设备iphone越狱教程

SophosMobile管理员帮助产品版本号:9内容关于本帮助.
1关于SophosMobile.
2关于SophosMobileAdmin.
3仪表板.
3表格视图.
4前提条件.
4用户角色.
4更改您的密码.
5密码恢复.
5使用SophosMobile管理设备的主要步骤.
7报告.
8任务.
9监视任务.
9警报.
12安装.
13配置个人设置.
13配置密码策略.
13配置SMC应用设置.
14配置电子邮件.
14配置IT部门联系人.
15配置隐私设置.
15配置iOS设置.
16Apple推送通知服务证书.
16配置iOSAirPlay目标.
19Android设置.
19设置Android管理模式.
20在您的Web服务器上托管Sophos应用.
20配置SophosMobileControl应用的同步间隔.
21启用百度云推送服务.
21注册SamsungKnox许可证.
21配置Windows设备的轮询间隔.
22检查您的许可证.
22简单证书注册协议(SCEP)22创建客户属性.
23配置SSL/TLS证书.
24配置EAS代理.
24配置网络访问控制.
24配置电子邮件服务器连接.
24配置代理服务器连接.
24配置门户访问权限.
24配置文件上传限制.
25开启审核日志.
25创建系统消息.
25配置自助服务门户.
26配置自助服务门户设置.
26创建注册文本.
27可用的自助服务门户操作.
28合规性策略.
31创建合规性策略.
31可用的合规性规则.
32将合规策略分配到设备组.
37检查设备合规性.
37(2019/05/15)设备.
38添加设备.
38注册设备.
39取消设备注册.
46管理设备.
47自定义设备属性.
58Zero-touch注册.
59KnoxMobileEnrollment.
62AppleDEP.
64DuoSecurity集成.
74TeamViewer远程控制.
75设备组.
77创建设备组.
77删除设备组.
77用户.
78配置自助服务门户用户管理.
79配置外部目录连接.
80联合身份验证.
81配置LDAP连接.
83创建用户.
83导入用户.
84创建用户组.
84配置文件和策略.
86开始使用设备策略.
87创建配置文件或策略.
87导入用AppleConfigurator创建的iOS设备配置文件.
88导入iOS应用的设置配置文件.
89关于macOS策略.
89Windows密码复杂性规则.
90SamsungKnox支持.
90配置文件和策略中的占位符.
91在设备上安装配置文件.
91向设备分配策略.
92卸载配置文件.
92下载配置文件和策略.
93Android设备配置文件的配置.
93Android企业工作配置文件策略的配置.
109Android企业设备策略的配置.
120Android的Sophos容器策略的配置.
132Android的MobileSecurity策略的配置.
141Knox容器配置文件的配置.
144AndroidThings策略的配置.
148iOS设备配置文件的配置.
148iOS的Sophos容器策略的配置.
175iOS的MobileSecurity策略的配置.
183macOS设备策略的配置.
185macOS用户策略的配置.
199WindowsMobile策略的配置.
215Windows策略的配置.
224WindowsIoT策略的配置.
234任务捆绑包.
237创建任务捆绑包.
237可用的Android任务类型.
238可用的iOS任务类型.
241可用的macOS任务类型.
243可用的Windows任务类型.
244(2019/05/15)复制任务捆绑包.
246将任务捆绑包传输至个人设备或设备组.
246应用程序.
247添加应用.
247安装应用.
248卸载应用.
249应用设置(Android)250应用设置(iOS)252应用设置(macOS)254应用设置(WindowsMobile)255应用设置(Windows)256确定WindowsMSI链接的设置.
257iOS的托管应用.
258管理AppleVPP应用.
258将VPN连接分配给iOS应用.
263将托管应用配置添加到iOS应用.
263应用组.
265创建应用组.
265导入应用组.
266企业文档.
268添加公司文档.
268Android企业.
270设置Android企业-概述.
270设置Android企业(托管GooglePlay帐户方案)271设置Android企业(托管Google域方案)272配置Android企业设备注册.
275管理Android企业用户(托管Google网域方案)276创建工作配置文件.
277锁定工作配置文件.
277从设备删除工作配置文件.
278用户启动的工作配置文件删除.
278Android恢复出厂设置保护.
278托管的GooglePlay应用.
280Intune应用保护.
286设置MicrosoftIntune集成.
286创建Intune应用保护策略.
287将应用分配给Intune应用保护策略.
287将用户分配给Intune应用保护策略.
287Intune应用保护策略设置(Android)288Intune应用保护策略设置(iOS)292管理SophosMobileSecurity.
296SophosMobileSecurity合规性规则.
296配置第三方EMM集成.
298创建管理员.
300向设备发送消息.
301Sophos容器.
302配置Sophos容器注册.
302MobileAdvanced许可证.
302管理Sophos容器应用.
303重置Sophos容器密码.
304锁定和解锁Sophos容器.
304企业Keyring同步.
305将内容传递到SophosCentral.
306导出内容.
306导入内容.
306用语表.
308(2019/05/15)技术支持.
309法律声明.
310(2019/05/15)SophosMobile1关于本帮助本帮助提供了有关SophosMobileAdmin管理控制台的信息,并对操作程序进行了详细解释.
这些描述适用于本地安装的SophosMobile和SophosMobile即服务.
有关此帮助的其他版本,请参阅SophosMobile文档网页.
版权所有SophosLimited1SophosMobile2关于SophosMobileSophosMobileSophosMobile是一套EMM解决方案,适合希望节省管理和保护移动设备的时间和精力的公司.
通过易于使用、基于Web的统一SophosCentral管理界面管理移动设备,享受Sophos提供的端点、网络或服务器安全性.
安全的容器应用以及在iOS、Android企业和SamsungKnox中对移动OS容器化的支持,可以确保设备上敏感的公司数据和个人信息相分离.
SophosMobile提供了一流的数据保护、综合的安全性、很高的资金利用价值以及灵活的管理选项,是允许将移动设备用于工作、保持用户的生产效率、保持企业数据安全和保护个人数据隐私的最佳途径.
SophosMobileSecuritySophosMobileSecurity不仅可以保护您的Android设备,而且不会影响设备的性能或电池的寿命.
SophosMobileSecurity利用领先的Sophos反恶意软件技术,提供屡获殊荣的反恶意软件和反病毒功能,能够检测可能不需要的应用,并且提供了隐私和安全顾问、丢失和被盗保护、Web保护等功能.
SophosSecureWorkspaceSophosSecureWorkspace是针对iOS和Android系统的容器化移动内容管理应用,为保护、管理和分发企业文档及Web内容提供了安全的途径.
在容器环境中编辑Office格式文档,确保加密内容保持安全.
防钓鱼技术能够阻止用户打开文档或内容中的恶意链接.
通过SophosMobile托管时,管理员能够根据设备合规性规则,轻松限制内容的访问.
和SophosSafeGuardEncryption一起使用,SophosSecureWorkspace能够在Windows、macOS、iOS和Android用户之间提供加密文件(存储在本地或云上)的无缝交换.
SophosSecureEmailSophosSecureEmail是针对Android和iOS系统的全功能、安全且容器化的电子邮件应用,通过SophosMobile托管时,它让您可以在移动设备上分离企业电子邮件、日历及联系人和个人数据.
所有公司信息都受到AES-256加密方式的保护,并且可以根据设备合规性规则轻松取消访问权限.
SophosSecureEmail还让IT人员可以跨不同的设备和操作系统安全一致地设置企业电子邮件.
2版权所有SophosLimitedSophosMobile3关于SophosMobileAdminSophosMobileAdmin是使用SophosMobile管理设备的主要工具.
服务器的Web界面可用于管理设备.
使用Web门户,可以执行使用设备的企业政策,并将其应用到向SophosMobile注册的设备.
在SophosMobileAdmin中,您可以:配置系统,如个人设置或平台特定的设置.
配置合规性策略,并定义设备不再符合指定规则时要采取的行动.
请参阅合规性策略(第31页).
将设备注册到SophosMobile.
请参阅添加设备(第38页).
设置新设备.
请参阅注册设备(第39页).
在注册的设备上安装应用.
请参阅应用程序(第247页).
定义设备的安全策略.
请参阅配置文件和策略(第86页).
创建任务捆绑包以捆绑多个任务,并在一次事务处理中将它们传输到设备.
请参阅任务捆绑包(第237页).
配置自助服务门户的设置.
请参阅配置自助服务门户(第26页).
在设备上执行管理任务,例如,重置设备密码、锁定或擦除设备(如设备丢失或被盗)、取消设备注册.
请参阅管理设备(第47页).
创建和查看报告.
请参阅报告(第8页).
3.
1仪表板注释本节内容适用于普通管理员的仪表板页面.
对于超级管理员,仪表板页面用于管理客户.
请参阅SophosMobile超级管理员指南.
可自定义的仪表板是SophosMobile的常规启动页面,它提供了一种快速浏览最重要信息的途径.
它由几个小组件构成,提供以下信息:设备,全部或分组合规性状态,按平台或所有设备管理状态(按平台或所有设备)SSP注册状态托管的平台版本您还可以从仪表板中添加设备.
请参阅使用添加设备向导(第41页).
以下选项可用于自定义仪表板:要在页面中添加小组件,请单击添加小组件.
要从页面中删除小部件,请单击其标题中的关闭按钮.
要将页面重置为其默认布局,请单击恢复默认布局.
要在页面上重新排列小组件,请拖动小组件的标题.
版权所有SophosLimited3SophosMobile3.
2表格视图在SophosMobileAdmin,很多页面以表格形式显示信息.
这些表格有常用的控件,可以与其进行交互.
在表格上面:使用显示或隐藏列图标配置表格的哪些列可见.
在搜索所有字段字段中输入文本,可以仅显示任意列中包含该文本的数据行.

在表格中:单击列标题可以按该属性对表格的行排序.
再次单击可改变排序顺序.
单击条目名称可对该条目执行默认的操作(通常是编辑).
单击条目名称旁边的蓝色三角形,可以对该条目执行更多操作.
在表格下面:使用导航按钮显示特定的表格页面.
使用导出图标将整个表格或当前页面导出为MicrosoftExcel文件或CSV文件.
如果您配置了行筛选器,将只导出当前可见的行.
3.
3前提条件使用SophosMobileAdmin前:您需要一台连接到互联网并配备网页浏览器的计算机.
有关支持的浏览器及相关版本的信息,请参阅SophosMobile发行说明.
超级管理员必须创建了客户(其设备在SophosMobile中进行管理的租户).
有关详细信息,请参阅SophosMobile超级管理员指南.
注释对于SophosMobile即服务,客户是预定义的.
SophosMobile即服务不支持超级管理员.
您需要SophosMobile用户帐户及相关凭据,以登录到SophosMobileAdmin.
凭据由客户、用户名和密码组成.
3.
4用户角色SophosMobile管理员有不同的角色.
角色影响管理员可以执行的操作.
可用的角色有:角色说明管理员此角色可以执行所有可用的操作.
4版权所有SophosLimitedSophosMobile角色说明受限制的管理员此角色可以注册和管理设备,但不能指定基本设置,也不能管理其他管理员.
报告此角色可以查看设备列表,并且可以创建报告.
例如,审计员或需要在SophosMobile中记录设置的员工.
内容管理员此角色用于负责进行上传、更新或删除文档操作的员工.
此角色通常分配给IT部门以外的人员.
权限设置为限制可见性,且只能访问文档菜单中的内容.
支持人员此角色可以执行支持性的操作,包括注册设备和安装应用.
该角色无权访问关键功能,如定义设置和创建、删除或编辑设备/设备组、软件包和策略.
只读访问对于管理员角色可以使用的所有设置,此角色拥有只读访问权限.
应用组管理员此角色可以管理应用组.
典型的用户是访问SophosMobileWeb服务界面以创建、更新或读取应用组的管理员.
DuoAPI与DuoSecurity身份验证软件进行集成需要此角色.
DuoAPI角色的管理员可以访问SophosMobileWeb服务界面,从而请求设备的管理状态.
请参阅DuoSecurity集成(第74页).
提示您的SophosMobile产品交付包括角色编辑器.
角色编辑器可让您轻松修改现有用户角色或创建自己的自定义角色.
您可以在%MDM_HOME%\tools\Wizard文件夹中找到它,其中%MDM_HOME%是SophosMobile安装文件夹.
有关如何使用角色编辑器的信息,请参阅Sophos知识库文章122066或联系Sophos支持团队.
相关任务创建管理员(第300页)3.
5更改您的密码登录SophosMobileAdmin后,您可以随时更改您的密码:1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击更改密码选项卡.
2.
输入您的旧密码、新密码,并确认.
3.
单击保存.
3.
6密码恢复如果您忘记了SophosMobileAdmin的密码,您可以重置该密码.
1.
在SophosMobileAdmin的登录对话框中,单击忘记密码版权所有SophosLimited5SophosMobile将显示重置密码对话框.
2.
输入您的账户信息,然后单击重置密码.
您将会收到一封含有重置密码链接的电子邮件.
3.
单击该链接.
将显示更改密码对话框.
4.
输入新密码,确认并单击更改密码.
您的密码已更改,并登录到SophosMobileAdmin.
6版权所有SophosLimitedSophosMobile4使用SophosMobile管理设备的主要步骤根据设备类型、安全策略及贵组织的特定要求,SophosMobile提供了各种管理功能.
使用SophosMobile管理设备的主要步骤为:为设备配置合规性策略.
请参阅合规性策略(第31页).
创建设备组.
请参阅创建设备组(第77页).
设备组用于对设备进行分类.
建议将设备放入组中.
这样有助于您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
注册和设置设备.
请参阅添加设备(第38页)和注册设备(第39页).
设备可以由管理员在SophosMobileAdmin中或由设备用户在自助服务门户中注册并设置.
为设备设置策略.
请参阅配置文件和策略(第86页).
创建任务捆绑包.
请参阅任务捆绑包(第237页).
配置可用的自助服务门户.
请参阅配置自助服务门户(第26页).
对注册的设备应用新的或更新后的策略.
版权所有SophosLimited7SophosMobile5报告您可以为SophosMobile管理的内容创建报告.
1.
在侧边的菜单栏上,单击通知下的报告,然后单击所需报告的名称.
2.
在选择格式对话框中,单击其中一个可用的图标,选择输出格式︰单击可将报告导出到MicrosoftExcel文件.
单击可将报告导出到CSV文件.
报告将保存到您的计算机.
8版权所有SophosLimitedSophosMobile6任务任务视图页面提供了您创建和启动的所有任务的概况,并显示它们的当前状态.

您可以监视您的所有任务,并在出现问题时进行干预.
例如,您可以删除不能完成但又影响设备的任务.
要删除任务,请单击它旁边的删除图标.
可以根据类型和状态对任务进行筛选,并按设备名称、数据包名称、创建人和计划日期对它们排序.

