为移动设备和端点应用通用设置

支持此功能的版本:Frontline Starter 版、Frontline Standard 版和 Frontline Plus 版;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和端点教育升级版;企业基本功能版和企业基本功能 Plus 版;G Suite 基本版和 G Suite 商务版;Cloud Identity 专业版。 比较您的版本

作为管理员,您可以为贵组织中的移动设备设置移动设备管理服务的类型和密码要求。您还可以强制执行安全政策,例如数据访问方法、加密、设备审批和安全系数高的密码。

开启或关闭通用设置

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后通用

    需要拥有移动设备管理管理员权限。

  2. 点击一个设置类别,然后点击一项设置(例如,依次点击安全性设备审批)。 请参阅本页下文了解这些设置
  3. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  4. 选中或取消选中相应的复选框,即可开启或关闭相应设置。 部分设置有多个选项可供您开启或关闭。
  5. 点击保存。或者,您也可以针对组织部门点击覆盖

    如果之后要恢复继承的值,请点击继承

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

通用设置索引

常规

通过这些设置,您可以为移动设备指定设备管理偏好设置和密码要求。

移动设备管理

为贵组织中的设备设置移动设备管理服务的类型。可以为具体的设备平台和具体的组织部门设置不同的管理服务类型。

默认启用的是基本移动设备管理服务。

密码要求

仅支持对移动设备应用此设置

要求为受管理的移动设备设置密码。

有关详情,请参阅为受管理的移动设备设置密码要求

数据访问

通过这些设置,您可以指定 Chrome 信号共享、端点验证、启用 Google 助理以及在移动设备上同步用户工作数据或学校数据的偏好设置。

Chrome 信号共享

从 Chrome 浏览器收集设备信号,可以直接从浏览器收集,也可以通过端点验证扩展程序收集,或者同时通过这两种方式收集。勾选从 Chrome 浏览器收集设备信号对应的复选框后,您就可以获取设备信息,例如操作系统详细信息、加密状态和屏幕锁定状态。

启用 Chrome 信号共享后,Chrome 个人资料同步会报告设备安全信号,这些设备在管理控制台中列为“基本设备”。如需了解详情,请参阅启用或停用 Chrome 信号共享功能

端点验证

勾选使用端点验证收集设备信号对应的复选框后,您就可以获取有关这些设备的详细信息,例如操作系统和用户。如要使用情境感知访问权限规则,也需要启用端点验证。

如果您停用端点验证,但应用了情境感知访问权限规则,那么用户可能无法通过其设备访问受管理的账号。

详细了解端点验证

Android 同步

允许将用户的单位或学校数据同步到受管理的 Android 设备。

如需禁止在 Android 设备上访问工作或学校数据,请取消选中允许在 Android 设备上同步工作数据对应的复选框。这样,用户将无法在 Google 应用(例如 Gmail、日历或云端硬盘)中使用其工作或学校数据。但用户仍可通过设备上的浏览器访问 Web 应用,从而访问工作或学校的数据。

iOS 同步

允许将用户的单位或学校数据同步到受管理的 iPhone 和 iPad。

如需禁止在 iPhone 和 iPad 上访问工作数据或学校数据,请取消选中允许在 iOS 设备上同步工作数据对应的复选框。这样,用户将无法在 Google 应用(例如 Gmail、日历或云端硬盘)中使用其工作或学校数据。但用户仍可通过以下方式访问其工作或学校数据:

  • 通过其设备上的浏览器使用 Web 应用进行访问
  • 如果您启用了 IMAP,用户则可以通过内置的 Apple iOS 应用或 Microsoft Outlook 等第三方应用进行访问
  • 如果您启用了 Google 同步(本文讲解的下一项设置),用户则可以通过内置的 Apple iOS 应用进行访问

Google 同步(仅限 Google Workspace)

支持对 iPhone 和 iPad、Windows Phone、Windows Mobile 以及 BlackBerry 10 设备应用此设置

允许用户通过 Microsoft Exchange ActiveSync 将其工作邮件、学校邮件、联系人和日历同步到其移动设备。

注意:Google 同步不支持 OAuth 身份验证、双重身份验证或安全密钥。为更好地保护贵组织的数据,建议您为贵组织停用 Google 同步并改用其他解决方案

启用 Google 同步后,您还可以设置以下选项:

