为 Android 移动设备应用设置

如果出现以下任一情况且用户无法解决问题，系统会自动将用户的组织或学校数据从其设备上移除：

• 设备在指定天数内未同步过数据
• 设备未遵守以下任何设备政策：
  • 密码要求
  • 屏蔽已破解的 Android 设备
  • 屏蔽不符合 Android CTS 要求的设备
  • 要求加密设备

用户的数据不会在指定的时间过后立即被移除。首先，系统会向用户发送通知，并给予一定时间解决相应问题。

如需停用自动擦除功能，请取消选中如果设备未同步或未遵循政策，则将其擦除对应的复选框。

系统会擦除哪些数据

具体哪些数据会被移除取决于设备的设置方式：

Android Device Policy

• 用户设为仅作工作用途的公司自有设备或个人设备（贵组织拥有“设备所有者”管理权限）会恢复出厂设置。
• 对于装有工作资料的个人设备（贵组织拥有“资料所有者”管理权限），系统仅会擦除工作资料。个人数据和应用仍会保留在设备上。

Google Apps Device Policy

组织或学校账号会被移除。个人数据和应用仍会保留在设备上。不过，如果设备处于全托管式模式，并且重新添加了工作账号，则所有应用都会从设备中移除。

Android 6.0 Marshmallow 及更高版本的设备支持此设置

不适用于教育基础版

屏蔽不符合兼容性测试套件 (CTS) 要求的 Android 设备。有关详情，请参阅兼容性测试套件。

注意：审核没有工作资料的个人设备上的应用设置不再适用，因为采用高级移动设备管理的个人设备现在必须要有工作资料。

允许管理员获取在没有工作资料的个人设备上安装的应用的详细信息。注意：系统会自动审核公司自有设备和装有工作资料的设备上的应用。

如果您勾选审核没有工作资料的个人设备上的应用对应的复选框，设备会向管理控制台报告以下信息：

• 设备上所安装应用的列表。有关详情，请参阅查看移动设备详细信息。
• 有关用户何时在设备上安装、卸载或更新应用的详细信息。如需了解详情，请参阅设备日志事件。

允许 Android 设备用户使用 Android 设备管理器。

如果您勾选允许用户通过“查找我的设备”来擦除设备对应的复选框，则用户可以使用 Android 设备管理器找回丢失的设备。他们还可以对设备进行远程响铃、远程锁定或远程擦除设备上的数据。有关详情，请参阅 Android 设备管理器。

适用于版本较旧的设备（需仅在设备上强制执行版本较旧的设备支持的政策）。

启用此设置后，版本较旧的设备无需加密存储空间就能继续同步公司数据。即使您要求加密，这些设备也仍可同步数据。

注意：由于个人设备现在要求必须有工作资料，因此该设置现已不再适用。

控制在组织中使用的个人 Android 设备上创建工作资料的操作。

用户可在装有工作资料的设备上添加一个受管理的账号。在工作资料中，您可以通过移动应用列表提供和管理公司应用。受管理的应用在安装之后会显示 Android Enterprise 标记 ，以便与个人应用区分开来。详细了解如何管理贵组织的移动应用。

请点击工作资料设置旁边的向下箭头 ，然后选择一个选项：

• 用户选择创建 - 在用户注册自己的设备以便管理时提示其创建工作资料。如果用户决定不设置工作资料，他们仍然可以同步公司数据。但是，您（和其他管理员）仍可保护设备上的组织或学校数据。例如，如果设备丢失，您可以擦除设备中的所有数据。
• 强制创建 - 要求用户在自己的设备上设置工作资料。除非用户接受工作资料，否则无法同步公司数据，而且他们也无法选择不设置工作资料。如果没有工作资料的 Android 设备已经注册管理服务，那么系统就会提示用户创建一个工作资料。数据会停止同步到设备，直到工作资料添加完毕为止。如果设备不支持工作资料，系统就不会应用此设置。您可以在管理控制台中查看设备属性，以了解设备是否支持工作资料。有关详情，请参阅查看移动设备详细信息。
• 停用 - 禁止设备用户设置工作资料。已注册的设备上设置的现有工作资料不会受到影响。

