Lista ustawień urządzenia z systemem Android Enterprise umożliwiająca lub ograniczająca funkcje na urządzeniach należących do firmy przy użyciu Intune
W tym artykule opisano różne ustawienia, które można kontrolować i ograniczać na urządzeniach z systemem Android Enterprise należących do organizacji. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby zezwalać na funkcje lub je wyłączać, uruchamiać aplikacje na dedykowanych urządzeniach, kontrolować zabezpieczenia i nie tylko.
Ta funkcja ma zastosowanie do:
- Profil służbowy należący do firmy systemu Android Enterprise (COPE)
- W pełni zarządzane firmowe urządzenie z systemem Android Enterprise (COBO)
- Dedykowane urządzenia firmowe z systemem Android Enterprise (COSU)
Porada
- W przypadku urządzeń AOSP przejdź do pozycji Ustawienia urządzeń z systemem Android (AOSP), aby zezwolić na funkcje lub ograniczyć je przy użyciu Intune.
- W przypadku urządzeń osobistych z systemem Android Enterprise z profilem służbowym (BYOD) przejdź do pozycji Ustawienia urządzeń z systemem Android Enterprise, aby zezwolić na funkcje na urządzeniach osobistych lub ograniczyć je przy użyciu Intune.
Przed rozpoczęciem
Utwórz profil konfiguracji ograniczeń urządzenia z systemem Android.
W pełni zarządzany, dedykowany i należący do firmy profil służbowy
Te ustawienia dotyczą typów rejestracji systemu Android Enterprise, w których Intune kontroluje całe urządzenie, takie jak w pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym systemu Android Enterprise.
Niektóre ustawienia nie są obsługiwane przez wszystkie typy rejestracji. Aby wyświetlić obsługiwane ustawienia różnych typów rejestracji, zaloguj się do centrum administracyjnego Intune. Każde ustawienie znajduje się w nagłówku wskazującym typy rejestracji, które mogą używać tego ustawienia.
W przypadku urządzeń należących do firmy z profilem służbowym niektóre ustawienia mają zastosowanie tylko w profilu służbowym. Te ustawienia mają (poziom profilu służbowego) w nazwie ustawienia. W przypadku w pełni zarządzanych i dedykowanych urządzeń te ustawienia dotyczą całego urządzenia.
Ogólne
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym
Przechwytywanie ekranu (na poziomie profilu służbowego): pozycja Blokuj uniemożliwia zrzuty ekranu lub przechwytywanie ekranu na urządzeniu. Zapobiega to również wyświetlaniu zawartości na urządzeniach wyświetlanych, które nie mają bezpiecznych danych wyjściowych wideo. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na przechwytywanie zawartości ekranu jako obrazu.
Kamera (poziom profilu służbowego): Pozycja Blokuj uniemożliwia dostęp do aparatu na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na dostęp do aparatu.
Intune zarządza tylko dostępem do aparatu urządzenia. Nie ma dostępu do zdjęć ani filmów wideo.
Domyślne zasady uprawnień (na poziomie profilu służbowego): to ustawienie definiuje domyślne zasady uprawnień dla żądań uprawnień środowiska uruchomieniowego. Opcje
- Ustawienie domyślne urządzenia (domyślne): użyj ustawienia domyślnego urządzenia.
- Monit: użytkownicy są monitowane o zatwierdzenie uprawnienia.
- Automatyczne udzielanie: uprawnienia są przyznawane automatycznie.
- Automatyczne odmawianie: uprawnienia są automatycznie odrzucane.
Zmiany daty i godziny: ustawienie Blokuj uniemożliwia użytkownikom ręczne ustawianie daty i godziny. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na ustawianie daty i godziny na urządzeniu.
Usługi danych mobilnych: ustawienie Blokuj uniemożliwia roaming danych za pośrednictwem sieci komórkowej. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na roaming danych, gdy urządzenie znajduje się w sieci komórkowej.
Konfiguracja punktu dostępu sieci Wi-Fi: ustawienie Blokuj uniemożliwia użytkownikom tworzenie lub zmienianie konfiguracji Wi-Fi. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na zmianę ustawień Wi-Fi na urządzeniu.
Konfiguracja połączenia Bluetooth: ustawienie Blokuj uniemożliwia użytkownikom konfigurowanie połączenia Bluetooth na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na korzystanie z połączenia Bluetooth na urządzeniu.
Uwięzi i dostęp do hotspotów: Pozycja Blokuj uniemożliwia uwięzi i dostęp do przenośnych hotspotów. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na uwięzi i dostęp do przenośnych hotspotów.
Transfer plików USB: Ustawienie Blokuj uniemożliwia przesyłanie plików przez USB. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na przesyłanie plików.
Nośniki zewnętrzne: ustawienie Blokuj uniemożliwia używanie lub łączenie jakichkolwiek nośników zewnętrznych na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na korzystanie z nośników zewnętrznych na urządzeniu.
Przesyłanie danych za pomocą funkcji NFC (poziom profilu służbowego): pozycja Blokuj uniemożliwia korzystanie z technologii NFC (Near Field Communication) do przesyłania danych z aplikacji. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na udostępnianie danych między urządzeniami przy użyciu funkcji NFC.
Ustawienia dewelopera: wybierz pozycję Zezwalaj , aby umożliwić użytkownikom dostęp do ustawień dewelopera na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić użytkownikom dostęp do ustawień dewelopera na urządzeniu.
Regulacja mikrofonu: Pozycja Blokuj uniemożliwia użytkownikom odmnożanie mikrofonu i dostosowywanie głośności mikrofonu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na używanie i dostosowywanie głośności mikrofonu na urządzeniu.
Wiadomości e-mail dotyczące ochrony przed resetowaniem do ustawień fabrycznych: wybierz adresy e-mail konta Google. Wprowadź adresy e-mail administratorów urządzeń, którzy mogą odblokować urządzenie po jego wyczyszczoniu. Pamiętaj, aby oddzielić adresy e-mail średnikami, takimi jak
admin1@gmail.com;admin2@gmail.com. Te wiadomości e-mail mają zastosowanie tylko wtedy, gdy jest uruchamiane resetowanie do ustawień fabrycznych innych niż użytkownik, na przykład uruchomienie resetowania do ustawień fabrycznych przy użyciu menu odzyskiwania.W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
Aktualizacja systemu: wybierz opcję, aby zdefiniować sposób, w jaki urządzenie obsługuje aktualizacje na antenie. Opcje
Ustawienie domyślne urządzenia (domyślne): użyj ustawienia domyślnego urządzenia. Domyślnie, jeśli urządzenie jest połączone z siecią Wi-Fi, ładuje się i jest bezczynne, system operacyjny aktualizuje się automatycznie. W przypadku aktualizacji aplikacji system operacyjny sprawdza również, czy aplikacja nie jest uruchomiona na pierwszym planie.
Automatyczne: Aktualizacje są instalowane automatycznie bez interakcji z użytkownikiem. Ustawienie tych zasad natychmiast powoduje zainstalowanie wszelkich oczekujących aktualizacji.
Odroczone: Aktualizacje są odłożone na 30 dni. Po upływie 30 dni system Android monituje użytkowników o zainstalowanie aktualizacji. Producenci lub przewoźnicy urządzeń mogą zapobiec odraczaniu (wykluczania) ważnych aktualizacji zabezpieczeń. Wykluczona aktualizacja wyświetla powiadomienie systemowe użytkownikom na urządzeniu.
Okno konserwacji: automatycznie instaluje aktualizacje podczas codziennego okna konserwacji ustawionego w Intune. Instalacja jest podejmowana codziennie przez 30 dni i może zakończyć się niepowodzeniem w przypadku niewystarczającego miejsca lub poziomu baterii. Po 30 dniach system Android monituje użytkowników o zainstalowanie.
To ustawienie dotyczy aktualizacji systemu operacyjnego i aplikacji Ze Sklepu Play. Każde okno obsługi ma pierwszeństwo przed wprowadzaniem zmian w urządzeniu w toku.
Użyj tej opcji dla dedykowanych urządzeń, takich jak kioski, ponieważ można aktualizować aplikacje dedykowanego urządzenia dedykowanego dla jednej aplikacji.
Okresy zawieszania aktualizacji systemu: opcjonalne. Po ustawieniu ustawienia Aktualizacji systemu na okno Automatyczne, Przełożone lub Konserwacja użyj tego ustawienia, aby utworzyć okres blokady:
- Data rozpoczęcia: wprowadź datę rozpoczęcia w
MM/DDformacie do 90 dni. Na przykład wprowadź polecenie11/15, aby rozpocząć okres zamrożenia 15 listopada. - Data zakończenia: wprowadź datę końcową w
MM/DDformacie do 90 dni. Na przykład wprowadź polecenie01/15, aby zakończyć okres zamrożenia 15 stycznia.
W tym okresie blokady wszystkie przychodzące aktualizacje systemu i poprawki zabezpieczeń są blokowane, w tym ręczne sprawdzanie dostępności aktualizacji.
Gdy zegar urządzenia znajduje się poza okresem zamrożenia, urządzenie będzie nadal otrzymywać aktualizacje na podstawie ustawienia aktualizacji systemu .
Aby ustawić wiele cyklicznych okresów zamrożenia rocznie, upewnij się, że okresy zamrożenia są oddzielone co najmniej 60 dniami.
To ustawienie dotyczy:
- System Android 9.0 i nowsze
- Data rozpoczęcia: wprowadź datę rozpoczęcia w
Lokalizacja: pozycja Blokuj wyłącza ustawienie Lokalizacja na urządzeniu i uniemożliwia użytkownikom włączenie go. Jeśli to ustawienie jest wyłączone, dotyczy to wszystkich innych ustawień zależnych od lokalizacji urządzenia, w tym akcji zdalnej lokalizowania urządzenia używanej przez administratorów. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na używanie lokalizacji na urządzeniu.
W pełni zarządzane i dedykowane urządzenia
Zmiany głośności: pozycja Blokuj uniemożliwia użytkownikom zmianę woluminu urządzenia, a także wyciszenia woluminu głównego. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na używanie ustawień woluminu na urządzeniu.
Resetowanie do ustawień fabrycznych: ustawienie Blokuj uniemożliwia użytkownikom korzystanie z opcji resetowania do ustawień fabrycznych w ustawieniach urządzenia. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na używanie tego ustawienia na urządzeniu.
Pasek stanu: pozycja Blokuj uniemożliwia dostęp do paska stanu, w tym powiadomień i szybkich ustawień. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na dostęp do paska stanu.
Zmiany ustawień sieci Wi-Fi: ustawienie Blokuj uniemożliwia użytkownikom zmianę ustawień Wi-Fi utworzonych przez właściciela urządzenia. Użytkownicy mogą tworzyć własne konfiguracje Wi-Fi. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na zmianę ustawień Wi-Fi na urządzeniu.
