広告
広告
Sophos Mobile
管理员帮助
产品版本号: 9
内容
关于本帮助................................................................................ 1
关于 Sophos Mobile....................................................................... 2
关于 Sophos Mobile Admin................................................................. 3
仪表板.............................................................................. 3
表格视图............................................................................ 4
前提条件............................................................................ 4
用户角色............................................................................ 4
更改您的密码........................................................................ 5
密码恢复............................................................................ 5
使用 Sophos Mobile 管理设备的主要步骤.................................................... 7
报告...................................................................................... 8
任务...................................................................................... 9
监视任务............................................................................ 9
警报..................................................................................... 12
安装..................................................................................... 13
配置个人设置....................................................................... 13
配置密码策略....................................................................... 13
配置 SMC 应用设置................................................................. 14
配置电子邮件....................................................................... 14
配置 IT 部门联系人................................................................ 15
配置隐私设置....................................................................... 15
配置 iOS 设置..................................................................... 16
Apple 推送通知服务证书............................................................ 16
配置 iOS AirPlay 目标............................................................. 19
Android 设置...................................................................... 19
设置 Android 管理模式............................................................. 20
在您的 Web 服务器上托管 Sophos 应用...............................................20
配置 Sophos Mobile Control 应用的同步间隔......................................... 21
启用百度云推送服务................................................................. 21
注册 Samsung Knox 许可证.......................................................... 21
配置 Windows 设备的轮询间隔....................................................... 22
检查您的许可证..................................................................... 22
简单证书注册协议 (SCEP)........................................................... 22
创建客户属性....................................................................... 23
配置 SSL/TLS 证书................................................................. 24
配置 EAS 代理..................................................................... 24
配置网络访问控制................................................................... 24
配置电子邮件服务器连接............................................................. 24
配置代理服务器连接................................................................. 24
配置门户访问权限................................................................... 24
配置文件上传限制................................................................... 25
开启审核日志....................................................................... 25
创建系统消息....................................................................... 25
配置自助服务门户......................................................................... 26
配置自助服务门户设置............................................................... 26
创建注册文本....................................................................... 27
可用的自助服务门户操作............................................................. 28
合规性策略............................................................................... 31
创建合规性策略..................................................................... 31
可用的合规性规则................................................................... 32
将合规策略分配到设备组............................................................. 37
检查设备合规性..................................................................... 37
(2019/05/15)
设备..................................................................................... 38
添加设备........................................................................... 38
注册设备........................................................................... 39
取消设备注册....................................................................... 46
管理设备........................................................................... 47
自定义设备属性..................................................................... 58
Zero-touch 注册................................................................... 59
Knox Mobile Enrollment............................................................ 62
Apple DEP......................................................................... 64
Duo Security 集成................................................................. 74
TeamViewer 远程控制............................................................... 75
设备组................................................................................... 77
创建设备组......................................................................... 77
删除设备组......................................................................... 77
用户..................................................................................... 78
配置自助服务门户用户管理........................................................... 79
配置外部目录连接................................................................... 80
联合身份验证....................................................................... 81
配置 LDAP 连接.................................................................... 83
创建用户........................................................................... 83
导入用户........................................................................... 84
创建用户组......................................................................... 84
配置文件和策略........................................................................... 86
开始使用设备策略................................................................... 87
创建配置文件或策略................................................................. 87
导入用 Apple Configurator 创建的 iOS 设备配置文件................................. 88
导入 iOS 应用的设置配置文件....................................................... 89
关于 macOS 策略................................................................... 89
Windows 密码复杂性规则............................................................ 90
Samsung Knox 支持................................................................. 90
配置文件和策略中的占位符........................................................... 91
在设备上安装配置文件............................................................... 91
向设备分配策略..................................................................... 92
卸载配置文件....................................................................... 92
下载配置文件和策略................................................................. 93
Android 设备配置文件的配置.........................................................93
Android 企业工作配置文件策略的配置................................................109
Android 企业设备策略的配置........................................................120
Android 的 Sophos 容器策略的配置................................................. 132
Android 的 Mobile Security 策略的配置............................................ 141
Knox 容器配置文件的配置...........................................................144
iOS 的 Sophos 容器策略的配置..................................................... 175
iOS 的 Mobile Security 策略的配置................................................183
macOS 设备策略的配置............................................................. 185
macOS 用户策略的配置............................................................. 199
Windows Mobile 策略的配置........................................................ 215
Windows 策略的配置............................................................... 224
Windows IoT 策略的配置........................................................... 234
任务捆绑包.............................................................................. 237
创建任务捆绑包.................................................................... 237
可用的 Android 任务类型.......................................................... 238
可用的 iOS 任务类型.............................................................. 241
可用的 macOS 任务类型............................................................ 243
可用的 Windows 任务类型.......................................................... 244
(2019/05/15)
复制任务捆绑包.................................................................... 246
将任务捆绑包传输至个人设备或设备组................................................ 246
应用程序................................................................................ 247
添加应用.......................................................................... 247
安装应用.......................................................................... 248
卸载应用.......................................................................... 249
应用设置 (Android)............................................................... 250
应用设置 (iOS)................................................................... 252
应用设置 (macOS)................................................................. 254
应用设置 (Windows Mobile)........................................................ 255
应用设置 (Windows)............................................................... 256
确定 Windows MSI 链接的设置...................................................... 257
iOS 的托管应用................................................................... 258
管理 Apple VPP 应用..............................................................258
将 VPN 连接分配给 iOS 应用...................................................... 263
将托管应用配置添加到 iOS 应用.................................................... 263
应用组.................................................................................. 265
创建应用组........................................................................ 265
导入应用组........................................................................ 266
企业文档................................................................................ 268
添加公司文档...................................................................... 268
Android 企业........................................................................... 270
设置 Android 企业 - 概述........................................................ 270
设置 Android 企业(托管 Google Play 帐户方案)................................... 271
设置 Android 企业(托管 Google 域方案).......................................... 272
配置 Android 企业设备注册........................................................ 275
管理 Android 企业用户(托管 Google 网域方案).................................... 276
创建工作配置文件.................................................................. 277
锁定工作配置文件.................................................................. 277
从设备删除工作配置文件............................................................ 278
用户启动的工作配置文件删除........................................................ 278
Android 恢复出厂设置保护..........................................................278
托管的 Google Play 应用.......................................................... 280
Intune 应用保护........................................................................ 286
设置 Microsoft Intune 集成....................................................... 286
创建 Intune 应用保护策略......................................................... 287
将应用分配给 Intune 应用保护策略................................................. 287
将用户分配给 Intune 应用保护策略................................................. 287
Intune 应用保护策略设置 (Android)................................................ 288
Intune 应用保护策略设置 (iOS).................................................... 292
管理 Sophos Mobile Security............................................................ 296
Sophos Mobile Security 合规性规则................................................ 296
配置第三方 EMM 集成.................................................................... 298
创建管理员.............................................................................. 300
向设备发送消息.......................................................................... 301
Sophos 容器............................................................................ 302
配置 Sophos 容器注册............................................................. 302
Mobile Advanced 许可证........................................................... 302
管理 Sophos 容器应用............................................................. 303
重置 Sophos 容器密码............................................................. 304
锁定和解锁 Sophos 容器........................................................... 304
企业 Keyring 同步................................................................ 305
将内容传递到 Sophos Central............................................................ 306
导出内容.......................................................................... 306
导入内容.......................................................................... 306
用语表.................................................................................. 308
(2019/05/15)
技术支持................................................................................ 309
法律声明................................................................................ 310
(2019/05/15)
Sophos Mobile
1 关于本帮助
本帮助提供了有关Sophos Mobile Admin管理控制台的信息,并对操作程序进行了详细解释。
这些描述适用于本地安装的 Sophos Mobile 和 Sophos Mobile 即服务。
有关此帮助的其他版本,请参阅 Sophos Mobile 文档 网页。
版权所有 © Sophos Limited 1
2
Sophos Mobile
2 关于 Sophos Mobile
Sophos Mobile
Sophos Mobile 是一套 EMM 解决方案,适合希望节省管理和保护移动设备的时间和精力的公司。通过
易于使用、基于 Web 的统一 Sophos Central 管理界面管理移动设备,享受 Sophos 提供的端点、网
络或服务器安全性。安全的容器应用以及在 iOS、Android 企业和 Samsung Knox 中对移动 OS 容器
化的支持,可以确保设备上敏感的公司数据和个人信息相分离。
Sophos Mobile 提供了一流的数据保护、综合的安全性、很高的资金利用价值以及灵活的管理选项,
是允许将移动设备用于工作、保持用户的生产效率、保持企业数据安全和保护个人数据隐私的最佳途
径。
Sophos Mobile Security
Sophos Mobile Security 不仅可以保护您的 Android 设备,而且不会影响设备的性能或电池的寿
命。Sophos Mobile Security 利用领先的 Sophos 反恶意软件技术,提供屡获殊荣的反恶意软件和反
病毒功能,能够检测可能不需要的应用,并且提供了隐私和安全顾问、丢失和被盗保护、Web 保护等
功能。
Sophos Secure Workspace
Sophos Secure Workspace 是针对 iOS 和 Android 系统的容器化移动内容管理应用,为保护、管理
和分发企业文档及 Web 内容提供了安全的途径。在容器环境中编辑 Office 格式文档,确保加密内容
保持安全。防钓鱼技术能够阻止用户打开文档或内容中的恶意链接。
通过 Sophos Mobile 托管时,管理员能够根据设备合规性规则,轻松限制内容的访问。和 Sophos
SafeGuard Encryption 一起使用,Sophos Secure Workspace 能够在 Windows、macOS、iOS 和
Android 用户之间提供加密文件(存储在本地或云上)的无缝交换。
Sophos Secure Email
Sophos Secure Email 是针对 Android 和 iOS 系统的全功能、安全且容器化的电子邮件应用,通
过 Sophos Mobile 托管时,它让您可以在移动设备上分离企业电子邮件、日历及联系人和个人数
据。所有公司信息都受到 AES-256 加密方式的保护,并且可以根据设备合规性规则轻松取消访问权
限。Sophos Secure Email 还让 IT 人员可以跨不同的设备和操作系统安全一致地设置企业电子邮
件。
版权所有 © Sophos Limited
Sophos Mobile
3 关于 Sophos Mobile Admin
Sophos Mobile Admin是使用 Sophos Mobile 管理设备的主要工具。服务器的 Web 界面可用于管理设
备。使用 Web 门户,可以执行使用设备的企业政策,并将其应用到向 Sophos Mobile 注册的设备。
在 Sophos Mobile Admin 中,您可以:
• 配置系统,如个人设置或平台特定的设置。
•
配置合规性策略,并定义设备不再符合指定规则时要采取的行动。请参阅 合规性策略
(第 31
页)。
•
(第 38 页)。
•
(第 39 页)。
•
(第 247 页)。
•
(第 86 页)。
•
创建任务捆绑包以捆绑多个任务,并在一次事务处理中将它们传输到设备。请参阅 任务捆绑包
(第
237 页)。
•
(第 26 页)。
• 在设备上执行管理任务,例如,重置设备密码、锁定或擦除设备(如设备丢失或被盗)、取消设备
(第 47 页)。
•
(第 8 页)。
3.1 仪表板
注释
本节内容适用于普通管理员的仪表板页面。对于超级管理员,仪表板页面用于管理客户。请参阅
Sophos Mobile 超级管理员指南 。
可自定义的仪表板是 Sophos Mobile 的常规启动页面,它提供了一种快速浏览最重要信息的途径。它
由几个小组件构成,提供以下信息:
• 设备,全部或分组
• 合规性状态,按平台或所有设备
• 管理状态(按平台或所有设备)
• SSP 注册状态
• 托管的平台版本
(第 41 页)。
以下选项可用于自定义仪表板:
• 要在页面中添加小组件,请单击添加小组件。
• 要从页面中删除小部件,请单击其标题中的关闭按钮。
• 要将页面重置为其默认布局,请单击恢复默认布局。
• 要在页面上重新排列小组件,请拖动小组件的标题。
版权所有 © Sophos Limited 3
4
Sophos Mobile
3.2 表格视图
在 Sophos Mobile Admin,很多页面以表格形式显示信息。
这些表格有常用的控件,可以与其进行交互。
在表格上面:
• 使用显示或隐藏列图标配置表格的哪些列可见。
• 在搜索所有字段字段中输入文本,可以仅显示任意列中包含该文本的数据行。
在表格中:
• 单击列标题可以按该属性对表格的行排序。再次单击可改变排序顺序。
• 单击条目名称可对该条目执行默认的操作 (通常是编辑)。
• 单击条目名称旁边的蓝色三角形,可以对该条目执行更多操作。
在表格下面:
• 使用导航按钮显示特定的表格页面。
• 使用导出图标将整个表格或当前页面导出为 Microsoft Excel 文件或 CSV 文件。如果您配置了
行筛选器,将只导出当前可见的行。
3.3 前提条件
使用 Sophos Mobile Admin 前:
• 您需要一台连接到互联网并配备网页浏览器的计算机。有关支持的浏览器及相关版本的信息,请参
阅 Sophos Mobile 发行说明。
• 超级管理员必须创建了客户(其设备在 Sophos Mobile 中进行管理的租户)。有关详细信息,请参
阅 Sophos Mobile 超级管理员指南 。
注释
对于 Sophos Mobile 即服务,客户是预定义的。Sophos Mobile 即服务不支持超级管理员。
• 您需要 Sophos Mobile 用户帐户及相关凭据,以登录到 Sophos Mobile Admin。凭据由客户、用户
名和密码组成。
3.4 用户角色
Sophos Mobile 管理员有不同的角色。角色影响管理员可以执行的操作。
可用的角色有:
角色
管理员
说明
此角色可以执行所有可用的操作。
版权所有 © Sophos Limited
角色
受限制的管理员
报告
内容管理员
支持人员
只读访问
应用组管理员
Duo API
Sophos Mobile
说明
此角色可以注册和管理设备,但不能指定基本设置,也不能管
理其他管理员。
此角色可以查看设备列表,并且可以创建报告。例如,审计员
或需要在 Sophos Mobile 中记录设置的员工。
此角色用于负责进行上传、更新或删除文档操作的员工。此角
色通常分配给 IT 部门以外的人员。权限设置为限制可见性,
且只能访问文档菜单中的内容。
此角色可以执行支持性的操作,包括注册设备和安装应用。该
角色无权访问关键功能,如定义设置和创建、删除或编辑设备/
设备组、软件包和策略。
对于管理员角色可以使用的所有设置,此角色拥有只读访问权
限。
此角色可以管理应用组。典型的用户是访问 Sophos Mobile
Web 服务界面以创建、更新或读取应用组的管理员。
与 Duo Security 身份验证软件进行集成需要此角色。Duo API
角色的管理员可以访问 Sophos Mobile Web 服务界面,从而请
求设备的管理状态。
提示
您的 Sophos Mobile 产品交付包括角色编辑器。角色编辑器可让您轻松修改现有用户角色或创建
自己的自定义角色。您可以在 %MDM_HOME%\tools\Wizard 文件夹中找到它,其中 %MDM_HOME% 是
Sophos Mobile 安装文件夹。
有关如何使用角色编辑器的信息,请参阅 Sophos 知识库文章 122066 或联系 Sophos 支持团队。
相关任务
3.5 更改您的密码
登录 Sophos Mobile Admin后,您可以随时更改您的密码:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > 常规然后单击 更改密码 选项卡。
2. 输入您的旧密码、新密码,并确认。
3. 单击保存。
3.6 密码恢复
如果您忘记了 Sophos Mobile Admin的密码,您可以重置该密码。
1. 在 Sophos Mobile Admin 的登录对话框中,单击忘记密码?
版权所有 © Sophos Limited 5
Sophos Mobile
将显示重置密码对话框。
2. 输入您的账户信息,然后单击重置密码。
您将会收到一封含有重置密码链接的电子邮件。
3. 单击该链接。
将显示更改密码对话框。
4. 输入新密码,确认并单击更改密码。
您的密码已更改,并登录到 Sophos Mobile Admin。
6 版权所有 © Sophos Limited
Sophos Mobile
4 使用 Sophos Mobile 管理设备的主要步
骤
根据设备类型、安全策略及贵组织的特定要求,Sophos Mobile 提供了各种管理功能。
使用 Sophos Mobile 管理设备的主要步骤为:
•
(第 31 页)。
•
(第 77 页)。
设备组用于对设备进行分类。建议将设备放入组中。这样有助于您有效地管理设备,因为您可以
对设备组执行任务,而不是对单个设备。
•
(第 38 页)和
设备可以由管理员在 Sophos Mobile Admin 中或由设备用户在 自助服务门户 中注册并设置。
•
(第 86 页)。
•
(第 237 页)。
•
(第 26 页)。
• 对注册的设备应用新的或更新后的策略。
版权所有 © Sophos Limited 7
Sophos Mobile
5 报告
您可以为 Sophos Mobile 管理的内容创建报告。
1. 在侧边的菜单栏上,单击通知下的报告,然后单击所需报告的名称。
2. 在选择格式对话框中,单击其中一个可用的图标,选择输出格式︰
•
单击 可将报告导出到 Microsoft Excel 文件。
•
单击 可将报告导出到 CSV 文件。
报告将保存到您的计算机。
8 版权所有 © Sophos Limited
Sophos Mobile
6 任务
任务视图页面提供了您创建和启动的所有任务的概况,并显示它们的当前状态。
您可以监视您的所有任务,并在出现问题时进行干预。例如,您可以删除不能完成但又影响设备的任
务。
要删除任务,请单击它旁边的删除图标。
可以根据类型和状态对任务进行筛选,并按设备名称、数据包名称、创建人和计划日期对它们排序。
6.1 监视任务
在 Sophos Mobile Admin中,您可以监视设备的所有现有任务。
• 任务页面显示最近几天内所有未完成、失败以及已完成的任务。任务视图页面会自动刷新,因此
可以查看任务的状态。
• 任务详细信息页面显示来自任务页面或任务存档页面中的任务的常规信息。
• 任务存档页面显示所有任务。
6.1.1 查看未完成、失败和最近完成的任务
1. 在侧边的菜单栏中,单击通知下的任务。
2. 在任务视图页面上,状态列显示任务状态,例如,完全失败。
3. 在刷新间隔(秒)字段中,可以选择任务视图页面多长时间刷新一次。
4. 要查看任务的详细信息,请单击所需任务旁边的显示放大镜图标。
将显示任务详细信息页面。除有关任务的一般信息 (如设备名、软件包名称和创建人) 以外,它还
会显示特定任务运行的状态,包括时间戳和错误代码。如有需要设备执行的命令,可使用任务详细
信息页面上的附加详细信息按钮。
5. 如可用,请单击详细信息以查看需要设备处理的命令。
如果没有出错,错误代码为 0。如果某个命令失败,将显示错误代码。在大多数情况下,还会有导
致命令失败的原因的说明。
6. 要返回任务详细信息页面,请单击返回。
6.1.2 查看任务存档
1. 在侧边的菜单栏中,单击通知下的任务。
2. 在任务视图页面中,单击任务存档。
将显示任务存档页面。它会显示系统中所有完成和失败的任务。
3. 在此页面上,可以:
• 单击重新加载,刷新任务存档页面。
• 通过单击相关任务旁边的删除图标,从存档中删除任务。
• 选中多个任务并单击删除选中内容按钮,将它们从存档中删除。
要返回任务视图页面,请单击侧边菜单栏中的任务。
版权所有 © Sophos Limited 9
Sophos Mobile
6.1.3 任务状态
下表概述了任务视图和任务存档页面中显示的任务状态。
每种状态都与指示状态类别的颜色代码相关联。
颜色代码 状态
接收
说明
任务已创建。
将重试 稍后将重试任务。
已开始
正在执行
正在执行任务捆绑包
通知
发送命令
开始结果评价
结果不完整
等待用户介入
等待任务完成
设备被锁定
成功
任务已开始。
正在准备执行任务。
正在准备执行任务捆绑包。
已通知 Sophos Mobile Control 应用。
Sophos Mobile Control 应用已接收软件包和/或命
令。
Sophos Mobile Control 应用已响应且已开始评价结
果。
评价结果表明,目前并非所有命令结果均已收到。
设备上有待定的用户操作。
安装任务已发送到设备,但完成任务需要一些时间。
任务等待设备解锁(iOS)。
已安装软件包或已成功执行命令。
注释
对于 Sophos Mobile Control 应用的初始配置,
任务必须以已安装状态完成。
已安装
结果评价失败
任务部分失败
已成功安装 Sophos Mobile Control 应用。设备现在
已设置。
结果评价无法执行。
并非所有任务命令均可成功执行。
10 版权所有 © Sophos Limited
颜色代码 状态
延迟
失败(等候重试)
任务失败
完全失败
未开始
已跳过
未知
颜色代码 类别
打开
正在执行
成功
失败
其他
Sophos Mobile
说明
稍后将重启任务。
任务已失败,稍后将重试该任务。
任务已失败,不再等候进一步重试。
任务已失败,且不能再重试。
任务是任务捆绑包的一部分,且尚未处理。
设备不支持。任务包执行继续执行下一个任务。
服务器没有有关任务状态的信息。
版权所有 © Sophos Limited 11
Sophos Mobile
7 警报
警报 页面列出了需要您注意的警报。
对于每个警报,列表显示引起警报的事件、发生时间以及受影响的用户和设备。
该列表还显示警报的严重性:
灰色信息标志信息警报
橙色警告标志中等优先级警报
红色警告标志高等优先级警报
确认已知警报
选择一个或多个警报,然后单击标记为已确认以从列表中删除所选警报。要显示已确认的警报,请在
表格上方的下拉列表中选择 显示已确认的警报。
注释
确认警报并不能解决触发它的事件。
重要提示
90 天后,即使您尚未确认,警报也会自动从 Sophos Mobile 数据库中删除。
设置警报的电子邮件报告
Sophos Mobile 发送尚未确认的所有警报的电子邮件报告。有关如何设置收件人列表和通知时间表的
(第 14 页)。
哪些事件触发警报?
为以下事件创建警报:
• 您已为其开启创建警报操作的合规性违反情况。
• 设备生命周期的变化以及重要的设备操作。
• 许可证和证书即将过期。
• 其他需要注意的事项。
12 版权所有 © Sophos Limited
Sophos Mobile
8 安装
在安装菜单部分可以配置 Sophos Mobile 的一般行为、与设备的交互以及与外部组件 (如 Google 或
Apple 门户) 的交互。
8.1 配置个人设置
您可以根据自己的喜好调整 Sophos Mobile Admin 的外观。例如,您可以设置语言、时区或可见的设备
平台。
注释
这些设置只影响您当前用于登录的管理员帐户。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > 常规然后单击 个人 选项卡。
2. 配置以下设置:
选项
语言
说明
用户界面语言。
时区
单位系统
显示日期的时区。
长度单位 (公制或英制)。
表格中每个页面的行数
专家模式
激活的平台
每个表页显示的最大条目数。
此设置开启附加功能:
• 显示设备页面包括带有自定义设备属性的自定义属性选项
卡。
• 显示设备页面包括带有附加属性设备报告的内部属性选项
卡。
• 多个策略配置页面包括用于配置可选设置的额外设置部分。
您要查看的设备平台。
在 Sophos Mobile Admin 中,只显示与所选平台相关的页面和
设置。
3. 单击保存。
8.2 配置密码策略
为加强密码安全性,请为 Sophos Mobile Admin 用户和自助服务门户配置密码策略。
版权所有 © Sophos Limited 13
Sophos Mobile
14
注释
密码策略不适用于外部 LDAP 目录中的用户。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > 常规然后单击 密码策略 选项卡。
2. 在规则下,可以定义密码要求,如有效密码必须包含的小写、大写或数字字符的最小数目。
3. 在设置下,配置以下设置: a) 更改密码的间隔天数(天):输入密码过期之前的天数(1 和 730 之间),或将该字段保留为
空以禁用密码过期。 b) 不得重复使用的旧密码的数目:选择 1 和 10 之间的值,或选择 --- 禁用此限制。 c) 登录尝试失败的最大次数:选择帐户被锁定之前可以尝试的失败登录次数 (1 和 10 之间),或
选择 --- 允许无限次失败的登录尝试。
4. 单击保存。
8.3 配置 SMC 应用设置
在常规设置页面的 SMC 应用选项卡上,可以为 Android、iOS 和 Windows Mobile 设备上的 Sophos
Mobile Control 应用配置设置。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > 常规然后单击 SMC 应用程序 选项卡。
2. 配置以下设置:
选项
禁用通过应用程序取消注册
说明
可以从 Sophos Mobile Control 应用删除取消注册按钮,防止用
户通过该应用取消其设备注册。
注释
要完全防止用户启动的取消注册,也可以在自助服务门户设
(第 26 页)。
3. 单击保存。
8.4 配置电子邮件
在 邮件配置 选项卡上,您可以配置由 Sophos Mobile 发送的电子邮件的设置。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > 常规然后单击 邮件配置 选项卡。
2. 在 语言 中,选择电子邮件语言。
3. 在 发件人名称,输入显示为电子邮件发件人的名称。
4. 可选: 在 警报电子邮件设置 下,配置发送给管理员的警报报告: a) 在 严重性 中,选择报告中包含的严重性级别。 b) 在 邮件收件人 中,通过输入一个或多个有效的电子邮件地址来指定收件人。 c) 在 电子邮件计划 中,输入报告发出的时间,然后单击 添加。
重复此操作,每天发送多个报告。
版权所有 © Sophos Limited
Sophos Mobile
注释
时间在服务器时区中。
5. 单击 保存。
相关概念
8.5 配置 IT 部门联系人
提供 IT 部门联系人详细信息,以便用户遇到问题时可以寻求帮助。
您在此处输入的信息将显示在自助服务门户以及用户的设备上。
1. 在侧边的菜单栏中,单击设置下的安装 > 常规,然后单击IT 部门联系人选项卡。
2. 输入联系人信息。
3. 单击保存。
8.6 配置隐私设置
您可以在 Sophos Mobile Admin 中关闭以下与隐私有关的设置:
设备定位
关闭后,您将不能查看设备位置。用户仍然可以
在 自助服务门户中查看其设备的位置。
已安装的应用
关闭后,您将不能查看设备上安装的应用。设
备详细信息中的已安装的应用选项卡将不显示,
且每个设备的应用报告不可用。
您仍然可以查看所有设备安装的应用的摘要报
告。
要配置隐私设置:
1. 在侧边的菜单栏上,在 设置 下,单击 安装 > 常规然后单击 隐私条款 选项卡。
2. 要关闭设备位置查看功能,请单击禁止管理员定位设备。
3. 要关闭安装应用的显示,请单击隐藏安装的应用。
注释
Sophos Mobile 将记录以下与私隐有关的事件:
• 管理员请求设备位置。
• 用户在 自助服务门户中请求设备位置。
• 在 Sophos Mobile Admin 中开启或关闭设备位置查看功能。
• 在 Sophos Mobile Admin 中开启或关闭安装应用的查看。
版权所有 © Sophos Limited 15
Sophos Mobile
8.7 配置 iOS 设置
在Apple 设置页面的iOS选项卡上配置 iOS 设备的设置。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 iOS 选项卡。
2. 配置以下设置:
选项
激活锁定跳过
同步设备名称
说明
选择启用可以在受监督的设备上清除激活锁定。
选中此选项后,Sophos Mobile 将在同步已启用激活锁定的
受监督设备时检索跳过代码。如果需要,可以在设备的显示设
备页面上执行激活锁定跳过操作,在需要擦除和重新部署设备
时清除激活锁定。
激活锁定是 iOS 的一项安全功能,可以防止重新激活丢失或被
盗的设备。通常,需要正确的 Apple ID 和密码才能清除激活
锁定。使用激活锁定跳过功能,只需要提供跳过代码就可以清
除激活锁定。
选中启用可以通过设备上配置的名称来管理 iOS 设备。
如果选中此选项,Sophos Mobile 使用的设备名称将在 Sophos
Mobile 每次同步设备时设置。
如果不选择此选项,可以在设备注册时设置设备名称。
3. 单击保存。
8.8 Apple 推送通知服务证书
要使用 iOS 和 macOS 设备的内置移动设备管理 (MDM) 协议,Sophos Mobile 必须使用 Apple 推送
通知服务 (APNs) 触发设备。
Sophos Mobile 按客户管理 APNs 证书。必须为使用的每个客户创建并上传证书。
APNs 证书的有效期为一年。
16
8.8.1 创建 APNs 证书
前提条件:您还没有将 Apple 推送通知服务 (APNs) 证书上传到 Sophos Mobile。
(第 17 页)。
提示
您可以对多个客户使用相同的证书。请参阅
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 APNs 选项卡。
2. 单击 APNs 证书向导。
3. 在模式页面上,单击创建新的 APNs 证书。
4. 在CSR页面上,单击下载证书签名请求。
将把证书签名请求文件 apple.csr 保存到您的本地计算机。签名请求文件特定于当前客户。
版权所有 © Sophos Limited
Sophos Mobile
5. 您需要 Apple ID。即便您已经有 ID,我们还是建议您创新一个新的 ID 用于 Sophos Mobile。
在Apple ID页面上,单击在 Apple 门户中创建 Apple ID。
将打开一个 Apple 网页,您可以在其中为您的公司创建 Apple ID。
注释
将凭据存储在一个您的同事可以访问的安全地方。您的公司每年都需要这些凭据来续订证书。
6. 在向导中,将新的 Apple ID 输入 Apple ID 字段。
7. 在证书页面上,单击在 Apple 门户中创建证书。
将打开 Apple 推送证书门户。
8. 用您的 Apple ID 登录,并上传证书签名请求文件 apple.csr。
9. 下载 .pem APNs 证书文件,并将其保存到您的计算机上。
10. 在上传页面上,单击上传证书,然后浏览并找到您从 Apple 推送证书门户收到的 .pem 文件。
11. 单击保存。
Sophos Mobile 读取证书,并在 APNs 选项卡上显示证书详细信息。
8.8.2 续订 APNs 证书
前提条件:您已经上传了 Apple 推送通知服务 (APNs) 证书到即将过期且需要续订的 Sophos
Mobile。
(第 16 页)。
重要提示
在 Apple 门户中,选择正确的 APNs 证书进行续订很重要。如果续订了错误的证书,可能需要重新
注册所有 iOS 和 macOS 设备。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 APNs 选项卡。
2. 单击 APNs 证书向导。
3. 在模式页面上,单击续订我的 APNs 证书。
4. 在CSR页面上,单击下载证书签名请求。
将把证书签名请求文件 apple.csr 保存到您的本地计算机。签名请求文件特定于当前客户。
5. 在Apple ID页面上,将显示用于创建初始 APNs 证书的 Apple ID。
登录 Apple 门户需要此 ID。
6. 在证书页面上,单击在 Apple 门户中续订证书。
将打开 Apple 推送证书门户。
7. 使用向导中显示的 Apple ID 登录。
8. 在 Apple 推送证书门户中,单击 Sophos Mobile APNs 证书旁边的续订。
9. 上传您之前准备的证书签名请求文件 apple.csr。
10. 下载 .pem APNs 证书文件,并将其保存到您的计算机上。
11. 在上传页面上,单击上传证书,然后浏览并找到您从 Apple 推送证书门户收到的 .pem 文件。
12. 单击保存。
版权所有 © Sophos Limited 17
Sophos Mobile
18
重要提示
如果显示以下消息,则不是在续订正确的证书:
新证书的主题不符合旧证书。如果设备已经用先前证书进行设置,则必须重新进行设置。确定要保存
更改?
此消息表明您将使用不同的标识符创建新的 APNs 证书。如果您确认该消息,将不能再管理所有现有
的 iOS 和 macOS 设备,并且您必须重新注册这些设备。
有关如何选择正确证书的信息,请参阅 确定正确的 APNs 证书进行续订
(第 18 页)。
8.8.3 复制 APNs 证书到其他客户
您可以将 Apple 推送通知服务 (APNs) 证书复制到安装的相同或不同 Sophos Mobile 中的其他客
户。
重要提示
如果目标位置已经有 APNs 证书,要复制的证书的主题属性与现有证书的主题相同很重要。如果复
制了错误的证书,可能需要重新注册客户的所有 iOS 和 macOS 设备。
下载证书:
1. 以要复制其 APNs 证书的客户的管理员身份登录到 Sophos Mobile Admin。
2. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 APNs 选项卡。
3. 记录APNs 证书下显示的主题值。
4. 单击 将证书下载为 PKCS #12 文件。
5. 在确认对话框中,将显示证书文件的密码。记录该密码,然后单击下载。
将把证书文件 apns_cert.p12 保存到您的本地计算机。
将证书上传到其他客户:
6. 以要向其上传证书的客户的管理员身份登录到 Sophos Mobile Admin。
7. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 APNs 选项卡。
8. 如果已经有 APNs 证书,请检查主题值是否与您要复制的证书的值相同。
9. 单击 APNs 证书向导。
10. 在模式页面上,单击上传来自其他 Sophos Mobile 客户的 APNs 证书。
11. 在Apple ID页面上,输入用于创建要上传的 APNs 证书的 Apple ID。
12. 在上传页面上,单击上传证书,然后浏览并找到从其他客户下载的 apns_cert.p12 文件。
13. 输入密码,然后单击确定
14. 单击保存。
8.8.4 确定正确的 APNs 证书进行续订
(第 17 页)中所述,当您为 Sophos Mobile 服务器续订 Apple 推送通知服务
(APNs) 证书时,在 Apple 门户中选择正确的 APNs 证书进行续订很重要。
本节介绍如何确定当前上传到 Sophos Mobile 服务器的 APNs 证书。
检索证书标识符:
1. 使用其 APNs 证书需要续订的客户的管理员帐户,登录到 Sophos Mobile Admin。
2. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 APNs 选项卡。
版权所有 © Sophos Limited
Sophos Mobile
3. 记录APNs 证书下显示的主题值。
确定证书:
4. 使用您的 Web 浏览器打开 Apple 推送证书门户的 URL: https://identity.apple.com/ pushcert/ 。
如果您在 Microsoft Internet Explorer 中使用 Apple 门户的某些功能时遇到问题,建议您改用
最新版本的 Firefox、Opera、Chrome 或 Safari 浏览器。
5. 使用用于创建初始 APNs 证书的 Apple ID 登录。
6.
在 APNs 证书的列表中,单击一个证书项旁边的证书信息图标 。
将显示证书的详细信息。
7. 在对象 DN 字段中,找到字符串 UID = 后的值。如果它与您在 Sophos Mobile Admin中确定的标识
符相匹配,则说明您找到了正确的证书。
8.8.5 检查设备的 APNs 连接
Sophos Mobile Control 应用的 iOS 用户可以检查他们的设备是否可以连接到 Apple 推送通知服务
(APNs) 服务器。
1. 在 Sophos Mobile Control 应用中,点击信息图标,打开关于屏幕。
2. 点击检查 APNs。
该应用将尝试连接到 Apple APNs 服务器。预期的服务器响应时间为 5 秒或更少。
如果无法访问 APNs 服务器,请检查您的防火墙设置。有关所需连接的列表,请参阅 Sophos Mobile
部署指南 。
8.9 配置 iOS AirPlay 目标
使用 Sophos Mobile,可以触发 iOS 设备和预设 AirPlay 目标(如 AppleTV)之间的 AirPlay 镜
像。
注释
AirPlay 仅适用于在同一网络内的设备。
可以定义 AirPlay 镜像的目标。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 iOS AirPlay 选项卡。
2. 在 AirPlay 目标部分,单击创建 AirPlay 目标。
将显示 AirPlay 目标页面。
3. 输入设备名称,以及可选的 AirPlay 目标设备的 MAC 地址。如果需要,请输入设备的密码。
4. 单击应用。
该设备将显示在Apple 设置页面上 iOS AirPlay 选项卡中的 AirPlay 目标下。
5. 单击保存。
单击相关设备的显示设备页面上操作菜单中的请求 AirPlay 镜像,可以触发 iOS 设备和该目标间的
AirPlay 镜像。
8.10 Android 设置
在 Android 设置页面的 Android 选项卡上配置 Android 设备的设置:
版权所有 © Sophos Limited 19
Sophos Mobile
•
•
(第 21 页)
•
在您的 Web 服务器上托管 Sophos 应用 (第 20 页).
•
配置 Sophos Mobile Control 应用的同步间隔 (第 21 页).
8.11 设置 Android 管理模式
对于 Android 设备,您可以选择设备管理员和 Android 企业管理模式。
设备管理员
Android 企业
Sophos Mobile Control 是设备管理员,使用
Android 移动设备管理 (MDM) 管理设备。
Sophos Mobile Control 是设备或配置文件所有
者,使用 Android 企业管理设备或设备上的工作
区。
我们建议您使用 Android 企业。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 选项卡。
2. 在管理模式中,为 Android 设备选择管理模式。
3. 单击保存。
此设置影响用户界面中可用的策略类型。
如果选择 Android 企业模式,您必须先为您的组织设置 Android 企业,然后才能注册设备。请参
阅
8.12 在您的 Web 服务器上托管 Sophos 应用
您可以在内部 Web 服务器上,而非 Google Play 上托管用户在注册期间安装的 Sophos 应用。
重要提示
• 此选项可能会引入安全风险。当您在内部 Web 服务器上托管 Sophos 应用时,通常必须允许安
装来自 Google Play 以外的应用。
• 请确保在移动设备上安装最新版本的应用。定期从 Sophos 产品下载和更新 网页将最新版本上传
到您的 Web 服务器,然后使用任务捆绑包将其安装到设备上。
1. 以超级管理员帐户登录 Sophos Mobile Admin。
2. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 选项卡。
3. 在选择安装源下,选择托管的 APK 文件。
4. 在SMC APK 文件的 URL中输入Sophos Mobile Control应用的 URL。
例如,如果您已经将 APK 文件复制到 Web 服务器部署目录下的 smc 子目录,请输入以下
URL:<web_server_address>/smc/smc.apk
设备必须能够访问该 URL。
5. 同样,在SMSec APK 文件的 URL中输入Sophos Mobile Security应用的 URL。
这将需要 Mobile Advanced 许可证。
6. 单击保存。
20 版权所有 © Sophos Limited
Sophos Mobile
8.13 配置 Sophos Mobile Control 应用的同步间
隔
Sophos Mobile Control 应用在以下时间与 Sophos Mobile 服务器同步:
• 立即,即当它需要通报设备侧变化时。
• 根据请求,即当服务器通过推送通知服务 Google Cloud Messaging (GCM) 和可选的百度云推送
触发时。
• 按设定的时间,默认为每 24 小时。
如果需要,您可以使用更短的时间间隔进行设定时间同步。
对于Sophos Mobile on Premise,该选项由超级管理员配置。
重要提示
24 小时的默认值在大多数情况下已经足够。建议您仅在推送通知服务在您的环境中不起作用时才
使用较短的间隔。使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务器负载。
要配置 Sophos Mobile Control 应用在 Android 设备上使用的同步间隔:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 选项卡。
2. 在SMC 应用程序同步间隔下,从同步间隔列表中选择一个介于 15 分钟和 24 小时的值。
3. 单击保存。
8.14 启用百度云推送服务
Sophos Mobile 使用 Google Firebase Cloud Messaging (FCM) 服务向 Android 设备发送推送
通知,从而触发设备与 Sophos Mobile 服务器通信。在中国,FCM 可能无法使用。因此,Sophos
Mobile 还可以使用百度云推送服务,这是中国的推送通知服务。
如果要管理位于中国的 Android 设备,请按以下步骤启用百度云推送服务:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 选项卡。
2. 在百度云推送服务部分,选择启用百度云推送服务。
3. 单击保存。
启用百度云推送服务后,Sophos Mobile 将通过 FCM 和百度云推送服务发送所有推送通知。
8.15 注册 Samsung Knox 许可证
如果您有 Samsung Knox Premium 许可证,则可以通过 Sophos Mobile 管理您的 Samsung 设备上的
Knox 容器。
要注册 Samsung Knox Premium 许可证密钥:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Samsung Knox 许可证 选
项卡。
2. 输入您的 Samsung Knox Premium 许可证密钥。
您可以输入 KPE Premium 类型或 KLM Workspace 类型的许可证密钥。
3. 单击保存。
版权所有 © Sophos Limited 21
Sophos Mobile
如果您以后决定不在 Sophos Mobile 中使用 Samsung Knox Premium 许可证,可单击删除取消该许可
证密钥的注册。
8.16 配置 Windows 设备的轮询间隔
对于 Windows 设备,可以配置 Windows MDM 客户端和 Sophos Mobile 服务器进行通信的轮询间隔。
服务器通常使用推送通知联系客户端。推送通知服务不可用时,使用轮询作为安全方式。
注释
默认值在大多数情况下已经足够。使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务
器负载。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Microsoft 设置然后单击 Windows 选项卡。
2. 为不同的 Windows 操作系统选择轮询间隔。可以为以下设备配置单独的设置︰
• Windows 10 移动版和 Windows Phone 8.1 设备
• Windows 10 计算机
3. 单击保存。
8.17 检查您的许可证
Sophos Mobile 采用基于用户的许可证授权方案。一个用户许可证对分配给该用户的所有设备都有效。
每个未分配给用户的设备都需要一个许可证。
在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 许可证 选项卡。
将显示以下信息:
• 最大许可证数目:可以管理的设备用户(和未分配的设备)的最大数目。
如果超级管理员没有为客户设置配额,许可证的数量将受 Sophos Mobile 服务器的总量限制。
• 使用的许可证:在用的许可证数量。
• 有效期至:许可证的到期日期。
• 高级许可证:超级管理员已经为客户激活了 Mobile Advanced 许可证。
如果您对显示的许可证信息有任何问题或疑问,请联系您的 Sophos 销售代表。
22
8.18 简单证书注册协议 (SCEP)
通过 Sophos Mobile,您可以将证书分发给使用简单证书注册协议 (SCEP) 的设备。
您可以在设备配置文件(Android 和 iOS)或策略(Windows Mobile)的 SCEP 配置中定义设备所需
的设置。
8.18.1 前提条件
为使用简单证书注册协议 (SCEP),必须满足以下条件:
• 环境中有支持 SCEP 的 Windows CA。
版权所有 © Sophos Limited
Sophos Mobile
• 对于可以创建质询代码的用户,有可用的登录凭据。
• Sophos Mobile 服务器拥有通过 http 或 https 访问以下站点的权限:
— https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN
— https://YOUR-SCEP-SERVER/CertSrv/MSCEP
8.18.2 配置 SCEP
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 SCEP 选项卡。
2. 指定以下内容: a) 在 SCEP 服务器 URL 字段中,输入 https://您的 SCEP 服务器/CertSrv/MSCEP。 b) 在质询 URL 字段中,输入 https://您的 SCEP 服务器/CertSrv/MSCEP_ADMIN。
注释
如果您将 Windows 2003 服务器用作 SCEP 服务器,请输入 https://您的 SCEP 服务器/
CertSrv/MSCEP。 c) 在用户和密码字段中,输入可以创建质询代码的用户的用户凭据。
注释
在用户字段中,输入有权注册证书的用户。使用登录格式:用户名@域 d) 在质询字符字段中,选择用于质询密码的字符类型。 e) 在质询长度字段中,接受默认的长度。 f) 可选: 如果要在连接 SCEP 服务器时让 Sophos Mobile 绕过 HTTP 代理,请清除使用 HTTP 代
理选项。此选项仅在 HTTP 代理启用时才可用。
对于 Sophos Mobile on Premise,超级管理员可以配置 Sophos Mobile 用于出站 HTTP 和
SSL/TLS 连接的 HTTP 代理。请参阅 Sophos Mobile 超级管理员指南 。
对于 Sophos Mobile 即服务,HTTP 代理始终启用。
3. 单击保存。
Sophos Mobile 测试与 SCEP 服务器的连接。
要使用 SCEP 部署配置文件,您必须将 SCEP 配置添加到 Android 或 iOS 设备配置文件或 Windows
Mobile 策略中。
提示
在配置文件或策略中,可以配置设备自动请求证书更新的间隔。
8.19 创建客户属性
可以创建客户级别的属性。
使用我的属性名称创建属性时,可以使用 %_CUSTPROP(我的属性)_% 占位符表示属性值。例如,可以
用它来引用特定于客户的域。
(第 91 页)。
版权所有 © Sophos Limited 23
Sophos Mobile
要创建客户属性:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 客户属性 选项卡。
2. 单击添加客户属性。
3. 为客户属性输入名称和值。
4. 单击应用。
5. 单击保存。
客户属性将添加到 Sophos Mobile 客户。
8.20 配置 SSL/TLS 证书
在 Sophos 设置页面的 SSL/TLS 选项卡上,配置用于在 Sophos Mobile 服务器和客户端之间进行安
全连接的 SSL/TLS 证书。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.21 配置 EAS 代理
在 Sophos 设置页面的 EAS 代理选项卡上配置用于在托管设备和您的电子邮件服务器之间过滤电子邮
件数据流的 EAS 代理服务器。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.22 配置网络访问控制
在 Sophos 设置页面的Network Access Control选项卡上配置与网络访问控制 (NAC) 系统的连接。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.23 配置电子邮件服务器连接
在 Sophos 设置页面的 SMTP 选项卡上配置 SMTP 电子邮件服务器连接。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.24 配置代理服务器连接
在 Sophos 设置页面的 HTTP 代理选项卡上配置 Sophos Mobile 用于 HTTP 和 SSL/TLS 连接的代理
服务器连接。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.25 配置门户访问权限
在 Sophos 设置页面的 Web 门户选项卡上配置对 Sophos Mobile Admin 和自助服务门户的访问权
限。
24 版权所有 © Sophos Limited
Sophos Mobile
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.26 配置文件上传限制
在 Sophos 设置页面的上传文件选项卡上配置上传的应用和文档的文件大小限制。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.27 开启审核日志
在 Sophos 设置页面的审核日志记录选项卡上对用户在 Sophos Mobile Admin 中执行的所有操作开启
日志记录。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
8.28 创建系统消息
在 Sophos 设置页面的系统消息选项卡上,创建将显示在 Sophos Mobile Admin 和自助服务门户登录
页面的系统消息。
有关详细信息,请参阅 Sophos Mobile 超级管理员指南 。
版权所有 © Sophos Limited 25
Sophos Mobile
26
9 配置自助服务门户
使用自助服务门户,可以通过允许用户自己注册设备并执行其他任务来减少 IT 工作量,而无需联系
支持人员。
通过自助服务门户配置,您可以定义:
• 允许使用自助服务门户的用户组。
• 用户可以注册的设备类型。
• 用户可以执行的设备操作。
自助服务门户可用于以下平台:
• Android
• iOS
• macOS
• Windows Mobile
• Windows
9.1 配置自助服务门户设置
重要提示
由于自助服务门户设置配置的复杂性,我们建议您在向实际用户推出这些设置前,对不同的用户组
进行设备注册测试。
1. 在侧边的菜单栏中,单击设置下的安装 > 自助服务门户。
2. 单击注册文本,然后添加使用条款文本和注册后文本。
将这些文本分配给自助服务门户配置后,它们将分别在注册前后显示。有关详细信息,请参阅 创建
(第 27 页)。
3. 在自助服务门户配置页面上,单击添加创建配置。
您可以创建多个配置,并将它们分配给不同的用户组。
4. 配置以下设置:
选项
名称
描述
配置的名称。
在自助服务门户中,用户通过这个名称选择配置。
用户组 单击添加,然后输入用户组。配置将应用于该组的所有成员。
您可以向配置添加多个用户组,但不能将同一用户组添加到不
同的配置。
用户可以在自助服务门户中注册的最大设备数目。 最大设备数目
操作 单击显示,然后选择用户可以在自助服务门户中执行的管理操
作。
版权所有 © Sophos Limited
Sophos Mobile
选项 描述
5. 单击添加,然后单击要配置的设备平台。
6. 在配置平台设置对话框中,配置以下设置:
选项
显示名称
描述
平台设置的名称。
在自助服务门户中,用户通过这个名称选择注册类型。
描述 平台设置的描述。
此描述将显示在自助服务门户中的名称旁边。
所有者
设备组
注册包
使用条款
使用此配置注册的设备的所有者模式 (公司或个人)。
向其添加设备的设备组。
发送到设备的任务捆绑包 (适用于 Android、iOS 和 macOS)
或策略 (适用于 Windows 和 Windows Mobile)。
要在注册之前在自助服务门户中显示的文本。
将此字段留空将不显示文本。
用户必须同意该文本,才能继续注册。
注册后文本 要在注册之后在自助服务门户中显示的文本。
将此字段留空将不显示文本。
7. 单击应用,将平台设置添加到自助服务门户配置。
8. 根据需要配置其他平台。
对于每个平台,您可以为公司设备和个人设备配置不同的设置。
9. 在编辑自助服务门户配置页面上,单击保存。
根据需要,为其他用户组添加更多的自助服务门户设置。
在自助服务门户配置页面上,可以使用配置旁边的箭头图标修改其优先级。如果自助服务门户用户匹
配多个配置 (因为他们是多个组的成员),将使用最高优先级的配置。
始终会有一个 Default 配置。此配置的优先级最低,因此只有在没有其他配置与用户匹配时才会使
用。
9.2 创建注册文本
自助服务门户配置可以包括分别在注册前后显示的使用条款文本和注册后文本。您可以在自助服务门户
配置中分别创建这些文本,然后根据需要进行分配。
1. 在侧边的菜单栏中,单击设置下的安装 > 自助服务门户。
2. 单击注册文本,然后单击要创建的文本类型:
• 使用条款: 在注册前显示的移动政策、免责声明或协议文本。用户必须同意该文本,才能继续注
册。
版权所有 © Sophos Limited 27
Sophos Mobile
• 注册后文本: 在注册后显示的文本,例如,用户必须在注册后执行的任务的描述。
3. 在编辑注册文本页面上,输入文本的名称和文本本身。
您可以使用 HTML 标记格式化文本。
4. 单击保存。
配置自助服务门户设置时,您可以为每一种注册选择一段使用条款文本和一段注册后文本。
相关任务
9.3 可用的自助服务门户操作
自助服务门户操作让用户可以管理其设备。您可以在自助服务门户配置中设置可用的操作。
操作
定位设备
锁定设备
重新配置设备
显示违反兼容性
说明
在设备丢失或被盗时定位设备。
在设备丢失或被盗时锁定设备。
重新配置 Sophos Mobile Control 应用,例
如,如果用户意外将其卸载。
对于不合规的设备,显示详细的合规性违反情
况。
平台
Android iOS
Windows Mobile
Windows
Android iOS macOS
Windows Mobile
Android iOS macOS
Windows Mobile
Windows
Android iOS macOS
Windows Mobile
Windows
28 版权所有 © Sophos Limited
Sophos Mobile
操作
刷新数据
说明
同步设备和 Sophos Mobile 服务器。
根据您的合规性策略,未定期同步 (如长时
间关闭) 的设备可能会变为不合规。如果出现
这种情况,用户可以执行此操作使设备再次合
规。
平台
Android iOS macOS
Windows Mobile
Windows
注释
在 Sophos Mobile 只管理 Sophos 容器
的设备上,此功能不可用。
重置密码
擦除
擦除 Android 工作配置文件
取消设备注册
删除未托管的设备
重置应用保护密码
重置锁屏密码。
对于 Android 和 iOS 设备,Sophos Mobile
将设置临时密码。用户解锁设备后,他们必须
设置新密码。
对于处于配置文件所有者模式的 Android 企
业设备,将重置工作配置文件的密码。
对于 iOS 设备,Sophos Mobile 将删除密
码。用户必须在 60 分钟内设置新密码。
如果设备丢失或被盗,则将其重置为出厂设
置。
设备中的所有数据都将被删除。
Android iOS
Windows Mobile
Android iOS macOS
Windows Mobile
Windows
Android 从设备删除工作配置文件。这将同时从
Sophos Mobile 取消设备注册。
从 Sophos Mobile 取消设备注册。
从 Sophos Mobile 删除设备。
重置 App Protection 密码。
用户必须输入此密码,才能使用您定义为受保
护的应用。
Android iOS macOS
Windows Mobile
Windows
Android iOS macOS
Windows Mobile
Windows
Android
版权所有 © Sophos Limited 29
Sophos Mobile
操作
重置 Sophos 容器密码
重新配置 SMC 应用程序
托管的丢失模式
播放丢失模式声音
相关任务
说明
重置 Sophos 容器密码。
用户必须输入此密码,才能使用 Sophos 容器
应用 Sophos Secure Email 和 Sophos Secure
Workspace。
重新配置已经安装的 Sophos Mobile Control
应用。
平台
Android iOS iOS
Windows Mobile
开启或关闭托管的丢失模式。 iOS
在处于托管的丢失模式下的设备上播放声音。 iOS
30 版权所有 © Sophos Limited
Sophos Mobile
10 合规性策略
合规性策略可用于:
• 允许、禁止或强制执行设备的某些功能。
• 定义违反合规性规则时执行的操作。
您可以创建不同的合规性策略,并将它们分配到设备组。这样就可以对托管设备应用不同的安全级
别。
提示
如果要同时管理公司和个人的设备,我们建议至少为这两类设备分别定义合规性策略。
10.1 创建合规性策略
1. 在侧边的菜单栏中,单击配置下的合规性策略。
2. 在合规性策略页面上,单击创建合规性策略,然后选择策略将基于哪个模板:
• 默认模板:一组合规性规则,未定义操作。
• PCI 模板, HIPAA 模板:分别基于 HIPAA 和 PCI DSS 安全标准的合规性规则和操作。
您选择的模板不限制您的后续配置选项。
3. 为合规性策略输入名称,并选择性地输入描述。
对所有要求的平台重复以下步骤。
4. 确保每个选项卡上的启用平台复选框已选中。
如果此复选框未选中,将不会对该平台的设备进行合规性检查。
5. 在规则下,为特定的平台配置合规性规则。
注释
每条合规性规则有固定的严重性级别 (高、中、低),通过蓝色图标指示。严重性有助于了解每
条规则的重要性,以及违反该规则时应执行的操作。
注释
如果 Sophos Mobile 管理 Sophos 容器而非整个设备,则这些设备中只能使用合规性规则的一
个子集。在突出显示规则中,选择管理类型以突出显示相关的规则。
6. 在如果违反规则下,定义违反规则时要执行的操作:
选项
拒绝电子邮件
说明
禁止访问电子邮件。
只有在超级管理员配置了与内部或独立 EAS 代理的连接后,才
能执行此操作。请参阅 Sophos Mobile 超级管理员指南 。
此操作仅可用于 Android、iOS、Windows 和 Windows Mobile
设备。
版权所有 © Sophos Limited 31
Sophos Mobile
选项
锁定容器
拒绝网络
创建警报
传输任务捆绑包
说明
禁用 Sophos Secure Workspace 和 Secure Email 应用。这将影
响由这些应用管理的文档、电子邮件和 Web 的访问。
此操作只能在激活 Mobile Advanced 许可证后执行。
此操作仅可用于 Android 和 iOS 设备。
禁止访问网络。
只有在超级管理员配置了网络访问控制后,才能执行此操作。
请参阅 Sophos Mobile 超级管理员指南 。
本操作不适用于 Sophos Mobile 仅管理 Sophos 容器的设备。
触发警报。
警报将显示在警报页面上。
将特定的任务捆绑包传输到设备。
从列表中选择任务捆绑包,或选择无以便在违反合规性规则时
不传输任务捆绑包。
此操作仅可用于 Android、iOS、macOS 和 Windows 设备。
重要提示
如果使用不正确,可能会导致任务捆绑包配置错误,甚至擦
除设备。要为合规性规则分配正确的任务捆绑包,需要对系
统有深入的了解。
注释
当 Android 企业设备所有者模式的设备不合规时,将禁用所有应用。
7. 对所有要求的平台进行设置后,单击保存,以指定的名称保存合规性策略。
10.2 可用的合规性规则
本节列出了可以为各个平台选择的合规性规则。
规则
需要托管
说明
定义设备不再受到管理时将执行的操
作。
平台
Android
Android Things iOS macOS
Windows Mobile
Windows
Windows IoT
32 版权所有 © Sophos Limited
规则
最低 SMC 版本
允许根目录访问
必须兼容 Google SafetyNet
允许未知来源的应用
允许 Android 调试桥 (ADB)
允许越狱
需要锁定屏幕
最低 OS 版本
版权所有 © Sophos Limited
Sophos Mobile
说明
输入必须在设备上安装的 Sophos
Mobile Control 应用的最低版本。
选择是否允许设备具有 Root 权限。
注释
对于 Enterprise API 版本 4 或更高
版本的 Sony 设备,或 Knox 版本 5.5
或更低版本的 Samsung 设备,这包括
所有被 MDM API 归入不安全类别的设
备(例如因为解锁了 bootloader)。
平台
Android
Android Things iOS
Windows Mobile
Android
设备必须通过 Compatibility Test
Suite (CTS) 测试,这是一项针对
Android 兼容性的 Google SafetyNet
测试。
选择是否允许使用未知来源的应用。
此规则只影响 Android 7.x 或之前版
本的设备。对于 Android 8,用于限
制应用安装来源的系统设置已删除。
选择是否允许 ADB(Android 调试
桥)。
选择是否允许越狱设备。
选择是否需要设备密码或其他屏幕锁
定机制(如图案或 PIN)。
对于 Android,这包括显示屏锁定
类型图案、PIN 和密码,但不包括轻
扫。
没有分配密码策略的 Windows
Mobile 设备始终报告为不兼容。这是
Windows 限制。
选择要求的最早版本的操作系统。
Android
Android
Android iOS
Android iOS
Windows Mobile
Windows
Android
Android Things iOS macOS
Windows Mobile
Windows
Windows IoT
33
Sophos Mobile
规则
最高 OS 版本
强制要求的 OS 更新
最大同步间隔
34
最大 SMC 同步间隔
最大 SMSec 同步间隔
最大 SMSec 扫描间隔
允许拒绝 SMSec 权限
允许恶意软件应用
允许可疑应用
说明
选择允许的最新版操作系统。
平台
Android
Android Things iOS macOS
Windows Mobile
Windows
Windows IoT iOS 选择设备是否必须安装了最新可用或
最新必需的更新。
部分 iOS 更新由 Apple 分类为必
需。最新可用的更新可能比最新必需
的更新更新一点。
设备同步事件之间允许的最大间隔。
Sophos Mobile Control 应用同步事
件之间允许的最大间隔。
Sophos Mobile Security 应用同步事
件之间允许的最大间隔。
Sophos Mobile Security 应用执行的
恶意软件扫描之间允许的最大间隔。
Sophos Mobile Security 需要设备上
的权限才能正常工作。用户必须在安
装该应用时授予这些权限。
选择拒绝要求的权限是否会造成违反
合规性。
选择是否允许 Sophos Mobile
Security 检测到的恶意软件应用程
序。
选择是否允许 Sophos Mobile
Security 检测到的可疑应用程序。
Android
Android
Android
Android
Android Things iOS macOS
Windows Mobile
Windows
Windows IoT iOS
Windows Mobile
Android iOS
Android
版权所有 © Sophos Limited
规则
允许 PUA
需要加密
允许的第三方配置文件
允许数据漫游
容器已配置
需要定位权限
允许拒绝 SMC 权限
应用可以定位
需要防火墙
Sophos Mobile
说明
选择是否允许 Sophos Mobile
Security 已经检测到的可能不需要的
应用 (PUA)。
选择是否要求对设备加密。
用户还必须在他们设置屏幕锁定时,
启用启动设备需要 PIN 或启动设备需
要密码设置。(请参阅 Sophos 知识
库文章 123947 )。
对于 macOS,此设置适用于
FileVault 全盘加密。
对于 Windows Mobile,只有在设置了
限制 禁止未加密设备 的情况下,才
会报告违规。这是 Windows 限制。
此规则不适用于 iOS,因为 iPhone
和 iPad 始终是加密的。
允许不是由 Sophos Mobile 管理的配
置文件。
允许数据漫游。
平台
Android
Android macOS
Windows Mobile
Windows iOS
Android iOS
Android 必须在设备上设置并启用容器。这可
以是 Sophos 容器、Samsung Knox 容
器或 Android 工作配置文件。
该设置表示定位功能。选择用户是
否必须在安装时允许 Sophos Mobile
Control 应用检索定位数据以便确定
为合规。
Sophos Mobile Control 应用需要设
备上的权限才能正常工作。用户必须
在安装该应用时授予这些权限。
选择拒绝要求的权限是否会造成违反
合规性。
必须开启定位服务,并且允许 Sophos
Mobile Control 应用使用。
对于 Windows Mobile,此规则只影响
Windows Phone 8.1 设备。
必须开启 macOS 防火墙。
Android
Android iOS
Windows Mobile macOS
版权所有 © Sophos Limited 35
Sophos Mobile
规则
需要系统完整性保护
说明
必须开启系统完整性保护。
注释
系统完整性保护是一项 macOS 安全
功能,用于限制根用户可以执行的操
作。系统完整性保护可以在 Mac 设备
从 macOS 恢复中启动时配置。
平台 macOS
需要安全更新
允许的应用 / 禁止的应用程序
强制性应用
允许未托管的非商店应用
网站筛选已开启
必须开启 Windows Defender
需要清洁的 Windows Defender 状态
需要最新的 Windows Defender 定义
必须开启 macOS 安全更新程序的自动
安装。
可以指定允许的应用或禁止的应用。
从第一个列表中选择所需的选项,然
后从第二个列表中选择包含要允许的
或禁止的应用的应用组。有关创建应
用组的信息,请参阅
页)。
如果指定允许的应用,则只允许列出
的应用。如果检测到其他应用,设备
将不再合规。 macOS
Android iOS macOS
注释
将自动允许 Android 系统应用。
如果指定禁止的应用,检测到这些应
用时,设备将不再合规。
指定必须安装的应用。从列表中选择
包含强制性应用的应用组。有关创建
应用组的信息,请参阅
265 页)。
允许通过 IPA 文件手动安装的应用。
这些是通过
签名的自开发应用。
必须开启 Sophos Mobile Security
应用的网站筛选功能。
必须开启 Windows Defender 的实时
保护设置。
设备在 Windows Defender 显示警报
时将不合规。
Windows Defender 必须使用最新的间
谍软件定义。
Android iOS macOS
Windows iOS iOS
Windows
Windows
Windows
36 版权所有 © Sophos Limited
Sophos Mobile
10.3 将合规策略分配到设备组
1. 在侧边的菜单栏中,单击管理下的设备组。
将显示设备组页面。
2. 单击要为其分配合规性策略的设备组。
始终会有一个可用的默认设备组。有关如何创建自己的设备组的信息,请参阅 创建设备组
(第 77
页)。
3. 在 合规性策略 下,选择要应用到公司和个人设备的合规性策略。
4. 单击保存。
所选合规性策略将显示在 合规性策略 (公司) 和 合规性策略 (个人) 下的相关设备组的设备组页面
上。
10.4 检查设备合规性
配置合规性策略后,可以检查注册的设备是否与这些策略相符。
1. 在侧边的菜单栏中,单击配置下的合规性策略。
2. 单击立即检查。
已检查所有注册设备的合规性。将执行特定操作。
注释
当 Android 企业设备所有者模式的设备不合规时,将禁用所有应用。
版权所有 © Sophos Limited 37
Sophos Mobile
11 设备
11.1 添加设备
设备可以通过以下方式添加到 Sophos Mobile:
•
(第 38 页)。
• 从 CSV 文件导入设备。请参阅
• 可以使用添加设备向导将设备添加到 Sophos Mobile、将它分配给用户、对它注册和传递注册任务
(第 41 页)。
•
允许用户在 自助服务门户 中自己注册设备。请参阅 配置自助服务门户
(第 26 页)。该门户让用
户无需联系支持人员就可以执行任务,减少了 IT 支持需求。设备通过执行定义的任务捆绑包进行
(第 237 页)。
(第 77 页)。
11.1.1 添加设备
我们建议您在将第一个设备添加到 Sophos Mobile 前,先创建一个或多个设备组。然后可以将每个设备
分配到一个设备组,从而简化设备管理。请参阅
将新设备添加到 Sophos Mobile:
1. 在侧边的菜单栏中,单击管理下的设备。
将显示设备页面。
2. 单击添加,然后从手动添加设备菜单部分选择平台。
将显示编辑设备页面。
3. 在编辑设备页面上,输入以下设备详细信息: a) 在名称字段中,为新设备输入一个唯一名称。 b) 在描述字段中,为新设备输入一段说明。 c) 在 所有者 下,选择 企业 或 个人。 d) 在电子邮件地址字段中,输入电子邮件地址。 e) 在电话号码字段中,输入新设备的电话号码。输入电话号码(以国际格式),如
+491701234567。 f) 在设备组下,选择设备要分配到的设备组。
有关如何创建设备组的信息,请参阅
4.
