您可以使用 Microsoft Intune 裝置限制配置檔來管理 Android Enterprise 和 AOSP 裝置上的裝置功能和設定。
本文列出並說明您可以使用 Intune 範本在 Android 裝置上設定的設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來建立密碼限制、啟用藍牙、管理系統更新、建立資訊站體驗等。
本文適用於:
- Android Enterprise 公司擁有的工作配置檔 (COPE)
- Android Enterprise 企業擁有的完全受控 (COBO)
- Android Enterprise 公司擁有的專用裝置 (COSU)
- 具有工作設定檔 (BYOD) 的 Android Enterprise 個人擁有的裝置
- Android 開放原始碼專案 (AOSP) 公司擁有的無使用者裝置 (共用)
- Android 開放原始碼專案 (AOSP) 公司擁有的使用者相關聯裝置 (單一使用者)
開始之前
在 Intune 系統管理中心建立裝置限制配置檔。 建立設定檔時,請選取下列選項:
- 平台:選取 Android Enterprise 或 Android (AOSP) 。
- 設定檔型別:選取範本。
如需步驟,請移至 在 Microsoft Intune 中建立裝置限制配置檔。
您可以使用 本文) ( 範本或 設定目錄來設定設定。 本文重點介紹模板。 如需 設定目錄的詳細資訊,請移至:
提示
- 如果您在 範本中找不到設定,請選取 [ 設定目錄]。 設定目錄是您可以為公司擁有的 Android Enterprise 裝置設定的設定清單。 它可以包含 範本中無法使用的其他設定。
- 如果您在 設定目錄中找不到設定,請檢查 範本。
若要深入瞭解 Android 註冊選項,請參閱註冊 指南:在 Microsoft Intune 中註冊 Android 裝置。
Android 設定
本節列出您可以在 Android Enterprise (公司擁有和個人擁有的) 和 AOSP 裝置上設定的範本設定。
這些設定適用於下列 Android Enterprise 註冊類型,其中 Intune 會控制整個裝置:
- 完全受管理的裝置
- 專用設備
- 具有工作配置檔的公司擁有的裝置
並非所有註冊類型都支援某些設定。 Intune 系統管理中心會顯示設定套用的註冊類型。
對於具有工作資料夾的公司擁有的裝置,部分設定只會套用在工作資料夾中。 這些設定在設定名稱中 (工作設定檔層級) 。 對於完全受控和專用裝置,這些設定會套用至整個裝置。
一般
完全受控、專用和公司擁有的工作設定檔裝置
工作設定檔層級) (螢幕擷取 : 封鎖:
- 防止裝置上的螢幕截圖或螢幕擷取。
- 防止內容顯示在沒有安全視訊輸出的顯示裝置上。
- 防止應用程式使用系統螢幕擷取功能。
- 影響螢幕共用。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者將螢幕內容擷取為影像。
相機 (工作設定檔層級) : 選取 [封鎖] 可 防止存取裝置上的相機。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取相機。
Intune 只會管理裝置相機的存取。 它無法存取圖片或影片。
工作設定檔層級) (預設許可權原則 :此設定會定義執行階段許可權要求的預設許可權原則。 您的選擇
- 裝置預設 (預設) :使用裝置的預設設定。
- 提示:系統會提示使用者核准權限。
- 自動授與:會自動授與權限。
- 自動拒絕:權限會自動被拒絕。
日期和時間變更: 封鎖可 防止使用者手動設定日期和時間。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置上設定日期和時間。
漫遊資料服務: 封鎖可 防止資料透過行動網路漫遊。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置位於行動網路上時,OS 可能會允許資料漫遊。
Wi-Fi 存取點設定: 封鎖可 防止使用者建立或變更任何 Wi-Fi 設定。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者變更裝置上的 Wi-Fi 設定。
藍牙設定:封鎖可防止使用者在裝置上設定藍牙。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許在裝置上使用藍牙。
網路共享和存取熱點: 阻止 網路共享和存取可攜式熱點。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許網路共享和存取可攜式熱點。
USB 檔案傳輸: 選取 [封鎖] 可 防止透過 USB 傳輸檔案。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許傳輸檔案。
提示
Intune 設定目錄 >USB 存取 設定有更多選項可供您設定和管理。 若要深入瞭解,請參閱 Android Intune 設定目錄設定清單。
外部媒體: 封鎖可 防止使用或連線裝置上的任何外部媒體。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置上的外部媒體。
使用 NFC 傳送資料 (工作設定檔層級) : 選取 [封鎖] 可 防止使用近場通訊 (NFC) 技術從應用程式傳送資料。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用 NFC 在裝置之間共用資料。
開發人員設定:選擇 允許以 允許使用者存取裝置上的開發人員設定。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者存取裝置上的開發人員設定。
麥克風調整: 封鎖可 防止使用者取消麥克風靜音和調整麥克風音量。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者使用和調整裝置上麥克風的音量。
恢復原廠設定保護電子郵件:選擇 Google 帳戶電子郵件地址。 輸入裝置管理員的電子郵件地址,以便在裝置抹除後解除鎖定裝置。 請務必用分號分隔電子郵件地址,例如
admin1@gmail.com;admin2@gmail.com。 這些電子郵件僅適用於執行非使用者恢復原廠設定時,例如使用復原功能表執行恢復原廠設定。當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
FRP) (恢復原廠設定保護有助於防止在恢復原廠設定後未經授權存取您的裝置。 如果未經您許可重置設備,在某些情況下,只有您輸入的電子郵件地址才能解鎖設備。 設定恢復 原廠設定的電子郵件 時,會有不同的恢復原廠設定保護 (FRP) 行為:
報名方式 設定 > 恢復原廠設定資料 設定 > 恢復/引導程式 Intune 抹除 具有工作配置檔 (COPE) 的公司擁有裝置 ✅ 恢復原廠設定保護 ✅ 恢復原廠設定保護 ❌ 沒有恢復原廠設定保護 完全託管 ( COBO) ❌ 沒有恢復原廠設定保護 ✅ 恢復原廠設定保護 ❌ 沒有恢復原廠設定保護 奉獻 (COSU) ❌ 沒有恢復原廠設定保護 ✅ 恢復原廠設定保護 ❌ 沒有恢復原廠設定保護 如需背景和指引,請參閱 Android Enterprise 的 FRP 強制執行行為 (恢復原廠設定保護) 。
系統更新:選擇一個選項來定義裝置如何處理無線更新。 您的選擇
裝置預設 ( 預設) :使用裝置的預設設定。 預設情況下,如果裝置已連線到 Wi-Fi、正在充電且處於閒置狀態,則作業系統會自動更新。 針對應用程式更新,OS 也會驗證應用程式是否未在前景執行。
自動:匯報會自動安裝,無需使用者互動。 設定此原則會立即安裝任何擱置的更新。
延後:匯報將延後 30 天。 在 30 天結束時,Android 會提示用戶安裝更新。 裝置製造商或電信業者可以防止 (豁免) 重要的安全性更新被推遲。 豁免更新會向裝置上的使用者顯示系統通知。
維護時段:在您在 Intune 中設定的每日維護時段內自動安裝更新。 安裝每天嘗試 30 天,如果空間或電池電量不足,可能會失敗。 30 天後,Android 會提示使用者安裝。
此設定適用於作業系統和 Play 商店應用程式更新。 任何維護時段都會優先於進行中的裝置變更。
將此選項用於專用裝置,例如資訊台,因為可以更新單一應用程式專用裝置前景應用程式。
