管理贵单位的移动应用

支持这些功能的版本(除非另有说明):“Frontline Starter”和“Frontline Standard”;商务新手版、商务标准版和商务 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版、教与学升级版、教育 Plus 版和教育端点管理升级;EssentialsEnterprise EssentialsEnterprise Essentials Plus;G Suite 基本版和 G Suite 商务版;Cloud Identity 免费版和 Cloud Identity 专业版。比较您的版本

作为管理员,您可以在 Google 管理控制台中将应用添加到 Web 应用和移动应用列表,从而控制 Android 和 iOS 设备用户可以为组织或学校查找和安装哪些应用。您可以添加公开应用(例如用于确保安全、开展业务和管理文档的第三方应用)和专用应用。虽然您可以在列表中添加付费的公开应用,但无法通过 Google 端点管理服务为您的用户批量购买应用。

本页内容

开始前须知:了解应用列表的运作方式

打开此部分  |  全部收起

要求

除非另有说明,否则下列功能需要启用高级移动设备管理才可使用。

  • 将 Android 应用设为受管理状态*
  • 将 iOS 应用设为受管理状态
  • 强制安装 Android 应用‡#
  • 禁止安装非受管 Android 应用
  • 禁止用户卸载 Android 应用
  • 允许 Android 应用快捷方式微件
  • 将 Android 应用设为 VPN 服务
  • 按群组或下级组织部门配置应用设置#

*基本移动设备管理也支持此功能

如果您管理的是 iOS 应用,那么贵单位的所有 iPhone 和 iPad 用户都必须安装 Google Device Policy 应用。

商务 Plus 版、企业版、G Suite 商务版和 Cloud Identity 专业版中的基本移动设备管理也支持此功能 注意:当用户将设备注册为归用户所有且未创建工作资料时,您无法向用户的个人设备分发应用。此设置模式(设备管理员模式)仅适用于 Android 9.0 及更早版本,且已弃用

#不适用于教育基础版

受管理 Android 应用的运作方式

管理体验

当您将应用添加到列表后,该应用会自动变为受管理的应用。如果用户安装受管理的应用,您便可更全面地控制该应用:

  • 您可以控制受管理应用的部分设置,例如应用是否会自动安装到设备上,以及用户是否可以卸载该应用。
  • 用户移除单位或学校账号后,系统会自动从设备上移除受管理的应用。
  • 如果有用户从单位离职或其设备丢失/被盗,您可以仅移除该用户的工作账号和受管理的应用,而无需擦除整个设备。了解详情
  • 如果您使用高级移动设备管理,则您可以对应用进行限制,让用户仅能使用组织或学校账号访问受管理的应用。

我们已预先将某些 Google 移动应用(例如 Gmail 和 Google 云端硬盘)添加到列表中。

用户体验

用户可以从 Google Play 企业版商店的“工作应用”标签页中获取应用。有关详情,请参阅在组织中使用 Google Play

设备上的受管理应用会显示公文包标记 ,以便与个人应用区分开来。

如果设备支持,并且您使用高级移动设备管理,请鼓励用户设置工作资料,从而将工作应用和个人应用区分开来。

受管理 iOS 应用的运作方式

管理体验

当您将某个公开 iOS 应用添加到应用列表并勾选将此应用设为受管理的应用后,您就可以强制执行应用管理,同时更全面地控制该应用。专用 iOS 应用会自动设为受管理的应用。

对于受管理的应用:

  • 如果有用户从单位离职或其设备丢失/被盗,您可以仅移除该用户的工作账号和受管理的应用,而无需擦除整个设备。了解详情
  • 只要用户不卸载 Google 移动设备的管理配置文件,您就可以管理用户设备上的应用。您可以将受管理的 iOS 应用设为在用户移除配置文件后自动从设备中卸载。

如果您在添加应用时未勾选将此应用设为受管理的应用,则无法执行应用管理。用户可以从 App Store 安装相应的应用,而您无法控制该应用。只有当用户的应用是通过 Google Device Policy 应用下载的时,您才可以管理该应用。