6.
1监视任务在SophosMobileAdmin中,您可以监视设备的所有现有任务.
任务页面显示最近几天内所有未完成、失败以及已完成的任务.
任务视图页面会自动刷新,因此可以查看任务的状态.
任务详细信息页面显示来自任务页面或任务存档页面中的任务的常规信息.

任务存档页面显示所有任务.
6.
1.
1查看未完成、失败和最近完成的任务1.
在侧边的菜单栏中,单击通知下的任务.
2.
在任务视图页面上,状态列显示任务状态,例如,完全失败.
3.
在刷新间隔(秒)字段中,可以选择任务视图页面多长时间刷新一次.
4.
要查看任务的详细信息,请单击所需任务旁边的显示放大镜图标.
将显示任务详细信息页面.
除有关任务的一般信息(如设备名、软件包名称和创建人)以外,它还会显示特定任务运行的状态,包括时间戳和错误代码.
如有需要设备执行的命令,可使用任务详细信息页面上的附加详细信息按钮.
5.
如可用,请单击详细信息以查看需要设备处理的命令.
如果没有出错,错误代码为0.
如果某个命令失败,将显示错误代码.
在大多数情况下,还会有导致命令失败的原因的说明.
6.
要返回任务详细信息页面,请单击返回.
6.
1.
2查看任务存档1.
在侧边的菜单栏中,单击通知下的任务.
2.
在任务视图页面中,单击任务存档.
将显示任务存档页面.
它会显示系统中所有完成和失败的任务.
3.
在此页面上,可以:单击重新加载,刷新任务存档页面.
通过单击相关任务旁边的删除图标,从存档中删除任务.
选中多个任务并单击删除选中内容按钮,将它们从存档中删除.
要返回任务视图页面,请单击侧边菜单栏中的任务.
版权所有SophosLimited9SophosMobile6.
1.
3任务状态下表概述了任务视图和任务存档页面中显示的任务状态.
每种状态都与指示状态类别的颜色代码相关联.
颜色代码状态说明接收任务已创建.
将重试稍后将重试任务.
已开始任务已开始.
正在执行正在准备执行任务.
正在执行任务捆绑包正在准备执行任务捆绑包.
通知已通知SophosMobileControl应用.
发送命令SophosMobileControl应用已接收软件包和/或命令.
开始结果评价SophosMobileControl应用已响应且已开始评价结果.
结果不完整评价结果表明,目前并非所有命令结果均已收到.
等待用户介入设备上有待定的用户操作.
等待任务完成安装任务已发送到设备,但完成任务需要一些时间.
设备被锁定任务等待设备解锁(iOS).
成功已安装软件包或已成功执行命令.
注释对于SophosMobileControl应用的初始配置,任务必须以已安装状态完成.
已安装已成功安装SophosMobileControl应用.
设备现在已设置.
结果评价失败结果评价无法执行.
任务部分失败并非所有任务命令均可成功执行.
10版权所有SophosLimitedSophosMobile颜色代码状态说明延迟稍后将重启任务.
失败(等候重试)任务已失败,稍后将重试该任务.
任务失败任务已失败,不再等候进一步重试.
完全失败任务已失败,且不能再重试.
未开始任务是任务捆绑包的一部分,且尚未处理.
已跳过设备不支持.
任务包执行继续执行下一个任务.
未知服务器没有有关任务状态的信息.
颜色代码类别打开正在执行成功失败其他版权所有SophosLimited11SophosMobile7警报警报页面列出了需要您注意的警报.
对于每个警报,列表显示引起警报的事件、发生时间以及受影响的用户和设备.

该列表还显示警报的严重性:灰色信息标志信息警报橙色警告标志中等优先级警报红色警告标志高等优先级警报确认已知警报选择一个或多个警报,然后单击标记为已确认以从列表中删除所选警报.
要显示已确认的警报,请在表格上方的下拉列表中选择显示已确认的警报.
注释确认警报并不能解决触发它的事件.
重要提示90天后,即使您尚未确认,警报也会自动从SophosMobile数据库中删除.
设置警报的电子邮件报告SophosMobile发送尚未确认的所有警报的电子邮件报告.
有关如何设置收件人列表和通知时间表的信息,请参阅配置电子邮件(第14页).
哪些事件触发警报为以下事件创建警报:您已为其开启创建警报操作的合规性违反情况.
设备生命周期的变化以及重要的设备操作.
许可证和证书即将过期.
其他需要注意的事项.
12版权所有SophosLimitedSophosMobile8安装在安装菜单部分可以配置SophosMobile的一般行为、与设备的交互以及与外部组件(如Google或Apple门户)的交互.
8.
1配置个人设置您可以根据自己的喜好调整SophosMobileAdmin的外观.
例如,您可以设置语言、时区或可见的设备平台.
注释这些设置只影响您当前用于登录的管理员帐户.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击个人选项卡.
2.
配置以下设置:选项说明语言用户界面语言.
时区显示日期的时区.
单位系统长度单位(公制或英制).
表格中每个页面的行数每个表页显示的最大条目数.
专家模式此设置开启附加功能:显示设备页面包括带有自定义设备属性的自定义属性选项卡.
显示设备页面包括带有附加属性设备报告的内部属性选项卡.
多个策略配置页面包括用于配置可选设置的额外设置部分.
激活的平台您要查看的设备平台.
在SophosMobileAdmin中,只显示与所选平台相关的页面和设置.
3.
单击保存.
8.
2配置密码策略为加强密码安全性,请为SophosMobileAdmin用户和自助服务门户配置密码策略.
版权所有SophosLimited13SophosMobile注释密码策略不适用于外部LDAP目录中的用户.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击密码策略选项卡.
2.
在规则下,可以定义密码要求,如有效密码必须包含的小写、大写或数字字符的最小数目.

3.
在设置下,配置以下设置:a)更改密码的间隔天数(天):输入密码过期之前的天数(1和730之间),或将该字段保留为空以禁用密码过期.
b)不得重复使用的旧密码的数目:选择1和10之间的值,或选择---禁用此限制.
c)登录尝试失败的最大次数:选择帐户被锁定之前可以尝试的失败登录次数(1和10之间),或选择---允许无限次失败的登录尝试.
4.
单击保存.
8.
3配置SMC应用设置在常规设置页面的SMC应用选项卡上,可以为Android、iOS和WindowsMobile设备上的SophosMobileControl应用配置设置.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击SMC应用程序选项卡.
2.
配置以下设置:选项说明禁用通过应用程序取消注册可以从SophosMobileControl应用删除取消注册按钮,防止用户通过该应用取消其设备注册.
注释要完全防止用户启动的取消注册,也可以在自助服务门户设置中禁用取消设备注册选项.
请参阅配置自助服务门户设置(第26页).
3.
单击保存.
8.
4配置电子邮件在邮件配置选项卡上,您可以配置由SophosMobile发送的电子邮件的设置.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击邮件配置选项卡.
2.
在语言中,选择电子邮件语言.
3.
在发件人名称,输入显示为电子邮件发件人的名称.
4.
可选:在警报电子邮件设置下,配置发送给管理员的警报报告:a)在严重性中,选择报告中包含的严重性级别.
b)在邮件收件人中,通过输入一个或多个有效的电子邮件地址来指定收件人.
c)在电子邮件计划中,输入报告发出的时间,然后单击添加.
重复此操作,每天发送多个报告.
14版权所有SophosLimitedSophosMobile注释时间在服务器时区中.
5.
单击保存.
相关概念警报(第12页)8.
5配置IT部门联系人提供IT部门联系人详细信息,以便用户遇到问题时可以寻求帮助.
您在此处输入的信息将显示在自助服务门户以及用户的设备上.
1.
在侧边的菜单栏中,单击设置下的安装>常规,然后单击IT部门联系人选项卡.
2.
输入联系人信息.
3.
单击保存.
8.
6配置隐私设置您可以在SophosMobileAdmin中关闭以下与隐私有关的设置:设备定位关闭后,您将不能查看设备位置.
用户仍然可以在自助服务门户中查看其设备的位置.
已安装的应用关闭后,您将不能查看设备上安装的应用.
设备详细信息中的已安装的应用选项卡将不显示,且每个设备的应用报告不可用.
您仍然可以查看所有设备安装的应用的摘要报告.
要配置隐私设置:1.
在侧边的菜单栏上,在设置下,单击安装>常规然后单击隐私条款选项卡.
2.
要关闭设备位置查看功能,请单击禁止管理员定位设备.
3.
要关闭安装应用的显示,请单击隐藏安装的应用.
注释SophosMobile将记录以下与私隐有关的事件:管理员请求设备位置.
用户在自助服务门户中请求设备位置.
在SophosMobileAdmin中开启或关闭设备位置查看功能.
在SophosMobileAdmin中开启或关闭安装应用的查看.
版权所有SophosLimited15SophosMobile8.
7配置iOS设置在Apple设置页面的iOS选项卡上配置iOS设备的设置.
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击iOS选项卡.
2.
配置以下设置:选项说明激活锁定跳过选择启用可以在受监督的设备上清除激活锁定.
选中此选项后,SophosMobile将在同步已启用激活锁定的受监督设备时检索跳过代码.
如果需要,可以在设备的显示设备页面上执行激活锁定跳过操作,在需要擦除和重新部署设备时清除激活锁定.
激活锁定是iOS的一项安全功能,可以防止重新激活丢失或被盗的设备.
通常,需要正确的AppleID和密码才能清除激活锁定.
使用激活锁定跳过功能,只需要提供跳过代码就可以清除激活锁定.
同步设备名称选中启用可以通过设备上配置的名称来管理iOS设备.
如果选中此选项,SophosMobile使用的设备名称将在SophosMobile每次同步设备时设置.
如果不选择此选项,可以在设备注册时设置设备名称.
3.
单击保存.
8.
8Apple推送通知服务证书要使用iOS和macOS设备的内置移动设备管理(MDM)协议,SophosMobile必须使用Apple推送通知服务(APNs)触发设备.
SophosMobile按客户管理APNs证书.
必须为使用的每个客户创建并上传证书.
APNs证书的有效期为一年.
8.
8.
1创建APNs证书前提条件:您还没有将Apple推送通知服务(APNs)证书上传到SophosMobile.
要续订现有证书,请参阅续订APNs证书(第17页).
提示您可以对多个客户使用相同的证书.
请参阅复制APNs证书到其他客户(第18页).
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击APNs选项卡.
2.
单击APNs证书向导.
3.
在模式页面上,单击创建新的APNs证书.
4.
在CSR页面上,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
签名请求文件特定于当前客户.
16版权所有SophosLimitedSophosMobile5.
您需要AppleID.
即便您已经有ID,我们还是建议您创新一个新的ID用于SophosMobile.
在AppleID页面上,单击在Apple门户中创建AppleID.
将打开一个Apple网页,您可以在其中为您的公司创建AppleID.
注释将凭据存储在一个您的同事可以访问的安全地方.
您的公司每年都需要这些凭据来续订证书.

6.
在向导中,将新的AppleID输入AppleID字段.
7.
在证书页面上,单击在Apple门户中创建证书.
将打开Apple推送证书门户.
8.
用您的AppleID登录,并上传证书签名请求文件apple.
csr.
9.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
10.
在上传页面上,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
11.
单击保存.
SophosMobile读取证书,并在APNs选项卡上显示证书详细信息.
8.
8.
2续订APNs证书前提条件:您已经上传了Apple推送通知服务(APNs)证书到即将过期且需要续订的SophosMobile.
要创建和上传新证书,请参阅创建APNs证书(第16页).
重要提示在Apple门户中,选择正确的APNs证书进行续订很重要.
如果续订了错误的证书,可能需要重新注册所有iOS和macOS设备.
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击APNs选项卡.
2.
单击APNs证书向导.
3.
在模式页面上,单击续订我的APNs证书.
4.
在CSR页面上,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
签名请求文件特定于当前客户.
5.
在AppleID页面上,将显示用于创建初始APNs证书的AppleID.
登录Apple门户需要此ID.
6.
在证书页面上,单击在Apple门户中续订证书.
将打开Apple推送证书门户.
7.
使用向导中显示的AppleID登录.
8.
在Apple推送证书门户中,单击SophosMobileAPNs证书旁边的续订.
9.
上传您之前准备的证书签名请求文件apple.
csr.
10.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
11.
在上传页面上,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
12.
单击保存.
版权所有SophosLimited17SophosMobile重要提示如果显示以下消息,则不是在续订正确的证书:新证书的主题不符合旧证书.
如果设备已经用先前证书进行设置,则必须重新进行设置.
确定要保存更改此消息表明您将使用不同的标识符创建新的APNs证书.
如果您确认该消息,将不能再管理所有现有的iOS和macOS设备,并且您必须重新注册这些设备.
有关如何选择正确证书的信息,请参阅确定正确的APNs证书进行续订(第18页).
8.
8.
3复制APNs证书到其他客户您可以将Apple推送通知服务(APNs)证书复制到安装的相同或不同SophosMobile中的其他客户.
重要提示如果目标位置已经有APNs证书,要复制的证书的主题属性与现有证书的主题相同很重要.
如果复制了错误的证书,可能需要重新注册客户的所有iOS和macOS设备.
下载证书:1.
以要复制其APNs证书的客户的管理员身份登录到SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击APNs选项卡.
3.
记录APNs证书下显示的主题值.
4.
单击将证书下载为PKCS#12文件.
5.
在确认对话框中,将显示证书文件的密码.
记录该密码,然后单击下载.
将把证书文件apns_cert.
p12保存到您的本地计算机.
将证书上传到其他客户:6.
以要向其上传证书的客户的管理员身份登录到SophosMobileAdmin.
7.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击APNs选项卡.
8.
如果已经有APNs证书,请检查主题值是否与您要复制的证书的值相同.
9.
单击APNs证书向导.
10.
在模式页面上,单击上传来自其他SophosMobile客户的APNs证书.
11.
在AppleID页面上,输入用于创建要上传的APNs证书的AppleID.
12.
在上传页面上,单击上传证书,然后浏览并找到从其他客户下载的apns_cert.
p12文件.
13.
输入密码,然后单击确定14.
单击保存.
8.
8.
4确定正确的APNs证书进行续订如续订APNs证书(第17页)中所述,当您为SophosMobile服务器续订Apple推送通知服务(APNs)证书时,在Apple门户中选择正确的APNs证书进行续订很重要.
本节介绍如何确定当前上传到SophosMobile服务器的APNs证书.
检索证书标识符:1.
使用其APNs证书需要续订的客户的管理员帐户,登录到SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击APNs选项卡.
18版权所有SophosLimitedSophosMobile3.
记录APNs证书下显示的主题值.
确定证书:4.
使用您的Web浏览器打开Apple推送证书门户的URL:https://identity.
apple.
com/pushcert/.
如果您在MicrosoftInternetExplorer中使用Apple门户的某些功能时遇到问题,建议您改用最新版本的Firefox、Opera、Chrome或Safari浏览器.
5.
使用用于创建初始APNs证书的AppleID登录.
6.
在APNs证书的列表中,单击一个证书项旁边的证书信息图标.
将显示证书的详细信息.
7.
在对象DN字段中,找到字符串UID=后的值.
如果它与您在SophosMobileAdmin中确定的标识符相匹配,则说明您找到了正确的证书.
8.
8.
5检查设备的APNs连接SophosMobileControl应用的iOS用户可以检查他们的设备是否可以连接到Apple推送通知服务(APNs)服务器.
1.
在SophosMobileControl应用中,点击信息图标,打开关于屏幕.
2.
点击检查APNs.
该应用将尝试连接到AppleAPNs服务器.
预期的服务器响应时间为5秒或更少.
如果无法访问APNs服务器,请检查您的防火墙设置.
有关所需连接的列表,请参阅SophosMobile部署指南.
8.
9配置iOSAirPlay目标使用SophosMobile,可以触发iOS设备和预设AirPlay目标(如AppleTV)之间的AirPlay镜像.
注释AirPlay仅适用于在同一网络内的设备.
可以定义AirPlay镜像的目标.
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击iOSAirPlay选项卡.
2.
在AirPlay目标部分,单击创建AirPlay目标.
将显示AirPlay目标页面.
3.
输入设备名称,以及可选的AirPlay目标设备的MAC地址.
如果需要,请输入设备的密码.
4.
单击应用.
该设备将显示在Apple设置页面上iOSAirPlay选项卡中的AirPlay目标下.
5.
单击保存.
单击相关设备的显示设备页面上操作菜单中的请求AirPlay镜像,可以触发iOS设备和该目标间的AirPlay镜像.
8.
10Android设置在Android设置页面的Android选项卡上配置Android设备的设置:版权所有SophosLimited19SophosMobile设置Android管理模式(第20页)启用百度云推送服务(第21页)在您的Web服务器上托管Sophos应用(第20页).
配置SophosMobileControl应用的同步间隔(第21页).
8.
11设置Android管理模式对于Android设备,您可以选择设备管理员和Android企业管理模式.
设备管理员SophosMobileControl是设备管理员,使用Android移动设备管理(MDM)管理设备.
Android企业SophosMobileControl是设备或配置文件所有者,使用Android企业管理设备或设备上的工作区.
我们建议您使用Android企业.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android选项卡.
2.
在管理模式中,为Android设备选择管理模式.
3.
单击保存.
此设置影响用户界面中可用的策略类型.
如果选择Android企业模式,您必须先为您的组织设置Android企业,然后才能注册设备.
请参阅设置Android企业-概述(第270页).
8.
12在您的Web服务器上托管Sophos应用您可以在内部Web服务器上,而非GooglePlay上托管用户在注册期间安装的Sophos应用.
重要提示此选项可能会引入安全风险.
当您在内部Web服务器上托管Sophos应用时,通常必须允许安装来自GooglePlay以外的应用.
请确保在移动设备上安装最新版本的应用.
定期从Sophos产品下载和更新网页将最新版本上传到您的Web服务器,然后使用任务捆绑包将其安装到设备上.
1.
以超级管理员帐户登录SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android选项卡.
3.
在选择安装源下,选择托管的APK文件.
4.
在SMCAPK文件的URL中输入SophosMobileControl应用的URL.
例如,如果您已经将APK文件复制到Web服务器部署目录下的smc子目录,请输入以下URL:/smc/smc.
apk设备必须能够访问该URL.
5.
同样,在SMSecAPK文件的URL中输入SophosMobileSecurity应用的URL.
这将需要MobileAdvanced许可证.
6.
单击保存.
20版权所有SophosLimitedSophosMobile8.
13配置SophosMobileControl应用的同步间隔SophosMobileControl应用在以下时间与SophosMobile服务器同步:立即,即当它需要通报设备侧变化时.
根据请求,即当服务器通过推送通知服务GoogleCloudMessaging(GCM)和可选的百度云推送触发时.
按设定的时间,默认为每24小时.
如果需要,您可以使用更短的时间间隔进行设定时间同步.
对于SophosMobileonPremise,该选项由超级管理员配置.
重要提示24小时的默认值在大多数情况下已经足够.
建议您仅在推送通知服务在您的环境中不起作用时才使用较短的间隔.
使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务器负载.

