Intune 中的 Android 和 Samsung Knox Standard 设备限制设置列表

项目
10/23/2023

本文介绍可为运行 Android 的设备配置的所有Microsoft Intune设备限制设置。作为移动设备管理 (MDM) 解决方案的一部分，请使用这些设置来允许或禁用功能、设置密码要求、控制安全性等。

此功能适用于：

Android 设备管理员 (DA)

重要

Microsoft Intune于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持， (GMS) 。在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。有关详细信息，请阅读在 GMS 设备上终止对 Android 设备管理员的支持。

提示

如果所需的设置不可用，则可以使用自定义配置文件配置设备。

开始之前

创建 Android 设备管理员设备限制配置文件。

一般信息

相机： “阻止” 会阻止访问设备相机。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许访问设备相机。

Intune 仅管理对设备相机的访问。它无法访问图片或视频。
复制和粘贴 (Samsung Knox 仅) ：阻止会阻止复制和粘贴。 “未配置” 允许在设备上执行复制和粘贴功能。
应用之间的剪贴板共享 (Samsung Knox 仅) ：阻止会阻止使用剪贴板在应用之间复制和粘贴。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许在设备上执行复制和粘贴功能。
诊断数据提交 (Samsung Knox 仅) ：阻止会阻止用户从设备提交 bug 报告。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户提交数据。
擦除 (Samsung Knox 仅) ：允许用户在设备上运行擦除操作。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。
地理位置 (Samsung Knox 仅) ：阻止会禁用设备使用位置信息。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许设备使用位置信息。
关闭 (Samsung Knox 仅) ：阻止可阻止用户关闭设备。它还可防止配置 擦除设备前的登录失败次数 设置，并阻止其工作。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户关闭设备电源。
屏幕捕获 (Samsung Knox 仅) ：阻止会阻止屏幕截图。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户将屏幕内容捕获为图像。
语音助手 (Samsung Knox 仅) ：阻止禁用 S Voice 服务。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许在设备上使用 S Voice 服务和应用。此设置不适用于 Bixby 或用于大声朗读屏幕内容的辅助功能语音助手。
YouTube (Samsung Knox 仅) ：阻止会阻止用户使用 YouTube 应用。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许在设备上使用 YouTube 应用。
共享设备 (Samsung Knox 仅) ：将托管的 Samsung Knox 标准设备配置为共享。 “允许”允许用户使用其Microsoft Entra凭据登录和注销设备。无论设备是否处于使用状态，都保持托管状态。

与 SCEP 证书配置文件一起使用时，此功能允许用户与所有用户共享同一应用的设备。但是，每个用户都有自己的 SCEP 用户证书。当用户注销时，将清除所有应用数据。此功能仅限于 LOB 应用。

设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能会阻止多个用户使用其Microsoft Entra凭据登录到设备上的公司门户应用。
阻止 Samsung Knox) (日期和时间更改 ：阻止可防止用户更改设备上的日期和时间设置。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户更改日期和时间设置。

Password

加密：选择“ 需要 ”，以便对设备上的文件进行加密。并非所有设备都支持加密。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。若要配置此设置并正确报告符合性，还要配置：
1. 密码：设置为 “需要”。
2. 所需的密码类型：设置为 至少数值。
3. 最短密码长度：至少设置为 4。
注意

如果强制实施加密策略，Samsung Knox 设备要求用户将 6 个字符的复杂密码设置为设备密码。

所有 Android 设备

这些设置适用于 Android 4.0 及更新版本以及 Knox 4.0 及更新版本。

屏幕锁定前的最大非活动分钟数：输入设备在屏幕自动锁定之前必须处于空闲状态的时间长度。例如，输入 5 以在空闲 5 分钟后锁定设备。当该值为空或设置为 “未配置”时，Intune 不会更改或更新此设置。

在设备上，用户无法设置大于配置文件中配置的时间值。用户可以设置较短的时间值。例如，如果配置文件设置为 15 分钟，则用户可以将值设置为 5 分钟。用户无法将值设置为 30 分钟。
擦除设备前的登录失败次数：输入擦除设备前允许的错误密码数（从 4 到 11）。 0 (零) 可能会禁用设备擦除功能。当值为空时，Intune 不会更改或更新此设置。
密码：要求用户输入密码才能访问设备。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户在不输入密码的情况下访问设备。

注意

在 MDM 注册期间，Samsung Knox 设备自动需要 4 位 PIN。本机 Android 设备可能会自动要求 PIN 符合条件访问。

Android 10 及更高版本

密码复杂性：输入所需的密码复杂性。选项包括：
- 无 (默认) ：无需密码。
- 低：密码满足以下条件之一：
  - 模式
  - 数字 PIN 具有重复 (4444) 或排序 (1234、4321、2468) 序列。
- 中：密码满足以下条件之一：
  - 数字 PIN 没有重复 (4444) 或排序 (1234、4321、2468) 序列，并且最小长度为 4。
  - 字母顺序，最小长度为 4。
  - 字母数字，最小长度为 4。
- 高：密码满足以下条件之一：
  - 数字 PIN 没有重复 (4444) 或排序 (1234、4321、2468) 序列，最小长度为 8。
  - 字母顺序，最小长度为 6。
  - 字母数字，最小长度为 6。
此设置适用于：
- Android 10 及更新版本，但不在 Samsung Knox 上。
重要

