设备苹果5
SophosMobile管理员帮助产品版本号:9.
6内容关于本帮助.
1关于SophosMobile.
2关于SophosMobileAdmin.
3仪表板.
3表格视图.
4前提条件.
4用户角色.
4更改您的密码.
5密码恢复.
5使用SophosMobile管理设备的主要步骤.
7报告.
8任务.
9监视任务.
9警报.
12安装.
13配置个人设置.
13配置密码策略.
13配置SMC应用设置.
14配置电子邮件.
14配置IT部门联系人.
15配置隐私设置.
15iPhone和iPad设置.
16Apple推送通知服务证书.
16配置AirPlay目标.
19Android设置.
19注册SamsungKnox许可证.
21配置Windows设备的轮询间隔.
22检查您的许可证.
22简单证书注册协议(SCEP)22创建客户属性.
23配置自助服务门户.
25创建自助服务门户配置.
25创建注册文本.
27可用的自助服务门户操作.
27合规性策略.
30创建合规性策略.
30可用的合规性规则.
31将合规策略分配到设备组.
36检查设备合规性.
36设备.
37添加设备.
37注册设备.
38取消设备注册.
44管理设备.
45自定义设备属性.
61QR码注册.
62Zero-touch注册.
64KnoxMobileEnrollment.
66AppleDEP.
68DuoSecurity集成.
79TeamViewer远程控制.
81SophosChromeSecurity.
82(2020/10/21)设备组.
84创建设备组.
84删除设备组.
84用户.
85配置自助服务门户用户管理.
86配置外部目录连接.
87联合身份验证.
88配置LDAP连接.
90创建用户.
90导入用户.
91创建用户组.
91策略.
93开始使用设备策略.
94创建策略.
95从AppleConfigurator导入策略.
96导入设置配置文件(iOS、iPadOS)96关于macOS策略.
96配置Chrome防篡改保护.
97Windows密码复杂性规则.
98KnoxServicePlugin.
98策略中的占位符.
99分配策略.
100将策略修改应用到设备.
100从设备卸载策略.
101下载策略.
102AndroidEnterprise设备策略的配置.
102Android企业工作配置文件策略的配置.
115Android的Sophos容器策略的配置.
127Android的MobileThreatDefense策略的配置.
139Android设备策略的配置.
143Knox容器策略的配置.
160iOS设备策略的配置.
164iOS的Sophos容器策略的配置.
192iOS的MobileThreatDefense策略的配置.
204macOS设备策略的配置.
206macOS用户策略的配置.
222WindowsMobile策略的配置.
239Windows策略的配置.
248ChromeSecurity策略的配置.
259任务捆绑包.
261创建任务捆绑包.
261任务类型(Android)262任务类型(iOS、iPadOS)264任务类型(macOS)267任务类型(Windows)268任务类型(ChromeOS)269复制任务捆绑包.
270传输任务捆绑包.
270应用程序.
271添加应用.
271安装应用.
272卸载应用.
273应用设置(Android)274应用设置(iOS,iPadOS)276应用设置(macOS)278应用设置(WindowsMobile)279(2020/10/21)应用设置(Windows)280确定WindowsMSI链接的设置.
281iPhone和iPad的托管应用.
282管理AppleVPP应用.
282将VPN连接分配给iPhone或iPad应用.
287添加托管应用配置.
287Windows应用.
288应用组.
289创建应用组.
289导入应用组.
290企业文档.
292添加公司文档.
292AndroidEnterprise.
294设置Android企业-概述.
295设置Android企业(托管的GooglePlay帐户方案)295设置AndroidEnterprise(托管的Google域方案)296配置Android企业设备注册.
299管理Android企业用户(托管的Google域方案)300锁定工作配置文件.
301从设备删除工作配置文件.
301用户启动的工作配置文件删除.
302Android恢复出厂设置保护.
302托管的GooglePlay应用.
303MobileThreatDefense和SophosInterceptXforMobile.
311MobileThreatDefense合规性规则.
312和第三方EMM软件一起使用SophosInterceptXforMobile.
312Intune应用保护.
315设置MicrosoftIntune集成.
315创建Intune应用保护策略.
316将应用分配给Intune应用保护策略.
316将用户分配给Intune应用保护策略.
316Intune应用保护策略设置(Android)317Intune应用保护策略设置(iOS、iPadOS)321创建管理员.
325向设备发送消息.
326Sophos容器.
327配置Sophos容器注册.
327MobileAdvanced许可证.
327管理Sophos容器应用.
328重置Sophos容器密码.
329锁定和解锁Sophos容器.
329企业Keyring同步.
330为SophosSecureEmail设置多重身份验证.
330迁移到SophosCentral.
333超级管理员任务.
334配置SSL/TLS证书.
334配置EAS代理.
334配置网络访问控制.
334配置电子邮件服务器连接.
334配置代理服务器连接.
335配置门户访问权限.
335配置文件上传限制.
335开启审核日志.
335创建系统消息.
335管理客户.
336接收Sophos新闻.
336(2020/10/21)查看系统健康状况.
336用语表.
337支持.
338法律声明.
339(2020/10/21)SophosMobile1关于本帮助本帮助提供了有关SophosMobileAdmin管理控制台的信息,并对操作程序进行了详细解释.
这些描述适用于本地安装的SophosMobile和SophosMobile即服务.
有关此帮助的其他版本,请参阅SophosMobile文档网页.
版权所有SophosLimited1SophosMobile2关于SophosMobileSophosMobileSophosMobile是一套EMM解决方案,适合希望节省管理和保护移动设备的时间和精力的公司.
通过易于使用、基于Web的统一SophosCentral管理界面管理移动设备,享受Sophos提供的端点、网络或服务器安全性.
安全的容器应用以及在iOS、iPadOS、AndroidEnterprise和SamsungKnox中对移动OS容器化的支持,可以确保设备上敏感的公司数据和个人信息相分离.
SophosMobile提供了一流的数据保护、综合的安全性、很高的资金利用价值以及灵活的管理选项,是允许将移动设备用于工作、保持用户的生产效率、保持企业数据安全和保护个人数据隐私的最佳途径.
SophosInterceptXforMobileSophosInterceptXforMobile保护您的移动设备,且不影响性能或电池使用时间.
SophosInterceptXforMobile利用领先的Sophos反恶意软件技术,提供屡获殊荣的反恶意软件和反病毒功能,能够检测可能不需要的应用,并且提供了隐私和安全顾问、丢失和被盗保护、Web保护等功能.
SophosSecureWorkspaceSophosSecureWorkspace是一款容器化移动内容管理应用,为保护、管理和分发业务文档及Web内容提供了安全的途径.
不离开容器环境即可编辑Office格式的文档,可以确保加密内容保持安全.
防钓鱼技术能够阻止用户打开文档或内容中的恶意链接.
通过SophosMobile托管时,管理员能够根据设备合规性规则,轻松限制内容的访问.
结合SophosSafeGuardEncryption,SophosSecureWorkspace能够在Windows、Mac、iPhone、iPad和Android用户之间提供加密文件(存储在本地或云上)的无缝交换.
SophosSecureEmailSophosSecureEmail是一款全功能、安全且容器化的电子邮件应用,通过SophosMobile托管时,它让您可以在移动设备上分离业务电子邮件、日历及联系人和个人数据.
所有公司信息都受到AES-256加密方式的保护,并且可以根据设备合规性规则轻松取消访问权限.
SophosSecureEmail还让IT人员可以跨不同的设备和操作系统安全一致地设置企业电子邮件.
2版权所有SophosLimitedSophosMobile3关于SophosMobileAdminSophosMobileAdmin是使用SophosMobile管理设备的主要工具.
服务器的Web界面可用于管理设备.
使用Web门户,可以执行使用设备的企业政策,并将其应用到向SophosMobile注册的设备.
在SophosMobileAdmin中,您可以:配置系统,如个人设置或平台特定的设置.
配置合规性策略,并定义设备不再符合指定规则时要采取的行动.
请参阅合规性策略(第30页).
将设备注册到SophosMobile.
请参阅添加设备(第37页).
设置新设备.
请参阅注册设备(第38页).
在注册的设备上安装应用.
请参阅应用程序(第271页).
定义设备的安全策略.
请参阅策略(第93页).
创建任务捆绑包以捆绑多个任务,并在一次事务处理中将它们传输到设备.
请参阅任务捆绑包(第261页).
配置自助服务门户的设置.
请参阅配置自助服务门户(第25页).
在设备上执行管理任务,例如,重置设备密码、锁定或擦除设备(如设备丢失或被盗)、取消设备注册.
请参阅管理设备(第45页).
创建和查看报告.
请参阅报告(第8页).
3.
1仪表板注释本节内容适用于普通管理员的仪表板页面.
对于超级管理员,仪表板页面用于管理客户.
请参阅SophosMobile超级管理员指南.
可自定义的仪表板是SophosMobile的常规启动页面,它提供了一种快速浏览最重要信息的途径.
它由几个小组件构成,提供以下信息:设备,全部或分组合规性状态,按平台或所有设备管理状态(按平台或所有设备)SSP注册状态托管的平台版本您还可以从仪表板中添加设备.
请参阅使用添加设备向导(第40页).
以下选项可用于自定义仪表板:要在页面中添加小组件,请单击添加小组件.
要从页面中删除小部件,请单击其标题中的关闭按钮.
要将页面重置为其默认布局,请单击恢复默认布局.
要在页面上重新排列小组件,请拖动小组件的标题.
版权所有SophosLimited3SophosMobile3.
2表格视图在SophosMobileAdmin,很多页面以表格形式显示信息.
这些表格有常用的控件,可以与其进行交互.
在表格上面:使用显示或隐藏列图标配置表格的哪些列可见.
在搜索所有字段字段中输入文本,可以仅显示任意列中包含该文本的数据行.
在表格中:单击列标题可以按该属性对表格的行排序.
再次单击可改变排序顺序.
单击条目名称可对该条目执行默认的操作(通常是编辑).
单击条目名称旁边的蓝色三角形,可以对该条目执行更多操作.
在表格下面:使用导航按钮显示特定的表格页面.
使用导出图标将整个表格或当前页面导出为MicrosoftExcel文件或CSV文件.
如果您配置了行筛选器,将只导出当前可见的行.
3.
3前提条件使用SophosMobileAdmin前:您需要一台连接到互联网并配备网页浏览器的计算机.
有关支持的浏览器及相关版本的信息,请参阅SophosMobile发行说明.
超级管理员必须创建了客户(其设备在SophosMobile中进行管理的租户).
有关详细信息,请参阅SophosMobile超级管理员指南.
注释对于SophosMobile即服务,客户是预定义的.
SophosMobile即服务不支持超级管理员.
您需要SophosMobile用户帐户及相关凭据,以登录到SophosMobileAdmin.
凭据由客户、用户名和密码组成.
3.
4用户角色SophosMobile管理员有不同的角色.
角色影响管理员可以执行的操作.
可用的角色有:角色说明管理员此角色可以执行所有可用的操作.
4版权所有SophosLimitedSophosMobile角色说明受限制的管理员此角色可以注册和管理设备,但不能指定基本设置,也不能管理其他管理员.
报告此角色可以查看设备列表,并且可以创建报告.
例如,审计员或需要在SophosMobile中记录设置的员工.
内容管理员此角色用于负责进行上传、更新或删除文档操作的员工.
此角色通常分配给IT部门以外的人员.
权限设置为限制可见性,且只能访问文档菜单中的内容.
支持人员此角色可以执行支持性的操作,包括注册设备和安装应用.
该角色无权访问关键功能,如定义设置和创建、删除或编辑设备/设备组、软件包和策略.
只读访问对于管理员角色可以使用的所有设置,此角色拥有只读访问权限.
应用组管理员此角色可以管理应用组.
典型的用户是访问SophosMobileWeb服务界面以创建、更新或读取应用组的管理员.
DuoAPI与DuoSecurity身份验证软件进行集成需要此角色.
DuoAPI角色的管理员可以访问SophosMobileWeb服务界面,从而请求设备的管理状态.
请参阅DuoSecurity集成(第79页).
提示您的SophosMobile产品交付包括角色编辑器.
角色编辑器可让您轻松修改现有用户角色或创建自己的自定义角色.
您可以在%MDM_HOME%\tools\Wizard文件夹中找到它,其中%MDM_HOME%是SophosMobile安装文件夹.
相关任务创建管理员(第325页)3.
5更改您的密码登录SophosMobileAdmin后,您可以随时更改您的密码:1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击更改密码选项卡.
2.
输入您的旧密码、新密码,并确认.
3.
单击保存.
3.
6密码恢复如果您忘记了SophosMobileAdmin的密码,您可以重置该密码.
1.
在SophosMobileAdmin的登录对话框中,单击忘记密码将显示重置密码对话框.
版权所有SophosLimited5SophosMobile2.
输入您的账户信息,然后单击重置密码.
您将会收到一封含有重置密码链接的电子邮件.
3.
单击该链接.
将显示更改密码对话框.
4.
输入新密码,确认并单击更改密码.
您的密码已更改,并登录到SophosMobileAdmin.
6版权所有SophosLimitedSophosMobile4使用SophosMobile管理设备的主要步骤根据设备类型、安全策略及贵组织的特定要求,SophosMobile提供了各种管理功能.
使用SophosMobile管理设备的主要步骤为:为设备配置合规性策略.
请参阅合规性策略(第30页).
创建设备组.
请参阅创建设备组(第84页).
设备组用于对设备进行分类.
建议将设备放入组中.
这样有助于您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
注册和设置设备.
请参阅添加设备(第37页)和注册设备(第38页).
设备可以由管理员在SophosMobileAdmin中或由设备用户在SophosMobileSelfServicePortal中注册并设置.
为设备设置策略.
请参阅策略(第93页).
创建任务捆绑包.
请参阅任务捆绑包(第261页).
配置可用的SophosMobileSelfServicePortal.
请参阅配置自助服务门户(第25页).
对注册的设备应用新的或更新后的策略.
版权所有SophosLimited7SophosMobile5报告您可以为SophosMobile管理的内容创建报告.
1.
在侧边的菜单栏上,单击通知下的报告,然后单击所需报告的名称.
2.
在选择格式对话框中,单击其中一个可用的图标,选择输出格式︰单击可将报告导出到MicrosoftExcel文件.
单击可将报告导出到CSV文件.
报告将保存到您的计算机.
8版权所有SophosLimitedSophosMobile6任务任务视图页面提供了您创建和启动的所有任务的概况,并显示它们的当前状态.
您可以监视您的所有任务,并在出现问题时进行干预.
例如,您可以删除不能完成但又影响设备的任务.
要删除任务,请单击它旁边的删除图标.
可以根据类型和状态对任务进行筛选,并按设备名称、数据包名称、创建人和计划日期对它们排序.
6.
1监视任务在SophosMobileAdmin中,您可以监视设备的所有现有任务.
任务页面显示最近几天内所有未完成、失败以及已完成的任务.
任务视图页面会自动刷新,因此可以查看任务的状态.
任务详细信息页面显示来自任务页面或任务存档页面中的任务的常规信息.
任务存档页面显示所有任务.
6.
1.
1查看未完成、失败和最近完成的任务1.
在侧边的菜单栏中,单击通知下的任务.
2.
在任务视图页面上,状态列显示任务状态,例如,完全失败.
3.
在刷新间隔(秒)字段中,可以选择任务视图页面多长时间刷新一次.
4.
要查看任务的详细信息,请单击所需任务旁边的显示放大镜图标.
将显示任务详细信息页面.
除有关任务的一般信息(如设备名、软件包名称和创建人)以外,它还会显示特定任务运行的状态,包括时间戳和错误代码.
如有需要设备执行的命令,可使用任务详细信息页面上的附加详细信息按钮.
5.
如可用,请单击详细信息以查看需要设备处理的命令.
如果没有出错,错误代码为0.
如果某个命令失败,将显示错误代码.
在大多数情况下,还会有导致命令失败的原因的说明.
6.
要返回任务详细信息页面,请单击返回.
6.
1.
2查看任务存档1.
在侧边的菜单栏中,单击通知下的任务.
2.
在任务视图页面中,单击任务存档.
将显示任务存档页面.
它会显示系统中所有完成和失败的任务.
3.
在此页面上,可以:单击重新加载,刷新任务存档页面.
通过单击相关任务旁边的删除图标,从存档中删除任务.
选中多个任务并单击删除选中内容按钮,将它们从存档中删除.
要返回任务视图页面,请单击侧边菜单栏中的任务.
版权所有SophosLimited9SophosMobile6.
1.
3任务状态下表概述了任务视图和任务存档页面中显示的任务状态.
每种状态都与指示状态类别的颜色代码相关联.
颜色代码状态说明接收任务已创建.
将重试稍后将重试任务.
已开始任务已开始.
正在执行正在准备执行任务.
正在执行任务捆绑包正在准备执行任务捆绑包.
通知已通知SophosMobileControl应用.
发送命令SophosMobileControl应用已接收软件包和/或命令.
开始结果评价SophosMobileControl应用已响应且已开始评价结果.
结果不完整评价结果表明,目前并非所有命令结果均已收到.
等待用户介入设备上有待定的用户操作.
等待任务完成安装任务已发送到设备,但完成任务需要一些时间.
设备被锁定任务等待设备解锁(iOS).
成功已安装软件包或已成功执行命令.
注释对于SophosMobileControl应用的初始配置,任务必须以已安装状态完成.
已安装已成功安装SophosMobileControl应用.
设备现在已设置.
结果评价失败结果评价无法执行.
任务部分失败并非所有任务命令均可成功执行.
10版权所有SophosLimitedSophosMobile颜色代码状态说明延迟稍后将重启任务.
失败(等候重试)任务已失败,稍后将重试该任务.
任务失败任务已失败,不再等候进一步重试.
完全失败任务已失败,且不能再重试.
未开始任务是任务捆绑包的一部分,且尚未处理.
已跳过因为设备不支持,任务被跳过.
未知服务器没有有关任务状态的信息.
颜色代码类别打开正在执行成功失败其他版权所有SophosLimited11SophosMobile7警报警报页面列出了需要您注意的警报.
对于每个警报,列表显示引起警报的事件、发生时间以及受影响的用户和设备.
该列表还显示警报的严重性:灰色信息标志信息警报橙色警告标志中等优先级警报红色警告标志高等优先级警报确认已知警报选择一个或多个警报,然后单击标记为已确认以从列表中删除所选警报.
要显示已确认的警报,请在表格上方的下拉列表中选择显示已确认的警报.
注释确认警报并不能解决触发它的事件.
警告90天后,即使您尚未确认,警报也会自动从SophosMobile数据库中删除.
设置警报的电子邮件报告SophosMobile发送尚未确认的所有警报的电子邮件报告.
有关如何设置收件人列表和通知时间表的信息,请参阅配置电子邮件(第14页).
哪些事件触发警报为以下事件创建警报:您已为其开启创建警报操作的合规性违反情况.
设备生命周期的变化以及重要的设备操作.
许可证和证书即将过期.
其他需要注意的事项.
如果SophosInterceptXforMobile由SophosMobile管理,它将为安全问题和阻止的网页创建通知.
12版权所有SophosLimitedSophosMobile8安装在设置菜单部分可以配置SophosMobile的一般行为、与设备的交互以及与外部组件(如Google或Apple门户)的交互.
8.
1配置个人设置您可以根据自己的喜好调整SophosMobileAdmin的外观.
例如,您可以设置语言、时区或可见的设备平台.
注释这些设置只影响您当前用于登录的管理员帐户.
1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击个人选项卡.
2.
配置以下设置:选项说明语言用户界面语言.
时区显示日期的时区.
单位系统长度单位(公制或英制).
表格中每个页面的行数每个表页显示的最大条目数.
专家模式此设置开启附加功能:显示设备页面包括带有自定义设备属性的自定义属性选项卡.
显示设备页面包括带有附加属性设备报告的内部属性选项卡.
多个策略配置页面包括用于配置可选设置的额外设置部分.
激活的平台您要查看的设备平台.
在SophosMobileAdmin中,只显示与所选平台相关的页面和设置.
3.
单击保存.
8.
2配置密码策略为加强密码安全性,请为SophosMobileAdmin用户和SophosMobileSelfServicePortal配置密码策略.
版权所有SophosLimited13SophosMobile注释密码策略不适用于外部LDAP目录中的用户.
1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击密码策略选项卡.
2.
在规则下,可以定义密码要求,如有效密码必须包含的小写、大写或数字字符的最小数目.
3.
在设置下,配置以下设置:a)更改密码的间隔天数(天):输入密码过期之前的天数(1和730之间),或将该字段保留为空以禁用密码过期.
b)不得重复使用的旧密码的数目:选择1和10之间的值,或选择---禁用此限制.
c)登录尝试失败的最大次数:选择帐户被锁定之前可以尝试的失败登录次数(1和10之间),或选择---允许无限次失败的登录尝试.
4.
单击保存.
8.
3配置SMC应用设置在一般设置页面的SMC应用选项卡上,可以为Android设备、WindowsMobile设备、iPhone和iPad上的SophosMobileControl应用配置设置.
1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击SMC应用程序选项卡.
2.
配置以下设置:选项说明禁用通过应用程序取消注册可以从SophosMobileControl应用删除取消注册按钮,防止用户通过该应用取消其设备注册.
注释要完全防止用户启动的取消注册,也可以在自助服务门户设置中禁用取消设备注册选项.
请参阅创建自助服务门户配置(第25页).
3.
单击保存.
8.
4配置电子邮件在邮件配置选项卡上,您可以配置由SophosMobile发送的电子邮件的设置.
1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击邮件配置选项卡.
2.
在语言中,选择电子邮件语言.
3.
在发件人名称,输入显示为电子邮件发件人的名称.
4.
可选:在警报电子邮件设置下,配置发送给管理员的警报报告:a)在严重性中,选择报告中包含的严重性级别.
b)在邮件收件人中,通过输入一个或多个有效的电子邮件地址来指定收件人.
c)在电子邮件计划中,输入报告发出的时间,然后单击添加.
重复此操作,每天发送多个报告.
14版权所有SophosLimitedSophosMobile注释时间在服务器时区中.
5.
单击保存.
相关概念警报(第12页)8.
5配置IT部门联系人提供IT部门联系人详细信息,以便用户遇到问题时可以寻求帮助.
您在此处输入的信息将显示在自助服务门户以及用户的设备上.
1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击IT部门联系人选项卡.
2.
输入联系人信息.
3.
单击保存.
8.
6配置隐私设置您可以阻止管理员查看与隐私相关的设备信息.
您可以关闭以下与隐私有关的设置:设备定位关闭后,您将不能查看设备位置.
用户仍然可以在SophosMobileSelfServicePortal中查看其设备的位置.
您仍然可以查看显示所有设备最后已知位置的设备定位报告.
已安装的应用关闭后,您将不能查看设备上安装的应用.
您仍然可以查看所有设备安装的应用的摘要报告.
要配置隐私设置:1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击隐私选项卡.
2.
要关闭设备位置查看功能,请单击禁止管理员定位设备.
3.
要关闭安装应用的显示,请单击隐藏安装的应用.
注释SophosMobile将记录以下与私隐有关的事件:管理员请求设备位置.
用户在SophosMobileSelfServicePortal中请求设备位置.
在SophosMobileAdmin中开启或关闭设备位置查看功能.
在SophosMobileAdmin中开启或关闭安装应用的查看.
版权所有SophosLimited15SophosMobile8.
7iPhone和iPad设置在Apple设置页面的iOS和iPadOS选项卡上,可以配置iPhone和iPad的设置.
设置说明激活锁定跳过启用激活锁定功能的受监控设备将其绕过代码发给SophosMobile.
利用绕过代码,您可以在没有先前用户AppleID和密码的情况下重新激活该设备.
同步设备名称SophosMobile将使用用户在设备上设置的名称.
如果您关闭此设置,SophosMobile将使用您在设备注册期间设置的名称.
相关信息绕过Apple激活锁定(第53页)您可以绕过Apple激活锁定功能,在没有先前用户的AppleID和密码的情况下重新激活iPhone和iPad.
8.
8Apple推送通知服务证书要使用iPhone、iPad和Mac设备的内置移动设备管理(MDM)协议,SophosMobile必须使用Apple推送通知服务(APNs)触发设备.
SophosMobile按客户管理APNs证书.
必须为使用的每个客户创建并上传证书.
APNs证书的有效期为一年.
8.
8.
1创建APNs证书前提条件:您还没有将Apple推送通知服务(APNs)证书上传到SophosMobile.
要续订现有证书,请参阅续订APNs证书(第17页).
提示您可以对多个客户使用相同的证书.
请参阅复制APNs证书到其他客户(第18页).
1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击APNs选项卡.
2.
单击APNs证书向导.
3.
在模式页面上,单击创建新的APNs证书.
4.
在CSR页面上,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
签名请求文件特定于当前客户.
5.
您需要AppleID.
即便您已经有ID,我们还是建议您创新一个新的ID用于SophosMobile.
在AppleID页面上,单击在Apple门户中创建AppleID.
将打开一个Apple网页,您可以在其中为您的公司创建AppleID.
16版权所有SophosLimitedSophosMobile注释将凭据存储在一个您的同事可以访问的安全地方.
您的公司每年都需要这些凭据来续订证书.
6.
在向导中,将新的AppleID输入AppleID字段.
7.
在证书页面上,单击在Apple门户中创建证书.
将打开Apple推送证书门户.
8.
用您的AppleID登录,并上传证书签名请求文件apple.
csr.
9.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
10.
在上传页面上,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
11.
单击保存.
SophosMobile读取证书,并在APNs选项卡上显示证书详细信息.
8.
8.
2续订APNs证书前提条件:您已经上传了Apple推送通知服务(APNs)证书到即将过期且需要续订的SophosMobile.
要创建和上传新证书,请参阅创建APNs证书(第16页).
警告在Apple门户中,选择正确的APNs证书进行续订很重要.
如果续订了错误的证书,您可能需要重新注册所有iPhone、iPad和Mac设备.
1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击APNs选项卡.
2.
单击APNs证书向导.
3.
在模式页面上,单击续订我的APNs证书.
4.
在CSR页面上,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
签名请求文件特定于当前客户.
5.
在AppleID页面上,将显示用于创建初始APNs证书的AppleID.
登录Apple门户需要此ID.
6.
在证书页面上,单击在Apple门户中续订证书.
将打开Apple推送证书门户.
7.
使用向导中显示的AppleID登录.
8.
在Apple推送证书门户中,单击SophosMobileAPNs证书旁边的续订.
9.
上传您之前准备的证书签名请求文件apple.
csr.
10.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
11.
在上传页面上,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
12.
单击保存.
版权所有SophosLimited17SophosMobile警告如果显示以下消息,则不是在续订正确的证书:新证书的主题不符合旧证书.
如果设备已经用先前证书进行设置,则必须重新进行设置.
确定要保存更改此消息表明您将使用不同的标识符创建新的APNs证书.
如果您确认该消息,将不能再管理所有现有的iPhone、iPad和Mac设备,并且您必须重新注册这些设备.
有关如何选择正确证书的信息,请参阅确定正确的APNs证书进行续订(第18页).
8.
8.
3复制APNs证书到其他客户您可以将Apple推送通知服务(APNs)证书复制到安装的相同或不同SophosMobile中的其他客户.
警告如果目标位置已经有APNs证书,要复制的证书的主题属性与现有证书的主题相同很重要.
如果您复制了错误的证书,您可能需要重新注册该客户的所有iPhone、iPad和Mac设备.
下载证书:1.
以要复制其APNs证书的客户的管理员身份登录到SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击APNs选项卡.
3.
记录APNs证书下显示的主题值.
4.
单击将证书下载为PKCS#12文件.
5.
在确认对话框中,将显示证书文件的密码.
记录该密码,然后单击下载.
将把证书文件apns_cert.
p12保存到您的本地计算机.
将证书上传到其他客户:6.
以要向其上传证书的客户的管理员身份登录到SophosMobileAdmin.
7.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击APNs选项卡.
8.
如果已经有APNs证书,请检查主题值是否与您要复制的证书的值相同.
9.
单击APNs证书向导.
10.
在模式页面上,单击上传来自其他SophosMobile客户的APNs证书.
11.
在AppleID页面上,输入用于创建要上传的APNs证书的AppleID.
12.
在上传页面上,单击上传证书,然后浏览并找到从其他客户下载的apns_cert.
p12文件.
13.
输入密码,然后单击确定14.
单击保存.
8.
8.
4确定正确的APNs证书进行续订如续订APNs证书(第17页)中所述,当您为SophosMobile服务器续订Apple推送通知服务(APNs)证书时,在Apple门户中选择正确的APNs证书进行续订很重要.
本节介绍如何确定当前上传到SophosMobile服务器的APNs证书.
检索证书标识符:1.
使用其APNs证书需要续订的客户的管理员帐户,登录到SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击APNs选项卡.
18版权所有SophosLimitedSophosMobile3.
记录APNs证书下显示的主题值.
确定证书:4.
使用您的Web浏览器打开Apple推送证书门户的URL:https://identity.
apple.
com/pushcert/.
如果您在MicrosoftInternetExplorer中使用Apple门户的某些功能时遇到问题,建议您改用最新版本的Firefox、Opera、Chrome或Safari浏览器.
5.
使用用于创建初始APNs证书的AppleID登录.
6.
在APNs证书的列表中,单击一个证书项旁边的证书信息图标.
将显示证书的详细信息.
7.
在对象DN字段中,找到字符串UID=后的值.
如果它与您在SophosMobileAdmin中确定的标识符相匹配,则说明您找到了正确的证书.
8.
8.
5检查设备的APNs连接在iPhone和iPad上,用户可以检查他们的设备是否可以连接到Apple推送通知服务(APNs)服务器.
1.
在SophosMobileControl应用中,点击信息图标,打开关于屏幕.
2.
点击检查APNs.
该应用将尝试连接到AppleAPNs服务器.
预期的服务器响应时间为5秒或更少.
如果无法访问APNs服务器,请检查您的防火墙设置.
有关所需连接的列表,请参阅SophosMobile部署指南.
8.
9配置AirPlay目标使用SophosMobile,可以远程触发iPhone或iPad与预设AirPlay目标(如AppleTV)之间的AirPlay镜像.
注释AirPlay仅适用于在同一网络内的设备.
要定义AirPlay镜像的目标:1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AirPlay选项卡.
2.
在AirPlay目标部分,单击创建AirPlay目标.
会出现AirPlay目标页面.
3.
输入设备名称,以及可选的AirPlay目标设备的MAC地址.
如果需要,请输入设备的密码.
4.
单击应用.
该设备将显示在Apple设置页面上AirPlay选项卡中的AirPlay目标下.
5.
单击保存.
要使用此目标触发AirPlay镜像,请转到设备的显示设备页面,然后单击操作>请求AirPlay镜像.
8.
10Android设置在Android设置页面的Android选项卡上配置Android设备的设置:设置Android管理模式(第20页)版权所有SophosLimited19SophosMobile在您的Web服务器上托管Sophos应用(第20页).
配置Android设备的同步(第21页).
启用百度云推送服务(第21页)8.
10.
1设置Android管理模式对于Android设备,您可以选择Android企业和设备管理员(旧功能)管理模式.
Android企业SophosMobileControl是设备或配置文件所有者,使用AndroidEnterprise管理设备或设备上的工作区.
设备管理员(旧功能)SophosMobileControl是设备管理员,使用Android移动设备管理(MDM)管理设备.
Google现在弃用了设备管理员管理模式,并且减少了它的功能范围.
我们建议您改用AndroidEnterprise管理模式.
要设置Android管理模式,请执行以下操作:1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android选项卡.
2.
在管理模式中,为Android设备选择管理模式.
3.
单击保存.
此设置影响用户界面中可用的策略类型.
您必须先为您的组织设置AndroidEnterprise,然后才能注册设备.
相关概念设置Android企业-概述(第295页)8.
10.
2在您的Web服务器上托管Sophos应用您可以在内部Web服务器上,而非GooglePlay上托管用户在注册期间安装的Android应用(SophosMobileControl和SophosInterceptXforMobile).
警告此选项可能会引入安全风险.
当您在内部Web服务器上托管Sophos应用时,通常必须允许安装来自GooglePlay以外的应用.
请确保在移动设备上安装最新版本的应用.
定期从"Sophos产品下载和更新"网页将最新版本上传到您的Web服务器,然后使用任务捆绑包将其安装到设备上.
要为SophosMobileControl和SophosInterceptXforMobile配置安装源:1.
以超级管理员帐户登录SophosMobileAdmin.
2.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android选项卡.
3.
在选择安装源下,选择托管的APK文件.
4.
在SMCAPK文件的URL中输入SophosMobileControl的URL.
例如,如果您已经将APK文件复制到Web服务器部署目录下的smc子目录,请输入以下URL:/smc/smc.
apk5.
同样,在InterceptXforMobileAPK文件的URL中输入InterceptX应用的URL.
20版权所有SophosLimitedSophosMobile这将需要MobileAdvanced许可证.
6.
单击保存.
相关信息Sophos产品下载和更新8.
10.
3配置Android设备的同步您可以配置SophosMobileControlAndroid应用的同步间隔.
SophosMobileControl应用在以下时间与SophosMobile服务器同步:立即,即当它需要通报设备侧变化时.
根据请求,即当服务器通过推送通知服务GoogleCloudMessaging(GCM)和可选的百度云推送触发时.
按设定的时间,默认为每24小时.
如果需要,您可以使用更短的时间间隔进行设定时间同步.
对于SophosMobileonPremise,该选项由超级管理员配置.
警告24小时的默认值在大多数情况下已经足够.
建议您仅在推送通知服务在您的环境中不起作用时才使用较短的间隔.
使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务器负载.
要配置SophosMobileControl应用在Android设备上使用的同步间隔:1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android选项卡.
2.
在SMC应用程序同步间隔下,从同步间隔列表中选择一个值.
3.
单击保存.
8.
10.
4启用百度云推送服务SophosMobile使用GoogleFirebaseCloudMessaging(FCM)服务向Android设备发送推送通知,从而触发设备与SophosMobile服务器通信.
在中国,FCM可能无法使用.
因此,SophosMobile还可以使用百度云推送服务,这是中国的推送通知服务.
如果要管理位于中国的Android设备,请按以下步骤启用百度云推送服务:1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android选项卡.
2.
在百度云推送服务部分,选择启用百度云推送服务.
3.
单击保存.
启用百度云推送服务后,SophosMobile将通过FCM和百度云推送服务发送所有推送通知.
8.
11注册SamsungKnox许可证如果您有SamsungKnoxPremium许可证,则可以通过SophosMobile管理您的Samsung设备上的Knox容器.
要注册SamsungKnoxPremium许可证密钥:版权所有SophosLimited21SophosMobile1.
在侧边的菜单栏中,单击设置下,单击设置>Android设置然后单击SamsungKnox许可证选项卡.
2.
输入您的SamsungKnoxPremium许可证密钥.
您可以输入KPEPremium类型或KLMWorkspace类型的许可证密钥.
3.
单击保存.
如果您以后决定不在SophosMobile中使用SamsungKnoxPremium许可证,可单击删除取消该许可证密钥的注册.
8.
12配置Windows设备的轮询间隔对于Windows设备,可以配置WindowsMDM客户端和SophosMobile服务器进行通信的轮询间隔.
服务器通常使用推送通知联系客户端.
推送通知服务不可用时,使用轮询作为安全方式.
注释默认值在大多数情况下已经足够.
使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务器负载.
1.
在侧边的菜单栏中,单击设置下,单击设置>Microsoft设置然后单击MDM轮询间隔选项卡.
2.
为不同的Windows操作系统选择轮询间隔.
3.
单击保存.
8.
13检查您的许可证SophosMobile采用基于用户的许可证授权方案.
一个用户许可证对分配给该用户的所有设备都有效.
每个未分配给用户的设备都需要一个许可证.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击许可证选项卡.
将显示以下信息:最大许可证数目:可以管理的设备用户(和未分配的设备)的最大数目.
如果超级管理员没有为客户设置配额,许可证的数量将受SophosMobile服务器的总量限制.
使用的许可证:在用的许可证数量.
有效期至:许可证的到期日期.
高级许可证:超级管理员已经为客户激活了MobileAdvanced许可证.
如果您对显示的许可证信息有任何问题或疑问,请联系您的Sophos销售代表.
8.
14简单证书注册协议(SCEP)您可以使用简单证书注册协议(SCEP)将证书分发给Android、iOS和WindowsMobile设备.
8.
14.
1前提条件为使用简单证书注册协议(SCEP),必须满足以下条件:22版权所有SophosLimitedSophosMobile环境中有支持SCEP的WindowsCA.
对于可以创建质询代码的用户,有可用的登录凭据.
SophosMobile服务器拥有通过http或https访问以下站点的权限:—https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN—https://YOUR-SCEP-SERVER/CertSrv/MSCEP8.
14.
2配置SCEP必须先配置与SCEP服务器的连接,然后才能将SCEP用于设备.
要配置SCEP:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击SCEP选项卡.
2.
指定以下内容:a)在SCEP服务器URL字段中,输入https://您的SCEP服务器/CertSrv/MSCEP.
b)在质询URL字段中,输入https://您的SCEP服务器/CertSrv/MSCEP_ADMIN.
注释如果您将Windows2003服务器用作SCEP服务器,请输入https://您的SCEP服务器/CertSrv/MSCEP.
c)在用户和密码字段中,输入可以创建质询代码的用户的用户凭据.
注释在用户字段中,输入有权注册证书的用户.
使用登录格式:用户名@域d)在质询字符字段中,选择用于质询密码的字符类型.
e)在质询长度字段中,接受默认的长度.
f)可选:如果要在连接SCEP服务器时让SophosMobile绕过HTTP代理,请清除使用HTTP代理选项.
此选项仅在HTTP代理启用时才可用.
对于SophosMobileonPremise,超级管理员可以配置SophosMobile用于出站HTTP和SSL/TLS连接的HTTP代理.
请参阅SophosMobile超级管理员指南.
对于SophosMobile即服务,HTTP代理始终启用.
3.
单击保存.
SophosMobile测试与SCEP服务器的连接.
要使用SCEP部署证书,请将SCEP配置添加到Android、iOS或WindowsMobile策略.
提示在策略中,您可以配置设备自动请求证书更新的间隔.
8.
15创建客户属性可以创建客户级别的属性.
版权所有SophosLimited23SophosMobile使用我的属性名称创建属性时,可以使用%_CUSTPROP(我的属性)_%占位符表示属性值.
例如,可以用它来引用特定于客户的域.
有关占位符的详细信息,请参阅策略中的占位符(第99页).
要创建客户属性:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击客户属性选项卡.
2.
单击添加客户属性.
3.
为客户属性输入名称和值.
4.
单击应用.
5.
单击保存.
客户属性将添加到SophosMobile客户.
24版权所有SophosLimitedSophosMobile9配置自助服务门户使用自助服务门户,可以通过允许用户自己注册设备并执行其他任务来减少IT工作量,而无需联系支持人员.
通过自助服务门户配置,您可以定义:允许使用自助服务门户的用户组.
用户可以注册的设备类型.
用户可以执行的设备操作.
自助服务门户可用于以下平台:AndroidiOS和iPadOSmacOSWindowsMobileWindowsChromeOS9.
1创建自助服务门户配置通过自助服务门户配置,您可以配置用户可以注册的设备类型、注册详细信息以及他们可以在自助服务门户中执行的设备操作.
您可以对不同的用户使用不同的自助服务门户配置.
为此,请将用户添加到用户组,并将组与配置相关联.
您可以在相关信息中找到有关用户组的详细信息.
如果用户属于多个与自助服务门户配置相关联的组,将应用优先级最高的配置.
警告由于自助服务门户配置的复杂性,我们建议您在向实际用户推出这些设置前,对不同的用户组进行设备注册测试.
要创建自助服务门户配置:1.
在侧边的菜单栏中,选择设置下的设置>自助服务门户.
2.
选择注册文本,然后添加使用条款文本和注册后文本.
将这些文本分配给自助服务门户配置后,它们将分别在注册前后显示.
有关详细信息,请参阅创建注册文本(第27页).
3.
在自助服务门户配置页面上,选择添加创建配置.
您可以创建多个配置,并将它们分配给不同的用户组.
4.
配置以下设置:选项描述姓名配置的名称.
在自助服务门户中,用户通过这个名称选择配置.
版权所有SophosLimited25SophosMobile选项描述用户组选择添加,然后输入用户组.
配置将应用于该组的所有成员.
您可以向配置添加多个用户组,但不能将同一用户组添加到不同的配置.
最大设备数目用户可以在自助服务门户中注册的最大设备数目.
操作选择显示,然后选择用户可以在自助服务门户中执行的管理操作.
有关设备平台支持的操作的详细信息,请参阅可用的自助服务门户操作(第27页).
5.
选择添加,然后选择设备平台.
6.
在配置平台设置对话框中,配置以下设置:选项描述显示名称平台设置的名称.
在自助服务门户中,用户通过这个名称选择注册类型.
描述平台设置的描述.
此描述将显示在自助服务门户中的名称旁边.
所有者使用此配置注册的设备的所有者模式(公司或个人).
设备组向其添加设备的设备组.
注册包发送到设备的任务捆绑包(适用于Android、iOS和macOS)或策略(适用于Windows和WindowsMobile).
使用条款要在注册之前在自助服务门户中显示的文本.
将此字段留空将不显示文本.
用户必须同意该文本,才能继续注册.
注册后文本要在注册之后在自助服务门户中显示的文本.
将此字段留空将不显示文本.
7.
选择应用,将平台设置添加到自助服务门户配置.
8.
根据需要配置其他平台.
对于每个平台,您可以为公司设备和个人设备配置不同的设置.
9.
在编辑自助服务门户配置页面上,选择保存.
根据需要,为其他用户组添加更多的自助服务门户配置.
在自助服务门户配置页面上,可以使用配置旁边的箭头图标修改其优先级.
如果自助服务门户用户匹配多个配置(因为他们是多个组的成员),将使用最高优先级的配置.
始终会有一个Default配置.
此配置的优先级最低,因此只有在没有其他配置与用户匹配时才会使用.
相关任务创建用户组(第91页)26版权所有SophosLimitedSophosMobile通过用户组,您可以控制SophosMobileSelfServicePortal访问权限和可用的注册选项.
9.
2创建注册文本自助服务门户配置可以包括分别在注册前后显示的使用条款文本和注册后文本.
您可以在自助服务门户配置中分别创建这些文本,然后根据需要进行分配.
1.
在侧边的菜单栏中,单击设置下的设置>自助服务门户.
2.
单击注册文本,然后单击要创建的文本类型:使用条款:在注册前显示的移动政策、免责声明或协议文本.
用户必须同意该文本,才能继续注册.
注册后文本:在注册后显示的文本,例如,用户必须在注册后执行的任务的描述.
3.
在编辑注册文本页面上,输入文本的名称和文本本身.
您可以使用HTML标记格式化文本.
4.
单击保存.
配置自助服务门户设置时,您可以为每一种注册选择一段使用条款文本和一段注册后文本.
相关任务创建自助服务门户配置(第25页)通过自助服务门户配置,您可以配置用户可以注册的设备类型、注册详细信息以及他们可以在自助服务门户中执行的设备操作.
9.
3可用的自助服务门户操作自助服务门户操作让用户可以管理其设备.
您可以在自助服务门户配置中设置可用的操作.
操作说明平台定位设备在设备丢失或被盗时定位设备.
AndroidiOS、iPadOSWindowsMobileWindowsChromeOS锁定设备在设备丢失或被盗时锁定设备.
AndroidiOS、iPadOSmacOSWindowsMobile重新配置设备重新配置SophosMobileControl应用,例如,如果用户意外将其卸载.
AndroidiOS、iPadOSmacOSWindowsMobileWindows版权所有SophosLimited27SophosMobile操作说明平台显示违反兼容性对于不合规的设备,显示详细的合规性违反情况.
AndroidiOS、iPadOSmacOSWindowsMobileWindows刷新数据同步设备和SophosMobile服务器.
根据您的合规性策略,未定期同步(如长时间关闭)的设备可能会变为不合规.
如果出现这种情况,用户可以执行此操作使设备再次合规.
在SophosMobile只管理Sophos容器的设备上,此功能不可用.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOS重置密码重置锁屏密码.
对于Android设备、iPhone和iPad,SophosMobile将设置一次性密码.
用户解锁设备后,他们必须修改密码.
对于AndroidEnterprise工作配置文件设备,将重置工作配置文件的密码.
对于iPhone和iPad,SophosMobile将删除密码.
用户必须在60分钟内设置新密码.
AndroidiOS、iPadOSWindowsMobile擦除如果设备丢失或被盗,则将其重置为出厂设置.
设备中的所有数据都将被删除.
AndroidiOS、iPadOSmacOSWindowsMobileWindows擦除Android工作配置文件从设备删除工作配置文件.
这将同时从SophosMobile取消设备注册.
Android取消设备注册从SophosMobile取消设备注册.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOS28版权所有SophosLimitedSophosMobile操作说明平台删除未托管的设备从SophosMobile删除设备.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOS重置应用保护密码重置AppProtection密码.
用户必须输入此密码,才能使用您定义为受保护的应用.
Android重置Sophos容器密码重置Sophos容器密码.
用户必须输入此密码,才能使用Sophos容器应用SophosSecureEmail和SophosSecureWorkspace.
AndroidiOS、iPadOS重新配置SMC应用程序重新配置已经安装的SophosMobileControl应用.
iOS、iPadOSWindowsMobile托管的丢失模式开启或关闭托管的丢失模式.
iOS、iPadOS播放丢失模式声音在处于托管的丢失模式下的设备上播放声音.
iOS、iPadOS相关任务创建自助服务门户配置(第25页)通过自助服务门户配置,您可以配置用户可以注册的设备类型、注册详细信息以及他们可以在自助服务门户中执行的设备操作.
版权所有SophosLimited29SophosMobile10合规性策略合规性策略可用于:允许、禁止或强制执行设备的某些功能.
定义违反合规性规则时执行的操作.
您可以创建不同的合规性策略,并将它们分配到设备组.
这样就可以对托管设备应用不同的安全级别.
提示如果要同时管理公司和个人的设备,我们建议至少为这两类设备分别定义合规性策略.
10.
1创建合规性策略1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
在合规性策略页面上,单击创建合规性策略,然后选择策略将基于哪个模板:默认模板:一组合规性规则,未定义操作.
PCI模板,HIPAA模板:分别基于HIPAA和PCIDSS安全标准的合规性规则和操作.
您选择的模板不限制您的后续配置选项.
3.
为合规性策略输入名称,并选择性地输入描述.
对所有要求的平台重复以下步骤.
4.
确保每个选项卡上的启用平台复选框已选中.
如果此复选框未选中,将不会对该平台的设备进行合规性检查.
5.
在规则下,为特定的平台配置合规性规则.
注释每条合规性规则有固定的严重性级别(高、中、低),通过蓝色图标指示.
严重性有助于了解每条规则的重要性,以及违反该规则时应执行的操作.
注释如果SophosMobile管理Sophos容器而非整个设备,则这些设备中只能使用合规性规则的一个子集.
在突出显示规则中,选择管理类型以突出显示相关的规则.
6.
在如果违反规则下,定义违反规则时要执行的操作:选项说明拒绝电子邮件禁止访问电子邮件.
只有在超级管理员配置了与内部或独立EAS代理的连接后,才能执行此操作.
请参阅SophosMobile超级管理员指南.
此操作仅可用于Android、iOS、Windows和WindowsMobile设备.
30版权所有SophosLimitedSophosMobile选项说明锁定容器禁用SophosSecureWorkspace和SecureEmail应用.
这将影响由这些应用管理的文档、电子邮件和Web的访问.
此操作只能在激活MobileAdvanced许可证后执行.
此操作仅适用于Android设备、iPhone和iPad.
拒绝网络禁止访问网络.
只有在超级管理员配置了网络访问控制后,才能执行此操作.
请参阅SophosMobile超级管理员指南.
本操作不适用于SophosMobile仅管理Sophos容器的设备.
创建警报触发警报.
警报将显示在警报页面上.
传输任务捆绑包将特定的任务捆绑包传输到设备.
从列表中选择任务捆绑包,或选择无以便在违反合规性规则时不传输任务捆绑包.
警告如果使用不正确,可能会导致任务捆绑包配置错误,甚至擦除设备.
要为合规性规则分配正确的任务捆绑包,需要对系统有深入的了解.
注释当AndroidEnterprise完全托管设备不合规时,将禁用所有应用.
7.
对所有要求的平台进行设置后,单击保存,以指定的名称保存合规性策略.
10.
2可用的合规性规则本节列出了可以为各个平台选择的合规性规则.
规则说明平台需要托管选择设备不再受到管理时将执行的操作.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOS版权所有SophosLimited31SophosMobile规则说明平台允许设备管理员管理选择要对SophosMobile是设备管理员的设备执行的操作.
Google现在弃用了设备管理员管理模式,并且减少了它的功能范围.
我们建议您改用AndroidEnterprise管理模式.
Android防篡改保护已关闭选择ChromeSecurity策略被篡改时将执行的操作.
ChromeOS最低SMC版本允许的SophosMobileControl应用的最低版本.
AndroidiOS、iPadOSWindowsMobile最低的SophosChromeSecurity版本允许的SophosChromeSecurity扩展程序的最低版本.
AndroidiOS、iPadOSWindowsMobile允许根目录访问选择是否允许设备具有Root权限.
这还将允许以下设备(如果它们被操作系统归入不安全类别):支持EnterpriseAPIlevel4或更高等级的Sony设备支持KnoxStandardSDK5.
5(APIlevel17)或更低等级的Samsung设备Android必须兼容GoogleSafetyNet设备必须通过CompatibilityTestSuite(CTS)测试,这是一项针对Android兼容性的GoogleSafetyNet测试.
Android允许未知来源的应用选择是否允许GooglePlay(Android)或Chrome网上应用店(ChromeOS)以外来源的应用.
对于Android,此规则只影响Android7.
x或之前版本的设备.
AndroidChromeOS允许Android调试桥(ADB)选择是否允许ADB(Android调试桥).
Android允许越狱选择是否允许越狱设备.
iOS、iPadOS32版权所有SophosLimitedSophosMobile规则说明平台需要锁定屏幕选择是否需要设备密码或其他屏幕锁定机制(如图案或PIN).
对于Android,这包括显示屏锁定类型"图案"、"PIN"和"密码",但不包括"轻扫".
没有分配密码策略的WindowsMobile设备始终报告为不兼容.
这是Windows限制.
AndroidiOS、iPadOSWindowsMobileWindows最低OS版本允许的操作系统的最低版本.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOS最高OS版本允许的操作系统的最高版本.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOS强制要求的OS更新选择设备是否必须安装了最新可用或最新必需的更新.
部分更新按Apple的要求进行分类.
最新可用的更新可能比最新必需的更新更新一点.
对于iOS14、iPadOS14或更高版本,此规则仅适用于受监控的设备.
iOS、iPadOS同步之间的最大间隔设备必须与SophosControl同步的最大允许间隔.
AndroidiOS、iPadOSmacOSWindowsMobileWindowsChromeOSSMC同步之间的最大间隔SophosMobileControl必须与SophosControl同步的最大允许间隔.
iOS、iPadOSWindowsMobile版权所有SophosLimited33SophosMobile规则说明平台InterceptXforMobile同步之间的最大间隔SophosInterceptXforMobile必须与SophosControl同步的最大允许间隔.
AndroidiOS、iPadOSInterceptXforMobile扫描之间的最大间隔SophosInterceptXforMobile必须执行恶意软件扫描的最大允许间隔.
AndroidInterceptXforMobile权限可以拒绝选择当用户拒绝SophosInterceptXforMobile的应用权限时设备是否变为不合规.
Android允许恶意软件应用选择是否允许SophosInterceptXforMobile检测到的恶意软件应用.
Android允许可疑应用选择是否允许SophosInterceptXforMobile检测到的可疑应用.
Android允许PUA选择是否允许SophosInterceptXforMobile检测到的可能不需要的应用(PUA).
Android需要加密选择是否要求对设备加密.
用户还必须在他们设置屏幕锁定时,启用启动设备需要PIN或启动设备需要密码设置.
(请参阅Sophos知识库文章123947).
对于macOS,此设置适用于FileVault全盘加密.
对于WindowsMobile,只有在设置了限制禁止未加密设备的情况下,才会报告违规.
这是Windows限制.
此规则不适用于iOS,因为iPhone和iPad始终是加密的.
AndroidmacOSWindowsMobileWindows允许的第三方配置文件允许不是由SophosMobile管理的配置文件.
iOS、iPadOS允许数据漫游允许数据漫游.
AndroidiOS、iPadOS容器已配置必须在设备上设置并启用容器.
这可以是Sophos容器、SamsungKnox容器或Android工作配置文件.
Android需要定位权限该设置表示定位功能.
选择用户是否必须在安装时允许SophosMobileControl应用检索定位数据以便确定为合规.
Android34版权所有SophosLimitedSophosMobile规则说明平台SMC权限可以拒绝SophosMobileControl应用需要设备上的权限才能正常工作.
用户必须在安装该应用时授予这些权限.
选择拒绝要求的权限是否会造成违反合规性.