要配置SophosMobileControl应用在Android设备上使用的同步间隔:1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android选项卡.
2.
在SMC应用程序同步间隔下,从同步间隔列表中选择一个介于15分钟和24小时的值.
3.
单击保存.
8.
14启用百度云推送服务SophosMobile使用GoogleFirebaseCloudMessaging(FCM)服务向Android设备发送推送通知,从而触发设备与SophosMobile服务器通信.
在中国,FCM可能无法使用.
因此,SophosMobile还可以使用百度云推送服务,这是中国的推送通知服务.
如果要管理位于中国的Android设备,请按以下步骤启用百度云推送服务:1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android选项卡.
2.
在百度云推送服务部分,选择启用百度云推送服务.
3.
单击保存.
启用百度云推送服务后,SophosMobile将通过FCM和百度云推送服务发送所有推送通知.
8.
15注册SamsungKnox许可证如果您有SamsungKnoxPremium许可证,则可以通过SophosMobile管理您的Samsung设备上的Knox容器.
要注册SamsungKnoxPremium许可证密钥:1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击SamsungKnox许可证选项卡.
2.
输入您的SamsungKnoxPremium许可证密钥.
您可以输入KPEPremium类型或KLMWorkspace类型的许可证密钥.
3.
单击保存.
版权所有SophosLimited21SophosMobile如果您以后决定不在SophosMobile中使用SamsungKnoxPremium许可证,可单击删除取消该许可证密钥的注册.
8.
16配置Windows设备的轮询间隔对于Windows设备,可以配置WindowsMDM客户端和SophosMobile服务器进行通信的轮询间隔.
服务器通常使用推送通知联系客户端.
推送通知服务不可用时,使用轮询作为安全方式.

注释默认值在大多数情况下已经足够.
使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务器负载.
1.
在侧边的菜单栏中,单击设置下,单击安装>Microsoft设置然后单击Windows选项卡.
2.
为不同的Windows操作系统选择轮询间隔.
可以为以下设备配置单独的设置︰Windows10移动版和WindowsPhone8.
1设备Windows10计算机3.
单击保存.
8.
17检查您的许可证SophosMobile采用基于用户的许可证授权方案.
一个用户许可证对分配给该用户的所有设备都有效.

每个未分配给用户的设备都需要一个许可证.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击许可证选项卡.
将显示以下信息:最大许可证数目:可以管理的设备用户(和未分配的设备)的最大数目.
如果超级管理员没有为客户设置配额,许可证的数量将受SophosMobile服务器的总量限制.
使用的许可证:在用的许可证数量.
有效期至:许可证的到期日期.
高级许可证:超级管理员已经为客户激活了MobileAdvanced许可证.
如果您对显示的许可证信息有任何问题或疑问,请联系您的Sophos销售代表.
8.
18简单证书注册协议(SCEP)通过SophosMobile,您可以将证书分发给使用简单证书注册协议(SCEP)的设备.
您可以在设备配置文件(Android和iOS)或策略(WindowsMobile)的SCEP配置中定义设备所需的设置.
8.
18.
1前提条件为使用简单证书注册协议(SCEP),必须满足以下条件:环境中有支持SCEP的WindowsCA.
22版权所有SophosLimitedSophosMobile对于可以创建质询代码的用户,有可用的登录凭据.
SophosMobile服务器拥有通过http或https访问以下站点的权限:—https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN—https://YOUR-SCEP-SERVER/CertSrv/MSCEP8.
18.
2配置SCEP1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击SCEP选项卡.
2.
指定以下内容:a)在SCEP服务器URL字段中,输入https://您的SCEP服务器/CertSrv/MSCEP.
b)在质询URL字段中,输入https://您的SCEP服务器/CertSrv/MSCEP_ADMIN.
注释如果您将Windows2003服务器用作SCEP服务器,请输入https://您的SCEP服务器/CertSrv/MSCEP.
c)在用户和密码字段中,输入可以创建质询代码的用户的用户凭据.
注释在用户字段中,输入有权注册证书的用户.
使用登录格式:用户名@域d)在质询字符字段中,选择用于质询密码的字符类型.
e)在质询长度字段中,接受默认的长度.
f)可选:如果要在连接SCEP服务器时让SophosMobile绕过HTTP代理,请清除使用HTTP代理选项.
此选项仅在HTTP代理启用时才可用.
对于SophosMobileonPremise,超级管理员可以配置SophosMobile用于出站HTTP和SSL/TLS连接的HTTP代理.
请参阅SophosMobile超级管理员指南.
对于SophosMobile即服务,HTTP代理始终启用.
3.
单击保存.
SophosMobile测试与SCEP服务器的连接.
要使用SCEP部署配置文件,您必须将SCEP配置添加到Android或iOS设备配置文件或WindowsMobile策略中.
提示在配置文件或策略中,可以配置设备自动请求证书更新的间隔.
8.
19创建客户属性可以创建客户级别的属性.
使用我的属性名称创建属性时,可以使用%_CUSTPROP(我的属性)_%占位符表示属性值.
例如,可以用它来引用特定于客户的域.
有关占位符的详细信息,请参阅配置文件和策略中的占位符(第91页).
版权所有SophosLimited23SophosMobile要创建客户属性:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击客户属性选项卡.
2.
单击添加客户属性.
3.
为客户属性输入名称和值.
4.
单击应用.
5.
单击保存.
客户属性将添加到SophosMobile客户.
8.
20配置SSL/TLS证书在Sophos设置页面的SSL/TLS选项卡上,配置用于在SophosMobile服务器和客户端之间进行安全连接的SSL/TLS证书.
有关详细信息,请参阅SophosMobile超级管理员指南.
8.
21配置EAS代理在Sophos设置页面的EAS代理选项卡上配置用于在托管设备和您的电子邮件服务器之间过滤电子邮件数据流的EAS代理服务器.
有关详细信息,请参阅SophosMobile超级管理员指南.
8.
22配置网络访问控制在Sophos设置页面的NetworkAccessControl选项卡上配置与网络访问控制(NAC)系统的连接.
有关详细信息,请参阅SophosMobile超级管理员指南.
8.
23配置电子邮件服务器连接在Sophos设置页面的SMTP选项卡上配置SMTP电子邮件服务器连接.
有关详细信息,请参阅SophosMobile超级管理员指南.
8.
24配置代理服务器连接在Sophos设置页面的HTTP代理选项卡上配置SophosMobile用于HTTP和SSL/TLS连接的代理服务器连接.
有关详细信息,请参阅SophosMobile超级管理员指南.
8.
25配置门户访问权限在Sophos设置页面的Web门户选项卡上配置对SophosMobileAdmin和自助服务门户的访问权限.
24版权所有SophosLimitedSophosMobile有关详细信息,请参阅SophosMobile超级管理员指南.
8.
26配置文件上传限制在Sophos设置页面的上传文件选项卡上配置上传的应用和文档的文件大小限制.

有关详细信息,请参阅SophosMobile超级管理员指南.
8.
27开启审核日志在Sophos设置页面的审核日志记录选项卡上对用户在SophosMobileAdmin中执行的所有操作开启日志记录.
有关详细信息,请参阅SophosMobile超级管理员指南.
8.
28创建系统消息在Sophos设置页面的系统消息选项卡上,创建将显示在SophosMobileAdmin和自助服务门户登录页面的系统消息.
有关详细信息,请参阅SophosMobile超级管理员指南.
版权所有SophosLimited25SophosMobile9配置自助服务门户使用自助服务门户,可以通过允许用户自己注册设备并执行其他任务来减少IT工作量,而无需联系支持人员.
通过自助服务门户配置,您可以定义:允许使用自助服务门户的用户组.
用户可以注册的设备类型.
用户可以执行的设备操作.
自助服务门户可用于以下平台:AndroidiOSmacOSWindowsMobileWindows9.
1配置自助服务门户设置重要提示由于自助服务门户设置配置的复杂性,我们建议您在向实际用户推出这些设置前,对不同的用户组进行设备注册测试.
1.
在侧边的菜单栏中,单击设置下的安装>自助服务门户.
2.
单击注册文本,然后添加使用条款文本和注册后文本.
将这些文本分配给自助服务门户配置后,它们将分别在注册前后显示.
有关详细信息,请参阅创建注册文本(第27页).
3.
在自助服务门户配置页面上,单击添加创建配置.
您可以创建多个配置,并将它们分配给不同的用户组.
4.
配置以下设置:选项描述名称配置的名称.
在自助服务门户中,用户通过这个名称选择配置.
用户组单击添加,然后输入用户组.
配置将应用于该组的所有成员.
您可以向配置添加多个用户组,但不能将同一用户组添加到不同的配置.
最大设备数目用户可以在自助服务门户中注册的最大设备数目.
操作单击显示,然后选择用户可以在自助服务门户中执行的管理操作.
26版权所有SophosLimitedSophosMobile选项描述有关设备平台支持的操作的详细信息,请参阅可用的自助服务门户操作(第28页).
5.
单击添加,然后单击要配置的设备平台.
6.
在配置平台设置对话框中,配置以下设置:选项描述显示名称平台设置的名称.
在自助服务门户中,用户通过这个名称选择注册类型.
描述平台设置的描述.
此描述将显示在自助服务门户中的名称旁边.
所有者使用此配置注册的设备的所有者模式(公司或个人).
设备组向其添加设备的设备组.
注册包发送到设备的任务捆绑包(适用于Android、iOS和macOS)或策略(适用于Windows和WindowsMobile).
使用条款要在注册之前在自助服务门户中显示的文本.
将此字段留空将不显示文本.
用户必须同意该文本,才能继续注册.
注册后文本要在注册之后在自助服务门户中显示的文本.
将此字段留空将不显示文本.
7.
单击应用,将平台设置添加到自助服务门户配置.
8.
根据需要配置其他平台.
对于每个平台,您可以为公司设备和个人设备配置不同的设置.
9.
在编辑自助服务门户配置页面上,单击保存.
根据需要,为其他用户组添加更多的自助服务门户设置.
在自助服务门户配置页面上,可以使用配置旁边的箭头图标修改其优先级.
如果自助服务门户用户匹配多个配置(因为他们是多个组的成员),将使用最高优先级的配置.
始终会有一个Default配置.
此配置的优先级最低,因此只有在没有其他配置与用户匹配时才会使用.
9.
2创建注册文本自助服务门户配置可以包括分别在注册前后显示的使用条款文本和注册后文本.
您可以在自助服务门户配置中分别创建这些文本,然后根据需要进行分配.
1.
在侧边的菜单栏中,单击设置下的安装>自助服务门户.
2.
单击注册文本,然后单击要创建的文本类型:使用条款:在注册前显示的移动政策、免责声明或协议文本.
用户必须同意该文本,才能继续注册.
版权所有SophosLimited27SophosMobile注册后文本:在注册后显示的文本,例如,用户必须在注册后执行的任务的描述.
3.
在编辑注册文本页面上,输入文本的名称和文本本身.
您可以使用HTML标记格式化文本.
4.
单击保存.
配置自助服务门户设置时,您可以为每一种注册选择一段使用条款文本和一段注册后文本.