密码复杂性设置正在进行中。 2020 年 10 月下旬， 密码复杂性 将在设备上生效。

如果将 “密码复杂性” 设置为“ 无”以外的值，则还要将 “密码 ”设置设置为 “需要”，该设置位于 “所有 Android 设备 ”部分下。密码不符合复杂性要求的用户会收到更新其密码的警告。如果未将 “密码” 设置设置为 “需要”，则密码较弱的用户将不会收到警告。

Android 9 及更早版本或 Samsung Knox (任何版本)

最短密码长度：输入所需的最小字符数（从 4 到 16）。例如，输入 6 要求密码长度至少为 6 个数字或字符。
密码过期 (天) ：输入设备密码必须更改之前的天数（从 1 到 365）。例如，输入 90 以在 90 天后使密码过期。密码过期时，系统会提示用户创建新密码。当值为空时，Intune 不会更改或更新此设置。
所需的密码类型：输入所需的密码复杂性级别，以及是否可以使用生物识别设备。选项包括：
- 设备默认值
- 低安全性生物识别：强生物识别与弱生物识别 (打开 Android 网站)
- 至少为数值：包括数字字符，例如 123456789。
- 数值复数：不允许使用重复或连续数字，例如“1111”或“1234”。在将此设置分配给设备之前，请务必将公司门户应用更新到这些设备上的最新版本。
  
  如果设置为 “数值复杂”，并将设置分配给运行 5.0 之前 Android 版本的设备，则以下行为适用：
  - 如果公司门户应用运行的版本低于 1704，则不会将 PIN 策略应用于设备，并且Microsoft Intune管理中心中会显示错误。
  - 如果公司门户应用运行 1704 或更高版本，则只能应用简单的 PIN。低于 5.0 的 Android 版本不支持此设置。 Microsoft Intune管理中心中未显示任何错误。
- 至少按字母顺序排列：包括字母表中的字母。不需要数字和符号。
- 至少为字母数字：包括大写字母、小写字母和数字字符。
- 至少包含符号的字母数字：包括大写字母、小写字母、数字字符、标点符号和符号。
防止重用以前的密码：使用此设置可限制用户创建以前使用的密码。输入以前使用过的不能使用的密码数（从 1 到 24）。例如，输入 5 ，以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。当值为空时，Intune 不会更改或更新此设置。
指纹解锁 (Samsung Knox 仅) ：阻止阻止使用指纹解锁设备。设置为“ 未配置 (默认) 时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户使用指纹解锁设备。
智能锁和其他信任代理： “阻止” 可阻止 Smart Lock 或其他信任代理调整锁屏设置。如果设备位于受信任位置，则此功能（也称为信任代理）可用于禁用或绕过设备锁屏界面密码。例如，当设备连接到特定蓝牙设备或设备靠近 NFC 标记时，请使用此功能。可以使用此设置来阻止用户配置智能锁。

设置为“未配置”（默认）时，Intune 不会更改或更新此设置。

此设置适用于：
- Samsung KNOX Standard 5.0 及更新版

Google Play 商店

Google Play 商店 (Samsung Knox 仅) ：阻止会阻止用户使用 Google Play 商店。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许用户访问设备上的 Google Play 商店。

受限应用

Android 和 Samsung Knox Standard 设备支持此功能。

受限应用列表的类型：创建在设备上允许或阻止的应用列表。 Android 和 Samsung Knox Standard 设备支持此功能。选项包括：
- 未配置 (默认) ：Intune 不会更改或更新此设置。
- 禁止的应用：列出不受 Intune 管理的应用 (，) 不允许用户安装和运行。如果用户从此列表中安装应用，Intune 会通知你。
- 批准的应用：列出允许用户安装的应用。为了保持合规性，用户不得安装其他应用。自动允许 Intune 管理的应用，包括公司门户应用。
应用列表：添加应用：
- 应用商店 URL：输入所需应用的 Google Play 商店 URL。例如，若要添加适用于 Android 的 Microsoft 远程桌面应用，请输入 https://play.google.com/store/apps/details?id=com.microsoft.rdc.android。
  
  若要查找应用的 URL，请打开 Google Play 商店，然后搜索该应用。例如，搜索 Microsoft Remote Desktop Play Store 或 Microsoft Planner。选择应用，并复制 URL。
- 应用程序包 ID：输入应用捆绑 ID。
- 应用名称：输入所需名称。此名称将向用户显示。
- 发布者 (可选) ：输入应用的发布者，例如 Microsoft。

