Android Enterprise 设备设置列表，用于允许或限制使用 Intune

本文介绍可以在组织拥有的 Android Enterprise 设备上控制和限制的不同设置。 作为移动设备管理 (MDM) 解决方案的一部分，使用这些设置来允许或禁用功能、在专用设备上运行应用、控制安全性等。

此功能适用于：

• Android Enterprise 公司拥有的工作配置文件 (COPE)
• Android Enterprise 公司拥有的完全托管 (COBO)
• Android Enterprise 公司拥有的专用设备 (COSU)

提示

• 对于 AOSP 设备，请转到 Android (AOSP) 设备设置，以允许或限制使用 Intune 的功能。
• 对于具有工作配置文件 (BYOD) 的 Android Enterprise 个人拥有的设备，请转到 Android Enterprise 设备设置，以允许或限制使用Intune的个人拥有设备上的功能。

开始之前

创建 Android 设备限制配置文件。

完全托管、专用和公司拥有的工作配置文件

这些设置适用于 Android Enterprise 注册类型，其中Intune控制整个设备，例如 Android Enterprise 完全托管、专用和公司拥有的工作配置文件设备。

并非所有注册类型都支持某些设置。 若要查看不同注册类型支持的设置，请登录到 Intune 管理中心。 每个设置都位于一个标题下，该标题指示可以使用设置的注册类型。

对于具有工作配置文件的公司拥有的设备，某些设置仅适用于工作配置文件。 这些设置在设置名称中 (工作配置文件级) 。 对于完全托管的专用设备，这些设置在设备范围内应用。

一般信息

完全托管、专用和公司拥有的工作配置文件设备

• 屏幕捕获 (工作配置文件级别) ： “阻止” 可阻止设备上的屏幕截图或屏幕捕获。 它还可防止内容在没有安全视频输出的显示设备上显示。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户将屏幕内容捕获为图像。

• 相机 (工作配置文件级) ： 阻止 会阻止访问设备上的相机。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许访问相机。

  Intune仅管理对设备相机的访问。 它无法访问图片或视频。

• 默认权限策略 (工作配置文件级别) ：此设置定义运行时权限请求的默认权限策略。 你的选项

  • 设备默认 (默认) ：使用设备的默认设置。
  • 提示：系统会提示用户批准权限。
  • 自动授予：自动授予权限。
  • 自动拒绝：自动拒绝权限。

• 日期和时间更改： “阻止” 可阻止用户手动设置日期和时间。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户在设备上设置日期和时间。

• 漫游数据服务： “阻止” 可阻止通过手机网络进行数据漫游。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，当设备位于手机网络时，OS 可能允许数据漫游。

• Wi-Fi 接入点配置： “阻止” 可阻止用户创建或更改任何 Wi-Fi 配置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户更改设备上的 Wi-Fi 设置。

• 蓝牙配置： “阻止” 可阻止用户在设备上配置蓝牙。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许在设备上使用蓝牙。

• 网络共享和访问热点： 阻止 可阻止共享和访问便携式热点。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许网络共享和访问便携式热点。

• USB 文件传输： 阻止 会阻止通过 USB 传输文件。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许传输文件。

• 外部媒体： 阻止 会阻止在设备上使用或连接任何外部媒体。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许设备上的外部媒体。

• 使用 NFC (工作配置文件级别) 的波束数据 ： 阻止 使用近场通信 (NFC) 技术从应用传送数据。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许使用 NFC 在设备之间共享数据。

• 开发人员设置：选择 “允许” 以允许用户访问设备上的开发人员设置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止用户访问设备上的开发人员设置。

• 麦克风调整： “阻止” 可阻止用户取消麦克风静音并调整麦克风音量。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户使用和调整设备上的麦克风音量。

• 恢复出厂设置保护电子邮件：选择 Google 帐户电子邮件地址。 输入可在擦除设备后解锁设备管理员的电子邮件地址。 请务必用分号分隔电子邮件地址，例如 admin1@gmail.com;admin2@gmail.com。 这些电子邮件仅适用于运行非用户恢复出厂设置时，例如使用恢复菜单运行恢复出厂设置。

  设置为“未配置”（默认）时，Intune 不会更改或更新此设置。

• 系统更新：选择一个选项来定义设备处理无线更新的方式。 你的选项

  • 设备默认 (默认) ：使用设备的默认设置。 默认情况下，如果设备已连接到 Wi-Fi、正在充电且处于空闲状态，则操作系统会自动更新。 对于应用更新，OS 还会验证应用是否未在前台运行。

  • 自动：无需用户交互即可自动安装汇报。 设置此策略会立即安装任何挂起的更新。

  • 已推迟：汇报推迟 30 天。 30 天后，Android 会提示用户安装更新。 设备制造商或运营商可以阻止 (豁免) 重要的安全更新被推迟。 豁免更新向设备上的用户显示系统通知。

  • 维护时段：在 Intune 中设置的每日维护时段内自动安装更新。 安装会每天尝试 30 天，如果空间不足或电池电量不足，可能会失败。 30 天后，Android 会提示用户安装。

    此设置适用于操作系统和 Play Store 应用更新。 任何维护时段都优先于正在进行的设备更改。

    将此选项用于专用设备（例如展台），因为可以更新单应用专用设备前台应用。

• 系统更新的冻结期：可选。 将 “系统更新 ”设置设置为 “自动”、“ 推迟”或“ 维护”时段时，使用此设置创建冻结期：

  • 开始日期：输入格式的开始日期 MM/DD ，最长为 90 天。 例如，输入 11/15 以在 11 月 15 日开始冻结期。
  • 结束日期：以格式输入结束日期 MM/DD ，最长为 90 天。 例如，输入 01/15 以在 1 月 15 日结束冻结期。

  在此冻结期间，将阻止所有传入的系统更新和安全修补程序，包括手动检查更新。

  当设备的时钟超出冻结期时，设备会根据 系统更新 设置继续接收更新。

  若要设置多个年度定期冻结期，请确保冻结期相隔至少 60 天。

  此设置适用于：

  • Android 9.0 及更新版本

• 位置： “阻止” 可禁用设备上的 “位置” 设置，并阻止用户将其打开。 禁用此设置后，依赖于设备位置的任何其他设置都会受到影响，包括管理员使用的 “定位设备 远程”操作。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许使用设备上的位置。

完全托管的专用设备

• 卷更改：“阻止”可阻止用户更改设备的卷，并将main卷静音。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许在设备上使用卷设置。

• 恢复出厂设置： “阻止” 可阻止用户在设备的设置中使用恢复出厂设置选项。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户在设备上使用此设置。

• 状态栏： “阻止” 会阻止访问状态栏，包括通知和快速设置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户访问状态栏。

• Wi-Fi 设置更改： “阻止” 可阻止用户更改设备所有者创建的 Wi-Fi 设置。 用户可以创建自己的 Wi-Fi 配置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户更改设备上的 Wi-Fi 设置。

• USB 存储：选择 “允许” 以访问设备上的 USB 存储。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止访问 USB 存储。

