使用 Android Enterprise 裝置設定清單來允許或限制個人擁有裝置上的功能 Intune
本文說明您可以在Android Enterprise裝置上控制的不同設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來允許或停用功能、控制安全性等等。
本功能適用於:
- Android Enterprise 個人擁有的裝置,其工作配置檔 (BYOD)
提示
- 針對 AOSP,請移至 Android (AOSP) 裝置設定,以允許或限制使用 Intune 的功能。
- 針對 Android Enterprise 公司擁有的工作設定檔 (COPE) 、完全受控的 (COBO) ,或 (COSU) 的專用裝置,請移至 Android Enterprise 裝置設定,以使用 Intune 來允許或限制公司擁有裝置上的功能。
開始之前
工作配置檔設定
這些設定適用於具有工作配置檔 (BYOD) 的 Android Enterprise 個人擁有裝置。
一般設定
在工作和個人配置檔之間複製並貼上: [封鎖 ] 會防止工作與個人應用程式之間進行複製和貼上。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者與個人配置檔中的應用程式使用複製和貼上來共享數據。
工作和個人配置檔之間的數據共享:選擇工作配置檔中的應用程式是否可以與個人配置檔中的應用程式共用。 例如,您可以控制應用程式內的共享動作,例如 Chrome 瀏覽器應用程式中的 [ 共用... ] 選項。 此設定不適用於複製/貼上剪貼簿行為。 選項包括:
- 裝置預設值:封鎖從工作配置檔共享至個人配置檔。 允許從個人配置檔共享至工作配置檔。
- 工作設定檔中的應用程式可以處理來自個人配置檔的共用要求:啟用允許從個人配置檔共用至工作配置檔的內建 Android 功能。 啟用時,來自個人配置檔中應用程式的共用要求可以與工作配置檔中的應用程式共用。
- 不限制共享:允許雙向跨工作配置檔界限共用。 當您選取此設定時,工作配置檔中的應用程式可以與個人配置檔中未封裝的應用程式共享數據。 此設定可讓工作配置檔中的受控應用程式與裝置 Unmanaged 端的應用程式共用。 因此,請小心使用此設定。
裝置鎖定時的工作配置檔通知: [封鎖 ] 會防止視窗通知,包括快顯通知、來電、外寄通話、系統警示,以及系統錯誤,使其無法顯示在鎖定的裝置上。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示通知。
默認應用程式許可權:設定工作配置檔中所有應用程式的默認許可權原則。 從 Android 6 開始,系統會提示使用者在應用程式啟動時授與應用程式所需的特定許可權。 這個原則設定可讓您決定是否提示使用者授與工作設定檔中所有應用程式的許可權。 例如,您將應用程式指派給需要位置存取的工作配置檔。 通常該應用程式會提示使用者核准或拒絕應用程式的位置存取。 使用此原則可在不提示的情況下自動授與許可權、自動拒絕許可權而不提示,或讓用戶決定。 選項包括:
- 裝置預設值
- Prompt
- 自動授與
- 自動拒絕
您也可以使用應用程式設定原則來授與個別應用程式的許可權 (應用程式>設定 原則) 。
新增和移除帳戶:此設定允許或防止在工作配置檔中新增帳戶,包括Google帳戶。 選項包括:
允許所有帳戶類型,但 Google 帳戶 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在工作配置檔中新增帳戶。
在舊版中,此設定的名稱為 [未設定]。
允許所有帳戶類型:允許所有帳戶,包括Google帳戶。 這些 Google 帳戶會遭到封鎖,無法從受控 Google Play 商店安裝應用程式。
您也可以設定:
Google 網域允許清單:限制使用者只在工作配置檔中新增特定 Google 帳戶網域。 您可以以下欄格式匯入允許的網域清單:
contoso.com microsoft.com
或者,使用
contoso.com
格式個別新增網域。 保留空白時,根據預設,OS 可能會允許在工作配置檔中新增所有 Google 網域。
這個設定需要:
- Google Play 應用程式版本80970100或更新版本
封鎖所有帳戶類型:防止使用者在工作配置檔中手動新增或移除帳戶。 例如,當您將 Gmail 應用程式部署到工作設定檔時,可以防止使用者新增或移除此工作設定檔中的帳戶。
注意事項
在具有工作配置檔 (BYOD) 的個人擁有裝置上,以及具有工作配置檔 (COPE) 的公司擁有裝置上,Google 帳戶無法新增至 設定 應用程式 >帳戶>工作。