系統更新的凍結期間:選用。 當您將 [系統更新 ] 設定設定為 [ 自動]、[ 延後] 或 [維護時段] 時,請使用此設定來建立凍結期間:
-
開始日期:以格式輸入
MM/DD開始日期,最長為 90 天。 例如,輸入11/15以從 11 月 15 日開始凍結期。 -
結束日期:以
MM/DD格式輸入結束日期,最長為 90 天。 例如,輸入01/15以結束 1 月 15 日的凍結期。
在此凍結期間,所有傳入的系統更新和安全補丁都會被阻止,包括手動檢查更新。
當裝置的時鐘超出凍結期時,裝置會根據您的 系統更新 設定繼續接收更新。
若要設定多個每年重複的凍結期,請確保凍結期至少相隔 60 天。
此設定適用於:
- Android 9.0 和更新版本
-
開始日期:以格式輸入
位置: 封鎖會 停用裝置上的 「位置」 設定,並防止使用者開啟它。 停用此設定後,取決於裝置位置的任何其他設定都會受到影響,包括管理員使用的 「尋找裝置 遠端」動作。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許在裝置上使用位置。
此設定適用於:
- 執行任何 Android 版本的完全受管裝置
- 公司自有裝置的工作資料夾搭載 Android 10 以上版本
完全託管和專用設備
音量變更: 封鎖可 防止使用者變更裝置的音量,也會將主音量靜音。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用裝置上的磁碟區設定。
恢復原廠設定:封鎖可防止使用者使用裝置設定中的恢復原廠設定選項。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者在裝置上使用此設定。
如需此功能的背景和指引,請參閱 Android Enterprise 的 FRP) 強制執行行為 (恢復原廠設定保護。
狀態列: 封鎖可 防止存取狀態列,包括通知和快速設定。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者存取狀態列。
Wi-Fi 設定變更:[封鎖] 可防止使用者變更裝置擁有者建立 Wi-Fi 設定。 使用者可以建立自己的 Wi-Fi 配置。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者變更裝置上的 Wi-Fi 設定。
USB 儲存:選擇 允許以 存取裝置上的 USB 儲存。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會阻止存取 USB 儲存體。
網路逃生艙:啟用允許使用者開啟網路逃生艙功能。 如果裝置開機時未建立網路連線,則逃生區會要求暫時連線至網路並重新整理裝置原則。 套用原則之後,會忘記暫存網路,且裝置會繼續開機。 如果出現以下情況,此功能會將裝置連線到網路:
- 最後一個政策中沒有合適的網路。
- 裝置會以鎖定工作模式開機進入應用程式。
- 使用者無法存取裝置設定。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者開啟裝置上的網路逃生艙口功能。
通知視窗:設定為 [ 停用] 時,視窗通知 (包括快顯通知、來電、撥出通話、系統警示和系統錯誤) 不會顯示在裝置上。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示通知。
注意事項
如果 [通知視窗] 設定為 [ 停用],則相依於 [重迭] 權限的任何設定都不會如預期般運作。 這包括虛擬主頁按鈕、螢幕保護程式和受控主畫面上的自動登出等功能。
略過首次使用提示: 啟用 隱藏或略過逐步執行教學課程的應用程式的建議,或在應用程式啟動時提供提示。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在應用程式啟動時顯示這些建議。
完全受控和公司擁有的工作配置檔裝置
- 尋找裝置: 允許可 讓管理員使用遠端動作來尋找遺失或被盜的裝置。 設定為 [允許] 時,終端使用者會收到一次性通知,指出 Intune 具有位置許可權。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用地理位置來定位裝置。
完全受控和專用裝置僅 (kiosk 模式)
電源按鈕功能表:當使用者在 Kiosk 模式中按住電源按鈕時, 封鎖會 隱藏電源選項。 隱藏這些選項可防止使用者意外或故意關閉裝置。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當使用者按住裝置上的電源按鈕時,會顯示電源選項,例如重新啟動和關閉電源。
此設定適用於:
- Android 9.0 和更新版本
系統錯誤警告:允許 在資訊亭模式下在螢幕上顯示系統警告,包括無回應的應用程式和系統警告。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會隱藏這些警告。 當其中一個事件發生時,系統會強制關閉應用程式。
此設定適用於:
- Android 9.0 和更新版本
啟用系統導航功能:允許用戶在 kiosk 模式下訪問設備主頁和概覽按鈕。 選項包括:
未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會停用裝置首頁和概觀按鈕。
僅限主頁按鈕:使用者可以看到並選取主頁按鈕。 他們無法看到或選取概觀按鈕。
首頁和概觀按鈕:使用者可以查看和選取首頁和概觀按鈕。
當裝置註冊並使用受控主畫面應用程式時,啟用概觀按鈕可讓使用者略過或忽略登入和工作階段 PIN 畫面。 畫面仍會顯示,但使用者可以忽略它們,而且不需要輸入任何內容。
此設定適用於:
- Android 9.0 和更新版本
系統通知和資訊:允許使用者存取裝置狀態列,並在 kiosk 模式時接收來自狀態列的通知。 選項包括:
未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會停用狀態列,並停用狀態列上的通知。
在裝置的狀態列中顯示系統資訊:使用者可以在狀態列上看到系統資訊。 使用者無法從狀態列看到或接收通知。
在裝置的狀態列中顯示系統通知和資訊:使用者可以查看系統資訊,並從狀態列接收通知。 若要查看通知,請使用 [已啟用的系統導覽功能] 設定來啟用裝置主頁按鈕。
在 Kiosk 裝置上,如果您不想收到通知聲音或震動,請勿啟用此設定。 如果您想要通知聲音或振動,請啟用此設置。
當裝置註冊並使用受控主畫面應用程式時,啟用系統通知可讓使用者略過或忽略登入和工作階段 PIN 畫面。 畫面仍會顯示,但使用者可以忽略它們,而且不需要輸入任何內容。
此設定適用於:
- Android 9.0 和更新版本
使用者存取裝置設定: [封鎖] 可 防止使用者存取 [設定] 應用程式,並防止其他處於 Kiosk 模式的應用程式開啟 [設定] 應用程式。 如果裝置是資訊站,請將此設定設定為 封鎖。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者存取 [設定],並允許 Kiosk 模式中的應用程式開啟 [設定] 應用程式。
此設定適用於:
- Android 9.0 和更新版本
專用設備
- 定位裝置: 封鎖可 防止管理員使用遠端動作來尋找遺失或被盜的裝置。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用地理位置來定位裝置。
公司擁有的工作配置檔裝置
透過藍牙 (工作配置檔層級) 共用連絡人 : 選取 [封鎖] 可 防止使用者透過藍牙與裝置共用其工作配置檔連絡人。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,作業系統可能允許使用者透過藍牙共用其連絡人。
搜尋工作連絡人並在個人設定檔中顯示工作連絡人來電顯示:在個人設定檔中, 封鎖可 防止使用者搜尋工作連絡人,並顯示工作來電顯示資訊。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許搜尋工作連絡人,並顯示工作來電者識別碼。
在工作和個人設定檔之間複製和貼上:允許可讓使用者在工作和個人設定檔之間複製和貼上資料。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,作業系統可能會:
- 防止使用者將工作設定檔中的文字貼到個人設定檔中。
- 允許使用者從個人設定檔複製文字,並貼到工作設定檔中。
- 允許使用者從工作配置檔複製文字,並貼到工作配置檔中。