相关任务配置自助服务门户设置(第26页)9.
3可用的自助服务门户操作自助服务门户操作让用户可以管理其设备.
您可以在自助服务门户配置中设置可用的操作.

操作说明平台定位设备在设备丢失或被盗时定位设备.
AndroidiOSWindowsMobileWindows锁定设备在设备丢失或被盗时锁定设备.
AndroidiOSmacOSWindowsMobile重新配置设备重新配置SophosMobileControl应用,例如,如果用户意外将其卸载.
AndroidiOSmacOSWindowsMobileWindows显示违反兼容性对于不合规的设备,显示详细的合规性违反情况.
AndroidiOSmacOSWindowsMobileWindows28版权所有SophosLimitedSophosMobile操作说明平台刷新数据同步设备和SophosMobile服务器.
根据您的合规性策略,未定期同步(如长时间关闭)的设备可能会变为不合规.
如果出现这种情况,用户可以执行此操作使设备再次合规.
注释在SophosMobile只管理Sophos容器的设备上,此功能不可用.
AndroidiOSmacOSWindowsMobileWindows重置密码重置锁屏密码.
对于Android和iOS设备,SophosMobile将设置临时密码.
用户解锁设备后,他们必须设置新密码.
对于处于配置文件所有者模式的Android企业设备,将重置工作配置文件的密码.
对于iOS设备,SophosMobile将删除密码.
用户必须在60分钟内设置新密码.
AndroidiOSWindowsMobile擦除如果设备丢失或被盗,则将其重置为出厂设置.
设备中的所有数据都将被删除.
AndroidiOSmacOSWindowsMobileWindows擦除Android工作配置文件从设备删除工作配置文件.
这将同时从SophosMobile取消设备注册.
Android取消设备注册从SophosMobile取消设备注册.
AndroidiOSmacOSWindowsMobileWindows删除未托管的设备从SophosMobile删除设备.
AndroidiOSmacOSWindowsMobileWindows重置应用保护密码重置AppProtection密码.
用户必须输入此密码,才能使用您定义为受保护的应用.
Android版权所有SophosLimited29SophosMobile操作说明平台重置Sophos容器密码重置Sophos容器密码.
用户必须输入此密码,才能使用Sophos容器应用SophosSecureEmail和SophosSecureWorkspace.
AndroidiOS重新配置SMC应用程序重新配置已经安装的SophosMobileControl应用.
iOSWindowsMobile托管的丢失模式开启或关闭托管的丢失模式.
iOS播放丢失模式声音在处于托管的丢失模式下的设备上播放声音.
iOS相关任务配置自助服务门户设置(第26页)30版权所有SophosLimitedSophosMobile10合规性策略合规性策略可用于:允许、禁止或强制执行设备的某些功能.
定义违反合规性规则时执行的操作.
您可以创建不同的合规性策略,并将它们分配到设备组.
这样就可以对托管设备应用不同的安全级别.
提示如果要同时管理公司和个人的设备,我们建议至少为这两类设备分别定义合规性策略.

10.
1创建合规性策略1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
在合规性策略页面上,单击创建合规性策略,然后选择策略将基于哪个模板:默认模板:一组合规性规则,未定义操作.
PCI模板,HIPAA模板:分别基于HIPAA和PCIDSS安全标准的合规性规则和操作.
您选择的模板不限制您的后续配置选项.
3.
为合规性策略输入名称,并选择性地输入描述.
对所有要求的平台重复以下步骤.
4.
确保每个选项卡上的启用平台复选框已选中.
如果此复选框未选中,将不会对该平台的设备进行合规性检查.
5.
在规则下,为特定的平台配置合规性规则.
注释每条合规性规则有固定的严重性级别(高、中、低),通过蓝色图标指示.
严重性有助于了解每条规则的重要性,以及违反该规则时应执行的操作.
注释如果SophosMobile管理Sophos容器而非整个设备,则这些设备中只能使用合规性规则的一个子集.
在突出显示规则中,选择管理类型以突出显示相关的规则.
6.
在如果违反规则下,定义违反规则时要执行的操作:选项说明拒绝电子邮件禁止访问电子邮件.
只有在超级管理员配置了与内部或独立EAS代理的连接后,才能执行此操作.
请参阅SophosMobile超级管理员指南.
此操作仅可用于Android、iOS、Windows和WindowsMobile设备.
版权所有SophosLimited31SophosMobile选项说明锁定容器禁用SophosSecureWorkspace和SecureEmail应用.
这将影响由这些应用管理的文档、电子邮件和Web的访问.
此操作只能在激活MobileAdvanced许可证后执行.
此操作仅可用于Android和iOS设备.
拒绝网络禁止访问网络.
只有在超级管理员配置了网络访问控制后,才能执行此操作.
请参阅SophosMobile超级管理员指南.
本操作不适用于SophosMobile仅管理Sophos容器的设备.
创建警报触发警报.
警报将显示在警报页面上.
传输任务捆绑包将特定的任务捆绑包传输到设备.
从列表中选择任务捆绑包,或选择无以便在违反合规性规则时不传输任务捆绑包.
此操作仅可用于Android、iOS、macOS和Windows设备.
重要提示如果使用不正确,可能会导致任务捆绑包配置错误,甚至擦除设备.
要为合规性规则分配正确的任务捆绑包,需要对系统有深入的了解.
注释当Android企业设备所有者模式的设备不合规时,将禁用所有应用.
7.
对所有要求的平台进行设置后,单击保存,以指定的名称保存合规性策略.

10.
2可用的合规性规则本节列出了可以为各个平台选择的合规性规则.
规则说明平台需要托管定义设备不再受到管理时将执行的操作.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT32版权所有SophosLimitedSophosMobile规则说明平台最低SMC版本输入必须在设备上安装的SophosMobileControl应用的最低版本.
AndroidAndroidThingsiOSWindowsMobile允许根目录访问选择是否允许设备具有Root权限.
注释对于EnterpriseAPI版本4或更高版本的Sony设备,或Knox版本5.
5或更低版本的Samsung设备,这包括所有被MDMAPI归入不安全类别的设备(例如因为解锁了bootloader).
Android必须兼容GoogleSafetyNet设备必须通过CompatibilityTestSuite(CTS)测试,这是一项针对Android兼容性的GoogleSafetyNet测试.
Android允许未知来源的应用选择是否允许使用未知来源的应用.
此规则只影响Android7.
x或之前版本的设备.
对于Android8,用于限制应用安装来源的系统设置已删除.
Android允许Android调试桥(ADB)选择是否允许ADB(Android调试桥).
Android允许越狱选择是否允许越狱设备.
iOS需要锁定屏幕选择是否需要设备密码或其他屏幕锁定机制(如图案或PIN).
对于Android,这包括显示屏锁定类型图案、PIN和密码,但不包括轻扫.
没有分配密码策略的WindowsMobile设备始终报告为不兼容.
这是Windows限制.
AndroidiOSWindowsMobileWindows最低OS版本选择要求的最早版本的操作系统.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT版权所有SophosLimited33SophosMobile规则说明平台最高OS版本选择允许的最新版操作系统.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT强制要求的OS更新选择设备是否必须安装了最新可用或最新必需的更新.
部分iOS更新由Apple分类为必需.
最新可用的更新可能比最新必需的更新更新一点.
iOS最大同步间隔设备同步事件之间允许的最大间隔.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT最大SMC同步间隔SophosMobileControl应用同步事件之间允许的最大间隔.
iOSWindowsMobile最大SMSec同步间隔SophosMobileSecurity应用同步事件之间允许的最大间隔.
AndroidiOS最大SMSec扫描间隔SophosMobileSecurity应用执行的恶意软件扫描之间允许的最大间隔.
Android允许拒绝SMSec权限SophosMobileSecurity需要设备上的权限才能正常工作.
用户必须在安装该应用时授予这些权限.
选择拒绝要求的权限是否会造成违反合规性.
Android允许恶意软件应用选择是否允许SophosMobileSecurity检测到的恶意软件应用程序.
Android允许可疑应用选择是否允许SophosMobileSecurity检测到的可疑应用程序.
Android34版权所有SophosLimitedSophosMobile规则说明平台允许PUA选择是否允许SophosMobileSecurity已经检测到的可能不需要的应用(PUA).
Android需要加密选择是否要求对设备加密.
用户还必须在他们设置屏幕锁定时,启用启动设备需要PIN或启动设备需要密码设置.
(请参阅Sophos知识库文章123947).
对于macOS,此设置适用于FileVault全盘加密.
对于WindowsMobile,只有在设置了限制禁止未加密设备的情况下,才会报告违规.
这是Windows限制.
此规则不适用于iOS,因为iPhone和iPad始终是加密的.
AndroidmacOSWindowsMobileWindows允许的第三方配置文件允许不是由SophosMobile管理的配置文件.
iOS允许数据漫游允许数据漫游.
AndroidiOS容器已配置必须在设备上设置并启用容器.
这可以是Sophos容器、SamsungKnox容器或Android工作配置文件.
Android需要定位权限该设置表示定位功能.
选择用户是否必须在安装时允许SophosMobileControl应用检索定位数据以便确定为合规.
Android允许拒绝SMC权限SophosMobileControl应用需要设备上的权限才能正常工作.
用户必须在安装该应用时授予这些权限.
选择拒绝要求的权限是否会造成违反合规性.
Android应用可以定位必须开启定位服务,并且允许SophosMobileControl应用使用.
对于WindowsMobile,此规则只影响WindowsPhone8.
1设备.
iOSWindowsMobile需要防火墙必须开启macOS防火墙.
macOS版权所有SophosLimited35SophosMobile规则说明平台需要系统完整性保护必须开启系统完整性保护.
注释系统完整性保护是一项macOS安全功能,用于限制根用户可以执行的操作.
系统完整性保护可以在Mac设备从macOS恢复中启动时配置.
macOS需要安全更新必须开启macOS安全更新程序的自动安装.
macOS允许的应用/禁止的应用程序可以指定允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
如果指定允许的应用,则只允许列出的应用.
如果检测到其他应用,设备将不再合规.
注释将自动允许Android系统应用.
如果指定禁止的应用,检测到这些应用时,设备将不再合规.
AndroidiOSmacOS强制性应用指定必须安装的应用.
从列表中选择包含强制性应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
AndroidiOSmacOSWindows允许未托管的非商店应用允许通过IPA文件手动安装的应用.
这些是通过adhocprovisioningprofile签名的自开发应用.
iOS网站筛选已开启必须开启SophosMobileSecurity应用的网站筛选功能.
iOS必须开启WindowsDefender必须开启WindowsDefender的实时保护设置.
Windows需要清洁的WindowsDefender状态设备在WindowsDefender显示警报时将不合规.
Windows需要最新的WindowsDefender定义WindowsDefender必须使用最新的间谍软件定义.
Windows36版权所有SophosLimitedSophosMobile10.
3将合规策略分配到设备组1.
在侧边的菜单栏中,单击管理下的设备组.
将显示设备组页面.
2.
单击要为其分配合规性策略的设备组.
始终会有一个可用的默认设备组.
有关如何创建自己的设备组的信息,请参阅创建设备组(第77页).
3.
在合规性策略下,选择要应用到公司和个人设备的合规性策略.
4.
单击保存.
所选合规性策略将显示在合规性策略(公司)和合规性策略(个人)下的相关设备组的设备组页面上.
10.
4检查设备合规性配置合规性策略后,可以检查注册的设备是否与这些策略相符.
1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
单击立即检查.
已检查所有注册设备的合规性.
将执行特定操作.
注释当Android企业设备所有者模式的设备不合规时,将禁用所有应用.
版权所有SophosLimited37SophosMobile11设备11.
1添加设备设备可以通过以下方式添加到SophosMobile:手动添加设备.
请参阅添加设备(第38页).
从CSV文件导入设备.
请参阅导入设备(第39页).
可以使用添加设备向导将设备添加到SophosMobile、将它分配给用户、对它注册和传递注册任务捆绑包.
请参阅使用添加设备向导(第41页).
允许用户在自助服务门户中自己注册设备.
请参阅配置自助服务门户(第26页).
该门户让用户无需联系支持人员就可以执行任务,减少了IT支持需求.
设备通过执行定义的任务捆绑包进行设置.
请参阅任务捆绑包(第237页).
建议使用设备组对设备进行分组,以方便管理.
请参阅设备组(第77页).
11.
1.
1添加设备我们建议您在将第一个设备添加到SophosMobile前,先创建一个或多个设备组.
然后可以将每个设备分配到一个设备组,从而简化设备管理.
请参阅创建设备组(第77页).
将新设备添加到SophosMobile:1.
在侧边的菜单栏中,单击管理下的设备.
将显示设备页面.
2.
单击添加,然后从手动添加设备菜单部分选择平台.
将显示编辑设备页面.
3.
在编辑设备页面上,输入以下设备详细信息:a)在名称字段中,为新设备输入一个唯一名称.
b)在描述字段中,为新设备输入一段说明.
c)在所有者下,选择企业或个人.
d)在电子邮件地址字段中,输入电子邮件地址.
e)在电话号码字段中,输入新设备的电话号码.
输入电话号码(以国际格式),如+491701234567.

f)在设备组下,选择设备要分配到的设备组.
有关如何创建设备组的信息,请参阅创建设备组(第77页).
4.
要向设备分配用户,请单击用户字段旁边的编辑用户分配图标,然后单击分配用户至设备.
有关更多信息,请参阅将用户分配到设备(第51页).
5.
要将自定义属性添加到设备,请转到自定义属性选项卡,并单击添加自定义属性.
有关更多信息,请参阅添加自定义设备属性(第59页).
6.
指定所有相关设备详细信息后,单击保存.
新设备将添加到SophosMobile中,并显示在管理下的设备页面上.
现在即可配置和管理该设备.
38版权所有SophosLimitedSophosMobile注释对于iOS设备,如果已按配置iOS设置(第16页)中所述将SophosMobile配置为与设备同步设备名称,在名称字段中输入的名称将替换为同步时设置的名称.
11.
1.
2导入设备您可以通过从CSV文件导入设备来添加新设备.
您可以导入最多500个设备.
用户和设备组必须已经在SophosMobile中可用.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入设备页面上,单击CSV示例下载示例文件.
要从CSV文件导入设备:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击添加导入设备.
3.
在导入设备页面上,单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
4.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
5.
单击完成以创建设备.
CSV文件中所列的设备将导入并显示在设备页面上.
现在即可注册和配置这些设备.