Magazyn USB: wybierz pozycję Zezwalaj na dostęp do magazynu USB na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić dostęp do magazynu USB.
Kreskowanie ucieczki sieci: pozycja Włącz umożliwia użytkownikom włączenie funkcji kreskowania ucieczki sieci. Jeśli połączenie sieciowe nie jest nawiązywane podczas uruchamiania urządzenia, w luku ewakuacyjnym zostanie wyświetlony monit o tymczasowe połączenie z siecią i odświeżenie zasad urządzenia. Po zastosowaniu zasad sieć tymczasowa zostanie zapomniana, a urządzenie będzie kontynuować rozruch. Ta funkcja łączy urządzenia z siecią, jeśli:
- W ostatnich zasadach nie ma odpowiedniej sieci.
- Urządzenie jest uruchamiane w aplikacji w trybie zadania blokady.
- Użytkownicy nie mogą uzyskać dostępu do ustawień urządzenia.
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić użytkownikom włączenie funkcji limitu ucieczki sieci na urządzeniu.
Okna powiadomień: po ustawieniu opcji Wyłącz powiadomienia okienne, w tym wyskakujące, połączenia przychodzące, połączenia wychodzące, alerty systemowe i błędy systemowe, nie są wyświetlane na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może wyświetlać powiadomienia.
Pomiń wskazówki dotyczące pierwszego użycia: opcja Włącz ukrywa lub pomija sugestie z aplikacji, które przechodzą przez samouczki lub wskazówki po uruchomieniu aplikacji. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może wyświetlać te sugestie podczas uruchamiania aplikacji.
W pełni zarządzane i należące do firmy urządzenia z profilem służbowym
- Lokalizowanie urządzenia: ustawienie Zezwalaj umożliwia administratorom lokalizowanie utraconych lub skradzionych urządzeń przy użyciu akcji zdalnej. Po ustawieniu opcji Zezwalaj użytkownicy końcowi otrzymują jednorazowe powiadomienie z informacją, że Intune ma uprawnienia do lokalizacji. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na lokalizowanie urządzeń przy użyciu geolokalizacji.
Urządzenia dedykowane
Menu przycisku zasilania: pozycja Blokuj ukrywa opcje zasilania, gdy użytkownicy przytrzymają przycisk zasilania w trybie kiosku. Ukrycie tych opcji uniemożliwia użytkownikom przypadkowe lub celowe zamykanie urządzeń. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie, gdy użytkownicy przytrzymają przycisk zasilania na urządzeniu, są wyświetlane opcje zasilania, takie jak Ponowne uruchamianie i Wyłączanie.
To ustawienie dotyczy:
- System Android 9.0 i nowsze
Ostrzeżenia o błędach systemowych: pozycja Zezwalaj wyświetla ostrzeżenia systemowe na ekranie w trybie kiosku, w tym nieodpowiadające aplikacje i ostrzeżenia systemowe. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może ukryć te ostrzeżenia. Gdy wystąpi jedno z tych zdarzeń, system wymusza zamknięcie aplikacji.
To ustawienie dotyczy:
- System Android 9.0 i nowsze
Włączone funkcje nawigacji systemowej: zezwalaj użytkownikom na dostęp do przycisków strony głównej urządzenia i przycisków przeglądu w trybie kiosku. Dostępne opcje:
Nie skonfigurowano (ustawienie domyślne): Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może wyłączyć przyciski strony głównej i przeglądu urządzenia.
Tylko przycisk strony głównej: użytkownicy mogą wyświetlać i wybierać przycisk strony głównej. Nie widzą ani nie wybierają przycisków przeglądu.
Przyciski strony głównej i przeglądu: użytkownicy mogą wyświetlać i wybierać przyciski strony głównej i przeglądu.
Po zarejestrowaniu urządzenia i użyciu aplikacji Zarządzany Ekran Główny włączenie przycisku Przegląd umożliwia użytkownikom końcowym pomijanie lub ignorowanie ekranów logowania i numeru PIN sesji. Ekrany są nadal wyświetlane, ale użytkownicy mogą je ignorować i nie muszą wprowadzać żadnych elementów.
To ustawienie dotyczy:
- System Android 9.0 i nowsze
Powiadomienia systemowe i informacje: zezwalaj użytkownikom na dostęp do paska stanu urządzenia i otrzymywanie powiadomień z paska stanu w trybie kiosku. Dostępne opcje:
- Nie skonfigurowano (ustawienie domyślne): Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może wyłączyć pasek stanu i wyłączyć powiadomienia na pasku stanu.
- Pokaż informacje o systemie na pasku stanu urządzenia: użytkownicy mogą wyświetlać informacje o systemie na pasku stanu. Użytkownicy nie mogą wyświetlać ani otrzymywać powiadomień z paska stanu.
- Pokaż powiadomienia systemowe i informacje na pasku stanu urządzenia: użytkownicy mogą wyświetlać informacje o systemie i otrzymywać powiadomienia z paska stanu. Aby wyświetlić powiadomienia, włącz przycisk strona główna urządzenia przy użyciu ustawienia Włączone funkcje nawigacji systemu .
To ustawienie dotyczy:
- System Android 9.0 i nowsze
Dostęp użytkownika końcowego do ustawień urządzenia: pozycja Blokuj uniemożliwia użytkownikom dostęp do aplikacji Ustawienia i uniemożliwia innym aplikacjom w trybie kiosku otwieranie aplikacji Ustawienia. Jeśli urządzenie jest kioskiem, ustaw to ustawienie na wartość Blokuj.
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na dostęp do ustawień i zezwalać aplikacjom w trybie kiosku na otwieranie aplikacji Ustawienia.
To ustawienie dotyczy:
- System Android 9.0 i nowsze
Lokalizowanie urządzenia: ustawienie Blokuj uniemożliwia administratorom lokalizowanie utraconych lub skradzionych urządzeń przy użyciu akcji zdalnej. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na lokalizowanie urządzeń przy użyciu geolokalizacji.
Urządzenia z profilem służbowym należącym do firmy
Udostępnianie kontaktów za pośrednictwem połączenia Bluetooth (na poziomie profilu służbowego): pozycja Blokuj uniemożliwia użytkownikom udostępnianie kontaktów w profilu służbowym urządzeniom za pośrednictwem połączenia Bluetooth. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na udostępnianie kontaktów za pośrednictwem połączenia Bluetooth.
Search kontakty służbowe i wyświetl identyfikator osoby dzwoniącej do kontaktu służbowego w profilu osobistym: w profilu osobistym pozycja Blokuj uniemożliwia użytkownikom wyszukiwanie kontaktów służbowych i wyświetlanie informacji o identyfikatorze rozmówcy służbowego.
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na wyszukiwanie kontaktów służbowych i pokazywanie identyfikatorów wywołujących pracę.
Kopiowanie i wklejanie między profilami służbowymi i osobistymi: ustawienie Zezwalaj umożliwia użytkownikom kopiowanie i wklejanie danych między profilami służbowymi i osobistymi.
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może:
- Uniemożliwiaj użytkownikom wklejanie tekstu do profilu osobistego skopiowanego z profilu służbowego.
- Zezwalaj użytkownikom na kopiowanie tekstu z profilu osobistego i wklejanie go do profilu służbowego.
- Zezwalaj użytkownikom na kopiowanie tekstu z profilu służbowego i wklejanie go do profilu służbowego.
Udostępnianie danych między profilami służbowymi i osobistymi: określ, czy dane mogą być udostępniane między profilami służbowymi i osobistymi. Dostępne opcje:
- Ustawienie domyślne urządzenia: Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić użytkownikom udostępnianie danych w profilu służbowym za pomocą profilu osobistego. Dane w profilu osobistym można udostępniać w profilu służbowym.
- Blokuj wszystkie udostępnianie między profilami: uniemożliwia użytkownikom udostępnianie danych między profilami służbowymi i osobistymi.
- Blokuj udostępnianie z profilu służbowego do osobistego: uniemożliwia użytkownikom udostępnianie danych w profilu służbowym za pomocą profilu osobistego. Dane w profilu osobistym można udostępniać profilowi służbowe.
- Brak ograniczeń dotyczących udostępniania: dane mogą być udostępniane między profilami służbowymi i osobistymi.
Zabezpieczenia systemu
Skanowanie pod kątem zagrożeń w aplikacjach: ustawienie Wymagaj (domyślne) umożliwia usłudze Google Play Protect skanowanie aplikacji przed zainstalowaniem i po ich zainstalowaniu. Jeśli wykryje zagrożenie, może ostrzegać użytkowników o usunięciu aplikacji z urządzenia. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie włączać ani uruchamiać funkcji Google Play Protect w celu skanowania aplikacji.
Tryb typowych kryteriów: Pozycja Wymagaj umożliwia korzystanie z podwyższonego poziomu standardów zabezpieczeń, które są najczęściej używane w wysoce wrażliwych organizacjach, takich jak instytucje rządowe. Te ustawienia obejmują między innymi:
- Szyfrowanie AES-GCM kluczy długoterminowych Bluetooth
- Magazyny konfiguracji sieci Wi-Fi
- Blokuje tryb pobierania modułu ładującego rozruchu, ręczną metodę aktualizacji oprogramowania
- Wymaga dodatkowego zerowania klucza przy jego usuwaniu
- Zapobiega nieuwierzytelnionym połączeniom Bluetooth
- Wymaga, aby aktualizacje FOTA miały 2048-bitowy podpis RSA-PSS
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
Dowiedz się więcej o typowych kryteriach:
- Typowe kryteria oceny zabezpieczeń technologii informatycznych w commoncriteriaportal.org
- CommonCriteriaMode w dokumentacji interfejsu API zarządzania systemem Android.
- Knox Deep Dive: Common Criteria Mode at samsungknox.com
Środowisko urządzenia
Użyj tych ustawień, aby skonfigurować środowisko w stylu kiosku na dedykowanych urządzeniach lub dostosować środowiska ekranu głównego na w pełni zarządzanych urządzeniach.
Typ profilu rejestracji: wybierz typ profilu rejestracji, aby rozpocząć konfigurowanie programu Microsoft Launcher lub microsoft Zarządzany Ekran Główny na urządzeniach. Dostępne opcje:
Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie użytkownicy mogą wyświetlać domyślne środowisko ekranu głównego urządzenia.
Dedykowane urządzenie: skonfiguruj środowisko w stylu kiosku na dedykowanych urządzeniach. Możesz skonfigurować urządzenia do uruchamiania jednej aplikacji lub uruchamiania wielu aplikacji. Gdy urządzenie jest ustawione w trybie kiosku, dostępne są tylko dodane aplikacje. Przed skonfigurowaniem tych ustawień należy dodać i przypisać aplikacje, które mają być na urządzeniach.