Android应用可以定位必须开启定位服务,并且允许SophosMobileControl应用使用.
对于WindowsMobile,此规则只影响WindowsPhone8.
1设备.
iOS、iPadOSWindowsMobile需要防火墙必须开启macOS防火墙.
macOS需要系统完整性保护必须开启系统完整性保护.
注释系统完整性保护是一项macOS安全功能,用于限制根用户可以执行的操作.
系统完整性保护可以在Mac设备从macOS恢复中启动时配置.
macOS需要安全更新必须开启macOS安全更新程序的自动安装.
macOS已安装的应用选择允许的应用或禁止的应用程序,然后选择包含您要允许或禁止的应用的应用组.
将始终允许Android系统应用.
对于ChromeOS,应用组可以包含应用和扩展程序.
AndroidiOS、iPadOSmacOSChromeOS强制性应用指定必须安装的应用.
从列表中选择包含强制性应用的应用组.
对于iOS,请勿将系统应用配置为强制性应用.
SophosMobile无法判断是否安装了系统应用,并且会将所有设备设置为不兼容.
对于ChromeOS,应用组可以包含应用和扩展程序.
AndroidiOS、iPadOSmacOSWindowsChromeOS允许未知来源的非托管应用允许通过IPA文件手动安装的应用.
这些是通过adhocprovisioningprofile签名的自开发应用.
iOS、iPadOS网站筛选已开启必须开启InterceptX的网站筛选功能.
iOS、iPadOS版权所有SophosLimited35SophosMobile规则说明平台必须开启WindowsDefender必须开启WindowsDefender的实时保护设置.
Windows需要清洁的WindowsDefender状态设备在WindowsDefender显示警报时将不合规.
Windows需要最新的WindowsDefender定义WindowsDefender必须使用最新的间谍软件定义.
Windows10.
3将合规策略分配到设备组1.
在侧边的菜单栏中,单击管理下的设备组.
将显示设备组页面.
2.
单击要为其分配合规性策略的设备组.
始终会有一个可用的默认设备组.
有关如何创建自己的设备组的信息,请参阅创建设备组(第84页).
3.
在合规性策略下,选择要应用到公司和个人设备的合规性策略.
4.
单击保存.
所选合规性策略将显示在合规性策略(公司)和合规性策略(个人)下的相关设备组的设备组页面上.
10.
4检查设备合规性配置合规性策略后,可以检查注册的设备是否与这些策略相符.
1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
单击立即检查.
已检查所有注册设备的合规性.
将执行特定操作.
注释当AndroidEnterprise完全托管设备不合规时,将禁用所有应用.
36版权所有SophosLimitedSophosMobile11设备11.
1添加设备设备可以通过以下方式添加到SophosMobile:手动添加设备.
请参阅添加设备(第37页).
从CSV文件导入设备.
请参阅导入设备(第38页).
可以使用添加设备向导将设备添加到SophosMobile、将它分配给用户、对它注册和传递注册任务捆绑包.
请参阅使用添加设备向导(第40页).
允许用户在SophosMobileSelfServicePortal中自己注册设备.
请参阅配置自助服务门户(第25页).
该门户让用户无需联系支持人员就可以执行任务,减少了IT支持需求.
设备通过执行定义的任务捆绑包进行设置.
请参阅任务捆绑包(第261页).
建议使用设备组对设备进行分组,以方便管理.
请参阅设备组(第84页).
11.
1.
1添加设备我们建议您在将第一个设备添加到SophosMobile前,先创建一个或多个设备组.
然后可以将每个设备分配到一个设备组,从而简化设备管理.
请参阅创建设备组(第84页).
将新设备添加到SophosMobile:1.
在侧边的菜单栏中,单击管理下的设备.
将显示设备页面.
2.
单击添加,然后从手动添加设备菜单部分选择平台.
将显示编辑设备页面.
3.
在编辑设备页面上,输入以下设备详细信息:a)在名称字段中,为新设备输入一个唯一名称.
b)在说明字段中,为新设备输入一段说明.
c)在所有者下,选择企业或个人.
d)在电子邮件地址字段中,输入电子邮件地址.
e)在电话号码字段中,输入新设备的电话号码.
输入电话号码(以国际格式),如+491701234567.
f)在设备组下,选择设备要分配到的设备组.
有关如何创建设备组的信息,请参阅创建设备组(第84页).
4.
要向设备分配用户,请单击用户字段旁边的编辑用户分配图标,然后单击分配用户至设备.
有关更多信息,请参阅将用户分配到设备(第49页).
5.
要将自定义属性添加到设备,请转到自定义属性选项卡,并单击添加自定义属性.
有关更多信息,请参阅添加自定义设备属性(第62页).
6.
指定所有相关设备详细信息后,单击保存.
新设备将添加到SophosMobile中,并显示在管理下的设备页面上.
现在即可配置和管理该设备.
版权所有SophosLimited37SophosMobile注释对于iPhone和iPad,如果已按iPhone和iPad设置(第16页)中所述将SophosMobile配置为与设备同步设备名称,在名称字段中输入的名称将替换为同步时设置的名称.
11.
1.
2导入设备您可以通过从CSV文件导入设备来添加新设备.
您可以导入最多500个设备.
用户和设备组必须已经在SophosMobile中可用.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入设备页面上,单击CSV示例下载示例文件.
要从CSV文件导入设备:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击添加>导入设备.
3.
在导入设备页面上,单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
4.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
5.
单击完成以创建设备.
CSV文件中所列的设备将导入并显示在设备页面上.
现在即可注册和配置这些设备.
11.
2注册设备在SophosMobileAdmin中添加新设备之后,它们必须注册到SophosMobile.
注册类型SophosMobile支持两种注册类型:设备注册该注册类型提供了完整的移动设备管理(MDM)功能.
SophosMobile能够管理整个设备.
Sophos容器注册SophosMobile仅管理设备上的Sophos容器,但不管理设备本身.
Sophos容器可用于Android和iOS.
38版权所有SophosLimitedSophosMobileSophos容器注册在以下情况中有用:您要管理自带设备(BYOD)方案.
有了Sophos容器注册,您的组织只能看到非常有限的设备信息,并且不会看到个人应用或数据.
您的设备受非SophosMDM软件管理,但您也想使用Sophos容器提供的功能,例如,使用SophosSafeGuardEnterprise进行的企业keyring同步.
您的设备受非SophosMDM软件管理,但您要配置其他电子邮件账户.
例如,当您的组织是一家咨询公司,并且您的员工需要访问客户的Exchange服务器时.
注册方法以下选项可用于注册设备:可以使用设备功能,注册单个、未管理的设备.
有关更多信息,请参阅注册单个设备(第39页).
您可以使用添加设备向导将设备添加到SophosMobile、将它分配给用户、注册它和传递注册任务捆绑包.
请参阅使用添加设备向导(第40页).
注释如果需要,您可以使用添加设备向导或自动注册方法注册没有AppleID的iPhone和iPad.
这可能很有用,比如在将设备交给用户前进行配置时.
请参阅注册没有AppleID的iPhone和iPad(第42页).
建议要对多个设备进行有效的注册和配置,建议采取以下方法:可以将注册设备、应用所需策略和安装所需应用(如iPhone和iPad的托管应用)所需的任务捆绑在一起.
请参阅任务捆绑包(第261页).
您可以允许用户在SophosMobileSelfServicePortal中注册设备.
为此,在配置SophosMobileSelfServicePortal设置时将注册任务捆绑包包括在内.
有关如何在自助服务门户设置中选择任务捆绑包的详细信息,请参阅创建自助服务门户配置(第25页).
11.
2.
1注册单个设备1.
在侧边的菜单栏中,单击管理下的设备,然后单击要注册的设备.
2.
在显示设备页面上,选择注册类型:要将设备注册到SophosMobile,点击操作>注册.
要注册Sophos容器,点击操作>注册Sophos容器.
3.
若要进行Sophos容器注册,选择任务捆绑包或策略.
注册任务将启动,并显示在任务视图页面上.
将向用户发送带有注册说明的电子邮件.
版权所有SophosLimited39SophosMobile警告您必须进入设置应用才能安装下载的配置文件.
如果您没有在8分钟内安装配置文件,它将被删除,您必须重新开始.
此限制不适用于您使用Apple设备注册计划(DEP)或AppleConfigurator分配给SophosMobile的设备,或iOS12.
1.
x或更早版本的iPhone.
注释在Mac设备上,必须由将受到SophosMobile管理的用户执行注册.
要安装注册策略,用户必须输入管理员密码.
11.
2.
2使用添加设备向导使用添加设备向导很容易注册新设备.
它提供了可以合并以下任务的工作流:将新设备添加到SophosMobile.
可选:将用户分配到设备.
注册设备.
可选:将任务捆绑包传输到设备.
1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
提示另外,您可以通过单击添加设备小组件,从仪表板页面启动该向导.
2.
在用户页面上,输入搜索条件以查找将要分配该设备的用户,或选择跳过用户分配以注册尚未分配给用户的设备.
3.
在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户.
4.
在设备详细信息页面上,配置以下设置:选项说明平台设备平台.
只能选择对登录的客户启用的平台.
姓名SophosMobile管理的设备的唯一名称.
描述设备的可选描述.
电话号码可选的电话号码.
输入国际格式的号码,如+491701234567.
邮箱地址用于接收注册说明的电子邮件地址.
如果为该客户配置了用户管理,则是分配给该设备的用户的电子邮件地址.
如果没有配置用户管理,请在此处输入电子邮件地址.
所有者选择设备所有者类型:企业或个人.
设备组选择设备将要分配到哪个设备组.
如果还没有创建设备组,可以选择始终可选的默认设备组.
5.
在注册类型页面上,选择是要注册设备还是只注册Sophos容器.
40版权所有SophosLimitedSophosMobile请参阅配置Sophos容器注册(第327页).
6.
选择传输到设备的任务捆绑包或策略.
或选择仅注册设备以注册设备但不传送任务捆绑包.
7.
在注册页面上,按说明完成注册操作.
警告您必须进入设置应用才能安装下载的配置文件.
如果您没有在8分钟内安装配置文件,它将被删除,您必须重新开始.
此限制不适用于您使用Apple设备注册计划(DEP)或AppleConfigurator分配给SophosMobile的设备,或iOS12.
1.
x或更早版本的iPhone.
注释在Mac设备上,必须由将受到SophosMobile管理的用户执行注册.
要安装注册策略,用户必须输入管理员密码.
8.
注册成功完成后,单击完成.
注释完成所有选择后,可以关闭向导,不必等到完成按钮出现.
将在后台创建并处理注册任务.
如果选择在注册后向设备传输任务捆绑包,则可在任务视图页面上监控任务状态.
请参阅查看未完成、失败和最近完成的任务(第9页).
对于iPhone和iPad,如果已按iPhone和iPad设置(第16页)中所述将SophosMobile配置为与设备同步设备名,将忽略在名称字段中输入的名称,并使用设备上配置的名称.
11.
2.
3自动注册iPhone和iPad可以对iPhone和iPad进行配置,以便在设备激活过程中自动注册到SophosMobile.
为此,可以使用AppleConfigurator2将设备分配给SophosMobileMDM服务器.
用户首次开启设备时,将启动设置助手.
设置过程中,设备将自动进行SophosMobile注册.
注释有关AppleConfigurator2的详细说明,请参阅AppleConfigurator2用户指南(外部链接).
要配置为将iPhone和iPad自动注册到SophosMobile:1.
作为准备自动注册的一次性步骤,创建一个将在SophosMobile自动注册过程中分配给设备的设备组.
在设备组属性中,选中启用iOS自动注册选项.
请参阅创建设备组(第84页).
2.
记录在设备组的自动注册URL字段中显示的URL.
使用AppleConfigurator2配置设备时,需要此URL.
3.
将要自动注册的设备连接到安装有AppleConfigurator2的Mac计算机的USB端口.
4.
在AppleConfigurator2中,使用PrepareAssistant设置设备配置.
5.
选择手动注册,然后输入设备组的自动注册URL.
6.
按PrepareAssistant提示的步骤进行操作.
可以选择配置设备激活的以下方面︰启用设备监管模式.
配置允许设备使用USB端口进行连接的主机计算机.
对于监管的设备,生成或选择"监管身份".
版权所有SophosLimited41SophosMobile禁用设置助手的配置步骤.
完成配置后,将设备交给用户.
用户首次开启设备时,将按配置执行设置,并注册到SophosMobile.
提示默认情况下,SophosMobile将管理自动注册的设备,所使用的名称由设备ID和设备类型组成.
此外,SophosMobile也可以使用在设备上配置的名称.
请参阅iPhone和iPad设置(第16页)中的同步设备名称选项.
11.
2.
4注册没有AppleID的iPhone和iPad您可以将iPhone或iPad注册到SophosMobile,不必先将设备与AppleID关联.
这可能很有用,比如在将设备交给用户前进行配置时.
标准的注册方法包括在设备上安装SophosMobileControl应用.
因为从AppStore安装该应用,且访问AppStore需要AppleID,因此在开始注册前,需要关联设备和AppleID.
此外,可以注册iPhone或iPad但不安装SophosMobileControl应用,因此不需要关联设备和AppleID.
这是由以下方法提供的︰自动注册方法.
请参阅自动注册iPhone和iPad(第41页).
添加设备向导.
请参阅使用添加设备向导(第40页).
在向导中,执行以下操作︰1.
在注册页面上,选择在没有AppleID的情况下注册选项卡.
2.
使用设备的Web浏览器打开注册URL.
将打开SophosMobile注册表单.
3.
在该表单中输入令牌,然后单击注册.
4.
按设备上的说明安装注册任务捆绑包.
警告您必须进入设置应用才能安装下载的配置文件.
如果您没有在8分钟内安装配置文件,它将被删除,您必须重新开始.
此限制不适用于您使用Apple设备注册计划(DEP)或AppleConfigurator分配给SophosMobile的设备,或iOS12.
1.
x或更早版本的iPhone.
11.
2.
5注册Android企业设备对于Android企业,设备通常在SophosMobileSelfServicePortal中注册.
注释如果您已经在SophosMobile中针对托管的GooglePlay帐户方案设置了Android企业,也可以通过添加设备向导或QR码注册设备.
前提条件:已经针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管的GooglePlay帐户方案)(第295页).
已经创建了注册任务捆绑包.
42版权所有SophosLimitedSophosMobile要注册Android企业设备:1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
2.
在添加设备向导中,执行以下操作︰a)在用户页面上,选择搜索用户,然后输入搜索条件以查找要分配设备的用户.
b)在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户.
c)在设备详细信息页面的平台字段中,选择Android.
d)在注册类型页面上,为Android企业选择您的注册任务捆绑包.
根据任务捆绑包分配的策略,设备将成为Android企业完全托管或工作配置文件设备.
注释在Android企业完全托管设备上,仅以下应用可用:设置电话PlayStoreSophosMobileControl相机(如果您已经在限制配置中开启了允许照相机)相关任务配置Android企业设备注册(第299页)使用添加设备向导(第40页)使用QR码注册设备(第63页)要使用QR码注册Android企业完全托管设备,您可以在设备初始设置期间扫描QR码.
11.
2.
6批量注册AndroidEnterprise设备通过SophosNFCProvisioning应用,可以将AndroidEnterprise完全托管设备批量注册到SophosMobile.
限制Android10和更高版本不支持通过NFC注册.
前提条件:已经针对托管的GooglePlay帐户方案设置了AndroidEnterprise.
请参阅设置Android企业(托管的GooglePlay帐户方案)(第295页).
要注册的设备是新的或已经重置为出厂设置,并且支持NFC.
要通过NFC注册设备:1.
通过GooglePlay将SophosNFCProvisioning应用安装到支持NFC的设备上.
这是主设备.
2.
在SophosNFCProvisioning应用中,配置以下设置:您的公司Wi-Fi网络的连接详细信息.
新设备的时区和语言.
可选:自助服务门户的URL.
可选:跳过设备加密.
版权所有SophosLimited43SophosMobile可选:跳过特定于供应商的设置.
可选:启用系统应用.
如果您开启此选项,将启用制造商预安装的所有应用.
如果您关闭此选项,将只启用以下应用:GooglePlayStore、Contacts、Messages、Phone.
Google建议对AndroidEnterprise完全托管设备使用此选项.
3.
点击准备传输,然后背靠背握住主设备和要注册的设备,并使NFC传感器对齐.
设备将设置并注册到SophosMobile.
要注册其他设备,请再次点击准备传输.
11.
3取消设备注册对于不再使用的设备,例如用户有新设备时,可以取消注册.
如果您限制了用户可以在SophosMobileSelfServicePortal中注册的设备数量,这将很有用.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
选择所需的设备,单击操作,然后单击取消注册.
将显示一条提示您确认是否要取消设备注册的消息.
注释可以选择多个设备进行取消注册操作.
3.
单击是.
设备将取消注册.
结果如下:Android设备:—SophosMobileControl设备管理员已禁用.
—服务器登录数据和所有其他接收到的数据都被删除.
—容器应用(SophosSecureWorkspace和SophosSecureEmail)和SophosInterceptXforMobile将重置.
iPhone和iPad:—将删除所有策略.
—将卸载所有托管应用.
—将删除所有通过MobileDeviceManagement接收的证书.
—容器应用(SophosSecureWorkspace和SophosSecureEmail)和SophosInterceptXforMobile将重置.
Macs:—将删除所有策略.
—将删除所有通过MobileDeviceManagement接收的证书.
44版权所有SophosLimitedSophosMobile注释当用户在Android设备上禁用SophosMobileControl设备管理员时,SophosMobileControl应用将取消设备注册.
要取消AndroidEnterprise完全托管设备注册,必须将其擦除.
如果您已经针对托管的GooglePlay帐户方案设置了AndroidEnterprise,用户将只能注册有限数量的设备.
在某些情况下,Google帐户在取消注册后可能仍然保留在设备上,并且设备仍然被认为已注册.
如果出现这种情况,请从设备上手动删除Google帐户.
11.
4管理设备在侧边菜单栏中的管理>设备和设备组下,可以跟踪所有设备和设备组,并执行各种管理任务.
添加设备至SophosMobile后,您可以执行以下操作,例如:查看并编辑设备详细信息.
允许或禁止设备访问电子邮件.
远程锁定或解锁设备.
重置设备密码.
设备丢失或被盗后远程擦除该设备.
解除设备授权(Android和iOS).
删除设备.
11.
4.
1查看设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
转到所需的设备,并单击其名称.
将显示所选设备的显示设备页面.
提示在设备页面,可以将鼠标指向某些元素以显示额外的信息:指向设备的"不受管理"图标可显示实际状态,如取消注册或已检验.
指向设备的"不合规"图标可显示严重性级别(高、中、低).
11.
4.
2"显示设备"页面在显示设备页面上,将显示单个设备的所有相关信息.
在页面的上方,可以快速查看最重要的设备信息.
在页面的下方,将在多个选项卡上显示详细的设备信息.
显示的选项卡和信息取决于设备平台.
可以直接从显示设备页面切换至编辑设备页面.
要编辑正在查看的设备,请单击编辑.
版权所有SophosLimited45SophosMobile状态显示必要的设备信息,如管理类型、管理状态和合规状态.
策略显示安装在设备上的策略和设置配置文件.
该选项卡还包含用于分配或删除策略的命令.
注释策略选项卡上不显示仅包含以下配置的iOS设备策略:漫游/热点壁纸这些配置未安装到设备上.
他们设置用户以后可以修改的设置.
提示表的搜索字段让您可以通过ID进行搜索,即使表中未显示ID.
设备属性显示设备属性,例如型号属性、型号名称、OS版本以及设备是否取得root权限(Android)或越狱(iOS).
自定义属性显示自定义设备属性.
可以自已创建这些属性.
例如,如果没有ActiveDirectory连接可用,可在占位符中使用自定义设备属性.
编辑设备时,还可以在此处添加用户特定信息.
内部属性显示内部设备属性,例如允许的ActiveSync数据流、IMEI.
违反合规性只有不合规的设备才会显示此选项卡.
它显示设备的合规性违反情况,以及由于违反合规性而采取的操作.
已安装的应用显示安装在设备上的软件.
不同平台上显示的信息不同.
大小列显示应用本身的磁盘空间使用量.
数据列显示应用用于用户数据、配置等的额外磁盘空间.
46版权所有SophosLimitedSophosMobile您还可以在此选项卡上安装或卸载应用.
注释对于SophosMobile仅管理Sophos容器的设备,Sophos容器之外的应用程序不会列出.
这包括用户从企业应用商店安装的应用.
对于iOS,标记为托管的应用可以静默地卸载.
对于Mac,将列出所有用户帐户的应用.
对于Windows计算机,您只能卸载由SophosMobile安装的应用.
如果您试图卸载用户安装的应用,任务将失败.
您可以禁用已安装的应用选项卡.
系统应用显示设备上的Android系统应用.
注释不能从设备上删除系统应用.
Knox应用此选项卡显示用户安装在SamsungKnox容器内的应用.
Knox系统应用此选项卡显示安装在SamsungKnox容器内的系统应用.
扫描结果该选项卡显示SophosInterceptXforMobile在设备上执行的最后一次扫描的结果.
只有在SophosInterceptXforMobile由SophosMobile管理时,该选项卡才可用.
证书显示设备上使用的证书.
对于Mac,将列出设备证书,但不列出用户证书.
对于Windows计算机,将列出用户存储中安装的证书,但不列出设备存储中安装的证书.
提示在表中,指向使用者或颁发机构值以显示证书详细信息.
版权所有SophosLimited47SophosMobile任务此选项卡显示设备未完成和失败的所有任务,以及最近几天内完成的任务.
还可以在任务视图页面上查看这些任务,以及所有其他设备的任务.
相关概念iPhone和iPad的托管应用(第282页)iPhone和iPad应用可以安装为托管应用或非托管应用.
MobileThreatDefense和SophosInterceptXforMobile(第311页)SophosInterceptXforMobile是一款适用于Android设备、iPhone或iPad的MobileThreatDefense(MTD)解决方案.
监视任务(第9页)相关任务创建合规性策略(第30页)配置隐私设置(第15页)您可以阻止管理员查看与隐私相关的设备信息.
11.
4.
3使用智能分组智能分组是基于您定义的筛选条件的动态设备集.
例如,您可以定义一个"在过去3个月内创建的所有公司Android设备"的智能分组.
要定义智能分组:1.
在设备页面上,选择设备列表上面的扩展筛选器.
2.
设置筛选条件.
3.
在智能分组中输入智能分组的名称并选择保存.
4.
执行以下任一操作:要将智能分组应用到设备列表,请选择筛选器.
要关闭筛选窗口且不应用智能分组,请选择关闭.
5.
要在以后应用智能分组,请选择设备列表上面的智能分组,然后选择一个条目.
提示智能分组或扩展筛选器激活后,表格标题中的筛选器图标将由蓝色变为绿色.
不再需要筛选器时,请记得重置筛选器.
否则,列表或报告可能不包括您所期望的结果.
其他智能分组操作:要取消智能分组,并再次显示所有设备,请选择扩展筛选器,然后选择重置.
要删除智能分组,请选择智能分组,然后选择要删除的智能分组旁边的垃圾桶图标.
要编辑智能分组,请先应用它,然后选择扩展筛选器,并进行所需的修改,然后选择保存.
要应用专用筛选器但不创建智能分组,请选择扩展筛选器,设置筛选条件,然后选择筛选器.
48版权所有SophosLimitedSophosMobile11.
4.
4编辑设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
进行必要的修改.
4.
单击保存.
11.
4.
5将用户分配到设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标,然后单击选择列表中的相关条目:要将用户分配给尚未分配用户的设备,请单击将用户分配给设备.
要将其他用户分配给已经分配有用户的设备,请单击向设备重新分配用户.
要从LDAP目录重新加载用户列表,请单击刷新用户详细信息.
4.
在分配对话框的输入用户搜索参数页面上,在一个或多个字段中输入搜索字符串,以查找将要分配设备的用户.
例如,输入用户名或部分用户名.
5.
在选择用户页面上选择用户,然后单击应用.
6.
在编辑设备页面上,单击保存.
11.
4.
6从设备取消用户分配1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标,然后单击从设备取消用户分配.
4.
在确认对话框中,单击是.
5.
单击保存.
11.
4.
7配置网络访问权限在配置设备的网络访问权限前,必须在SophosMobile中启用网络访问控制(NAC).
对于SophosMobileonPremise,NAC由超级管理员启用.
请参阅SophosMobile超级管理员指南.
对于SophosMobile即服务,NAC始终启用.
有两个选项用于配置设备的网络访问权限︰1.
允许或无条件拒绝网络访问权限.
2.
在设备违反合规性规则时禁用网络访问权限,否则启用网络访问权限.
版权所有SophosLimited49SophosMobile注释SophosMobile本身不控制网络访问权限.
而是提供了拒绝网络状态,外部NAC软件(如SophosUTM)可用它来阻止网络通信.
注释对于通过以太网连接的Mac设备,不能进行网络访问控制.
SophosMobile只能检索Mac设备Wi-Fi网络适配器的Mac地址,不能检索其以太网适配器的Mac地址.
因为设备是通过Mac地址识别的,所以当外部NAC软件向SophosMobile询问设备的网络状态时,通过以太网端口连接到网络的Mac设备将被视为未知设备.
要配置设备的网络访问权限:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,选择要为其设置网络访问模式的设备.
3.
单击操作,然后单击设置网络访问权限.
4.
选择网络访问模式︰允许:允许选定的设备访问网络.
拒绝:拒绝选定的设备访问网络.
自动模式:根据设备的合规性状态决定选定设备的网络访问权限.
5.
单击是保存修改.
注释您不能拒绝SophosMobile仅管理Sophos容器的设备的网络访问.
有关如何在合规性规则中配置网络访问权限的信息,请参阅创建合规性策略(第30页).
11.
4.
8扫描设备注释此功能需要MobileAdvanced类型的许可证.
您可以在SophosMobile管理SophosInterceptXforMobile的Android设备上执行设备扫描.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要扫描的设备.
3.
在显示设备页面上,单击操作>扫描恶意软件.
将创建执行设备扫描的任务,并传递到SophosInterceptXforMobile.
您可以在显示设备页面上的扫描结果选项卡中查看扫描结果.
单击威胁名称可以显示来自SophosLabs的附加信息.
要扫描多个设备,请创建一个包括扫描恶意软件任务的任务捆绑包,并将它传递到所需的设备或设备组.
50版权所有SophosLimitedSophosMobile11.
4.
9锁定设备您可以远程锁定由SophosMobile管理的设备.
将激活屏幕锁定.
限制这些说明不适用于Chrome设备.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要锁定或解锁的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>锁定.
4.
对于macOS:设置必须在Mac设备上输入才能解锁设备的6位PIN码.
5.
对于某些类型的设备,您可以选择输入在锁屏界面上显示的消息.
将创建激活锁屏的任务,并将其传递到设备.
对于除macOS外的所有平台:用户必须输入设备密码(或根据配置输入PIN码或图案)才能解锁设备.
对于macOS:Mac设备将重新启动.
用户必须输入您设置的设备解锁PIN码.
注释即使对于SophosMobile仅管理Android工作配置文件的设备,锁定操作也会锁定设备,而不仅仅是工作配置文件.
注释您不能锁定SophosMobile仅管理Sophos容器的设备.
注释您不能擦除被远程锁定的Mac设备.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>Unlockpasscode下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
11.
4.
10重置设备密码您可以远程重置以下设备的密码:运行Android6.
x或更高版本的Android设备AndroidEnterprise设备iPhone和iPadWindowsMobile设备但是,您不能重置以下设备的密码:SophosMobile仅在其上面管理Sophos容器的设备.
只有SophosInterceptXforMobile注册到SophosMobile的设备.
版权所有SophosLimited51SophosMobile运行Android8.
x或更高版本的AndroidEnterprise设备(如果用户未确认设备密码).
在某些设备上,用户在安装SophosMobileControl应用之前的初始设置过程中设置密码.
这种情况下,SophosMobileControl应用会要求用户在每次同步时确认密码.
只要用户未确认密码,您就不能远程重置密码.
要重置设备的密码:1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要重置其密码的设备.
3.
在显示设备页面上,单击操作>重置密码.
4.
如果确认对话框中显示一次性解锁密码,请将其交给用户.
对于Android和WindowsMobile设备,用户必须用一次性密码解锁设备,然后创建新密码.
对于iOS设备,密码将删除并解锁设备.
11.
4.
11查找设备您可以找到设备,并在Google地图中查看其位置.
限制找不到Mac.
注释出于隐私方面的考虑,所有与设备位置相关的事件都将记录下来,并在稍后进行检查.
您可以在SophosMobile隐私设置中关闭设备位置查看功能.
前提条件:AndroidSophosMobileControl正在运行.
定位服务已开启.
SophosMobileControl有位置权限.
使用需要定位权限合规性规则确保SophosMobileControl可以获取设备的位置.
iOS和iPadOSSophosMobileControl正在运行.
定位服务已开启.
SophosMobileControl有位置权限.
使用应用可以定位合规性规则确保SophosMobileControl可以获取设备的位置.
对于处于托管的丢失模式的设备,不需要这些前提条件.
WindowsMobileSophosMobileControl正在运行.
定位服务已开启.
SophosMobileControl有位置权限.
52版权所有SophosLimitedSophosMobileChromeOSSophosChromeSecurity已开启.
定位服务已开启.
要查找设备:1.
在侧边的菜单栏中,选择管理下的设备.
2.
选择要定位的设备.
3.
选择操作>查找.
如果查找不可用,请检查SophosMobileControl应用是否可以获取设备的位置.
4.
输入请求的原因,然后选择是.
将创建获取设备位置的任务,并将其传递到设备.
如果设备处于离线状态,任务将保持通知状态,直至设备连接到服务器.
5.
任务完成后,选择操作>查找>显示位置在Google地图中查看设备的位置.
要查看多个设备的位置,请在设备页面上将其选中,然后选择操作>查找.
或者使用设备定位报告.
您不能随时跟踪设备位置,因为SophosMobile只存储最后的已知位置.
相关任务配置隐私设置(第15页)您可以阻止管理员查看与隐私相关的设备信息.
相关参考可用的合规性规则(第31页)本节列出了可以为各个平台选择的合规性规则.
11.
4.
12绕过Apple激活锁定您可以绕过Apple激活锁定功能,在没有先前用户的AppleID和密码的情况下重新激活iPhone和iPad.
前提条件:设备受到监控.
您已经在SophosMobileAdmin中开启"激活锁定绕过",并且此后设备已与SophosMobile同步.
激活锁定是Apple的一项安全功能,可以防止激活丢失或被盗的设备.
如果设备上的"激活锁定"功能已经开启,您必须输入先前用户的AppleID和密码才能重新将其激活.
如果用户返回的设备开启了"激活锁定"功能,并且您不知道该用户的AppleID和密码,SophosMobile提供了两种方法重新激活该设备.
相关参考iPhone和iPad设置(第16页)在Apple设置页面的iOS和iPadOS选项卡上,可以配置iPhone和iPad的设置.
删除激活锁定如果设备仍然注册到SophosMobile,您可以远程删除激活锁定功能.
1.
在侧边的菜单栏中,选择设备.
2.
打开要在其上删除激活锁定功能的设备.
版权所有SophosLimited53SophosMobile3.
在显示设备页面上,选择操作>激活锁定跳过.
SophosMobile将向设备发送任务,以删除激活锁定功能.
4.
任务完成后,将设备重置为出厂设置.
现在,您不需要输入先前用户的AppleID和密码就可以激活该设备.
绕过激活锁定假定设备已从SophosMobile取消注册,例如,因为用户已将其重置为出厂设置.
这种情况下,您可以使用绕过代码重新激活该设备.
1.
在侧边的菜单栏中,选择设备.
2.
打开要绕过激活锁定功能的设备.
3.
在显示设备页面上,进入设备属性.
4.
在属性列表中,搜索ActivationLockBypassCode.
这是绕过代码.
5.
将设备重置为出厂设置后,将其开启.
6.
在必须输入先前用户AppleID和密码的页面上,在密码字段中输入绕过代码,不带破折号.
将AppleID字段保留为空.
7.
完成激活过程.
11.
4.
13设置客户端日志级别通过设置日志级别,可以配置SophosMobile客户端在设备上收集的日志记录信息量.
限制这些说明仅适用于有SophosMobile客户端的平台:AndroidiOS、iPadOSChromeOS如果您不设置日志级别,用户可以在SophosMobile客户端中设置.
要设置日志级别:1.
在侧边的菜单栏中,选择管理下的设备.
2.
选择要为其设置日志级别的设备的名称.
3.
选择操作>设置日志级别.
4.
选择日志级别(错误、警告、信息、调试、跟踪),或选择设备默认让用户设置日志级别.
日志记录信息量将从错误增加到跟踪.
设置日志级别后,它将作为client.
log.
level.
serverOverride属性显示在内部属性选项卡上.
要为多个设备设置日志级别,请在设备页面上将其选中,并选择操作>设置日志级别.
相关信息获取应用日志(第55页)54版权所有SophosLimitedSophosMobile您可以通过SophosMobileAdmin远程获取或通过SophosMobileControl在设备上获取所有托管SophosMobile应用的日志文件.
11.
4.
14获取应用日志您可以通过SophosMobileAdmin远程获取或通过SophosMobileControl在设备上获取所有托管SophosMobile应用的日志文件.
对于Android设备、iPhone和iPad,您可以获取以下应用的日志文件(如果它们由SophosMobile托管):SophosMobileControlSophosSecureWorkspaceSophosSecureEmailSophosInterceptXforMobile对于Chrome设备,您可以获取SophosChromeSecurity的日志文件.
对于SophosMobile不管理的应用,您仍然可以从应用中导出其日志文件.
有关如何获取iPhone或iPad的系统日志文件的信息,请参阅知识库文章KB-000034154.
相关信息如何获取Android和iOS设备的日志(视频)知识库文章KB-000034154远程获取SophosMobile日志提示我们建议您在获取日志文件之前设置最详细的日志级别跟踪.
请参阅设置客户端日志级别.
要通过SophosMobileAdmin获取设备上所有托管SophosMobile应用的日志文件,请执行以下操作:1.
在侧边的菜单栏中,选择设备.
2.
打开要获取其日志文件的设备.
您可以获取Android设备、iPhone、iPad和Chrome设备的日志文件.
3.
在显示设备页面上,选择操作>获取日志文件.
SophosMobile将向您发送包含日志文件的电子邮件.
对于AndroidEnterprise设备,该电子邮件将包括AndroidBug报告.
对于iPhone和iPad,用户必须在运行该操作后72小时内打开SophosMobileControl.
否则,操作将失败.
相关任务设置客户端日志级别(第54页)通过设置日志级别,可以配置SophosMobile客户端在设备上收集的日志记录信息量.
获取设备上的SophosMobile日志要通过SophosMobileControl获取所有托管SophosMobile应用的日志文件,请执行以下操作:版权所有SophosLimited55SophosMobile1.
在设备上打开SophosMobileControl.
2.
打开应用菜单并选择发送日志.
3.
选择电子邮件应用.
4.
输入电子邮件发件人和收件人.
在Android中,默认发件人是用户的Google帐户,默认收件人是您在SophosMobileAdmin中配置的IT联系人.
5.
发送该电子邮件.
注释如果您为Samsung设备分配了Knox容器策略并且关闭了允许"共享方式",则不能从这些设备导出日志文件.
相关任务配置IT部门联系人(第15页)获取SophosSecureWorkspace日志(Android)要获取SophosSecureWorkspaceAndroid应用的日志文件,请执行以下操作:1.
打开SophosSecureWorkspace.
2.
打开应用菜单并选择设置>通过电子邮件发送日志.
3.
选择电子邮件应用.
4.
输入电子邮件发件人和收件人.
默认发件人是用户的Google帐户.
5.
发送该电子邮件.
获取SophosSecureWorkspace日志(iOS)要获取SophosSecureWorkspaceiOS或iPadOS应用的日志文件,请执行以下操作:1.
打开SophosSecureWorkspace.
2.
选择右上角的三个点,打开应用菜单.
3.
选择设置>发送日志文件.
4.
输入电子邮件发件人和收件人.
5.
选择发送.
获取SophosInterceptXforMobile日志(Android)要获取SophosInterceptXforMobileAndroid应用的日志文件,请执行以下操作:1.
打开SophosInterceptXforMobile.
2.
打开应用菜单并选择设置>通过电子邮件发送日志.
3.
选择电子邮件应用.
4.
输入电子邮件发件人和收件人.
56版权所有SophosLimitedSophosMobile默认发件人是用户的Google帐户.
5.
发送该电子邮件.
获取SophosInterceptXforMobile日志(iOS)要获取SophosInterceptXforMobileiOS或iPadOS应用的日志文件,请执行以下操作:1.
打开SophosInterceptXforMobile.
2.
打开应用菜单并选择设置>发送日志文件.
3.
选择邮件.
4.
输入电子邮件发件人和收件人.
默认发件人是Google帐户的电子邮件地址.
5.
选择发送.
获取SophosChromeSecurity日志要获取SophosChromeSecurity的日志文件,请执行以下操作:1.
打开Chrome.
2.
在扩展程序栏中,选择SophosChromeSecurity.
3.
选择关于>导出日志.
SophosChromeSecurity将把日志文件保存在设备的下载文件夹中.
11.
4.
15擦除设备您可以远程擦除由SophosMobile管理的设备.
此操作将把设备重置为出厂设置.
限制您不能擦除以下设备:SophosMobile仅在其上面管理Sophos容器的设备.
AndroidEnterprise工作配置文件设备.
您已经远程锁定的Mac设备.
要远程擦除设备:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要擦除的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>擦除.
4.
对于某些类型的设备,必须配置额外的设置:a)对于AndroidEnterprise完全托管设备,请根据需要开启恢复出厂设置保护.
版权所有SophosLimited57SophosMobile警告如果您为恢复出厂设置保护配置的Google帐户无效,或您不知道帐户凭据,设备在擦除后将不可用.
b)对于iPhone和iPad,在确认对话框中配置以下设置:保存流量套餐:如果设备上有可用的手机网络数据套餐,它将在恢复出厂设置后保留.
禁止快速启动:对于恢复出厂设置后启动的第一台设备,在允许用户从其他iPhone传输内容的设置助手中跳过快速启动步骤.
c)对于Mac设备,设置必须在Mac设备上输入才能解锁设备的6位PIN码.
5.
在确认对话框中单击是.
将创建擦除设备的任务,并将其传递到设备.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>Unlockpasscode下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
相关概念Android恢复出厂设置保护(第302页)恢复出厂设置保护(FRP)是一项Android安全功能,可以防止在恢复出厂设置后的未经授权访问.
11.
4.
16开启或关闭Android恢复出厂设置保护限制这些说明仅适用于AndroidEnterprise完全托管设备.
为Android企业完全托管设备配置恢复出厂设置保护(FRP)时,默认情况下将开启该功能.
如果您确定设备没有丢失或被盗,可以关闭FRP以简化设置过程.
要开启或关闭FRP:1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要为其设置FRP状态的设备.
3.
在显示设备页面上,单击操作>设置恢复出厂设置保护.
4.
选择开启FRP或关闭FRP.
如果FRP已开启,必须先使用为FRP配置的其中一个Google帐户恢复出厂设置,然后解锁设备.
有关FRP的详细信息,请参阅Android恢复出厂设置保护(第302页).
警告如果您错误地配置了FRP,在FRP开启的情况下重置设备后,设备将不可用.
提示您可以在显示设备页面上的状态选项卡中检查设备的FRP状态.
58版权所有SophosLimitedSophosMobile11.
4.
17配置电信费用管理使用电信费用管理(TEM),您可以监控单个设备的手机网络数据使用情况.
限制电信费用管理不适用于:Android5.
1.
1或以前版本的设备.
Android企业工作配置文件设备.
Mac设备.
Windows和WindowsMobile设备.
Chrome设备.
要为特定设备配置电信费用管理:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,选择您要为其配置电信费用管理的设备.
仅选择使用相同手机网络数据套餐的设备.
3.
单击操作>配置电信费用管理.
4.
配置以下设置:选项说明开启监控如果选中,将对选中的设备开启手机网络数据使用情况监控.
套餐的数据量您的手机网络数据套餐的数据量(MB).
警报阈值数据量的阈值(MB).
设备使用的数据量超过此阈值时,将发出警报.
使用周期重置日期1和31之间的一个值,用于指定在一个月中的哪一天重置数据使用值.
注释如果某月的天数少于输入的值,则在当月的最后一天重置数据使用值.
5.
单击保存将设置应用到选定的设备.
设备在每次与SophosMobile服务器同步时报告手机网络数据使用情况.
要查看设备的当前数据使用量,请打开设备的显示设备页面,然后单击操作>配置电信费用管理.
注释报告的数据使用量可能与您的电信服务提供商收费的值有差异.
将报告安装的应用导致的数据流,但不报告系统更新、系统应用更新等导致的.
版权所有SophosLimited59SophosMobile提示使用手机网络数据使用情况报告查看所有已经开启电信费用管理的设备的数据使用量.
请参阅报告(第8页).
注释数据使用值将在以下时间重置:—每月定期在您配置的日期结束时间.
—当您关闭设备的电信费用管理时.
—从SophosMobile取消注册设备时.
对于iOS,SophosMobileControl应用关闭时,即用户在设备重启后未启动该应用时,将不报告数据使用量.
11.
4.
18更新iOS和iPadOS您可以更新受监控设备上的iOS和iPadOS.
此过程可用于更新单个设备上的iOS或iPadOS.
要更新设备组,请使用带有安装最新的iOS更新任务的任务捆绑包.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击设备旁边的向下箭头,然后单击显示.
3.
在显示设备页面上,单击操作>显示可用的更新.
将显示可用于设备的更新的列表.
标记紧要的更新是由Apple分类的关键安全更新.
4.
要安装最新的可用更新,请单击安装最新的可用更新.
SophosMobile将创建任务并将其传输到设备.
提示要检查单个设备的更新状态,请打开设备的显示设备页面.
如果设备没有安装最新的可用版本,操作系统旁边将显示警告标志.
对于iOS14、iPadOS14或更高版本,只有受监控的设备才会报告其更新状态.
要检查所有iPhone和iPad的更新状态,请查看设备报告的OsUpdateAvailable列.
相关概念任务类型(iOS、iPadOS)(第264页)11.
4.
19配置托管的丢失模式您可以将受监控的iPhone和iPad置于托管的丢失模式下.
直到在SophosMobile中再次关闭托管的丢失模式前,将不能使用该设备.
在托管的丢失模式下,设备只能执行以下操作:拨打您已经配置的电话号码.
拨打紧急呼叫号码.
60版权所有SophosLimitedSophosMobile注释托管的丢失模式是一种与丢失模式不同的锁定模式,后者可以由用户在iCloud中开启.
如果您在SophosMobile中开启托管的丢失模式,设备将不能在iCloud中解除锁定.
在托管的丢失模式下定位设备比在标准锁定模式下更可靠.
设备位置是由系统功能报告的,不需要激活SophosMobileControl应用.
要开启托管的丢失模式:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要将其置于托管的丢失模式下的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>开启托管的丢失模式.
4.
配置以下设置:选项说明锁屏消息显示在锁屏界面上的文本.
电话号码可以在锁屏界面上拨打的电话号码.
页脚显示在锁屏界面底部的脚注文本.
如果您没有配置脚注,将显示提示联系管理员的标准注释.
将创建开启托管的丢失模式的任务,并将其传递到设备.
设备接收该任务后,将立即开启托管的丢失模式.
如果设备处于托管的丢失模式下,您将可以在显示设备页面上执行以下操作:要定位此设备,请使用操作>定位.
要在设备上播放声音,请使用操作>播放丢失模式声音.
要关闭托管的丢失模式,请使用操作>关闭托管的丢失模式.
提示要查看托管的丢失模式是否开启,请检查设备属性IsMDMLostModeEnabled.
11.
5自定义设备属性除设备本身报告的属性外,您还可以为设备添加自定义属性.
使用我的属性名称添加属性时,可以使用%_DEVPROP(我的属性)_%占位符表示属性值.
有关占位符的详细信息,请参阅策略中的占位符(第99页).
可以通过以下方式为设备添加自定义属性:为单个设备添加自定义属性.
请参阅添加自定义设备属性(第62页).
创建默认属性,在设备创建时作为自定义属性分配给设备.
请参阅创建默认设备属性(第62页).
版权所有SophosLimited61SophosMobile11.
5.
1添加自定义设备属性除设备本身报告的属性外,您还可以为设备添加自定义属性.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,转到自定义属性选项卡,然后单击添加自定义属性.
如果自定义属性选项卡不可用,请检查专家模式系统设置是否开启(在设置>常规>个人下).
4.
为属性输入名称和值.
5.
单击应用.
6.
单击保存.
自定义属性将添加到设备.
注释自定义设备属性的名称不能和标准设备属性的名称相同.
11.
5.
2创建默认设备属性您可以创建默认属性,在设备创建时作为自定义属性分配给设备.
1.
在侧边的菜单栏中,单击设置下,单击设置>常规然后单击默认设备属性选项卡.
2.
单击添加自定义属性.
3.
为属性输入名称和值.
4.
单击应用.
5.
单击保存.
注释自定义设备属性的名称不能和标准设备属性的名称相同.
注释如果为客户和超级管理员客户定义了相同的默认属性,则使用为客户定义的值.
11.
6QR码注册您可以在设备设置过程中扫描QR码,注册Android企业完全托管设备.
例如,在将设备部署给用户之前,可以使用此方法准备设备.
要求:已经在SophosMobile中针对"托管的GooglePlay帐户"方案设置了Android企业.
您要注册的设备使用Android7或更高版本.
相关任务设置Android企业(托管的GooglePlay帐户方案)(第295页)62版权所有SophosLimitedSophosMobile11.
6.
1设置QR码注册您必须配置创建QR码和注册设备所需的设置.
前提条件:您已经为QR码注册创建了任务捆绑包.
任务捆绑包必须有分配策略任务用于Android企业设备策略,并且不能有注册任务.
要设置QR码注册:1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择QR码注册选项卡.
2.
选择配置Android企业QR码注册.
3.
在配置QR码下,配置用于设置设备的设置:启用系统应用:在Android企业完全托管设备上,默认情况下将禁用带有启动程序图标的系统应用.
选中此设置可以启用所有系统应用.
语言:Android用户界面的语言.
Wi-Fi设置:选择Wi-Fi连接的安全类型,或选择不配置Wi-Fi在QR码中配置无网络.
在这种情况下,用户必须在设置设备时手动连接到Wi-Fi网络.
Wi-FiSSID:Wi-Fi网络的ID:隐藏SSID:如果Wi-Fi网络被隐藏,请选中此选项.
Wi-Fi密码:Wi-Fi网络的密码.
设备将自动连接至Wi-Fi网络(如果可用).
4.
在配置注册下,配置SophosMobile如何管理设备:任务捆绑包:传递到设备的任务捆绑包.
设备组:设备分配到的设备组.
QR码将显示在QR码注册选项卡上.
您可以将其打印出来,在不访问SophosMobileAdmin的情况下就可以使用它.
注释您可以使用相同的QR码注册所有设备.
您可以停用该QR码,以防止以后注册.
当您创建新的代码时,该代码也将停用.
相关任务使用QR码注册设备(第63页)要使用QR码注册Android企业完全托管设备,您可以在设备初始设置期间扫描QR码.
11.
6.
2使用QR码注册设备要使用QR码注册Android企业完全托管设备,您可以在设备初始设置期间扫描QR码.
限制QR码注册需要Android7或更高版本.
前提条件:版权所有SophosLimited63SophosMobile您有SophosMobile用户帐户.
您必须在注册过程中输入帐户凭据.
您有注册QR码可用.
要注册设备:1.
开启新设备,或将其重置为出厂设置(如果已在使用).
2.
在Android设置助手的欢迎页面上,在同一个位置点击六次.
将打开QR码读取器.
在某些设备上,您必须连接到Wi-Fi网络,以便Android可以下载QR码读取器.
3.
扫描QR码.
4.
如果QR码不包含Wi-Fi配置,或Wi-Fi网络不可用,请手动连接到网络.
5.
按照注册说明进行操作.
设备将作为Android企业完全托管设备注册到SophosMobile.
根据设备的不同,设置过程可能会比手动设置过程用时短.
例如,可能会跳过特定于供应商的配置步骤.
11.
7Zero-touch注册通过AndroidZero-touch注册,可以批量注册公司所有的Android设备.
支持Zero-touch的设备将在用户开机时作为Android企业完全托管设备自动注册到SophosMobile.
要求有GoogleZero-touch注册门户的帐户.
通常,设备经销商会在您购买第一台设备时为您创建帐户.
已经在SophosMobile中针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管的GooglePlay帐户方案)(第295页).
配置步骤要使用Zero-touch注册,请执行以下步骤:1.
在SophosMobileAdmin中开启Zero-touch注册并配置注册详细信息.
请参阅设置Zero-touch注册(第65页).
2.
在GoogleZero-touch注册门户中为SophosMobile创建配置.
请参阅创建Zero-touch配置(第65页).
3.
从Google认证的企业经销商购买支持Zero-touch的Android设备.
4.
将SophosMobile的Zero-touch配置文件分配给设备.
请参阅部署Zero-touch设备(第66页).
相关信息GoogleZero-touch注册网站(外部链接)GoogleZero-touch注册帮助(外部链接)64版权所有SophosLimitedSophosMobile11.
7.
1设置Zero-touch注册要在SophosMobileAdmin中设置Zero-touch注册,请在支持Zero-touch的Android设备("Zero-touch设备")注册到SophosMobile服务器时,配置应用到这些设备的设置.
前提条件:您已经为QR码注册创建了任务捆绑包.
任务捆绑包必须有分配策略任务用于Android企业设备策略,并且不能有注册任务.
要设置Zero-touch注册:1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Zero-touch选项卡.
2.
选择使用zero-touch注册.
3.
在Zero-touch配置设置下选择DPCextras,配置应用到设备的设置:语言:Android用户界面的语言.
时区:设备上设置的时区.
启用系统应用:在Android企业完全托管设备上,默认情况下将禁用带有启动程序图标的系统应用.
选中此设置可以启用所有系统应用.
根据您的设置,SophosMobile将创建您必须在GoogleZero-touch注册门户中输入的配置代码.
4.
在注册设置下,配置Zero-touch设备的SophosMobile注册:设备组:设备分配到的设备组.
任务捆绑包:传递到设备的任务捆绑包.
5.
选择保存保存注册设置.
要完成Zero-touch注册设置,请在GoogleZero-touch注册门户中为SophosMobile创建配置.
11.
7.
2创建Zero-touch配置Zero-touch配置包含设备注册到SophosMobile服务器所需的信息.
在GoogleZero-touch注册门户中创建该配置.
该过程假定您已经按设置Zero-touch注册(第65页)中所述,在SophosMobileAdmin中设置了AndroidZero-touch注册.
1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Zero-touch选项卡.
2.
单击DPCextras旁边的复制,将配置代码复制到剪贴板.
3.
在新的浏览器窗口中打开GoogleZero-touch注册门户.
4.
为SophosMobile创建新的配置:在EMMDPC中,选中SophosMobileControl.
在DPCextras中,输入复制到剪贴板的配置代码.
5.
或者将配置选择为默认配置,使其自动应用到所有新设备.
相关信息GoogleZero-touch注册门户(外部链接)GoogleZero-touch注册帮助(外部链接)版权所有SophosLimited65SophosMobile11.
7.
3部署Zero-touch设备要将支持Zero-touch的设备("Zero-touch设备")注册到您的SophosMobile服务器,请在SophosMobile配置中进行分配.
1.
检查要部署的设备是否已在GoogleZero-touch注册门户中注册.
通常,经销商会为您进行设备注册.
2.
在GoogleZero-touch注册门户中,将SophosMobile配置分配给设备.
或者将SophosMobile配置选择为默认配置,使其自动分配给新设备.
3.
将设备分发给您的用户.
用户必须有SophosMobile用户帐户.
用户首次开启设备时,将启动Android设置助手.
设备连接到Internet后,将作为Android企业完全托管设备注册到SophosMobile.
注释在GoogleZero-touch注册门户中注册设备时,如果设备已经设置,则设备将恢复为出厂设置.
11.
7.
4关闭Zero-touch注册要关闭通过SophosMobile自动注册支持Zero-touch的Android设备("Zero-touch设备"):1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Zero-touch选项卡.
2.
单击停用zero-touch配置.
Zero-touch设备仍然会连接到您的SophosMobile服务器进行注册,但服务器会拒绝该请求.
要完全断开SophosMobile和Zero-touch注册,请在GoogleZero-touch注册门户中删除SophosMobile的配置.
11.
8KnoxMobileEnrollment通过SamsungKnoxMobileEnrollment(KME),您可以将公司所有的Samsung设备批量注册到SophosMobile.
支持KnoxMobileEnrollment的设备将在用户开机时自动注册到您的SophosMobile服务器.
要求您有Samsung帐户.
您有SamsungKnox门户的帐户.
根据您要使用的注册方案,要注册的设备有Knox2.
4或更高版本.
例如,Android企业完全设备管理需要Knox2.
8或更高版本.