11.
2注册设备在SophosMobileAdmin中添加新设备之后,它们必须注册到SophosMobile.
注册类型SophosMobile支持两种注册类型:设备注册该注册类型提供了完整的移动设备管理(MDM)功能.
SophosMobile能够管理整个设备.
Sophos容器注册SophosMobile仅管理设备上的Sophos容器,但不管理设备本身.
Sophos容器可用于Android和iOS.
版权所有SophosLimited39SophosMobileSophos容器注册在以下情况中有用:您要管理自带设备(BYOD)方案.
有了Sophos容器注册,您的组织只能看到非常有限的设备信息,并且不会看到个人应用或数据.
您的设备受非SophosMDM软件管理,但您也想使用Sophos容器提供的功能,例如,使用SophosSafeGuardEnterprise进行的企业keyring同步.
您的设备受非SophosMDM软件管理,但您要配置其他电子邮件账户.
例如,当您的组织是一家咨询公司,并且您的员工需要访问客户的Exchange服务器时.
注册方法以下选项可用于注册设备:可以使用设备功能,注册单个、未管理的设备.
有关更多信息,请参阅注册单个设备(第40页).
您可以使用添加设备向导将设备添加到SophosMobile、将它分配给用户、注册它和传递注册任务捆绑包.
请参阅使用添加设备向导(第41页).
注释如果需要,可以使用添加设备向导或自动注册方法注册没有AppleID的iOS设备.
这可能很有用,比如在将设备交给用户前进行预配置时.
请参阅注册没有AppleID的iOS设备(第43页).
建议要对多个设备进行有效的注册和配置,建议采取以下方法:可以将注册设备、应用所需策略和安装所需应用(如iOS设备的托管应用)所需的任务捆绑在一起.
请参阅任务捆绑包(第237页).
您可以允许用户在自助服务门户中注册设备.
为此,在配置自助服务门户设置时将注册任务捆绑包包括在内.
有关如何在自助服务门户设置中选择任务捆绑包的详细信息,请参阅配置自助服务门户设置(第26页).
11.
2.
1注册单个设备1.
在侧边的菜单栏中,单击管理下的设备,然后单击要注册的设备.
2.
在显示设备页面上,选择注册类型:要将设备注册到SophosMobile,点击操作>注册.
要注册Sophos容器,点击操作>注册Sophos容器.
3.
若要进行Sophos容器注册,选择任务捆绑包或策略.
注册任务将启动,并显示在任务视图页面上.
将向用户发送带有注册说明的电子邮件.
40版权所有SophosLimitedSophosMobile重要提示在iOS12.
2或更高版本的设备中,必须在设置中安装下载的配置文件.
如果您没有在8分钟内安装配置文件,它将被删除,您必须重新开始.
此限制不适用于您使用Apple设备注册计划(DEP)或AppleConfigurator分配给SophosMobile的设备.
注释在Mac设备上,必须由将受到SophosMobile管理的用户执行注册.
要安装注册配置文件,用户必须输入管理员密码.
11.
2.
2使用添加设备向导使用添加设备向导很容易注册新设备.
它提供了可以合并以下任务的工作流:将新设备添加到SophosMobile.
可选:将用户分配到设备.
注册设备.
可选:将任务捆绑包传输到设备.
1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
提示另外,您可以通过单击添加设备小组件,从仪表板页面启动该向导.
2.
在用户页面上,输入搜索条件以查找将要分配该设备的用户,或选择跳过用户分配以注册尚未分配给用户的设备.
3.
在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户.
4.
在设备详细信息页面上,配置以下设置:选项说明平台设备平台.
只能选择对登录的客户启用的平台.
名称SophosMobile管理的设备的唯一名称.
描述设备的可选描述.
电话号码可选的电话号码.
输入国际格式的号码,如+491701234567.
邮件地址用于接收注册说明的电子邮件地址.
如果为该客户配置了用户管理,则是分配给该设备的用户的电子邮件地址.
如果没有配置用户管理,请在此处输入电子邮件地址.
所有者选择设备所有者类型:企业或个人.
设备组选择设备将要分配到哪个设备组.
如果还没有创建设备组,可以选择始终可选的默认设备组.
5.
在注册类型页面上,选择是要注册设备还是只注册Sophos容器.
版权所有SophosLimited41SophosMobile请参阅配置Sophos容器注册(第302页).
6.
选择传输到设备的任务捆绑包或策略.
或选择仅注册设备以注册设备但不传送任务捆绑包.

7.
在注册页面上,按说明完成注册操作.
重要提示在iOS12.
2或更高版本的设备中,必须在设置中安装下载的配置文件.
如果您没有在8分钟内安装配置文件,它将被删除,您必须重新开始.
此限制不适用于您使用Apple设备注册计划(DEP)或AppleConfigurator分配给SophosMobile的设备.
注释在Mac设备上,必须由将受到SophosMobile管理的用户执行注册.
要安装注册配置文件,用户必须输入管理员密码.
8.
注册成功完成后,单击完成.
注释完成所有选择后,可以关闭向导,不必等到完成按钮出现.
将在后台创建并处理注册任务.

如果选择在注册后向设备传输任务捆绑包,则可在任务视图页面上监控任务状态.
请参阅查看未完成、失败和最近完成的任务(第9页).
对于iOS设备,如果已按配置iOS设置(第16页)中所述将SophosMobile配置为与设备同步设备名,将忽略在名称字段中输入的名称,并使用设备上配置的名称.

11.
2.
3自动注册iOS设备可以对iOS设备进行配置,以便在设备激活过程中自动进行SophosMobile注册.
为此,可以使用AppleConfigurator2将设备分配给SophosMobileMDM服务器.
用户首次开启设备时,iOS设置助手将启动.
设置过程中,设备将自动进行SophosMobile注册.
注释有关AppleConfigurator2的详细说明,请参阅AppleConfigurator2用户指南(外部链接).
要配置通过SophosMobile自动注册iOS设备:1.
作为准备自动注册的一次性步骤,创建一个将在SophosMobile自动注册过程中分配给设备的设备组.
在设备组属性中,选中启用iOS自动注册选项.
请参阅创建设备组(第77页).
2.
记录在设备组的自动注册URL字段中显示的URL.
使用AppleConfigurator2配置设备时,需要此URL.
3.
将要自动注册的iOS设备连接到安装有AppleConfigurator2的Mac计算机的USB端口.
4.
在AppleConfigurator2中,使用PrepareAssistant设置设备配置.
5.
选择手动注册,然后输入设备组的自动注册URL.
6.
按PrepareAssistant提示的步骤进行操作.
可以选择配置设备激活的以下方面︰启用设备监管模式.
配置允许设备使用USB端口进行连接的主机计算机.
对于监管的设备,生成或选择"监管身份".
42版权所有SophosLimitedSophosMobile禁用iOS设置助手的配置步骤.
完成配置后,将设备交给用户.
用户首次开启设备时,将按配置执行iOS设置,并进行SophosMobile注册.
提示默认情况下,SophosMobile将管理自动注册的设备,所使用的名称由设备ID和设备类型组成.
此外,SophosMobile也可以使用在设备上配置的名称.
请参阅配置iOS设置(第16页)中的同步设备名称选项.
11.
2.
4注册没有AppleID的iOS设备通过SophosMobile注册iOS设备时,不必先将设备和AppleID相关联.
这可能很有用,比如在将设备交给用户前进行预配置时.
标准的注册方法包括在设备上安装SophosMobileControl应用.
因为从AppStore安装该应用,且访问AppStore需要AppleID,因此在开始注册前,需要关联设备和AppleID.
此外,可以注册iOS设备但不安装SophosMobileControl应用,因此不需要关联设备和AppleID.
这是由以下方法提供的︰自动注册方法.
请参阅自动注册iOS设备(第42页).
添加设备向导.
请参阅使用添加设备向导(第41页).
在向导中,执行以下操作︰1.
在注册页面上,选择在没有AppleID的情况下注册选项卡.
2.
使用设备的Web浏览器打开注册URL.
将打开SophosMobile注册表单.
3.
在该表单中输入令牌,然后单击注册.
4.
按设备上的说明安装注册任务捆绑包.
重要提示在iOS12.
2或更高版本的设备中,必须在设置中安装下载的配置文件.
如果您没有在8分钟内安装配置文件,它将被删除,您必须重新开始.
此限制不适用于您使用Apple设备注册计划(DEP)或AppleConfigurator分配给SophosMobile的设备.
11.
2.
5注册Android企业设备对于Android企业,设备通常在自助服务门户中注册.
如果您已经在SophosMobile中针对托管的GooglePlay帐户方案设置了Android企业,也可以通过添加设备向导注册设备.
前提条件:已经针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管GooglePlay帐户方案)(第271页).
已经创建了注册任务捆绑包.
根据任务捆绑包安装的策略类型,设备以Android企业设备所有者模式或配置文件所有者模式注册.
请参阅配置Android企业设备注册(第275页).
要以Android企业模式注册设备:版权所有SophosLimited43SophosMobile1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
2.
按照使用添加设备向导(第41页)中所述,使用添加设备向导启动注册.
对Android企业设备,执行以下操作:a)在用户页面上,选择搜索用户,然后输入搜索条件以查找要分配设备的用户.

b)在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户.
c)在设备详细信息页面的平台字段中,选择Android.
d)在注册类型页面上,为Android企业选择您的注册任务捆绑包.
注释在以Android企业设备所有者模式注册的设备上,只有以下应用可以使用:设置电话PlayStoreSophosMobileControl相机(如果您已经在限制配置中开启了允许照相机)11.
2.
6批量注册Android企业设备通过SophosNFCProvisioning应用,可以将公司所有的Android设备批量注册到SophosMobile.
在一个设备(主设备)上安装SophosNFCProvisioning应用,然后通过NFC将注册设置传递到要注册的设备上.
设备以Android企业设备所有者模式注册到SophosMobile.
前提条件:已经针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管GooglePlay帐户方案)(第271页).
主设备支持NFC.
要注册的设备是新的或已经重置为出厂设置,并且支持NFC.
1.
在主设备上安装来自GooglePlay的SophosNFCProvisioning应用.
2.
在SophosNFCProvisioning应用中,配置以下设置:您的公司Wi-Fi网络的连接详细信息.
新设备的时区和语言.
可选:自助服务门户的URL.
可选:跳过设备加密.
可选:跳过特定于供应商的设置.
可选:启用系统应用.
如果您开启此选项,将启用制造商预安装的所有应用.
如果您关闭此选项,将只启用以下应用:GooglePlayStore、Contacts、Messages、Phone.
对于以Android企业设备所有者模式注册的设备,Google建议开启此选项.
3.
点击准备传输,然后背靠背握住主设备和要注册的设备,并使NFC传感器对齐.
设备将设置并注册到SophosMobile.
要注册其他设备,请再次点击准备传输.
44版权所有SophosLimitedSophosMobile11.
2.
7注册AndroidThings设备要将AndroidThings设备注册到SophosMobile,您向它提供自定义的AndroidThings图片.
您可以对所有注册到SophosMobile的设备使用相同的图片.
前提条件:您已经设置了连接到您的本地IP网络并且安装了AndroidDebugBridge命令行工具(adb)的计算机.
adb是AndroidSDKPlatformTools软件包的一部分.
该软件包可以作为AndroidSDK的一部分安装,也可以作为独立软件包进行安装.
有关详细信息,请参阅GoogleAndroidDebugBridge文档.
要将AndroidThings设备注册到SophosMobile:1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
2.
按照使用添加设备向导(第41页)中所述,使用添加设备向导启动注册.
对于AndroidThings设备,请执行以下操作:a)在设备详细信息向导页面的平台字段中,选择AndroidThings.
b)在注册向导页面上,单击打开SophosMobile下载区域,然后从那里下载最新的SMCAndroidThings应用的APK文件.
3.
打开GoogleAndroidThingsConsole.
4.
按GoogleAndroidThingsConsole文档的描述,创建AndroidThings产品和build配置.
在AndroidThingsConsole的选择应用页面,添加SMCAndroidThings应用的APK文件.
5.
完成build配置后,下载您的AndroidThings图片.
6.
提供设备图片.
7.
如果您尚未进行此操作,请通过以太网或Wi-Fi将设备连接到您的本地IP网络.
8.
在安装了adb的计算机上,连接到该设备:adbconnect请将替换为设备的IP地址.
9.
使用添加设备向导或说明电子邮件中显示的命令,配置SMCAndroidThings应用:adbshellamstart-d""注释您可能会收到以下系统消息:Warning:Activitynotstarted,itscurrenttaskhasbeenbroughttothefront.
这可以忽略.
设备上的SMCAndroidThings应用将连接到您的SophosMobile服务器.
注册过程完成后,设备在SophosMobile中显示为托管状态.
相关信息GoogleAndroidThingsConsole(外部链接)GoogleAndroidThingsConsole文档(外部链接)GoogleAndroidDebugBridge(adb)文档(外部链接)11.
2.
8注册WindowsIoT设备本节介绍如何使用添加设备向导注册WindowsIoT设备.
前提条件:版权所有SophosLimited45SophosMobile您已将Windows10IoTCore闪烁到要注册的设备上.
您已将设备通过以太网或Wi-Fi连接到本地IP网络.
要使用SophosMobile注册WindowsIoT设备:1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
2.
按照使用添加设备向导(第41页)中所述,使用添加设备向导启动注册.
对于WindowsIoT设备,请执行以下操作:a)在设备详细信息向导页面的平台字段中,选择WindowsIoT.
b)在注册向导页面上,单击下载配置包,为SophosMobile下载带有配置包的.
ppkg文件.
此链接也可从说明电子邮件中获取.
3.
在连接到与WindowsIoT设备相同本地网络的Windows计算机上,使用文件资源管理器连接该设备.
在文件资源管理器地址栏中,输入以下地址,其中是设备的IP地址:\\\c$如果出现提示,请输入设备的管理员用户名和密码.
4.
将您从添加设备向导下载的.
ppkg文件复制到设备的C:\Windows\Provisioning\Packages文件夹.
注释该文件夹中只能有一个.
ppkg文件.
5.
重新启动设备.
重新启动后,WindowsIoT设备将执行配置包并连接到您的SophosMobile服务器.
注册过程完成后,设备在SophosMobile中显示为托管状态.
重要提示在显示设备页面上,取消注册设备之前,请勿执行设备操作设置为"非管理"或删除.
如果这样做,您必须先擦除设备,然后再重新注册.
要擦除它,您需要将Windows10IoTCore图像重新闪烁到设备上.
11.
3取消设备注册对于不再使用的设备,例如用户有新设备时,可以取消注册.
如果您限制了用户可以在自助服务门户中注册的设备数量,这将很有用.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
选择所需的设备,单击操作,然后单击取消注册.
将显示一条提示您确认是否要取消设备注册的消息.
注释可以选择多个设备进行取消注册操作.
3.
单击是.
设备将取消注册.
结果如下:Android设备:46版权所有SophosLimitedSophosMobile—SophosMobileControl设备管理员已禁用.
—服务器登录数据和所有其他接收到的数据都被删除.
—将重置容器应用(SophosSecureWorkspace和SophosSecureEmail)和SophosMobileSecurity应用.
iOS设备:—将删除所有配置文件.
—将卸载所有托管应用.
—将删除所有通过MobileDeviceManagement接收的证书.
—将重置容器应用(SophosSecureWorkspace和SophosSecureEmail).
Macs:—将删除所有策略.
—将删除所有通过MobileDeviceManagement接收的证书.
注释当用户在Android设备上禁用SophosMobileControl设备管理员时,SophosMobileControl应用将取消设备注册.
对于以设备所有者模式注册的Android企业设备,没有专用的取消注册操作.
要对此类设备取消注册,请将其擦除.
如果您已经针对托管的GooglePlay帐户方案设置了Android企业,用户将只能注册有限数量的设备.
在某些情况下,Google帐户在取消注册后可能仍然保留在设备上,并且设备仍然被认为已注册.
如果出现这种情况,请从设备上手动删除Google帐户.
11.
4管理设备在侧边菜单栏中的管理>设备和设备组下,可以跟踪所有设备和设备组,并执行各种管理任务.
添加设备至SophosMobile后,您可以执行以下操作,例如:查看并编辑设备详细信息.
允许或禁止设备访问电子邮件.
远程锁定或解锁设备.
重置设备密码.
设备丢失或被盗后远程擦除该设备.
解除设备授权(Android和iOS).
删除设备.
11.
4.
1查看设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
转到所需的设备,并单击其名称.
将显示所选设备的显示设备页面.
版权所有SophosLimited47SophosMobile提示在设备页面,可以将鼠标指向某些元素以显示额外的信息:指向设备的"不受管理"图标可显示实际状态,如取消注册或已检验.
指向设备的"不合规"图标可显示严重性级别(高、中、低).
11.
4.
2"显示设备"页面在显示设备页面中,将显示单个设备的所有相关信息.
在页面的上方,可以快速查看最重要的设备信息.
在页面的下方,将在多个选项卡上显示详细的设备信息.
显示的选项卡和信息取决于设备平台.