要向设备分配用户,请单击用户字段旁边的编辑用户分配图标 ,然后单击分配用户至设备。有关
(第 51 页)。
5. 要将自定义属性添加到设备,请转到自定义属性选项卡,并单击添加自定义属性。有关更多信息,
(第 59 页)。
6. 指定所有相关设备详细信息后,单击保存。
新设备将添加到 Sophos Mobile 中,并显示在管理下的设备页面上。现在即可配置和管理该设备。
38 版权所有 © Sophos Limited
Sophos Mobile
注释
对于 iOS 设备,如果已按 配置 iOS 设置 (第 16 页)中所述将 Sophos Mobile 配置为与设备
同步设备名称,在名称字段中输入的名称将替换为同步时设置的名称。
11.1.2 导入设备
您可以通过从 CSV 文件导入设备来添加新设备。
您可以导入最多 500 个设备。
用户和设备组必须已经在 Sophos Mobile 中可用。
CSV 文件必须符合以下要求:
• 第一行作为标题,不导入。
• 值必须用分号分隔,而不是逗号。
• 所有行必须具有正确的分号字符数,即便您省略了可选值。
• 文件扩展名必须是 .csv。
• 为确保非英文字符正确导入,文件必须为 UTF-8 编码。
提示
在导入设备页面上,单击CSV 示例下载示例文件。
要从 CSV 文件导入设备:
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击添加导入设备。
3. 在导入设备页面上,单击上传文件,然后导航至准备好的 CSV 文件。
将从文件中读入记录,并显示出来。
4. 如果数据的格式不正确或不一致,整个文件都不能导入。如果出现这种情况,请按相应记录旁边显
示的错误消息对 CSV 文件的内容进行相应的修改,然后再次上传。
5. 单击完成以创建设备。
CSV 文件中所列的设备将导入并显示在设备页面上。现在即可注册和配置这些设备。
11.2 注册设备
在 Sophos Mobile Admin 中添加新设备之后,它们必须注册到 Sophos Mobile。
注册类型
Sophos Mobile 支持两种注册类型:
设备注册
Sophos 容器注册
该注册类型提供了完整的移动设备管理 (MDM) 功
能。Sophos Mobile 能够管理整个设备。
Sophos Mobile 仅管理设备上的 Sophos 容器,但
不管理设备本身。
Sophos 容器可用于 Android 和 iOS。
版权所有 © Sophos Limited 39
Sophos Mobile
Sophos 容器注册在以下情况中有用:
• 您要管理自带设备 (BYOD) 方案。有了 Sophos
容器注册,您的组织只能看到非常有限的设备
信息,并且不会看到个人应用或数据。
• 您的设备受非 Sophos MDM 软件管理,但您也
想使用 Sophos 容器提供的功能,例如,使用
Sophos SafeGuard Enterprise 进行的企业 keyring 同步。
• 您的设备受非 Sophos MDM 软件管理,但您要
配置其他电子邮件账户。例如,当您的组织是
一家咨询公司,并且您的员工需要访问客户的
Exchange 服务器时。
注册方法
以下选项可用于注册设备:
•
可以使用设备功能,注册单个、未管理的设备。有关更多信息,请参阅 注册单个设备
(第 40
页)。
• 您可以使用添加设备向导将设备添加到 Sophos Mobile、将它分配给用户、注册它和传递注册任
(第 41 页)。
注释
如果需要,可以使用添加设备向导或自动注册方法注册没有 Apple ID 的 iOS 设备。这可
能很有用,比如在将设备交给用户前进行预配置时。请参阅
(第 43 页)。
建议
要对多个设备进行有效的注册和配置,建议采取以下方法:
• 可以将注册设备、应用所需策略和安装所需应用 (如 iOS 设备的托管应用) 所需的任务捆绑在一
(第 237 页)。
• 您可以允许用户在 自助服务门户 中注册设备。为此,在配置 自助服务门户 设置时将注册任务捆
绑包包括在内。有关如何在 自助服务门户 设置中选择任务捆绑包的详细信息,请参阅
(第 26 页)。
11.2.1 注册单个设备
1. 在侧边的菜单栏中,单击 管理 下的 设备,然后单击要注册的设备。
2. 在 显示设备 页面上,选择注册类型:
• 要将设备注册到 Sophos Mobile,点击 操作 > 注册。
• 要注册 Sophos 容器 ,点击 操作 > 注册 Sophos 容器。
3. 若要进行 Sophos 容器注册,选择任务捆绑包或策略。
注册任务将启动,并显示在 任务视图 页面上。将向用户发送带有注册说明的电子邮件。
40 版权所有 © Sophos Limited
Sophos Mobile
重要提示
在 iOS 12.2 或更高版本的设备中,必须在设置中安装下载的配置文件。如果您没有在 8 分钟内安
装配置文件,它将被删除,您必须重新开始。
此限制不适用于您使用 Apple 设备注册计划 (DEP) 或 Apple Configurator 分配给 Sophos Mobile
的设备。
注释
在 Mac 设备上,必须由将受到 Sophos Mobile 管理的用户执行注册。要安装注册配置文件,用户
必须输入管理员密码。
11.2.2 使用添加设备向导
使用添加设备向导很容易注册新设备。它提供了可以合并以下任务的工作流:
• 将新设备添加到 Sophos Mobile。
• 可选:将用户分配到设备。
• 注册设备。
• 可选:将任务捆绑包传输到设备。
1. 在侧边的菜单栏中,单击管理下的设备,然后单击添加 > 添加设备向导。
提示
另外,您可以通过单击添加设备小组件,从仪表板页面启动该向导。
2. 在用户页面上,输入搜索条件以查找将要分配该设备的用户,或选择跳过用户分配以注册尚未分配
给用户的设备。
3. 在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户。
4. 在设备详细信息页面上,配置以下设置:
选项
平台
名称
描述
电话号码
邮件地址
说明
设备平台。
只能选择对登录的客户启用的平台。
Sophos Mobile 管理的设备的唯一名称。
设备的可选描述。
可选的电话号码。输入国际格式的号码,如 +491701234567。
用于接收注册说明的电子邮件地址。
如果为该客户配置了用户管理,则是分配给该设备的用户的电
子邮件地址。
如果没有配置用户管理,请在此处输入电子邮件地址。
所有者
设备组
选择设备所有者类型:企业或个人。
选择设备将要分配到哪个设备组。如果还没有创建设备组,可以
选择始终可选的默认设备组。
5. 在注册类型页面上,选择是要注册设备还是只注册 Sophos 容器。
版权所有 © Sophos Limited 41
Sophos Mobile
请参阅
6. 选择传输到设备的任务捆绑包或策略。或选择仅注册设备以注册设备但不传送任务捆绑包。
7. 在注册页面上,按说明完成注册操作。
重要提示
在 iOS 12.2 或更高版本的设备中,必须在设置中安装下载的配置文件。如果您没有在 8 分钟
内安装配置文件,它将被删除,您必须重新开始。
此限制不适用于您使用 Apple 设备注册计划 (DEP) 或 Apple Configurator 分配给 Sophos
Mobile 的设备。
注释
在 Mac 设备上,必须由将受到 Sophos Mobile 管理的用户执行注册。要安装注册配置文件,用
户必须输入管理员密码。
8. 注册成功完成后,单击完成。
注释
• 完成所有选择后,可以关闭向导,不必等到完成按钮出现。将在后台创建并处理注册任务。
• 如果选择在注册后向设备传输任务捆绑包,则可在任务视图页面上监控任务状态。请参阅
•
对于 iOS 设备,如果已按 配置 iOS 设置 (第 16 页)中所述将 Sophos Mobile 配置为与设备
同步设备名,将忽略在名称字段中输入的名称,并使用设备上配置的名称。
11.2.3 自动注册 iOS 设备
可以对 iOS 设备进行配置,以便在设备激活过程中自动进行 Sophos Mobile 注册。为此,可以使用
助手将启动。设置过程中,设备将自动进行 Sophos Mobile 注册。
注释
要配置通过 Sophos Mobile 自动注册 iOS 设备:
1. 作为准备自动注册的一次性步骤,创建一个将在 Sophos Mobile 自动注册过程中分配给设备的设备
组。在设备组属性中,选中启用 iOS 自动注册选项。请参阅
2. 记录在设备组的自动注册 URL 字段中显示的 URL。
使用 Apple Configurator 2 配置设备时,需要此 URL。
3. 将要自动注册的 iOS 设备连接到安装有 Apple Configurator 2 的 Mac 计算机的 USB 端口。
4. 在 Apple Configurator 2 中,使用 Prepare Assistant 设置设备配置。
5. 选择手动注册,然后输入设备组的自动注册 URL。
6. 按 Prepare Assistant 提示的步骤进行操作。可以选择配置设备激活的以下方面︰
• 启用设备监管模式。
• 配置允许设备使用 USB 端口进行连接的主机计算机。
• 对于监管的设备,生成或选择“监管身份”。
42 版权所有 © Sophos Limited
Sophos Mobile
• 禁用 iOS 设置助手的配置步骤。
完成配置后,将设备交给用户。用户首次开启设备时,将按配置执行 iOS 设置,并进行 Sophos
Mobile 注册。
提示
默认情况下,Sophos Mobile 将管理自动注册的设备,所使用的名称由设备 ID 和设备类型组成。
此外,Sophos Mobile 也可以使用在设备上配置的名称。请参阅 配置 iOS 设置 (第 16 页)中
的同步设备名称选项。
11.2.4 注册没有 Apple ID 的 iOS 设备
通过 Sophos Mobile 注册 iOS 设备时,不必先将设备和 Apple ID 相关联。这可能很有用,比如在
将设备交给用户前进行预配置时。
标准的注册方法包括在设备上安装 Sophos Mobile Control 应用。因为从 App Store 安装该应用,
且访问 App Store 需要 Apple ID,因此在开始注册前,需要关联设备和 Apple ID。
此外,可以注册 iOS 设备但不安装 Sophos Mobile Control 应用,因此不需要关联设备和 Apple
ID。这是由以下方法提供的︰
•
自动注册方法。请参阅 自动注册 iOS 设备 (第 42 页)。
•
(第 41 页)。
在向导中,执行以下操作︰
1. 在注册页面上,选择在没有 Apple ID 的情况下注册选项卡。
2. 使用设备的 Web 浏览器打开注册 URL。将打开 Sophos Mobile 注册表单。
3. 在该表单中输入令牌,然后单击注册。
4. 按设备上的说明安装注册任务捆绑包。
重要提示
在 iOS 12.2 或更高版本的设备中,必须在设置中安装下载的配置文件。如果您没有在 8 分钟内安
装配置文件,它将被删除,您必须重新开始。
此限制不适用于您使用 Apple 设备注册计划 (DEP) 或 Apple Configurator 分配给 Sophos Mobile
的设备。
11.2.5 注册 Android 企业设备
对于 Android 企业,设备通常在 自助服务门户中注册。如果您已经在 Sophos Mobile 中针对托管的
Google Play 帐户方案设置了 Android 企业,也可以通过添加设备向导注册设备。
前提条件:
• 已经针对托管的 Google Play 帐户方案设置了 Android 企业。请参阅
(第 271 页)。
• 已经创建了注册任务捆绑包。
根据任务捆绑包安装的策略类型,设备以 Android 企业设备所有者模式或配置文件所有者模式注
册。请参阅 配置 Android 企业设备注册 (第 275 页)。
要以 Android 企业模式注册设备:
版权所有 © Sophos Limited 43
Sophos Mobile
1. 在侧边的菜单栏中,单击管理下的设备,然后单击添加 > 添加设备向导。
(第 41 页)中所述,使用添加设备向导启动注册。对 Android 企业设
备,执行以下操作: a) 在用户页面上,选择搜索用户,然后输入搜索条件以查找要分配设备的用户。 b) 在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户。 c) 在设备详细信息页面的平台字段中,选择Android。 d) 在注册类型页面上,为 Android 企业选择您的注册任务捆绑包。
注释
在以 Android 企业设备所有者模式注册的设备上,只有以下应用可以使用:
• 设置
• 电话
• Play Store
• Sophos Mobile Control
• 相机 (如果您已经在限制配置中开启了允许照相机)
11.2.6 批量注册 Android 企业设备
通过 Sophos NFC Provisioning 应用,可以将公司所有的 Android 设备批量注册到 Sophos
Mobile。在一个设备 ( 主设备 ) 上安装 Sophos NFC Provisioning 应用,然后通过 NFC 将注册设置
传递到要注册的设备上。设备以 Android 企业设备所有者模式注册到 Sophos Mobile。
前提条件:
• 已经针对托管的 Google Play 帐户方案设置了 Android 企业。请参阅
(第 271 页)。
• 主设备支持 NFC。
• 要注册的设备是新的或已经重置为出厂设置,并且支持 NFC。
1. 在主设备上安装来自 Google Play 的 Sophos NFC Provisioning 应用。
2. 在 Sophos NFC Provisioning 应用中,配置以下设置:
• 您的公司 Wi-Fi 网络的连接详细信息。
• 新设备的时区和语言。
• 可选:自助服务门户的 URL。
• 可选:跳过设备加密。
• 可选:跳过特定于供应商的设置。
• 可选:启用系统应用。
如果您开启此选项,将启用制造商预安装的所有应用。
如果您关闭此选项,将只启用以下应用:Google Play Store、Contacts、Messages、Phone。
对于以 Android 企业设备所有者模式注册的设备,Google 建议开启此选项。
3. 点击准备传输,然后背靠背握住主设备和要注册的设备,并使 NFC 传感器对齐。
设备将设置并注册到 Sophos Mobile。
要注册其他设备,请再次点击准备传输。
44 版权所有 © Sophos Limited
Sophos Mobile
11.2.7 注册 Android Things 设备
要将 Android Things 设备注册到 Sophos Mobile,您向它提供自定义的 Android Things 图片。您可
以对所有注册到 Sophos Mobile 的设备使用相同的图片。
前提条件:您已经设置了连接到您的本地 IP 网络并且安装了 Android Debug Bridge 命令行工具
(adb) 的计算机。 adb 是 Android SDK Platform Tools 软件包的一部分。该软件包可以作为 Android SDK 的一部分安
装,也可以作为独立软件包进行安装。有关详细信息,请参阅 Google Android Debug Bridge 文档。
要将 Android Things 设备注册到 Sophos Mobile:
1. 在侧边的菜单栏中,单击管理下的设备,然后单击添加 > 添加设备向导。
(第 41 页)中所述,使用添加设备向导启动注册。对于 Android Things
设备,请执行以下操作: a) 在设备详细信息向导页面的平台字段中,选择Android Things。 b) 在注册向导页面上,单击打开 Sophos Mobile 下载区域,然后从那里下载最新的 SMC Android
Things 应用的 APK 文件。
3. 打开 Google Android Things Console。
4. 按 Google Android Things Console 文档的描述,创建 Android Things 产品和 build 配置。
在 Android Things Console 的选择应用页面,添加 SMC Android Things 应用的 APK 文件。
5. 完成 build 配置后,下载您的 Android Things 图片。
6. 提供设备图片。
7. 如果您尚未进行此操作,请通过以太网或 Wi-Fi 将设备连接到您的本地 IP 网络。
8. 在安装了 adb 的计算机上,连接到该设备: adb connect <IP 地址>
请将 <IP 地址> 替换为设备的 IP 地址。
9. 使用 添加设备 向导或说明电子邮件中显示的命令,配置 SMC Android Things 应用: adb shell am start -d "<配置参数>"
注释
您可能会收到以下系统消息:Warning: Activity not started, its current task has been brought to the front。这可以忽略。
设备上的 SMC Android Things 应用将连接到您的 Sophos Mobile 服务器。注册过程完成后,设备在
Sophos Mobile 中显示为 托管 状态。
相关信息
Google Android Things Console (外部链接)
Google Android Things Console 文档 (外部链接)
Google Android Debug Bridge (adb) 文档 (外部链接)
11.2.8 注册 Windows IoT 设备
本节介绍如何使用添加设备向导注册 Windows IoT 设备。
前提条件:
版权所有 © Sophos Limited 45
Sophos Mobile
• 您已将 Windows 10 IoT Core 闪烁到要注册的设备上。
• 您已将设备通过以太网或 Wi-Fi 连接到本地 IP 网络。
要使用 Sophos Mobile 注册 Windows IoT 设备:
1. 在侧边的菜单栏中,单击管理下的设备,然后单击添加 > 添加设备向导。
(第 41 页)中所述,使用添加设备向导启动注册。对于 Windows IoT 设
备,请执行以下操作: a) 在设备详细信息向导页面的平台字段中,选择Windows IoT。 b) 在注册向导页面上,单击下载配置包,为 Sophos Mobile 下载带有配置包的 .ppkg 文件。此链
接也可从说明电子邮件中获取。
3. 在连接到与 Windows IoT 设备相同本地网络的 Windows 计算机上,使用文件资源管理器连接该设
备。
在文件资源管理器地址栏中,输入以下地址,其中<IP-地址>是设备的 IP 地址:
\\<IP-地址>\c$
如果出现提示,请输入设备的管理员用户名和密码。
4. 将您从添加设备向导下载的 .ppkg 文件复制到设备的 C:\Windows\Provisioning\Packages 文件
夹。
注释
该文件夹中只能有一个 .ppkg 文件。
5. 重新启动设备。
重新启动后,Windows IoT 设备将执行配置包并连接到您的 Sophos Mobile 服务器。注册过程完成后,
设备在 Sophos Mobile 中显示为 托管 状态。
重要提示
在 显示设备 页面上,取消注册设备之前,请勿执行设备操作 设置为“非管理” 或 删除 。如果
这样做,您必须先擦除设备,然后再重新注册。要擦除它,您需要将 Windows 10 IoT Core 图像重
新闪烁到设备上。
46
11.3 取消设备注册
对于不再使用的设备,例如用户有新设备时,可以取消注册。如果您限制了用户可以在自助服务门
户中注册的设备数量,这将很有用。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 选择所需的设备,单击操作,然后单击取消注册。
将显示一条提示您确认是否要取消设备注册的消息。
注释
可以选择多个设备进行取消注册操作。
3. 单击是。
设备将取消注册。结果如下:
• Android 设备:
版权所有 © Sophos Limited
Sophos Mobile
— Sophos Mobile Control 设备管理员已禁用。
— 服务器登录数据和所有其他接收到的数据都被删除。
— 将重置容器应用 (Sophos Secure Workspace 和 Sophos Secure Email) 和 Sophos Mobile
Security 应用。
• iOS 设备:
— 将删除所有配置文件。
— 将卸载所有托管应用。
— 将删除所有通过 Mobile Device Management 接收的证书。
— 将重置容器应用(Sophos Secure Workspace 和 Sophos Secure Email)。
• Macs:
— 将删除所有策略。
— 将删除所有通过 Mobile Device Management 接收的证书。
注释
• 当用户在 Android 设备上禁用 Sophos Mobile Control 设备管理员时,Sophos Mobile
Control 应用将取消设备注册。
• 对于以设备所有者模式注册的 Android 企业设备,没有专用的取消注册操作。要对此类设备取
消注册,请将其擦除。
• 如果您已经针对托管的 Google Play 帐户方案设置了 Android 企业,用户将只能注册有限数量
的设备。在某些情况下,Google 帐户在取消注册后可能仍然保留在设备上,并且设备仍然被认
为已注册。如果出现这种情况,请从设备上手动删除 Google 帐户。
11.4 管理设备
在侧边菜单栏中的管理 > 设备和设备组下,可以跟踪所有设备和设备组,并执行各种管理任务。
添加设备至 Sophos Mobile 后,您可以执行以下操作,例如:
• 查看并编辑设备详细信息。
• 允许或禁止设备访问电子邮件。
• 远程锁定或解锁设备。
• 重置设备密码。
• 设备丢失或被盗后远程擦除该设备。
• 解除设备授权(Android 和 iOS)。
• 删除设备。
11.4.1 查看设备
1. 在侧边的菜单栏中,单击管理下的设备。
2. 转到所需的设备,并单击其名称。
将显示所选设备的显示设备页面。
版权所有 © Sophos Limited 47
Sophos Mobile
提示
在设备页面,可以将鼠标指向某些元素以显示额外的信息:
• 指向设备的“不受管理”图标可显示实际状态,如取消注册或已检验。
• 指向设备的“不合规”图标可显示严重性级别 (高、中、低)。
11.4.2 “显示设备”页面
在显示设备页面中,将显示单个设备的所有相关信息。
在页面的上方,可以快速查看最重要的设备信息。
在页面的下方,将在多个选项卡上显示详细的设备信息。显示的选项卡和信息取决于设备平台。
可以直接从显示设备页面切换至编辑设备页面。要编辑正在查看的设备,请单击编辑。
状态
显示必要的设备信息,如管理类型、管理状态和合规状态。
配置文件
显示安装在设备上的配置文件(包括设置配置文件)。
该选项卡还包含用于在设备上安装配置文件或删除配置文件的命令。
注释
配置文件 选项卡上不显示仅包含以下配置的 iOS 设备配置文件:
• 漫游/热点
• 壁纸
这些配置未作为配置文件安装到设备上。他们只设置用户稍后可能更改的设置。
提示
表的搜索字段允许您通过配置文件 ID 进行搜索,即使表中未显示 ID。
策略
显示分配给设备的策略,并允许您分配更多的策略。
设备属性
显示设备属性,例如型号属性、型号名称、OS 版本以及设备是否取得 root 权限 (Android) 或越狱
(iOS)。
48 版权所有 © Sophos Limited
Sophos Mobile
自定义属性
显示自定义设备属性。可以自已创建这些属性。例如,如果没有 Active Directory 连接可用,可在
占位符中使用自定义设备属性。编辑设备时,还可以在此处添加用户特定信息。
内部属性
显示内部设备属性,例如允许的 ActiveSync 数据流、IMEI。
违反合规性
只有不合规的设备才会显示此选项卡。它显示设备的合规性违反情况,以及由于违反合规性而采取的
操作。
有关这些操作的配置,请参阅
已安装的应用
显示安装在设备上的软件。不同平台上显示的信息不同。
大小列显示应用本身的磁盘空间使用量。数据列显示应用用于用户数据、配置等的额外磁盘空间。
使用安装应用按钮,您可以在设备上安装软件。也可以通过单击相关应用旁的删除图标,卸载设备上
的应用。
注释
• 对于 Sophos Mobile 仅管理 Sophos 容器的设备,Sophos 容器之外的应用程序不会列出。这包
括用户从企业应用商店安装的应用。
• 对于 iOS,标记为托管的应用可以静默地卸载。请参阅
• 对于 Mac,将列出所有用户帐户的应用。
• 对于 Windows,您只能卸载已经由 Sophos Mobile 安装的应用。如果您试图卸载用户安装的应
用,任务将失败。
• 您可以禁用已安装的应用选项卡。请参阅
系统应用
显示设备上的 Android 系统应用。
注释
不能从设备上删除系统应用。
Knox 应用
此选项卡显示用户安装在 Samsung Knox 容器内的应用。
版权所有 © Sophos Limited 49
Sophos Mobile
Knox 系统应用
此选项卡显示安装在 Samsung Knox 容器内的系统应用。
扫描结果
该选项卡显示 Sophos Mobile Security 在设备上执行的最后一次扫描的结果。
该选项卡仅在 Sophos Mobile Security 应用受 Sophos Mobile 管理的情况下可用。请参阅
Sophos Mobile Security (第 296 页)。
证书
显示设备上使用的证书。
对于 Mac,将列出设备证书,但不列出用户证书。
对于 Windows 计算机,将列出用户存储中安装的证书,但不列出设备存储中安装的证书。
提示
在表中,指向 使用者 或 颁发机构 值以显示证书详细信息。
50
任务
此选项卡显示设备未完成和失败的所有任务,以及最近几天内完成的任务。还可以在任务视图页面上
查看这些任务,以及所有其他设备的任务。请参阅
11.4.3 使用智能分组
智能分组是基于您定义的筛选条件的动态设备集。例如,您可以定义一个在过去 3 个月内创建的所有
公司 Android 设备的智能分组。
要定义智能分组:
1. 在设备页面上,单击设备列表上面的扩展筛选器。
2. 设置筛选条件。
3. 在智能分组中输入智能分组的名称并单击Create。
4. 执行以下任一操作:
• 要将智能分组应用到设备列表,请单击筛选。
• 要关闭筛选窗口且不应用智能分组,请单击重置。
5. 要在以后应用智能分组,请单击设备列表上面的智能分组,然后选择一个条目。
提示
• 智能分组或扩展筛选器激活后,表格标题中的筛选器图标将由蓝色变为绿色。
• 不再需要筛选器时,请记得重置筛选器。否则,列表或报告可能不包括您所期望的结果。
其他智能分组操作:
版权所有 © Sophos Limited
Sophos Mobile
• 要取消智能分组,即再次显示所有设备,请单击扩展筛选器,然后单击重置。
• 要删除智能分组,请单击智能分组,然后单击要删除的智能分组旁边的垃圾桶图标。
• 要编辑智能分组,请先应用它,然后单击扩展筛选器,并进行所需的修改,然后单击Create。
• 要应用专用筛选器但不创建智能分组,请单击扩展筛选器,设置筛选条件,然后单击筛选。
11.4.4 编辑设备
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击所需设备旁边的蓝色三角形,然后单击编辑。
3. 进行必要的修改。
4. 单击保存。
11.4.5 将用户分配到设备
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑。
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标 ,然后单击选择列表中的相关条
目:
• 要将用户分配给尚未分配用户的设备,请单击将用户分配给设备。
• 要将其他用户分配给已经分配有用户的设备,请单击向设备重新分配用户。
• 要从 LDAP 目录重新加载用户列表,请单击更新用户列表。
4. 在分配对话框的输入用户搜索参数页面上,在一个或多个字段中输入搜索字符串,以查找将要分配
设备的用户。例如,输入用户名或部分用户名。
5. 在选择用户页面上选择用户,然后单击应用。
6. 在编辑设备页面上,单击保存。
11.4.6 从设备取消用户分配
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑。
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标 ,然后单击从设备取消用户分配。
4. 在确认对话框中,单击是。
5. 单击保存。
11.4.7 配置网络访问权限
在配置设备的网络访问权限前,必须在 Sophos Mobile 中启用网络访问控制 (NAC)。
对于Sophos Mobile on Premise,NAC 由超级管理员启用。请参阅 Sophos Mobile 超级管理员指南 。
对于 Sophos Mobile 即服务,NAC 始终启用。
有两个选项用于配置设备的网络访问权限︰
版权所有 © Sophos Limited 51
Sophos Mobile
1. 允许或无条件拒绝网络访问权限。
2. 在设备违反合规性规则时禁用网络访问权限,否则启用网络访问权限。
注释
Sophos Mobile 本身不控制网络访问权限。而是提供了拒绝网络状态,外部 NAC 软件(如 Sophos
UTM)可用它来阻止网络通信。
注释
对于通过以太网连接的 Mac 设备,不能进行网络访问控制。Sophos Mobile 只能检索 Mac 设备
Wi-Fi 网络适配器的 Mac 地址,不能检索其以太网适配器的 Mac 地址。因为设备是通过 Mac 地址
识别的,所以当外部 NAC 软件向 Sophos Mobile 询问设备的网络状态时,通过以太网端口连接到
网络的 Mac 设备将被视为未知设备。
要配置设备的网络访问权限:
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,选择要为其设置网络访问模式的设备。
3. 单击操作,然后单击设置网络访问权限。
4. 选择网络访问模式︰
• 允许:允许选定的设备访问网络。
• 拒绝:拒绝选定的设备访问网络。
• 自动模式:根据设备的合规性状态决定选定设备的网络访问权限。
5. 单击是保存修改。
注释
您不能拒绝 Sophos Mobile 仅管理 Sophos 容器的设备的网络访问。
有关如何在合规性规则中配置网络访问权限的信息,请参阅
11.4.8 扫描设备
注释
此功能需要 Mobile Advanced 类型的许可证。
您可以在 Sophos Mobile 管理 Sophos Mobile Security 应用的 Android 设备上执行设备扫描。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击要扫描的设备。
3. 在显示设备页面上,单击操作 > 触发 SMSec 扫描。
将创建执行设备扫描的任务,并将其传递到 Sophos Mobile Security 应用。
您可以在显示设备页面上的扫描结果选项卡中查看扫描结果。单击威胁名称可以显示来自 SophosLabs
的附加信息。
要扫描多个设备,请创建一个包括触发 SMSec 扫描任务的任务捆绑包,并将它传递到所需的设备或设
备组。
52 版权所有 © Sophos Limited
Sophos Mobile
11.4.9 锁定设备
您可以远程锁定由 Sophos Mobile 管理的设备。将激活屏幕锁定。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击要锁定或解锁的设备旁边的蓝色三角形,然后单击显示。
3. 在显示设备页面上,单击操作 > 锁定。
4. 对于 macOS:设置必须在 Mac 设备上输入才能解锁设备的 6 位 PIN 码。
5. 对于某些类型的设备,您可以选择输入在锁屏界面上显示的消息。
将创建激活锁屏的任务,并将其传递到设备。
• 对于除 macOS 外的所有平台:用户必须输入设备密码(或根据配置输入 PIN 码或图案)才能解锁
设备。
• 对于 macOS:Mac 设备将重新启动。用户必须输入您设置的设备解锁 PIN 码。
注释
即使对于 Sophos Mobile 仅管理 Android 工作配置文件的设备,锁定 操作也会锁定设备,而不仅
仅是工作配置文件。
注释
您不能锁定 Sophos Mobile 仅管理 Sophos 容器的设备。
注释
您不能擦除被远程锁定的 Mac 设备。
提示
在 Sophos Mobile Admin 中,macOS 系统锁定 PIN 码将显示在设备属性 > 解锁密码下的设备页面
上,以及锁定 PIN 码下的任务详细信息页面上。
11.4.10 重置设备密码
您可以远程重置以下设备的密码:
• 运行 Android 6.x 或更高版本的 Android 设备
• Android 企业设备
• iOS 设备
• Windows Mobile 设备
但是,您不能重置以下设备的密码:
• Sophos Mobile 仅在其上面管理 Sophos 容器的设备。
• 只有 Sophos Mobile Security 应用注册到 Sophos Mobile 的设备。
• 运行 Android 8.x 或更高版本的 Android 企业设备 (如果用户未确认设备密码)。
版权所有 © Sophos Limited 53
Sophos Mobile
在某些设备上,用户在安装 Sophos Mobile Control 应用之前的初始设置过程中设置密码。这
种情况下,Sophos Mobile Control 应用会要求用户在每次同步时确认密码。只要用户未确认密
码,您就不能远程重置密码。
要重置设备的密码:
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击要重置其密码的设备。
3. 在显示设备页面上,单击操作 > 重置密码。
4. 如果确认对话框中显示一次性解锁密码,请将其交给用户。
对于 Android 和 Windows Mobile 设备,用户必须用一次性密码解锁设备,然后创建新密码。
对于 iOS 设备,密码将删除并解锁设备。
11.4.11 查看设备位置
重要提示
出于隐私方面的考虑,所有与设备位置相关的事件都将记录下来,并在稍后进行检查。
注释
可以在 Sophos Mobile Admin 中关闭设备位置查看功能。请参阅
只要满足以下条件,则可在 Google 地图中查看 Android 或 iOS 设备的位置。
Android 设备:
• Sophos Mobile Control 应用正在运行。
• 定位服务已开启。
• 对于配置文件所有者模式的 Android 企业设备:工作配置文件的定位服务已开启。
• Sophos Mobile Control 应用拥有位置权限。 iOS 设备:
• Sophos Mobile Control 应用正在运行。
• 定位服务已开启并允许 Sophos Mobile Control 应用使用。
• 您始终可以在托管的丢失模式下查看设备的位置。
提示
使用需要定位权限合规性规则确保 Sophos Mobile Control 应用可以获取设备的位置。请参阅
(第 32 页)。
要查看设备的位置:
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击要定位的设备。
3. 单击操作 > 显示位置。
如果显示位置不可用,请检查 Sophos Mobile Control 应用是否可以获取设备的位置。
4. 输入请求的原因,然后单击是。
将创建获取设备位置的任务,并将其传递到设备。
5. 任务完成后,单击操作 > 显示位置 > 显示位置在 Google 地图中查看设备的位置。
54 版权所有 © Sophos Limited
Sophos Mobile
11.4.12 擦除设备
您可以远程擦除由 Sophos Mobile 管理的设备。此操作将把设备重置为出厂设置。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击要擦除的设备旁边的蓝色三角形,然后单击显示。
3. 在显示设备页面上,单击操作 > 擦除。
4. 对于某些类型的设备,必须配置额外的设置: a) 对于以 Android 企业设备所有者模式注册的 Android 设备,根据需要开启恢复出厂设置保护。
请参阅
重要提示
如果您为恢复出厂设置保护配置的 Google 帐户无效,或您不知道帐户凭据,设备在擦除后
将不可用。 b) 对于 iOS 设备,在确认对话框中配置以下设置:
• 保存流量套餐: 如果设备上有可用的手机网络数据套餐,它将在恢复出厂设置后保留。
• 禁止快速启动: 对于恢复出厂设置后启动的第一台设备,在允许用户从其他 iPhone 传输内
容的设置助手中跳过快速启动步骤。 c) 对于 Mac 设备,设置必须在 Mac 设备上输入才能解锁设备的 6 位 PIN 码。
5. 在确认对话框中单击是。
将创建擦除设备的任务,并将其传递到设备。
注释
您不能擦除以下设备:
• Sophos Mobile 仅在其上面管理 Sophos 容器的设备。
• 配置文件所有者模式的 Android 企业设备。
• Android Things 或 Windows IoT 设备。
• 您已经远程锁定的 Mac 设备。
提示
在 Sophos Mobile Admin 中,macOS 系统锁定 PIN 码将显示在设备属性 > 解锁密码下的设备页面
上,以及锁定 PIN 码下的任务详细信息页面上。
11.4.13 开启或关闭 Android 恢复出厂设置保护
注释
本节内容适用于以 Android 企业设备所有者模式注册到 Sophos Mobile 的设备。
以 Android 企业设备所有者模式为注册到 Sophos Mobile 的设备配置恢复出厂设置保护 (FRP) 时,
默认情况下它是开启。如果您确定设备没有丢失或被盗,可以关闭 FRP 以简化设置过程。
1. 在侧边的菜单栏中,单击管理下的设备。
版权所有 © Sophos Limited 55
Sophos Mobile
2. 单击要为其设置 FRP 状态的设备。
3. 在显示设备页面上,单击操作 > 设置恢复出厂设置保护。
4. 选择开启 FRP 或关闭 FRP。
如果 FRP 已开启,必须先使用为 FRP 配置的其中一个 Google 帐户恢复出厂设置,然后解锁设备。
有关 FRP 的详细信息,请参阅
重要提示
如果您错误地配置了 FRP,在 FRP 开启的情况下重置设备后,设备将不可用。
提示
您可以在显示设备页面上的状态选项卡中检查设备的 FRP 状态。
56
11.4.14 配置电信费用管理
使用电信费用管理 (TEM),您可以监控单个设备的手机网络数据使用情况。此功能适用于 Android
6.0 及更高版本,也适用于 iOS。
注释
您不能在配置文件所有者模式下为 Android 企业设备配置电信费用管理。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,选择您要为其配置电信费用管理的设备。
注释
仅选择使用相同手机网络数据套餐的设备。
3. 单击操作 > 配置电信费用管理。
4. 配置以下设置:
选项
开启监控
说明
如果选中,将对选中的设备开启手机网络数据使用情况监控。
套餐的数据量
警报阈值
您的手机网络数据套餐的数据量 (MB)。
数据量的阈值 (MB)。设备使用的数据量超过此阈值时,将发出
警报。
使用周期重置日期 1 和 31 之间的一个值,用于指定在一个月中的哪一天重置数
据使用值。
注释
如果某月的天数少于输入的值,则在当月的最后一天重置数
据使用值。
5. 单击保存将设置应用到选定的设备。
设备在每次与 Sophos Mobile 服务器同步时报告手机网络数据使用情况。
版权所有 © Sophos Limited
Sophos Mobile
要查看设备的当前数据使用量,请打开设备的显示设备页面,然后单击操作 > 配置电信费用管理。
重要提示
报告的数据使用量可能与您的电信服务提供商收费的值有差异。将报告安装的应用导致的数据流,
但不报告系统更新、系统应用更新等导致的。
提示
使用手机网络数据使用情况报告查看所有已经开启电信费用管理的设备的数据使用量。请参阅 报告
(第 8 页)。
注释
• 数据使用值将在以下时间重置:
— 每月定期在您配置的日期结束时间。
— 当您关闭设备的电信费用管理时。
— 从 Sophos Mobile 取消注册设备时。
• 对于 iOS,Sophos Mobile Control 应用关闭时,即用户在设备重启后未启动该应用时,将不报
告数据使用量。
11.4.15 更新 iOS 软件
您可以更新以下设备类型的 iOS 软件:
• 受监督的设备
• 受监督的 Apple DEP 设备
注释
本节介绍了如何更新单个设备的 iOS 软件。要更新设备组的 iOS 软件,请使用带有 安装最新的 iOS 更新 任务的任务捆绑包。请参阅
(第 241 页)。
要更新设备上的 iOS 软件:
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在 设备 页面上,单击设备旁边的蓝色三角形,然后单击 显示。
3. 在显示设备页面上,单击操作 > 显示可用的更新。
将显示可用于设备的 iOS 更新列表。标记 紧要 的更新是由 Apple 分类的关键安全更新。
4. 要安装最新的可用更新,请单击 安装最新的可用更新。
创建更新 iOS 软件的任务并将其传输到设备。
提示
• 要检查单个 iOS 设备的更新状态,请打开设备的 显示设备 页面。如果设备没有安装最新的可
用 iOS 版本,则 操作系统 旁边会显示警告标志。
• 要检查所有 iOS 设备的更新状态,请转到 设备 报告的 OsUpdateAvailable 列。
版权所有 © Sophos Limited 57
Sophos Mobile
11.4.16 配置 iOS 托管的丢失模式
您可以将监督的 iOS 设备置于托管的丢失模式下。直到在 Sophos Mobile 中再次关闭托管的丢失模
式前,将不能使用该设备。
在托管的丢失模式下,设备只能执行以下操作:
• 拨打您已经配置的电话号码。
• 拨打紧急呼叫号码。
注释
• 托管的丢失模式是一种与丢失模式不同的锁定模式,后者可以由用户在 iCloud 中开启。如果您
在 Sophos Mobile 中开启托管的丢失模式,设备将不能在 iCloud 中解除锁定。
• 在托管的丢失模式下定位设备比在标准锁定模式下更可靠。设备位置是由 iOS 系统功能报告
的,不需要激活 Sophos Mobile Control 应用。
要开启托管的丢失模式:
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击要将其置于托管的丢失模式下的设备旁边的蓝色三角形,然后单击显示。
3. 在显示设备页面上,单击操作 > 开启托管的丢失模式。
4. 配置以下设置:
选项
锁屏消息
说明
显示在锁屏界面上的文本。
电话号码
页脚
可以在锁屏界面上拨打的电话号码。
显示在锁屏界面底部的脚注文本。
如果您没有配置脚注,将显示提示联系管理员的标准注释。
将创建开启托管的丢失模式的任务,并将其传递到设备。设备接收该任务后,将立即开启托管的丢失
模式。
如果设备处于托管的丢失模式下,您将可以在显示设备页面上执行以下操作:
• 要定位此设备,请使用操作 > 定位。
• 要在设备上播放声音,请使用操作 > 播放丢失模式声音。
• 要关闭托管的丢失模式,请使用操作 > 关闭托管的丢失模式。
提示
要查看托管的丢失模式是否开启,请检查设备属性 IsMDMLostModeEnabled。
58
11.5 自定义设备属性
除设备本身报告的属性外,您还可以为设备添加自定义属性。
使用我的属性名称添加属性时,可以使用 %_DEVPROP(我的属性)_% 占位符表示属性值。有关占位符的
详细信息,请参阅
版权所有 © Sophos Limited
Sophos Mobile
可以通过以下方式为设备添加自定义属性:
• 为单个设备添加自定义属性。请参阅
• 创建默认属性,在设备创建时作为自定义属性分配给设备。请参阅
页)。
11.5.1 添加自定义设备属性
除设备本身报告的属性外,您还可以为设备添加自定义属性。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击所需设备旁边的蓝色三角形,然后单击编辑。
3. 在编辑设备页面上,转到自定义属性选项卡,然后单击添加自定义属性。
如果自定义属性选项卡不可用,请检查专家模式系统设置是否开启 (在安装 > 常规 > 个人下)。
4. 为属性输入名称和值。
5. 单击 应用。
6. 单击保存。
自定义属性将添加到设备。
注释
自定义设备属性的名称不能和标准设备属性的名称相同。
11.5.2 创建默认设备属性
您可以创建默认属性,在设备创建时作为自定义属性分配给设备。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > 常规然后单击 默认设备属性 选项卡。
2. 单击 添加自定义属性。
3. 为属性输入名称和值。
4. 单击 应用。
5. 单击保存。
注释
自定义设备属性的名称不能和标准设备属性的名称相同。
注释
如果为客户和超级管理员客户定义了相同的默认属性,则使用为客户定义的值。
11.6 Zero-touch 注册
通过 Android Zero-touch 注册,可以批量注册公司所有的 Android 设备。支持 Zero-touch 的设备
将在用户开机时自动注册到您的 Sophos Mobile 服务器。
版权所有 © Sophos Limited 59
Sophos Mobile
要求
• 有 Google Zero-touch 注册门户的帐户。通常,设备经销商会在您购买第一台设备时为您创建帐
户。
• 已经在 Sophos Mobile 中针对 托管的 Google Play 帐户 方案设置了 Android 企业。请参阅
Android 企业(托管 Google Play 帐户方案) (第 271 页)。
配置步骤
要使用 Zero-touch 注册,请执行以下步骤:
1. 在 Sophos Mobile Admin 中开启 Zero-touch 注册并配置注册详细信息。请参阅 设置 Zerotouch 注册
(第 60 页)。
2. 在 Google Zero-touch 注册门户中为 Sophos Mobile 创建配置。请参阅
(第 61 页)。
3. 从 Google 认证的企业经销商购买支持 Zero-touch 的 Android 设备。
4. 将 Sophos Mobile 的 Zero-touch 配置文件分配给设备。请参阅 部署 Zero-touch 设备
(第
61 页)。
相关信息
Google Zero-touch 注册网站 (外部链接)
Google Zero-touch 注册帮助 (外部链接)
11.6.1 设置 Zero-touch 注册
要在 Sophos Mobile Admin 中设置 Zero-touch 注册,请在支持 Zero-touch 的 Android 设备
(“Zero-touch 设备”) 注册到 Sophos Mobile 服务器时,配置应用到这些设备的设置。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Zero-touch 选项卡。
2. 单击使用 zero-touch 注册。
3. 在 Zero-touch 配置设置下单击 DPC extras,配置应用到设备的设置:
• 语言: Android 用户界面的语言。
• 时区: 设备上设置的时区。
• 启用系统应用: 默认情况下,如果设备设置为 Android 企业设备所有者模式,将禁用带有启动
程序图标的系统应用。选中此设置可以启用所有系统应用。
根据您的设置,Sophos Mobile 将创建您必须在 Google Zero-touch 注册门户中输入的配置代码。
4. 在注册设置下,配置 Zero-touch 设备的 Sophos Mobile 注册:
• 设备组: Zero-touch 设备分配到的设备组。
• 任务捆绑包: 传递到设备的任务捆绑包。该列表显示没有注册任务的任务捆绑包。
5. 单击保存保存注册设置。
要完成 Zero-touch 注册设置,请在 Google Zero-touch 注册门户中为 Sophos Mobile 创建配置。
60 版权所有 © Sophos Limited
Sophos Mobile
11.6.2 创建 Zero-touch 配置
Zero-touch 配置包含设备注册到 Sophos Mobile 服务器所需的信息。在 Google Zero-touch 注册门户
中创建该配置。
(第 60 页)中所述,在 Sophos Mobile Admin 中设置
了 Android Zero-touch 注册。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Zero-touch 选项卡。
2. 单击 DPC extras 旁边的复制,将配置代码复制到剪贴板。
3. 在新的浏览器窗口中打开 Google Zero-touch 注册门户。
4. 为 Sophos Mobile 创建新的配置:
• 在 EMM DPC 中,选中 Sophos Mobile Control。
• 在 DPC extras 中,输入复制到剪贴板的配置代码。
5. 或者将配置选择为默认配置,使其自动应用到所有新设备。
相关信息
Google Zero-touch 注册门户 (外部链接)
Google Zero-touch 注册帮助 (外部链接)
11.6.3 部署 Zero-touch 设备
要将支持 Zero-touch 的设备 (“Zero-touch 设备”) 注册到您的 Sophos Mobile 服务器,请在
Sophos Mobile 配置中进行分配。
1. 检查要部署的设备是否已在 Google Zero-touch 注册门户中注册。
通常,经销商会为您进行设备注册。
2. 在 Google Zero-touch 注册门户中,将 Sophos Mobile 配置分配给设备。
或者将 Sophos Mobile 配置选择为默认配置,使其自动分配给新设备。
3. 将设备分发给您的用户。
用户必须有 Sophos Mobile 用户帐户。
用户首次开启设备时,将启动 Android 设置助手。设备连接到 Internet 后,将以 Android 企业设
备所有者模式注册到 Sophos Mobile。
注释
在 Google Zero-touch 注册门户中注册设备时,如果设备已经设置,则设备将恢复为出厂设置。
11.6.4 关闭 Zero-touch 注册
要关闭通过 Sophos Mobile 自动注册支持 Zero-touch 的 Android 设备 (“Zero-touch 设备”):
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Zero-touch 选项卡。
2. 单击停用 zero-touch 配置。
Zero-touch 设备仍然会连接到您的 Sophos Mobile 服务器进行注册,但服务器会拒绝该请求。
要完全断开 Sophos Mobile 和 Zero-touch 注册,请在 Google Zero-touch 注册门户中删除 Sophos
Mobile 的配置。
版权所有 © Sophos Limited 61
Sophos Mobile
11.7 Knox Mobile Enrollment
通过 Samsung Knox Mobile Enrollment (KME),您可以将公司所有的 Samsung 设备批量注册到
Sophos Mobile。支持 Knox Mobile Enrollment 的设备将在用户开机时自动注册到您的 Sophos
Mobile 服务器。
要求
• 您有 Samsung 帐户。
• 您有 Samsung Knox 门户的帐户。
• 根据您要使用的注册方案,要注册的设备有 Knox 2.4 或更高版本。例如,在 Android 企业设备所
有者模式下注册需要 Knox 2.8 或更高版本。
• 如果在 Android 企业模式下注册,已经在 Sophos Mobile 中针对 托管的 Google Play 帐户 方案设
置了 Android 企业。请参阅
设置 Android 企业(托管 Google Play 帐户方案) (第 271 页)。
配置步骤
要使用 Knox Mobile Enrollment,请执行以下步骤:
1. 在 Sophos Mobile Admin 中开启 Knox Mobile Enrollment 并配置详细信息。请参阅 设置 Knox
2. 在 Samsung Knox Mobile Enrollment 控制台中为 Sophos Mobile 创建配置文件。请参阅 创建
(第 63 页)。
3. 购买支持 Knox Mobile Enrollment 的设备。
4. 将 Sophos Mobile 的 KME 配置文件分配给设备。请参阅
(第 63 页)。
相关信息
Samsung Knox Mobile Enrollment 网站 (外部链接)
Samsung Knox Mobile Enrollment 用户指南 (外部链接)
62
11.7.1 设置 Knox Mobile Enrollment
要在 Sophos Mobile Admin 中设置 Samsung Knox Mobile Enrollment (KME),请在 KME 设备注册到
Sophos Mobile 服务器时,配置应用到这些设备的设置。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Samsung KME 选项卡。
2. 单击使用 Knox Mobile Enrollment。
3. 在注册设置下,配置 KME 设备的 Sophos Mobile 注册。
• 设备组: KME 设备分配到的设备组。
• 任务捆绑包 (Android): 注册为标准 Android 设备时传递到设备的任务捆绑包。
• 任务捆绑包 (Android 企业设备所有者): 以 Android 企业设备所有者模式注册时传递到设备
的任务捆绑包。
这些列表显示没有注册任务的任务捆绑包。
在 Samsung Knox Mobile Enrollment 控制台的 MDM 注册配置文件中配置注册模式。
版权所有 © Sophos Limited
Sophos Mobile
• 用户验证: 如果选中,用户必须在设备设置过程中输入其 Sophos Mobile 凭据。用户在
Sophos Mobile 中分配给设备。
如果不选中,设备将注册到 Sophos Mobile,但不分配用户。
4. 单击保存保存注册设置。
要完成 Knox Mobile Enrollment 设置,请在 Samsung Knox Mobile Enrollment 控制台中为 Sophos
Mobile 创建 MDM 配置文件。
11.7.2 创建 KME 配置文件
Knox Mobile Enrollment (KME) 配置文件包含设备注册到 Sophos Mobile 服务器所需的信息。在
Samsung Knox Mobile Enrollment 控制台中创建该配置文件。
该过程假定您已经按 设置 Knox Mobile Enrollment (第 62 页)中所述,在 Sophos Mobile Admin
中设置了 Samsung Knox Mobile Enrollment。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Samsung KME 选项卡。
2. 在新的浏览器窗口中打开 Samsung Knox 门户,并导航至 Knox Mobile Enrollment 控制台。
3. 在 Knox Mobile Enrollment 控制台中,为 Sophos Mobile 创建 MDM 配置文件。
如果您想使用标准的 Android 注册和 Android 企业设备所有者注册,请创建两个配置文件,并开
启其中一个配置文件的设备所有者选项。
4. 使用 Sophos Mobile Admin 中 MDM 配置文件配置下显示的值配置该配置文件。
单击 Sophos Mobile Admin 中某个字段旁的复制,将值复制到剪贴板。
还有很多可以配置的配置文件设置。请参阅 Samsung Knox Mobile Enrollment 用户指南了解详
细信息。
5. 保存配置文件。
相关信息
Samsung Knox Mobile Enrollment 控制台 (外部链接)
Samsung Knox Mobile Enrollment 用户指南 (外部链接)
11.7.3 部署 KME 设备
要将支持 Knox Mobile Enrollment 的设备 (“KME 设备”) 注册到您的 Sophos Mobile 服务器,请在
Sophos Mobile 配置文件中进行分配。
1. 在 Knox Mobile Enrollment 控制台中,将 Sophos Mobile 配置文件分配给设备。
如果设备没有显示在 Knox Mobile Enrollment 控制台,请联系您的经销商。
2. 将设备分发给您的用户。
如果您已经在 Sophos Mobile Admin 的 KME 注册设置中选择用户验证,则用户必须有 Sophos
Mobile 用户帐户。
用户首次开启设备时,将启动 Knox Mobile Enrollment 设置向导。设备连接到 Internet 后,将注
册到 Sophos Mobile。
注释
根据您在 Knox Mobile Enrollment 控制台的 Sophos Mobile 配置文件中配置的注册模式,设备以
Android 企业设备所有者模式注册,或注册为标准的 Android 设备。
版权所有 © Sophos Limited 63
Sophos Mobile
11.7.4 关闭 Knox Mobile Enrollment
要关闭通过 Sophos Mobile 自动注册支持 Knox Mobile Enrollment 的设备 (“KME 设备”):
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Samsung KME 选项卡。
2. 单击停用 KME 配置。
KME 设备仍然会连接到您的 Sophos Mobile 服务器进行注册,但服务器会拒绝该请求。
要完全断开 Sophos Mobile 和 Knox Mobile Enrollment,请在 Samsung Knox Mobile Enrollment
控制台中删除 Sophos Mobile 的配置文件。
11.8 Apple DEP
通过 Apple 设备注册程序 (DEP),可以批量购买 iPhone、iPad 和 Mac 设备,并在您的公司内分
发。DEP 提供了以下功能,可以简化移动设备的部署:
• 可配置的激活过程。
• 无线启用监督模式。
• 无线配置。
• 在设备激活过程中,将设备自动注册到 Sophos Mobile。
提示
有关 DEP 的详细信息,请访问 Apple DEP 网站 http://www.apple.com/business/dep/ 。
准备步骤
准备通过 Sophos Mobile 管理 DEP 设备时,请执行以下一次性步骤:
1. 在 Apple DEP Web 门户中,创建虚拟 MDM 服务器,并将其连接到 Sophos Mobile。请参阅
2. 在 Sophos Mobile 中,创建一个或多个 DEP 配置文件,以控制各种 DEP 设备属性。通过 DEP