如果在Android企业模式下注册,已经在SophosMobile中针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管的GooglePlay帐户方案)(第295页).
66版权所有SophosLimitedSophosMobile配置步骤要使用KnoxMobileEnrollment,请执行以下步骤:1.
在SophosMobileAdmin中开启KnoxMobileEnrollment并配置详细信息.
请参阅设置KnoxMobileEnrollment(第67页).
2.
在SamsungKnoxMobileEnrollment控制台中为SophosMobile创建配置文件.
请参阅创建KME配置文件(第67页).
3.
购买支持KnoxMobileEnrollment的设备.
4.
将SophosMobile的KME配置文件分配给设备.
请参阅部署KME设备(第68页).
相关信息SamsungKnoxMobileEnrollment网站(外部链接)SamsungKnoxMobileEnrollment用户指南(外部链接)11.
8.
1设置KnoxMobileEnrollment要在SophosMobileAdmin中设置SamsungKnoxMobileEnrollment(KME),请在KME设备注册到SophosMobile服务器时,配置应用到这些设备的设置.
1.
在侧边的菜单栏中,单击设置下,单击设置>Android设置然后单击SamsungKME选项卡.
2.
单击使用KnoxMobileEnrollment.
3.
在注册设置下,配置KME设备的SophosMobile注册.
设备组:KME设备分配到的设备组.
任务捆绑包(Android):用于设备的任务捆绑包,其中SophosMobile将成为Android设备管理员.
任务捆绑包(Android企业全设备管理):针对AndroidEnterprise完全托管设备的任务捆绑包.
这些列表显示没有注册任务的任务捆绑包.
在SamsungKnoxMobileEnrollment控制台的MDM注册配置文件中配置注册模式.
用户验证:如果选中,用户必须在设备设置过程中输入其SophosMobile凭据.
用户在SophosMobile中分配给设备.
如果不选中,设备将注册到SophosMobile,但不分配用户.
4.
单击保存保存注册设置.
要完成KnoxMobileEnrollment设置,请在SamsungKnoxMobileEnrollment控制台中为SophosMobile创建MDM配置文件.
11.
8.
2创建KME配置文件KnoxMobileEnrollment(KME)配置文件包含设备注册到SophosMobile服务器所需的信息.
在SamsungKnoxMobileEnrollment控制台中创建该配置文件.
该过程假定您已经按设置KnoxMobileEnrollment(第67页)中所述,在SophosMobileAdmin中设置了SamsungKnoxMobileEnrollment.
1.
在侧边的菜单栏中,单击设置下,单击设置>Android设置然后单击SamsungKME选项卡.
版权所有SophosLimited67SophosMobile2.
在新的浏览器窗口中打开SamsungKnox门户,并导航至KnoxMobileEnrollment控制台.
3.
在KnoxMobileEnrollment控制台中,为SophosMobile创建MDM配置文件.
如果您要使用Android企业完整设备管理,请开启设备所有者选项.
4.
使用SophosMobileAdmin中MDM配置文件配置下显示的值配置该配置文件.
单击SophosMobileAdmin中某个字段旁的复制,将值复制到剪贴板.
还有很多可以配置的配置文件设置.
请参阅SamsungKnoxMobileEnrollment用户指南了解详细信息.
5.
保存配置文件.
相关信息SamsungKnoxMobileEnrollment控制台(外部链接)SamsungKnoxMobileEnrollment用户指南(外部链接)11.
8.
3部署KME设备要将支持KnoxMobileEnrollment的设备("KME设备")注册到您的SophosMobile服务器,请在SophosMobile配置文件中进行分配.
1.
在KnoxMobileEnrollment控制台中,将SophosMobile配置文件分配给设备.
如果设备没有显示在KnoxMobileEnrollment控制台,请联系您的经销商.
2.
将设备分发给您的用户.
如果您已经在SophosMobileAdmin的KME注册设置中选择用户验证,则用户必须有SophosMobile用户帐户.
用户首次开启设备时,将启动KnoxMobileEnrollment设置向导.
设备连接到Internet后,将注册到SophosMobile.
根据您在KnoxMobileEnrollment控制台中的SophosMobile配置文件中配置的注册模式,SophosMobile使用Android企业完全设备管理或Android设备管理员权限来管理设备.
11.
8.
4关闭KnoxMobileEnrollment要关闭通过SophosMobile自动注册支持KnoxMobileEnrollment的设备("KME设备"):1.
在侧边的菜单栏中,单击设置下,单击设置>Android设置然后单击SamsungKME选项卡.
2.
单击停用KME配置.
KME设备仍然会连接到您的SophosMobile服务器进行注册,但服务器会拒绝该请求.
要完全断开SophosMobile和KnoxMobileEnrollment,请在SamsungKnoxMobileEnrollment控制台中删除SophosMobile的配置文件.
11.
9AppleDEP通过Apple设备注册程序(DEP),可以批量购买iPhone、iPad和Mac设备,并在您的公司内分发.
DEP提供了以下功能,可以简化移动设备的部署:可配置的激活过程.
无线配置.
在设备激活过程中,将设备自动注册到SophosMobile.
68版权所有SophosLimitedSophosMobile准备步骤准备通过SophosMobile管理DEP设备时,请执行以下一次性步骤:1.
在AppleDEPWeb门户中,创建虚拟MDM服务器,并将其连接到SophosMobile.
2.
在SophosMobile中,创建一个或多个DEP配置文件,以控制各种DEP设备属性.
通过DEP配置文件,还可以自定义在设备首次开机时启动的设置助手.
部署步骤购买DEP设备时,典型的部署过程包括以下步骤:1.
从Apple或授权的DEP供应商购买设备.
2.
在AppleDEPWeb门户中,将设备分配给SophosMobileMDM服务器.
3.
在SophosMobileAdmin中,给设备分配DEP配置文件.
4.
将设备分发给您的用户.
5.
用户首次开启设备时,自定义的设置助手将启动.
设置过程中,设备将注册到SophosMobile,并将用户分配给设备.
设备将受到监控.
6.
如果需要,可以向设备传输其他任务绑定包,以完成设置.
11.
9.
1设置AppleDEP要管理AppleDEP设备,需要在AppleDEPWeb门户中创建虚拟MDM服务器,并将其链接到SophosMobile服务器.
前提条件:您已在Apple设备注册计划(DEP)中注册,并且已经为AppleDEPWeb门户设置了管理员帐户.
请参阅AppleDEP网站http://www.
apple.
com/business/dep/或Apple部署程序帮助.
您已将Apple推送通知服务(APNs)证书上传到SophosMobile.
请参阅创建APNs证书(第16页).
提示如果已在Apple批量购买计划(VPP)中注册,则可对DEP使用相同的AppleID.
要设置AppleDEP:1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AppleDEP选项卡.
2.
单击下载公钥,下载用于AppleDEP的SophosMobile公钥文件.
该文件将保存到您的本地计算机.
3.
在新的浏览器窗口中,使用网址https://deploy.
apple.
com打开AppleDEPWeb门户.
为此,您可以在SophosMobile中单击AppleBusinessManager链接.
4.
使用您的公司AppleID登录AppleDEPWeb门户.
5.
在该门户中,转到设备注册程序>管理服务器,然后单击添加MDM服务器.
6.
为MDM服务器输入名称,如SophosMobile.
7.
在下一步中,上传您从SophosMobile下载的公钥文件.
8.
在下一步中,下载服务器令牌.
版权所有SophosLimited69SophosMobile此时,可以注销AppleDEPWeb门户.
9.
在SophosMobile的AppleDEP选项卡上,单击上传文件并选择您从AppleDEPWeb门户下载的服务器令牌.
10.
单击保存.
DEP服务器令牌的有效期为一年.
警告在AppleDEPWeb门户中创建新的服务器令牌时,必须使用创建初始令牌时使用的相同AppleID.
11.
9.
2重置AppleDEP重置存储在SophosMobile中的AppleDEP信息可从SophosMobile删除AppleDEP令牌,例如因为上传了错误的令牌.
1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AppleDEP选项卡.
2.
单击重置DEP.
将从SophosMobile删除AppleDEP令牌、所有AppleDEP设备和所有AppleDEP配置文件.
要停止通过SophosMobile管理AppleDEP设备,请转到AppleDEPWeb门户并删除作为MDM服务器的SophosMobile.
11.
9.
3创建DEP配置文件在创建DEP配置文件前,需要设置Apple设备注册程序(DEP).
请参阅设置AppleDEP(第69页).
DEP配置文件分配给DEP设备,并在设备激活时向Apple服务器提供信息.
该信息包括:分配用于管理该设备的MDM服务器(即SophosMobile).
通过SophosMobile进行注册的配置选项.
可与设备配对的主机列表.
在设备首次开机时启动的设置助手使用的自定义选项.
如果需要,可以创建多个DEP配置文件,以便对DEP设备使用不同的设置和注册设定值.
要创建DEP配置文件:1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AppleDEP配置文件选项卡.
2.
单击添加.
3.
在编辑DEP配置文件对话框中,输入要求的设置.
4.
要将配置文件分配给所有没有手动分配配置文件的新DEP设备,请在分配给新设备的默认DEP配置文件列表中将其选中.
如果选择无,则必须将DEP配置文件手动分配给新的DEP设备,如准备DEP设备(第71页)中所述.
否则,DEP设备将不会在激活时通过SophosMobile进行注册.
5.
单击保存保存修改.
相关参考DEP配置文件设置(iOS)(第73页)DEP配置文件设置(macOS)(第77页)70版权所有SophosLimitedSophosMobile11.
9.
4准备DEP设备将DEP设备交给用户之前,您必须先将它们分配给SophosMobile,并给它们分配DEP配置文件.
1.
在您的Web浏览器地址栏中输入https://deploy.
apple.
com,打开Apple部署程序的Web门户,然后使用您的公司AppleID登录.
2.
在门户中,转到设备注册程序>管理设备.
3.
在设备选择方式下,按序列号或按订单号选择您的新设备,或上传包含设备序列号的CSV文件.
注释从经销商购买设备后,在经销商将您的订单传给Apple后的24小时内,设备会出现在DEP门户中.
4.
在选择操作下,选择分配给服务器,然后选择已经为SophosMobile设置的虚拟MDM服务器(如设置AppleDEP中所述).
5.
单击确定执行分配.
此时,可以注销AppleDEPWeb门户.
如果已经按创建DEP配置文件的描述配置了默认的DEP配置文件,则可跳过其余步骤.
6.
使用要为其管理DEP设备的客户的管理员帐户,登录到SophosMobileAdmin.
7.
在侧边的菜单栏中,单击管理下的设备,然后单击AppleDEP.
AppleDEP页面将列出您在AppleDEPWeb门户中分配给SophosMobile的所有设备.
8.
如果刚分配给SophosMobile的设备未出现在列表中,请单击与AppleBusinessManager同步.
注释为限制AppleDEP服务器上的负荷,只能在经过短暂的排队时间后进行重复同步.
9.
选择新设备,然后单击操作>分配配置文件.
10.
在确认对话框中,选择要分配给设备的DEP配置文件.
购买的设备到达公司后,即可交给您的用户.
无需进行其他配置.
当用户首次开启他们的设备时,将按分配的DEP配置文件中的配置,执行iOS设置和SophosMobile注册.
设备将受到监控.
如果您已按创建DEP配置文件中的描述选择将用户分配给设备配置文件选项,用户将自动分配给他们的设备.
相关任务设置AppleDEP(第69页)要管理AppleDEP设备,需要在AppleDEPWeb门户中创建虚拟MDM服务器,并将其链接到SophosMobile服务器.
创建DEP配置文件(第70页)11.
9.
5管理DEP设备在SophosMobile中管理DEP设备就和管理非DEP设备一样.
请参阅管理设备(第45页).
DEP比较特别的地方是可以向设备分配DEP配置文件.
DEP配置文件在设备激活时向Apple服务器提供信息.
请参阅创建DEP配置文件(第70页).
版权所有SophosLimited71SophosMobile注释SophosMobile中显示的DEP配置文件可能与设备上实际使用的配置文件不同.
如果在设备激活后更改分配,设备将继续使用先前分配的配置文件,直到其被擦除并再次激活.
要更改设备的DEP配置文件:1.
在侧边的菜单栏中,单击管理下的设备,然后单击AppleDEP.
AppleDEP设备页面将列出您在AppleDEPWeb门户中分配给SophosMobile的所有设备.
2.
单击与AppleDEP门户同步可更新DEP信息.
3.
选择要为其分配不同DEP配置文件的设备.
4.
单击操作,然后单击所需的操作:分配配置文件:选择下次启动时将分配给设备的DEP配置文件.
取消配置文件分配:下次启动设备时,不会分配DEP配置文件.
新的配置文件分配显示在AppleDEP设备页面上.
这些更改将在擦除并再次激活后应用于设备.
11.
9.
6手动添加iOSDEP设备您可以为Apple设备注册程序(DEP)手动注册iPhone或iPad.
例如,如果您不是直接从Apple或DEP核准供应商购买的设备,可使用此方法.
警告设备将重置为出厂设置.
1.
将设备连接到安装有AppleConfigurator2.
5或更高版本的Mac设备的USB端口上.
2.
在AppleConfigurator中,转到文件>新建配置文件>Wi-Fi,为您的Wi-Fi连接创建网络配置文件.
设备连接到AppleDEP注册服务器需要此配置文件.
3.
转到首选项>组织,并单击+按钮,创建一个组织项.
使用您的AppleDEP帐户的AppleID和密码.
并选择生成新的监管身份.
4.
转到首选项>服务器,并单击+按钮,创建一个服务器项.
注释您可以在注册URL中输入任意值.
AppleConfigurator在注册DEP设备时不会使用该值.
5.
选择设备,然后选择准备.
6.
选择手动配置并按向导页面的说明准备设备.
选择前面创建的服务器和网络配置文件.
跳过iOS设置助手的配置.
将在SophosMobileDEP配置文件中对此进行配置.
7.
等待准备过程完成.
请勿在此阶段关闭设备.
设备注册后,可在AppleDEP门户中通过序列号将其选中.
将设备交给用户前,请按准备DEP设备(第71页)中所述,将其注册到SophosMobile.
相关信息AppleConfigurator2用户指南-手动准备设备(外部链接)72版权所有SophosLimitedSophosMobile11.
9.
7配置设备监管您可以配置允许用于监管iOSDEP设备的Mac设备.
尽管您通常会阻止USB配对,这些Mac设备仍然可以与iOSDEP设备配对.
要将Mac设备配置用于设备监管,请将其监管身份证书上传到SophosMobile的iOSDEP配置文件中.
1.
在Mac设备上,在AppleConfigurator中创建一个新的组织,或者使用现有的组织.
2.
打开KeychainAccess应用.
3.
在我的证书下,导出该组织的证书.
您在AppleConfigurator中配置的每个组织都有一个证书.
在导出对话框中,确保证书以CER格式(.
cer文件扩展名)导出.
4.
在SophosMobile中的iOSDEP配置文件中,转到USB配对选项卡并配置以下设置:a)取消勾选允许使用所有主机进行USB配对复选框.
b)选择上传主机证书上传证书文件.
5.
可选:要将其他Mac设备配置用于设备监管,请执行以下其中一项操作:将其他证书上传到iOSDEP配置文件.
通过执行以下操作,在Mac设备之间共享该组织:从第一个Mac设备的AppleConfigurator导出该组织,并将其导入第二个Mac设备.
通过执行以下操作,在Mac设备之间共享监管身份:在第一个Mac设备上,以PKCS#12格式(.
p12文件扩展名)从AppleConfigurator导出监管身份.
在第二个Mac设备上,使用KeychainAccess应用打开该.
p12文件.
相关任务创建DEP配置文件(第70页)相关参考DEP配置文件设置(iOS)(第73页)相关信息AppleConfigurator2使用手册-"组织"偏好设置(外部链接)11.
9.
8DEP配置文件设置(iOS)一般设置设置说明姓名DEP配置文件的名称.
描述DEP配置文件的可选描述.
版权所有SophosLimited73SophosMobile设置说明设备组设备注册到SophosMobile时,将分配给设备的设备组.
有关设备组的信息,请参阅设备组(第84页).
为简化设备管理,我们建议对DEP设备使用单独的设备组.
任务捆绑包设备注册到SophosMobile时,将传输到设备的任务捆绑包.
该列表包括所有包含非注册任务的任务捆绑包.
有关任务捆绑包的信息,请参阅任务捆绑包(第261页).
注册设置说明用户可以删除MDM策略用户可以通过用户界面,删除SophosMobile注册配置文件.
只有对于受监督的设备,才可以不选择此选项.
安装SMC应用程序在设备上安装SophosMobileControl应用.
如果启用此选项,还必须禁用iOS设置选项卡上的AppleID选项,以确保SophosMobile可以从AppStore安装该应用.
或者,如果您注册了Apple批量购买计划(VPP),即使设备没有关联AppleID,SophosMobile应用也可以作为VPP应用进行安装.
设备必须处于"托管"状态.
请参阅自动分配VPP应用(第286页).
用户可以跳过MDM策略分配用户可以跳过应用SophosMobile注册配置文件的设置步骤.
将用户分配给设备在通过SophosMobile进行注册的过程中,将要求提供用户的自助服务门户凭据,然后将用户分配给设备.
可以使用此选项将用户自动分配给设备.
iOS设置在iOS设置选项卡上,可以禁用设备首次开机时启动的设置助手的配置步骤.
74版权所有SophosLimitedSophosMobile注释这些设置只影响设置助手.
如果禁用配置步骤,以后用户仍然可以启用相关的选项.
要完全禁用某项功能,请使用限制配置.
请参阅限制配置(iOS设备策略)(第165页).
设置说明AppleID跳过AppleID配置.
用户不能使用其AppleID登录并访问Apple服务.
ApplePay跳过ApplePay配置.
用户不能添加信用卡或借记卡信息,不能使用ApplePay在应用商店或在应用程序中进行支付.
定位服务跳过定位服务配置.
定位服务将关闭.
条款和条件跳过条款和条件页面.
键盘布局跳过键盘布局配置.
隐私跳过解释数据和隐私图标的页面.
新功能跳过解释iOS新功能的页面.
备份恢复跳过从iCloud或iTunes备份还原数据,或从Android设备传输数据.
禁用"从Android移动数据"从Android设备传输数据的选项不可用.
密码跳过创建用于解锁设备的密码.
显示缩放跳过配置显示缩放,即放大的视图提供更大的图标、文本和按钮.
主页按钮反馈对于iPhone7及更高版本,跳过配置主页按钮反馈,即单击虚拟的主页按钮时的触觉反馈级别.
手机网络套餐跳过配置手机网络数据计划.
屏幕使用时间跳过配置屏幕使用时间(报告和限制在设备上所用的时间).
诊断跳过诊断配置.
诊断和使用情况数据将不发送给Apple.
TouchID和FaceID跳过配置TouchID和FaceID.
用户不能设置生物特征身份验证代替密码.
Siri跳过Siri配置.
Siri将关闭.
观看迁移跳过从iCloud或iTunes备份还原AppleWatch数据.
版权所有SophosLimited75SophosMobile设置说明原彩显示跳过激活原彩显示(根据环境照明条件自动调整显示颜色).
iMessage信息和FaceTime通话跳过激活iMessage信息和FaceTime通话.
iOS更新信息跳过通知用户自动安装iOS更新的页面.
支持信息设置说明部门与配置文件关联的部门或位置名称.
此名称包括在用户可以在设备设置过程中通过单击关于配置进行访问的信息中.
电话号码贵公司的支持电话号码.
此字段将使用技术支持联系人详细信息中的电话号码预先填充.
请参阅配置IT部门联系人(第15页).
该号码存储在DEP配置文件内部,但设备用户不可用.
电子邮件贵公司的支持电子邮件地址.
此字段将使用技术支持联系人详细信息中的电子邮件地址预先填充.
请参阅配置IT部门联系人(第15页).
该电子邮件地址存储在DEP配置文件内部,但设备用户不可用.
USB配对在USB配对选项卡上,您可以限制iOSDEP设备与选定的Mac设备进行USB配对.
要将设备连接到iTunes或AppleConfigurator,需要进行USB配对.
设置说明允许使用所有主机进行USB配对如果您选中该复选框,则可将该设备与任何计算机配对.
如果您不选中该复选框,则只能将该设备与作为监管主机的Mac设备配对.
您不能将该设备与Windows计算机配对.
76版权所有SophosLimitedSophosMobile设置说明上传主机证书上传监管身份证书.
在密钥链中包含证书的所有Mac设备都可以监控该设备.
您可以上传多个证书.
注释如果您不勾选允许使用所有主机进行USB配对且没有上传证书,则不能将设备连接到iTunes或AppleConfigurator.
相关任务创建DEP配置文件(第70页)配置设备监管(第73页)您可以配置允许用于监管iOSDEP设备的Mac设备.
尽管您通常会阻止USB配对,这些Mac设备仍然可以与iOSDEP设备配对.
11.
9.
9DEP配置文件设置(macOS)一般设置设置说明姓名DEP配置文件的名称.
描述DEP配置文件的可选描述.
设备组设备注册到SophosMobile时,将分配给设备的设备组.
有关设备组的信息,请参阅设备组(第84页).
为简化设备管理,我们建议对DEP设备使用单独的设备组.
任务捆绑包设备注册到SophosMobile时,将传输到设备的任务捆绑包.
该列表包括所有包含非注册任务的任务捆绑包.
有关任务捆绑包的信息,请参阅任务捆绑包(第261页).
版权所有SophosLimited77SophosMobile注册设置说明用户可以跳过MDM策略分配用户可以跳过应用SophosMobile注册配置文件的设置步骤.
将用户分配给设备在通过SophosMobile进行注册的过程中,将要求提供用户的自助服务门户凭据,然后将用户分配给设备.
可以使用此选项将用户自动分配给设备.
macOS设置在macOS设置选项卡上,可以禁用设备首次开机时启动的设置助手的配置步骤.
注释这些设置只影响macOS设置.
如果禁用配置步骤,以后用户仍然可以启用相关的选项.
要完全禁用某项功能,请使用限制配置.
请参阅限制配置(macOS设备策略)(第207页)和限制配置(macOS用户策略)(第223页).
设置说明AppleID跳过AppleID配置.
用户不能使用其AppleID登录并访问Apple服务.
ApplePay跳过ApplePay配置.
用户不能添加信用卡或借记卡信息,不能使用ApplePay在应用商店或在应用程序中进行支付.
FileVault磁盘加密跳过配置FileVault磁盘加密.
FileVault将关闭.
条款和条件跳过条款和条件页面.
密码跳过创建用于解锁设备的密码.
外观跳过配置用户界面的外观(亮或暗).
备份恢复跳过从iCloud或iTunes备份还原数据.
诊断跳过诊断配置.
诊断和使用情况数据将不发送给Apple.
定位服务跳过定位服务配置.
定位服务将关闭.
TouchID和FaceID跳过配置TouchID和FaceID.
用户不能设置生物特征身份验证代替密码.
隐私跳过解释数据和隐私图标的页面.
iCloud云盘跳过激活从文档和桌面自动上传文件到iCloud云盘.
78版权所有SophosLimitedSophosMobile设置说明注册跳过计算机帐户创建.
iCloud分析跳过配置iCloudAnalytics.
iCloud帐户的诊断和使用情况数据将不发送给Apple.
Siri跳过Siri配置.
Siri将关闭.
原彩显示跳过激活原彩显示(根据环境照明条件自动调整显示颜色).
显示缩放跳过配置显示缩放,即放大的视图提供更大的图标、文本和按钮.
支持信息设置说明部门与配置文件关联的部门或位置名称.
此名称包括在用户可以在设备设置过程中通过单击关于配置进行访问的信息中.
电话号码贵公司的支持电话号码.
此字段将使用技术支持联系人详细信息中的电话号码预先填充.
请参阅配置IT部门联系人(第15页).
该号码存储在DEP配置文件内部,但设备用户不可用.
电子邮件贵公司的支持电子邮件地址.
此字段将使用技术支持联系人详细信息中的电子邮件地址预先填充.
请参阅配置IT部门联系人(第15页).
该电子邮件地址存储在DEP配置文件内部,但设备用户不可用.
相关任务创建DEP配置文件(第70页)11.
10DuoSecurity集成您可以使用DuoSecurity身份验证软件连接SophosMobile.
这样DuoSecurity就可以根据设备的SophosMobile管理状态识别信任的设备.
为确定设备的信任状态,DuoSecurity对Android和iOS使用不同的方法:对于Android设备,DuoSecurity通过SophosMobileWeb服务接口获取信任状态.
对于iPhone和iPad,DuoSecurity通过设备上的证书确定信任状态.
版权所有SophosLimited79SophosMobile注释有关信任设备的详细信息,请参阅DuoSecurity文档.
11.
10.
1为Android设备配置DuoSecurity集成执行以下步骤,让DuoSecurity确定您的Android设备的信任状态.
1.
在SophosMobile中,使用DuoAPI角色创建管理员.
2.
在Duo管理员面板中,输入该管理员的用户名和密码.
请参阅DuoSecurity文档了解详细信息.
为确定Android设备的信任状态,DuoMobileAndroid应用将向DuoSecurity服务器报告设备ID.
然后,DuoSecurity服务器将通过SophosMobileWeb服务接口获取设备状态,并将托管设备归入信任设备.
相关概念用户角色(第4页)相关任务创建管理员(第325页)11.
10.
2为iPhone和iPad配置DuoSecurity集成执行以下步骤,让DuoSecurity确定您的iPhone和iPad的信任状态.
1.
配置与Duo证书服务器的连接:a)在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击DuoSecurity选项卡.
b)输入DuoSecurity提供的设置.
2.
将Duo设备证书配置添加到您要用于iPhone和iPad的设备策略.
3.
运行更新设备设备操作.
将在设备上安装Duo设备证书.
DuoMobile应用将检测该证书,并将设备归入信任设备.
相关任务分配策略(第100页)您可以将策略分配给设备,以应用它包含的设置.
相关参考Duo设备证书(iOS设备策略)(第192页)80版权所有SophosLimitedSophosMobile11.
11TeamViewer远程控制TeamViewer是一款第三方远程控制工具.
TeamViewer集成让您可以在SophosMobile中启动与Android设备、iPhone或iPad的远程控制会话,不必使用会话ID或密码.
11.
11.
1设置TeamViewer集成要从SophosMobile中启动TeamViewer会话,您必须创建TeamViewer应用程序并将其链接到SophosMobile.
要和SophosMobile一起使用TeamViewer,您需要:TeamViewer许可证支持移动设备的许可证插件要设置TeamViewer集成:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击TeamViewer选项卡.
2.
单击TeamViewer配置向导.
向导引导您完成设置过程.
a)创建TeamViewer帐户.
b)在TeamViewer管理控制台中创建应用程序并将其链接到SophosMobile.
3.
安装TeamViewer软件:a)进入您登录到SophosMobile的计算机.
从TeamViewer网站安装TeamViewerWindows客户端.
b)在您要控制的设备上,从GooglePlay或AppStore安装TeamViewerQuickSupport应用.
设置TeamViewer集成后,即可使用请求远程控制设备操作.
相关信息TeamViewer网站(外部链接)TeamViewer管理控制台(外部链接)11.
11.
2启动TeamViewer会话您可以从SophosMobileAdmin中启动与Android设备、iPhone或iPad的TeamViewer会话.
根据您的TeamViewer许可证,您可能每小时只能启动有限数量的会话.
要启动TeamViewer会话:1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要控制的设备.
3.
在显示设备页面上,单击操作>请求远程控制.
将在您的计算机和选定的设备上启动TeamViewer会话.
用户确认连接后,您将可以控制该设备.
要启动与同一设备的后续会话,用户必须先关闭TeamViewer客户端.
版权所有SophosLimited81SophosMobile11.
12SophosChromeSecuritySophosChromeSecurity是针对Chrome设备的安全扩展插件.
限制如果使用MobileStandard许可证,此功能将不可用.
当您将SophosChromeSecurity注册到SophosMobile时,您可以执行以下任务:查找设备.
向设备发送消息.
配置允许用户访问的网站.
注册类型手动注册:您可以使用添加设备助手或SophosMobileSelfServicePortal将Chrome设备注册到SophosMobile.
用户必须在其设备上安装SophosChromeSecurity并输入注册令牌.
自动注册:如果您使用GoogleWorkspace(之前称为GSuite),则可以将SophosChromeSecurity配置为当GoogleWorkspace用户登录Chrome设备时自动注册到SophosMobile.
提示对于手动注册,您分配给设备的用户不需要与注册SophosChromeSecurity的Google用户相匹配.
要获取Google用户的名称,请在显示设备页面上选中system_user_account设备属性.
相关概念"显示设备"页面(第45页)在显示设备页面上,将显示单个设备的所有相关信息.
相关任务使用添加设备向导(第40页)配置SophosChromeSecurity自动注册(第82页)如果您使用GoogleWorkspace(之前称为GSuite),则可以将SophosChromeSecurity扩展程序配置为当GoogleWorkspace用户登录Chrome设备时自动注册到SophosMobile.
11.
12.
1配置SophosChromeSecurity自动注册如果您使用GoogleWorkspace(之前称为GSuite),则可以将SophosChromeSecurity扩展程序配置为当GoogleWorkspace用户登录Chrome设备时自动注册到SophosMobile.
要配置SophosChromeSecurity自动注册:1.
在侧边的菜单栏中,选择设置>ChromeOS设置,然后选择GSuite选项卡.
2.
选择生成连接代码.
3.
配置以下设置:82版权所有SophosLimitedSophosMobile选项描述所有者选择是您的组织拥有设备(企业)还是用户拥有设备(个人).
设备组您要向其分配设备的SophosMobile设备组.
ChromeSecurity策略可选:您要在注册后分配给扩展程序的ChromeSecurity策略.
仅在ChromeEnterprise设备上注册可选:SophosChromeSecurity仅在ChromeEnterprise设备上自动注册到SophosMobile.
您需要从Google购买ChromeEnterpriseUpgrade服务才能注册ChromeEnterprise设备.
有关ChromeEnterprise的详细信息,请参阅GoogleChromeEnterprise帮助.
4.
单击保存.
5.
选择连接代码旁的复制,将值复制到剪贴板.
在Google管理控制台中执行剩余步骤:6.
使用您的GoogleWorkspace帐户登录Google管理控制台.
7.
转到设备管理>Chrome管理>应用管理.
8.
可选:选择组织单位.
SophosChromeSecurity仅对该组织单位内的用户进行自动注册.
9.
选择右下角的+按钮,然后选择从ChromeAppStore中选择.
10.
搜索SophosChromeSecurity并选择选择.
11.
在扩展程序策略中,输入来自SophosMobile的连接代码.
12.
在安装策略中,选择以下其中一项:强制安装:自动安装SophosChromeSecurity并防止用户将其删除.
强制安装+固定:与强制安装相同,且将SophosChromeSecurity固定到ChromeOS任务栏.
13.
保存设置.
当GoogleWorkspace用户登录任意Chrome设备时,SophosChromeSecurity将自动安装并注册到SophosMobile.
您可以从SophosMobileAdmin的设备页面管理该扩展程序.
如果需要,您可以停用该连接代码,以阻止以后注册.
已注册的SophosChromeSecurity扩展程序不受影响.
相关信息Google管理控制台GoogleChromeEnterprise帮助:ChromeEnterprise简介版权所有SophosLimited83SophosMobile12设备组设备组用于对设备进行分类.
它们可以帮助您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
一个设备始终属于一个设备组.
当您将设备添加到SophosMobile时,您可以将其分配至设备组.
提示仅在相同的操作系统中对设备进行分组.
这样更便于用设备组执行安装和其他操作系统特定任务.
12.
1创建设备组1.
在侧边的菜单栏中,单击管理下的设备组,然后单击创建设备组.
2.
在编辑设备组页面中,输入新设备组的名称和描述.
3.
在合规性策略下,选择应用到公司和个人设备的合规性策略.
4.
单击保存.
注释设备组的设置包括启用iOS自动注册选项.
此选项让您可以通过AppleConfigurator注册iPhone和iPad.
请参阅自动注册iPhone和iPad(第41页).
新设备组将创建,并显示在设备组页面上.
12.
2删除设备组1.
在侧边的菜单栏中,单击管理下的设备组.
2.
在设备组页面上,单击要删除的设备组旁边的蓝色三角形,然后单击删除.
3.
在确认对话框中,选择一个剩余的设备组,将当前设备组中的设备重新分配到该组.
如果当前设备组未分配有设备,该选项将不可用.
4.
单击是删除该设备组.
注释如果只剩一个设备组,且它分配有设备,则不能删除此设备组.
84版权所有SophosLimitedSophosMobile13用户在人员页面上管理您的SophosMobile用户帐户.
用户管理在SophosMobile中设置客户时,您可以选择以下用户管理类型:内部用户管理在SophosMobile中创建用户帐户.
外部用户管理在LDAP目录(如Activedirectory)中创建用户帐户,然后将LDAP目录连接到SophosMobile.
请参阅配置外部目录连接(第87页).
联合身份验证在AzureActiveDirectory(AzureAD)中创建用户帐户.
当用户登录SophosMobileSelfServicePortal时,他们将通过AzureAD进行身份验证.
请参阅配置联合身份验证(第89页).
用户详细信息对于内部用户管理,人员页面将显示您已经添加到SophosMobile的用户.
对于外部用户管理和联合身份验证,人员页面将只显示与SophosMobile相关的用户:分配给SophosMobile托管设备的用户.
分配给Apple大量购买方案(VPP)应用的用户.
单击用户名以查看帐户详细信息.
导入用户对于内部用户管理,您可以从CSV文件导入用户.
请参阅导入用户(第91页).
用户组通过用户组,您可以控制SophosMobileSelfServicePortal访问权限和可用的注册选项.
要仅为某些用户创建SophosMobileSelfServicePortal配置,请将这些用户添加到用户组,并将该组分配给SophosMobileSelfServicePortal配置.
请参阅配置自助服务门户(第25页).
对于内部用户管理,可以在SophosMobileAdmin中将用户添加到组中.
请参阅创建用户组(第91页).
对于外部用户管理,SophosMobile使用您的LDAP目录中定义的组.
对于联合身份验证,SophosMobile使用AzureAD中定义的组.
版权所有SophosLimited85SophosMobile13.
1配置自助服务门户用户管理注释对于SophosMobileonPremise,自助服务门户的用户管理是由超级管理员在创建客户时配置的.
请参阅SophosMobile超级管理员指南.
1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击用户设置选项卡.
2.
在设备分配下,选择删除分配给设备的用户时发生什么情况:选项描述从设备取消用户分配删除用户分配.
设备状态不变.
取消注册并删除设备设备从SophosMobile取消注册并删除.
取消设备注册设备从SophosMobile取消注册.
设备状态更改为取消注册.
当您使用外部用户管理时,此设置不可用.
3.
在用户管理模式下,选择SophosMobile如何管理用户帐户:选项描述无.
没有可用的SSP、用户特定的策略或LDAP管理员.
用户管理将关闭.
不能给设备分配用户,也不能使用SophosMobileSelfServicePortal.
内部目录在SophosMobile中创建用户帐户和用户组.
外部LDAP目录SophosMobile使用LDAP目录中的用户帐户和用户组.
AzureAD联合身份验证在AzureActiveDirectory(AzureAD)中创建用户帐户和用户组.
当用户登录SophosMobileSelfServicePortal时,他们将通过AzureAD进行身份验证.
请参阅配置联合身份验证(第89页).
4.
对于外部用户管理,单击配置外部LDAP配置与您的LDAP目录的连接.
请参阅配置外部目录连接(第87页).
5.
单击保存.
在您设置用户管理模式之后,不能直接切换到其他模式.
而应选择无.
没有可用的SSP、用户特定的策略或LDAP管理员.
,以使所有选项再次可用.
注释在下列情况下,您不能修改用户管理模式:有用户分配给设备.
有Apple大量购买方案(VPP)许可证分配给用户.
86版权所有SophosLimitedSophosMobile13.
2配置外部目录连接要在外部LDAP用户目录中管理SophosMobileAdmin用户帐户和自助服务门户,您必须配置与LDAP服务器的连接.
SophosMobile可以连接到以下LDAP服务器:ActiveDirectoryGoogleCloudDirectoryHCLDominoNetIQeDirectoryRedHatDirectoryServerZimbra有关支持的版本,请参阅SophosMobile9.
6发行说明.
对于ActiveDirectory,您可以在知识库文章128081中找到额外的信息.
对于GoogleCloudDirectory,您可以在知识库文章132870中找到额外的信息.
注释LDAP目录和SophosMobile之间没有同步.
SophosMobile将只访问LDAP目录以查找用户信息.
对LDAP用户帐户的更改将不会在SophosMobile数据库中进行,反之亦然.
要配置与外部用户目录的LDAP连接:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击用户设置选项卡.
2.
选择外部LDAP目录.
3.
单击配置外部LDAP.
配置取决于LDAP服务器类型.
以下说明适用于ActiveDirectory.
4.
在服务器详细信息页面上,配置以下设置:a)在LDAP类型字段中,选择连接类型:b)在主要URL字段中,输入主目录服务器的IP地址或名称.
选择SSL/TLS可将LDAPoverSSL(LDAPS)用于服务器连接.
注释对于ActiveDirectory,LDAPS是必需的.
有关为ActiveDirectory设置LDAPS的信息,请参阅Microsoft文档在WindowsServer上设置LDAPS的详细指南.
c)可选:在适用URL字段中,输入主服务器不可用时SophosMobile用作回退的目录服务器的IP地址或名称.
d)在用户和密码字段中,输入SophosMobile用于进行LDAP服务器身份验证的凭据.
使用以下任一格式:\@.
版权所有SophosLimited87SophosMobile注释出于安全考虑,我们建议您选择没有目录写入权限的帐户.
5.
在搜索库页面上,输入搜索基对象的distinguishedname(DN).
搜索基对象用于定义目录中的位置,LDAP搜索将从这里开始.
6.
在搜索字段页面上,配置目录服务(包含SophosMobile使用的用户属性)的属性.
从列表中选择属性名称或手动输入.
对ActiveDirectory使用以下映射:SophosMobile中的属性ActiveDirectory中的属性用户名sAMAccountName名givenName姓sn电子邮件mail7.
在SSP配置页面上,指定可以登录到自助服务门户的用户.
使用以下任一选项,在LDAP目录组字段中输入相关信息:如果您从LDAP目录输入用户组,SophosMobile将在该组和所有子组中查找用户.
输入组名后,单击测试组,将组名解析为可分辨名称(DN).
如果您输入一个星号*,SophosMobile将在LDAP目录中定义的所有组中查找用户.
它不会查找不是任何组的成员的用户.
如果您将该字段保留为空,将没有用户可以登录到自助服务门户.
此选项用于开启SophosMobileAdmin的外部用户管理,但不对自助服务门户开启.
注释在这里指定的组与在自助服务门户页面的组设置选项卡中定义的用户组不相关.
使用这些设置,可以为每个用户组定义任务捆绑包、SophosMobile组成员身份和可用的设备平台.
8.
单击应用.
9.
在用户设置选项卡上,单击保存.
相关信息知识库文章128081知识库文章132870在WindowsServer上设置LDAPS的详细指南(Microsoft文档)13.
3联合身份验证AzureActiveDirectory(AzureAD)联合身份验证是内部和外部(LDAP)用户管理的一种替代用户管理模式.
当用户登录SophosMobileSelfServicePortal时,外部用户管理和联合身份验证之间有根本的区别:88版权所有SophosLimitedSophosMobile采用外部用户管理模式,用户使用其LDAP凭据进行SophosMobile身份验证.
采用联合身份验证模式,用户直接通过AzureAD进行身份验证.
它具有以下优点:AzureAD支持现代登录功能,如多重身份验证、智能卡身份验证或基于证书的身份验证.
跨平台单一登录:用户只需登录一次,就可以访问SophosMobileSelfServicePortal和您为AzureAD身份验证配置的其他应用程序和资源.
您不需要打开端口389(LDAP)或636(LDAPS)进行SophosMobile和您的LDAP服务器之间的通信.
13.
3.
1配置联合身份验证要使用AzureActiveDirectory(AzureAD)进行联合身份验证,您必须将SophosMobile注册为MicrosoftAzure应用程序.
1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击MicrosoftAzure选项卡.
2.
单击MicrosoftAzure注册向导.
向导将引导您在MicrosoftAzure门户和SophosMobileAdmin中完成注册过程:a)在MicrosoftAzure门户中为SophosMobile创建应用程序.
b)在SophosMobile中输入应用程序ID.
c)将SophosMobile服务器证书上传到您的应用程序.
d)为SophosMobile注册回复URL.
用户通过AzureAD身份验证后,Azure会将其转到SophosMobile页面.
e)给您的应用程序授予所需的权限.
3.
在Sophos设置页面上,单击用户设置选项卡.
4.
选择AzureAD联合身份验证作为用户管理模式.
如果联合身份验证不可用,请先切换到无.
没有可用的SSP、用户特定的策略或LDAP管理员.
.
注释您可以将该应用程序用于在Azure门户中创建的SophosMobile,也可以用于Intune应用保护.
请注意,Intune应用保护有额外的许可证要求.
请参阅Intune应用保护(第315页).
13.
3.
2设置自助服务门户的默认客户作为超级管理员,您可以设置用户访问自助服务门户时自动选择的默认客户.
在SophosMobile中,您可以设置多个客户对您所在组织的不同区域进行彼此独立的管理.
当用户访问SophosMobileSelfServicePortal时,他们必须在输入其凭据前选择其客户.
您可以通过设置默认客户简化登录体验.
虽然这对于所有用户管理模式都是可能的,但它对于联合身份验证尤其有用:如果用户已经进行了AzureActiveDirectory(AzureAD)身份验证,他们根本就不会看到登录页面.
要设置自助服务门户的默认客户:1.
以超级管理员帐户登录SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击Web门户选项卡.
3.
在自助服务门户下,选择默认客户,然后从列表中选择客户.
4.
可选:如果用户已经进行了AzureAD身份验证,则关闭可见且可编辑跳过登录页面.
版权所有SophosLimited89SophosMobile注释如果您关闭此选项,则只有默认客户的用户才能访问SophosMobileSelfServicePortal.
5.
单击保存.
13.
4配置LDAP连接如果您已经设置了联合身份验证,那么您可以在SophosMobile与AzureActiveDirectory(AzureAD)之间配置LDAP连接.
如果您要使用AppleDEP、GoogleZero-touch或SamsungKME,则必须这样做.
以下设备将在用户设置设备时自动注册到SophosMobile:为Apple设备注册程序(DEP)注册的iPhone、iPad和Mac设备.
为GoogleZero-touch注册的Android设备.
为KnoxMobileEnrollment(KME)注册的SamsungAndroid设备.
注册过程中,SophosMobile将连接到AzureAD对用户进行身份验证.
要配置LDAP连接:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击LDAP连接选项卡.
2.
单击配置外部LDAP.
3.
在服务器详细信息页面上,配置以下设置:a)在主要URL字段中,输入主目录服务器的IP地址或名称.
服务器必须支持LDAPS(LDAPoverSSL/TLS).
b)可选:在适用URL字段中,输入主服务器不可用时SophosMobile用作回退的目录服务器的IP地址或名称.
c)在用户和密码字段中,输入SophosMobile用于进行LDAP服务器身份验证的凭据.
使用以下任一格式:\@.
注释出于安全考虑,我们建议您选择没有目录写入权限的帐户.
4.
在搜索库页面上,输入搜索基对象的distinguishedname(DN).
搜索基对象用于定义目录中的位置,LDAP搜索将从这里开始.
5.
单击应用.
13.
5创建用户1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击创建用户.
3.
在编辑用户页面上,选中发送注册邮件复选框.
4.
输入帐户详细信息.
90版权所有SophosLimitedSophosMobile5.
单击保存.
将向新用户发送注册电子邮件.
如果单击所需用户旁边的蓝色三角形,则可查看用户详细信息(显示)、编辑或删除用户.
注释如果单击用户名,将显示编辑用户页面.
该页面包含重新发送注册邮件按钮,如果用户没有收到或丢失了最初的电子邮件,可用它重新发送该邮件.
13.
6导入用户您可以通过从CSV文件导入用户来添加用户.
您可以导入最多500个用户.
如果您指定的组不存在,SophosMobile将会创建.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入用户页面上,单击CSV示例下载示例文件.
要从CSV文件导入用户:1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击导入用户.
3.
在导入用户页面上,单击发送注册邮件.
4.
单击上传文件,然后浏览并找到准备好的CSV文件.
将从文件中读入记录,并显示出来.
5.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
6.
单击完成创建用户帐户.
用户将导入,并显示在人员页面上.
他们将收到电子邮件,其中包括他们的自助服务门户登录凭据.
13.
7创建用户组通过用户组,您可以控制SophosMobileSelfServicePortal访问权限和可用的注册选项.
注释如果您在外部LDAP目录中管理用户帐户,则在此创建用户组.
如果您使用联合身份验证,则在AzureActiveDirectory中创建用户组.
版权所有SophosLimited91SophosMobile要创建用户组:1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击显示用户组.
3.
在显示用户组页面上,单击创建组.
4.
为组输入名称.
5.
单击保存.
创建用户组之后,可以向其中添加用户.
当您将组分配给SophosMobileSelfServicePortal配置时,该配置仅应用到该组成员.
请参阅配置自助服务门户(第25页).
92版权所有SophosLimitedSophosMobile14策略策略包含可以应用于设备或设备组的设置.
策略有两种类型:1.
当您分配给设备时立即生效的策略.
每次设备连接到SophosMobile时,这些策略都会同步.
当您更改策略时,不必在设备上更新.
要删除通过策略应用的设置,您必须更新策略或分配不同的策略.
这些策略是:Android企业策略Sophos容器策略MobileThreatDefense策略macOS策略Windows策略WindowsMobile策略ChromeSecurity策略2.
在您分配时由SophosMobile安装到设备上的策略.
当您更改策略时,必须在设备上将其更新.
要删除通过策略应用的设置,您可以从设备上将其卸载.
这些策略是:Android设备策略Knox容器策略iOS设备策略相关概念Android设备策略的配置(第143页)通过Android设备策略,可以为在设备管理员管理模式下注册到SophosMobile的Android设备配置设置.
Knox容器策略的配置(第160页)通过Knox容器策略,可以配置Samsung设备上Knox容器的设置.
iOS设备策略的配置(第164页)通过iOS设备策略,您可以配置iPhone和iPad的设置.
AndroidEnterprise设备策略的配置(第102页)通过AndroidEnterprise设备策略,可以配置AndroidEnterprise完全托管设备的设置.
Android企业工作配置文件策略的配置(第115页)通过Android企业工作配置文件策略,可以配置Android企业工作配置文件设备的设置.
Android的Sophos容器策略的配置(第127页)通过Sophos容器策略,您可以在SophosMobile管理Sophos容器的设备上为SophosSecureEmail和SophosSecureWorkspace配置设置.
Android的MobileThreatDefense策略的配置(第139页)通过MobileThreatDefense策略,可以在SophosInterceptXforMobile注册到SophosMobile时对其进行配置.
iOS的Sophos容器策略的配置(第192页)版权所有SophosLimited93SophosMobile通过Sophos容器策略,您可以在SophosMobile管理Sophos容器的设备上为SophosSecureEmail和SophosSecureWorkspace配置设置.
iOS的MobileThreatDefense策略的配置(第204页)通过MobileThreatDefense策略,可以在SophosInterceptXforMobile注册到SophosMobile时对其进行配置.
macOS设备策略的配置(第206页)通过macOS设备策略,您可以为应用于所有用户的Mac设备配置设置.
macOS用户策略的配置(第222页)通过macOS用户策略,您可以为应用于SophosMobile管理的用户的Mac设备配置设置.
WindowsMobile策略的配置(第239页)通过WindowsMobile策略,您可以为WindowsMobile设备配置设置.
Windows策略的配置(第248页)通过Windows策略,您可以为Windows计算机配置设置.
ChromeSecurity策略的配置(第259页)通过ChromeSecurity策略,可以在SophosChromeSecurity注册到SophosMobile时为其扩展程序配置设置.
14.
1开始使用设备策略策略启动向导帮助您为所有平台创建基本的设备策略.
以后您可以加强这些策略.
限制这些说明不适用于Chrome设备.
要使用策略启动向导创建策略:1.
在仪表板上,单击入门任务小组件中的策略启动向导.
提示如果您找不到该小组件,请单击添加小组件>开始使用.
2.
在平台页面上,选择您要为其创建策略的设备平台.
3.
对于Android,您可以选择管理模式.
此设置影响可用的策略类型.
我们建议您使用Android企业模式.
4.
在策略页面上,配置以下设置:a)为策略输入一个名称.
将为每个平台创建一个该名称的策略.
b)选择该策略管理的区域.
如果不选中某个复选框,将跳过相应的向导页面.
您可以稍后配置跳过的区域(以及其他设置).
5.
在密码页面上,配置设备密码的要求.
6.
在限制页面上,配置应用于设备的限制,如关闭相机或其他可能存在安全风险的设备功能.
7.
在Wi-Fi页面上,配置与您的公司Wi-Fi网络的连接.
如果您的Wi-Fi网络使用WPA/WPA2PSK以外的安全类型,您可以稍后更改该设置.
8.
在电子邮件页面上,配置与您的公司MicrosoftExchange电子邮件服务器的连接.
94版权所有SophosLimitedSophosMobile占位符%_USERNAME_%和%_EMAILADDRESS_%将被分配给设备的用户的用户名和电子邮件地址代替.
9.
单击完成.
向导将为您选择的每个平台创建一个策略.
要查看策略,请单击侧边菜单栏中的策略,然后单击设备平台.
要修改管理的区域,请单击策略的名称,然后单击添加配置.
您必须先为您的组织设置AndroidEnterprise,然后才能注册设备.
请参阅设置Android企业-概述(第295页).
14.
2创建策略您可以创建策略以配置设备的设置.
如果要管理不同类型的设备,请创建多个策略.
策略由配置组成.
通过在策略中添加配置,可以定义SophosMobile在设备上管理的区域.
要创建策略:1.
在侧边的菜单栏中,选择配置下的策略,然后选择设备平台.
2.
选择创建,然后选择策略类型.
3.
输入名称和说明.
4.
对于iOS和macOS设备策略,输入您的组织名称.
5.
可选:检查SophosMobile自动添加到策略的配置,并根据需要进行调整.
SophosMobile自动添加以下配置:对于Sophos容器策略,常规配置.
对于Android企业策略,限制配置.
对于MobileThreatDefense策略,网络配置.
6.
选择添加配置将更多配置添加到策略.
7.
在配置的设置页面中,输入所需的设置.
8.
可选:在SCEP更新间隔中选择更新间隔.
如果您已将SCEP或Duo设备证书配置添加到策略中,此选项将可用.
设备将在您选择的时间间隔后自动请求证书更新,时间从策略分配到设备开始计算.
策略中的所有SCEP和Duo设备证书配置使用相同的间隔.
9.
添加所有要求的配置后,选择保存.
将创建策略.
您可以将其分配给设备.
相关任务分配策略(第100页)您可以将策略分配给设备,以应用它包含的设置.
将策略修改应用到设备(第100页)版权所有SophosLimited95SophosMobile修改某些策略的设置时,要使修改生效,必须在设备上更新这些策略.
14.
3从AppleConfigurator导入策略您可以导入在AppleConfigurator中创建的策略或从SophosMobile的其他实例导出的策略.
前提条件:在AppleConfigurator中创建策略,将其导出(不加密、不签名)并保存到您的计算机上.
注释在AppleConfigurator中,策略称为配置文件.
要导入策略:1.
在侧边的菜单栏中,选择配置下的策略>iOS和iPadOS.
2.
选择创建>导入策略.
3.
输入名称和说明.
4.
选择上传文件,然后选择您已经从AppleConfigurator导出的文件.
5.
在导入策略页面上,选择保存.
策略将导入.
将它分配给设备的方式与分配在SophosMobile中创建的策略相同.
相关任务分配策略(第100页)您可以将策略分配给设备,以应用它包含的设置.
14.
4导入设置配置文件(iOS、iPadOS)您可以导入自行开发的应用的设置配置文件,以将其安装到您的iPhone和iPad上.
前提条件:在您的开发环境中生成设置配置文件,并将其保存到您的计算机上.
要导入设置配置文件:1.
在侧边的菜单栏中,选择配置下的策略>iOS和iPadOS.
2.
选择创建>导入策略.
3.
输入名称和说明.
4.
选择上传文件,然后选择设置配置文件.
5.
在导入策略页面上,选择保存.
设置配置文件将导入.
您可以按照分配策略的相同方式,将其安装到设备上.
相关任务分配策略(第100页)您可以将策略分配给设备,以应用它包含的设置.
14.
5关于macOS策略Mac设备有两种类型的策略:设备策略:将设备策略分配给Mac设备时,设置将应用于所有登录该Mac设备的用户.
96版权所有SophosLimitedSophosMobile用户策略:将用户策略分配给Mac设备时,设置将应用于所有登录该Mac设备的托管用户.
托管用户有:将Mac设备注册到SophosMobile的本地用户.
SophosMobile可以识别的所有网络用户,即来自您已经为自助服务门户配置的外部LDAP目录的用户.