可以直接从显示设备页面切换至编辑设备页面.
要编辑正在查看的设备,请单击编辑.

状态显示必要的设备信息,如管理类型、管理状态和合规状态.
配置文件显示安装在设备上的配置文件(包括设置配置文件).
该选项卡还包含用于在设备上安装配置文件或删除配置文件的命令.
注释配置文件选项卡上不显示仅包含以下配置的iOS设备配置文件:漫游/热点壁纸这些配置未作为配置文件安装到设备上.
他们只设置用户稍后可能更改的设置.

提示表的搜索字段允许您通过配置文件ID进行搜索,即使表中未显示ID.
策略显示分配给设备的策略,并允许您分配更多的策略.
设备属性显示设备属性,例如型号属性、型号名称、OS版本以及设备是否取得root权限(Android)或越狱(iOS).
48版权所有SophosLimitedSophosMobile自定义属性显示自定义设备属性.
可以自已创建这些属性.
例如,如果没有ActiveDirectory连接可用,可在占位符中使用自定义设备属性.
编辑设备时,还可以在此处添加用户特定信息.

内部属性显示内部设备属性,例如允许的ActiveSync数据流、IMEI.
违反合规性只有不合规的设备才会显示此选项卡.
它显示设备的合规性违反情况,以及由于违反合规性而采取的操作.
有关这些操作的配置,请参阅创建合规性策略(第31页).
已安装的应用显示安装在设备上的软件.
不同平台上显示的信息不同.
大小列显示应用本身的磁盘空间使用量.
数据列显示应用用于用户数据、配置等的额外磁盘空间.

使用安装应用按钮,您可以在设备上安装软件.
也可以通过单击相关应用旁的删除图标,卸载设备上的应用.
注释对于SophosMobile仅管理Sophos容器的设备,Sophos容器之外的应用程序不会列出.
这包括用户从企业应用商店安装的应用.
对于iOS,标记为托管的应用可以静默地卸载.
请参阅iOS的托管应用(第258页).
对于Mac,将列出所有用户帐户的应用.
对于Windows,您只能卸载已经由SophosMobile安装的应用.
如果您试图卸载用户安装的应用,任务将失败.
您可以禁用已安装的应用选项卡.
请参阅配置隐私设置(第15页).
系统应用显示设备上的Android系统应用.
注释不能从设备上删除系统应用.
Knox应用此选项卡显示用户安装在SamsungKnox容器内的应用.
版权所有SophosLimited49SophosMobileKnox系统应用此选项卡显示安装在SamsungKnox容器内的系统应用.
扫描结果该选项卡显示SophosMobileSecurity在设备上执行的最后一次扫描的结果.
该选项卡仅在SophosMobileSecurity应用受SophosMobile管理的情况下可用.
请参阅管理SophosMobileSecurity(第296页).
证书显示设备上使用的证书.
对于Mac,将列出设备证书,但不列出用户证书.
对于Windows计算机,将列出用户存储中安装的证书,但不列出设备存储中安装的证书.

提示在表中,指向使用者或颁发机构值以显示证书详细信息.
任务此选项卡显示设备未完成和失败的所有任务,以及最近几天内完成的任务.
还可以在任务视图页面上查看这些任务,以及所有其他设备的任务.
请参阅监视任务(第9页).
11.
4.
3使用智能分组智能分组是基于您定义的筛选条件的动态设备集.
例如,您可以定义一个在过去3个月内创建的所有公司Android设备的智能分组.
要定义智能分组:1.
在设备页面上,单击设备列表上面的扩展筛选器.
2.
设置筛选条件.
3.
在智能分组中输入智能分组的名称并单击Create.
4.
执行以下任一操作:要将智能分组应用到设备列表,请单击筛选.
要关闭筛选窗口且不应用智能分组,请单击重置.
5.
要在以后应用智能分组,请单击设备列表上面的智能分组,然后选择一个条目.

提示智能分组或扩展筛选器激活后,表格标题中的筛选器图标将由蓝色变为绿色.

不再需要筛选器时,请记得重置筛选器.
否则,列表或报告可能不包括您所期望的结果.

其他智能分组操作:50版权所有SophosLimitedSophosMobile要取消智能分组,即再次显示所有设备,请单击扩展筛选器,然后单击重置.

要删除智能分组,请单击智能分组,然后单击要删除的智能分组旁边的垃圾桶图标.

要编辑智能分组,请先应用它,然后单击扩展筛选器,并进行所需的修改,然后单击Create.

要应用专用筛选器但不创建智能分组,请单击扩展筛选器,设置筛选条件,然后单击筛选.

11.
4.
4编辑设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
进行必要的修改.
4.
单击保存.
11.
4.
5将用户分配到设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标,然后单击选择列表中的相关条目:要将用户分配给尚未分配用户的设备,请单击将用户分配给设备.
要将其他用户分配给已经分配有用户的设备,请单击向设备重新分配用户.

要从LDAP目录重新加载用户列表,请单击更新用户列表.
4.
在分配对话框的输入用户搜索参数页面上,在一个或多个字段中输入搜索字符串,以查找将要分配设备的用户.
例如,输入用户名或部分用户名.
5.
在选择用户页面上选择用户,然后单击应用.
6.
在编辑设备页面上,单击保存.
11.
4.
6从设备取消用户分配1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标,然后单击从设备取消用户分配.
4.
在确认对话框中,单击是.
5.
单击保存.
11.
4.
7配置网络访问权限在配置设备的网络访问权限前,必须在SophosMobile中启用网络访问控制(NAC).
对于SophosMobileonPremise,NAC由超级管理员启用.
请参阅SophosMobile超级管理员指南.
对于SophosMobile即服务,NAC始终启用.
有两个选项用于配置设备的网络访问权限︰版权所有SophosLimited51SophosMobile1.
允许或无条件拒绝网络访问权限.
2.
在设备违反合规性规则时禁用网络访问权限,否则启用网络访问权限.
注释SophosMobile本身不控制网络访问权限.
而是提供了拒绝网络状态,外部NAC软件(如SophosUTM)可用它来阻止网络通信.
注释对于通过以太网连接的Mac设备,不能进行网络访问控制.
SophosMobile只能检索Mac设备Wi-Fi网络适配器的Mac地址,不能检索其以太网适配器的Mac地址.
因为设备是通过Mac地址识别的,所以当外部NAC软件向SophosMobile询问设备的网络状态时,通过以太网端口连接到网络的Mac设备将被视为未知设备.
要配置设备的网络访问权限:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,选择要为其设置网络访问模式的设备.
3.
单击操作,然后单击设置网络访问权限.
4.
选择网络访问模式︰允许:允许选定的设备访问网络.
拒绝:拒绝选定的设备访问网络.
自动模式:根据设备的合规性状态决定选定设备的网络访问权限.
5.
单击是保存修改.
注释您不能拒绝SophosMobile仅管理Sophos容器的设备的网络访问.
有关如何在合规性规则中配置网络访问权限的信息,请参阅创建合规性策略(第31页).
11.
4.
8扫描设备注释此功能需要MobileAdvanced类型的许可证.
您可以在SophosMobile管理SophosMobileSecurity应用的Android设备上执行设备扫描.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要扫描的设备.
3.
在显示设备页面上,单击操作>触发SMSec扫描.
将创建执行设备扫描的任务,并将其传递到SophosMobileSecurity应用.
您可以在显示设备页面上的扫描结果选项卡中查看扫描结果.
单击威胁名称可以显示来自SophosLabs的附加信息.
要扫描多个设备,请创建一个包括触发SMSec扫描任务的任务捆绑包,并将它传递到所需的设备或设备组.
52版权所有SophosLimitedSophosMobile11.
4.
9锁定设备您可以远程锁定由SophosMobile管理的设备.
将激活屏幕锁定.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要锁定或解锁的设备旁边的蓝色三角形,然后单击显示.

3.
在显示设备页面上,单击操作>锁定.
4.
对于macOS:设置必须在Mac设备上输入才能解锁设备的6位PIN码.
5.
对于某些类型的设备,您可以选择输入在锁屏界面上显示的消息.
将创建激活锁屏的任务,并将其传递到设备.
对于除macOS外的所有平台:用户必须输入设备密码(或根据配置输入PIN码或图案)才能解锁设备.
对于macOS:Mac设备将重新启动.
用户必须输入您设置的设备解锁PIN码.
注释即使对于SophosMobile仅管理Android工作配置文件的设备,锁定操作也会锁定设备,而不仅仅是工作配置文件.
注释您不能锁定SophosMobile仅管理Sophos容器的设备.
注释您不能擦除被远程锁定的Mac设备.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>解锁密码下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
11.
4.
10重置设备密码您可以远程重置以下设备的密码:运行Android6.
x或更高版本的Android设备Android企业设备iOS设备WindowsMobile设备但是,您不能重置以下设备的密码:SophosMobile仅在其上面管理Sophos容器的设备.
只有SophosMobileSecurity应用注册到SophosMobile的设备.
运行Android8.
x或更高版本的Android企业设备(如果用户未确认设备密码).
版权所有SophosLimited53SophosMobile在某些设备上,用户在安装SophosMobileControl应用之前的初始设置过程中设置密码.
这种情况下,SophosMobileControl应用会要求用户在每次同步时确认密码.
只要用户未确认密码,您就不能远程重置密码.
要重置设备的密码:1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要重置其密码的设备.
3.
在显示设备页面上,单击操作>重置密码.
4.
如果确认对话框中显示一次性解锁密码,请将其交给用户.
对于Android和WindowsMobile设备,用户必须用一次性密码解锁设备,然后创建新密码.
对于iOS设备,密码将删除并解锁设备.
11.
4.
11查看设备位置重要提示出于隐私方面的考虑,所有与设备位置相关的事件都将记录下来,并在稍后进行检查.

注释可以在SophosMobileAdmin中关闭设备位置查看功能.
请参阅配置隐私设置(第15页).
只要满足以下条件,则可在Google地图中查看Android或iOS设备的位置.
Android设备:SophosMobileControl应用正在运行.
定位服务已开启.
对于配置文件所有者模式的Android企业设备:工作配置文件的定位服务已开启.
SophosMobileControl应用拥有位置权限.
iOS设备:SophosMobileControl应用正在运行.
定位服务已开启并允许SophosMobileControl应用使用.
您始终可以在托管的丢失模式下查看设备的位置.
提示使用需要定位权限合规性规则确保SophosMobileControl应用可以获取设备的位置.
请参阅可用的合规性规则(第32页).
要查看设备的位置:1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要定位的设备.
3.
单击操作>显示位置.
如果显示位置不可用,请检查SophosMobileControl应用是否可以获取设备的位置.
4.
输入请求的原因,然后单击是.
将创建获取设备位置的任务,并将其传递到设备.
5.
任务完成后,单击操作>显示位置>显示位置在Google地图中查看设备的位置.
54版权所有SophosLimitedSophosMobile11.
4.
12擦除设备您可以远程擦除由SophosMobile管理的设备.
此操作将把设备重置为出厂设置.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要擦除的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>擦除.
4.
对于某些类型的设备,必须配置额外的设置:a)对于以Android企业设备所有者模式注册的Android设备,根据需要开启恢复出厂设置保护.
请参阅Android恢复出厂设置保护(第278页).
重要提示如果您为恢复出厂设置保护配置的Google帐户无效,或您不知道帐户凭据,设备在擦除后将不可用.
b)对于iOS设备,在确认对话框中配置以下设置:保存流量套餐:如果设备上有可用的手机网络数据套餐,它将在恢复出厂设置后保留.
禁止快速启动:对于恢复出厂设置后启动的第一台设备,在允许用户从其他iPhone传输内容的设置助手中跳过快速启动步骤.
c)对于Mac设备,设置必须在Mac设备上输入才能解锁设备的6位PIN码.
5.
在确认对话框中单击是.
将创建擦除设备的任务,并将其传递到设备.
注释您不能擦除以下设备:SophosMobile仅在其上面管理Sophos容器的设备.
配置文件所有者模式的Android企业设备.
AndroidThings或WindowsIoT设备.
您已经远程锁定的Mac设备.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>解锁密码下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
11.
4.
13开启或关闭Android恢复出厂设置保护注释本节内容适用于以Android企业设备所有者模式注册到SophosMobile的设备.
以Android企业设备所有者模式为注册到SophosMobile的设备配置恢复出厂设置保护(FRP)时,默认情况下它是开启.
如果您确定设备没有丢失或被盗,可以关闭FRP以简化设置过程.
1.
在侧边的菜单栏中,单击管理下的设备.
版权所有SophosLimited55SophosMobile2.
单击要为其设置FRP状态的设备.
3.
在显示设备页面上,单击操作>设置恢复出厂设置保护.
4.
选择开启FRP或关闭FRP.
如果FRP已开启,必须先使用为FRP配置的其中一个Google帐户恢复出厂设置,然后解锁设备.
有关FRP的详细信息,请参阅Android恢复出厂设置保护(第278页).
重要提示如果您错误地配置了FRP,在FRP开启的情况下重置设备后,设备将不可用.
提示您可以在显示设备页面上的状态选项卡中检查设备的FRP状态.
11.
4.
14配置电信费用管理使用电信费用管理(TEM),您可以监控单个设备的手机网络数据使用情况.
此功能适用于Android6.
0及更高版本,也适用于iOS.
注释您不能在配置文件所有者模式下为Android企业设备配置电信费用管理.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,选择您要为其配置电信费用管理的设备.
注释仅选择使用相同手机网络数据套餐的设备.
3.
单击操作>配置电信费用管理.
4.
配置以下设置:选项说明开启监控如果选中,将对选中的设备开启手机网络数据使用情况监控.
套餐的数据量您的手机网络数据套餐的数据量(MB).
警报阈值数据量的阈值(MB).
设备使用的数据量超过此阈值时,将发出警报.
使用周期重置日期1和31之间的一个值,用于指定在一个月中的哪一天重置数据使用值.
注释如果某月的天数少于输入的值,则在当月的最后一天重置数据使用值.
5.
单击保存将设置应用到选定的设备.
设备在每次与SophosMobile服务器同步时报告手机网络数据使用情况.
56版权所有SophosLimitedSophosMobile要查看设备的当前数据使用量,请打开设备的显示设备页面,然后单击操作>配置电信费用管理.
重要提示报告的数据使用量可能与您的电信服务提供商收费的值有差异.
将报告安装的应用导致的数据流,但不报告系统更新、系统应用更新等导致的.
提示使用手机网络数据使用情况报告查看所有已经开启电信费用管理的设备的数据使用量.
请参阅报告(第8页).
注释数据使用值将在以下时间重置:—每月定期在您配置的日期结束时间.
—当您关闭设备的电信费用管理时.
—从SophosMobile取消注册设备时.
对于iOS,SophosMobileControl应用关闭时,即用户在设备重启后未启动该应用时,将不报告数据使用量.
11.
4.
15更新iOS软件您可以更新以下设备类型的iOS软件:受监督的设备受监督的AppleDEP设备注释本节介绍了如何更新单个设备的iOS软件.
要更新设备组的iOS软件,请使用带有安装最新的iOS更新任务的任务捆绑包.
请参阅可用的iOS任务类型(第241页).
要更新设备上的iOS软件:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>显示可用的更新.
将显示可用于设备的iOS更新列表.
标记紧要的更新是由Apple分类的关键安全更新.
4.
要安装最新的可用更新,请单击安装最新的可用更新.
创建更新iOS软件的任务并将其传输到设备.
提示要检查单个iOS设备的更新状态,请打开设备的显示设备页面.
如果设备没有安装最新的可用iOS版本,则操作系统旁边会显示警告标志.
要检查所有iOS设备的更新状态,请转到设备报告的OsUpdateAvailable列.
版权所有SophosLimited57SophosMobile11.
4.
16配置iOS托管的丢失模式您可以将监督的iOS设备置于托管的丢失模式下.
直到在SophosMobile中再次关闭托管的丢失模式前,将不能使用该设备.
在托管的丢失模式下,设备只能执行以下操作:拨打您已经配置的电话号码.
拨打紧急呼叫号码.
注释托管的丢失模式是一种与丢失模式不同的锁定模式,后者可以由用户在iCloud中开启.
如果您在SophosMobile中开启托管的丢失模式,设备将不能在iCloud中解除锁定.
在托管的丢失模式下定位设备比在标准锁定模式下更可靠.
设备位置是由iOS系统功能报告的,不需要激活SophosMobileControl应用.
要开启托管的丢失模式:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要将其置于托管的丢失模式下的设备旁边的蓝色三角形,然后单击显示.