注意:当您从应用列表中移除某个公开应用后,该应用可能会自动从用户设备上卸载,也可能仍然可供用户使用。具体结果取决于用户安装该应用的时间:

  • 安装于 2020 年 11 月 30 日之前 - 您从列表中移除该应用后,系统就会将该应用卸载。
  • 安装于 2020 年 11 月 30 日当日或之后 - 应用将保留在设备上,且可供用户使用。

要查看应用在设备上安装的时间,请转到设备日志事件,然后按以下选项进行过滤:事件名称 接着点击 设备应用更改 接着点击 安装

用户体验

将应用设为受管理的应用后:

  1. 如果设备上安装了应用,用户必须接受应用管理。
  2. 如果应用是通过 App Store 安装的,则不受管理。如果检测到这种违反政策的情况,用户将无法通过此设备在原生 iOS 应用中访问 Google Workspace:
    • 24 小时内 - 如果管理员在过去 24 小时内将应用设为受管理的应用,且该应用是在设备注册后安装的
    • 立即 - 如果管理员已在 24 小时前将应用设为受管理的应用,或者该应用是在设备注册前安装的

    用户仍然可以打开相关不受管理的应用。

在 Device Policy 应用中,系统会提示用户允许其组织管理应用。如果用户接受,该应用将变为受管状态,并在成功同步后恢复用户对 Google Workspace 的访问权限。

为避免用户的工作流中断,用户应通过 Device Policy 应用(而不是 App Store)以受管理的形式安装应用。

用户可以在 Google Device Policy 应用中查看哪些应用是受管理的应用:

  • 绿色对勾标记 - 表示相应应用是受管理的应用
  • 灰色对勾标记 - 表示相应应用是非受管应用
  • 红色感叹号 - 表示应用的管理状态需要注意。出现以下情况时,应用会显示红色感叹号:
    • 该应用已设为受管理应用,但用户尚未允许贵单位对该应用进行管理。
    • 用户安装应用后,您将其添加到应用列表,使其成为了受管理的应用。
    • 用户允许贵组织管理应用后,您将该应用设为了非受管应用。用户可以自行将应用更新为非受管应用。如果用户不更新应用,也仍然可以使用该应用并访问自己的组织或学校数据,系统则会将相应应用视为受管理的应用。
控制谁可以安装受管理的应用(仅限高级移动设备管理)

您可以启用或停用用户访问权限,从而控制单位中的哪些用户可以查找和安装受管理的应用。如果您的版本支持此功能,则您可以为特定单位部门启用或停用用户访问权限,也可以为特定群组启用该权限。

启用用户访问权限

对于大多数应用类型,您可以在设置过程中启用用户访问权限。您将专用 iOS 应用添加到列表后,系统会为您组织内的所有用户停用用户访问权限。您需要启用访问权限,用户才能获取该应用。

停用用户访问权限

要让某个 Android 应用或公开 iOS 应用处于非受管状态,但保留其托管设置,您可以为某个组织部门停用用户访问权限。这样一来,用户将无法通过 Google Play 企业版商店或 iOS 版 Google Device Policy 应用安装该应用。您可以出于以下原因停用用户访问权限:

  • 针对单位的大部分用户或所选群组将应用设为受管理的应用,但针对所选下级单位部门将其设为非受管应用(如果您的版本支持此功能)
  • 在将 Android 应用作为受管理的应用提供给用户前,对其应用托管配置

停用用户访问权限不会影响已安装此应用的用户。他们仍然可以使用该应用,且系统仍会强制执行您的应用设置。

注意:Groups settings are applied at the top organizational unit level and override organizational unit settings. If a user belongs to multiple groups with conflicting configurations, the settings are applied in order of group precedence, which you can set after you add the app.