关于设备和用户策略除注册策略(它是一个设备策略)外,您还可以给Mac设备分配一个设备策略和一个用户策略.
如果分配给同一Mac设备的设备策略和用户策略中有冲突性的配置,将应用限制更多的配置.
在Mac设备上,分配的策略在系统首选项>配置文件下列出.
如果您更新设备策略,修改将在下次设备同步时生效.
如果您更新用户策略,修改将在下次用户登录到Mac设备时生效.
用户可以从Mac设备上删除用户策略,但它会在下次用户登录时自动重新分配.
用户不能删除设备策略.
如果用户删除注册策略,Mac设备将取消SophosMobile注册.
这需要管理员权限.
相关概念macOS设备策略的配置(第206页)通过macOS设备策略,您可以为应用于所有用户的Mac设备配置设置.
macOS用户策略的配置(第222页)通过macOS用户策略,您可以为应用于SophosMobile管理的用户的Mac设备配置设置.
14.
6配置Chrome防篡改保护通过防篡改保护,您可以确保ChromeSecurity策略的完整性.
例如,在Chrome设备上,恶意用户可能会使用Chrome开发人员工具修改ChromeSecurity策略.
当SophosMobile检测到策略在设备上被修改时,它将重新应用原始策略,并执行您在合规性策略中配置的操作.
要配置防篡改保护:1.
为ChromeOS创建或编辑合规性策略.
2.
在合规性策略中,为防篡改保护已关闭规则配置操作.
您可以在用户修改策略时创建通知或传递任务捆绑包.
3.
将合规性策略分配给您用于Chrome设备的设备组.
注释即使您未在合规性策略中配置其他操作,防篡改保护也会始终开启.
相关任务创建合规性策略(第30页)版权所有SophosLimited97SophosMobile14.
7Windows密码复杂性规则Windows计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过SophosMobile策略设置.
本地帐户和Microsoft帐户使用不同的规则.
本地帐户密码不能包含用户的帐户名或用户全名中两个以上的连续字符.
密码长度不得少于6个字符.
密码必须包含以下4类字符中的3类︰—大写字符A-Z(拉丁字母)—小写字符a-z(拉丁字母)—数字0-9—特殊字符(等)Microsoft帐户密码长度不得少于8个字符.
密码必须包含以下4类字符中的2类︰—大写字符A-Z(拉丁字母)—小写字符a-z(拉丁字母)—数字0-9—特殊字符(等)14.
8KnoxServicePluginKnoxServicePlugin(KSP)是一款针对Android企业设备的应用,它让您可以将Knox策略分配给支持SamsungKnoxPlatformforEnterprise(KPE)的设备.
限制KnoxServicePlugin支持Android8.
0(Knox3.
x)及更高版本的Android企业完全托管设备,以及Android9.
0(Knox3.
2.
1)及更高版本的Android企业工作配置文件设备.
有关KnoxServicePlugin和SamsungKnoxPlatformforEnterprise的详细信息,请参阅Samsung文档.
要将KnoxServicePlugin与SophosMobile配合使用,请完成以下步骤:1.
在托管的GooglePlay中为您的Android企业帐户批准KnoxServicePlugin.
2.
在KnoxServicePlugin中配置策略.
3.
在选定的设备或设备组上安装KnoxServicePlugin,或让您的用户从托管的GooglePlay安装.
98版权所有SophosLimitedSophosMobile相关任务批准托管的GooglePlay应用(第304页)要使应用对您的用户可用,您必须批准它.
在KnoxServicePlugin中配置策略(第99页)KnoxServicePlugin应用包括您可以配置的Knox策略设置.
安装托管的GooglePlay应用(第308页)相关信息Samsung有关KnoxServicePlugin的文档Samsung有关KnoxPlatformforEnterprise的文档14.
8.
1在KnoxServicePlugin中配置策略KnoxServicePlugin应用包括您可以配置的Knox策略设置.
前提条件:您已在托管的GooglePlay中批准KnoxServicePlugin.
要在KnoxServicePlugin中配置Knox策略:1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,选择KnoxServicePlugin应用.
3.
在页和应用程序类别中,在用户的GooglePlayStore应用中配置KnoxServicePlugin的位置.
4.
选择使用托管的配置.
5.
在托管的配置下,配置所需的设置.
可用设置在KnoxServicePlugin中定义,当Samsung发布新版本的应用时,这些设置可能会更改.
在KPEPremium许可证密钥中,您必须输入Knox许可证密钥.
否则,在安装该应用时将不会应用策略.
6.
单击保存.
7.
选择向Google发送应用设置使修改对用户可用.
在设备上安装KnoxServicePlugin时,将应用Knox策略.
要删除Knox策略,请卸载该应用.
相关任务批准托管的GooglePlay应用(第304页)要使应用对您的用户可用,您必须批准它.
14.
9策略中的占位符在策略设置中,可以使用占位符,这些占位符将在分配策略时替换为用户、设备或客户属性.
%_EMAILADDRESS_%替换为分配给设备的用户的邮箱地址属性.
%_USERNAME_%替换为分配给设备的用户的用户名属性.
%_DEVPROP()_%替换为设备属性.
例如,%_DEVPROP(IMEI)_%替换为设备的IMEI值(如果可用).
您可以使用设备的显示设备页面上的设备属性和自定义属性选项卡上所列的任意属性.
%_CUSTPROP()_%替换为客户属性.
版权所有SophosLimited99SophosMobile例如,如果您创建了一个客户属性"internal_id",您可以通过%_CUSTPROP(internal_id)_%引用它.
您可以使用设置>Sophos设置>客户属性下所列的任意属性.
对于macOS设备,用户属性按以下方式替换:对于本地Mac用户,使用分配给设备的SophosMobile用户的属性.
对于网络用户,使用LDAP用户帐户的属性.
14.
10分配策略您可以将策略分配给设备,以应用它包含的设置.
要将策略分配给设备或设备组:1.
在侧边的菜单栏中,选择配置下的策略,然后选择设备平台.
2.
选择策略旁边的蓝色三角形,然后选择分配.
3.
在选择设备页面上,执行以下操作之一:选择单个设备.
单击选择设备组,然后选择所需的设备组:4.
在设置执行日期页面上,输入执行任务的日期和时间.
此步骤仅与以下策略相关:Android设备策略Knox容器策略iOS设备策略5.
单击完成.
策略将应用到选定的设备.
如果未输入执行任务的日期,策略将立即生效.
您还可以使用以下任一选项应用策略:要分配策略至单个设备:在设备的显示设备页面上,选择策略选项卡并单击分配策略.
要分配策略至多个设备:在设备页面上,选择所需设备,然后选择操作>分配策略.
要将策略作为任务捆绑包的一部分进行分配:将分配策略任务添加到任务捆绑包并将其传输到所需的设备或设备组.
相关任务将策略修改应用到设备(第100页)修改某些策略的设置时,要使修改生效,必须在设备上更新这些策略.
14.
11将策略修改应用到设备修改某些策略的设置时,要使修改生效,必须在设备上更新这些策略.
只需要将以下策略的修改应用到设备:Android设备策略Knox容器策略100版权所有SophosLimitedSophosMobileiOS设备策略其他策略会在设备每次连接到SophosMobile时自动同步.
要将策略修改应用到设备:1.
在侧边的菜单栏中,选择配置下的策略,然后选择设备平台.
2.
选择策略旁边的蓝色三角形,然后选择更新设备.
SophosMobile将创建任务以更新策略分配到的所有设备上的策略.
14.
12从设备卸载策略您可以从设备卸载策略,以删除该策略应用的设置.
您只能从设备卸载以下策略:Android设备策略Knox容器策略iOS设备策略对于其他策略,请更新策略、分配不同策略或取消设备注册.
使用以下任一过程从设备卸载策略:要从单个设备卸载策略:a)在侧边的菜单栏中,选择管理下的设备.
b)选择设备名称.
c)选择策略选项卡.
d)选择卸载.
要从选定设备卸载策略:a)使用卸载策略任务创建任务捆绑包.
b)将任务捆绑包传递到所需的设备或设备组.
要从所有设备卸载策略:a)在侧边的菜单栏中,选择配置下的策略,然后选择设备平台.
b)单击要卸载的策略旁边的蓝色三角形.
c)选择取消分配.
相关概念"显示设备"页面(第45页)在显示设备页面上,将显示单个设备的所有相关信息.
相关任务分配策略(第100页)您可以将策略分配给设备,以应用它包含的设置.
将策略修改应用到设备(第100页)修改某些策略的设置时,要使修改生效,必须在设备上更新这些策略.
传输任务捆绑包(第270页)版权所有SophosLimited101SophosMobile您可以将任务捆绑包传输到个人设备或设备组14.
13下载策略您可以下载策略.
这很有用,例如,如果您需要将设置传到SophosSupport.
要下载策略:1.
在侧边的菜单栏中,转到策略,并单击设备平台.
2.
单击策略旁边的蓝色三角形,然后选择下载.
策略将保存到您的计算机上.
14.
14AndroidEnterprise设备策略的配置通过AndroidEnterprise设备策略,可以配置AndroidEnterprise完全托管设备的设置.
14.
14.
1"密码策略"配置(Android企业设备策略)使用密码策略配置,您可以为显示锁定密码定义要求.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:102版权所有SophosLimitedSophosMobile设置说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将擦除设备.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
14.
14.
2限制配置(AndroidEnterprise设备策略)通过限制配置,您可以为AndroidEnterprise完全托管设备设置限制.
安全设置说明强制加密用户必须对其设备进行加密.
版权所有SophosLimited103SophosMobile设置说明允许恢复出厂设置用户可以将设备重置为出厂设置.
允许安全模式用户可以在安全模式下启动设备.
允许调试用户可以开启Android开发人员选项中的调试功能.
允许屏幕捕获用户可以截屏.
允许用户配置凭据用户可以安装或删除证书.
允许智能锁定用户可以开启在特定情况下自动解锁设备的Android智能解锁功能.
注释此设置会影响设备锁定.
如果还配置了工作配置文件锁定,它将被忽略.
允许共享位置用户可以开启位置共享.
允许通过指纹解锁设备用户可以使用指纹传感器解锁设备.
允许修改用户头像用户可以修改其用户帐户使用的照片.
在锁屏界面隐藏敏感信息如果开启锁屏界面上的通知,将隐藏敏感的通知内容.
系统更新策略选择安装系统更新的时间:无策略:用户决定何时安装系统更新.
自动安装:只要有系统更新可用,即自动安装.
在维护时段内安装:系统更新在日常维护时段内自动安装.
输入一天的开始和结束时间.
推迟:阻止系统更新(安全更新除外)30天.
帐户设置说明允许管理帐户用户可以在设备上添加或删除应用帐户等非Google帐户.
允许管理Google帐户用户可以在设备上添加或删除Google帐户.
104版权所有SophosLimitedSophosMobile网络与通信设置说明允许短信如果清除该复选框,用户将不能发送短信.
允许漫游时连接移动数据如果清除该复选框,将关闭漫游时的移动数据连接.
允许VPN如果清除该复选框,用户将不能使用VPN连接.
允许AndroidBeam用户可以通过AndroidBeam(通过NFC传输数据)从应用发送数据.
允许蓝牙如果清除该复选框,将关闭蓝牙.
允许拨出用户可以拨打电话.
允许网络重置用户可以将网络设置重置为默认设置.
启用Wi-Fi设置用户可以修改Wi-Fi设置.
允许配置手机网络广播用户可以在其消息应用中开启或关闭手机网络广播(CB)消息.
启用手机网络设置用户可以修改手机网络设置.
启用数据共享设置用户可以修改数据共享和便携式热点设置.
硬件设置说明允许照相机如果清除该复选框,相机将不可用.
允许麦克风如果清除该复选框,麦克风将不可用.
允许外部媒体用户可以将USB存储等外部媒体连接到设备.
启用USB存储用户可以将USB大容量存储模式(USBMSC)的设备连接到主计算机,即作为外部硬盘驱动器.
如果不选中该复选框,用户仍然可以连接媒体传输模式(USBMTP)或图片传输模式(USBPTP)的设备以传输文件.
允许通过USB传输文件.
用户可以在设备和外部USB存储之间传输文件.
版权所有SophosLimited105SophosMobile应用程序设置说明允许应用卸载用户可以卸载应用.
允许安装未知来源的应用如果清除该复选框,用户将只能通过GooglePlay安装应用,不能从未知来源或通过Android调试桥(ADB)安装.
启用系统应用如果清除该复选框,将只启用以下应用:GooglePlayStore、Contacts、Messages、Phone.
Google建议对AndroidEnterprise完全托管设备使用此选项.
如果您选中此复选框,将启用制造商预安装的所有应用.
允许更换墙纸如果清除该复选框,用户将不能更换壁纸.
允许管理应用如果清除该复选框,用户将不能对应用执行以下任务:卸载应用禁用应用停止应用清除应用缓存清除应用数据清除默认情况下打开设置允许禁用Google安全扫描用户可以关闭Google安全设置扫描设备是否存在安全威胁.
该设置可用于设置应用中,在Google>安全>GooglePlayProtect下.
允许设置日期和时间用户可以设置日期和时间.
如果清除该复选框,将使用网络日期和时间.
短消息特定于公司的支持消息,当功能关闭时向用户显示.
注释如果您的输入超过了200个字符,消息可能会被截断.
106版权所有SophosLimitedSophosMobile设置说明长消息用于补充短消息的附加文本.
当用户在显示短消息的屏幕中点击更多详细信息时,显示该文本.
注释此文本还会显示在SophosMobileControl应用的Android设备管理员屏幕上.
允许的辅助功能服务限制可以提供辅助功能服务的应用的列表:如果您选择所有可用的应用,用户将可以使用所有辅助功能服务.
如果您选择仅系统应用,用户将只能使用系统应用提供的辅助功能服务.
如果您选择应用组,用户将只能使用该组的应用和系统应用提供的辅助功能服务.
14.
14.
3Exchange帐户配置(Android企业设备策略)使用Exchange帐户配置,您可以将Exchange帐户添加到Gmail中.
警告Gmail应用的托管配置与Exchange帐户配置冲突,因此它在SophosMobile9.
6和更高版本中不可用.
如果您使用的是较低版本的托管配置,Gmail将忽略Exchange帐户配置.
即使托管配置为空,这种情况也会发生.
设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户名.
示例:johndoedomain\johndoe邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
版权所有SophosLimited107SophosMobile设置说明默认电子邮件签名默认电子邮件签名.
身份验证Gmail在连接到Exchange时使用的身份验证类型.
新式身份验证:使用新式身份验证(OAuth2.
0).
基本身份验证:使用基本身份验证(用户名和密码).
基本和新式身份验证:根据Exchange的支持情况,使用新式或基本身份验证.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
允许非托管帐户允许用户添加或删除任意Exchange帐户,此配置中指定的帐户除外.
如果开启此设置,您将不能阻止其他应用与用户添加的Exchange帐户之间的数据共享.
相关概念托管的配置(第310页)14.
14.
4Wi-Fi配置(Android企业设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSIDWi-Fi网络的ID:108版权所有SophosLimitedSophosMobile设置说明安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
版权所有SophosLimited109SophosMobile14.
14.
5GooglePlay(AndroidEnterprise设备策略)GooglePlay配置让您可以在AndroidEnterprise完全托管设备上管理GooglePlayStore应用.
设置说明可用的应用用户可以在其PlayStore应用中访问的应用.
托管的GooglePlay提供的已批准应用:用户只能访问您已经在托管的GooglePlay中为您的组织批准的应用.
GooglePlay提供的应用:用户可以访问GooglePlay提供的所有应用,即非托管设备可用的相同应用.
自动更新应用针对应用自动更新的选项.
通过任意网络:应用使用Wi-Fi或移动数据自动更新.
仅通过Wi-Fi:应用仅在连接到Wi-Fi时自动更新.
不自动更新应用:应用不自动更新.
使用设备设置:用户可以在其PlayStore应用中配置自动更新.
14.
14.
6应用保护配置(Android企业设备策略)通过应用保护配置,可以为保护托管的GooglePlay应用定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在SophosMobileSelfServicePortal中重置应用保护密码.
设置说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第289页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
110版权所有SophosLimitedSophosMobile14.
14.
7应用控制配置(Android企业设备策略)使用应用控制配置,您可以定义不允许用户启动的应用.
例如,可以使用此功能阻止设备制造商预安装并且无法卸载的应用程序.
设置说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第289页).
14.
14.
8应用权限配置(Android企业设备策略)使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么.
设置说明对运行时权限请求的默认响应对运行时权限请求的默认响应:提示:系统将提示用户授予权限.
自动接受:所有运行时权限请求都会自动授予.
自动拒绝:所有运行时权限请求都会自动拒绝.
如果您选择自动接受或自动拒绝,用户以后将不能编辑权限.
特定于App的运行时权限授予或拒绝特定应用的运行时权限.
单击添加选择应用,然后为每项权限选择以下选项之一:可选择:用户可以编辑该权限.
授权:授予权限.
拒绝:拒绝权限.
14.
14.
9展台模式配置(AndroidEnterprise设备策略)通过展台模式配置,您可以开启AndroidEnterprise专用设备管理.
设置说明选择源无:允许所有应用.
展台模式限制将应用于设备,但用户可以启动设备上可用的任意应用.
自定义,应用列表,:将单个应用锁定在屏幕上.
应用组:允许多个应用出现在屏幕上.
版权所有SophosLimited111SophosMobile设置说明应用ID展台模式下可用的应用.
根据您在选择源中的选择,按其标识符指定应用,或从可用应用列表中选择应用.
应用组展台模式下可用的应用.
选择其中一个配置的应用组.
允许调高调节如果清除该复选框,设备的音量按钮将禁用.
关闭锁屏设备的屏幕将永不锁定.
充电时保持开启只要设备连接到电源,设备屏幕就保持开启.
14.
14.
10全球HTTP代理配置(Android企业设备策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器HTTP代理的名称(或IP地址).
端口HTTP代理的端口号.
PACURL代理自动配置(PAC)文件的URL.
14.
14.
11VPN配置(Android企业设备策略)通过VPN配置,您可以为Android企业设备选择VPN客户端.
设置说明VPN客户端VPN应用的标识符.
VPN客户端必须是已安装在设备上的托管的GooglePlay应用.
在应用的托管配置中配置VPN连接.
有关详细信息,请参阅应用文档.
112版权所有SophosLimitedSophosMobile14.
14.
12根证书配置(Android企业设备策略)使用根证书配置,您可以在设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
14.
13客户端证书配置(Android企业设备策略)使用客户端证书配置,您可以在设备上安装客户端证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
14.
14SCEP配置(Android企业设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
版权所有SophosLimited113SophosMobile设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
114版权所有SophosLimitedSophosMobile14.
15Android企业工作配置文件策略的配置通过Android企业工作配置文件策略,可以配置Android企业工作配置文件设备的设置.
14.
15.
1"密码策略-设备"配置(Android企业工作配置文件策略)使用密码策略-设备配置,您可以为显示锁定密码定义要求.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
版权所有SophosLimited115SophosMobile设置说明最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将擦除设备.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
14.
15.
2"密码策略-工作配置文件"配置(Android企业工作配置文件策略)使用密码策略-工作配置文件配置,您可以为工作配置文件密码定义要求.
工作配置文件锁定时,用户必须输入该密码才能打开应用.
注释支持的设置取决于操作系统的版本或其他设备功能.
它在SophosMobileAdmin中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
116版权所有SophosLimitedSophosMobile设置说明简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
弱的生物识别允许用户使用较弱的生物识别方法(如面部识别)来解锁工作配置文件.
注释较弱的生物识别方法提供与3位数PIN码相似的安全性.
这意味着在1000次尝试中可能会发生1次中未经授权的解锁.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该工作配置文件被锁定后的时间.
配置文件可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将删除工作配置文件.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:版权所有SophosLimited117SophosMobile设置说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
14.
15.
3限制配置(Android企业工作配置文件策略)通过限制配置,您可以为Android企业工作配置文件设备设置限制.
安全设置说明允许屏幕捕获用户可以截取工作配置文件中安装的应用的屏幕内容.
允许用户配置凭据用户可以在工作配置文件中安装或删除证书.
允许在个人应用中使用工作剪贴板用户可以从工作配置文件中的应用复制文本,并粘贴到个人应用中.
始终可以将剪贴板文本从个人应用粘贴到工作配置文件中的应用.
允许智能锁定用户可以开启在特定情况下自动解锁设备的Android智能解锁功能.
注释此设置会影响设备锁定.
如果还配置了工作配置文件锁定,它将被忽略.
允许共享位置工作配置文件中的应用可以访问设备的定位功能.
如果不选中该复选框,即便用户已经开启位置共享,工作配置文件中的应用也不能访问设备的定位功能.
允许在个人应用中打开Web链接用户在工作配置文件中的应用中点击的Web链接可以通过个人浏览器应用打开.
118版权所有SophosLimitedSophosMobile设置说明允许调试用户可以开启Android开发人员选项中的调试功能.
允许通过指纹解锁设备用户可以使用指纹传感器解锁设备.
允许工作联系信息用于个人呼叫工作联系人来电时,个人电话应用显示来电人姓名.
允许工作联系信息用于蓝牙设备工作联系人个人来电时,连接的蓝牙设备显示来电人姓名.
允许搜索个人配置文件中的工作联系人搜索来电人姓名时,个人电话应用包括来自工作联系人的结果.
帐户设置说明允许管理帐户用户可以在工作配置文件中添加或删除应用帐户等非Google帐户.
网络与通信设置说明允许VPN用户可以将VPN连接用于工作配置文件中的应用.
允许AndroidBeam用户可以通过AndroidBeam(通过NFC传输数据)从工作配置文件中的应用发送数据.
硬件设置说明允许照相机工作配置文件中的应用可以访问相机.
应用程序设置说明允许应用卸载用户可以从工作配置文件中卸载应用.
版权所有SophosLimited119SophosMobile设置说明允许安装未知来源的应用如果不选中该复选框,用户将只能通过GooglePlay安装工作配置文件中的应用,不能从未知来源或通过Android调试桥(ADB)安装.
允许管理应用如果不选中该复选框,用户将不能对工作配置文件中的应用执行以下任务:卸载应用禁用应用停止应用清除应用缓存清除应用数据清除默认情况下打开设置允许禁用Google安全扫描用户可以关闭Google安全设置扫描设备是否存在安全威胁.
该设置可用于设置应用中,在Google>安全>GooglePlayProtect下.
短消息特定于公司的支持消息,当功能关闭时向用户显示.
注释如果您的输入超过了200个字符,消息可能会被截断.
长消息用于补充短消息的附加文本.
当用户在显示短消息的屏幕中点击更多详细信息时,显示该文本.
注释此文本还会显示在SophosMobileControl应用的Android设备管理员屏幕上.
14.
15.
4Exchange帐户配置(AndroidEnterprise工作配置文件策略)使用Exchange帐户配置,您可以将Exchange帐户添加到Gmail中.
警告Gmail应用的托管配置与Exchange帐户配置冲突,因此它在SophosMobile9.
6和更高版本中不可用.
如果您使用的是较低版本的托管配置,Gmail将忽略Exchange帐户配置.
即使托管配置为空,这种情况也会发生.
120版权所有SophosLimitedSophosMobile设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户名.
示例:johndoedomain\johndoe邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
默认电子邮件签名默认电子邮件签名.
身份验证Gmail在连接到Exchange时使用的身份验证类型.
新式身份验证:使用新式身份验证(OAuth2.
0).
基本身份验证:使用基本身份验证(用户名和密码).
基本和新式身份验证:根据Exchange的支持情况,使用新式或基本身份验证.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
相关概念托管的配置(第310页)版权所有SophosLimited121SophosMobile14.
15.
5Wi-Fi配置(Android企业工作配置文件策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSIDWi-Fi网络的ID:安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
122版权所有SophosLimitedSophosMobile14.
15.
6GooglePlay(AndroidEnterprise工作配置文件策略)GooglePlay配置让您可以在工作配置文件中管理GooglePlayStore应用.
设置说明可用的应用用户可以在其PlayStore应用中访问的应用.
托管的GooglePlay提供的已批准应用:用户只能访问您已经在托管的GooglePlay中为您的组织批准的应用.
GooglePlay提供的应用:用户可以访问GooglePlay提供的所有应用,即非托管设备可用的相同应用.
自动更新应用针对应用自动更新的选项.
通过任意网络:应用使用Wi-Fi或移动数据自动更新.
仅通过Wi-Fi:应用仅在连接到Wi-Fi时自动更新.
不自动更新应用:应用不自动更新.
使用设备设置:用户可以在其PlayStore应用中配置自动更新.
14.
15.
7应用保护配置(Android企业工作配置文件策略)通过应用保护配置,可以为保护托管的GooglePlay应用(即工作配置文件中安装的应用)定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在SophosMobileSelfServicePortal中重置应用保护密码.
设置说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第289页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
版权所有SophosLimited123SophosMobile14.
15.
8应用控制配置(Android企业工作配置文件策略)通过应用程序控制配置,您可以定义不允许用户启动的应用.
设置说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第289页).
14.
15.
9应用权限配置(AndroidEnterprise工作配置文件策略)通过应用权限配置,您可以配置托管的GooglePlay应用在运行期间请求权限时会发生什么.
设置说明对运行时权限请求的默认响应对运行时权限请求的默认响应:提示:系统将提示用户授予权限.
自动接受:所有运行时权限请求都会自动授予.
自动拒绝:所有运行时权限请求都会自动拒绝.
如果您选择自动接受或自动拒绝,用户以后将不能编辑权限.
特定于App的运行时权限授予或拒绝特定应用的运行时权限.
单击添加选择应用,然后为每项权限选择以下选项之一:可选择:用户可以编辑该权限.
授权:授予权限.
拒绝:拒绝权限.
14.
15.
10VPN配置(Android企业工作配置文件策略)通过VPN配置,您可以为Android企业设备选择VPN客户端.
设置说明VPN客户端VPN应用的标识符.
VPN客户端必须是已安装在设备上的托管的GooglePlay应用.
在应用的托管配置中配置VPN连接.
有关详细信息,请参阅应用文档.
124版权所有SophosLimitedSophosMobile14.
15.
11根证书配置(Android企业工作配置文件策略)使用根证书配置,您可以在设备上安装根证书.
该证书可用于托管的GooglePlay应用,即安装在工作配置文件中的应用.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
15.
12客户端证书配置(Android企业工作配置文件策略)使用客户端证书配置,您可以在设备上安装客户端证书.
该证书可用于托管的GooglePlay应用,即安装在工作配置文件中的应用.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
版权所有SophosLimited125SophosMobile14.
15.
13SCEP配置(Android企业工作配置文件策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
在工作配置文件中安装的应用将可以使用这些证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
126版权所有SophosLimitedSophosMobile设置说明根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
14.
16Android的Sophos容器策略的配置通过Sophos容器策略,您可以在SophosMobile管理Sophos容器的设备上为SophosSecureEmail和SophosSecureWorkspace配置设置.
注释在Android企业设备上,此策略还将安装SophosSecureWorkspace和SophosSecureEmail(如果该策略包含工作电子邮件配置).
在分配该策略前,请在托管的GooglePlay中批准这些应用.
14.
16.
1常规配置(AndroidSophos容器策略)使用常规配置,您可以定义适用于所有Sophos容器应用的设置(如果适用).
设置说明启用Sophos容器密码用户必须输入一个额外的密码才能启动Sophos容器应用.
在应用该配置后启动第一个容器应用时,必须定义密码.
此密码适用于所有容器应用.
版权所有SophosLimited127SophosMobile设置说明密码复杂性要求的Sophos容器密码的最低复杂性.
始终允许更安全的密码.
密码(数字和字母数字字符的组合)始终被视为比PIN(仅数字字符)更安全.
任意:Sophos容器密码没有限制.
4个数字的PIN6个数字的PIN4个字符的密码6个字符的密码8个字符的密码10个字符的密码始终在密码条目字段中隐藏字符密码输入字段中的字符在屏蔽之前不会短暂显示.
密码期限(天)密码可以使用的天数,之后会提示用户修改.
锁定前登录失败允许登录尝试失败的次数,之后将锁定容器应用.
它们被锁定后,需要管理员对应用进行解锁,如果允许,用户也可以使用SophosMobileSelfServicePortal进行解锁.
允许指纹用户可以使用其指纹解锁应用.
宽限期的分钟数容器应用再次回到前台而无需输入Sophos容器密码的时间段.
该宽限期适用于所有容器应用.
在该宽限期内,无需输入密码就可以在应用之间进行切换.
在设备锁定时锁定当设备锁定时,Sophos容器也锁定.
如果清除该复选框,容器将只在宽限期结束后锁定.
128版权所有SophosLimitedSophosMobile设置说明上一次服务器连接用户可以使用Sophos容器应用而不必连接SophosMobile服务器的时间.
当Sophos容器应用激活且在定义的时间内没有与服务器连接时,将显示锁屏界面.
用户只能通过点击锁屏界面上的重试解锁应用.
然后,应用将尝试连接到服务器.
如果可以建立连接,应用将解锁.
否则,访问将被拒绝.
访问时:服务器无法访问时,总是需要服务器连接并且应用将被锁定.
1小时:在上次服务器成功连接后,应用活动1个小时或以上时,需要连接服务器.
3小时6小时12小时1天3天3天无:无需定期联系.
没有服务器连接时离线启动在此字段中,您可以定义在没有服务器连接时,用户多久可以启动一个Sophos容器应用一次.
注释该设置需要开启Sophos容器密码功能.
只要用户输入Sophos容器密码,计数器就会增加.
如果计数器超过定义的数量,将显示和上一次服务器连接设置相同的锁屏界面.
如果建立了与SophosMobile服务器的连接,该计数器将被重置.
无限制:无需服务器联系.
0:不连接服务器则无法启动应用.
1:成功启动应用后,需要连接服务器.
351020允许根目录访问允许容器应用在Root的设备上运行.
应用使用约束条件可以在这里定义使用Sophos容器应用的约束条件.
单击添加,输入约束条件.
地理限制用于添加Sophos容器应用可以在其中使用的纬度和经度以及半径范围.
版权所有SophosLimited129SophosMobile设置说明时间限制用于指定Sophos容器应用可以使用的开始时间和结束时间.
还可以指定应用可以在一周内的哪些天可以使用.
Wi-Fi限制如果您选中需要Wi-Fi连接,没有有效的Wi-Fi连接时将锁定Sophos容器.
如果您将Wi-Fi网络添加到列表中,当设备连接到未列出的Wi-Fi网络时将锁定Sophos容器.
警告我们建议您不要以Wi-Fi限制作为唯一的安全机制,因为Wi-Fi名称很容易被欺骗.
14.
16.
2工作电子邮件(AndroidSophos容器策略)使用工作电子邮件配置,您可以为您的MicrosoftExchangeServer定义用户设置.
这些设置适用于安装在Sophos容器中的SophosSecureEmail应用.
注释如果SophosSecureEmail未安装,用户将收到安装消息.
当他们首次启动该应用时,它将自动配置.
主要电子邮件帐户设置说明Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
用户必须在其设备上输入帐户密码.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
域此帐户的域.
支持联系人电子邮件将用作"联系技术人员"电子邮件地址的电子邮件地址.
130版权所有SophosLimitedSophosMobile托管的帐户除主要电子邮件帐户外,您还可以添加最多两个称为托管帐户的帐户到SophosSecureEmail.
请注意以下事项:如果您配置了托管帐户,用户将不能手动添加帐户.
他们可以使用其在您分配该策略之前添加的帐户.
如果现有帐户具有相同的电子邮件地址,它将转换为托管帐户.
邮件设置设置说明允许外部内容用户可以加载外部邮件内容,如图像.
最大的电子邮件大小不会从Exchange服务器检索大于所选大小的电子邮件(包括).
通知详细信息选择显示在电子邮件通知中的信息量.
该设置还会影响事件提醒.
如果您选择了无通知,则会关闭事件提醒.
如果您选择了其他值,事件提醒将打开并且包含时间、位置和标题信息.
默认签名默认电子邮件签名.
EWS服务器您的ExchangeWeb服务(EWS)服务器的URL.
如果您将此字段留空,SophosSecureEmail将使用您在Exchange服务器中配置的URL.
功能设置说明同步Outlook任务和便笺用户可以在SophosSecureEmail中查看其Outlook任务和便笺.
默认情况下,用户还可以创建、编辑和删除任务及便笺.
要关闭此选项,请选中任务和便笺为只读.
任务和便笺为只读用户不能在SophosSecureEmail中创建、编辑或删除Outlook任务和便笺.
版权所有SophosLimited131SophosMobile设置说明将联系人导出到设备允许用户将Exchange联系人导出到本地设备联系人,以便他们可以识别来电中的公司联系人.
SophosSecureEmail保持信息同步.
注释在以下情况下,本地联系人信息将自动删除:从Sophos容器策略中删除公司电子邮件配置(需要重新启动SecureEmail应用)时.
从设备删除Sophos容器时.
从SophosMobile取消注册设备时.
导出公司名称公司名将包含在从公司联系人到本地设备联系人的导出中.
如果您关闭此设置,将只导出姓名和电话号码.
数据保护设置说明拒绝复制到剪贴板用户不能从SophosSecureEmail应用复制或剪切文件.
拒绝截屏用户无法截取显示SophosSecureEmail应用的屏幕截图.
允许查看/共享用户可以查看或共享电子邮件.
查看选择可以在所有应用中查看,还是只能在Sophos容器应用SophosSecureWorkspace和SophosSecureEmail中查看.
共享所有应用程序:可以共享给支持文件格式的所有应用.
容器应用:将使用设备密钥加密,且只能在SophosSecureWorkspace中打开.
共享操作本身不会被阻止.
132版权所有SophosLimitedSophosMobileS/MIME设置说明允许S/MIME加密用户可以发送和接收使用S/MIME证书加密的电子邮件.
S/MIME证书必须存储在内部存储的根文件夹中.
此设置不影响S/MIME签名.
如果设备上有用户的S/MIME证书,他们将可以对电子邮件进行签名.
OAuth2.
0通过这些设置,您可以设置SophosSecureEmail,以便用户可以通过贵组织的Office365登录过程访问其Exchange帐户.
设置说明开启OAuth2.
0开启Office365身份验证.
授权端点MicrosoftAzure中您的应用程序的OAuth授权端点.
在OAuth2.
0授权端点(v2)下输入Azure门户中显示的值.
ClientIDMicrosoftAzure中您的应用程序的ID.
在应用程序(客户端)ID下输入Azure门户中显示的值.
重定向URIOffice365API用于进行身份验证响应的位置.
输入以下文本:sophos://sse/auth令牌端点MicrosoftAzure中您的应用程序的OAuth令牌端点.
在OAuth2.
0令牌端点(v2)下输入Azure门户中显示的值.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
版权所有SophosLimited133SophosMobile相关任务为SophosSecureEmail设置多重身份验证(第330页)如果您为SophosSecureEmail设置了多重身份验证(MFA),用户将通过贵组织的Office365登录页面访问其Exchange帐户.
14.
16.
3工作文档(AndroidSophos容器策略)通过工作文档配置,您可以在SophosSecureWorkspace中管理工作文档存储提供程序.
配置存储提供程序对于每个存储提供程序,可以分别定义下列设置:设置说明启用可以在应用中使用存储提供程序.
离线将允许用户将文件从存储提供程序添加到应用的收藏夹列表,以供离线使用.
打开(已加密)用户可以通过打开与其他应用共享加密的文件.
打开(未加密)用户可以通过打开与其他应用共享未加密的文件.
剪贴板用户可以复制文档的不同部分,并将它们粘贴到其他应用.
企业提供程序设置对于WebDAV提供程序(也称为企业提供程序),您可以集中定义服务器设置和登录凭据.
这些不能被用户更改.
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择.
例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段.
然后用户在访问存储提供程序时,必须要知道密码.
设置说明姓名在SophosSecureWorkspace应用中显示的提供程序的名称.
服务器在此字段中,输入:公司文档WebDAV服务器上根文件夹的URL.
WebDAV服务器上根文件夹的URL.
使用以下格式:https://server.
company.
com仅支持https协议.
134版权所有SophosLimitedSophosMobile设置说明用户名相关服务器的用户名.
也可以使用%_USERNAME_%变量.
密码相关帐户的密码.
上传文件夹相关帐户的上传文件夹.
其他设置设置说明启用文档将开启文档功能,可以安全分发公司文档.
密码复杂性要求的加密密钥密码的最低复杂性.
总是允许更安全的密码.
可以选择以下设置:4个字符的密码6个字符的密码8个字符的密码10个字符的密码拒绝截屏用户无法截取显示SophosSecureWorkspace应用的屏幕截图.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
16.
4工作浏览器(AndroidSophos容器策略)通过工作浏览器配置,您可以管理SophosSecureWorkspace的工作浏览器功能.
工作浏览器让您可以安全访问公司的Intranet页面和其他允许的页面.
您可以定义域和域内的书签.
每个书签都属于某个域.
当您添加书签时,如果没有域条目,将会自动创建域条目.
一般设置设置说明拒绝截屏用户不能截取显示工作浏览器的屏幕截图.
版权所有SophosLimited135SophosMobile域设置设置说明URL您要允许的域.
允许复制/粘贴用户可以从工作浏览器中将文本复制和粘贴到其他应用.
允许打开方式用户可以在其他应用中打开下载的文件.
如果您关闭此设置,用户仍然可以下载SophosSecureWorkspace可以打开的文件.
工作浏览器将把下载的文件存储在安全存储中.
允许打开方式设置优先于工作文档配置中的安全存储设置.
允许保存密码用户可以在工作浏览器中保存其密码.
书签设置设置说明姓名书签的名称.
URL书签的的Web地址.
14.
16.
5根证书配置(AndroidSophos容器策略)使用根证书配置,您可以在设备上安装根证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
136版权所有SophosLimitedSophosMobile14.
16.
6客户端证书配置(AndroidSophos容器策略)使用客户端证书配置,您可以在设备上安装客户端证书.
如果SophosSecureWorkspace应用安装在Sophos容器中,它将可以使用此证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
16.
7SCEP配置(AndroidSophos容器策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
这些证书可用于SophosSecureWorkspace的工作浏览器功能.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
版权所有SophosLimited137SophosMobile设置说明使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
138版权所有SophosLimitedSophosMobile14.
17Android的MobileThreatDefense策略的配置通过MobileThreatDefense策略,可以在SophosInterceptXforMobile注册到SophosMobile时对其进行配置.
警告在Android企业设备上,此策略将安装InterceptX应用.
分配该策略前,您必须在托管的GooglePlay中批准该应用.
14.
17.
1网络配置(Android的MobileThreatDefense策略)通过网络配置,您可以管理SophosInterceptXforMobile的Wi-FiSecurity功能.
这可以保护用户免受基于网络的威胁.
注释将此配置分配给设备时,将禁用SophosInterceptXforMobile中的相应设置.
用户不能对它们进行修改.
设置说明中间人保护SophosInterceptXforMobile检查Wi-Fi连接是否存在中间人攻击.
检测到中间人攻击时,SophosMobile将创建通知.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
17.
2防病毒配置(Android的MobileThreatDefense策略)通过防病毒配置,您可以管理SophosInterceptXforMobile的恶意软件保护设置.
注释将此配置分配给设备时,将禁用SophosInterceptXforMobile中的相应设置.
用户不能对它们进行修改.
设置说明云扫描模式选择SophosInterceptXforMobile何时从Sophos服务器加载最新的恶意软件信息.
版权所有SophosLimited139SophosMobile设置说明计划扫描间隔选择执行恶意软件扫描的频率.
如果您选择每天充电时,则设备会在连接到电源超过30分钟后执行扫描.
扫描系统应用扫描系统应用.
默认情况下不扫描系统应用,因为它们受到Android操作系统的保护且用户不能卸载.
扫描存储除了默认扫描所有安装的应用外,还扫描内部共享存储、SD卡和连接的USB设备上的所有文件,看是否存在威胁.
检测PUA扫描是否存在可能不需要的应用(PUA).
可能不需要的应用是指虽不是恶意软件,但通常被认为是不适合企业网络的应用.
PUA包括广告软件、拨号器、系统监控、远程管理工具和黑客工具.
但是,某些可以归为PUA的应用可能对某些用户很有用.
允许用户启用PUAs用户可以允许归为PUA的应用.
随后的扫描中将忽略允许的应用.
模式选择如何处理低信誉应用:允许:关闭对低信誉应用的扫描.
警告:检测到低信誉应用时,在设备上显示警告消息.
用户可以选择如何处理该应用.
他们可以将其添加到允许的应用列表中,以便在检测到该应用时不会显示警告.
阻止:用户不能启动低信誉应用.
扫描通知当应用在安装后被扫描时,SophosInterceptXforMobile将创建一个通知.
如果不选中该复选框,将不会为清洁应用创建通知.
监控存储监控内部共享存储、SD卡和连接的USB设备是否有修改.
新的文件存储在这些位置时,它们将被扫描到.
应用组选择允许应用组.
该组中的应用将排除在扫描以外.
140版权所有SophosLimitedSophosMobile14.
17.
3网站筛选配置(Android的MobileThreatDefense策略)通过网络筛选配置,您可以管理SophosInterceptXforMobile的网站筛选功能.
这可以让用户避免浏览包含恶意、不需要或非法内容的网站.
警告如果设备不能连接到Sophos网站分类服务https://4.
sophosxl.
net/lookup,网站筛选将阻止所有网站.
限制网站筛选不适用于AndroidEnterprise工作配置文件设备.
这是因为网站筛选需要SophosAccessibilityService,当SophosInterceptXforMobile安装在工作配置文件中时,该服务不可用.
注释您还必须关闭InterceptXforMobile权限可以拒绝合规性规则.
否则,用户将可以通过关闭Sophos辅助功能服务停止网站筛选.
提示为了测试网络筛选,Sophos创建了包含每个类别的示例页面的网站sophostest.
com.
尽管其中一些页面被归类为具有潜在的攻击性或危险性,但是页面内容本身在所有情况下都是无害的.
如果您开启网站筛选,SophosMobile将始终阻止非常令人反感的犯罪活动(如儿童色情)类的网页.
为防止其他人访问这些页面,SophosMobile将在日志、事件和报告中屏蔽这些URL.
设置设置说明筛选恶意网站选择用户是否可以访问带有恶意内容的网站.
创建警报选择是否在用户尝试访问过滤的网站时创建通知.
您可以选择是否仅对阻止内容或警告内容创建通知.
按照类别筛选网站选择用户是否可以访问网站类型.
网站根据SophosLabs提供的数据进行分类.
该数据会不断更新.
版权所有SophosLimited141SophosMobile设置说明网站例外配置类别筛选的例外:允许的域:允许网站,即使它们所属的类别受到阻止.
阻止的域:阻止网站,即使它们属于允许的类别.
如何指定网站例外在允许的域和阻止的域中,按行输入以下一项内容(不带分隔符):IPv4或IPv6地址203.
0.
113.
02001:db8:85a3:0:0:8a2e:370:7334IPv4或IPv6子网203.
0.
113.
0/242001:db8::/32域名www.
example.
com通配符域.
通配符*必须是最左边的字符.
*.
example.
com*example.
com在阻止的域中,您可以使用单个通配符*阻止所有网站.
过滤逻辑当网站过滤评估是否必须允许或阻止网站时,允许列表优先于阻止列表,策略定义的列表优先于用户定义的列表.
过滤规则按以下顺序应用:1.
如果网站包括在允许的域中,它将被允许.
2.
如果网站包括在阻止的域中,它将被阻止.
3.
如果用户已将网站添加到允许列表,它将被允许.
4.
如果用户已将网站添加到阻止列表,它将被阻止.
5.
网站根据其类别被允许或阻止.
支持的浏览器网站筛选可与下列Web浏览器配合使用:AndroidWeb浏览器Firefox142版权所有SophosLimitedSophosMobileGoogleChromeMicrosoftEdge其他浏览器可能也可以,但没有经过测试.
14.
18Android设备策略的配置通过Android设备策略,可以为在设备管理员管理模式下注册到SophosMobile的Android设备配置设置.
Google现在弃用了设备管理员管理模式,并且减少了它的功能范围.
我们建议您改用AndroidEnterprise管理模式.
相关概念AndroidEnterprise设备策略的配置(第102页)通过AndroidEnterprise设备策略,可以配置AndroidEnterprise完全托管设备的设置.
Android企业工作配置文件策略的配置(第115页)通过Android企业工作配置文件策略,可以配置Android企业工作配置文件设备的设置.
相关任务设置Android管理模式(第20页)对于Android设备,您可以选择Android企业和设备管理员(旧功能)管理模式.
14.
18.
1密码策略配置(Android设备策略)使用密码策略配置,您可以为显示锁定密码定义要求.
注释支持的设置取决于操作系统的版本或其他设备功能.
它在SophosMobileAdmin中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
版权所有SophosLimited143SophosMobile设置说明字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将擦除设备.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
144版权所有SophosLimitedSophosMobile生物特征身份验证设置说明允许指纹身份验证如果设备支持,用户可以使用指纹验证方式解锁设备.
允许虹膜身份验证如果设备支持,用户可以使用虹膜验证方式解锁设备.
14.
18.
2限制配置(Android设备策略)通过限制配置,您可以为设备设置限制.
安全设置说明强制加密用户必须对其设备进行加密.
强制SD卡加密将策略分配给设备时,用户必须对SD卡进行加密.
注释对于某些设备类型,用户可以选择取消加密.
在下次装载SD卡时,将再次提醒他们.
允许快速加密用户可以修改设备设置中的快速加密选项.
允许恢复出厂设置用户可以将其设备重置为出厂状态.
允许"开发人员选项"用户可以修改开发者选项.
允许安全模式用户可以在安全模式下启动设备.
允许USB调试用户可以开启USB调试.
注释对于EnterpriseAPIlevel9或更高版本的Sony设备,清除允许USB调试复选框将使所有开发人员选项不可用.
允许固件恢复将允许所有类型的固件更新(如无线、下载等).
版权所有SophosLimited145SophosMobile设置说明允许备份用户可以创建系统备份.
如果清除该复选框,将关闭Google备份,但其他备份方法(例如SophosMobile备份)仍然可用.
允许更改设置用户可以修改设备设置.
注释对于您要在其上面配置Knox容器的Samsung设备,您必须开启此选项.
允许剪贴板用户可以将任意内容复制到剪贴板.
启用共享的剪贴板允许用户在应用之间复制剪贴板内容.
如果清除该复选框,每个应用都将有各自的剪贴板.
只有在您选中允许剪贴板时,此设置才可用.
允许屏幕捕获用户可以截屏.
允许模仿GPS位置用户可以在Android开发人员选项中选择模拟位置信息应用.
允许无线固件更新将允许无线固件更新.
允许录音用户可以录音.
允许录像用户可以录像.
如果清除该复选框,用户仍然可以拍摄照片和流式视频.
允许激活锁定用户可以修改设备设置中的激活锁定选项.
允许S光束用户可以启动SamsungSBeam应用.
允许S语音用户可以启动SamsungSVoice应用.
允许"共享方式"共享方式功能可以使用.
帐户设置说明允许多个用户帐户如果清除该复选框,将关闭多用户支持.
用户或其他应用不能创建额外的用户帐户.
146版权所有SophosLimitedSophosMobile设置说明允许添加电子邮件帐户如果清除该复选框,用户将不能添加电子邮件帐户.
这不影响通过设备策略创建帐户.
允许删除Google帐户如果清除该复选框,用户将不能从设备上删除Google帐户.
允许Google账户自动同步如果清除该复选框,Google帐户将不会自动同步.
用户仍然可以在Gmail等应用内执行手动同步.
网络与通信设置说明允许飞行模式如果清除该复选框,用户将不能启用飞行模式.
允许漫游时同步如果清除该复选框,将关闭漫游时同步.
仅允许紧急呼叫只允许紧急呼叫.
所有其他通话将被阻止.
漫游时强制要求手动同步设备漫游时,将关闭自动数据同步.
这将影响所有配置的帐户,如Google或Exchange.
强制要求移动数据连接用户不能关闭手机网络数据.
允许短信如果清除该复选框,用户将不能发送短信.
允许漫游时连接移动数据如果清除该复选框,将关闭漫游时的移动数据连接.
允许漫游时语音呼叫如果清除该复选框,将关闭漫游时的语音通话.
允许用户移动数据限制如果清除该复选框,用户将不能设置移动数据限制.
允许VPN如果清除该复选框,用户将不能使用VPN连接.
允许Wi-FiDirect如果清除该复选框,将关闭通过Wi-FiDirect传输数据.
允许AndroidBeam如果清除该复选框,将关闭通过AndroidBeam传输数据.
包括SamsungSBeam应用.
允许Miracast策略如果清除该复选框,将关闭通过Miracast传输数据.
允许蓝牙如果清除该复选框,将关闭蓝牙.
版权所有SophosLimited147SophosMobile设置说明允许高级音频分发模式(A2DP)允许音频/视频远程控制模式(AVRCP)允许免提模式(HFP)允许耳机模式(HSP)允许电话簿访问模式(PBAP)允许串口模式(SPP)要允许单个蓝牙配置文件,请选中允许蓝牙复选框,然后选择要允许的配置文件.
如果清除允许蓝牙复选框,设置将不起作用,即禁止所有配置文件.
允许NFC如果清除该复选框,将关闭NFC(近场通信).
允许Wi-Fi如果清除该复选框,将关闭Wi-Fi.
数据加密设置说明允许数据共享如果清除该复选框,将关闭数据共享.
包括通过Wi-Fi、USB和蓝牙进行的数据共享.
注释如果清除该复选框,允许Wi-Fi数据共享、允许USB数据共享和允许蓝牙数据共享将不起作用.
允许Wi-Fi数据共享如果清除该复选框,将关闭Wi-Fi数据共享(Wi-Fi热点).
允许USB数据共享如果清除该复选框,将关闭USB数据共享.
允许蓝牙数据共享如果清除该复选框,将关闭蓝牙数据共享.
允许配置Wi-Fi数据共享用户可以配置Wi-Fi热点的设置.
硬件设置说明允许照相机如果清除该复选框,相机将不可用.
允许在锁定屏幕期间使用照相机如果清除该复选框,锁屏时将不能使用相机.
要允许相机在锁定屏幕上,您还必须选择允许照相机选项.
148版权所有SophosLimitedSophosMobile设置说明强制要求GPS进行位置查询将使用GPS信息进行设备定位.
允许SD卡如果清除该复选框,SD卡将不能在设备上使用.
允许将应用移至SD卡如果清除该复选框,用户将不能将应用从内部存储移动到SD卡.
允许写入未加密的SD卡如果清除该复选框,将不能写入未加密的SD卡.
允许麦克风如果清除该复选框,麦克风将不可用.
允许USB设备上的USB大容量存储模式和USB媒体设备模式(MTP)可用.
允许USB媒体播放器如果清除该复选框,媒体传输协议(MTP)将不可用.
因为Android使用MTP传输USB文件,因此将阻止通过USB传输任何文件.
允许省电模式如果清除该复选框,设备将不会进入省电模式.
允许USB主机存储将装载用户连接的所有外部存储设备.
其中包括便携式USB存储设备、外置硬盘和SD卡读卡器.
如果清除该复选框,将不装载外部存储设备.
应用程序设置说明允许应用安装如果清除该复选框,用户将不能安装应用.
允许应用卸载如果清除该复选框,用户将不能卸载应用.
允许未签名应用安装如果清除该复选框,用户将只能安装签名的APK文件.
允许PlayStore如果清除该复选框,将不能使用GooglePlayStore应用.
允许未知来源的应用如果清除该复选框,用户将只能通过GooglePlayStore应用安装应用.
允许本地浏览器如果清除该复选框,本地浏览器将不可用.
第三方浏览器应用将不受影响.
允许应用崩溃报告如果清除该复选框,用户将不能发送崩溃报告.
允许更换墙纸如果清除该复选框,用户将不能更换壁纸.
版权所有SophosLimited149SophosMobile设置说明显示来电信息如果清除该复选框,将不显示来电详细信息.
所有呼叫者都将显示为"未知号码".
允许在浏览器中自动填充用户可以在本机Android浏览器的设置中启用自动填充.
启用后,网页会在用户填充表单数据时提供建议.
如果清除该复选框,将关闭自动填充,且浏览器设置将不可用.
允许在浏览器中使用Cookie用户可以在本机Android浏览器的设置中启用Cookie.
启用后,网页可以将Cookie存储在设备上.
如果清除该复选框,将关闭Cookie,且浏览器设置将不可用.
允许在浏览器中使用JavaScript用户可以在本机Android浏览器的设置中启用JavaScript.
启用后,网页可以在设备上执行JavaScript代码.
如果清除该复选框,将关闭JavaScript,且浏览器设置将不可用.
允许在浏览器中弹出窗口用户可以在本机Android浏览器的设置中启用弹出窗口.
启用后,网页可以打开新的浏览器窗口.
如果清除该复选框,将关闭弹出窗口,且浏览器设置将不可用.
允许修改日期和时间设置用户可以修改日期和时间设置.
筛选器类型选择允许的应用或禁止的应用程序,然后选择包含您要允许或禁止的应用的应用组.
您通过SophosMobile安装的应用不会受到此设置的限制.