透過藍牙聯繫人共用: [啟用 ] 允許與來自另一部裝置的工作配置檔聯繫人共用和存取個人擁有的裝置,包括使用藍牙配對的車輛。 啟用此設定可能會允許某些藍牙裝置在第一次連線時快取工作聯繫人。 在初始配對/同步處理之後停用此原則,可能不會從藍牙裝置移除工作聯繫人。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會共用工作聯繫人。
這個設定適用於:
- 具有工作配置檔的 Android 8.0 和較新的個人擁有裝置
螢幕擷取: [封鎖 ] 會防止在工作配置檔中的裝置上擷取螢幕快照或螢幕快照。 它也會防止內容顯示在沒有安全視訊輸出的顯示裝置上。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許取得螢幕快照。
在個人配置檔中顯示公司聯繫人來電者標識碼: [封鎖 ] 不會在個人配置文件中顯示工作聯繫人來電者號碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示工作連絡來電者詳細數據。
這個設定適用於:
- 具有工作配置檔的 Android 8.0 和較新的個人擁有裝置
從個人配置檔搜尋工作聯繫人: [封鎖 ] 會防止用戶在個人配置檔的應用程式中搜尋工作聯繫人。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在個人配置檔中搜尋工作聯繫人。
相機: [封鎖 ] 會防止在個人擁有的工作配置檔中存取裝置上的相機。 此設定不會影響個人端的相機。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取相機。
允許來自工作配置檔應用程式的小工具: [啟用 ] 可讓使用者將應用程式公開的小工具放在主畫面上。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用此功能。
例如,Outlook 會安裝在使用者的工作配置檔上。 當設定為 [啟用] 時,使用者可以將議程小工具放在裝置主畫面上。
工作配置文件密碼
這些密碼設定適用於具有工作配置檔的個人擁有裝置上的工作配置文件密碼。
所有 Android 裝置
需要工作配置檔密碼: [需要 ] 會強制執行僅適用於工作配置檔中應用程式的密碼原則。 根據預設,用戶可以使用兩個個別定義的 PIN。 或者,用戶可以將 PIN 結合成兩個 PIN 中更強的。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在不輸入密碼的情況下使用工作應用程式。
這個設定適用於:
- 具有工作配置檔的 Android 8.0 和較新的個人擁有裝置
在工作配置檔鎖定之前閑置的分鐘數上限:輸入裝置在自動鎖定螢幕之前必須閑置的時間長度。 用戶必須輸入其認證才能重新取得存取權。 例如,輸入
5
以在閑置 5 分鐘後鎖定裝置。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。在裝置上,用戶無法設定大於配置檔中所設定時間的時間值。 用戶可以設定較低的時間值。 例如,如果配置檔設定為
15
分鐘,用戶可以將值設定為 5 分鐘。 用戶無法將值設定為30分鐘。抹除裝置之前登入失敗次數:輸入抹除裝置上工作配置檔之前允許的錯誤密碼數目,從 4 到 11。 當值為空白時,Intune 在此設定上使用預設值。
密碼到期 (天數) :輸入必須變更用戶密碼的天數, (從 1-365) 。
避免重複使用先前的密碼:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入
5
,讓用戶無法將新密碼設定為其目前密碼或先前四個密碼中的任何一個。 當值空白時,Intune 不會變更或更新此設定。臉部解除鎖定: [封鎖 ] 會防止使用者使用裝置的臉部辨識來解除鎖定個人擁有的工作配置檔。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用臉部辨識來解除鎖定裝置。
指紋解除鎖定: [封鎖 ] 會防止使用者使用裝置的指紋掃描器來解除鎖定個人擁有的工作配置檔。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用指紋解除鎖定裝置。
鳶尾花解除鎖定: [封鎖 ] 會防止使用者使用裝置的鳶尾花掃描器來解除鎖定個人擁有的工作配置檔。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用鳶尾花掃描器解除鎖定裝置。
智慧鎖定和其他信任代理程式: [封鎖 ] 可防止智能鎖定或其他信任代理程序調整相容裝置上的鎖定畫面設定。 如果裝置位於信任的位置,則這項功能也稱為信任代理程式,可讓您停用或略過裝置鎖定畫面密碼。 例如,當裝置連線到特定藍牙裝置,或裝置接近NFC標籤時,略過工作配置文件密碼。 使用此設定可防止使用者設定 Smart Lock。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