  • 限制用户可以通过哪些 IP 地址访问 Google 同步。

    让用户只能通过您列出的 IP 地址在移动设备上访问 Google Workspace 邮件、日历和联系人。

    Google 同步 IP 白名单框中添加所需的 IP 地址(掩码),以便用户可以通过这些地址访问其 Google Workspace 邮件、日历和联系人。如需添加多个 IP 地址,请输入采用 CIDR 格式的 IP 范围,或者,用英文逗号分隔各个 IP 地址。

    默认情况下,此设置为关闭状态。请仅在组织需要时再启用此设置。如果组织需要使用 Microsoft Exchange ActiveSync 代理来限制用户在移动设备上访问工作数据的方式,通常就会需要使用此设置。这些组织可能需要通过单独的设备管理服务器(代理服务器)建立 ActiveSync 连接路线。

  • 自动在使用 Google 同步的设备上启用“删除邮件时移入回收站”设置。在设备上停用此设置后,Gmail 会将电子邮件归档而不是删除。了解详情

  • 允许 Android 和 iOS 设备在漫游时自动同步。自动同步可能导致流量费增加。

    您取消选中漫游时开启自动同步复选框后,用户仍可在漫游时手动同步其设备。

Google 助理

支持对 iPhone、iPad 和 Android 4.1 Jelly Bean 及更高版本设备应用此设置。

允许用户通过其受管理的账号在设备上使用“探索”。详细了解探索

注意:Google Workspace 教育版组织的管理员必须获得未满 18 周岁用户的家长同意书,才能启用 Voice Match 和 Face Match。如需了解详情,请参阅管理 Face Match 和 Voice Match

安全

通过这些设置,您可以指定设备审批和设备安全措施的偏好设置。如需将这些设置应用于移动设备,请参阅设置高级移动设备管理

设备审批

支持对以下设备应用此设置:通过高级移动设备管理服务加以管理的移动设备、使用 Google 同步的设备以及启用了端点验证的端点

要求用户只能使用经管理员批准的设备访问其工作或学校数据。

有关详情,请参阅需要管理员批准才能访问设备

相机

支持对 iPhone 和 iPad、Android 4.0 Ice Cream Sandwich 及更高版本的设备以及 Microsoft Windows Phone 应用此设置

允许用户在其设备上使用摄像头。

如需完全禁止使用摄像头,请取消选中允许使用摄像头对应的复选框。不过,对于拥有工作资料的 Android 设备,用户仍然可以在个人应用中使用摄像头。

加密

支持使用 Android 同步的 Android 3.0 Honeycomb 及以上版本设备,以及使用 iOS 同步或 Google 同步的 iOS 设备。如果您使用的是其他设备和第三方应用,请与设备制造商或应用开发者联系。

要求对设备上的数据加密,使用户必须先解锁设备才能读取数据。如果设备丢失或被盗,加密会增加对设备的保护。解锁设备可解密数据。

非活动公司自有设备(仅限 Android 设备)

支持对公司自有的 Android 设备应用此设置

勾选此设置后,系统每月会发送报告,以便您了解过去 30 天内有哪些公司自有的 Android 设备未同步任何工作数据。系统会自动将此报告发送给贵组织中的所有超级用户。如需将报告发送给其他人,请在文本框中输入对方的电子邮件地址。

有关详情,请参阅接收有关公司自有的非活动设备的报告

已破解的设备

支持对 Android 设备以及通过 iOS 同步服务来同步数据的 iPhone 和 iPad 应用此设置

如果有迹象表明 Android 或 iOS 设备被破解或已越狱,则请禁止其同步工作或学校的数据。

  • 选中屏蔽已破解的 Android 设备复选框,可以在有迹象表明 Android 设备可能被破解时屏蔽相应设备。举例来说,如果有人获得了设备的 Root 权限(一种移除设备限制的操作),相应设备便处于破解状态。
  • 选中屏蔽已越狱的 iOS 设备复选框,可以在有迹象表明 iOS 设备可能已越狱(一种移除设备限制的操作)时屏蔽相应设备。如果您勾选此复选框,只要用户的 iOS 设备未安装 Google Device Policy 应用,系统就会提示用户安装。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。