14.
18.
3KnoxPremium限制配置(Android设备策略)使用KnoxPremium限制配置,您可以为SamsungKnox设备定义限制.
这些限制适用于设备,不适用于Knox容器.
注释要强制使用KnoxPremium限制,您必须将SamsungKnoxPremium许可证注册到SophosMobile.
选项说明允许固件自动更新选项设备将自动检查固件更新.
用户不能在设备设置中更改此选项.
150版权所有SophosLimitedSophosMobile选项说明启用ODE信任引导验证只有二进制文件和内核文件是正式的,也就是设备没有进行Root的情况下,设备才会在启动时解密数据分区.
如果清除该复选框,设备总是会在启动时解密数据分区.
阻止另一管理应用安装将阻止安装需要设备管理员权限的应用.
这不影响SophosMobile安装的应用.
阻止另一管理应用激活将阻止激活设备管理员权限.
允许常见标准模式将开启设备的常见条件模式(CC模式),从而确保设备符合移动设备基本保护配置文件(MDFPP)规定的安全要求.
请注意:CC模式仅在满足以下附加要求时使用:设备加密已开启.
快速加密已关闭.
外部存储加密已开启.
设置了设备擦除前允许的登录失败尝试次数.
证书吊销已开启.
密码历史记录已关闭.
14.
18.
4Exchange帐户配置(Android设备策略)通过Exchange帐户配置,您可以设置与MicrosoftExchangeServer邮件服务器的连接.
设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
版权所有SophosLimited151SophosMobile设置说明发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步化间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
默认账户该帐户用作默认的电子邮件帐户.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
允许转发邮件允许转发电子邮件.
允许使用HTML格式允许在电子邮件中使用HTML格式.
最大大小(MB).
单封电子邮件最大的大小.
同步内容类型要同步的内容类型.
注释在使用LGGATE、SamsungKnox或SonyEnterpriseAPI的设备上,该电子邮件应用将自动配置.
在其他Android设备上,用户将收到配置该电子邮件应用的消息.
配置详细信息可以在SophosMobileControl应用中找到.
注释对于EnterpriseAPIlevel6或以下版本的Sony设备,Exchange帐户信息必须与分配给设备的用户相匹配.
在这些设备上,SophosMobileControl客户端不能将ActiveSyncID发送到SophosMobile服务器.
当设备首次联系EAS代理时,电子邮件客户端发送的ActiveSyncID对于SophosMobile是未知的.
为验证帐户详细信息,EAS代理会搜索ActiveSyncID未知的设备以及与电子邮件客户端提供的用户信息相匹配的已分配用户.
如果找到这样的设备,ActiveSyncID将分配给该设备,电子邮件请求将传递到Exchange服务器.
否则,请求将被拒绝.
有关详细信息,请参阅Sophos知识库文章121360.
152版权所有SophosLimitedSophosMobile14.
18.
5Wi-Fi配置(Android设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSIDWi-Fi网络的ID:安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
代理主机Wi-Fi连接代理服务器的名称或IP地址.
版权所有SophosLimited153SophosMobile设置说明代理端口代理服务器的端口号.
14.
18.
6应用保护配置(Android设备策略)使用应用保护配置,您可以为保护应用定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在SophosMobileSelfServicePortal中重置应用保护密码.
设置说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第289页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
14.
18.
7应用控制配置(Android设备策略)使用应用控制配置,您可以定义不允许用户启动的应用.
例如,可以使用此功能阻止设备制造商预安装并且无法卸载的应用程序.
设置说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第289页).
154版权所有SophosLimitedSophosMobile14.
18.
8应用权限配置(Android)通过应用权限配置,您可以配置应用在运行期间请求权限时会发生什么.
设置说明特定于App的运行时权限授予或拒绝特定应用的运行时权限.
单击添加选择应用,然后为每项权限选择以下选项之一:可选择:用户可以编辑该权限.
授权:授予权限.
拒绝:拒绝权限.
14.
18.
9展台模式(Android设备策略)使用展台模式配置,您可以为设备定义限制,使其进入展台模式.
您可以设置在设备上运行的应用(称为展台应用).
注释如果在您分配策略时设备上未安装展台应用,分配任务的状态将是不完备,直到您安装该应用为止.
设置说明选择源使用此设置,您可以选择如何进入展台应用.
自定义:此选项让您可以输入展台应用的标识符.
应用列表:此选项让您可以从您已经添加到SophosMobile的Android应用列表中选择展台应用.
没有应用:没有展台应用.
展台模式限制将应用于设备,但不会启动任何应用.
应用ID展台应用.
选项您可以在展台模式下关闭的设备功能.
如果您不关闭任何设备功能,用户将可以离开展台应用并正常使用该设备.
要将设备设置为真正的展台模式,请至少关闭允许主页按钮和允许任务管理器.
对于EnterpriseAPIlevel9或更高等级的Sony设备,如果您不选中允许调高音量、允许调低音量或允许静音中的任何一项,将关闭所有音量按钮.
版权所有SophosLimited155SophosMobile14.
18.
10接入点名称配置(Android设备策略)使用接入点名称配置,可以为移动设备指定接入点名称(APN)配置.
APN配置定义设备如何连接到移动网络.
警告我们建议您向运营商了解所需的设置.
如果选择用作默认APN且设置不正确,设备将不能通过手机网络访问数据.
注释除APN字段外,所有设置均为可选,并且仅在移动网络运营商要求时才指定.
设置说明APN设备开启与运营商的连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
用户友好名称除APN外,显示在设备上的可选名称.
服务器用于Web通信的HTTP服务器的地址.
端口用于Web通信的HTTP服务器的端口.
用户名、用户密码用于连接到APN的用户名和密码.
服务器WAP网关服务器.
MMSC多媒体消息服务中心(MMSC).
MMS代理服务器,MMS代理端口用于与MMSC进行通信的HTTP服务器的地址和端口.
移动设备国家代码(MCC)、移动设备网络代码(MNC)用于指定运营商的MCC和MNC.
APN仅用于该运营商.
身份验证类型PPP连接的身份验证方法.
APN类型使用此APN的数据连接的类型.
要将该APN用于所有数据类型,请输入*或将该字段保留为空.
持有者运营商使用的无线接入技术(RAT).
协议运营商支持的网络协议.
漫游协议运营商在漫游模式下支持的网络协议.
156版权所有SophosLimitedSophosMobile设置说明用作默认APN如果选中,设备将使用此APN作为默认值.
如果尝试在多个接入点名称配置中选择此选项,将会引发错误.
14.
18.
11VPN配置(Android设备策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置说明连接名称设备上显示的连接名称.
服务器服务器的主机名或IP地址.
连接类型VPN连接的类型:L2TP/IPsec(PSK)如果选择此类型,将显示用户、密码和L2TP/IPsec(PSK)字段.
输入用户名及密码.
在L2TP/IPsec(PSK)字段中,输入身份验证的预共享密钥.
L2TP/IPsec(证书)如果选择此类型,将显示客户端证书、根证书、用户名及密码字段.
在客户端证书及根证书字段中,选择相应的证书.
此外,输入用户名及相应的密码.
CiscoAnyConnect如果选择此类型,您可以上传XML文件及AnyConnectVPN配置文件和/或NVM(网络可见性模块)配置文件.
请参阅CiscoAnyConnect管理员指南,了解有关这些配置文件的信息.
14.
18.
12根证书配置(Android设备策略)使用根证书配置,您可以在设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
版权所有SophosLimited157SophosMobile注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
18.
13客户端证书配置(Android设备策略)使用客户端证书配置,您可以在设备上安装客户端证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
18.
14SCEP配置(Android设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
158版权所有SophosLimitedSophosMobile设置说明使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
版权所有SophosLimited159SophosMobile14.
19Knox容器策略的配置通过Knox容器策略,可以配置Samsung设备上Knox容器的设置.
14.
19.
1密码策略配置(Knox容器策略)使用密码策略配置,您可以为Knox容器密码定义要求.
注释支持的设置取决于操作系统的版本或其他设备功能.
它在SophosMobileAdmin中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置说明密码长度最小值密码必须包含的最少字符数目.
160版权所有SophosLimitedSophosMobile设置说明密码提示前最长空闲时间如果Knox容器未使用,则该工作配置文件被锁定后的时间.
容器可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将删除Knox容器.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
生物特征身份验证设置说明允许指纹身份验证如果设备支持,用户可以使用指纹验证方式解锁Knox容器.
允许虹膜身份验证如果设备支持,用户可以使用虹膜验证方式解锁Knox容器.
允许人脸身份验证如果设备支持,用户可以人脸身份验证方式解锁Knox容器.
版权所有SophosLimited161SophosMobile14.
19.
2限制配置(Knox容器策略)使用限制配置,您可以配置Samsung设备Knox容器的限制和相关设置.
设置说明允许屏幕捕获用户可以捕获SamsungKnox容器中的应用的屏幕内容.
允许照相机SamsungKnox容器中的应用可以访问相机.
允许剪贴板用户可以将任意内容复制到剪贴板.
允许"共享方式"某些应用使用的共享方式功能将开启.
允许麦克风SamsungKnox容器中的应用可以访问麦克风.
强制使用安全键盘用户必须使用安全键盘.
允许添加新邮件账户用户可以在由SophosMobile策略配置的帐户以外添加电子邮件帐户.
允许数据导出私人应用可以访问SamsungKnox容器的数据.
允许将文件复制到容器中私人文件可以复制或移动到SamsungKnox容器内.
允许蓝牙SamsungKnox容器内的应用可以使用蓝牙连接.
允许NFCSamsungKnox容器内的应用可以使用NFC(近场通信)连接.
强制进行多重身份验证要解锁SamsungKnox容器,需要多种身份验证方法,如密码和指纹.
筛选器类型选择允许的应用或禁止的应用程序,然后选择包含您要允许或禁止的应用的应用组.
您通过SophosMobile安装的应用不会受到此设置的限制.
14.
19.
3Exchange帐户配置(Knox容器策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
这些设置被应用至SamsungKnox容器.
设置说明帐户名称帐户名称.
162版权所有SophosLimitedSophosMobile设置说明Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步化间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
默认账户该帐户用作默认的电子邮件帐户.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
允许从其他帐户转发.
此帐户可用于转发其他帐户收到的电子邮件.
例如,如果这是帐户A,且Knox容器还包含另一个帐户,即帐户B,则帐户B收到的电子邮件可以使用帐户A作为发件人转发.
注释此设置仅供本机Android电子邮件应用使用.
允许使用HTML格式允许在电子邮件中使用HTML格式.
最大大小(MB).
单封电子邮件最大的大小.
版权所有SophosLimited163SophosMobile设置说明同步内容类型要同步的内容类型.
14.
20iOS设备策略的配置通过iOS设备策略,您可以配置iPhone和iPad的设置.
14.
20.
1密码策略配置(iOS设备策略)使用密码策略配置,您可以为设备密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
164版权所有SophosLimitedSophosMobile设置说明设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
14.
20.
2限制配置(iOS设备策略)使用限制配置,您可以为设备定义限制.
注释一些选项仅适用于某些版本的iOS或iPadOS或受监督的设备.
它在SophosMobileAdmin中通过蓝色标签表示.
设备设置说明允许应用安装如果清除该复选框,AppStore将不可用,且其图标将从主屏幕中删除.
用户不能通过AppStore或AppleConfigurator安装或更新应用.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许从设备用户界面安装应用如果清除该复选框,AppStore将不可用,且其图标将从主屏幕中删除.
用户仍然可以通过AppleConfigurator安装或更新应用.
允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许FaceTime用户可以发起或接收FaceTime视频通话.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许屏幕捕获用户可以截屏.
漫游时允许自动同步如果清除该复选框,漫游的设备将仅在用户访问帐户时同步.
版权所有SophosLimited165SophosMobile设置说明允许Siri如果清除该复选框,用户将不能使用Siri、语音命令或听写模式.
设备锁定时,允许Siri如果清除该复选框,则用户必须输入其密码解锁其设备方可使用Siri.
允许Siri从网页查询内容如果清除该复选框,Siri将不会从网络查询内容.
强制执行Siri限制性语言筛选如果清除该复选框,则不在设备上强制执行Siri限制性语言过滤.
允许在设备锁定时进行语音拨号如果清除该复选框,用户将不能在设备被密码锁定时使用语音命令拨号.
如果用户尚未配置设备密码,则始终允许语音拨号.
设备锁定时,允许Passbook将在设备锁定时显示Passbook通知.
允许应用内购买用户可以进行应用内购买.
强制用户购买时输入存储密码用户必须输入其AppleID密码才能购买.
如果清除该复选框,将会有一个简短的宽限期,在此期间,用户可以进行后续购买而不必再次输入其密码.
允许多人游戏用户可以在GameCenter内玩多人游戏.
允许GameCenter如果清除该复选框,GameCenter将不可用.
允许添加游戏中心的朋友用户可以在GameCenter中添加好友.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
"允许查找我的好友"修改如果清除该复选框,将不能修改"查找好友"应用.
允许查找我的好友用户可以在"查找我的"应用中查找人员.
如果您同时关闭允许查找我的设备和允许查找我的好友,"查找我的"应用将不可用.
允许查找我的设备用户可以在"查找我的"应用中查找设备.
如果您同时关闭允许查找我的设备和允许查找我的好友,"查找我的"应用将不可用.
允许主机配对如果清除该复选框,则只能将设备与配置为设备监控的Mac设备配对.
166版权所有SophosLimitedSophosMobile设置说明允许与AppleWatch配对如果清除该复选框,用户将不能将设备与AppleWatch配对.
任何当前已经配对的AppleWatch将取消配对.
强制执行手腕检测配对的AppleWatch必须使用手腕检测.
允许AirDrop将开启AirDrop的内容共享.
允许锁定屏幕上的ControlCenter如果清除该复选框,锁屏时将不能使用ControlCenter.
允许锁定屏幕上的NotificationCenter如果清除该复选框,锁屏时将不能使用NotificationCenter.
允许锁定屏幕上的Today视图如果清除该复选框,锁屏时将不能使用Today视图.
允许新闻新闻应用可以使用.
允许无线PKI更新可以进行无线PKI更新.
允许iBooksStore用户可以在iBooks中购买书籍.
允许iBooks商店存在色情内容如果清除该复选框,将阻止通过iBooks商店提供的限制性色情内容.
允许用户安装配置文件用户可以安装配置文件.
允许即时消息用户可以使用iMessage发送或接收短信.
允许删除应用用户可以从设备中卸载应用.
允许删除系统应用用户可以从设备中卸载系统应用.
允许清除所有内容和设置如果清除该复选框,重置用户界面中的清除所有内容和设置选项将不可用.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许启用限制选项如果清除该复选框,重置用户界面中的启用限制选项将不可用.
允许传递用户可以使用AppleContinuity的Handoff功能.
使用Handoff,用户可以在一个设备上开始文档、电子邮件或消息等工作,并在其他设备上继续.
允许修改设备名称用户可以更改设备名称.
允许修改壁纸用户可以更改壁纸.
版权所有SophosLimited167SophosMobile设置说明允许修改通知设置用户可以修改通知设置.
允许键盘快捷方式用户可以使用键盘快捷方式.
允许听写键盘输入用户可以开启启用听写键盘设置.
允许预测键盘用户可以开启预测键盘设置.
允许自动更正用户可以开启自动更正键盘设置.
允许拼写检查用户可以开启拼写检查键盘设置.
允许自动下载应用如果清除该复选框,自动下载在其他设备上购买的应用将关闭.
这不影响现有应用的更新.
允许AppleMusic用户可以访问AppleMusic库.
允许AppleMusicRadio用户可以访问AppleMusicRadio.
允许修改蓝牙设置用户可以修改蓝牙设置.
允许创建VPN用户可以添加VPN配置.
强制执行日期和时间自动调整日期和时间设置自动设置将开启,且用户不能将其关闭.
允许QuickPath键盘用户可以使用QuickPath键盘功能.
允许共享的iPad临时会话用户无需密码就可以访问共享的iPad,只需在登录页面上点击来宾即可.
这将启动一个临时会话.
当用户注销临时会话时,将删除其所有的数据.
在临时会话中,用户不能编辑帐户设置或登录Apple服务.
iOS和iPadOS软件更新延迟iOS或iPadOS的更新在发布日期后延迟的天数.
输入一个0(无延迟)和90之间的值.
168版权所有SophosLimitedSophosMobile公司数据设置说明允许文档仅共享于托管的应用/帐户内这限制了通过SophosMobile管理的应用或帐户打开文档,例如公司电子邮件帐户.
如果用户拥有SophosMobile管理的电子邮件帐户且其设备上有SophosMobile管理的应用,则受管理电子邮件帐户的仅可用受管理的应用打开.
这样,您可以防止公司文档在未受管理的应用中打开.
如果您关闭此设置,将禁用接下来的两项设置.
托管帐户的联系人可以共享给非托管应用.
允许托管应用将联系人写入非托管帐户托管应用可以将联系人写入非托管帐户.
允许非托管应用从托管帐户读取联系人非托管应用可以从托管帐户读取联系人.
允许文档仅共享于未托管的应用/帐户内这限制了未通过SophosMobile管理的应用/帐户打开文档,例如私人电子邮件帐户.
如果用户拥有不受其设备上的SophosMobile管理的电子邮件帐户和应用,则未受管理的电子邮件帐户的仅可用未受管理的应用打开.
这样,您可以防止个人文档在受管理的应用中打开.
强制要求AirDrop文档用作非托管文档AirDrop被认为是一个非托管拖放目标.
允许托管应用与iCloud同步托管应用可以使用iCloud同步.
允许企业簿备份将备份企业簿.
允许企业簿说明并强调同步将同步企业簿说明和亮点.
应用程序设置说明允许使用iTunesStore如果清除该复选框,iTunesStore将不可用,且其图标将从主屏幕中删除.
用户无法预览、购买或下载内容.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
版权所有SophosLimited169SophosMobile设置说明允许使用Safari如果清除该复选框,SafariWeb浏览器将不可用,且其图标将从主屏幕中删除.
此操作还可以用于防止用户打开网页剪辑.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
启用自动填充功能如果清除该复选框,Safari将不会使用先前输入的信息自动填充Web表单.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
强制欺诈警告Safari安全设置在用户访问可疑的网络钓鱼网站时提醒用户始终打开.
阻止弹出窗口将开启Safari弹出窗口阻止程序.
允许在浏览器中使用JavaScript网页可以在设备上执行JavaScript代码.
接受缓存在此字段中,您指定Safari是否接受Cookie.
当您允许Cookie时,您可以指定是否只接受来自当前网站、以前访问过的网站或所有网站的Cookie.
允许修改每一应用的手机网络数据用户可以更改每个应用的手机网络数据使用.
允许网络驱动器连接用户可以在"文件"应用中连接到网络驱动器.
允许USB设备连接用户可以连接USB设备.
筛选器类型选择允许的应用或禁止的应用程序,然后选择包含您要允许或禁止的应用的应用组.
iCloud设置说明允许备份用户可以将其设备备份到iCloud.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
170版权所有SophosLimitedSophosMobile设置说明允许PhotoStream用户可以将照片上传到我的照片流.
警告如果您清除该复选框,禁止我的照片流,将同时从所有设备删除通过我的照片流共享的现有照片.
如果这些照片没有其他副本,这些照片将会丢失.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许共享照片流用户可以邀请他人查看其照片流,并查看他人共享的照片流.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
安全和隐私设置说明允许将诊断数据发送到Apple如果清除该复选框,诊断信息将不会发送至Apple.
允许用户接受不受信任的TLS证书如果清除该复选框,将不会询问用户是否信任无法验证的证书.
此设置仅适用于Safari、邮件联系人及日历帐户.
信任企业应用将信任企业应用.
允许修改密码用户可以添加、更改或删除设备密码.
允许修改帐户如果清除该复选框,用户将不能修改帐户.
帐户菜单将不可用.
允许使用TouchID和FaceID解锁设备如果清除该复选框,将不能通过生物特征身份验证解锁设备.
强制限制广告跟踪不再提供用于目标广告的匿名用户数据应用.
强制加密备份用户必须对iTunes中的备份进行加密.
强制使用配置的Wi-Fi网络设备只能连接到通过SophosMobile策略配置的Wi-Fi网络.
版权所有SophosLimited171SophosMobile设置说明强制开启Wi-Fi用户不能关闭Wi-Fi.
因此,Wi-Fi在飞行模式下将保持开启状态.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
允许AirPrint凭据存储AirPrint用户名和密码可以存储在系统钥匙串(Keychain)中.
允许AirPrint打印机的iBeacon发现设备使用iBeacon发现AirPrint设备.
警告如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
允许快速启动传输到新设备用户可以使用设置助手的快速启动功能,将数据从设备传递到新设备.
允许密码自动填入用户可以开启自动填入密码设置,以使用在Safari或其他应用中保存的密码或信用卡信息.
如果清除此复选框,将同时禁用自动建议强密码功能.
强制执行在自动填充前进行身份验证用户在使用自动填充功能时必须进行身份验证.
此设置仅在支持FaceID或TouchID的设备上强制执行.
从附近的设备请求Wi-Fi密码设置Wi-Fi连接时,设备从附近设备请求密码.
允许AirDrop密码分享用户可以通过AirDrop与其他用户共享PasswordManager的密码.
内容分级设置说明允许显式音乐和播客如果清除该复选框,iTunesStore中的限制性音乐或视频内容将会隐藏.
限制性内容由内容提供商在放到iTunesStore上标记,如记录标签.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
172版权所有SophosLimitedSophosMobile相关任务配置设备监管(第73页)您可以配置允许用于监管iOSDEP设备的Mac设备.
尽管您通常会阻止USB配对,这些Mac设备仍然可以与iOSDEP设备配对.
14.
20.
3Exchange帐户配置(iOS设备策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
如果您使用OAuth但没有OAuth登录URL,此字段将被忽略.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
开启OAuth2.
0帐户使用OAuth2身份验证框架,即用户使用其Microsoft凭据进行身份验证.
OAuth授权端点处理用户身份验证请求的OAuth端点的URL,即Microsoft登录页面.
使用此设置时,将不使用ExchangeOnline和ExchangeServer的自动发现功能,您必须在Exchange服务器中输入服务器地址.
OAuth令牌端点处理访问令牌请求的OAuth端点的URL.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
版权所有SophosLimited173SophosMobile设置说明SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许移动用户可以将电子邮件从该帐户移动到其他帐户.
此选项允许用户在回复或转发此帐户的邮件时使用其他帐户.
允许最近地址同步将在与其他使用iCloud的设备同步最近使用的地址时包含该帐户.
仅在邮件中使用该帐户只能用于发送来自邮件应用的邮件.
不可选择它充当其他应用所创建邮件的发送帐户,例如Photos或Safari.
身份证明书选择用于连接Exchange服务器的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
启用S/MIME用户可以发送和接收使用S/MIME证书加密的电子邮件.
签名证书加密证书用于电子邮件签名和加密的证书.
您需要先上传证书,然后才能选择.
您可以在当前策略的客户端证书配置中执行此操作.
允许用户发送未加密的电子邮件对于每封传出电子邮件,用户可以选择对其加密.
同步日历Outlook的日历项目(事件、约会、会议)将与日历应用同步.
用户可以修改日历同步用户可以开启或关闭日历同步.
同步联系人Outlook的联系人将与联系人应用同步.
用户可以修改联系人同步用户可以开启或关闭联系人同步.
同步邮件Outlook的电子邮件将与邮件应用同步.
用户可以修改邮件同步用户可以开启或关闭电子邮件同步.
同步便笺Outlook的便笺将与便笺应用同步.
用户可以修改便笺同步用户可以开启或关闭便笺同步.
同步任务Outlook的任务将与提醒应用同步.
用户可以修改任务同步用户可以开启或关闭任务同步.
174版权所有SophosLimitedSophosMobile14.
20.
4Wi-Fi配置(iOS设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSIDWi-Fi网络的名称.
自动连接Wi-Fi网络可用时自动连接.
隐藏网络Wi-Fi网络不广播其SSID.
关闭专用地址使用设备的硬件MAC地址加入网络,而不是iOS创建的特定网络地址.
此设置会降低连接的隐私性.
请仅在设备必须在您的整个网络中使用相同的MAC地址来标识自己时才使用.
请注意,与第三方网络访问控制(NAC)系统集成的NAC不适用于使用专用MAC地址的设备.
NAC系统只知道设备的专用地址,而SophosMobile只知道硬件地址.
安全类型Wi-Fi网络的安全类型.
密码Wi-Fi网络的密码.
如果您选择个人安全类型,此选项将可用.
协议身份验证协议设置.
接受EAP类型:设备接受用于进行身份验证的EAP类型.
EAP-FAST:对于EAP-FAST,您可以配置受保护的访问凭据(ProtectedAccessCredential,PAC).
内部身份:隧道用户身份验证协议(用于TTLS).
TLS最低版本,TLS最高版本:设备接受用于进行EAP身份验证的最低和最高TLS协议版本.
协议在您选择企业安全类型时可用.
身份验证客户端身份验证设置.
用户:用于连接到Wi-Fi网络的用户名.
每个连接都需要密码:选中此选项可在每次身份验证时发送密码.
密码:Wi-Fi网络的密码.
身份证明书:用于连接到Wi-Fi网络的证书.
必须先将证书添加到具有客户端证书配置的策略中,然后才能选择证书.
外部身份:外部可见的ID(用于TTLS、PEAP和EAP-FAST).
身份验证在您选择企业安全类型时可用.
版权所有SophosLimited175SophosMobile设置说明可信任证书服务器证书.
必须先将证书添加到具有根证书配置的策略中,然后才能选择证书.
可信任证书在您选择企业安全类型时可用.
代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
14.
20.
5单个应用模式配置(iOS设备策略)使用单个应用模式配置,您可以定义将设备锁定到单个应用中的操作模式的设置,并阻止用户更改为其他应用.
选项设置说明选择源选择您要如何为单个应用模式指定应用:应用列表:从所有可用iOS应用的列表中选择应用.
自定义:手动输入应用的捆绑ID.
应用标识符用于单个应用模式的应用.
从列表中选择应用或输入捆绑ID.
禁用触摸屏触摸手势将不可用.
禁用旋转屏幕不会转动.
禁用音量按钮音量按钮将不可用.
禁用铃声切换铃声切换将不可用.
禁用睡眠唤醒按钮唤醒按钮将不可用.
禁用自动锁定将关闭在空闲时间后让设备进入睡眠状态的自动锁定功能.
启用画外音画外音将可用.
启用放大缩放功能将可用.
启用反色反色功能将可用.
176版权所有SophosLimitedSophosMobile设置说明启用辅助触摸功能AssistiveTouch将可用.
启用演讲选择演讲选择功能将可用.
启用单声道音频单声道功能将可用.
启用语音控制语音控制将可用.
用户可编辑的选项设置说明画外音用户可以开启或关闭旁白.
放大用户可以开启或关闭缩放.
反色用户可以开启或关闭反色.
AssistiveTouch用户可以开启或关闭辅助触摸.
语音控制用户可以开启或关闭语音控制.
14.
20.
6接入点名称配置(iOS设备策略)使用接入点名称配置,可以为iPhone和iPad指定接入点名称(APN)配置.
APN配置定义设备如何连接到移动网络.
注释接入点名称配置由于手机网络配置而被弃用.
请参阅手机网络配置(iOS设备策略)(第178页).
警告如果这些设置不正确,设备将不能使用手机网络访问数据.
要撤消设置更改,必须从设备中删除该策略.
设置说明APN设备开启与运营商的GPRS连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
接入点用户名称接入点的用户名.
iPhone和iPad支持最多64个字符的APN用户名.
版权所有SophosLimited177SophosMobile设置说明接入点密码接入点的密码.
iPhone和iPad支持最多64个字符的APN密码.
服务器,端口代理服务器的地址和端口.
14.
20.
7漫游/热点配置(iOS设备策略)使用漫游/热点配置,您可以定义漫游和个人热点的设置.
注释用户可随时在其设备上更改这些设置.
设置说明启用语音漫游可以使用语音漫游.
如果移动网络运营商不支持语音漫游,此设置将被忽略.
启用数据漫游可以使用数据漫游.
启用个人热点用户可以配置设备以用作个人热点.
如果移动网络运营商不支持个人热点,此设置将被忽略.
14.
20.
8手机网络配置(iOS设备策略)使用手机网络配置,您可以定义iPhone和iPad的手机网络设置.
注释如果已经安装了接入点名称配置,则不能在设备上安装手机网络配置.
设置说明身份验证PAPCHAPAPN设备开启与运营商的GPRS连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
178版权所有SophosLimitedSophosMobile设置说明接入点用户名称接入点的用户名称.
注释IOS支持最多64个字符的APN用户名称.
接入点密码接入点的密码.
注释IOS支持最多64个字符的APN密码.
服务器,端口代理服务器的地址和端口.
14.
20.
9网络使用情况规则配置(iOS设备策略)使用网络使用情况规则配置,您可以指定如何允许托管应用使用手机数据网络.
一般规则在针对所有托管应用的规则下,为托管应用输入一般设置.
设置说明允许手机网络数据允许托管的应用使用手机网络进行数据通信.
允许数据漫游允许托管的应用在设备漫游到外地手机网络时使用数据通信.
例外情况例外情况将替代一般规则.
使用添加例外定义特定于应用组的规则.
设置说明应用组选择应用组此例外适用于该组中的所有托管应用.
允许手机网络数据允许所选应用组的托管应用使用手机网络进行数据通信.
允许数据漫游允许所选应用组的托管应用在设备漫游到外地手机网络时使用数据通信.
版权所有SophosLimited179SophosMobile注释不能为同一个应用组定义多个例外.
14.
20.
10VPN配置(iOS设备策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
180版权所有SophosLimitedSophosMobile设置说明设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
14.
20.
11每个应用VPN配置(iOS设备策略)使用每个应用VPN配置,您可以为每个应用定义VPN设置.
您可以将应用配置为在其启动时自动连接到VPN.
这样就可以(例如)确保托管应用发送的数据通过VPN传输.
设置每个应用VPN配置后,可以在应用的编辑软件包页面上选择配置.
请参阅将VPN连接分配给iPhone或iPad应用(第287页).
设置说明连接名称设备上显示的连接名称.
版权所有SophosLimited181SophosMobile设置说明连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectF5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
182版权所有SophosLimitedSophosMobile设置说明提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
Safari域在此字段中,可以输入一系列域字符串.
每个域字符串都使用一个新行.
在Safari或其他浏览器应用中打开与其中一个域字符串匹配的域时,将触发VPN连接.
规则匹配行为如下所示:开头和结尾处的点将忽略.
例如,字符串.
example.
com与example.
com匹配的域相同.
字符串的每个组件必须匹配整个域组件.
例如,字符串example.
com匹配域www.
example.
com,但不匹配www.
myexample.
com.
单个组件的字符串只匹配该特定域.
例如,字符串example匹配域example,但不匹配www.
example.
com.
14.
20.
12Web剪辑配置(iOS设备策略)使用Web剪辑配置,您可以定义将添加到用户设备主屏幕的Web剪辑.
Web剪辑让您可以快速访问收藏的网页.
但您也可以使用支持电话号码添加Web剪辑,例如,为致电支持人员提供了快捷方法.
设置说明说明对Web剪辑的说明.
URLWeb剪辑的Web地址.
可以删除如果清除该复选框,用户将不能删除Web剪辑.
不可将其从设备删除,除非用户删除安装它的策略.
全屏显示将在设备上全屏显示打开的Web剪辑.
全屏显示的Web剪辑打开作为Web应用的URL.
版权所有SophosLimited183SophosMobile设置说明图标选择要在主屏幕上用作Web剪辑图标的图片.
这必须是最大1MB的PNG、GIF或JPEG图片.
图片将剪裁为方形并进行缩放以匹配显示分辨率.
为获得最佳效果,建议您使用180x180像素的图片.
注释当在网页的HTML代码中定义了一个图标时,设备可能会将该图标显示为Web剪辑图标.
这仅适用于某些网页,具体取决于网页代码中图标的配置方式.
14.
20.
13壁纸配置(iOS设备策略)通过壁纸配置,您可以为iPhone和iPad的锁定屏幕和主屏幕定义背景图像.
设置说明应用到选择图像是用于锁定屏幕、主屏幕还是两者皆使用.
图片选择用于壁纸的文件大小上限为5MB的PNG或JPEG图像.
iOS根据需要剪裁并缩放图像.
为获得最佳效果,请使用以下像素尺寸的图片:640*1136(iPhone5)750*1334(iPhone6/7)1242*2208(iPhone6/7Plus)1536*2048(iPad,iPadmini,iPadAir)2048*2732(iPadPro)注释用户可以随时更改壁纸.
14.
20.
14网站内容筛选器配置(iOS设备策略)通过Web内容筛选器配置,您可以定义阻止的URL和允许的带书签的URL.
设置说明已阻止URL选中此选项可配置不允许用户访问的URL.
每行输入一个URL.
184版权所有SophosLimitedSophosMobile设置说明允许的带书签的URL选中此选项可以为Safari浏览器配置允许的带书签的URL.
其他URL将被阻止.
阻止成人内容在Web内容筛选器页面上,使用它来打开阻止成人内容的Apple筛选器.
例如,包含亵渎或色情语言的网页.
14.
20.
15全球HTTP代理配置(iOS设备策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器HTTP代理的名称(或IP地址).
端口HTTP代理的端口号.
身份验证用于连接代理服务器的用户名.
密码用于连接代理服务器的密码.
PACURL代理自动配置(PAC)文件的URL.
14.
20.
16托管域配置(iOS设备策略)使用托管域配置,您可以定义iPhone和iPad的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子邮件突出显示为不在域内.
网页域名从其中一个配置的域下载的文件将被当作托管文档处理.
如果激活允许文档仅共享于托管的应用/帐户内限制,这些文档将只能通过托管应用打开.
有关托管应用的信息,请参阅iPhone和iPad的托管应用(第282页).
版权所有SophosLimited185SophosMobile注释如果一个管理的网页域名条目包含一个端口号,只有指定端口号的地址将被管理.
否则,仅标准端口将被管理(http的端口80及https端口443).
14.
20.
17CalDAV配置(iOS设备策略)使用CalDAV配置,您可以配置与CalDAV服务器的日历数据同步.
例如,可用于与iOS设备同步Google日历.
设置说明帐户名称设备上CalDAV帐户的显示名称.
服务器CalDAV服务器的主机名或IP地址.
端口CalDAV服务器的端口号.
主要URL如果CalDAV服务器需要,请输入日历资源的主要URL.
例如,要与Google帐户中主日历以外的日历同步,请输入:https://apidata.
googleusercontent.
com/caldav/v2/calendar_id/user其中calendar_id是要同步的日历的ID.
在Google日历Web应用程序中,日历ID显示在日历设置中.
有关详细信息,请参阅Google日历的帮助.
用户名、密码CalDAV帐户的登录凭据.
例如,对于Google日历,请输入Google帐户的凭据.
SSL/TLS连接CalDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
20.
18CardDAV配置(iOS设备策略)使用CardDAV配置,您可以配置与CardDAV服务器的联系人数据同步.
例如,可用于与iOS设备同步Google联系人.
设置说明帐户名称设备上CardDAV帐户的显示名称.
服务器CardDAV服务器的主机名或IP地址.
186版权所有SophosLimitedSophosMobile设置说明端口CardDAV服务器的端口号.
主要URL如果CardDAV服务器需要,请输入联系人资源的主要URL.
例如,GoogleCardDAVAPI支持以下主要URL:https://www.
googleapis.
com/carddav/v1/principals/account_name@gmail.
com其中account_name是Google帐户名称.
用户名、密码CardDAV帐户的登录凭据.
例如,对于Google联系人,请输入Google帐户的凭据.
SSL/TLS连接CardDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
20.
19IMAP/POP配置(iOS设备策略)使用IMAP/POP配置,您可以在设备上添加IMAP或POP电子邮件帐户.
设置说明帐户名称设备上电子邮件帐户的显示名称.
帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
允许移动用户可以将电子邮件从该帐户移动到其他帐户.
此选项允许用户在回复或转发此帐户的邮件时使用其他帐户.
允许最近地址同步将在与其他使用iCloud的设备同步最近使用的地址时包含该帐户.
版权所有SophosLimited187SophosMobile设置说明仅在邮件中使用该帐户只能用于发送来自邮件应用的邮件.
不可选择它充当其他应用所创建邮件的发送帐户,例如Photos或Safari.
允许邮件删除允许此帐户使用AppleMailDrop.
启用S/MIME用户可以发送和接收使用S/MIME证书加密的电子邮件.
签名证书加密证书用于电子邮件签名和加密的证书.
您需要先上传证书,然后才能选择.
您可以在当前策略的客户端证书配置中执行此操作.
允许用户发送未加密的电子邮件对于每封传出电子邮件,用户可以选择对其加密.
传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名或IP地址.
端口传入电子邮件服务器(入站服务器)端口号.
用户名用于连接入站服务器的用户名.
身份验证类型用于连接入站服务器的身份验证方法.
密码用于连接入站服务器的密码(如果需要).
SSL/TLS连接接入服务器受到SSL或TLS的保护(取决于服务器支持的类型).
外发电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址.
端口外发电子邮件服务器(出站服务器)的端口号.
用户名用于连接出站服务器的用户名.
身份验证类型用于连接出站服务器的身份验证方法.
密码用于连接出站服务器的密码(如果需要).
使用与传入电子邮件相同的密码使用为传入电子邮件指定的密码.
SSL/TLS连接接出服务器受到SSL或TLS的保护(取决于服务器支持的类型).
188版权所有SophosLimitedSophosMobile14.
20.
20Google帐户配置(iOS设备策略)通过Google帐户配置,您可以设置Google帐户.
将配置分配给设备后,将要求用户进行Google帐户身份验证.
进行身份验证后,将在设备上设置Google帐户,并且用户可以启用Google服务.
设置说明Google电子邮箱地址Google帐户的完整电子邮件地址.
帐户描述帐户的可选描述.
该值将显示在邮件和设置应用中.
用户名用户的名称.
该值用于外发电子邮件消息.
14.
20.
21单点登录配置(iOS设备策略)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置说明姓名可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果将此字段保留为空,则用户必须输入名称.
领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
您可以使用单个星号(*)匹配所有值.
例如,https://*.
example.
com/匹配https://www.
example.
com/和https://m.
example.
com/.
应用ID应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
版权所有SophosLimited189SophosMobile14.
20.
22AirPrint配置(iOS设备策略)通过AirPrint配置,您可以在用户的AirPrint打印机列表中添加AirPrint打印机.
设置说明IP地址AirPrint打印机的IP地址.
资源路径与打印机关联的资源路径.
示例:printers/ipp/print端口AirPrint打印机的侦听端口.
强制TLS通过TLS保护AirPrint连接.
14.
20.
23根证书配置(iOS设备策略)使用根证书配置,您可以在设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
20.
24客户端证书配置(iOS设备策略)使用客户端证书配置,您可以在设备上安装客户端证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
190版权所有SophosLimitedSophosMobile注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
20.
25SCEP配置(iOS设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定iPhone或iPad设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
版权所有SophosLimited191SophosMobile设置说明重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
14.
20.
26Duo设备证书(iOS设备策略)使用Duo设备证书配置,您可以让设备从DuoSecuritySCEP服务器请求证书.
如果设备上安装有此证书,DuoMobileiOS应用将把设备归入信任设备.
要求的设置对所有DuoSecurity帐户通用.
请勿修改预填充的值.
14.
21iOS的Sophos容器策略的配置通过Sophos容器策略,您可以在SophosMobile管理Sophos容器的设备上为SophosSecureEmail和SophosSecureWorkspace配置设置.
14.
21.
1常规配置(iOSSophos容器策略)使用常规配置,您可以定义适用于所有Sophos容器应用的设置(如果适用).
设置说明启用Sophos容器密码用户必须输入一个额外的密码才能启动Sophos容器应用.
在应用该配置后启动第一个容器应用时,必须定义密码.
此密码适用于所有容器应用.
192版权所有SophosLimitedSophosMobile设置说明密码复杂性要求的Sophos容器密码的最低复杂性.
始终允许更安全的密码.
密码(数字和字母数字字符的组合)始终被视为比PIN(仅数字字符)更安全.
任意:Sophos容器密码没有限制.
4个数字的PIN6个数字的PIN4个字符的密码6个字符的密码8个字符的密码10个字符的密码始终在密码条目字段中隐藏字符密码输入字段中的字符在屏蔽之前不会短暂显示.
密码期限(天)密码可以使用的天数,之后会提示用户修改.
锁定前登录失败允许登录尝试失败的次数,之后将锁定容器应用.
它们被锁定后,需要管理员对应用进行解锁,如果允许,用户也可以使用SophosMobileSelfServicePortal进行解锁.
允许指纹用户可以使用其指纹解锁应用.
宽限期的分钟数容器应用再次回到前台而无需输入Sophos容器密码的时间段.
该宽限期适用于所有容器应用.
在该宽限期内,无需输入密码就可以在应用之间进行切换.
版权所有SophosLimited193SophosMobile设置说明上一次服务器连接用户可以使用Sophos容器应用而不必连接SophosMobile服务器的时间.
当Sophos容器应用激活且在定义的时间内没有与服务器连接时,将显示锁屏界面.
用户只能通过点击锁屏界面上的重试解锁应用.
然后,应用将尝试连接到服务器.
如果可以建立连接,应用将解锁.
否则,访问将被拒绝.
访问时:服务器无法访问时,总是需要服务器连接并且应用将被锁定.
1小时:在上次服务器成功连接后,应用活动1个小时或以上时,需要连接服务器.
3小时6小时12小时1天3天3天无:无需定期联系.
没有服务器连接时离线启动在此字段中,您可以定义在没有服务器连接时,用户多久可以启动一个Sophos容器应用一次.
注释该设置需要开启Sophos容器密码功能.
只要用户输入Sophos容器密码,计数器就会增加.
如果计数器超过定义的数量,将显示和上一次服务器连接设置相同的锁屏界面.
如果建立了与SophosMobile服务器的连接,该计数器将被重置.
无限制:无需服务器联系.
0:不连接服务器则无法启动应用.
1:成功启动应用后,需要连接服务器.
351020允许越狱允许容器应用在越狱的设备上运行.
应用使用约束条件可以在这里定义使用Sophos容器应用的约束条件.
单击添加,输入约束条件.
地理限制用于添加Sophos容器应用可以在其中使用的纬度和经度以及半径范围.
194版权所有SophosLimitedSophosMobile设置说明时间限制用于指定Sophos容器应用可以使用的开始时间和结束时间.
还可以指定应用可以在一周内的哪些天可以使用.
Wi-Fi限制如果您选中需要Wi-Fi连接,没有有效的Wi-Fi连接时将锁定Sophos容器.
如果您将Wi-Fi网络添加到列表中,当设备连接到未列出的Wi-Fi网络时将锁定Sophos容器.
警告我们建议您不要以Wi-Fi限制作为唯一的安全机制,因为Wi-Fi名称很容易被欺骗.
14.
21.
2工作电子邮件(iOSSophos容器策略)使用工作电子邮件配置,您可以为您的MicrosoftExchangeServer定义用户设置.
这些设置适用于安装在Sophos容器中的SophosSecureEmail应用.
主要电子邮件帐户设置说明Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
用户必须在其设备上输入帐户密码.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
域此帐户的域.
支持联系人电子邮件将用作"联系技术人员"电子邮件地址的电子邮件地址.
托管的帐户除主要电子邮件帐户外,您还可以添加最多两个称为托管帐户的帐户到SophosSecureEmail.
版权所有SophosLimited195SophosMobile请注意以下事项:如果您配置了托管帐户,用户将不能手动添加帐户.
他们可以使用其在您分配该策略之前添加的帐户.
如果现有帐户具有相同的电子邮件地址,它将转换为托管帐户.
邮件设置设置说明使用安全文本字段输入字段的内容是保密的.
将在SophosSecureEmail应用中禁用自动完成和自动更正功能,以防止敏感的内容保存在设备内存中.
允许外部内容用户可以加载外部邮件内容,如图像.
最大的电子邮件大小不会从Exchange服务器检索大于所选大小的电子邮件(包括).
通知新邮件的通知类型:系统:通知由iOS管理.
它们不包括发件人或主题等详细信息.
应用程序:通知由SophosSecureEmail应用管理.
应用未运行时,不显示通知.
无:不显示通知.
此设置还会影响事件提醒:系统,无:事件提醒只包括时间信息.
应用程序:事件提醒包括时间、位置和标题信息.
内容将显示在通知中的信息类型.
只有当您在通知中选中应用程序时,此设置才可用.
默认签名默认电子邮件签名.
EWS服务器您的ExchangeWeb服务(EWS)服务器的URL.
如果您将此字段留空,SophosSecureEmail将使用您在Exchange服务器中配置的URL.
196版权所有SophosLimitedSophosMobile功能设置说明同步Outlook任务和便笺用户可以在SophosSecureEmail中查看其Outlook任务和便笺.
默认情况下,用户还可以创建、编辑和删除任务及便笺.
要关闭此选项,请选中任务和便笺为只读.
任务和便笺为只读用户不能在SophosSecureEmail中创建、编辑或删除Outlook任务和便笺.
呼叫识别SophosSecureEmail中的联系人信息可用于识别来电的公司联系人,无需将SophosSecureEmail联系人导出到设备联系人.
要使用此功能,用户必须开启以下设备设置:在设置应用中:电话>呼叫阻止与识别>电子邮件在SophosSecureEmail应用中:设置>联系人>呼叫识别将联系人导出到设备允许用户将Exchange联系人导出到本地设备联系人,以便他们可以识别来电中的公司联系人.
SophosSecureEmail保持信息同步.
注释在以下情况下,本地联系人信息将自动删除:从Sophos容器策略中删除公司电子邮件配置(需要重新启动SecureEmail应用)时.
从设备删除Sophos容器时.
从SophosMobile取消注册设备时.
数据保护设置说明拒绝复制到剪贴板用户不能从SophosSecureEmail应用复制或剪切文件.
版权所有SophosLimited197SophosMobile设置说明打开在所有应用程序中:可以在支持文件格式的所有应用中打开.
容器应用:将使用设备密钥加密,且只能在SophosSecureWorkspace中打开.
打开方式操作本身不会被阻止.
S/MIME设置说明使用系统CA列表对于传入的加密电子邮件,SophosSecureEmail使用iOS或iPadOS提供的证书颁发机构(CA)列表验证证书的信任链.
如果您清除此设置,信任链的所有证书都必须在设备上可用.
默认加密如果收件人的S/MIME证书可用,电子邮件将以加密方式发送.
默认签名默认情况下,传出电子邮件使用用户的S/MIME证书签名.
用户可以在SophosSecureEmail设置中修改默认值,也可以发送未签名的单个消息.
允许S/MIME加密用户可以发送和接收使用S/MIME证书加密的电子邮件.
允许S/MIME签名如果设备上有S/MIME证书,用户可以对电子邮件签名.
OAuth2.
0通过这些设置,您可以设置SophosSecureEmail,以便用户可以通过贵组织的Office365登录过程访问其Exchange帐户.
设置说明开启OAuth2.
0开启Office365身份验证.
授权端点MicrosoftAzure中您的应用程序的OAuth授权端点.
在OAuth2.
0授权端点(v2)下输入Azure门户中显示的值.
198版权所有SophosLimitedSophosMobile设置说明ClientIDMicrosoftAzure中您的应用程序的ID.
在应用程序(客户端)ID下输入Azure门户中显示的值.
重定向URIOffice365API用于进行身份验证响应的位置.
输入以下文本:sophos://sse/auth令牌端点MicrosoftAzure中您的应用程序的OAuth令牌端点.
在OAuth2.
0令牌端点(v2)下输入Azure门户中显示的值.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
相关任务为SophosSecureEmail设置多重身份验证(第330页)如果您为SophosSecureEmail设置了多重身份验证(MFA),用户将通过贵组织的Office365登录页面访问其Exchange帐户.
14.
21.
3工作文档(iOSSophos容器策略)通过工作文档配置,您可以在SophosSecureWorkspace中管理工作文档存储提供程序.
配置存储提供程序对于每个存储提供程序,可以分别定义下列设置:设置说明启用可以在应用中使用存储提供程序.
离线将允许用户将文件从存储提供程序添加到应用的收藏夹列表,以供离线使用.
打开(已加密)用户可以通过打开与其他应用共享加密的文件.
打开(未加密)用户可以通过打开与其他应用共享未加密的文件.
剪贴板用户可以复制文档的不同部分,并将它们粘贴到其他应用.
版权所有SophosLimited199SophosMobile企业提供程序设置对于Egnyte和WebDAV提供程序(也称为企业提供程序),您可以集中定义服务器设置和登录凭据.
这些不能被用户更改.
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择.
例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段.
然后用户在访问存储提供程序时,必须要知道密码.
设置说明姓名在SophosSecureWorkspace应用中显示的提供程序的名称.
服务器在此字段中,输入:工作文档WebDAV服务器上根文件夹的URL.
Egnyte服务器上根文件夹的URL.
WebDAV服务器上根文件夹的URL.
使用以下格式:https://server.
company.
com用户名相关服务器的用户名.
也可以使用%_USERNAME_%变量.
密码相关帐户的密码.
上传文件夹相关帐户的上传文件夹.
其他设置设置说明启用文档将开启文档功能,可以安全分发公司文档.
密码复杂性要求的加密密钥密码的最低复杂性.
总是允许更安全的密码.
可以选择以下设置:4个字符的密码6个字符的密码8个字符的密码10个字符的密码额外设置仅在得到Sophos客户支持的指令时配置这些设置.
200版权所有SophosLimitedSophosMobile14.
21.
4工作浏览器(iOSSophos容器策略)通过工作浏览器配置,您可以管理SophosSecureWorkspace的工作浏览器功能.
工作浏览器让您可以安全访问公司的Intranet页面和其他允许的页面.
您可以定义域和域内的书签.
每个书签都属于某个域.
当您添加书签时,如果没有域条目,将会自动创建域条目.
域设置设置说明URL您要允许的域.
允许复制/粘贴用户可以从工作浏览器中将文本复制和粘贴到其他应用.
允许打开方式用户可以在其他应用中打开下载的文件.
如果您关闭此设置,用户仍然可以下载SophosSecureWorkspace可以打开的文件.
工作浏览器将把下载的文件存储在安全存储中.
允许打开方式设置优先于工作文档配置中的安全存储设置.
允许保存密码用户可以在工作浏览器中保存其密码.
书签设置设置说明姓名书签的名称.
URL书签的的Web地址.
14.
21.
5根证书配置(iOSSophos容器策略)使用根证书配置,您可以在设备上安装根证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
版权所有SophosLimited201SophosMobile注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
21.
6客户端证书配置(iOSSophos容器策略)使用客户端证书配置,您可以在设备上安装客户端证书.
如果SophosSecureWorkspace应用安装在Sophos容器中,它将可以使用此证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
21.
7SCEP配置(iOSSophos容器策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
这些证书可用于SophosSecureWorkspace的工作浏览器功能.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
202版权所有SophosLimitedSophosMobile设置说明使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定iPhone或iPad设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
版权所有SophosLimited203SophosMobile14.
22iOS的MobileThreatDefense策略的配置通过MobileThreatDefense策略,可以在SophosInterceptXforMobile注册到SophosMobile时对其进行配置.
14.
22.
1网络配置(iOS的MobileThreatDefense策略)通过网络配置,您可以管理SophosInterceptXforMobile的Wi-FiSecurity功能.
这可以保护用户免受基于网络的威胁.
注释将此配置分配给设备时,将禁用SophosInterceptXforMobile中的相应设置.
用户不能对它们进行修改.
设置说明中间人保护SophosInterceptXforMobile检查Wi-Fi连接是否存在中间人攻击.
检测到中间人攻击时,SophosMobile将创建通知.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
22.
2网站筛选配置(iOS的MobileThreatDefense策略)通过网络筛选配置,您可以管理SophosInterceptXforMobile的网站筛选功能.
这可以让用户避免浏览包含恶意、不需要或非法内容的网站.
此配置只影响受监督的设备.
警告如果设备不能连接到Sophos网站分类服务https://4.
sophosxl.
net/lookup,网站筛选将阻止所有网站.
提示为了测试网络筛选,Sophos创建了包含每个类别的示例页面的网站sophostest.
com.
尽管其中一些页面被归类为具有潜在的攻击性或危险性,但是页面内容本身在所有情况下都是无害的.
如果您开启网站筛选,SophosMobile将始终阻止非常令人反感的犯罪活动(如儿童色情)类的网页.
为防止其他人访问这些页面,SophosMobile将在日志、事件和报告中屏蔽这些URL.
204版权所有SophosLimitedSophosMobile设置设置说明筛选恶意网站选择用户是否可以访问带有恶意内容的网站.
创建警报选择是否在用户尝试访问过滤的网站时创建通知.
您可以选择是否仅对阻止内容或警告内容创建通知.
按照类别筛选网站选择用户是否可以访问网站类型.
网站根据SophosLabs提供的数据进行分类.
该数据会不断更新.
网站例外配置类别筛选的例外:允许的域:允许网站,即使它们所属的类别受到阻止.
阻止的域:阻止网站,即使它们属于允许的类别.