Tryb kiosku: wybierz, czy na urządzeniu jest uruchomiona jedna aplikacja, czy wiele aplikacji.
Uwaga
W przypadku korzystania z trybu kiosku (pojedynczej aplikacji lub wielu aplikacji) domyślnie platforma wyłącza znane interfejsy użytkownika i przepływy pracy. Niektóre z tych funkcji można ponownie włączyć w systemie operacyjnym 9 lub nowszym. Na przykład gdy urządzenie działa w stanie kiosku, system zmienia niektóre zachowania, w tym:
- Pasek stanu urządzenia zostanie usunięty z widoku. Informacje o systemie i powiadomienia są ukryte przed użytkownikami końcowymi.
- Przyciski nawigacji urządzenia, takie jak przyciski strony głównej i przeglądu, są wyłączone i usunięte z widoku.
- Ekran blokady urządzenia, taki jak osłona kluczy, jest wyłączony.
Aby korzystać z wybierania numerów & aplikacji telefonicznych lub aby użytkownicy otrzymywali powiadomienia wypychane w trybie kiosku, użyjfunkcji nawigacji systemu z obsługąurządzeń dedykowanych> (z opcjami przycisku Strona główna) oraz ustawień powiadomień systemowych i informacji (w tym artykule). Te funkcje są dostępne na urządzeniach z systemem Android w wersji 9.0 i nowszych.
W systemie operacyjnym 9 i nowszym ustawienie Wyłączekran blokadyhasła> urządzenia (w tym artykule) zarządza zachowaniem ekranu blokady urządzenia.
Uwaga
Tryb kiosku nie uniemożliwia aplikacji kiosku uruchamiania innych aplikacji zainstalowanych na urządzeniu, w tym aplikacji Ustawienia urządzenia. Administratorzy powinni upewnić się, że wszystkie aplikacje włączone w trybie kiosku nie uruchamiają innych aplikacji, do których użytkownicy nie powinni mieć dostępu i odinstalowywać żadnych aplikacji, które nie są niezbędne na urządzeniu.
Opcje trybu kiosku:
Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
Pojedyncza aplikacja: gdy użytkownicy znajdują się na urządzeniach, mogą uzyskiwać dostęp tylko do wybranej aplikacji. Po uruchomieniu urządzenia uruchamia się tylko określona aplikacja. Użytkownicy nie mogą zmieniać uruchomionej aplikacji.
Wybierz aplikację do użycia w trybie kiosku: wybierz z listy zarządzaną aplikację systemową Google Play lub Android Enterprise. W przypadku dedykowanych urządzeń z jedną aplikacją wybrana aplikacja musi być następująca:
- Dodano w Intune.
- Przypisana do grupy urządzeń utworzonej dla dedykowanych urządzeń.
Wiele aplikacji: użytkownicy mogą uzyskiwać dostęp do ograniczonego zestawu aplikacji na urządzeniu. Po uruchomieniu urządzenia rozpoczną się tylko dodane aplikacje. Możesz również dodać linki internetowe, które użytkownicy mogą otwierać. Po zastosowaniu zasad użytkownicy widzą ikony dozwolonych aplikacji na ekranie głównym.
W przypadku dedykowanych urządzeń z wieloma aplikacjami aplikacja Zarządzany Ekran Główny nie musi znajdować się w profilu konfiguracji, ale aplikacja Zarządzany Ekran Główny ze sklepu Google Play musi być następująca:
- Dodano w Intune.
- Przypisana do grupy urządzeń utworzonej dla dedykowanych urządzeń.
Ponadto wszystkie pakiety, które mają być uruchamiane z Zarządzany Ekran Główny, muszą być następujące:
- Dodano w Intune.
- Przypisana do grupy urządzeń utworzonej dla dedykowanych urządzeń.
Po dodaniu aplikacji Zarządzany Ekran Główny wszystkie inne zainstalowane aplikacje dodane w profilu konfiguracji są wyświetlane jako ikony w aplikacji Zarządzany Ekran Główny.
Aby uzyskać więcej informacji na zarządzanym ekranie głównym, zobacz Konfigurowanie usługi Microsoft Zarządzany Ekran Główny na urządzeniach dedykowanych w trybie kiosku z wieloma aplikacjami.
Niestandardowy układ aplikacji: ustawienie Włącz umożliwia umieszczanie aplikacji i folderów w różnych miejscach na Zarządzany Ekran Główny. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie dodane aplikacje i foldery są wyświetlane na ekranie głównym w kolejności alfabetycznej.
Rozmiar siatki: wybierz rozmiar ekranu głównego. Aplikacja lub folder zajmuje jedno miejsce w siatce.
Ekran główny: wybierz przycisk dodaj, a następnie wybierz aplikację z listy. Wybierz opcję Folder , aby utworzyć folder, wprowadź nazwę folderu i dodaj aplikacje z listy do folderu.
Po dodaniu elementów wybierz menu kontekstowe, aby usunąć elementy, lub przenieś je do różnych pozycji:
Dodaj: wybierz aplikacje z listy.
Jeśli aplikacja Zarządzany Ekran Główny nie znajduje się na liście, dodaj ją z sklepu Google Play. Pamiętaj, aby przypisać aplikację do grupy urządzeń utworzonej dla dedykowanych urządzeń.
Możesz również dodać do urządzenia inne aplikacje systemu Android i aplikacje internetowe utworzone przez organizację. Pamiętaj, aby przypisać aplikację do grupy urządzeń utworzonej dla dedykowanych urządzeń.
Ważna
W przypadku korzystania z trybu wielu aplikacji każda aplikacja w zasadach musi być wymaganą aplikacją i musi być przypisana do urządzeń. Jeśli aplikacja nie jest wymagana lub nie jest przypisana, urządzenia mogą zablokować użytkowników i wyświetlić
Contact your IT admin. This phone will be erased.komunikat.Uwaga
Aplikacje dodane w usłudze MHS nie mogą uruchamiać innych aplikacji zainstalowanych na urządzeniu. Administratorzy powinni upewnić się, że wszystkie aplikacje dozwolone w usłudze MHS nie powinny uruchamiać innych aplikacji, aby użytkownicy nie mieli dostępu do żadnych aplikacji, które nie są niezbędne na urządzeniu, ani do ich odinstalowywania.
Zablokuj ekran główny: ustawienie Włącz uniemożliwia użytkownikom przenoszenie ikon i folderów aplikacji. Są one zablokowane i nie można ich przeciągać i upuszczać do różnych miejsc na siatce. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie użytkownicy mogą przenosić te elementy.
Ikona folderu: wybierz kolor i kształt ikony folderu na Zarządzany Ekran Główny. Dostępne opcje:
- Nie skonfigurowano
- Prostokąt motywu ciemnego
- Ciemny okrąg motywu
- Jasny prostokąt motywu
- Jasny okrąg motywu
Rozmiar ikony aplikacji i folderu: wybierz rozmiar ikony folderu na Zarządzany Ekran Główny. Dostępne opcje:
Nie skonfigurowano
Bardzo mały
Mała
Średnia
Duża
Bardzo duży
W zależności od rozmiaru ekranu rzeczywisty rozmiar ikony może być inny.
Orientacja ekranu: wybierz kierunek wyświetlania Zarządzany Ekran Główny na urządzeniach. Dostępne opcje:
- Nie skonfigurowano
- Portret
- Krajobraz
- Autorotate
Znaczki powiadomień aplikacji: pozycja Włącz pokazuje liczbę nowych i nieprzeczytanych powiadomień na ikonach aplikacji. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia.
Wirtualny przycisk strony głównej: przycisk klawisza miękkiego, który zwraca użytkowników do Zarządzany Ekran Główny, aby użytkownicy mogli przełączać się między aplikacjami. Dostępne opcje:
- Nie skonfigurowano (ustawienie domyślne ): przycisk strony głównej nie jest wyświetlany. Użytkownicy muszą używać przycisku Wstecz, aby przełączać się między aplikacjami.
- Szybko przesuń w górę: przycisk strony głównej jest wyświetlany, gdy użytkownik przesuwa palcem w górę na urządzeniu.
- Zmiennoprzecinkowa: pokazuje trwały, pływający przycisk strony głównej na urządzeniu.
Pozostaw tryb kiosku: pozycja Włącz umożliwia administratorom tymczasowe wstrzymanie trybu kiosku w celu zaktualizowania urządzenia. Aby użyć tej funkcji, administrator:
- W dalszym ciągu wybiera przycisk Wstecz, dopóki nie zostanie wyświetlony przycisk Zamknij kiosk .
- Wybiera przycisk Wyjdź z kiosku i wprowadza kod PIN w trybie kiosku.
- Po zakończeniu wybierz aplikację Zarządzany Ekran Główny. Ten krok powoduje ponowne ustawienie urządzenia w trybie kiosku z wieloma aplikacjami.
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić administratorom wstrzymywanie trybu kiosku. Jeśli administrator nadal wybiera przycisk Wstecz i wybiera przycisk Zamknij kiosk , zostanie wyświetlony komunikat informujący, że kod dostępu jest wymagany.
Pozostaw kod trybu kiosku: wprowadź 4-6-cyfrowy numer PIN. Administrator używa tego numeru PIN do tymczasowego wstrzymania trybu kiosku.
Ustaw tło niestandardowego adresu URL: wprowadź adres URL, aby dostosować ekran tła na dedykowanym urządzeniu. Na przykład wprowadź
http://contoso.com/backgroundimage.jpg.Uwaga
W większości przypadków zalecamy rozpoczęcie od obrazów o co najmniej następujących rozmiarach:
- Telefon: 1080x1920 px
- Tablet: 1920x1080 pikseli
Aby uzyskać najlepsze środowisko i szczegółowe informacje, zaleca się utworzenie zasobów obrazu na urządzeniu zgodnie ze specyfikacjami wyświetlania.
Nowoczesne wyświetlacze mają większą gęstość pikseli i mogą wyświetlać równoważne obrazy definicji 2K/4K.
Menu Skrót do ustawień: pozycja Wyłącz powoduje ukrycie skrótu Ustawienia zarządzane na Zarządzany Ekran Główny. Użytkownicy nadal mogą szybko przesunąć w dół, aby uzyskać dostęp do ustawień. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie skrót Ustawienia zarządzane jest wyświetlany na urządzeniach. Użytkownicy mogą również szybko przesunąć w dół, aby uzyskać dostęp do tych ustawień.
Szybki dostęp do menu debugowania: to ustawienie określa, jak użytkownicy uzyskują dostęp do menu debugowania. Dostępne opcje:
- Włącz: użytkownicy mogą łatwiej uzyskać dostęp do menu debugowania. W szczególności mogą szybko przesunąć w dół lub użyć skrótu Ustawienia zarządzane. Jak zawsze, mogą nadal wybierać przycisk wstecz 15 razy.