工作和個人設定檔之間的資料共用:選擇是否可以在工作和個人設定檔之間共用資料。 選項包括:
- 裝置預設值:Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者與個人設定檔共用工作設定檔中的資料。 個人設定檔中的資料可以在工作設定檔中共用。
- 封鎖設定檔之間的所有共用:防止使用者在工作和個人設定檔之間共用資料。
- 封鎖從工作共用到個人設定檔:防止使用者與個人設定檔共用工作設定檔中的資料。 個人設定檔中的資料可以與工作設定檔共用。
- 共享無限制:可以在工作和個人資料之間共享數據。
系統安全性
應用程式威脅掃描: 需要 (預設) 讓 Google Play 安全防護在安裝應用程式之前和之後掃描應用程式。 如果偵測到威脅,它可能會警告使用者從裝置中刪除該應用程式。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。 根據預設,作業系統可能不會啟用或執行 Google Play 保護機制來掃描應用程式。
通用準則模式: 需要啟用 一組提升的安全性標準,這些標準最常用於高度敏感的組織,例如政府機構。 這些設定包括但不限於:
- 藍牙長期金鑰的 AES-GCM 加密
- Wi-Fi 組態存放區
- 阻止引導加載程序下載模式,軟件更新的手動方法
- 強制要求在金鑰刪除時進行額外的金鑰歸零
- 防止未經身份驗證的藍牙連接
- 要求 FOTA 更新具有 2048 位元 RSA-PSS 簽章
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
進一步了解通用標準:
- commoncriteriaportal.org 年資訊科技安全評估的通用標準
- CommonCriteriaMode 中的 Android Management API 文件。
- 諾克斯深入探討:samsungknox.com 的通用標準模式
裝置體驗
使用這些設定,在專用或完全受控裝置上設定 Kiosk 樣式體驗,或在完全受控裝置上自訂主畫面體驗。 如果您不確定要設定哪個體驗,請為 Android Enterprise 公司擁有的裝置選取主畫面體驗 部落格,可能會有所協助。
裝置體驗類型:選取裝置體驗類型,以開始在裝置上設定 Microsoft Launcher 或 Microsoft 受控主畫面。 選項包括:
未設定:Intune 不會變更或更新此設定。 根據預設,使用者可能會看到裝置的預設主畫面體驗。
Kiosk 模式 (專用且完全受控的) :在專用且完全受控的裝置上設定 Kiosk 樣式體驗。 您可以將裝置設定為執行一個應用程式,或執行多個應用程式。 當裝置設定為 Kiosk 模式時,只有您新增的應用程式可供使用。 在配置這些設定之前,請務必 在裝置上新增並 指派 您想要的應用程式。
當您在單一應用程式或多應用程式) 使用資訊站模式 (時,預設情況下,平台會停用熟悉的使用者介面和工作流程。 其中一些功能可以在 OS 9 及更高版本上重新啟用。 例如,當裝置在 Kiosk 狀態下運作時,系統會變更一些行為,包括:
裝置的狀態列會從檢視中移除。 系統資訊和通知對最終使用者隱藏。
裝置導覽按鈕 (例如首頁和概觀按鈕) 會停用,並從檢視中移除。
裝置的鎖定畫面(如鑰匙保護裝置)已停用。
若要使用撥號器 & 電話應用程式,或讓您的使用者在 Kiosk 模式中接收推播通知,請使用本文) 中的 [完全受控] 和 [專用裝置] (Kiosk 模式> [已啟用的系統導覽功能 (] 搭配 [主頁] 按鈕選項) 和系統通知和資訊設定 (。 這些功能適用於運行 9.0 及更高版本的 Android 裝置。
在 OS 9 和更新版本上,本文中的 裝置密碼>停用鎖定畫面 () 設定會管理裝置的鎖定畫面行為。
注意事項
Kiosk 模式不會阻止 Kiosk 應用程式啟動裝置上安裝的其他應用程式,包括裝置的 [設定 ] 應用程式。 系統管理員應確保在 Kiosk 模式下啟用的所有應用程式都不會啟動使用者不應存取的其他應用程式。 並且,卸載設備上不需要的任何應用程序。
資訊站模式:您的選擇:
未設定:Intune 不會變更或更新此設定。
單一應用程式:選取此選項可執行一個應用程式。 當使用者在裝置上時,他們只能存取您選取的應用程式。 當裝置啟動時,只有特定應用程式才會啟動。 用戶被限制更改正在運行的應用程序。
選取要用於 Kiosk 模式的應用程式:從清單中選取 Managed Google Play 或 Android Enterprise 系統應用程式。 針對單一應用程式專用和完全受控裝置,您選取的應用程式 必須是:
指派給為您的專用或完全託管裝置建立的裝置群組。
注意事項
在完全託管的設備上,唯一應用的選定應用程序是受控主畫面。 所有其他應用程式都會被視為必要應用程式。
多應用程式:選取此選項可執行許多應用程式。 使用者可以存取裝置上的一組有限的應用程式。 當裝置啟動時,只有您新增的應用程式才會啟動。 您也可以新增一些使用者可以開啟的 Web 連結。 套用原則時,使用者會在主畫面上看到允許應用程式的圖示。
如果是多應用程式專用和完全受管裝置,設定設定檔中不需要有受控主畫面應用程式,但 Google Play 的受控主畫面應用程式必須符合下列條件:
- 已新增至 Intune。
- 指派給為您的專用或完全託管裝置建立的裝置群組。
此外,您想要從受控主畫面啟動的任何套件都必須是:
- 已新增至 Intune。
- 指派給為您的專用或完全託管裝置建立的裝置群組。
加入「受控主畫面」App 時,你在設定描述檔中加入的任何其他已安裝 App 都會在「受控主畫面」App 上顯示為圖示。
如需受控主畫面的詳細資訊,請參閱在多應用程式 Kiosk 模式中的專用和完全受控裝置上設定 Microsoft 受控主畫面。
注意事項
部分受控主畫面設定可在裝置限制原則中使用。 若要檢視和使用受控主畫面的所有可用設定,請建立受控主畫面應用程式組態原則。
自訂應用程式版面配置:啟用可讓您將應用程式和資料夾放在受控主畫面上的不同位置。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。 根據預設,你新增的 App 和資料夾會依字母順序顯示在主畫面上。
網格大小:選擇主屏幕的大小。 應用程式或資料夾會在網格上佔據一個位置。
主畫面:選取新增按鈕,然後從清單中選取應用程式。 選擇 文件夾 選項以創建文件夾,輸入 文件夾名稱,然後將應用程序從列表中添加到文件夾中。
當您新增項目時,請選取內容功能表以移除項目,或將它們移動到不同的位置:
新增:從清單中選取您的應用程式。
如果未列出受控主畫面應用程式,請從 Google Play 新增。 請務必將 應用程式指派 給為您的專用或完全託管裝置建立的裝置群組。
您也可以將貴機構建立的其他 Android 應用程式 和 網路應用程式 新增至裝置。 請務必將 應用程式指派給為您的專用或完全託管裝置建立的裝置群組。
重要事項
- 在多應用程式模式中,原則中的每個應用程式都必須是必要應用程式,而且必須指派給裝置。 如果應用程式不是必需的,或未指派,則裝置可以鎖定使用者,並顯示
Contact your IT admin. This phone will be erased.訊息。 - 在受控主畫面中新增的應用程式不會阻止啟動裝置上安裝的其他應用程式。 管理員應確保受控主畫面中允許的所有應用程式不會啟動使用者不應存取的其他應用程式。 並且,卸載設備上不需要的任何應用程序。
- 在多應用程式模式中,原則中的每個應用程式都必須是必要應用程式,而且必須指派給裝置。 如果應用程式不是必需的,或未指派,則裝置可以鎖定使用者,並顯示
設定離線應用程式存取: 核取可讓您 選取裝置連線到網路以登入時可用的應用程式。 當使用者因網路問題而無法登入時,可以存取這些應用程式,並且必須在網路存取恢復後登入。 此設定需要將 MHS 登入畫面 設定為 啟用。
設定應用程式存取而不登入:勾選可讓您選取使用者無需登入即可從登入畫面存取哪些應用程式。 這些應用程式可透過頂端列上的入口點使用,無論網路狀態如何。 此設定需要將 MHS 登入畫面 設定為 啟用。
鎖定主畫面: 啟用可 防止使用者移動應用程式圖示和資料夾。 它們是鎖定的,無法拖放到網格上的不同位置。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。 依預設,使用者可以移動這些項目。
資料夾圖示:選取受控主畫面上資料夾圖示的色彩和形狀。 選項包括:
- 尚未設定
- 深色主題矩形
- 深色主題圈
- 淺色主題矩形
- 淺色主題圈