裝置和工作配置檔的一個鎖定: [封鎖 ] 會防止使用者針對裝置和工作配置檔上的鎖定畫面使用相同的密碼。 使用者必須輸入裝置密碼才能解除鎖定裝置,並輸入其工作配置文件密碼,才能存取其工作配置檔。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用單一密碼存取其工作配置檔。
Android 12 和更新版本
密碼複雜度:使用此設定來設定密碼複雜性需求。 選項包括:
- 無:Intune 不會變更或更新此設定。 根據預設,OS 可能不需要密碼。
- 低:允許重複 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN。
- 中:已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度、字母長度或英數位元長度必須至少為四個字元。
- 高:已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度必須至少為八個字元。 字母或英數位元長度必須至少為六個字元。
在具有工作配置檔的個人擁有裝置上,有兩個密碼受到此 密碼複雜度 設定影響:
- 解除鎖定裝置的裝置密碼
- 允許使用者存取工作配置檔的工作配置檔密碼
如果裝置密碼複雜度太低,則裝置密碼會自動變更為需要 高 複雜度。 終端用戶必須更新裝置密碼,以符合複雜性需求。 然後,他們會登入工作配置檔,並提示您更新原則中 [ 密碼複雜度 ] 設定中所設定的工作配置檔複雜度。
重要事項
在 [ 密碼複雜度 ] 設定可用之前,已使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定。 這些設定仍可供使用,但 Google 針對具有工作配置檔的 Android 12+ 個人擁有裝置已淘汰這些設定。 如需這些設定的相關信息,請移至本文) 中的 Android11和更早 版本 (。
以下是您需要知道的事項:
如果 [ 必要密碼類型 ] 和 [ 最小密碼長度 ] 設定從原則中的預設值變更,則:
新註冊的 Android Enterprise 12+ 裝置會自動使用 密碼複雜度 設定與 高 複雜度。 因此,如果您不想要 高 密碼複雜度,請為 Android Enterprise 12+ 裝置建立新的原則,並設定 密碼複雜度 設定。
現有的 Android Enterprise 12+ 裝置會繼續使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定,以及已設定的現有值。
如果您使用已設定的 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定來變更現有原則,則 Android Enterprise 12+ 裝置會自動使用 [ 密碼複雜度 ] 設定並設定 [高 複雜度]。
針對 Android Enterprise 12+ 裝置,建議您設定 密碼複雜度 設定。
如果 [ 必要密碼類型 ] 和 [ 密碼長度下限 ] 設定未從原則中的預設值變更,則不會自動將任何密碼原則套用至新註冊的 Android Enterprise 12+ 裝置。
Android 11 和更早版本
重要事項
- Google 會以工作配置檔取代這些 Android 12+ 個人擁有裝置的 必要密碼類型 和 密碼長度下限 設定,並以新的密碼複雜性需求取代它。 如需這項變更的詳細資訊,請移至 Android 13 的第零天支援。
- 在 Android Enterprise 12+ 裝置上,使用 密碼複雜度 設定。
必要的密碼類型:輸入必要的密碼複雜度層級,以及是否可以使用生物特徵辨識裝置。 選項包括:
- 裝置預設 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能不需要密碼。
- 低安全性生物特徵辨識: 強式與弱式生物特徵辨識 (會開啟Android的網站)
- Required
-
至少數值:包含數值字元,例如
123456789
。 -
數值複雜:不允許重複或連續的數位,例如
1111
或1234
。 - 至少字母:在字母表中包含字母。 不需要數位和符號。
- 至少是英數位元:包含大寫字母、小寫字母和數位字元。
- 至少是具有符號的英數位元:包括大寫字母、小寫字母、數位字元、標點符號和符號。
密碼長度下限:輸入密碼必須擁有的最小長度,介於 4 (預設) 和 16 個字元之間。
密碼
這些密碼設定適用於具有工作配置檔的個人擁有裝置上的裝置密碼。
所有 Android 裝置
停止活動最多分鐘數,直到螢幕鎖定為止:輸入裝置在自動鎖定螢幕之前必須閑置的時間長度。 用戶必須輸入其認證才能重新取得存取權。 例如,輸入
5