禁止安装非受管应用(仅限高级移动设备管理)

您可以使用 Google 端点管理设置来禁止访问所有非受管应用。您还可以停用公司自有移动设备上的多款系统应用。此外,您也可以屏蔽或限制应用对 Google 服务的访问权限。

屏蔽非受管 Android 应用

您可以配置可用应用设置,从而仅允许用户安装您添加到 Web 应用和移动应用列表中的应用。此设置可阻止用户安装不允许的应用,但其设备上已有的应用不会被移除。了解详情

屏蔽非受管 iOS 应用

仅限受监管的公司自有设备

您可以配置应用安装设置,从而禁止用户从 App Store 安装应用。配置此设置后,用户只能通过 Google Device Policy 应用下载和安装应用。通过 Google Device Policy 应用下载的应用会自动设为受管理的应用。不过,用户设备上已有的应用不会被移除。了解详情

停用系统应用

仅限公司自有设备

您可以启用或停用多款系统应用。有关详情,请参阅管理公司自有移动设备上的系统应用

屏蔽或限制应用对 Google 服务的访问权限

屏蔽或限制受管理应用的访问权限

系统会自动向已添加到 Web 应用和移动应用列表的移动应用授予受信任的访问权限,从而允许这些应用访问所有 Google 服务,包括状态设为受限的服务。

如要管理某个应用,但不授予该应用访问受限 Google 服务的权限,您可以屏蔽或限制访问权限

屏蔽或限制非受管应用的访问权限

用户可以允许不在应用列表中的应用访问不受限 Google 服务中的数据。

您可以通过以下两种方式来禁止非受管应用访问 Google 服务:

  1. 对于您存在疑虑的单个应用,您可以屏蔽或限制访问权限
  2. 如果您不希望未明确信任(即未添加到 Web 应用和移动应用列表)的应用访问特定 Google 服务,则可以将该服务设为“受限”

注意:如果您想要允许 iOS 设备用户将工作数据同步到 Apple 应用(例如 Apple 邮件或日历),但是 iOS 应用对所需的任何 Google 服务的访问权限受到限制,则您必须明确信任相关 iOS 应用,才能允许用户进行此操作。

控制用户对 Google 应用的访问权限

通过 Web 应用和移动应用列表,您可以控制用户可以通过其工作或学校账号安装和使用哪些应用。如要根据操作系统版本、安全状态、IP 地址、地理位置或设备所有权来禁止访问设备的 Google 应用,您可以使用情境感知访问权限级别。了解详情

将应用设为专门的 VPN 服务,用于处理 Android 设备上的所有工作应用流量

如要将某个应用设为专门的 VPN 服务,用于处理来自工作资料或受管理设备的应用流量,请在将该应用添加到列表时启用设为始终开启的 VPN。此设置可确保工作资料流量的网络连接更加安全,因为所有流量均须流经此应用,不能泄露到网络中。

重要提示:您仅能为一个应用启用设为始终开启的 VPN。如果您为多个应用启用此设置,则系统会任意选择其中一个用作始终开启的 VPN 应用。

需要使用 Android 7.0 或更高版本

第 1 步:将应用添加到列表

打开此部分  |  全部收起并转至页首

添加第三方应用
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击添加应用 接着点击 搜索应用
  4. 点击输入应用名称,然后输入要添加应用的部分名称或完整名称。对于 iOS 应用,您可以输入应用的 apps.apple.com 网址,例如 iOS 版 Gmail 应用的网址为 https://apps.apple.com/us/app/gmail-email-by-google/id422689480。系统会在您输入名称时开始搜索。
    • 如果搜索返回多个结果,请在搜索框中输入更多信息,例如应用开发者的名称或说明中的关键字。
    • 如果应用已添加到列表,则该应用会标记为“已安装”,您可以点击查看应用详情以查看该应用的设置和用户访问权限。
    • 如要查看某个 Android 应用的详细信息,请点击前往 Google Play 查看
    • 如要查看某个 iOS 应用的详细信息,请点击在 App Store 中查看
  5. 找到要添加的应用后,将光标指向该应用,然后点击选择
  6. 选择哪些用户可以通过 Google Play 企业版商店或 iOS 版 Google Device Policy 应用安装受管理的应用。
    • 如要允许单位中的所有用户安装该应用,请选择整个单位
    • 如要仅允许特定用户安装该应用,请点击选择群组选择单位部门。您可以同时添加群组和单位部门。支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;G Suite 基本版和 G Suite 商务版;Cloud Identity 专业版。比较您的版本

      Groups settings are applied at the top organizational unit level and override organizational unit settings. If a user belongs to multiple groups with conflicting configurations, the settings are applied in order of group precedence, which you can set after you add the app.