應用程式和資料夾圖示大小:選取受控主畫面上資料夾圖示的大小。 選項包括:
尚未設定
超小
Small
一般
Large
非常大
根據螢幕尺寸,實際圖示大小可能會有所不同。
螢幕方向:選取受控主畫面在裝置上顯示的方向。 選項包括:
- 尚未設定
- Portrait
- 山水
- 自動旋轉
注意事項
Android 16 以上版本不支援具有較大外形尺寸 (600 dp) 和更大顯示設定的裝置 (例如平板電腦) 的這項設定。
應用程式通知徽章: 啟用 顯示 應用程式圖示上的新通知和未讀通知數量。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。
虛擬主畫面按鈕:軟鍵按鈕,可將使用者傳回受控主畫面,讓使用者可以在應用程式之間切換。 選項包括:
- 未設定 (預設) :不會顯示主畫面按鈕。 使用者必須使用後退按鈕才能在應用程式之間切換。
- 向上滑動:當使用者在裝置上向上滑動時,會顯示主頁按鈕。
- 浮動:在裝置上顯示一個持續的浮動主頁按鈕。
離開 Kiosk 模式: 啟用 可 讓系統管理員暫時暫停 Kiosk 模式以更新裝置。 若要使用此功能,管理員必須:
- 繼續選取 [返回] 按鈕,直到顯示 [ 退出資訊台 ] 按鈕為止。
- 選取 [ 結束 kiosk ] 按鈕,然後輸入 [離開 kiosk 模式代碼 PIN]。
- 完成後,選擇受控主畫面應用程式。 此步驟會將裝置重新鎖定為多應用程式資訊站模式。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會阻止系統管理員暫停 Kiosk 模式。 如果管理員繼續選取 [返回] 按鈕,並選取 [ 結束資訊台 ] 按鈕,則會顯示一則訊息,指出需要密碼。
離開 kiosk 模式代碼:輸入 4-6 位數字 PIN。 管理員使用此 PIN 暫時暫停 kiosk 模式。
設置自定義 URL 背景: 輸入一個 URL 以自定義專用或完全託管設備上的背景屏幕。 例如,輸入
http://contoso.com/backgroundimage.jpg。在大多數情況下,我們建議從至少以下尺寸的圖像開始:
- 電話:1080x1920 像素
- 平板電腦:1920x1080 像素
為了獲得最佳體驗和清晰的細節,請根據顯示規格建立每個裝置的影像資產。
現代顯示器具有更高的像素密度,可以顯示等效的 2K/4K 清晰度影像。
設定選單的捷徑:停用可隱藏受控主畫面上的「受控設定」捷徑。 使用者仍然可以從頂端列存取 「受管理設定」 功能表。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 依預設,「受管理的設定」捷徑會顯示在裝置上。 使用者可以選取設定圖示來存取設定。
快速存取偵錯功能表:此設定可控制使用者存取偵錯功能表的方式。 選項包括:
- 啟用:使用者可以更輕鬆地存取偵錯功能表。 具體來說,他們可以從「託管設定」選單存取它。 與往常一樣,他們可以繼續選擇後退按鈕 15 次。
- 未設定 (預設) :Intune 不會變更或更新此設定。 依預設,會關閉對偵錯功能表的輕鬆存取。 使用者必須選取後退按鈕 15 次,才能開啟偵錯功能表。
在偵錯功能表中,使用者可以:
- 查看和上傳受控主畫面記錄
- 開啟 Google 的 Android Device Policy Manager 應用程式
- 開啟 Microsoft Intune 應用程式
- 結束 kiosk 模式
Wi-Fi 配置:啟用 顯示受控主畫面上的 Wi-Fi 控制,並允許用戶將設備連接到不同的 WiFi 網絡。 啟用此功能也會開啟裝置位置。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在受控主畫面上顯示 Wi-Fi 控制項。 它會防止使用者在使用受控主畫面時連接到 Wi-Fi 網路。
Wi-Fi 允許清單:建立有效無線網路名稱的清單,也稱為服務集識別碼 (SSID) 。 受控主畫面使用者只能連線到您輸入的 SSID。
Wi-Fi SSID 區分大小寫。 如果 SSID 有效,但您輸入的大小寫與網路名稱不符,則不會顯示網路。
保留空白時,Intune 不會變更或更新此設定。 依預設,允許所有可用的 Wi-Fi 網路。
匯入 包含有效 SSID 清單的 .csv 檔案。
將目前清單匯出至 .csv 檔案。
SSID:您也可以輸入受控主畫面使用者可以連線 (SSID) Wi-Fi 網路名稱。 請務必輸入有效的 SSID。
重要事項
在 2020 年 10 月版本中,受控主畫面 API 已更新,以符合 Google Play 商店需求。 下列變更會影響受控主畫面中的 Wi-Fi 組態原則:
使用者無法在裝置上啟用或停用 Wi-Fi 連線。 使用者可以在 Wi-Fi 網路之間切換,但無法開啟或關閉 Wi-Fi。
如果 Wi-Fi 網路受密碼保護,則使用者必須輸入密碼。 輸入密碼後,配置的網路會自動連線。 如果他們中斷連線,然後重新連線到 Wi-Fi 網路,則使用者可能需要再次輸入密碼。
在 Android 11 裝置上,當使用者使用受控主畫面連線至網路時,系統會提示使用者同意。 此提示來自 Android,並非受控主畫面專屬。
在 Android 10 裝置上,當使用者使用受控主畫面連線至網路時,系統會提示使用者同意。 因此,用戶需要訪問狀態欄和同意通知。 若要啟用系統通知,請參閱本文) 中 (的完全受控和專用裝置的一般設定 。
在 Android 10 裝置上,當使用者使用受控主畫面連線到受密碼保護的 Wi-Fi 網路時,系統會提示他們輸入密碼。 如果設備連接到不穩定的網絡,則 Wi-Fi 網絡會發生變化。 即使使用者輸入正確的密碼,也會發生此行為。
藍牙設定:啟用 會在受控主畫面上顯示藍牙控制項,並允許使用者透過藍牙配對裝置。 啟用此功能也會開啟裝置位置。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在受控主畫面上顯示藍牙控制項。 它會防止使用者在使用受控主畫面時設定藍牙和配對裝置。
對於在 Android 10+ 上執行並使用受控主畫面的裝置,若要在需要配對金鑰的裝置上成功進行藍牙配對,管理員必須啟用下列 Android 系統應用程式:
- 安卓系統藍牙
- Android系統設置
- Android 系統 UI
如需如何啟用 Android 系統應用程式的詳細資訊,請移至: 管理 Android Enterprise 系統應用程式
手電筒存取:啟用 會在受控主畫面上顯示手電筒控制項,並允許使用者開啟或關閉手電筒。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在受控主畫面上顯示手電筒控制項。 它會防止使用者在使用受控主畫面時使用手電筒。
媒體音量控制:啟用 在受控主畫面上顯示媒體音量控制,並允許使用者使用滑桿調整裝置的媒體音量。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在受控主畫面上顯示媒體音量控制項。 它會防止使用者在使用受控主畫面時調整裝置的媒體音量,除非其硬體按鈕支援。
快速存取裝置資訊:啟用可讓使用者向下滑動以在受控主畫面上查看裝置資訊,例如序號、品牌和型號以及 SDK 層級。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 依預設,可能不會顯示裝置資訊。
螢幕保護程式模式:啟用 當裝置鎖定或逾時時,會在受控主畫面上顯示螢幕保護程式。設定為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在受控主畫面上顯示螢幕保護程式。
啟用時,還配置:
設置自定義屏幕保護程序圖像: 輸入自定義 PNG、JPG、JPEG、GIF、BMP、WebP 或 ICOimage 的 URL。 如果您未輸入 URL,則會使用裝置的預設影像 (如果有預設影像)。
例如,輸入:
http://www.contoso.com/image.jpgwww.contoso.com/image.bmphttps://www.contoso.com/image.webp
提示
支援任何可轉換為點陣圖的檔案資源 URL。
裝置在關閉螢幕之前顯示螢幕保護程式的秒數:選擇裝置顯示螢幕保護程式的時間長度。 輸入介於 0-9999999 秒之間的值。 預設值為
0秒。 如果留空,或) (0設為零,螢幕保護程式會處於作用中狀態,直到使用者與裝置互動為止。顯示螢幕保護程式之前裝置處於非作用中的秒數:選擇裝置在顯示螢幕保護程式之前閒置的時間。 輸入介於 1-9999999 秒之間的值。 預設值為