以在閑置 5 分鐘後鎖定裝置。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。在裝置上,用戶無法設定大於配置檔中所設定時間的時間值。 用戶可以設定較低的時間值。 例如,如果配置檔設定為
15
分鐘,用戶可以將值設定為 5 分鐘。 用戶無法將值設定為30分鐘。抹除裝置之前登入失敗次數:輸入抹除裝置中個人擁有工作配置檔之前允許的錯誤密碼數目,從 4 到 11。
0
(零) 可能會停用裝置抹除功能。 當值空白時,Intune 不會變更或更新此設定。密碼到期 (天數) :輸入必須變更裝置密碼的天數,從 1 到 365。 例如,輸入
90
以在 90 天后讓密碼過期。 密碼到期時,系統會提示使用者建立新密碼。 當值空白時,Intune 不會變更或更新此設定。避免重複使用先前的密碼:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入
5
,讓用戶無法將新密碼設定為其目前密碼或先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。指紋解除鎖定: [封鎖 ] 會防止使用者使用裝置的指紋掃描器來解除鎖定裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用指紋解除鎖定裝置。
臉部解除鎖定: [封鎖 ] 會防止使用者使用裝置的臉部辨識來解除鎖定裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用臉部辨識來解除鎖定裝置。
鳶尾花解除鎖定: [封鎖 ] 會防止使用者使用裝置的鳶尾花掃描儀來解除鎖定裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用鳶尾花掃描器解除鎖定裝置。
智慧鎖定和其他信任代理程式: [封鎖 ] 可防止智能鎖定或其他信任代理程序調整相容裝置上的鎖定畫面設定。 如果裝置位於信任的位置,則這項功能也稱為信任代理程式,可讓您停用或略過裝置鎖定畫面密碼。 例如,當裝置連線到特定藍牙裝置,或裝置接近NFC標籤時,略過個人擁有的工作配置文件密碼。 使用此設定可防止使用者設定 Smart Lock。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
Android 12 和更新版本
密碼複雜度:使用此設定來設定密碼複雜性需求。 選項包括:
- 無:Intune 不會變更或更新此設定。 根據預設,OS 可能不需要密碼。
- 低:允許重複 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN。
- 中:已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度、字母長度或英數位元長度必須至少為四個字元。
- 高:已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度必須至少為八個字元。 字母或英數位元長度必須至少為六個字元。
在具有工作配置檔的個人擁有裝置上,有兩個密碼受到此 密碼複雜度 設定影響:
- 解除鎖定裝置的裝置密碼
- 允許使用者存取工作配置檔的工作配置檔密碼
如果裝置密碼複雜度太低,則裝置密碼會自動變更為需要 高 複雜度。 終端用戶必須更新裝置密碼,以符合複雜性需求。 然後,他們會登入工作配置檔,並提示您更新原則中 [ 密碼複雜度 ] 設定中所設定的工作配置檔複雜度。
重要事項
在 [ 密碼複雜度 ] 設定可用之前,已使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定。 這些設定仍可供使用,但 Google 針對具有工作配置檔的 Android 12+ 個人擁有裝置已淘汰這些設定。 如需這些設定的詳細資訊,請移至本文) 中的 Android11和更早 版本 (。
以下是您需要知道的事項:
如果 [ 必要密碼類型 ] 和 [ 最小密碼長度 ] 設定從原則中的預設值變更,則:
新註冊的 Android Enterprise 12+ 裝置會自動使用 密碼複雜度 設定與 高 複雜度。 因此,如果您不想要 高 密碼複雜度,請為 Android Enterprise 12+ 裝置建立新的原則,並設定 密碼複雜度 設定。
現有的 Android Enterprise 12+ 裝置會繼續使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定,以及已設定的現有值。
如果您使用已設定的 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定來變更現有原則,則 Android Enterprise 12+ 裝置會自動使用 [ 密碼複雜度 ] 設定並設定 [高 複雜度]。
針對 Android Enterprise 12+ 裝置,建議您設定 密碼複雜度 設定。