Android 7.0 Nougat 及更高版本的设备支持此设置

仅为在用户的工作资料中运行的应用强制执行密码设置，并允许用户为自己的设备设置屏幕锁定。如需了解详情，请参阅要求为受管理的移动设备设置密码。

如需对整台设备强制执行密码设置，请取消选中仅将密码要求应用于工作资料中的应用对应的复选框。

注意：对于版本低于 Android 7.0 的设备，系统始终会为整台设备强制执行密码设置。

允许用户查找和安装 Google Play 商店中的所有应用或仅限允许的应用。

注意：

• 此设置可覆盖 Web 应用和移动应用列表中应用的用户访问权限设置。
• 如果您选择所有应用，则用户可以安装 Google Play 商店中的任何应用，包括其用户访问权限设为关闭的应用和非受管应用。
• 如果您选择仅限允许的应用，则用户只能安装 Web 应用和移动应用列表中的应用。但是，设备上已安装的非受管应用仍会保留在设备上。

只有公司自有设备支持此设置

允许用户安装所有或选定的系统应用。系统应用是指预安装的应用，例如时钟和计算器。您可以允许安装/屏蔽所有系统应用，也可以允许安装/屏蔽所选的特定系统应用。

有些系统应用对设备运行至关重要，即使您选择全部屏蔽，这些应用也依然可用。您选择全部屏蔽后，用户仍然可以访问您已添加到 Web 应用和移动应用列表中的 Android 应用。

有关详情，请参阅管理公司自有移动设备上的系统应用。

Android 5.0 Lollipop 及更高版本的设备支持此设置

允许用户在移动设备上进行屏幕截图。

如需禁止在工作应用中进行屏幕截图，请取消选中允许屏幕截图对应的复选框。在这种情况下，用户只能在个人应用中进行屏幕截图。

Android 5.0 Lollipop 及更高版本的设备（特定注明的设备除外）支持此设置

允许用户将工作资料中的数据和文件分享到其设备上的个人空间。 此设置不会影响用户将自己个人空间中的内容共享到其工作资料中。

如果您勾选允许将工作资料中的内容共享到个人空间对应的复选框：

• 工作资料中的内容可以与用户个人空间中的应用共享。例如，用户可以将工作文档添加到个人 Gmail 应用中。
• 工作资料中的来电显示信息会在有来电时显示在个人空间中。
• （仅限使用 Google Workspace 的 Android 7.0 Nougat 及更高版本的设备）用户可以在个人空间中搜索工作联系人。
• 如果工作资料中没有浏览器，网址就会在个人空间中打开。
• 如果工作资料中没有地图应用，个人空间中的地图应用就会打开地理位置。

注意：如要允许用户在一个应用（例如 Google 日历）中同时查看个人数据和工作数据，请为该应用启用关联的应用配置。有关详情，请参阅允许 Android 用户在一个应用中同时查看个人数据和工作数据。

装有工作资料的 Android 5.0 Lollipop 及更高版本的设备支持此设置

允许用户从其工作资料中的任何应用复制文本，并粘贴到个人空间的任意应用中。

如需禁止用户将工作数据复制到个人应用，请取消选中允许在工作资料和个人空间之间粘贴内容对应的复选框。

允许用户通过近距离无线通信 (NFC) 使用 Android Beam，在 Android 设备之间共享内容。

如需禁止通过 Android Beam 共享数据，请取消选中允许使用向外传输功能对应的复选框。

Android 5.0 Lollipop 及更高版本的设备支持此设置

允许用户开启或关闭 Google 的位置信息服务。应用使用位置信息提供相关服务，例如了解上下班路上的交通状况或查找附近的餐馆。通过此设置，用户也可以通过“我的设备”页面管理 Android 设备。