  7. 点击继续
  8. 根据应用平台配置应用选项(除非另有说明,否则需要启用高级移动设备管理):
    平台 应用选项
    Android
    • 分发方法:选择用户获取应用的方式。要在强制安装应用前应用托管配置,请选择可用,完成应用设置,应用托管配置,然后修改应用设置以强制安装应用。
      • 可用 - 允许用户自行安装应用;即,用户不必下载他们不需要使用的应用。
      • 强制安装 - 自动在所有受管设备上安装应用,且不提供停用选项。您还可以选择禁止用户卸载强制安装的应用。
        商务 Plus 版、企业版、G Suite 商务版和 Cloud Identity 专业版中的基本移动设备管理功能也支持强制安装。
    • 允许用户在主屏幕中安装微件 - 允许用户在微件可用的情况下创建主屏幕快捷方式。
    • 设为始终开启的 VPN 应用 - 启用此功能后,来自工作资料或受管设备的应用流量必须经过此应用。需要使用 Android 7.0 或更高版本。此设置可确保工作资料流量的网络连接更加安全。
    • 应用自动更新时间 - 选择何时安装应用更新:
      • 默认 - 在设备已连接到 Wi-Fi 网络、正在充电、未被用户主动使用且应用未在前台运行时,自动更新应用。
      • 高优先级 - 在开发者发布新版本且通过 Google Play 审核后,立即更新应用。如果设备当时处于离线状态,则系统会在设备下次连接到互联网时立即更新应用。
      • 推迟 - 在更新首次推出后,推迟 90 天更新应用。90 天后,系统会自动安装应用的最新可用版本。有关详情,请参阅支持应用更新
      支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;Cloud Identity 专业版。比较您的版本
    • 测试轨道(可选) - 选择您希望向用户提供的应用预发布测试版本。如果选择多个轨道,则会提供其中的最高版本号。如需了解如何将应用提供给组织使用,请参阅封闭式测试:按组织管理测试人员。 
      支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;Cloud Identity 专业版。比较您的版本
    iOS
    • 将此应用设为受管理的应用 - 要加强对相应应用及其数据的控制,请启用此设置。有关详情,请参阅受管理 iOS 应用的运作方式
    • 移除配置文件后,将此应用移除 - 对于受管理的应用,启用此设置即可在从设备上移除管理配置文件后,自动移除相应应用。如果您不启用此设置,受管理的应用会保留在用户设备上。
    • 允许此应用接收来自 iOS 分享对话框的工作数据 - 启用此设置后,即使您限制向非 Google Workspace 应用分享数据,此应用也能接收工作数据。有关详情,请参阅数据操作
  9. 点击完成。系统会打开应用的详情页面。返回 Web 应用和移动应用列表后,添加的应用几乎会立即出现在列表中。

    当用户的设备下次与 Google 端点管理服务同步时,用户就可以通过 Google Play 企业版或 Play 商店的“工作应用”标签页安装 Android 应用。如果用户安装的应用并非来自 Google Play 企业版商店或“工作应用”标签页,则该应用将不受管理。

    iOS 应用最长可能需要 1 小时才会出现在用户设备的 Google Device Policy 应用中。如果您将应用设为受管理应用,则用户必须通过 Google Device Policy 应用安装此应用;如果用户从 iOS App Store 安装该应用,则必须打开 Google Device Policy 应用,并同意贵单位对该应用进行管理。