3.
在显示设备页面上,单击操作>开启托管的丢失模式.
4.
配置以下设置:选项说明锁屏消息显示在锁屏界面上的文本.
电话号码可以在锁屏界面上拨打的电话号码.
页脚显示在锁屏界面底部的脚注文本.
如果您没有配置脚注,将显示提示联系管理员的标准注释.
将创建开启托管的丢失模式的任务,并将其传递到设备.
设备接收该任务后,将立即开启托管的丢失模式.
如果设备处于托管的丢失模式下,您将可以在显示设备页面上执行以下操作:要定位此设备,请使用操作>定位.
要在设备上播放声音,请使用操作>播放丢失模式声音.
要关闭托管的丢失模式,请使用操作>关闭托管的丢失模式.
提示要查看托管的丢失模式是否开启,请检查设备属性IsMDMLostModeEnabled.
11.
5自定义设备属性除设备本身报告的属性外,您还可以为设备添加自定义属性.
使用我的属性名称添加属性时,可以使用%_DEVPROP(我的属性)_%占位符表示属性值.
有关占位符的详细信息,请参阅配置文件和策略中的占位符(第91页).
58版权所有SophosLimitedSophosMobile可以通过以下方式为设备添加自定义属性:为单个设备添加自定义属性.
请参阅添加自定义设备属性(第59页).
创建默认属性,在设备创建时作为自定义属性分配给设备.
请参阅创建默认设备属性(第59页).
11.
5.
1添加自定义设备属性除设备本身报告的属性外,您还可以为设备添加自定义属性.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,转到自定义属性选项卡,然后单击添加自定义属性.
如果自定义属性选项卡不可用,请检查专家模式系统设置是否开启(在安装>常规>个人下).
4.
为属性输入名称和值.
5.
单击应用.
6.
单击保存.
自定义属性将添加到设备.
注释自定义设备属性的名称不能和标准设备属性的名称相同.
11.
5.
2创建默认设备属性您可以创建默认属性,在设备创建时作为自定义属性分配给设备.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击默认设备属性选项卡.
2.
单击添加自定义属性.
3.
为属性输入名称和值.
4.
单击应用.
5.
单击保存.
注释自定义设备属性的名称不能和标准设备属性的名称相同.
注释如果为客户和超级管理员客户定义了相同的默认属性,则使用为客户定义的值.

11.
6Zero-touch注册通过AndroidZero-touch注册,可以批量注册公司所有的Android设备.
支持Zero-touch的设备将在用户开机时自动注册到您的SophosMobile服务器.
版权所有SophosLimited59SophosMobile要求有GoogleZero-touch注册门户的帐户.
通常,设备经销商会在您购买第一台设备时为您创建帐户.
已经在SophosMobile中针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管GooglePlay帐户方案)(第271页).
配置步骤要使用Zero-touch注册,请执行以下步骤:1.
在SophosMobileAdmin中开启Zero-touch注册并配置注册详细信息.
请参阅设置Zero-touch注册(第60页).
2.
在GoogleZero-touch注册门户中为SophosMobile创建配置.
请参阅创建Zero-touch配置(第61页).
3.
从Google认证的企业经销商购买支持Zero-touch的Android设备.
4.
将SophosMobile的Zero-touch配置文件分配给设备.
请参阅部署Zero-touch设备(第61页).
相关信息GoogleZero-touch注册网站(外部链接)GoogleZero-touch注册帮助(外部链接)11.
6.
1设置Zero-touch注册要在SophosMobileAdmin中设置Zero-touch注册,请在支持Zero-touch的Android设备("Zero-touch设备")注册到SophosMobile服务器时,配置应用到这些设备的设置.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Zero-touch选项卡.
2.
单击使用zero-touch注册.
3.
在Zero-touch配置设置下单击DPCextras,配置应用到设备的设置:语言:Android用户界面的语言.
时区:设备上设置的时区.
启用系统应用:默认情况下,如果设备设置为Android企业设备所有者模式,将禁用带有启动程序图标的系统应用.
选中此设置可以启用所有系统应用.
根据您的设置,SophosMobile将创建您必须在GoogleZero-touch注册门户中输入的配置代码.
4.
在注册设置下,配置Zero-touch设备的SophosMobile注册:设备组:Zero-touch设备分配到的设备组.
任务捆绑包:传递到设备的任务捆绑包.
该列表显示没有注册任务的任务捆绑包.
5.
单击保存保存注册设置.
要完成Zero-touch注册设置,请在GoogleZero-touch注册门户中为SophosMobile创建配置.
60版权所有SophosLimitedSophosMobile11.
6.
2创建Zero-touch配置Zero-touch配置包含设备注册到SophosMobile服务器所需的信息.
在GoogleZero-touch注册门户中创建该配置.
该过程假定您已经按设置Zero-touch注册(第60页)中所述,在SophosMobileAdmin中设置了AndroidZero-touch注册.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Zero-touch选项卡.
2.
单击DPCextras旁边的复制,将配置代码复制到剪贴板.
3.
在新的浏览器窗口中打开GoogleZero-touch注册门户.
4.
为SophosMobile创建新的配置:在EMMDPC中,选中SophosMobileControl.
在DPCextras中,输入复制到剪贴板的配置代码.
5.
或者将配置选择为默认配置,使其自动应用到所有新设备.
相关信息GoogleZero-touch注册门户(外部链接)GoogleZero-touch注册帮助(外部链接)11.
6.
3部署Zero-touch设备要将支持Zero-touch的设备("Zero-touch设备")注册到您的SophosMobile服务器,请在SophosMobile配置中进行分配.
1.
检查要部署的设备是否已在GoogleZero-touch注册门户中注册.
通常,经销商会为您进行设备注册.
2.
在GoogleZero-touch注册门户中,将SophosMobile配置分配给设备.
或者将SophosMobile配置选择为默认配置,使其自动分配给新设备.
3.
将设备分发给您的用户.
用户必须有SophosMobile用户帐户.
用户首次开启设备时,将启动Android设置助手.
设备连接到Internet后,将以Android企业设备所有者模式注册到SophosMobile.
注释在GoogleZero-touch注册门户中注册设备时,如果设备已经设置,则设备将恢复为出厂设置.
11.
6.
4关闭Zero-touch注册要关闭通过SophosMobile自动注册支持Zero-touch的Android设备("Zero-touch设备"):1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Zero-touch选项卡.
2.
单击停用zero-touch配置.
Zero-touch设备仍然会连接到您的SophosMobile服务器进行注册,但服务器会拒绝该请求.
要完全断开SophosMobile和Zero-touch注册,请在GoogleZero-touch注册门户中删除SophosMobile的配置.
版权所有SophosLimited61SophosMobile11.
7KnoxMobileEnrollment通过SamsungKnoxMobileEnrollment(KME),您可以将公司所有的Samsung设备批量注册到SophosMobile.
支持KnoxMobileEnrollment的设备将在用户开机时自动注册到您的SophosMobile服务器.
要求您有Samsung帐户.
您有SamsungKnox门户的帐户.
根据您要使用的注册方案,要注册的设备有Knox2.
4或更高版本.
例如,在Android企业设备所有者模式下注册需要Knox2.
8或更高版本.
如果在Android企业模式下注册,已经在SophosMobile中针对托管的GooglePlay帐户方案设置了Android企业.
请参阅设置Android企业(托管GooglePlay帐户方案)(第271页).
配置步骤要使用KnoxMobileEnrollment,请执行以下步骤:1.
在SophosMobileAdmin中开启KnoxMobileEnrollment并配置详细信息.
请参阅设置KnoxMobileEnrollment(第62页).
2.
在SamsungKnoxMobileEnrollment控制台中为SophosMobile创建配置文件.
请参阅创建KME配置文件(第63页).
3.
购买支持KnoxMobileEnrollment的设备.
4.
将SophosMobile的KME配置文件分配给设备.
请参阅部署KME设备(第63页).
相关信息SamsungKnoxMobileEnrollment网站(外部链接)SamsungKnoxMobileEnrollment用户指南(外部链接)11.
7.
1设置KnoxMobileEnrollment要在SophosMobileAdmin中设置SamsungKnoxMobileEnrollment(KME),请在KME设备注册到SophosMobile服务器时,配置应用到这些设备的设置.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击SamsungKME选项卡.
2.
单击使用KnoxMobileEnrollment.
3.
在注册设置下,配置KME设备的SophosMobile注册.
设备组:KME设备分配到的设备组.
任务捆绑包(Android):注册为标准Android设备时传递到设备的任务捆绑包.
任务捆绑包(Android企业设备所有者):以Android企业设备所有者模式注册时传递到设备的任务捆绑包.
这些列表显示没有注册任务的任务捆绑包.
在SamsungKnoxMobileEnrollment控制台的MDM注册配置文件中配置注册模式.
62版权所有SophosLimitedSophosMobile用户验证:如果选中,用户必须在设备设置过程中输入其SophosMobile凭据.
用户在SophosMobile中分配给设备.
如果不选中,设备将注册到SophosMobile,但不分配用户.
4.
单击保存保存注册设置.
要完成KnoxMobileEnrollment设置,请在SamsungKnoxMobileEnrollment控制台中为SophosMobile创建MDM配置文件.
11.
7.
2创建KME配置文件KnoxMobileEnrollment(KME)配置文件包含设备注册到SophosMobile服务器所需的信息.
在SamsungKnoxMobileEnrollment控制台中创建该配置文件.
该过程假定您已经按设置KnoxMobileEnrollment(第62页)中所述,在SophosMobileAdmin中设置了SamsungKnoxMobileEnrollment.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击SamsungKME选项卡.
2.
在新的浏览器窗口中打开SamsungKnox门户,并导航至KnoxMobileEnrollment控制台.
3.
在KnoxMobileEnrollment控制台中,为SophosMobile创建MDM配置文件.
如果您想使用标准的Android注册和Android企业设备所有者注册,请创建两个配置文件,并开启其中一个配置文件的设备所有者选项.
4.
使用SophosMobileAdmin中MDM配置文件配置下显示的值配置该配置文件.
单击SophosMobileAdmin中某个字段旁的复制,将值复制到剪贴板.
还有很多可以配置的配置文件设置.
请参阅SamsungKnoxMobileEnrollment用户指南了解详细信息.
5.
保存配置文件.
相关信息SamsungKnoxMobileEnrollment控制台(外部链接)SamsungKnoxMobileEnrollment用户指南(外部链接)11.
7.
3部署KME设备要将支持KnoxMobileEnrollment的设备("KME设备")注册到您的SophosMobile服务器,请在SophosMobile配置文件中进行分配.
1.
在KnoxMobileEnrollment控制台中,将SophosMobile配置文件分配给设备.
如果设备没有显示在KnoxMobileEnrollment控制台,请联系您的经销商.
2.
将设备分发给您的用户.
如果您已经在SophosMobileAdmin的KME注册设置中选择用户验证,则用户必须有SophosMobile用户帐户.
用户首次开启设备时,将启动KnoxMobileEnrollment设置向导.
设备连接到Internet后,将注册到SophosMobile.
注释根据您在KnoxMobileEnrollment控制台的SophosMobile配置文件中配置的注册模式,设备以Android企业设备所有者模式注册,或注册为标准的Android设备.
版权所有SophosLimited63SophosMobile11.
7.
4关闭KnoxMobileEnrollment要关闭通过SophosMobile自动注册支持KnoxMobileEnrollment的设备("KME设备"):1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击SamsungKME选项卡.
2.
单击停用KME配置.
KME设备仍然会连接到您的SophosMobile服务器进行注册,但服务器会拒绝该请求.
要完全断开SophosMobile和KnoxMobileEnrollment,请在SamsungKnoxMobileEnrollment控制台中删除SophosMobile的配置文件.
11.
8AppleDEP通过Apple设备注册程序(DEP),可以批量购买iPhone、iPad和Mac设备,并在您的公司内分发.
DEP提供了以下功能,可以简化移动设备的部署:可配置的激活过程.
无线启用监督模式.
无线配置.
在设备激活过程中,将设备自动注册到SophosMobile.
提示有关DEP的详细信息,请访问AppleDEP网站http://www.
apple.
com/business/dep/.
准备步骤准备通过SophosMobile管理DEP设备时,请执行以下一次性步骤:1.
在AppleDEPWeb门户中,创建虚拟MDM服务器,并将其连接到SophosMobile.
请参阅设置AppleDEP(第65页).
2.
在SophosMobile中,创建一个或多个DEP配置文件,以控制各种DEP设备属性.
通过DEP配置文件,还可以自定义在设备首次开机时启动的设置助手.
请参阅创建DEP配置文件(第66页).
部署步骤购买DEP设备时,典型的部署过程包括以下步骤:1.
从Apple或授权的DEP供应商购买设备.
2.
在AppleDEPWeb门户中,将设备分配给SophosMobileMDM服务器.
有关此步骤和下一步的信息,请参阅部署DEP设备(第66页).
3.
在SophosMobileAdmin中,给设备分配DEP配置文件.
4.
将设备分发给您的用户.
5.
用户首次开启设备时,自定义的设置助手将启动.
设置过程中,设备将注册到SophosMobile,并将用户分配给设备.
6.
如果需要,可以向设备传输其他任务绑定包,以完成设置.
64版权所有SophosLimitedSophosMobile11.
8.
1设置AppleDEP前提条件:您已在Apple设备注册程序(DEP)中注册,并且已经为AppleDEPWeb门户设置了管理员帐户.
注释有关在DEP中注册的详细信息,请访问AppleDEP网站http://www.
apple.
com/business/dep/或参阅Apple部署程序帮助.
提示如果已在Apple批量购买计划(VPP)中注册,则可对DEP使用相同的AppleID.
要与SophosMobile一起使用AppleDEP,需要在AppleDEPWeb门户中创建虚拟MDM服务器,并将其链接到SophosMobile服务器.
这包括在SophosMobile和AppleDEPWeb服务之间建立安全连接的验证过程.
要设置SophosMobile的虚拟MDM服务器:1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击AppleDEP选项卡.
2.
单击下载公钥,下载用于AppleDEP的SophosMobile公钥.
文件将使用您的Web浏览器下载设置保存到本地计算机上.
3.
在新的浏览器窗口中,使用网址https://deploy.
apple.
com打开AppleDEPWeb门户.
此操作可以通过在SophosMobile中单击AppleDEPWeb门户链接实现.
4.
使用您的公司AppleID登录AppleDEPWeb门户.
5.
在该门户中,转到设备注册程序管理服务器,然后单击添加MDM服务器.
6.
为MDM服务器输入名称,如SophosMobile.
7.
在下一步中,上传您从SophosMobile下载的公钥文件.
8.
在下一步中,下载服务器令牌.
此时,可以注销AppleDEPWeb门户.
9.
在SophosMobile的AppleDEP选项卡上,单击上传文件并选择您从AppleDEPWeb门户下载的服务器令牌.
将显示虚拟MDM服务器的详细信息.
10.
单击保存保存修改.
DEP服务器令牌的有效期为一年.
重要提示在AppleDEPWeb门户中创建新的服务器令牌时,必须使用创建初始令牌时使用的相同AppleID.
11.
8.
2重置AppleDEP重置存储在SophosMobile中的AppleDEP信息可从SophosMobile删除AppleDEP令牌,例如因为上传了错误的令牌.
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击AppleDEP选项卡.
2.
单击重置DEP.
版权所有SophosLimited65SophosMobile将从SophosMobile删除AppleDEP令牌、所有AppleDEP设备和所有AppleDEP配置文件.
要停止通过SophosMobile管理AppleDEP设备,请转到AppleDEPWeb门户并删除作为MDM服务器的SophosMobile.
11.
8.
3创建DEP配置文件在创建DEP配置文件前,需要设置Apple设备注册程序(DEP).
请参阅设置AppleDEP(第65页).
DEP配置文件分配给DEP设备,并在设备激活时向Apple服务器提供信息.
该信息包括:分配用于管理该设备的MDM服务器(即SophosMobile).
通过SophosMobile进行注册的配置选项.
允许设备与之配对的主机的列表.
在设备首次开机时启动的设置助手使用的自定义选项.
如果需要,可以创建多个DEP配置文件,以便对DEP设备使用不同的设置和注册设定值.
要创建DEP配置文件:1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击AppleDEP配置文件选项卡.
2.
单击添加.
3.
在编辑DEP配置文件对话框中,输入要求的设置.
4.
要将配置文件分配给所有没有手动分配配置文件的新DEP设备,请在分配给新设备的默认DEP配置文件列表中将其选中.
如果选择无,则必须将DEP配置文件手动分配给新的DEP设备,如部署DEP设备(第66页)中所述.
否则,DEP设备将不会在激活时通过SophosMobile进行注册.
5.
单击保存保存修改.
相关参考DEP配置文件设置(iOS)(第69页)DEP配置文件设置(macOS)(第72页)11.
8.
4部署DEP设备执行此过程可以将设备连接到AppleDEP,并对设备进行SophosMobile注册.
可以管理从Apple或授权的Apple供应商购买的设备.
将设备连接到AppleDEP前,需要先在AppleDEP门户中配置设备供应商.
注释在典型的DEP工作流程中,是先执行此过程,然后再将设备交给用户激活和使用.
注释有关AppleDEP门户的详细说明,请参阅Apple部署程序帮助.
要将设备分配给SophosMobile,并为设备分配DEP配置文件:1.
在您的Web浏览器地址栏中输入https://deploy.
apple.
com,打开Apple部署程序的Web门户,然后使用您的公司AppleID登录.
66版权所有SophosLimitedSophosMobile2.
在门户中,转到设备注册程序管理设备.
3.
在设备选择方式下,按序列号或按订单号选择您的新设备,或上传包含设备序列号的CSV文件.
注释从经销商购买设备后,在经销商将您的订单传给Apple后的24小时内,设备会出现在DEP门户中.
4.
在选择操作下,选择分配给服务器,然后选择已经为SophosMobile设置的虚拟MDM服务器(如设置AppleDEP(第65页)中所述).
5.
单击确定执行分配.
此时,可以注销AppleDEPWeb门户.
如果已经按创建DEP配置文件(第66页)的描述配置了默认的DEP配置文件,则可跳过其余步骤.
6.
使用要为其管理DEP设备的客户的管理员帐户,登录到SophosMobileAdmin.
7.
在侧边的菜单栏中,单击管理下的设备,然后单击AppleDEP.
AppleDEP设备页面将列出您在AppleDEPWeb门户中分配给SophosMobile的所有设备.
8.
如果刚分配给SophosMobile的设备未出现在列表中,请单击与AppleDEP门户同步.
注释为限制AppleDEP服务器上的负荷,只能在经过短暂的排队时间后进行重复同步.
9.
选择新设备,然后单击操作分配配置文件.
10.
在确认对话框中,选择要分配给设备的DEP配置文件,然后单击确定.
购买的设备到达公司后,即可交给您的用户.
无需进行其他配置.
当用户首次开启他们的设备时,将按分配的DEP配置文件中的配置,执行iOS设置和SophosMobile注册.
如果您按创建DEP配置文件(第66页)中的描述选择将用户分配给设备配置文件选项,用户将自动分配给他们的设备.
11.
8.
5管理DEP设备在SophosMobile中管理DEP设备就和管理非DEP设备一样.
请参阅管理设备(第47页).
DEP比较特别的地方是可以向设备分配DEP配置文件.
DEP配置文件在设备激活时向Apple服务器提供信息.
请参阅创建DEP配置文件(第66页).
注释SophosMobile中显示的DEP配置文件可能与设备上实际使用的配置文件不同.
如果在设备激活后更改分配,设备将继续使用先前分配的配置文件,直到其被擦除并再次激活.