如需屏蔽所有应用的位置信息分享，请取消选中允许分享位置信息对应的复选框。

允许 Android 用户在 Google Play 中使用和发布专用应用。

• 如需允许用户使用您分发的专用应用，请勾选允许用户使用 Google Play 专用应用对应的复选框。
• 如需允许用户创建和更新供内部使用的 Android 应用，并将应用发布给您网域中的用户，请勾选允许用户发布和更新 Google Play 专用应用对应的复选框。

如需详细了解专用应用，请参阅管理 Google Play 中的专用 Android 应用。

Android 6.0 Marshmallow 及更高版本的设备支持此设置

注意：拒绝运行时权限可能会影响某些应用的功能。

设置默认情况下如何响应应用在运行时发送的权限请求。为受管理应用列表中个人应用设置的权限偏好会覆盖此设置。如需了解详情，请参阅设置 Android 应用的运行时权限。

公司自有的 Android 6.0 Marshmallow 及更高版本的设备支持此设置

允许用户卸载应用、停用应用、强行停止（停止处理）、显示通知以及清除数据、缓存或默认设置。

如需禁止用户更改应用设置，请取消选中允许用户更改应用设置。

公司自有的 Android 6.0 Marshmallow 及更高版本的设备支持此设置

允许用户停用 Google Play 保护机制（原“验证应用”）。Play 保护机制有助于防止在 Android 设备上安装有害软件。该设置也会定期扫描设备，从而查找可能有害的应用。如需了解详情，请参阅使用 Google Play 保护机制保障应用的安全性和数据的私密性。

如需使 Play 保护机制始终处于开启状态，请取消选中允许用户停用 Google Play 保护机制。

公司自有的 Android 6.0 Marshmallow 及更高版本的设备支持此设置

允许用户通过 USB 连接将文件传输到移动设备，或者从移动设备中传输文件。

如需禁止通过 USB 连接传输文件，请取消选中允许 USB 文件传输。

支持对运行 Android 8.0 Oreo 及更高版本的设备应用此设置。

此设置禁止用户从 Google Play 商店以外的来源向自己的工作资料安装应用。不过，用户仍然可以将未知来源的应用安装到其个人资料中。

如需允许安装未知来源的应用，请取消选中禁止安装未知来源的应用对应的复选框。

Android 5.0 Lollipop 及更高版本的设备支持此设置

允许用户在自己的设备上使用开发者选项。

如需禁止用户使用开发者选项，请取消选中允许使用开发者选项。如果设备装有工作资料，用户仍可为其个人空间启用开发者选项。例如，用户将可以在个人空间中从计算机上旁加载（即下载应用文件，然后通过文件管理器安装）应用，但无法在工作资料中这样做。