  10. 如果您添加了 Android 版或 iOS 版 Microsoft Outlook(不推荐),请确保其符合您的端点管理设置:
    1. 在管理控制台首页,点击安全性 接着点击 API 控件 接着点击 应用访问权限控制 接着点击 管理 Google 服务
    2. 在服务列表中找到 Gmail 和云端硬盘。如果访问权限已设为无限制,请将该值更改为受限。此设置可防止不受信任的应用访问相应服务。如果您在先前的步骤中添加了应用,则该应用会自动获得系统信任,并能够访问 Gmail 和云端硬盘。
添加专用 Android 应用

如要添加贵单位专用的 Android 应用,请将其发布到 Google Play 企业版中,系统会自动将该应用添加到应用列表。有关详情,请参阅管理 Google Play 中的专用 Android 应用

添加 Android 版内部 Web 应用

如要添加贵组织专用的 Web 应用,请将其发布到 Google Play 企业版中,系统会将该应用添加到应用列表。有关详情,请参阅发布专用 Android Web 应用

添加专用 iOS 应用

如要添加仅供贵组织使用的 iOS 应用,请在管理控制台中上传该应用。有关详情,请参阅管理专用 iOS 应用

第 2 步:配置应用设置

打开此部分  |  全部收起并转至页首

更改谁可以安装受管理的应用并设置群组优先级

将应用添加到列表后,您可以停用用户访问权限,从而在 Google Play 企业版商店(如果是 Android 应用)或 iOS 版 Google Device Policy 应用(如果是 iOS 应用)中对用户隐藏该应用。停用用户访问权限后,已安装该应用的用户仍然可以正常使用,您的应用设置也依然适用。

如要为特定用户启用或停用用户访问权限,请将他们的账号添加到某个组织部门(按部门控制访问权限)或访问权限群组(针对同一部门或多个部门内的部分用户授予访问权限)。支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;G Suite 基本版和 G Suite 商务版;Cloud Identity 专业版。比较您的版本

需要使用高级移动设备管理

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击要更改用户访问权限的应用。如要查看所有组织部门和群组当前的用户访问权限设置,请对用户访问权限点击查看详细信息
  4. 点击用户访问权限
  5. 在左侧点击要更改用户访问权限的群组或组织部门。默认情况下系统会选中顶级组织部门,相应更改会应用于整个组织。
  6. 根据需要停用或启用用户访问权限。示例:
    • 如要在完成应用配置后向所有用户隐藏受管理的应用,请为顶级单位部门停用用户访问权限。
    • 如要仅允许部分用户使用受管理的应用,请为顶级组织部门停用用户访问权限,然后为下级组织部门或群组启用用户访问权限。

    注意:为群组启用用户访问权限后,此设置会覆盖组织部门的设置。但是,您无法明确地为群组停用用户访问权限。如果您取消选中启用,相应群组中的用户就会沿用上级群组或用户所属组织部门的设置。

  7. 如果您为多个群组设置了用户访问权限,请检查群组的顺序,然后设置优先级:
    1. 点击相应应用,然后点击用户访问权限
    2. 点击左侧的群组
    3. 如果同一用户属于多个群组,请拖动群组以决定各群组设置应用于该用户的先后顺序。将优先级最高的群组置于顶部。
  8. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

使用托管配置设置 Android 应用

支持此功能的版本:Frontline Standard;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;G Suite 商务版;Cloud Identity 专业版。比较您的版本

需要使用高级移动设备管理

您可以将某些 Android 应用的设置保存为托管配置。例如,某个应用可能允许您仅在设备连接到 Wi-Fi 时才同步数据。应用分配到的默认托管配置是由该应用的开发者设置的。您可以查看某个应用在 Google Play 企业版中是否支持托管配置。了解详情

托管配置允许您自动为某个群组或组织部门配置应用,而无需与用户互动。您可以为一个应用创建多个托管配置,并对不同群组或单位部门应用不同的配置。

创建托管配置

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。

    提示:如要仅查看允许特定组织部门或群组使用的应用,请点击“添加过滤条件”图标 ,然后选择组织部门或群组。

  4. 点击受管配置 接着点击 添加受管配置
    如果应用不支持托管配置,此选项就无法使用。
  5. 输入配置名称,并设置您的首选配置。
    注意:您可以使用的配置选项是由相应应用的开发者指定的。如果您对这些设置有疑问,请联系开发者。
  6. 点击保存
  7. 您可以将托管配置分配给某个组织部门或群组,具体方法详见下一部分。