30秒。 您必須輸入大於零 (0) 的數字。在啟動螢幕保護程式之前偵測媒體:啟用預設 (如果裝置上正在播放音訊或視訊) 則不會顯示螢幕保護程式。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,作業系統可能會顯示螢幕保護程式,即使音訊或視訊正在播放也一樣。
受控主畫面會在鎖定畫面出現時啟動螢幕保護程式:
- 如果系統的鎖定畫面逾時時間長於裝置顯示螢幕保護程式的秒數,則螢幕保護程式會顯示,直到鎖定畫面出現為止。
- 如果系統的鎖定畫面逾時時間短於裝置處於非作用中的秒數,則螢幕保護程式會在裝置的鎖定畫面出現後立即顯示。
MHS 登入畫面 (僅限專用裝置) :啟用 會在受控主畫面上顯示登入畫面。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 此登入畫面和相關設定適用於註冊 Microsoft Entra 共用裝置模式的專用裝置。
啟用時,還配置:
- 設置登錄屏幕的自定義 URL 背景: 輸入登錄屏幕的 URL 背景的 URL。 必須啟用登入畫面才能設定此設定。
- 設定登入畫面和工作階段 Pin 頁面的自訂 URL 品牌標誌: 輸入登入畫面和工作階段 Pin 頁面的 URL 品牌標誌。
-
要求使用者設定登入工作階段的 PIN:設定為 [啟用] 時,使用者必須設定其登入工作階段的 PIN。 當設定為 [ 未設定 ] (預設) 時,使用者不需要設定 PIN。 必須啟用此設定才能顯示子設定。
選擇登入工作階段的 PIN 複雜度:選取工作階段 PIN 的複雜度。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 根據預設,MHS 需要會話 PIN 中至少一個字元。
- 簡單:需要數字。 重複 444) 或 (123、321、246) 序列重複 (沒有限制。
- 複雜:允許使用者建立包含字母數字字元的 PIN。 無法使用重複 (444) 或 (123、321、246) 序列排序。
如需此設定的詳細資訊,請參閱建立受控主畫面應用程式設定原則時工作階段 PIN 的複雜性。
如果螢幕保護程式已出現,則要求使用者輸入工作階段 PIN:選取 [啟用] 以要求使用者輸入其工作階段 PIN,才能在螢幕保護程式顯示後繼續使用受控主畫面。
-
閒置後自動登出 MHS 和共用裝置模式應用程式:選取 [啟用] 以根據閒置自動登出受控主畫面。 必須啟用此設定才能顯示子設定。
- 裝置在自動登出使用者之前處於非作用中的秒數:定義使用者自動從受控主畫面登出之前的閒置時間(以秒為單位)。 依預設,此值會設定為 300 秒。
- 在自動登出使用者之前通知使用者的秒數:定義使用者在自動登出受控主畫面之前,可以選擇繼續工作階段的時間量 (以秒為單位)。 依預設,此值會設定為 60 秒。
注意事項
部分受控主畫面設定可在裝置限制原則中使用。 若要檢視和使用受控主畫面的所有可用設定,請建立受控主畫面應用程式組態原則。
Microsoft Launcher (完全受控) :在完全受管的裝置上設定Microsoft Launcher 應用程式。 此選項最適合應為終端使用者提供裝置上所有應用程式和設定的存取權的裝置。
將 Microsoft Launcher 設為預設啟動器: 啟用會將 Microsoft Launcher 設定為主畫面上的預設啟動器。 如果您將啟動器設為預設值,則使用者無法使用其他啟動器。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,Microsoft 啟動器不會強制作為預設啟動器。
設定自訂桌布:在 Microsoft Launcher 應用程式中, 啟用可讓您 將自己的影像套用為主畫面桌布,並選擇使用者是否可以變更影像。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 預設情況下,裝置會保留其目前的桌布。
-
輸入壁紙圖像的 URL: 輸入您的壁紙圖像的 URL。 此影像顯示在裝置主畫面上。 例如,輸入
http://www.contoso.com/image.jpg。 - 允許使用者修改桌布: 啟用可 讓使用者變更桌布影像。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,系統會阻止使用者變更桌布。
-
輸入壁紙圖像的 URL: 輸入您的壁紙圖像的 URL。 此影像顯示在裝置主畫面上。 例如,輸入
啟用啟動器摘要: 啟用可 開啟啟動器摘要,顯示行事曆、文件和最近的活動。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,不會顯示此摘要。
- 允許使用者啟用/停用摘要: 啟用可 讓使用者啟用或停用啟動器摘要。 啟用 只會 在第一次指派設定檔時強制執行此設定。 任何未來的設定檔指派都不會強制執行此設定。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,系統會阻止使用者變更啟動器摘要設定。
Dock 存在:Dock 讓使用者可以快速存取他們的應用程式和工具。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 顯示:擴充座會顯示在裝置上。
- 隱藏:停靠被隱藏。 用戶必須向上滑動才能訪問擴展塢。
- 已停用:擴充座不會顯示在裝置上,而且使用者無法顯示它。
允許使用者變更停駐狀態: 啟用可 讓使用者顯示或隱藏停駐。 啟用 只會 在第一次指派設定檔時強制執行此設定。 任何未來的設定檔指派都不會強制執行此設定。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,不允許使用者變更裝置停靠站設定。
搜尋列替換: 選擇搜索列的放置位置。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 頂部:搜索欄顯示在設備頂部。
- 底部:搜尋列顯示在裝置底部。
- 隱藏:搜尋列已隱藏。
裝置密碼
完全受控、專用和公司擁有的工作設定檔裝置
所需的密碼類型:輸入所需的密碼複雜程度,以及是否可以使用生物辨識裝置。 選項包括:
裝置預設值 (預設) :設定為 裝置預設值時,大部分裝置都不需要密碼。 如果您想要求使用者在其裝置上設定密碼,請將此設定設定為比 裝置預設值更安全。
需要密碼,無限制
弱生物識別: 強生物識別與弱生物識別 (打開 Android 的網站)
數字:密碼只能是數字,例如
123456789。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
數字複合數:不允許重複或連續的數字,例如
1111或1234。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
字母:字母表中的字母是必填的。 不需要數字和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
英數字元:包括大寫字母、小寫字母和數字字元。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
含符號的英數字元:包括大寫字母、小寫字母、數字字元、標點符號和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
- 所需字元數:輸入密碼必須包含的字元數,介於 0 到 16 個字元之間。
- 所需的小寫字元數:輸入密碼必須包含的小寫字元數,介於 0 到 16 個字元之間。
- 所需的大寫字元數:輸入密碼必須包含的大寫字元數,介於 0 到 16 個字元之間。
- 所需的非字母字元數:輸入密碼必須包含的非字母 (字母表中除字母以外的任何字母) 數量,介於 0 到 16 個字元之間。
-
所需的數字字元數:輸入密碼必須具有的數字字元數 (
1、2、3等,介於 0 到 16 個字元之間) 。 -
所需的符號字元數:輸入密碼必須具有的符號字元數 (
&#%、、 等,介於 0 到 16 個字元之間) 。
密碼到期前的天數:輸入必須變更裝置密碼之前的天數,範圍為 1-365。 例如,輸入
90可在 90 天後使密碼過期。 當密碼到期時,系統會提示使用者建立新密碼。 當值為空白時,Intune 不會變更或更新此設定。使用者重複使用密碼之前所需的密碼數目:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用但無法使用的密碼數目,範圍為 1 到 24。 例如,輸入