配置文件,还可以自定义在设备首次开机时启动的设置助手。请参阅 创建 DEP 配置文件 (第
66 页)。
64
部署步骤
购买 DEP 设备时,典型的部署过程包括以下步骤:
1. 从 Apple 或授权的 DEP 供应商购买设备。
2. 在 Apple DEP Web 门户中,将设备分配给 Sophos Mobile MDM 服务器。有关此步骤和下一步的
3. 在 Sophos Mobile Admin 中,给设备分配 DEP 配置文件。
4. 将设备分发给您的用户。
5. 用户首次开启设备时,自定义的设置助手将启动。设置过程中,设备将注册到 Sophos Mobile,
并将用户分配给设备。
6. 如果需要,可以向设备传输其他任务绑定包,以完成设置。
版权所有 © Sophos Limited
Sophos Mobile
11.8.1 设置 Apple DEP
前提条件:您已在 Apple 设备注册程序 (DEP) 中注册,并且已经为 Apple DEP Web 门户设置了管理
员帐户。
注释
有关在 DEP 中注册的详细信息,请访问 Apple DEP 网站 http://www.apple.com/business/dep/
或参阅 Apple 部署程序帮助 。
提示
如果已在 Apple 批量购买计划 (VPP) 中注册,则可对 DEP 使用相同的 Apple ID。
要与 Sophos Mobile 一起使用 Apple DEP,需要在 Apple DEP Web 门户中创建虚拟 MDM 服务器,并
将其链接到 Sophos Mobile 服务器。这包括在 Sophos Mobile 和 Apple DEP Web 服务之间建立安全
连接的验证过程。
要设置 Sophos Mobile 的虚拟 MDM 服务器:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 Apple DEP 选项卡。
2. 单击下载公钥,下载用于 Apple DEP 的 Sophos Mobile 公钥。
文件将使用您的 Web 浏览器下载设置保存到本地计算机上。
3. 在新的浏览器窗口中,使用网址 https://deploy.apple.com 打开 Apple DEP Web 门户。
此操作可以通过在 Sophos Mobile 中单击 Apple DEP Web 门户链接实现。
4. 使用您的公司 Apple ID 登录 Apple DEP Web 门户。
5. 在该门户中,转到设备注册程序管理服务器,然后单击添加 MDM 服务器。
6. 为 MDM 服务器输入名称,如 Sophos Mobile。
7. 在下一步中,上传您从 Sophos Mobile 下载的公钥文件。
8. 在下一步中,下载服务器令牌。
此时,可以注销 Apple DEP Web 门户。
9. 在 Sophos Mobile 的 Apple DEP 选项卡上,单击上传文件并选择您从 Apple DEP Web 门户下载的
服务器令牌。
将显示虚拟 MDM 服务器的详细信息。
10. 单击保存保存修改。
DEP 服务器令牌的有效期为一年。
重要提示
在 Apple DEP Web 门户中创建新的服务器令牌时,必须使用创建初始令牌时使用的相同 Apple
ID。
11.8.2 重置 Apple DEP
重置存储在 Sophos Mobile 中的 Apple DEP 信息可从 Sophos Mobile 删除 Apple DEP 令牌,例如
因为上传了错误的令牌。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 Apple DEP 选项卡。
2. 单击 重置 DEP。
版权所有 © Sophos Limited 65
Sophos Mobile
将从 Sophos Mobile 删除 Apple DEP 令牌、所有 Apple DEP 设备和所有 Apple DEP 配置文件。
要停止通过 Sophos Mobile 管理 Apple DEP 设备,请转到 Apple DEP Web 门户并删除作为 MDM 服
务器的 Sophos Mobile。
11.8.3 创建 DEP 配置文件
在创建 DEP 配置文件前,需要设置 Apple 设备注册程序 (DEP)。请参阅
页)。
DEP 配置文件分配给 DEP 设备,并在设备激活时向 Apple 服务器提供信息。该信息包括:
• 分配用于管理该设备的 MDM 服务器(即 Sophos Mobile)。
• 通过 Sophos Mobile 进行注册的配置选项。
• 允许设备与之配对的主机的列表。
• 在设备首次开机时启动的设置助手使用的自定义选项。
如果需要,可以创建多个 DEP 配置文件,以便对 DEP 设备使用不同的设置和注册设定值。
要创建 DEP 配置文件:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 Apple DEP 配置文件 选项
卡。
2. 单击添加。
3. 在编辑 DEP 配置文件对话框中,输入要求的设置。
4. 要将配置文件分配给所有没有手动分配配置文件的新 DEP 设备,请在分配给新设备的默认 DEP 配
置文件列表中将其选中。
如果选择无,则必须将 DEP 配置文件手动分配给新的 DEP 设备,如 部署 DEP 设备 (第 66
页)中所述。否则,DEP 设备将不会在激活时通过 Sophos Mobile 进行注册。
5. 单击保存保存修改。
相关参考
11.8.4 部署 DEP 设备
执行此过程可以将设备连接到 Apple DEP,并对设备进行 Sophos Mobile 注册。
可以管理从 Apple 或授权的 Apple 供应商购买的设备。将设备连接到 Apple DEP 前,需要先在
Apple DEP 门户中配置设备供应商。
注释
在典型的 DEP 工作流程中,是先执行此过程,然后再将设备交给用户激活和使用。
注释
有关 Apple DEP 门户的详细说明,请参阅 Apple 部署程序帮助 。
要将设备分配给 Sophos Mobile,并为设备分配 DEP 配置文件:
1. 在您的 Web 浏览器地址栏中输入 https://deploy.apple.com,打开 Apple 部署程序的 Web 门
户,然后使用您的公司 Apple ID 登录。
66 版权所有 © Sophos Limited
Sophos Mobile
2. 在门户中,转到设备注册程序管理设备。
3. 在设备选择方式下,按序列号或按订单号选择您的新设备,或上传包含设备序列号的 CSV 文件。
注释
从经销商购买设备后,在经销商将您的订单传给 Apple 后的 24 小时内,设备会出现在 DEP 门
户中。
4. 在选择操作下,选择分配给服务器,然后选择已经为 Sophos Mobile 设置的虚拟 MDM 服务器
(第 65 页)中所述)。
5. 单击确定执行分配。
此时,可以注销 Apple DEP Web 门户。
如果已经按
(第 66 页)的描述配置了默认的 DEP 配置文件,则可跳过其余步
骤。
6. 使用要为其管理 DEP 设备的客户的管理员帐户,登录到 Sophos Mobile Admin。
7. 在侧边的菜单栏中,单击管理下的设备,然后单击 Apple DEP。
Apple DEP 设备页面将列出您在 Apple DEP Web 门户中分配给 Sophos Mobile 的所有设备。
8. 如果刚分配给 Sophos Mobile 的设备未出现在列表中,请单击与 Apple DEP 门户同步。
注释
为限制 Apple DEP 服务器上的负荷,只能在经过短暂的排队时间后进行重复同步。
9. 选择新设备,然后单击操作分配配置文件。
10. 在确认对话框中,选择要分配给设备的 DEP 配置文件,然后单击确定。
购买的设备到达公司后,即可交给您的用户。无需进行其他配置。当用户首次开启他们的设备时,将
按分配的 DEP 配置文件中的配置,执行 iOS 设置和 Sophos Mobile 注册。
如果您按
(第 66 页) 中的描述选择将用户分配给设备配置文件选项,用户将
自动分配给他们的设备。
11.8.5 管理 DEP 设备
在 Sophos Mobile 中管理 DEP 设备就和管理非 DEP 设备一样。请参阅
DEP 比较特别的地方是可以向设备分配 DEP 配置文件。DEP 配置文件在设备激活时向 Apple 服务器
提供信息。请参阅
(第 66 页)。
注释
Sophos Mobile 中显示的 DEP 配置文件可能与设备上实际使用的配置文件不同。如果在设备激活后
更改分配,设备将继续使用先前分配的配置文件,直到其被擦除并再次激活。
要更改设备的 DEP 配置文件:
1. 在侧边的菜单栏中,单击管理下的设备,然后单击 Apple DEP。
Apple DEP 设备页面将列出您在 Apple DEP Web 门户中分配给 Sophos Mobile 的所有设备。
2. 单击与 Apple DEP 门户同步可更新 DEP 信息。
3. 选择要为其分配不同 DEP 配置文件的设备。
4. 单击操作,然后单击所需的操作:
• 分配配置文件:选择下次启动时将分配给设备的 DEP 配置文件。
版权所有 © Sophos Limited 67
Sophos Mobile
• 取消配置文件分配:下次启动设备时,不会分配 DEP 配置文件。
新的配置文件分配显示在 Apple DEP 设备页面上。这些更改将在擦除并再次激活后应用于设备。
11.8.6 手动添加 iOS DEP 设备
您可以为 Apple 设备注册程序 (DEP) 手动注册 iPhone 或 iPad。例如,如果您不是直接从 Apple 或
DEP 核准供应商购买的设备,可使用此方法。
重要提示
设备将重置为出厂设置。
1. 将设备连接到安装有 Apple Configurator 2.5 或更高版本的 Mac 设备的 USB 端口上。
2. 在 Apple Configurator 中,转到文件 > 新建配置文件 > Wi-Fi,为您的 Wi-Fi 连接创建网络配
置文件。
设备连接到 Apple DEP 注册服务器需要此配置文件。
3. 转到首选项 > 组织,并单击 + 按钮,创建一个组织项。
使用您的 Apple DEP 帐户的 Apple ID 和密码。并选择生成新的监管身份。
4. 转到首选项 > 服务器,并单击 + 按钮,创建一个服务器项。
注释
您可以在注册 URL 中输入任意值。Apple Configurator 在注册 DEP 设备时不会使用该值。
5. 选择设备,然后选择准备。
6. 选择手动配置并按向导页面的说明准备设备。
• 选择前面创建的服务器和网络配置文件。
• 跳过 iOS 设置助手的配置。将在 Sophos Mobile DEP 配置文件中对此进行配置。
7. 等待准备过程完成。请勿在此阶段关闭设备。
设备注册后,可在 Apple DEP 门户中通过序列号将其选中。
将设备交给用户前,请按
(第 66 页)中所述,将其注册到 Sophos Mobile。
相关信息
Apple Configurator 2 用户指南 - 手动准备设备 (外部链接)
11.8.7 配置监管主机
您可以为 iOS DEP 设备配置监管主机。尽管您通常会阻止 USB 配对,监管主机仍然可以与 iOS DEP 设
备配对。
只有 Mac 设备可以用作监管主机。
要使 Mac 设备成为监管主机,请将其监管身份证书上传到 Sophos Mobile 的 iOS DEP 配置文件中。
1. 在 Mac 设备上,在 Apple Configurator 中创建一个新的组织,或者使用现有的组织。
2. 打开 Keychain Access 应用。
3. 在我的证书下,导出该组织的证书。
您在 Apple Configurator 中配置的每个组织都有一个证书。
68 版权所有 © Sophos Limited
Sophos Mobile
在导出对话框中,确保证书以 CER 格式 (.cer 文件扩展名) 导出。
4. 在 Sophos Mobile 中的 iOS DEP 配置文件中,转到 USB 配对选项卡并配置以下设置: a) 取消勾选允许使用所有主机进行 USB 配对复选框。 b) 单击上传主机证书上传证书文件。
5. 可选: 要使其他 Mac 设备成为监管主机,请执行以下其中一项操作:
• 将其他证书上传到 iOS DEP 配置文件。
• 通过执行以下操作,在 Mac 设备之间共享该组织:
从第一个 Mac 设备的 Apple Configurator 导出该组织,并将其导入第二个 Mac 设备。
• 通过执行以下操作,在 Mac 设备之间共享监管身份:
在第一个 Mac 设备上,以 PKCS #12 格式 (.p12 文件扩展名) 从 Apple Configurator 导出
监管身份。在第二个 Mac 设备上,使用 Keychain Access 应用打开该 .p12 文件。
相关任务
(第 66 页)
相关参考
相关信息
Apple Configurator 2 使用手册 - “组织”偏好设置 (外部链接)
11.8.8 DEP 配置文件设置 (iOS)
常规设置
设置/字段
名称
描述
设备组
任务捆绑包
说明
DEP 配置文件的名称。
DEP 配置文件的可选描述。
设备注册到 Sophos Mobile 时,将分配给设备的设备
组。
有关设备组的信息,请参阅
注释
为简化设备管理,我们建议对 DEP 设备使用单独的设备
组。
设备注册到 Sophos Mobile 时,将传输到设备的任务
捆绑包。
该列表包括所有包含非注册任务的任务捆绑包。
有关任务捆绑包的信息,请参阅
页)。
版权所有 © Sophos Limited 69
Sophos Mobile
注册
设置/字段
监控设备
用户可以删除 MDM 配置文件
安装 SMC 应用程序
用户可以跳过 MDM 配置文件分配
将用户分配给设备
说明
启用监督模式。
用户可以通过 iOS 用户界面,删除 Sophos Mobile 注册配置文
件。
只有对于受监督的设备,才可以不选择此选项。
在设备上安装 Sophos Mobile Control 应用。
如果启用此选项,还必须禁用 iOS 设置选项卡上
的Apple ID 选项,以确保 Sophos Mobile 可以从 App
Store 安装该应用。
注释
或者,如果您注册了 Apple 批量购买计划 (VPP),即使设
备没有关联 Apple ID,Sophos Mobile 应用也可以作为
(第 262 页)。
用户可以跳过应用 Sophos Mobile 注册配置文件的设置步骤。
在通过 Sophos Mobile 进行注册的过程中,将要求提供用户的
自助服务门户凭据,然后将用户分配给设备。
可以使用此选项将用户自动分配给设备。
iOS 设置
在iOS 设置选项卡上,可以禁用设备首次开机时启动的设置助手的配置步骤。
注释
这些设置只影响 iOS 设置。如果禁用配置步骤,以后用户仍然可以启用相关的选项。要完全禁用某
项功能,请使用限制配置。请参阅 限制配置(iOS 设备配置文件)
(第 150 页)。
设置/字段
备份恢复
禁用“从 Android 移动数据”
诊断
定位服务
Siri
显示缩放
键盘布局
说明
跳过从 iCloud 或 iTunes 备份还原数据,或从 Android 设备
传输数据。
从 Android 设备传输数据的选项不可用。
跳过诊断配置。诊断和使用情况数据将不发送给 Apple。
跳过定位服务配置。定位服务将关闭。
跳过 Siri 配置。Siri 将关闭。
跳过显示缩放配置,即放大的视图提供更大的图标、文本和按
钮。
跳过键盘布局配置。
70 版权所有 © Sophos Limited
设置/字段
Apple ID
Apple Pay
Touch ID
密码
条款和条件
观看迁移
主页按钮反馈
支持信息
设置/字段
部门
Sophos Mobile
说明
跳过 Apple ID 配置。用户不能使用其 Apple ID 登录并访问
Apple 服务。
跳过 Apple Pay 配置。用户不能添加信用卡或借记卡信息,不
能使用 Apple Pay 在应用商店或在应用程序中进行支付。
跳过 Touch ID 配置。用户不能设置指纹代替密码。
跳过创建用于解锁设备的密码。
跳过显示条款和条件页面。
跳过从 iCloud 或 iTunes 备份还原 Apple Watch 数据。
对于 iPhone 7 及更高版本,跳过配置主页按钮反馈,即单击虚
拟的主页按钮时的触觉反馈级别。
电话号码
电子邮件
说明
与配置文件关联的部门或位置名称。
此名称包括在用户可以在设备设置过程中通过单击关于
配置进行访问的信息中。
贵公司的支持电话号码。
此字段将使用技术支持联系人详细信息中的电话号码预
(第 15 页)。
注释
该号码存储在 DEP 配置文件内部,但设备用户不可用。
贵公司的支持电子邮件地址。
此字段将使用技术支持联系人详细信息中的电子邮件
(第 15
页)。
注释
该电子邮件地址存储在 DEP 配置文件内部,但设备用户不
可用。
USB 配对
在 USB 配对选项卡上,您可以限制 iOS DEP 设备与选定的 Mac 设备进行 USB 配对。要将设备连接
到 iTunes 或 Apple Configurator,需要进行 USB 配对。
版权所有 © Sophos Limited 71
Sophos Mobile
设置/字段
允许使用所有主机进行 USB 配对
上传主机证书
说明
如果您选中该复选框,则可将该设备与任何计算机配
对。
如果您不勾选该复选框,则只能将该设备与作为监管主
机的 Mac 设备配对。您不能将该设备与 Windows 计算
机配对。
上传监管身份证书。
这使得在其密钥链中包含该证书的 Mac 设备成为监管
(第 68 页)。
您可以上传多个证书。
注释
如果您不勾选允许使用所有主机进行 USB 配对且没有上传证书,则不能将设备连接到 iTunes 或
Apple Configurator。
相关任务
(第 66 页)
11.8.9 DEP 配置文件设置 (macOS)
常规设置
设置/字段
名称
描述
设备组
任务捆绑包
说明
DEP 配置文件的名称。
DEP 配置文件的可选描述。
设备注册到 Sophos Mobile 时,将分配给设备的设备
组。
有关设备组的信息,请参阅
注释
为简化设备管理,我们建议对 DEP 设备使用单独的设备
组。
设备注册到 Sophos Mobile 时,将传输到设备的任务
捆绑包。
该列表包括所有包含非注册任务的任务捆绑包。
有关任务捆绑包的信息,请参阅
页)。
72 版权所有 © Sophos Limited
Sophos Mobile
注册
设置/字段
用户可以跳过 MDM 配置文件分配
将用户分配给设备
说明
用户可以跳过应用 Sophos Mobile 注册配置文件的设置步骤。
在通过 Sophos Mobile 进行注册的过程中,将要求提供用户的
自助服务门户凭据,然后将用户分配给设备。
可以使用此选项将用户自动分配给设备。
macOS 设置
在macOS 设置选项卡上,可以禁用设备首次开机时启动的设置助手的配置步骤。
注释
这些设置只影响 macOS 设置。如果禁用配置步骤,以后用户仍然可以启用相关的选项。要完全禁用
某项功能,请使用限制配置。请参阅
(第 201 页)。
设置/字段
备份恢复
Apple ID iCloud Analytics
定位服务
条款和条件
注册
诊断
FileVault 磁盘加密
Siri
说明
跳过从 iCloud 或 iTunes 备份还原数据,或从 Android 设备
传输数据。
跳过 Apple ID 配置。用户不能使用其 Apple ID 登录并访问
Apple 服务。
跳过配置 iCloud Analytics。iCloud 帐户的诊断和使用情况数
据将不发送给 Apple。
跳过定位服务配置。定位服务将关闭。
跳过显示条款和条件页面。
跳过计算机帐户创建。
跳过诊断配置。诊断和使用情况数据将不发送给 Apple。
跳过配置 FileVault 磁盘加密。FileVault 将关闭。
跳过 Siri 配置。Siri 将关闭。
支持信息
设置/字段
部门
说明
与配置文件关联的部门或位置名称。
此名称包括在用户可以在设备设置过程中通过单击关于
配置进行访问的信息中。
版权所有 © Sophos Limited 73
Sophos Mobile
设置/字段
电话号码
电子邮件
说明
贵公司的支持电话号码。
此字段将使用技术支持联系人详细信息中的电话号码预
(第 15 页)。
注释
该号码存储在 DEP 配置文件内部,但设备用户不可用。
贵公司的支持电子邮件地址。
此字段将使用技术支持联系人详细信息中的电子邮件
(第 15
页)。
注释
该电子邮件地址存储在 DEP 配置文件内部,但设备用户不
可用。
相关任务
(第 66 页)
11.9 Duo Security 集成
您可以使用 Duo Security 身份验证软件连接 Sophos Mobile。这样 Duo Security 就可以根据设备的
Sophos Mobile 管理状态识别信任的设备。
为确定设备的信任状态,Duo Security 对 Android 和 iOS 使用不同的方法:
• 对于 Android 设备,Duo Security 通过 Sophos Mobile Web 服务接口获取信任状态。
• 对于 iOS 设备,Duo Security 通过设备上的特定证书确定信任状态。
注释
有关信任设备的详细信息,请参阅 Duo Security 文档。
74
11.9.1 为 Android 设备配置 Duo Security 集成
执行以下步骤,让 Duo Security 确定您的 Android 设备的信任状态。
1. 在 Sophos Mobile 中,使用 Duo API 角色创建管理员。
2. 在 Duo 管理员面板中,输入该管理员的用户名和密码。
请参阅 Duo Security 文档了解详细信息。
为确定 Android 设备的信任状态, Duo Mobile Android 应用将向 Duo Security 服务器报告设备
ID。然后,Duo Security 服务器将通过 Sophos Mobile Web 服务接口获取设备状态,并将托管设备
归入信任设备。
相关概念
版权所有 © Sophos Limited
Sophos Mobile
相关任务
11.9.2 为 iOS 设备配置 Duo Security 集成
执行以下步骤,让 Duo Security 确定您的 iOS 设备的信任状态。
1. 配置与 Duo 证书服务器的连接: a) 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 Duo Security 选项卡。 b) 输入 Duo Security 提供的设置。
2. 将 Duo 设备证书配置添加到您要用于 iOS 设备的 iOS 设备配置文件。
3. 更新设备上的 iOS 设备配置文件。
将在设备上安装 Duo 设备证书。 Duo Mobile iOS 应用将检测该证书,并将设备归入信任设备。
相关任务
相关参考
Duo 设备证书(iOS 设备配置文件) (第 175 页)
11.10 TeamViewer 远程控制
TeamViewer 是一款第三方远程控制工具。TeamViewer 集成让您可以在 Sophos Mobile 中启动与托管的
Android 或 iOS 设备的远程控制会话,不必使用会话 ID 或密码。
11.10.1 设置 TeamViewer 集成
要从 Sophos Mobile 中启动 TeamViewer 会话,您必须创建 TeamViewer 应用程序并将其链接到
Sophos Mobile。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 TeamViewer 选项卡。
2. 单击 TeamViewer 配置向导。
向导引导您完成设置过程。 a) 创建 TeamViewer 帐户。 b) 在 TeamViewer 管理控制台中创建应用程序并将其链接到 Sophos Mobile。
3. 安装 TeamViewer 软件: a) 进入您登录到 Sophos Mobile 的计算机。从 TeamViewer 网站安装 TeamViewer Windows 客户
端。 b) 在您要控制的设备上,从 Google Play 或 App Store 安装 TeamViewer QuickSupport 应用。
设置 TeamViewer 集成后,即可使用请求远程控制设备操作。
相关信息
TeamViewer 网站 (外部链接)
TeamViewer 管理控制台 (外部链接)
版权所有 © Sophos Limited 75
Sophos Mobile
11.10.2 启动 TeamViewer 会话
注释
您需要 TeamViewer 许可证和支持移动设备的附加许可证。
Sophos Mobile 支持通过 Android 和 iOS 设备进行的 TeamViewer 会话。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击要控制的设备。
3. 在显示设备页面上,单击操作 > 请求远程控制。
将在您的计算机和选定的设备上启动 TeamViewer 会话。用户确认连接后,您将可以控制该设备。
76 版权所有 © Sophos Limited
Sophos Mobile
12 设备组
设备组用于对设备进行分类。它们可以帮助您有效地管理设备,因为您可以对设备组执行任务,而不
是对单个设备。
一个设备始终属于一个设备组。当您将设备添加到 Sophos Mobile 时,您可以将其分配至设备组。
提示
仅在相同的操作系统中对设备进行分组。这样更便于用设备组执行安装和其他操作系统特定任务。
12.1 创建设备组
1. 在侧边的菜单栏中,单击管理下的设备组,然后单击创建设备组。
2. 在编辑设备组页面中,输入新设备组的名称和描述。
3. 在合规性策略下,选择应用到公司和个人设备的合规性策略。
4. 单击保存。
注释
设备组的设置包括启用 iOS 自动注册选项。此选项让您可以通过 Apple Configurator 注册 iOS 设备。请参阅
(第 42 页)。
新设备组将创建,并显示在设备组页面上。
12.2 删除设备组
1. 在侧边的菜单栏中,单击管理下的设备组。
2. 在设备组页面上,单击要删除的设备组旁边的蓝色三角形,然后单击删除。
3. 在确认对话框中,选择一个剩余的设备组,将当前设备组中的设备重新分配到该组。
如果当前设备组未分配有设备,该选项将不可用。
4. 单击是删除该设备组。
注释
如果只剩一个设备组,且它分配有设备,则不能删除此设备组。
版权所有 © Sophos Limited 77
Sophos Mobile
13 用户
在人员页面上管理您的 Sophos Mobile 用户帐户。
用户管理
在 Sophos Mobile 中设置客户时,您可以选择以下用户管理类型:
内部用户管理
外部用户管理
联合身份验证
在 Sophos Mobile 中创建用户帐户。
在 LDAP 目录 (如 Active directory) 中创建
用户帐户,然后将 LDAP 目录连接到 Sophos
Mobile。请参阅
页)。
在 Azure Active Directory (Azure AD) 中创建
用户帐户。当用户登录自助服务门户时,他们将通
过 Azure AD 进行身份验证。请参阅
用户详细信息
对于内部用户管理,人员页面将显示您已经添加到 Sophos Mobile 的用户。
对于外部用户管理和联合身份验证,人员页面将只显示与 Sophos Mobile 相关的用户:
• 分配给 Sophos Mobile 托管设备的用户。
• 分配给 Apple 大量购买方案 (VPP) 应用的用户。
单击用户名以查看帐户详细信息。
导入用户
对于内部用户管理,您可以从 CSV 文件导入用户。请参阅
用户组
通过用户组,您可以控制自助服务门户访问权限和可用的注册选项。要仅为某些用户创建自助服务门
户配置,请将这些用户添加到用户组,并将该组分配给自助服务门户配置。请参阅
(第 26 页)。
对于内部用户管理,可以在 Sophos Mobile Admin 中将用户添加到组中。请参阅
84 页)。
对于外部用户管理,Sophos Mobile 使用您的 LDAP 目录中定义的组。
对于联合身份验证,Sophos Mobile 使用 Azure AD 中定义的组。
78 版权所有 © Sophos Limited
Sophos Mobile
13.1 配置自助服务门户用户管理
注释
对于 Sophos Mobile on Premise,自助服务门户的用户管理是由超级管理员在创建客户时配置
的。请参阅 Sophos Mobile 超级管理员指南 。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 用户设置 选项卡。
2. 在设备分配下,选择删除分配给设备的用户时发生什么情况:
选项
从设备取消用户分配
取消注册并删除设备
取消设备注册
描述
删除用户分配。设备状态不变。
设备从 Sophos Mobile 取消注册并删除。
设备从 Sophos Mobile 取消注册。设备状态更
改为取消注册。
当您使用外部用户管理时,此设置不可用。
3. 在用户管理模式下,选择 Sophos Mobile 如何管理用户帐户:
选项
无。没有可用的 SSP、用户特定的配置文件或
LDAP 管理员。
内部目录
外部 LDAP 目录
Azure AD 联合身份验证
描述
用户管理将关闭。不能给设备分配用户,也不能
使用自助服务门户。
在 Sophos Mobile 中创建用户帐户和用户组。
Sophos Mobile 使用 LDAP 目录中的用户帐户和
用户组。
在 Azure Active Directory (Azure AD) 中创
建用户帐户和用户组。当用户登录自助服务门
户时,他们将通过 Azure AD 进行身份验证。
(第 82 页)。
4. 对于外部用户管理,单击配置外部 LDAP配置与您的 LDAP 目录的连接。
(第 80 页)。
5. 单击保存。
在您设置用户管理模式之后,不能直接切换到其他模式。而应选择无。没有可用的 SSP、用户特定的
配置文件或 LDAP 管理员。,以使所有选项再次可用。
注释
在下列情况下,您不能修改用户管理模式:
• 有用户分配给设备。
• 有 Apple 大量购买方案 (VPP) 许可证分配给用户。
版权所有 © Sophos Limited 79
Sophos Mobile
80
13.2 配置外部目录连接
要在外部 LDAP 用户目录中管理 Sophos Mobile Admin 用户帐户和自助服务门户,您必须配置与 LDAP
服务器的连接。
Sophos Mobile 可以连接到以下 LDAP 服务器:
• Active Directory
• Google Cloud Directory
• IBM Domino
• NetIQ eDirectory
• Red Hat Directory Server
• Zimbra
有关支持的版本,请参阅 Sophos Mobile 9 发行说明
注释
LDAP 目录和 Sophos Mobile 之间没有同步。Sophos Mobile 将只访问 LDAP 目录以查找用户信
息。对 LDAP 用户帐户的更改将不会在 Sophos Mobile 数据库中进行,反之亦然。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 用户设置 选项卡。
2. 选择外部 LDAP 目录。
3. 单击配置外部 LDAP。
配置取决于 LDAP 服务器类型。以下说明适用于 Active Directory。
4. 在服务器详细信息页面上,配置以下设置: a) 在 LDAP 类型字段中,选择连接类型: b) 在主要 URL 字段中,输入主目录服务器的 IP 地址或名称。
选择 SSL/TLS 通过 SSL 或 TLS(取决于服务器支持的类型)保护服务器连接。 c) 可选: 在适用 URL 字段中,输入主服务器不可用时 Sophos Mobile 用作回退的目录服务器的
IP 地址或名称。 d) 在用户和密码字段中,输入 Sophos Mobile 用于进行 LDAP 服务器身份验证的凭据。
使用以下任一格式:
• <域>\<用户名>
• <用户名>@<域>.<域代码>
注释
出于安全考虑,我们建议您选择没有目录写入权限的帐户。
5. 在搜索库页面上,输入搜索基对象的 distinguished name (DN)。
搜索基对象用于定义目录中的位置,LDAP 搜索将从这里开始。
6. 在搜索字段页面上,配置目录服务 (包含 Sophos Mobile 使用的用户属性) 的属性。
从列表中选择属性名称或手动输入。
对 Active Directory 使用以下映射:
版权所有 © Sophos Limited
Sophos Mobile
Sophos Mobile 中的属性
用户名
名
姓
Active Directory 中的属性 sAMAccountName givenName sn
电子邮件 mail
7. 在 SSP 配置页面上,指定允许登录到自助服务门户的用户。使用以下任一选项,在 LDAP 目录组
字段中输入相关信息:
• 如果输入的组名已经定义在目录服务器中,将允许该组的所有成员登录自助服务门户。输入组名
后,单击测试组,将组名解析为可分辨名称 (DN)。
• 如果将该字段保留为空,将不允许该目录服务器的用户登录自助服务门户。如果要对 Sophos
Mobile Admin启用外部用户管理,但不对自助服务门户启用,则可使用此选项。
注释
在这里指定的组与在自助服务门户页面的组设置选项卡中定义的用户组不相关。使用这些设置,
可以为每个用户组定义任务捆绑包、Sophos Mobile 组成员身份和可用的设备平台。
8. 单击应用。
9. 在用户设置选项卡上,单击保存。
相关信息
如何连接 Sophos Mobile 8.0 服务器和 Azure Active Directory (Sophos 知识库文章 128081)
使用 Secure LDAP 将 Sophos Mobile 连接到 Google Cloud Identity/Google Cloud Directory
(Sophos 知识库文章 132870)
13.3 联合身份验证
Azure Active Directory (Azure AD) 联合身份验证是内部和外部 (LDAP) 用户管理的一种替代用户
管理模式。
当用户登录自助服务门户时,外部用户管理和联合身份验证之间有根本的区别:
• 采用外部用户管理模式,用户使用其 LDAP 凭据进行 Sophos Mobile 身份验证。
• 采用联合身份验证模式,用户直接通过 Azure AD 进行身份验证。
它具有以下优点:
• Azure AD 支持现代登录功能,如多重身份验证、智能卡身份验证或基于证书的身份验证。
• 跨平台单一登录:用户只需登录一次,就可以访问自助服务门户和您为 Azure AD 身份验证配置的
其他应用程序和资源。
• 您不需要打开端口 389 (LDAP) 或 636 (LDAPS) 进行 Sophos Mobile 和您的 LDAP 服务器之间的
通信。
版权所有 © Sophos Limited 81
Sophos Mobile
13.3.1 配置联合身份验证
要使用 Azure Active Directory (Azure AD) 进行联合身份验证,您必须将 Sophos Mobile 注册为
Microsoft Azure 应用程序。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 Microsoft Azure 选项卡。
2. 单击Microsoft Azure 注册向导。
向导将引导您在 Microsoft Azure 门户和 Sophos Mobile Admin 中完成注册过程: a) 在 Microsoft Azure 门户中为 Sophos Mobile 创建应用程序。 b) 在 Sophos Mobile 中输入应用程序 ID。 c) 将 Sophos Mobile 服务器证书上传到您的应用程序。 d) 为 Sophos Mobile 注册回复 URL。用户通过 Azure AD 身份验证后,Azure 会将其转到 Sophos
Mobile 页面。 e) 给您的应用程序授予所需的权限。
3. 在Sophos 设置页面上,单击 用户设置选项卡。
4. 选择Azure AD 联合身份验证作为用户管理模式。
如果联合身份验证不可用,请先切换到无。没有可用的 SSP、用户特定的配置文件或 LDAP 管理
员。。
注释
您可以将该应用程序用于在 Azure 门户中创建的 Sophos Mobile,也可以用于 Intune 应用保护。
请注意,Intune 应用保护有额外的许可证要求。请参阅
(第 286 页)。
13.3.2 设置自助服务门户的默认客户
作为超级管理员,您可以设置用户访问自助服务门户时自动选择的默认客户。
在 Sophos Mobile 中,您可以设置多个客户对您所在组织的不同区域进行彼此独立的管理。当用户访
问自助服务门户时,他们必须在输入其凭据前选择其客户。
您可以通过设置默认客户简化登录体验。虽然这对于所有用户管理模式都是可能的,但它对于联合身
份验证尤其有用:如果用户已经进行了 Azure Active Directory (Azure AD) 身份验证,他们根本就
不会看到登录页面。
要设置自助服务门户的默认客户:
1. 以超级管理员帐户登录 Sophos Mobile Admin。
2. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 Web 门户 选项卡。
3. 在自助服务门户下,选择默认客户,然后从列表中选择客户。
4. 可选: 如果用户已经进行了 Azure AD 身份验证,则关闭可见且可编辑跳过登录页面。
注释
如果您关闭此选项,则只有默认客户的用户才能访问自助服务门户。
5. 单击保存。
82 版权所有 © Sophos Limited
Sophos Mobile
13.4 配置 LDAP 连接
如果您已经设置了联合身份验证,那么您可以在 Sophos Mobile 与 Azure Active Directory (Azure
AD) 之间配置 LDAP 连接。如果您要使用 Apple DEP、Google Zero-touch 或 Samsung KME,则必须这
样做。
以下设备将在用户设置设备时自动注册到 Sophos Mobile:
• 为 Apple 设备注册程序 (DEP) 注册的 iPhone、iPad 和 Mac 设备。
• 为 Google Zero-touch 注册的 Android 设备。
• 为 Knox Mobile Enrollment (KME) 注册的 Samsung Android 设备。
注册过程中,Sophos Mobile 将连接到 Azure AD 对用户进行身份验证。
要配置 LDAP 连接:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 LDAP 连接 选项卡。
2. 单击配置外部 LDAP。
3. 在服务器详细信息页面上,配置以下设置: a) 在主要 URL 字段中,输入主目录服务器的 IP 地址或名称。
服务器必须支持 LDAPS (LDAP over SSL/TLS)。 b) 可选: 在适用 URL 字段中,输入主服务器不可用时 Sophos Mobile 用作回退的目录服务器的
IP 地址或名称。 c) 在用户和密码字段中,输入 Sophos Mobile 用于进行 LDAP 服务器身份验证的凭据。
使用以下任一格式:
• <域>\<用户名>
• <用户名>@<域>.<域代码>
注释
出于安全考虑,我们建议您选择没有目录写入权限的帐户。
4. 在搜索库页面上,输入搜索基对象的 distinguished name (DN)。
搜索基对象用于定义目录中的位置,LDAP 搜索将从这里开始。
5. 单击应用。
13.5 创建用户
1. 在侧边的菜单栏中,单击管理下的人员。
2. 单击创建用户。
3. 在编辑用户页面上,选中发送注册邮件复选框。
4. 输入帐户详细信息。
用户名 字段必须仅包含字母(拉丁字母)、数字、空格和字符\!._-#。
5. 单击保存。
将向新用户发送注册电子邮件。
如果单击所需用户旁边的蓝色三角形,则可查看用户详细信息(显示)、编辑或删除用户。
版权所有 © Sophos Limited 83
Sophos Mobile
84
注释
如果单击用户名,将显示编辑用户页面。该页面包含重新发送注册邮件按钮,如果用户没有收到或
丢失了最初的电子邮件,可用它重新发送该邮件。
13.6 导入用户
您可以通过从 CSV 文件导入用户来添加用户。
您可以导入最多 500 个用户。
如果您指定的组不存在,Sophos Mobile 将会创建。
CSV 文件必须符合以下要求:
• 第一行作为标题,不导入。
• 值必须用分号分隔,而不是逗号。
• 所有行必须具有正确的分号字符数,即便您省略了可选值。
• 文件扩展名必须是 .csv。
• 为确保非英文字符正确导入,文件必须为 UTF-8 编码。
提示
在导入用户页面上,单击CSV 示例下载示例文件。
要从 CSV 文件导入用户:
1. 在侧边的菜单栏中,单击管理下的人员。
2. 单击导入用户。
3. 在导入用户页面上,选择发送注册邮件。
4. 单击上传文件,然后浏览并找到准备好的 CSV 文件。
将从文件中读入记录,并显示出来。
5. 如果数据的格式不正确或不一致,整个文件都不能导入。如果出现这种情况,请按相应记录旁边显
示的错误消息对 CSV 文件的内容进行相应的修改,然后再次上传。
6. 单击完成以创建用户帐户。
用户将导入,并显示在人员页面上。他们将收到电子邮件,其中包括他们的自助服务门户登录凭据。
13.7 创建用户组
通过用户组,您可以控制自助服务门户访问权限和可用的注册选项。
注释
如果您在外部 LDAP 目录中管理用户帐户,则在此创建用户组。
如果您使用联合身份验证,则在 Azure Active Directory 中创建用户组。
要创建用户组:
1. 在侧边的菜单栏中,单击管理下的人员。
2. 单击显示用户组。
版权所有 © Sophos Limited
Sophos Mobile
3. 在显示用户组页面上,单击创建组。
4. 为组输入名称。
5. 单击保存。
创建用户组之后,可以向其中添加用户。
当您将组分配给自助服务门户配置时,该配置仅应用到该组成员。请参阅 配置自助服务门户
(第 26
页)。
版权所有 © Sophos Limited 85
Sophos Mobile
14 配置文件和策略
配置文件
配置文件是由您定义、然后安装到设备或设备组的设置。
为将配置文件安装到一个或多个设备上,Sophos Mobile 可以创建任务,并在指定的时间执行该任
务。更新配置文件时,要使更改后的配置在设备上生效,必须再次安装更新的配置文件。
以下是可用的配置文件类型:
(第 93 页)
(第 148 页)
策略
策略是由您定义、然后分配给设备或设备组的设置。一个设备只能分配一种策略。
如果将策略分配到设备,将触发同步,并且设置会立即生效。每次设备连接 Sophos Mobile 服务器
时,设备上分配的策略都会更新。因此,当您更新策略时,不必重新将其应用到设备。
以下是可用的策略类型:
(第 120 页)
(第 109 页)
(第 132 页)
Android 的 Mobile Security 策略的配置 (第 141 页)
Android Things 策略的配置 (第 148 页)
(第 175 页)
iOS 的 Mobile Security 策略的配置 (第 183 页)
(第 185 页)
(第 199 页)
Windows Mobile 策略的配置 (第 215 页)
(第 224 页)
(第 234 页)
86 版权所有 © Sophos Limited
Sophos Mobile
14.1 开始使用设备策略
策略启动向导帮助您为所有平台创建基本的设备策略。以后您可以加强这些策略。
注释
根据平台的不同,通过设备配置文件 (Android、iOS) 或设备策略 (macOS、Windows、Windows
Mobile) 配置设备设置。为简单起见,本节使用术语策略表示配置文件和策略。
要了解配置文件和策略的区别,请参阅
1. 在仪表板上,单击入门任务小组件中的策略启动向导。
提示
如果您找不到该小组件,请单击添加小组件 > 开始使用。
2. 在平台页面上,选择您要为其创建策略的设备平台。
3. 对于Android,您可以选择管理模式。
此设置影响可用的策略类型。我们建议您使用Android 企业模式。
4. 在政策页面上,配置以下设置: a) 为策略输入一个名称。
将为每个平台创建一个该名称的策略。 b) 选择该策略管理的区域。
如果不选中某个复选框,将跳过相应的向导页面。您可以稍后配置跳过的区域 (以及其他设
置)。
5. 在密码页面上,配置设备密码的要求。
6. 在限制页面上,配置应用于设备的限制,如关闭相机或其他可能存在安全风险的设备功能。
7. 在Wi-Fi页面上,配置与您的公司 Wi-Fi 网络的连接。
如果您的 Wi-Fi 网络使用 WPA/WPA2 PSK 以外的安全类型,您可以稍后更改该设置。
8. 在电子邮件页面上,配置与您的公司 Microsoft Exchange 电子邮件服务器的连接。
占位符 %_USERNAME_% 和 %_EMAILADDRESS_% 将被分配给设备的用户的用户名和电子邮件地址代
替。
9. 单击完成。
向导将为您选择的每个平台创建一个策略。
要查看策略,请单击侧边菜单栏中的配置文件,策略,然后单击设备平台。
要修改管理的区域,请单击策略的名称,然后单击添加配置。
如果选择 Android 企业模式,您必须先为您的组织设置 Android 企业,然后才能注册设备。请参
阅
14.2 创建配置文件或策略
配置文件和策略是由一个或多个配置组成的。通过添加配置,您可以定义配置文件或策略的范围,即设
备上要管理的方面。
1. 在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击要为其创建配置文件或策略的平台。
版权所有 © Sophos Limited 87
Sophos Mobile
2. 在配置文件和策略页面上,单击创建。如果有多个配置文件或策略类型可用于某个平台,单击创
建时将打开一个菜单,您可以从其中选择所需的类型。
(第 86 页)。
3. 输入名称和说明。
4. 对于 iOS 和 macOS 设备配置文件,输入您的组织名称。
5. 对于 Sophos 容器策略,常规配置是强制要求的,会自动添加到策略中。在编辑策略页面上,单
击常规打开配置,并进行所需的修改。
6. 对于 Android 企业策略,限制配置是强制要求的,会自动添加到策略中。在编辑策略页面上,单
击限制打开配置,并进行所需的修改。
7. 对于 Mobile Security 策略,网络配置是强制要求的,会自动添加到策略中。在编辑策略页面上,
单击网络打开配置,并进行所需的修改。
8. 要将更多配置添加到配置文件或策略,请单击添加配置,然后选择要添加的配置。
注释
支持的配置取决于操作系统的版本或其他设备功能。要求通过蓝色标签表示。
9. 在配置的设置页面中,输入所需的设置。
10. 可选: 重复前面的步骤以添加更多的配置。
11. 如果您已经添加SCEP或Duo 设备证书配置,可以选择性地在SCEP 更新间隔中选择更新间隔。
设备将在您选择的时间间隔后自动请求证书更新,时间从配置文件或策略分配到设备开始计算。配
置文件或策略中的所有SCEP和Duo 设备证书配置使用相同的间隔。
12. 添加所有要求的配置后,单击保存。
将创建配置文件或策略。有关如何将配置文件或策略应用到设备的信息,请参阅
(第 91 页)或
提示
当您更新配置文件时,您可以轻松将其重新安装到所安装的所有设备上:在 配置文件和策略 页面
上,单击配置文件旁边的蓝色三角形,然后单击 更新设备。
更新策略时,策略会在已分配策略的所有设备上自动更新。
14.3 导入用 Apple Configurator 创建的 iOS 设
备配置文件
可以将使用 Apple Configurator 创建的配置文件导入 Sophos Mobile。
Apple Configurator 可以从应用商店中下载。
注释
您可以使用与自己开发的 iOS 应用的设置配置文件相同的程序,导入设备配置文件。上传配置文件
时,Sophos Mobile 将分析其内容,以区分这两种配置文件类型。
1. 在 Apple Configurator 中创建配置文件后,将其导出(不加密、不签名)并保存在您的计算机
中。
2. 在侧边的菜单栏中,单击配置下的配置文件,策略 > iOS。
3. 在配置文件和策略页面上,单击创建导入配置文件。
将显示编辑配置文件页面。
88 版权所有 © Sophos Limited
4. 在相应字段中输入新的配置文件的名称和说明。
5. 单击上传文件,浏览并找到保存在您计算机上的文件,将其选中并单击打开。
6. 单击保存。
将创建配置文件。它可以安装到设备上。请参阅
Sophos Mobile
14.4 导入 iOS 应用的设置配置文件
当您开发自己的 iOS 应用时,可以创建设置配置文件,以便可以从 IPA 文件而不是应用商店安装您
的应用。您可以将这些设置配置文件上传到 Sophos Mobile 服务器,随后将它们分发到您的设备。
有关设置配置文件的详细信息,请参阅 iOS 开发库。
注释
可以采用与 Apple Configurator 创建的设备配置文件相同的程序导入设置配置文件。上传配置文
件时,Sophos Mobile 将分析其内容,以区分这两种配置文件类型。
1. 在您的 iOS 开发环境中生成设置配置文件后,将其保存在您的计算机上。
2. 在侧边的菜单栏中,单击配置下的配置文件,策略 > iOS。
3. 在配置文件和策略页面上,单击创建导入配置文件。
将显示编辑配置文件页面。
4. 在相应字段中输入新的配置文件的名称和说明。
5. 单击上传文件,浏览并找到保存在您计算机上的文件,将其选中并单击打开。
6. 单击保存。
将创建配置文件。它可以安装到设备上。请参阅
14.5 关于 macOS 策略
Mac 设备有两种类型的策略:
• 设备策略:如果您将设备策略分配给 Mac 设备,设置将应用到所有登录该 Mac 设备的用户,无论
他们是否由 Sophos Mobile 托管。
• 用户策略:如果您将用户策略分配给 Mac 设备,设置将应用到所有登录该 Mac 设备的托管用户。
托管用户有:
• 将 Mac 设备注册到 Sophos Mobile 的本地用户。
• Sophos Mobile 可以识别的所有网络用户,即来自您已经为自助服务门户配置的外部 LDAP 目录
的用户。
关于设备和用户策略
• 除注册策略(它是一个设备策略)外,您还可以给 Mac 设备分配一个设备策略和一个用户策略。
• 如果分配给同一 Mac 设备的设备策略和用户策略中有冲突性的配置,将应用限制更多的配置。
• 在 Mac 设备上,分配的策略在系统首选项 > 配置文件下列出。
• 如果您更新设备策略,修改将在下次设备同步时生效。
• 如果您更新用户策略,修改将在下次用户登录到 Mac 设备时生效。
版权所有 © Sophos Limited 89
Sophos Mobile
• 用户可以从 Mac 设备上删除用户策略,但它会在下次用户登录时自动重新分配。
• 用户不能删除设备策略。
• 如果用户删除注册策略,Mac 设备将取消 Sophos Mobile 注册。这需要管理员权限。
相关概念
14.6 Windows 密码复杂性规则
Windows 计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过 Sophos
Mobile 策略设置。本地帐户和 Microsoft 帐户使用不同的规则。
本地帐户
• 密码不能包含用户的帐户名或用户全名中两个以上的连续字符。
• 密码长度不得少于 6 个字符。
• 密码必须包含以下 4 类字符中的 3 类︰
— 大写字符 A-Z(拉丁字母)
— 小写字符 a-z(拉丁字母)
— 数字 0-9
— 特殊字符(!、$、#、% 等)
Microsoft 帐户
• 密码长度不得少于 8 个字符。
• 密码必须包含以下 4 类字符中的 2 类︰
— 大写字符 A-Z(拉丁字母)
— 小写字符 a-z(拉丁字母)
— 数字 0-9
— 特殊字符(!、$、#、% 等)
14.7 Samsung Knox 支持
您可以通过 Sophos Mobile 管理 Samsung Knox 设备。
要激活 Samsung Knox 支持,您必须将 Samsung Knox Premium 许可证密钥注册到 Sophos Mobile。
请参阅
要配置 Samsung 设备的 Knox 容器,请参阅 Knox 容器配置文件的配置 (第 144 页)。
要在 Samsung Knox 容器中安装应用,请参阅 添加应用
(第 247 页)。
要管理您的 Samsung Knox 设备,您可以创建任务捆绑包,执行以下操作:
90 版权所有 © Sophos Limited
Sophos Mobile
• Knox 容器: 锁定
• Knox 容器: 解除锁定
• Knox 容器: 重置密码
• Knox 容器:删除(从设备删除容器和所有相关配置)
要为 Samsung Knox 设备创建任务捆绑包,请参阅 创建任务捆绑包
(第 237 页)。
14.8 配置文件和策略中的占位符
配置文件和策略可能包含在执行任务时被实际数据替换的占位符。
可以使用以下占位符:
• 用于用户数据的占位符:
— %_EMAILADDRESS_%
— %_USERNAME_%
• 用于设备属性的占位符:
— %_DEVPROP(属性名)_%
属性名可以是设备的标准属性或自定义属性。请参阅 自定义设备属性
(第 58 页)。
• 用于客户属性的占位符:
— %_CUSTPROP(属性名)_%
(第 23 页)。
对于 macOS,用户数据按以下方式替换:
• 对于本地 Mac 用户,使用分配给设备的 Sophos Mobile 用户的数据。
• 对于网络用户,使用 LDAP 用户帐户的数据。
14.9 在设备上安装配置文件
1. 在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击其中一个支持配置文件的设备平台:
• Android
• iOS
将显示所选平台的配置文件和策略页面。
2. 单击要安装的配置文件旁边的蓝色三角形,然后单击安装。
将显示选择设备页面。
3. 在此页面上,可以:
• 选择要安装该配置文件的单个设备。
• 单击选择设备组,然后选择一个或多个设备组。
4. 完成选择后,单击下一步。
将显示设置执行日期页面。
5. 在计划日期下,选择立即或为该任务的执行指定一个日期和时间。
6. 单击完成。
将显示任务视图页面。
配置文件将在指定的日期和时间安装到所选的设备上。
版权所有 © Sophos Limited 91
Sophos Mobile
提示
您还可以使用以下任一选项安装配置文件:
• 要在所有安装该配置文件的设备上更新配置文件:在 配置文件和策略 页面上,单击配置文件旁
边的蓝色三角形,然后单击 更新设备。
• 要在单个设备上安装配置文件:在设备的 显示设备 页面上,选择 配置文件 选项卡并单击 安
装配置文件。
• 要在多个设备上安装配置文件:在 设备 页面上,选择所需设备,然后单击 操作 > 安装配置文
件。
• 要在一个或多个设备上作为任务捆绑包的一部分安装配置文件:将 安装配置文件 任务添加到任
务捆绑包并将其传输到所需的设备或设备组。
14.10 向设备分配策略
1. 在侧边的菜单栏中,单击配置下的配置文件,策略,然后单击设备平台。
2. 单击策略旁边的蓝色三角形,然后单击分配。
3. 在选择设备页面上,您可以:
• 选择要向其分配策略的单个设备。
• 单击选择设备组,并选择一个或多个设备组进行策略分配。
4. 单击完成。
策略将分配给选定的设备。
注释
Sophos Mobile 不能从设备删除策略。要禁用策略,请将其替换为空策略。
提示
您还可以使用以下任一选项分配策略:
• 要分配策略至单个设备:在设备的 显示设备 页面上,选择 策略 选项卡并单击 分配策略。
• 要分配策略至多个设备:在 设备 页面上,选择所需设备,然后单击 操作 > 安装配置文件或分
配策略。
• 要将策略作为任务捆绑包的一部分分配到一个或多个设备:将 安装配置文件或分配策略 任务添
加到任务捆绑包并将其传输到所需的设备或设备组。
92
14.11 卸载配置文件
使用以下任一过程从设备卸载配置文件:
• 要从单个设备卸载配置文件:在设备的显示设备页面上,选择配置文件选项卡。单击要删除的配置
文件旁边的蓝色三角形,然后单击卸载。
• 要从所有设备上卸载配置文件:在平台的配置文件和策略页面上,单击要删除的配置文件旁边的蓝
色三角形,然后单击卸载。
• 要从选定设备卸载配置文件:创建一个包括卸载配置文件任务的任务捆绑包,并将它传递到所需的
设备或设备组。
版权所有 © Sophos Limited
Sophos Mobile
14.12 下载配置文件和策略
您可以下载配置文件和策略。这很有用,例如,如果您需要将设置传到 Sophos Support。
1. 在侧边的菜单栏中,转到配置文件,策略,并单击一个设备平台。
2. 单击配置文件或策略旁边的蓝色三角形并单击下载。
配置文件或策略将保存到您的计算机上。
14.13 Android 设备配置文件的配置
使用 Android 设备配置文件,您可以配置 Android 设备的各个方面,如密码策略、限制或 Wi-Fi 设
置。
(第 87 页)。
14.13.1 密码策略配置(Android 设备配置文件)
使用密码策略配置,您可以为显示锁定密码定义要求。
注释
支持的设置取决于操作系统的版本或其他设备功能。它在 Sophos Mobile Admin 中通过蓝色标签表
示。
密码类型
在 密码类型 列表中,选择允许用户配置的密码类型:
设置/字段
图案、PIN 或密码
简单密码
PIN 或密码
字母数字密码
说明
用户必须设置屏幕锁定方式。他们可以选择图
案、PIN 或密码类型的屏幕锁定方式。没有额外
的限制。
用户必须设置密码 类型的屏幕锁定方式。允许
数字,但密码必须包含至少一个字母。您可以定
义最小长度。请参阅下表。
用户必须设置 PIN 或密码类型的屏幕锁定方
式。您可以定义最小长度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度。请参阅下表。
版权所有 © Sophos Limited 93
Sophos Mobile
设置/字段
复杂密码
说明
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度,以及数字、小写和大写字母及特殊字符的最
小数目。请参阅下面的两个表格。
如果您选择了 简单密码、PIN 或密码、字母数字密码 或 复杂密码,则会显示以下字段:
设置/字段
密码长度最小值
密码提示前最长空闲时间
说明
密码必须包含的最少字符数目。
如果设备未使用,则该设备被锁定后的时间。设
备可通过输入密码解锁。
注释
该设备可能会施加比您在此配置的时间更短
的时间段。
最长密码期效(天)
最大的登录尝试次数
密码历史记录
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
经过这么多次错误登录尝试之后,将擦除设备。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
如果您选择了 复杂密码,将显示以下附加字段:
设置/字段
字母最小数目
小写字母的最小数目
大写字母的最小数目
非字母数字字符的最小数目
最小位数
特殊字符的最小数目
说明
密码必须包含的最少字母数目。
密码必须包含的最少小写字母数目。
密码必须包含的最少大写字母数目。
密码必须包含的非字母数字字符(如 & 或 !)