- Nie skonfigurowano (ustawienie domyślne): Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie łatwy dostęp do menu debugowania jest wyłączony. Użytkownicy muszą wybrać przycisk Wstecz 15 razy, aby otworzyć menu debugowania.
W menu debugowania użytkownicy mogą:
- Wyświetlanie i przekazywanie dzienników Zarządzany Ekran Główny
- Otwieranie aplikacji Menedżera zasad urządzeń z systemem Android firmy Google
- Otwieranie aplikacji Microsoft Intune
- Wyjdź z trybu kiosku
Konfiguracja sieci Wi-Fi: opcja Włącz pokazuje kontrolkę Wi-Fi na Zarządzany Ekran Główny i umożliwia użytkownikom łączenie urządzenia z różnymi sieciami Wi-Fi. Włączenie tej funkcji powoduje również włączenie lokalizacji urządzenia. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie wyświetlać kontrolki Wi-Fi na Zarządzany Ekran Główny. Uniemożliwia użytkownikom łączenie się z sieciami Wi-Fi podczas korzystania z Zarządzany Ekran Główny.
Lista dozwolonych sieci Wi-Fi: utwórz listę prawidłowych nazw sieci bezprzewodowych, znanych również jako identyfikator zestawu usług (SSID). Zarządzany Ekran Główny użytkownicy mogą łączyć się tylko z wprowadzonymi identyfikatorami SSID.
Wi-Fi identyfikatory SSID uwzględniają wielkość liter. Jeśli identyfikator SSID jest prawidłowy, ale wprowadzana wielkość liter nie jest zgodna z nazwą sieci, sieć nie jest wyświetlana.
Jeśli to ustawienie pozostanie puste, Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie dozwolone są wszystkie dostępne sieci Wi-Fi.
Zaimportuj plik .csv zawierający listę prawidłowych identyfikatorów SSID.
Wyeksportuj bieżącą listę do pliku .csv.
SSID: możesz również wprowadzić Wi-Fi nazwy sieci (SSID), z którymi użytkownicy mogą się łączyć Zarządzany Ekran Główny. Pamiętaj, aby wprowadzić prawidłowe identyfikatory SSID.
Ważna
W wersji z października 2020 r. interfejs API Zarządzany Ekran Główny został zaktualizowany tak, aby był zgodny z wymaganiami sklepu Google Play. Następujące zmiany mają wpływ na zasady konfiguracji Wi-Fi w Zarządzany Ekran Główny:
Użytkownicy nie mogą włączać ani wyłączać połączeń Wi-Fi na urządzeniach. Użytkownicy mogą przełączać się między sieciami Wi-Fi, ale nie mogą włączać ani wyłączać Wi-Fi.
Jeśli sieć Wi-Fi jest chroniona hasłem, użytkownicy muszą wprowadzić hasło. Po wprowadzeniu hasła skonfigurowana sieć automatycznie nawiązuje połączenie. Jeśli rozłączą się, a następnie ponownie połączą się z siecią Wi-Fi, użytkownicy mogą ponownie wprowadzić hasło.
Na urządzeniach z systemem Android 11, gdy użytkownicy łączą się z siecią przy użyciu Zarządzany Ekran Główny, są monitowane o zgodę. Ten monit pochodzi z systemu Android i nie jest specyficzny dla Zarządzany Ekran Główny.
Na urządzeniach z systemem Android 10, gdy użytkownicy nawiązują połączenie z siecią przy użyciu Zarządzany Ekran Główny, zostanie wyświetlone powiadomienie z monitem o wyrażenie zgody. W związku z tym użytkownicy muszą mieć dostęp do paska stanu i powiadomień, aby wyrazić zgodę. Aby włączyć powiadomienia systemowe, zobacz Ogólne ustawienia dedykowanych urządzeń (w tym artykule).
Na urządzeniach z systemem Android 10, gdy użytkownicy łączą się z siecią chronioną hasłem Wi-Fi przy użyciu Zarządzany Ekran Główny, są monitowane o hasło. Jeśli urządzenie jest połączone z niestabilną siecią, zmieni się Wi-Fi sieci. To zachowanie ma miejsce nawet wtedy, gdy użytkownicy wprowadzają poprawne hasło.
Konfiguracja połączenia Bluetooth: ustawienie Włącz powoduje wyświetlenie kontrolki Bluetooth na Zarządzany Ekran Główny i umożliwia użytkownikom parowanie urządzeń za pośrednictwem połączenia Bluetooth. Włączenie tej funkcji powoduje również włączenie lokalizacji urządzenia. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie wyświetlać kontrolki Bluetooth na Zarządzany Ekran Główny. Uniemożliwia to użytkownikom konfigurowanie połączenia Bluetooth i parowanie urządzeń podczas korzystania z Zarządzany Ekran Główny.
Ważna
W przypadku urządzeń z systemem Android 10 lub nowszym i korzystających z Zarządzany Ekran Główny aby parowanie Bluetooth działało pomyślnie na urządzeniach wymagających klucza parowania, administratorzy muszą włączyć następujące aplikacje systemowe systemu Android:
- Android System Bluetooth
- Ustawienia systemu Android
- Interfejs użytkownika systemu Android
Aby uzyskać więcej informacji na temat włączania aplikacji systemu Android, przejdź do: Zarządzanie aplikacjami systemu Android Enterprise
Dostęp do latarki: pozycja Włącz pokazuje kontrolkę latarki na Zarządzany Ekran Główny i umożliwia użytkownikom włączanie lub wyłączanie latarki. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie wyświetlać kontrolki latarki na Zarządzany Ekran Główny. Uniemożliwia użytkownikom korzystanie z latarki podczas korzystania z Zarządzany Ekran Główny.
Sterowanie głośnością multimediów: pozycja Włącz pokazuje kontrolkę woluminu multimediów na Zarządzany Ekran Główny i umożliwia użytkownikom dostosowywanie głośności multimediów urządzenia za pomocą suwaka. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie wyświetlać kontrolki woluminu multimediów na Zarządzany Ekran Główny. Uniemożliwia to użytkownikom dostosowywanie woluminu multimedialnego urządzenia podczas korzystania z Zarządzany Ekran Główny, chyba że ich przyciski sprzętowe go obsługują.
Szybki dostęp do informacji o urządzeniu: ustawienie Włącz umożliwia użytkownikom szybkie przesuwanie w dół w celu wyświetlenia informacji o urządzeniu na Zarządzany Ekran Główny, takich jak numer seryjny, numer marki i modelu oraz poziom zestawu SDK. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie informacje o urządzeniu mogą nie być wyświetlane.
Tryb wygaszacza ekranu: pozycja Włącz pokazuje wygaszacz ekranu na Zarządzany Ekran Główny, gdy urządzenie jest zablokowane lub przekracza limit czasu. Po ustawieniu opcji Nie skonfigurowano (ustawienie domyślne) Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie wyświetlać wygaszacz ekranu na Zarządzany Ekran Główny.
Po włączeniu skonfiguruj również:
Ustaw niestandardowy obraz wygaszacza ekranu: wprowadź adres URL niestandardowego pliku PNG, JPG, JPEG, GIF, BMP, WebP lub ICOimage. Jeśli nie wprowadzisz adresu URL, zostanie użyty obraz domyślny urządzenia, jeśli istnieje obraz domyślny.
Na przykład wprowadź:
http://www.contoso.com/image.jpgwww.contoso.com/image.bmphttps://www.contoso.com/image.webp
Porada
Obsługiwany jest dowolny adres URL zasobu pliku, który można przekształcić w mapę bitową.
Liczba sekund wyświetlania wygaszacza ekranu przez urządzenie przed wyłączeniem ekranu: wybierz, jak długo urządzenie wyświetla wygaszacza ekranu. Wprowadź wartość z zakresu od 0 do 99999999 sekund. Wartość domyślna to
0sekundy. Po pozostawieniu pustym lub ustawieniu na zero (0) wygaszacza ekranu jest aktywny, dopóki użytkownik nie wchodzi w interakcję z urządzeniem.Liczba sekund, przez które urządzenie jest nieaktywne przed wyświetleniem wygaszacza ekranu: wybierz czas bezczynności urządzenia przed wyświetleniem wygaszacza ekranu. Wprowadź wartość z zakresu od 1 do 999999999 sekund. Wartość domyślna to
30sekundy. Musisz wprowadzić liczbę większą niż zero (0).Wykrywanie multimediów przed uruchomieniem wygaszacza ekranu: ustawienie Włącz (ustawienie domyślne) nie wyświetla wygaszacza ekranu, jeśli dźwięk lub wideo jest odtwarzane na urządzeniu. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może wyświetlać wygaszacza ekranu, nawet jeśli odtwarzany jest dźwięk lub wideo.
Uwaga
Zarządzany Ekran Główny uruchamia wygaszacz ekranu za każdym razem, gdy pojawi się ekran blokady:
- Jeśli limit czasu ekranu blokady systemu jest dłuższy niż liczba sekund wyświetlania wygaszacz ekranu przez urządzenie, wygaszacz ekranu jest wyświetlany do momentu wyświetlenia ekranu blokady.
- Jeśli limit czasu ekranu blokady systemu jest krótszy niż liczba sekund, w których urządzenie jest nieaktywne, wygaszacz ekranu jest wyświetlany natychmiast po wyświetleniu ekranu blokady urządzenia.
Ekran logowania MHS: opcja Włącz wyświetla ekran logowania na Zarządzany Ekran Główny. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Ten ekran logowania i powiązane ustawienia są przeznaczone do użycia na dedykowanych urządzeniach zarejestrowanych w Microsoft Entra trybie urządzenia udostępnionego.
Po włączeniu skonfiguruj również:
- Ustaw tło niestandardowego adresu URL dla ekranu logowania: wprowadź adres URL tła dla ekranu logowania. Aby skonfigurować to ustawienie, należy włączyć ekran logowania.
- Ustaw niestandardowe logo znakowania adresu URL dla ekranu logowania i strony pinezki sesji: wprowadź logo znakowania adresu URL dla ekranu logowania i strony pinezki sesji.
- Wymagaj od użytkownika ustawienia numeru PIN dla sesji logowania: po ustawieniu opcji Włącz użytkownik musi ustawić numer PIN dla sesji logowania. Po ustawieniu wartości Nieskonfigurowane (ustawienie domyślne) użytkownik nie musi ustawiać numeru PIN. To ustawienie musi być włączone, aby pokazywać podzbiory.
Wybierz złożoność numeru PIN dla sesji logowania: wybierz złożoność numeru PIN sesji. Dostępne opcje:
- Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie usługa MHS wymaga co najmniej jednego znaku w numerze PIN sesji.