将托管配置分配给组织部门或群组

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。
  4. 点击设置
  5. 点击左侧要向其分配托管配置的单位部门或群组。
  6. 受管配置下方,点击菜单并选择要应用的受管配置。
  7. 点击保存

如要移除组织部门或群组的托管配置,请执行相同的步骤,然后选择默认

修改或删除托管配置

在删除托管配置之前,您必须先将其从所有相关单位部门或群组移除。移除配置后,除非您分配其他托管配置,否则相应应用会还原到开发者指定的默认配置。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。
  4. 点击受管配置
  5. 点击要修改或删除的托管配置。
  6. 如要修改配置,请进行修改,然后点击保存
  7. 如要删除配置,请点击删除
使用受管配置设置 iOS 应用

支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;G Suite 基本版和 G Suite 商务版;Cloud Identity 专业版。 比较您的版本

需要使用高级移动设备管理

许多 iOS 应用开发者使用受管理的应用配置 (AppConfig) 来自定义应用,并允许管理员向受管设备远程提供设置。

您可以通过 XML 数据(由与应用相关的键值对组成)的形式输入配置字典,来创建受管配置。您可以为同一应用创建多个受管配置,并将不同的配置应用于不同的群组或组织部门。与 Android 应用不同,没有默认的应用配置。

配置字典示例

您可以使用 AppConfig Generator 工具为应用生成配置字典,如以下示例所示。

<dict>
    <key>DisplayName</key>
    <string>Sample Enterprise LLC</string>
    <key>AllowGoogleSSO</key>
    <true/>
    <key>MaxAllowedAttempts</key>
    <integer>5</integer>
    <key>EnrolledToken</key>
    <string>7DBB314C-7ABA-4BD4-866C-7BD613AFCBC4</string>
</dict>

创建托管配置

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。

    提示:如要仅查看允许特定组织部门或群组使用的应用,请点击“添加过滤条件”图标 ,然后选择组织部门或群组。

  4. 点击受管配置接着点击添加配置
  5. 输入配置名称。
  6. 输入应用的配置字典(请参阅示例)。
    注意:您可以使用的配置选项和值是由应用开发者指定的。如果您对选项有任何疑问,请与开发者联系。Google 端点管理会验证配置字典中的 XML 格式,但不会检查它是否适用于应用。
  7. 点击保存
  8. 您可以将托管配置分配给某个组织部门或群组,具体方法详见下一部分。

将托管配置分配给组织部门或群组

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。
  4. 点击受管配置
  5. 点击要修改或删除的托管配置。
  6. 如要修改,请进行相应更改,然后点击保存
  7. 如要删除配置,请点击删除

如要移除某个组织部门或群组的受管配置,请按照相同的步骤操作,然后从受管理的应用配置列表中选择选择配置

修改或删除托管配置

在删除托管配置之前,您必须先将其从所有相关单位部门或群组移除。移除配置后,除非您分配其他受管配置,否则相应应用会还原到开发者指定的默认状态。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。
  4. 点击受管配置
  5. 如要删除受管配置,请点击相应配置名称旁边的删除
  6. 如要修改受管配置,请点击相应配置名称,进行更改,然后点击保存
设置 Android 应用的运行时权限

支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;G Suite 基本版和 G Suite 商务版;Cloud Identity 专业版。 比较您的版本

需要使用高级移动设备管理

准备工作:如有需要,请了解如何将设置应用于部门或群组

某些 Android 应用会在运行时向用户请求权限。例如,某个应用可能会请求访问设备日历或位置信息的权限。您可以管理个别应用的权限请求的处理方式。这些应用设置优先于为设备指定的任何运行时权限偏好设置

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要管理的应用。
  4. 点击运行时权限。如果应用不支持运行时权限,那么此选项就无法使用。
  5. (可选)要将设置仅应用于部分用户,请在侧边选择一个组织部门(通常用于部门)或配置群组(高级)。显示具体方法