• 网络转义阴影： 启用 允许用户打开网络转义阴影功能。 如果在设备启动时未建立网络连接，则转义阴影会要求暂时连接到网络并刷新设备策略。 应用策略后，临时网络被遗忘，设备继续启动。 在以下情况下，此功能将设备连接到网络：

  • 上一个策略中没有合适的网络。
  • 设备在锁定任务模式下启动到应用。
  • 用户无法访问设备设置。

  设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止用户打开设备上的网络转义阴影功能。

• 通知窗口：设置为 “禁用”时，设备上不显示窗口通知，包括 toast、传入呼叫、传出呼叫、系统警报和系统错误。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会显示通知。

• 跳过首次使用提示： 启用 可 隐藏或跳过单步执行教程的应用的建议，或应用启动时的提示。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会在应用启动时显示这些建议。

完全托管和公司拥有的工作配置文件设备

• 查找设备： 允许 管理员使用远程操作查找丢失或被盗的设备。 设置为“允许”时，最终用户会收到一次性通知，指出Intune具有位置权限。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许使用地理位置定位设备。

完全托管和专用设备仅 (展台模式)

• 电源按钮菜单：当用户在展台模式下按住电源按钮时， “阻止” 可隐藏电源选项。 隐藏这些选项可防止用户意外或有意关闭设备。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，当用户按住设备上的电源按钮时，会显示电源选项，例如重启和关机。

  此设置适用于：

  • Android 9.0 及更新版本

• 系统错误警告：处于展台模式时， 允许 在屏幕上显示系统警告，包括无响应的应用和系统警告。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会隐藏这些警告。 发生其中一个事件时，系统会强制关闭应用。

  此设置适用于：

  • Android 9.0 及更新版本

• 已启用的系统导航功能：允许用户在展台模式下访问设备主页和概述按钮。 选项包括：

  • 未配置 (默认) ：Intune不会更改或更新此设置。 默认情况下，OS 可能会禁用设备主页和概述按钮。

  • 仅“主页”按钮：用户可以查看并选择主页按钮。 他们无法查看或选择概述按钮。

  • 主页和概述按钮：用户可以查看并选择主页和概述按钮。

    注册设备并使用 托管主屏幕 应用时，启用“概述”按钮允许最终用户跳过或忽略登录和会话 PIN 屏幕。 屏幕仍会显示，但用户可以忽略它们，无需输入任何内容。

  此设置适用于：

  • Android 9.0 及更新版本

• 系统通知和信息：允许用户访问设备状态栏，并在处于展台模式时从状态栏接收通知。 选项包括：

  • 未配置 (默认) ：Intune不会更改或更新此设置。 默认情况下，OS 可能会禁用状态栏，并在状态栏上禁用通知。
  • 在设备的状态栏中显示系统信息：用户可以在状态栏上查看系统信息。 用户无法从状态栏看到或接收通知。
  • 在设备的状态栏中显示系统通知和信息：用户可以查看系统信息，并从状态栏接收通知。 若要查看通知，请使用 “启用的系统导航功能 ”设置启用设备主页按钮。

  此设置适用于：

  • Android 9.0 及更新版本

• 最终用户对设备设置的访问： “阻止 ”会阻止用户访问“设置”应用，并阻止处于展台模式的其他应用打开“设置”应用。 如果设备是展台，则将此设置设置为 “阻止”。

  设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户访问“设置”，并允许处于展台模式的应用打开“设置”应用。

  此设置适用于：

  • Android 9.0 及更新版本

专用设备

• 查找设备： “阻止” 可防止管理员使用远程操作查找丢失或被盗的设备。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许使用地理位置定位设备。

公司拥有的工作配置文件设备

• 通过蓝牙 (工作配置文件级别) 的联系人共享 ： “阻止 ”可阻止用户通过蓝牙与设备共享其工作配置文件联系人。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户通过蓝牙共享其联系人。

• 在个人资料中搜索工作联系人并显示工作联系人来电 ID：在个人资料中， “阻止” 可阻止用户搜索工作联系人，并显示工作呼叫者 ID 信息。

  设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许搜索工作联系人并显示工作调用方 ID。

  ShowWorkContactsInPersonalProfile

• 在工作配置文件和个人配置文件之间复制和粘贴： 允许用户 在工作和个人配置文件之间复制和粘贴数据。

  设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会：

  • 防止用户将文本粘贴到从工作配置文件复制的个人配置文件中。
  • 允许用户从个人配置文件复制文本，并将其粘贴到工作配置文件中。
  • 允许用户从工作配置文件复制文本，并将其粘贴到工作配置文件中。

  CrossProfileCopyPaste

• 工作配置文件和个人配置文件之间的数据共享：选择是否可以在工作和个人配置文件之间共享数据。 选项包括：

  • 设备默认值：Intune不会更改或更新此设置。 默认情况下，OS 可能会阻止用户与个人配置文件共享工作配置文件中的数据。 个人配置文件中的数据可以在工作配置文件中共享。
  • 阻止配置文件之间的所有共享：阻止用户在工作和个人配置文件之间共享数据。
  • 阻止从工作到个人配置文件的共享：阻止用户使用个人配置文件共享工作配置文件中的数据。 个人配置文件中的数据可与工作配置文件共享。
  • 共享没有限制：可以在工作配置文件和个人资料之间共享数据。

  CrossProfileDataSharing

系统安全

• 应用威胁扫描： 需要 (默认) 使 Google Play Protect 能够在安装应用之前和之后扫描应用。 如果检测到威胁，可能会警告用户从设备中删除应用。 设置为“未配置”时，Intune不会更改或更新此设置。 默认情况下，OS 可能不会启用或运行 Google Play Protect 来扫描应用。

• 通用条件模式： “需要 ”启用一组提升的安全标准，这些标准最常用于高度敏感的组织（如政府机构）。 这些设置包括但不限于：

  • 蓝牙长期密钥的 AES-GCM 加密
  • Wi-Fi 配置存储
  • 阻止启动加载程序下载模式，软件更新的手动方法
  • 强制对密钥删除进行附加密钥归零
  • 阻止未经身份验证的蓝牙进行连接
  • 要求 FOTA 更新具有 2048 位 RSA-PSS 签名

  设置为“未配置”（默认）时，Intune 不会更改或更新此设置。

  详细了解通用条件：

  • commoncriteriaportal.org 中的 信息技术安全评估通用标准
  • Android 管理 API 文档中的 CommonCriteriaMode。
  • Knox 深入探讨：samsungknox.com 的常见条件模式

设备体验

使用这些设置可在专用或完全托管设备上配置展台样式体验，或自定义完全托管设备上的主屏幕体验。 如果不确定要配置哪种体验，下图可帮助你决定适合你的设备的选项。 如果仍不确定，请参阅 为 Android Enterprise 公司拥有的设备选择主屏幕体验。

设备体验类型：选择设备体验类型，开始在设备上配置Microsoft启动器或Microsoft 托管主屏幕。 选项包括：

• 未配置：Intune 不会更改或更新此设置。 默认情况下，用户可能会看到设备的默认主屏幕体验。

• 展台模式 (专用和完全托管的) ：在专用和完全托管的设备上配置展台样式体验。 可以将设备配置为运行一个应用，或运行多个应用。 当设备设置为展台模式时，只有你添加的应用可用。 在配置这些设置之前，请务必在设备上 添加和 分配 所需的应用。

