提交 (僅限 Samsung Knox) [封鎖] 會 阻止使用者從裝置提交錯誤報表。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者提交資料。

  • 僅) 抹除 Samsung Knox (:允許使用者在裝置上執行 抹除 動作。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。

  • Geolocation (Samsung Knox 僅) [封鎖 ] 會停用裝置使用位置資訊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置使用位置資訊。

  • 僅 (Samsung Knox 開機) [封鎖 ] 可防止使用者關閉裝置電源。 它也會防止在抹 除裝置設定之前發生登入失敗次數 設定,以及防止其運作。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者關閉裝置電源。

  • 僅限 Samsung Knox (螢幕擷取) [封鎖 ] 會防止螢幕擷取畫面。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者將螢幕內容擷取為影像。

  • 語音助理 (Samsung Knox 僅) [封鎖] 會停用 S Voice 服務。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用 S Voice 服務和應用程式。 此設定不適用於 Bixby 或語音助理,也適用于大聲朗讀螢幕內容的協助工具。

  • YouTube (Samsung Knox 僅) [封鎖 ] 會防止使用者使用 YouTube 應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用 YouTube 應用程式。

  • Samsung Knox (共用裝置僅) :將受控 Samsung Knox Standard 裝置設定為共用。 [允許] 可讓使用者使用其Microsoft Entra認證來登入和登出裝置。 無論裝置是否在使用中,裝置都會保持受控狀態。

    搭配 SCEP 憑證設定檔使用 時,這項功能可讓使用者為所有使用者共用具有相同應用程式的裝置。 但是,每個使用者都有自己的 SCEP 使用者憑證。 當使用者登出時,會清除所有應用程式資料。 這項功能僅限於 LOB 應用程式。

    當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止多位使用者使用其Microsoft Entra認證登入裝置上的公司入口網站應用程式。

  • 封鎖 Samsung Knox) (日期和時間變更 [封鎖 ] 可防止使用者變更裝置上的日期和時間設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更日期和時間設定。

密碼

  • 加密:選取 [ 需要 ] 以加密裝置上的檔案。 並非所有裝置都支援加密。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 若要設定此設定並正確報告合規性,也請設定:

    1. 密碼:設定為 [需要]
    2. 必要的密碼類型:設定為 至少數值
    3. 密碼長度下限:設定為至少 4

    注意事項

    如果強制執行加密原則,Samsung Knox 裝置會要求使用者將 6 個字元的複雜密碼設定為裝置密碼。

所有 Android 裝置

這些設定適用于 Android 4.0 和更新版本,以及 Knox 4.0 和更新版本。

  • 停止活動最多分鐘數,直到螢幕鎖定為止:輸入裝置在自動鎖定螢幕之前必須閒置的時間長度。 例如,輸入 5 以在閒置 5 分鐘後鎖定裝置。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。

    在裝置上,使用者無法設定大於設定檔中所設定時間的時間值。 使用者可以設定較低的時間值。 例如,如果設定檔設定為 15 分鐘,使用者可以將值設定為 5 分鐘。 使用者無法將值設定為 30 分鐘。

  • 抹除裝置之前登入失敗次數:輸入抹除裝置之前允許的錯誤密碼數目,從 4 到 11。 0 (零) 可能會停用裝置抹除功能。 當值為空白時,Intune 不會變更或更新此設定。

  • 密碼要求 使用者輸入密碼以存取裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在不輸入密碼的情況下存取裝置。

    注意事項

    Samsung Knox 裝置會在 MDM 註冊期間自動要求 4 位數 PIN。 原生 Android 裝置可能會自動要求 PIN 符合條件式存取的規範。

Android 10 和更新版本

  • 密碼複雜度:輸入必要的密碼複雜度。 選項包括:

    • (預設) :不需要密碼。
    • :密碼符合下列其中一個條件:
      • 模式
      • 數值 PIN 具有重複 (4444) 或排序 (1234、4321、2468) 序列。
    • :密碼符合下列其中一個條件:
      • 數值 PIN 沒有重複 (4444) 或排序 (1234、4321、2468) 序列,且長度下限為 4。
      • 字母,最小長度為 4。
      • 英數位元,最小長度為 4。
    • :密碼符合下列其中一個條件:
      • 數值 PIN 沒有重複 (4444) 或排序 (1234、4321、2468) 序列,且長度下限為 8。
      • 字母,最小長度為 6。
      • 英數位元,最小長度為 6。

    此設定適用于:

    • Android 10 和更新版本,但不是在 Samsung Knox 上。

    重要事項

    [ 密碼複雜度 ] 設定是進行中的一項工作。 在 2020 年 10 月底, 密碼複雜度 會在裝置上生效。

    如果您將 [密碼複雜度 ] 設定為 [ ] 以外的部分,則也會將 [ 密碼 ] 設定設為 [ 需要],這可在 [ 所有 Android 裝置 ] 區段下找到。 密碼不符合複雜性需求的使用者會收到更新其密碼的警告。 如果您未將 [ 密碼 ] 設定設為 [ 需要],則具有弱式密碼的使用者將不會收到警告。