的最小数目。
密码必须包含的最少数字字符数目。
密码必须包含的特殊字符(如 !"§$%&/
()=,.-;:_@<>)的最小数目。
94 版权所有 © Sophos Limited
Sophos Mobile
生物特征身份验证
设置/字段
允许指纹身份验证
允许虹膜身份验证
说明
如果设备支持,用户可以使用指纹验证方式解锁设备。
如果设备支持,用户可以使用虹膜验证方式解锁设备。
14.13.2 限制配置(Android 设备配置文件)
使用限制配置,您可以为设备定义限制。
安全
设置/字段
强制加密
强制 SD 卡加密
允许快速加密
允许恢复出厂设置
允许“开发人员选项”
允许安全模式
允许 USB 调试
允许固件恢复
允许备份
说明
用户必须对其设备进行加密。
将配置文件安装到设备上时,用户必须对 SD 卡进行加
密。
注释
对于某些设备类型,用户可以选择取消加密。在下
次装载 SD 卡时,将再次提醒他们。
用户可以修改设备设置中的快速加密选项。
用户可以将其设备重置为出厂状态。
用户可以修改开发者选项。
用户可以在安全模式下启动设备。
用户可以开启 USB 调试。
注释
对于 Enterprise API 版本 9 或更高版本的 Sony
设备,清除允许 USB 调试复选框将使所有开发人员
选项不可用。
将允许所有类型的固件更新(如无线、下载等)。
用户可以创建系统备份。
如果清除该复选框,将关闭 Google 备份,但其他备份
方法(例如 Sophos Mobile 备份)仍然可用。
版权所有 © Sophos Limited 95
Sophos Mobile
设置/字段
允许更改设置
允许剪贴板
启用共享的剪贴板
允许屏幕捕获
允许模仿 GPS 位置
允许无线固件更新
允许录音
允许录像
允许激活锁定
允许 S 光束
允许 S 语音
允许“共享方式”
帐户
设置/字段
允许多个用户帐户
允许添加电子邮件帐户
允许删除 Google 帐户
96
说明
用户可以修改设备设置。
注释
对于您要在其上面配置 Knox 容器的 Samsung 设备,您必
须开启此选项。
用户可以将任意内容复制到剪贴板。
允许用户在应用之间复制剪贴板内容。
如果清除该复选框,每个应用都将有各自的剪贴板。
只有在您选中允许剪贴板时,此设置才可用。
用户可以截屏。
用户可以在 Android 开发人员选项中选择模拟位置信
息应用。
将允许无线固件更新。
用户可以录音。
用户可以录像。
如果清除该复选框,用户仍然可以拍摄照片和流式视
频。
用户可以修改设备设置中的激活锁定选项。
用户可以启动 Samsung S Beam 应用。
用户可以启动 Samsung S Voice 应用。
共享方式功能可以使用。
说明
如果清除该复选框,将关闭多用户支持。用户或其他应
用不能创建额外的用户帐户。
如果清除该复选框,用户将不能添加电子邮件帐户。
这不影响通过设备配置文件创建帐户。
如果清除该复选框,用户将不能从设备上删除 Google
帐户。
版权所有 © Sophos Limited
设置/字段
允许 Google 账户自动同步
Sophos Mobile
说明
如果清除该复选框,Google 帐户将不会自动同步。用
户仍然可以在 Gmail 等应用内执行手动同步。
网络与通信
设置/字段
允许飞行模式
允许漫游时同步
仅允许紧急呼叫
漫游时强制要求手动同步
强制要求移动数据连接
允许短信
允许漫游时连接移动数据
允许漫游时语音呼叫
允许用户移动数据限制
允许 VPN
允许 Wi-Fi Direct
允许 Android Beam
允许 Miracast 策略
允许蓝牙
允许高级音频分发模式 (A2DP)
允许音频/视频远程控制模式 (AVRCP)
允许免提模式 (HFP)
允许耳机模式 (HSP)
允许电话簿访问模式 (PBAP)
允许串口模式 (SPP)
说明
如果清除该复选框,用户将不能启用飞行模式。
如果清除该复选框,将关闭漫游时同步。
只允许紧急呼叫。所有其他通话将被阻止。
设备漫游时,将关闭自动数据同步。这将影响所有配置
的帐户,如 Google 或 Exchange。
用户不能关闭手机网络数据。
如果清除该复选框,用户将不能发送短信。
如果清除该复选框,将关闭漫游时的移动数据连接。
如果清除该复选框,将关闭漫游时的语音通话。
如果清除该复选框,用户将不能设置移动数据限制。
如果清除该复选框,用户将不能使用 VPN 连接。
如果清除该复选框,将关闭通过 Wi-Fi Direct 传输数
据。
如果清除该复选框,将关闭通过 Android Beam 传输数
据。包括 Samsung S Beam 应用。
如果清除该复选框,将关闭通过 Miracast 传输数据。
如果清除该复选框,将关闭蓝牙。
要允许单个蓝牙配置文件,请选中允许蓝牙复选框,然
后选择要允许的配置文件。
如果清除允许蓝牙复选框,设置将不起作用,即禁止所
有配置文件。
版权所有 © Sophos Limited 97
Sophos Mobile
设置/字段
允许 NFC
允许 Wi-Fi
数据加密
设置/字段
允许数据共享
98
允许 Wi-Fi 数据共享
允许 USB 数据共享
允许蓝牙数据共享
允许配置 Wi-Fi 数据共享
硬件
设置/字段
允许照相机
允许在锁定屏幕期间使用照相机
强制要求 GPS 进行位置查询
允许 SD 卡
允许将应用移至 SD 卡
允许写入未加密的 SD 卡
允许麦克风
说明
如果清除该复选框,将关闭 NFC(近场通信)。
如果清除该复选框,将关闭 Wi-Fi。
说明
如果清除该复选框,将关闭数据共享。包括通过 Wi-
Fi、USB 和蓝牙进行的数据共享。
注释
如果清除该复选框,允许 Wi-Fi 数据共享、允许
USB 数据共享和允许蓝牙数据共享将不起作用。
如果清除该复选框,将关闭 Wi-Fi 数据共享(Wi-Fi
热点)。
如果清除该复选框,将关闭 USB 数据共享。
如果清除该复选框,将关闭蓝牙数据共享。
用户可以配置 Wi-Fi 热点的设置。
说明
如果清除该复选框,相机将不可用。
如果清除该复选框,锁屏时将不能使用相机。
要允许相机在锁定屏幕上,您还必须选择 允许照相机
选项。
将使用 GPS 信息进行设备定位。
如果清除该复选框,SD 卡将不能在设备上使用。
如果清除该复选框,用户将不能将应用从内部存储移动
到 SD 卡。
如果清除该复选框,将不能写入未加密的 SD 卡。
如果清除该复选框,麦克风将不可用。
版权所有 © Sophos Limited
设置/字段
允许 USB
允许 USB 媒体播放器
允许省电模式
允许 USB 主机存储
应用程序
设置/字段
允许应用安装
允许应用卸载
允许未签名应用安装
允许 Play Store
允许未知来源的应用
允许本地浏览器
允许应用崩溃报告
允许更换墙纸
显示来电信息
允许在浏览器中自动填充
允许在浏览器中使用 Cookie
版权所有 © Sophos Limited
Sophos Mobile
说明
设备上的 USB 大容量存储模式和 USB 媒体设备模式
(MTP) 可用。
如果清除该复选框,媒体传输协议 (MTP) 将不可用。
因为 Android 使用 MTP 传输 USB 文件,因此将阻止通
过 USB 传输任何文件。
如果清除该复选框,设备将不会进入省电模式。
将装载用户连接的所有外部存储设备。其中包括便携式
USB 存储设备、外置硬盘和 SD 卡读卡器。
如果清除该复选框,将不装载外部存储设备。
说明
如果清除该复选框,用户将不能安装应用。
如果清除该复选框,用户将不能卸载应用。
如果清除该复选框,用户将只能安装签名的 APK 文
件。
如果清除该复选框,将不能使用 Google Play Store
应用。
如果清除该复选框,用户将只能通过 Google Play
Store 应用安装应用。
如果清除该复选框,本地浏览器将不可用。第三方浏览
器应用将不受影响。
如果清除该复选框,用户将不能发送崩溃报告。
如果清除该复选框,用户将不能更换壁纸。
如果清除该复选框,将不显示来电详细信息。所有呼叫
者都将显示为 "未知号码"。
用户可以在本机 Android 浏览器的设置中启用自动填
充。启用后,网页会在用户填充表单数据时提供建议。
如果清除该复选框,将关闭自动填充,且浏览器设置将
不可用。
用户可以在本机 Android 浏览器的设置中启用
Cookie。启用后,网页可以将 Cookie 存储在设备上。
如果清除该复选框,将关闭 Cookie,且浏览器设置将
不可用。
99
Sophos Mobile
设置/字段
允许在浏览器中使用 JavaScript
允许在浏览器中弹出窗口
允许修改日期和时间设置
允许的应用/禁止的应用
说明
用户可以在本机 Android 浏览器的设置中启用
JavaScript。启用后,网页可以在设备上执行
JavaScript 代码。
如果清除该复选框,将关闭 JavaScript,且浏览器设
置将不可用。
用户可以在本机 Android 浏览器的设置中启用弹出窗
口。启用后,网页可以打开新的浏览器窗口。
如果清除该复选框,将关闭弹出窗口,且浏览器设置将
不可用。
用户可以修改日期和时间设置。
您可以配置允许的应用或禁止的应用。从第一个列表中
选择所需的选项,然后从第二个列表中选择包含要允许
的或禁止的应用的应用组。
Sophos Mobile 服务器启动的应用安装不受此设置的影
响。
有关创建应用组的信息,请参阅
页)。
14.13.3 Knox Premium 限制配置(Android 设备配置文件)
使用 Knox Premium 限制配置,您可以为 Samsung Knox 设备定义限制。这些限制适用于设备,不适用
于 Knox 容器。
注释
为了强制执行 Knox Premium 限制,您必须将 Samsung Knox Premium 许可证注册到 Sophos
Mobile,且设备必须支持 Knox Premium SDK 2.x。
选项
允许固件自动更新选项
启用 ODE 信任引导验证
阻止另一管理应用安装
阻止另一管理应用激活
说明
设备将自动检查固件更新。用户不能在设备设置
中更改此选项。
只有二进制文件和内核文件是正式的,也就是设
备没有进行 Root 的情况下,设备才会在启动时
解密数据分区。
如果清除该复选框,设备总是会在启动时解密数
据分区。
将阻止安装需要设备管理员权限的应用。这不影
响 Sophos Mobile 安装的应用。
将阻止激活设备管理员权限。
100 版权所有 © Sophos Limited
选项
允许常见标准模式
Sophos Mobile
说明
将开启设备的常见条件模式 (CC 模式),从而确
保设备符合移动设备基本保护配置文件 (MDFPP)
规定的安全要求。
请注意:CC 模式仅在满足以下附加要求时使
用:
• 设备加密已开启。
• 快速加密已关闭。
• 外部存储加密已开启。
• 设置了设备擦除前允许的登录失败尝试次数。
• 证书吊销已开启。
• 密码历史记录已关闭。
14.13.4 Exchange 帐户配置(Android 设备配置文件)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
电子邮件地址
发件人
密码
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的发件人名称。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的密码。
如果将此字段保留为空,用户必须在其设备上输入
密码。
版权所有 © Sophos Limited 101
Sophos Mobile
设置/字段
同步周期
同步间隔
SSL/TLS
默认账户
允许所有证书
客户端证书
允许转发邮件
允许使用 HTML 格式
最大附件大小 (MB)。
同步内容类型
说明
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
电子邮件同步过程之间的时间间隔。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
该帐户用作默认的电子邮件帐户。
允许电子邮件服务器传输过程中的所有证书。
用于连接 Exchange 服务器的客户端证书。
允许转发电子邮件。
允许在电子邮件中使用 HTML 格式。
单封电子邮件最大的大小 (1、3、5、10、无限
制)。
要同步的内容类型。
注释
在使用 LG GATE、Samsung Knox 或 Sony Enterprise API 的设备上,该电子邮件应用将自动配
置。在其他 Android 设备上,用户将收到配置该电子邮件应用的消息。配置详细信息可以在 Sophos
Mobile Control 应用中找到。
注释
对于采用 Enterprise API 6.x 或以下版本的 Sony 设备,Exchange 帐户信息与分配给设备的用户
相匹配非常重要。
在这些设备上,Sophos Mobile Control 客户端不能将 ActiveSync ID 发送到 Sophos Mobile 服务
器。当设备首次联系 EAS 代理时,电子邮件客户端发送的 ActiveSync ID 对于 Sophos Mobile 是
未知的。为验证帐户详细信息,EAS 代理会搜索 ActiveSync ID 未知的设备以及与电子邮件客户端
提供的用户信息相匹配的已分配用户。如果找到这样的设备,ActiveSync ID 将分配给该设备,电子
邮件请求将传递到 Exchange 服务器。否则,请求将被拒绝。
有关详细信息,请参阅 Sophos 知识库文章 121360 。
102 版权所有 © Sophos Limited
Sophos Mobile
14.13.5 Wi-Fi 配置(Android 设备配置文件)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
安全类型
阶段 2 授权
身份
匿名身份
密码
身份证明书
可信任证书
代理服务器和端口
说明
Wi-Fi 网络的 ID:
Wi-Fi 连接的安全类型:
• 无
• WEP
• WPA/WPA2 PSK
• EAP/PEAP
• EAP/TLS
• EAP/TTLS
EAP 协商的阶段 2 身份验证方法。
• 无
• PAP
• CHAP
• MSCHAP
• MSCHAPv2
此字段可用于 EAP/PEAP 和 EAP/TTLS 连接。
用户标识。
此字段可用于 EAP 连接。
在 EAP 协商的阶段 1 采用非加密方式发送的假
名标识。
此字段可用于 EAP 连接。
Wi-Fi 网络的密码。
用于连接 Wi-Fi 网络的身份证书。
列表包括当前策略的客户端证书配置中的所有证
书。
此字段可用于 EAP 连接。
EAP 服务器的证书根 CA。
列表包括当前策略的根证书配置中的所有证书。
此字段可用于 EAP 连接。
Wi-Fi 连接代理服务器的名称或 IP 地址和端口
号。
版权所有 © Sophos Limited 103
Sophos Mobile
14.13.6 应用保护配置(Android 设备配置文件)
使用应用保护配置,您可以为保护应用定义密码要求。
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码。登录尝试失败后,将出现登录
延迟。
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令。用
户还可在 自助服务门户 中重置应用保护密码。
设置/字段
密码复杂性
宽限期的分钟数
应用组
允许指纹身份验证
说明
用户定义的密码最低复杂性要求。
宽限期到期后,只有输入密码才能解锁受保护的
应用。
选择包含受到密码保护的应用的应用组。
有关创建应用组的信息,请参阅
265 页)。
用户可以使用指纹来解锁受保护的应用。
14.13.7 应用控制配置(Android 设备配置文件)
使用应用控制配置,您可以定义不允许用户启动的应用。例如,可以使用此功能阻止设备制造商预安装
并且无法卸载的应用程序。
设置/字段
应用组
说明
选择包含被阻止应用的应用组。
有关创建应用组的信息,请参阅
265 页)。
104 版权所有 © Sophos Limited
Sophos Mobile
14.13.8 应用权限配置(Android)
使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么。
设置/字段
特定于 App 的运行时权限
说明
您可以对单个应用授予或拒绝某些运行时权限。单击添
加,然后配置应用的设置:
在应用 ID字段中,输入应用的内部标识符。
对每个运行时权限,选择所需的授权状态:
• 可选择: 用户可以授予或拒绝权限。
• 授权: 授予权限且用户不能拒绝。
• 拒绝: 拒绝权限且用户不能授权。
14.13.9 展台模式配置(Android 设备配置文件)
使用展台模式配置,您可以为设备定义限制,使其进入展台模式。
单击选择源,然后执行以下操作之一,指定配置文件传输到设备时将启动的应用:
• 选择自定义并输入应用标识符。
• 选择应用列表,然后从应用标识符列表中选择一个应用。该列表包含您在应用页面上配置的所有应
(第 247 页)。
• 选择没有应用可以配置展台模式,但不指定应用。展台模式限制将应用于设备,但不会启动任何应
用。
在选项下,不选择要在展台模式下禁用的硬件和软件功能。
当配置文件传输到设备时,指定的应用将启动。但是,如果您未关闭任何可用的硬件或软件功能,
用户将可以离开应用并正常使用该设备。要将设备设置为真正的展台模式,至少必须清除允许主页按
钮和允许任务管理器复选框。
注释
• 必须将指定的应用安装到设备上。如果未安装,传输任务将保持未完成状态,直到该应用安
装完成。要安装该应用,请创建一个包含(例如)安装应用任务的任务绑定包,并将其传输到
您的设备。
• 对于 Enterprise API 版本 9 或更高版本的 Sony 设备,如果您清除 允许调高音量、允许
调低音量或允许静音复选框中的任意一项,设备的所有音量按钮都将禁用。
版权所有 © Sophos Limited 105
Sophos Mobile
14.13.10 接入点名称配置(Android 设备配置文件)
使用接入点名称配置,可以为移动设备指定接入点名称 (APN) 配置。APN 配置定义设备如何连接到移动
网络。
重要提示
我们建议您向运营商了解所需的设置。如果选择用作默认 APN 且设置不正确,设备将不能通过手机
网络访问数据。
注释
除 APN 字段外,所有设置均为可选,并且仅在移动网络运营商要求时才指定。
设置/字段
APN
用户友好名称
代理服务器和端口
用户名、用户密码
服务器
MMSC
MMS 代理服务器和端口
移动设备国家代码 (MCC)、移动设备网络代码
(MNC)
身份验证类型
APN 类型
持有者
协议
漫游协议
说明
设备开启与运营商的连接时引用的 APN。
它必须与运营商接受的 APN 一致。否则,将无
法建立连接。
除 APN 外,显示在设备上的可选名称。
用于 Web 通信的 HTTP 服务器的地址和端口。
用于连接到 APN 的用户名和密码。
WAP 网关服务器。
多媒体消息服务中心 (MMSC)。
用于与 MMSC 进行通信的 HTTP 服务器的地址和
端口。
用于指定运营商的 MCC 和 MNC。
APN 仅用于该运营商。
PPP 连接的身份验证方法。
使用此 APN 的数据连接的类型。
要将该 APN 用于所有数据类型,请输入 * 或将
该字段保留为空。
运营商使用的无线接入技术 (RAT)。
运营商支持的网络协议。
运营商在漫游模式下支持的网络协议。
106 版权所有 © Sophos Limited
设置/字段
用作默认 APN
Sophos Mobile
说明
如果选中,设备将使用此 APN 作为默认值。
如果尝试在多个接入点名称配置中选择此选项,
将会引发错误。
14.13.11 VPN 配置(Android 设备配置文件)
使用 VPN 配置,您可以为网络连接定义 VPN 设置。
设置/字段
连接名称
服务器
连接类型
说明
设备上显示的连接名称。
服务器的主机名或 IP 地址。
VPN 连接的类型:
• L2TP/IPsec (PSK)
如果选择此类型,将显示用户、密码和 L2TP/IPsec (PSK) 字段。输入
用户名及密码。在 L2TP/IPsec (PSK) 字段中,输入身份验证的预共享密
钥。
• L2TP/IPsec (证书)
如果选择此类型,将显示客户端证书、根证书、用户名及密码字段。在客
户端证书及根证书字段中,选择相应的证书。此外,输入用户名及相应
的密码。
• Cisco AnyConnect
如果选择此类型,您可以上传 XML 文件及 AnyConnect VPN 配置文件和/
或 NVM (网络可见性模块) 配置文件。请参阅 Cisco AnyConnect 管理员
指南,了解有关这些配置文件的信息。
14.13.12 根证书配置(Android 设备配置文件)
使用根证书配置,您可以在设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书,则必须再次
上传。
14.13.13 客户端证书配置(Android 设备配置文件)
使用客户端证书配置,您可以在设备上安装客户端证书。
中。输入所选证书的密码。
版权所有 © Sophos Limited 107
Sophos Mobile
注释
在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书,则必须再次
上传。
14.13.14 SCEP 配置(Android 设备配置文件)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
注释
您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书,然后才能添加 SCEP 配置。
设置/字段
URL
别名
主题
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在
Sophos 设置页面的 SCEP 选项卡上配置的服务
器 URL。
证书将以该名称显示在选择对话框中。
这应该是一个可以标识证书的、容易记住的名
称。例如,使用与使用者字段中的相同值,而不
带 CN= 前缀。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有
效的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(serial_number)_% 指定
Android 设备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),
请选择 SAN 类型,然后输入 SAN 值。SAN 类型
有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即
用户的 用户主体名称 (UPN)。
108 版权所有 © Sophos Limited
设置/字段
质询
根证书
密钥大小
用于数字签名
用于加密
Sophos Mobile
说明
用于从 SCEP 服务器获取质询密码的 Web 地
址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
CA 证书。
从列表中选择证书。列表包含您已经上传到当前
配置文件的根证书配置中的所有证书。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签
名。
如果您选中此复选框,公钥将可以用于数据加
密。
14.14 Android 企业工作配置文件策略的配置
使用 Android 企业工作配置文件策略,可以配置与设备的工作配置文件相关的设置。策略可以应用到配
置文件所有者模式下的 Android 企业设备。
有关如何创建 Android 企业工作配置文件策略的信息,请参阅
14.14.1 “密码策略 - 设备”配置(Android 企业工作配置文件
策略)
使用密码策略 - 设备配置,您可以为显示锁定密码定义要求。
密码类型
在 密码类型 列表中,选择允许用户配置的密码类型:
设置/字段
图案、PIN 或密码
简单密码
说明
用户必须设置屏幕锁定方式。他们可以选择图
案、PIN 或密码类型的屏幕锁定方式。没有额外
的限制。
用户必须设置密码 类型的屏幕锁定方式。允许
数字,但密码必须包含至少一个字母。您可以定
义最小长度。请参阅下表。
版权所有 © Sophos Limited 109
Sophos Mobile
设置/字段
PIN 或密码
字母数字密码
复杂密码
说明
用户必须设置 PIN 或密码类型的屏幕锁定方
式。您可以定义最小长度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度,以及数字、小写和大写字母及特殊字符的最
小数目。请参阅下面的两个表格。
如果您选择了 简单密码、PIN 或密码、字母数字密码 或 复杂密码,则会显示以下字段:
设置/字段
密码长度最小值
密码提示前最长空闲时间
说明
密码必须包含的最少字符数目。
如果设备未使用,则该设备被锁定后的时间。设
备可通过输入密码解锁。
注释
该设备可能会施加比您在此配置的时间更短
的时间段。
最长密码期效(天)
最大的登录尝试次数
密码历史记录
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
经过这么多次错误登录尝试之后,将擦除设备。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
如果您选择了 复杂密码,将显示以下附加字段:
设置/字段
字母最小数目
小写字母的最小数目
大写字母的最小数目
非字母数字字符的最小数目
最小位数
说明
密码必须包含的最少字母数目。
密码必须包含的最少小写字母数目。
密码必须包含的最少大写字母数目。
密码必须包含的非字母数字字符(如 & 或 !)
的最小数目。
密码必须包含的最少数字字符数目。
110 版权所有 © Sophos Limited
设置/字段
特殊字符的最小数目
Sophos Mobile
说明
密码必须包含的特殊字符(如 !"§$%&/
()=,.-;:_@<>)的最小数目。
14.14.2 “密码策略 - 工作配置文件”配置(Android 企业工作
配置文件策略)
使用密码策略 - 工作配置文件配置,您可以为工作配置文件密码定义要求。工作配置文件锁定时,用户
必须输入该密码才能打开应用。
注释
支持的设置取决于操作系统的版本或其他设备功能。它在 Sophos Mobile Admin 中通过蓝色标签表
示。
密码类型
在 密码类型 列表中,选择允许用户配置的密码类型:
设置/字段
图案、PIN 或密码
简单密码
PIN 或密码
字母数字密码
复杂密码
弱的生物识别
说明
用户必须设置屏幕锁定方式。他们可以选择图
案、PIN 或密码类型的屏幕锁定方式。没有额外
的限制。
用户必须设置密码 类型的屏幕锁定方式。允许
数字,但密码必须包含至少一个字母。您可以定
义最小长度。请参阅下表。
用户必须设置 PIN 或密码类型的屏幕锁定方
式。您可以定义最小长度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度,以及数字、小写和大写字母及特殊字符的最
小数目。请参阅下面的两个表格。
允许用户使用较弱的生物识别方法(如面部识
别)来解锁工作配置文件。
注释
较弱的生物识别方法提供与 3 位数 PIN 码
相似的安全性。这意味着在 1000 次尝试中
可能会发生 1 次中未经授权的解锁。
版权所有 © Sophos Limited 111
Sophos Mobile
如果您选择了 简单密码、PIN 或密码、字母数字密码 或 复杂密码,则会显示以下字段:
设置/字段
密码长度最小值
密码提示前最长空闲时间
说明
密码必须包含的最少字符数目。
如果设备未使用,则该工作配置文件被锁定后的
时间。配置文件可通过输入密码解锁。
注释
该设备可能会施加比您在此配置的时间更短的时间
段。
最长密码期效(天)
最大的登录尝试次数
密码历史记录
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
经过这么多次错误登录尝试之后,将删除工作配
置文件。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
如果您选择了 复杂密码,将显示以下附加字段:
设置/字段
字母最小数目
小写字母的最小数目
大写字母的最小数目
非字母数字字符的最小数目
最小位数
特殊字符的最小数目
说明
密码必须包含的最少字母数目。
密码必须包含的最少小写字母数目。
密码必须包含的最少大写字母数目。
密码必须包含的非字母数字字符(如 & 或 !)
的最小数目。
密码必须包含的最少数字字符数目。
密码必须包含的特殊字符(如 !"§$%&/
()=,.-;:_@<>)的最小数目。
112 版权所有 © Sophos Limited
Sophos Mobile
14.14.3 限制配置(Android 企业工作配置文件策略)
使用限制配置,您可以为 Android 工作配置文件配置限制和相关设置。
安全
设置/字段
允许屏幕捕获
允许用户配置凭据
允许在个人应用中使用工作剪贴板
允许智能锁定
允许共享位置
允许在个人应用中打开 Web 链接
允许调试
允许通过指纹解锁设备
允许工作联系信息用于个人呼叫
允许工作联系信息用于蓝牙设备
允许搜索个人配置文件中的工作联系人
说明
用户可以截取工作配置文件中安装的应用的屏幕内容。
用户可以在工作配置文件中安装或删除证书。
用户可以从工作配置文件中的应用复制文本,并粘贴到
个人应用中。
始终可以将剪贴板文本从个人应用粘贴到工作配置文件
中的应用。
用户可以开启在特定情况下自动解锁设备的 Android
智能解锁功能。
注释
此设置会影响设备锁定。如果还配置了工作配置文件锁
定,它将被忽略。
工作配置文件中的应用可以访问设备的定位功能。
如果不选中该复选框,即便用户已经开启位置共享,工
作配置文件中的应用也不能访问设备的定位功能。
用户在工作配置文件中的应用中点击的 Web 链接可以
通过个人浏览器应用打开。
用户可以开启 Android 开发人员选项中的调试功能。
用户可以使用指纹传感器解锁设备。
工作联系人来电时,个人电话应用显示来电人姓名。
工作联系人个人来电时,连接的蓝牙设备显示来电人姓
名。
搜索来电人姓名时,个人电话应用包括来自工作联系人
的结果。
版权所有 © Sophos Limited 113
Sophos Mobile
帐户
设置/字段
允许管理帐户
网络与通信
设置/字段
允许 VPN
允许 Android Beam
硬件
设置/字段
允许照相机
应用程序
设置/字段
允许应用卸载
允许安装未知来源的应用
允许管理应用
114
说明
用户可以添加或删除工作配置文件中的帐户,但不能添
加或删除 Google 帐户。
说明
用户可以将 VPN 连接用于工作配置文件中的应用。
用户可以通过 Android Beam (通过 NFC 传输数据) 从
工作配置文件中的应用发送数据。
说明
工作配置文件中的应用可以访问相机。
说明
用户可以从工作配置文件中卸载应用。
如果不选中该复选框,用户将只能通过 Google Play
安装工作配置文件中的应用,不能从未知来源或通过
Android 调试桥 (ADB) 安装。
如果不选中该复选框,用户将不能对工作配置文件中的
应用执行以下任务:
• 卸载应用
• 禁用应用
• 停止应用
• 清除应用缓存
• 清除应用数据
• 清除默认情况下打开设置
版权所有 © Sophos Limited
设置/字段
允许禁用 Google 安全扫描
短消息
长消息
Sophos Mobile
说明
用户可以关闭 Google 安全设置扫描设备是否存在安全
威胁。
该设置可用于设置 应用中,在 Google > 安全 >
Google Play Protect下。
特定于公司的支持消息,当功能关闭时向用户显示。
注释
如果您的输入超过了 200 个字符,消息可能会被
截断。
用于补充短消息的附加文本。当用户在显示短消息的屏
幕中点击更多详细信息时,显示该文本。
注释
此文本还会显示在 Sophos Mobile Control 应用
的 Android 设备管理员屏幕上。
14.14.4 Exchange 帐户配置(Android 企业工作配置文件策略)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。这些设
置被应用至工作配置文件中的 Gmail 应用程序。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
注释
密码由用户输入。
版权所有 © Sophos Limited 115
Sophos Mobile
设置/字段
电子邮件地址
发件人
同步周期
SSL/TLS
允许所有证书
客户端证书
说明
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的发件人名称。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
允许电子邮件服务器传输过程中的所有证书。
用于连接 Exchange 服务器的客户端证书。
116
14.14.5 Wi-Fi 配置 (Android 企业工作配置文件策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
安全类型
阶段 2 授权
说明
Wi-Fi 网络的 ID:
Wi-Fi 连接的安全类型:
• 无
• WEP
• WPA/WPA2 PSK
• EAP/PEAP
• EAP/TLS
• EAP/TTLS
EAP 协商的阶段 2 身份验证方法。
• 无
• PAP
• CHAP
• MSCHAP
• MSCHAPv2
此字段可用于 EAP/PEAP 和 EAP/TTLS 连接。
版权所有 © Sophos Limited
设置/字段
身份
匿名身份
密码
身份证明书
可信任证书
Sophos Mobile
说明
用户标识。
此字段可用于 EAP 连接。
在 EAP 协商的阶段 1 采用非加密方式发送的假
名标识。
此字段可用于 EAP 连接。
Wi-Fi 网络的密码。
用于连接 Wi-Fi 网络的身份证书。
列表包括当前策略的客户端证书配置中的所有证
书。
此字段可用于 EAP 连接。
EAP 服务器的证书根 CA。
列表包括当前策略的根证书配置中的所有证书。
此字段可用于 EAP 连接。
14.14.6 应用保护配置(Android 企业工作配置文件策略)
通过应用保护配置,可以为保护托管的 Google Play 应用 (即工作配置文件中安装的应用) 定义密码要
求。
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码。登录尝试失败后,将出现登录
延迟。
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令。用
户还可在 自助服务门户 中重置应用保护密码。
设置/字段
密码复杂性
宽限期的分钟数
应用组
允许指纹身份验证
说明
用户定义的密码最低复杂性要求。
宽限期到期后,只有输入密码才能解锁受保护的
应用。
选择包含受到密码保护的应用的应用组。
有关创建应用组的信息,请参阅
265 页)。
用户可以使用指纹来解锁受保护的应用。
版权所有 © Sophos Limited 117
Sophos Mobile
14.14.7 应用控制配置(Android 企业工作配置文件策略)
通过应用程序控制配置,您可以定义不允许用户启动的应用。
设置/字段
应用组
说明
选择包含被阻止应用的应用组。
有关创建应用组的信息,请参阅
265 页)。
14.14.8 应用权限配置(Android 企业工作配置文件策略)
通过应用权限配置,您可以配置托管的 Google Play 应用在运行期间请求权限时会发生什么。
设置/字段
对运行时权限请求的默认响应
特定于 App 的运行时权限
说明
对未来运行时权限请求的默认响应:
• 提示:应用提示用户授予权限。
• 自动接受:所有运行时权限请求都会自动授予。
• 自动拒绝:所有运行时权限请求都会自动拒绝。
用户以后不能更改权限。
您可以对单个应用授予或拒绝某些运行时权限。单击添
加,然后配置应用的设置:
在应用标识符字段中,输入应用的内部标识符。
对每个运行时权限,选择所需的授权状态:
• 可选择:用户可以授予或拒绝权限。
• 授权:授予权限且用户不能拒绝。
• 拒绝:拒绝权限且用户不能授权。
14.14.9 VPN 配置 (Android 企业工作配置文件策略)
通过 VPN 配置,您可以为 Android 企业设备选择 VPN 客户端。
设置/字段
VPN 客户端
说明
VPN 应用的标识符。
VPN 客户端必须是已安装在设备上的托管的 Google Play 应用。
在应用的托管配置中配置 VPN 连接。有关详细信息,请参阅应用
文档。
118 版权所有 © Sophos Limited
Sophos Mobile
14.14.10 根证书配置(Android 企业工作配置文件策略)
使用根证书配置,您可以在设备上安装根证书。该证书可用于托管的 Google Play 应用,即安装在工作
配置文件中的应用。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.14.11 客户端证书配置(Android 企业工作配置文件策略)
使用客户端证书配置,您可以在设备上安装客户端证书。该证书可用于托管的 Google Play 应用,即安
装在工作配置文件中的应用。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.14.12 SCEP 配置(Android 企业工作配置文件策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。在工作配置
文件中安装的应用将可以使用这些证书。
注释
您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书,然后才能添加 SCEP 配置。
设置/字段
URL
别名
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在
Sophos 设置页面的 SCEP 选项卡上配置的服务
器 URL。
证书将以该名称显示在选择对话框中。
这应该是一个可以标识证书的、容易记住的名
称。例如,使用与使用者字段中的相同值,而不
带 CN= 前缀。
版权所有 © Sophos Limited 119
Sophos Mobile
设置/字段
主题
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
质询
根证书
密钥大小
用于数字签名
用于加密
说明
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有
效的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(serial_number)_% 指定
Android 设备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),
请选择 SAN 类型,然后输入 SAN 值。SAN 类型
有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即
用户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地
址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
CA 证书。
从列表中选择证书。列表包含您已经上传到当前
配置文件的根证书配置中的所有证书。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签
名。
如果您选中此复选框,公钥将可以用于数据加
密。
14.15 Android 企业设备策略的配置
使用 Android 企业设备策略,您可以配置 Android 设备的各个方面,如密码策略、限制或 Wi-Fi 设
置。策略可以应用到设备所有者模式下的 Android 企业设备。
有关如何创建 Android 企业设备策略的信息,请参阅
120 版权所有 © Sophos Limited
Sophos Mobile
14.15.1 “密码策略”配置(Android 企业设备策略)
使用密码策略配置,您可以为显示锁定密码定义要求。
密码类型
在 密码类型 列表中,选择允许用户配置的密码类型:
设置/字段
图案、PIN 或密码
简单密码
PIN 或密码
字母数字密码
复杂密码
说明
用户必须设置屏幕锁定方式。他们可以选择图
案、PIN 或密码类型的屏幕锁定方式。没有额外
的限制。
用户必须设置密码 类型的屏幕锁定方式。允许
数字,但密码必须包含至少一个字母。您可以定
义最小长度。请参阅下表。
用户必须设置 PIN 或密码类型的屏幕锁定方
式。您可以定义最小长度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度,以及数字、小写和大写字母及特殊字符的最
小数目。请参阅下面的两个表格。
如果您选择了 简单密码、PIN 或密码、字母数字密码 或 复杂密码,则会显示以下字段:
设置/字段
密码长度最小值
密码提示前最长空闲时间
说明
密码必须包含的最少字符数目。
如果设备未使用,则该设备被锁定后的时间。设
备可通过输入密码解锁。
注释
该设备可能会施加比您在此配置的时间更短
的时间段。
最长密码期效(天)
最大的登录尝试次数
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
经过这么多次错误登录尝试之后,将擦除设备。
版权所有 © Sophos Limited 121
Sophos Mobile
设置/字段
密码历史记录
说明
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
如果您选择了 复杂密码,将显示以下附加字段:
设置/字段
字母最小数目
小写字母的最小数目
大写字母的最小数目
非字母数字字符的最小数目
最小位数
特殊字符的最小数目
说明
密码必须包含的最少字母数目。
密码必须包含的最少小写字母数目。
密码必须包含的最少大写字母数目。
密码必须包含的非字母数字字符(如 & 或 !)
的最小数目。
密码必须包含的最少数字字符数目。
密码必须包含的特殊字符(如 !"§$%&/
()=,.-;:_@<>)的最小数目。
14.15.2 限制配置(Android 企业设备策略)
使用限制配置,您可以为设备定义限制。
安全
设置/字段
强制加密
允许恢复出厂设置
允许安全模式
允许调试
允许屏幕捕获
允许用户配置凭据
说明
用户必须对其设备进行加密。
用户可以将设备重置为出厂设置。
用户可以在安全模式下启动设备。
用户可以开启 Android 开发人员选项中的调试功能。
用户可以截屏。
用户可以安装或删除证书。
122 版权所有 © Sophos Limited
设置/字段
允许智能锁定
允许共享位置
允许通过指纹解锁设备
允许修改用户头像
在锁屏界面隐藏敏感信息
系统更新策略
帐户
设置/字段
允许管理帐户
网络与通信
设置/字段
允许短信
允许漫游时连接移动数据
允许 VPN
允许 Android Beam
允许蓝牙
允许拨出
版权所有 © Sophos Limited
Sophos Mobile
说明
用户可以开启在特定情况下自动解锁设备的 Android
智能解锁功能。
注释
此设置会影响设备锁定。如果还配置了工作配置文件锁
定,它将被忽略。
用户可以开启位置共享。
用户可以使用指纹传感器解锁设备。
用户可以修改其用户帐户使用的照片。
如果开启锁屏界面上的通知,将隐藏敏感的通知内容。
选择安装系统更新的时间:
• 无策略: 用户决定何时安装系统更新。
• 自动安装: 只要有系统更新可用,即自动安装。
• 在维护时段内安装: 系统更新在日常维护时段内自动安装。
输入一天的开始和结束时间。
• 推迟: 阻止系统更新 (安全更新除外) 30 天。
说明
用户可以在设备中添加或删除帐户,但不能添加或删除 Google
帐户。
说明
如果清除该复选框,用户将不能发送短信。
如果清除该复选框,将关闭漫游时的移动数据连接。
如果清除该复选框,用户将不能使用 VPN 连接。
用户可以通过 Android Beam (通过 NFC 传输数据) 从
应用发送数据。
如果清除该复选框,将关闭蓝牙。
用户可以拨打电话。
123
Sophos Mobile
设置/字段
允许网络重置
启用 Wi-Fi 设置
允许配置手机网络广播
启用手机网络设置
启用数据共享设置
硬件
设置/字段
允许照相机
允许麦克风
允许外部媒体
启用 USB 存储
允许通过 USB 传输文件。
应用程序
设置/字段
允许应用卸载
允许安装未知来源的应用
启用系统应用
124
允许更换墙纸
说明
用户可以将网络设置重置为默认设置。
用户可以修改 Wi-Fi 设置。
用户可以在其消息应用中开启或关闭手机网络广播
(CB) 消息。
用户可以修改手机网络设置。
用户可以修改数据共享和便携式热点设置。
说明
如果清除该复选框,相机将不可用。
如果清除该复选框,麦克风将不可用。
用户可以将 USB 存储等外部媒体连接到设备。
用户可以将 USB 大容量存储模式 (USB MSC) 的设备连
接到主计算机,即作为外部硬盘驱动器。
如果不选中该复选框,用户仍然可以连接媒体传输模式
(USB MTP) 或图片传输模式 (USB PTP) 的设备以传输文
件。
用户可以在设备和外部 USB 存储之间传输文件。
说明
用户可以卸载应用。
如果清除该复选框,用户将只能通过 Google Play 安
装应用,不能从未知来源或通过 Android 调试桥 (ADB)
安装。
如果清除该复选框,将只启用以下应用:Google Play
Store、Contacts、Messages、Phone。对于以 Android
企业设备所有者模式注册的设备,Google 建议开启此选
项。
如果您选中此复选框,将启用制造商预安装的所有应
用。
如果清除该复选框,用户将不能更换壁纸。
版权所有 © Sophos Limited
设置/字段
允许管理应用
允许禁用 Google 安全扫描
允许设置日期和时间
短消息
长消息
允许的辅助功能服务
Sophos Mobile
说明
如果清除该复选框,用户将不能对应用执行以下任务:
• 卸载应用
• 禁用应用
• 停止应用
• 清除应用缓存
• 清除应用数据
• 清除默认情况下打开设置
用户可以关闭 Google 安全设置扫描设备是否存在安全
威胁。
该设置可用于设置 应用中,在 Google > 安全 >
Google Play Protect下。
用户可以设置日期和时间。
如果清除该复选框,将使用网络日期和时间。
特定于公司的支持消息,当功能关闭时向用户显示。
注释
如果您的输入超过了 200 个字符,消息可能会被
截断。
用于补充短消息的附加文本。当用户在显示短消息的屏
幕中点击更多详细信息时,显示该文本。
注释
此文本还会显示在 Sophos Mobile Control 应用
的 Android 设备管理员屏幕上。
限制可以提供辅助功能服务的应用的列表:
• 如果您选择 所有可用的应用,用户将可以使用所有辅助功
能服务。
• 如果您选择 仅系统应用,用户将只能使用系统应用提供的
辅助功能服务。
• 如果您选择应用组,用户将只能使用该组的应用和系统应用
提供的辅助功能服务。
版权所有 © Sophos Limited 125
Sophos Mobile
14.15.3 Exchange 帐户配置(Android 企业设备策略)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
电子邮件地址
发件人
同步周期
SSL/TLS
允许所有证书
客户端证书
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
注释
密码由用户输入。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的发件人名称。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
允许电子邮件服务器传输过程中的所有证书。
用于连接 Exchange 服务器的客户端证书。
126 版权所有 © Sophos Limited
Sophos Mobile
14.15.4 Wi-Fi 配置(Android 企业设备策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
安全类型
阶段 2 授权
身份
匿名身份
密码
身份证明书
可信任证书
说明
Wi-Fi 网络的 ID:
Wi-Fi 连接的安全类型:
• 无
• WEP
• WPA/WPA2 PSK
• EAP/PEAP
• EAP/TLS
• EAP/TTLS
EAP 协商的阶段 2 身份验证方法。
• 无
• PAP
• CHAP
• MSCHAP
• MSCHAPv2
此字段可用于 EAP/PEAP 和 EAP/TTLS 连接。
用户标识。
此字段可用于 EAP 连接。
在 EAP 协商的阶段 1 采用非加密方式发送的假
名标识。
此字段可用于 EAP 连接。
Wi-Fi 网络的密码。
用于连接 Wi-Fi 网络的身份证书。
列表包括当前策略的客户端证书配置中的所有证
书。
此字段可用于 EAP 连接。
EAP 服务器的证书根 CA。
列表包括当前策略的根证书配置中的所有证书。
此字段可用于 EAP 连接。
版权所有 © Sophos Limited 127
Sophos Mobile
14.15.5 应用保护配置(Android 企业设备策略)
通过应用保护配置,可以为保护托管的 Google Play 应用定义密码要求。
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码。登录尝试失败后,将出现登录
延迟。
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令。用
户还可在 自助服务门户 中重置应用保护密码。
设置/字段
密码复杂性
宽限期的分钟数
应用组
允许指纹身份验证
说明
用户定义的密码最低复杂性要求。
宽限期到期后,只有输入密码才能解锁受保护的
应用。
选择包含受到密码保护的应用的应用组。
有关创建应用组的信息,请参阅
265 页)。
用户可以使用指纹来解锁受保护的应用。
14.15.6 应用控制配置(Android 企业设备策略)
使用应用控制配置,您可以定义不允许用户启动的应用。例如,可以使用此功能阻止设备制造商预安装
并且无法卸载的应用程序。
设置/字段
应用组
说明
选择包含被阻止应用的应用组。
有关创建应用组的信息,请参阅
265 页)。
14.15.7 应用权限配置(Android 企业设备策略)
使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么。
设置/字段
对运行时权限请求的默认响应
说明
对未来运行时权限请求的默认响应:
• 提示:应用提示用户授予权限。
• 自动接受:所有运行时权限请求都会自动授予。
• 自动拒绝:所有运行时权限请求都会自动拒绝。
用户以后不能更改权限。
128 版权所有 © Sophos Limited
设置/字段
特定于 App 的运行时权限
Sophos Mobile
说明
您可以对单个应用授予或拒绝某些运行时权限。单击添
加,然后配置应用的设置:
在应用标识符字段中,输入应用的内部标识符。
对每个运行时权限,选择所需的授权状态:
• 可选择:用户可以授予或拒绝权限。
• 授权:授予权限且用户不能拒绝。
• 拒绝:拒绝权限且用户不能授权。
14.15.8 展台模式配置(Android 企业设备策略)
使用展台模式配置,您可以为设备定义限制,使其进入展台模式。
设置/字段
选择源
应用 ID
应用组
允许调高调节
关闭锁屏
充电时保持开启
说明
• 无:允许所有应用。展台模式限制将应用于设备,但用户可
以启动设备上可用的任意应用。
• 自定义, 应用列表, : 将单个应用锁定在屏幕上。
• 应用组:允许多个应用出现在屏幕上。
展台模式下可用的应用。
根据您在选择源中的选择,按其标识符指定应用,或从
可用应用列表中选择应用。
展台模式下可用的应用。
选择其中一个配置的应用组。
如果清除该复选框,设备的音量按钮将禁用。
设备的屏幕将永不锁定。
只要设备连接到电源,设备屏幕就保持开启。
14.15.9 全球 HTTP 代理配置 (Android 企业设备策略)
通过全球 HTTP 代理配置,您可以定义公司代理服务器。
设置/字段
代理
服务器和端口
PAC URL
说明
选择手动,对连接详细信息进行手动配置。
如果您有代理自动配置 (PAC) 文件,则选择自动。
HTTP 代理的名称 (或 IP 地址) 和端口号。
代理自动配置 (PAC) 文件的 URL。
版权所有 © Sophos Limited 129
Sophos Mobile
14.15.10 VPN 配置(Android 企业设备策略)
通过 VPN 配置,您可以为 Android 企业设备选择 VPN 客户端。
设置/字段
VPN 客户端
说明
VPN 应用的标识符。
VPN 客户端必须是已安装在设备上的托管的 Google Play 应用。
在应用的托管配置中配置 VPN 连接。有关详细信息,请参阅应用
文档。
14.15.11 根证书配置(Android 企业设备策略)
使用根证书配置,您可以在设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.15.12 客户端证书配置(Android 企业设备策略)
使用客户端证书配置,您可以在设备上安装客户端证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.15.13 SCEP 配置(Android 企业设备策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
注释
您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书,然后才能添加 SCEP 配置。
130 版权所有 © Sophos Limited
设置/字段
URL
别名
主题
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
质询
根证书
密钥大小
用于数字签名
版权所有 © Sophos Limited
Sophos Mobile
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在
Sophos 设置页面的 SCEP 选项卡上配置的服务
器 URL。
证书将以该名称显示在选择对话框中。
这应该是一个可以标识证书的、容易记住的名
称。例如,使用与使用者字段中的相同值,而不
带 CN= 前缀。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有
效的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(serial_number)_% 指定
Android 设备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),
请选择 SAN 类型,然后输入 SAN 值。SAN 类型
有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即
用户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地
址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
CA 证书。
从列表中选择证书。列表包含您已经上传到当前
配置文件的根证书配置中的所有证书。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签
名。
131
Sophos Mobile
设置/字段
用于加密
说明
如果您选中此复选框,公钥将可以用于数据加
密。
14.16 Android 的 Sophos 容器策略的配置
使用 Sophos 容器策略,您可以配置与 Sophos 容器应用 Sophos Secure Email 和 Sophos Secure
Workspace 相关的设置。
有关如何创建 Sophos 容器策略的信息,请参阅 创建配置文件或策略
(第 87 页)。
注释
如果您将此策略分配给 Android 企业设备,将同时安装 Sophos Secure Workspace 应用。如果策
略还包含工作电子邮件配置,将同时安装 Sophos Secure Email 应用。您必须已经在托管的 Google
Play 中批准了这些应用。
14.16.1 常规配置(Android Sophos 容器策略)
使用常规配置,您可以定义适用于所有 Sophos 容器应用的设置(如果适用)。
设置/字段
启用 Sophos 容器密码
密码复杂性
始终在密码条目字段中隐藏字符
密码期限(天)
说明
用户必须输入一个额外的密码才能启动 Sophos
容器应用。在应用该配置后启动第一个容器应
用时,必须定义密码。此密码适用于所有容器应
用。
要求的 Sophos 容器密码的最低复杂性。始终
允许更安全的密码。密码(数字和字母数字字符
的组合)始终被视为比 PIN(仅数字字符)更安
全。
• 任意:Sophos 容器密码没有限制。
• 4 个数字的 PIN
• 6 个数字的 PIN
• 4 个字符的密码
• 6 个字符的密码
• 8 个字符的密码
• 10 个字符的密码
密码输入字段中的字符在屏蔽之前不会短暂显
示。
密码可以使用的天数,之后会提示用户修改。
132 版权所有 © Sophos Limited
设置/字段
锁定前登录失败
允许指纹
宽限期的分钟数
在设备锁定时锁定
上一次服务器连接
Sophos Mobile
说明
允许登录尝试失败的次数,之后将锁定容器应
用。它们被锁定后,需要管理员对应用进行解
锁,如果允许,用户也可以使用 自助服务门户
进行解锁。
用户可以使用其指纹解锁应用。
容器应用再次回到前台而无需输入 Sophos 容器
密码的时间段。
该宽限期适用于所有容器应用。在该宽限期内,
无需输入密码就可以在应用之间进行切换。
当设备锁定时,Sophos 容器也锁定。
如果清除该复选框,容器将只在宽限期结束后锁
定。
用户可以使用 Sophos 容器应用而不必连接
Sophos Mobile 服务器的时间。
当 Sophos 容器应用激活且在定义的时间内没有
与服务器连接时,将显示锁屏界面。用户只能通
过点击锁屏界面上的重试解锁应用。然后,应用
将尝试连接到服务器。如果可以建立连接,应用
将解锁。否则,访问将被拒绝。
• 访问时:服务器无法访问时,总是需要服务器连接
并且应用将被锁定。
• 1 小时:在上次服务器成功连接后,应用活动 1 个
小时或以上时,需要连接服务器。
• 3 小时
• 6 小时
• 12 小时
• 1 天
• 3 天
• 3 天
• 无: 无需定期联系。
版权所有 © Sophos Limited 133
Sophos Mobile
设置/字段
没有服务器连接时离线启动
说明
在此字段中,您可以定义在没有服务器连接时,
用户多久可以启动一个 Sophos 容器应用一次。
注释
该设置需要开启 Sophos 容器密码功能。
只要用户输入 Sophos 容器密码,计数器就会增
加。如果计数器超过定义的数量,将显示和上一
次服务器连接设置相同的锁屏界面。如果建立了
与 Sophos Mobile 服务器的连接,该计数器将
被重置。
• 无限制: 无需服务器联系。
• 0:不连接服务器则无法启动应用。
• 1:成功启动应用后,需要连接服务器。
• 3
• 5
• 10
• 20
允许容器应用在 Root 的设备上运行。 允许根目录访问
应用使用约束条件
可以在这里定义使用 Sophos 容器应用的约束条件。单击添加,输入约束条件。
地理限制 用于添加 Sophos 容器应用可以在其中使用的纬
度和经度以及半径范围。
时间限制
Wi-Fi 限制
用于指定 Sophos 容器应用可以使用的开始时间
和结束时间。还可以指定应用可以在一周内的哪
些天可以使用。
如果您选中需要 Wi-Fi 连接,没有有效的 Wi-
Fi 连接时将锁定 Sophos 容器。
如果您将 Wi-Fi 网络添加到列表中,当设备连
接到未列出的 Wi-Fi 网络时将锁定 Sophos 容
器。
重要提示
我们建议您不要以 Wi-Fi 限制作为唯一的安全机
制,因为 Wi-Fi 名称很容易被欺骗。
134 版权所有 © Sophos Limited
Sophos Mobile
14.16.2 公司电子邮件配置(Android Sophos 容器策略)
使用公司电子邮件配置,您可以为您的 Microsoft Exchange Server 定义用户设置。这些设置适用于安
装在 Sophos 容器中的 Sophos Secure Email 应用。
设置/字段
Exchange 服务器
说明
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输
入 代理服务器的 URL。
用户
电子邮件地址
域
支持联系人电子邮件
将联系人导出到设备
导出公司名称
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其
替换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会
将其替换为实际的电子邮件地址。
此帐户的域。
将用作“联系技术人员”电子邮件地址的电子邮
件地址。
允许用户将 Exchange 联系人导出到本地设备联
系人,以便他们可以识别来电中的公司联系人。
Sophos Secure Email 保持信息同步。
注释
在以下情况下,本地联系人信息将自动删
除:
• 从 Sophos 容器策略中删除公司电子邮
件配置(需要重新启动 Secure Email
应用)时。
• 从设备删除 Sophos 容器时。
• 从 Sophos Mobile 取消注册设备时。
公司名将包含在从公司联系人到本地设备联系人
的导出中。
如果清除该复选框,将只导出姓名和电话号码。
版权所有 © Sophos Limited 135
Sophos Mobile
设置/字段
通知详细信息
拒绝复制到剪贴板
拒绝截屏
最大的电子邮件大小
允许查看/共享
查看附件
共享附件
额外设置
说明
选择显示在电子邮件通知中的信息量。
该设置还会影响事件提醒。如果您选择了无通
知,则会关闭事件提醒。如果您选择了其他值,
事件提醒将打开并且包含时间、位置和标题信
息。
用户不能从 Sophos Secure Email 应用复制或
剪切文件。
用户无法截取显示 Sophos Secure Email 应用
的屏幕截图。
不会从 Exchange 服务器检索大于所选大小的电
子邮件(包括附件)。
用户可以查看或共享电子邮件附件。
选择附件可以在所有应用中查看,还是只能在
Sophos 容器应用 Sophos Secure Workspace 和
Sophos Secure Email 中查看。
所有应用程序: 附件可以共享给支持文件格式的
所有应用。
容器应用: 附件将使用设备密钥加密,且只能在
Sophos Secure Workspace 中打开。共享操作本
身不会被阻止。
仅在得到 Sophos 客户支持的指令时配置这些设
置。
注释
如果 Sophos Secure Email 未安装,用户将收到安装消息。当他们首次启动该应用时,它将自动配
置。
14.16.3 公司文档配置(Android Sophos 容器策略)
使用公司文档配置,您可以为 Sophos Secure Workspace 应用的公司文档功能定义设置。
配置存储提供程序
对于每个存储提供程序,可以分别定义下列设置:
设置/字段
启用
说明
可以在应用中使用存储提供程序。
136 版权所有 © Sophos Limited
设置/字段
离线
打开(已加密)
打开(未加密)
剪贴板
Sophos Mobile
说明
将允许用户将文件从存储提供程序添加到应用
的收藏夹列表,以供离线使用。
用户可以通过打开与其他应用共享加密的文件。
用户可以通过打开与其他应用共享未加密的文
件。
用户可以复制文档的不同部分,并将它们粘贴到
其他应用。
企业提供程序设置
对于 WebDAV 提供程序 (也称为企业提供程序),您可以集中定义服务器设置和登录凭据。这些不能被
用户更改。
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择。
例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段。然后用户在访问存储提
供程序时,必须要知道密码。
设置/字段
名称
服务器
用户名
密码
上传文件夹
说明
在 Sophos Secure Workspace 应用中显示的提
供程序的名称。
在此字段中,输入:
• 公司文档 WebDAV 服务器上根文件夹的
URL。
• WebDAV 服务器上根文件夹的 URL。
使用以下格式:https://server.company.com
仅支持 https 协议。
相关服务器的用户名。也可以使用 %_USERNAME_
% 变量。
相关帐户的密码。
相关帐户的上传文件夹。
其他设置
设置/字段
启用文档
说明
将开启文档功能,可以安全分发公司文档。
版权所有 © Sophos Limited 137
Sophos Mobile
设置/字段
密码复杂性
拒绝截屏
额外设置
说明
要求的加密密钥密码的最低复杂性。总是允许更
安全的密码。
可以选择以下设置:
• 4 个字符的密码
• 6 个字符的密码
• 8 个字符的密码
• 10 个字符的密码
用户无法截取显示 Sophos Secure Workspace
应用的屏幕截图。
仅在得到 Sophos 客户支持的指令时配置这些设
置。
14.16.4 公司浏览器配置(Android Sophos 容器策略)
使用公司浏览器配置,您可以为 Sophos Secure Workspace 应用的公司浏览器功能定义设置。
公司浏览器让您可以安全访问公司的 Intranet 页面和其他允许的页面。您可以定义域和域内的书
签。
每个书签都属于某个域。当您添加书签时,如果没有域条目,将会自动创建域条目。
一般设置
设置/字段
拒绝截屏
说明
用户不能截取显示公司浏览器的屏幕截图。
域设置
设置/字段
URL
允许复制/粘贴
允许打开方式
允许保存密码
说明
您要允许的域。
用户可以从公司浏览器中将文本复制和粘贴到其
他应用。
用户可以下载附件,或将它们传递到其他应用。
用户可以在公司浏览器中保存他们的密码。
138 版权所有 © Sophos Limited
Sophos Mobile
书签设置
设置/字段
名称
URL
说明
书签的名称。
书签的的 Web 地址。
14.16.5 根证书配置(Android Sophos 容器策略)
使用根证书配置,您可以在设备上安装根证书。如果 Sophos Secure Email 和 Sophos Secure
Workspace 应用安装在 Sophos 容器中,它们将可以使用此证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.16.6 客户端证书配置(Android Sophos 容器策略)
使用客户端证书配置,您可以在设备上安装客户端证书。如果 Sophos Secure Workspace 应用安装在
Sophos 容器中,它将可以使用此证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.16.7 SCEP 配置(Android Sophos 容器策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。这些证书可
用于 Sophos Secure Workspace 应用的公司浏览器功能。
注释
您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书,然后才能添加 SCEP 配置。
版权所有 © Sophos Limited 139
Sophos Mobile
设置/字段
URL
别名
主题
140
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
质询
根证书
密钥大小
用于数字签名
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在
Sophos 设置页面的 SCEP 选项卡上配置的服务
器 URL。
证书将以该名称显示在选择对话框中。
这应该是一个可以标识证书的、容易记住的名
称。例如,使用与使用者字段中的相同值,而不
带 CN= 前缀。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有
效的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(serial_number)_% 指定
Android 设备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),
请选择 SAN 类型,然后输入 SAN 值。SAN 类型
有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即
用户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地
址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
CA 证书。
从列表中选择证书。列表包含您已经上传到当前
配置文件的根证书配置中的所有证书。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签
名。
版权所有 © Sophos Limited
设置/字段
用于加密
Sophos Mobile
说明
如果您选中此复选框,公钥将可以用于数据加
密。
14.17 Android 的 Mobile Security 策略的配置
利用 Mobile Security 策略,可以配置 Sophos Mobile Security 应用。
有关如何创建 Mobile Security 策略的信息,请参阅
注释
如果您将此策略分配给 Android 企业设备,将同时安装 Sophos Mobile Security 应用。您必须已
经在托管的 Google Play 中批准了此应用。
14.17.1 网络配置 (Android 的 Sophos Mobile Security 策略)
通过网络配置,您可以管理 Sophos Mobile Security 应用的网络设置,让用户免受来自网络的威胁。
注释
将此配置分配给设备时,将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进
行修改。
设置/字段
中间人保护
额外设置
说明
Sophos Mobile Security 检查 Wi-Fi 连接是否存在中间
人攻击。
仅在得到 Sophos 客户支持的指令时配置这些设置。
14.17.2 反病毒配置 (Android 的 Sophos Mobile Security 策
略)
通过防病毒配置,您可以管理 Sophos Mobile Security 应用的恶意软件保护设置。
注释
将此配置分配给设备时,将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进
行修改。
设置/字段
云扫描模式
说明
选择 Sophos Mobile Security 何时从 Sophos 服务器加
载最新的恶意软件信息。
版权所有 © Sophos Limited 141
Sophos Mobile
设置/字段
计划扫描间隔
扫描系统应用
扫描存储
检测 PUA
允许用户启用PUAs
模式
扫描通知
监控存储
应用组
说明
选择执行恶意软件扫描的频率。
如果您选择 每天充电时,则设备会在连接到电源超过 30
分钟后执行扫描。
扫描系统应用。
默认情况下不扫描系统应用,因为它们受到 Android 操作
系统的保护且用户不能卸载。
除了默认扫描所有安装的应用外,还扫描内部共享存
储、SD 卡和连接的 USB 设备上的所有文件,看是否存在威
胁。
扫描是否存在可能不需要的应用 (PUA)。
可能不需要的应用是指虽不是恶意软件,但通常被认为是
不适合企业网络的应用。PUA 包括广告软件、拨号器、系统
监控、远程管理工具和黑客工具。但是,某些可以归为 PUA
的应用可能对某些用户很有用。
用户可以允许归为 PUA 的应用。随后的扫描中将忽略允许
的应用。
选择如何处理低信誉应用:
允许: 关闭对低信誉应用的扫描。
警告: 检测到低信誉应用时,在设备上显示警告消息。用
户可以选择如何处理该应用。他们可以将其添加到允许的应
用列表中,以便在检测到该应用时不会显示警告。
阻止: 用户不能启动低信誉应用。
当应用在安装后被扫描时,Sophos Mobile Security 将创
建一个通知。
如果不选中该复选框,将不会为清洁应用创建通知。
监控内部共享存储、SD 卡和连接的 USB 设备是否有修
改。新的文件存储在这些位置时,它们将被扫描到。
选择允许应用组。该组中的应用将排除在扫描以外。
142 版权所有 © Sophos Limited
Sophos Mobile
14.17.3 网站筛选配置 (Android 的 Sophos Mobile Security
策略)
通过网络筛选配置,您可以管理 Sophos Mobile Security 应用的网站筛选功能。这可以让用户避免浏
览包含恶意、不需要或非法内容的网站。
重要提示
您还必须关闭允许拒绝 SMSec 权限合规性规则。否则,用户将可以通过关闭 Sophos 辅助功能服
务停止网站筛选。
设置
设置/字段
筛选恶意网站
按照类别筛选网站
网站例外
说明
选择用户是否可以访问带有恶意内容的网站。
选择用户是否可以访问属于特定类别的网站。
Sophos Mobile Security 根据 SophosLabs 提供的数据对
网站进行分类。该数据会不断更新。
提示
为了测试网络筛选,Sophos 创建了包含每个类别的示例页面
的网站 sophostest.com
。尽管其中一些页面被归类为具有潜在
的攻击性或危险性,但是页面内容本身在所有情况下都是无害
的。
配置类别筛选的例外:
允许的域: 允许网站,即使它们所属的类别受到阻止。
阻止的域: 阻止网站,即使它们属于允许的类别。
可以输入域名或 IP 地址。示例:
• www.example.com
• *.example.com
• 198.51.100.1
• 198.51.100.0/24
支持的浏览器
网站筛选可与下列 Web 浏览器配合使用:
• Android Web 浏览器
• Firefox
• Google Chrome
版权所有 © Sophos Limited 143
Sophos Mobile
• Microsoft Edge
其他浏览器可能也可以,但没有经过测试。
14.18 Knox 容器配置文件的配置
通过 Knox 容器配置文件,可以配置与 Samsung 设备的 Knox 容器相关的设置。
有关如何创建 Knox 容器配置文件的信息,请参阅 创建配置文件或策略
(第 87 页)。
14.18.1 密码策略配置(Knox 容器配置文件)
使用密码策略配置,您可以为 Knox 容器密码定义要求。
注释
支持的设置取决于操作系统的版本或其他设备功能。它在 Sophos Mobile Admin 中通过蓝色标签表
示。
密码类型
在 密码类型 列表中,选择允许用户配置的密码类型:
设置/字段
图案、PIN 或密码
简单密码
PIN 或密码
字母数字密码
复杂密码
说明
用户必须设置屏幕锁定方式。他们可以选择图
案、PIN 或密码类型的屏幕锁定方式。没有额外
的限制。
用户必须设置密码 类型的屏幕锁定方式。允许
数字,但密码必须包含至少一个字母。您可以定
义最小长度。请参阅下表。
用户必须设置 PIN 或密码类型的屏幕锁定方
式。您可以定义最小长度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度。请参阅下表。
用户必须设置密码 类型的屏幕锁定方式。密码
必须同时包含字母和数字。您可以定义最小长
度,以及数字、小写和大写字母及特殊字符的最
小数目。请参阅下面的两个表格。
如果您选择了 简单密码、PIN 或密码、字母数字密码 或 复杂密码,则会显示以下字段:
设置/字段
密码长度最小值
说明
密码必须包含的最少字符数目。
144 版权所有 © Sophos Limited
Sophos Mobile
设置/字段
密码提示前最长空闲时间
说明
如果 Knox 容器未使用,则该工作配置文件被锁
定后的时间。容器可通过输入密码解锁。
注释
该设备可能会施加比您在此配置的时间更短的时间
段。
最长密码期效(天)
最大的登录尝试次数
密码历史记录
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
经过这么多次错误登录尝试之后,将删除 Knox
容器。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
如果您选择了 复杂密码,将显示以下附加字段:
设置/字段
字母最小数目
小写字母的最小数目
大写字母的最小数目
非字母数字字符的最小数目
最小位数
特殊字符的最小数目
说明
密码必须包含的最少字母数目。
密码必须包含的最少小写字母数目。
密码必须包含的最少大写字母数目。
密码必须包含的非字母数字字符(如 & 或 !)