- Proste: wymaga liczb. Nie ma żadnych ograniczeń dotyczących powtarzania sekwencji (444) lub uporządkowanych (123, 321, 246).
- Złożone: umożliwia użytkownikom tworzenie numeru PIN z znakami alfanumerycznymi. Nie można używać sekwencji powtarzających się (444) ani uporządkowanych (123, 321, 246).
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Złożoność numeru PIN sesji w temacie Konfigurowanie aplikacji Microsoft Zarządzany Ekran Główny dla systemu Android Enterprise.
Wymagaj od użytkownika wprowadzenia numeru PIN sesji, jeśli pojawi się wygaszacz ekranu: wybierz pozycję Włącz, aby wymagać od użytkownika wprowadzenia numeru PIN sesji do wznowienia przy użyciu Zarządzany Ekran Główny po wyświetleniu wygaszacz ekranu.
- Automatyczne wylogowywanie się z aplikacji MHS i trybu urządzenia udostępnionego po braku aktywności: wybierz pozycję Włącz, aby automatycznie wylogować się z Zarządzany Ekran Główny w oparciu o brak aktywności. To ustawienie musi być włączone, aby pokazywać podzbiory.
- Liczba sekund, przez które urządzenie jest nieaktywne przed automatycznym wylogowaniem użytkownika: zdefiniuj okres braku aktywności w sekundach, zanim użytkownik zostanie automatycznie wylogowany z Zarządzany Ekran Główny. Domyślnie ta wartość jest ustawiona na 300 sekund.
- Liczba sekund na powiadomienie użytkownika przed automatycznym wylogowaniem: zdefiniuj czas w sekundach, aby użytkownik mógł wznowić sesję przed automatycznym wylogowaniem się z Zarządzany Ekran Główny. Domyślnie ta wartość jest ustawiona na 60 sekund.
W pełni zarządzane: konfiguruje aplikację Microsoft Launcher na w pełni zarządzanych urządzeniach.
Ustaw program Microsoft Launcher jako domyślny launcher: ustawienie Włącz powoduje ustawienie programu Microsoft Launcher jako domyślnego uruchamiania na ekranie głównym. Jeśli ustawisz ustawienie Uruchamianie jako domyślne, użytkownicy nie będą mogli używać innego uruchamiania. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie program Microsoft Launcher nie jest wymuszany jako domyślny program uruchamiany.
Konfigurowanie niestandardowej tapety: w aplikacji Microsoft Launcher pozycja Włącz umożliwia zastosowanie własnego obrazu jako tapety ekranu głównego i wybranie, czy użytkownicy mogą zmienić obraz. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie urządzenie zachowuje bieżącą tapetę.
- Wprowadź adres URL obrazu tapety: wprowadź adres URL obrazu tapety. Ten obraz jest wyświetlany na ekranie głównym urządzenia. Na przykład wprowadź
http://www.contoso.com/image.jpg. - Zezwalaj użytkownikowi na modyfikowanie tapety: ustawienie Włącz umożliwia użytkownikom zmianę obrazu tapety. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie użytkownicy nie mogą zmieniać tapety.
- Wprowadź adres URL obrazu tapety: wprowadź adres URL obrazu tapety. Ten obraz jest wyświetlany na ekranie głównym urządzenia. Na przykład wprowadź
Włącz kanał informacyjny uruchamiania: pozycja Włącz włącza kanał informacyjny uruchamiania, który pokazuje kalendarze, dokumenty i ostatnie działania. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie ten kanał informacyjny nie jest wyświetlany.
- Zezwalaj użytkownikowi na włączanie/wyłączanie kanału informacyjnego: ustawienie Włącz umożliwia użytkownikom włączanie lub wyłączanie kanału informacyjnego uruchamiania. Opcja Włącz wymusza to ustawienie tylko przy pierwszym przypisaniu profilu. Żadne przyszłe przypisania profilu nie wymuszają tego ustawienia. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie użytkownicy nie mogą zmieniać ustawień kanału informacyjnego uruchamiania.
Obecność docka: Dok zapewnia użytkownikom szybki dostęp do swoich aplikacji i narzędzi. Dostępne opcje:
- Nie skonfigurowano (ustawienie domyślne): Intune nie zmienia ani nie aktualizuje tego ustawienia.
- Pokaż: Dok jest wyświetlany na urządzeniach.
- Ukryj: Dok jest ukryty. Użytkownicy muszą szybko przesunąć w górę, aby uzyskać dostęp do doku.
- Wyłączone: dok nie jest wyświetlany na urządzeniach, a użytkownicy nie mogą go wyświetlać.
Zezwalaj użytkownikowi na zmianę obecności docka: ustawienie Włącz umożliwia użytkownikom wyświetlanie lub ukrywanie doku. Opcja Włącz wymusza to ustawienie tylko przy pierwszym przypisaniu profilu. Żadne przyszłe przypisania profilu nie wymuszają tego ustawienia. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie użytkownicy nie mogą zmieniać konfiguracji dokowania urządzenia.
Search zamiany paska: wybierz miejsce umieszczenia paska wyszukiwania. Dostępne opcje:
- Nie skonfigurowano (ustawienie domyślne): Intune nie zmienia ani nie aktualizuje tego ustawienia.
- U góry: pasek Search jest wyświetlany w górnej części urządzeń.
- Na dole: Search pasek jest wyświetlany w dolnej części urządzeń.
- Ukryj: pasek Search jest ukryty.
Hasło urządzenia
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym
Wymagany typ hasła: wprowadź wymagany poziom złożoności hasła i określa, czy można używać urządzeń biometrycznych. Dostępne opcje:
Ustawienie domyślne urządzenia (domyślne): większość urządzeń nie wymaga hasła po ustawieniu wartości Domyślne urządzenia. Jeśli chcesz wymagać od użytkowników skonfigurowania kodu dostępu na swoich urządzeniach, skonfiguruj to ustawienie na wartość bezpieczniejszą niż domyślna wartość Urządzenia.
Wymagane hasło, bez ograniczeń
Słabe biometryczne: silne i słabe dane biometryczne (otwiera witrynę internetową systemu Android)
Numeryczne: hasło musi być tylko liczbami, takimi jak
123456789. Wprowadź również:- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Złożona liczba: powtarzające się lub kolejne liczby, takie jak
1111lub1234, są niedozwolone. Wprowadź również:- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Alfabetyczne: litery w alfabecie są wymagane. Liczby i symbole nie są wymagane. Wprowadź również:
- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Alfanumeryczne: zawiera wielkie litery, małe litery i znaki liczbowe. Wprowadź również:
- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Alfanumeryczne z symbolami: zawiera wielkie litery, małe litery, znaki liczbowe, znaki interpunkcyjne i symbole. Wprowadź również:
- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
- Wymagana liczba znaków: wprowadź liczbę znaków, które musi zawierać hasło, od 0 do 16 znaków.
- Wymagana liczba małych liter: wprowadź liczbę małych liter, które musi zawierać hasło, od 0 do 16 znaków.
- Wymagana liczba wielkich liter: wprowadź liczbę wielkich liter, które musi zawierać hasło, od 0 do 16 znaków.
- Wymagana liczba znaków innych niż litery: wprowadź liczbę znaków innych niż litery w alfabecie, których hasło musi zawierać od 0 do 16 znaków.
- Wymagana liczba znaków liczbowych: wprowadź liczbę znaków liczbowych (
1,2,3itd.) hasła z zakresu od 0 do 16 znaków. - Wymagana liczba znaków symboli: wprowadź liczbę znaków symboli (
&,#,%i tak dalej) hasło musi zawierać od 0 do 16 znaków.
Liczba dni do wygaśnięcia hasła: wprowadź liczbę dni, po których należy zmienić hasło urządzenia z zakresu od 1 do 365. Na przykład wprowadź
90, aby wygasnąć hasło po 90 dniach. Gdy hasło wygaśnie, użytkownicy będą monitować o utworzenie nowego hasła. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.Liczba haseł wymaganych przed ponownym użyciem hasła przez użytkownika: użyj tego ustawienia, aby ograniczyć użytkownikom możliwość tworzenia wcześniej używanych haseł. Wprowadź liczbę wcześniej używanych haseł, których nie można użyć, z zakresu od 1 do 24. Na przykład wprowadź
5, aby użytkownicy nie mogli ustawić nowego hasła na bieżące hasło ani żadne z czterech poprzednich haseł. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.Liczba niepowodzeń logowania przed wyczyszczeniem urządzenia: wprowadź liczbę nieprawidłowych haseł dozwolonych przed wyczyszczeniem urządzenia z zakresu od 4 do 11. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.
Uwaga
Użytkownicy na w pełni zarządzanych i należących do firmy urządzeniach z profilem służbowym nie są monitowane o ustawienie hasła. Ustawienia są wymagane, ale użytkownicy mogą nie być powiadamiani. Użytkownicy muszą ustawić hasło ręcznie. Zasady są raporty jako zakończone niepowodzeniem, dopóki użytkownik nie ustawi hasła spełniającego twoje wymagania.
Aby zastosować ustawienia hasła urządzenia podczas rejestracji urządzenia, przypisz profil ograniczeń urządzenia użytkownikom, a nie urządzeniom. Podczas rejestracji użytkownicy są proszeni o ustawienie blokady ekranu. Następnie muszą wybrać hasło urządzenia spełniające wszystkie wymagania w tym profilu ograniczeń urządzenia.
Jeśli na dedykowanych urządzeniach urządzenie jest skonfigurowane w trybie kiosku z jedną lub wieloma aplikacjami, użytkownicy są monitowane o ustawienie hasła. Ekrany wymuszają i prowadzą użytkowników do utworzenia zgodnego hasła, zanim będą mogli kontynuować korzystanie z urządzenia.
Na dedykowanych urządzeniach, które nie korzystają z trybu kiosku, użytkownicy nie są powiadamiani o żadnych wymaganiach dotyczących hasła. Użytkownicy muszą ustawić hasło ręcznie. Zasady są raporty jako zakończone niepowodzeniem, dopóki użytkownik nie ustawi hasła spełniającego twoje wymagania.
Wyłączone funkcje ekranu blokady: gdy urządzenie jest zablokowane, wybierz funkcje, których nie można użyć. Na przykład po sprawdzeniu funkcji Bezpieczna kamera funkcja aparatu jest wyłączona na urządzeniu. Wszystkie niesewidencjonowane funkcje są włączone na urządzeniu.
Te funkcje są dostępne dla użytkowników, gdy urządzenie jest zablokowane. Użytkownicy nie będą widzieć sprawdzonych funkcji ani uzyskiwać do nich dostępu.