Android 9 和更早版本,或 Samsung Knox (任何版本)

  • 密碼長度下限:輸入所需的字元數下限,從 4 到 16。 例如,輸入 6 以要求密碼長度至少需要六個數字或字元。

  • 密碼到期 (天數) :輸入必須變更裝置密碼的天數,從 1 到 365。 例如,輸入 90 以在 90 天后讓密碼過期。 密碼到期時,系統會提示使用者建立新密碼。 當值為空白時,Intune 不會變更或更新此設定。

  • 必要的密碼類型:輸入必要的密碼複雜度層級,以及是否可以使用生物特徵辨識裝置。 選項包括:

    • 裝置預設值

    • 低安全性生物特徵辨識: 強式與弱式生物特徵辨 識 (會開啟 Android 的網站)

    • 至少數值:包含數值字元,例如 123456789

    • 數值複雜:不允許重複或連續的數位,例如 「1111」 或 「1234」。 將此設定指派給裝置之前,請務必將公司入口網站應用程式更新為這些裝置上的最新版本。

      當設定為 [數值複雜] 且您將設定指派給執行 Android 版本早于 5.0 的裝置時,則會套用下列行為:

      • 如果公司入口網站應用程式執行的版本早于 1704,則裝置不會套用任何 PIN 原則,Microsoft Intune系統管理中心會顯示錯誤。
      • 如果公司入口網站應用程式執行 1704 版或更新版本,則只能套用簡單的 PIN 碼。 5.0 之前的 Android 版本不支援此設定。 Microsoft Intune系統管理中心不會顯示任何錯誤。

    • 至少字母:在字母表中包含字母。 不需要數位和符號。

    • 至少是英數位元:包含大寫字母、小寫字母和數位字元。

    • 至少是具有符號的英數位元:包括大寫字母、小寫字母、數位字元、標點符號和符號。

  • 避免重複使用先前的密碼:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入 5 ,讓使用者無法將新密碼設定為其目前密碼或先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。

  • 僅限 Samsung Knox (指紋解除鎖定) [封鎖 ] 會防止使用指紋來解除鎖定裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。根據預設,OS 可能會允許使用者使用指紋解除鎖定裝置。

  • 智慧鎖定和其他信任代理程式: [封鎖 ] 可防止智慧鎖定或其他信任代理程式調整鎖定畫面設定。 如果裝置位於信任的位置,則這項功能也稱為信任代理程式,可讓您停用或略過裝置鎖定畫面密碼。 例如,當裝置連線到特定藍牙裝置,或裝置接近 NFC 標籤時,請使用此功能。 您可以使用此設定來防止使用者設定 Smart Lock。

    當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。

    此設定適用于:

    • Samsung KNOX Standard 5.0 和更新版本

Google Play 商店

  • 僅限 Samsung Knox (Google Play 商店) [封鎖 ] 會防止使用者使用 Google Play 商店。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者存取裝置上的 Google Play 商店。

受限制的應用程式

Android 和 Samsung Knox Standard 裝置支援此功能。

  • 受限制的應用程式清單類型:建立允許或封鎖裝置上的應用程式清單。 Android 和 Samsung Knox Standard 裝置支援此功能。 選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。
    • 禁止的應用程式:列出 Intune) 不允許使用者安裝和執行 (管理的應用程式。 如果使用者從此清單安裝應用程式,Intune 會通知您。
    • 核准的應用程式:列出允許使用者安裝的應用程式。 若要保持合規性,使用者不得安裝其他應用程式。 Intune 所管理的應用程式會自動允許,包括公司入口網站應用程式。

  • 應用程式清單新增 您的應用程式:

    • App Store URL:輸入您想要之應用程式的 Google Play 商店 URL。 例如,若要新增 Android 的 Microsoft 遠端桌面 應用程式,請輸入 https://play.google.com/store/apps/details?id=com.microsoft.rdc.android

      若要尋找應用程式的 URL,請開啟 Google Play 商店,然後搜尋應用程式。 例如,搜尋 Microsoft Remote Desktop Play StoreMicrosoft Planner 。 選取應用程式,然後複製 URL。

    • 應用程式套件組合識別碼:輸入應用程式套件組合識別碼。

    • 應用程式名稱:輸入您想要的名稱。 此名稱會顯示給使用者。

    • 發行者 (選擇性) :輸入應用程式的發行者,例如 Microsoft

您也可以 入 CSV 檔案,其中包含應用程式的詳細資料,包括 URL。 <使用應用程式 URL> 、 <應用程式名稱> 、 <應用程式發行者> 格式。 或者, 出包含相同格式之受限制應用程式清單的現有清單。