允许用户在设备上添加、修改、连接到或删除虚拟专用网 (VPN)。用户可以点按设置 无线和网络 更多 VPN 来访问设备上的 VPN 设置。

如需禁止用户更改设备的 VPN 配置，请取消选中允许配置 VPN。

允许用户设置和使用 WLAN 热点以及 USB 或蓝牙网络共享服务。

如需禁止用户使用这些类型的连接，请取消选中允许设置网络共享和 WLAN 热点。

允许用户更改设备上的数据访问和漫游设置。此设置还允许用户执行以下操作：

• 在状态栏中显示移动网络名称
• 更改接入点名称 (APN)
• 选择移动网络运营商

如需禁止用户更改这些设置，请取消选中允许更改移动网络设置。

允许用户在安装了 SIM 卡的设备上接收广播通知，如突发天气和失踪儿童（安珀）警报。

如需禁止用户更改小区广播设置，请取消选中允许更改小区广播设置。

允许用户在自己的移动设备上更改蓝牙设置。

注意：对于 Android 6.0 Marshmallow 及更高版本的设备，如要允许其用户配置蓝牙设置，您必须同时允许位置信息分享（位于应用和数据共享下）。

如需禁止用户更改蓝牙设置，请取消选中允许更改蓝牙设置。

允许用户在自己的移动设备上更改 WLAN 网络设置。

如需禁止用户更改 WLAN 设置，请取消选中允许更改 WLAN 网络设置。

允许用户在设有外部 SD 卡插槽的设备上将数据或应用移至 SD 卡。SD 卡一般用作可卸除的存储设备。

如需禁止用户将数据复制到外部 SD 卡，请取消选中允许使用外部 SD 卡。

允许用户在移动设备上的设置 安全 受信任的凭据下，修改其工作资料的证书授权机构 (CA) 表单。

如需禁止更改 CA 证书，请取消选中允许更改受信任的凭据。即使取消选中此复选框，用户仍可查看其工作资料的 CA 证书。

允许使用设备麦克风。

如需将麦克风设为静音并防止其重新开启，请取消选中允许使用麦克风。您可能需要禁止使用麦克风，以确保恶意应用无法使用麦克风录制设备附近的声音。

允许使用设备扬声器。

如需针对工作资料中的应用将扬声器设为静音，并防止其重新开启，请取消选中允许使用扬声器。

Android 5.1 Lollipop 及更早版本的设备支持此设置

勾选此选项后，指定的管理员限制 PIN 码会同步到用户设备。PIN 码不能少于 5 位数字。当用户尝试重置手机或更改 WLAN 或蓝牙设置时，系统会要求其输入此 PIN 码。

如要禁止更改管理员限制 PIN 码，请取消选中启用管理员限制 PIN 码的远程管理功能复选框。如需更新 PIN 码，您必须勾选相应复选框以设置新的 PIN 码并允许其同步到设备。

允许用户通过“设置”应用将 Android 设备恢复出厂设置。恢复出厂设置会将所有应用、数据和设置从设备上移除，包括管理员通过设备管理配置的设置。

如果您勾选允许用户将设备恢复出厂设置对应的复选框，请考虑使用恢复出厂设置保护机制以允许管理员访问恢复出厂设置后的设备。

如果您取消选中相应复选框，则用户将无法通过“设置”应用将自己的设备恢复出厂设置。但是，用户或许仍可使用电源按钮和音量按钮来重置其设备。

允许指定的管理员账号在管理控制台中登录恢复出厂设置后的公司自有设备。但不适用于通过设备本身进行重置的设备。

哪些人可以登录恢复出厂设置后的设备，取决于设备归公司所有的方式及设备的管理客户端：

• 对于公司自有设备资产清单中的设备来说，只有您列出的账号可以在设备恢复出厂设置后登录设备。如需详细了解公司自有资产清单，请参阅将公司自有设备添加到资产清单。
• 对于设置为仅用于工作的个人设备（权限级别为设备所有者），指定的账号和之前的所有者都可以登录设备。 如需了解如何使用仅用于工作的个人设备，请参阅在 Android 设备上设置 Google Workspace。

如需添加管理员，请输入其电子邮件地址，然后点击添加。

账号要求

• 您最多可以输入 10 个电子邮件地址。我们建议您输入多个电子邮件地址，以防您输入的任何地址发生问题。
• 确保您添加的电子邮件地址是有效的，从未被删除或暂停。如果账号遭到暂停或删除，则可能无法访问恢复了出厂设置的设备，即使账号得到恢复也是如此。
• 请勿使用群组电子邮件地址。群组账号无法访问恢复了出厂设置的设备。

将设备恢复出厂设置前的准备工作

• 退出并移除用户的组织或学校账号。
• 如果用户不知道自己的密码，请重置密码。请在擦除设备数据之前执行此操作。如果您没有在擦除设备之前执行此操作，用户可能至少需要等待 24 小时才能重新登录设备。