的最小数目。
密码必须包含的最少数字字符数目。
密码必须包含的特殊字符(如 !"§$%&/
()=,.-;:_@<>)的最小数目。
生物特征身份验证
设置/字段
允许指纹身份验证
允许虹膜身份验证
允许人脸身份验证
说明
如果设备支持,用户可以使用指纹验证方式解锁 Knox
容器。
如果设备支持,用户可以使用虹膜验证方式解锁 Knox
容器。
如果设备支持,用户可以人脸身份验证方式解锁 Knox
容器。
版权所有 © Sophos Limited 145
Sophos Mobile
14.18.2 限制配置(Knox 容器配置文件)
使用限制配置,您可以配置 Samsung 设备 Knox 容器的限制和相关设置。
设置/字段
允许屏幕捕获
允许照相机
允许剪贴板
允许“共享方式”
允许麦克风
强制使用安全键盘
允许添加新邮件账户
允许数据导出
允许将文件复制到容器中
允许蓝牙
允许 NFC
强制进行多重身份验证
允许的应用/禁止的应用
说明
用户可以捕获 Samsung Knox 容器中的应用的屏幕内
容。
Samsung Knox 容器中的应用可以访问相机。
用户可以将任意内容复制到剪贴板。
某些应用使用的共享方式功能将开启。
Samsung Knox 容器中的应用可以访问麦克风。
用户必须使用安全键盘。
用户可以在 Sophos Mobile 配置文件配置的帐户以外
添加电子邮件帐户。
私人应用可以访问 Samsung Knox 容器的数据。
私人文件可以复制或移动到 Samsung Knox 容器内。
Samsung Knox 容器内的应用可以使用蓝牙连接。
Samsung Knox 容器内的应用可以使用 NFC(近场通
信)连接。
要解锁 Samsung Knox 容器,需要多种身份验证方法,
如密码和指纹。
您可以配置允许的应用或禁止的应用。从第一个列表中
选择所需的选项,然后从第二个列表中选择包含要允许
的或禁止的应用的应用组。
Sophos Mobile 服务器启动的应用安装不受此设置的影
响。
有关创建应用组的信息,请参阅
页)。
146 版权所有 © Sophos Limited
Sophos Mobile
14.18.3 Exchange 帐户配置(Knox 容器配置文件)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。这些设
置被应用至 Samsung Knox 容器。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
电子邮件地址
发件人
密码
同步周期
同步间隔
SSL/TLS
默认账户
允许所有证书
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的发件人名称。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的密码。
如果将此字段保留为空,用户必须在其设备上输入
密码。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
电子邮件同步过程之间的时间间隔。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
该帐户用作默认的电子邮件帐户。
允许电子邮件服务器传输过程中的所有证书。
版权所有 © Sophos Limited 147
Sophos Mobile
设置/字段
允许从其他帐户转发。
允许使用 HTML 格式
最大附件大小 (MB)。
同步内容类型
说明
此帐户可用于转发其他帐户收到的电子邮件。
例如,如果这是帐户 A,且 Knox 容器还包含另一
个帐户,即帐户 B,则帐户 B 收到的电子邮件可
以使用帐户 A 作为发件人转发。
注释
此设置仅供本机 Android 电子邮件应用使用。
允许在电子邮件中使用 HTML 格式。
单封电子邮件最大的大小 (1、3、5、10、无限
制)。
要同步的内容类型。
14.19 Android Things 策略的配置
使用 Android Things 策略,您可以配置 Android Things 设备的各个方面。目前,仅支持 Wi-Fi 设
置。
有关如何创建 Android Things 策略的信息,请参阅
14.19.1 Wi-Fi 配置(Android Things 策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
安全类型
说明
Wi-Fi 网络的 ID:
Wi-Fi 网络的安全类型:
• 无
• WEP
• WPA/WPA2
如果选择 WEP 或 WPA/WPA2,将显示密码字段。
输入相应的密码。
14.20 iOS 设备配置文件的配置
使用 iOS 设备配置文件,您可以配置 iOS 设备的各个方面,如密码策略、限制或 Wi-Fi 设置。
(第 87 页)。
148 版权所有 © Sophos Limited
Sophos Mobile
14.20.1 密码策略配置(iOS 设备配置文件)
使用密码策略配置,您可以为设备密码定义要求。
注释
将密码策略配置分配给设备时,将开始 60 分钟的宽限期。在宽限期内,将在用户返回主屏幕时,
提示用户修改密码,以符合策略要求。在宽限期后,用户将不能启动设备上的应用,其中包括内部
应用。
设置/字段
允许简单值
需要字母数字值
密码长度最小值
复杂字符的最小数目
最长密码期效(天)
最大自动锁定(分钟)
密码历史记录
设备锁定的最大宽限期间
设备擦除前的失败尝试次数
说明
允许用户在其密码中使用顺序或重复字符,如
1111 或 abcde。
密码必须包含至少 1 个字母或数字。
指定密码必须包含的最少字符数目。
指定密码必须包含的非字母数字字符(例如 &
或!)的最小数目。
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
在此字段中,可以指定允许用户在设备上配置
的最大值。“自动锁定”指定设备空闲多长时间
(分钟)后将被锁定。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
在此字段中,可以指定允许用户在设备上配置
的最大值。设备锁定的宽限期指定设备锁定后
在多长时间内可以解锁且没有密码提示。如果选
择无,则用户可选择任何可用时间间隔。如果选
择立即,则用户每次必须输入密码方可解锁其设
备。
在此字段中,可以指定输入正确密码的失败次
数,超过后将擦除设备。6 次失败尝试之后,再
次输入密码之前将出现时间延迟。每次失败尝试
后将增加延迟时间。最终失败尝试后,所有数据
和设置将从设备安全地删除。六次失败尝试后,
时间开始延迟。因此,如果将该数值设置为 6
或更小值,则不会出现时间延迟,并且超过失败
尝试限制时将擦除设备。
版权所有 © Sophos Limited 149
Sophos Mobile
14.20.2 限制配置(iOS 设备配置文件)
使用限制配置,您可以为设备定义限制。
注释
一些选项仅适用于某些版本的 iOS 或受监督的设备。它在 Sophos Mobile Admin 中通过蓝色标签
表示。
设备
设置/字段
允许应用安装
允许从设备用户界面安装应用
允许使用照相机
允许 FaceTime
允许屏幕捕获
漫游时允许自动同步
允许 Siri
设备锁定时,允许 Siri
允许 Siri 从网页查询内容
强制执行 Siri 限制性语言筛选
允许在设备锁定时进行语音拨号
说明
如果清除该复选框,App Store 将不可用,且其图标将
从主屏幕中删除。用户不能通过 App Store 或 Apple
Configurator 安装或更新应用。
如果清除该复选框,App Store 将不可用,且其
图标将从主屏幕中删除。用户仍然可以通过 Apple
Configurator 安装或更新应用。
如果清除该复选框,相机将不可用,且相机图标将
从主屏幕中删除。用户无法拍照、录制视频或者使用
FaceTime。
用户可以发起或接收 FaceTime 视频通话。
用户可以截屏。
如果清除该复选框,漫游的设备将仅在用户访问帐户时
同步。
如果清除该复选框,用户将不能使用 Siri、语音命令
或听写模式。
如果清除该复选框,则用户必须输入其密码解锁其设备
方可使用 Siri。
如果清除该复选框,Siri 将不会从网络查询内容。
如果清除该复选框,则不在设备上强制执行 Siri 限制
性语言过滤。
如果清除该复选框,用户将不能在设备被密码锁定时使
用语音命令拨号。
注释
如果用户尚未配置设备密码,则始终允许语音拨
号。
150 版权所有 © Sophos Limited
Sophos Mobile
设置/字段
设备锁定时,允许 Passbook
允许应用内购买
强制用户购买时输入存储密码
说明
将在设备锁定时显示 Passbook 通知。
用户可以进行应用内购买。
用户必须输入其 Apple ID 密码才能购买。
如果清除该复选框,将会有一个简短的宽限期,在此期
间,用户可以进行后续购买而不必再次输入其密码。
用户可以在 Game Center 内玩多人游戏。 允许多人游戏
允许 Game Center
允许添加游戏中心的朋友
允许查找好友修改
允许主机配对
如果清除该复选框,Game Center 将不可用。
用户可以在 Game Center 中添加好友。
如果清除该复选框,将不能修改“查找好友”应用。
如果清除该复选框,将关闭主机配对(监督主机除
外)。如果未配置监督主机证书,将关闭所有配对。
允许与 Apple Watch 配对
强制执行手腕检测
允许 AirDrop
允许锁定屏幕上的 Control Center
允许锁定屏幕上的 Notification Center 如果清除该复选框,锁屏时将不能使用 Notification
Center。
允许锁定屏幕上的 Today 视图 如果清除该复选框,锁屏时将不能使用 Today 视图。
允许新闻
允许无线 PKI 更新
允许 iBooks Store
允许iBooks 商店存在色情内容
如果清除该复选框,用户将不能将设备与 Apple Watch
配对。任何当前已经配对的 Apple Watch 将取消配
对。
配对的 Apple Watch 必须使用手腕检测。
将开启 AirDrop 的内容共享。
如果清除该复选框,锁屏时将不能使用 Control
Center。
新闻应用可以使用。
可以进行无线 PKI 更新。
用户可以在 iBooks 中购买书籍。
如果清除该复选框,将阻止通过 iBooks 商店提供的限
制性色情内容。
允许用户安装配置文件
允许即时消息
允许删除应用
允许删除系统应用
用户可以安装配置文件。
用户可以使用 iMessage 发送或接收短信。
用户可以从设备中卸载应用。
用户可以从设备中卸载系统应用。
版权所有 © Sophos Limited 151
Sophos Mobile
设置/字段
允许清除所有内容和设置
允许 Spotlight 的网络搜索结果
允许启用限制选项
允许传递
允许修改设备名称
允许修改壁纸
允许修改通知设置
允许键盘快捷方式
允许听写键盘输入
允许预测键盘
允许自动更正
允许拼写检查
允许自动下载应用
允许 Apple Music
允许 Apple Music Radio
允许修改蓝牙设置
允许创建 VPN
强制执行日期和时间自动调整 iOS 软件更新延迟
说明
如果清除该复选框,重置用户界面中的清除所有内容和
设置选项将不可用。
如果清除该复选框,Spotlight 将不会返回 Internet
搜索结果。
如果清除该复选框,重置用户界面中的启用限制选项将
不可用。
用户可以使用 Apple Continuity 的 Handoff 功能。
使用 Handoff,用户可以在一个设备上开始文档、电子
邮件或消息等工作,并在其他设备上继续。
用户可以更改设备名称。
用户可以更改壁纸。
用户可以修改通知设置。
用户可以使用键盘快捷方式。
用户可以开启启用听写键盘设置。
用户可以开启预测键盘设置。
用户可以开启自动更正键盘设置。
用户可以开启拼写检查键盘设置。
如果清除该复选框,自动下载在其他设备上购买的应用
将关闭。这不影响现有应用的更新。
用户可以访问 Apple Music 库。
用户可以访问 Apple Music Radio。
用户可以修改蓝牙设置。
用户可以添加 VPN 配置。 iOS 的日期和时间设置自动设置将开启,且用户不能将
其关闭。 iOS 软件的更新在发布日期后延迟的天数。
输入一个 0 (无延迟) 和 90 之间的值。
152 版权所有 © Sophos Limited
Sophos Mobile
公司数据
设置/字段
允许文档仅共享于托管的应用/帐户内
允许托管应用将联系人写入非托管帐户
允许非托管应用从托管帐户读取联系人
允许文档仅共享于未托管的应用/帐户内
强制要求 AirDrop 文档用作非托管文档
允许托管应用与 iCloud 同步
允许企业簿备份
允许企业簿说明并强调同步
说明
这限制了通过 Sophos Mobile 管理的应用或帐户打开
文档,例如公司电子邮件帐户。
如果用户拥有 Sophos Mobile 管理的电子邮件帐户且
其设备上有 Sophos Mobile 管理的应用,则受管理电
子邮件帐户的附件仅可用受管理的应用打开。
这样,您可以防止公司文档在未受管理的应用中打开。
如果您关闭此设置,将禁用接下来的两项设置。托管帐
户的联系人可以共享给非托管应用。
托管应用可以将联系人写入非托管帐户。
非托管应用可以从托管帐户读取联系人。
这限制了未通过 Sophos Mobile 管理的应用/帐户打开
文档,例如私人电子邮件帐户。
如果用户拥有不受其设备上的 Sophos Mobile 管理的
电子邮件帐户和应用,则未受管理的电子邮件帐户的附
件仅可用未受管理的应用打开。
这样,您可以防止个人文档在受管理的应用中打开。
AirDrop 被认为是一个非托管拖放目标。
托管应用可以使用 iCloud 同步。
将备份企业簿。
将同步企业簿说明和亮点。
应用程序
设置/字段
允许使用 iTunes Store
允许使用 Safari
启用自动填充功能
说明
如果清除该复选框,iTunes Store 将不可用,且其图
标将从主屏幕中删除。用户无法预览、购买或下载内
容。
如果清除该复选框,Safari Web 浏览器将不可用,且
其图标将从主屏幕中删除。此操作还可以用于防止用户
打开网页剪辑。
如果清除该复选框,Safari 将不会使用先前输入的信
息自动填充 Web 表单。
版权所有 © Sophos Limited 153
Sophos Mobile
设置/字段
强制欺诈警告
阻止弹出窗口
允许在浏览器中使用 JavaScript
接受缓存
允许修改每一应用的手机网络数据
允许的应用/禁止的应用
说明
Safari 安全设置在用户访问可疑的网络钓鱼网站时提
醒用户始终打开。
将开启 Safari 弹出窗口阻止程序。
网页可以在设备上执行 JavaScript 代码。
在此字段中,您指定 Safari 是否接受 Cookie。
当您允许 Cookie 时,您可以指定是否只接受来自当前
网站、以前访问过的网站或所有网站的 Cookie。
用户可以更改每个应用的手机网络数据使用。
可以指定允许的应用或禁止的应用。从第一个列表中选
择所需的选项,然后从第二个列表中选择包含要允许的
或禁止的应用的应用组。有关创建应用组的信息,请参
(第 265 页)。
iCloud
设置/字段
允许备份
允许文件同步
允许 Photo Stream
允许 iCloud 照片库
允许共享照片流
允许 iCloud Keychain 同步
说明
用户可以将其设备备份到 iCloud。
用户可以在 iCloud 中存储文档和应用配置数据。
用户可以将照片上传到我的照片流。
注释
如果您清除该复选框,禁止我的照片流,将同时从
所有设备删除通过我的照片流共享的现有照片。如
果这些照片没有其他副本,这些照片将会丢失。
用户可以使用 iCloud Photo Library。
用户可以邀请他人查看其照片流,并查看他人共享的照
片流。
用户可以使用 iCloud Keychain 在其 iPhone、iPad
和 Mac 设备之间同步密码。
如果清除该复选框,将只在设备上本地存储 iCloud
Keychain 数据。
154 版权所有 © Sophos Limited
Sophos Mobile
安全和隐私
设置/字段
允许将诊断数据发送到 Apple
允许用户接受不受信任的 TLS 证书
信任企业应用
允许修改密码
允许修改帐户
允许 Touch ID 解锁设备
强制限制广告跟踪
强制加密备份
强制使用配置的 Wi-Fi 网络
允许 AirPrint
允许 AirPrint 凭据存储
允许 AirPrint 打印机的 iBeacon 发现
说明
如果清除该复选框,iOS 诊断信息将不会发送至
Apple。
如果清除该复选框,将不会询问用户是否信任无法验证
的证书。
此设置仅适用于 Safari、邮件联系人及日历帐户。
将信任企业应用。
用户可以添加、更改或删除设备密码。
如果清除该复选框,用户将不能修改帐户。帐户菜单将
不可用。
如果清除该复选框,将不能通过 Touch ID 解锁设备。
不再提供用于目标广告的匿名用户数据应用。
用户必须对 iTunes 中的备份进行加密。
设备只能连接到通过 Sophos Mobile 配置文件配置的
Wi-Fi 网络。
用户可以将文件发送到支持 AirPrint 的打印机。
AirPrint 用户名和密码可以存储在系统钥匙串
(Keychain) 中。
设备使用 iBeacon 发现 AirPrint 设备。
重要提示
如果允许此选项,恶意的 AirPrint 设备将可能对网络数
据流进行钓鱼攻击。
强制要求 AirPrint over TLS 的信任证
书
允许快速启动传输到新设备
允许密码自动填入
如果 AirPrint 设备使用不受信任的证书,将拒绝基于
TLS 的 AirPrint。
用户可以使用 iOS 设置助手的快速启动功能,将数据
从设备传递到新设备。
用户可以开启自动填入密码设置,以使用在 Safari 或
其他应用中保存的密码或信用卡信息。
如果清除此复选框,将同时禁用自动建议强密码功能。
版权所有 © Sophos Limited 155
Sophos Mobile
设置/字段
强制执行在自动填充前进行身份验证
从附近的设备请求 Wi-Fi 密码
允许 AirDrop 密码分享
说明
用户在使用自动填充功能时必须进行身份验证。
此设置仅在支持 Face ID 或 Touch ID 的设备上强制
执行。
设置 Wi-Fi 连接时,设备从附近设备请求密码。
用户可以通过 AirDrop 与其他用户共享 Password
Manager 的密码。
内容分级
设置/字段
允许显式音乐和播客
说明
如果清除该复选框,iTunes Store 中的限制性音乐或
视频内容将会隐藏。限制性内容由内容提供商在放到 iTunes Store 上标记,如记录标签。
14.20.3 Exchange 帐户配置(iOS 设备配置文件)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
电子邮件地址
密码
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的密码。
如果将此字段保留为空,用户必须在其设备上输入
密码。
156 版权所有 © Sophos Limited
设置/字段
OAuth
同步周期
SSL/TLS
允许移动
允许最近地址同步
仅在邮件中使用
身份证明书
启用 S/MIME
签名证书
加密证书
允许用户发送未加密的电子邮件
Sophos Mobile
说明
帐户使用 OAuth 进行身份验证,即用户使用其
Microsoft 凭据进行身份验证。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
用户可以将电子邮件从该帐户移动到其他帐户。此
选项允许用户在回复或转发此帐户的邮件时使用其
他帐户。
将在与其他使用 iCloud 的设备同步最近使用的地
址时包含该帐户。
该帐户只能用于发送来自邮件应用的邮件。不可
选择它充当其他应用所创建邮件的发送帐户,例如
Photos 或 Safari。
选择用于连接 Exchange 服务器的身份证书。
列表包括当前配置文件的客户端证书配置中的所有
证书。
支持 S/MIME 加密标准。
用于电子邮件签名和加密的证书。
要选择证书,必须先将其上传到当前配置文件的客
户端证书配置中。
对于每封传出电子邮件,用户可以选择加密或不加
密。
14.20.4 Wi-Fi 配置(iOS 设备配置文件)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
自动连接
隐藏网络
说明
Wi-Fi 网络的 ID:
自动连接到目标网络。
目标网络不开放或可见。
版权所有 © Sophos Limited 157
Sophos Mobile
设置/字段
安全类型
158
说明
Wi-Fi 网络的安全类型:
• 无
• WEP (个人)
• WPA/WPA2 (个人)
• 任何(个人)
• WEP (企业)
• WPA/WPA2 (企业)
• 任意 (企业)
如果您选择其名称中带有个人的类型,则会显示密
码字段。输入相应的密码。
如果您选择其名称中带有企业的类型,则会显示协
议、身份验证和信任选项卡。
在协议选项卡上,配置以下设置:
• 在接受 EAP 类型下,选择要用于身份验证的 EAP 方
法。根据该选项卡上所选的类型,此选项卡中内部身
份字段中的值可供选择。
• 在 EAP-FAST 下,配置 EAP-FAST 保护访问凭据设置。
• 在TLS 最低版本和TLS 最高版本中,选择用于 EAP 身份
验证的最低和最高 TLS 版本。
在身份验证选项卡上,可以配置客户端身份验证设
置:
• 在用户字段中,输入用于连接到 Wi-Fi 网络的用户名。
• 如果每个连接均询问密码且通过身份验证进行传输,则
选中每个连接都需要密码。
• 在密码字段中输入相关密码。
• 在身份证书列表中,选择用于连接 Wi-Fi 网络的证书。
注释
必须在客户端证书配置中指定要使用的证书。
• 在外部身份字段中,输入外部可见 ID(TTLS、PEAP 及
EAP-FAST)。
在信任选项卡上,可以配置服务器身份验证设置:
从列表中选择信任的证书。
注释
必须在根证书配置中指定证书。
版权所有 © Sophos Limited
设置/字段
代理
Sophos Mobile
说明
在此列表中,选择用于 Wi-Fi 连接的代理设置:
• 无代理
• 手动
• 自动
如果您选择手动,将显示服务器和端口、身份验
证和密码字段。输入所需的代理信息。如果您选择自
动,将显示PAC URL字段。输入代理服务器的 URL。
14.20.5 单个应用模式配置(iOS 设备配置文件)
使用单个应用模式配置,您可以定义将设备锁定到单个应用中的操作模式的设置,并阻止用户更改为其
他应用。
设置/字段
选择源
应用标识符
禁用触摸屏
禁用旋转
禁用音量按钮
禁用铃声切换
禁用睡眠唤醒按钮
禁用自动锁定
启用画外音
启用放大
启用反色
启用辅助触摸功能
启用演讲选择
启用单声道音频
说明
选择您要如何为单个应用模式指定应用:
• 应用列表:从所有可用 iOS 应用的列表中选择应
用。
• 自定义:手动输入应用的捆绑 ID。
用于单个应用模式的应用。
从列表中选择应用或输入捆绑 ID。
触摸手势将不可用。
屏幕不会转动。
音量按钮将不可用。
铃声切换将不可用。
唤醒按钮将不可用。
将关闭在空闲时间后让设备进入睡眠状态的自动锁定功
能。
画外音将可用。
缩放功能将可用。
反色功能将可用。
AssistiveTouch 将可用。
演讲选择功能将可用。
单声道功能将可用。
版权所有 © Sophos Limited 159
Sophos Mobile
设置/字段
画外音
放大
反色
AssistiveTouch
说明
画外音调节将可用。
缩放调节将可用。
反色调节将可用。
AssistiveTouch 调节将可用。
14.20.6 接入点名称配置(iOS 设备配置文件)
使用接入点名称配置,可以为 iOS 设备指定接入点名称 (APN) 配置。APN 配置定义设备如何连接到移
动网络。
注释
接入点名称配置由于手机网络配置而被弃用。请参阅 手机网络配置(iOS 设备配置文件)
(第 161
页)。
重要提示
如果这些设置不正确,设备将不能使用手机网络访问数据。要撤消设置更改,必须从设备中删除配
置文件。
设置/字段
APN
接入点用户名称
接入点密码
说明
设备开启与运营商的 GPRS 连接时引用的 APN。
它必须与运营商接受的 APN 一致。否则,将无
法建立连接。
接入点的用户名称。
注释
IOS 支持最多 64 个字符的 APN 用户名
称。
接入点的密码。
注释
IOS 支持最多 64 个字符的 APN 密码。
代理服务器和端口 代理服务器的地址和端口。
160 版权所有 © Sophos Limited
Sophos Mobile
14.20.7 漫游/热点配置(iOS 设备配置文件)
使用漫游/热点配置,您可以定义漫游和个人热点的设置。
注释
用户可随时在其设备上更改这些设置。
设置/字段
启用语音漫游
启用数据漫游
启用个人热点
说明
可以使用语音漫游。
如果移动网络运营商不支持语音漫游,此设置将
被忽略。
可以使用数据漫游。
用户可以配置设备以用作个人热点。
如果移动网络运营商不支持个人热点,此设置将
被忽略。
14.20.8 手机网络配置(iOS 设备配置文件)
使用手机网络配置,可以定义 iOS 设备的手机网络设置。
注释
如果已经安装了 接入点名称 配置,则不能在设备上安装手机网络配置。
设置/字段
身份验证
APN
接入点用户名称
说明
PAP
CHAP
设备开启与运营商的 GPRS 连接时引用的 APN。
它必须与运营商接受的 APN 一致。否则,将无
法建立连接。
接入点的用户名称。
注释
IOS 支持最多 64 个字符的 APN 用户名
称。
版权所有 © Sophos Limited 161
Sophos Mobile
设置/字段
接入点密码
代理服务器和端口
说明
接入点的密码。
注释
IOS 支持最多 64 个字符的 APN 密码。
代理服务器的地址和端口。
14.20.9 网络使用情况规则配置(iOS 设备配置文件)
使用网络使用情况规则配置,您可以指定如何允许托管应用使用手机数据网络。
一般规则
在针对所有托管应用的规则下,为托管应用输入一般设置。
设置/字段
允许手机网络数据
允许数据漫游
说明
允许托管的应用使用手机网络进行数据通信。
允许托管的应用在设备漫游到外地手机网络时使用数据通
信。
例外情况
例外情况将替代一般规则。使用添加例外定义特定于应用组的规则。
设置/字段
应用组
允许手机网络数据
允许数据漫游
说明
选择应用组
此例外适用于该组中的所有托管应用。
允许所选应用组的托管应用使用手机网络进行数据通信。
允许所选应用组的托管应用在设备漫游到外地手机网络时
使用数据通信。
注释
不能为同一个应用组定义多个例外。
162 版权所有 © Sophos Limited
Sophos Mobile
14.20.10 VPN 配置(iOS 设备配置文件)
使用 VPN 配置,您可以为网络连接定义 VPN 设置。
设置/字段
连接名称
连接类型
标示符(反向 DNS 格式)
服务器
帐户
第三方设置
通过 VPN 发送所有流量
组
用户验证
说明
设备上显示的连接名称。
VPN 连接的类型:
• Cisco AnyConnect
• Cisco Legacy AnyConnect
• IPsec (Cisco)
• F5
• Check Point
• 自定义 SSL/TLS
VPN 页面上所显示的不同输入字段取决于您在此
处所选择的连接类型。
反向 DNS 格式的自定义标识符。
服务器的主机名或 IP 地址。
用于验证连接的用户帐户。
如果您的供应商指定了自定义连接属性,可以将
其输入此字段。
要输入属性,请单击添加,然后在对话框中输入
属性的密钥和值。
所有流量都将通过 VPN 发送。
验证连接所需的组。
用于连接的用户验证类型:
• 密码
如果选中此选项,用户验证字段下方将显
示密码字段。输入密码以进行验证。
• 证书
如果选中此选项,用户验证字段下方将显
示证书字段。选择证书。
版权所有 © Sophos Limited 163
Sophos Mobile
设置/字段
设备验证
代理
提供程序类型
说明
设备验证的类型:
• 密钥(共享密钥)/组名称
如果选中此选项,设备验证字段下方将显
示组名称、密钥(共享密钥)、使用混合验
证及请求密码字段。在组名称及密钥(共享
密钥)字段输入所需的验证信息。选择使用
混合验证及所需的请求密码。
• 证书
如果选中此选项,设备验证字段将显示证
书及包括用户 PIN 字段。在证书列表中,选
择所需的证书。选择包括用户 PIN 以将用户
的 PIN 包括在设备认证中。
用于连接的代理设置:
• 无代理
• 手动
如果选中此选项,将显示服务器和端口、验
证及密码字段。在服务器和端口字段中,
输入有效地址及代理服务器端口。在身份
验证字段中,输入连接到代理服务器的用户
名。在密码字段中,输入连接到代理服务器
的密码。
• 自动
如果选中此选项,将显示代理服务器 URL
字段。在此字段中输入代理设置服务器的
URL。
VPN 连接类型。
• 应用代理: 网络数据流通过应用程序层的
VPN 隧道发送。
• 包隧道: 网络数据流通过网络层的 VPN 隧道
发送。
14.20.11 每个应用 VPN 配置(iOS 设备配置文件)
使用 每个应用 VPN 配置,您可以为每个应用定义 VPN 设置。
您可以将应用配置为在其启动时自动连接到 VPN。这样就可以(例如)确保托管应用发送的数据通过
VPN 传输。
设置每个应用 VPN 配置后,可以在应用的编辑软件包页面上选择配置。请参阅
设置/字段
连接名称
说明
设备上显示的连接名称。
164 版权所有 © Sophos Limited
设置/字段
连接类型
标示符(反向 DNS 格式)
服务器
帐户
第三方设置
通过 VPN 发送所有流量
组
用户验证
代理
版权所有 © Sophos Limited
Sophos Mobile
说明
VPN 连接的类型:
• Cisco AnyConnect
• Cisco Legacy AnyConnect
• F5
• Check Point
• 自定义 SSL/TLS
VPN 页面上所显示的不同输入字段取决于您在此
处所选择的连接类型。
反向 DNS 格式的自定义标识符。
服务器的主机名或 IP 地址。
用于验证连接的用户帐户。
如果您的供应商指定了自定义连接属性,可以将
其输入此字段。
要输入属性,请单击添加,然后在对话框中输入
属性的密钥和值。
所有流量都将通过 VPN 发送。
验证连接所需的组。
用于连接的用户验证类型:
• 密码
如果选中此选项,用户验证字段下方将显
示密码字段。输入密码以进行验证。
• 证书
如果选中此选项,用户验证字段下方将显
示证书字段。选择证书。
用于连接的代理设置:
• 无代理
• 手动
如果选中此选项,将显示服务器和端口、验
证及密码字段。在服务器和端口字段中,
输入有效地址及代理服务器端口。在身份
验证字段中,输入连接到代理服务器的用户
名。在密码字段中,输入连接到代理服务器
的密码。
• 自动
如果选中此选项,将显示代理服务器 URL
字段。在此字段中输入代理设置服务器的
URL。
165
Sophos Mobile
设置/字段
提供程序类型
Safari 域
说明
VPN 连接类型。
• 应用代理: 网络数据流通过应用程序层的
VPN 隧道发送。
• 包隧道: 网络数据流通过网络层的 VPN 隧道
发送。
在此字段中,可以输入一系列域字符串。每个域
字符串都使用一个新行。
在 Safari 或其他浏览器应用中打开与其中一个
域字符串匹配的域时,将触发 VPN 连接。
规则匹配行为如下所示:
• 开头和结尾处的点将忽略。例如,字符串
.example.com 与 example.com 匹配的域相
同。
• 字符串的每个组件必须匹配整个域组
件。例如,字符串 example.com 匹
配域 www.example.com,但不匹配 www.myexample.com。
• 单个组件的字符串只匹配该特定域。例如,
字符串 example 匹配域 example,但不匹配 www.example.com。
14.20.12 Web 剪辑配置(iOS 设备配置文件)
使用 Web 剪辑配置,您可以定义将添加到用户设备主屏幕的 Web 剪辑。Web 剪辑让您可以快速访问收
藏的网页。但您也可以使用支持电话号码添加 Web 剪辑,例如,为致电支持人员提供了快捷方法。
设置/字段
说明
URL
可以删除
全屏显示
说明
对 Web 剪辑的说明。
Web 剪辑的 Web 地址。
如果清除该复选框,用户将不能删除 Web 剪
辑。不可将其从设备删除,除非用户删除了已安
装的配置文件。
将在设备上全屏显示打开的 Web 剪辑。全屏显
示的 Web 剪辑打开作为 Web 应用的 URL 。
166 版权所有 © Sophos Limited
设置/字段
图标
Sophos Mobile
说明
选择要在主屏幕上用作 Web 剪辑图标的图片。
这必须是最大 1 MB 的 PNG、GIF 或 JPEG 图
片。
图片将剪裁为方形并进行缩放以匹配显示分辨
率。为获得最佳效果,建议您使用 180 x 180
像素的图片。
注释
当在网页的 HTML 代码中定义了一个图标时,设备
可能会将该图标显示为 Web 剪辑图标。这仅适用
于某些网页,具体取决于网页代码中图标的配置方
式。
14.20.13 壁纸配置(iOS 设备配置文件)
通过 壁纸 配置,您可以为 iOS 设备的锁定屏幕和/或主屏幕定义背景图像。
设置/字段
应用到
图片
说明
选择图像是用于锁定屏幕、主屏幕还是两者皆使用。
选择用于壁纸的文件大小上限为 5 MB 的 PNG 或 JPEG 图像。 iOS 根据需要剪裁并缩放图像。为获得最佳效果,请使用以下像
素尺寸的图片:
• 640 × 1136 (iPhone 5)
• 750 × 1334 (iPhone 6/7)
• 1242 × 2208 (iPhone 6/7 Plus)
• 1536 × 2048 (iPad, iPad mini, iPad Air)
• 2048 × 2732 (iPad Pro)
注释
用户可以随时更改壁纸。
版权所有 © Sophos Limited 167
Sophos Mobile
14.20.14 网站内容筛选器配置(iOS 设备配置文件)
使用网站内容筛选器配置,您可以定义阻止的 URL 和允许的带书签的 URL。
设置/字段
已阻止 URL
允许的带书签的 URL
阻止成人内容
说明
如果选中该复选框,您可以定义不能在设备上访
问的阻止 URL 的列表。
单击下一步以显示 Web 内容筛选器 页面。在此
页面上,可以添加单个 URL。
每个 URL 都使用一个新行。
如果您选中该复选框,可以定义允许的带书签的
URL,以将其添加到设备的 Safari 浏览器中。
阻止所有其他网站。
单击下一步以显示 Web 内容筛选器 页面。单
击添加,将单个 URL 添加为书签。
在 Web 内容筛选器 页面上,使用它来打开阻止
成人内容的 Apple 筛选器。例如,包含亵渎或
色情语言的网页。
14.20.15 全球 HTTP 代理配置(iOS 设备配置文件)
通过全球 HTTP 代理配置,您可以定义公司代理服务器。
设置/字段
代理
服务器和端口
身份验证
密码
PAC URL
说明
选择手动,对连接详细信息进行手动配置。
如果您有代理自动配置 (PAC) 文件,则选择自动。
HTTP 代理的名称 (或 IP 地址) 和端口号。
用于连接代理服务器的用户名。
用于连接代理服务器的密码。
代理自动配置 (PAC) 文件的 URL。
168 版权所有 © Sophos Limited
Sophos Mobile
14.20.16 托管域配置(iOS 设备配置文件)
使用托管域配置,您可以定义 iOS 设备的托管域。
邮件域
输入由您的组织管理的电子邮件域。在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子
邮件突出显示为不在域内。
网页域名
从其中一个配置的域下载的文件将被当作托管文档处理。如果激活允许文档仅共享于托管的应用/帐户
内限制,这些文档将只能通过托管应用打开。
(第 258 页)。
注释
如果一个管理的网页域名条目包含一个端口号,只有指定端口号的地址将被管理。否则,仅标准端
口将被管理(http 的端口 80 及 https 端口 443)。
14.20.17 CalDAV 配置(iOS 设备配置文件)
使用 CalDAV 配置,您可以配置与 CalDAV 服务器的日历数据同步。例如,可用于与 iOS 设备同步
Google 日历。
设置/字段
帐户名称
帐户主机和端口
主要 URL
用户名、密码
说明
设备上 CalDAV 帐户的显示名称。
CalDAV 服务器的主机名或 IP 地址,以及可选的端口号。
例如,对于 Google 日历,请输入: calendar.google.com:443
如果 CalDAV 服务器需要,请输入日历资源的主要 URL。
例如,要与 Google 帐户中主日历以外的日历同步,请输
入: https://apidata.googleusercontent.com/caldav/
v2/calendar_id/user
其中 calendar_id 是要同步的日历的 ID。在 Google 日
历 Web 应用程序中,日历 ID 显示在日历设置中。有关详
细信息,请参阅 Google 日历的帮助。
CalDAV 帐户的登录凭据。
例如,对于 Google 日历,请输入 Google 帐户的凭据。
版权所有 © Sophos Limited 169
Sophos Mobile
设置/字段
SSL/TLS
说明
连接 CalDAV 服务器受到 SSL 或 TLS 的保护(取决于服
务器支持的类型)。
建议您选中此复选框。
14.20.18 CardDAV 配置(iOS 设备配置文件)
使用 CardDAV 配置,您可以配置与 CardDAV 服务器的联系人数据同步。例如,可用于与 iOS 设备同步
Google 联系人。
设置/字段
帐户名称
帐户主机和端口
主要 URL
用户名、密码
SSL/TLS
说明
设备上 CardDAV 帐户的显示名称。
CardDAV 服务器的主机名或 IP 地址,以及可选的端口
号。
例如,对于 Google 联系人,请输入: google.com
如果 CardDAV 服务器需要,请输入联系人资源的主要
URL。
例如,Google CardDAV API 支持以下主要 URL: https://www.googleapis.com/carddav/
v1/principals/[email protected]
其中 account_name 是 Google 帐户名称。
CardDAV 帐户的登录凭据。
例如,对于 Google 联系人,请输入 Google 帐户的凭
据。
连接 CardDAV 服务器受到 SSL 或 TLS 的保护(取决于服
务器支持的类型)。
建议您选中此复选框。
14.20.19 IMAP/POP 配置(iOS 设备配置文件)
使用 IMAP/POP 配置,您可以在 iOS 设备上添加 IMAP 或 POP 电子邮件帐户。
设置/字段
帐户名称
帐户类型
说明
设备上电子邮件帐户的显示名称。
传入电子邮件的邮件服务器类型 (IMAP 或 POP)。
170 版权所有 © Sophos Limited
设置/字段
用户显示名称
电子邮件地址
允许移动
允许最近地址同步
仅在邮件中使用
允许邮件删除
启用 S/MIME
签名证书
加密证书
允许用户发送未加密的电子邮件
传入电子邮件
电子邮件服务器和端口
用户名
身份验证类型
密码
SSL/TLS
外发电子邮件
电子邮件服务器和端口
用户名
身份验证类型
密码
版权所有 © Sophos Limited
Sophos Mobile
说明
传出电子邮件的用户显示名称。
使用变量 %_USERNAME_% 来指定分配给设备的用户名称。
帐户的电子邮件地址。
使用变量 %_EMAILADDRESS_% 来指定分配给设备的用户电
子邮件地址。
用户可以将电子邮件从该帐户移动到其他帐户。此选项允
许用户在回复或转发此帐户的邮件时使用其他帐户。
在同步最近地址列表时将包含该帐户。
该帐户只能用于发送来自邮件应用的邮件。不可选择它
充当其他应用所创建邮件的发送帐户,例如 Photos 或
Safari。
允许此帐户使用 Apple Mail Drop。
支持 S/MIME 加密标准。
用于电子邮件签名和加密的证书。
要选择证书,必须先将其上传到当前配置文件的客户端证
书配置中。
对于每封传出电子邮件,用户可以选择加密或不加密。
传入电子邮件服务器(入站服务器)的主机名或 IP 地
址,以及端口号。
用于连接入站服务器的用户名。
用于连接入站服务器的身份验证方法。
用于连接入站服务器的密码(如果需要)。
连接接入服务器受到 SSL 或 TLS 的保护(取决于服务器
支持的类型)。
外发电子邮件服务器(出站服务器)的主机名或 IP 地
址,以及端口号。
用于连接出站服务器的用户名。
用于连接出站服务器的身份验证方法。
用于连接出站服务器的密码(如果需要)。
171
Sophos Mobile
设置/字段
使用与传入电子邮件相同的密码
SSL/TLS
说明
使用为传入电子邮件指定的密码。
连接接出服务器受到 SSL 或 TLS 的保护(取决于服务器
支持的类型)。
14.20.20 Google 帐户配置 (iOS 设备配置文件)
通过 Google 帐户配置,您可以设置 Google 帐户。将配置分配给设备后,将要求用户进行 Google 帐
户身份验证。进行身份验证后,将在设备上设置 Google 帐户,并且用户可以启用 Google 服务。
设置/字段
Google 电子邮件地址
帐户描述
用户名
说明
Google 帐户的完整电子邮件地址。
帐户的可选描述。该值将显示在邮件和设置应用
中。
用户的名称。该值用于外发电子邮件消息。
14.20.21 单点登录配置(iOS 设备配置文件)
使用单点登录配置,您可以定义第三方应用的单点登录设置。
设置/字段
名称
Kerberos 主体名称
领域
URL
说明
可读帐户名称。
Kerberos 主体名称。
如果您不输入值,用户必须在配置文件安装过程
中输入名称。
Kerberos 领域名称。
您必须用大写字母输入名称。
为将帐户用于基于 HTTP 的 Kerberos 身份验
证,必须匹配的 URL 前缀的列表。
值必须以 http:// 或 https:// 开始
如果值不是以 / 结尾,Sophos Mobile 将添加
/。
您可以使用单个星号 (*) 匹配所有值。
例如,https://*.example.com/ 匹配 https://www.example.com/ 和 https:// m.example.com/。
172 版权所有 © Sophos Limited
设置/字段
应用 ID
Sophos Mobile
说明
应用的捆绑 ID 列表。
值必须是准确匹配 (如 com.sophos.smsec),
或在字符串结尾使用 .* 字符的前缀 (如 com.sophos.*)。
14.20.22 AirPrint 配置 (iOS 设备配置文件)
通过 AirPrint 配置,您可以在用户的 AirPrint 打印机列表中添加 AirPrint 打印机。
设置/字段
IP 地址
资源路径
端口
强制 TLS
说明
AirPrint 打印机的 IP 地址。
与打印机关联的资源路径。
示例:
• printers/<打印机型号>
• ipp/print
AirPrint 打印机的侦听端口。
通过 TLS 保护 AirPrint 连接。
14.20.23 根证书配置(iOS 设备配置文件)
使用根证书配置,您可以在设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书,则必须再次
上传。
14.20.24 客户端证书配置(iOS 设备配置文件)
使用客户端证书配置,您可以在设备上安装客户端证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书,则必须再次
上传。
版权所有 © Sophos Limited 173
Sophos Mobile
174
14.20.25 SCEP 配置(iOS 设备配置文件)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
设置/字段
URL
CA 名称
主题
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
质询
重试
重试延迟
密钥大小
用于数字签名
用于加密
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的服务器 URL。
证书颁发机构能够理解的名称。例如,该名称可用
于区分实例。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有效
的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(SerialNumber)_% 指定 iPhone
或 iPad 设备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),请选
择 SAN 类型,然后输入 SAN 值。SAN 类型有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即用
户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
服务器发送挂起类型的响应时的重试次数。
两次重试之间间隔的秒数。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签名。
如果您选中此复选框,公钥将可以用于数据加密。
版权所有 © Sophos Limited
Sophos Mobile
14.20.26 Duo 设备证书(iOS 设备配置文件)
使用 Duo 设备证书配置,您可以让设备从 Duo Security SCEP 服务器请求证书。如果设备上安装有
此证书, Duo Mobile iOS 应用将把设备归入信任设备。
要求的设置对所有 Duo Security 帐户通用。请勿修改预填充的值。
14.21 iOS 的 Sophos 容器策略的配置
使用 Sophos 容器策略,您可以配置与 Sophos 容器应用 Sophos Secure Email 和 Sophos Secure
Workspace 相关的设置。
有关如何创建 Sophos 容器策略的信息,请参阅 创建配置文件或策略
(第 87 页)。
14.21.1 常规配置(iOS Sophos 容器策略)
使用常规配置,您可以定义适用于所有 Sophos 容器应用的设置(如果适用)。
设置/字段
启用 Sophos 容器密码
密码复杂性
始终在密码条目字段中隐藏字符
密码期限(天)
锁定前登录失败
说明
用户必须输入一个额外的密码才能启动 Sophos
容器应用。在应用该配置后启动第一个容器应
用时,必须定义密码。此密码适用于所有容器应
用。
要求的 Sophos 容器密码的最低复杂性。始终
允许更安全的密码。密码(数字和字母数字字符
的组合)始终被视为比 PIN(仅数字字符)更安
全。
• 任意:Sophos 容器密码没有限制。
• 4 个数字的 PIN
• 6 个数字的 PIN
• 4 个字符的密码
• 6 个字符的密码
• 8 个字符的密码
• 10 个字符的密码
密码输入字段中的字符在屏蔽之前不会短暂显
示。
密码可以使用的天数,之后会提示用户修改。
允许登录尝试失败的次数,之后将锁定容器应
用。它们被锁定后,需要管理员对应用进行解
锁,如果允许,用户也可以使用 自助服务门户
进行解锁。
版权所有 © Sophos Limited 175
Sophos Mobile
176
设置/字段
允许指纹
宽限期的分钟数
上一次服务器连接
没有服务器连接时离线启动
允许越狱
说明
用户可以使用其指纹解锁应用。
容器应用再次回到前台而无需输入 Sophos 容器
密码的时间段。
该宽限期适用于所有容器应用。在该宽限期内,
无需输入密码就可以在应用之间进行切换。
用户可以使用 Sophos 容器应用而不必连接
Sophos Mobile 服务器的时间。
当 Sophos 容器应用激活且在定义的时间内没有
与服务器连接时,将显示锁屏界面。用户只能通
过点击锁屏界面上的重试解锁应用。然后,应用
将尝试连接到服务器。如果可以建立连接,应用
将解锁。否则,访问将被拒绝。
• 访问时:服务器无法访问时,总是需要服务器连接
并且应用将被锁定。
• 1 小时:在上次服务器成功连接后,应用活动 1 个
小时或以上时,需要连接服务器。
• 3 小时
• 6 小时
• 12 小时
• 1 天
• 3 天
• 3 天
• 无: 无需定期联系。
在此字段中,您可以定义在没有服务器连接时,
用户多久可以启动一个 Sophos 容器应用一次。
注释
该设置需要开启 Sophos 容器密码功能。
只要用户输入 Sophos 容器密码,计数器就会增
加。如果计数器超过定义的数量,将显示和上一
次服务器连接设置相同的锁屏界面。如果建立了
与 Sophos Mobile 服务器的连接,该计数器将
被重置。
• 无限制: 无需服务器联系。
• 0:不连接服务器则无法启动应用。
• 1:成功启动应用后,需要连接服务器。
• 3
• 5
• 10
• 20
允许容器应用在越狱的设备上运行。
版权所有 © Sophos Limited
Sophos Mobile
设置/字段 说明
应用使用约束条件
可以在这里定义使用 Sophos 容器应用的约束条件。单击添加,输入约束条件。
地理限制 用于添加 Sophos 容器应用可以在其中使用的纬
度和经度以及半径范围。
时间限制
Wi-Fi 限制
用于指定 Sophos 容器应用可以使用的开始时间
和结束时间。还可以指定应用可以在一周内的哪
些天可以使用。
如果您选中需要 Wi-Fi 连接,没有有效的 Wi-
Fi 连接时将锁定 Sophos 容器。
如果您将 Wi-Fi 网络添加到列表中,当设备连
接到未列出的 Wi-Fi 网络时将锁定 Sophos 容
器。
重要提示
我们建议您不要以 Wi-Fi 限制作为唯一的安全机
制,因为 Wi-Fi 名称很容易被欺骗。
14.21.2 公司电子邮件配置(iOS Sophos 容器策略)
使用公司电子邮件配置,您可以为您的 Microsoft Exchange Server 定义用户设置。这些设置适用于安
装在 Sophos 容器中的 Sophos Secure Email 应用。
设置/字段
Exchange 服务器
说明
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输
入 代理服务器的 URL。
用户
电子邮件地址
域
支持联系人电子邮件
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其
替换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会
将其替换为实际的电子邮件地址。
此帐户的域。
将用作“联系技术人员”电子邮件地址的电子邮
件地址。
版权所有 © Sophos Limited 177
Sophos Mobile
设置/字段
使用安全文本字段
将联系人导出到设备
178
呼叫识别
通知
拒绝复制到剪贴板
说明
输入字段的内容是保密的。将在 Sophos Secure
Email 应用中禁用自动完成和自动更正功能,以
防止敏感的内容保存在设备内存中。
允许用户将 Exchange 联系人导出到本地设备联
系人,以便他们可以识别来电中的公司联系人。
Sophos Secure Email 保持信息同步。
注释
在以下情况下,本地联系人信息将自动删
除:
• 从 Sophos 容器策略中删除公司电子邮
件配置(需要重新启动 Secure Email
应用)时。
• 从设备删除 Sophos 容器时。
• 从 Sophos Mobile 取消注册设备时。
Sophos Secure Email 中的联系人信息可用于
识别来电的公司联系人,无需将 Sophos Secure
Email 联系人导出到设备联系人。
要使用此功能,用户必须开启以下设备设置:
• 在设置应用中:电话 > 呼叫阻止与识别 > 电子邮
件
• 在 Sophos Secure Email 应用中:设置 > 联系人
> 呼叫识别
新邮件的通知类型:
• 系统: 通知由 iOS 管理。它们不包括发件人
或主题等详细信息。
• 应用程序: 通知由 Sophos Secure Email 应
用管理。您可以选择要显示多少详细信息。
应用未运行时,不显示通知。
• 无: 不显示通知。
此设置还会影响事件提醒:
• 系统, 无:事件提醒只包括时间信息。
• 应用程序: 事件提醒包括时间、位置和标题
信息。
用户不能从 Sophos Secure Email 应用复制或
剪切文件。
版权所有 © Sophos Limited
设置/字段
打开附件
最大的电子邮件大小
额外设置
Sophos Mobile
说明
在所有应用程序中: 附件可以在支持文件格式的
所有应用中打开。
容器应用: 附件将使用设备密钥加密,且只能在
Sophos Secure Workspace 中打开。打开方式操
作本身不会被阻止。
不会从 Exchange 服务器检索大于所选大小的电
子邮件(包括附件)。
仅在得到 Sophos 客户支持的指令时配置这些设
置。
14.21.3 公司文档配置(iOS Sophos 容器策略)
使用公司文档配置,您可以为 Sophos Secure Workspace 应用的公司文档功能定义设置。
配置存储提供程序
对于每个存储提供程序,可以分别定义下列设置:
设置/字段
启用
离线
打开(已加密)
打开(未加密)
剪贴板
说明
可以在应用中使用存储提供程序。
将允许用户将文件从存储提供程序添加到应用
的收藏夹列表,以供离线使用。
用户可以通过打开与其他应用共享加密的文件。
用户可以通过打开与其他应用共享未加密的文
件。
用户可以复制文档的不同部分,并将它们粘贴到
其他应用。
企业提供程序设置
对于 Egnyte 和 WebDAV 提供程序 (也称为企业提供程序),您可以集中定义服务器设置和登录凭据。
这些不能被用户更改。
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择。
例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段。然后用户在访问存储提
供程序时,必须要知道密码。
版权所有 © Sophos Limited 179
Sophos Mobile
设置/字段
名称
服务器
说明
在 Sophos Secure Workspace 应用中显示的提
供程序的名称。
在此字段中,输入:
• 公司文档 WebDAV 服务器上根文件夹的
URL。
• Egnyte 服务器上根文件夹的 URL。
• WebDAV 服务器上根文件夹的 URL。
使用以下格式:https://server.company.com
相关服务器的用户名。也可以使用 %_USERNAME_
% 变量。
相关帐户的密码。
相关帐户的上传文件夹。
用户名
密码
上传文件夹
其他设置
设置/字段
启用文档
密码复杂性
额外设置
说明
将开启文档功能,可以安全分发公司文档。
要求的加密密钥密码的最低复杂性。总是允许更
安全的密码。
可以选择以下设置:
• 4 个字符的密码
• 6 个字符的密码
• 8 个字符的密码
• 10 个字符的密码
仅在得到 Sophos 客户支持的指令时配置这些设
置。
14.21.4 公司浏览器配置(iOS Sophos 容器策略)
使用公司浏览器配置,您可以为 Sophos Secure Workspace 应用的公司浏览器功能定义设置。
公司浏览器让您可以安全访问公司的 Intranet 页面和其他允许的页面。您可以定义域和域内的书
签。
每个书签都属于某个域。当您添加书签时,如果没有域条目,将会自动创建域条目。
180 版权所有 © Sophos Limited
Sophos Mobile
域设置
设置/字段
URL
允许复制/粘贴
允许打开方式
允许保存密码
书签设置
设置/字段
名称
URL
说明
您要允许的域。
用户可以从公司浏览器中将文本复制和粘贴到其
他应用。
用户可以下载附件,或将它们传递到其他应用。
用户可以在公司浏览器中保存他们的密码。
说明
书签的名称。
书签的的 Web 地址。
14.21.5 根证书配置(iOS Sophos 容器策略)
使用根证书配置,您可以在设备上安装根证书。如果 Sophos Secure Email 和 Sophos Secure
Workspace 应用安装在 Sophos 容器中,它们将可以使用此证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.21.6 客户端证书配置(iOS Sophos 容器策略)
使用客户端证书配置,您可以在设备上安装客户端证书。如果 Sophos Secure Workspace 应用安装在
Sophos 容器中,它将可以使用此证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
版权所有 © Sophos Limited 181
Sophos Mobile
14.21.7 SCEP 配置(iOS Sophos 容器策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。这些证书可
用于 Sophos Secure Workspace 应用的公司浏览器功能。
注释
您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书,然后才能添加 SCEP 配置。
设置/字段
URL
别名
主题
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
质询
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在
Sophos 设置页面的 SCEP 选项卡上配置的服务
器 URL。
证书将以该名称显示在选择对话框中。
这应该是一个可以标识证书的、容易记住的名
称。例如,使用与使用者字段中的相同值,而不
带 CN= 前缀。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有
效的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(SerialNumber)_% 指定 iPhone
或 iPad 设备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),
请选择 SAN 类型,然后输入 SAN 值。SAN 类型
有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即
用户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地
址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
182 版权所有 © Sophos Limited
设置/字段
根证书
密钥大小
用于数字签名
用于加密
Sophos Mobile
说明
CA 证书。
从列表中选择证书。列表包含您已经上传到当前
配置文件的根证书配置中的所有证书。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签
名。
如果您选中此复选框,公钥将可以用于数据加
密。
14.22 iOS 的 Mobile Security 策略的配置
利用 Mobile Security 策略,可以配置 Sophos Mobile Security 应用。
有关如何创建 Mobile Security 策略的信息,请参阅
14.22.1 网络配置 (iOS 的 Sophos Mobile Security 策略)
通过网络配置,您可以管理 Sophos Mobile Security 应用的网络设置,让用户免受来自网络的威胁。
注释
将此配置分配给设备时,将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进
行修改。
设置/字段
中间人保护
额外设置
说明
Sophos Mobile Security 检查 Wi-Fi 连接是否存在中间
人攻击。
仅在得到 Sophos 客户支持的指令时配置这些设置。
14.22.2 网络筛选配置 (iOS 的 Sophos Mobile Security 策略)
通过网络筛选配置,您可以管理 Sophos Mobile Security 应用的网站筛选功能。这可以让用户避免浏
览包含恶意、不需要或非法内容的网站。 此配置只影响受监督的设备。
注释
将此配置分配给设备时,将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进
行修改。
版权所有 © Sophos Limited 183
Sophos Mobile
设置/字段
筛选恶意网站
按照类别筛选网站
网站例外
说明
选择用户是否可以访问带有恶意内容的网站。
选择用户是否可以访问属于特定类别的网站。
Sophos Mobile Security 根据 SophosLabs 提供的数据对
网站进行分类。该数据会不断更新。
提示
为了测试网络筛选,Sophos 创建了包含每个类别的示例页面
的网站 sophostest.com
。尽管其中一些页面被归类为具有潜在
的攻击性或危险性,但是页面内容本身在所有情况下都是无害
的。
配置类别筛选的例外:
允许的域: 允许网站,即使它们所属的类别受到阻止。
阻止的域: 阻止网站,即使它们属于允许的类别。
可以输入域名或 IP 地址。示例:
• www.example.com
• *.example.com
• 198.51.100.1
• 198.51.100.0/24
14.22.3 短信过滤配置 (iOS 的 Sophos Mobile Security 策略)
通过短信过滤配置,您可以为 Sophos Mobile Security iOS 应用的短信过滤功能定义域名。
短信过滤保护用户免受短信和彩信攻击。它将包含虚假域的消息移入垃圾短信,不包括联系人中的发
件人。
虚假域看起来像真实域,但略有修改:
• 替换、插入或置换了单个字符。
• 域名的前缀或后缀被修改。
• 一级域名 (TLD) 不同。
例如,如果您的真实域为 sophos.com,下面的则是虚假域:
• s0phos.com (替换)
• soophos.com (插入)
• sohpos.com (置换)
• mysophos.com (前缀)
• sophos.net (不同的 TLD) hr.sophos.com 之类的子域则不过滤。
184 版权所有 © Sophos Limited
Sophos Mobile
14.23 macOS 设备策略的配置
使用 macOS 设备策略,您可以配置 Mac 设备的各个方面,如密码策略、限制或 Wi-Fi 设置。设备策
略应用到所有登录到您分配该策略的 Mac 设备的用户,无论他们是否由 Sophos Mobile 托管。
相关概念
(第 89 页)
相关任务
14.23.1 密码策略配置(macOS 设备策略)
使用密码策略配置,您可以为 Mac 用户帐户的密码定义要求。
注释
将密码策略配置分配给设备时,将开始 60 分钟的宽限期。在宽限期内,将在用户返回主屏幕时,
提示用户修改密码,以符合策略要求。在宽限期后,用户将不能启动设备上的应用,其中包括内部
应用。
设置/字段
允许简单值
需要字母数字值
密码长度最小值
复杂字符的最小数目
最长密码期效(天)
最大自动锁定(分钟)
密码历史记录
说明
允许用户在其密码中使用顺序或重复字符,如
1111 或 abcde。
密码必须包含至少 1 个字母或数字。
指定密码必须包含的最少字符数目。
指定密码必须包含的非字母数字字符(例如 &
或!)的最小数目。
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
在此字段中,可以指定允许用户在设备上配置
的最大值。“自动锁定”指定设备空闲多长时间
(分钟)后将被锁定。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
版权所有 © Sophos Limited 185
Sophos Mobile
设置/字段
设备锁定的最大宽限期间
设备擦除前的失败尝试次数
iCloud
设置/字段
允许备份
说明
在此字段中,可以指定允许用户在设备上配置
的最大值。设备锁定的宽限期指定设备锁定后
在多长时间内可以解锁且没有密码提示。如果选
择无,则用户可选择任何可用时间间隔。如果选
择立即,则用户每次必须输入密码方可解锁其设
备。
在此字段中,可以指定输入正确密码的失败次
数,超过后将擦除设备。6 次失败尝试之后,再
次输入密码之前将出现时间延迟。每次失败尝试
后将增加延迟时间。最终失败尝试后,所有数据
和设置将从设备安全地删除。六次失败尝试后,
时间开始延迟。因此,如果将该数值设置为 6
或更小值,则不会出现时间延迟,并且超过失败
尝试限制时将擦除设备。
14.23.2 限制配置(macOS 设备策略)
使用限制配置,您可以为 Mac 设备定义限制。
注释
一些选项仅适用于某些版本的 macOS。它在 Sophos Mobile Admin 中通过蓝色标签表示。
设备
设置/字段
允许使用照相机
允许 Spotlight 的网络搜索结果
允许 Apple Music macOS 软件更新延迟
说明
如果清除该复选框,相机将不可用,且相机图标将
从主屏幕中删除。用户无法拍照、录制视频或者使用
FaceTime。
如果清除该复选框,Spotlight 将不会返回 Internet
搜索结果。
用户可以访问 Apple Music 库。 macOS 软件的更新在发布日期后延迟的天数。
输入一个 0 (无延迟) 和 90 之间的值。
说明
用户可以将其设备备份到 iCloud。
186 版权所有 © Sophos Limited
设置/字段
允许 iCloud 照片库
允许 iCloud Keychain 同步
允许文件同步
允许返回我的 Mac
允许查找我的 Mac
允许 iCloud 书签
允许 iCloud 邮件
允许 iCloud 日历
允许 iCloud 提醒
允许 iCloud 通讯簿
允许 iCloud 笔记
允许 iCloud Drive for Desktop and
Documents
Sophos Mobile
说明
用户可以使用 iCloud Photo Library。
用户可以使用 iCloud Keychain 在其 iPhone、iPad
和 Mac 设备之间同步密码。
如果清除该复选框,将只在设备上本地存储 iCloud
Keychain 数据。
用户可以在 iCloud 中存储文档和应用配置数据。
用户可以使用 iCloud 返回我的 Mac,即远程和本地
Mac 之间的文件和屏幕共享。
用户可以使用 iCloud 查找我的 Mac 远程定位、锁定
或擦除其 Mac 设备。
用户可以使用 iCloud 书签在浏览器和平台之间同步
Web 书签。
用户可以在其 Mac 设备上设置 iCloud 邮件帐户。
用户可以使用 iCloud 日历在其设备之间共享其日历,
并与其他 iCloud 用户共享其日历。
用户可以使用 iCloud 提醒在其设备之间共享提醒列
表,并与其他 iCloud 用户共享提醒列表。
用户可以使用 iCloud 通讯簿在其设备之间共享其联系
人,并与其他 iCloud 用户共享联系人。
用户可以使用 iCloud 笔记记笔记,在其设备之间共享
笔记,并与其他用户共享笔记。
用户可以将其 Mac Desktop 和 Documents 文件夹存储
在 iCloud Drive 中,并在其他设备上访问。
安全和隐私
设置/字段
允许 Touch ID 解锁设备
允许定义查找
允许自动解锁
允许 iTunes 文件共享
允许 AirPrint
版权所有 © Sophos Limited
说明
如果清除该复选框,将不能通过 Touch ID 解锁设备。
用户可以查找突出显示词汇的定义。
用户可以使用自动解锁,通过 Apple Watch 自动解锁
其 Mac 设备。
用户可以使用 iTunes 中的文件共享,在其 Mac 设备
和 iPhone 或 iPad 之间复制文件。
用户可以将文件发送到支持 AirPrint 的打印机。
187
Sophos Mobile
设置/字段
允许 AirPrint 打印机的 iBeacon 发现
说明
设备使用 iBeacon 发现 AirPrint 设备。
重要提示
如果允许此选项,恶意的 AirPrint 设备将可能对网络数
据流进行钓鱼攻击。
强制要求 AirPrint over TLS 的信任证
书
允许密码自动填入