  • 展台模式：选择设备是运行一个应用还是运行多个应用。

    注意

    使用展台模式 (单应用或多应用) 时，平台默认禁用熟悉的用户界面和工作流。 其中一些功能可以在 OS 9 及更新版本上重新启用。 例如，当设备以展台状态运行时，系统会更改某些行为，包括：

    • 设备的状态栏将从视图中删除。 系统信息和通知对最终用户隐藏。
    • 设备导航按钮（如主页和概述按钮）已禁用并从视图中删除。
    • 设备的锁屏界面（如键盘保护）处于禁用状态。

    若要使用拨号程序 & 电话应用程序，或让用户在展台模式下接收推送通知，请使用完全 托管和专用设备 (展台模式已启用>的系统导航功能 (与 主页按钮 选项) 和 系统通知和信息 设置 (本文) 。 这些功能在运行 9.0 及更新的 Android 设备上可用。

    在 OS 9 及更新版本上，本文中的 “设备密码>禁用锁屏界面 ” () 设置管理设备的锁屏行为。

    注意

    展台模式不会阻止展台应用程序能够启动安装在设备上的其他应用程序，包括设备设置应用程序。 管理员应确保以展台模式启用的所有应用程序不会启动用户不应访问的其他应用程序，也不会卸载设备上不需要的任何应用程序。

    展台模式选项：

    • 未配置：Intune 不会更改或更新此设置。

    • 单个应用：当用户在设备上时，他们只能访问你选择的应用。 设备启动时，仅启动特定应用。 用户受到限制，无法更改正在运行的应用。

      选择要用于展台模式的应用：从列表中选择托管 Google Play 或 Android Enterprise 系统应用。 对于单应用专用和完全托管的设备，你选择的应用 必须是：

      • 在 Intune 中添加。

      • 分配给 为专用或完全托管设备创建的设备组。

        注意

        在完全托管的设备上，将应用的唯一所选应用是托管主屏幕。 所有其他应用将被视为必需的应用。

    • 多应用：用户可以在设备上访问一组有限的应用。 设备启动时，只有你添加的应用才会启动。 还可以添加一些用户可以打开的 Web 链接。 应用策略后，用户将在主屏幕上看到允许的应用图标。

      对于多应用专用和完全托管的设备，托管主屏幕应用不需要位于配置文件中，但 Google Play 中的托管主屏幕应用必须是：

      • 在 Intune 中添加。
      • 分配给 为专用或完全托管设备创建的设备组。

      此外，要从 托管主屏幕 启动的任何包都必须是：

      • 在 Intune 中添加。
      • 分配给 为专用或完全托管设备创建的设备组。

      添加托管主屏幕应用后，在配置文件中添加的任何其他已安装应用都显示为托管主屏幕应用上的图标。

      有关托管主屏幕的详细信息，请参阅在多应用展台模式下在专用和完全托管设备上设置Microsoft 托管主屏幕。

      注意

      并非所有托管主屏幕设置都可以从设备限制页获取。 若要查看可用于托管主屏幕的所有设置，请参阅配置Microsoft 托管主屏幕应用。

      • 自定义应用布局：启用可将应用和文件夹放在托管主屏幕的不同位置。 设置为“未配置”时，Intune不会更改或更新此设置。 默认情况下，添加的应用和文件夹按字母顺序显示在主屏幕上。

        • 网格大小：选择主屏幕的大小。 应用或文件夹在网格中占据一个位置。

        • 主屏幕：选择“添加”按钮，然后从列表中选择一个应用。 选择 “文件夹” 选项以创建文件夹，输入 文件夹名称，然后将列表中的应用添加到文件夹。

          添加项时，选择上下文菜单以删除项目，或将其移动到不同的位置：

          

      • 添加：从列表中选择你的应用。

        如果未列出托管主屏幕应用，请从 Google Play 添加它。 请务必 将应用分配给 为专用或完全托管设备创建的设备组。

        还可以将组织创建的其他 Android 应用 和 Web 应用 添加到设备。 请务必 将应用分配给为专用或完全托管设备创建的设备组。

        重要

        使用多应用模式时，策略中的每个应用都必须是必需的应用，并且必须分配给设备。 如果应用不是必需的或未分配，则设备可以锁定用户并显示消息 Contact your IT admin. This phone will be erased. 。

        注意

        不会阻止在 MHS 中添加的应用程序启动设备上安装的其他应用程序。 管理员应确保 MHS 中允许的所有应用程序不会启动其他应用程序，用户不应有权访问和卸载设备上不需要的任何应用程序。

      • 锁定主屏幕： 启用 可防止用户移动应用图标和文件夹。 它们已锁定，无法拖放到网格上的不同位置。 设置为“未配置”时，Intune不会更改或更新此设置。 默认情况下，用户可以移动这些项。

      • 文件夹图标：选择托管主屏幕上的文件夹图标的颜色和形状。 选项包括：

        • 未配置
        • 深色主题矩形
        • 深色主题圆圈
        • 浅色主题矩形
        • 浅色主题圆

      • 应用和文件夹图标大小：选择托管主屏幕上的文件夹图标的大小。 选项包括：

        • 未配置

        • 超小

        • 小

        • 平均

        • 大

        • 特大

          根据屏幕大小，实际图标大小可能会有所不同。

      • 屏幕方向：选择托管主屏幕在设备上显示的方向。 选项包括：

        • 未配置
        • Portrait
        • 景观
        • Autorotate

      • 应用通知锁屏提醒： “启用” 显示应用图标上的新通知和未读通知数。 设置为“未配置”时，Intune不会更改或更新此设置。

      • 虚拟主页按钮：将用户返回到托管主屏幕以便用户可以在应用之间切换的软键按钮。 选项包括：

        • 未配置 (默认) ：不显示主页按钮。 用户必须使用后退按钮在应用之间切换。
        • 向上轻扫：当用户在设备上向上轻扫时，会显示主页按钮。
        • 浮动：显示设备上的持久浮动主页按钮。

      • 退出展台模式： 启用 允许管理员暂时暂停展台模式以更新设备。 若要使用此功能，管理员：

        1. 继续选择“后退”按钮，直到显示 “退出展台 ”按钮。
        2. 选择“ 退出展台 ”按钮，并输入 “离开展台模式”代码 PIN。
        3. 完成后，选择托管主屏幕应用。 此步骤将设备重新锁定到多应用展台模式。

        设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止管理员暂停展台模式。 如果管理员一直选择“后退”按钮并选择“ 退出展台 ”按钮，则会显示一条消息，指出需要密码。

      • 保留展台模式代码：输入 4-6 位数字 PIN。 管理员使用此 PIN 暂时暂停展台模式。

      • 设置自定义 URL 背景：输入 URL 以自定义专用或完全托管设备上的背景屏幕。 例如，输入 http://contoso.com/backgroundimage.jpg。

        注意

        在大多数情况下，我们建议从至少以下大小的映像开始：

        • 电话：1080x1920 px
        • 平板电脑：1920x1080 像素

        为了获得最佳体验和清晰的细节，建议根据显示规格创建每个设备的图像资产。

        新式显示器具有更高的像素密度，可以显示等效的 2K/4K 定义图像。

      • 设置菜单的快捷方式：“禁用”隐藏托管主屏幕上的“托管设置”快捷方式。 用户仍可以从顶部栏中访问 “托管设置” 菜单。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，“托管设置”快捷方式显示在设备上。 用户可以选择设置图标来访问设置。

      • 快速访问调试菜单：此设置控制用户访问调试菜单的方式。 选项包括：

        • 启用：用户可以更轻松地访问调试菜单。 具体而言，他们可以从“托管设置”菜单访问它。 和往常一样，他们可以继续选择后退按钮 15 次。
        • 未配置 (默认) ：Intune不会更改或更新此设置。 默认情况下，关闭对调试菜单的轻松访问。 用户必须选择“后退”按钮 15 次才能打开调试菜单。

        在调试菜单中，用户可以：

        • 查看并上传托管主屏幕日志
        • 打开 Google 的 Android 设备策略管理器应用
        • 打开Microsoft Intune应用
        • 退出展台模式

      • Wi-Fi 配置：“启用”显示托管主屏幕上的 Wi-Fi 控件，并允许用户将设备连接到不同的 WiFi 网络。 启用此功能还会打开设备位置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能不会在托管主屏幕上显示 Wi-Fi 控件。 它阻止用户在使用托管主屏幕时连接到 Wi-Fi 网络。

        • Wi-Fi 允许列表：创建有效无线网络名称的列表，也称为服务集标识符 (SSID) 。 托管主屏幕用户只能连接到你输入的 SSD。

          Wi-Fi SSD 区分大小写。 如果 SSID 有效，但输入的大小写与网络名称不匹配，则不会显示网络。

          留空时，Intune不会更改或更新此设置。 默认情况下，允许所有可用的 Wi-Fi 网络。

          导入 包含有效 SSID 列表的 .csv 文件。

          将 当前列表导出到 .csv 文件。

        • SSID：还可以 (SSID) 输入托管主屏幕用户可以连接的 Wi-Fi 网络名称。 请务必输入有效的 SSID。

        重要

        在 2020 年 10 月版本中，托管主屏幕 API 已更新为符合 Google Play Store 要求。 以下更改会影响托管主屏幕中的配置策略 Wi-Fi：

        • 用户无法在设备上启用或禁用 Wi-Fi 连接。 用户可以在 Wi-Fi 网络之间切换，但无法打开或关闭 Wi-Fi。

        • 如果 Wi-Fi 网络受密码保护，则用户必须输入密码。 输入密码后，配置的网络会自动连接。 如果他们断开连接，然后重新连接到 Wi-Fi 网络，则用户可能需要再次输入密码。

        • 在 Android 11 设备上，当用户使用 托管主屏幕 连接到网络时，系统会提示他们同意。 此提示来自 Android，并非特定于托管主屏幕。

        • 在 Android 10 设备上，当用户使用 托管主屏幕 连接到网络时，会发出通知，提示他们同意。 因此，用户需要访问状态栏和通知才能同意。 若要启用系统通知，请参阅本文) (完全托管和专用设备的常规设置 。

        • 在 Android 10 设备上，当用户使用 托管主屏幕 连接到受密码保护 Wi-Fi 网络时，系统会提示他们输入密码。 如果设备连接到不稳定的网络，则 Wi-Fi 网络会更改。 即使用户输入正确的密码，也会发生这种情况。

      • 蓝牙配置：“启用”显示托管主屏幕上的蓝牙控件，允许用户通过蓝牙配对设备。 启用此功能还会打开设备位置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能不会在托管主屏幕上显示蓝牙控件。 它阻止用户在使用托管主屏幕时配置蓝牙和配对设备。

      重要

      对于在 Android 10+ 上运行并使用 托管主屏幕 的设备，若要在需要配对密钥的设备上成功运行蓝牙配对，管理员必须启用以下 Android 系统应用：

      • Android 系统蓝牙
      • Android 系统设置
      • Android 系统 UI

      有关如何启用 Android 系统应用的详细信息，请转到： 管理 Android Enterprise 系统应用

      • 手电筒访问：“启用”显示托管主屏幕上的手电筒控件，并允许用户打开或关闭手电筒。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能不会在托管主屏幕上显示手电筒控件。 它防止用户在使用托管主屏幕时使用手电筒。

      • 媒体音量控制：“启用”可在托管主屏幕上显示媒体音量控制，并允许用户使用滑块调整设备的媒体音量。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能不会在托管主屏幕上显示媒体音量控制。 它阻止用户在使用托管主屏幕时调整设备的媒体音量，除非其硬件按钮支持它。

      • 快速访问设备信息：“启用”允许用户向下轻扫以查看托管主屏幕的设备信息，例如序列号、制造和型号以及 SDK 级别。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，可能不会显示设备信息。

      • 屏幕保护模式：“启用”在设备锁定或超时时，托管主屏幕显示屏幕保护程序。设置为“未配置 (默认) 时，Intune不会更改或更新此设置。 默认情况下，OS 可能不会在托管主屏幕上显示屏幕保护程序。

        启用后，还要配置：

        • 设置自定义屏幕保护程序图像：输入自定义 PNG、JPG、JPEG、GIF、BMP、WebP 或 ICOimage 的 URL。 如果未输入 URL，则使用设备的默认图像（如果有默认图像）。

          例如，输入：

          • http://www.contoso.com/image.jpg
          • www.contoso.com/image.bmp
          • https://www.contoso.com/image.webp

          提示

          支持可转换为位图的任何文件资源 URL。

        • 设备在关闭屏幕之前显示屏幕保护的秒数：选择设备显示屏幕保护程序的时间。 输入一个介于 0-9999999 秒之间的值。 默认值为 0 秒。 当将屏幕保护程序留空或设置为零 (0) 时，屏幕保护程序将处于活动状态，直到用户与设备交互。

        • 显示屏幕保护程序之前设备处于非活动状态的秒数：选择设备在显示屏幕保护程序之前处于空闲状态的时间。 输入一个介于 1-9999999 秒之间的值。 默认值为 30 秒。 必须输入大于零的数字 (0) 。

        • 在启动屏幕保护程序之前检测媒体： 启用 (默认) 在设备上播放音频或视频时不显示屏幕保护程序。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会显示屏幕保护程序，即使正在播放音频或视频。

        注意

        托管主屏幕显示锁屏界面时启动屏幕保护程序：

        • 如果系统的锁屏界面超时时间长于设备显示屏幕保护器的秒数，则会显示屏幕保护程序，直到显示锁屏界面。
        • 如果系统的锁屏超时短于设备处于非活动状态的秒数，则屏幕保护程序在设备的锁屏界面出现后立即显示。

      • MHS 登录屏幕仅 (专用设备) ：“启用”显示托管主屏幕上的登录屏幕。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 此登录屏幕和相关设置适用于注册Microsoft Entra共享设备模式的专用设备。

        启用后，还要配置：

        • 为登录屏幕设置自定义 URL 背景：输入登录屏幕的 URL 背景的 URL。 必须启用登录屏幕才能配置此设置。
        • 为登录屏幕和会话固定页设置自定义 URL 品牌徽标：输入登录屏幕和会话 PIN 页的 URL 品牌徽标。
        • 要求用户为登录会话设置 PIN：设置为 “启用”时，用户必须为其登录会话设置 PIN。 设置为“ 未配置 (默认) 时，用户无需设置 PIN。 必须启用此设置才能显示子设置。

          • 为登录会话选择 PIN 的复杂性：选择会话 PIN 的复杂性。 选项包括：

            • 未配置：Intune 不会更改或更新此设置。 默认情况下，MHS 要求会话 PIN 中至少有一个字符。
            • 简单：需要数字。 重复 (444) 或排序 (123、321、246) 序列没有限制。
            • 复杂：允许用户创建包含字母数字字符的 PIN。 不能使用重复 (444) 或排序 (123、321、246) 序列。

            有关此设置的详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用中的会话 PIN 的复杂性。

          • 如果显示屏幕保护程序，则要求用户输入会话 PIN：选择“启用”以要求用户在屏幕保护程序显示后使用托管主屏幕继续输入会话 PIN。

        • 在处于非活动状态后自动注销 MHS 和共享设备模式应用程序：选择“启用”可基于处于非活动状态自动注销托管主屏幕。 必须启用此设置才能显示子设置。
          • 设备在自动注销之前处于非活动状态的秒数：定义用户从托管主屏幕自动注销之前处于非活动状态的时间段（以秒为单位）。 默认情况下，此值设置为 300 秒。
          • 在自动注销之前向用户发出通知的秒数：定义用户在从托管主屏幕自动注销之前可以选择恢复会话的时间（以秒为单位）。 默认情况下，此值设置为 60 秒。

• Microsoft启动器 (完全托管) ：在完全托管的设备上配置Microsoft启动器应用。 此选项最适合应为最终用户提供对设备上所有应用程序和设置的访问权限的设备。

  • 将 Microsoft Launcher 设为默认启动器： “启用” 将Microsoft Launcher 设置为主屏幕上的默认启动器。 如果将 Launcher 设置为默认启动器，则用户无法使用其他启动器。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，不会强制Microsoft启动器作为默认启动器。

  • 配置自定义壁纸：在“Microsoft启动器”应用中， “启用” 允许你将自己的图像应用为主屏幕壁纸，并选择用户是否可以更改图像。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，设备保留其当前壁纸。

    • 输入壁纸图像的 URL：输入壁纸图像的 URL。 此图像显示在设备主屏幕上。 例如，输入 http://www.contoso.com/image.jpg。
    • 允许用户修改壁纸： “启用” 允许用户更改壁纸图像。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，会阻止用户更改壁纸。

  • 启用启动器源： “启用” 可打开启动器源，其中显示日历、文档和最近活动。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，不显示此源。

    • 允许用户启用/禁用源： 启用 允许用户启用或禁用启动器源。 启用 仅在首次分配配置文件时强制此设置。 任何将来的配置文件分配都不强制此设置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，将阻止用户更改启动器源设置。

  • 停靠状态：扩展坞允许用户快速访问其应用和工具。 选项包括：

    • 未配置 (默认) ：Intune不会更改或更新此设置。
    • 显示：扩展坞显示在设备上。
    • 隐藏：扩展坞已隐藏。 用户必须向上轻扫才能访问扩展坞。
    • 已禁用：设备不显示扩展坞，并且用户无法显示该扩展坞。

  • 允许用户更改停靠状态： “启用” 允许用户显示或隐藏扩展坞。 启用 仅在首次分配配置文件时强制此设置。 任何将来的配置文件分配都不强制此设置。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，不允许用户更改设备扩展坞配置。

  • 搜索栏替换：选择放置搜索栏的位置。 选项包括：

    • 未配置 (默认) ：Intune不会更改或更新此设置。
    • 顶部：搜索栏显示在设备的顶部。
    • 底部：搜索栏显示在设备的底部。
    • 隐藏：隐藏搜索栏。

设备密码

完全托管、专用和公司拥有的工作配置文件设备

• 所需的密码类型：输入所需的密码复杂性级别，以及是否可以使用生物识别设备。 选项包括：

  • 设备默认 (默认) ：设置为“ 设备默认值”时，大多数设备不需要密码。 如果要要求用户在其设备上设置密码，请将此设置配置为比 设备默认设置更安全的内容。

  • 需要密码，没有限制

  • 弱生物识别： 强生物识别与弱生物识别 (打开 Android 网站)

  • 数字：密码只能是数字，例如 123456789。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 数值复数：不允许使用重复或连续的数字，例如 1111 或 1234。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 字母：字母表中的字母是必需的。 不需要数字和符号。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 字母数字：包括大写字母、小写字母和数字字符。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 带符号的字母数字：包括大写字母、小写字母、数字字符、标点符号和符号。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。
    • 所需字符数：输入密码必须包含的字符数，介于 0 到 16 个字符之间。
    • 所需的小写字符数：输入密码必须包含的小写字符数，介于 0 到 16 个字符之间。
    • 所需的大写字符数：输入密码必须具有的大写字符数，介于 0 到 16 个字符之间。
    • 所需的非字母字符数：输入非字母 (字母表中除字母以外的任何内容，) 密码必须包含 0 到 16 个字符。
    • 所需的数字字符数：输入密码 (、2、 3等) 必须包含的数字字符1数（介于 0 到 16 个字符之间）。
    • 所需的符号字符数：输入密码必须包含的符号字符数 (&、 #、 %等，) 0 到 16 个字符之间。

• 密码过期之前的天数：输入设备密码必须更改之前的天数，从 1 到 365。 例如，输入 90 以在 90 天后使密码过期。 密码过期时，系统会提示用户创建新密码。 当值为空时，Intune不会更改或更新此设置。

• 用户可重用密码之前所需的密码数：使用此设置可限制用户创建以前使用的密码。 输入以前使用过的不能使用的密码数（从 1 到 24）。 例如，输入 5 ，以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时，Intune不会更改或更新此设置。

• 擦除设备前的登录失败次数：输入擦除设备前允许的错误密码数（从 4 到 11）。 当值为空时，Intune不会更改或更新此设置。

  注意

  • 系统不会提示完全托管的公司拥有的工作配置文件设备上的用户设置密码。 这些设置是必需的，但用户可能不会收到通知。 用户需要手动设置密码。 在用户设置满足要求的密码之前，策略报告为失败。

    若要在设备注册期间应用设备密码设置，请将设备限制配置文件分配给用户，而不是设备。 在注册期间，系统会要求用户设置屏幕锁定。 然后，他们必须选择满足此设备限制配置文件中所有要求的设备密码。

  • 在专用设备上，如果设备设置为单应用或多应用展台模式，则系统会提示用户设置密码。 屏幕会强制并引导用户创建符合要求的密码，然后才能继续使用设备。

  • 在不使用展台模式的专用设备上，不会通知用户任何密码要求。 用户需要手动设置密码。 在用户设置满足要求的密码之前，策略报告为失败。

• 已禁用锁屏界面功能：设备锁定后，选择无法使用的功能。 例如，当选中 “安全相机 ”时，相机功能在设备上处于禁用状态。 设备上将启用任何未检查的功能。

  设备锁定时，用户可以使用这些功能。 用户不会看到或访问你检查的功能。

  • 在公司拥有的工作配置文件设备上，只能禁用 “未处理通知”、“ 信任代理”和 “指纹解锁 ”。
  • 如果用户在其设备上关闭“ 使用一个锁 ”设置，则禁用 指纹解锁 和禁用 信任代理 会在公司拥有的工作配置文件级别应用。 如果用户打开“ 使用一个锁 ”设置，则禁用 指纹解锁 和禁用 信任代理 将在设备级别应用。

• 所需的解锁频率：当用户使用密码、PIN 或模式解锁设备时，强身份验证。 当用户使用某些生物识别选项（如指纹或面部扫描）解锁设备时，可以使用非强身份验证方法。

  选择用户需要多长时间才能使用强身份验证方法解锁设备。 选项包括：

  • 设备默认值 (默认值): 使用设备的默认时间锁定屏幕。
  • 自上次锁定、密码或模式解锁以来的 24 小时：屏幕在用户上次使用强身份验证方法解锁设备后 24 小时锁定。 达到超时后，将禁用非强身份验证方法，直到使用强身份验证解锁设备。

  2.3.4 高级密码管理：需要强身份验证超时 (打开 Android 网站)

完全托管的专用设备

• 禁用锁屏界面： 禁用 将阻止使用所有 Keyguard 锁屏界面功能。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，当设备处于锁屏界面时，OS 可能允许所有 Keyguard 功能，例如相机、指纹解锁等。

电源设置

完全托管、专用和公司拥有的工作配置文件设备

• 锁定屏幕的时间 (工作配置文件级别) ：输入用户可设置的最长时间，直到设备锁定。 例如，如果将此设置设置为 10 minutes，则用户可以将时间从 15 秒设置为最多 10 分钟。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。

完全托管的专用设备

• 设备接通电源时屏幕打开：选择哪些电源导致设备屏幕在接通电源时保持打开状态。

用户和帐户

完全托管、专用和公司拥有的工作配置文件设备

• 添加新用户： “阻止” 可阻止用户添加新用户。 每个用户在设备上都有用于自定义主屏幕、帐户、应用和设置的个人空间。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户将其他用户添加到设备。
• 用户可以 (工作配置文件级别) 配置凭据 ： “阻止 ”可阻止用户配置分配给设备的证书，甚至是未与用户帐户关联的设备。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会让用户在密钥存储中访问凭据时配置或更改凭据。

完全托管的专用设备

• 用户删除： “阻止” 可阻止用户删除用户。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户从设备中删除其他用户。
• 个人 Google 帐户： 阻止 可阻止用户将其个人 Google 帐户添加到设备。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户添加其个人 Google 帐户。

专用设备

• 帐户更改： “阻止” 可阻止用户在展台模式下更新或更改帐户。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户更新设备上的用户帐户。

应用程序

完全托管、专用和公司拥有的工作配置文件设备

注意

如果要启用旁加载，请将 “允许从未知源进行安装 ”和 “允许访问 Google Play 商店中的所有应用” 设置设置为 “允许”。

• 允许从未知源进行安装： “允许” 允许用户打开 “未知源”。 此设置允许应用从未知源（包括 Google Play Store 以外的源）进行安装。 它允许用户使用 Google Play Store 以外的方式在设备上旁加载应用。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止用户打开 未知源。

• 应用自动更新 (工作配置文件级别) ：设备每天检查应用更新。 选择何时安装自动更新。 选项包括：

  • 未配置：Intune 不会更改或更新此设置。
  • 用户选择：OS 可能默认使用此选项。 用户可以在托管的 Google Play 应用中设置其首选项。
  • 从不：从不安装汇报。 不建议使用此选项。
  • 仅 Wi-Fi：仅当设备连接到 Wi-Fi 网络时，才会安装汇报。
  • 始终：汇报可用时安装。

• 允许访问 Google Play 商店中的所有应用：

  • 设置为 “阻止”时：

    • 用户无法访问 Google Play 商店中的应用，并且无法访问添加到组织的托管 Google Play 帐户的任何专用应用
    • 仅显示托管 Google Play 商店中已批准的应用、所需的应用以及分配给用户的应用。
    • 卸载在托管 Google Play 商店外部安装的应用。

    警告

    如果将此设置从 “允许” 更改为 “阻止”，则会自动从设备中卸载任何未标记为 “必需 ”或“ 可用 ”的应用。

  • 设置为 “允许”时：

    • 用户可以访问 Google Play 商店中的所有应用，以及添加到组织的托管 Google Play 帐户的任何专用应用。
    • 确保面向任何应用 (私有或公共) ，其卸载意向不应被找到，或者用户从托管 Google Play 商店安装的应用。
    • 用户无法使用添加到阻止列表的应用 (分配有卸载意向的应用，) 具有工作配置文件的公司拥有的设备的个人配置文件。

    有关从特定应用中排除用户和组的详细信息，请转到 包括和排除应用分配。

  • 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS：

    • 仅显示托管 Google Play 商店中已批准的应用、所需的应用以及分配给用户的应用。

• 以下设置是 Google 委托的范围功能的一部分：

  • 允许其他应用安装和管理证书：选择 “添加 ”以选择此权限的现有应用。 可以添加多个应用。 所选应用有权安装和管理证书。

    若要使用此设置，托管 Google Play 应用必须使用委派的范围。 有关详细信息，请转到 Android 的内置应用配置 和 Android 委派范围 ， (打开 Android 网站) 。

  • 允许此应用访问 Android 安全日志：选择应具有此权限的应用。 只能选择一个应用。 向应用授予对安全日志的访问权限。

    若要使用此设置，托管 Google Play 应用必须使用委派的范围。 有关详细信息，请转到 Android 的内置应用配置 和 Android 委派范围 ， (打开 Android 网站) 。

  • 允许此应用访问 Android 网络活动日志：选择应具有此权限的应用。 只能选择一个应用。 向应用授予对网络活动日志的访问权限。

    若要使用此设置，托管 Google Play 应用必须使用委派的范围。 有关详细信息，请转到 Android 的内置应用配置 和 Android 委派范围 ， (打开 Android 网站) 。

  提示

  如果与其中一个设置发生冲突，则冲突适用于所有三个设置。 请确保为“允许此应用访问 Android 安全日志”和“允许此应用访问 Android 网络活动日志”权限授予仅一个应用。 你可以向同一应用授予这些权限，但不能向不同的应用授予这些权限。

  有关详细信息，请转到 Android 管理 API - DelegatedScope (打开 Google 网站) 。

专用设备

• 清除未针对共享设备模式优化的应用中的本地数据：将未针对共享设备模式优化的任何应用添加到列表中。 每当用户注销针对共享设备模式进行优化的应用时，将清除应用的本地数据。 适用于使用运行 Android 9 及更高版本的共享模式注册的专用设备。

  使用此设置时，用户无法从非优化的应用启动注销，也不会获得单一注销。

  • 用户需要注销针对共享设备模式优化的应用。 针对 Android 上的共享设备模式进行了优化的Microsoft应用包括 Teams 和 Intune 托管主屏幕。
  • 对于未针对共享设备模式进行优化的应用，删除应用程序数据仅扩展到本地应用存储。 数据可以保留在设备的其他区域。 用户标识项目（如电子邮件地址和用户名）可能会留在应用上，并被其他人看到。
  • 为多个帐户提供支持的非优化应用可能会表现出不确定的行为，因此不建议这样做。

  在共享设备上的多用户方案中使用之前，应全面测试所有非优化应用，以确保它们按预期工作。 例如，在每个应用中验证核心方案，验证应用是否正确注销，以及所有数据是否已充分清除，以满足组织的需求。

连接性

完全托管、专用和公司拥有的工作配置文件设备

• Always-on VPN (工作配置文件级别) ： “启用” 将 VPN 客户端设置为自动连接并重新连接到 VPN。 始终可用 VPN 连接保持连接。 或者，当用户锁定设备、设备重启或无线网络更改时立即连接。

  选择“ 未配置 ”，为所有 VPN 客户端禁用始终启用 VPN。

  重要

  请确保仅将一个 Always-on VPN 策略部署到单个设备。 不支持将多个 Always On VPN 策略部署到单个设备。

• VPN 客户端：选择支持Always On的 VPN 客户端。 选项包括：

  • Cisco AnyConnect
  • F5 Access
  • Palo Alto Networks GlobalProtect
  • 脉冲安全
  • 自定义警报
    • 包 ID：在 Google Play 商店中输入应用的包 ID。 例如，如果 Play 商店中应用的 URL 为 https://play.google.com/store/details?id=com.contosovpn.android.prod，则包 ID 为 com.contosovpn.android.prod。

  重要

  • 所选的 VPN 客户端必须安装在设备上，并且它必须支持企业拥有的工作配置文件中的每应用 VPN。 否则，就会出错。
  • 你需要在托管的 Google Play 商店中批准 VPN 客户端应用，将应用同步到Intune，并将应用部署到设备。 执行此操作后，应用将安装在用户公司拥有的工作配置文件中。
  • 仍需要使用 VPN 配置文件或通过应用配置文件配置VPN 客户端。
  • 将每应用 VPN 与适用于 Android 3.0.4 的 F5 访问配合使用时，可能存在已知问题。 有关详细信息，请参阅 适用于 Android 3.0.4 的 F5 Access 的发行说明。

• 锁定模式： 启用 将强制所有网络流量使用 VPN 隧道。 如果未建立与 VPN 的连接，则设备将无法访问网络。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许流量流经 VPN 隧道或移动网络。

完全托管的专用设备

• 建议的全局代理： 启用 将全局代理添加到设备。 启用后，HTTP 和 HTTPS 流量将使用你输入的代理，包括设备上的某些应用。 此代理只是建议。 某些应用可能不使用代理。 未配置 (默认) 不会添加建议的全局代理。

  有关此功能的详细信息，请参阅 setRecommendedGlobalProxy (打开 Android 站点) 。

  启用后，还输入代理 的类型 。 选项包括：

  • 直接：手动输入代理服务器详细信息，包括：

    • 主机：输入代理服务器的主机名或 IP 地址。 例如，输入 proxy.contoso.com 或 127.0.0.1。
    • 端口号：输入代理服务器使用的 TCP 端口号。 例如，输入 8080。
    • 排除的主机：输入不使用代理的主机名或 IP 地址的列表。 此列表可以包含一个星号 (*) 通配符，以及由分号分隔的多个主机， ; () 不带空格。 例如，输入 127.0.0.1;web.contoso.com;*.microsoft.com。

  • 代理自动配置：输入代理自动配置脚本的 PAC URL 。 例如，输入 https://proxy.contoso.com/proxy.pac。

    有关 PAC 文件的详细信息，请参阅 代理自动配置 (PAC) 文件 (打开非Microsoft站点) 。

  有关此功能的详细信息，请参阅 setRecommendedGlobalProxy (打开 Android 站点) 。

工作配置文件密码

这些设置适用于公司拥有的工作配置文件。

• 所需的密码类型：输入所需的密码复杂性级别，以及是否可以使用生物识别设备。 选项包括：

  • 设备默认值

  • 需要密码，没有限制

  • 弱生物识别： 强生物识别与弱生物识别 (打开 Android 网站)

  • 数字：密码只能是数字，例如 123456789。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 数值复数：不允许使用重复或连续的数字，例如 1111 或 1234。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 字母：字母表中的字母是必需的。 不需要数字和符号。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 字母数字：包括大写字母、小写字母和数字字符。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。

  • 带符号的字母数字：包括大写字母、小写字母、数字字符、标点符号和符号。 另输入：

    • 最小密码长度：输入密码必须具有的最小长度，介于 4 到 16 个字符之间。
    • 所需字符数：输入密码必须包含的字符数，介于 0 到 16 个字符之间。
    • 所需的小写字符数：输入密码必须包含的小写字符数，介于 0 到 16 个字符之间。
    • 所需的大写字符数：输入密码必须具有的大写字符数，介于 0 到 16 个字符之间。
    • 所需的非字母字符数：输入非字母 (字母表中除字母以外的任何内容，) 密码必须包含 0 到 16 个字符。
    • 所需的数字字符数：输入密码 (、2、 3等) 必须包含的数字字符1数（介于 0 到 16 个字符之间）。
    • 所需的符号字符数：输入密码必须包含的符号字符数 (&、 #、 %等，) 0 到 16 个字符之间。

• 密码过期之前的天数：输入设备密码必须更改之前的天数，从 1 到 365。 例如，输入 90 以在 90 天后使密码过期。 密码过期时，系统会提示用户创建新密码。 当值为空时，Intune不会更改或更新此设置。

• 用户可重用密码之前所需的密码数：使用此设置可限制用户创建以前使用的密码。 输入以前使用过的不能使用的密码数（从 1 到 24）。 例如，输入 5 ，以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时，Intune不会更改或更新此设置。

• 擦除设备前的登录失败次数：输入擦除设备前允许的错误密码数（从 4 到 11）。 0 (零) 可能会禁用设备擦除功能。 当值为空时，Intune不会更改或更新此设置。

  注意

  系统不会提示完全托管的专用和公司拥有的工作配置文件设备设置密码。 这些设置是必需的，但用户可能不会收到通知。 用户需要手动设置密码。 在用户设置满足要求的密码之前，策略报告为失败。

• 所需的解锁频率：强身份验证是用户使用密码、PIN 或模式解锁工作配置文件时。 非强身份验证方法是当用户使用某些生物识别选项（如指纹或面部扫描）解锁工作配置文件时。

  选择用户需要多长时间才能使用强身份验证方法解锁工作配置文件。 选项包括：

  • 设备默认值 (默认值): 使用设备的默认时间锁定屏幕。
  • 自上次锁定、密码或模式解锁以来的 24 小时：屏幕在用户上次使用强身份验证方法解锁工作配置文件后的 24 小时锁定。 达到超时后，将禁用非强身份验证方法，直到使用强身份验证解锁工作配置文件。

  2.3.4 高级密码管理：需要强身份验证超时 (打开 Android 网站)

个人档案

• 相机： “阻止” 会阻止在个人使用期间访问相机。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许在个人配置文件中使用相机。
• 屏幕捕获： “阻止” 可阻止在个人使用期间捕获屏幕。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户获取个人配置文件中的屏幕截图或屏幕截图。
• 允许用户从个人配置文件中的未知源启用应用安装：选择 “允许” ，以便用户可以在个人配置文件中安装来自未知源的应用。 它允许用户从 Google Play 商店以外的源安装应用。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能会阻止用户在个人配置文件中安装来自未知源的应用。
• 受限应用列表的类型：选择“ 允许应用 ”创建允许和批准在设备上的个人配置文件中安装和运行的托管 Google Play 应用列表。 选择“ 阻止的应用 ”，创建禁止和阻止在设备上的个人配置文件中安装和运行的托管 Google Play 应用列表。 设置为“未配置 (默认) 时，Intune不包括要允许或阻止的应用列表。

自定义支持信息

使用这些设置，可以自定义向用户显示的一些支持消息，并用不同的语言显示这些消息。

默认情况下，会显示 OEM 默认消息。 使用 Intune 部署自定义消息时，也会部署Intune默认消息。 如果未输入设备默认语言的自定义消息，则会自动显示Intune默认消息。

默认情况下，Intune默认消息为英语 (美国) 。

例如，为英语和法语部署自定义消息。 用户将设备的默认语言更改为西班牙语。 由于未将自定义消息部署到西班牙语，因此将显示Intune默认消息。

Intune默认消息将翻译为 Endpoint Manger 管理中心 (设置>语言 + 区域) 的所有语言。 语言设置值决定着 Intune 使用的默认语言。 默认情况下，该值设置为“英语”。

可以配置以下设置：

• 简短支持消息：当用户尝试更改组织管理的设置时，会显示一条简短消息。

  使用以下设置，可以自定义此消息，并输入不同语言的不同消息。 默认情况下，此消息为英语 (美国) 。

  • 全部（指定时除外）：此消息是Intune默认消息，并针对所有语言显示。 如果未输入自定义消息，则会自动显示此文本。 此文本也会自动翻译为设备的默认语言。

    可以更改此消息。 不会翻译任何更改。 如果删除此邮件中的所有文本并将此设置留空，则会使用以下原始短Intune默认消息并对其进行翻译：

    You do not have permission for this action. For more information, contact your IT admin.

  • 选择“区域设置”：选择区域设置或区域以显示该特定区域设置的不同自定义消息。

    例如，若要在使用 西班牙语 作为默认语言的设备上显示自定义消息，请选择 “西班牙语 (西班牙) ”。 只有使用 西班牙语 (西班牙) 默认语言的设备才会看到自定义消息。 除指定的消息文本外，所有其他语言均会显示 “全部 ”。

    可以添加多个区域设置和消息。

  • 消息：输入要显示的文本，最多 200 个字符。 输入的文本不会翻译为设备的默认语言。 因此，如果要以西班牙语显示邮件，请输入西班牙语文本。

• 长支持消息：在设备上，在“设置安全>设备管理应用>设备策略”>中，会显示一条长支持消息。

  使用以下设置，可以自定义此消息，并输入不同语言的不同消息。 默认情况下，此消息为英语 (美国) 。

  • 全部（指定时除外）：此消息是Intune默认消息，并针对所有语言显示。 如果未输入自定义消息，则会自动显示此文本，并自动转换为设备的默认语言。

    可以更改此消息。 不会翻译任何更改。 如果删除此邮件中的所有文本并将此设置留空，则会使用以下原始的长Intune默认消息进行翻译：

    The organization's IT admin can monitor and manage apps and data associated with this device, including settings, permissions, corporate access, network activity and the device's location information.

  • 选择“区域设置”：选择区域设置或区域以显示该特定区域设置的不同自定义消息。

    例如，若要在使用 西班牙语 作为默认语言的设备上显示自定义消息，请选择 “西班牙语 (西班牙) ”。 只有使用 西班牙语 (西班牙) 默认语言的设备才会看到自定义消息。 除指定的消息文本外，所有其他语言均会显示 “全部 ”。

    可以添加多个区域设置和消息。

  • 消息：输入要显示的文本，最多 4096 个字符。 输入的文本不会翻译为设备的默认语言。 因此，如果要以西班牙语显示邮件，请输入西班牙语文本。

• 锁屏界面消息：输入要在设备锁屏界面上显示的文本。

  使用以下设置，可以自定义此消息，并输入不同语言的不同消息。 默认情况下，此消息为英语 (美国) 。

  • 全部（指定时除外）：输入要针对所有语言显示的文本，最多 4096 个字符。 此文本会自动翻译为设备的默认语言。 如果未输入自定义消息，则Intune不会更改或更新此设置。 默认情况下，OS 可能不会显示锁屏界面消息。

  • 选择“区域设置”：选择区域设置或区域以显示该特定区域设置的不同自定义消息。

    例如，若要在使用 西班牙语 作为默认语言的设备上显示自定义消息，请选择 “西班牙语 (西班牙) ”。 只有使用 西班牙语 (西班牙) 默认语言的设备才会看到自定义消息。 除指定的消息文本外，所有其他语言均会显示 “全部 ”。

    可以添加多个区域设置和消息。

  • 消息：输入要显示的文本，最多 4096 个字符。 输入的文本不会翻译为设备的默认语言。 因此，如果要以西班牙语显示邮件，请输入西班牙语文本。

  配置 锁屏界面消息时，还可以使用以下设备令牌来显示特定于设备的信息：

  • {{AADDeviceId}}：Microsoft Entra设备 ID
  • {{AccountId}}：Intune租户 ID 或帐户 ID
  • {{DeviceId}}：Intune设备 ID
  • {{DeviceName}}：Intune设备名称
  • {{domain}}：域名
  • {{EASID}}：Exchange 活动同步 ID
  • {{IMEI}}：设备的 IMEI
  • {{mail}}：用户的Email地址
  • {{MEID}}：设备的 MEID
  • {{partialUPN}}：@ 符号前的 UPN 前缀
  • {{SerialNumber}}：设备序列号
  • {{SerialNumberLast4Digits}}：设备序列号的最后四位数字
  • {{UserId}}：Intune用户 ID
  • {{UserName}}：用户名
  • {{userPrincipalName}}：用户的 UPN

  注意

  变量不会在 UI 中验证，并且区分大小写。 因此，可以看到保存的配置文件输入不正确。 例如，如果输入 {{DeviceID}}，而不是 {{deviceid}} 或 {{DEVICEID}}，则显示文本字符串而不是设备的唯一 ID。 请务必输入正确的信息。 支持所有小写或所有大写变量，但不支持混合变量。

后续步骤

分配配置文件并监视其状态。

还可以为 Android 和 Windows 10 设备创建专用设备展台配置文件。

在 Microsoft Intune 中配置 Android 企业设备并对其进行故障排除。