允许用户在设备上设置日期和时间。

如需禁止用户更改日期和时间，请取消选中允许用户修改日期和时间对应的复选框。

公司自有的 Android 7.0 Nougat 及更高版本的设备支持此设置

允许用户在移动运营商的服务区域以外使用设备时使用数据服务。

如需禁止用户在漫游时访问互联网，请取消选中允许用户在漫游时连接到数据网络服务对应的复选框。

允许用户以安全模式重启设备。在安全模式下，设备只运行标准的预安装应用，并会停用所有第三方应用。

注意：对于未预先安装 Google Apps Device Policy 应用的 Android 设备，安全模式会导致 Google Apps Device Policy 应用无法使用。如果此应用无法运行，设备就会停止同步管理政策，用户最终将无法在设备上访问其组织或学校账号。

如需禁止用户以安全模式重新启动设备（推荐），请取消选中允许用户以安全模式重新启动设备对应的复选框。

只有 Android 6.0 Marshmallow 设备支持此设置

允许主设备用户在设备中添加用户个人资料。每个用户个人资料在设备上都有对应的个人空间，其中包含账号、应用和设置。

只有 Android 6.0 Marshmallow 设备支持此设置

允许主设备用户从设备中移除用户个人资料。移除用户个人资料后，添加到此个人资料中的任何账号也都会被移除。

Android 5.0 Lollipop 及更高版本的设备支持此设置

允许用户在其设备上添加和移除账号。在装有工作资料的设备上，只能添加一个受管理的账号。如需移除受管理的账号，用户必须从其设备中移除工作资料。

如需禁止用户更改设备上的账号，请取消选中允许用户添加和移除账号。取消选中此复选框后，您将无法启用 Google 账号设置，用户也将无法向其设备添加任何受管理的 Google 账号。

Android 5.0 Lollipop 及更高版本的设备支持此设置

允许用户在自己的设备上添加组织或学校账号。在装有工作资料的设备上，只能添加一个受管理的账号。

注意：要启用此设置，您必须先启用账号设置。

取消选中允许用户添加自己的 Google 账号后，用户将无法添加 Google 账号。不过，用户仍可通过 Microsoft Exchange、IMAP 或 POP3 在工作资料或设备中添加账号。

不适用于教育基础版

锁定屏幕功能可让您控制以下设置在用户锁定屏幕上的可用性：

• 相机
• 指纹解锁
• 人脸解锁
• 虹膜解锁
• 锁定屏幕微件
• 通知
• 通知详细信息
• 定期使用 PIN 码、密码或图案进行身份验证
• 可信代理

如需停用锁定屏幕功能，请取消选中允许使用锁定屏幕功能对应的复选框。取消选中此复选框后，系统只会屏蔽这一组设置中列出的锁定屏幕功能，而未列出的功能（例如人脸识别）不会被屏蔽。