从附近的设备请求 Wi-Fi 密码
允许 AirDrop 密码分享
如果 AirPrint 设备使用不受信任的证书,将拒绝基于
TLS 的 AirPrint。
用户可以开启自动填入密码设置,以使用在 Safari 或
其他应用中保存的密码或信用卡信息。
如果清除此复选框,将同时禁用自动建议强密码功能。
设置 Wi-Fi 连接时,设备从附近设备请求密码。
用户可以通过 AirDrop 与其他用户共享 Password
Manager 的密码。
14.23.3 Wi-Fi 配置(macOS 设备策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
自动连接
隐藏网络
说明
Wi-Fi 网络的 ID:
自动连接到目标网络。
目标网络不开放或可见。
188 版权所有 © Sophos Limited
设置/字段
安全类型
版权所有 © Sophos Limited
Sophos Mobile
说明
Wi-Fi 网络的安全类型:
• 无
• WEP (个人)
• WPA/WPA2 (个人)
• 任何(个人)
• WEP (企业)
• WPA/WPA2 (企业)
• 任意 (企业)
如果您选择其名称中带有个人的类型,则会显示密
码字段。输入相应的密码。
如果您选择其名称中带有企业的类型,则会显示协
议、身份验证和信任选项卡。
在协议选项卡上,配置以下设置:
• 在接受 EAP 类型下,选择要用于身份验证的 EAP 方
法。根据该选项卡上所选的类型,此选项卡中内部身
份字段中的值可供选择。
• 在 EAP-FAST 下,配置 EAP-FAST 保护访问凭据设置。
• 在TLS 最低版本和TLS 最高版本中,选择用于 EAP 身份
验证的最低和最高 TLS 版本。
在身份验证选项卡上,可以配置客户端身份验证设
置:
• 在用户字段中,输入用于连接到 Wi-Fi 网络的用户名。
• 如果每个连接均询问密码且通过身份验证进行传输,则
选中每个连接都需要密码。
• 在密码字段中输入相关密码。
• 在身份证书列表中,选择用于连接 Wi-Fi 网络的证书。
注释
必须在客户端证书配置中指定要使用的证书。
• 在外部身份字段中,输入外部可见 ID(TTLS、PEAP 及
EAP-FAST)。
在信任选项卡上,可以配置服务器身份验证设置:
从列表中选择信任的证书。
注释
必须在根证书配置中指定证书。
189
Sophos Mobile
设置/字段
代理
说明
在此列表中,选择用于 Wi-Fi 连接的代理设置:
• 无代理
• 手动
• 自动
如果您选择手动,将显示服务器和端口、身份验
证和密码字段。输入所需的代理信息。如果您选择自
动,将显示PAC URL字段。输入代理服务器的 URL。
14.23.4 网关守卫配置(macOS 设备策略)
使用网关守卫配置,您可以配置 macOS 网关守卫,它可以阻止安装禁止来源的应用。
设置/字段
允许从以下地方下载的应用
说明
选择要求的设置:
• 任意地方: 用户可以打开所有应用,无论这些
应用是从哪里安装的。
• Mac App Store: 用户只能打开来自 Mac App
Store 的应用。
• Mac App Store 和确定的开发商: 用户只能打
开来自 Mac App Store 的应用,或来自可识
别的开发者——即 Apple 认可的开发者的应
用。
14.23.5 内核扩展程序策略配置 (macOS 设备策略)
通过内核扩展程序策略配置,您可以批准或阻止某些第三方内核扩展 (KEXT)。如果没有此配置,当应用
要安装内核扩展时,macOS 将请求用户批准。
设置/字段
允许用户批准的扩展程序
批准 Sophos 扩展程序
批准的 Team ID
说明
当应用要安装没有经此配置批准的内核扩展时,macOS 将请求用
户批准。
如果不选中此复选框,将阻止未经此配置批准的扩展。
将批准 Sophos 内核扩展。
由这些 ID 中的其中一个签发的内核扩展将被批准。
190 版权所有 © Sophos Limited
Sophos Mobile
要找到内核扩展的 Team ID,请在您的测试环境中将其安装到 Mac 设备上。然后在终端输入以下两条
命令: sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy
SELECT * FROM kext_policy;
使用 Control-D 退出 sqlite3 会话。
对于安装的每个内核扩展,您都可以得到一行输出。在每一行中,第一个值就是 Team ID。
14.23.6 VPN 配置(macOS 设备策略)
使用 VPN 配置,您可以为网络连接定义 VPN 设置。
设置/字段
连接名称
连接类型
标示符(反向 DNS 格式)
服务器
帐户
第三方设置
通过 VPN 发送所有流量
组
说明
设备上显示的连接名称。
VPN 连接的类型:
• Cisco AnyConnect
• Cisco Legacy AnyConnect
• IPsec (Cisco)
• F5
• Check Point
• 自定义 SSL/TLS
VPN 页面上所显示的不同输入字段取决于您在此
处所选择的连接类型。
反向 DNS 格式的自定义标识符。
服务器的主机名或 IP 地址。
用于验证连接的用户帐户。
如果您的供应商指定了自定义连接属性,可以将
其输入此字段。
要输入属性,请单击添加,然后在对话框中输入
属性的密钥和值。
所有流量都将通过 VPN 发送。
验证连接所需的组。
版权所有 © Sophos Limited 191
Sophos Mobile
设置/字段
用户验证
设备验证
192
代理
提供程序类型
说明
用于连接的用户验证类型:
• 密码
如果选中此选项,用户验证字段下方将显
示密码字段。输入密码以进行验证。
• 证书
如果选中此选项,用户验证字段下方将显
示证书字段。选择证书。
设备验证的类型:
• 密钥(共享密钥)/组名称
如果选中此选项,设备验证字段下方将显
示组名称、密钥(共享密钥)、使用混合验
证及请求密码字段。在组名称及密钥(共享
密钥)字段输入所需的验证信息。选择使用
混合验证及所需的请求密码。
• 证书
如果选中此选项,设备验证字段将显示证
书及包括用户 PIN 字段。在证书列表中,选
择所需的证书。选择包括用户 PIN 以将用户
的 PIN 包括在设备认证中。
用于连接的代理设置:
• 无代理
• 手动
如果选中此选项,将显示服务器和端口、验
证及密码字段。在服务器和端口字段中,
输入有效地址及代理服务器端口。在身份
验证字段中,输入连接到代理服务器的用户
名。在密码字段中,输入连接到代理服务器
的密码。
• 自动
如果选中此选项,将显示代理服务器 URL
字段。在此字段中输入代理设置服务器的
URL。
VPN 连接类型。
• 应用代理: 网络数据流通过应用程序层的
VPN 隧道发送。
• 包隧道: 网络数据流通过网络层的 VPN 隧道
发送。
版权所有 © Sophos Limited
版权所有 © Sophos Limited
Sophos Mobile
14.23.7 Firewall配置 (macOS 设备策略)
通过Firewall配置,您可以为 macOS 中包括的应用程序防火墙定义设置。
设置/字段
开启应用程序防火墙
阻止所有传入连接
使用隐藏模式
自动允许内置应用
自动允许签名下载的应用
允许的连接
拒绝的连接
说明
应用程序防火墙将开启。
共享服务 (如文件共享或屏幕共享) 不允许接收传入连接。
这不影响以下系统服务:
• configd (DHCP 和其他网络配置服务)
• mDNSResponder (Bonjour)
• racoon (IPSec)
计算机将忽略意外的请求,如 ping 请求。
内置应用,如 iTunes,将添加到允许接收连接的应用列表中。
您不能关闭此选项。
由有效证书颁发机构签发的应用将添加到允许接收连接的应用列
表中。
您不能关闭此选项。
应用组包含允许接收连接的应用。
对于其他应用,用户可以选择允许或拒绝连接。
应用组包含不允许接收连接的应用。
对于其他应用,用户可以选择允许或拒绝连接。
14.23.8 网站内容筛选器配置(macOS 设备策略)
使用Web 内容筛选器配置,您可以为第三方应用定义用于筛选 Internet 内容的设置。
设置/字段
筛选名称
筛选 ID
服务器
组织
用户名
密码
说明
筛选配置的自定义名称。
第三方应用的捆绑 ID。
托管筛选服务的服务器(主机名、IP 地址或 URL)。
您所在组织的名称。该值将传递到筛选服务。
连接到筛选服务所需的凭据。
193
Sophos Mobile
设置/字段
证书
筛选范围
第三方设置
说明
用于对筛选服务进行身份验证的证书。
第三方应用将筛选的数据流:
• 筛选浏览器数据流: 将筛选 WebKit 浏览器数据流。
• 筛选套接字数据流: 将筛选套接字数据流。
• 筛选浏览器和套接字数据流: 将筛选 WebKit 和套接字数据
流。
附加配置设置(如果第三方应用要求)。
14.23.9 全球 HTTP 代理配置(macOS 设备策略)
通过全球 HTTP 代理配置,您可以定义公司代理服务器。
设置/字段
代理
服务器和端口
身份验证
密码
PAC URL
说明
选择手动,对连接详细信息进行手动配置。
如果您有代理自动配置 (PAC) 文件,则选择自动。
HTTP 代理的名称 (或 IP 地址) 和端口号。
用于连接代理服务器的用户名。
用于连接代理服务器的密码。
代理自动配置 (PAC) 文件的 URL。
14.23.10 托管域配置(macOS 设备策略)
使用托管域配置,您可以定义 Mac 设备的托管域。
邮件域
输入由您的组织管理的电子邮件域。在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子
邮件突出显示为不在域内。
14.23.11 单一登录配置(macOS 设备策略)
使用单点登录配置,您可以定义第三方应用的单点登录设置。
设置/字段
名称
说明
可读帐户名称。
194 版权所有 © Sophos Limited
设置/字段
Kerberos 主体名称
领域
URL
应用 ID
Sophos Mobile
说明
Kerberos 主体名称。
如果您不输入值,用户必须在配置文件安装过程
中输入名称。
Kerberos 领域名称。
您必须用大写字母输入名称。
为将帐户用于基于 HTTP 的 Kerberos 身份验
证,必须匹配的 URL 前缀的列表。
值必须以 http:// 或 https:// 开始
如果值不是以 / 结尾,Sophos Mobile 将添加
/。
应用的捆绑 ID 列表。
值必须是准确匹配 (如 com.sophos.smsec),
或在字符串结尾使用 .* 字符的前缀 (如 com.sophos.*)。
14.23.12 AirPrint 配置 (macOS 设备策略)
通过 AirPrint 配置,您可以在用户的 AirPrint 打印机列表中添加 AirPrint 打印机。
设置/字段
IP 地址
资源路径
说明
AirPrint 打印机的 IP 地址。
与打印机关联的资源路径。
示例:
• printers/<打印机型号>
• ipp/print
14.23.13 目录服务配置(macOS 设备策略)
使用目录服务配置,您可以指定将策略分配给 Mac 设备时,Mac 设备将加入的 Active Directory 域。
注释
如果您在这里配置的 Active Directory 域和您用于自助服务门户的域相同,分配给 Mac 设备的 macOS 用户策略将应用于登录到该 Mac 设备的所有 Active Directory 用户。
版权所有 © Sophos Limited 195
Sophos Mobile
一般设置
设置/字段
域主机名
AD 管理员名称
密码
部门
映射
设置/字段
UID 属性
说明
要加入的 Active Directory 域的 DNS 主机名。
用于连接到 Active Directory 服务器的用户帐户
的凭据。
此用户必须有权在 Active Directory 数据库中添
加设备。
Active Directory 数据库中的组织单位 (OU),加
入的计算机将添加到其中。
用户体验
设置/字段
创建移动帐户
创建移动帐户前要求确认
强制要求本地主文件夹
使用来自 Active Directory 的 UNC 路径
网络协议
默认用户 shell
说明
网络用户首次登录时,macOS 将创建一个移动帐
户。
使用移动帐户,即使在 Mac 设备未连接到 Active
Directory 服务器时,用户也可以使用其 Active
Directory 凭据登录 Mac 设备。
用户可以决定是否创建移动帐户。
选中此复选框可以强制在启动磁盘上创建用户配置
文件。这对于移动帐户是必须的。
如果您清除该复选框,将使用纯网络主目录。 macOS 将装载在 Active Directory 用户帐户中指
定的主文件夹。
用于装载主文件夹的协议。
针对用户的命令行 shell。
如果将此字段保留为空,将使用 /bin/bash。
说明
映射到 macOS 中唯一用户 ID (UID) 的 Active
Directory 属性。
196 版权所有 © Sophos Limited
设置/字段
用户 GID 属性
组 GID 属性
Sophos Mobile
说明
映射到 macOS 用户帐户中主要组 ID 的 Active
Directory 属性。
映射到 macOS 组帐户中组 ID 的 Active
Directory 属性。
重要提示
如果以后您更改这些映射设置,用户可能会失去访问之前创建的文件的权限。
管理
设置/字段
首选 DC 服务器
密码信任间隔天数
命名空间
数据包签名
数据包加密
多域身份验证
说明
首先访问的 Active Directory 域控制器 (DC)。
如果将此字段保留为空,macOS 将根据站点信息和
控制器响应来选择域控制器。
指定 macOS 更改其 Active Directory 计算机帐
户密码的频率。
如果将此字段保留为空,macOS 将每 14 天更改一
次密码。
如果将值设置为 0,macOS 将不会自动更改密码。
• 林
将开启命名空间支持。在 Active Directory
林的不同域中具有相同登录名的多个用户都可
以登录。
用户必须按域\名称的格式输入其登录名。
• 域
将关闭命名空间支持。用户必须有唯一的登录
名。 macOS 可以对用于 Active Directory 通信的
LDAP 连接进行签名和加密。
• 允许:macOS 决定是否对 LDAP 连接进行签名和/或加
密。
• 禁用:macOS 不对 LDAP 连接进行签名或加密。
• 需要:macOS 始终对 LDAP 连接进行签名和加密。
• SSL/TLS:macOS 始终使用 LDAP over SSL/TLS。
Active Directory 林中所有域的用户都可以登
录。
版权所有 © Sophos Limited 197
Sophos Mobile
设置/字段
域管理员组
限制 DDNS
说明
Active Directory 组列表。
这些组的成员将在 Mac 设备上授予管理权限。
要输入多个组,请在每次输入后按 Enter 键。
网络接口列表。
默认情况下,macOS 对所有网络接口使用动态 DNS
(DDNS)。要对某些接口限制 DDNS,请输入其 BSD
名称。
例如,要对内置的以太网端口限制 DDNS,请输入 en0。
要输入多个接口,请在每次输入后按 Enter 键。
14.23.14 根证书配置(macOS 设备策略)
使用根证书配置,您可以在 Mac 设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.23.15 客户端证书配置(macOS 设备策略)
使用客户端证书配置,您可以在 Mac 设备上安装客户端证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.23.16 SCEP 配置(macOS 设备策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
设置/字段
URL
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的服务器 URL。
198 版权所有 © Sophos Limited
设置/字段
CA 名称
主题
使用者可选名称的类型
使用者可选名称的值
AD 用户登录名
质询
重试
重试延迟
密钥大小
Sophos Mobile
说明
证书颁发机构能够理解的名称。例如,该名称可用
于区分实例。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有效
的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(SerialNumber)_% 指定 Mac 设
备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),请选
择 SAN 类型,然后输入 SAN 值。SAN 类型有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
Active Directory 中设置的用户登录名值,即用
户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
服务器发送挂起类型的响应时的重试次数。
两次重试之间间隔的秒数。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
14.24 macOS 用户策略的配置
使用 macOS 用户策略,您可以配置 Mac 设备的各个方面,如密码策略、限制或 Wi-Fi 设置。用户策
略应用到您分配该策略的 Mac 设备的所有托管用户。
相关概念
(第 89 页)
相关任务
版权所有 © Sophos Limited 199
Sophos Mobile
14.24.1 密码策略配置(macOS 用户策略)
使用密码策略配置,您可以为 Mac 用户帐户的密码定义要求。
注释
将密码策略配置分配给设备时,将开始 60 分钟的宽限期。在宽限期内,将在用户返回主屏幕时,
提示用户修改密码,以符合策略要求。在宽限期后,用户将不能启动设备上的应用,其中包括内部
应用。
设置/字段
允许简单值
需要字母数字值
密码长度最小值
复杂字符的最小数目
最长密码期效(天)
最大自动锁定(分钟)
密码历史记录
设备锁定的最大宽限期间
设备擦除前的失败尝试次数
说明
允许用户在其密码中使用顺序或重复字符,如
1111 或 abcde。
密码必须包含至少 1 个字母或数字。
指定密码必须包含的最少字符数目。
指定密码必须包含的非字母数字字符(例如 &
或!)的最小数目。
要求用户在指定的时间间隔内更改其密码。取值
范围:0(无需更改密码)至 730 天。
在此字段中,可以指定允许用户在设备上配置
的最大值。“自动锁定”指定设备空闲多长时间
(分钟)后将被锁定。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
在此字段中,可以指定允许用户在设备上配置
的最大值。设备锁定的宽限期指定设备锁定后
在多长时间内可以解锁且没有密码提示。如果选
择无,则用户可选择任何可用时间间隔。如果选
择立即,则用户每次必须输入密码方可解锁其设
备。
在此字段中,可以指定输入正确密码的失败次
数,超过后将擦除设备。6 次失败尝试之后,再
次输入密码之前将出现时间延迟。每次失败尝试
后将增加延迟时间。最终失败尝试后,所有数据
和设置将从设备安全地删除。六次失败尝试后,
时间开始延迟。因此,如果将该数值设置为 6
或更小值,则不会出现时间延迟,并且超过失败
尝试限制时将擦除设备。
200 版权所有 © Sophos Limited
Sophos Mobile
14.24.2 限制配置(macOS 用户策略)
使用限制配置,您可以为 Mac 设备定义限制。
注释
一些选项仅适用于某些版本的 macOS。它在 Sophos Mobile Admin 中通过蓝色标签表示。
设备
设置/字段
允许使用照相机
允许 Spotlight 的网络搜索结果
允许 Apple Music macOS 软件更新延迟
说明
如果清除该复选框,相机将不可用,且相机图标将
从主屏幕中删除。用户无法拍照、录制视频或者使用
FaceTime。
如果清除该复选框,Spotlight 将不会返回 Internet
搜索结果。
用户可以访问 Apple Music 库。 macOS 软件的更新在发布日期后延迟的天数。
输入一个 0 (无延迟) 和 90 之间的值。
iCloud
设置/字段
允许备份
允许 iCloud 照片库
允许 iCloud Keychain 同步
允许文件同步
允许返回我的 Mac
允许查找我的 Mac
允许 iCloud 书签
说明
用户可以将其设备备份到 iCloud。
用户可以使用 iCloud Photo Library。
用户可以使用 iCloud Keychain 在其 iPhone、iPad
和 Mac 设备之间同步密码。
如果清除该复选框,将只在设备上本地存储 iCloud
Keychain 数据。
用户可以在 iCloud 中存储文档和应用配置数据。
用户可以使用 iCloud 返回我的 Mac,即远程和本地
Mac 之间的文件和屏幕共享。
用户可以使用 iCloud 查找我的 Mac 远程定位、锁定
或擦除其 Mac 设备。
用户可以使用 iCloud 书签在浏览器和平台之间同步
Web 书签。
版权所有 © Sophos Limited 201
Sophos Mobile
设置/字段
允许 iCloud 邮件
允许 iCloud 日历
允许 iCloud 提醒
允许 iCloud 通讯簿
允许 iCloud 笔记
允许 iCloud Drive for Desktop and
Documents
说明
用户可以在其 Mac 设备上设置 iCloud 邮件帐户。
用户可以使用 iCloud 日历在其设备之间共享其日历,
并与其他 iCloud 用户共享其日历。
用户可以使用 iCloud 提醒在其设备之间共享提醒列
表,并与其他 iCloud 用户共享提醒列表。
用户可以使用 iCloud 通讯簿在其设备之间共享其联系
人,并与其他 iCloud 用户共享联系人。
用户可以使用 iCloud 笔记记笔记,在其设备之间共享
笔记,并与其他用户共享笔记。
用户可以将其 Mac Desktop 和 Documents 文件夹存储
在 iCloud Drive 中,并在其他设备上访问。
安全和隐私
设置/字段
允许 Touch ID 解锁设备
允许定义查找
允许自动解锁
允许 iTunes 文件共享
允许 AirPrint
允许 AirPrint 打印机的 iBeacon 发现
说明
如果清除该复选框,将不能通过 Touch ID 解锁设备。
用户可以查找突出显示词汇的定义。
用户可以使用自动解锁,通过 Apple Watch 自动解锁
其 Mac 设备。
用户可以使用 iTunes 中的文件共享,在其 Mac 设备
和 iPhone 或 iPad 之间复制文件。
用户可以将文件发送到支持 AirPrint 的打印机。
设备使用 iBeacon 发现 AirPrint 设备。
重要提示
如果允许此选项,恶意的 AirPrint 设备将可能对网络数
据流进行钓鱼攻击。
强制要求 AirPrint over TLS 的信任证
书
允许密码自动填入
从附近的设备请求 Wi-Fi 密码
如果 AirPrint 设备使用不受信任的证书,将拒绝基于
TLS 的 AirPrint。
用户可以开启自动填入密码设置,以使用在 Safari 或
其他应用中保存的密码或信用卡信息。
如果清除此复选框,将同时禁用自动建议强密码功能。
设置 Wi-Fi 连接时,设备从附近设备请求密码。
202 版权所有 © Sophos Limited
设置/字段
允许 AirDrop 密码分享
Sophos Mobile
说明
用户可以通过 AirDrop 与其他用户共享 Password
Manager 的密码。
14.24.3 Exchange 帐户配置(macOS 用户策略)
使用 Exchange 帐户配置,您可以为联系人、邮件、提醒和日历设置 Exchange Web 服务 (EWS) 帐户。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
电子邮件地址
密码
OAuth
OAuth 登录 URL
SSL/TLS
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的密码。
如果将此字段保留为空,用户必须在其设备上输入
密码。
帐户使用 OAuth 进行身份验证,即用户使用其
Microsoft 凭据进行身份验证。
OAuth 身份验证的登录页面 URL。
如果关闭了 Exchange 服务器的自动发现服务,请
使用此设置。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
版权所有 © Sophos Limited 203
Sophos Mobile
14.24.4 Wi-Fi 配置(macOS 用户策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
自动连接
隐藏网络
说明
Wi-Fi 网络的 ID:
自动连接到目标网络。
目标网络不开放或可见。
204 版权所有 © Sophos Limited
设置/字段
安全类型
版权所有 © Sophos Limited
Sophos Mobile
说明
Wi-Fi 网络的安全类型:
• 无
• WEP (个人)
• WPA/WPA2 (个人)
• 任何(个人)
• WEP (企业)
• WPA/WPA2 (企业)
• 任意 (企业)
如果您选择其名称中带有个人的类型,则会显示密
码字段。输入相应的密码。
如果您选择其名称中带有企业的类型,则会显示协
议、身份验证和信任选项卡。
在协议选项卡上,配置以下设置:
• 在接受 EAP 类型下,选择要用于身份验证的 EAP 方
法。根据该选项卡上所选的类型,此选项卡中内部身
份字段中的值可供选择。
• 在 EAP-FAST 下,配置 EAP-FAST 保护访问凭据设置。
• 在TLS 最低版本和TLS 最高版本中,选择用于 EAP 身份
验证的最低和最高 TLS 版本。
在身份验证选项卡上,可以配置客户端身份验证设
置:
• 在用户字段中,输入用于连接到 Wi-Fi 网络的用户名。
• 如果每个连接均询问密码且通过身份验证进行传输,则
选中每个连接都需要密码。
• 在密码字段中输入相关密码。
• 在身份证书列表中,选择用于连接 Wi-Fi 网络的证书。
注释
必须在客户端证书配置中指定要使用的证书。
• 在外部身份字段中,输入外部可见 ID(TTLS、PEAP 及
EAP-FAST)。
在信任选项卡上,可以配置服务器身份验证设置:
从列表中选择信任的证书。
注释
必须在根证书配置中指定证书。
205
Sophos Mobile
设置/字段
代理
说明
在此列表中,选择用于 Wi-Fi 连接的代理设置:
• 无代理
• 手动
• 自动
如果您选择手动,将显示服务器和端口、身份验
证和密码字段。输入所需的代理信息。如果您选择自
动,将显示PAC URL字段。输入代理服务器的 URL。
14.24.5 VPN 配置(macOS 用户策略)
使用 VPN 配置,您可以为网络连接定义 VPN 设置。
设置/字段
连接名称
连接类型
标示符(反向 DNS 格式)
服务器
帐户
第三方设置
通过 VPN 发送所有流量
组
说明
设备上显示的连接名称。
VPN 连接的类型:
• Cisco AnyConnect
• Cisco Legacy AnyConnect
• IPsec (Cisco)
• F5
• Check Point
• 自定义 SSL/TLS
VPN 页面上所显示的不同输入字段取决于您在此
处所选择的连接类型。
反向 DNS 格式的自定义标识符。
服务器的主机名或 IP 地址。
用于验证连接的用户帐户。
如果您的供应商指定了自定义连接属性,可以将
其输入此字段。
要输入属性,请单击添加,然后在对话框中输入
属性的密钥和值。
所有流量都将通过 VPN 发送。
验证连接所需的组。
206 版权所有 © Sophos Limited
设置/字段
用户验证
设备验证
代理
提供程序类型
版权所有 © Sophos Limited
Sophos Mobile
说明
用于连接的用户验证类型:
• 密码
如果选中此选项,用户验证字段下方将显
示密码字段。输入密码以进行验证。
• 证书
如果选中此选项,用户验证字段下方将显
示证书字段。选择证书。
设备验证的类型:
• 密钥(共享密钥)/组名称
如果选中此选项,设备验证字段下方将显
示组名称、密钥(共享密钥)、使用混合验
证及请求密码字段。在组名称及密钥(共享
密钥)字段输入所需的验证信息。选择使用
混合验证及所需的请求密码。
• 证书
如果选中此选项,设备验证字段将显示证
书及包括用户 PIN 字段。在证书列表中,选
择所需的证书。选择包括用户 PIN 以将用户
的 PIN 包括在设备认证中。
用于连接的代理设置:
• 无代理
• 手动
如果选中此选项,将显示服务器和端口、验
证及密码字段。在服务器和端口字段中,
输入有效地址及代理服务器端口。在身份
验证字段中,输入连接到代理服务器的用户
名。在密码字段中,输入连接到代理服务器
的密码。
• 自动
如果选中此选项,将显示代理服务器 URL
字段。在此字段中输入代理设置服务器的
URL。
VPN 连接类型。
• 应用代理: 网络数据流通过应用程序层的
VPN 隧道发送。
• 包隧道: 网络数据流通过网络层的 VPN 隧道
发送。
207
Sophos Mobile
14.24.6 Web 剪辑配置(macOS 用户策略)
使用 Web 剪辑配置,您可以定义要添加到 macOS 桌面的 Web 剪辑。Web 剪辑让您可以快速访问收藏的
网页。但您也可以使用支持电话号码添加 Web 剪辑,例如,为致电支持人员提供了快捷方法。
设置/字段
说明
URL
可以删除
全屏显示
图标
说明
对 Web 剪辑的说明。
Web 剪辑的 Web 地址。
如果清除该复选框,用户将不能删除 Web 剪
辑。不可将其从设备删除,除非用户删除了已安
装的配置文件。
将在设备上全屏显示打开的 Web 剪辑。全屏显
示的 Web 剪辑打开作为 Web 应用的 URL 。
选择要在主屏幕上用作 Web 剪辑图标的图片。
这必须是最大 1 MB 的 PNG、GIF 或 JPEG 图
片。
图片将剪裁为方形并进行缩放以匹配显示分辨
率。为获得最佳效果,建议您使用 180 x 180
像素的图片。
注释
当在网页的 HTML 代码中定义了一个图标时,设备
可能会将该图标显示为 Web 剪辑图标。这仅适用
于某些网页,具体取决于网页代码中图标的配置方
式。
14.24.7 网站内容筛选器配置(macOS 用户策略)
使用Web 内容筛选器配置,您可以为第三方应用定义用于筛选 Internet 内容的设置。
设置/字段
筛选名称
筛选 ID
服务器
组织
用户名
密码
说明
筛选配置的自定义名称。
第三方应用的捆绑 ID。
托管筛选服务的服务器(主机名、IP 地址或 URL)。
您所在组织的名称。该值将传递到筛选服务。
连接到筛选服务所需的凭据。
208 版权所有 © Sophos Limited
设置/字段
证书
筛选范围
Sophos Mobile
说明
用于对筛选服务进行身份验证的证书。
第三方应用将筛选的数据流:
• 筛选浏览器数据流: 将筛选 WebKit 浏览器数据流。
• 筛选套接字数据流: 将筛选套接字数据流。
• 筛选浏览器和套接字数据流: 将筛选 WebKit 和套接字数据
流。
附加配置设置(如果第三方应用要求)。 第三方设置
14.24.8 全球 HTTP 代理配置(macOS 用户策略)
通过全球 HTTP 代理配置,您可以定义公司代理服务器。
设置/字段
代理
服务器和端口
身份验证
密码
PAC URL
说明
选择手动,对连接详细信息进行手动配置。
如果您有代理自动配置 (PAC) 文件,则选择自动。
HTTP 代理的名称 (或 IP 地址) 和端口号。
用于连接代理服务器的用户名。
用于连接代理服务器的密码。
代理自动配置 (PAC) 文件的 URL。
14.24.9 托管域配置(macOS 用户策略)
使用托管域配置,您可以定义 Mac 设备的托管域。
邮件域
输入由您的组织管理的电子邮件域。在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子
邮件突出显示为不在域内。
14.24.10 CalDAV 配置(macOS 用户策略)
使用 CalDAV 配置,您可以配置与 CalDAV 服务器的日历数据同步。例如,可用于与 Mac 设备同步
Google 日历。
设置/字段
帐户名称
说明
设备上 CalDAV 帐户的显示名称。
版权所有 © Sophos Limited 209
Sophos Mobile
设置/字段
帐户主机和端口
主要 URL
用户名、密码
SSL/TLS
说明
CalDAV 服务器的主机名或 IP 地址,以及可选的端口号。
例如,对于 Google 日历,请输入: calendar.google.com:443
如果 CalDAV 服务器需要,请输入日历资源的主要 URL。
例如,要与 Google 帐户中主日历以外的日历同步,请输
入: https://apidata.googleusercontent.com/caldav/
v2/calendar_id/user
其中 calendar_id 是要同步的日历的 ID。在 Google 日
历 Web 应用程序中,日历 ID 显示在日历设置中。有关详
细信息,请参阅 Google 日历的帮助。
CalDAV 帐户的登录凭据。
例如,对于 Google 日历,请输入 Google 帐户的凭据。
连接 CalDAV 服务器受到 SSL 或 TLS 的保护(取决于服
务器支持的类型)。
建议您选中此复选框。
14.24.11 CardDAV 配置(macOS 用户策略)
使用 CardDAV 配置,您可以配置与 CardDAV 服务器的联系人数据同步。例如,可用于与 Mac 设备同步
Google 联系人。
设置/字段
帐户名称
帐户主机和端口
主要 URL
用户名、密码
说明
设备上 CardDAV 帐户的显示名称。
CardDAV 服务器的主机名或 IP 地址,以及可选的端口
号。
例如,对于 Google 联系人,请输入: google.com
如果 CardDAV 服务器需要,请输入联系人资源的主要
URL。
例如,Google CardDAV API 支持以下主要 URL: https://www.googleapis.com/carddav/
v1/principals/[email protected]
其中 account_name 是 Google 帐户名称。
CardDAV 帐户的登录凭据。
例如,对于 Google 联系人,请输入 Google 帐户的凭
据。
210 版权所有 © Sophos Limited
设置/字段
SSL/TLS
Sophos Mobile
说明
连接 CardDAV 服务器受到 SSL 或 TLS 的保护(取决于服
务器支持的类型)。
建议您选中此复选框。
14.24.12 IMAP/POP 配置(macOS 用户策略)
使用 IMAP/POP 配置,您可以在 Mac 设备上添加 IMAP 或 POP 电子邮件帐户。
设置/字段
帐户名称
帐户类型
用户显示名称
电子邮件地址
说明
设备上电子邮件帐户的显示名称。
传入电子邮件的邮件服务器类型 (IMAP 或 POP)。
传出电子邮件的用户显示名称。
使用变量 %_USERNAME_% 来指定分配给设备的用户名称。
帐户的电子邮件地址。
使用变量 %_EMAILADDRESS_% 来指定分配给设备的用户电
子邮件地址。
传入电子邮件
电子邮件服务器和端口
用户名
身份验证类型
密码
SSL/TLS
传入电子邮件服务器(入站服务器)的主机名或 IP 地
址,以及端口号。
用于连接入站服务器的用户名。
用于连接入站服务器的身份验证方法。
用于连接入站服务器的密码(如果需要)。
连接接入服务器受到 SSL 或 TLS 的保护(取决于服务器
支持的类型)。
外发电子邮件
电子邮件服务器和端口
用户名
身份验证类型
密码
使用与传入电子邮件相同的密码
外发电子邮件服务器(出站服务器)的主机名或 IP 地
址,以及端口号。
用于连接出站服务器的用户名。
用于连接出站服务器的身份验证方法。
用于连接出站服务器的密码(如果需要)。
使用为传入电子邮件指定的密码。
版权所有 © Sophos Limited 211
Sophos Mobile
设置/字段
SSL/TLS
说明
连接接出服务器受到 SSL 或 TLS 的保护(取决于服务器
支持的类型)。
14.24.13 单一登录配置(macOS 用户策略)
使用单点登录配置,您可以定义第三方应用的单点登录设置。
设置/字段
名称
Kerberos 主体名称
领域
URL
应用 ID
说明
可读帐户名称。
Kerberos 主体名称。
如果您不输入值,用户必须在配置文件安装过程
中输入名称。
Kerberos 领域名称。
您必须用大写字母输入名称。
为将帐户用于基于 HTTP 的 Kerberos 身份验
证,必须匹配的 URL 前缀的列表。
值必须以 http:// 或 https:// 开始
如果值不是以 / 结尾,Sophos Mobile 将添加
/。
应用的捆绑 ID 列表。
值必须是准确匹配 (如 com.sophos.smsec),
或在字符串结尾使用 .* 字符的前缀 (如 com.sophos.*)。
14.24.14 LDAP 配置(macOS 用户策略)
使用 LDAP 配置,您可以将 LDAP 目录的用户信息添加到 macOS 通讯簿应用。
注释
要配置 Mac 设备以使其加入 Active Directory 域,请使用 目录服务 配置。请参阅
(第 195 页)。
设置/字段
帐户描述
主机名
说明
LDAP 连接的描述。
LDAP 服务器的主机名或 IP 地址。
212 版权所有 © Sophos Limited
设置/字段
用户名
密码
使用 SSL/TLS
搜索设置
基本
范围
Sophos Mobile
说明
Sophos Mobile 用于连接 LDAP 服务器的登录凭
据。
连接 LDAP 服务器受到 SSL 或 TLS 的保护(取决
于服务器支持的类型)。
作为搜索起点的 LDAP 树的节点,以及搜索范围。
到搜索开始节点的路径。
例如:ou=users,o=my company
要包括在搜索中的子节点的范围:
• 仅基本节点: 只有基本节点。
• 基本节点和直接子节点: 基本节点及其子节
点,即第一级子节点。
• 基本节点和所有子节点: 基本节点和所有子节
点。
搜索设置的描述。 说明
14.24.15 App Store 配置(macOS 用户策略)
通过App Store配置,您可以限制 App Store 的使用。
设置/字段
需要管理员密码
限制更新
禁止应用采纳
关闭更新通知
说明
用户安装或更新应用需要管理员密码。
用户可以更新应用,但不能安装新的应用。
应用采纳让用户可以将尚未通过 App Store 安装
的应用分配给他们的 Apple ID。如果您禁止应用
采纳,用户将不能更新这些应用。
例如,这会影响与 Mac 捆绑的 iLife 或 iWork
应用。
用户不会收到更新通知。
14.24.16 根证书配置(macOS 用户策略)
使用根证书配置,您可以在 Mac 设备上安装根证书。
中。输入所选证书的密码。
版权所有 © Sophos Limited 213
Sophos Mobile
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.24.17 客户端证书配置(macOS 用户策略)
使用客户端证书配置,您可以在 Mac 设备上安装客户端证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.24.18 SCEP 配置(macOS 用户策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
设置/字段
URL
CA 名称
主题
使用者可选名称的类型
使用者可选名称的值
说明
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的服务器 URL。
证书颁发机构能够理解的名称。例如,该名称可用
于区分实例。
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有效
的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(SerialNumber)_% 指定 Mac 设
备。
有关可用占位符的信息,请参阅
(第 91 页).
要给 SCEP 配置添加 使用者可选名称 (SAN),请选
择 SAN 类型,然后输入 SAN 值。SAN 类型有:
• RFC 822 名称: 有效的电子邮件地址。
• DNS 名称: CA 服务器的 DNS 名称。
• 统一资源标识符: CA 服务器的完全限定 URL。
214 版权所有 © Sophos Limited
设置/字段
AD 用户登录名
质询
重试
重试延迟
密钥大小
Sophos Mobile
说明
Active Directory 中设置的用户登录名值,即用
户的 用户主体名称 (UPN)。
用于从 SCEP 服务器获取质询密码的 Web 地址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
服务器发送挂起类型的响应时的重试次数。
两次重试之间间隔的秒数。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
14.25 Windows Mobile 策略的配置
使用 Windows Mobile 策略,您可以配置 Windows Mobile 设备的各个方面,如密码策略、限制或 Wi-
Fi 设置。
有关如何创建 Windows Mobile 策略的信息,请参阅 创建配置文件或策略
(第 87 页)。
14.25.1 密码策略配置(Windows Mobile 策略)
使用密码策略配置,您可以为设备密码定义要求。
设置/字段
密码类型
说明
用户必须定义的密码类型:
• 字母数字: 密码必须同时包含数字和字母
• 数值: 密码必须仅包含数字
数字和/或字母的密码。
版权所有 © Sophos Limited 215
Sophos Mobile
设置/字段
字母数字密码的最低复杂性
允许简单密码
密码长度最小值
失败尝试的最大次数
设备锁定时间(分钟)
密码历史记录
最长密码期效(天)
允许设置密码 Grace Period。
说明
这定义了必须用于数字字母密码中的字符类。
对于 Windows 10 Mobile:
• 1:不适用 (如果选中,将使用 2)
• 2:需要数字和小写字母
• 3:需要数字、小写字母和大写字母
• 4:需要数字、小写字母、大写字母和特殊字符
对于 Windows Phone 8.1,您选择的值是必须在
密码中使用的不同字符类的数目。字符类有:
• 数字
• 小写字母
• 大写字母
• 特殊字符
密码可以包含顺序或重复的字符,如 abcde 或
1111。
密码必须包含的最少字符数目。
输入正确密码的失败登录次数,超过后将擦除设
备。
输入 1 和 999 之间的值,或输入 0 表示无限
制。
设备空闲多长时间(分钟)后将被锁定。用户可
以解锁该设备。
输入 1 和 999 之间的值,或输入 0 表示无限
制。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
用户多少天后必须修改其密码。
输入 1 和 730 之间的值,或输入 0 表示无限
制。
将允许用户设置密码宽限期。
216 版权所有 © Sophos Limited
Sophos Mobile
14.25.2 限制配置(Windows Mobile 策略)
使用限制配置,您可以为设备定义限制。
设备
设置/字段
禁止 SD 卡
禁止未加密设备
说明
用户不能访问存储卡。不会阻止应用访问存储
卡。
内部存储加密将开启。
重要提示
在设备上开启内部存储加密后,您不能再通
过策略将其关闭。
禁止在锁屏界面上显示操作中心通知
禁止手动添加非 Microsoft 电子邮件帐户
禁止 Microsoft 账户连接
禁止开发人员模式
禁止 Windows 商店
禁止本地浏览器
禁止相机
注释
应用策略前,必须在设备上启用
BitLocker。
将不会在设备锁屏界面上显示操作中心通知。
禁止添加所有类型的电子邮件帐户,以及
Exchange、Office 365 和 Outlook.com 帐户。
不能连接到 Microsoft 服务,如同步、备
份、Skype 或 Microsoft 应用商店。
重要提示
此设置只影响分配策略后在设备上设置的
Microsoft 帐户。
将关闭 Windows 开发人员模式。
应用商店将不可用。
Microsoft Edge 浏览器将不可用。
将关闭隐私设置允许应用使用我的相机。
版权所有 © Sophos Limited 217
Sophos Mobile
设置/字段
遥测级别
不同的
设置/字段
禁止复制和粘贴
禁止 Cortana
禁止 Office 文件的 "另存为"
禁止屏幕捕获
禁止共享 Office 文件
禁止“同步我的设置”
禁止录音
说明
允许设备发送的 Windows 诊断和使用数据量。
Windows 10:
• 全部: 确定和分析问题所需的全部数据。
• 增强: 有关如何使用 Windows 和应用以及它们如何
执行的数据。
• 基本: 对于了解设备及其配置非常重要的数据的一
个有限集合。
• 禁用 (仅适用于 Windows Phone 8.1): Windows 10
设备上不受支持。如果您选择了此项,则会使用 基
本 级别。
注释
级别是从下到上累积的,例如增强 包括 基本 的
所有数据。
提示
有关遥测级别的详细信息,请参阅 Microsoft 文
章 在组织中配置 Windows 遥测(外部链接) 。
Windows Phone 8.1 不支持不同的遥测级别:
• 全部, 增强, 基本: 用户可以开启或关闭遥测。
• 禁用 (仅适用于 Windows Phone 8.1): 未提交遥测
数据。
说明
剪贴板不可用。
Cortana 将关闭。
用户不能将设备上的文件保存为 Office 文件。
截屏将关闭。
用户不能共享 Office 文件。
将不能与其他 Windows 设备同步设备设置。
录音功能将关闭。
218 版权所有 © Sophos Limited
Sophos Mobile
Wi-Fi
设置/字段
禁止 Wi-Fi
禁止网络共享
禁止 Wi-Fi 感知(热点自动连接)
禁止热点报告
禁止手动配置
说明
Wi-Fi 连接将关闭。
Internet 连接共享 (ICS) 将关闭。
设备将不会自动连接到 Wi-Fi 热点。
设备将不会发送有关 Wi-Fi 连接的信息。
用户不能在 Sophos Mobile 配置的连接以外配
置 Wi-Fi 连接。
现有用户配置的和 Wi-Fi 感知的 Wi-Fi 配置文
件将被删除。
连接
设置/字段
禁止 NFC
禁止蓝牙
禁止 USB 连接
说明
NFC(近场通信)被关闭。
蓝牙将关闭。
将禁用设备与计算机之间用于同步文件或使用开
发人员工具来部署或调试应用的 USB 连接。这
不影响 USB 充电。
漫游及费用
设置/字段
禁止手机数据漫游
禁止手机 VPN
禁止手机 VPN 漫游
说明
使用外地手机网络的数据连接将关闭。
使用外地手机网络的 VPN 连接将关闭。
使用外地手机网络的 VPN 连接将关闭。
安全和隐私
设置/字段
禁止 Bing 影像通过 Bing 影像搜索存储图像
说明
Bing 影像将不会存储执行 Bing 影像搜索时捕
获的图像内容。
版权所有 © Sophos Limited 219
Sophos Mobile
设置/字段
搜索时禁止使用位置
禁止手动安装根证书
禁止定位
SafeSearch 权限
说明
搜索不能使用位置信息。
用户不能手动安装根和中间 CA 证书。
设备上的所有位置隐私设置将关闭。没有应用可
以使用定位服务。还将禁止 Sophos Mobile 定
位设备。
设备上强制执行的搜索结果筛选级别:
• 中等:对成人内容进行中等筛选。将不筛选
有效的搜索结果。
• 严格:对成人内容进行最严格的筛选。
未注册
设置/字段
禁止用户重置手机
禁止手动 MDM
说明
用户不能通过控制面板或硬件组合键将设备恢复
为出厂设置。
用户不能删除工作区帐户。
220
14.25.3 Exchange 帐户配置(Windows Mobile 策略)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。
设置/字段
帐户名称
Exchange 服务器
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
域
用户
电子邮件地址
此帐户的域。
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
版权所有 © Sophos Limited
设置/字段
密码
同步周期
同步间隔
SSL/TLS
Sophos Mobile
说明
此帐户的密码。
如果将此字段保留为空,用户必须在其设备上输入
密码。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
电子邮件同步过程之间的时间间隔。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
要同步的内容类型。 同步内容类型
14.25.4 Wi-Fi 配置(Windows Mobile 策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
自动连接
隐藏网络
安全类型
代理
说明
在此字段中,输入 Wi-Fi 网络的 ID。
将自动建立连接。
目标网络不开放或可见。
从列表中选择安全类型。如果选择 WPA(个人)
或 WPA2(个人),则必须指定密码。
如果从列表中选择手动,则必须指定服务器和端
口。
14.25.5 应用限制配置(Windows Mobile 策略)
使用应用限制配置,您可以特别地在设备上允许或阻止应用。
设置/字段
允许的应用
说明
包含一组允许用户在设备上安装和使用的单个应
用。用户将不能安装或使用任何未明确列出的应
用。
当您知道要允许的应用和要阻止的所有其他应用
时,可以使用允许的应用。
版权所有 © Sophos Limited 221
Sophos Mobile
设置/字段
禁止的应用程序
应用组
说明
包含一组禁止用户在设备上安装的单个应用。用
户将可以安装任何未明确列出的应用。
当您知道要阻止的应用和要允许的所有其他应用
的列表时,可以使用禁止的应用。
选择包含要允许或阻止的应用列表的应用组。
注释
(第
265 页)。
14.25.6 IMAP/POP 配置(Windows Mobile 策略)
使用 IMAP/POP 配置,您可以在设备上添加 IMAP 或 POP 电子邮件帐户。
设置/字段
帐户类型
帐户名称
电子邮件地址
用户显示名称
用户名
域
密码
传入电子邮件服务器
对传入电子邮件使用 SSL/TLS
说明
传入电子邮件的邮件服务器类型 (IMAP 或 POP)。
设备上电子邮件帐户的显示名称。
帐户的电子邮件地址。
使用变量 %_EMAILADDRESS_% 来指定分配给设备的用户电
子邮件地址。
传出电子邮件的用户显示名称。
使用变量 %_USERNAME_% 来指定分配给设备的用户名称。
用于连接入站服务器的用户名。
入站服务器凭据的域部分(如果需要)。
用于连接入站服务器的密码(如果需要)。
传入电子邮件服务器(入站服务器)的主机名(或 IP 地
址)和端口号。
格式:服务器名称:端口号
如果使用以下标准端口,则不需要指定端口号:
• 143 (IMAP)
• 993 (IMAP 和 SSL)
• 110 (POP3)
• 995 (POP3 和 SSL)
使用安全套接字层进行传入电子邮件的传输。
222 版权所有 © Sophos Limited
设置/字段
传出电子邮件服务器
对传出电子邮件使用 SSL/TLS
传出连接所需的身份验证
同步周期
自动同步
Sophos Mobile
说明
外发电子邮件服务器(出站服务器)的主机名或 IP 地
址,以及端口号。
格式:服务器名称:端口号
使用安全套接字层进行外发电子邮件的传输。
出站服务器需要身份验证。
使用与入站服务器相同的凭据,如用户名、域 和 密码 字
段中所指定。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收件箱
中。
自动电子邮件同步的间隔。
14.25.7 根证书配置(Windows Mobile 策略)
使用根证书配置,您可以在设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
14.25.8 SCEP 配置(Windows Mobile 策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
设置/字段
描述
URL
说明
有关配置的说明。
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的服务器 URL。
版权所有 © Sophos Limited 223
Sophos Mobile
设置/字段
主题
使用者可选名称
质询
根证书
重试
重试延迟
密钥大小
用于数字签名
用于加密
哈希算法
说明
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有效
的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(serial_number)_% 指定 Android
设备。
有关可用占位符的信息,请参阅
(第 91 页).
作为选项,可以配置一个或多个 使用者可选名称
(SAN) 值。
单击添加,然后输入 SAN 类型和 SAN 值。
用于从 SCEP 服务器获取质询密码的 Web 地址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
CA 证书。
从列表中选择证书。列表包含您已经上传到当前配
置文件的根证书配置中的所有证书。
服务器发送挂起类型的响应时的重试次数。
两次重试之间间隔的秒数。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签名。
如果您选中此复选框,公钥将可以用于数据加密。
选择一种或多种 SCEP 服务器支持的哈希算法。
警告
我们建议您不要使用 SHA-1 算法,因为它被
认为是不安全的。
224
14.26 Windows 策略的配置
使用 Windows 策略,您可以配置 Windows 计算机的各个方面,如密码策略、限制或 Wi-Fi 设置。
有关如何创建 Windows 策略的信息,请参阅
版权所有 © Sophos Limited
Sophos Mobile
14.26.1 密码策略配置(Windows 策略)
使用密码策略配置,您可以为 Windows 用户帐户的密码定义要求。
注释
Windows 计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过
Sophos Mobile 策略设置。有关详细信息,请参阅
注释
如果同时满足以下条件,则无法将密码策略分配给 Windows 计算机:
• 除了注册到 Sophos Mobile 的用户之外,还有在设备上配置的其他本地用户。
• 这些其他用户中的一个或多个不允许更改其密码。
设置/字段
失败尝试的最大次数
设备锁定时间(分钟)
密码历史记录
最长密码期效(天)
说明
输入正确密码的失败登录次数,超过后将擦除设
备。
输入 1 和 999 之间的值,或输入 0 表示无限
制。
设备空闲多长时间(分钟)后将被锁定。用户可
以解锁该设备。
输入 1 和 999 之间的值,或输入 0 表示无限
制。
Sophos Mobile 存储的以前使用过的密码的数
量。
用户设置新密码时,不能与已经使用过的密码相
同。
用户多少天后必须修改其密码。
输入 1 和 730 之间的值,或输入 0 表示无限
制。
14.26.2 限制配置(Windows 策略)
使用限制配置,您可以为设备定义限制。
设备
设置/字段
禁止 SD 卡
说明
用户不能访问存储卡。不会阻止应用访问存储
卡。
版权所有 © Sophos Limited 225
Sophos Mobile
设置/字段
禁止手动添加非 Microsoft 电子邮件帐户
禁止开发人员模式
禁止相机
禁用 Edge 自动填充
禁用 Edge F12 开发人员工具
禁用 Edge 弹出窗口阻止程序
禁用自动播放设置
禁用日期与时间设置
禁用语言设置
禁用电源和睡眠设置
禁用区域设置
禁用登录设置
禁用 VPN 设置
禁用工作区设置
禁用帐户设置
说明
禁止添加所有类型的电子邮件帐户,以及
Exchange、Office 365 和 Outlook.com 帐户。
将关闭 Windows 开发人员模式。
将关闭隐私设置允许应用使用我的相机。
Edge Web 浏览器的保存表单项设置将关闭,且
不能由用户开启。
如果清除该复选框,将开启该设置,且不能由用
户关闭。
Edge Web 浏览器的 F12 开发人员工具将不可
用。
Edge Web 浏览器的阻止弹出窗口设置将关闭,
且不能由用户开启。
如果清除该复选框,将开启该设置,且不能由用
户关闭。
Windows 控制面板的相应部分将不可用。策略分
配给设备后,用户将不能更改所有这些设置。
注释
禁用自动播放设置不会影响移动电话等连接
设备。
226 版权所有 © Sophos Limited
设置/字段
遥测级别
Sophos Mobile
说明
允许设备发送的 Windows 诊断和使用数据量。
• 全部: 确定和分析问题所需的全部数据。
• 增强: 有关如何使用 Windows 和应用以及它们如何
执行的数据。
• 基本: 对于了解设备及其配置非常重要的数据的一
个有限集合。
• 安全: 使用最新的安全更新保护设备所需的信息。
注释
级别是从下到上累积的,例如增强 包括 基本 和
安全 的所有数据。
提示
有关遥测级别的详细信息,请参阅 Microsoft 文
章 在组织中配置 Windows 遥测(外部链接) 。
不同的
设置/字段
禁止 Cortana
禁止“同步我的设置”
禁用 Windows 提示
Wi-Fi
设置/字段
禁止网络共享
禁止 Wi-Fi 感知(热点自动连接)
禁止手动配置
说明
Cortana 将关闭。
将不能与其他 Windows 设备同步设备设置。
Windows 通知设置向我显示有关 Windows 的提
示将清除且不可用。
说明
Internet 连接共享 (ICS) 将关闭。
设备将不会自动连接到 Wi-Fi 热点。
用户不能在 Sophos Mobile 配置的连接以外配
置 Wi-Fi 连接。
现有用户配置的和 Wi-Fi 感知的 Wi-Fi 配置文
件将被删除。
版权所有 © Sophos Limited 227
Sophos Mobile
连接
设置/字段
禁止蓝牙
安全和隐私
设置/字段
搜索时禁止使用位置
未注册
设置/字段
禁止手动 MDM
说明
蓝牙将关闭。
说明
搜索不能使用位置信息。
说明
用户不能删除工作区帐户。
14.26.3 Exchange 帐户配置(Windows 策略)
使用 Exchange 帐户配置,您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。
重要提示
如果使用多个配置设置 Exchange 电子邮件帐户,设备可能只能检索一个帐户的邮件。如果这些帐
户位于不同的 Exchange 服务器上,且这些服务器上定义了不同的邮箱策略,这通常会发生。因为
Windows 计算机只能使用一种邮箱策略,它们将无法连接到使用不同策略的帐户。
注释
Windows 允许用户拒绝您对 Exchange 配置所做的所有更改。
设置/字段
帐户名称
Exchange 服务器
域
说明
帐户名称。
Exchange 服务器地址。
注释
如果使用 Sophos Mobile EAS 代理,请输入
代理服务器的 URL。
此帐户的域。
228 版权所有 © Sophos Limited
设置/字段
用户
电子邮件地址
密码
同步周期
同步间隔
SSL/TLS
Sophos Mobile
说明
此帐户的用户。
如果您输入变量 %_USERNAME_%,服务器会将其替
换为实际的用户名。
帐户的电子邮件地址。
如果您输入变量 %_EMAILADDRESS_%,服务器会将
其替换为实际的电子邮件地址。
此帐户的密码。
如果将此字段保留为空,用户必须在其设备上输入
密码。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收
件箱中。
电子邮件同步过程之间的时间间隔。
连接 Exchange 服务器受到 SSL 或 TLS 的保护
(取决于服务器支持的类型)。
建议您选中此复选框。
要同步的内容类型。 同步内容类型
14.26.4 Wi-Fi 配置(Windows 策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
自动连接
隐藏网络
安全类型
说明
在此字段中,输入 Wi-Fi 网络的 ID。
将自动建立连接。
目标网络不开放或可见。
从列表中选择安全类型。如果选择 WPA(个人)
或 WPA2(个人),则必须指定密码。
14.26.5 展台模式配置 (Windows 策略)
通过展台模式配置,您可以将 Windows 计算机设置为以展台模式运行。
在展台模式下,只有一个应用 (展台应用) 可以运行。与展台模式关联的用户 (展台用户) 登录时,
将开启展台模式。
版权所有 © Sophos Limited 229
Sophos Mobile
注释
默认情况下,计算机重启后仍然处于展台模式。要修改这种设置,请以展台用户帐户登录计算机,
转到设置 > 帐户 > 登录选项,并关闭更新或重启后,使用我的登录信息自动完成设备设置。
设置/字段
用户帐户
应用 AUMID
说明
与展台模式关联的用户 (展台用户)。
格式:
<计算机名>\<用户名> (本地帐户)
<域>\<用户名> (域帐户)
如果用户名在所有域中都是惟一的,可以省略 <域> 部分。
展台模式开启时启动的应用 (展台应用) 的应用程序用户模型 ID
(Application User Model ID, AUMID)。
有关如何获取 AUMID 值的信息,请参阅 Microsoft 文档 Find the Application User Model ID of an installed app 。
14.26.6 IMAP/POP 配置(Windows 策略)
使用 IMAP/POP 配置,您可以在 Windows 计算机上添加 IMAP 或 POP 电子邮件帐户。
设置/字段
帐户类型
帐户名称
电子邮件地址
用户显示名称
用户名
域
密码
说明
传入电子邮件的邮件服务器类型 (IMAP 或 POP)。
设备上电子邮件帐户的显示名称。
帐户的电子邮件地址。
使用变量 %_EMAILADDRESS_% 来指定分配给设备的用户电
子邮件地址。
传出电子邮件的用户显示名称。
使用变量 %_USERNAME_% 来指定分配给设备的用户名称。
用于连接入站服务器的用户名。
入站服务器凭据的域部分(如果需要)。
用于连接入站服务器的密码(如果需要)。
230 版权所有 © Sophos Limited
设置/字段
传入电子邮件服务器
对传入电子邮件使用 SSL/TLS
传出电子邮件服务器
对传出电子邮件使用 SSL/TLS
传出连接所需的身份验证
同步周期
Sophos Mobile
说明
传入电子邮件服务器(入站服务器)的主机名(或 IP 地
址)和端口号。
格式:服务器名称:端口号
如果使用以下标准端口,则不需要指定端口号:
• 143 (IMAP)
• 993 (IMAP 和 SSL)
• 110 (POP3)
• 995 (POP3 和 SSL)
使用安全套接字层进行传入电子邮件的传输。
外发电子邮件服务器(出站服务器)的主机名或 IP 地
址,以及端口号。
格式:服务器名称:端口号
使用安全套接字层进行外发电子邮件的传输。
出站服务器需要身份验证。
使用与入站服务器相同的凭据,如用户名、域 和 密码 字
段中所指定。
用于同步电子邮件的时间段。
只有指定时间段的电子邮件会同步到托管设备的收件箱
中。
自动电子邮件同步的间隔。 自动同步
14.26.7 Device Guard 配置 (Windows 策略)
通过 Device Guard 配置,您可以在 Windows 计算机上配置基于虚拟化的安全性 (VBS)。
注释
所有设置都会在策略分配后第一次启动 Windows 计算机时应用。
设置/字段
开启基于虚拟化的安全性 (VBS)
说明
开启基于虚拟化的安全性 (VBS)。
版权所有 © Sophos Limited 231
Sophos Mobile
设置/字段
Credential Guard 配置
平台安全级别
说明
•
•
•
关闭: 关闭 Credential Guard。
如果使用开启并锁定 UEFI选项开启
Credential Guard,此选项将不起作用。
开启并锁定 UEFI: 开启 Credential Guard,
并确保它不能远程关闭。
Credential Guard 只能在 BIOS 设置中再次
关闭,并且需要对计算机进行物理访问。
开启但不锁定: 开启 Credential Guard。
Credential Guard 可以使用关闭选项或使用
Windows 组策略再次关闭。
•
•
安全启动: VBS 将开启并提供计算机硬件支持
的尽可能多的保护。
如果计算机没有输入/输出内存管理单元
(IOMMU),VBS 将使用安全启动 UEFI 功能。
如果计算机有 IOMMU,VBS 将使用安全启动和
直接内存访问 (DMA) 保护。
安全启动和 DMA 保护: VBS 将使用安全启动
和直接内存访问 (DMA) 保护。
如果计算机不支持 DMA,将不会开启 VBS。
14.26.8 根证书配置(Windows 策略)
使用根证书配置,您可以在设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书,则必须再次上
传。
232 版权所有 © Sophos Limited
Sophos Mobile
14.26.9 客户端证书配置(Windows 策略)
使用客户端证书配置,您可以在 Windows 计算机上安装客户端证书。
设置/字段
文件
说明
要安装的证书。
您可以上传 PEM 和 PKCS #12 证书。
单击上传文件,然后浏览并找到包含该证书的文件。
提示
或者将文件从文件资源管理器拖动到上传文件区域。
证书名称
目标存储
密钥位置
密钥可导出
容器名称
上传证书文件后,该字段显示证书的 使用者 值。
证书安装位置的证书存储:
用户: 证书供注册到 Sophos Mobile 的用户使用。
设备: 证书供计算机上的所有用户使用。
存储证书私钥的位置:
软件: 密钥存储在基于软件的密钥存储库中。
TPM 或软件: 如果 TPM 可用,则密钥存储在 TPM 中。否则,密
钥存储在基于软件的密钥存储库中。
TPM: 密钥存储在受信任的平台模块 (TPM) 硬件芯片中。如果计
算机没有 TPM 芯片或在 BIOS 中关闭了 TPM,将不安装证书。
Windows Hello for Business: 密钥存储在 Windows Hello for
Business 容器中。
导出证书时,用户还可以导出私钥。
存储证书私钥的 Windows Hello for Business 容器的名称。
14.26.10 SCEP 配置(Windows 策略)
使用 SCEP 配置,您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。
设置/字段
描述
URL
说明
有关配置的说明。
证书颁发机构服务器的 Web 地址。
可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的服务器 URL。
版权所有 © Sophos Limited 233
Sophos Mobile
设置/字段
主题
使用者可选名称
质询
根证书
重试
重试延迟
密钥大小
用于数字签名
用于加密
哈希算法
说明
将接收证书的实体(例如人或设备)的名称。
您可以使用占位符表示用户数据或设备属性。
您输入(占位符替换为实际数据)的值必须是有效
的 X.500 名称。
例如:
• 输入 CN=%_USERNAME_% 指定用户。
• 输入 CN=%_DEVPROP(serial_number)_% 指定 Android
设备。
有关可用占位符的信息,请参阅
(第 91 页).