5,讓使用者無法將新密碼設定為目前的密碼或先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。抹除裝置前登入失敗的次數:輸入抹除裝置之前允許的錯誤密碼數目,從 4 到 11。 當值為空白時,Intune 不會變更或更新此設定。
注意事項
系統不會提示使用完全受控和公司擁有的工作配置檔裝置上的使用者設定密碼。 這些設定是必要的,但可能不會通知使用者。 使用者需要手動設定密碼。 原則會報告為失敗,直到使用者設定符合您需求的密碼為止。
若要在裝置註冊期間套用裝置密碼設定,請將裝置限制設定檔指派給使用者, (不) 篩選器 。 請勿將設定檔指派給裝置。 在註冊期間,系統會要求使用者設定螢幕鎖定。 然後,他們必須選擇符合此裝置限制設定檔中所有需求的裝置密碼。
在專用裝置上,如果裝置設定為單一或多應用程式 Kiosk 模式,則系統會提示使用者設定密碼。 螢幕會強制並引導使用者建立合規密碼,然後才能繼續使用裝置。
在未使用 kiosk 模式的專用裝置上,使用者不會收到任何密碼需求的通知。 使用者需要手動設定密碼。 原則會報告為失敗,直到使用者設定符合您需求的密碼為止。
停用鎖定畫面功能:當裝置鎖定時,選擇無法使用的功能。 例如,勾選安全 相機 時,裝置上的相機功能會停用。 任何未選中的功能都會在裝置上啟用。
當裝置鎖定時,使用者可以使用這些功能。 使用者不會看到或存取您檢查的功能。
- 在公司擁有的工作配置檔裝置上,只能停用未 編輯的通知、 信任代理程式和 指紋解鎖 。
- 如果使用者關閉裝置上的 [ 使用一個鎖定 ] 設定,則停用 指紋解鎖 和停用信任 代理程式 會套用在公司擁有的工作資料夾層級。 如果使用者開啟 「使用單一鎖定 」設定,則停用 指紋解鎖 和停用 信任代理程式 會套用在裝置層級。
所需的解鎖頻率:強式驗證是指使用者使用密碼、PIN 或圖案解鎖裝置。 非強身份驗證方法是當用戶使用某些生物識別選項(例如指紋或面部掃描)解鎖設備時。
選取使用者需要多長時間才能使用強式驗證方法解除鎖定裝置。 選項包括:
- 裝置預設 (預設) :螢幕會使用裝置的預設時間鎖定。
- 自上次 PIN、密碼或圖案解鎖後 24 小時:在使用者上次使用強式驗證方法解鎖裝置後 24 小時,螢幕會鎖定。 達到逾時時,會停用非強式驗證方法,直到使用強式驗證解除鎖定裝置為止。
2.3.4 進階密碼管理:強認證需要逾時 (開啟 Android 網站)
完全託管和專用設備
- 停用鎖定畫面: 停用會 封鎖所有 Keyguard 鎖定畫面功能。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置處於鎖定畫面時,OS 可能會允許所有 Keyguard 功能,例如相機、指紋解除鎖定等等。
電源設定
完全受控、專用和公司擁有的工作設定檔裝置
-
鎖定螢幕 (工作設定檔層級) 的時間 :輸入使用者在裝置鎖定之前可以設定的最長時間。 例如,如果您將此設定設為
10 minutes,則使用者可以將時間設定為 15 秒到 10 分鐘。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
完全託管和專用設備
- 裝置插入電源時螢幕開啟:選擇哪些電源會導致裝置螢幕在插入電源時保持開啟狀態。
使用者和帳戶
完全受控、專用和公司擁有的工作設定檔裝置
- 新增使用者: 選取 [封鎖] 可 防止使用者新增使用者。 每個使用者在裝置上都有一個個人空間,用於自訂主畫面、帳戶、應用程式和設定。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者將其他使用者新增至裝置。
- 使用者可以設定認證 (工作設定檔層級) : 封鎖 可 防止使用者設定指派給裝置的憑證,即使是未與使用者帳戶相關聯的裝置也一樣。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 依預設,作業系統可能會讓使用者在金鑰儲存庫中存取其認證時,配置或變更其認證。
完全託管和專用設備
- 使用者移除: 封鎖可 防止使用者移除使用者。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者從裝置移除其他使用者。
- 個人 Google 帳戶:封鎖可防止使用者將其個人 Google 帳戶新增至裝置。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者新增其個人 Google 帳戶。
專用設備
- 帳戶變更: [封鎖] 可 防止使用者在資訊站模式下更新或變更帳戶。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者更新裝置上的使用者帳戶。
應用程式
完全受控、專用和公司擁有的工作設定檔裝置
注意事項
如果您想啟用側載,請將 允許從未知來源安裝 和 允許存取 Google Play 商店中的所有應用程式 設定設定為 允許。
允許從未知來源安裝:允許可讓使用者開啟未知來源。 此設定允許應用程式從未知來源安裝,包括 Google Play 商店以外的來源。 它允許用戶使用 Google Play 商店以外的方式在設備上側加載應用程序。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者開啟 未知來源。
應用程式自動更新 (工作設定檔層級) :裝置每天檢查應用程式更新。 選擇安裝自動更新的時間。 選項包括:
- 未設定:Intune 不會變更或更新此設定。
- 使用者選擇:OS 可能會預設為此選項。 使用者可以在 Google Play 管理應用程式中設定偏好設定。
- 從不:永遠不會安裝匯報。 不建議使用此選項。
- 僅限 Wi-Fi:只有在裝置連接到 Wi-Fi 網路時才會安裝匯報。
- 一律:匯報會在可用時安裝。
允許存取 Google Play 商店中的所有應用程式:
當設定為 封鎖時:
- 使用者無法存取 Google Play 商店中的應用程式。 他們無法存取新增至貴機構受管理 Google Play 帳戶的任何私人應用程式。
- 只會顯示受控 Google Play 商店中已核准的應用程式、必要的應用程式,以及指派給使用者的應用程式。
- 解除安裝在受管理 Google Play 商店外部的應用程式。
警告
如果您將此設定從 「允許」 變更為 「封鎖」,則任何未標示為 「必要」 或 「可用」 的應用程式都會自動從裝置解除安裝。
設定為 允許時:
- 使用者可以存取 Google Play 商店中的所有應用程式,以及新增至貴機構受管理 Google Play 帳戶的任何私人應用程式。
- 請務必指定任何具有解除安裝意圖的私人或公開) (應用程式,或使用者從受管理的 Google Play 商店安裝的應用程式。
- 使用者無法使用已新增至封鎖清單的應用程式, (在具有工作設定檔的公司擁有裝置的個人設定檔上指派解除安裝意圖) 應用程式。
如要進一步瞭解如何從特定應用程式中排除使用者和群組,請參閱「包含和排除應用程式指派項目」。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 預設情況下,作業系統:
- 只會顯示受控 Google Play 商店中已核准的應用程式、必要的應用程式,以及指派給使用者的應用程式。
下列設定是 Google 委派範圍功能的一部分:
允許其他應用程式安裝和管理憑證:選取 [ 新增 ] 以選取此權限的現有應用程式。 您可以新增多個應用程式。 所選應用程式被授予安裝和管理憑證的存取權。
如要使用這項設定,您的 Google Play 受管理應用程式必須使用委派範圍。 如需詳細資訊,請移至 Android 的內建應用程式設定 和 Android 委派範圍 , (開啟 Android 網站) 。
允許此應用程式存取 Android 安全性記錄:選取應具有此權限的應用程式。 您只能選擇一個應用程式。 應用程式被授予對安全日誌的存取權限。
如要使用這項設定,您的 Google Play 受管理應用程式必須使用委派範圍。 如需詳細資訊,請移至 Android 的內建應用程式設定 和 Android 委派範圍 , (開啟 Android 網站) 。
允許此應用程式存取 Android 網路活動日誌:選取應具有此權限的應用程式。 您只能選擇一個應用程式。 應用程式被授予對網路活動日誌的存取權限。