如何指定网站例外在允许的域和阻止的域中,按行输入以下一项内容(不带分隔符):IPv4或IPv6地址203.
0.
113.
02001:db8:85a3:0:0:8a2e:370:7334IPv4或IPv6子网203.
0.
113.
0/242001:db8::/32域名www.
example.
com通配符域.
通配符*必须是最左边的字符.
*.
example.
com*example.
com在阻止的域中,您可以使用单个通配符*阻止所有网站.
过滤逻辑当网站过滤评估是否必须允许或阻止网站时,允许列表优先于阻止列表,策略定义的列表优先于用户定义的列表.
过滤规则按以下顺序应用:版权所有SophosLimited205SophosMobile1.
如果网站包括在允许的域中,它将被允许.
2.
如果网站包括在阻止的域中,它将被阻止.
3.
如果用户已将网站添加到允许列表,它将被允许.
4.
如果用户已将网站添加到阻止列表,它将被阻止.
5.
网站根据其类别被允许或阻止.
14.
22.
3短信过滤配置(iOS的MobileThreatDefense策略)通过短信过滤配置,您可以为SophosInterceptXforMobile的短信过滤功能定义域名.
短信过滤保护用户免受短信和彩信攻击.
它将包含虚假域的短信消息移入垃圾短信,不包括联系人中的发件人.
虚假域看起来像真实域,但略有修改:替换、插入或置换了单个字符.
域名的前缀或后缀被修改.
一级域名(TLD)不同.
例如,如果您的真实域为sophos.
com,下面的则是虚假域:s0phos.
com(替换)soophos.
com(插入)sohpos.
com(置换)mysophos.
com(前缀)sophos.
net(不同的TLD)hr.
sophos.
com之类的子域则不过滤.
如果过滤了短信消息,还将过滤来自同一发件人的所有其他消息.
14.
23macOS设备策略的配置通过macOS设备策略,您可以为应用于所有用户的Mac设备配置设置.
相关概念关于macOS策略(第96页)macOS用户策略的配置(第222页)通过macOS用户策略,您可以为应用于SophosMobile管理的用户的Mac设备配置设置.
14.
23.
1密码策略配置(macOS设备策略)使用密码策略配置,您可以为Mac用户帐户的密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
206版权所有SophosLimitedSophosMobile设置说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
14.
23.
2限制配置(macOS设备策略)使用限制配置,您可以为Mac设备定义限制.
注释一些选项仅适用于某些版本的macOS.
它在SophosMobileAdmin中通过蓝色标签表示.
版权所有SophosLimited207SophosMobile设备设置说明允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许AppleMusic用户可以访问AppleMusic库.
macOS软件更新延迟macOS软件的更新在发布日期后延迟的天数.
输入一个0(无延迟)和90之间的值.
iCloud设置说明允许备份用户可以将其设备备份到iCloud.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许返回我的Mac用户可以使用iCloud返回我的Mac,即远程和本地Mac之间的文件和屏幕共享.
允许查找我的Mac用户可以使用iCloud查找我的Mac远程定位、锁定或擦除其Mac设备.
允许iCloud书签用户可以使用iCloud书签在浏览器和平台之间同步Web书签.
208版权所有SophosLimitedSophosMobile设置说明允许iCloud邮件用户可以在其Mac设备上设置iCloud邮件帐户.
允许iCloud日历用户可以使用iCloud日历在其设备之间共享其日历,并与其他iCloud用户共享其日历.
允许iCloud提醒用户可以使用iCloud提醒在其设备之间共享提醒列表,并与其他iCloud用户共享提醒列表.
允许iCloud通讯簿用户可以使用iCloud通讯簿在其设备之间共享其联系人,并与其他iCloud用户共享联系人.
允许iCloud笔记用户可以使用iCloud笔记记笔记,在其设备之间共享笔记,并与其他用户共享笔记.
允许iCloudDriveforDesktopandDocuments用户可以将其MacDesktop和Documents文件夹存储在iCloudDrive中,并在其他设备上访问.
安全和隐私设置说明允许使用TouchID和FaceID解锁设备如果清除该复选框,将不能通过生物特征身份验证解锁设备.
允许定义查找用户可以查找突出显示词汇的定义.
允许自动解锁用户可以使用自动解锁,通过AppleWatch自动解锁其Mac设备.
允许iTunes文件共享用户可以使用iTunes中的文件共享,在其Mac设备和iPhone或iPad之间复制文件.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
允许AirPrint打印机的iBeacon发现设备使用iBeacon发现AirPrint设备.
警告如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
版权所有SophosLimited209SophosMobile设置说明允许密码自动填入用户可以开启自动填入密码设置,以使用在Safari或其他应用中保存的密码或信用卡信息.
如果清除此复选框,将同时禁用自动建议强密码功能.
从附近的设备请求Wi-Fi密码设置Wi-Fi连接时,设备从附近设备请求密码.
允许AirDrop密码分享用户可以通过AirDrop与其他用户共享PasswordManager的密码.
14.
23.
3Wi-Fi配置(macOS设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSIDWi-Fi网络的名称.
自动连接Wi-Fi网络可用时自动连接.
隐藏网络Wi-Fi网络不广播其SSID.
关闭专用地址使用设备的硬件MAC地址加入网络,而不是iOS创建的特定网络地址.
此设置会降低连接的隐私性.
请仅在设备必须在您的整个网络中使用相同的MAC地址来标识自己时才使用.
请注意,与第三方网络访问控制(NAC)系统集成的NAC不适用于使用专用MAC地址的设备.
NAC系统只知道设备的专用地址,而SophosMobile只知道硬件地址.
安全类型Wi-Fi网络的安全类型.
密码Wi-Fi网络的密码.
如果您选择个人安全类型,此选项将可用.
210版权所有SophosLimitedSophosMobile设置说明协议身份验证协议设置.
接受EAP类型:设备接受用于进行身份验证的EAP类型.
EAP-FAST:对于EAP-FAST,您可以配置受保护的访问凭据(ProtectedAccessCredential,PAC).
内部身份:隧道用户身份验证协议(用于TTLS).
TLS最低版本,TLS最高版本:设备接受用于进行EAP身份验证的最低和最高TLS协议版本.
协议在您选择企业安全类型时可用.
身份验证客户端身份验证设置.
用户:用于连接到Wi-Fi网络的用户名.
每个连接都需要密码:选中此选项可在每次身份验证时发送密码.
密码:Wi-Fi网络的密码.
身份证明书:用于连接到Wi-Fi网络的证书.
必须先将证书添加到具有客户端证书配置的策略中,然后才能选择证书.
外部身份:外部可见的ID(用于TTLS、PEAP和EAP-FAST).
身份验证在您选择企业安全类型时可用.
可信任证书服务器证书.
必须先将证书添加到具有根证书配置的策略中,然后才能选择证书.
可信任证书在您选择企业安全类型时可用.
代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
版权所有SophosLimited211SophosMobile14.
23.
4网关守卫配置(macOS设备策略)使用网关守卫配置,您可以配置macOS网关守卫,它可以阻止安装禁止来源的应用.
设置说明允许从以下地方下载的应用选择要求的设置:任意地方:用户可以打开所有应用,无论这些应用是从哪里安装的.
MacAppStore:用户只能打开来自MacAppStore的应用.
MacAppStore和确定的开发商:用户只能打开来自MacAppStore的应用,或来自可识别的开发者——即Apple认可的开发者的应用.
14.
23.
5内核扩展程序策略配置(macOS设备策略)通过内核扩展程序策略配置,您可以批准或阻止某些第三方内核扩展(KEXT).
如果没有此配置,当应用要安装内核扩展时,macOS将请求用户批准.
注释用户必须接受该策略.
这不适用于通过AppleBusinessManager管理的设备.
设置说明允许用户批准的扩展程序当应用要安装没有经此配置批准的内核扩展时,macOS将请求用户批准.
如果不选中此复选框,将阻止未经此配置批准的扩展.
批准Sophos扩展程序将批准Sophos内核扩展.
批准的TeamIDTeamID值的列表.
由这些ID中的其中一个签发的内核扩展将被批准.
要找到内核扩展的TeamID,请在您的测试环境中将其安装到Mac设备上.
然后在终端输入以下两条命令:sqlite3/var/db/SystemPolicyConfiguration/KextPolicySELECT*FROMkext_policy;使用Control-D退出sqlite3会话.
对于安装的每个内核扩展,您都可以得到一行输出.
在每一行中,第一个值就是TeamID.
212版权所有SophosLimitedSophosMobile14.
23.
6隐私首选项策略控制(macOS设备策略)隐私首选项策略控制配置让您可以在隐私选项卡下管理macOS安全和隐私首选项设置.
注释用户必须接受该策略.
这不适用于通过AppleBusinessManager管理的设备.
设置说明允许SophosEndpoint扫描所有文件允许SophosEndpoint访问邮件、消息、Safari、主屏幕、时间机器备份以及Mac设备上所有用户的特定管理设置等数据.
14.
23.
7VPN配置(macOS设备策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
版权所有SophosLimited213SophosMobile设置说明用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
214版权所有SophosLimitedSophosMobile14.
23.
8Firewall配置(macOS设备策略)通过Firewall配置,您可以为macOS中包括的应用程序防火墙定义设置.
设置说明开启应用程序防火墙应用程序防火墙将开启.
阻止所有传入连接共享服务(如文件共享或屏幕共享)不允许接收传入连接.
这不影响以下系统服务:configd(DHCP和其他网络配置服务)mDNSResponder(Bonjour)racoon(IPSec)使用隐藏模式计算机将忽略意外的请求,如ping请求.
自动允许内置应用内置应用,如iTunes,将添加到允许接收连接的应用列表中.
您不能关闭此选项.
自动允许签名下载的应用由有效证书颁发机构签发的应用将添加到允许接收连接的应用列表中.
您不能关闭此选项.
允许的连接应用组包含允许接收连接的应用.
对于其他应用,用户可以选择允许或拒绝连接.
拒绝的连接应用组包含不允许接收连接的应用.
对于其他应用,用户可以选择允许或拒绝连接.
14.
23.
9网站内容筛选器配置(macOS设备策略)使用Web内容筛选器配置,您可以为第三方应用定义用于筛选Internet内容的设置.
设置说明筛选名称筛选配置的自定义名称.
筛选ID第三方应用的捆绑ID.
服务器托管筛选服务的服务器(主机名、IP地址或URL).
组织您所在组织的名称.
该值将传递到筛选服务.
用户名连接到筛选服务所需的凭据.
版权所有SophosLimited215SophosMobile设置说明密码证书用于对筛选服务进行身份验证的证书.
筛选范围第三方应用将筛选的数据流:筛选浏览器数据流:将筛选WebKit浏览器数据流.
筛选套接字数据流:将筛选套接字数据流.
筛选浏览器和套接字数据流:将筛选WebKit和套接字数据流.
第三方设置附加配置设置(如果第三方应用要求).
14.
23.
10全球HTTP代理配置(macOS设备策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器HTTP代理的名称(或IP地址).
端口HTTP代理的端口号.
身份验证用于连接代理服务器的用户名.
密码用于连接代理服务器的密码.
PACURL代理自动配置(PAC)文件的URL.
14.
23.
11托管域配置(macOS设备策略)使用托管域配置,您可以定义Mac设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子邮件突出显示为不在域内.
216版权所有SophosLimitedSophosMobile14.
23.
12单一登录配置(macOS设备策略)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置说明姓名可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果将此字段保留为空,则用户必须输入名称.
领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
应用ID应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
14.
23.
13AirPrint配置(macOS设备策略)通过AirPrint配置,您可以在用户的AirPrint打印机列表中添加AirPrint打印机.
设置说明IP地址AirPrint打印机的IP地址.
资源路径与打印机关联的资源路径.
示例:printers/ipp/print版权所有SophosLimited217SophosMobile14.
23.
14目录服务配置(macOS设备策略)使用目录服务配置,您可以指定将策略分配给Mac设备时,Mac设备将加入的ActiveDirectory域.
注释如果您在这里配置的ActiveDirectory域和您用于SophosMobileSelfServicePortal的域相同,分配给Mac设备的macOS用户策略将应用于登录到该Mac设备的所有ActiveDirectory用户.
一般设置设置说明域主机名要加入的ActiveDirectory域的DNS主机名.
AD管理员名称密码用于连接到ActiveDirectory服务器的用户帐户的凭据.
此用户必须有权在ActiveDirectory数据库中添加设备.
部门ActiveDirectory数据库中的组织单位(OU),加入的计算机将添加到其中.
用户体验设置说明创建移动帐户网络用户首次登录时,macOS将创建一个移动帐户.
使用移动帐户,即使在Mac设备未连接到ActiveDirectory服务器时,用户也可以使用其ActiveDirectory凭据登录Mac设备.
创建移动帐户前要求确认用户可以决定是否创建移动帐户.
强制要求本地主文件夹选中此复选框可以强制在启动磁盘上创建用户配置文件.
这对于移动帐户是必须的.
如果您清除该复选框,将使用纯网络主目录.
使用来自ActiveDirectory的UNC路径macOS将装载在ActiveDirectory用户帐户中指定的主文件夹.
网络协议用于装载主文件夹的协议.
218版权所有SophosLimitedSophosMobile设置说明默认用户shell针对用户的命令行shell.
如果将此字段保留为空,将使用/bin/bash.
映射设置说明UID属性映射到macOS中唯一用户ID(UID)的ActiveDirectory属性.
用户GID属性映射到macOS用户帐户中主要组ID的ActiveDirectory属性.
组GID属性映射到macOS组帐户中组ID的ActiveDirectory属性.
警告如果以后您更改这些映射设置,用户可能会失去访问之前创建的文件的权限.
管理设置说明首选DC服务器首先访问的ActiveDirectory域控制器(DC).
如果将此字段保留为空,macOS将根据站点信息和控制器响应来选择域控制器.
密码信任间隔天数指定macOS更改其ActiveDirectory计算机帐户密码的频率.
如果将此字段保留为空,macOS将每14天更改一次密码.
如果将值设置为0,macOS将不会自动更改密码.
命名空间林将开启命名空间支持.
在ActiveDirectory林的不同域中具有相同登录名的多个用户都可以登录.
用户必须按域\名称的格式输入其登录名.
域将关闭命名空间支持.
用户必须有唯一的登录名.
版权所有SophosLimited219SophosMobile设置说明数据包签名数据包加密macOS可以对用于ActiveDirectory通信的LDAP连接进行签名和加密.
允许:macOS决定是否对LDAP连接进行签名和/或加密.
禁用:macOS不对LDAP连接进行签名或加密.
需要:macOS始终对LDAP连接进行签名和加密.
SSL/TLS:macOS始终使用LDAPoverSSL/TLS.
多域身份验证ActiveDirectory林中所有域的用户都可以登录.
域管理员组ActiveDirectory组列表.
这些组的成员将在Mac设备上授予管理权限.
要添加组,请输入ActiveDirectory域名、反斜杠和组帐户名.
例如ADS\DomainAdmins.
输入区分大小写.
限制DDNS网络接口列表.
默认情况下,macOS对所有网络接口使用动态DNS(DDNS).
要对某些接口限制DDNS,请输入其BSD名称.
例如,要对内置的以太网端口限制DDNS,请输入en0.
要输入多个接口,请在每次输入后按Enter键.
14.
23.
15根证书配置(macOS设备策略)使用根证书配置,您可以在Mac设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
220版权所有SophosLimitedSophosMobile14.
23.
16客户端证书配置(macOS设备策略)使用客户端证书配置,您可以在Mac设备上安装客户端证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
允许从密钥链导出用户可以从密钥链导出证书的私钥.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
23.
17SCEP配置(macOS设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定Mac设备.
版权所有SophosLimited221SophosMobile设置说明使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
允许从密钥链导出用户可以从密钥链导出证书的私钥.
14.
24macOS用户策略的配置通过macOS用户策略,您可以为应用于SophosMobile管理的用户的Mac设备配置设置.
相关概念关于macOS策略(第96页)macOS设备策略的配置(第206页)通过macOS设备策略,您可以为应用于所有用户的Mac设备配置设置.
14.
24.
1密码策略配置(macOS用户策略)使用密码策略配置,您可以为Mac用户帐户的密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
222版权所有SophosLimitedSophosMobile设置说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
14.
24.
2限制配置(macOS用户策略)使用限制配置,您可以为Mac设备定义限制.
注释一些选项仅适用于某些版本的macOS.
它在SophosMobileAdmin中通过蓝色标签表示.
版权所有SophosLimited223SophosMobile设备设置说明允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许AppleMusic用户可以访问AppleMusic库.
macOS软件更新延迟macOS软件的更新在发布日期后延迟的天数.
输入一个0(无延迟)和90之间的值.
iCloud设置说明允许备份用户可以将其设备备份到iCloud.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
如果设备使用iOS13.
0(或iPadOS13.
1)或更高版本,则必须受到监控才支持此选项.
允许返回我的Mac用户可以使用iCloud返回我的Mac,即远程和本地Mac之间的文件和屏幕共享.
允许查找我的Mac用户可以使用iCloud查找我的Mac远程定位、锁定或擦除其Mac设备.
允许iCloud书签用户可以使用iCloud书签在浏览器和平台之间同步Web书签.
224版权所有SophosLimitedSophosMobile设置说明允许iCloud邮件用户可以在其Mac设备上设置iCloud邮件帐户.
允许iCloud日历用户可以使用iCloud日历在其设备之间共享其日历,并与其他iCloud用户共享其日历.
允许iCloud提醒用户可以使用iCloud提醒在其设备之间共享提醒列表,并与其他iCloud用户共享提醒列表.
允许iCloud通讯簿用户可以使用iCloud通讯簿在其设备之间共享其联系人,并与其他iCloud用户共享联系人.
允许iCloud笔记用户可以使用iCloud笔记记笔记,在其设备之间共享笔记,并与其他用户共享笔记.
允许iCloudDriveforDesktopandDocuments用户可以将其MacDesktop和Documents文件夹存储在iCloudDrive中,并在其他设备上访问.
安全和隐私设置说明允许使用TouchID和FaceID解锁设备如果清除该复选框,将不能通过生物特征身份验证解锁设备.
允许定义查找用户可以查找突出显示词汇的定义.
允许自动解锁用户可以使用自动解锁,通过AppleWatch自动解锁其Mac设备.
允许iTunes文件共享用户可以使用iTunes中的文件共享,在其Mac设备和iPhone或iPad之间复制文件.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
允许AirPrint打印机的iBeacon发现设备使用iBeacon发现AirPrint设备.
警告如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
版权所有SophosLimited225SophosMobile设置说明允许密码自动填入用户可以开启自动填入密码设置,以使用在Safari或其他应用中保存的密码或信用卡信息.
如果清除此复选框,将同时禁用自动建议强密码功能.
从附近的设备请求Wi-Fi密码设置Wi-Fi连接时,设备从附近设备请求密码.
允许AirDrop密码分享用户可以通过AirDrop与其他用户共享PasswordManager的密码.
14.
24.
3Exchange帐户配置(macOS用户策略)使用Exchange帐户配置,您可以为联系人、邮件、提醒和日历设置ExchangeWeb服务(EWS)帐户.
设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
开启OAuth2.
0帐户使用OAuth2身份验证框架,即用户使用其Microsoft凭据进行身份验证.
OAuth授权端点处理用户身份验证请求的OAuth端点的URL,即Microsoft登录页面.
使用此设置时,将不使用ExchangeOnline和ExchangeServer的自动发现功能,您必须在Exchange服务器中输入服务器地址.
226版权所有SophosLimitedSophosMobile设置说明SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
24.
4Wi-Fi配置(macOS用户策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSIDWi-Fi网络的名称.
自动连接Wi-Fi网络可用时自动连接.
隐藏网络Wi-Fi网络不广播其SSID.
关闭专用地址使用设备的硬件MAC地址加入网络,而不是iOS创建的特定网络地址.
此设置会降低连接的隐私性.
请仅在设备必须在您的整个网络中使用相同的MAC地址来标识自己时才使用.
请注意,与第三方网络访问控制(NAC)系统集成的NAC不适用于使用专用MAC地址的设备.
NAC系统只知道设备的专用地址,而SophosMobile只知道硬件地址.
安全类型Wi-Fi网络的安全类型.
密码Wi-Fi网络的密码.
如果您选择个人安全类型,此选项将可用.
协议身份验证协议设置.
接受EAP类型:设备接受用于进行身份验证的EAP类型.
EAP-FAST:对于EAP-FAST,您可以配置受保护的访问凭据(ProtectedAccessCredential,PAC).
内部身份:隧道用户身份验证协议(用于TTLS).
TLS最低版本,TLS最高版本:设备接受用于进行EAP身份验证的最低和最高TLS协议版本.
协议在您选择企业安全类型时可用.
版权所有SophosLimited227SophosMobile设置说明身份验证客户端身份验证设置.
用户:用于连接到Wi-Fi网络的用户名.
每个连接都需要密码:选中此选项可在每次身份验证时发送密码.
密码:Wi-Fi网络的密码.
身份证明书:用于连接到Wi-Fi网络的证书.
必须先将证书添加到具有客户端证书配置的策略中,然后才能选择证书.
外部身份:外部可见的ID(用于TTLS、PEAP和EAP-FAST).
身份验证在您选择企业安全类型时可用.
可信任证书服务器证书.
必须先将证书添加到具有根证书配置的策略中,然后才能选择证书.
可信任证书在您选择企业安全类型时可用.
代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
14.
24.
5VPN配置(macOS用户策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
228版权所有SophosLimitedSophosMobile设置说明第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
版权所有SophosLimited229SophosMobile设置说明提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
14.
24.
6Web剪辑配置(macOS用户策略)使用Web剪辑配置,您可以定义要添加到macOS桌面的Web剪辑.
Web剪辑让您可以快速访问收藏的网页.
但您也可以使用支持电话号码添加Web剪辑,例如,为致电支持人员提供了快捷方法.
设置说明说明对Web剪辑的说明.
URLWeb剪辑的Web地址.
可以删除如果清除该复选框,用户将不能删除Web剪辑.
不可将其从设备删除,除非用户删除安装它的策略.
全屏显示将在设备上全屏显示打开的Web剪辑.
全屏显示的Web剪辑打开作为Web应用的URL.
图标选择要在主屏幕上用作Web剪辑图标的图片.
这必须是最大1MB的PNG、GIF或JPEG图片.
图片将剪裁为方形并进行缩放以匹配显示分辨率.
为获得最佳效果,建议您使用180x180像素的图片.
注释当在网页的HTML代码中定义了一个图标时,设备可能会将该图标显示为Web剪辑图标.
这仅适用于某些网页,具体取决于网页代码中图标的配置方式.
14.
24.
7网站内容筛选器配置(macOS用户策略)使用Web内容筛选器配置,您可以为第三方应用定义用于筛选Internet内容的设置.
设置说明筛选名称筛选配置的自定义名称.
筛选ID第三方应用的捆绑ID.
230版权所有SophosLimitedSophosMobile设置说明服务器托管筛选服务的服务器(主机名、IP地址或URL).
组织您所在组织的名称.
该值将传递到筛选服务.
用户名密码连接到筛选服务所需的凭据.
证书用于对筛选服务进行身份验证的证书.
筛选范围第三方应用将筛选的数据流:筛选浏览器数据流:将筛选WebKit浏览器数据流.
筛选套接字数据流:将筛选套接字数据流.
筛选浏览器和套接字数据流:将筛选WebKit和套接字数据流.
第三方设置附加配置设置(如果第三方应用要求).
14.
24.
8全球HTTP代理配置(macOS用户策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器HTTP代理的名称(或IP地址).
端口HTTP代理的端口号.
身份验证用于连接代理服务器的用户名.
密码用于连接代理服务器的密码.
PACURL代理自动配置(PAC)文件的URL.
版权所有SophosLimited231SophosMobile14.
24.
9托管域配置(macOS用户策略)使用托管域配置,您可以定义Mac设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子邮件突出显示为不在域内.
14.
24.
10CalDAV配置(macOS用户策略)使用CalDAV配置,您可以配置与CalDAV服务器的日历数据同步.
例如,可用于与Mac设备同步Google日历.
设置说明帐户名称设备上CalDAV帐户的显示名称.
服务器CalDAV服务器的主机名或IP地址.
端口CalDAV服务器的端口号.
主要URL如果CalDAV服务器需要,请输入日历资源的主要URL.
例如,要与Google帐户中主日历以外的日历同步,请输入:https://apidata.
googleusercontent.
com/caldav/v2/calendar_id/user其中calendar_id是要同步的日历的ID.
在Google日历Web应用程序中,日历ID显示在日历设置中.
有关详细信息,请参阅Google日历的帮助.
用户名、密码CalDAV帐户的登录凭据.
例如,对于Google日历,请输入Google帐户的凭据.
SSL/TLS连接CalDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
232版权所有SophosLimitedSophosMobile14.
24.
11CardDAV配置(macOS用户策略)使用CardDAV配置,您可以配置与CardDAV服务器的联系人数据同步.
例如,可用于与Mac设备同步Google联系人.
设置说明帐户名称设备上CardDAV帐户的显示名称.
服务器CardDAV服务器的主机名或IP地址.
端口CardDAV服务器的端口号.
主要URL如果CardDAV服务器需要,请输入联系人资源的主要URL.
例如,GoogleCardDAVAPI支持以下主要URL:https://www.
googleapis.
com/carddav/v1/principals/account_name@gmail.
com其中account_name是Google帐户名称.
用户名、密码CardDAV帐户的登录凭据.
例如,对于Google联系人,请输入Google帐户的凭据.
SSL/TLS连接CardDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
24.
12IMAP/POP配置(macOS用户策略)使用IMAP/POP配置,您可以在Mac设备上添加IMAP或POP电子邮件帐户.
设置说明帐户名称设备上电子邮件帐户的显示名称.
帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
版权所有SophosLimited233SophosMobile设置说明邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名或IP地址.
端口传入电子邮件服务器(入站服务器)端口号.
用户名用于连接入站服务器的用户名.
身份验证类型用于连接入站服务器的身份验证方法.
密码用于连接入站服务器的密码(如果需要).
SSL/TLS连接接入服务器受到SSL或TLS的保护(取决于服务器支持的类型).
外发电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址.
端口外发电子邮件服务器(出站服务器)的端口号.
用户名用于连接出站服务器的用户名.
身份验证类型用于连接出站服务器的身份验证方法.
密码用于连接出站服务器的密码(如果需要).
使用与传入电子邮件相同的密码使用为传入电子邮件指定的密码.
SSL/TLS连接接出服务器受到SSL或TLS的保护(取决于服务器支持的类型).
14.
24.
13单一登录配置(macOS用户策略)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置说明姓名可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果将此字段保留为空,则用户必须输入名称.
234版权所有SophosLimitedSophosMobile设置说明领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
应用ID应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
14.
24.
14LDAP配置(macOS用户策略)使用LDAP配置,您可以将LDAP目录的用户信息添加到macOS通讯簿应用.
注释要配置Mac设备以使其加入ActiveDirectory域,请使用目录服务配置.
请参阅目录服务配置(macOS设备策略)(第218页).
设置说明帐户描述LDAP连接的描述.
主机名LDAP服务器的主机名或IP地址.
用户名密码SophosMobile用于连接LDAP服务器的登录凭据.
使用SSL/TLS连接LDAP服务器受到SSL或TLS的保护(取决于服务器支持的类型).
搜索设置作为搜索起点的LDAP树的节点,以及搜索范围.
基本到搜索开始节点的路径.
例如:ou=users,o=mycompany版权所有SophosLimited235SophosMobile设置说明范围要包括在搜索中的子节点的范围:仅基本节点:只有基本节点.
基本节点和直接子节点:基本节点及其子节点,即第一级子节点.
基本节点和所有子节点:基本节点和所有子节点.
描述搜索设置的描述.
14.
24.
15AppStore配置(macOS用户策略)通过AppStore配置,您可以限制AppStore的使用.
设置说明需要管理员密码用户安装或更新应用需要管理员密码.
限制更新用户可以更新应用,但不能安装新的应用.
禁止应用采纳应用采纳让用户可以将尚未通过AppStore安装的应用分配给他们的AppleID.
如果您禁止应用采纳,用户将不能更新这些应用.
例如,这会影响与Mac捆绑的iLife或iWork应用.
关闭更新通知用户不会收到更新通知.
14.
24.
16根证书配置(macOS用户策略)使用根证书配置,您可以在Mac设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
236版权所有SophosLimitedSophosMobile提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
24.
17客户端证书配置(macOS用户策略)使用客户端证书配置,您可以在Mac设备上安装客户端证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
允许从密钥链导出用户可以从密钥链导出证书的私钥.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
24.
18SCEP配置(macOS用户策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
版权所有SophosLimited237SophosMobile设置说明使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定Mac设备.
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
允许从密钥链导出用户可以从密钥链导出证书的私钥.
238版权所有SophosLimitedSophosMobile14.
25WindowsMobile策略的配置通过WindowsMobile策略,您可以为WindowsMobile设备配置设置.
14.
25.
1密码策略配置(WindowsMobile策略)使用密码策略配置,您可以为设备密码定义要求.
设置说明密码类型用户必须定义的密码类型:字母数字:密码必须同时包含数字和字母数值:密码必须仅包含数字字母数字密码的最低复杂性这定义了必须用于数字字母密码中的字符类.
1:不适用(如果选中,将使用2)2:需要数字和小写字母3:需要数字、小写字母和大写字母4:需要数字、小写字母、大写字母和特殊字符允许简单密码密码可以包含顺序或重复的字符,如abcde或1111.
密码长度最小值密码必须包含的最少字符数目.
失败尝试的最大次数输入正确密码的失败登录次数,超过后将擦除设备.
输入1和999之间的值,或输入0表示无限制.
设备锁定时间(分钟)设备空闲多长时间(分钟)后将被锁定.
用户可以解锁该设备.
输入1和999之间的值,或输入0表示无限制.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
最长密码期效(天)用户多少天后必须修改其密码.
输入1和730之间的值,或输入0表示无限制.
允许设置密码GracePeriod.
将允许用户设置密码宽限期.
版权所有SophosLimited239SophosMobile14.
25.
2限制配置(WindowsMobile策略)使用限制配置,您可以为设备定义限制.
设备设置说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止未加密设备内部存储加密将开启.
警告在设备上开启内部存储加密后,您不能再通过策略将其关闭.
注释应用策略前,必须在设备上启用BitLocker.
禁止在锁屏界面上显示操作中心通知将不会在设备锁屏界面上显示操作中心通知.
禁止手动添加非Microsoft电子邮件帐户禁止添加所有类型的电子邮件帐户,以及Exchange、Office365和Outlook.
com帐户.
禁止Microsoft账户连接不能连接到Microsoft服务,如同步、备份、Skype或Microsoft应用商店.
注释此设置只影响分配策略后在设备上设置的Microsoft帐户.
禁止开发人员模式将关闭Windows开发人员模式.
禁止Windows商店应用商店将不可用.
禁止本地浏览器MicrosoftEdge浏览器将不可用.
禁止相机将关闭隐私设置允许应用使用我的相机.
240版权所有SophosLimitedSophosMobile设置说明遥测级别允许设备发送的Windows诊断和使用数据量.
全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
注释级别是从下到上累积的,例如增强包括基本的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows诊断数据(外部链接).
不同的设置说明禁止复制和粘贴剪贴板不可用.
禁止CortanaCortana将关闭.
禁止Office文件的"另存为"用户不能将设备上的文件保存为Office文件.
禁止屏幕捕获截屏将关闭.
禁止共享Office文件用户不能共享Office文件.
禁止"同步我的设置"将不能与其他Windows设备同步设备设置.
禁止录音录音功能将关闭.
Wi-Fi设置说明禁止Wi-FiWi-Fi连接将关闭.
禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
禁止热点报告设备将不会发送有关Wi-Fi连接的信息.
版权所有SophosLimited241SophosMobile设置说明禁止手动配置用户不能在SophosMobile配置的连接以外配置Wi-Fi连接.
现有用户配置的和Wi-Fi感知的Wi-Fi配置文件将被删除.
连接设置说明禁止NFCNFC(近场通信)被关闭.
禁止蓝牙蓝牙将关闭.
禁止USB连接将禁用设备与计算机之间用于同步文件或使用开发人员工具来部署或调试应用的USB连接.
这不影响USB充电.
漫游及费用设置说明禁止手机数据漫游使用外地手机网络的数据连接将关闭.
禁止手机VPN使用外地手机网络的VPN连接将关闭.
禁止手机VPN漫游使用外地手机网络的VPN连接将关闭.
安全和隐私设置说明禁止Bing影像通过Bing影像搜索存储图像Bing影像将不会存储执行Bing影像搜索时捕获的图像内容.
搜索时禁止使用位置搜索不能使用位置信息.
禁止手动安装根证书用户不能手动安装根和中间CA证书.
禁止定位设备上的所有位置隐私设置将关闭.
没有应用可以使用定位服务.
还将禁止SophosMobile定位设备.
242版权所有SophosLimitedSophosMobile设置说明SafeSearch权限设备上强制执行的搜索结果筛选级别:中等:对成人内容进行中等筛选.
将不筛选有效的搜索结果.
严格:对成人内容进行最严格的筛选.
未注册设置说明禁止用户重置手机用户不能通过控制面板或硬件组合键将设备恢复为出厂设置.
禁止手动MDM用户不能删除工作区帐户.
14.
25.
3Exchange帐户配置(WindowsMobile策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步化间隔电子邮件同步过程之间的时间间隔.
版权所有SophosLimited243SophosMobile设置说明SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
同步内容类型要同步的内容类型.
14.
25.
4Wi-Fi配置(WindowsMobile策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
代理如果从列表中选择手动,则必须指定服务器和端口.
14.
25.
5应用限制配置(WindowsMobile策略)使用应用限制配置,您可以特别地在设备上允许或阻止应用.
设置说明允许的应用包含一组允许用户在设备上安装和使用的单个应用.
用户将不能安装或使用任何未明确列出的应用.
当您知道要允许的应用和要阻止的所有其他应用时,可以使用允许的应用.
禁止的应用程序包含一组禁止用户在设备上安装的单个应用.
用户将可以安装任何未明确列出的应用.
当您知道要阻止的应用和要允许的所有其他应用的列表时,可以使用禁止的应用.
244版权所有SophosLimitedSophosMobile设置说明应用组选择包含要允许或阻止的应用列表的应用组.
注释应用组必须事先创建.
请参阅应用组(第289页).
14.
25.
6IMAP/POP配置(WindowsMobile策略)使用IMAP/POP配置,您可以在设备上添加IMAP或POP电子邮件帐户.
设置说明帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
帐户名称设备上电子邮件帐户的显示名称.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
用户名用于连接入站服务器的用户名.
域入站服务器凭据的域部分(如果需要).
密码用于连接入站服务器的密码(如果需要).
传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名(或IP地址)和端口号.
格式:服务器名称:端口号如果使用以下标准端口,则不需要指定端口号:143(IMAP)993(IMAP和SSL)110(POP3)995(POP3和SSL)对传入电子邮件使用SSL/TLS使用安全套接字层进行传入电子邮件的传输.
传出电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
格式:服务器名称:端口号版权所有SophosLimited245SophosMobile设置说明对传出电子邮件使用SSL/TLS使用安全套接字层进行外发电子邮件的传输.
传出连接所需的身份验证出站服务器需要身份验证.
使用与入站服务器相同的凭据,如用户名、域和密码字段中所指定.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
自动同步自动电子邮件同步的间隔.
14.
25.
7根证书配置(WindowsMobile策略)使用根证书配置,您可以在设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
14.
25.
8SCEP配置(WindowsMobile策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置说明描述有关配置的说明.
网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
246版权所有SophosLimitedSophosMobile设置说明使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
使用者可选名称作为选项,可以配置一个或多个使用者可选名称(SAN)值.
单击添加,然后输入SAN类型和SAN值.
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
版权所有SophosLimited247SophosMobile14.
26Windows策略的配置通过Windows策略,您可以为Windows计算机配置设置.
14.
26.
1密码策略配置(Windows策略)使用密码策略配置,您可以为Windows用户帐户的密码定义要求.
注释Windows计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过SophosMobile策略设置.
有关详细信息,请参阅Windows密码复杂性规则(第98页).
注释如果同时满足以下条件,则无法将密码策略分配给Windows计算机:除了注册到SophosMobile的用户之外,还有在设备上配置的其他本地用户.
这些其他用户中的一个或多个不允许更改其密码.
设置说明失败尝试的最大次数输入正确密码的失败登录次数,超过后将擦除设备.
输入1和999之间的值,或输入0表示无限制.
设备锁定时间(分钟)设备空闲多长时间(分钟)后将被锁定.
用户可以解锁该设备.
输入1和999之间的值,或输入0表示无限制.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
最长密码期效(天)用户多少天后必须修改其密码.
输入1和730之间的值,或输入0表示无限制.
248版权所有SophosLimitedSophosMobile14.
26.
2限制配置(Windows策略)使用限制配置,您可以为设备定义限制.
设备设置说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止手动添加非Microsoft电子邮件帐户禁止添加所有类型的电子邮件帐户,以及Exchange、Office365和Outlook.
com帐户.
禁止开发人员模式将关闭Windows开发人员模式.
禁止相机将关闭隐私设置允许应用使用我的相机.
禁用Edge自动填充EdgeWeb浏览器的保存表单项设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用EdgeF12开发人员工具EdgeWeb浏览器的F12开发人员工具将不可用.
禁用Edge弹出窗口阻止程序EdgeWeb浏览器的阻止弹出窗口设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用自动播放设置禁用日期与时间设置禁用语言设置禁用电源和睡眠设置禁用区域设置禁用登录设置禁用VPN设置禁用工作区设置禁用帐户设置Windows控制面板的相应部分将不可用.
策略分配给设备后,用户将不能更改所有这些设置.
注释禁用自动播放设置不会影响移动电话等连接设备.
版权所有SophosLimited249SophosMobile设置说明遥测级别允许设备发送的Windows诊断和使用数据量.
全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
安全:使用最新的安全更新保护设备所需的信息.
注释级别是从下到上累积的,例如增强包括基本和安全的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
不同的设置说明禁止CortanaCortana将关闭.
禁止"同步我的设置"将不能与其他Windows设备同步设备设置.
禁用Windows提示Windows通知设置向我显示有关Windows的提示将清除且不可用.
Wi-Fi设置说明禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
禁止手动配置用户不能在SophosMobile配置的连接以外配置Wi-Fi连接.
现有用户配置的和Wi-Fi感知的Wi-Fi配置文件将被删除.
250版权所有SophosLimitedSophosMobile连接设置说明禁止蓝牙蓝牙将关闭.
安全和隐私设置说明搜索时禁止使用位置搜索不能使用位置信息.
未注册设置说明禁止手动MDM用户不能删除工作区帐户.
14.
26.
3Exchange帐户配置(Windows策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
警告如果使用多个配置设置Exchange电子邮件帐户,设备可能只能检索一个帐户的邮件.
如果这些帐户位于不同的Exchange服务器上,且这些服务器上定义了不同的邮箱策略,这通常会发生.
因为Windows计算机只能使用一种邮箱策略,它们将无法连接到使用不同策略的帐户.
注释Windows允许用户拒绝您对Exchange配置所做的所有更改.
设置说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
版权所有SophosLimited251SophosMobile设置说明用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步化间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
同步内容类型要同步的内容类型.
14.
26.
4Wi-Fi配置(Windows策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
手动配置选择手动配置可手动配置Wi-Fi连接.
此选项仅支持WPA(个人)或WPA2(个人)安全类型的连接.
设置说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
252版权所有SophosLimitedSophosMobile从现有连接创建选择从现有连接创建可从Windows计算机上现有的Wi-Fi连接创建配置.
设置说明Wi-Fi配置文件上传WindowsWi-Fi连接的配置文件.
有关如何创建该文件的信息,请参阅导出WindowsWi-Fi配置文件(第253页).
14.
26.
5导出WindowsWi-Fi配置文件如果要从现有连接创建SophosMobileWi-Fi配置,您需要从Windows计算机导出Wi-Fi配置文件.
在一台已知网络下已经列出该Wi-Fi连接的Windows10计算机上执行此过程.
1.
以管理员身份打开命令提示符.
2.
检查所需的配置文件是否可用:netshwlanshowprofiles3.
导出该配置文件:netshwlanexportprofile""key=clearfolder=将替换为配置文件名,将替换为配置文件的目标文件夹(如c:\temp).
配置文件将导出到XML文件.
您可以在SophosMobileWi-Fi配置中使用该文件.
警告XML文件包含未加密的Wi-Fi密码.
出于安全考虑,我们强烈建议您将其上传到SophosMobile后将该文件删除.
相关任务创建策略(第95页)您可以创建策略以配置设备的设置.
如果要管理不同类型的设备,请创建多个策略.
相关参考Wi-Fi配置(Windows策略)(第252页)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
14.
26.
6展台模式配置(Windows策略)通过展台模式配置,您可以将Windows计算机设置为以展台模式运行.
在展台模式下,只有一个应用(展台应用)可以运行.
与展台模式关联的用户(展台用户)登录时,将开启展台模式.
版权所有SophosLimited253SophosMobile注释默认情况下,计算机重启后仍然处于展台模式.
要修改这种设置,请以展台用户帐户登录计算机,转到设置>帐户>登录选项,并关闭更新或重启后,使用我的登录信息自动完成设备设置.
设置说明用户帐户与展台模式关联的用户(展台用户).
格式:\(本地帐户)\(域帐户)如果用户名在所有域中都是惟一的,可以省略部分.
应用AUMID展台模式开启时启动的应用(展台应用)的应用程序用户模型ID(ApplicationUserModelID,AUMID).
有关如何获取AUMID值的信息,请参阅Microsoft文档FindtheApplicationUserModelIDofaninstalledapp.
14.
26.
7IMAP/POP配置(Windows策略)使用IMAP/POP配置,您可以在Windows计算机上添加IMAP或POP电子邮件帐户.
设置说明帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
帐户名称设备上电子邮件帐户的显示名称.
邮箱地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
用户名用于连接入站服务器的用户名.
域入站服务器凭据的域部分(如果需要).
密码用于连接入站服务器的密码(如果需要).
254版权所有SophosLimitedSophosMobile设置说明传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名(或IP地址)和端口号.
格式:服务器名称:端口号如果使用以下标准端口,则不需要指定端口号:143(IMAP)993(IMAP和SSL)110(POP3)995(POP3和SSL)对传入电子邮件使用SSL/TLS使用安全套接字层进行传入电子邮件的传输.
传出电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
格式:服务器名称:端口号对传出电子邮件使用SSL/TLS使用安全套接字层进行外发电子邮件的传输.
传出连接所需的身份验证出站服务器需要身份验证.
使用与入站服务器相同的凭据,如用户名、域和密码字段中所指定.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
自动同步自动电子邮件同步的间隔.
14.
26.
8DeviceGuard配置(Windows策略)通过DeviceGuard配置,您可以在Windows计算机上配置基于虚拟化的安全性(VBS).
注释所有设置都会在策略分配后第一次启动Windows计算机时应用.
设置说明开启基于虚拟化的安全性(VBS)开启基于虚拟化的安全性(VBS).
版权所有SophosLimited255SophosMobile设置说明CredentialGuard配置关闭:关闭CredentialGuard.
如果使用开启并锁定UEFI选项开启CredentialGuard,此选项将不起作用.
开启并锁定UEFI:开启CredentialGuard,并确保它不能远程关闭.
CredentialGuard只能在BIOS设置中再次关闭,并且需要对计算机进行物理访问.
开启但不锁定:开启CredentialGuard.
CredentialGuard可以使用关闭选项或使用Windows组策略再次关闭.
平台安全级别安全启动:VBS将开启并提供计算机硬件支持的尽可能多的保护.
如果计算机没有输入/输出内存管理单元(IOMMU),VBS将使用安全启动UEFI功能.
如果计算机有IOMMU,VBS将使用安全启动和直接内存访问(DMA)保护.
安全启动和DMA保护:VBS将使用安全启动和直接内存访问(DMA)保护.
如果计算机不支持DMA,将不会开启VBS.
14.
26.
9根证书配置(Windows策略)使用根证书配置,您可以在设备上安装根证书.
设置描述文件选择上传文件,然后选择PKCS#12(.
pfx)证书文件.
证书名称证书的名称.
SophosMobile将从证书文件中读取名称.
注释证书可用于同一策略的其他配置.
如果其他策略需要证书,则必须重新上传.
提示您可以将证书从文件资源管理器拖至文件区域并将其上传.
256版权所有SophosLimitedSophosMobile14.
26.
10客户端证书配置(Windows策略)使用客户端证书配置,您可以在Windows计算机上安装客户端证书.
设置说明文件要安装的证书.
您可以上传PEM和PKCS#12证书.
单击上传文件,然后浏览并找到包含该证书的文件.
提示或者将文件从文件资源管理器拖动到上传文件区域.
证书名称上传证书文件后,该字段显示证书的使用者值.
目标存储证书安装位置的证书存储:用户:证书供注册到SophosMobile的用户使用.
设备:证书供计算机上的所有用户使用.
密钥位置存储证书私钥的位置:软件:密钥存储在基于软件的密钥存储库中.
TPM或软件:如果TPM可用,则密钥存储在TPM中.
否则,密钥存储在基于软件的密钥存储库中.
TPM:密钥存储在受信任的平台模块(TPM)硬件芯片中.
如果计算机没有TPM芯片或在BIOS中关闭了TPM,将不安装证书.
WindowsHelloforBusiness:密钥存储在WindowsHelloforBusiness容器中.
密钥可导出导出证书时,用户还可以导出私钥.
容器名称存储证书私钥的WindowsHelloforBusiness容器的名称.
14.
26.
11SCEP配置(Windows策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置说明描述有关配置的说明.
版权所有SophosLimited257SophosMobile设置说明网址证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
使用者将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
使用者可选名称作为选项,可以配置一个或多个使用者可选名称(SAN)值.
单击添加,然后输入SAN类型和SAN值.
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前策略的根证书配置中的所有证书.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
证书使用情况选择证书可用于什么目的.
用于数字签名:证书可用作数字签名.
用于加密:证书可用于数据加密.
258版权所有SophosLimitedSophosMobile14.
27ChromeSecurity策略的配置通过ChromeSecurity策略,可以在SophosChromeSecurity注册到SophosMobile时为其扩展程序配置设置.
14.
27.
1网站筛选配置(ChromeSecurity策略)通过网络筛选配置,您可以管理SophosChromeSecurity扩展程序的网站筛选功能.
这可以让用户避免浏览包含恶意、不需要或非法内容的网站.
警告如果设备不能连接到Sophos网站分类服务https://4.
sophosxl.
net/lookup,网站筛选将阻止所有网站.
提示为了测试网络筛选,Sophos创建了包含每个类别的示例页面的网站sophostest.
com.
尽管其中一些页面被归类为具有潜在的攻击性或危险性,但是页面内容本身在所有情况下都是无害的.
如果您开启网站筛选,SophosMobile将始终阻止非常令人反感的犯罪活动(如儿童色情)类的网页.
为防止其他人访问这些页面,SophosMobile将在日志、事件和报告中屏蔽这些URL.
设置设置说明筛选恶意网站选择用户是否可以访问带有恶意内容的网站.
创建警报选择是否在用户尝试访问过滤的网站时创建通知.
您可以选择是否仅对阻止内容或警告内容创建通知.
检查嵌入的内容Web页面根据它们自己的内容和嵌入的内容(如广告)进行过滤.
例如,如果您将赌博类别设置为阻止,将阻止所有赌博网站和所有包含赌博相关广告的页面.
如果您关闭此选项,网站过滤将忽略嵌入的内容,除非它是恶意的.
按照类别筛选网站选择用户是否可以访问网站类型.
网站根据SophosLabs提供的数据进行分类.
该数据会不断更新.
版权所有SophosLimited259SophosMobile设置说明网站例外配置类别筛选的例外:允许的域:允许网站,即使它们所属的类别受到阻止.
阻止的域:阻止网站,即使它们属于允许的类别.
如何指定网站例外在允许的域和阻止的域中,按行输入以下一项内容(不带分隔符):IPv4或IPv6地址203.
0.
113.
02001:db8:85a3:0:0:8a2e:370:7334IPv4或IPv6子网203.
0.
113.
0/242001:db8::/32域名www.
example.
com通配符域.
通配符*必须是最左边的字符.
*.
example.
com*example.
com在阻止的域中,您可以使用单个通配符*阻止所有网站.
如果用户通过域名引用网站,将忽略IP地址和子网.
过滤逻辑当网站过滤评估是否必须允许或阻止网站时,允许列表优先于阻止列表,策略定义的列表优先于用户定义的列表.
过滤规则按以下顺序应用:1.
如果网站包括在允许的域中,它将被允许.
2.
如果网站包括在阻止的域中,它将被阻止.
3.
如果用户已将网站添加到允许列表,它将被允许.
4.
如果用户已将网站添加到阻止列表,它将被阻止.
5.
网站根据其类别被允许或阻止.
260版权所有SophosLimitedSophosMobile15任务捆绑包通过任务捆绑包,可以在一次事务中捆绑多个任务.
例如,您可以将所有任务捆绑在一起,以注册和配置设备:注册设备.
分配所需的策略.
安装所需的应用(如iOS设备的托管应用).
您还可以在任务捆绑包中包括擦除命令,以自动擦除不相容(例如已越狱或已root)的设备.
有关更多信息,请参阅合规性策略(第30页).
任务捆绑包可用于以下平台:AndroidiOS和iPadOSmacOSWindowsChromeOS15.
1创建任务捆绑包您可以为要管理的Android、iOS和其他设备平台创建单独的任务捆绑包.
要创建任务捆绑包:1.
在侧边的菜单栏中,选择配置下的任务捆绑包,然后选择要为其创建任务捆绑包的平台.
2.
在任务捆绑包页面上,选择创建任务捆绑包.
3.
在编辑任务捆绑包页面上,为任务捆绑包输入名称,并选择性地输入描述.
当您每次保存任务捆绑包时,版本将自动递增.
4.
可选:如果您选中对于合规性操作可选,则可在设备不合规时将任务捆绑包传递到设备上.
您可以在合规性策略中对此进行配置.
5.
可选:对于iOS任务捆绑包,如果选择忽略应用安装失败,即使在应用安装失败时也可以继续处理任务捆绑包.
此选项仅在任务捆绑包包含安装应用任务时可用.
6.
选择添加任务,然后选择任务类型.
7.
输入所需的信息,并选择应用创建任务.
应用任务捆绑包时,任务名称将显示在SophosMobileSelfServicePortal中.
8.
可选:将更多任务添加到任务捆绑包中,例如,在设备上安装应用或显示消息.
注释不能混合Android和Android企业任务.
9.
可选:使用任务列表右侧的箭头图标更改任务的安装顺序.
版权所有SophosLimited261SophosMobile相关概念任务类型(Android)(第262页)任务类型(iOS、iPadOS)(第264页)任务类型(macOS)(第267页)任务类型(Windows)(第268页)任务类型(ChromeOS)(第269页)15.
2任务类型(Android)以下任务类型可用于Android任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
注册Sophos容器当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配策略选择策略.
有关如何将策略添加到此列表的信息,请参阅策略(第93页).
当该任务传递到设备时,将静默地分配策略.
卸载策略在选择源下,选择策略,然后从列表中选择策略.
除了您已经在SophosMobile中创建的策略外,该列表还包括托管设备上安装的所有策略.
如果您知道其标识符,还可以卸载未列出的策略.
您只能卸载Android设备策略和Knox容器策略.
对于其他策略类型,请更新策略、分配不同策略或取消设备注册.
安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第271页).
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要安装应用.
用户可以点击确定启动该进程,或点击现在不行,以便过段时间后再收到通知.
如果用户点击确定,然后又在随后的Android对话框中点击取消,任务将失败.
262版权所有SophosLimitedSophosMobile如果该应用已经安装在收到任务的设备上,它将会更新.
安装托管的GooglePlay应用如果您为客户配置了AndroidEnterprise,此任务类型将可用.
从您为您的组织批准的托管GooglePlay应用列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅编辑托管的GooglePlay应用(第305页).
安装任务将发送到Google服务.
然后,Google将管理在设备上安装该应用.
在任务视图页面上,任务将在其发送到Google后显示为成功状态.
您也可以从应用-AndroidEnterprise页面安装应用.
请参阅安装托管的GooglePlay应用(第308页).
有关如何从设备卸载应用的信息,请参阅卸载托管的GooglePlay应用(第309页).
卸载应用在选择源下选择应用,从可用应用的列表中选择应用.
除SophosMobile服务器上可用的应用外,该列表还包括托管设备上正在使用的应用-除Android系统应用和设备制造商已经预先安装的应用外.
还可以卸载未包含在该列表中的应用.
选择标识符,然后输入要从设备上卸载的应用的程序包名称.
如果选择Knox容器应用,该应用将从SamsungKnox容器中卸载.
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要卸载应用.
用户可以点击确定启动该进程,或点击现在不行,以便过段时间后再收到通知.
如果用户点击确定,然后又在随后的Android对话框中点击取消,任务将失败.
如果该应用未安装在收到任务的设备上,将不会显示通知.