作为选项,可以配置一个或多个 使用者可选名称
(SAN) 值。
单击添加,然后输入 SAN 类型和 SAN 值。
用于从 SCEP 服务器获取质询密码的 Web 地址。
可以使用变量 %_CACHALLENGE_% 表示在 Sophos
设置页面的 SCEP 选项卡上配置的质询 URL。
CA 证书。
从列表中选择证书。列表包含您已经上传到当前配
置文件的根证书配置中的所有证书。
服务器发送挂起类型的响应时的重试次数。
两次重试之间间隔的秒数。
颁发的证书中的公钥大小。
确保该值与 SCEP 服务器上配置的大小一致。
如果您选中此复选框,公钥将可以用作数字签名。
如果您选中此复选框,公钥将可以用于数据加密。
选择一种或多种 SCEP 服务器支持的哈希算法。
警告
我们建议您不要使用 SHA-1 算法,因为它被
认为是不安全的。
234
14.27 Windows IoT 策略的配置
使用 Windows IoT 策略,您可以配置 Windows IoT 设备的各个方面,如限制或 Wi-Fi 设置。
有关如何创建 Windows IoT 策略的信息,请参阅 创建配置文件或策略
(第 87 页)。
版权所有 © Sophos Limited
Sophos Mobile
14.27.1 限制配置(Windows IoT 策略)
使用限制配置,您可以为设备定义限制。
设备
设置/字段
禁止 SD 卡
禁止开发人员模式
禁止相机
禁用 Edge 自动填充
禁用 Edge 弹出窗口阻止程序
遥测级别
说明
用户不能访问存储卡。不会阻止应用访问存储
卡。
将关闭 Windows 开发人员模式。
将关闭隐私设置允许应用使用我的相机。
Edge Web 浏览器的保存表单项设置将关闭,且
不能由用户开启。
如果清除该复选框,将开启该设置,且不能由用
户关闭。
Edge Web 浏览器的阻止弹出窗口设置将关闭,
且不能由用户开启。
如果清除该复选框,将开启该设置,且不能由用
户关闭。
允许设备发送的 Windows 诊断和使用数据量。
• 全部: 确定和分析问题所需的全部数据。
• 增强: 有关如何使用 Windows 和应用以及它们如何
执行的数据。
• 基本: 对于了解设备及其配置非常重要的数据的一
个有限集合。
• 安全: 使用最新的安全更新保护设备所需的信息。
注释
级别是从下到上累积的,例如增强 包括 基本 和
安全 的所有数据。
提示
有关遥测级别的详细信息,请参阅 Microsoft 文
章 在组织中配置 Windows 遥测(外部链接) 。
版权所有 © Sophos Limited 235
Sophos Mobile
Wi-Fi
设置/字段
禁止网络共享
禁止 Wi-Fi 感知(热点自动连接)
连接
设置/字段
禁止蓝牙
说明
Internet 连接共享 (ICS) 将关闭。
设备将不会自动连接到 Wi-Fi 热点。
说明
蓝牙将关闭。
14.27.2 Wi-Fi 配置(Windows IoT 策略)
使用 Wi-Fi 配置,您可以指定用于连接到 Wi-Fi 网络的设置。
设置/字段
SSID
自动连接
隐藏网络
安全类型
说明
在此字段中,输入 Wi-Fi 网络的 ID。
将自动建立连接。
目标网络不开放或可见。
从列表中选择安全类型。如果选择 WPA(个人)
或 WPA2(个人),则必须指定密码。
14.27.3 根证书配置(Windows IoT 策略)
使用根证书配置,您可以在设备上安装根证书。
中。输入所选证书的密码。
注释
在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书,则必须再次
上传。
236 版权所有 © Sophos Limited
Sophos Mobile
15 任务捆绑包
通过使用任务捆绑包,可以在一次事务中捆绑多个任务。因此,可以捆绑注册和配置设备所必需的所
有任务:
• 注册设备。
• 应用所需的配置文件。
• 应用所需的策略。
• 安装所需的应用(如 iOS 设备的托管应用)。
您还可以在任务捆绑包中包括擦除命令,以自动擦除不相容(例如已越狱或已 root)的设备。有关更
多信息,请参阅
任务捆绑包可用于以下平台:
• Android
• iOS
• macOS
• Windows
15.1 创建任务捆绑包
1. 在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击要为其创建任务捆绑包的平台。
2. 在任务捆绑包页面上,单击创建任务捆绑包。
将显示编辑任务捆绑包页面。
3. 在相应字段中输入新的任务捆绑包的名称,并选择性地输入说明。
当您每次保存任务捆绑包时,版本将自动递增。
4. 可选: 选中对合规性操作可选,以便在设备违反合规性规则时将任务捆绑包传送到设备上。请参
(第 31 页)。
注释
编辑现有的任务捆绑包并且该任务捆绑包已用于合规性操作时,此选项将禁用。
5. 可选: 对于 iOS 任务捆绑包,如果选择忽略应用安装失败,即使在应用安装失败时也可以继续处
理任务捆绑包。
如果任务捆绑包不包含安装应用任务,此选项将禁用。
6. 单击创建任务。
7. 选择任务类型并单击下一步。
下一个视图取决于选择的任务类型。在每个视图中,可以指定对您个人有意义的任务名称。这些任
务名称将在安装过程中显示在自助服务门户上。
8. 按向导步骤添加所需的任务,并单击应用创建任务。
9. 可选: 在任务捆绑包中添加其他任务。
注释
不能混合 Android 和 Android enterprise 任务。
版权所有 © Sophos Limited 237
Sophos Mobile
238
提示
可以使用任务列表右侧的排序箭头,更改任务的安装顺序。
10. 将所有需要的任务添加到任务捆绑包后,单击编辑任务捆绑包页面上的保存。
任务捆绑包可以进行传输。它将显示在任务捆绑包页面上。
注释
在自助服务门户设置中编辑用作初始包的现有任务捆绑包时,不能删除注册任务。请参阅 配置自助
(第 26 页)。
相关概念
(第 238 页)
(第 241 页)
(第 243 页)
(第 244 页)
15.2 可用的 Android 任务类型
以下任务类型可用于 Android 任务捆绑包:
注册
当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件。用户必须执行该邮件
中描述的步骤,才能注册其设备。
当该任务传递到已经注册的设备时,将跳过该任务。
注册 Sophos 容器
当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件。用户必须执行该邮件
中描述的步骤,才能注册其设备。
当该任务传递到已经注册的设备时,将跳过该任务。
安装配置文件或分配策略
选择配置文件或策略。有关如何将配置文件或策略添加到此列表的信息,请参阅 配置文件和策略
(第
86 页)。
当任务传递到设备时,将静默地安装配置文件,或静默地分配策略。
卸载配置文件
在选择源下选择配置文件,然后从列表中选择配置文件。
除 Sophos Mobile 服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件。
版权所有 © Sophos Limited
Sophos Mobile
还可以卸载未包含在该列表中的配置文件。选择标识符,然后输入要从设备上卸载的配置文件的标识
符。
当任务传递到设备时,将静默地卸载该配置文件。
注释
不能从设备直接卸载 Sophos 容器策略或 Mobile Security 策略。相反,使用设备操作取消
Sophos 容器注册或取消 SMSec 注册。这将同时从设备删除相关的策略。
安装应用
从可用应用的列表中选择应用。有关如何将应用添加到此列表的信息,请参阅 添加应用
(第 247
页)。
当任务传递到设备时,用户将会在其设备上收到通知,告知 Sophos Mobile 要安装应用。用户可以点
击确定启动该进程,或点击现在不行,以便过段时间后再收到通知。
如果用户点击确定,然后又在随后的 Android 对话框中点击取消,任务将失败。
如果该应用已经安装在收到任务的设备上,它将会更新。
安装托管的 Google Play 应用
如果您为客户配置了 Android enterprise,此任务类型将可用。
从您为您的组织批准的托管 Google Play 应用列表中选择应用。有关如何将应用添加到此列表的信
息,请参阅
(第 281 页)。
安装任务将发送到 Google 服务。然后,Google 将管理在设备上安装该应用。在任务视图页面上,任
务将在其发送到 Google 后显示为成功状态。
您也可以从批准的应用页面安装应用。请参阅 安装托管的 Google Play 应用 (第 283 页)。
有关如何从设备卸载应用的信息,请参阅 卸载托管的 Google Play 应用 (第 283 页)。
卸载应用
在选择源下选择应用,从可用应用的列表中选择应用。
除 Sophos Mobile 服务器上可用的应用外,该列表还包括托管设备上正在使用的应用 - 除 Android
系统应用和设备制造商已经预先安装的应用外。
还可以卸载未包含在该列表中的应用。选择标识符,然后输入要从设备上卸载的应用的程序包名称。
如果选择 Knox 容器应用,该应用将从 Samsung Knox 容器中卸载。
当任务传递到设备时,用户将会在其设备上收到通知,告知 Sophos Mobile 要卸载应用。用户可以点
击确定启动该进程,或点击现在不行,以便过段时间后再收到通知。
如果用户点击确定,然后又在随后的 Android 对话框中点击取消,任务将失败。
如果该应用未安装在收到任务的设备上,将不会显示通知。
发送消息
输入要在设备上显示的纯文本。
版权所有 © Sophos Limited 239
Sophos Mobile
当任务传递到设备时,将在通知窗口中显示消息文本。用户可以在 Sophos Mobile Control 应用中显
示过去的消息。
取消注册
当任务传递到设备时,设备将从 Sophos Mobile 取消注册。请参阅
备用户不需要确认该操作。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
擦除
当任务传递到设备时,设备将重置为出厂设置。设备用户不需要确认该操作。
重要提示
请小心使用此任务类型。将删除收到该任务的设备上的所有数据,无需用户确认。
注释
当擦除任务以配置文件所有者模式传递到 Android 企业设备时,将只删除工作配置文件和所有托
管的 Google Play 应用。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
Knox 容器: 锁定
当任务传递到支持 Samsung Knox 的 Samsung 设备时,将锁定 Knox 容器。
Knox 容器: 解除锁定
当任务传递到支持 Samsung Knox 的 Samsung 设备时,将解锁 Knox 容器。
Knox 容器: 重置密码
当任务传递到支持 Samsung Knox 的 Samsung 设备时,将重置 Knox 容器密码。用户必须设置新的密
码才能解锁 Knox 容器。
Knox 容器:移除
当该任务传递到支持 Samsung Knox 的 Samsung 设备时,将删除 Knox 容器(包括与容器相关的所有
配置)。
触发 SMSec 扫描
当任务传递到设备时,将静默地触发 Sophos Mobile Security 应用,执行针对恶意软件和可能不需
要的应用 (PUA) 的扫描。
240 版权所有 © Sophos Limited
Sophos Mobile
此任务要求 Sophos Mobile Security 通过 Sophos Mobile 进行管理,也就是说,Mobile Security
策略将分配给设备。请参阅
(第 296 页)。
如果在收到该任务的设备上,Sophos Mobile Security 不是通过 Sophos Mobile 进行管理的 (也就
是说,如果 Mobile Security 策略未分配给该设备),该任务将保持将重试状态。
15.3 可用的 iOS 任务类型
以下任务类型可用于 iOS 任务捆绑包:
注册
当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件。用户必须执行该邮件
中描述的步骤,才能注册其设备。
当该任务传递到已经注册的设备时,将跳过该任务。
注册 Sophos 容器
当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件。用户必须执行该邮件
中描述的步骤,才能注册其设备。
当该任务传递到已经注册的设备时,将跳过该任务。
安装配置文件或分配策略
选择配置文件或策略。有关如何将配置文件或策略添加到此列表的信息,请参阅 配置文件和策略
(第
86 页)。
当任务传递到设备时,将静默地安装配置文件,或静默地分配策略。
卸载配置文件
在选择源下选择配置文件,然后从列表中选择配置文件。
除 Sophos Mobile 服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件。
还可以卸载未包含在该列表中的配置文件。选择标识符,然后输入要从设备上卸载的配置文件的标识
符。
当任务传递到设备时,将静默地卸载该配置文件。
注释
不能从设备直接卸载 Sophos 容器策略。相反,使用设备操作取消 Sophos 容器注册。这将同时从
设备删除相关的策略。
安装设置配置文件
从可用配置文件的列表中选择应用设置配置文件。有关如何将配置文件添加到此列表的信息,请参
阅
(第 89 页)。
版权所有 © Sophos Limited 241
Sophos Mobile
当任务传递到设备时,将静默地安装该设置配置文件。
卸载设置配置文件
在选择源下选择配置文件,然后从列表中选择设置配置文件。
除 Sophos Mobile 服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件。
还可以删除未包含在该列表中的设置配置文件。选择标识符,然后输入要从设备上删除的配置文件的
标识符。
当任务传递到设备时,将静默地删除该设置配置文件。
重新配置 SMC 应用
当任务传递到设备时,用户将被要求扫描 QR 码或手动输入配置详细信息。这将先前卸载的 Sophos
Mobile Control 应用重新连接到服务器。
注释
该任务之前应该有一个 Sophos Mobile Control 应用的 安装应用 任务。
安装应用
从可用应用的列表中选择应用。有关如何将应用添加到此列表的信息,请参阅 添加应用
(第 247
页)。
当任务传递到设备时,用户将会在其设备上收到通知,告知 Sophos Mobile 要安装应用。用户可以点
击安装启动该进程,或点击取消拒绝该安装。
如果用户拒绝安装,任务将失败。
如果该应用已经安装在收到任务的设备上,它将会更新。
卸载应用
在选择源下选择应用,从可用应用的列表中选择应用。
除 Sophos Mobile 服务器上可用的应用外,该列表还包括托管设备上正在使用的应用 - 除 iOS 系统
应用外。
还可以卸载未包含在该列表中的应用。选择标识符,然后输入要从设备上卸载的应用的捆绑 ID。
当任务传递到设备时,将静默地卸载该应用。
安装最新的 iOS 更新
当任务传递到设备时,会安装最新的 iOS 软件更新。根据 iOS 设备型号,可能会安装不同的更新。
您可以更新以下设备类型的 iOS 软件:
• 受监督的设备
• 受监督的 Apple DEP 设备
对于其他设备,任务将失败。
242 版权所有 © Sophos Limited
Sophos Mobile
发送消息
输入要在设备上显示的纯文本。
当任务传递到设备时,将在通知窗口中显示消息文本。用户可以在 Sophos Mobile Control 应用中显
示过去的消息。
取消注册
当任务传递到设备时,设备将从 Sophos Mobile 取消注册。请参阅
备用户不需要确认该操作。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
擦除
当任务传递到设备时,设备将重置为出厂设置。设备用户不需要确认该操作。
重要提示
请小心使用此任务类型。将删除收到该任务的设备上的所有数据,无需用户确认。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
15.4 可用的 macOS 任务类型
以下任务类型可用于 macOS 任务捆绑包。
注册
当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件。用户必须执行该邮件
中描述的步骤,才能注册其设备。
当该任务传递到已经注册的设备时,将跳过该任务。
分配设备策略
从可用的 macOS 设备策略列表中选择策略。有关如何将策略添加到此列表的信息,请参阅
当任务传递到设备时,该策略将静默地分配给设备。如果已经分配了设备策略,将被替换。
分配用户策略
从可用的 macOS 用户策略列表中选择策略。有关如何将策略添加到此列表的信息,请参阅
当任务传递到设备时,该策略将静默地分配给设备。如果已经分配了用户策略,将被替换。
版权所有 © Sophos Limited 243
Sophos Mobile
用户策略将在用户下次登录到 Mac 设备时应用到用户。
安装应用
从可用应用的列表中选择应用。有关如何将应用添加到此列表的信息,请参阅 添加应用
(第 247
页)。
当该任务传递到设备时,将静默地安装应用。
PKG 软件包文件可能包含多个应用。在这种情况下,将安装所有应用。
注释
成功任务状态意味着设备已经开始下载应用。要验证应用是否已安装成功,请同步设备,并检查设
备详细信息页面上已安装的应用列表。
取消 VPP 应用分配
从可用的 macOS VPP 应用的列表中选择应用。
当该任务传递到设备时,已经分配有 VPP 许可证的设备中将删除该许可证。
用户可以继续使用该应用 30 天。
取消注册
当任务传递到设备时,设备将从 Sophos Mobile 取消注册。请参阅
备用户不需要确认该操作。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
擦除
设置 6 位系统锁定 PIN 码。
当该任务传递到 Mac 设备时,它将重新启动,然后开始擦除磁盘。用户必须在 Mac 设备上输入系统
锁定 PIN 码才能将其解锁。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
重要提示
请小心使用此任务类型。将删除收到该任务的设备上的所有数据,无需用户确认。
提示
在 Sophos Mobile Admin 中,macOS 系统锁定 PIN 码将显示在设备属性 > 解锁密码下的设备页面
上,以及锁定 PIN 码下的任务详细信息页面上。
15.5 可用的 Windows 任务类型
以下任务类型可用于 Windows 任务捆绑包:
244 版权所有 © Sophos Limited
Sophos Mobile
注册
当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件。用户必须执行该邮件
中描述的步骤,才能注册其设备。
当该任务传递到已经注册的设备时,将跳过该任务。
分配策略
从可用的设备策略列表中选择策略。有关如何将策略添加到此列表的信息,请参阅 配置文件和策略
(第 86 页)。
当任务传递到设备时,该策略将静默地分配给设备。如果已经分配了设备策略,将被替换。
安装应用
从可用应用的列表中选择应用。有关如何将应用添加到此列表的信息,请参阅 添加应用
(第 247
页)。
当任务传递到设备时,将静默地安装该应用。
如果该应用已经安装在收到任务的设备上,它将会更新。
卸载应用
从可用应用的列表中选择应用。
列表包括您已经在 Sophos Mobile 服务器上配置的应用,以及安装在任意托管 Windows 计算机上的
应用(Windows 系统应用除外)。
当任务传递到设备时,将静默地卸载选定的应用。
注释
您只能卸载已经由 Sophos Mobile 安装的应用。如果您试图卸载用户安装的应用,任务将失败。
取消注册
当任务传递到设备时,设备将从 Sophos Mobile 取消注册。请参阅
备用户不需要确认该操作。
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
擦除
当任务传递到设备时,设备将重置为出厂设置。设备用户不需要确认该操作。
重要提示
请小心使用此任务类型。将删除收到该任务的设备上的所有数据,无需用户确认。
版权所有 © Sophos Limited 245
Sophos Mobile
不能将 取消注册 任务和 擦除 任务添加到同一任务捆绑包。
15.6 复制任务捆绑包
由于创建任务捆绑包可能很耗时,因此可以复制已经完成的任务捆绑包。如果需要多个带有相似任务
的任务捆绑包,此功能很有用。只要删除或添加几个任务即可。
注释
只能复制不是正在编辑的任务捆绑包。副本以“副本”加上原捆绑包的名称命名。可以根据您的需
求重命名捆绑包。
1. 在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击 Android 或 iOS。
会出现 任务捆绑包 页面。
2. 单击要复制的任务捆绑包旁边的蓝色三角形,然后单击复制。
任务捆绑包将复制,并显示在任务捆绑包页面上。单击复制的任务捆绑包可以对它进行编辑。
15.7 将任务捆绑包传输至个人设备或设备组
1. 在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击 Android 或 iOS。
会出现 任务捆绑包 页面。
2. 单击所需任务旁边的蓝色三角形,然后单击传输。
将显示选择设备页面。
3. 在此页面上,可以:
• 选择要将任务捆绑包传输到的个人设备。
• 单击选择设备组,打开选择设备组页面,并选择一个或多个用于传输任务捆绑包的设备组。
4. 完成选择后,单击下一步。
将显示设置执行日期页面。
5. 在计划日期下,选择立即或为此任务的执行指定日期和时间。
6. 单击完成。
将显示任务视图页面。
任务捆绑包将在指定的日期和时间传输到所选的设备。
246 版权所有 © Sophos Limited
Sophos Mobile
16 应用程序
您可以对应用进行配置,使其可以在 Sophos Mobile Admin(管理员启动的)或 Sophos Mobile
Control 应用(用户启动)中进行安装。
应用管理可用于以下平台:
• Android
• iOS
• macOS
• Windows
• Windows Mobile
要在 Sophos Mobile 中提供应用,可以执行以下任一操作:
• 将应用包上传至 Sophos Mobile 服务器。此选项对 Windows Mobile 应用或 Sophos Mobile 只管
理 Sophos 容器的设备不可用。
• 提供该应用在相关应用商店中链接。
(第 247 页)。
要在设备上安装应用,请创建一个包含安装应用任务的任务捆绑包。对于 Android 和 iOS 设备,可
以直接从应用页面创建此类任务捆绑包。请参阅
注释
要安装存储在 Sophos Mobile 服务器上的应用包 (对比从应用商店安装),必须满足以下条件︰
• 对于 Android,必须在设备上启用 Android 的安全设置未知来源。如果在未知来源禁用的情况
下尝试安装 APK 文件,Sophos Mobile Control 应用将转到可以启用该设置的页面。此限制不
适用于使用 LG GATE、Samsung Knox 或 Sony Enterprise API 的设备。
• 对于 iOS,从 IPA 文件安装应用只适用于自行开发的应用。准备好分发应用时,必须为该应用
创建一个设置配置文件并使其在设备上可用,可以事先分别安装或包括在应用的 IPA 文件中。
可以使用 Sophos Mobile 将设置配置文件分发给您的 iOS 设备。请参阅
配置文件 (第 89 页)。有关设置配置文件的详细信息,请参阅 iOS 开发库。
16.1 添加应用
可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装。
1. 在侧边的菜单栏中,单击配置下的应用程序,然后选择要为其添加应用的平台。
2. 单击添加应用,然后选择所需的选项:
• Android 链接:通过在 Google Play 中进行链接,添加 Android 应用。
• Android 软件包:通过将 APK 文件上传到 Sophos Mobile 添加 Android 应用。
• iOS 链接:通过在 App Store 中进行链接,添加 iOS 应用。
• iOS 软件包:通过将 IPA 文件上传到 Sophos Mobile 添加 iOS 企业应用。
• macOS 软件包: 通过将 PKG 文件上传到 Sophos Mobile 添加 macOS 企业应用。
• Windows Mobile 链接: 通过在 Microsoft 商店中进行链接,添加 Windows Mobile 应用。
版权所有 © Sophos Limited 247
Sophos Mobile
• Windows MSI 链接: 通过链接到其 MSI 安装文件,添加 Windows 应用。
• Microsoft 商店链接: 通过在 Microsoft 商店中进行链接,添加 Windows 应用。
3. 对于 iOS 和 macOS VPP 应用,单击导入 VPP 应用加载您通过 Apple 大量购买方案 (VPP) 购买的
应用的列表。请参阅 管理 Apple VPP 应用 (第 258 页)。
4. 根据要求配置应用设置。
5. 请单击保存,保存应用设置并返回应用页面。
应用可用于安装。它将显示在应用页面上。如果已经配置了可用于设备组字段,应用还将显示在 Sophos
Mobile Control 应用的企业应用商店中,用户可以在这里安装应用。安装过程可无人参与或需要极少用
户互动。
注释
在 Sophos Mobile 只管理 Sophos 容器的设备上,您通过上传 APK 文件 (对于 Android 应用) 或
IPA 文件 (对于 iOS 应用) 添加的应用将不可用。
相关参考
(第 255 页)
16.2 安装应用
注释
本节内容不适用于 Android 企业。要安装 Android 企业应用,请参阅 安装托管的 Google Play 应
(第 283 页)。
注释
本节内容不适用于 Sophos Mobile 仅管理 Sophos 容器的设备。
(第 247 页)中所述将应用添加到 Sophos Mobile 后,即可在选定的设备或设备组上手
动安装该应用。
1. 在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其安装应用的平台。
2. 在应用页面上,单击所需应用旁边的蓝色三角形,然后单击安装。
3. 选择要安装该应用的设备。执行以下任一操作:
• 选择单个设备。
• 单击选择设备组,然后选择一个或多个设备组。
准备就绪后,单击下一步。
4. 在设置执行日期页面上,设置安装该应用的日期:
• 选择现在立即执行。
• 选择日期,然后输入一个计划执行的日期和时间。
5. 单击完成。
选定的应用将在指定的日期安装在所选的设备上。
248 版权所有 © Sophos Limited
Sophos Mobile
注释
在以下设备上,应用会静默安装,即无需与用户交互:
• 受监督的 iOS 设备
• Android 企业设备
• 具有 Samsung Knox Standard SDK 5.1 或更高版本的 Android 设备
• 具有 LG GATE 的 Android 设备
• 具有 Sony Enterprise API 版本 8 或更高版本的 Android 设备
• Macs
• Windows 计算机(如果您已经为应用配置了 /quiet 安装选项)。
对于上面所列的 Samsung、LG 和 Sony 设备,只有 APK 文件会静默安装,来自 Google Play 的应
用不会。
提示
您可以在任务视图页面上显示安装任务状态。
提示
您还可以使用以下任一选项安装应用:
• 要在单个设备上安装应用:在设备的 显示设备 页面上,选择 已安装的应用 选项卡并单击 安
装应用。
• 要在多个设备上安装应用:在 设备 页面上,选择所需设备,然后单击 操作 > 安装应用。
• 要在一个或多个设备上作为任务捆绑包的一部分安装应用:将 安装应用 任务添加到任务捆绑包
并将其传输到所需的设备或设备组。
16.3 卸载应用
注释
本节内容不适用于 Android 企业。要卸载 Android 企业应用,请参阅 卸载托管的 Google Play 应
(第 283 页)。
注释
本节内容不适用于 Sophos Mobile 仅管理 Sophos 容器的设备。
(第 247 页)中所述将应用添加到 Sophos Mobile 后,即可从选定的设备或设备组上手
动卸载该应用。
1. 在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其卸载应用的平台。
2. 在应用页面上,单击卸载。
3. 选择要卸载应用的设备。执行以下任一操作:
• 选择单个设备。
• 单击选择设备组,然后选择一个或多个设备组。
准备就绪后,单击下一步。
版权所有 © Sophos Limited 249
Sophos Mobile
4. 在选择应用页面上,选择所需的应用。
5. 在设置执行日期页面上,设置卸载该应用的日期:
• 选择现在立即执行。
• 选择日期,然后输入一个计划执行的日期和时间。
6. 单击完成。
选定的应用将在指定的日期从所选设备上卸载。
注释
在以下设备上,应用将静默地卸载,即无需用户交互:
• 受监督的 iOS 设备上的托管应用
• Windows 计算机(如果您已经为应用配置了 /quiet 安装选项)。
提示
另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项
卡,然后单击应用名称旁边的垃圾桶图标。
16.4 应用设置 (Android)
一般设置
设置/字段
名称
版本
应用 ID 已存在。
应用程序类别
可用于设备组
说明
应用的名称。
在企业应用商店中显示的版本。
对于应用链接,Sophos Mobile 使用来自
Google Play 的版本。
该应用的内部标识符。
对于应用链接,请单击获取数据获取 Google
Play 提供的值。
对于应用包,Sophos Mobile 将从 APK 文件获
取值。
类别名称,例如 Productivity。
在企业应用商店中提供该应用时,该应用将在某
个部分以该名称列出。
您可以在企业应用商店中提供该应用,以便用户
可以启动它的安装。单击显示,并选择一个或多
个设备组,使该应用可以在企业应用商店中对它
们列出。
250 版权所有 © Sophos Limited
设置/字段
描述
在 Knox 容器中安装
应用链接的设置
设置/字段
链接
应用包的设置
设置/字段
上传文件
相关任务
Sophos Mobile
说明
应用说明显示在企业应用商店中。
您可以在描述文本中的任何地方使用占位符
%_appstoretext_%。在企业应用商店中,它将替
换为 Google Play 中的实际应用描述。
对于 Samsung Knox 设备,应用将安装在 Knox
容器内。
此设置仅在配置了 Samsung Knox 许可证后才可
用。
说明
应用在 Google Play 中的 URL。
为确定 URL,请单击转到 Google Play,在新
的浏览器选项卡中打开 Google Play,并导航至
该应用的页面。然后从选项卡的地址栏中复制
URL,并将其粘贴到链接字段。
当您输入 URL 后,单击获取数据可自动填充应
用 ID 已存在。字段。
说明
单击上传文件将应用上传到 Sophos Mobile 服
务器。浏览并找到 APK 文件,然后单击打开。
提示
或者将文件从文件资源管理器拖动到上传文
件区域。
版权所有 © Sophos Limited 251
Sophos Mobile
16.5 应用设置 (iOS)
一般设置
设置/字段
名称
版本
应用 ID 已存在。
应用程序类别
可用于设备组
Sophos Mobile托管安装
描述
说明
应用的名称。
对于 Apple VPP 应用,此字段为只读。
在企业应用商店中显示的版本。
对于应用链接,Sophos Mobile 使用来自 App
Store 的版本。
对于 Apple VPP 应用,此字段为只读。
该应用的内部标识符。
Sophos Mobile 从 App Store 或 IPA 文件获取
此设置。
对于 Apple VPP 应用,此字段为只读。
类别名称,例如 Productivity。
在企业应用商店中提供该应用时,该应用将在某
个部分以该名称列出。
您可以在企业应用商店中提供该应用,以便用户
可以启动它的安装。单击显示,并选择一个或多
个设备组,使该应用可以在企业应用商店中对它
们列出。
应用将作为托管应用进行安装。请参阅
(第 258 页)。
此设置仅影响用户从企业应用商店安装的应用。
您通过 Sophos Mobile Admin安装的应用始终是
托管的。
应用说明显示在企业应用商店中。
您可以在描述文本中的任何地方使用占位符
%_appstoretext_%。在企业应用商店中,它将替
换为 App Store 中的实际应用描述。
252 版权所有 © Sophos Limited
应用链接的设置
设置/字段
在 App Store 中搜索
链接
设置和 VPN
VPP 许可证
应用包的设置
设置/字段
上传文件
相关任务
版权所有 © Sophos Limited
Sophos Mobile
说明
单击在 App Store 中搜索在 App Store 数据库
中搜索应用。
当您在搜索结果列表中选择一个应用时,以下字
段将自动填充:
• 应用 ID 已存在。
• 应用程序类别
• 链接
该应用在 App Store 中的 URL。
为确定 URL,请单击获取链接,在新的浏览器
选项卡中打开 iTunes Link Maker。在 Link
Maker 中浏览并找到该应用,然后将直接链接下
显示的 URL 复制到 Sophos Mobile Admin 中
的链接字段。
对于 Apple VPP 应用,此字段为只读。
单击显示配置应用启动时使用的 VPN 连接,或
配置自定义应用设置。
单击显示将应用手动分配给用户或设备。请参
说明
单击上传文件将应用上传到 Sophos Mobile 服
务器。浏览并找到 IPA 文件,然后单击打开。
提示
或者将文件从文件资源管理器拖动到上传文
件区域。
253
Sophos Mobile
16.6 应用设置 (macOS)
一般设置
设置/字段
名称
版本
应用 ID 已存在。
应用程序类别
描述
说明
应用的名称。
对于应用包,Sophos Mobile 将从 PKG 文件获
取值。
对于 Apple VPP 应用,此字段为只读。
App Store 中的应用版本。
对于应用包,Sophos Mobile 将从 PKG 文件获
取值。
对于 Apple VPP 应用,此字段为只读。
该应用的内部标识符。
对于应用包,Sophos Mobile 将从 PKG 文件获
取值。
对于 Apple VPP 应用,此字段为只读。
类别名称,例如 Productivity。
该值当前未使用。
应用的描述。
该值当前未使用。
VPP 应用链接的设置
设置/字段
链接
VPP 许可证
说明
该应用在 App Store 中的 URL。
对于 Apple VPP 应用,此字段为只读。
单击显示将应用手动分配给用户或设备。请参
254 版权所有 © Sophos Limited
Sophos Mobile
应用包的设置
设置/字段
上传文件
说明
单击上传文件将应用上传到 Sophos Mobile 服
务器。浏览并找到 PKG 文件,然后单击打开。
注释
PKG 软件包文件可能包含多个应用。在这种情况下,将只显示一个应用的名称、版本和标识符。
16.7 应用设置 (Windows Mobile)
设置/字段
名称
版本
应用程序类别
描述
可用于设备组
链接
说明
应用的名称。
应用版本。
Sophos Mobile 使用来自 Microsoft 商店的版
本。
类别名称,例如 Productivity。
在企业应用商店中提供该应用时,该应用将在某
个部分以该名称列出。
应用说明显示在企业应用商店中。
您可以在描述文本中的任何地方使用占位符
%_appstoretext_%。在企业应用商店中,它将替
换为 Microsoft 商店中的实际应用描述。
您可以在企业应用商店中提供该应用,以便用户
可以启动它的安装。单击显示,并选择一个或多
个设备组,使该应用可以在企业应用商店中对它
们列出。
该应用在 Microsoft 应用商店中的 URL。
为确定 URL,请单击转到 Microsoft 商店,
在新的浏览器选项卡中打开 Microsoft 商店,
找到 Windows Phone 应用并导航至该应用的页
面。然后从选项卡的地址栏中复制 URL,并将其
粘贴到链接字段。
相关任务
版权所有 © Sophos Limited 255
Sophos Mobile
16.8 应用设置 (Windows)
一般设置
设置/字段
名称
版本
应用程序类别
描述
说明
应用的名称。
应用版本。
对于应用链接,Sophos Mobile 使用来自
Microsoft Store 的版本。
类别名称,例如 Productivity。
应用的描述。
MSI 链接的设置
设置/字段
产品代码 GUID
说明
MSI 文件的 ProductCode GUID。
注释
如果您输入错误的 GUID 值,应用将不能卸载。
链接
SHA-256 文件哈希
MSI 文件的 URL。
MSI 文件的 SHA-256 哈希值。
注释
如果您输入错误的哈希值,应用将不能安装。
安装选项 可执行的 msiexec.exe 安装程序的命令行选
项。
使用默认选项 /quit 安装该应用不需要用户进
行交互。
有关这些设置的详细信息,请参阅 确定 Windows MSI 链接的设置 (第 257 页)。
256 版权所有 © Sophos Limited
Sophos Mobile
Microsoft 商店链接的设置
设置/字段
商店 ID
SKU ID
包系列名称
链接
说明
应用在 Microsoft 商店中的商店 ID。当您单
击获取数据时,该值将自动输入。
应用在 Microsoft 商店目录中的 SKU ID (库存
单位 ID)。
应用可能因为完整版或试用版,或因为不同的市
场区域而有不同的 SKU ID。
如果您不知道应用的 SKU ID,请使用默认值
0010。
应用的包系列名称 (PFN)。
当您单击获取数据时,该值将自动输入。
该应用在 Microsoft 应用商店中的 URL。
为确定 URL,请单击转到 Microsoft 商店,在
新的浏览器选项卡中打开 Microsoft 商店,找
到 Windows 应用并导航至该应用的页面。然后
从选项卡的地址栏中复制 URL,并将其粘贴到链
接字段。
当您输入 URL 后,单击获取数据可自动填充以
下字段:
• 产品 ID
• 包系列名称
相关任务
16.9 确定 Windows MSI 链接的设置
本节介绍如何确定 Windows MSI 链接的应用设置。
• 产品代码 GUID
—如果您已经安装了 Microsoft Windows SDK,请使用包括的 Orca 程序获取 MSI
文件的 ProductCode 值。要查看示例,请参阅网页 使用 Orca 查找 MSI 文件 GUID 产品代码 。
或使用 PowerShell 脚本。此类脚本可以在 Internet 上找到,例如在网页 如何通过 PowerShell
获取 MSI 文件信息 上。
注释
您输入 产品代码 GUID 字段的值不得包含括号。
版权所有 © Sophos Limited 257
Sophos Mobile
• SHA-256 文件哈希
—
使用 Get-FileHash PowerShell 命令获取 MSI 文件的 SHA-256 哈希值:
PS> Get-FileHash <path-to-MSI-file>
有关 Get-FileHash 命令的详细信息,请参阅 Microsoft 网页 Get-FileHash 。
• 安装选项
—
有关安装 MSI 文件可用的命令行选项的信息,请参阅 Microsoft 网页 标准安装程序命
令行选项 。
相关参考
16.10 iOS 的托管应用
对于您添加到 Sophos Mobile 的 iOS 应用,您可以选择将该应用以托管或非托管方式安装在用户的
设备上。
托管应用具有以下特点:
• 当用户在企业应用商店中选择托管应用时,安装任务将在 Sophos Mobile 中创建和处理。相反,当
用户选择非托管应用时,他们将跳转到 Apple App Store 并在这里安装该应用。
• 您可以在 Sophos Mobile Admin 中卸载托管应用。不能对非托管应用执行此操作。
• 在受监管的 iOS 设备上,托管应用的安装和卸载都是静默执行的,无需用户干预。
• iOS 设备配置文件中的某些设置仅适用于托管应用。
• iOS 设备从 Sophos Mobile 取消注册时,所有托管应用将从设备上自动卸载。非托管应用将保留在
设备上。
以下规则确定应用是以托管还是非托管方式安装的:
• 您通过 Sophos Mobile Admin安装的应用始终是托管的。
• 用户通过 App Store 安装的应用始终是非托管的。
•
(第 247 页)中所述,如果您在应用属性中激活了 SMC 托管安装,用户通过企业应用
商店安装的应用将是托管的。
要检查设备上的应用状态,请打开该设备的显示设备页面,并转到安装的应用选项卡。请参阅 “显示
提示
如果用户安装了非托管应用,您可以将其转换为托管应用。为此,在 Sophos Mobile 中将该应用配
置为托管应用,然后为它创建安装任务。因为该应用已安装,它不会再次安装,但其状态会从非托
管更改为托管。
16.11 管理 Apple VPP 应用
您可以使用 Apple 大量购买方案 (VPP) 购买 iOS 和 macOS 应用许可证。然后您可以在您的组织中
分发这些许可证。
订单完成后,您可以下载服务令牌 (sToken)。其中包含所购买应用的许可证。
258 版权所有 © Sophos Limited
Sophos Mobile
将 VPP 应用分配给用户或设备
对于 iOS,您可以选择将 VPP 应用分配给用户或设备。对于 macOS,您将 VPP 应用分配给设备:
• 当您将 iOS VPP 应用分配给用户后,他们将可以把它安装到所有注册到 Sophos Mobile 并连接到
其 Apple ID 的 iPhone 和 iPad 上。
• 当您将 iOS VPP 应用分配给设备后,不需要将其与 Apple ID 关联。
• 当您将 macOS VPP 应用分配给 Mac 设备后,所有登录该 Mac 设备的用户都可以使用它。
请参阅 手动分配 VPP 应用 (第 262 页)和 自动分配 VPP 应用
(第 262 页)。
邀请用户加入 Apple VPP
您必须先邀请用户加入 VPP,然后才能向他们分配 VPP 应用。请参阅
260 页)。
不需要邀请设备加入 VPP。
安装 VPP 应用
您在 Sophos Mobile Admin 中安装 VPP 应用,和安装其他应用一样。请参阅 安装应用
(第 248
页)。
用户可以从 App Store 应用中的已购买应用列表中安装 iOS VPP 应用。macOS VPP 应用则不行。
取消 VPP 应用分配
您可以通过以下方式取消 VPP 应用的分配:
• 在应用的详细信息页面上取消选择所需的用户或设备。
• iOS 应用:在用户的详细信息页面上取消选择该应用。
• macOS 应用:将带有取消 VPP 应用分配任务的任务捆绑包传输到设备。
VPP 许可证在以下情况下将自动释放:
• 应用从设备上卸载。
• 设备从 Sophos Mobile 取消注册。
提示
您取消 VPP 应用的分配后,用户可以继续使用 30 天。
16.11.1 设置 Apple VPP
要设置 Apple VPP,请将您的 Apple VPP 帐户的 sToken (服务令牌) 上传到 Sophos Mobile,并配置
应用分配设置。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 Apple VPP 选项卡。
2. 单击 Apple iTunes VPP 门户链接。
将在新的浏览器窗口中打开 Apple VPP Web 门户。
版权所有 © Sophos Limited 259
Sophos Mobile
3. 在该页面上,选择业务。
4. 在企业商店登录对话框中,输入您的 Apple ID 和密码。
5. 转到帐户摘要页面,并单击下载令牌。
将使用您的 Web 浏览器下载设置生成 sToken,并以 .vpptoken 为扩展名在您的本地计算机上保存
为文本文件。
6. 可选: 将 sToken 文件移动到一个您可以通过 Sophos Mobile Admin访问的位置。
7. 回到 Sophos Mobile Admin 的 Apple VPP 选项卡,单击上传文件,选择 sToken 文件,然后单
击打开。
Sophos Mobile 将读入该文件,并用 sToken 的详细信息填充组织和到期日期字段。
8. 在在安装时自动分配 VPP 应用中,配置 VPP 应用的自动分配。请参阅 自动分配 VPP 应用 (第
262 页)。
9. 可选: 选中自动更新分配给设备的 iOS VPP 应用,在 VPP 应用有更新时通知用户。这适用于分配
给 iPhone 或 iPad 的 VPP 应用。
对于分配给用户的 VPP 应用,用户必须在 App Store 中检查是否有更新。
10. 可选: 填写 Apple VPP 选项卡的其余字段。
在国家字段中,输入您的两字母国家代码,例如 US 代表美国。
11. 单击保存。
16.11.2 邀请用户加入 Apple VPP
您需要先设置 sToken,然后才能邀请用户加入 Apple 批量购买计划 (VPP)。请参阅
(第 259 页)。
1. 在侧边的菜单栏中,单击管理下的人员。
2. 在人员页面上,可以邀请所有用户或单个用户加入 Apple VPP:
• 要邀请所有用户︰ a) 单击人员页面顶部的邀请用户加入 Apple VPP。 b) 在确认对话框中单击是。
• 要邀请单个用户︰ a) 单击所需的用户。 b) 在下一页面上,单击邀请用户加入 VPP。 c) 在确认对话框中单击是。
• 要在使用外部用户管理且用户尚未注册设备时邀请单个用户︰ a) 单击人员页面顶部的搜索并要求一个用户加入 Apple VPP。 b) 在搜索用户对话框中,按用户名或电子邮件地址搜索用户。 c) 在搜索结果列表中,选择要邀请加入 Apple VPP 的用户。 d) 单击应用。
Sophos Mobile 将向所有相关用户发送邀请电子邮件。
用户必须通过邀请电子邮件中的链接,连接其 Apple iTunes 帐户和 Apple VPP。此后,他们就可以
安装和使用贵公司授权的应用。
260 版权所有 © Sophos Limited
Sophos Mobile
注释
使用外部用户管理并邀请所有用户加入 Apple VPP 时,没有分配电子邮件地址的用户将进行 Apple
VPP 注册,但不会收到用于连接其 Apple iTunes 帐户和 Apple VPP 的链接。
有关如何在这种情况下完成 VPP 注册过程的信息,请参阅 邀请没有电子邮件地址的用户加入 Apple
16.11.3 邀请没有电子邮件地址的用户加入 Apple VPP
此过程需要超级管理员帐户,因此不适用于 Sophos Mobile 即服务。
(第 260 页) 中所述,邀请来自外部用户目录的用户加入 Apple VPP
时,没有分配电子邮件地址的用户将进行 Apple VPP 注册,但不会收到用于连接其 Apple iTunes 帐
户和 Apple VPP 的链接。
如果发生这种情况,请执行以下步骤以完成 Apple VPP 注册过程。
1. 以 Sophos Mobile 超级管理员身份下载服务器日志文件。
请参阅 Sophos Mobile 超级管理员指南 。
2. 通过日志文件确定受影响的用户帐户。
3. 在 Sophos Mobile Admin 的侧边菜单栏中,单击管理下的人员。
4. 单击其中一个受影响的用户。
5. 在下一页面上,单击显示邀请链接。
对于没有电子邮件地址的外部用户,此功能不会发送邀请电子邮件,而是在消息框中显示邀请链
接。
6. 从消息框中复制该链接,并将其发给用户。
7. 对所有受影响的用户重复此操作。
用户需要通过该链接,连接其 Apple iTunes 帐户和 Apple VPP。
16.11.4 管理 Apple VPP 用户
如果您设置了 Apple VPP,显示用户页面将包括 Apple 大量购买方案 (VPP) 部分。
您可以查看或编辑每个用户的 Apple VPP 状态。
• 查看 Apple VPP 用户状态。
— 已注册:用户已受邀加入 Apple VPP,但还未将其 Apple iTunes 帐户连接到 Apple VPP。
— 已关联: 用户已将其 Apple iTunes 帐户连接到 Apple VPP,并且可以安装 VPP 应用。
• 查看用户已经安装的 Apple VPP 应用。
• 邀请用户加入该方案。
将向用户发送带有邀请链接的电子邮件。如果用户帐户不包含电子邮件地址,邀请链接将显示在
消息框中。
• 如果需要,重新发送邀请电子邮件。
• 从 Apple VPP 取消用户注册。
版权所有 © Sophos Limited 261
Sophos Mobile
16.11.5 手动分配 VPP 应用
您可以将 VPP 应用分配给单个用户或设备。
提示
您可以在应用安装后自动分配应用。请参阅 自动分配 VPP 应用 (第 262 页)。
1. 在侧边的菜单栏中,单击配置下的应用程序 > iOS 或应用程序 > macOS。
2. 单击导入 VPP 应用。
将根据需要从 Apple VPP 服务器检索应用信息,并在 Sophos Mobile 中创建应用条目。
3. 单击要分配给用户或设备的 VPP 应用。
提示
VPP 应用在 VPP 列中以复选标记图标标记。
4. 单击VPP 许可证旁边的显示。
5. 选择您要向其分配应用的用户或设备。
您可以从所有注册或关联到 Apple VPP 的用户中进行选择,也可以从所有状态为托管的设备中进
行选择。
您只能将 macOS 应用分配给设备。
6. 或者通过选择设备组将应用分配给设备: a) 单击可用于设备组旁边的显示。 b) 选择设备组。
7. 默认情况下,iOS VPP 应用是作为托管应用安装在用户设备上的。要将应用安装为未托管,请清除
Sophos Mobile托管安装 复选框。
8. 单击保存。这还将与 Apple VPP 服务器同步应用分配。
注释
因为 VPP 应用的状态是由 Apple VPP 服务器管理的,您在 Sophos Mobile 中所做的修改可能需要
一些时间才会显示在设备上。
16.11.6 自动分配 VPP 应用
您可以在安装 VPP 应用时自动对它们进行分配。
对于 iOS VPP 应用,您可以决定是将它们分配给设备,还是分配给已经分配到设备的用户。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 Apple VPP 选项卡。
2. 在在安装时自动分配 VPP 应用中,选择下列其中一个选项:
• 设备分配优先:iOS VPP 应用分配给设备。如果设备不支持 VPP 分配,则将应用分配给设备
用户。
• 用户分配优先:iOS VPP 应用分配给设备用户。如果没有设备用户,则分配给设备。
• 禁用: 您必须手动分配 VPP 应用。
262 版权所有 © Sophos Limited
Sophos Mobile
注释
您不能将 macOS VPP 应用分配给用户。设备分配优先和用户分配优先都将开启自动分配。
16.11.7 同步 VPP 许可证信息
由于性能原因,Sophos Mobile 会保留一份 VPP 许可证信息的本地副本。您可以触发 Sophos Mobile,
将其 VPP 数据与 Apple VPP 服务器同步。
注释
如果一个应用显示的许可证信息不正确,您只需要同步 VPP 数据。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Apple 设置然后单击 Apple VPP 选项卡。
2. 单击清除 VPP 缓存。
Sophos Mobile 将放弃该客户的本地 VPP 信息,并与 Apple VPP 服务器同步数据。
注释
有关如何显示 VPP 应用许可证信息的信息,请参阅 手动分配 VPP 应用 (第 262 页)。
16.12 将 VPN 连接分配给 iOS 应用
将 VPN 连接分配给 iOS 应用后,应用将使用该连接进行所有网络通信。
前提条件:您已经使用每个应用 VPN配置创建一个或多个 iOS 设备配置文件。请参阅
要将 VPN 连接分配给应用:
1. 在侧边的菜单栏中,单击配置下的应用程序 > iOS。
2. 在应用程序页面上,单击所需的应用。
3. 单击设置和 VPN旁边的显示。
4. 在该应用使用的 VPN 连接中,选择 VPN 连接。
列表包含所有 iOS 设备配置文件的每个应用 VPN配置。
5. 在编辑设置和 VPN页面上,单击应用。
6. 单击保存。
16.13 将托管应用配置添加到 iOS 应用
托管应用配置是 iOS 应用的一项功能,它让您可以远程配置应用,而不需要对安装该应用的设备进行物
理访问。
要求:
• 应用开发人员已经应用了托管应用配置。
• 应用已经作为托管应用进行安装。请参阅
要添加托管应用配置:
版权所有 © Sophos Limited 263
Sophos Mobile
1. 在侧边的菜单栏中,单击配置下的应用程序 > iOS。
2. 在应用程序页面上,单击所需的应用。
3. 单击设置和 VPN旁边的显示。
4. 在托管的配置下,单击添加参数。
5. 输入所需的信息。
6. 在编辑设置和 VPN页面上,单击应用。
7. 单击保存。
264 版权所有 © Sophos Limited
Sophos Mobile
17 应用组
可以在 Sophos Mobile 中创建应用组,为配置文件、策略和合规性策略定义应用列表。
应用组可用于以下设置:
• Android 设备配置文件的应用保护配置中。
• Android 设备配置文件的应用控制配置中。
• Android 设备配置文件、iOS 设备配置文件和 Knox 容器配置文件的限制配置中。
• Windows Mobile 策略的应用限制配置中。
• 用于指定允许、禁止和强制要求的应用列表的合规性策略中。
17.1 创建应用组
1. 在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台。
2. 单击创建应用组。
3. 在编辑应用组页面上,为新应用组输入名称,然后单击添加应用。
4. 选择要添加到组中的应用:
• 要从托管设备上当前安装的所有应用列表中选择应用,请单击应用列表并选择应用。
• 要手动添加应用,请单击自定义并配置应用详细信息。
Android 应用的设置:
应用名称
标识符
链接
用于识别应用的唯一名称。
应用的程序包名称。
您可以通过应用在 Google Play 中的 URL 获取
程序包名称。例如,Sophos Mobile Control 应用
的 URL 是 play.google.com/store/apps/details?
id=com.sophos.mobilecontrol.client.android,程序包名称
是 com.sophos.mobilecontrol.client.android。
对于来自托管的 Google Play 的应用 (针对 Android 企业设
备的应用),请在程序包名称前加 app:。
应用在 Google Play 中的 URL。 iOS 和 macOS 应用的设置:
应用名称
标识符
链接
Windows Mobile 应用的设置:
用于识别应用的唯一名称。
应用的捆绑 ID。
该应用在 App Store 中的 URL。
版权所有 © Sophos Limited 265
Sophos Mobile
应用名称
标识符
链接
用于识别应用的唯一名称。
应用的 GUID。
如果您不知道 GUID,请填写链接字段。
该应用在 Microsoft 应用商店中的 URL。
例如,Sophos Mobile Control 应用的 URL 是 https://www.microsoft.com/en-us/store/p/mobilecontrol-2017/9nblggh51qsj。
Windows 应用的设置:
应用名称
标识符
用于识别应用的唯一名称。
Windows 报告的应用 ID。
对于 MSI 应用,它是 MSI 文件的 ProductCode GUID。
对于 Microsoft 商店应用,它是应用的包系列名称 (PFN)。
链接 该应用在 Microsoft 应用商店中的 URL。
5. 单击添加。
6. 可选: 重复前面的步骤以添加更多的应用。
7. 单击保存保存应用组。
17.2 导入应用组
您可以通过从 CSV 文件导入应用列表来创建应用组。
您可以导入最多 10,000 个应用。
CSV 文件必须符合以下要求:
• 第一行作为标题,不导入。
• 值必须用分号分隔,而不是逗号。
• 所有行必须具有正确的分号字符数,即便您省略了可选值。
• 文件扩展名必须是 .csv。
• 为确保非英文字符正确导入,文件必须为 UTF-8 编码。
提示
在导入应用页面上,单击CSV 示例下载示例文件。
要从 CSV 文件导入应用,并将它们添加到应用组:
1. 在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台。
2. 在应用组页面上,单击创建应用组。
3. 在编辑应用组页面上,为新应用组输入名称,然后单击导入应用。
4. 在导入应用页面上,单击上传文件,然后导航至准备好的 CSV 文件。
将从文件中读入记录,并显示出来。
266 版权所有 © Sophos Limited
Sophos Mobile
5. 如果数据的格式不正确或不一致,整个文件都不能导入。如果出现这种情况,请按相应记录旁边显
示的错误消息对 CSV 文件的内容进行相应的修改,然后再次上传。
6. 单击完成将应用添加到应用组。
7. 在编辑应用组页面上,单击保存。
版权所有 © Sophos Limited 267
Sophos Mobile
268
18 企业文档
注释
此功能需要 Mobile Advanced 类型的许可证。
在 Sophos Mobile 中,您可以将要分发的文件上传到您用户的设备中。
• 在 Sophos Mobile 中管理的文档将自动添加到 Sophos Secure Workspace 的公司文档存储提供程
序中。
• 您可以从公司文档存储提供程序为每个文档分配一个类别。
• 公司文档存储提供程序中的文档为只读。
• 如果 Sophos Secure Workspace 没有通过 Sophos Mobile 进行管理,公司文档存储提供程序将不
可用。
要分发公司文档:
1. 在设备上安装 Sophos Secure Workspace 应用。请参阅
2. 使用公司文档配置分配 Sophos 容器策略。
3. 上传文档至 Sophos Mobile。
18.1 添加公司文档
注释
此功能需要 Mobile Advanced 类型的许可证。
要向设备分发文档:
1. 在侧边的菜单栏中,单击配置下的文档。
将显示文档页面。
2. 单击添加文档。
将显示编辑文档页面。
3. 在类别字段中,输入文档在设备上的公司文档存储提供程序中显示的类别。
如果您将此字段保留为空,文件将显示在公司文档存储提供程序的根文件夹中。
4. 定义文档的设置:
• 选择复制到剪贴板,让用户可以将文档复制到剪贴板。
• 选择共享文档,让用户可以共享文档。
• 选择离线使用文档,允许用户将文档添加到收藏夹列表。
当公司文档中未加密的文档被添加到收藏夹列表中时,本地副本被加密存储。如果允许共享文
档,文件将在转发到其他应用前自动解密。如果清除离线使用文档复选框,则在下次同步期间
将自动删除本地副本。
5. 单击分配的组旁边的显示,并选中应有权访问该文档的组。
6. 为文档添加描述。
7. 单击上传文件,浏览并找到该文档。将其选中,并单击打开。
8. 对要分发的每个文档,重复此步骤。
版权所有 © Sophos Limited
Sophos Mobile
文档将添加到文档列表中。它将分发给用户,用户可以在 Sophos Secure Workspace 应用中查看。
版权所有 © Sophos Limited 269
Sophos Mobile
19 Android 企业
Android 的功能包括简化将设备集成到您的公司环境中,并帮助您的用户分离其设备上的个人数据和
公司数据。这被称为 Android 企业 (以前称为 Android for Work )。
注释
Sophos Mobile 支持在 Android 6 或更高版本的设备上使用 Android 企业。
Sophos Mobile 支持 设备所有者 和 配置文件所有者 两种 Android 企业注册模式。
设备所有者
如果设备是在设备所有者模式下注册的,设备所有权将分配给 Sophos Mobile。Sophos Mobile 可以
监控和管理整台设备上的设置、应用和数据。
设备所有者模式与标准注册不同,具体如下:
• 用户能体验到注册简单。
• 用户无需在设备上设置个人 Google 帐户。
• 用户只能从托管的 Google Play 安装应用,并且您可以配置应用商店的布局。
• 默认情况下,只会启用最少量的应用:Google Play Store、Contacts、Messages、Phone。
• 您可以安装、卸载或更新应用,无需用户交互。
• 您可以配置应用权限,以免在运行时提示用户授予权限。
• 对于支持它的应用,您可以配置自定义应用设置。
• 您可以重置锁屏密码。对于标准注册,不能对 Android 7.0 或之后版本执行此操作。
• 您可以配置展台模式,将应用使用情况限制为一组应用,而不仅仅是一个应用。
• 您只能注册尚未设置的设备或已经重置为出厂设置的设备。
• 没有专用的取消注册操作。要取消设备注册,请将其擦除。
配置文件所有者
如果在配置文件所有者模式下注册设备,将在设备上创建工作配置文件。Sophos Mobile 只能监控和
管理工作配置文件中的设置、应用和数据。
配置文件所有者模式适合 BYOD(自带设备办公)方案。
相关信息
Android 企业帮助(外部链接)
19.1 设置 Android 企业 - 概述
要为您的组织设置 Android 企业,您可以选择以下两种不同方案中的一种:
270 版权所有 © Sophos Limited
Sophos Mobile
托管的 Google Play 帐户方案
这是为您的组织设置 Android 企业最容易的方法。
• Sophos Mobile 引导您完成为组织设置 Android 企业帐户的过程。
• 如果需要,您可以为组织创建多个 Android 企业帐户。
• Sophos Mobile 管理整个用户账户生命周期。
• 设备可以在自助服务门户或Sophos Mobile Admin中注册。
请参阅 设置 Android 企业(托管 Google Play 帐户方案)
(第 271 页)。
托管的 Google 域方案
如果您已经有托管的 Google 域,或者您想在 Sophos Mobile 以外管理您的 Android 企业用户账
户,可以使用此方法。
• 您使用 Google 注册托管 Google 域并证明域的所有权。
• 您将 Sophos Mobile 作为第三方 EMM (企业移动性管理) 软件绑定到托管的 Google 域。
• Sophos Mobile 根据需要创建用户账户。除此之外,Sophos Mobile 不管理账户生命周期。
• 设备只能在自助服务门户中注册,不能在Sophos Mobile Admin中注册。
请参阅 设置 Android 企业(托管 Google 域方案) (第 272 页)。
注释
设置 Android 企业后,不能修改用户管理模式。例如,您不能从内部用户管理切换为外部 LDAP 目
录。
提示
设置 Android 企业后,可以在安装 > Android 设置 > Android 企业 > Android 企业模式下检查
活动的场景。
19.2 设置 Android 企业(托管 Google Play 帐户
方案)
对于 托管 Google Play 账户 方案,要为您的组织设置 Android 企业,Sophos Mobile 指导您完成该步
骤。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 企业 选项卡。
2.
3. 单击配置。
4. 选择 “托管的 Google Play 帐户”方案 然后单击 下一个。
5. 选择 注册帐户.