- Na urządzeniach z profilem służbowym należącym do firmy można wyłączyć tylko niezredagowane powiadomienia, agentów zaufania i odblokowywanie odciskiem palca .
- Jeśli użytkownicy wyłączą ustawienie Użyj jednej blokady na swoim urządzeniu, wyłączenie odblokowywania odciskiem palca i wyłączenie agentów zaufania ma zastosowanie na poziomie profilu służbowego należącego do firmy. Jeśli użytkownicy włączą ustawienie Użyj jednej blokady , wyłącz odblokowywanie odciskiem palca i wyłączanie stosowania agentów zaufania na poziomie urządzenia.
Wymagana częstotliwość odblokowywania: silne uwierzytelnianie polega na tym, że użytkownicy odblokowywać urządzenie przy użyciu hasła, numeru PIN lub wzorca. Metody uwierzytelniania niesilnego są dostępne, gdy użytkownicy odblokowują urządzenie przy użyciu niektórych opcji biometrycznych, takich jak odcisk palca lub skanowanie twarzy.
Wybierz, jak długo użytkownicy muszą odblokować urządzenie przy użyciu metody silnego uwierzytelniania. Dostępne opcje:
- Ustawienie domyślne urządzenia (ustawienie domyślne): ekran jest blokowany przy użyciu domyślnego czasu urządzenia.
- 24 godziny od ostatniego przypięcia, hasła lub odblokowania wzorca: ekran blokuje się 24 godziny po ostatnim użyciu przez użytkowników silnej metody uwierzytelniania do odblokowania urządzenia. Po osiągnięciu limitu czasu metody uwierzytelniania nieosiągłego są wyłączone, dopóki urządzenie nie zostanie odblokowane przy użyciu silnego uwierzytelniania.
2.3.4 Zaawansowane zarządzanie kodem dostępu: limit czasu wymagany do silnego uwierzytelniania (otwiera witrynę internetową systemu Android)
W pełni zarządzane i dedykowane urządzenia
- Wyłącz ekran blokady: wyłączenie blokuje korzystanie ze wszystkich funkcji ekranu blokady funkcji keyguard. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie, gdy urządzenie jest na ekranie blokady, system operacyjny może zezwalać na wszystkie funkcje keyguard, takie jak aparat fotograficzny, odblokowywanie odciskiem palca i inne.
Ustawienia zasilania
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym
- Czas blokady ekranu (na poziomie profilu służbowego): wprowadź maksymalny czas, przez który użytkownik może ustawić blokadę urządzenia. Jeśli na przykład ustawisz to ustawienie na
10 minuteswartość , użytkownicy mogą ustawić czas od 15 sekund do 10 minut. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
W pełni zarządzane i dedykowane urządzenia
- Ekran włączony, gdy urządzenie jest podłączone: wybierz źródła zasilania, które spowodują, że ekran urządzenia pozostanie włączony po podłączeniu.
Użytkownicy i konta
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym
- Dodaj nowych użytkowników: pozycja Blokuj uniemożliwia użytkownikom dodawanie nowych użytkowników. Każdy użytkownik ma na urządzeniu miejsce osobiste na potrzeby niestandardowych ekranów głównych, kont, aplikacji i ustawień. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na dodawanie innych użytkowników do urządzenia.
- Użytkownik może skonfigurować poświadczenia (na poziomie profilu służbowego): pozycja Blokuj uniemożliwia użytkownikom konfigurowanie certyfikatów przypisanych do urządzeń, nawet urządzeń, które nie są skojarzone z kontem użytkownika. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może umożliwić użytkownikom konfigurowanie lub zmienianie poświadczeń podczas uzyskiwania dostępu do nich w magazynie kluczy.
W pełni zarządzane i dedykowane urządzenia
- Usuwanie użytkowników: pozycja Blokuj uniemożliwia użytkownikom usuwanie użytkowników. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na usuwanie innych użytkowników z urządzenia.
- Osobiste konta Google: pozycja Blokuj uniemożliwia użytkownikom dodawanie osobistego konta Google do urządzenia. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na dodawanie osobistego konta Google.
Urządzenia dedykowane
- Zmiany konta: ustawienie Blokuj uniemożliwia użytkownikom aktualizowanie lub zmienianie kont w trybie kiosku. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na aktualizowanie kont użytkowników na urządzeniu.
Aplikacje
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym
Uwaga
Jeśli chcesz włączyć ładowanie bezpośrednie, ustaw opcję Zezwalaj na instalację z nieznanych źródeł i Zezwalaj na dostęp do wszystkich aplikacji w ustawieniach sklepu Google Playna wartość Zezwalaj.
Zezwalaj na instalację z nieznanych źródeł: pozycja Zezwalaj umożliwia użytkownikom włączanie nieznanych źródeł. To ustawienie umożliwia aplikacjom instalowanie z nieznanych źródeł, w tym źródeł innych niż Sklep Google Play. Umożliwia użytkownikom ładowanie aplikacji na urządzeniu przy użyciu środków innych niż Sklep Google Play. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwiać użytkownikom włączanie nieznanych źródeł.
Automatyczne aktualizacje aplikacji (poziom profilu służbowego): urządzenia codziennie sprawdzają aktualizacje aplikacji. Wybierz, kiedy są instalowane aktualizacje automatyczne. Dostępne opcje:
- Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
- Wybór użytkownika: system operacyjny może domyślnie używać tej opcji. Użytkownicy mogą ustawić swoje preferencje w zarządzanej aplikacji Google Play.
- Nigdy: Aktualizacje nigdy nie są zainstalowane. Ta opcja nie jest zalecana.
- Tylko sieć Wi-Fi: Aktualizacje są instalowane tylko wtedy, gdy urządzenie jest połączone z siecią Wi-Fi.
- Zawsze: Aktualizacje są instalowane, gdy są dostępne.
Zezwalaj na dostęp do wszystkich aplikacji w sklepie Google Play:
Po ustawieniu opcji Zezwalaj:
- Użytkownicy uzyskują dostęp do wszystkich aplikacji w sklepie Google Play i wszystkich aplikacji prywatnych dodanych do zarządzanego konta Google Play w organizacji.
- Upewnij się, że wybrano dowolną aplikację (prywatną lub publiczną) z intencją odinstalowywania, która nie powinna być możliwa do znalezienia, lub aplikacjami zainstalowanymi przez użytkowników z zarządzanego sklepu Google Play.
- Użytkownicy nie mogą używać aplikacji dodanych do listy zablokowanych (przypisanych z zamiarem odinstalowania) w profilu osobistym urządzeń należących do firmy z profilem służbowym.
Aby uzyskać więcej informacji na temat wykluczania użytkowników i grup z określonych aplikacji, przejdź do pozycji Dołączanie i wykluczanie przypisań aplikacji.
W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny:
- W zarządzanym sklepie Google Play są wyświetlane tylko aplikacje zatwierdzone, wymagane aplikacje i aplikacje przypisane do użytkownika.
- Odinstalowuje aplikacje zainstalowane poza zarządzanym sklepem Google Play.
- Jeśli zmienisz to ustawienie z Zezwalaj nanies skonfigurowano, każda aplikacja, która nie znajduje się w zasadach, zostanie automatycznie odinstalowana z urządzenia.
Następujące ustawienia są częścią funkcji zakresu delegowanego firmy Google:
Zezwalaj innym aplikacjom na instalowanie certyfikatów i zarządzanie nimi: wybierz pozycję Dodaj , aby wybrać istniejące aplikacje dla tego uprawnienia. Możesz dodać wiele aplikacji. Wybrane aplikacje mają dostęp do instalowania certyfikatów i zarządzania nimi.
Aby użyć tego ustawienia, aplikacja zarządzanego sklepu Google Play musi używać zakresów delegowanych. Aby uzyskać więcej informacji, przejdź do wbudowanych konfiguracji aplikacji systemu Android i zakresów delegowania systemu Android (otwiera witrynę internetową systemu Android).
Zezwalaj tej aplikacji na dostęp do dzienników zabezpieczeń systemu Android: wybierz aplikację, która powinna mieć to uprawnienie. Możesz wybrać tylko jedną aplikację. Aplikacji przyznano dostęp do dzienników zabezpieczeń.
Aby użyć tego ustawienia, aplikacja zarządzanego sklepu Google Play musi używać zakresów delegowanych. Aby uzyskać więcej informacji, przejdź do wbudowanych konfiguracji aplikacji systemu Android i zakresów delegowania systemu Android (otwiera witrynę internetową systemu Android).
Zezwalaj tej aplikacji na dostęp do dzienników aktywności sieci systemu Android: wybierz aplikację, która powinna mieć to uprawnienie. Możesz wybrać tylko jedną aplikację. Aplikacji przyznano dostęp do dzienników aktywności sieciowej.
Aby użyć tego ustawienia, aplikacja zarządzanego sklepu Google Play musi używać zakresów delegowanych. Aby uzyskać więcej informacji, przejdź do wbudowanych konfiguracji aplikacji systemu Android i zakresów delegowania systemu Android (otwiera witrynę internetową systemu Android).
Porada
Jeśli wystąpił konflikt z jednym z tych ustawień, konflikt dotyczy wszystkich trzech ustawień. Upewnij się, że nadasz tej aplikacji uprawnienia Zezwalaj tej aplikacji na dostęp do dzienników zabezpieczeń systemu Android i zezwalaj tej aplikacji na dostęp do dzienników aktywności sieciowej systemu Android tylko do jednej aplikacji. Możesz nadać te uprawnienia tej samej aplikacji, ale nie innym aplikacjom.
Aby uzyskać więcej informacji, przejdź do interfejsu API zarządzania systemem Android — DelegatedScope (otwiera witrynę internetową Google).
Urządzenia dedykowane
Wyczyść dane lokalne w aplikacjach, które nie są zoptymalizowane pod kątem trybu urządzenia udostępnionego: dodaj do listy dowolną aplikację, która nie jest zoptymalizowana pod kątem trybu urządzenia udostępnionego. Dane lokalne aplikacji są usuwane za każdym razem, gdy użytkownik wyloguje się z aplikacji zoptymalizowanej pod kątem trybu urządzenia udostępnionego. Dostępne dla dedykowanych urządzeń zarejestrowanych w trybie udostępnionym z systemem Android 9 lub nowszym.
W przypadku korzystania z tego ustawienia użytkownicy nie mogą inicjować wylogowywania się z niezoptymalizowanych aplikacji i nie otrzymują wylogowania jednokrotnego.
- Użytkownicy muszą wylogować się z aplikacji zoptymalizowanej pod kątem trybu urządzenia udostępnionego. Aplikacje firmy Microsoft zoptymalizowane pod kątem trybu urządzenia udostępnionego w systemie Android obejmują aplikacje Teams i Zarządzany Ekran Główny Intune.