还可以导入包含应用详细信息（包括 URL）的 CSV 文件。使用 <应用 URL>、 <应用名称>、 <应用发布者> 格式。或者，以相同格式导出包含受限应用列表的现有列表。

重要

必须将使用受限应用设置的设备配置文件分配给用户组，而不是设备组。

浏览器

Web 浏览器 (Samsung Knox 仅) ：阻止可防止在设备上使用默认 Web 浏览器。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用设备的默认 Web 浏览器。
自动填充 (Samsung Knox 仅) ：阻止会阻止浏览器自动填充文本。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许自动填充。
Cookie (Samsung Knox 仅) ：选择如何处理设备上的网站上的 Cookie。选项包括：
- 允许
- 阻止所有 Cookie
- 允许来自已访问网站的 Cookie
- 允许来自当前网站的 Cookie
JavaScript (Samsung Knox 仅) ：阻止会阻止 JavaScript 在浏览器中运行。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许这些脚本。
弹出窗口 (Samsung Knox 仅) ： “阻止” 打开弹出窗口阻止程序，以防止 Web 浏览器中出现弹出窗口。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许弹出窗口。

允许或阻止应用

使用这些设置可允许、阻止或隐藏 Samsung Knox Standard 设备上的特定应用。用户无法打开或运行隐藏的应用。

选项包括：

允许 (Samsung Knox Standard 安装的应用仅) ：添加用户可以安装的应用。用户无法安装不在列表中的应用。
阻止启动 (Samsung Knox Standard 的应用仅) ：输入用户不能在其设备上运行的应用。
对用户隐藏的应用 (Samsung Knox Standard 仅) ：输入设备上隐藏的应用。用户无法发现或运行这些应用。

对于每个设置，添加应用：

按包名称添加应用：输入应用名称和应用包的名称。主要用于业务线应用。
按 URL 添加应用：在 Google Play 商店中输入应用名称及其 URL。
添加应用商店应用：从 Intune 中管理的现有应用列表中选择一个应用。

云和存储

Google 备份 (Samsung Knox 仅) ：阻止会阻止设备同步到 Google 备份。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用 Google 备份。
Google 帐户自动同步 (Samsung Knox 仅) ：阻止会阻止设备上的 Google 帐户自动同步功能。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许自动同步 Google 帐户设置。
可移动存储 (Samsung Knox 仅) ：阻止会阻止设备使用可移动存储。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许设备使用可移动存储，例如 SD 卡。
(Samsung Knox 上的存储卡加密仅) ：要求强制要求必须加密存储卡。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用未加密的存储卡。并非所有设备都支持存储卡加密。若要确认，检查与设备制造商联系。

手机网络和连接

数据漫游 (Samsung Knox 仅) ：阻止会阻止通过手机网络进行数据漫游。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许数据漫游。
短信/彩信 (Samsung Knox 仅) ：阻止会阻止设备上的短信。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用短信和彩信。
语音拨号 (Samsung Knox 仅) ： “阻止” 可阻止用户在设备上使用语音拨号功能。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许语音拨号。
语音漫游 (Samsung Knox 仅) ：阻止可防止通过手机网络进行语音漫游。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许语音漫游。
蓝牙 (Samsung Knox 仅) ：阻止会阻止在设备上使用蓝牙。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用蓝牙。
NFC (Samsung Knox 仅) ：阻止会禁用在支持 NFC) 的设备上使用近场通信 (NFC) 的操作。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许 NFC 操作。
Wi-Fi (Samsung Knox 仅) ：阻止会阻止在设备上使用 Wi-Fi。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用 Wi-Fi。
Wi-Fi 网络共享 (Samsung Knox 仅) ：阻止可防止在设备上使用 Wi-Fi 网络。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许使用 Wi-Fi 共享。

Kiosk

展台设置仅适用于运行 Android 10 或更早版本的 Samsung Knox 标准版设备，并且仅适用于使用 Intune 管理的应用。

添加要在设备处于展台模式时运行的应用。在展台模式下，仅你添加的应用运行;未添加的应用不会运行。当设备处于展台模式时，预安装的浏览器不会作为应用运行。如果需要浏览器，请考虑使用托管浏览器。

应用选项：
- 按包名称添加应用：主要用于业务线应用。输入应用名称和应用包的名称。
- 按 URL 添加应用：在 Google Play 商店中输入应用名称及其 URL。
- 添加应用商店应用：从 Intune 中管理的现有应用列表中选择一个应用。
屏幕睡眠按钮： “阻止” 可阻止或隐藏屏幕睡眠按钮。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许设备上的屏幕睡眠唤醒按钮。
音量按钮： “阻止” 可阻止用户通过禁用音量按钮来调整音量。设置为“未配置”（默认）时，Intune 不会更改或更新此设置。默认情况下，OS 可能允许在设备上使用音量按钮。

后续步骤

分配配置文件并监视其状态。