如果 [ 必要密碼類型 ] 和 [ 密碼長度下限 ] 設定未從原則中的預設值變更,則不會自動將任何密碼原則套用至新註冊的 Android Enterprise 12+ 裝置。
Android 11 和更早版本
重要事項
- Google 會以工作配置檔取代這些 Android 12+ 個人擁有裝置的 必要密碼類型 和 密碼長度下限 設定,並以新的密碼複雜性需求取代它。 如需這項變更的詳細資訊,請移至 Android 13 的第零天支援。
- 在 Android Enterprise 12+ 裝置上,使用 密碼複雜度 設定。
必要的密碼類型:輸入必要的密碼複雜度層級,以及是否可以使用生物特徵辨識裝置。 選項包括:
- 裝置預設 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能不需要密碼。
- 低安全性生物特徵辨識: 強式與弱式生物特徵辨識 (會開啟Android的網站)
- Required
-
至少數值:包含數值字元,例如
123456789
。 -
數值複雜:不允許重複或連續的數位,例如
1111
或1234
。 - 至少字母:在字母表中包含字母。 不需要數位和符號。
- 至少是英數位元:包含大寫字母、小寫字母和數位字元。
- 至少是具有符號的英數位元:包括大寫字母、小寫字母、數位字元、標點符號和符號。
密碼長度下限:輸入密碼必須擁有的最小長度,介於 4 (預設) 和 16 個字元之間。
系統安全性
應用程式上的威脅掃描: [需要 ] 會強制為工作和個人設定檔啟用 [驗證應用程式 ] 設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
這個設定適用於:
- 具有工作配置檔的 Android 8 (Oreo) 和較新的個人擁有裝置
防止個人配置檔中不明來源的應用程式安裝:根據設計,具有工作配置檔的Android Enterprise 個人擁有裝置無法從 Play Store 以外的來源安裝應用程式。 這個設定可讓系統管理員進一步控制來自未知來源的應用程式安裝。 [封鎖 ] 會防止來自個人配置檔中 Google Play 商店以外的來源安裝應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許從個人配置檔中的未知來源安裝應用程式。 根據本質,具有工作配置檔的個人擁有裝置是雙重配置檔:
- 具有使用 MDM 管理之工作配置檔的個人擁有裝置。
- 與 MDM 管理隔離的個人配置檔。
連線能力
Always-on VPN: 啟用 會設定 VPN 用戶端自動連線並重新連線至 VPN。 Always-On VPN 連線保持連線。 或者,當使用者鎖定其裝置、裝置重新啟動或無線網路變更時,立即連線。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用所有 VPN 用戶端的 Always-On VPN。
重要事項
請務必將一個 Always On VPN 原則部署到單一裝置。 不支援將多個 Always VPN 原則部署到單一裝置。
VPN 用戶端:選擇支援 Always On 的 VPN 用戶端。 選項包括:
- Cisco AnyConnect
- F5 Access
- Palo Alto Networks GlobalProtect
- Pulse Secure
- 自訂
-
套件標識碼:在Google Play商店中輸入應用程式的套件識別碼。 例如,如果 Play 商店中應用程式的 URL 是
https://play.google.com/store/details?id=com.contosovpn.android.prod
,則套件識別碼為com.contosovpn.android.prod
。
-
套件標識碼:在Google Play商店中輸入應用程式的套件識別碼。 例如,如果 Play 商店中應用程式的 URL 是
重要事項
- 您選擇的 VPN 用戶端必須安裝在裝置上。 它也必須在具有工作配置檔的個人擁有裝置中支援個別應用程式 VPN。 否則會發生錯誤。
- 您必須核准受控 Google Play 商店中的 VPN 用戶端應用程式、將應用程式同步至 Intune,以及將應用程式部署至裝置。 執行此動作之後,應用程式會安裝在具有工作配置檔的使用者個人擁有裝置中。
- 搭配 F5 Access for Android 3.0.4 使用個別應用程式 VPN 時,可能會有已知問題。 如需詳細資訊,請參閱 F5 適用於 Android 3.0.4 的 F5 Access 版本資訊。
鎖定模式: [啟用] 會強制所有網路流量使用 VPN 通道。 如果未建立與 VPN 的連線,則裝置將無法存取網路。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許流量流經 VPN 通道或行動網路。