- W przypadku aplikacji, które nie są zoptymalizowane pod kątem trybu urządzenia udostępnionego, usuwanie danych aplikacji rozszerza się tylko na magazyn aplikacji lokalnych. Dane można pozostawić w innych obszarach urządzenia. Użytkownik identyfikujący artefakty, takie jak adres e-mail i nazwa użytkownika, może zostać pozostawiony w aplikacji i widoczny dla innych użytkowników.
- Niezoptymalizowane aplikacje, które zapewniają obsługę wielu kont, mogą wykazywać nieokreślone zachowanie i dlatego nie są zalecane.
Wszystkie niezoptymalizowane aplikacje powinny zostać dokładnie przetestowane przed użyciem ich w scenariuszach obejmujących wielu użytkowników na udostępnionych urządzeniach, aby upewnić się, że działają zgodnie z oczekiwaniami. Na przykład zweryfikuj podstawowe scenariusze w każdej aplikacji, sprawdź, czy aplikacja wylogowuje się prawidłowo i czy wszystkie dane są wystarczająco wyczyszczone zgodnie z potrzebami organizacji.
Łączność
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym
Zawsze włączona sieć VPN (poziom profilu służbowego): pozycja Włącz ustawia klienta sieci VPN w celu automatycznego nawiązywania połączenia i ponownego nawiązywania połączenia z siecią VPN. Zawsze włączone połączenia sieci VPN pozostają połączone. Możesz też natychmiast nawiązać połączenie po zablokowaniu urządzenia przez użytkowników, ponownym uruchomieniu urządzenia lub zmianie sieci bezprzewodowej.
Wybierz pozycję Nie skonfigurowano , aby wyłączyć zawsze włączoną sieć VPN dla wszystkich klientów sieci VPN.
Ważna
Pamiętaj, aby wdrożyć tylko jedną zasadę zawsze włączonej sieci VPN na jednym urządzeniu. Wdrażanie wielu zasad zawsze włączonej sieci VPN na jednym urządzeniu nie jest obsługiwane.
Klient sieci VPN: wybierz klienta sieci VPN, który obsługuje funkcję Zawsze włączone. Dostępne opcje:
- Cisco AnyConnect
- F5 Access
- Palo Alto Networks GlobalProtect
- Pulse Secure
- Niestandardowe
- Identyfikator pakietu: wprowadź identyfikator pakietu aplikacji w sklepie Google Play. Jeśli na przykład adres URL aplikacji w sklepie Play to
https://play.google.com/store/details?id=com.contosovpn.android.prod, identyfikator pakietu tocom.contosovpn.android.prod.
- Identyfikator pakietu: wprowadź identyfikator pakietu aplikacji w sklepie Google Play. Jeśli na przykład adres URL aplikacji w sklepie Play to
Ważna
- Wybrany klient sieci VPN musi być zainstalowany na urządzeniu i musi obsługiwać sieć VPN dla aplikacji w profilach służbowych należących do firmy. W przeciwnym razie wystąpi błąd.
- Musisz zatwierdzić aplikację klienta sieci VPN w zarządzanym sklepie Google Play, zsynchronizować aplikację z Intune i wdrożyć aplikację na urządzeniu. Po wykonaniu tej czynności aplikacja zostanie zainstalowana w profilu służbowym użytkownika należącym do firmy.
- Nadal musisz skonfigurować klienta sieci VPN przy użyciu profilu sieci VPN lub profilu konfiguracji aplikacji.
- Mogą występować znane problemy podczas korzystania z sieci VPN dla aplikacji z dostępem F5 dla systemu Android 3.0.4. Aby uzyskać więcej informacji, zobacz informacje o wersji języka F5 dotyczące programu F5 Access dla systemu Android 3.0.4.
Tryb blokady: pozycja Włącz wymusza cały ruch sieciowy w celu korzystania z tunelu VPN. Jeśli połączenie z siecią VPN nie zostanie nawiązane, urządzenie nie będzie miało dostępu do sieci. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na przepływ ruchu przez tunel VPN lub przez sieć komórkową.
W pełni zarządzane i dedykowane urządzenia
Zalecany globalny serwer proxy: ustawienie Włącz powoduje dodanie globalnego serwera proxy do urządzeń. Po włączeniu ruchu HTTP i HTTPS użyj wprowadzonej serwera proxy, w tym niektórych aplikacji na urządzeniu. Ten serwer proxy jest tylko zaleceniem. Możliwe, że niektóre aplikacje nie będą używać serwera proxy. Pozycja Nieskonfigurowane (wartość domyślna) nie powoduje dodania zalecanego globalnego serwera proxy.
Aby uzyskać więcej informacji na temat tej funkcji, zobacz setRecommendedGlobalProxy (otwiera witrynę systemu Android).
Po włączeniu wprowadź również typ serwera proxy. Dostępne opcje:
Bezpośrednie: ręcznie wprowadź szczegóły serwera proxy, w tym:
- Host: wprowadź nazwę hosta lub adres IP serwera proxy. Na przykład wprowadź
proxy.contoso.comwartość lub127.0.0.1. - Numer portu: wprowadź numer portu TCP używany przez serwer proxy. Na przykład wprowadź
8080. - Wykluczone hosty: wprowadź listę nazw hostów lub adresów IP, które nie będą używać serwera proxy. Ta lista może zawierać symbol wieloznaczny gwiazdki (
*) i wiele hostów oddzielonych średnikami (;) bez spacji. Na przykład wprowadź127.0.0.1;web.contoso.com;*.microsoft.com.
- Host: wprowadź nazwę hosta lub adres IP serwera proxy. Na przykład wprowadź
Automatyczna konfiguracja serwera proxy: wprowadź adres URL PAC skryptu automatycznej konfiguracji serwera proxy. Na przykład wprowadź
https://proxy.contoso.com/proxy.pac.Aby uzyskać więcej informacji na temat plików PAC, zobacz Plik automatycznej konfiguracji serwera proxy (PAC) (otwiera witrynę inną niż Microsoft).
Aby uzyskać więcej informacji na temat tej funkcji, zobacz setRecommendedGlobalProxy (otwiera witrynę systemu Android).
Hasło profilu służbowego
Te ustawienia dotyczą profilów służbowych należących do firmy.
Wymagany typ hasła: wprowadź wymagany poziom złożoności hasła i określa, czy można używać urządzeń biometrycznych. Dostępne opcje:
Domyślne urządzenie
Wymagane hasło, bez ograniczeń
Słabe biometryczne: silne i słabe dane biometryczne (otwiera witrynę internetową systemu Android)
Numeryczne: hasło musi być tylko liczbami, takimi jak
123456789. Wprowadź również:- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Złożona liczba: powtarzające się lub kolejne liczby, takie jak
1111lub1234, są niedozwolone. Wprowadź również:- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Alfabetyczne: litery w alfabecie są wymagane. Liczby i symbole nie są wymagane. Wprowadź również:
- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Alfanumeryczne: zawiera wielkie litery, małe litery i znaki liczbowe. Wprowadź również:
- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
Alfanumeryczne z symbolami: zawiera wielkie litery, małe litery, znaki liczbowe, znaki interpunkcyjne i symbole. Wprowadź również:
- Minimalna długość hasła: wprowadź minimalną długość hasła( od 4 do 16 znaków).
- Wymagana liczba znaków: wprowadź liczbę znaków, które musi zawierać hasło, od 0 do 16 znaków.
- Wymagana liczba małych liter: wprowadź liczbę małych liter, które musi zawierać hasło, od 0 do 16 znaków.
- Wymagana liczba wielkich liter: wprowadź liczbę wielkich liter, które musi zawierać hasło, od 0 do 16 znaków.
- Wymagana liczba znaków innych niż litery: wprowadź liczbę znaków innych niż litery w alfabecie, których hasło musi zawierać od 0 do 16 znaków.
- Wymagana liczba znaków liczbowych: wprowadź liczbę znaków liczbowych (
1,2,3itd.) hasła z zakresu od 0 do 16 znaków. - Wymagana liczba znaków symboli: wprowadź liczbę znaków symboli (
&,#,%i tak dalej) hasło musi zawierać od 0 do 16 znaków.
Liczba dni do wygaśnięcia hasła: wprowadź liczbę dni, po których należy zmienić hasło urządzenia z zakresu od 1 do 365. Na przykład wprowadź
90, aby wygasnąć hasło po 90 dniach. Gdy hasło wygaśnie, użytkownicy będą monitować o utworzenie nowego hasła. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.Liczba haseł wymaganych przed ponownym użyciem hasła przez użytkownika: użyj tego ustawienia, aby ograniczyć użytkownikom możliwość tworzenia wcześniej używanych haseł. Wprowadź liczbę wcześniej używanych haseł, których nie można użyć, z zakresu od 1 do 24. Na przykład wprowadź
5, aby użytkownicy nie mogli ustawić nowego hasła na bieżące hasło ani żadne z czterech poprzednich haseł. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.Liczba niepowodzeń logowania przed wyczyszczeniem urządzenia: wprowadź liczbę nieprawidłowych haseł dozwolonych przed wyczyszczeniem urządzenia z zakresu od 4 do 11.
0(zero) może wyłączyć funkcję czyszczenia urządzenia. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.Uwaga
W pełni zarządzane, dedykowane i należące do firmy urządzenia z profilem służbowym nie są monitowane o ustawienie hasła. Ustawienia są wymagane, ale użytkownicy mogą nie być powiadamiani. Użytkownicy muszą ustawić hasło ręcznie. Zasady są raporty jako zakończone niepowodzeniem, dopóki użytkownik nie ustawi hasła spełniającego twoje wymagania.
Wymagana częstotliwość odblokowywania: silne uwierzytelnianie polega na tym, że użytkownicy odblokują profil służbowy przy użyciu hasła, numeru PIN lub wzorca. Metody uwierzytelniania niesilnego są dostępne, gdy użytkownicy odblokują profil służbowy przy użyciu pewnych opcji biometrycznych, takich jak odcisk palca lub skanowanie twarzy.
Wybierz, jak długo użytkownicy muszą odblokować profil służbowy przy użyciu metody silnego uwierzytelniania. Dostępne opcje:
- Ustawienie domyślne urządzenia (ustawienie domyślne): ekran jest blokowany przy użyciu domyślnego czasu urządzenia.
- 24 godziny od ostatniego przypięcia, hasła lub odblokowania wzorca: ekran blokuje się 24 godziny po ostatnim użyciu przez użytkowników silnej metody uwierzytelniania do odblokowania profilu służbowego. Po osiągnięciu limitu czasu metody uwierzytelniania niesilne są wyłączone, dopóki profil służbowy nie zostanie odblokowany przy użyciu silnego uwierzytelniania.