如需屏蔽个别锁定屏幕功能，请勾选允许使用锁定屏幕功能对应的复选框，然后取消选中您想屏蔽的锁定屏幕功能对应的复选框。

不适用于教育基础版

允许在设备锁定时使用相机。

如需禁止在锁定屏幕上使用相机，请取消选中允许使用相机对应的复选框。

不适用于教育基础版

允许用户使用设备相机的人脸识别功能解锁设备。此设置仅适用于支持人脸解锁的设备。

如需禁止使用人脸解锁功能解锁设备，请取消选中允许使用人脸解锁功能复选框。

此功能受 PIN 码、密码或图案的定期身份验证设置的影响。

不适用于教育基础版

允许用户使用设备的虹膜扫描器解锁设备。此功能仅适用于支持虹膜解锁的设备。

如需禁止使用虹膜解锁功能解锁设备，请取消选中允许使用虹膜解锁功能复选框。

不适用于教育基础版

允许用户使用设备的指纹识别器解锁设备。

如需禁止通过指纹读取器解锁设备，请取消选中允许使用指纹解锁。

此功能受 PIN 码、密码或图案的定期身份验证设置的影响。

Android 4.2 Jelly Bean 到 4.4 KitKat 版本的设备支持此设置

允许用户将微件（例如电子邮件和日历微件）添加到设备的锁定屏幕。

如需屏蔽锁定屏幕微件，请取消选中允许使用锁定屏幕微件对应的复选框。

不适用于教育基础版

允许用户在设备锁定时接收通知。

如需屏蔽通知，请取消选中允许在锁定屏幕上显示通知对应的复选框。取消选中此复选框后，系统还会停用通知详细信息设置。

允许用户在设备锁定时接收通知详细信息。

如果通知设置处于停用状态，则此功能也会停用。

如需屏蔽通知详细信息，请取消选中允许显示通知详细信息对应的复选框。

Android 8 及更高版本支持此设置

允许使用人脸或指纹解锁的用户在设定的一段时间后通过更安全的方法（例如 PIN 码、密码或图案）进行身份验证。

如果锁定屏幕功能处于停用状态，则此功能也会停用，并且在您启用锁定屏幕功能前都无法再次启用。

在工作资料设置中勾选仅在工作资料应用中应用密码要求复选框后，此设置便会在工作资料应用中生效。

不适用于教育基础版

允许用户在特定情况（例如手机在口袋里或用户在家中）下使用 Smart Lock 让设备保持已解锁状态。借助 Smart Lock，用户无需使用 PIN 码、图案或密码，即可解锁设备。有关详情，请参阅将 Android 设备设置为自动解锁。

如需禁止使用 Smart Lock，请取消选中允许使用 Smart Lock 让设备保持解锁状态对应的复选框。

Android 6.0 Marshmallow 及更高版本的设备支持此设置。

允许管理员设置无线下载 (OTA) 系统更新并将其应用于贵组织的设备。

管理员可以选择何时更新设备：

• 永不 - 系统不会自动下载操作系统更新。
• 有可用更新时 - 有可用操作系统更新时自动下载。
• 仅在指定时间 - 在指定时间段内下载操作系统更新。在非工作时间安排更新可能会防止用户停机。
  注意：如果结束时间早于开始时间，则更新会从开始时间开始，并持续到次日。
• 推出更新 30 天后 - 您可以将操作系统更新延迟 30 天。在此期间：
  • 设备不会收到有关更新的通知
  • 用户无法手动更新设备
  
  管理员可以随时结束该为期 30 天的保全时段。如果在该保全时段内又有新的更新推出，系统会重置该为期 30 天的推迟时段。
  
  但如果期间没有新的更新推出，系统会在 30 天的保全时段结束后提示用户安装所有待处理的更新。之后，只要有新的系统更新推出，便会再次开启为期 30 天的保全时段。

注意：操作系统更新会在设备的本地时间（而非管理员的本地时间）内下载。

Android 7.0 Nougat 及更高版本的设备支持此设置。

在管理员关闭功能的设置屏幕中，为用户创建并显示一条消息。

包括以下选项：

• 向用户说明因组织政策限制而无法更改设置的默认消息 - 这是针对强制执行的设置的默认消息。默认消息有两种长度：
  • 默认短消息 - 此设置由贵组织管理。
  • 默认长消息 - 此设置由贵组织管理。如有疑问，请与您的 IT 部门联系。
• 自定义消息 - 您可以撰写自定义消息，向用户说明设置无法更改的原因。自定义消息有两种长度：
  • 自定义短消息 - 在关闭功能的设置屏幕中，系统会向用户显示短消息。消息最多可包含 200 个字符。
  • 自定义长消息- 在设备管理员的设置屏幕（设置安全设备）中，系统会向用户显示长消息。

如需详细了解面向用户的消息，请参阅 Android Management API。

Android 9.0 Pie 及更高版本的设备支持此设置

允许管理员在从受管设备中移除工作资料时创建向用户显示的自定义消息。

包括以下选项：

• 向用户说明其工作资料已被移除的默认消息 - 这是针对已擦除的工作资料的默认消息。在您移除用户的工作资料后，用户会看到“您的工作资料已被擦除。如果您对此操作不知情，请与您的 IT 管理员联系。”
• 自定义消息 - 管理员可以创建自定义消息，向用户说明其工作资料已被擦除。自定义消息最多可包含 200 个字符。

注意：擦除工作资料时遵循的规则与政策透明度管理相同。

_{“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。}