发送消息输入要在设备上显示的纯文本.
当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosMobileControl应用中显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第44页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.
警告请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
版权所有SophosLimited263SophosMobile注释当擦除任务传递到AndroidEnterprise工作配置文件设备时,将只删除工作配置文件和所有托管的GooglePlay应用.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
Knox容器:锁定当任务传递到支持SamsungKnox的Samsung设备时,将锁定Knox容器.
Knox容器:解除锁定当任务传递到支持SamsungKnox的Samsung设备时,将解锁Knox容器.
Knox容器:重置密码当任务传递到支持SamsungKnox的Samsung设备时,将重置Knox容器密码.
用户必须设置新的密码才能解锁Knox容器.
Knox容器:移除当该任务传递到支持SamsungKnox的Samsung设备时,将删除Knox容器(包括与容器相关的所有配置).
扫描恶意软件将任务传递到设备时,SophosInterceptXforMobile将扫描它是否包含恶意软件和可能不需要的应用(PUA).
此任务需要SophosInterceptXforMobile由SophosMobile管理.
15.
3任务类型(iOS、iPadOS)以下任务类型可用于iOS任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
264版权所有SophosLimitedSophosMobile注册Sophos容器当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配策略选择策略.
有关如何将策略添加到此列表的信息,请参阅策略(第93页).
当该任务传递到设备时,将静默地分配策略.
卸载策略在选择源下,选择策略,然后从列表中选择策略.
除了您已经在SophosMobile中创建的策略外,该列表还包括托管设备上安装的所有策略.
如果您知道其标识符,还可以卸载未列出的策略.
您只能卸载iOS设备策略.
对于其他策略类型,请更新策略、分配不同策略或取消设备注册.
安装设置配置文件从可用配置文件的列表中选择应用设置配置文件.
有关如何将配置文件添加到此列表的信息,请参阅导入设置配置文件(iOS、iPadOS)(第96页).
当任务传递到设备时,将静默地安装该设置配置文件.
卸载设置配置文件在选择源下选择配置文件,然后从列表中选择设置配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.
还可以删除未包含在该列表中的设置配置文件.
选择标识符,然后输入要从设备上删除的配置文件的标识符.
当任务传递到设备时,将静默地删除该设置配置文件.
重新配置SMC应用当任务传递到设备时,用户将被要求扫描QR码或手动输入配置详细信息.
这将先前卸载的SophosMobileControl应用重新连接到服务器.
注释该任务之前应该有一个SophosMobileControl应用的安装应用任务.
版权所有SophosLimited265SophosMobile安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第271页).
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要安装应用.
用户可以点击安装启动该进程,或点击取消拒绝该安装.
如果用户拒绝安装,任务将失败.
如果该应用已经安装在收到任务的设备上,它将会更新.
卸载应用在选择源下选择应用,从可用应用的列表中选择应用.
除SophosMobile服务器上可用的应用外,该列表还包括托管设备上正在使用的应用-除系统应用外.
还可以卸载未包含在该列表中的应用.
选择标识符,然后输入要从设备上卸载的应用的捆绑ID.
当任务传递到设备时,将静默地卸载该应用.
安装最新的iOS更新当任务传递到设备时,将安装最新版本的iOS或iPadOS.
根据设备型号,可能会安装不同的更新.
您可以更新以下设备类型的iOS和iPadOS:受监督的设备受监督的AppleDEP设备对于其他设备,任务将失败.
发送消息输入要在设备上显示的纯文本.
当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosMobileControl应用中显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第44页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.
266版权所有SophosLimitedSophosMobile警告请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
15.
4任务类型(macOS)以下任务类型可用于macOS任务捆绑包.
注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配设备策略从可用的macOS设备策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅策略(第93页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了设备策略,将被替换.
分配用户策略从可用的macOS用户策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅策略(第93页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了用户策略,将被替换.
用户策略将在用户下次登录到Mac设备时应用到用户.
安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第271页).
当该任务传递到设备时,将静默地安装应用.
PKG软件包文件可能包含多个应用.
在这种情况下,将安装所有应用.
注释成功任务状态意味着设备已经开始下载应用.
要验证应用是否已安装成功,请同步设备,并检查设备详细信息页面上已安装的应用列表.
取消VPP应用分配从可用的macOSVPP应用的列表中选择应用.
版权所有SophosLimited267SophosMobile当该任务传递到设备时,已经分配有VPP许可证的设备中将删除该许可证.
用户可以继续使用该应用30天.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第44页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除设置6位系统锁定PIN码.
当该任务传递到Mac设备时,它将重新启动,然后开始擦除磁盘.
用户必须在Mac设备上输入系统锁定PIN码才能将其解锁.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
警告请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>Unlockpasscode下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
15.
5任务类型(Windows)以下任务类型可用于Windows任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配策略从可用的设备策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅策略(第93页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了设备策略,将被替换.
安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第271页).
268版权所有SophosLimitedSophosMobile当任务传递到设备时,将静默地安装该应用.
如果该应用已经安装在收到任务的设备上,它将会更新.
卸载应用从可用应用的列表中选择应用.
列表包括您已经在SophosMobile服务器上配置的应用,以及安装在任意托管Windows计算机上的应用(Windows系统应用除外).
当任务传递到设备时,将静默地卸载选定的应用.
注释您只能卸载已经由SophosMobile安装的应用.
如果您试图卸载用户安装的应用,任务将失败.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第44页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.
警告请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
15.
6任务类型(ChromeOS)以下任务类型可用于ChromeOS任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配策略选择策略.
有关如何将策略添加到此列表的信息,请参阅策略(第93页).
当该任务传递到设备时,将静默地分配策略.
版权所有SophosLimited269SophosMobile发送消息输入要在设备上显示的纯文本.
当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosChromeSecurity扩展程序中显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第44页).
设备用户不需要确认该操作.
15.
7复制任务捆绑包您可以复制任务捆绑包,并将其用作其他任务捆绑包的起点.
当需要创建类似的任务捆绑包时,复制现有任务捆绑包并编辑副本更容易.
要复制任务捆绑包:1.
在侧边的菜单栏中,选择配置下的任务捆绑包,然后选择设备平台.
2.
在任务捆绑包页面上,选择要复制的任务捆绑包旁边的蓝色三角形,然后选择复制.
将复制任务捆绑包.
15.
8传输任务捆绑包您可以将任务捆绑包传输到个人设备或设备组1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击Android或iOS和iPadOS.
会出现任务捆绑包页面.
2.
单击所需任务旁边的蓝色三角形,然后单击传输.
将显示选择设备页面.
3.
在此页面上,可以:选择要将任务捆绑包传输到的个人设备.
单击选择设备组,打开选择设备组页面,并选择一个或多个用于传输任务捆绑包的设备组.
4.
完成选择后,单击下一步.
将显示设置执行日期页面.
5.
在计划日期下,选择立即或为此任务的执行指定日期和时间.
6.
单击完成.
将显示任务视图页面.
任务捆绑包将在指定的日期和时间传输到所选的设备.
270版权所有SophosLimitedSophosMobile16应用程序您可以对应用进行配置,使其可以在SophosMobileAdmin(管理员启动的)或SophosMobileControl应用(用户启动)中进行安装.
应用管理可用于以下平台:AndroidiOS和iPadOSmacOSWindowsWindowsMobile要在SophosMobile中提供应用,可以执行以下任一操作:将应用包上传至SophosMobile服务器.
此选项对WindowsMobile应用或SophosMobile只管理Sophos容器的设备不可用.
提供该应用在相关应用商店中链接.
有关这两个选项的信息,请参阅添加应用(第271页).
要在设备上安装应用,请创建一个包含安装应用任务的任务捆绑包.
对于Android设备、iPhone和iPad,您可以直接从应用程序页面创建此类任务捆绑包.
请参阅安装应用(第272页).
注释要安装存储在SophosMobile服务器上的应用包(对比从应用商店安装),必须满足以下条件︰对于Android,必须在设备上启用Android的安全设置未知来源.
如果在未知来源禁用的情况下尝试安装APK文件,SophosMobileControl应用将转到可以启用该设置的页面.
此限制不适用于使用LGGATE、SamsungKnox或SonyEnterpriseAPI的设备.
对于iPhone和iPad,从IPA文件安装应用只适用于自行开发的应用.
准备好分发应用时,必须为该应用创建一个设置配置文件并使其在设备上可用,可以事先分别安装或包括在应用的IPA文件中.
您可以使用SophosMobile将设置配置文件分发给您的iPhone和iPad.
请参阅导入设置配置文件(iOS、iPadOS)(第96页).
有关设置配置文件的详细信息,请参阅iOS开发库.
16.
1添加应用可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.
有关AndroidEnterprise设备上的应用,请参阅批准托管的GooglePlay应用(第304页).
要将应用添加到SophosMobile:1.
在侧边的菜单栏中,单击配置下的应用程序,然后选择要为其添加应用的平台.
2.
要为SophosMobile是设备管理员的Android设备添加应用,请在应用-AndroidEnterprise页面上单击Android(旧版本).
3.
单击添加应用,然后选择所需的选项:Android链接:通过在GooglePlay中进行链接,添加Android应用.
Android软件包:通过将APK文件上传到SophosMobile添加Android应用.
版权所有SophosLimited271SophosMobileiOS链接:通过在AppStore中进行链接,添加iOS应用.
iOS软件包:通过将IPA文件上传到SophosMobile添加iOS企业应用.
macOS软件包:通过将PKG文件上传到SophosMobile添加macOS企业应用.
WindowsMobile链接:通过在Microsoft商店中进行链接,添加WindowsMobile应用.
WindowsMSI链接:通过链接到其MSI安装文件,添加Windows应用.
Microsoft商店链接:通过在Microsoft商店中进行链接,添加Windows应用.
4.
对于iOS和macOSVPP应用,单击导入VPP应用加载您通过Apple大量购买方案(VPP)购买的应用的列表.
请参阅管理AppleVPP应用(第282页).
5.
根据要求配置应用设置.
6.
请单击保存,保存应用设置并返回应用页面.
应用可用于安装.
它将显示在应用页面上.
如果已经配置了可用于设备组字段,应用还将显示在SophosMobileControl应用的企业应用商店中,用户可以在这里安装应用.
安装过程可无人参与或需要极少用户互动.
注释在SophosMobile只管理Sophos容器的设备上,您通过上传APK文件(对于Android应用)或IPA文件(对于iOS应用)添加的应用将不可用.
相关参考应用设置(Android)(第274页)应用设置(iOS,iPadOS)(第276页)应用设置(macOS)(第278页)应用设置(WindowsMobile)(第279页)应用设置(Windows)(第280页)16.
2安装应用将应用添加到SophosMobile后,即可将其安装到选定的设备或设备组.
这些说明不适用于以下设备:AndroidEnterprise设备.
要在这些设备上安装应用,请参阅安装托管的GooglePlay应用(第308页).
SophosMobile仅在其上面管理Sophos容器的设备.
您只能在这些设备上安装SophosSecureWorkspace和SophosSecureEmail.
请参阅管理Sophos容器应用(第328页).
要安装应用:1.
在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其安装应用的平台.
2.
在应用程序页面上,单击所需应用旁边的蓝色三角形,然后单击安装.
要打开SophosMobile是设备管理员的Android设备的应用程序页面,请在应用-AndroidEnterprise页面上单击Android(旧版本).
3.
选择要安装该应用的设备.
执行下列操作之一:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
4.
在设置执行日期页面上,设置安装该应用的日期:272版权所有SophosLimitedSophosMobile选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
5.
单击完成.
选定的应用将在指定的日期安装在所选的设备上.
注释在以下设备上,应用会静默安装,即无需与用户交互:受到监控的iPhone和iPadAndroidEnterprise设备具有SamsungKnox的Android设备具有LGGATE的Android设备具有SonyEnterpriseAPIlevel8或更高版本的Android设备MacsWindows计算机(如果您已经为应用配置了/quiet安装选项).
对于上面所列的Samsung、LG和Sony设备,只有APK文件会静默安装,来自GooglePlay的应用不会.
提示您可以在任务视图页面上显示安装任务状态.
提示您还可以使用以下任一选项安装应用:要在单个设备上安装应用:在设备的显示设备页面上,选择已安装的应用选项卡并单击安装应用.
要在多个设备上安装应用:在设备页面上,选择所需设备,然后单击操作>安装应用.
要在一个或多个设备上作为任务捆绑包的一部分安装应用:将安装应用任务添加到任务捆绑包并将其传输到所需的设备或设备组.
16.
3卸载应用您可以从选定的设备或设备组卸载应用.
这些说明不适用于以下设备:AndroidEnterprise设备.
要从这些设备卸载应用,请参阅卸载托管的GooglePlay应用(第309页).
SophosMobile仅在其上面管理Sophos容器的设备.
要卸载应用:1.
在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其卸载应用的平台.
2.
在应用程序页面上,单击卸载.
要打开SophosMobile是设备管理员的Android设备的应用程序页面,请在应用-AndroidEnterprise页面上单击Android(旧版本).
版权所有SophosLimited273SophosMobile3.
选择要卸载应用的设备.
执行下列操作之一:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
4.
在选择应用页面上,选择所需的应用.
5.
在设置执行日期页面上,设置卸载该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
6.
单击完成.
选定的应用将在指定的日期从所选设备上卸载.
注释在以下设备上,应用将静默地卸载,即无需用户交互:受到监控的iPhone和iPad上的托管应用Windows计算机(如果您已经为应用配置了/quiet安装选项).
提示另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项卡,然后单击应用名称旁边的垃圾桶图标.
16.
4应用设置(Android)有关Android企业设备上的应用,请参阅针对托管的GooglePlay应用的设置(第305页).
一般设置设置说明姓名应用的名称.
版本在企业应用商店中显示的版本.
对于应用链接,SophosMobile使用来自GooglePlay的版本.
应用ID该应用的内部标识符.
对于应用链接,请单击获取数据获取GooglePlay提供的值.
对于应用包,SophosMobile将从APK文件获取值.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
274版权所有SophosLimitedSophosMobile设置说明可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为GooglePlay中的实际应用描述.
在Knox容器中安装对于SamsungKnox设备,应用将安装在Knox容器内.
此设置仅在配置了SamsungKnox许可证后才可用.
应用链接的设置设置说明链接应用在GooglePlay中的URL.
为确定URL,请单击转到GooglePlay,在新的浏览器选项卡中打开GooglePlay,并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
当您输入URL后,单击获取数据可自动填充应用ID字段.
应用包的设置设置说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到APK文件,然后单击打开.
提示或者将文件从文件资源管理器拖动到上传文件区域.
相关任务添加应用(第271页)版权所有SophosLimited275SophosMobile可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.
16.
5应用设置(iOS,iPadOS)一般设置设置说明姓名应用的名称.
对于AppleVPP应用,此字段为只读.
版本在企业应用商店中显示的版本.
对于应用链接,SophosMobile使用来自AppStore的版本.
对于AppleVPP应用,此字段为只读.
应用ID该应用的内部标识符.
SophosMobile从AppStore或IPA文件获取此设置.
对于AppleVPP应用,此字段为只读.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为AppStore中的实际应用描述.
276版权所有SophosLimitedSophosMobile应用链接的设置设置说明在AppStore中搜索单击在AppStore中搜索在AppStore数据库中搜索应用.
当您在搜索结果列表中选择一个应用时,以下字段将自动填充:应用ID应用程序类别链接链接该应用在AppStore中的URL.
为确定URL,请单击获取链接,在新的浏览器选项卡中打开iTunesLinkMaker.
在LinkMaker中浏览并找到该应用,然后将直接链接下显示的URL复制到SophosMobileAdmin中的链接字段.
对于AppleVPP应用,此字段为只读.
SophosMobile托管安装应用将作为托管应用进行安装.
此设置仅影响用户从企业应用商店安装的应用.
您通过SophosMobileAdmin安装的应用始终是托管应用.
请注意,托管应用不能在SophosMobile仅管理Sophos容器的设备上通过企业应用商店安装.
设置和VPN单击显示配置应用启动时使用的VPN连接,或配置自定义应用设置.
VPP许可证单击显示将应用手动分配给用户或设备.
请参阅手动分配VPP应用(第286页).
应用包的设置设置说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到IPA文件,然后单击打开.
提示或者将文件从文件资源管理器拖动到上传文件区域.
版权所有SophosLimited277SophosMobile相关概念iPhone和iPad的托管应用(第282页)iPhone和iPad应用可以安装为托管应用或非托管应用.
相关任务添加应用(第271页)可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.
16.
6应用设置(macOS)一般设置设置说明姓名应用的名称.
对于应用包,SophosMobile将从PKG文件获取值.
对于AppleVPP应用,此字段为只读.
版本AppStore中的应用版本.
对于应用包,SophosMobile将从PKG文件获取值.
对于AppleVPP应用,此字段为只读.
应用ID该应用的内部标识符.
对于应用包,SophosMobile将从PKG文件获取值.
对于AppleVPP应用,此字段为只读.
应用程序类别类别名称,例如Productivity.
该值当前未使用.
描述应用的描述.
该值当前未使用.
VPP应用链接的设置设置说明链接该应用在AppStore中的URL.
对于AppleVPP应用,此字段为只读.
VPP许可证单击显示将应用手动分配给用户或设备.
请参阅手动分配VPP应用(第286页).
278版权所有SophosLimitedSophosMobile应用包的设置设置说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到PKG文件,然后单击打开.
注释PKG软件包文件可能包含多个应用.
在这种情况下,将只显示一个应用的名称、版本和标识符.
16.
7应用设置(WindowsMobile)设置说明姓名应用的名称.
版本应用版本.
SophosMobile使用来自Microsoft商店的版本.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为Microsoft商店中的实际应用描述.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
链接该应用在Microsoft应用商店中的URL.
为确定URL,请单击转到Microsoft商店,在新的浏览器选项卡中打开Microsoft商店,浏览并找到该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
相关任务添加应用(第271页)版权所有SophosLimited279SophosMobile可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.
16.
8应用设置(Windows)一般设置设置说明姓名应用的名称.
版本应用版本.
对于应用链接,SophosMobile使用来自MicrosoftStore的版本.
应用程序类别类别名称,例如Productivity.
描述应用的描述.
MSI链接的设置设置说明产品代码GUIDMSI文件的ProductCodeGUID.
注释如果您输入错误的GUID值,应用将不能卸载.
链接MSI文件的URL.
SHA-256文件哈希MSI文件的SHA-256哈希值.
注释如果您输入错误的哈希值,应用将不能安装.
安装选项可执行的msiexec.
exe安装程序的命令行选项.
使用默认选项/quit安装该应用不需要用户进行交互.
有关这些设置的详细信息,请参阅确定WindowsMSI链接的设置(第281页).
280版权所有SophosLimitedSophosMobileMicrosoft商店链接的设置设置说明商店ID应用在Microsoft商店中的商店ID.
当您单击获取数据时,该值将自动输入.
SKUID应用在Microsoft商店目录中的SKUID(库存单位ID).
应用可能因为完整版或试用版,或因为不同的市场区域而有不同的SKUID.
如果您不知道应用的SKUID,请使用默认值0010.
包系列名称应用的包系列名称(PFN).
当您单击获取数据时,该值将自动输入.
链接该应用在Microsoft应用商店中的URL.
为确定URL,请单击转到Microsoft商店,在新的浏览器选项卡中打开Microsoft商店,浏览并找到该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
当您输入URL后,单击获取数据可自动填充以下字段:产品ID包系列名称相关任务添加应用(第271页)可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.
16.
9确定WindowsMSI链接的设置本节介绍如何确定WindowsMSI链接的应用设置.
产品代码GUID—如果您已经安装了MicrosoftWindowsSDK,请使用包括的Orca程序获取MSI文件的ProductCode值.
要查看示例,请参阅网页使用Orca查找MSI文件GUID产品代码.
或使用PowerShell脚本.
此类脚本可以在Internet上找到,例如在网页如何通过PowerShell获取MSI文件信息上.
注释您输入产品代码GUID字段的值不得包含括号.
版权所有SophosLimited281SophosMobileSHA-256文件哈希—使用Get-FileHashPowerShell命令获取MSI文件的SHA-256哈希值:PS>Get-FileHash有关Get-FileHash命令的详细信息,请参阅Microsoft网页Get-FileHash.
安装选项—有关安装MSI文件可用的命令行选项的信息,请参阅Microsoft网页标准安装程序命令行选项.
相关参考应用设置(Windows)(第280页)16.
10iPhone和iPad的托管应用iPhone和iPad应用可以安装为托管应用或非托管应用.
您可以在显示设备页面上的已安装的应用选项卡中检查应用的管理状态.
托管应用和非托管应用之间的差别当用户通过企业应用商店安装应用时,将在SophosMobile中创建和处理安装任务.
如果是非托管应用,用户将被重定向到AppleAppStore.
您可以在SophosMobileAdmin中卸载托管应用.
不能对非托管应用执行此操作.
在受监控的iPhone和iPad上,托管应用的安装和卸载都是静默执行的,无需用户干预.
一些设备策略设置仅适用于托管应用.
当设备从SophosMobile取消注册时,托管应用将自动卸载.
非托管应用将保留,不会卸载.
安装托管应用您可以使用以下选项安装托管应用:在SophosMobileAdmin中安装该应用.
在应用设置中开启SophosMobile托管安装,让用户通过企业应用商店安装该应用.
对于您已经通过上传IPA程序包文件添加到SophosMobile的应用,或SophosMobile仅管理Sophos容器的设备,第二个选项将不可用.
将非托管应用更改为托管应用要将已安装应用的状态从"非托管"更改为"托管",请在应用设置中开启SophosMobile托管安装并创建安装任务.
这不会再次安装该应用,但会使其成为托管应用.
16.
11管理AppleVPP应用您可以使用Apple大量购买方案(VPP)购买iOS和macOS应用许可证.
然后您可以在您的组织中分发这些许可证.
订单完成后,您可以下载服务令牌(sToken).
其中包含所购买应用的许可证.
282版权所有SophosLimitedSophosMobile将VPP应用分配给用户或设备对于iOS,您可以选择将VPP应用分配给用户或设备.
对于macOS,您将VPP应用分配给设备:当您将iOSVPP应用分配给用户后,他们将可以把它安装到所有注册到SophosMobile并连接到其AppleID的iPhone和iPad上.
当您将iOSVPP应用分配给设备后,不需要将其与AppleID关联.
当您将macOSVPP应用分配给Mac设备后,所有登录该Mac设备的用户都可以使用它.
请参阅手动分配VPP应用(第286页)和自动分配VPP应用(第286页).
邀请用户加入AppleVPP您必须先邀请用户加入VPP,然后才能向他们分配VPP应用.
请参阅邀请用户加入AppleVPP(第284页).
不需要邀请设备加入VPP.
安装VPP应用您在SophosMobileAdmin中安装VPP应用,和安装其他应用一样.
请参阅安装应用(第272页).
用户可以从AppStore应用中的已购买应用列表中安装iOSVPP应用.
macOSVPP应用则不行.
取消VPP应用分配您可以通过以下方式取消VPP应用的分配:在应用的详细信息页面上取消选择所需的用户或设备.
iOS应用:在用户的详细信息页面上取消选择该应用.
macOS应用:将带有取消VPP应用分配任务的任务捆绑包传输到设备.
VPP许可证在以下情况下将自动释放:应用从设备上卸载.
设备从SophosMobile取消注册.
提示您取消VPP应用的分配后,用户可以继续使用30天.
16.
11.
1设置AppleVPP要设置AppleVPP,请将您的AppleVPP帐户的sToken(服务令牌)上传到SophosMobile,并配置应用分配设置.
1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AppleVPP选项卡.
2.
单击AppleiTunesVPP门户链接.
将在新的浏览器窗口中打开AppleVPPWeb门户.
版权所有SophosLimited283SophosMobile3.
在该页面上,选择业务.
4.
在企业商店登录对话框中,输入您的AppleID和密码.
5.
转到帐户摘要页面,并单击下载令牌.
将使用您的Web浏览器下载设置生成sToken,并以.
vpptoken为扩展名在您的本地计算机上保存为文本文件.
6.
可选:将sToken文件移动到一个您可以通过SophosMobileAdmin访问的位置.
7.
回到SophosMobileAdmin的AppleVPP选项卡,单击上传文件,选择sToken文件,然后单击打开.
SophosMobile将读入该文件,并用sToken的详细信息填充组织和到期日期字段.
8.
在在安装时自动分配VPP应用中,配置VPP应用的自动分配.
请参阅自动分配VPP应用(第286页).
9.
可选:选中自动更新分配给设备的iOSVPP应用,在VPP应用有更新时通知用户.
这适用于分配给iPhone或iPad的VPP应用.
对于分配给用户的VPP应用,用户必须在AppStore中检查是否有更新.
10.
可选:填写AppleVPP选项卡的其余字段.
在国家字段中,输入您的两字母国家代码,例如US代表美国.
11.
单击保存.
16.
11.
2邀请用户加入AppleVPP您可以邀请所有用户或特定用户加入AppleVPP:前提条件:您已将Apple批量购买计划(VPP)帐户的sToken上传到SophosMobile.
请参阅设置AppleVPP.
1.
在侧边的菜单栏中,单击管理下的人员.
2.
执行下列操作之一:要邀请所有用户,请单击邀请用户加入AppleVPP.
要邀请特定用户︰a)在人员页面上选择用户.
b)在显示用户页面上单击邀请用户加入AppleVPP.
要邀请特定用户,但该用户未在人员页面上列出:a)单击搜索并要求一个用户加入AppleVPP.
b)在搜索用户页面上,输入用户的姓名或电子邮件地址(或其中的一部分).
c)在选择用户页面上,将列出与您的搜索条件匹配的外部用户目录中的用户.
请选择您要邀请加入AppleVPP的用户.
d)单击应用.
SophosMobile将向所有相关用户发送邀请电子邮件.
用户必须通过邀请电子邮件中的链接,连接其AppleiTunes帐户和AppleVPP.
此后,他们就可以安装和使用贵公司授权的应用.
284版权所有SophosLimitedSophosMobile注释使用外部用户管理并邀请所有用户加入AppleVPP时,没有分配电子邮件地址的用户将进行AppleVPP注册,但不会收到用于连接其AppleiTunes帐户和AppleVPP的链接.
有关如何在这种情况下完成VPP注册过程的信息,请参阅邀请没有电子邮件地址的用户加入AppleVPP.
相关任务设置AppleVPP(第283页)邀请没有电子邮件地址的用户加入AppleVPP(第285页)16.
11.
3邀请没有电子邮件地址的用户加入AppleVPP此过程需要超级管理员帐户,因此不适用于SophosMobile即服务.
如邀请用户加入AppleVPP(第284页)中所述,邀请来自外部用户目录的用户加入AppleVPP时,没有分配电子邮件地址的用户将进行AppleVPP注册,但不会收到用于连接其AppleiTunes帐户和AppleVPP的链接.
如果发生这种情况,请执行以下步骤以完成AppleVPP注册过程.
1.
以SophosMobile超级管理员身份下载服务器日志文件.
请参阅SophosMobile超级管理员指南.
2.
通过日志文件确定受影响的用户帐户.
3.
在SophosMobileAdmin的侧边菜单栏中,单击管理下的人员.
4.
单击其中一个受影响的用户.
5.
在下一页面上,单击显示邀请链接.
对于没有电子邮件地址的外部用户,此功能不会发送邀请电子邮件,而是在消息框中显示邀请链接.
6.
从消息框中复制该链接,并将其发给用户.
7.
对所有受影响的用户重复此操作.
用户需要通过该链接,连接其AppleiTunes帐户和AppleVPP.
16.
11.
4管理AppleVPP用户如果您设置了AppleVPP,显示用户页面将包括Apple大量购买方案(VPP)部分.
您可以查看或编辑每个用户的AppleVPP状态.
查看AppleVPP用户状态.
—已注册:用户已受邀加入AppleVPP,但还未将其AppleiTunes帐户连接到AppleVPP.
—已关联:用户已将其AppleiTunes帐户连接到AppleVPP,并且可以安装VPP应用.
查看用户已经安装的AppleVPP应用.
邀请用户加入该方案.
将向用户发送带有邀请链接的电子邮件.
如果用户帐户不包含电子邮件地址,邀请链接将显示在消息框中.
如果需要,重新发送邀请电子邮件.
版权所有SophosLimited285SophosMobile从AppleVPP取消用户注册.
16.
11.
5手动分配VPP应用您可以将VPP应用分配给单个用户或设备.
提示您可以在应用安装后自动分配应用.
请参阅自动分配VPP应用(第286页).
1.
在侧边的菜单栏中,单击配置下的应用程序>iOS和iPadOS或应用程序>macOS.
2.
单击导入VPP应用.
将根据需要从AppleVPP服务器检索应用信息,并在SophosMobile中创建应用条目.
3.
单击要分配给用户或设备的VPP应用.
提示VPP应用在VPP列中以复选标记图标标记.
4.
单击VPP许可证旁边的显示.
5.
选择您要向其分配应用的用户或设备.
您可以从所有注册或关联到AppleVPP的用户中进行选择,也可以从所有状态为托管的设备中进行选择.
您只能将macOS应用分配给设备.
6.
或者通过选择设备组将应用分配给设备:a)单击可用于设备组旁边的显示.
b)选择设备组.
7.
默认情况下,iOSVPP应用是作为托管应用安装在用户设备上的.
要将应用安装为未托管,请清除SophosMobile托管安装复选框.
8.
单击保存.
这还将与AppleVPP服务器同步应用分配.
注释因为VPP应用的状态是由AppleVPP服务器管理的,您在SophosMobile中所做的修改可能需要一些时间才会显示在设备上.
16.
11.
6自动分配VPP应用您可以在安装VPP应用时自动对它们进行分配.
对于iOSVPP应用,您可以决定是将它们分配给设备,还是分配给已经分配到设备的用户.
1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AppleVPP选项卡.
2.
在在安装时自动分配VPP应用中,选择下列其中一个选项:设备分配优先:iOSVPP应用分配给设备.
如果设备不支持VPP分配,则将应用分配给设备用户.
用户分配优先:iOSVPP应用分配给设备用户.
如果没有设备用户,则分配给设备.
禁用:您必须手动分配VPP应用.
286版权所有SophosLimitedSophosMobile注释您不能将macOSVPP应用分配给用户.
设备分配优先和用户分配优先都将开启自动分配.
16.
11.
7同步VPP许可证信息由于性能原因,SophosMobile会保留一份VPP许可证信息的本地副本.
您可以触发SophosMobile,将其VPP数据与AppleVPP服务器同步.
注释如果一个应用显示的许可证信息不正确,您只需要同步VPP数据.
1.
在侧边的菜单栏中,单击设置下,单击设置>Apple设置然后单击AppleVPP选项卡.
2.
单击清除VPP缓存.
SophosMobile将放弃该客户的本地VPP信息,并与AppleVPP服务器同步数据.
注释有关如何显示VPP应用许可证信息的信息,请参阅手动分配VPP应用(第286页).
16.
12将VPN连接分配给iPhone或iPad应用将VPN连接分配给iPhone或iPad应用后,应用将使用该连接进行所有网络通信.
前提条件:您已经使用每个应用VPN配置创建一个或多个设备策略.
请参阅每个应用VPN配置(iOS设备策略)(第181页).
要将VPN连接分配给应用:1.
在侧边的菜单栏中,单击配置下的应用程序>iOS和iPadOS.
2.
在应用程序页面上,单击所需的应用.
3.
单击设置和VPN旁边的显示.
4.
在该应用使用的VPN连接中,选择VPN连接.
列表包含所有设备策略的每个应用VPN配置.
5.
在编辑设置和VPN页面上,单击应用.
6.
单击保存.
16.
13添加托管应用配置托管应用配置是iPhone和iPad应用的一项功能,它让您可以远程配置应用,而不需要对安装该应用的设备进行物理访问.
要求:应用开发人员已经应用了托管应用配置.
应用已经作为托管应用进行安装.
请参阅iPhone和iPad的托管应用(第282页).
要添加托管应用配置:版权所有SophosLimited287SophosMobile1.
在侧边的菜单栏中,单击配置下的应用程序>iOS和iPadOS.
2.
在应用程序页面上,单击所需的应用.
3.
单击设置和VPN旁边的显示.
4.
在托管的配置下,单击添加参数.
5.
输入所需的信息.
6.
在编辑设置和VPN页面上,单击应用.
7.
单击保存.
16.
14Windows应用对于Windows计算机,SophosMobile将在显示设备页面上列出以下应用:类型描述Microsoft商店从MicrosoftStore或MicrosoftStoreforBusinessandEducation安装的通用Windows平台(UWP)应用.
非商店从MicrosoftStore以外来源安装的UWP应用.
系统作为Windows操作系统一部分的UWP应用.
Win32Win32应用(从MSI文件安装的应用).
288版权所有SophosLimitedSophosMobile17应用组您可以在SophosMobile中创建应用组,为策略定义应用列表.
对于ChromeOS,应用组可以包含应用和扩展程序.
17.
1创建应用组1.
在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台.
2.
单击创建应用组.
3.
在编辑应用组页面上,为新应用组输入名称,然后单击添加应用.
4.
选择要添加到组中的应用:要从托管设备上当前安装的所有应用列表中选择应用,请单击应用列表并选择应用.
要手动添加应用,请单击自定义并配置应用详细信息.
Android应用的设置:应用名称用于识别应用的唯一名称.
标识符应用的程序包名称.
您可以通过应用在GooglePlay中的URL获取程序包名称.
例如,SophosMobileControl应用的URL是play.
google.
com/store/apps/detailsid=com.
sophos.
mobilecontrol.
client.
android,程序包名称是com.
sophos.
mobilecontrol.
client.
android.
对于来自托管的GooglePlay的应用(针对AndroidEnterprise设备的应用),请在程序包名称前加app:.
链接应用在GooglePlay中的URL.
iOS和macOS应用的设置:应用名称用于识别应用的唯一名称.
标识符应用的捆绑ID.
链接该应用在AppStore中的URL.
WindowsMobile应用的设置:应用名称用于识别应用的唯一名称.
标识符应用的GUID.
如果您不知道GUID,请填写链接字段.
版权所有SophosLimited289SophosMobile链接该应用在Microsoft应用商店中的URL.
例如,SophosMobileControl应用的URL是https://www.
microsoft.
com/en-us/store/p/mobile-control-2017/9nblggh51qsj.
Windows应用的设置:应用名称用于识别应用的唯一名称.
标识符Windows报告的应用ID.
对于MSI应用,它是MSI文件的ProductCodeGUID.
对于Microsoft商店应用,它是应用的包系列名称(PFN).
链接该应用在Microsoft应用商店中的URL.
ChromeOS应用和扩展程序的设置:应用名称用于标识应用或扩展程序的唯一名称.
标识符应用或扩展程序的程序包名称.
您可以通过Chrome网上应用店中的URL获取程序包名称.
例如,SophosChromeSecurity的URL是chrome.
google.
com/webstore/detail/sophos-chrome-security/lkffbjbdklhachngaoeelmcgijmlicph,程序包名称是lkffbjbdklhachngaoeelmcgijmlicph.
5.
单击添加.
6.
可选:重复前面的步骤以添加更多的应用.
7.
单击保存保存应用组.
17.
2导入应用组您可以通过从CSV文件导入应用列表来创建应用组.
您可以导入最多10,000个应用.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入应用页面上,单击CSV示例下载示例文件.
要从CSV文件导入应用,并将它们添加到应用组:290版权所有SophosLimitedSophosMobile1.
在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台.
2.
在应用组页面上,单击创建应用组.
3.
在编辑应用组页面上,为新应用组输入名称,然后单击导入应用.
4.
在导入应用页面上,单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
5.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
6.
单击完成将应用添加到应用组.
7.
在编辑应用组页面上,单击保存.
版权所有SophosLimited291SophosMobile18企业文档注释此功能需要MobileAdvanced类型的许可证.
在SophosMobile中,您可以将要分发的文件上传到您用户的设备中.
在SophosMobile中管理的文档将自动添加到SophosSecureWorkspace的公司文档存储提供程序中.
您可以从公司文档存储提供程序为每个文档分配一个类别.
公司文档存储提供程序中的文档为只读.
如果SophosSecureWorkspace没有通过SophosMobile进行管理,公司文档存储提供程序将不可用.
要分发公司文档:1.
在设备上安装SophosSecureWorkspace应用.
请参阅应用程序(第271页).
2.
使用公司文档配置分配Sophos容器策略.
3.
上传文档至SophosMobile.
18.
1添加公司文档注释此功能需要MobileAdvanced类型的许可证.
要向设备分发文档:1.
在侧边的菜单栏中,单击配置下的文档.
将显示文档页面.
2.
单击添加文档.
将显示编辑文档页面.
3.
在类别字段中,输入文档在设备上的公司文档存储提供程序中显示的类别.
如果您将此字段保留为空,文件将显示在公司文档存储提供程序的根文件夹中.
4.
定义文档的设置:选择复制到剪贴板,让用户可以将文档复制到剪贴板.
选择共享文档,让用户可以共享文档.
选择离线使用文档,允许用户将文档添加到收藏夹列表.
当公司文档中未加密的文档被添加到收藏夹列表中时,本地副本被加密存储.
如果允许共享文档,文件将在转发到其他应用前自动解密.
如果清除离线使用文档复选框,则在下次同步期间将自动删除本地副本.
5.
单击分配的组旁边的显示,并选中应有权访问该文档的组.
6.
为文档添加描述.
7.
单击上传文件,浏览并找到该文档.
将其选中,并单击打开.
8.
对要分发的每个文档,重复此步骤.
292版权所有SophosLimitedSophosMobile文档将添加到文档列表中.
它将分发给用户,用户可以在SophosSecureWorkspace应用中查看.
版权所有SophosLimited293SophosMobile19AndroidEnterpriseAndroidEnterprise简化了企业环境下Android设备的管理.
限制Android5.
1.
1或之前的版本不支持AndroidEnterprise.
注册到SophosMobile的AndroidEnterprise设备可以采用以下管理模式:全设备在AndroidEnterprise完全托管设备上,SophosMobile可以监控和管理所有设置、应用和数据.
AndroidEnterprise完全设备管理在以下方面与Android设备管理员权限不同:用户能体验到注册简单.
用户无需在设备上设置个人Google帐户.
默认情况下,AndroidEnterprise用户只能访问您在托管的GooglePlay中批准的应用.
通过GooglePlay配置,您可以给用户提供访问GooglePlay提供的所有应用的权限.
默认情况下,只会启用最少量的应用:GooglePlayStore、Contacts、Messages、Phone.
您可以安装、卸载或更新应用,无需用户交互.
您可以配置应用权限,以免在运行时提示用户授予权限.
对于支持它的应用,您可以配置自定义应用设置.
您可以重置锁屏密码.
您可以配置展台模式,将应用使用情况限制为一组应用,而不仅仅是一个应用.
您只能注册尚未设置的设备或已经重置为出厂设置的设备.
没有专用的取消注册操作.
要取消设备注册,请将其擦除.
工作配置文件在AndroidEnterprise工作配置文件设备上,SophosMobile只能监控和管理工作配置文件中的设置、应用和数据.
工作配置文件管理适合BYOD(自带设备办公)方案.
专用设备AndroidEnterprise专用设备(以前称为COSU(企业所有的一次性)设备)锁定为单个应用或一组应用.
这用于特殊用途的设备,例如展台应用.
要设置专用设备,请将展台模式配置分配给完全托管设备.
相关参考展台模式配置(AndroidEnterprise设备策略)(第111页)294版权所有SophosLimitedSophosMobile通过展台模式配置,您可以开启AndroidEnterprise专用设备管理.
相关信息AndroidEnterprise帮助(外部链接)如何配置SophosMobile以便在"公司所有的一次性使用"模式下设置设备(Sophos知识库文章133409)19.
1设置Android企业-概述要为您的组织设置Android企业,您可以选择以下两种不同方案中的一种:托管的GooglePlay帐户方案这是为您的组织设置Android企业最容易的方法.
SophosMobile将引导您完成为组织设置Android企业帐户的过程.
如果需要,您可以为组织创建多个Android企业帐户.
SophosMobile管理整个用户账户生命周期.
设备可以在SophosMobileSelfServicePortal或SophosMobileAdmin中注册.
托管的Google域方案如果您已经有托管的Google域,或想在SophosMobile以外管理您的Android企业用户帐户,可以使用此方法.
您使用Google注册托管Google域并证明域的所有权.
您将SophosMobile作为第三方EMM(企业移动性管理)软件绑定到托管的Google域.
SophosMobile根据需要创建用户账户.
除此之外,SophosMobile不管理账户生命周期.
设备只能在SophosMobileSelfServicePortal中注册,不能在SophosMobileAdmin中注册.
注释设置Android企业后,不能修改用户管理模式.
例如,您不能从内部用户管理切换为外部LDAP目录.
提示设置Android企业后,可以在设置>Android设置>Android企业>Android企业模式下检查活动的方案.
19.
2设置Android企业(托管的GooglePlay帐户方案)SophosMobile将引导您完成为组织设置Android企业的过程.
1.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android企业选项卡.
2.
选择配置.
版权所有SophosLimited295SophosMobile3.
选择"托管的GooglePlay帐户"方案,然后选择下一步.
4.
选择注册帐户.
这会将您重定向至您将组织注册到Android企业的Google网站.
5.
使用您的Google帐户登录Google网站.
注释为此,我们建议您创建一个新的Google帐户.
6.
在Google网站上,按照步骤注册您的组织.
提示在指定您的组织名称时,我们建议您包含SophosMobile和您的SophosMobile客户名称.
例如:Organizationname(SophosMobile/Customername)完成注册步骤后,Google网站会将您重定向回SophosMobile.
7.
在SophosMobile中,选择完成设置完成注册过程.
这样就完成了为您的组织设置Android企业的过程.
注释在您设置Android企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部LDAP目录.
19.
3设置AndroidEnterprise(托管的Google域方案)如果您已经有托管的Google域或要在SophosMobile之外管理AndroidEnterprise用户的帐户,请使用托管的Google域方案设置AndroidEnterprise.
注释在您设置Android企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部LDAP目录.
要使用托管的Google域方案设置AndroidEnterprise,请执行以下操作.
通过Google注册域注释如果您已经有托管的Google域,比如因为注册了GSuite(之前的Google应用),则可跳过这一步.
296版权所有SophosLimitedSophosMobile注释如果您要在SophosMobile中为多个客户配置AndroidEnterprise,每个客户都需要一个单独的域.
1.
打开Google的注册AndroidEnterprise网页.
您可以在相关信息中找到该链接.
2.
输入所需的信息.
在贵公司的域名是什么下,输入将用作托管的Google域的域.
例如,您可以使用您的SophosMobile服务器的域.
在您将如何登录下,输入新的域管理员的凭据.
注释记录该凭据,因为在后面的设置过程中您将需要用到它.
3.
单击按钮创建域管理员帐户.
这会打开Google管理控制台.
4.
在Google管理控制台中,启动验证您的域所有权的程序.
按Google提供的说明,验证您的域.
验证您的域所有权后,您将会收到一个用于通过您的第三方EMM提供程序(即SophosMobile)连接您的托管Google域的令牌.
相关信息注册AndroidEnterprise(Google网页)创建Google服务帐户Google服务帐户是一种针对应用程序的特殊类型的Google帐户.
此帐户由SophosMobile用于与GoogleAPI通信.
创建项目:1.
使用您的域管理员帐户登录GoogleAPI控制台.
您可以在相关信息中找到该链接.
2.
在GoogleAPI控制台的标题栏中,单击选择项目>新建项目.
如果已经选择项目,请单击其名称,然后单击新建项目.
3.
在新建项目对话框中,输入项目名称,如AndroidEnterprise,然后单击创建.
4.
可选:如果标题栏显示其他项目,请单击其名称,然后选择新项目.
启用AdminSDKAPI:5.
单击左上角的导航菜单按钮,然后单击API和服务>库.
6.
在欢迎使用API库页面上,在搜索字段中输入字符串adminsdk.
7.
在搜索结果列表中,单击AdminSDK.
8.
在AdminSDK页面上,单击启用.
启用GooglePlayEMMAPI:9.
在欢迎使用API库页面上,在搜索字段中输入字符串emm.
10.
在搜索结果列表中,单击GooglePlayEMMAPI.
11.
在GooglePlayEMMAPI页面上,单击启用.
版权所有SophosLimited297SophosMobile创建服务帐户:12.
在GooglePlayEMMAPI页面上,单击创建认证资料.
13.
在将凭据添加到您的项目页面的第一步中,单击服务帐户链接.
14.
在服务帐户页面上,单击创建服务帐户.
15.
在服务帐户名称中,输入可用于识别服务帐户的名称,如AndroidEnterprise.
16.
单击创建.
17.
在服务帐户权限页面上,单击继续.
18.
在授予用户访问此服务帐户的权限页面上,单击创建密钥.
19.
选择JSON,然后单击创建.
将生成您的服务帐户的私钥,并以JSON文件的形式保存到您的计算机上.
请将JSON文件存储在安全的位置.
您需要它以将SophosMobile绑定到您的托管Google域.
20.
单击完成.
21.
在服务帐户页面上,单击您创建的服务帐户的电子邮件地址.
22.
在服务帐户详细信息页面上,单击编辑.
23.
展开显示域范围委派部分,然后选择启用GSuite域范围委派.
24.
在同意屏幕的产品名称中,输入(例如)SophosMobile.
25.
单击保存.
配置API访问权限:26.
使用您的域管理员帐户登录Google管理控制台.
您可以在相关信息中找到该链接.
27.
单击安全性>高级设置.
您可能需要单击显示更多,才能显示高级设置.
28.
单击管理API客户端访问权限.
29.
在文本编辑器中打开JSON文件,并将client_id值复制到客户端名称字段.
例如,如果您的JSON文件包含一行"client_id":"123456789",则在客户端名称字段中输入123456789.
30.
在一个或多个API作用域中,输入以下内容(不带换行符):https://www.
googleapis.
com/auth/admin.
directory.
user,https://www.
googleapis.
com/auth/androidenterprise31.
单击授权.
相关信息GoogleAPI控制台Google管理控制台将SophosMobile绑定到托管的Google域.
1.
登录SophosMobileAdmin.
2.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android企业选项卡.
3.
单击配置.
4.
选择"托管的Google域"方案然后单击下一步.
5.
配置以下设置:298版权所有SophosLimitedSophosMobile选项说明企业域已通过Google验证的您的托管Google域.
域管理员您的域管理员帐户的名称.
这是您通过Google注册您的域时创建的管理员.
EMM令牌您验证域所有权后,从Google收到的令牌.
当您使用您的域管理员帐户登录Google管理控制台并转到安全>管理Android的EMM提供程序时,可以查看该令牌.
6.
单击上传文件,并选择您创建服务帐户时从Google下载的JSON文件.
您选择的JSON文件必须拥有扩展名.
json.
7.
单击绑定.
SophosMobile将联系GoogleWeb服务,并将其本身作为EMM提供程序绑定到您的托管Google域.
配置GoogleEMM设置1.
使用您的域管理员帐户登录Google管理控制台.
您可以在相关信息中找到该链接.
2.
单击安全,然后单击管理Android设备的EMM提供商.
您可能需要单击显示更多,才能显示管理Android设备的EMM提供商.
3.
在一般设置下,选中强制在Android设备上执行EMM策略.
相关信息Google管理控制台19.
4配置Android企业设备注册前提条件:您已经为客户配置了Android企业.
完成以下步骤,对Android企业设备注册进行配置.
1.
为您要使用的每个Android企业设备类型创建策略.
对于Android企业完全托管设备,创建Android企业设备策略类型的策略.
对于Android企业工作配置文件设备,创建Android企业工作配置文件策略类型的策略.
2.
为您要使用的每个Android企业设备类型创建任务捆绑包.
对于之前您已经创建的策略,该任务捆绑包至少必须包含注册任务和分配策略任务.
3.
在自助服务门户组设置中,选择您创建作为初始包的任务捆绑包.
对于公司设备和个人设备,您可以配置不同的包.
例如,对公司设备使用完全设备管理,对个人设备使用工作配置文件管理.
4.
在托管的GooglePlay中批准SophosMobileControl应用.
否则,该应用将不会自动更新.
您配置设备注册后,SophosMobileSelfServicePortal用户即可将其Android设备注册到SophosMobile.
版权所有SophosLimited299SophosMobile如果您已经针对托管的GooglePlay帐户方案设置了Android企业,也可以使用添加设备向导注册设备.
对于托管的GooglePlay帐户方案,用户只能同时注册10台设备.
此限制是由Google设置的,以后可能会修改.
相关任务创建策略(第95页)您可以创建策略以配置设备的设置.
如果要管理不同类型的设备,请创建多个策略.
创建任务捆绑包(第261页)您可以为要管理的Android、iOS和其他设备平台创建单独的任务捆绑包.
创建自助服务门户配置(第25页)通过自助服务门户配置,您可以配置用户可以注册的设备类型、注册详细信息以及他们可以在自助服务门户中执行的设备操作.
批准托管的GooglePlay应用(第304页)要使应用对您的用户可用,您必须批准它.
注册Android企业设备(第42页)对于Android企业,设备通常在SophosMobileSelfServicePortal中注册.
19.
5管理Android企业用户(托管的Google域方案)注释本主题将介绍Google用户帐户的管理(如果您已使用托管的Google域方案设置了Android企业).
对于托管GooglePlay帐户方案,SophosMobile透明地管理您的用户的Google帐户.
要注册Android企业设备,用户必须拥有托管的Google帐户.
该帐户将连接到您注册到Google的域.
帐户名称的构成和电子邮件地址一样,如user@your_managed_Google_domain.
当用户在SophosMobileSelfServicePortal中注册设备时,SophosMobile检查该用户的托管Google帐户是否已经存在于Google服务器上.
为此,SophosMobile中用户电子邮件地址的左边部分将和您的托管Google域组合在一起.
如果没有该名称的帐户,SophosMobile将创建该帐户.
示例:如果SophosMobile中的用户电子邮件地址为user@your_company.
com,您的托管Google域为your_managed_Google_domain,SophosMobile将检查Google服务器上是否有帐户user@your_managed_Google_domain.
除了在注册期间为用户创建托管Google帐户之外,SophosMobile不管理帐户生命周期.
如果您在SophosMobile中删除用户帐户,用户的托管Google账户将保留.
您可以通过Google管理控制台管理您的托管Google域账户.
如果需要,您可以使用GoogleAppsDirectorySync(GADS)从LDAP目录创建帐户.
相关信息Google管理控制台(外部链接)关于GoogleAppsDirectorySync(外部链接)300版权所有SophosLimitedSophosMobile19.
6锁定工作配置文件您可以在SophosMobileAdmin中锁定或解锁工作配置文件.
工作配置文件锁定后,工作配置文件中的所有应用都将不可用,且不显示这些应用的任何通知.
限制这些说明不适用于AndroidEnterprise完全托管设备.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要为其锁定或解锁工作配置文件的设备旁边的蓝色三角形,然后单击显示.
3.
单击操作>设置容器访问权限.
4.
选择访问权限.
拒绝:将锁定工作配置文件.
用户不能再访问工作配置文件中的应用或数据.
允许:将解锁工作配置文件.
自动模式:如果设备违反包含有锁定容器操作的合规性规则,将锁定工作配置文件.
如果您没有设置访问权限,这将是默认行为.
5.
单击是.
设备与SophosMobile服务器同步.
完成后,该设置将应用到设备.
提示要锁定整个设备,而不是仅锁定工作配置文件,请使用操作>锁定.
提示用户可以在其设备上的快速设置面板中锁定工作配置文件,例如在他们休假时.
19.
7从设备删除工作配置文件限制这些说明不适用于AndroidEnterprise完全托管设备.
您可以删除SophosMobileAdmin中的工作配置文件,以便在丢失或被盗时从设备删除公司数据.
如果您从设备删除工作配置文件,工作配置文件中安装的所有应用(包括SophosMobileControl应用)也将会删除.
在SophosMobileAdmin控制台中,设备的状态将显示为未注册.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要从其中删除工作配置文件的设备旁边的蓝色三角形,然后单击显示.
3.
单击操作>擦除Android工作配置文件.
将创建删除工作配置文件的任务,并将其传递到设备.
注释如果用户已经手动删除了工作配置文件,任务将失败,因为设备不能再接收它.
要重新创建工作配置文件,用户必须在SophosMobileSelfServicePortal中重复进行注册.
版权所有SophosLimited301SophosMobile19.
8用户启动的工作配置文件删除用户可能会有意或无意地从他们的设备上删除工作配置文件.
SophosMobile无法检测这种删除.
它会继续将设备管理状态显示为工作配置文件.
用户删除工作配置文件后,设备将不能与SophosMobile服务器同步.
提示您可以使用最近7天未同步的设备报告来确定可能受到影响的设备.
如果工作配置文件被意外删除,可以重新注册,如下所述:1.
您从SophosMobile中删除设备.
2.
用户在SophosMobileSelfServicePortal中重复进行设备注册.
19.
9Android恢复出厂设置保护恢复出厂设置保护(FRP)是一项Android安全功能,可以防止在恢复出厂设置后的未经授权访问.
限制这些说明仅适用于AndroidEnterprise完全托管设备.