    群组设置会覆盖组织部门的设置。了解详情

  6. 针对每个运行时权限,根据需要执行以下操作:
    • 如要自动允许权限,请选择允许
    • 如要自动拒绝权限,请选择拒绝
    • 如要提示用户允许或拒绝权限,请选择提示用户
    注意:拒绝运行时权限可能会影响某些应用的功能。
  7. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

修改应用设置

准备工作:如有需要,请了解如何将设置应用于部门或群组

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击您要修改设置的应用。
    提示:如要仅查看为特定组织部门或群组启用的应用,请点击添加过滤条件
  4. 点击设置
  5. (可选)要将设置仅应用于部分用户,请在侧边选择一个组织部门(通常用于部门)或配置群组(高级)。显示具体方法

    群组设置会覆盖组织部门的设置。了解详情

  6. 修改设置。可用设置取决于平台和管理类型:
    平台 应用选项
    Android
    • 分发方法:选择用户获取应用的方式。要在强制安装应用前应用托管配置,请选择可用,完成应用设置,应用托管配置,然后修改应用设置以强制安装应用。
      • 可用 - 允许用户自行安装应用;即,用户不必下载他们不需要使用的应用。
      • 强制安装 - 自动在所有受管设备上安装应用,且不提供停用选项。您还可以选择禁止用户卸载强制安装的应用。
        商务 Plus 版、企业版、G Suite 商务版和 Cloud Identity 专业版中的基本移动设备管理功能也支持强制安装。
    • 允许用户在主屏幕中安装微件 - 允许用户在微件可用的情况下创建主屏幕快捷方式。
    • 设为始终开启的 VPN 应用 - 启用此功能后,来自工作资料或受管设备的应用流量必须经过此应用。需要使用 Android 7.0 或更高版本。此设置可确保工作资料流量的网络连接更加安全。
    • 应用自动更新时间 - 选择何时安装应用更新:
      • 默认 - 在设备已连接到 Wi-Fi 网络、正在充电、未被用户主动使用且应用未在前台运行时,自动更新应用。
      • 高优先级 - 在开发者发布新版本且通过 Google Play 审核后,立即更新应用。如果设备当时处于离线状态,则系统会在设备下次连接到互联网时立即更新应用。
      • 推迟 - 在更新首次推出后,推迟 90 天更新应用。90 天后,系统会自动安装应用的最新可用版本。有关详情,请参阅支持应用更新
      支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;Cloud Identity 专业版。比较您的版本
    • 测试轨道(可选) - 选择您希望向用户提供的应用预发布测试版本。如果选择多个轨道,则会提供其中的最高版本号。如需了解如何将应用提供给组织使用,请参阅封闭式测试:按组织管理测试人员。 
      支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;Cloud Identity 专业版。比较您的版本
    iOS
    • 将此应用设为受管理的应用 - 要加强对相应应用及其数据的控制,请启用此设置。有关详情,请参阅受管理 iOS 应用的运作方式
    • 移除配置文件后,将此应用移除 - 对于受管理的应用,启用此设置即可在从设备上移除管理配置文件后,自动移除相应应用。如果您不启用此设置,受管理的应用会保留在用户设备上。
    • 允许此应用接收来自 iOS 分享对话框的工作数据 - 启用此设置后,即使您限制向非 Google Workspace 应用分享数据,此应用也能接收工作数据。有关详情,请参阅数据操作

    对于 iOS 应用,如果您取消选中将此应用设为受管理的应用,在已安装该应用的设备上其仍为受管理的应用。但是在 Google Apps Device Policy 应用列表中,用户会看到应用上带有红色感叹号,并且可将该应用更改为非受管应用。

  7. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

允许 Android 用户在应用中同时查看个人数据和工作数据

需要使用高级移动设备管理

对于支持此功能的应用,您可以允许用户在应用中查看其个人数据和工作数据。例如,为 Google 日历启用此设置后,用户可以选择在工作资料中查看其个人日历。由于此设置允许跨资料通信(在个人空间和工作空间之间),因此应仅为可信应用开启此设置。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 点击要更新的 Android 应用。
  4. 点击关联的应用配置
  5. 在左侧点击您要允许或屏蔽的组织部门或群组。
  6. 如要允许用户使用此功能,请勾选相应复选框。
  7. 点击保存
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