这会将您重定向至您将组织注册到 Android 企业的 Google 网站。
6. 使用您的 Google 账户登录 Google 网站。
版权所有 © Sophos Limited 271
Sophos Mobile
注释
为此,我们建议您创建一个新的 Google 帐户。
7. 在 Google 网站上,按照步骤注册您的组织。
提示
指定您的组织名称时,请包括术语 SMC 和您的 Sophos Mobile 客户名称,例如我的组织名称
(SMC /我的客户名称)。帐户属性不提及有关连接到 Sophos Mobile 的帐户的任何信息。
完成注册步骤后,Google 网站会将您重定向回 Sophos Mobile。
8. 在 Sophos Mobile 中,单击完成设置 即可完成注册过程。
这样就完成了为您的组织设置 Android 企业的过程。
注释
在您设置 Android 企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部 LDAP 目
录。
19.3 设置 Android 企业(托管 Google 域方案)
对于 托管 Google 域 方案,要为您的组织设置 Android 企业,您可以:
1. 使用 Google 注册托管 Google 域。
2. 创建企业服务帐户并配置与 Google 服务进行通信所需的 API。
3. 将 Sophos Mobile 作为第三方 EMM (企业移动性管理) 软件绑定到托管的 Google 域。
注释
在您设置 Android 企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部 LDAP 目
录。
19.3.1 通过 Google 注册域
在为组织设置 Android 企业过程的第一阶段,您可以通过 Google 注册域(托管的 Google 域)、创建
域管理员(托管的 Google 帐户)和验证您的域所有权。
注释
如果您已经有托管的 Google 域,比如因为注册了 G Suite (之前的 Google 应用),则可跳过本
节。
1. 单击以下链接 https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=zh-cn
注册托管 Google 域。。
2. 用所需的信息填充 Web 表单。
• 在关于您的企业下,在企业域地址字段中输入将用作托管 Google 域的域。例如,您可以使用您
的 Sophos Mobile 服务器的域。
272 版权所有 © Sophos Limited
Sophos Mobile
注释
如果您要在 Sophos Mobile 中为多个客户配置 Android 企业,每个客户都需要一个单独的
域。
• 在您的 Google 管理帐户下,输入新的域管理员的凭据。
注释
记录该凭据,因为在后面的设置过程中您将需要用到它。
3. 单击按钮创建域管理员帐户。
这会打开 Google 管理控制台。
4. 在 Google 管理控制台中,启动验证您的域所有权的程序。
按 Google 提供的说明,验证您的域。
验证您的域所有权后,您将会收到一个用于通过您的第三方 EMM 提供程序(即 Sophos Mobile)连接您
的托管 Google 域的令牌。
接下来,您必须创建 Google 服务帐户,并配置相关的 Google API。请参阅 配置 Google 服务帐户
(第 273 页)。
19.3.2 配置 Google 服务帐户
在为您的组织设置 Android 企业过程的第二阶段,您可以创建并配置 Google 服务帐户。
前提条件:您有托管 Google 域的域管理员帐户。
Google 服务帐户是一种针对应用程序的特殊类型的 Google 帐户。此帐户由 Sophos Mobile 用于与
Google API 通信。
创建项目:
1. 单击以下链接 https://console.developers.google.com/apis/library 打开 Google API 控制
台。使用您的域管理员帐户凭据登录。
2. 在 Google API 控制台的标题栏中,单击项目创建项目。
如果已经有项目,标题栏将显示项目名称,而不是单词项目。
3. 在新建项目对话框中,输入项目名称,如 Android enterprise,然后单击创建。
启用所需的 API:
4. 在侧边的菜单栏中,单击库,然后在搜索字段中输入字符串 admin sdk。
5. 在搜索结果列表中,单击 Admin SDK。
6. 在 Admin SDK 页面的顶部,单击启用。
7. 对 Google Play EMM API 重复前面三个步骤: a) 在侧边的菜单栏中,单击库,然后在搜索字段中输入字符串 emm。 b) 在搜索结果列表中,单击 Google Play EMM API。 c) 在 Google Play EMM API 页面的顶部,单击启用。
创建服务帐户:
8. 在 Google Play EMM API 页面上,单击创建认证资料。
9. 在将凭据添加到您的项目页面的第一步中,单击服务帐户链接。
10. 在服务帐户页面上,单击创建服务帐户。
11. 在创建服务帐户对话框中,输入以下设置:
版权所有 © Sophos Limited 273
Sophos Mobile a) 在名称中,输入可用于识别服务帐户的名称,如 Android 企业。 b) 选择提供新的私人密钥,然后选择 JSON。 c) 选择启用 G 套装域范围委派。 d) 在同意屏幕的产品名称中,输入(例如)Android 企业。
当您单击创建时,将生成您的服务帐户私钥,并以 JSON 文件的形式保存到您的计算机上。
注释
请将 JSON 文件存储在安全的位置。您需要它以将 Sophos Mobile 绑定到您的托管 Google
域。
配置 API 访问权限:
12. 单击以下链接 https://admin.google.com
打开 Google 管理控制台,并用您的域管理员帐户凭据
登录。
13. 单击安全,然后单击高级设置。
提示
您可能需要单击显示更多,以显示高级设置。
14. 单击管理 API 客户端访问权限。
15. 在文本编辑器中打开 JSON 文件,并将 client_id 值复制到客户端名称字段。
例如,如果您的 JSON 文件包含一行
"client_id": "123456789"
, 则在客户端名称字段中输入 123456789。
16. 在一个或多个 API 范围字段中,输入下面两个 URL,用逗号分隔: https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/androidenterprise
17. 单击授权。
您现在可以将 Sophos Mobile 绑定到您的托管 Google 域。请参阅 将 Sophos Mobile 绑定到您的域。
(第 274 页)。
19.3.3 将 Sophos Mobile 绑定到您的域。
在为您的组织设置 Android 企业过程的第三阶段,您可以将 Sophos Mobile 绑定到您的托管 Google
域。
前提条件:
• 您有托管 Google 域的域管理员帐户。
• 您已经验证了您的域所有权。
• 您已经启用了相关 Google API。
• 您已经创建了 Google 服务账户。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 企业 选项卡。
2. 单击配置。
274 版权所有 © Sophos Limited
Sophos Mobile
3. 选择 “托管的 Google 域”方案 然后单击 下一个。
4. 在打开的对话框中,配置以下设置:
选项
企业域
域管理员
EMM 令牌
说明
已通过 Google 验证的您的托管 Google 域。
您的域管理员帐户的名称。这是您通过 Google
注册您的域时创建的管理员。
您验证域所有权后,从 Google 收到的令牌。
当您使用您的域管理员凭据登录 Google 管理
控制台 ( https://admin.google.com
) 并浏览
到安全 > 管理 Android 的 EMM 提供程序时,
可以查看该令牌。
5. 单击上传文件,然后浏览并找到您创建服务帐户时从 Google 下载的 JSON 文件。
您选择的 JSON 文件必须拥有扩展名 .json。
6. 单击绑定。
Sophos Mobile 将联系 Google Web 服务,并将其本身作为 EMM 提供程序绑定到您的托管 Google 域。
在为您的组织设置 Android 企业过程的最后阶段,您必须配置 Google EMM 设置。请参阅 配置 EMM 设
19.3.4 配置 EMM 设置
在为您的组织设置 Android 企业过程的最后阶段,您要配置 Google EMM 设置。
前提条件:您已将 Sophos Mobile 绑定到托管 Google 域。
1. 单击以下链接 https://admin.google.com
打开 Google 管理控制台,并用您的域管理员帐户凭据
登录。
2. 单击安全,然后单击管理 Android 设备的 EMM 提供商。
提示
您可能需要单击显示更多,才能显示管理 Android 设备的 EMM 提供商。
3. 在基本设置下,选中强制在 Android 设备上执行 EMM 政策。
这样就完成了为您的组织设置 Android 企业的过程。
注释
在您设置 Android 企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部 LDAP 目
录。
19.4 配置 Android 企业设备注册
前提条件:
• 您已经为客户配置了 Android 企业。
完成以下步骤,对 Android 企业设备注册进行配置。
1. 对您想要支持的每个 Android 企业注册模式创建策略。
版权所有 © Sophos Limited 275
Sophos Mobile
• 对于设备所有者模式,创建一个 Android 企业设备策略类型的策略。
• 对于配置文件所有者模式,创建一个 Android 企业工作配置文件策略类型的策略。
要了解有关如何创建策略的一般性说明,请参阅 创建配置文件或策略
(第 87 页)。
2. 对您想要支持的每个 Android 企业注册模式创建任务捆绑包。
对于之前您已经创建的策略,该任务捆绑包至少必须包含注册任务和安装配置文件或分配策略任
务。
要了解有关如何创建任务捆绑包的一般性说明,请参阅
3. 在自助服务门户组设置中,选择您创建作为初始包的任务捆绑包。
对于公司设备和个人设备,您可以配置不同的包。例如,对公司设备使用设备所有者注册,对个
人设备使用配置文件所有者注册。
要了解有关如何配置自助服务门户组设置的一般性说明,请参阅
页)。
您配置设备注册后,自助服务门户用户即可将其 Android 设备注册到 Sophos Mobile。基于您的配
置,注册模式 (设备所有者或配置文件所有者模式) 将由设备类型 (公司或个人设备) 确定。
如果您已经针对托管的 Google Play 帐户方案设置了 Android 企业,也可以使用添加设备向导注册
设备。请参阅
(第 43 页)。
重要提示
对于托管的 Google Play 帐户方案,用户只能同时注册 10 台设备。此限制是由 Google 设置的,
以后可能会修改。
注释
如果您按本节所述对公司和/或个人设备进行 Android 企业注册配置,该设备类型的 Android 设备
将不能在自助服务门户中使用标准注册。
276
19.5 管理 Android 企业用户(托管 Google 网域
方案)
注释
如果您已使用 托管 Google 网域 方案设置 Android 企业,本主题将介绍 Google 用户帐户的管理。
对于 托管 Google Play 帐户 方案,Sophos Mobile透明地管理您的用户的 Google 帐户。
要注册 Android 企业设备,用户必须拥有托管的 Google 帐户。该帐户将连接到您注册到 Google 的
域。
帐户名称的构成和电子邮件地址一样,如 user@your_managed_Google_domain。
当用户在 自助服务门户 中注册设备时,Sophos Mobile 检查该用户的托管 Google 帐户是否已经存
在于 Google 服务器上。为此,Sophos Mobile 中用户电子邮件地址的左边部分将和您的托管 Google
域组合在一起。如果没有该名称的帐户,Sophos Mobile 将创建该帐户。
示例: 如果 Sophos Mobile 中的用户电子邮件地址为 user@your_company.com,您的托管
Google 域为 your_managed_Google_domain,Sophos Mobile 将检查 Google 服务器上是否有帐户 user@your_managed_Google_domain。
除了在注册期间为用户创建托管 Google 帐户之外,Sophos Mobile 不管理帐户生命周期。如果您在
Sophos Mobile 中删除用户帐户,用户的托管 Google 账户将保留。
版权所有 © Sophos Limited
Sophos Mobile
您可以通过 Google 管理控制台管理您的托管 Google 域账户。如果需要,您可以使用 Google Apps
Directory Sync (GADS) 从 LDAP 目录创建帐户。
相关信息
Google 管理控制台(外部链接)
关于 Google Apps Directory Sync(外部链接)
19.6 创建工作配置文件
当用户在自助服务门户中以 Android 企业配置文件所有者模式注册其设备时,将创建工作配置文件。
您可以在 Sophos Mobile Admin 中删除工作配置文件,例如,在丢失或被盗时,从设备中删除公司数
据。
19.7 锁定工作配置文件
您可以在 Sophos Mobile Admin 中锁定或解锁工作配置文件。工作配置文件锁定后,工作配置文件中
的所有应用都将不可用,且不显示这些应用的任何通知。
注释
本节内容不适用于设备所有者模式的 Android 企业设备。请参阅
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击要为其锁定或解锁工作配置文件的设备旁边的蓝色三角形,然后单击显示。
3. 单击操作设置容器访问权限。
4. 选择访问权限。
• 拒绝:将锁定工作配置文件。用户不能再访问工作配置文件中的应用或数据。
• 允许:将解锁工作配置文件。
• 自动模式:如果设备违反包含有锁定容器操作的合规性规则,将锁定工作配置文件。如果您没有
设置访问权限,这将是默认行为。
5. 单击是。
设备与 Sophos Mobile 服务器同步。完成后,该设置将应用到设备。
提示
要锁定整个设备,而不是仅锁定工作配置文件,请使用 操作 > 锁定。
提示
用户可以在其设备上的快速设置面板中锁定工作配置文件,例如在他们休假时。
版权所有 © Sophos Limited 277
Sophos Mobile
19.8 从设备删除工作配置文件
注释
本节内容不适用于设备所有者模式的 Android 企业设备。请参阅
您可以删除 Sophos Mobile Admin 中的工作配置文件,以便在丢失或被盗时从设备删除公司数据。
如果您从设备删除工作配置文件,工作配置文件中安装的所有应用 (包括 Sophos Mobile Control 应
用) 也将会删除。在 Sophos Mobile Admin 控制台中,设备的状态将显示为未注册。
1. 在侧边的菜单栏中,单击管理下的设备。
2. 单击要从其中删除工作配置文件的设备旁边的蓝色三角形,然后单击显示。
3. 单击操作 > 擦除 Android 工作配置文件。
将创建删除工作配置文件的任务,并将其传递到设备。
注释
如果用户已经手动删除了工作配置文件,任务将失败,因为设备不能再接收它。
要重新创建工作配置文件,用户必须在自助服务门户中重复进行注册。
19.9 用户启动的工作配置文件删除
用户可能会有意或无意地从他们的设备上删除工作配置文件。Sophos Mobile 无法检测这种删除。它
会继续将设备管理状态显示为 Android 企业 (配置文件所有者)。
用户删除工作配置文件后,设备将不能与 Sophos Mobile 服务器同步。
提示
您可以使用最近 7 天未同步的设备报告来确定可能受到影响的设备。
如果工作配置文件被意外删除,可以重新注册,如下所述:
1. 您从 Sophos Mobile 中删除设备。
2. 用户在自助服务门户中重复进行设备注册。
278
19.10 Android 恢复出厂设置保护
注释
本节内容适用于以 Android 企业设备所有者模式注册到 Sophos Mobile 的设备。
Android 设备包括恢复出厂设置保护 (FRP) 安全功能。在设备上设置 Google 帐户时,如果要在设备
恢复出厂设置后解锁设备,必须提供帐户凭据。
默认情况下,以 Android 企业设备所有者模式注册到 Sophos Mobile 的设备不受 FRP 保护,因为设
备上没有设置 Google 帐户。要对这些设备使用 FRP,请为所有设备配置一个或多个要分配的 Google
帐户。在开启 FRP 的情况下重置设备时,只能通过这些帐户中的其中一个进行解锁。请参阅 配置
版权所有 © Sophos Limited
Sophos Mobile
配置 FRP 后,设备将受到如下保护:
• 本地重置:当设备在设置应用中或通过使用设备硬件按钮重置后,默认情况下 FRP 将开启。要修
改单个设备的此设置,请使用设置恢复出厂设置保护设备操作。请参阅 开启或关闭 Android 恢复
(第 55 页)。
• 远程设置:在Sophos Mobile Admin中远程重置设备后,默认情况下 FRP 将关闭。要在 FRP 开
启的情况下执行远程重置,请在擦除确认对话框中选择开启恢复出厂设置保护。请参阅 擦除设备
(第 55 页)。
19.10.1 配置 Android 恢复出厂设置保护
注释
本节内容适用于以 Android 企业设备所有者模式注册到 Sophos Mobile 的设备。
恢复出厂设置保护 (FRP) 是 Android 的一项安全功能,它可以确保设备只能在 Google 帐户凭据已
知时恢复出厂设置。
对于以 Android 企业设备所有者模式注册到 Sophos Mobile 的设备,您可以配置 Google 帐户,以
解锁任何开启 FRP 且已重置的设备。
准备您的 Google 帐户:
1. 创建一个或多个要用于 FRP 的 Google 帐户,或使用现有帐户。
重要提示
确保将您的帐户凭据共享给您的组织。解锁开启 FRP 且已恢复出厂设置的设备时需要这些信
息。
2. 获取您的 Google 帐户的 Google+ ID。
每个 Google 帐户都分配有一个 Google+ ID,无论该帐户是否注册 Google+ 服务。
要获取 Google+ ID: a) 在您的 Web 浏览器中输入以下地址,打开 Google 登录页面: https://accounts.google.com/
Login b) 使用您要用于 FRP 的 Google 帐户登录。如果您已经用其他帐户登录到 Google,请先退出。 c) 在您的 Web 浏览器中输入以下地址: https://plus.google.com/me
如果帐户已注册 Google+,将转到 Google+ 页面。如果帐户未注册 Google+,将显示错误信
息页面。
两种情况下,帐户的 Google+ ID 都将显示在浏览器的地址字段中,例如 https:// plus.google.com/123456789012345678901。 d) 记录这个 21 位的数字。它就是 Google+ ID。
在 Sophos Mobile Admin 中配置您的 Google 帐户:
3. 在侧边的菜单栏中,单击设置 下,单击 安装 > Android 设置然后单击 Android 企业 选项卡。
4. 在恢复出厂设置保护下,单击 使用 FRP。
5. 在 Google+ ID 中,输入要用于 FRP 的 Google 帐户的 Google+ ID。
6. 单击 保存。
以 Android 企业设备所有者模式注册的所有设备都将开启 FRP。这发生在下一次设备与 Sophos
Mobile 服务器同步时。
版权所有 © Sophos Limited 279
Sophos Mobile
重要提示
如果您在 Sophos Mobile Admin 中输入的 Google+ ID 无效,或您忘记了 Google 帐户的凭据,当
您在开启 FRP 的情况下将设备恢复为出厂设置后,设备将不可用。
19.11 托管的 Google Play 应用
在 Android 企业设备上,只能安装您为您的组织批准的托管 Google Play 应用。
在托管的 Google Play 和 Sophos Mobile 中执行以下任务,使您的用户可以使用应用:
1. 在托管 Google Play 中,您为组织选择应用。为此:
• 批准应用。
• 购买应用许可证。
• 接受应用权限。
请参阅
(第 280 页)。
2. 在 Sophos Mobile 中,您可以配置应用。为此:
• 定义应用在用户设备上的托管 Google Play Store 应用中的位置。
• 对于支持它的应用,配置自定义应用设置。
• 对于付费应用,向用户分配该应用的许可证。
请参阅
(第 281 页)。
19.11.1 批准托管的 Google Play 应用
1. 打开托管的 Google Play ( https://play.google.com/work ),并用您的 Android 企业管理员帐户
登录。
2. 选择您要向用户提供的应用。
3. 单击批准(对于免费应用)或购买(对于付费应用)。
注释
付费应用目前仅在美国和加拿大提供。
4. 如果应用需要权限,请代表您的公司接受这些权限。
当您的用户安装该应用时,将不会要求他们授予权限。
5. 对于付费应用,输入许可证的数量和付款方式。
注释
如果尝试购买应用时出现错误,请在 Google 管理控制台中检查是否对您的域或您的帐户启用了
Google 付款服务。
在此阶段,已对您的域批准了该应用,但用户还不能安装它。您必须在 Sophos Mobile 中完成分配过
程。请参阅
(第 281 页)。
280 版权所有 © Sophos Limited
Sophos Mobile
注释
如果批准的应用的更新包括附加的应用权限,您必须接受这些权限,然后您的用户才能安装此更
新。在 Google Play 菜单中,单击更新查看和批准待定的更新。
相关信息
托管的 Google Play(外部链接)
Google 管理控制台(外部链接)
托管的 Google Play 帮助(外部链接)
19.11.2 取消审批托管的 Google Play 应用
前提条件:您已经从所有 Android 任务捆绑包中删除该应用。
1. 在侧边的菜单栏中,单击配置下的应用程序 > Android。
2. 单击批准的应用。
3. 单击要取消审批的应用旁边的蓝色三角形,然后单击显示。
4. 单击取消批准。
提示
您还可以对托管的 Google Play 中的应用取消审批。
19.11.3 编辑托管的 Google Play 应用
为您的组织批准托管的 Google Play 应用后,必须在 Sophos Mobile 中对它进行配置,以使您的用户
可以使用它。
1. 在侧边的菜单栏中,单击配置下的应用Android。
2. 在应用程序页面上,单击批准的应用。
将打开批准的应用页面,其中将显示您在托管的 Google Play 中批准的所有应用的列表。
3. 单击从 Google 检索应用列表,同步您在托管 Google Play 中所做的修改。同步后,用户可以通过
托管的 Google Play Store 应用安装这些应用。
4. 单击所需的应用。
5. 在 编辑批准的应用 页面上,按照需要配置设置。请参阅 针对托管的 Google Play 应用的设置
(第 282 页)。
您可以在每个页面配置多达 30 个类别,每个类别可配置多达 100 个应用。
6. 单击保存保存修改。
7. 在 批准的应用 页面上,单击将配置发送到 Google,将更新的布局信息和应用配置发送给
Google。
注释
如果您跳过最后这一步,应用配置将只本地存储在 Sophos Mobile 中。它不会传输到 Google
服务器,也不会让您的用户可用。
数据同步到 Google 服务器后,可以通过托管的 Google Play Store 应用使用该应用。所有用户都可以
使用免费应用。只有分配有许可证的用户可以使用付费应用。
版权所有 © Sophos Limited 281
Sophos Mobile
19.11.4 针对托管的 Google Play 应用的设置
这部分列出您为您的组织批准的托管 Google Play 应用的设置。
设置/字段
标题
产品 ID
定价
分发类型
托管的 Google Play URL, Google Play URL
页
应用程序类别
许可证
说明
托管 Google Play 中显示的外部应用名称。
内部应用名称。
定价类型:
• 免费
• 在应用内购买免费
• 已付
• 公共 (Google 托管):该应用可供托管
Google Play 中的一般公众使用。
• 专用 (Google 托管):该应用由您开发,并
且只有您的托管 Google 域中的用户可以使
用。APK 文件已上传到托管 Google Play。
• 专用 (自托管):和专用 (Google 托管) 类
似,但从您的本地服务器安装 APK 文件。托
管 Google Play 仅用于管理分发。
应用在托管 Google Play 和 Google Play 中的
Web 地址。
单击该链接可在新的浏览器窗口中打开该页面。
在用户的 Google Play Store 应用中,在其中
显示该应用的页面。
这些值是由 Sophos Mobile 预配置的,且不能
修改。
在用户的 Google Play for Work 商店中,在其
中显示该应用的类别的名称。
当您开始键入时,将显示一系列匹配的类别。如
果您输入一个没有的类别,将会创建该类别。
您可以在每个页面配置多达 30 个类别,每个类
别可配置多达 100 个应用。
单击许可证旁边的显示以查看或编辑应用已使用
和剩余的许可证数量以及已分配许可证的用户。
此设置仅适用于付费应用。
282 版权所有 © Sophos Limited
设置/字段
托管的配置
Sophos Mobile
说明
单击应用设置可查看或编辑特定于应用的设置。
有关可用设置的信息,请参阅该应用的开发人员
提供的文档。
此设置仅在应用提供托管配置时才可用。
提示
您可以使用由实际用户名和电子邮件地址替换的占
位符 %_USERNAME_% 和 %_EMAILADDRESS_%。
19.11.5 安装托管的 Google Play 应用
当您批准托管的 Google Play 应用并向您的用户分配应用许可证后,您可以将该应用安装到所选的设备
或设备组。
注释
用户可以通过托管的 Google Play Store 应用安装批准的应用。
1. 在侧边的菜单栏中,单击配置下的应用Android。
2. 在应用程序页面上,单击批准的应用。
3. 单击所需应用旁边的蓝色三角形,然后单击安装。
4. 选择要安装该应用的设备。执行以下任一操作:
• 选择单个设备。
• 单击选择设备组,然后选择一个或多个设备组。
准备就绪后,单击下一步。
5. 在设置执行日期页面上,设置安装该应用的日期:
• 选择现在立即执行。
• 选择日期,然后输入一个计划执行的日期和时间。
6. 单击完成。
安装任务将发送到 Google 服务。然后,Google 将管理在设备上安装该应用。在任务视图页面上,任务
的状态将在其发送到 Google 后显示为成功。
19.11.6 卸载托管的 Google Play 应用
您可以从选定的设备或设备组卸载托管的 Google Play 应用。
1. 在侧边的菜单栏中,单击配置下的应用,然后单击 Android。
2. 在应用程序页面上,单击批准的应用。
3. 在批准的应用页面上,单击卸载。
4. 选择要卸载应用的设备。执行以下任一操作:
• 选择单个设备。
• 单击选择设备组,然后选择一个或多个设备组。
版权所有 © Sophos Limited 283
Sophos Mobile
准备就绪后,单击下一步。
5. 在选择应用页面上,选择所需的应用。
6. 在设置执行日期页面上,设置卸载该应用的日期:
• 选择现在立即执行。
• 选择日期,然后输入一个计划执行的日期和时间。
7. 单击完成。
将向 Google 服务发送一个卸载应用的任务。然后,Google 将管理从设备上卸载该应用。在任务视
图页面上,任务的状态将在其发送到 Google 后显示为成功。
提示
另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项
卡,然后单击应用名称旁边的垃圾桶图标。
19.11.7 针对托管的 Google Play 应用的许可证
对于您在托管的 Google Play 中批准的付费应用,必须向用户分配应用许可证,以使用户可以使用该
应用。
您可以在 编辑批准的应用 页面上配置许可证分配。请参阅 编辑托管的 Google Play 应用 (第 281
页)。
注释
• 您不需要为管理员启动的应用安装分配许可证。当您如
(第 283
页)中所述安装应用时,将会从您的已购许可证池中向相关用户自动分配许可证。
• 您不需要为您在托管的 Google Play 中批准的免费应用分配许可证。当您将应用列表从 Google
同步到 Sophos Mobile 后,所有用户都自动可以使用免费应用。
19.11.8 托管 Google Play 的布局
您可以在用户的 Play 商店应用中定义托管的 Google Play 应用的位置。
可配置的布局元素是页面和类别。
• 页面是有名称、可以垂直滚动的视图。页面及其名称是通过 Sophos Mobile 预定义的。
• 类别是您定义的页面中有名称、可以水平滚动的子部分。在 Google 文档中,类别又称为群集。
• 每个类别特定于某个页面,每个应用显示在特定的类别中。
• 不包含任何应用的页面不显示。
• 您可以在每个页面配置多达 30 个类别,每个类别可配置多达 100 个应用。
对于每个应用,您可以定义该应用在用户设备上的托管 Google Play Store 应用中显示在哪个页面,
并且可以选择定义显示在哪个类别中。默认情况下,应用放置在名称为其他的页面上。
您可以在 编辑批准的应用 页面上配置商店布局。请参阅 编辑托管的 Google Play 应用 (第 281
页)。
284 版权所有 © Sophos Limited
Sophos Mobile
19.11.9 可配置的应用
托管的 Google Play 应用可以提供托管配置。此功能是由应用的开发人员包括在其中的,您可以用它
为应用配置自定义设置。
如果应用支持托管配置,将在托管 Google Play 中的该应用页面上显示此应用提供托管配置备注。
您可以在 编辑批准的应用 页面上配置应用设置。请参阅 编辑托管的 Google Play 应用 (第 281
页)。
19.11.10 专用应用和自托管应用
对于 Android 企业,您要提供给用户的所有应用都必须通过托管的 Google Play 进行分发。
• 公用应用是拥有托管的 Google 帐户的所有用户都可以使用的应用。
• 专用应用是由您开发、只有您所在的托管 Google 域内的用户才能使用的应用。
• 自托管应用是其应用包 (即 APK 文件) 放在属于贵组织的服务器而非 Google 服务器上的专用应
用。但是,自托管应用的应用商店元数据必须上传到 Google,以便该应用可以通过托管 Google
Play 进行分发。
有关专用应用的信息,请参阅 Android 企业开发者信息 (外部链接)。
版权所有 © Sophos Limited 285
Sophos Mobile
286
20 Intune 应用保护
Intune 是一项用于管理移动设备和应用的 Microsoft 服务。 Intune 应用保护 让您可以定义应用级使
用限制并分配给您的用户。
因为 Intune 应用保护基于用户身份,且不需要进行设备管理就可以保护您的公司数据,因此很适合
自带设备办公 (BYOD) 计划。
您可以在 Sophos Mobile Admin 中管理您的 Intune 应用保护策略。
功能和要求
• 设备不需要注册到 Sophos Mobile。
• Intune 应用保护策略可以应用到 Office 365 应用,以及其他与 Intune App SDK 集成的应用。
• 策略仅在用户使用其公司帐户登录到应用后才会生效。他们使用其私人帐户登录时没有使用限制。
• 您必须预订有 Azure Active Directory (AD) Premium。
• 用户的 Azure AD 帐户必须分配有 Intune 许可证。
• 对于 Microsoft Outlook 应用,用户的 Azure AD 帐户必须链接有 Office 365 Exchange Online
邮箱和许可证。
• 对于 Microsoft Word、Excel 和 PowerPoint 应用,用户的 Azure AD 帐户必须链接有 Office
365 商业版或企业版许可证。
相关信息
Microsoft Intune 文档 (外部链接)
Microsoft Intune 应用 (外部链接)
20.1 设置 Microsoft Intune 集成
要在 Sophos Mobile Admin 中管理您的 Intune 应用保护策略,您必须将 Sophos Mobile 注册为
Microsoft Azure 应用程序。我们建议您使用 Microsoft Azure 注册。
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 Microsoft Azure 选项卡。
2. 单击Microsoft Azure 注册向导。
向导将引导您在 Microsoft Azure 门户和 Sophos Mobile Admin 中完成注册过程: a) 在 Microsoft Azure 门户中为 Sophos Mobile 创建应用程序。 b) 在 Sophos Mobile 中输入应用程序 ID。 c) 将 Sophos Mobile 服务器证书上传到您的应用程序。 d) 给您的应用程序授予所需的权限。
向导还包含一个用于配置联合身份验证的页面。如果您要使用 Azure Active Directory 进行联
合身份验证,而不是使用内部或外部用户管理,则只需按该页面的步骤进行操作。请参阅 联合身
(第 81 页)。
完成设置程序后,Sophos Mobile Admin 的侧边菜单栏中将有新的配置文件,策略 > Intune 应用保
护项。
版权所有 © Sophos Limited
Sophos Mobile
20.2 创建 Intune 应用保护策略
通过 Intune 应用保护策略,您可以根据用户身份应用数据限制。限制仅当应用在工作环境下使用时
才生效,即分配的用户使用公司帐户打开应用时。
您必须为 Android 和 iOS 应用创建单独的策略。
1. 在侧边的菜单栏中,单击配置下的配置文件,策略 > Intune 应用保护。
2. 显示转到 Microsoft 页面的对话框时,确认。然后用您的 Microsoft Azure 管理员帐户登录。
如果您已经在当前 Sophos Mobile Admin 会话过程中登录到 Microsoft Azure,将省去此步骤。
3. 在 Sophos Mobile Admin 的策略页面上,单击添加,然后单击 Android 策略或 iOS 策略。
4. 在编辑策略页面上,输入要求的设置。
请参阅
(第 288 页) 和 Intune 应用保护策略设置 (iOS)
(第 292 页)。
5. 单击保存。
您可以在 Microsoft Azure 门户中查看策略。 您可能需要再次登录门户才能刷新显示的信息。
创建 Intune 应用保护策略后,将其分配给应用和用户。请参阅
(第 287 页) 和 将用户分配给 Intune 应用保护策略
(第 287 页)。
20.3 将应用分配给 Intune 应用保护策略
Intune 应用保护策略将只应用于分配有此策略的应用。
1. 在侧边的菜单栏中,单击配置下的配置文件,策略 > Intune 应用保护。
2. 显示转到 Microsoft 页面的对话框时,确认。然后用您的 Microsoft Azure 管理员帐户登录。
如果您已经在当前 Sophos Mobile Admin 会话过程中登录到 Microsoft Azure,将省去此步骤。
3. 在 Sophos Mobile Admin 的策略页面上,单击要向其分配应用的策略旁边的蓝色三角形,然后单
击分配应用。
4. 选择要向其分配策略的应用。
列表将包括您在 Microsoft Azure 门户中添加到您的 Microsoft Intune 帐户的所有 Android 或 iOS 应用。
5. 单击保存。
您可以在 Microsoft Azure 门户中查看应用分配。 您可能需要再次登录门户才能刷新显示的信息。
20.4 将用户分配给 Intune 应用保护策略
Intune 应用保护策略将只应用于分配的用户使用的应用。您不是单独分配用户,而是通过 Azure
Active Directory (AD) 安全组进行分配。
1. 在侧边的菜单栏中,单击配置下的配置文件,策略 > Intune 应用保护。
2. 显示转到 Microsoft 页面的对话框时,确认。然后用您的 Microsoft Azure 管理员帐户登录。
如果您已经在当前 Sophos Mobile Admin 会话过程中登录到 Microsoft Azure,将省去此步骤。
3. 在 Sophos Mobile Admin 的策略页面上,单击要向其分配用户的策略旁边的蓝色三角形,然后单
击分配用户组。
4. 在可用的 Azure AD 安全组列表中,选择您要包括或排除的组:
• 包括: 策略将应用到该组的成员。
版权所有 © Sophos Limited 287
Sophos Mobile
• 排除: 策略将不应用到该组的成员,即便它们也是包括组中的成员。
• 未分配: 策略将不应用到该组的成员,除非它们也是包括组中的成员。
5. 单击保存。
您可以在 Microsoft Azure 门户中查看用户分配。 您可能需要再次登录门户才能刷新显示的信息。
注释
策略将只应用到其 Azure AD 帐户分配有 Intune 许可证的用户。选定安全组中的其他用户不受影
响。
20.5 Intune 应用保护策略设置 (Android)
通过 Intune 应用保护 策略,您可以为 Intune 托管应用定义限制。本节介绍针对 Android 应用的可
用设置。
一般设置
设置/字段
名称
描述
说明
策略的名称。
策略的简短说明。
数据重定位
在数据重定位下,您可以配置如何让数据输入和离开应用。
注释
所有设置将应用于用户使用其公司帐户登录后访问的数据。
设置/字段
阻止 Android 备份
说明
应用将不能使用 Android 备份服务。
288 版权所有 © Sophos Limited
Sophos Mobile
设置/字段
允许应用向其他应用传送数据
允许应用从其他应用接收数据
说明
此应用可以向其传输数据的应用:
策略托管应用: 仅允许向其他 Intune 策略托管应用传
输。
所有应用: 允许传输到任何应用。
无: 不允许传输到任何应用。
注释
• 可能会有始终允许向其传输数据的应用和服务。有关
详细信息,请参阅有关数据传输豁免的 Microsoft
Intune 文档。
• 将始终阻止向 Android 即时应用传输数据。
此应用可以从其中接收数据的应用:
策略托管应用: 仅允许从其他 Intune 策略托管应用传
输。
所有应用: 允许从任何应用传输。
无: 不允许从任何应用传输。
注释
• 可能会有始终允许从其中接收数据的应用和服务。有
关详细信息,请参阅有关数据传输豁免的 Microsoft
Intune 文档。
• 将始终阻止从 Android 即时应用接收数据。
阻止“另存为”
存储位置
限制剪切、复制和粘贴到其他应用
限制显示在 Managed Browser 内的 Web
内容
加密应用数据
将禁用应用的“另存为”选项。
如果选中阻止“另存为”,将选择存储公司数据的位
置。
用户可以存储到选定的位置。其他位置将被阻止。
选择如何将剪切、复制和粘贴操作用于此应用。
阻止: 不允许在此应用和任何其他应用间进行剪切、复
制和粘贴操作。
策略托管应用: 允许在此应用和其他 Intune 策略托管
应用间进行剪切、复制和粘贴操作。
带粘贴的策略托管应用: 允许在此应用和其他 Intune
策略托管应用间进行剪切或复制。允许将任何应用中的
数据粘贴到此应用。
所有应用: 不限制从此应用和对此应用进行剪切、复制
和粘贴。
强制要求应用中的 Web 链接在 Intune Managed
Browser 应用中打开。
数据将使用 Intune 定义的加密方案进行加密。
版权所有 © Sophos Limited 289
Sophos Mobile
设置/字段
禁用联系人同步
禁用打印
说明
应用将不会把数据保存到 Contacts 应用。
应用中的打印功能将禁用。
访问
在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用。
设置/字段
需要 PIN 才能进行访问
说明
使用该应用需要 PIN。
用户首次使用其公司帐户登录时,将提示其设置 PIN。
注释
所有 Intune 托管的 Android 应用都使用相同的 PIN。
PIN 重置前的尝试次数
禁止简单 PIN
PIN 长度
禁止指纹
访问需要公司凭据
阻止在已取得 root 权限的设备上运行托
管应用
访问要求超时
重置 PIN 前允许的登录失败尝试次数。
不允许用户使用简单的 PIN 序列,如 1234 或 1111。
PIN 序列中数字的最小数目。
用户不能使用指纹身份验证,只能使用 PIN 进行身份
验证。
用户必须输入其公司密码,而非 PIN。
此设置将替代其他 PIN 要求。
在已经取得 root 权限的设备上,用户不能通过其公司
帐户使用该应用。
启动该应用时,重新检查访问要求 (在此策略中设置)
前的分钟数。
注释
用户输入 PIN 后,在此设置定义的时间段内,用户不必再
次输入 PIN 就可以使用其他 Intune 托管应用。
脱机宽限期 在重新检查应用访问要求之前设备可以离线运行的分钟
数。
超过该时间段后,该应用将要求用户连接到网络并再次
进行身份验证。
290 版权所有 © Sophos Limited
设置/字段
擦除应用数据前的脱机时间间隔
阻止屏幕捕获和 Android 助手
要求的最低 Android 版本
推荐的最低 Android 版本
要求的最低应用版本
推荐的最低应用版本
要求的最低 Android 补丁版本
推荐的最低 Android 补丁版本
Sophos Mobile
说明
用户必须连接到网络并再次进行身份验证前,设备可以
离线运行的天数。
如果身份验证失败,将擦除公司应用数据。
注释
对于 Microsoft Outlook 应用,擦除应用数据时将同时删
除 Contacts 应用中保存的数据。
用户将不能截屏或使用 Google Assistant。
这还将使最近应用列表中的应用图片变得模糊。
使用该应用所需的最低 Android 版本。
将该字段保留为空可忽略此设置。
使用该应用的推荐最低 Android 版本。
如果设备不满足此要求,将显示一条用户可以清除的通
知。
将该字段保留为空可忽略此设置。
使用该应用所需的最低应用版本。
将该字段保留为空可忽略此设置。
使用该应用的推荐最低应用版本。
如果设备上的应用不满足此要求,将显示一条用户可以
清除的通知。
将该字段保留为空可忽略此设置。
使用该应用所需的最低 Android 安全补丁版本。
输入补丁版本日期,采用 YYYY-MM-DD 格式。
将该字段保留为空可忽略此设置。
使用该应用的推荐最低 Android 安全补丁版本。
输入补丁版本日期,采用 YYYY-MM-DD 格式。
如果设备不满足此要求,将显示一条用户可以清除的通
知。
将该字段保留为空可忽略此设置。
版权所有 © Sophos Limited 291
Sophos Mobile
20.6 Intune 应用保护策略设置 (iOS)
通过 Intune 应用保护 策略,您可以为 Intune 托管应用定义限制。本节介绍针对 iOS 应用的可用设
置。
一般设置
设置/字段
名称
描述
说明
策略的名称。
策略的简短说明。
数据重定位
在数据重定位下,您可以配置如何让数据输入和离开应用。
注释
所有设置将应用于用户使用其公司帐户登录后访问的数据。
设置/字段
阻止 iTunes 和 iCloud 备份
允许应用向其他应用传送数据
说明
应用将不会把数据备份到 iTunes 或 iCloud。
此应用可以向其传输数据的应用:
策略托管应用: 仅允许向其他 Intune 策略托管应用传
输。
所有应用: 允许传输到任何应用。
无: 不允许传输到任何应用。
注释
• 可能会有始终允许向其传输数据的应用和服务。有关
详细信息,请参阅有关数据传输豁免的 Microsoft
Intune 文档。
• 策略托管应用和无还将阻止 Siri 在应用中搜索数
据。
292 版权所有 © Sophos Limited
Sophos Mobile
设置/字段
允许应用从其他应用接收数据
说明
此应用可以从其中接收数据的应用:
策略托管应用: 仅允许从其他 Intune 策略托管应用传
输。
所有应用: 允许从任何应用传输。
无: 不允许从任何应用传输。
注释
• 可能会有始终允许从其中接收数据的应用和服务。有
关详细信息,请参阅有关数据传输豁免的 Microsoft
Intune 文档。
• 一些应用会忽略此设置并允许所有传入数据。
阻止“另存为”
存储位置
限制剪切、复制和粘贴到其他应用
限制显示在 Managed Browser 内的 Web
内容
加密应用数据
禁用联系人同步
禁用打印
将禁用应用的“另存为”选项。
如果选中阻止“另存为”,将选择存储公司数据的位
置。
用户可以存储到选定的位置。其他位置将被阻止。
选择如何将剪切、复制和粘贴操作用于此应用。
阻止: 不允许在此应用和任何其他应用间进行剪切、复
制和粘贴操作。
策略托管应用: 允许在此应用和其他 Intune 策略托管
应用间进行剪切、复制和粘贴操作。
带粘贴的策略托管应用: 允许在此应用和其他 Intune
策略托管应用间进行剪切或复制。允许将任何应用中的
数据粘贴到此应用。
所有应用: 不限制从此应用和对此应用进行剪切、复制
和粘贴。
强制要求应用中的 Web 链接在 Intune Managed
Browser 应用中打开。
在加密数据时选中。将使用 iOS 提供的设备级加密方
案进行数据加密。
设备锁定时: 在设备锁定时加密应用数据。
设备锁定且有打开的文件时: 在设备锁定时加密应用数
据,当前打开文件的数据除外。
设备重启时: 在设备重新启动时加密应用数据,直至设
备首次解锁。
使用设备设置: 根据设备设置进行应用数据加密。
应用将不会把数据保存到 Contacts 应用。
应用中的打印功能将禁用。
版权所有 © Sophos Limited 293
Sophos Mobile
访问
在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用。
设置/字段
需要 PIN 才能进行访问
说明
使用该应用需要 PIN。
用户首次使用其公司帐户登录时,将提示其设置 PIN。
注释
相同发布者的所有 Intune 托管的 iOS 应用都使用相同的
PIN。
密码类型 用户必须定义的 PIN 类型:
数值: PIN 只能包含数字。
密码: PIN 必须包含至少一个字母、特殊字符或符号
(只要 iOS 英语键盘上有)。
注释
一些应用不支持密码类型。
PIN 重置前的尝试次数
禁止简单 PIN
PIN 长度
禁止指纹
禁止面部识别
访问需要公司凭据
阻止在已越狱的设备上运行托管应用
重置 PIN 前允许的登录失败尝试次数。
不允许用户使用简单的 PIN 序列,如 1234 或 1111。
如果将密码类型设置为密码,则 PIN 必须包含至少一
个数字、一个字母和一个特殊字符或符号。
PIN 序列中字符的最小数目。
用户不能使用 Touch ID,只能使用 PIN 进行身份验
证。
用户不能使用 Face ID,只能使用 PIN 进行身份验
证。
用户必须输入其公司密码,而非 PIN。
此设置将替代其他 PIN 要求。
在已越狱的设备上,用户不能通过其公司帐户使用该应
用。
294 版权所有 © Sophos Limited
设置/字段
访问要求超时
脱机宽限期
擦除应用数据前的脱机时间间隔
要求的最低 iOS 版本
推荐的最低 iOS 版本
要求的最低应用版本
推荐的最低应用版本
要求的最低 Intune 应用保护策略 SDK
版本
Sophos Mobile
说明
启动该应用时,重新检查访问要求 (在此策略中设置)
前的分钟数。
注释
用户输入 PIN 后,在此设置定义的时间段内,用户不必再
次输入 PIN 就可以使用相同发布者的其他 Intune 托管应
用。
在重新检查应用访问要求之前设备可以离线运行的分钟
数。
超过该时间段后,该应用将要求用户连接到网络并再次
进行身份验证。
用户必须连接到网络并再次进行身份验证前,设备可以
离线运行的天数。
如果身份验证失败,将擦除公司应用数据。
注释
对于 Microsoft Outlook 应用,擦除应用数据时将同时删
除 Contacts 应用中保存的数据。
使用该应用所需的最低 iOS 版本。
将该字段保留为空可忽略此设置。
使用该应用的推荐最低 iOS 版本。
如果设备不满足此要求,将显示一条用户可以清除的通
知。
将该字段保留为空可忽略此设置。
使用该应用所需的最低应用版本。
将该字段保留为空可忽略此设置。
使用该应用的推荐最低应用版本。
如果设备上的应用不满足此要求,将显示一条用户可以
清除的通知。
将该字段保留为空可忽略此设置。
该应用必须拥有的最低 Intune 应用保护策略 SDK 版
本。
将该字段保留为空可忽略此设置。
版权所有 © Sophos Limited 295
Sophos Mobile
21 管理 Sophos Mobile Security
注释
此功能需要 Mobile Advanced 类型的许可证。
Sophos Mobile Security 是一款适用于 Android 和 iOS 设备的安全应用。您可以管理注册到
Sophos Mobile 的设备上的该应用。
您还可以管理注册到第三方企业移动性管理 (EMM) 软件的设备上的 Sophos Mobile Security 应用。
第三方 EMM 软件必须支持自定义应用设置。请参阅 配置第三方 EMM 集成 (第 298 页)。
如果 Sophos Mobile Security 由 Sophos Mobile 管理,您可以在 Sophos Mobile Admin 中执行以
下任务:
•
远程或集中配置 Sophos Mobile Security 应用的设置。请参阅 Android 的 Mobile Security
(第 141 页) 和 iOS 的 Mobile Security 策略的配置 (第 183 页)。
• 分配合规性策略,以确保安装 Sophos Mobile Security 应用并按规定的间隔运行扫描。请参
阅 Sophos Mobile Security 合规性规则 (第 296 页)。
• 对于 Android:触发设备扫描和查看扫描结果。请参阅
21.1 Sophos Mobile Security 合规性规则
本节列出了可以为各个平台选择的合规性规则。
规则
需要托管
说明
定义设备不再受到管理时将执行的操
作。
允许根目录访问
允许越狱
最低 OS 版本
最高 OS 版本
最大 SMSec 同步间隔
最大 SMSec 扫描间隔
选择是否允许设备具有 Root 权限。
选择是否允许越狱设备。
选择要求的最早版本的操作系统。
选择允许的最新版操作系统。
指定设备同步过程之间的最大间隔。
指定通过 Sophos Mobile Security
应用程序在设备上执行恶意软件扫描
的最大扫描间隔。
平台
Android iOS
Android iOS
Android iOS
Android iOS
Android iOS
Android
296 版权所有 © Sophos Limited
规则
允许拒绝 SMSec 权限
允许恶意软件应用
允许可疑应用
允许 PUA
Sophos Mobile
说明
Sophos Mobile Security 需要设备上
的权限才能正常工作。用户必须在安
装该应用时授予这些权限。
选择拒绝要求的权限是否会造成违反
合规性。
选择是否允许 Sophos Mobile
Security 检测到的恶意软件应用程
序。
选择是否允许 Sophos Mobile
Security 检测到的可疑应用程序。
选择是否允许 Sophos Mobile
Security 已经检测到的可能不需要的
应用 (PUA)。
平台
Android
Android
Android
Android
版权所有 © Sophos Limited 297
Sophos Mobile
22 配置第三方 EMM 集成
您可以管理注册到第三方企业移动性管理 (EMM) 软件的设备上的 Sophos Mobile Security 应用。这需
要第三方 EMM 软件和 Sophos Mobile 中都有配置任务。
在第三方 EMM 软件中,您必须为 Sophos Mobile Security 创建一个自定义应用配置。当第三方 EMM
软件安装该应用时,它将自动注册到 Sophos Mobile。
注释
Android 设备必须在 Android 企业模式下注册。
在 Sophos Mobile Admin 中执行以下步骤:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 第三方 EMM 选项卡。
2. 单击生成连接代码。
该代码包含 Sophos Mobile Security 应用注册到 Sophos Mobile 所需的信息。
3. 配置以下设置:
选项
所有者
描述
您注册到第三方 EMM 软件的设备的所有权类型
(企业或个人)。
设备组
Mobile Security 策略 (Android)
设备分配到的 Sophos Mobile 设备组。
可选:Android 设备上 Sophos Mobile
Security 的 Sophos Mobile 策略。
Mobile Security 策略 (iOS) 可选:iPhone 和 iPad 设备上 Sophos Mobile
Security 的 Sophos Mobile 策略。
4. 单击保存。
5. 单击连接代码旁的复制,将值复制到剪贴板。
配置第三方 EMM 软件需要提供连接代码。
在第三方 EMM 软件中执行剩余步骤:
6. 为 Sophos Mobile Security 创建应用配置。
7. 在应用配置中添加以下自定义设置:
参数名称 smcData deviceId deviceName email
参数值
您从 Sophos Mobile 复制的连接代码。
第三方 EMM 软件使用的设备唯一标识符。该值用于链接在 Sophos
Mobile 中创建的设备和第三方 EMM 软件中的设备。
可选:第三方 EMM 软件使用的设备名。
可选:您想在 Sophos Mobile 中分配给设备的用户电子邮件地址。
有关如何配置自定义应用设置的详细信息,请参阅第三方 EMM 软件的文档。
298 版权所有 © Sophos Limited
Sophos Mobile
提示
如果您的第三方 EMM 软件支持,建议您使用占位符指定设备和用户属性。
8. 通过第三方 EMM 软件安装 Sophos Mobile Security 应用。
在安装后首次启动时,Sophos Mobile Security 应用将注册到 Sophos Mobile。您可以从 Sophos
Mobile Admin 的设备页面管理该应用。
如果需要,您可以停用连接代码,以阻止未来的应用注册。已经注册到 Sophos Mobile 服务器的
Sophos Mobile Security 应用不受影响。
版权所有 © Sophos Limited 299
Sophos Mobile
23 创建管理员
1. 在侧边的菜单栏中,单击设置下的设置管理员打开显示管理员页面,然后单击创建管理员。
2. 在编辑管理员页面上,配置管理员的帐户详细信息。
• 当外部 LDAP 目录选择为客户的用户目录时,可以单击通过 LDAP 查找用户以选择现有的 LDAP
帐户。
• 如果不使用外部用户目录,请输入相关的登录名、名字、姓氏、电子邮件地址和密码数据。
指定的密码是一次性密码。当管理员首次登录时,会提示他们修改。
注释
登录名 字段必须仅包含字母(拉丁字母)、数字、空格和字符\!._-#。
3. 在角色列表中,选择其中一个可用角色。
角色定义新管理员将拥有的 Sophos Mobile 访问权限的类型。请参阅
4. 单击保存创建管理员帐户。
新的管理员将创建,并显示在显示管理员页面上。向新用户转发用户凭据(用户、客户和一次性密
码)。新用户可以登录 Sophos Mobile Admin,并提示更改密码。
300 版权所有 © Sophos Limited
24 向设备发送消息
注释
本节内容不适用于 Windows 计算机或 Windows IoT 设备。
您可以向托管设备发送自定义消息。
1. 在侧边的菜单栏中,单击管理下的设备。
会出现 设备 页面。
2. 选择一个或多个设备,单击 操作,然后单击 发送消息。
3. 在 输入消息 对话框中,输入您希望发送的消息。
消息可以包含最多 500 个字符。
4. 单击完成。
Sophos Mobile
版权所有 © Sophos Limited 301
Sophos Mobile
25 Sophos 容器
注释
此功能需要 Mobile Advanced 类型的许可证。
Sophos 容器是包含由 Sophos Mobile 管理的 Sophos Secure Workspace、Sophos Secure Email 和
Sophos Mobile Security 应用的设备上的逻辑区域。
Sophos 容器可用于以下平台:
• Android
• iOS
25.1 配置 Sophos 容器注册
注释
此功能需要 Mobile Advanced 类型的许可证。
要使用 Sophos 容器将设备注册到 Sophos Mobile,您需要执行以下配置步骤。您需要为要使用 Sophos
容器注册的每个平台 (Android, iOS) 执行此操作。
1. 创建容器策略。请参阅
Android 的 Sophos 容器策略的配置 (第 132 页) 和
(第 175 页)。
2. 在任务捆绑包中使用此容器策略。
任务捆绑包必须至少包含一个 注册 Sophos 容器 任务和 安装配置文件 任务。请参阅 创建任务捆
(第 237 页)。
3. 通过自助服务门户 将此任务捆绑包用作注册的初始包:
在自助服务门户设置中的 组设置 选项卡中,在 初始包 - 公司设备 或 初始包 - 个人设备 字段
(第 26 页)。
25.2 Mobile Advanced 许可证
当您激活 Mobile Advanced 许可证后,您可以使用以下附加功能:
• 管理 Sophos Secure Workspace 和 Sophos Secure Email 应用。请参阅
(第 303 页)。
•
对于 Android 设备,管理 Sophos Mobile Security 应用。请参阅 管理 Sophos Mobile
(第 296 页)。
在您收到许可证密钥后,您需要激活许可证。
为 Sophos Mobile on Premise 激活 Mobile Advanced 许可证
对于 Sophos Mobile on Premise,许可证由超级管理员在客户管理中进行管理。有关详细信息,请参
阅 Sophos Mobile 超级管理员指南 。
302 版权所有 © Sophos Limited
Sophos Mobile
为 Sophos Mobile 即服务 激活 Mobile Advanced 许可证
在Sophos Mobile Admin中,转到安装 > Sophos 设置 > 许可证,并在高级许可证密钥字段中输入您
的许可证密钥。
25.3 管理 Sophos 容器应用
注释
此功能需要 Mobile Advanced 类型的许可证。
为了在托管设备上更好地分离数据,Sophos Mobile 提供了 Sophos 容器应用,即 Sophos Secure
Email 和 Sophos Secure Workspace:
• Sophos Secure Email 是一款针对 Android 和 iOS 设备的应用,它为管理电子邮件、日历和联
系人提供了安全的容器。
• Sophos Secure Workspace 是一款适用于 Android 和 iOS 设备的应用,允许用户访问存储在云
上的加密文件。可使用无缝方式加密和查看文件。加密的文件可使用其他应用移交,并上传到一
个支持的云存储提供程序。也可以在应用内本地存储文档。
使用 Sophos Secure Workspace,您可以阅读通过 SafeGuard Cloud Storage 或 SafeGuard
Data Exchange 加密的文件。两者都是 SafeGuard Enterprise 模块或其不同版本中的一个。它
们允许您使用本地密钥加密文件。这些本地密钥由用户输入的密码派生而来。只有在您知道用于
加密文件的密码时,才能加密文件。
Sophos 容器提供:
• 集中定义的密码规则
• 适用于所有容器应用的密码规则
• 适用于所有容器应用的单一登录
• Sophos Secure Workspace 文档设置
• Sophos Secure Workspace 浏览器设置
• Sophos Secure Email 设置
如下所述,可以使用 Sophos Mobile 管理 Sophos 应用:
• 可以在 Sophos Mobile 中,对所有托管的设备上的 Sophos 容器应用的设置进行远程和集中配置。
请参阅
Android 的 Sophos 容器策略的配置 (第 132 页) 和
(第 175 页)。
• 使用合规性策略,您可以确保 Sophos 容器应用已安装在设备上。
•
您可以使用公司文档存储提供程序启用文档的安全分配。请参阅 企业文档
(第 268 页)。
• 可以在 Sophos Secure Workspace 应用和 Sophos SafeGuard Enterprise 之间启用公司 Keyring
同步。这样,来自用户的 SafeGuard Keyring 的密钥就可以在 Sophos Secure Workspace Keyring
中可用。请参阅 启用企业 Keyring 同步 (第 305 页)。
注释
为管理 Sophos 容器应用,必须使用 Sophos Mobile 分发应用。如果用户已在其设备上安装有未受
管理的 Sophos Secure Workspace 版本,他们首先必须卸载此版本,然后安装托管版本。
有关 Sophos Secure Workspace 的详细信息,请参阅 Sophos Secure Workspace 帮助。
版权所有 © Sophos Limited 303
Sophos Mobile
25.4 重置 Sophos 容器密码
注释
此功能需要 Mobile Advanced 类型的许可证。
注释
本节内容适用于分配有 Sophos 容器策略的设备。
可以重置 Sophos 容器密码。这很有用,例如,用户忘记了他们的密码时。如果重置了 Sophos 容器
的密码,将要求用户创建新的容器密码。
1. 在侧边的菜单栏中,单击管理下的设备。
将显示设备页面。
2. 单击要重置其 Sophos 容器密码的设备。
将显示显示设备页面。
3. 单击操作。
将显示操作菜单。
4. 单击重置 Sophos 容器密码。
5. 在对话框中,单击是确认操作。
将重置 Sophos 容器密码。用户必须输入新的 Sophos 容器密码。
25.5 锁定和解锁 Sophos 容器
注释
此功能需要 Mobile Advanced 类型的许可证。
注释
本节内容适用于分配有 Sophos 容器策略的设备。
您可以锁定或解锁 Sophos 容器,即为 Sophos 容器应用和 Sophos 容器中的数据设置访问权限
1. 在侧边的菜单栏中,单击管理下的设备。
2. 在设备页面上,单击要对其锁定或解锁 Sophos 容器的设备旁边的蓝色三角形,然后单击显示。
3. 在显示设备页面上,单击操作设置 Sophos 容器访问权限。
4. 在设置访问权限的对话框中,选择以下任意一项:
• 拒绝:Sophos 容器将锁定。用户将不能再使用它。
• 允许:Sophos 容器将解锁。
• 自动模式:如果设备违反了合规性规则,且规则中激活了锁定容器,将锁定 Sophos 容器。如果
您没有设置访问权限,这将是默认行为。
5. 单击是。
将触发设备与 Sophos Mobile 服务器同步。同步后,该设置将应用到设备。
304 版权所有 © Sophos Limited
Sophos Mobile
25.6 企业 Keyring 同步
企业 Keyring 同步将在 Sophos Secure Workspace 应用中添加以下功能:
• 来自用户的 SafeGuard Enterprise Keyring 的密钥在 Sophos Secure Workspace Keyring (SSW
Keyring) 中可用。
• 然后,该应用的用户即可使用这些密钥来解密和查看文档或解密文档。
• 启用 Keyring 同步后,用户可以继续使用在其 SSW Keyring 中曾经可用的本地密钥。
• 用户不能创建新的本地密钥。
• 由于安全原因,管理 Sophos 容器时,来自 SafeGuard Keyring 的密钥将从设备删除。
25.6.1 启用企业 Keyring 同步
前提条件:
• 使用 Sophos SafeGuard Enterprise 8.0 或更高版本。
• 已经使用在 SafeGuard Enterprise 中配置的相同 Active Directory 用户数据库,为自助服务
门户配置了外部用户管理。
• Sophos Secure Workspace 受 Sophos Mobile 管理。这将需要 Mobile Advanced 许可证。
• 您的 Sophos Mobile 服务器可以通过 HTTPS 连接到您的 SafeGuard Enterprise 服务器。
要启用企业 Keyring 同步,可以按下述方法设置 Sophos Mobile 和 Sophos SafeGuard Enterprise 之
间的连接:
1. 在侧边的菜单栏中,单击设置 下,单击 安装 > Sophos 设置然后单击 SGN 选项卡。
2. 单击证书链接,下载 Sophos Mobile 服务器的证书。
3. 打开 SafeGuard Management Center,并转到ToolsConfiguration Package Tool。
4. 在Servers选项卡上,单击Add,浏览并找到证书文件,然后单击OK。请勿更改Server name字段的
值。
5. 可选: 选择Recovery via mobile,以启用通过 Sophos Secure Workspace 应用同步 BitLocker
和 FileVault 恢复密钥。
6. 在Managed client packages选项卡上,配置以下设置:
• 在Configuration Package Name字段中,选择Managed Client (Default)。
• 在Primary Server字段中,选择您的 SGN 服务器。
• 在Transport Encryption字段中,选择 SSL。
7. 单击Create Configuration Package。
8. 在 Sophos Mobile Admin 控制台的 SGN 选项卡上,单击上传文件,将您在 SafeGuard Management
Center 中创建的配置包上传到 Sophos Mobile。
9. 单击保存,保存 SafeGuard 集成设置。
版权所有 © Sophos Limited 305
Sophos Mobile
306
26 将内容传递到 Sophos Central
要传递Sophos Mobile对象和设置,可将数据从Sophos Mobile服务器导出到交换文件,然后将该文件
导入Sophos Central。
传递的内容包括:
• 设备组
• 设备配置文件和策略
• 合规性策略
• 任务捆绑包
• 应用设置 (不包括应用包文件)
• 应用组
• 自助服务门户配置 (不包括用户组分配)
• 大部分系统设置
有些设置绑定到特定的 Sophos Mobile 服务器,不能传递。
有关详细信息,请参阅 Sophos Mobile 迁移指南 。
26.1 导出内容
要将对象和设置从您的 Sophos Mobile 服务器传递到 Sophos Central,您可以将其导出到交换文件。
1. 在侧边的菜单栏中,单击设置下的安装 > Sophos 设置 > 导出。
在导出预览下,将显示要导出的内容。
2. 单击导出。
3. 为交换文件设置密码。
4. 单击下载。
交换文件 sophosmobile.export 将下载到您的计算机。您可以将该文件导入 Sophos Central。
26.2 导入内容
在您从 Sophos Mobile 服务器创建带有对象和设置的交换文件后,可将其导入 Sophos Central。
1. 在 Sophos Central Admin 中,转到 Mobile。
2. 单击安装 > Sophos 设置 > 导入。
3. 单击上传交换文件。
4. 选择交换文件并输入当您导出数据时设置的密码。
5. 单击上传。
6. 在导入预览下,将列出要导入的内容。查看是否出现任何警告。
重要提示
如果有与要导入的内容相同名称的内容,它们将被覆盖。
版权所有 © Sophos Limited
Sophos Mobile
7. 单击导入将数据导入 Sophos Central。
导入数据后,必须执行以下手动任务:
• 对于已经将其程序包文件上传到 Sophos Mobile 的应用,再次上传 APK 文件 (Android) 或 IPA
文件 (iOS)。
• 因为不传递用户组,您必须将 Sophos Central 用户组分配给您的自服务门户配置。
有关详细信息,请参阅 Sophos Mobile 迁移指南 。
版权所有 © Sophos Limited 307
Sophos Mobile
27 用语表
专用设置配置文件
客户
注册
企业应用商店
设置
自助服务门户
Mobile Advanced 许可证
SMSec
Sophos Mobile 客户端
Sophos Mobile 控制台
Sophos Mobile Security
Sophos Secure Email
Sophos Secure Workspace
任务捆绑包
Team ID
308
您添加到自己开发的 iOS 应用的分发设置配置文
件。这样,您就可以在指定的设备上安装应用,而
不必将其发布到 App Store。
客户表示 Sophos Mobile 中独立的管理区域。您
可以设置多个客户,并独立管理每个客户的设备。
这也称为多组织。
使用 Sophos Mobile 进行设备注册。
托管在 Sophos Mobile 服务器上的应用存储库。
管理员可以使用 Sophos Mobile Admin,将应用程
序添加到 Enterprise App Store。然后,用户可
以使用 Sophos Mobile Control 应用,将这些应
用安装在他们的设备上。
在设备上安装 Sophos Mobile Control 应用的过
程。
Web 界面,允许用户注册自己的设备并执行其他任
务,无需联系支持人员。
使用 Mobile Advanced类型的许可证,您可
以通过 Sophos Mobile 管理 Sophos Mobile
Security、Sophos Secure Workspace 和 Sophos
Secure Email 应用。
Sophos Mobile Security 的缩写。
安装在 Sophos Mobile 托管的设备上的 Sophos
Mobile Control 应用。
您用于管理设备的 Web 界面。
适用于 Android 设备的安全应用。可以使用
Sophos Mobile 管理该应用程序,只要激活了
Mobile Advanced 类型的许可证。
一款针对 Android 和 iOS 设备的应用,它为管理
电子邮件、日历和联系人提供了安全的容器。可以
使用 Sophos Mobile 管理该应用程序,只要激活
了 Mobile Advanced 类型的许可证。
一款针对 Apple iOS 和 Android 设备的应用,
它提供的安全工作区可用于浏览、管理、编辑、共
享、加密和解密来自不同存储提供程序的文档或贵
公司分发的文档。可以使用 Sophos Mobile 管理
该应用程序,只要激活了 Mobile Advanced 类型
的许可证。
您可以创建一个包,将多项任务捆绑在一项事务
中。可以捆绑所有必需的任务,让设备完全注册和
运行。
每个 iOS 和 macOS 应用都有 Team ID 签
名。Team ID 由 Apple 提供,对于特定的开发团
队是唯一的。
版权所有 © Sophos Limited
Sophos Mobile
28 技术支持
您可以通过以下各种方式获得 Sophos 产品的技术支持:
• 访问 community.sophos.com/ 的 Sophos Community 论坛,并搜索遇到相同问题的其它用户。
• 访问 www.sophos.com/zh-cn/support.aspx
的 Sophos 技术支持知识库。
• 在 www.sophos.com/zh-cn/support/documentation.aspx
中下载产品的技术文档。
• 访问 https://secure2.sophos.com/support/contact-support/support-query.aspx
联系我们的技
术支持团队。
版权所有 © Sophos Limited 309
Sophos Mobile
29 法律声明
版权所有 © 2019 Sophos Limited。保留一切权利。除非您拥有根据许可证条款可以复制本文档的许
可证,或事先得到版权所有者的书面许可,不得以电子、机械、复印、记录或其他任何形式或方式,
复制、在检索系统中存储或传输本出版物的任何部分。
Sophos, Sophos Anti-Virus 和 SafeGuard 都是 Sophos Limited, Sophos Group 和 Utimaco
Safeware AG 的注册商标。所有其他产品和公司名称是其各自所有者的商标或注册商标。
310 版权所有 © Sophos Limited

公開リンクが更新されました
あなたのチャットの公開リンクが更新されました。
広告