2.3.4 Zaawansowane zarządzanie kodem dostępu: limit czasu wymagany do silnego uwierzytelniania (otwiera witrynę internetową systemu Android)
Profil osobisty
- Aparat fotograficzny: Pozycja Blokuj uniemożliwia dostęp do aparatu podczas użytku osobistego. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na używanie aparatu w profilu osobistym.
- Przechwytywanie ekranu: pozycja Blokuj uniemożliwia przechwytywanie ekranu podczas użytku osobistego. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać użytkownikom na pobieranie zrzutów ekranu lub zrzutów ekranu w profilu osobistym.
- Zezwalaj użytkownikom na włączanie instalacji aplikacji z nieznanych źródeł w profilu osobistym: wybierz pozycję Zezwalaj, aby użytkownicy mogli instalować aplikacje z nieznanych źródeł w profilu osobistym. Umożliwia użytkownikom instalowanie aplikacji ze źródeł innych niż Sklep Google Play. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwiać użytkownikom instalowanie aplikacji z nieznanych źródeł w profilu osobistym.
- Typ listy aplikacji z ograniczeniami: wybierz pozycję Zezwalaj aplikacjom na tworzenie listy zarządzanych aplikacji Google Play, które są dozwolone i zatwierdzone do instalowania i uruchamiania w profilu osobistym na urządzeniu. Wybierz pozycję Zablokowane aplikacje , aby utworzyć listę zarządzanych aplikacji Google Play, które są zabronione i nie mogą instalować i uruchamiać ich w profilu osobistym na urządzeniu. Po ustawieniu opcji Nieskonfigurowane (wartość domyślna) Intune nie zawiera listy aplikacji do zezwolenia lub zablokowania.
Niestandardowe informacje o pomocy technicznej
Za pomocą tych ustawień można dostosować niektóre komunikaty pomocy technicznej wyświetlane użytkownikom i pokazać te komunikaty w różnych językach.
Domyślnie wyświetlane są domyślne komunikaty producenta OEM. Podczas wdrażania niestandardowego komunikatu przy użyciu Intune wdrażany jest również komunikat domyślny Intune. Jeśli nie wprowadzisz niestandardowego komunikatu dla domyślnego języka urządzenia, zostanie automatycznie wyświetlony komunikat domyślny Intune.
Domyślnie Intune komunikat domyślny jest w języku angielskim (Stany Zjednoczone).
Na przykład wdrażasz niestandardową wiadomość dla języka angielskiego i francuskiego. Użytkownik zmienia domyślny język urządzenia na hiszpański. Ponieważ nie wdrożono niestandardowego komunikatu w języku hiszpańskim, zostanie wyświetlony Intune komunikat domyślny.
Domyślny komunikat Intune jest tłumaczony dla wszystkich języków w centrum administracyjnym Endpoint Manger (Settings>Language + Region). Wartość ustawienia Język określa domyślny język używany przez usługę Intune. Domyślna wartość ustawienia to język angielski.
Możesz skonfigurować następujące ustawienia:
Krótki komunikat pomocy technicznej: Gdy użytkownicy próbują zmienić ustawienie zarządzane przez organizację, zostanie wyświetlony krótki komunikat.
Korzystając z poniższych ustawień, możesz dostosować ten komunikat i wprowadzić inny komunikat dla różnych języków. Domyślnie ta wiadomość jest w języku angielskim (Stany Zjednoczone).
Wszystkie, z wyjątkiem sytuacji, gdy określono: ten komunikat jest Intune komunikat domyślny i jest wyświetlany dla wszystkich języków. Jeśli nie wprowadzisz wiadomości niestandardowej, ten tekst zostanie wyświetlony automatycznie. Ten tekst jest również automatycznie tłumaczony na domyślny język urządzenia.
Możesz zmienić ten komunikat. Żadne zmiany nie są tłumaczone. Jeśli usuniesz cały tekst w tej wiadomości i pozostawisz to ustawienie puste, zostanie użyty następujący oryginalny krótki Intune komunikat domyślny i zostanie przetłumaczony:
You do not have permission for this action. For more information, contact your IT admin.Wybierz pozycję Ustawienia regionalne: wybierz ustawienia regionalne lub region, aby wyświetlić inny komunikat niestandardowy dla tych konkretnych ustawień regionalnych.
Aby na przykład wyświetlić niestandardowy komunikat na urządzeniach używających języka hiszpańskiego jako języka domyślnego, wybierz pozycję Hiszpański (Hiszpania). Komunikat niestandardowy są widoczne tylko na urządzeniach korzystających z języka domyślnego hiszpańskiego (Hiszpania ). Wszystkie inne języki widzą wartość Wszystkie, z wyjątkiem sytuacji, gdy określono tekst wiadomości.
Możesz dodać wiele ustawień regionalnych i komunikatów.
Komunikat: wprowadź tekst, który ma być wyświetlany, maksymalnie 200 znaków. Wprowadzony tekst nie jest tłumaczony na język domyślny urządzenia. Jeśli więc chcesz wyświetlić wiadomość w języku hiszpańskim, wprowadź tekst w języku hiszpańskim.
Długi komunikat pomocy technicznej: na urządzeniu w obszarze Ustawienia>Aplikacje>>administratora urządzeńZasady urządzenia jest wyświetlany długi komunikat pomocy technicznej.
Korzystając z poniższych ustawień, możesz dostosować ten komunikat i wprowadzić inny komunikat dla różnych języków. Domyślnie ta wiadomość jest w języku angielskim (Stany Zjednoczone).
Wszystkie, z wyjątkiem sytuacji, gdy określono: ten komunikat jest Intune komunikat domyślny i jest wyświetlany dla wszystkich języków. Jeśli nie wprowadzisz komunikatu niestandardowego, ten tekst zostanie wyświetlony automatycznie i automatycznie przetłumaczony na domyślny język urządzenia.
Możesz zmienić ten komunikat. Żadne zmiany nie są tłumaczone. Jeśli usuniesz cały tekst w tej wiadomości i pozostawisz to ustawienie puste, zostanie użyty następujący oryginalny długi Intune domyślny komunikat i zostanie przetłumaczony:
The organization's IT admin can monitor and manage apps and data associated with this device, including settings, permissions, corporate access, network activity and the device's location information.Wybierz pozycję Ustawienia regionalne: wybierz ustawienia regionalne lub region, aby wyświetlić inny komunikat niestandardowy dla tych konkretnych ustawień regionalnych.
Aby na przykład wyświetlić niestandardowy komunikat na urządzeniach używających języka hiszpańskiego jako języka domyślnego, wybierz pozycję Hiszpański (Hiszpania). Komunikat niestandardowy są widoczne tylko na urządzeniach korzystających z języka domyślnego hiszpańskiego (Hiszpania ). Wszystkie inne języki widzą wartość Wszystkie, z wyjątkiem sytuacji, gdy określono tekst wiadomości.
Możesz dodać wiele ustawień regionalnych i komunikatów.
Komunikat: wprowadź tekst, który ma być wyświetlany, maksymalnie 4096 znaków. Wprowadzony tekst nie jest tłumaczony na język domyślny urządzenia. Jeśli więc chcesz wyświetlić wiadomość w języku hiszpańskim, wprowadź tekst w języku hiszpańskim.
Komunikat ekranu blokady: wprowadź tekst wyświetlany na ekranie blokady urządzenia.
Korzystając z poniższych ustawień, możesz dostosować ten komunikat i wprowadzić inny komunikat dla różnych języków. Domyślnie ta wiadomość jest w języku angielskim (Stany Zjednoczone).
Wszystko, z wyjątkiem sytuacji, gdy zostanie określony: wprowadź tekst, który ma być wyświetlany dla wszystkich języków, maksymalnie 4096 znaków. Ten tekst jest automatycznie tłumaczony na domyślny język urządzenia. Jeśli nie wprowadzisz komunikatu niestandardowego, Intune nie zmieni ani nie zaktualizuje tego ustawienia. Domyślnie system operacyjny może nie wyświetlać komunikatu ekranu blokady.
Wybierz pozycję Ustawienia regionalne: wybierz ustawienia regionalne lub region, aby wyświetlić inny komunikat niestandardowy dla tych konkretnych ustawień regionalnych.
Aby na przykład wyświetlić niestandardowy komunikat na urządzeniach używających języka hiszpańskiego jako języka domyślnego, wybierz pozycję Hiszpański (Hiszpania). Komunikat niestandardowy są widoczne tylko na urządzeniach korzystających z języka domyślnego hiszpańskiego (Hiszpania ). Wszystkie inne języki widzą wartość Wszystkie, z wyjątkiem sytuacji, gdy określono tekst wiadomości.
Możesz dodać wiele ustawień regionalnych i komunikatów.
Komunikat: wprowadź tekst, który ma być wyświetlany, maksymalnie 4096 znaków. Wprowadzony tekst nie jest tłumaczony na język domyślny urządzenia. Jeśli więc chcesz wyświetlić wiadomość w języku hiszpańskim, wprowadź tekst w języku hiszpańskim.
Podczas konfigurowania komunikatu Ekran blokady możesz również użyć następujących tokenów urządzenia, aby wyświetlić informacje specyficzne dla urządzenia:
{{AADDeviceId}}: identyfikator urządzenia Microsoft Entra{{AccountId}}: Intune identyfikator dzierżawy lub identyfikator konta{{DeviceId}}: identyfikator urządzenia Intune{{DeviceName}}: nazwa urządzenia Intune{{domain}}: Nazwa domeny{{EASID}}: Identyfikator usługi Exchange Active Sync{{IMEI}}: IMEI urządzenia{{mail}}: adres Email użytkownika{{MEID}}: IDENTYFIKATOR MEID urządzenia{{partialUPN}}: prefiks nazwy UPN przed symbolem @{{SerialNumber}}: Numer seryjny urządzenia{{SerialNumberLast4Digits}}: Ostatnie cztery cyfry numeru seryjnego urządzenia{{UserId}}: Intune identyfikator użytkownika{{UserName}}: Nazwa użytkownika{{userPrincipalName}}: nazwa UPN użytkownika
Uwaga
Zmienne nie są weryfikowane w interfejsie użytkownika i uwzględniają wielkość liter. W związku z tym można zobaczyć profile zapisane z nieprawidłowymi danymi wejściowymi. Jeśli na przykład wprowadzisz
{{DeviceID}}ciąg , zamiast{{deviceid}}lub{{DEVICEID}}, ciąg literału zostanie wyświetlony zamiast unikatowego identyfikatora urządzenia. Pamiętaj, aby wprowadzić poprawne informacje. Obsługiwane są wszystkie małe litery lub wszystkie wielkie litery, ale nie kombinacja.
Następne kroki
Przypisz profil i monitoruj jego stan.
Można również tworzyć dedykowane profile kiosku urządzeń z systemem Android i Windows 10.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla