使用 Android Enterprise 裝置設定清單來允許或限制公司擁有裝置上的功能 Intune
本文說明您可以在組織所擁有的 Android Enterprise 裝置上控制和限制的不同設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來允許或停用功能、在專用裝置上執行應用程式、控制安全性等等。
本功能適用於:
- Android Enterprise 公司擁有的工作配置檔 (COPE)
- Android Enterprise 公司擁有完全受控 (COBO)
- Android Enterprise 公司擁有的專用裝置 (COSU)
提示
- 針對 AOSP 裝置,請移至 Android (AOSP) 裝置設定,以使用 Intune 來允許或限制功能。
- 針對具有工作配置檔 (BYOD) 的 Android Enterprise 個人擁有裝置,請移至 [Android Enterprise 裝置設定],以允許或限制使用 Intune 的個人擁有裝置上的功能。
開始之前
完全受控、專用和公司擁有的工作配置檔
這些設定適用於 Android Enterprise 註冊類型,其中 Intune 控制整個裝置,例如 Android Enterprise 完全受控、專用和公司擁有的工作配置檔裝置。
某些設定不支援所有註冊類型。 若要查看不同註冊類型的支持設定,請登入 Intune 系統管理中心。 每個設定都位於標題底下,指出可以使用設定的註冊類型。
對於具有工作配置檔的公司擁有裝置,某些設定只適用於工作配置檔。 這些設定在設定名稱中 ( 工作配置檔層級) 。 對於完全受控和專用的裝置,這些設定會套用整個裝置。
一般
完全受控、專用和公司擁有的工作配置檔裝置
螢幕擷取 (工作配置檔層級) : [封鎖 ] 會防止在裝置上擷取螢幕快照或螢幕快照。 它也會防止內容顯示在沒有安全視訊輸出的顯示裝置上。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者將螢幕內容擷取為影像。
相機 (工作配置檔層級) : [封鎖 ] 會防止存取裝置上的相機。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取相機。
Intune 只會管理裝置相機的存取權。 它無法存取圖片或影片。
默認許可權原則 (工作配置檔層級) :此設定會定義運行時間許可權要求的默認許可權原則。 您的選項
- 裝置預設 (預設) :使用裝置的預設設定。
- 提示:系統會提示使用者核准許可權。
- 自動授與:自動授與許可權。
- 自動拒絕:許可權會自動遭到拒絕。
日期和時間變更: [封鎖 ] 會防止使用者手動設定日期和時間。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置上設定日期和時間。
漫遊數據服務: [封鎖 ] 可防止透過行動數據網路進行數據漫遊。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置在行動數據網路上時,OS 可能會允許數據漫遊。
Wi-Fi 存取點設定: [封鎖 ] 可防止使用者建立或變更任何 Wi-Fi 設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更裝置上的 Wi-Fi 設定。
藍牙設定: [封鎖 ] 會防止使用者在裝置上設定藍牙。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用藍牙。
對熱點進行系結和存取: [封鎖 ] 可防止系結和存取可攜式熱點。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許系結和存取可攜式熱點。
USB 檔案傳輸: [封鎖 ] 會防止透過 USB 傳輸檔案。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許傳輸檔案。
外部媒體: [封鎖 ] 會防止在裝置上使用或連線任何外部媒體。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置上的外部媒體。
使用 NFC (工作設定檔層級) 傳送數據 : [封鎖 ] 防止使用「近距離現場通訊」 (NFC) 技術從應用程式傳送數據。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 NFC 在裝置之間共享數據。
開發人員設定:選擇 [ 允許 ] 可讓使用者存取裝置上的開發人員設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者存取裝置上的開發人員設定。
麥克風調整: [封鎖 ] 可防止使用者將麥克風取消靜音並調整麥克風音量。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用及調整裝置上的麥克風音量。
恢復出廠預設值保護電子郵件:選擇 [Google 帳戶電子郵件位址]。 輸入可在抹除裝置之後解除鎖定裝置的裝置系統管理員電子郵件位址。 請務必以分號分隔電子郵件位址,例如
admin1@gmail.com;admin2@gmail.com。 這些電子郵件僅適用於執行非使用者原廠重設,例如使用 [復原] 功能表執行原廠重設。當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
系統更新:選擇定義裝置如何處理無線更新的選項。 您的選項
裝置預設 (預設) :使用裝置的預設設定。 根據預設,如果裝置連線到Wi-Fi、正在充電且閒置,則OS會自動更新。 針對應用程式更新,OS 也會驗證應用程式是否未在前景執行。
自動:匯報 會自動安裝,而不需要用戶互動。 設定此原則會立即安裝任何擱置中的更新。
延後:匯報 會延遲 30 天。 30 天結束時,Android 會提示使用者安裝更新。 裝置製造商或貨運公司可以防止 () 重要的安全性更新延遲。 豁免的更新會向裝置上的用戶顯示系統通知。
維護期間:在您於 Intune 中設定的每日維護期間自動安裝更新。 安裝會每天嘗試 30 天,如果空間或電池電量不足,可能會失敗。 30 天后,Android 會提示用戶安裝。
此設定適用於作業系統和 Play Store 應用程式更新。 任何維護時段的優先順序高於進行中的裝置變更。
針對 kiosk 等專用裝置使用此選項,因為可以更新單一應用程式專用裝置前景應用程式。
系統更新的凍結期間:選擇性。 當您將 [系統更新 ] 設定設為 [ 自動]、[ 延後] 或 [ 維護] 視窗時,請使用此設定來建立凍結期間:
-
開始日期:以最多90天的格式輸入開始日期
MM/DD。 例如,輸入11/15以在 11 月 15 日開始凍結期間。 -
結束日期:以最多90天的格式輸入結束日期
MM/DD。 例如,輸入01/15以結束 1 月 15 日凍結期間。
在此凍結期間,會封鎖所有傳入系統更新和安全性修補程式,包括手動檢查更新。
當裝置的時鐘超出凍結期間時,裝置會根據您的 系統更新 設定繼續接收更新。
若要設定每年多個週期性凍結期間,請確定凍結期間至少以 60 天分隔。
這個設定適用於:
- Android 9.0 和更新版本
-
開始日期:以最多90天的格式輸入開始日期
位置: [封鎖 ] 會停用裝置上的 [ 位置 ] 設定,並防止用戶開啟它。 停用此設定時,其他任何相依於裝置位置的設定都會受到影響,包括系統管理員使用的 [尋找裝置 遠端] 動作。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用位置。
完全受控且專用的裝置
磁碟區變更: [封鎖 ] 可防止使用者變更裝置的磁碟區,也會將主要磁碟區設為靜音。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用磁碟區設定。
恢復出廠預設值: [封鎖 ] 會防止使用者在裝置的設定中使用恢復出廠預設值選項。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置上使用此設定。
狀態列: [封鎖 ] 會防止存取狀態列,包括通知和快速設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者存取狀態列。
Wi-Fi 設定變更: [封鎖 ] 可防止使用者變更裝置擁有者所建立的 Wi-Fi 設定。 用戶可以建立自己的 Wi-Fi 組態。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更裝置上的 Wi-Fi 設定。
USB 記憶體:選擇 [允許 ] 以存取裝置上的 USB 記憶體。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止存取 USB 記憶體。
網路逸出影線: 啟用 可讓使用者開啟網路逸出影線功能。 如果裝置開機時未建立網路連線,則逸出影線會要求暫時連線到網路,並重新整理裝置原則。 套用原則之後,會忘記暫時網路,且裝置會繼續開機。 這項功能會在下列情況中將裝置連線到網路:
- 最後一個原則中沒有適當的網路。
- 裝置會以鎖定工作模式開機進入應用程式。
- 使用者無法連線到裝置設定。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者在裝置上開啟網路逸出影線功能。
通知視窗:當設定為 [停用] 時,裝置上不會顯示視窗通知,包括快顯通知、來電、外寄通話、系統警示和系統錯誤。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示通知。
略過第一個使用提示: [啟用 ] 會隱藏或略過逐步執行教學課程的應用程式建議,或應用程式啟動時的提示。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在應用程式啟動時顯示這些建議。
完全受控和公司擁有的工作配置檔裝置
- 尋找裝置: 允許 讓系統管理員使用遠端動作尋找遺失或遭竊的裝置。 當設定為 [允許] 時,終端使用者會收到一次性通知,指出 Intune 具有位置許可權。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用地理位置尋找裝置。
僅 (kiosk 模式的完全受控和專用裝置)
電源按鈕功能表:當使用者在 kiosk 模式中按住電源按鈕時, [封鎖 ] 會隱藏電源選項。 隱藏這些選項可防止使用者不小心或刻意關閉裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當使用者按住裝置上的電源按鈕時,系統會顯示電源選項,例如 [重新啟動] 和 [關閉電源]。
這個設定適用於:
- Android 9.0 和更新版本
系統錯誤警告: 允許 在 kiosk 模式中顯示畫面上的系統警告,包括沒有回應的應用程式和系統警告。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會隱藏這些警告。 發生其中一個事件時,系統會強制關閉應用程式。
這個設定適用於:
- Android 9.0 和更新版本
已啟用系統導覽功能:允許使用者在 kiosk 模式下存取裝置首頁和概觀按鈕。 選項包括:
未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會停用裝置首頁和概觀按鈕。
僅限首頁按鈕:使用者可以看到並選取首頁按鈕。 他們看不到或選取 [概觀] 按鈕。
首頁和概觀按鈕:使用者可以看到並選取首頁和概觀按鈕。
註冊裝置並使用 受控主畫面 應用程式時,啟用 [概觀] 按鈕可讓使用者略過或忽略登入和會話 PIN 畫面。 畫面仍會顯示,但使用者可以忽略它們,而且不需要輸入任何專案。
這個設定適用於:
- Android 9.0 和更新版本
系統通知和資訊:允許使用者存取裝置狀態列,並在 kiosk 模式下從狀態列接收通知。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會停用狀態列,並停用狀態列上的通知。
- 在裝置的狀態列中顯示系統資訊:用戶可以在狀態列上看到系統資訊。 用戶無法從狀態列看到或接收通知。
- 在裝置的狀態列中顯示系統通知和資訊:使用者可以看到系統資訊,並從狀態列接收通知。 若要查看通知,請使用 [ 啟用系統導覽功能 ] 設定來啟用裝置首頁按鈕。
這個設定適用於:
- Android 9.0 和更新版本
使用者對裝置設定的存取: [封鎖 ] 會防止使用者存取 [設定] 應用程式,並防止 Kiosk 模式中的其他應用程式開啟 [設定] 應用程式。 如果裝置是 kiosk,請將此設定設為 [封鎖]。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者存取 [設定],並允許 Kiosk 模式的應用程式開啟 [設定] 應用程式。
這個設定適用於:
- Android 9.0 和更新版本
專用裝置
- 尋找裝置: [封鎖 ] 可防止系統管理員使用遠端動作尋找遺失或遭竊的裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用地理位置尋找裝置。
公司擁有的工作配置檔裝置
透過藍牙 (工作配置檔層級) 聯繫人共用: [封鎖 ] 會防止使用者透過藍牙與裝置共用其工作配置文件聯繫人。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者透過藍牙共用其聯繫人。
搜尋工作聯繫人,並在個人配置檔中顯示工作聯繫人來電者標識碼:在個人配置檔中, [封鎖 ] 會防止使用者搜尋工作聯繫人,並顯示工作來電者標識符資訊。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許搜尋工作聯繫人,並顯示工作呼叫端標識碼。
在工作和個人配置檔之間複製並貼上: [允許] 可 讓使用者在工作與個人配置檔之間複製並貼上數據。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會:
- 防止使用者將文字貼入從工作配置檔複製的個人配置檔。
- 允許使用者從個人配置檔複製文字,並貼到工作配置檔中。
- 允許使用者從工作配置檔複製文字,並貼到工作配置檔中。
工作和個人配置檔之間的數據共享:選擇是否可以在工作和個人配置檔之間共享數據。 選項包括:
- 裝置預設值:Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者與個人配置檔共用工作配置檔中的數據。 個人配置檔中的數據可以在工作配置檔中共用。
- 封鎖配置檔之間的所有共用:防止使用者在工作和個人配置檔之間共享數據。
- 封鎖從工作到個人配置檔的共用:防止使用者使用個人配置檔共用工作配置檔中的數據。 個人配置檔中的數據可以與工作配置檔共用。
- 共用沒有限制:您可以在工作和個人配置檔之間共享數據。
系統安全性
應用程式上的威脅掃描: 需要 (預設) 讓Google Play Protect 在安裝應用程式之前和之後掃描應用程式。 如果偵測到威脅,可能會警告使用者從裝置移除應用程式。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會啟用或執行 Google Play Protect 來掃描應用程式。
一般準則模式: [需要 ] 會啟用一組提升許可權的安全性標準,最常用於高度敏感的組織,例如政府機關。 這些設定包含但不限於:
- 藍牙長期金鑰的 AES-GCM 加密
- Wi-Fi 組態存放區
- 封鎖開機載入器下載模式,這是軟體更新的手動方法
- 在刪除金鑰時強制執行額外的金鑰零化
- 防止未經驗證的藍牙連線
- 需要FOTA更新具有2048位 RSA-PSS 簽章
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
深入瞭解一般準則:
- 資訊安全性評估的一般準則 ,位於 commoncriteriaportal.org
- Android 管理 API 檔中的 CommonCriteriaMode。
- Knox 深入探討:samsungknox.com 的常見準則模式
裝置體驗
使用這些設定在您的專用或完全受控裝置上設定 kiosk 樣式體驗,或自定義完全受控裝置上的主畫面體驗。 如果您不確定要設定哪種體驗,下圖可協助您決定適合您裝置的選項。 如果您仍然不確定,請參閱 為Android Enterprise公司擁有的裝置選取主畫面體驗。
裝置體驗類型:選取裝置體驗類型,以開始在裝置上設定Microsoft啟動器或Microsoft 受控主畫面。 選項包括:
未設定:Intune 不會變更或更新此設定。 根據預設,使用者可能會看到裝置的預設主畫面體驗。
Kiosk 模式 (專用且完全受控的) :在專用且完全受控的裝置上設定 kiosk 樣式體驗。 您可以將裝置設定為執行一個應用程式,或執行許多應用程式。 當裝置設定為 kiosk 模式時,只有您新增的應用程式可供使用。 設定這些設定之前,請務必在裝置上 新增並 指派 您想要的應用程式。
Kiosk 模式:選擇裝置是執行一個應用程式還是執行多個應用程式。
注意事項
使用 kiosk 模式 (單一應用程式或多應用程式) 時,平台預設會停用熟悉的使用者介面和工作流程。 其中一些功能可以在 OS 9 和更新版本上重新啟用。 例如,當裝置處於 kiosk 狀態時,系統會變更一些行為,包括:
- 裝置的狀態列會從檢視中移除。 系統資訊和通知會對終端用戶隱藏。
- [首頁] 和 [概觀] 按鈕等裝置導覽按鈕會停用,並從檢視中移除。
- 已停用裝置的鎖定畫面,例如keyguard。
若要使用電話應用程式 & 撥號程式,或讓您的使用者在 kiosk 模式中接收推播通知,請使用完全 受控和專用裝置 (kiosk 模式僅>啟用系統導覽功能 () 和本文章中 (的 [ 首頁] 按鈕 選項和系統 通知和資訊 設定) 。 這些功能適用於執行 9.0 和更新版本的 Android 裝置。
在OS 9和更新版本上,本文中的裝置密碼>停用鎖定畫面 () 設定會管理裝置的鎖定畫面行為。
注意事項
Kiosk 模式不會防止 kiosk 應用程式啟動安裝在裝置上的其他應用程式,包括裝置設定應用程式。 系統管理員應該確保在 kiosk 模式中啟用的所有應用程式不會啟動其他應用程式,使用者不應存取和卸載裝置上不需要的任何應用程式。
您 kiosk 模式選項:
未設定:Intune 不會變更或更新此設定。
單一應用程式:當使用者在裝置上時,他們只能存取您選取的應用程式。 當裝置啟動時,只有特定的應用程式會啟動。 使用者無法變更執行中的應用程式。
選取要用於 kiosk 模式的應用程式:從清單中選取受控 Google Play 或 Android Enterprise 系統應用程式。 針對單一應用程式專用且完全受控的裝置,您選取的應用程式 必須是:
指派給 為專用或完全受控裝置建立的裝置群組。
注意事項
在完全受控的裝置上,唯一會套用的選取應用程式是 受控主畫面。 所有其他應用程式將會被視為必要的應用程式。
多應用程式:用戶可以在裝置上存取一組有限的應用程式。 當裝置啟動時,只有您新增的應用程式才會啟動。 您也可以新增使用者可以開啟的一些 Web 連結。 套用原則時,使用者會在主畫面上看到允許應用程式的圖示。
針對多應用程式專用且完全受控的裝置,受控主畫面 應用程式不需要在組態配置檔中,但來自Google Play的 受控主畫面 應用程式必須是:
- 已在 Intune 中新增。
- 指派給 為專用或完全受控裝置建立的裝置群組。
此外,您想要從 受控主畫面 啟動的任何套件都必須是:
- 已在 Intune 中新增。
- 指派給 為專用或完全受控裝置建立的裝置群組。
新增 受控主畫面 應用程式時,您在組態配置檔中新增的任何其他已安裝應用程式都會在 受控主畫面 應用程式上顯示為圖示。
如需受控首頁畫面的詳細資訊,請參閱在多應用程式 kiosk 模式的專用和完全受控裝置上設定Microsoft 受控主畫面。
注意事項
並非所有 受控主畫面 設定都可從裝置限制頁面取得。 若要檢視可供 受控主畫面 使用的所有設定,請參閱設定Microsoft 受控主畫面應用程式。
自訂應用程式配置:[啟用] 可讓您將應用程式和資料夾放在 受控主畫面 上的不同位置。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,您新增的應用程式和資料夾會依字母順序顯示在主畫面上。
網格線大小:選取主畫面的大小。 應用程式或資料夾會在方格上進行一次。
主畫面:選取 [新增] 按鈕,然後從清單中選取應用程式。 選取 [資料夾 ] 選項以建立資料夾、輸入 [資料夾名稱],然後從清單將應用程式新增至資料夾。
當您新增專案時,請選取操作功能表來移除專案,或將它們移至不同的位置:
新增:從清單中選取您的應用程式。
如果未列出 受控主畫面 應用程式,請從 Google Play 新增它。 請務必將 應用程式指派給 為專用或完全受控裝置建立的裝置群組。
您也可以將組織建立的其他 Android 應用程式 和 Web 應用程式 新增至裝置。 請務必將 應用程式指派給為專用或完全受控裝置建立的裝置群組。
重要事項
使用多應用程式模式時,原則中的每個應用程式都必須是必要的應用程式,而且必須指派給裝置。 如果不需要或未指派應用程式,則裝置可以鎖定使用者,並顯示
Contact your IT admin. This phone will be erased.訊息。注意事項
在 MHS 內新增的應用程式不會防止啟動安裝在裝置上的其他應用程式。 系統管理員應該確保 MHS 內允許的所有應用程式不會啟動其他應用程式,使用者應該無法存取和卸載裝置上不需要的任何應用程式。
鎖定主畫面: [啟用 ] 可防止使用者移動應用程式圖示和資料夾。 它們已鎖定,無法拖放到網格線上的不同位置。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,用戶可以移動這些專案。
資料夾圖示:選取 受控主畫面 上資料夾圖示的色彩和形狀。 選項包括:
- 尚未設定
- 深色主題矩形
- 深色主題圓形
- 淺色主題矩形
- 淺色主題圓形
應用程式和資料夾圖示大小:選取 受控主畫面 上的資料夾圖示大小。 選項包括:
尚未設定
超小
Small
一般
Large
非常大
視螢幕大小而定,實際的圖示大小可能不同。
螢幕方向:選取 受控主畫面 在裝置上顯示的方向。 選項包括:
- 尚未設定
- Portrait
- 景觀
- 自動路由
應用程式通知徽章: [啟用 ] 會顯示應用程式圖示上新增和未讀取的通知數目。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
虛擬首頁按鈕:將用戶傳回 受控主畫面,讓使用者可以在應用程式之間切換的軟鍵按鈕。 選項包括:
- 未設定 (預設) :不會顯示首頁按鈕。 使用者必須使用 [上一頁] 按鈕在應用程式之間切換。
- 向上撥動:當使用者在裝置上向上撥動時,會顯示首頁按鈕。
- 浮動:在裝置上顯示持續性的浮動首頁按鈕。
離開 kiosk 模式: [啟用 ] 可讓系統管理員暫時暫停 kiosk 模式以更新裝置。 若要使用這項功能,系統管理員:
- 繼續選取 [上一頁] 按鈕,直到 [ 結束 kiosk] 按鈕顯示為止。
- 選取 [ 結束 kiosk] 按鈕,然後輸入 離開 kiosk 模式程式代碼 PIN。
- 完成後,選取 受控主畫面 應用程式。 此步驟會將裝置重新鎖定為多應用程式 kiosk 模式。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止系統管理員暫停 kiosk 模式。 如果系統管理員持續選取返回按鈕,並選取 [ 結束 kiosk ] 按鈕,則會出現訊息指出需要密碼。
保留 kiosk 模式程式代碼:輸入 4-6 位數的數位 PIN。 系統管理員會使用此 PIN 暫時暫停 kiosk 模式。
設定自定義 URL 背景:輸入 URL 以自定義專用或完全受控裝置上的背景畫面。 例如,輸入
http://contoso.com/backgroundimage.jpg。注意事項
在大部分情況下,建議您從至少下列大小的影像開始:
- 電話:1080x1920 px
- 平板電腦:1920x1080 px
為了獲得最佳體驗和清晰的詳細數據,建議您根據顯示規格建立每個裝置映射資產。
新式顯示器具有較高的圖元密度,而且可以顯示相等的 2K/4K 定義影像。
設定選單的快捷方式:[停用] 會隱藏 受控主畫面 上的 [Managed 設定] 快捷方式。 使用者仍然可以從頂端列存取 [受控 設定 ] 功能表。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,[受控設定] 快捷方式會顯示在裝置上。 用戶可以選取設定圖示來存取設定。
快速存取偵錯功能表:此設定可控制使用者如何存取偵錯功能表。 選項包括:
- 啟用:用戶可以更輕鬆地存取偵錯功能表。 具體而言,他們可以從 [受控設定] 功能表存取它。 一如往常,他們可以繼續選取返回按鈕 15 次。
- 未設定 (預設) :Intune 不會變更或更新此設定。 默認會關閉對偵錯功能表的輕鬆存取。 用戶必須選取 [上一頁] 按鈕 15 次,才能開啟偵錯功能表。
在偵錯功能表中,用戶可以:
- 查看並上傳 受控主畫面 記錄
- 開啟 Google 的 Android Device Policy Manager 應用程式
- 開啟 Microsoft Intune 應用程式
- 結束 kiosk 模式
Wi-Fi 組態:[啟用] 會顯示 受控主畫面 上的 Wi-Fi 控件,並允許使用者將裝置連線到不同的WiFi網路。 啟用這項功能也會開啟裝置位置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 受控主畫面 上顯示 Wi-Fi 控件。 它可防止使用者在使用 受控主畫面 時連線到 Wi-Fi 網路。
Wi-Fi 允許清單:建立有效的無線網路名稱清單,也稱為服務集標識碼 (SSID) 。 受控主畫面 使用者只能連線到您輸入的 SSID。
Wi-Fi SSID 會區分大小寫。 如果 SSID 有效,但您輸入的大小寫不符合網路名稱,則不會顯示網路。
保留空白時,Intune 不會變更或更新此設定。 根據預設,允許所有可用的 Wi-Fi 網路。
匯 入包含有效 SSID 清單的 .csv 檔案。
將 目前的清單匯出至 .csv 檔案。
SSID:您也可以輸入 Wi-Fi 用戶可連線 (SSID) 受控主畫面 網路名稱。 請務必輸入有效的 SSID。
重要事項
在 2020 年 10 月版本中,受控主畫面 API 已更新為符合 Google Play 商店需求。 下列變更會影響 受控主畫面 中的 Wi-Fi 設定原則:
用戶無法在裝置上啟用或停用 Wi-Fi 連線。 用戶可以在 Wi-Fi 網路之間切換,但無法開啟或關閉 Wi-Fi。
如果 Wi-Fi 網路受到密碼保護,則用戶必須輸入密碼。 當他們輸入密碼之後,設定的網路就會自動連線。 如果他們中斷連線,然後重新連線到 Wi-Fi 網路,則使用者可能需要再次輸入密碼。
在 Android 11 裝置上,當使用者使用 受控主畫面 連線到網路時,系統會提示他們同意。 此提示來自 Android,並非 受控主畫面 特有的。
在 Android 10 裝置上,當使用者使用 受控主畫面 連線到網路時,通知會提示他們同意。 因此,使用者需要存取狀態列和通知才能同意。 若要啟用系統通知,請參閱本文 (完整受控和專用裝置 的一般設定) 。
在 Android 10 裝置上,當使用者使用 受控主畫面 連線到受密碼保護 Wi-Fi 網路時,系統會提示他們輸入密碼。 如果裝置連線到不穩定的網路,則 Wi-Fi 網路會變更。 即使使用者輸入正確的密碼,也會發生此錯誤。
藍牙組態:[啟用] 會在 受控主畫面 上顯示藍牙控件,並允許使用者透過藍牙配對裝置。 啟用這項功能也會開啟裝置位置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 受控主畫面 上顯示藍牙控件。 它可防止使用者在使用 受控主畫面 時設定藍牙和配對裝置。
重要事項
對於在 Android 10+ 上執行且使用 受控主畫面 的裝置,若要讓藍牙配對在需要配對密鑰的裝置上順利運作,系統管理員必須啟用下列 Android 系統應用程式:
- Android 系統藍牙
- Android 系統設定
- Android 系統 UI
如需如何啟用Android系統應用程式的詳細資訊,請移至: 管理Android Enterprise系統應用程式
手電筒筒存取:[啟用] 會在 受控主畫面 上顯示手電筒筒控件,並允許使用者開啟或關閉手電筒筒筒。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 受控主畫面 上顯示手電筒筒控件。 它可防止使用者在使用 受控主畫面 時使用手電筒筒筒。
媒體音量控制:[啟用] 會顯示 受控主畫面 上的媒體磁碟區控件,並允許使用者使用滑桿調整裝置的媒體磁碟區。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 受控主畫面 上顯示媒體磁碟區控件。 它可防止使用者在使用 受控主畫面 時調整裝置的媒體磁碟區,除非其硬體按鈕支援。
快速存取裝置資訊:[啟用] 可讓使用者向下撥動以查看 受控主畫面 上的裝置資訊,例如序號、製作和型號,以及 SDK 層級。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,可能不會顯示裝置資訊。
屏幕保護模式:[啟用] 會在裝置鎖定或逾時時,於 受控主畫面 上顯示螢幕保護。當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 受控主畫面 上顯示屏幕保護。
啟用時,也請設定:
設定自定義螢幕保護影像:輸入自定義 PNG、JPG、JPEG、GIF、BMP、WebP 或 ICOimage 的 URL。 如果您未輸入 URL,則會使用裝置的預設映像,如果有預設映像。
例如,輸入:
http://www.contoso.com/image.jpgwww.contoso.com/image.bmphttps://www.contoso.com/image.webp
提示
支援任何可以轉換成位圖的檔案資源 URL。
裝置在關閉螢幕前顯示螢幕保護的秒數:選擇裝置顯示螢幕保護的長度。 輸入介於 0-9999999 秒之間的值。 預設值為
0秒。 當保留空白或設為零 ()0時,螢幕保護功能會處於作用中狀態,直到使用者與裝置互動為止。顯示螢幕保護之前,裝置處於非使用中狀態的秒數:選擇裝置閑置多久后,再顯示螢幕保護。 輸入介於 1-9999999 秒之間的值。 預設值為
30秒。 您必須輸入大於零的數位 (0) 。啟動螢幕保護之前偵測媒體: 啟用 (預設) 不會在裝置上播放音訊或視訊時顯示螢幕保護。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示螢幕保護,即使音訊或視訊正在播放也一樣。
注意事項
受控主畫面 會在鎖定畫面出現時啟動螢幕保護:
- 如果系統的鎖定畫面逾時超過裝置顯示螢幕保護的秒數,則螢幕保護程式會顯示到鎖定畫面出現為止。
- 如果系統的鎖定畫面逾時比裝置處於非使用中狀態的秒數短,則螢幕保護程式會在裝置的鎖定畫面出現時立即顯示。
僅限專用裝置 (MHS 登入畫面) :[啟用] 會在 受控主畫面 上顯示登入畫面。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 此登入畫面和相關設定適用於使用 Microsoft Entra 共用裝置模式註冊的專用裝置。
啟用時,也請設定:
- 設定登入畫面的自定義 URL 背景:輸入登入畫面的 URL 背景 URL。 登入畫面必須啟用才能設定此設定。
- 設定登入畫面和會話釘選頁面的自定義 URL 商標標誌:輸入登入畫面和會話釘選頁面的 URL 商標標誌。
-
要求使用者設定登入會話的 PIN:當設定為 [啟用] 時,用戶必須為其登入會話設定 PIN。 當設為 [未設定 ] (預設) 時,使用者不需要設定 PIN。 必須啟用此設定,才能顯示子集。
為登入會話選擇 PIN 的複雜度:選取會話 PIN 的複雜度。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 根據預設,MHS 在會話 PIN 中至少需要一個字元。
- 簡單:需要數位。 (123、321、246) 序列重複 (444) 或排序沒有任何限制。
- 複雜:可讓使用者建立具有英數位元的 PIN。 無法使用重複 (444) 或排序 (123、321、246) 序列。
如需此設定的詳細資訊,請參閱設定 Android Enterprise 的Microsoft 受控主畫面應用程式中的會話 PIN 的複雜度。
如果螢幕保護已出現,則要求使用者輸入會話 PIN:選取 [啟用] 以要求使用者在螢幕保護顯示后,使用 受控主畫面 輸入其會話 PIN 以繼續。
-
在閑置之後自動註銷 MHS 和共用裝置模式應用程式:選取 [啟用] 以根據非使用狀態自動註銷 受控主畫面。 必須啟用此設定,才能顯示子集。
- 裝置在自動註銷使用者之前處於非使用中狀態的秒數:定義使用者從 受控主畫面 自動註銷之前的閑置期間,以秒為單位。 根據預設,此值會設定為300秒。
- 自動註銷使用者之前通知使用者的秒數:定義使用者在從 受控主畫面 自動註銷之前,可選擇繼續其會話的時間量,以秒為單位。 根據預設,此值會設定為 60 秒。
Microsoft啟動器 (僅) 完全受控 :在完全受控的裝置上設定Microsoft啟動器應用程式。 此選項最適合應讓使用者存取裝置上所有應用程式和設定的裝置。
將 Microsoft Launcher 設為預設啟動器: [啟用 ] 會將 Microsoft Launcher 設定為主畫面上的預設啟動器。 如果您將 Launcher 設為預設值,使用者就無法使用另一個啟動器。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,Microsoft啟動器不會強制作為預設啟動器。
設定自定義背景布:在 Microsoft Launcher 應用程式中, [啟用 ] 可讓您將自己的影像套用為主畫面背景布,並選擇使用者是否可以變更影像。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,裝置會保留其目前的桌布。
-
輸入桌布影像的 URL:輸入桌布影像的 URL。 此影像會顯示在裝置主畫面上。 例如,輸入
http://www.contoso.com/image.jpg。 - 允許使用者修改桌布: [啟用 ] 可讓用戶變更桌布影像。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,用戶無法變更桌布。
-
輸入桌布影像的 URL:輸入桌布影像的 URL。 此影像會顯示在裝置主畫面上。 例如,輸入
啟用啟動器摘要: [啟用 ] 會開啟啟動器摘要,其中顯示行事曆、檔和最近的活動。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,不會顯示此摘要。
- 允許使用者啟用/停用摘要: [啟用 ] 可讓使用者啟用或停用啟動器摘要。 啟用 只會在第一次指派配置檔時強制執行此設定。 任何未來的配置檔指派不會強制執行此設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,用戶無法變更啟動器摘要設定。
停駐狀態:擴充座可讓使用者快速存取其應用程式和工具。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 顯示:擴充座會顯示在裝置上。
- 隱藏:停駐已隱藏。 用戶必須向上撥動才能存取 Dock。
- 已停用:停駐區不會顯示在裝置上,且使用者無法顯示。
允許使用者變更停駐狀態: [啟用 ] 可讓用戶顯示或隱藏擴充座。 啟用 只會在第一次指派配置檔時強制執行此設定。 任何未來的配置檔指派不會強制執行此設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,不允許使用者變更裝置停駐設定。
搜尋列取代:選擇要放置搜尋列的位置。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 頂端:搜尋列會顯示在裝置頂端。
- 底部:搜尋列會顯示在裝置底部。
- 隱藏:搜尋列已隱藏。
裝置密碼
完全受控、專用和公司擁有的工作配置檔裝置
必要的密碼類型:輸入必要的密碼複雜度層級,以及是否可以使用生物特徵辨識裝置。 選項包括:
裝置預設 (預設) :大部分的裝置在設定為 [ 裝置預設值] 時不需要密碼。 如果您想要要求使用者在其裝置上設定密碼,請將此設定設定為比 裝置預設值更安全的設定。
需要密碼,沒有限制
弱式生物特徵辨識: 強式與弱式生物特徵辨識 (會開啟 Android 的網站)
數值:密碼只能是數位,例如
123456789。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
數值複雜:不允許重複或連續的數位,例如
1111或1234。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
字母:字母順序中需要字母。 不需要數位和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
英數位元:包含大寫字母、小寫字母和數位字元。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
具有符號的英數位元:包含大寫字母、小寫字母、數值字元、標點符號和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
- 所需的字元數:輸入密碼必須擁有的字元數,介於0到16個字元之間。
- 需要小寫字元數目:輸入密碼必須具有小寫字元的數目,介於 0 到 16 個字元之間。
- 需要大寫字元的數目:輸入密碼必須有大寫字元的數目,介於 0 到 16 個字元之間。
- 所需的非字母字元數:輸入非字母的數目 (除了字母以外的任何字母,) 密碼必須有,介於 0 到 16 個字元之間。
-
所需的數值字元數:輸入密碼必須具有的數值字元數 (
1、23、 等等) ,介於 0 到 16 個字元之間。 -
所需的符號字元數目:輸入密碼必須具有的符號字元數 (
&、#、%等) 介於 0 到 16 個字元之間。
密碼到期前的天數:輸入必須變更裝置密碼的天數,從 1 到 365。 例如,輸入
90以在 90 天后讓密碼過期。 密碼到期時,系統會提示使用者建立新密碼。 當值空白時,Intune 不會變更或更新此設定。用戶可以重複使用密碼之前所需的密碼數目:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入
5,讓用戶無法將新密碼設定為其目前密碼或先前四個密碼中的任何一個。 當值空白時,Intune 不會變更或更新此設定。抹除裝置之前登入失敗次數:輸入抹除裝置之前允許的錯誤密碼數目,從 4 到 11。 當值空白時,Intune 不會變更或更新此設定。
注意事項
系統不會提示完全受控且公司擁有之工作配置檔裝置上的使用者設定密碼。 這些設定是必要的,但使用者可能不會收到通知。 用戶必須手動設定密碼。 原則會回報為失敗,直到用戶設定符合您需求的密碼為止。
若要在裝置註冊期間套用裝置密碼設定,請將裝置限制配置檔指派給使用者,而不是裝置。 在註冊期間,系統會要求用戶設定螢幕鎖定。 然後,他們必須選擇符合此裝置限制配置檔中所有需求的裝置密碼。
在專用裝置上,如果裝置是以單一或多應用程式 kiosk 模式設定,則系統會提示使用者設定密碼。 畫面會強制並引導使用者建立符合規範的密碼,才能繼續使用裝置。
在未使用 kiosk 模式的專用裝置上,使用者不會收到任何密碼需求的通知。 用戶必須手動設定密碼。 原則會回報為失敗,直到用戶設定符合您需求的密碼為止。
已停用鎖定畫面功能:當裝置鎖定時,請選擇無法使用的功能。 例如,檢查 安全相機 時,裝置上的相機功能會停用。 未檢查的任何功能都會在裝置上啟用。
當裝置鎖定時,使用者可以使用這些功能。 使用者不會看到或存取您檢查的功能。
- 在公司擁有的工作配置檔裝置上,只能停用 未完成的通知、 信任代理程式和 指紋解除鎖定 。
- 如果使用者關閉裝置上的 [ 使用單一鎖定 ] 設定,則會在公司擁有的工作配置檔層級套用停用 指紋解除鎖定 和停用 信任代理 程式。 如果用戶開啟 [ 使用單一鎖定 ] 設定,則會在裝置層級套用停用 指紋解除鎖定 和停用 信任代理 程式。
必要的解除鎖定頻率:強身份驗證是在使用者使用密碼、PIN 或模式解除鎖定裝置時。 非強身份驗證方法是在使用者使用某些生物特徵辨識選項解除鎖定裝置時,例如指紋或臉部掃描。
選取使用者需要多久的時間,才能使用強身份驗證方法解除鎖定裝置。 選項包括:
- 裝置預設 (預設) :使用裝置的默認時間鎖定螢幕。
- 上次釘選、密碼或模式解除鎖定后的 24 小時:螢幕會在使用者上次使用強身份驗證方法解除鎖定裝置 24 小時後鎖定。 達到逾時,會停用非強式驗證方法,直到使用強身份驗證解除鎖定裝置為止。
2.3.4 進階密碼管理:強身份驗證需要逾時 (開啟 Android 的網站)
完全受控且專用的裝置
- 停用鎖定畫面: 停用 會禁止使用所有 Keyguard 鎖定畫面功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置處於鎖定畫面時,OS 可能會允許所有 Keyguard 功能,例如相機、指紋解除鎖定等等。
電源設定
完全受控、專用和公司擁有的工作配置檔裝置
-
鎖定螢幕的時間 (工作配置檔層級) :輸入使用者在裝置鎖定之前可以設定的最大時間。 例如,如果您將此設定設為
10 minutes,則使用者可以將時間從15秒設定為10分鐘。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
完全受控且專用的裝置
- 裝置外掛程式時開啟畫面:選擇哪些電源會導致裝置的螢幕在插入時保持開啟狀態。
用戶和帳戶
完全受控、專用和公司擁有的工作配置檔裝置
- 新增使用者: [封鎖 ] 會防止使用者新增使用者。 每個使用者在裝置上都有自定義主畫面、帳戶、應用程式和設定的個人空間。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者將其他使用者新增至裝置。
- 用戶可以 (工作配置檔層級) 設定認證 : [封鎖 ] 可防止使用者設定指派給裝置的憑證,甚至是未與使用者帳戶相關聯的裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者在密鑰存放區中存取認證時,設定或變更其認證。
完全受控且專用的裝置
- 使用者移除: [封鎖 ] 會防止使用者移除使用者。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者從裝置移除其他使用者。
- 個人 Google 帳戶: [封鎖 ] 會防止使用者將其個人 Google 帳戶新增至裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者新增其個人 Google 帳戶。
專用裝置
- 帳戶變更: [封鎖 ] 可防止使用者在 kiosk 模式下更新或變更帳戶。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者更新裝置上的用戶帳戶。
應用程式
完全受控、專用和公司擁有的工作配置檔裝置
注意事項
如果您想要啟用側載,請將 [ 允許從未知來源安裝 ] 和 [ 允許存取 Google Play 商店中的所有應用程式 ] 設定設為 [ 允許]。
允許從未知來源進行安裝: [允許 ] 可讓用戶開啟 [未知的來源]。 此設定可讓應用程式從未知來源安裝,包括Google Play商店以外的來源。 它可讓使用者使用Google Play商店以外的方法,在裝置上側載應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止用戶開啟 未知的來源。
應用程式自動更新 (工作配置檔層級) :裝置每天檢查應用程式更新。 選擇安裝自動更新的時機。 選項包括:
- 未設定:Intune 不會變更或更新此設定。
- 用戶選擇:OS 可能會預設為此選項。 用戶可以在受控Google Play 應用程式中設定其喜好設定。
- 永不:永遠不會安裝 匯報。 不建議使用此選項。
- 僅限Wi-Fi:只有當裝置連線到 Wi-Fi 網路時,才會安裝 匯報。
- 一律:匯報 在可用時安裝。
允許存取 Google Play 商店中的所有應用程式:
當設定為 [封鎖] 時:
- 用戶無法存取Google Play商店中的應用程式,也無法存取新增至貴組織受控Google Play帳戶的任何私人應用程式
- 只會顯示受控 Google Play 商店中已核准的應用程式、必要應用程式,以及指派給使用者的應用程式。
- 卸載安裝在受控Google Play商店外部的應用程式。
警告
如果您將此設定從 [允許 ] 變更為 [ 封鎖],則會自動從裝置卸載任何未標示為 [ 必要 ] 或 [ 可用] 的應用程式。
當設定為 [允許] 時:
- 用戶可存取Google Play商店中的所有應用程式,以及新增至貴組織受控Google Play帳戶的任何私人應用程式。
- 請確定您以任何應用程式 (私人或公用) 為目標,且其卸載意圖不應為受控 Google Play 商店中的使用者所安裝或應用程式。
- 用戶無法使用已新增至封鎖清單的應用程式, (在具有工作配置檔的公司擁有裝置的個人配置檔上,使用卸載意圖) 指派。
如需從特定應用程式中排除使用者和群組的詳細資訊,請移至 包含和排除應用程式指派。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS:
- 只會顯示受控 Google Play 商店中已核准的應用程式、必要應用程式,以及指派給使用者的應用程式。
下列設定是Google委派範圍功能的一部分:
允許其他應用程式安裝和管理憑證:選取 [ 新增 ] 以選取此許可權的現有應用程式。 您可以新增多個應用程式。 選取的應用程式會獲得安裝和管理憑證的存取權。
若要使用此設定,您的受控 Google Play 應用程式必須使用委派的範圍。 如需詳細資訊,請移至 Android的內建應用程式設定 和Android委派 範圍 , (開啟Android的網站) 。
允許此應用程式存取 Android 安全性記錄:選取應具有此許可權的應用程式。 您只能選取一個應用程式。 系統會將安全性記錄的存取權授與應用程式。
若要使用此設定,您的受控 Google Play 應用程式必須使用委派的範圍。 如需詳細資訊,請移至 Android的內建應用程式設定 和Android委派 範圍 , (開啟Android的網站) 。
允許此應用程式存取 Android 網路活動記錄:選取應具有此許可權的應用程式。 您只能選取一個應用程式。 系統會將網路活動記錄的存取權授與應用程式。
若要使用此設定,您的受控 Google Play 應用程式必須使用委派的範圍。 如需詳細資訊,請移至 Android的內建應用程式設定 和Android委派 範圍 , (開啟Android的網站) 。
提示
如果與其中一個設定發生衝突,則衝突會套用至這三個設定。 請務必授與 [允許此應用程式存取 Android 安全性記錄 ] 和 [ 允許此應用程式僅存取一個應用程式的 Android 網络活動記錄 ] 許可權。 您可以將這些許可權授與相同的應用程式,但不能授與不同的應用程式。
如需詳細資訊,請移至 Android 管理 API - DelegatedScope (開啟 Google 的網站) 。
專用裝置
清除未針對共用裝置模式優化之應用程式中的本機數據:將未針對共用裝置模式優化的任何應用程式新增至清單。 每當使用者註銷針對共用裝置模式優化的應用程式時,就會清除應用程式的本機數據。 適用於以執行 Android 9 和更新版本的共用模式註冊的專用裝置。
當您使用此設定時,使用者無法從未優化的應用程式起始註銷,也不會取得單一註銷。
- 用戶必須註銷針對共用裝置模式優化的應用程式。 在 Android 上針對共用裝置模式優化的 Microsoft 應用程式包括 Teams 和 Intune 的 受控主畫面。
- 對於未針對共用裝置模式優化的應用程式,刪除應用程式數據只會延伸到本機應用程式記憶體。 數據可以保留在裝置的其他區域。 識別成品的使用者,例如電子郵件地址和用戶名稱,可能會留在應用程式上,而其他人則會看到。
- 提供多個帳戶支援的非優化應用程式可能會顯示不確定的行為,因此不建議使用。
在共用裝置上的多使用者案例中使用之前,應該先徹底測試所有未優化的應用程式,以確保它們如預期般運作。 例如,驗證每個應用程式中的核心案例、確認應用程式正確註銷,且已充分清除所有數據,以符合組織的需求。
連線能力
完全受控、專用和公司擁有的工作配置檔裝置
Always-on VPN (工作配置檔層級) : 啟用 設定 VPN 用戶端以自動連線並重新連線至 VPN。 Always-On VPN 連線保持連線。 或者,當使用者鎖定其裝置、裝置重新啟動或無線網路變更時,立即連線。
選擇 [ 未設定 ] 以停用所有 VPN 用戶端的 Always-On VPN。
重要事項
請務必將一個 Always-on VPN 原則部署到單一裝置。 不支援將多個 Always-on VPN 原則部署到單一裝置。
VPN 用戶端:選擇支援 Always On 的 VPN 用戶端。 選項包括:
- Cisco AnyConnect
- F5 Access
- Palo Alto Networks GlobalProtect
- Pulse Secure
- 自訂
-
套件標識碼:在Google Play商店中輸入應用程式的套件識別碼。 例如,如果 Play 商店中應用程式的 URL 是
https://play.google.com/store/details?id=com.contosovpn.android.prod,則套件識別碼為com.contosovpn.android.prod。
-
套件標識碼:在Google Play商店中輸入應用程式的套件識別碼。 例如,如果 Play 商店中應用程式的 URL 是
重要事項
- 您選擇的 VPN 用戶端必須安裝在裝置上,而且必須在公司擁有的工作配置檔中支援個別應用程式 VPN。 否則會發生錯誤。
- 您必須核准受控 Google Play 商店中的 VPN 用戶端應用程式、將應用程式同步至 Intune,並將應用程式部署至裝置。 執行此動作之後,應用程式就會安裝在使用者的公司擁有工作配置檔中。
- 您仍然需要使用 VPN 設定檔或 透過應用程式組態設定檔來設定 VPN 用戶端。
- 搭配 F5 Access for Android 3.0.4 使用個別應用程式 VPN 時,可能會有已知問題。 如需詳細資訊,請參閱 F5 適用於 Android 3.0.4 的 F5 Access 版本資訊。
鎖定模式: [啟用] 會強制所有網路流量使用 VPN 通道。 如果未建立與 VPN 的連線,則裝置將無法存取網路。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許流量流經 VPN 通道或行動網路。
完全受控且專用的裝置
建議的全域 Proxy: [啟用 ] 會將全域 Proxy 新增至裝置。 啟用時,HTTP 和 HTTPS 流量會使用您輸入的 Proxy,包括裝置上的某些應用程式。 此 Proxy 只是建議。 某些應用程式可能不會使用 Proxy。 未設定 (預設) 不會新增建議的全域 Proxy。
如需此功能的詳細資訊,請參閱 setRecommendedGlobalProxy (開啟 Android 網站) 。
啟用時,也請輸入 Proxy 的類型 。 選項包括:
直接:手動輸入 Proxy 伺服器詳細數據,包括:
-
主機:輸入 Proxy 伺服器的主機名或IP位址。 例如,輸入
proxy.contoso.com或127.0.0.1。 -
埠號碼:輸入 Proxy 伺服器所使用的 TCP 連接埠號碼。 例如,輸入
8080。 -
排除的主機:輸入不會使用 Proxy 的主機名或IP位址清單。 此清單可以包含星號 ()
*通配符,以及以分號分隔的多部主機, (;) 沒有空格。 例如,輸入127.0.0.1;web.contoso.com;*.microsoft.com。
-
主機:輸入 Proxy 伺服器的主機名或IP位址。 例如,輸入
Proxy 自動設定:輸入 Proxy 自動設定腳本的 PAC URL 。 例如,輸入
https://proxy.contoso.com/proxy.pac。如需 PAC 檔案的詳細資訊,請參閱 PROXY 自動設定 (PAC) 檔案 (開啟非Microsoft網站) 。
如需此功能的詳細資訊,請參閱 setRecommendedGlobalProxy (開啟 Android 網站) 。
工作配置文件密碼
這些設定適用於公司擁有的工作配置檔。
必要的密碼類型:輸入必要的密碼複雜度層級,以及是否可以使用生物特徵辨識裝置。 選項包括:
裝置預設值
需要密碼,沒有限制
弱式生物特徵辨識: 強式與弱式生物特徵辨識 (會開啟 Android 的網站)
數值:密碼只能是數位,例如
123456789。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
數值複雜:不允許重複或連續的數位,例如
1111或1234。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
字母:字母順序中需要字母。 不需要數位和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
英數位元:包含大寫字母、小寫字母和數位字元。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
具有符號的英數位元:包含大寫字母、小寫字母、數值字元、標點符號和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
- 所需的字元數:輸入密碼必須擁有的字元數,介於0到16個字元之間。
- 需要小寫字元數目:輸入密碼必須具有小寫字元的數目,介於 0 到 16 個字元之間。
- 需要大寫字元的數目:輸入密碼必須有大寫字元的數目,介於 0 到 16 個字元之間。
- 所需的非字母字元數:輸入非字母的數目 (除了字母以外的任何字母,) 密碼必須有,介於 0 到 16 個字元之間。
-
所需的數值字元數:輸入密碼必須具有的數值字元數 (
1、23、 等等) ,介於 0 到 16 個字元之間。 -
所需的符號字元數目:輸入密碼必須具有的符號字元數 (
&、#、%等) 介於 0 到 16 個字元之間。
密碼到期前的天數:輸入必須變更裝置密碼的天數,從 1 到 365。 例如,輸入
90以在 90 天后讓密碼過期。 密碼到期時,系統會提示使用者建立新密碼。 當值空白時,Intune 不會變更或更新此設定。用戶可以重複使用密碼之前所需的密碼數目:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入
5,讓用戶無法將新密碼設定為其目前密碼或先前四個密碼中的任何一個。 當值空白時,Intune 不會變更或更新此設定。抹除裝置之前登入失敗次數:輸入抹除裝置之前允許的錯誤密碼數目,從 4 到 11。
0(零) 可能會停用裝置抹除功能。 當值空白時,Intune 不會變更或更新此設定。注意事項
系統不會提示完全受控、專用和公司擁有的工作配置檔裝置設定密碼。 這些設定是必要的,但使用者可能不會收到通知。 用戶必須手動設定密碼。 原則會回報為失敗,直到用戶設定符合您需求的密碼為止。
必要的解除鎖定頻率:強身份驗證是在使用者使用密碼、PIN 或模式解除鎖定工作配置檔時。 非強身份驗證方法是在使用者使用某些生物特徵辨識選項解除鎖定工作配置檔時,例如指紋或臉部掃描。
選取使用者需要多久的時間,才能使用強身份驗證方法解除鎖定工作配置檔。 選項包括:
- 裝置預設 (預設) :使用裝置的默認時間鎖定螢幕。
- 上次釘選、密碼或模式解除鎖定后的 24 小時:螢幕會在使用者上次使用強身份驗證方法來解除鎖定工作配置檔之後 24 小時鎖定。 達到逾時,會停用非強式驗證方法,直到使用強身份驗證解除鎖定工作配置文件為止。
2.3.4 進階密碼管理:強身份驗證需要逾時 (開啟 Android 的網站)
個人配置檔
- 相機: [封鎖 ] 會防止在個人使用期間存取相機。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在個人配置檔中使用相機。
- 螢幕擷取: [封鎖 ] 可防止在個人使用期間擷取螢幕。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者取得個人配置檔中的螢幕快照或螢幕快照。
- 允許使用者從個人設定檔中的未知來源啟用應用程式安裝:選取 [ 允許 ],讓使用者可以在個人配置檔中安裝來自未知來源的應用程式。 它可讓使用者從Google Play商店以外的來源安裝應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者在個人配置檔中安裝來自未知來源的應用程式。
- 受限制的應用程式清單類型:選取 [ 允許應用程式 ] 以建立受控Google Play 應用程式清單,允許並核准在裝置上的個人配置檔中安裝和執行這些應用程式。 選 取 [封鎖的應用程式 ] 以建立受控 Google Play 應用程式清單,這些應用程式在裝置上的個人設定檔中禁止和禁止安裝和執行。 當設為 [未設定] (預設) 時,Intune 不包含要允許或封鎖的應用程式清單。
自訂支持資訊
使用這些設定,您可以自定義向用戶顯示的一些支援訊息,並以不同的語言顯示這些訊息。
根據預設,系統會顯示 OEM 預設訊息。 當您使用 Intune 部署自定義訊息時,也會部署 Intune 預設訊息。 如果您未輸入裝置預設語言的自訂訊息,則會自動顯示 Intune 預設訊息。
根據預設,Intune 預設訊息為英文 (美國) 。
例如,您會部署英文和法文的自定義訊息。 使用者將裝置的預設語言變更為西班牙文。 由於您未將自定義訊息部署至西班牙文,因此會顯示 Intune 預設訊息。
Intune 預設訊息會轉譯為端點管理員系統管理中心 (設定>語言 + 區域) 中的所有語言。 [語言] 設定值會決定 Intune 使用的默認語言。 根據預設,它會設定為 英文。
您可以設定下列設定:
簡短支援訊息:當使用者嘗試變更組織所管理的設定時,會顯示簡短訊息。
您可以使用下列設定來自定義此訊息,並輸入不同語言的不同訊息。 根據預設,此訊息的英文 (美國) 。
全部,除非指定:此訊息是預設訊息 Intune,而且會針對所有語言顯示。 如果您未輸入自訂訊息,則會自動顯示此文字。 此文字也會自動轉譯為裝置的默認語言。
您可以變更此訊息。 不會轉譯任何變更。 如果您刪除此訊息中的所有文字,並將此設定保留空白,則會使用下列原始的簡短 Intune 預設訊息並加以翻譯:
You do not have permission for this action. For more information, contact your IT admin.選取 [地區設定]:選取地區設定或區域,以顯示該特定地區設定的不同自定義訊息。
例如,若要在使用 西班牙文 作為預設語言的裝置上顯示自訂訊息,請選 取西班牙 (西班牙) 。 只有使用 西班牙文 (西班牙) 預設語言的裝置才會看到您的自定義訊息。 除了指定的消息正文 之外, 所有其他語言都會看到All。
您可以新增多個地區設定和訊息。
訊息:輸入您要顯示的文字,最多 200 個字元。 您輸入的文字不會轉譯為裝置的默認語言。 因此,如果您想要以西班牙文顯示訊息,請以西班牙文輸入文字。
長支援訊息:在裝置的 [設定安全>性>裝置管理應用程式>] [裝置原則] 中,會顯示長支援訊息。
您可以使用下列設定來自定義此訊息,並輸入不同語言的不同訊息。 根據預設,此訊息的英文 (美國) 。
全部,除非指定:此訊息是預設訊息 Intune,而且會針對所有語言顯示。 如果您未輸入自定義訊息,則會自動顯示此文字,並自動轉譯為裝置的默認語言。
您可以變更此訊息。 不會轉譯任何變更。 如果您刪除此訊息中的所有文字,並將此設定保留空白,則會使用下列原始長 Intune 預設訊息並加以翻譯:
The organization's IT admin can monitor and manage apps and data associated with this device, including settings, permissions, corporate access, network activity and the device's location information.選取 [地區設定]:選取地區設定或區域,以顯示該特定地區設定的不同自定義訊息。
例如,若要在使用 西班牙文 作為預設語言的裝置上顯示自訂訊息,請選 取西班牙 (西班牙) 。 只有使用 西班牙文 (西班牙) 預設語言的裝置才會看到您的自定義訊息。 除了指定的消息正文 之外, 所有其他語言都會看到All。
您可以新增多個地區設定和訊息。
訊息:輸入您要顯示的文字,最多 4096 個字元。 您輸入的文字不會轉譯為裝置的默認語言。 因此,如果您想要以西班牙文顯示訊息,請以西班牙文輸入文字。
鎖定畫面訊息:輸入您想要在裝置鎖定畫面上顯示的文字。
您可以使用下列設定來自定義此訊息,並輸入不同語言的不同訊息。 根據預設,此訊息的英文 (美國) 。
全部,除非指定:輸入您要針對所有語言顯示的文字,最多 4096 個字元。 此文字會自動轉譯為裝置的默認語言。 如果您未輸入自定義訊息,則 Intune 不會變更或更新此設定。 根據預設,OS 可能不會顯示鎖定畫面訊息。
選取 [地區設定]:選取地區設定或區域,以顯示該特定地區設定的不同自定義訊息。
例如,若要在使用 西班牙文 作為預設語言的裝置上顯示自訂訊息,請選 取西班牙 (西班牙) 。 只有使用 西班牙文 (西班牙) 預設語言的裝置才會看到您的自定義訊息。 除了指定的消息正文 之外, 所有其他語言都會看到All。
您可以新增多個地區設定和訊息。
訊息:輸入您要顯示的文字,最多 4096 個字元。 您輸入的文字不會轉譯為裝置的默認語言。 因此,如果您想要以西班牙文顯示訊息,請以西班牙文輸入文字。
當您設定 鎖定畫面訊息時,您也可以使用下列裝置令牌來顯示裝置特定資訊:
-
{{AADDeviceId}}:Microsoft Entra 裝置識別碼 -
{{AccountId}}:Intune 租使用者標識碼或帳戶標識碼 -
{{DeviceId}}:Intune 裝置識別碼 -
{{DeviceName}}:Intune 裝置名稱 -
{{domain}}:功能變數名稱 -
{{EASID}}:Exchange Active Sync ID -
{{IMEI}}:裝置的 IMEI -
{{mail}}:Email 用戶的位址 -
{{MEID}}:裝置的對應 -
{{partialUPN}}:@ 符號前面的 UPN 前置詞 -
{{SerialNumber}}:裝置序號 -
{{SerialNumberLast4Digits}}:裝置序號的最後四位數 -
{{UserId}}:Intune 用戶識別碼 -
{{UserName}}:使用者名 -
{{userPrincipalName}}:使用者的UPN
注意事項
變數不會在 UI 中驗證,而且會區分大小寫。 因此,您可以看到配置檔以不正確的輸入儲存。 例如,如果您輸入
{{DeviceID}},而不是{{deviceid}}或{{DEVICEID}},則會顯示常值字串,而不是裝置的唯一標識符。 請務必輸入正確的資訊。 支援所有小寫或所有大寫變數,但不支援混合。
後續步驟
您也可以建立適用於 Android 和 Windows 10 裝置的專用裝置 kiosk 設定檔。