如要使用這項設定,您的 Google Play 受管理應用程式必須使用委派範圍。 如需詳細資訊,請移至 Android 的內建應用程式設定 和 Android 委派範圍 , (開啟 Android 網站) 。
提示
如果與其中一個設定發生衝突,則衝突會套用至所有三個設定。 請務必將「 允許此應用程式存取 Android 安全性記錄」 和 「允許此應用程式存取 Android 網路活動記錄」 權限授予一個應用程式。 您可以將這些權限授予相同的應用程式,但不能授予不同的應用程式。
如需詳細資訊,請移至 Android 管理 API - DelegatedScope (開啟 Google 網站) 。
專用設備
清除未針對共用裝置模式最佳化的應用程式中的本機資料:將任何未針對共用裝置模式最佳化的應用程式新增至清單。 每當使用者登出針對共用裝置模式最佳化的應用程式時,應用程式的本機資料就會被清除。 適用於已註冊執行 Android 9 以上版本的共用模式的專用裝置。
當您使用此設定時,使用者無法從未最佳化的應用程式起始登出,也無法取得單一登出。
- 使用者必須登出針對共用裝置模式最佳化的應用程式。 針對 Android 上的共用裝置模式進行最佳化的 Microsoft 應用程式包括 Teams 和 Intune 的受控主畫面。
- 對於未針對共用裝置模式最佳化的應用程式,刪除應用程式資料只會延伸至本機應用程式儲存空間。 數據可以留在設備的其他區域。 使用者識別成品 (例如電子郵件地址和使用者名稱) 可能會留在應用程式上,並被其他人看到。
- 提供多個帳戶支援的未最佳化應用程式可能會表現出不確定的行為,因此不建議使用。
所有未優化的應用程式都應先徹底測試,才能在共用裝置上的多使用者案例中使用,以確保它們如預期般運作。 例如,驗證每個應用程式中的核心案例、確認應用程式已正確登出,以及所有資料都已充分清除以滿足組織的需求。
連線能力
完全受控、專用和公司擁有的工作設定檔裝置
Always-on VPN (工作設定檔層級) : 啟用 會 設定 VPN 用戶端,以自動連線並重新連線到 VPN。 始終在線的 VPN 連接保持連接。 或者,當使用者鎖定其裝置、裝置重新啟動或無線網路變更時,立即連線。
選擇 [ 未設定] 以停用所有 VPN 用戶端的永遠開啟 VPN。
重要事項
請務必只將一個永遠在線的 VPN 原則部署到單一裝置。 不支援將多個永遠開啟的 VPN 原則部署至單一裝置。
VPN 用戶端:選擇支援 Always On 的 VPN 用戶端。 選項包括:
- 思科AnyConnect
- F5 訪問
- Palo Alto Networks 全球保護
- 脈衝安全
- 自訂
-
套件 ID:在 Google Play 商店中輸入應用程式的套件 ID。 例如,如果 Play 商店中應用程式的 URL 是
https://play.google.com/store/details?id=com.contosovpn.android.prod,則套件 ID 是com.contosovpn.android.prod。
-
套件 ID:在 Google Play 商店中輸入應用程式的套件 ID。 例如,如果 Play 商店中應用程式的 URL 是
您選擇的 VPN 用戶端必須安裝在裝置上,而且必須支援公司擁有的工作配置檔中的每個應用程式 VPN。 否則會發生錯誤。
- 您必須核准受 控 Google Play 市集中的 VPN 用戶端應用程式、將應用程式同步至 Intune,以及將應用程式部署至裝置。 完成這些步驟後,應用程式會安裝在使用者公司擁有的工作設定檔中。
- 您仍然需要使用 VPN 設定檔或透過 應用程式組態設定檔來設定 VPN 用戶端。
- 將每個應用程式的 VPN 與 F5 Access for Android 3.0.4 搭配使用時,可能會出現已知問題。 如需詳細資訊,請參閱 F5 的 F5 Access for Android 3.0.4 版本資訊。
鎖定模式: 啟用會強制 所有網路流量使用 VPN 通道。 如果未建立與 VPN 的連線,則裝置將無法存取網路。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許流量流經 VPN 通道或行動網路。
完全託管和專用設備
建議的全域 Proxy: 啟用 會 將全域 Proxy 新增至裝置。 啟用後,HTTP 和 HTTPS 流量會使用您輸入的 Proxy,包括裝置上的某些應用程式。 此代理僅供參考。 某些應用程式可能不會使用代理。 未設定 (預設) 不會新增建議的全域 Proxy。
如需這項功能的詳細資訊,請參閱 setRecommendedGlobalProxy (開啟 Android 網站) 。
啟用後,還輸入 Proxy 的 類型 。 選項包括:
直接:手動輸入代理伺服器詳細信息,包括:
- 主機:輸入代理伺服器的主機名稱或IP位址。 例如,輸入
proxy.contoso.com或127.0.0.1。 -
連接埠號碼:輸入代理伺服器使用的TCP連接埠號碼。 例如,輸入
8080。 - 排除的主機:輸入不會使用 Proxy 的主機名稱或 IP 位址清單。 此清單可以包含星號 (
*) 萬用字元,以及以分號分隔的多個主機 (;) ,沒有空格。 例如,輸入127.0.0.1;web.contoso.com;*.microsoft.com。
- 主機:輸入代理伺服器的主機名稱或IP位址。 例如,輸入
代理自動配置:輸入代理自動配置指令碼的 PAC URL 。 例如,輸入
https://proxy.contoso.com/proxy.pac。如需 PAC 檔案的詳細資訊,請參閱 Proxy 自動設定 (PAC) 檔案 (開啟非Microsoft站台) 。
如需這項功能的詳細資訊,請參閱 setRecommendedGlobalProxy (開啟 Android 網站) 。
工作設定檔密碼
這些設定適用於公司擁有的工作設定檔。
所需的密碼類型:輸入所需的密碼複雜程度,以及是否可以使用生物辨識裝置。 選項包括:
裝置預設值
需要密碼,無限制
弱生物識別: 強生物識別與弱生物識別 (打開 Android 的網站)
數字:密碼只能是數字,例如
123456789。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
數字複合數:不允許重複或連續的數字,例如
1111或1234。 另請輸入:- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
字母:字母表中的字母是必填的。 不需要數字和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
英數字元:包括大寫字母、小寫字母和數字字元。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
含符號的英數字元:包括大寫字母、小寫字母、數字字元、標點符號和符號。 另請輸入:
- 密碼長度下限:輸入密碼必須具有的最小長度,介於 4 到 16 個字元之間。
- 所需字元數:輸入密碼必須包含的字元數,介於 0 到 16 個字元之間。
- 所需的小寫字元數:輸入密碼必須包含的小寫字元數,介於 0 到 16 個字元之間。
- 所需的大寫字元數:輸入密碼必須包含的大寫字元數,介於 0 到 16 個字元之間。
- 所需的非字母字元數:輸入密碼必須包含的非字母 (字母表中除字母以外的任何字母) 數量,介於 0 到 16 個字元之間。
-
所需的數字字元數:輸入密碼必須具有的數字字元數 (
1、2、3等,介於 0 到 16 個字元之間) 。 -
所需的符號字元數:輸入密碼必須具有的符號字元數 (
&#%、、 等,介於 0 到 16 個字元之間) 。
密碼到期前的天數:輸入必須變更裝置密碼之前的天數,範圍為 1-365。 例如,輸入
90可在 90 天後使密碼過期。 當密碼到期時,系統會提示使用者建立新密碼。 當值為空白時,Intune 不會變更或更新此設定。使用者重複使用密碼之前所需的密碼數目:使用此設定可限制使用者建立先前使用的密碼。 輸入先前使用但無法使用的密碼數目,範圍為 1 到 24。 例如,輸入
5,讓使用者無法將新密碼設定為目前的密碼或先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。抹除裝置前登入失敗的次數:輸入抹除裝置之前允許的錯誤密碼數目,從 4 到 11。
0(零) 可能會停用裝置抹除功能。 當值為空白時,Intune 不會變更或更新此設定。注意事項
系統不會提示完全受控、專用和公司擁有的工作配置檔裝置設定密碼。 這些設定是必要的,但可能不會通知使用者。 使用者需要手動設定密碼。 原則會報告為失敗,直到使用者設定符合您需求的密碼為止。
必要的解除鎖定頻率:強式驗證是指使用者使用密碼、PIN 或圖案解除鎖定工作設定檔。 非強身份驗證方法是當用戶使用某些生物特徵選項(例如指紋或面部掃描)解鎖工作配置文件時。
選取使用者需要多長時間才能使用強式驗證方法解除鎖定工作設定檔。 選項包括:
- 裝置預設 (預設) :螢幕會使用裝置的預設時間鎖定。
- 自上次 PIN 碼、密碼或圖案解除鎖定後 24 小時:在使用者上次使用強式驗證方法解除鎖定工作配置檔後 24 小時,螢幕會鎖定。 達到逾時時,會停用非強式驗證方法,直到使用強式驗證解除鎖定工作設定檔為止。
2.3.4 進階密碼管理:強認證需要逾時 (開啟 Android 網站)
個人簡介
相機: 封鎖可 防止在個人使用期間存取相機。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許在個人設定檔中使用相機。
螢幕擷取: 區塊:
- 防止個人使用期間截屏
- 防止應用程式使用系統螢幕擷取功能。
- 影響螢幕共用。
當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者在個人設定檔中取得螢幕擷取或螢幕擷取畫面。
允許使用者在個人設定檔中啟用來自未知來源的應用程式安裝:選取 [允許], 讓使用者可以在個人設定檔中安裝來自未知來源的應用程式。 它允許用戶從 Google Play 商店以外的來源安裝應用程式。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者在個人設定檔中安裝來自未知來源的應用程式。
受限制的應用程式清單類型:選取 [允許應用程式] 以建立允許並核准在裝置上的個人設定檔中安裝和執行的受控 Google Play 應用程式清單。 選取 [封鎖的應用程式] 以建立禁止且無法在裝置上的個人設定檔中安裝和執行的受管理 Google Play 應用程式清單。 當設定為 [ 未設定 ] (預設) 時,Intune 不會包含要允許或封鎖的應用程式清單。
自訂支援資訊
使用這些設定,您可以自訂向使用者顯示的一些支援訊息,並以不同的語言顯示這些訊息。
依預設,會顯示 OEM 預設訊息。 當您使用 Intune 部署自訂訊息時,也會部署 Intune 預設訊息。 如果您未輸入裝置預設語言的自定義訊息,則會自動顯示 Intune 預設訊息。
根據預設,Intune 預設訊息是英文 (美國) 。
例如,您部署英文和法文的自訂訊息。 使用者將裝置的預設語言變更為西班牙文。 由於您未將自定義訊息部署至西班牙文,因此會顯示 Intune 預設訊息。
Intune 預設訊息會針對 Intune 系統管理中心 ([設定>] [語言 + 區域 ]) 中所有語言進行翻譯。 [語言] 設定值會決定 Intune 所使用的預設語言。 依預設,語言會設定為 英文。
您可以設定下列設定:
簡短支援訊息:當使用者嘗試變更組織所管理的設定時,會顯示簡短訊息。
使用下列設定,您可以自訂此訊息,並為不同的語言輸入不同的訊息。 依預設,此訊息為英文 (美國) 。
全部,除非指定:此訊息是 Intune 預設訊息,並針對所有語言顯示。 如果您未輸入自訂訊息,則會自動顯示此文字。 此文字也會自動翻譯成裝置的預設語言。
您可以變更此訊息。 任何變更都不會翻譯。 如果您刪除此訊息中的所有文字,並將此設定保留空白,則會使用下列原始簡短的 Intune 預設訊息,並進行翻譯:
You do not have permission for this action. For more information, contact your IT admin.選取地區設定:選取地區設定或區域,以顯示該特定地區設定的不同自訂訊息。
例如,若要在使用 西班牙文 作為預設語言的裝置上顯示自訂訊息,請選取 西班牙文 (西班牙) 。 只有使用 西班牙語 ( 西班牙語) 預設語言的裝置才能看到您的自訂訊息。 所有其他語言都會看到 全部 ,除非指定的 訊息文字。
您可以新增多個地區設定和訊息。
訊息:輸入您要顯示的文字,最多 200 個字元。 您輸入的文字不會翻譯成裝置的預設語言。 因此,如果您想用西班牙語顯示消息,請輸入西班牙語文本。
長支援訊息:在裝置上的「設定>安全性>」圖示 「裝置管理應用程式>」 「Device Policy」中,系統會顯示長長的支援訊息。
使用下列設定,您可以自訂此訊息,並為不同的語言輸入不同的訊息。 依預設,此訊息為英文 (美國) 。
全部,除非指定:此訊息是 Intune 預設訊息,並針對所有語言顯示。 如果您未輸入自訂訊息,則會自動顯示此文字,並自動翻譯成裝置的預設語言。
您可以變更此訊息。 任何變更都不會翻譯。 如果您刪除此訊息中的所有文字,並將此設定保留空白,則會使用下列原始長 Intune 預設訊息並翻譯:
The organization's IT admin can monitor and manage apps and data associated with this device, including settings, permissions, corporate access, network activity and the device's location information.選取地區設定:選取地區設定或區域,以顯示該特定地區設定的不同自訂訊息。
例如,若要在使用 西班牙文 作為預設語言的裝置上顯示自訂訊息,請選取 西班牙文 (西班牙) 。 只有使用 西班牙語 ( 西班牙語) 預設語言的裝置才能看到您的自訂訊息。 所有其他語言都會看到 全部 ,除非指定的 訊息文字。
您可以新增多個地區設定和訊息。
訊息:輸入您要顯示的文字,最多 4096 個字元。 您輸入的文字不會翻譯成裝置的預設語言。 因此,如果您想用西班牙語顯示消息,請輸入西班牙語文本。
鎖定畫面訊息:輸入您想要在裝置鎖定畫面上顯示的文字。
使用下列設定,您可以自訂此訊息,並為不同的語言輸入不同的訊息。 依預設,此訊息為英文 (美國) 。
全部 (指定除外):輸入您要針對所有語言顯示的文字,最多 4096 個字元。 此文字會自動翻譯成裝置的預設語言。 如果您未輸入自定義訊息,則 Intune 不會變更或更新此設定。 根據預設,OS 可能不會顯示鎖定畫面訊息。
選取地區設定:選取地區設定或區域,以顯示該特定地區設定的不同自訂訊息。
例如,若要在使用 西班牙文 作為預設語言的裝置上顯示自訂訊息,請選取 西班牙文 (西班牙) 。 只有使用 西班牙語 ( 西班牙語) 預設語言的裝置才能看到您的自訂訊息。 所有其他語言都會看到 全部 ,除非指定的 訊息文字。
您可以新增多個地區設定和訊息。
訊息:輸入您要顯示的文字,最多 4096 個字元。 您輸入的文字不會翻譯成裝置的預設語言。 因此,如果您想用西班牙語顯示消息,請輸入西班牙語文本。
當您設定 鎖定畫面訊息時,您也可以使用下列裝置權杖來顯示裝置特定資訊:
-
{{AADDeviceId}}:Microsoft Entra 裝置識別碼 -
{{AccountId}}:Intune 租用戶識別碼或帳戶識別碼 -
{{DeviceId}}:Intune 裝置識別碼 -
{{DeviceName}}:Intune 裝置名稱 -
{{domain}}:網域名稱 -
{{EASID}}:Exchange Active Sync ID -
{{IMEI}}:設備的 IMEI -
{{mail}}:使用者的 Email 位址 -
{{MEID}}:裝置的 MEID -
{{partialUPN}}:@ 符號之前的 UPN 前置詞 -
{{SerialNumber}}:設備序號 -
{{SerialNumberLast4Digits}}:裝置序號的最後四位數字 -
{{UserId}}:Intune 使用者識別碼 -
{{UserName}}:使用者名稱 -
{{userPrincipalName}}:使用者的UPN
注意事項
變數不會在 UI 中驗證,而且區分大小寫。 因此,您可以看到使用不正確的輸入儲存的設定檔。 例如,如果您輸入
{{DeviceID}},而不是{{deviceid}}或{{DEVICEID}},則會顯示常值字串,而不是裝置的唯一 ID。 請務必輸入正確的資訊。 支援所有小寫或所有大寫變數,但不能混合使用。
相關文章
- 指派設定檔 並 監視其狀態。
- 您也可以為 Android 和 Windows 裝置建立專用的裝置 Kiosk 設定檔。
- 在 Microsoft Intune 中設定 Android 企業裝置並進行疑難排解。