重要事項

使用受限制應用程式設定的裝置設定檔必須指派給使用者群組,而不是裝置群組。

瀏覽器

  • 僅限 Samsung Knox (網頁瀏覽器) [封鎖 ] 會防止在裝置上使用預設網頁瀏覽器。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用裝置的預設網頁瀏覽器。
  • 僅限 Samsung Knox (自動填入) [封鎖 ] 會防止瀏覽器自動填入文字。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許自動填滿。
  • 僅限 Samsung Knox (Cookie) :選擇如何處理來自裝置上網站的 Cookie。 選項包括:
    • 允許
    • 封鎖所有 Cookie
    • 允許來自流覽網站的 Cookie
    • 允許來自目前網站的 Cookie
  • JavaScript (Samsung Knox 僅) [封鎖 ] 會防止 JavaScript 在瀏覽器中執行。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這些腳本。
  • 僅限 Samsung Knox (快顯) : [封鎖 ] 會開啟快顯封鎖程式,以防止網頁瀏覽器出現快顯視窗。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許快顯視窗。

允許或封鎖應用程式

使用這些設定來允許、封鎖或隱藏 Samsung Knox Standard 裝置上的特定應用程式。 隱藏的應用程式無法由使用者開啟或執行。

選項包括:

  • 允許安裝的應用程式僅 (Samsung Knox Standard) :新增使用者可以安裝的應用程式。 使用者無法安裝不在清單上的應用程式。
  • 僅) 封鎖啟動 (Samsung Knox Standard 的應用程式:輸入使用者無法在其裝置上執行的應用程式。
  • 僅) 從使用者 (Samsung Knox Standard 隱藏的應用程式:輸入裝置上隱藏的應用程式。 使用者無法探索或執行這些應用程式。

針對每個設定,新增您的應用程式:

  • 依套件名稱新增應用程式:輸入應用程式名稱和應用程式套件的名稱。 主要用於企業營運應用程式。
  • 依 URL 新增應用程式:在 Google Play 商店中輸入應用程式名稱及其 URL。
  • 新增市集應用程式:從您在 Intune 中管理的現有應用程式清單中選取應用程式。

雲端和儲存體

  • 僅限 Samsung Knox (Google 備份) [封鎖 ] 會防止裝置同步至 Google 備份。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Google 備份。
  • Google 帳戶自動同步 (僅限 Samsung Knox) [封鎖 ] 會防止裝置上的 Google 帳戶自動同步處理功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許自動同步處理 Google 帳戶設定。
  • 卸載式存儲 (Samsung Knox 僅) [封鎖 ] 會防止裝置使用卸載式儲存體。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置使用抽取式存放裝置,例如 SD 記憶卡。
  • 僅限 Samsung Knox (儲存體卡片上的加密) [需要 ] 會強制執行必須加密的儲存體卡片。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用未加密的儲存體卡片。 並非所有裝置都支援儲存體卡片加密。 若要確認,請洽選裝置製造商。

行動資料和連線能力

  • 僅限 Samsung Knox (資料漫遊) [封鎖 ] 會防止透過行動資料網路進行資料漫遊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許資料漫遊。
  • SMS/MMS 傳訊 (Samsung Knox 僅) [封鎖 ] 會防止裝置上的簡訊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 SMS 和 MMS 傳訊。
  • 僅限 Samsung Knox 語音撥 () [封鎖 ] 可防止使用者在裝置上使用語音撥號功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許語音撥號。
  • 僅限 Samsung Knox (語音漫遊) [封鎖 ] 會防止透過行動資料網路進行語音漫遊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許語音漫遊。
  • 藍牙 (Samsung Knox 僅) [封鎖 ] 防止在裝置上使用藍牙。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用藍牙。
  • NFC (Samsung Knox 僅) [封鎖 ] 會停用在支援 NFC) 裝置上使用近距離現場通訊 (作業。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 NFC 作業。
  • Wi-Fi (Samsung Knox 僅) [封鎖 ] 防止在裝置上使用 Wi-Fi。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Wi-Fi。
  • 僅限 Samsung Knox (Wi-Fi 系結) [封鎖 ] 會防止在裝置上使用 Wi-Fi 系結。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Wi-Fi 系結。

Kiosk

Kiosk 設定僅適用于執行 Android 10 或更早版本的 Samsung Knox Standard 裝置,且僅適用于您使用 Intune 管理的應用程式。

  • 新增您想要在裝置處於 kiosk 模式時執行的應用程式。 在 kiosk 模式中,只有您新增的應用程式會執行;未新增的應用程式不會執行。 當裝置處於 kiosk 模式時,預先安裝的瀏覽器不會以應用程式執行。 如果需要瀏覽器,請考慮使用 Managed Browser

    您的應用程式選項:

    • 依套件名稱新增應用程式:主要用於企業營運應用程式。 輸入應用程式名稱和應用程式套件的名稱。
    • 依 URL 新增應用程式:在 Google Play 商店中輸入應用程式名稱及其 URL。
    • 新增市集應用程式:從您在 Intune 中管理的現有應用程式清單中選取應用程式。

  • 螢幕睡眠按鈕[封鎖 ] 會防止或隱藏螢幕睡眠按鈕。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置上的螢幕睡眠喚醒按鈕。

  • 音量按鈕[封鎖 ] 會停用音量按鈕,以防止使用者調整磁片區。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用磁片區按鈕。

後續步驟

指派設定檔監視其狀態

您也可以為Android EnterpriseWindows 10裝置建立 kiosk 設定檔。