第 3 步:管理应用列表

打开此部分  |  全部收起并转至页首

移除应用

您将某个 Android 应用从列表中移除后,用户将无法从 Google Play 企业版商店或 Play 商店的“工作应用”标签页中安装该应用。如果用户已安装该应用,则应用会保留在设备上,但不再受您单位管理。如果您允许用户安装 Google Play 中的任何应用,则他们仍可以安装该应用,但您无法对其进行管理。

您将某个 iOS 应用从列表中移除后,用户将无法通过 Google Device Policy 应用安装该应用。如果用户已安装该应用,且该应用为受管理的应用,那么只要用户不将 Device Policy 配置文件从其设备上移除,该应用就仍为受管理的应用。其他用户仍然可以通过 App Store 安装该应用,但您无法对其进行管理。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 您可以一次删除一个或多个应用:
    • 如要删除某个应用,请在列表中找到该应用,然后点击更多图标 接着点击 删除
    • 如要删除多个应用,请勾选各个应用旁边的复选框。点击顶部的删除
将 Google Play 企业版中的 Android 应用整理为集合
您可以让用户更轻松地在 Google Play 企业版应用中查找相关的 Android 应用。了解如何将受管理的 Android 应用整理为集合

第 4 步:监控受管理设备上的应用

打开此部分  |  全部收起并转至页首

查看应用的分发方式
您可以查看某个组织部门或群组可以使用的所有应用,或是哪些组织部门和群组有权访问特定移动应用:
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Web 应用和移动应用

  3. 如要查看特定组织部门或群组可以访问的应用,请执行以下操作:
    1. 点击添加过滤条件
    2. 点击组织部门群组
    3. 选择相应组织部门或群组。
  4. 如要查看特定应用的分发情况,请将光标指向要查看的应用所在的行,然后点击访问权限详情。系统会打开一个面板,其中会列出群组和组织部门及其应用的访问权限状态。
查看设备上安装了哪些应用
对于 iOS 设备,需要使用高级移动设备管理
您可以获取用户设备上安装的所有受管应用的列表,其中包含该版本的详细信息:
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 依次点击“菜单”图标 接着点击  设备 接着点击 概览
  3. 点击移动设备卡片。
  4. 点击相应设备所在的行,以查看设备详细信息。
    提示:如果贵单位有大量移动设备,请点击添加过滤条件来缩小搜索范围。有关详情,请参阅查找特定移动设备
  5. 点击已安装的应用。此表格会列出应用和应用版本,以及应用 ID。对于 Android 应用,您还可以获取 SHA-256 哈希值。
查看应用的更改并导出日志事件数据(仅限高级管理)
支持此功能的版本:Frontline Standard;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;G Suite 商务版;Cloud Identity 专业版。比较您的版本
注意:对于没有工作资料的个人 Android 设备,如要审核其上的应用,请启用应用审核

设备日志事件中,按事件名称接着点击设备应用更改过滤日志。您可以按特定设备类型、设备应用更改事件、应用包名称等内容进一步过滤列表。

创建过滤条件后,您可以导出日志事件数据

使用规则让系统自动监控应用(仅限高级管理)
支持此功能的版本:Frontline Standard;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;Cloud Identity 专业版。 比较您的版本

应对应用安全事件

如果用户的账号被他人通过应用破解(由于设备丢失或被盗),或是您发现用户的设备上存在恶意应用,您有多种应对方式。

如要阻止未经授权的访问,请执行以下操作:

如要禁止某个应用访问 Google 服务,请在“应用访问权限控制”中将应用设为“受限”或“已屏蔽”。如需了解详情,请参阅添加新应用


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
主菜单
10635165383664414454
true
搜索支持中心
true
true
true
true
true
73010
false
false