在设备上设置Google帐户时,如果要在设备恢复出厂设置后解锁设备,必须提供帐户凭据.
默认情况下,Android企业完全托管设备不受FRP保护,因为设备上没有设置Google帐户.
要对这些设备使用FRP,请为所有设备配置一个或多个要分配的Google帐户.
在开启FRP的情况下重置设备时,只能通过这些帐户中的其中一个进行解锁.
配置FRP后,设备将受到如下保护:本地重置:当设备在设置应用中或通过使用设备硬件按钮重置后,默认情况下FRP将开启.
要修改单个设备的此设置,请使用设置恢复出厂设置保护设备操作.
远程设置:在SophosMobileAdmin中远程重置设备后,默认情况下FRP将关闭.
要在FRP开启的情况下执行远程重置,请在擦除确认对话框中选择开启恢复出厂设置保护.
19.
9.
1配置Android恢复出厂设置保护限制这些说明仅适用于AndroidEnterprise完全托管设备.
恢复出厂设置保护(FRP)是Android的一项安全功能,它可以确保设备只能在Google帐户凭据已知时恢复出厂设置.
您可以配置Google帐户,以解锁在FRP开启的情况下重置的任何Android企业完全托管设备.
准备您的Google帐户:1.
创建一个或多个要用于FRP的Google帐户,或使用现有帐户.
302版权所有SophosLimitedSophosMobile警告确保将您的帐户凭据共享给您的组织.
解锁开启FRP且已恢复出厂设置的设备时需要这些信息.
2.
获取您的帐户的内部GoogleID.
a)请转到https://accounts.
google.
com/Login.
b)使用您要用于FRP的Google帐户登录.
如果您已经使用其他帐户登录,请先退出.
c)请转到https://developers.
google.
com/people/api/rest/v1/people/get.
d)在TrythisAPI部分,输入people/me到resourceName字段和names到personFields字段.
e)选择Execute.
将调用GoogleAPI.
在响应中,内部GoogleID是类似如下的一行21位数字:"resourceName":"people/123456789012345678901"在SophosMobileAdmin中配置您的Google帐户:3.
在侧边的菜单栏中,选择设置下的设置>Android设置,然后选择Android企业选项卡.
4.
在恢复出厂设置保护下,选择使用FRP.
5.
在Google+ID中,输入要用于FRP的帐户的GoogleID.
6.
选择保存.
将对所有Android企业完全托管设备开启FRP.
这发生在下一次设备与SophosMobile服务器同步时.
警告如果您在SophosMobileAdmin中输入的内部GoogleID无效,或您忘记了Google帐户的凭据,当您在开启FRP的情况下将设备恢复为出厂设置后,设备将不可用.
19.
10托管的GooglePlay应用托管的GooglePlay是针对Android企业设备的应用商店.
用户可以从托管的GooglePlay安装以下类型的应用:您已经为您的组织批准的公共应用您已经创建的网站快捷方式(Web应用)私有应用默认情况下,AndroidEnterprise用户只能访问您在托管的GooglePlay中批准的应用.
通过GooglePlay配置,您可以给用户提供访问GooglePlay提供的所有应用的权限.
相关任务批准托管的GooglePlay应用(第304页)要使应用对您的用户可用,您必须批准它.
添加Web应用(第307页)您可以将网站快捷方式作为Web应用添加到托管的GooglePlay.
添加私有应用(第307页)版权所有SophosLimited303SophosMobile您可以将私有应用添加到托管的GooglePlay.
相关参考GooglePlay(AndroidEnterprise设备策略)(第110页)GooglePlay配置让您可以在AndroidEnterprise完全托管设备上管理GooglePlayStore应用.
GooglePlay(AndroidEnterprise工作配置文件策略)(第123页)GooglePlay配置让您可以在工作配置文件中管理GooglePlayStore应用.
19.
10.
1批准托管的GooglePlay应用要使应用对您的用户可用,您必须批准它.
要批准应用:1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,选择打开托管的GooglePlay.
3.
在托管的GooglePlay窗口中,找到该应用并选择批准.
4.
如果应用需要权限,请代表您的组织接受这些权限.
5.
关闭托管的GooglePlay窗口.
6.
选择从Google检索应用列表同步您在托管的GooglePlay中所做的修改.
7.
等待几秒钟,然后重新打开该页面.
同步完成后,应用将显示在列表中.
8.
选择应用.
9.
根据要求配置应用设置.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
10.
单击保存.
11.
选择向Google发送应用设置使修改对用户可用.
数据同步到Google服务器后,可以通过托管的GooglePlayStore应用使用该应用.
有关以下任务的信息,请访问托管的GooglePlay网站:接受应用更新所需的其他权限.
为付费应用购买许可证.
相关参考针对托管的GooglePlay应用的设置(第305页)这部分列出您为您的组织批准的托管GooglePlay应用的设置.
相关信息托管的GooglePlay网站(外部链接)托管的GooglePlay帮助(外部链接)19.
10.
2取消审批托管的GooglePlay应用前提条件:您已经从所有Android任务捆绑包中删除该应用.
1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,单击要取消审批的应用旁边的蓝色三角形,然后单击显示.
3.
单击取消批准.
304版权所有SophosLimitedSophosMobile提示您还可以对托管的GooglePlay中的应用取消审批.
19.
10.
3编辑托管的GooglePlay应用您可以编辑应用的位置并对其进行配置.
您可以设置应用在托管的GooglePlay中的页面和类别.
某些应用允许您配置更多设置.
前提条件:您已经在托管的GooglePlay中批准了该应用.
要编辑应用:1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,选择要编辑的应用.
3.
根据要求配置应用设置.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
4.
单击保存.
5.
选择向Google发送应用设置使修改对用户可用.
相关概念托管GooglePlay的布局(第309页)相关任务批准托管的GooglePlay应用(第304页)要使应用对您的用户可用,您必须批准它.
相关参考针对托管的GooglePlay应用的设置(第305页)这部分列出您为您的组织批准的托管GooglePlay应用的设置.
19.
10.
4针对托管的GooglePlay应用的设置这部分列出您为您的组织批准的托管GooglePlay应用的设置.
设置说明标题托管GooglePlay中显示的外部应用名称.
产品ID内部应用名称.
定价定价类型:免费在应用内购买免费已付版权所有SophosLimited305SophosMobile设置说明分发类型公共(Google托管):该应用可供托管GooglePlay中的一般公众使用.
专用(Google托管):该应用由您开发,并且只有您的托管Google域中的用户可以使用.
APK文件已上传到托管GooglePlay.
专用(自托管):和专用(Google托管)类似,但该APK文件是从您的本地服务器安装.
托管GooglePlay仅用于管理分发.
托管的GooglePlayURL,GooglePlayURL应用在托管GooglePlay和GooglePlay中的Web地址.
单击该链接可在新的浏览器窗口中打开该页面.
页在用户的GooglePlayStore应用中,在其中显示该应用的页面.
这些值是由SophosMobile预配置的,且不能修改.
应用程序类别在用户的GooglePlayforWork商店中,在其中显示该应用的类别的名称.
当您开始键入时,将显示一系列匹配的类别.
如果您输入一个没有的类别,将会创建该类别.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
许可证单击许可证旁边的显示可查看或编辑应用已使用和剩余的许可证数量以及已分配许可证的用户.
此设置仅适用于付费应用.
使用托管的配置选中此选项可使您的用户可以使用该托管配置.
这将在您下次向Google发送应用设置时生效.
托管的配置选择托管的配置可查看或编辑特定于应用的设置.
有关可用设置的信息,请参阅该应用的开发人员提供的文档.
此设置仅在应用提供托管配置时才可用.
提示您可以使用由实际用户名和电子邮件地址替换的占位符%_USERNAME_%和%_EMAILADDRESS_%.
306版权所有SophosLimitedSophosMobile19.
10.
5添加Web应用您可以将网站快捷方式作为Web应用添加到托管的GooglePlay.
Web应用是您使用起始URL、图标和标题创建的Android应用.
当用户打开Web应用时,起始URL将在Chrome中打开.
然后,用户可以导航到其他URL.
您可以配置Chrome地址栏和设备的导航按钮是否可见.
注释如果您将GooglePlay配置分配给设备以使用户可以访问GooglePlay提供的所有应用,他们将无法安装Web应用.
您仍然可以通过SophosMobile安装Web应用.
要添加Web应用:1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,选择打开托管的GooglePlay.
3.
在托管的GooglePlay窗口中,从边栏中选择Web应用.
4.
选择加号图标,然后配置应用设置.
5.
选择创建.
可能需要10分钟,该应用才能在托管的GooglePlay中可用.
6.
关闭托管的GooglePlay窗口.
7.
选择从Google检索应用列表同步您在托管的GooglePlay中所做的修改.
8.
等待几秒钟,然后重新打开该页面.
同步完成后,应用将显示在列表中.
9.
选择应用.
10.
在编辑批准的应用页面上,配置该应用在用户的GooglePlayStore应用中的页面和位置.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
11.
单击保存.
12.
选择向Google发送应用设置使修改对用户可用.
相关参考GooglePlay(AndroidEnterprise设备策略)(第110页)GooglePlay配置让您可以在AndroidEnterprise完全托管设备上管理GooglePlayStore应用.
GooglePlay(AndroidEnterprise工作配置文件策略)(第123页)GooglePlay配置让您可以在工作配置文件中管理GooglePlayStore应用.
19.
10.
6添加私有应用您可以将私有应用添加到托管的GooglePlay.
私有应用是您的组织开发的Android应用.
当您将私有应用添加到托管的GooglePlay时,只有您组织内的用户可以使用它.
警告当您添加私有应用时,您不能将其添加到其他GooglePlay帐户.
您也不能将其作为公共应用发布,即使您以后删除了该私有应用.
版权所有SophosLimited307SophosMobile注释如果您将GooglePlay配置分配给设备以使用户可以访问GooglePlay提供的所有应用,他们将无法安装私有应用.
您仍然可以通过SophosMobile安装私有应用.
要添加私有应用:1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,选择打开托管的GooglePlay.
3.
在托管的GooglePlay窗口中,从边栏中选择私有应用.
4.
选择加号图标,然后配置应用设置.
5.
选择创建.
可能需要10分钟,该应用才能在托管的GooglePlay中可用.
6.
关闭托管的GooglePlay窗口.
7.
选择从Google检索应用列表同步您在托管的GooglePlay中所做的修改.
8.
等待几秒钟,然后重新打开该页面.
同步完成后,应用将显示在列表中.
9.
选择应用.
10.
在编辑批准的应用页面上,配置该应用在用户的GooglePlayStore应用中的页面和位置.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
11.
单击保存.
12.
选择向Google发送应用设置使修改对用户可用.
要了解更多有关私有应用的信息,请参阅Google帮助.
相关信息托管的GooglePlay帮助发布和管理私有应用19.
10.
7安装托管的GooglePlay应用当您批准托管的GooglePlay应用并向您的用户分配应用许可证后,您可以将该应用安装到所选的设备或设备组.
注释用户可以通过托管的GooglePlayStore应用安装批准的应用.
1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,单击所需应用旁边的蓝色三角形,然后单击安装.
3.
选择要安装该应用的设备.
执行下列操作之一:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
4.
在设置执行日期页面上,设置安装该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
5.
单击完成.
308版权所有SophosLimitedSophosMobile安装任务将发送到Google服务.
然后,Google将管理在设备上安装该应用.
在任务视图页面上,任务的状态将在其发送到Google后显示为成功.
19.
10.
8卸载托管的GooglePlay应用您可以从选定的设备或设备组卸载托管的GooglePlay应用.
1.
在侧边的菜单栏中,选择配置下的应用程序>Android.
2.
在应用-AndroidEnterprise页面上,单击卸载.
3.
选择要卸载应用的设备.
执行下列操作之一:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
4.
在选择应用页面上,选择所需的应用.
5.
在设置执行日期页面上,设置卸载该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
6.
单击完成.
将向Google服务发送一个卸载应用的任务.
然后,Google将管理从设备上卸载该应用.
在任务视图页面上,任务的状态将在其发送到Google后显示为成功.
提示另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项卡,然后单击应用名称旁边的垃圾桶图标.
19.
10.
9针对托管的GooglePlay应用的许可证对于您在托管的GooglePlay中批准的付费应用,必须向用户分配应用许可证,以使用户可以使用该应用.
您可以在编辑批准的应用页面上配置许可证分配.
请参阅编辑托管的GooglePlay应用(第305页).
注释您不需要为管理员启动的应用安装分配许可证.
当您如安装托管的GooglePlay应用(第308页)中所述安装应用时,将会从您的已购许可证池中向相关用户自动分配许可证.
您不需要为您在托管的GooglePlay中批准的免费应用分配许可证.
当您将应用列表从Google同步到SophosMobile后,所有用户都自动可以使用免费应用.
19.
10.
10托管GooglePlay的布局您可以在用户的Play商店应用中定义托管的GooglePlay应用的位置.
可配置的布局元素是页面和类别.
页面是有名称、可以垂直滚动的视图.
页面及其名称是通过SophosMobile预定义的.
类别是您定义的页面中有名称、可以水平滚动的子部分.
在Google文档中,类别又称为群集.
版权所有SophosLimited309SophosMobile每个类别特定于某个页面,每个应用显示在特定的类别中.
不包含任何应用的页面不显示.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
对于每个应用,您可以定义该应用在用户设备上的托管GooglePlayStore应用中显示在哪个页面,并且可以选择定义显示在哪个类别中.
默认情况下,应用放置在名称为其他的页面上.
您可以在编辑批准的应用页面上配置商店布局.
请参阅编辑托管的GooglePlay应用(第305页).
19.
10.
11托管的配置托管的GooglePlay应用可以提供托管配置.
此功能是由应用的开发人员包括在其中的,您可以用它为应用配置自定义设置.
如果应用支持托管配置,将在托管GooglePlay中的该应用页面上显示此应用提供托管配置备注.
您可以在编辑批准的应用页面上配置应用设置.
请参阅编辑托管的GooglePlay应用(第305页).
310版权所有SophosLimitedSophosMobile20MobileThreatDefense和SophosInterceptXforMobileSophosInterceptXforMobile是一款适用于Android设备、iPhone或iPad的MobileThreatDefense(MTD)解决方案.
注释此功能需要MobileAdvanced类型的许可证.
如果使用SophosMobile管理SophosInterceptXforMobile,您可以执行以下任务:将MobileThreatDefense策略分配给设备以配置SophosInterceptXforMobile.
将合规性策略分配给设备以监控其合规性状态.
在Android设备上执行恶意软件扫描.
要了解更多有关应用功能的信息,请参阅SophosInterceptXforMobile帮助.
提示您还可以管理注册到第三方企业移动性管理(EMM)软件的设备上的SophosInterceptXforMobile.
第三方EMM软件必须支持自定义应用设置.
相关概念Android的MobileThreatDefense策略的配置(第139页)通过MobileThreatDefense策略,可以在SophosInterceptXforMobile注册到SophosMobile时对其进行配置.
iOS的MobileThreatDefense策略的配置(第204页)通过MobileThreatDefense策略,可以在SophosInterceptXforMobile注册到SophosMobile时对其进行配置.
相关任务扫描设备(第50页)和第三方EMM软件一起使用SophosInterceptXforMobile(第312页)您可以管理注册到第三方企业移动性管理(EMM)程序的设备上的SophosInterceptXforMobile.
相关参考MobileThreatDefense合规性规则(第312页)您可以为SophosInterceptXforMobile由SophosMobile管理的设备配置合规性规则.
相关信息SophosInterceptXforMobile帮助版权所有SophosLimited311SophosMobile20.
1MobileThreatDefense合规性规则您可以为SophosInterceptXforMobile由SophosMobile管理的设备配置合规性规则.
规则说明平台需要托管定义设备不再受到管理时将执行的操作.
AndroidiOS允许根目录访问选择是否允许设备具有Root权限.
Android允许越狱选择是否允许越狱设备.
iOS最低OS版本选择要求的最早版本的操作系统.
AndroidiOS最高OS版本选择允许的最新版操作系统.
AndroidiOSInterceptXforMobile同步之间的最大间隔SophosInterceptXforMobile必须与SophosControl同步的最大允许间隔.
AndroidiOSInterceptXforMobile扫描之间的最大间隔恶意软件扫描的最大允许间隔.
AndroidInterceptXforMobile权限可以拒绝选择当用户拒绝SophosInterceptXforMobile的应用权限时设备是否变为不合规.
Android允许恶意软件应用选择是否允许SophosInterceptXforMobile检测到的恶意软件应用.
Android允许可疑应用选择是否允许SophosInterceptXforMobile检测到的可疑应用.
Android允许PUA选择是否允许SophosInterceptXforMobile检测到的可能不需要的应用(PUA).
Android20.
2和第三方EMM软件一起使用SophosInterceptXforMobile您可以管理注册到第三方企业移动性管理(EMM)程序的设备上的SophosInterceptXforMobile.
在SophosMobile中,您可以生成包含注册详细信息的连接代码.
在第三方EMM程序中,您可以在SophosInterceptXforMobile的托管配置中输入此连接代码和其他选项.
当第三方EMM程序安装该应用时,它将自动注册到SophosMobile.
312版权所有SophosLimitedSophosMobile注释Android设备必须在Android企业模式下注册.
1.
在侧边的菜单栏中,选择设置下的设置>Sophos设置,然后选择第三方EMM选项卡.
2.
选择生成连接代码.
该代码包含SophosInterceptXforMobile注册到SophosMobile所需的信息.
3.
配置以下设置:设置说明所有者选择设备是归您的组织所有(企业)还是不是(个人).
设备组设备分配到的SophosMobile设备组.
MobileThreatDefense策略(Android)可选:Android设备上SophosInterceptXforMobile的SophosMobile策略.
MobileThreatDefense策略(iOS)可选:iPhone和iPad设备上SophosInterceptXforMobile的SophosMobile策略.
4.
单击保存.
5.
选择连接代码旁的复制,将值复制到剪贴板.
配置第三方EMM程序需要提供连接代码.
6.
将SophosInterceptXforMobile添加到第三方EMM程序.
7.
在第三方EMM程序中,编辑该应用的托管配置.
对于Android应用,将提供设置,您可以输入值.
对于iOS应用,您必须输入每个设置的名称、类型(字符串或布尔值)和值.
表1:SophosInterceptXforMobileAndroid应用的设置设置说明电子邮件可选:您想在SophosMobile中分配给设备的用户电子邮件地址.
连接代码您从SophosMobile复制的连接代码.
设备ID第三方EMM应用使用的设备唯一标识符.
该值用于链接在SophosMobile中创建的设备和第三方EMM程序中的设备.
Devicename可选:第三方EMM程序使用的设备名.
禁用EULA可选:应用启动时不显示最终用户许可协议(EULA).
连接到Intune可选:应用将自动启动Intune连接向导.
版权所有SophosLimited313SophosMobile表2:SophosInterceptXforMobileiOS应用的设置设置说明email(字符串)可选:您想在SophosMobile中分配给设备的用户电子邮件地址.
smcData(字符串)您从SophosMobile复制的连接代码.
deviceId(字符串)第三方EMM应用使用的设备唯一标识符.
该值用于链接在SophosMobile中创建的设备和第三方EMM程序中的设备.
deviceName(字符串)可选:第三方EMM程序使用的设备名.
macAddress(字符串)可选:设备的MAC地址.
该值用于在设备连接到SophosWi-Fi接入点时识别设备.
SynchronizedSecurity需要.
eulaDisabled(布尔型)可选:应用启动时不显示最终用户许可协议(EULA).
startIntuneConnection(布尔型)可选:应用将自动启动Intune连接向导.
有关如何编辑托管配置的详细信息,请参阅第三方EMM程序的文档.
提示如果您的第三方EMM程序支持,建议您使用占位符指定设备和用户属性.
8.
通过第三方EMM程序安装SophosInterceptXforMobile.
设备在安装后首次启动时,SophosInterceptXforMobile将注册到SophosMobile.
您可以从SophosMobileAdmin的设备页面管理该应用.
如果需要,您可以停用连接代码,以阻止未来的应用注册.
314版权所有SophosLimitedSophosMobile21Intune应用保护Intune是一项用于管理移动设备和应用的Microsoft服务.
Intune应用保护让您可以定义应用级使用限制并分配给您的用户.
因为Intune应用保护基于用户身份,且不需要进行设备管理就可以保护您的公司数据,因此很适合自带设备办公(BYOD)计划.
您可以在SophosMobileAdmin中管理您的Intune应用保护策略.
功能和要求设备不需要注册到SophosMobile.
Intune应用保护策略可以应用到Office365应用,以及其他与IntuneAppSDK集成的应用.
策略仅在用户使用其公司帐户登录到应用后才会生效.
他们使用其私人帐户登录时没有使用限制.
您必须预订有AzureActiveDirectory(AD)Premium.
用户的AzureAD帐户必须分配有Intune许可证.
对于MicrosoftOutlook应用,用户的AzureAD帐户必须链接有Office365ExchangeOnline邮箱和许可证.
对于MicrosoftWord、Excel和PowerPoint应用,用户的AzureAD帐户必须链接有Office365商业版或企业版许可证.
相关信息MicrosoftIntune文档(外部链接)MicrosoftIntune应用(外部链接)21.
1设置MicrosoftIntune集成要在SophosMobileAdmin中管理您的Intune应用保护策略,您必须将SophosMobile注册为MicrosoftAzure应用程序.
我们建议您使用MicrosoftAzure注册.
1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击MicrosoftAzure选项卡.
2.
单击MicrosoftAzure注册向导.
向导将引导您在MicrosoftAzure门户和SophosMobileAdmin中完成注册过程:a)在MicrosoftAzure门户中为SophosMobile创建应用程序.
b)在SophosMobile中输入应用程序ID.
c)将SophosMobile服务器证书上传到您的应用程序.
d)给您的应用程序授予所需的权限.
向导还包含一个用于配置联合身份验证的页面.
如果您要使用AzureActiveDirectory进行联合身份验证,而不是使用内部或外部用户管理,则只需按该页面的步骤进行操作.
请参阅联合身份验证(第88页).
完成设置程序后,SophosMobileAdmin的侧边菜单栏中将有新的策略>Intune应用保护项.
版权所有SophosLimited315SophosMobile21.
2创建Intune应用保护策略通过Intune应用保护策略,您可以根据用户身份应用数据限制.
限制仅当应用在工作环境下使用时才生效,即分配的用户使用公司帐户打开应用时.
您必须为Android和iOS应用创建单独的策略.
1.
在侧边的菜单栏中,单击配置下的策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的Policies-Intune应用保护页面上,单击添加,然后单击Android策略或iOS策略.
4.
在编辑策略页面上,输入要求的设置.
请参阅Intune应用保护策略设置(Android)(第317页)和Intune应用保护策略设置(iOS、iPadOS)(第321页).
5.
单击保存.
您可以在MicrosoftAzure门户中查看策略.
您可能需要再次登录门户才能刷新显示的信息.
创建Intune应用保护策略后,将其分配给应用和用户.
请参阅将应用分配给Intune应用保护策略(第316页)和将用户分配给Intune应用保护策略(第316页).
21.
3将应用分配给Intune应用保护策略Intune应用保护策略将只应用于分配有此策略的应用.
1.
在侧边的菜单栏中,单击配置下的策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的Policies-Intune应用保护页面上,单击要向其分配应用的策略旁边的蓝色三角形,然后单击分配应用.
4.
选择要向其分配策略的应用.
列表将包括您在MicrosoftAzure门户中添加到您的MicrosoftIntune帐户的所有Android或iOS应用.
5.
单击保存.
您可以在MicrosoftAzure门户中查看应用分配.
您可能需要再次登录门户才能刷新显示的信息.
21.
4将用户分配给Intune应用保护策略Intune应用保护策略将只应用于分配的用户使用的应用.
您不是单独分配用户,而是通过AzureActiveDirectory(AD)安全组进行分配.
1.
在侧边的菜单栏中,单击配置下的策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的Policies-Intune应用保护页面上,单击要向其分配用户的策略旁边的蓝色三角形,然后单击分配用户组.
4.
在可用的AzureAD安全组列表中,选择您要包括或排除的组:316版权所有SophosLimitedSophosMobile包括:策略将应用到该组的成员.
排除:策略将不应用到该组的成员,即便它们也是包括组中的成员.
未分配:策略将不应用到该组的成员,除非它们也是包括组中的成员.
5.
单击保存.
您可以在MicrosoftAzure门户中查看用户分配.
您可能需要再次登录门户才能刷新显示的信息.
注释策略将只应用到其AzureAD帐户分配有Intune许可证的用户.
选定安全组中的其他用户不受影响.
21.
5Intune应用保护策略设置(Android)通过Intune应用保护策略,您可以为Intune托管应用定义限制.
本节介绍针对Android应用的可用设置.
一般设置设置说明姓名策略的名称.
描述策略的简短说明.
数据重定位在数据重定位下,您可以配置如何让数据输入和离开应用.
注释所有设置将应用于用户使用其公司帐户登录后访问的数据.
设置说明阻止Android备份应用将不能使用Android备份服务.
版权所有SophosLimited317SophosMobile设置说明允许应用向其他应用传送数据此应用可以向其传输数据的应用:策略托管应用:仅允许向其他Intune策略托管应用传输.
所有应用:允许传输到任何应用.
无:不允许传输到任何应用.
注释可能会有始终允许向其传输数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
将始终阻止向Android即时应用传输数据.
允许应用从其他应用接收数据此应用可以从其中接收数据的应用:策略托管应用:仅允许从其他Intune策略托管应用传输.
所有应用:允许从任何应用传输.
无:不允许从任何应用传输.
注释可能会有始终允许从其中接收数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
将始终阻止从Android即时应用接收数据.
阻止"另存为"将禁用应用的"另存为"选项.
存储位置如果选中阻止"另存为",将选择存储公司数据的位置.
用户可以存储到选定的位置.
其他位置将被阻止.
限制剪切、复制和粘贴到其他应用选择如何将剪切、复制和粘贴操作用于此应用.
阻止:不允许在此应用和任何其他应用间进行剪切、复制和粘贴操作.
策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切、复制和粘贴操作.
带粘贴的策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切或复制.
允许将任何应用中的数据粘贴到此应用.
所有应用:不限制从此应用和对此应用进行剪切、复制和粘贴.
限制显示在ManagedBrowser内的Web内容强制要求应用中的Web链接在IntuneManagedBrowser应用中打开.
318版权所有SophosLimitedSophosMobile设置说明加密应用数据数据将使用Intune定义的加密方案进行加密.
禁用联系人同步应用将不会把数据保存到Contacts应用.
禁用打印应用中的打印功能将禁用.
访问在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用.
设置说明需要PIN才能进行访问使用该应用需要PIN.
用户首次使用其公司帐户登录时,将提示其设置PIN.
注释所有Intune托管的Android应用都使用相同的PIN.
PIN重置前的尝试次数重置PIN前允许的登录失败尝试次数.
禁止简单PIN不允许用户使用简单的PIN序列,如1234或1111.
PIN长度PIN序列中数字的最小数目.
禁止指纹用户不能使用指纹身份验证,只能使用PIN进行身份验证.
访问需要公司凭据用户必须输入其公司密码,而非PIN.
此设置将替代其他PIN要求.
阻止在已取得root权限的设备上运行托管应用在已经取得root权限的设备上,用户不能通过其公司帐户使用该应用.
访问要求超时启动该应用时,重新检查访问要求(在此策略中设置)前的分钟数.
注释用户输入PIN后,在此设置定义的时间段内,用户不必再次输入PIN就可以使用其他Intune托管应用.
版权所有SophosLimited319SophosMobile设置说明脱机宽限期在重新检查应用访问要求之前设备可以离线运行的分钟数.
超过该时间段后,该应用将要求用户连接到网络并再次进行身份验证.
擦除应用数据前的脱机时间间隔用户必须连接到网络并再次进行身份验证前,设备可以离线运行的天数.
如果身份验证失败,将擦除公司应用数据.
注释对于MicrosoftOutlook应用,擦除应用数据时将同时删除Contacts应用中保存的数据.
阻止屏幕捕获和Android助手用户将不能截屏或使用GoogleAssistant.
这还将使最近应用列表中的应用图片变得模糊.
要求的最低Android版本使用该应用所需的最低Android版本.
将该字段保留为空可忽略此设置.
推荐的最低Android版本使用该应用的推荐最低Android版本.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低应用版本使用该应用所需的最低应用版本.
将该字段保留为空可忽略此设置.
推荐的最低应用版本使用该应用的推荐最低应用版本.
如果设备上的应用不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低Android补丁版本使用该应用所需的最低Android安全补丁版本.
输入补丁版本日期,采用YYYY-MM-DD格式.
将该字段保留为空可忽略此设置.
推荐的最低Android补丁版本使用该应用的推荐最低Android安全补丁版本.
输入补丁版本日期,采用YYYY-MM-DD格式.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
320版权所有SophosLimitedSophosMobile21.
6Intune应用保护策略设置(iOS、iPadOS)通过Intune应用保护策略,您可以为Intune托管应用定义限制.
本节介绍针对iPhone和iPad应用的可用设置.
一般设置设置说明姓名策略的名称.
描述策略的简短说明.
数据重定位在数据重定位下,您可以配置如何让数据输入和离开应用.
注释所有设置将应用于用户使用其公司帐户登录后访问的数据.
设置说明阻止iTunes和iCloud备份应用将不会把数据备份到iTunes或iCloud.
允许应用向其他应用传送数据此应用可以向其传输数据的应用:策略托管应用:仅允许向其他Intune策略托管应用传输.
所有应用:允许传输到任何应用.
无:不允许传输到任何应用.
注释可能会有始终允许向其传输数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
策略托管应用和无还将阻止Siri在应用中搜索数据.
版权所有SophosLimited321SophosMobile设置说明允许应用从其他应用接收数据此应用可以从其中接收数据的应用:策略托管应用:仅允许从其他Intune策略托管应用传输.
所有应用:允许从任何应用传输.
无:不允许从任何应用传输.
注释可能会有始终允许从其中接收数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
一些应用会忽略此设置并允许所有传入数据.
阻止"另存为"将禁用应用的"另存为"选项.
存储位置如果选中阻止"另存为",将选择存储公司数据的位置.
用户可以存储到选定的位置.
其他位置将被阻止.
限制剪切、复制和粘贴到其他应用选择如何将剪切、复制和粘贴操作用于此应用.
阻止:不允许在此应用和任何其他应用间进行剪切、复制和粘贴操作.
策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切、复制和粘贴操作.
带粘贴的策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切或复制.
允许将任何应用中的数据粘贴到此应用.
所有应用:不限制从此应用和对此应用进行剪切、复制和粘贴.
限制显示在ManagedBrowser内的Web内容强制要求应用中的Web链接在IntuneManagedBrowser应用中打开.
加密应用数据在加密数据时选中.
数据将使用设备提供的设备级加密方案进行加密.
设备锁定时:在设备锁定时加密应用数据.
设备锁定且有打开的文件时:在设备锁定时加密应用数据,当前打开文件的数据除外.
设备重启时:在设备重新启动时加密应用数据,直至设备首次解锁.
使用设备设置:根据设备设置进行应用数据加密.
禁用联系人同步应用将不会把数据保存到Contacts应用.
322版权所有SophosLimitedSophosMobile设置说明禁用打印应用中的打印功能将禁用.
访问在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用.
设置说明需要PIN才能进行访问使用该应用需要PIN.
用户首次使用其公司帐户登录时,将提示其设置PIN.
注释相同发布者的所有Intune托管的iPhone和iPad应用都使用相同的PIN.
密码类型用户必须定义的PIN类型:数值:PIN只能包含数字.
密码:PIN必须包含至少一个字母、特殊字符或符号(只要英语键盘上有).
注释一些应用不支持密码类型.
PIN重置前的尝试次数重置PIN前允许的登录失败尝试次数.
禁止简单PIN不允许用户使用简单的PIN序列,如1234或1111.
如果将密码类型设置为密码,则PIN必须包含至少一个数字、一个字母和一个特殊字符或符号.
PIN长度PIN序列中字符的最小数目.
禁止指纹用户不能使用TouchID,只能使用PIN进行身份验证.
禁止面部识别用户不能使用FaceID,只能使用PIN进行身份验证.
访问需要公司凭据用户必须输入其公司密码,而非PIN.
此设置将替代其他PIN要求.
阻止在已越狱的设备上运行托管应用在已越狱的设备上,用户不能通过其公司帐户使用该应用.
版权所有SophosLimited323SophosMobile设置说明访问要求超时启动该应用时,重新检查访问要求(在此策略中设置)前的分钟数.
注释用户输入PIN后,在此设置定义的时间段内,用户不必再次输入PIN就可以使用相同发布者的其他Intune托管应用.
脱机宽限期在重新检查应用访问要求之前设备可以离线运行的分钟数.
超过该时间段后,该应用将要求用户连接到网络并再次进行身份验证.
擦除应用数据前的脱机时间间隔用户必须连接到网络并再次进行身份验证前,设备可以离线运行的天数.
如果身份验证失败,将擦除公司应用数据.
注释对于MicrosoftOutlook应用,擦除应用数据时将同时删除Contacts应用中保存的数据.
要求的最低iOS版本使用该应用所需的最低iOS或iPadOS版本.
将该字段保留为空可忽略此设置.
推荐的最低iOS版本使用该应用的推荐最低iOS或iPadOS版本.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低应用版本使用该应用所需的最低应用版本.
将该字段保留为空可忽略此设置.
推荐的最低应用版本使用该应用的推荐最低应用版本.
如果设备上的应用不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低Intune应用保护策略SDK版本该应用必须拥有的最低Intune应用保护策略SDK版本.
将该字段保留为空可忽略此设置.
324版权所有SophosLimitedSophosMobile22创建管理员1.
在侧边的菜单栏中,单击设置下的设置>管理员打开显示管理员页面,然后单击创建管理员.
2.
在编辑管理员页面上,配置管理员的帐户详细信息.
当外部LDAP目录选择为客户的用户目录时,可以单击通过LDAP查找用户以选择现有的LDAP帐户.
如果不使用外部用户目录,请输入相关的登录名、名字、姓氏、电子邮件地址和密码数据.
指定的密码是一次性密码.
当管理员首次登录时,会提示他们修改.
注释登录名字段必须仅包含字母(拉丁字母)、数字、空格和字符\!
.
_-#.
3.
在角色列表中,选择其中一个可用角色.
角色定义新管理员将拥有的SophosMobile访问权限的类型.
请参阅用户角色(第4页).
4.
单击保存创建管理员帐户.
新的管理员将创建,并显示在显示管理员页面上.
向新用户转发用户凭据(用户、客户和一次性密码).
新用户可以登录SophosMobileAdmin,并提示更改密码.
版权所有SophosLimited325SophosMobile23向设备发送消息注释这些说明不适用于Windows计算机.
您可以向托管设备发送自定义消息.
1.
在侧边的菜单栏中,单击管理下的设备.
会出现设备页面.
2.
选择一个或多个设备,单击操作,然后单击发送消息.
3.
在输入消息对话框中,输入您希望发送的消息.
消息可以包含最多500个字符.
4.
单击完成.
326版权所有SophosLimitedSophosMobile24Sophos容器注释此功能需要MobileAdvanced类型的许可证.
Sophos容器是设备上的逻辑区域,包含由SophosMobile管理的SophosSecureWorkspace和SophosSecureEmail应用.
Sophos容器可用于以下平台:AndroidiOS24.
1配置Sophos容器注册注释此功能需要MobileAdvanced类型的许可证.
要使用Sophos容器将设备注册到SophosMobile,您需要执行以下配置步骤.
您需要为要使用Sophos容器注册的每个平台(Android,iOS)执行此操作.
1.
创建容器策略.
请参阅Android的Sophos容器策略的配置(第127页)和iOS的Sophos容器策略的配置(第192页).
2.
在任务捆绑包中使用此容器策略.
任务捆绑包必须至少包含一个注册Sophos容器任务和分配策略任务.
请参阅创建任务捆绑包(第261页).
3.
通过SophosMobileSelfServicePortal将此任务捆绑包用作注册的初始包:在自助服务门户设置中的组设置选项卡中,在初始包-公司设备或初始包-个人设备字段中选择该任务捆绑包.
请参阅创建自助服务门户配置(第25页).
24.
2MobileAdvanced许可证当您激活MobileAdvanced许可证后,您可以使用以下附加功能:管理SophosSecureWorkspace和SophosSecureEmail应用.
请参阅管理Sophos容器应用(第328页).
对于Android设备、iPhone和iPad,管理SophosInterceptXforMobile.
请参阅MobileThreatDefense和SophosInterceptXforMobile(第311页).
在您收到许可证密钥后,您需要激活许可证.
为SophosMobileonPremise激活MobileAdvanced许可证对于SophosMobileonPremise,许可证由超级管理员在客户管理中进行管理.
有关详细信息,请参阅SophosMobile超级管理员指南.
版权所有SophosLimited327SophosMobile为SophosMobile即服务激活MobileAdvanced许可证在SophosMobileAdmin中,转到设置>Sophos设置>许可证,并在高级许可证密钥字段中输入您的许可证密钥.
24.
3管理Sophos容器应用注释此功能需要MobileAdvanced类型的许可证.
为了在托管设备上更好地分离数据,SophosMobile提供了Sophos容器应用,即SophosSecureEmail和SophosSecureWorkspace:SophosSecureEmail是一款针对Android设备、iPhone和iPad的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
SophosSecureWorkspace是一款针对Android设备、iPhone和iPad的应用,它让用户可以访问存储在云上的加密文件.
可使用无缝方式加密和查看文件.
加密的文件可使用其他应用移交,并上传到一个支持的云存储提供程序.
也可以在应用内本地存储文档.
使用SophosSecureWorkspace,您可以阅读通过SafeGuardCloudStorage或SafeGuardDataExchange加密的文件.
两者都是SafeGuardEnterprise模块或其不同版本中的一个.
它们允许您使用本地密钥加密文件.
这些本地密钥由用户输入的密码派生而来.
只有在您知道用于加密文件的密码时,才能加密文件.
Sophos容器提供:集中定义的密码规则适用于所有容器应用的密码规则适用于所有容器应用的单一登录SophosSecureWorkspace文档设置SophosSecureWorkspace浏览器设置SophosSecureEmail设置如下所述,可以使用SophosMobile管理Sophos应用:可以在SophosMobile中,对所有托管的设备上的Sophos容器应用的设置进行远程和集中配置.
请参阅Android的Sophos容器策略的配置(第127页)和iOS的Sophos容器策略的配置(第192页).
使用合规性策略,您可以确保Sophos容器应用已安装在设备上.
您可以使用公司文档存储提供程序启用文档的安全分配.
请参阅企业文档(第292页).
可以在SophosSecureWorkspace应用和SophosSafeGuardEnterprise之间启用公司Keyring同步.
这样,来自用户的SafeGuardKeyring的密钥就可以在SophosSecureWorkspaceKeyring中可用.
请参阅启用企业Keyring同步(第330页).
注释为管理Sophos容器应用,必须使用SophosMobile分发应用.
如果用户已在其设备上安装有未受管理的SophosSecureWorkspace版本,他们首先必须卸载此版本,然后安装托管版本.
有关SophosSecureWorkspace的详细信息,请参阅SophosSecureWorkspace帮助.
328版权所有SophosLimitedSophosMobile24.
4重置Sophos容器密码注释此功能需要MobileAdvanced类型的许可证.
注释这些说明仅适用于应用Sophos容器策略的设备.
可以重置Sophos容器密码.
这很有用,例如,用户忘记了他们的密码时.
如果重置了Sophos容器的密码,将要求用户创建新的容器密码.
1.
在侧边的菜单栏中,单击管理下的设备.
将显示设备页面.
2.
单击要重置其Sophos容器密码的设备.
将显示显示设备页面.
3.
单击操作.
将显示操作菜单.
4.
单击重置Sophos容器密码.
5.
在对话框中,单击是确认操作.
将重置Sophos容器密码.
用户必须输入新的Sophos容器密码.
24.
5锁定和解锁Sophos容器注释此功能需要MobileAdvanced类型的许可证.
注释这些说明仅适用于应用Sophos容器策略的设备.
您可以锁定或解锁Sophos容器,即为Sophos容器应用和Sophos容器中的数据设置访问权限1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要对其锁定或解锁Sophos容器的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>设置Sophos容器访问权限.
4.
在设置访问权限的对话框中,选择以下任意一项:拒绝:Sophos容器将锁定.
用户将不能再使用它.
允许:Sophos容器将解锁.
自动模式:如果设备违反了合规性规则,且规则中激活了锁定容器,将锁定Sophos容器.
如果您没有设置访问权限,这将是默认行为.
5.
单击是.
将触发设备与SophosMobile服务器同步.
同步后,该设置将应用到设备.
版权所有SophosLimited329SophosMobile24.
6企业Keyring同步企业Keyring同步将在SophosSecureWorkspace应用中添加以下功能:来自用户的SafeGuardEnterpriseKeyring的密钥在SophosSecureWorkspaceKeyring(SSWKeyring)中可用.
然后,该应用的用户即可使用这些密钥来解密和查看文档或解密文档.
启用Keyring同步后,用户可以继续使用在其SSWKeyring中曾经可用的本地密钥.
用户不能创建新的本地密钥.
由于安全原因,管理Sophos容器时,来自SafeGuardKeyring的密钥将从设备删除.
24.
6.
1启用企业Keyring同步前提条件:使用SophosSafeGuardEnterprise8.
0或更高版本.
已经使用在SafeGuardEnterprise中配置的相同ActiveDirectory用户数据库,为自助服务门户配置了外部用户管理.
SophosSecureWorkspace受SophosMobile管理.
这将需要MobileAdvanced许可证.
您的SophosMobile服务器可以通过HTTPS连接到您的SafeGuardEnterprise服务器.
要启用企业Keyring同步,可以按下述方法设置SophosMobile和SophosSafeGuardEnterprise之间的连接:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击SGN选项卡.
2.
单击证书链接,下载SophosMobile服务器的证书.
3.
打开SafeGuardManagementCenter,并转到Tools>ConfigurationPackageTool.
4.
在Servers选项卡上,单击Add,浏览并找到证书文件,然后单击OK.
请勿更改Servername字段的值.
5.
可选:选择Recoveryviamobile,以启用通过SophosSecureWorkspace应用同步BitLocker和FileVault恢复密钥.
6.
在Managedclientpackages选项卡上,配置以下设置:在ConfigurationPackageName字段中,选择ManagedClient(Default).
在PrimaryServer字段中,选择您的SGN服务器.
在TransportEncryption字段中,选择SSL.
7.
单击CreateConfigurationPackage.
8.
在SophosMobileAdmin的SGN选项卡上,单击上传文件,将您在SafeGuardManagementCenter中创建的配置包上传到SophosMobile.
9.
单击保存,保存SafeGuard集成设置.
24.
7为SophosSecureEmail设置多重身份验证如果您为SophosSecureEmail设置了多重身份验证(MFA),用户将通过贵组织的Office365登录页面访问其Exchange帐户.
前提条件:330版权所有SophosLimitedSophosMobile您使用的是ExchangeOnline.
您已在Office365中为您的组织开启多重身份验证.
请参阅设置多重身份验证(Microsoft文档).
您的用户已在其设备上开启多重身份验证.
请参阅为Office365设置两步验证(Microsoft文档).
要为SophosSecureEmail设置多重身份验证,请执行以下操作:1.
使用您的Azure管理员帐户登录到MicrosoftAzure门户.
2.
转到应用注册.
3.
选择新注册.
4.
在名称中,输入应用程序的名称,如SophosSecureEmail.
5.
在重定向URI中,输入以下文本:sophos://sse/auth6.
单击注册.
7.
在应用程序的概述页面上,复制应用程序(客户端)ID下显示的值.
您需要此值以及本过程后面步骤中的值.
8.
单击端点,然后复制OAuth2.
0授权端点(v2)和OAuth2.
0令牌端点(v2)下显示的值.
9.
在应用程序的概述页面上,单击API权限>添加权限>我的组织使用的API.
10.
搜索Office365ExchangeOnlineAPI.
11.
在委托的权限下,选择以下权限:EAS.
AccessAsUser.
All(自EAS部分)EWS.
AccessAsUser.
All(自EWS部分)12.
单击添加权限.
13.
在配置的权限下,单击授予管理员同意.
在SophosMobileAdmin中执行后续步骤:14.
转到策略并编辑包含工作电子邮件配置的Sophos容器策略.
如果您有多个策略包含工作电子邮件配置,必须对其全部进行编辑.
15.
在OAuth2.
0下,配置以下设置:选项描述开启OAuth2.
0选中此设置.
授权端点在OAuth2.
0授权端点(v2)下输入Azure门户中显示的值.
ClientID在应用程序(客户端)ID下输入Azure门户中显示的值.
重定向URI输入以下文本:sophos://sse/auth令牌端点在OAuth2.
0令牌端点(v2)下输入Azure门户中显示的值.
16.
单击应用和保存.
SophosSecureEmail将在设备下次连接到SophosControl时开始使用贵组织的Office365身份验证.
版权所有SophosLimited331SophosMobile相关信息设置多重身份验证(Microsoft文档)为Office365设置两步验证(Microsoft文档)MicrosoftAzure门户332版权所有SophosLimitedSophosMobile25迁移到SophosCentral迁移助手会将您数据从SophosMobile移到SophosCentral.
有关详细信息,请参阅SophosMobile迁移指南.
相关信息SophosMobile迁移指南版权所有SophosLimited333SophosMobile26超级管理员任务SophosMobileAdmin的一些选项仅在您以超级管理员身份登录时可用.
26.
1配置SSL/TLS证书在Sophos设置页面的SSL/TLS选项卡上,配置用于在SophosMobile服务器和客户端之间进行安全连接的SSL/TLS证书.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
2配置EAS代理在Sophos设置页面的EAS代理选项卡上配置用于在托管设备和您的电子邮件服务器之间过滤电子邮件数据流的EAS代理服务器.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
3配置网络访问控制在Sophos设置页面的NetworkAccessControl选项卡上配置与网络访问控制(NAC)系统的连接.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
4配置电子邮件服务器连接在Sophos设置页面的SMTP选项卡上配置SMTP电子邮件服务器连接.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南334版权所有SophosLimitedSophosMobile26.
5配置代理服务器连接在Sophos设置页面的HTTP代理选项卡上配置SophosMobile用于HTTP和SSL/TLS连接的代理服务器连接.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
6配置门户访问权限在Sophos设置页面的Web门户选项卡上配置对SophosMobileAdmin和SophosMobileSelfServicePortal的访问权限.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
7配置文件上传限制在Sophos设置页面的上传文件选项卡上配置上传的应用和文档的文件大小限制.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
8开启审核日志在Sophos设置页面的审核日志记录选项卡上对用户在SophosMobileAdmin中执行的所有操作开启日志记录.
要查看日志条目,请单击侧边菜单栏上的审核日志记录.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
9创建系统消息在Sophos设置页面的系统消息选项卡上,创建将显示在SophosMobileAdmin和自助服务门户登录页面的系统消息.
有关详细信息,请参阅SophosMobile超级管理员指南.
版权所有SophosLimited335SophosMobile相关信息SophosMobile超级管理员指南26.
10管理客户如果您是超级管理员,则可以在编辑客户页面上配置客户设置.
有关详细信息,请参阅SophosMobile超级管理员指南.
相关信息SophosMobile超级管理员指南26.
11接收Sophos新闻如果您是超级管理员,则可以从Sophos接收与SophosMobile相关的新闻.
新闻包括:发布公告补丁公告停止服务公告安全通知Sophos每天向您的SophosMobile服务器推送一次新闻.
要阅读,请单击侧边菜单栏的新闻.
新闻还会通过电子邮件发送给注册接收SophosMobile错误电子邮件的管理员.
要注册管理员:1.
在侧边的菜单栏中,单击设置下,单击设置>Sophos设置然后单击SMTP选项卡.
2.
在邮件收件人字段中输入管理员的电子邮件地址.
3.
单击保存.
26.
12查看系统健康状况如果您是超级管理员,则可以查看系统健康状况,即SophosMobile服务器和数据库的状态.
要打开系统健康页面:在侧边的菜单栏中,单击设置下的健康状况.
336版权所有SophosLimitedSophosMobile27用语表专用设置配置文件您添加到自己开发的iOS应用的分发设置配置文件.
这样,您就可以在指定的设备上安装应用,而不必将其发布到AppStore.
客户客户表示SophosMobile中独立的管理区域.
您可以设置多个客户,并独立管理每个客户的设备.
这也称为多组织.
注册使用SophosMobile进行设备注册.
企业应用商店托管在SophosMobile服务器上的应用存储库.
管理员可以使用SophosMobileAdmin,将应用程序添加到EnterpriseAppStore.
然后,用户可以使用SophosMobileControl应用,将这些应用安装在他们的设备上.
MobileAdvanced许可证使用MobileAdvanced类型的许可证,您可以管理SophosInterceptXforMobile、SophosSecureWorkspace和SophosSecureEmail.
设置在设备上安装SophosMobileControl应用的过程.
自助服务门户Web界面,允许用户注册自己的设备并执行其他任务,无需联系支持人员.
SophosMobile客户端安装在SophosMobile托管的设备上的SophosMobileControl应用.
SophosMobile控制台您用于管理设备的Web界面.
SophosInterceptXforMobile一款针对Android设备、iPhone和iPad的安全应用.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureEmail一款针对Android设备、iPhone和iPad的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureWorkspace一款针对Android设备、iPhone和iPad的应用,它提供的安全工作区可用于浏览、管理、编辑、共享、加密和解密来自不同存储提供程序的文档或贵公司分发的文档.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
任务捆绑包您可以创建一个包,将多项任务捆绑在一项事务中.
可以捆绑所有必需的任务,让设备完全注册和运行.
TeamID每个iOS和macOS应用都有TeamID签名.
TeamID由Apple提供,对于特定的开发团队是唯一的.
版权所有SophosLimited337SophosMobile28支持您可以通过以下任意方式获得Sophos产品的技术支持:访问community.
sophos.
com/的SophosCommunity论坛,并搜索遇到相同问题的其它用户.
访问www.
sophos.
com/zh-cn/support.
aspx的Sophos技术支持知识库.
在www.
sophos.
com/zh-cn/support/documentation.
aspx中下载产品的技术文档.
访问https://secure2.
sophos.
com/zh-cn/support/contact-support/support-query.
aspx联系我们的技术支持团队.
338版权所有SophosLimitedSophosMobile29法律声明版权所有2020SophosLimited.
保留所有权利.
除非您拥有根据许可证条款可以复制本文档的许可证,或事先得到版权所有者的书面许可,不得以电子、机械、复印、记录或其他任何形式或方式,复制、在检索系统中存储或传输本出版物的任何部分.
Sophos,SophosAnti-Virus和SafeGuard都是SophosLimited,SophosGroup和UtimacoSafewareAG的注册商标.
所有其他产品和公司名称是其各自所有者的商标或注册商标.
腾讯云轻量应用服务器关于多个实例套餐带宽
腾讯云轻量应用服务器又要免费升级配置了,之前已经免费升级过一次了(腾讯云轻量应用服务器套餐配置升级 轻量老用户专享免费升配!),这次在上次的基础上再次升级。也许这就是良心云吧,名不虚传。腾讯云怎么样?腾讯云好不好。腾讯云轻量应用服务器 Lighthouse 是一种易于使用和管理、适合承载轻量级业务负载的云服务器,能帮助个人和企业在云端快速构建网站、博客、电商、论坛等各类应用以及开发测试环境,并提供...
piayun(pia云)240元/季起云服务器,香港限时季付活动,cn2线路,4核4G15M
pia云怎么样?pia云是一家2018的开办的国人商家,原名叫哔哔云,目前整合到了魔方云平台上,商家主要销售VPS服务,采用KVM虚拟架构 ,机房有美国洛杉矶、中国香港和深圳地区,洛杉矶为crea机房,三网回程CN2 GIA,带20G防御。目前,Pia云优惠促销,年付全场8折起,香港超极速CN2季付活动,4核4G15M云服务器仅240元/季起,香港CN2、美国三网CN2深圳BGP优质云服务器超高性...
UCloud新人优惠中国香港/日本/美国云服务器低至4元
UCloud优刻得商家这几年应该已经被我们不少的个人站长用户认知,且确实在当下阿里云、腾讯云服务商不断的只促销服务于新用户活动,给我们很多老用户折扣的空间不多。于是,我们可以通过拓展选择其他同类服务商享受新人的福利,这里其中之一就选择UCloud商家。UCloud服务商2020年创业板上市的,实际上很早就有认识到,那时候价格高的离谱,谁让他们只服务有钱的企业用户呢。这里希望融入到我们大众消费者,你...
-
本公司chrome车轮163点击ipad支持ipad三星iphone重庆宽带测速重庆市电信网速测试是哪个网站或ipwin7如何关闭445端口如何关闭WIN7自动配置 IPV4 地址 169.254css选择器CSS中选择器包括 A,超文本标记选择器 B,类选择器 C,标签选择器 D,ID选择器ipad无法加入网络我的IPAD无法加入网络bitchina《绝对计划》蓝野明写的 我们的曲子 谁有啊?录音也行呵 谢谢啦!~~