要更改设备的DEP配置文件:1.
在侧边的菜单栏中,单击管理下的设备,然后单击AppleDEP.
AppleDEP设备页面将列出您在AppleDEPWeb门户中分配给SophosMobile的所有设备.
2.
单击与AppleDEP门户同步可更新DEP信息.
3.
选择要为其分配不同DEP配置文件的设备.
4.
单击操作,然后单击所需的操作:分配配置文件:选择下次启动时将分配给设备的DEP配置文件.
版权所有SophosLimited67SophosMobile取消配置文件分配:下次启动设备时,不会分配DEP配置文件.
新的配置文件分配显示在AppleDEP设备页面上.
这些更改将在擦除并再次激活后应用于设备.
11.
8.
6手动添加iOSDEP设备您可以为Apple设备注册程序(DEP)手动注册iPhone或iPad.
例如,如果您不是直接从Apple或DEP核准供应商购买的设备,可使用此方法.
重要提示设备将重置为出厂设置.
1.
将设备连接到安装有AppleConfigurator2.
5或更高版本的Mac设备的USB端口上.
2.
在AppleConfigurator中,转到文件>新建配置文件>Wi-Fi,为您的Wi-Fi连接创建网络配置文件.
设备连接到AppleDEP注册服务器需要此配置文件.
3.
转到首选项>组织,并单击+按钮,创建一个组织项.
使用您的AppleDEP帐户的AppleID和密码.
并选择生成新的监管身份.
4.
转到首选项>服务器,并单击+按钮,创建一个服务器项.
注释您可以在注册URL中输入任意值.
AppleConfigurator在注册DEP设备时不会使用该值.
5.
选择设备,然后选择准备.
6.
选择手动配置并按向导页面的说明准备设备.
选择前面创建的服务器和网络配置文件.
跳过iOS设置助手的配置.
将在SophosMobileDEP配置文件中对此进行配置.
7.
等待准备过程完成.
请勿在此阶段关闭设备.
设备注册后,可在AppleDEP门户中通过序列号将其选中.
将设备交给用户前,请按部署DEP设备(第66页)中所述,将其注册到SophosMobile.
相关信息AppleConfigurator2用户指南-手动准备设备(外部链接)11.
8.
7配置监管主机您可以为iOSDEP设备配置监管主机.
尽管您通常会阻止USB配对,监管主机仍然可以与iOSDEP设备配对.
只有Mac设备可以用作监管主机.
要使Mac设备成为监管主机,请将其监管身份证书上传到SophosMobile的iOSDEP配置文件中.
1.
在Mac设备上,在AppleConfigurator中创建一个新的组织,或者使用现有的组织.
2.
打开KeychainAccess应用.
3.
在我的证书下,导出该组织的证书.
您在AppleConfigurator中配置的每个组织都有一个证书.
68版权所有SophosLimitedSophosMobile在导出对话框中,确保证书以CER格式(.
cer文件扩展名)导出.
4.
在SophosMobile中的iOSDEP配置文件中,转到USB配对选项卡并配置以下设置:a)取消勾选允许使用所有主机进行USB配对复选框.
b)单击上传主机证书上传证书文件.
5.
可选:要使其他Mac设备成为监管主机,请执行以下其中一项操作:将其他证书上传到iOSDEP配置文件.
通过执行以下操作,在Mac设备之间共享该组织:从第一个Mac设备的AppleConfigurator导出该组织,并将其导入第二个Mac设备.
通过执行以下操作,在Mac设备之间共享监管身份:在第一个Mac设备上,以PKCS#12格式(.
p12文件扩展名)从AppleConfigurator导出监管身份.
在第二个Mac设备上,使用KeychainAccess应用打开该.
p12文件.
相关任务创建DEP配置文件(第66页)相关参考DEP配置文件设置(iOS)(第69页)相关信息AppleConfigurator2使用手册-"组织"偏好设置(外部链接)11.
8.
8DEP配置文件设置(iOS)常规设置设置/字段说明名称DEP配置文件的名称.
描述DEP配置文件的可选描述.
设备组设备注册到SophosMobile时,将分配给设备的设备组.
有关设备组的信息,请参阅设备组(第77页).
注释为简化设备管理,我们建议对DEP设备使用单独的设备组.
任务捆绑包设备注册到SophosMobile时,将传输到设备的任务捆绑包.
该列表包括所有包含非注册任务的任务捆绑包.
有关任务捆绑包的信息,请参阅任务捆绑包(第237页).
版权所有SophosLimited69SophosMobile注册设置/字段说明监控设备启用监督模式.
用户可以删除MDM配置文件用户可以通过iOS用户界面,删除SophosMobile注册配置文件.
只有对于受监督的设备,才可以不选择此选项.
安装SMC应用程序在设备上安装SophosMobileControl应用.
如果启用此选项,还必须禁用iOS设置选项卡上的AppleID选项,以确保SophosMobile可以从AppStore安装该应用.
注释或者,如果您注册了Apple批量购买计划(VPP),即使设备没有关联AppleID,SophosMobile应用也可以作为VPP应用进行安装.
设备必须处于托管状态.
请参阅自动分配VPP应用(第262页).
用户可以跳过MDM配置文件分配用户可以跳过应用SophosMobile注册配置文件的设置步骤.
将用户分配给设备在通过SophosMobile进行注册的过程中,将要求提供用户的自助服务门户凭据,然后将用户分配给设备.
可以使用此选项将用户自动分配给设备.
iOS设置在iOS设置选项卡上,可以禁用设备首次开机时启动的设置助手的配置步骤.
注释这些设置只影响iOS设置.
如果禁用配置步骤,以后用户仍然可以启用相关的选项.
要完全禁用某项功能,请使用限制配置.
请参阅限制配置(iOS设备配置文件)(第150页).
设置/字段说明备份恢复跳过从iCloud或iTunes备份还原数据,或从Android设备传输数据.
禁用"从Android移动数据"从Android设备传输数据的选项不可用.
诊断跳过诊断配置.
诊断和使用情况数据将不发送给Apple.
定位服务跳过定位服务配置.
定位服务将关闭.
Siri跳过Siri配置.
Siri将关闭.
显示缩放跳过显示缩放配置,即放大的视图提供更大的图标、文本和按钮.
键盘布局跳过键盘布局配置.
70版权所有SophosLimitedSophosMobile设置/字段说明AppleID跳过AppleID配置.
用户不能使用其AppleID登录并访问Apple服务.
ApplePay跳过ApplePay配置.
用户不能添加信用卡或借记卡信息,不能使用ApplePay在应用商店或在应用程序中进行支付.
TouchID跳过TouchID配置.
用户不能设置指纹代替密码.
密码跳过创建用于解锁设备的密码.
条款和条件跳过显示条款和条件页面.
观看迁移跳过从iCloud或iTunes备份还原AppleWatch数据.
主页按钮反馈对于iPhone7及更高版本,跳过配置主页按钮反馈,即单击虚拟的主页按钮时的触觉反馈级别.
支持信息设置/字段说明部门与配置文件关联的部门或位置名称.
此名称包括在用户可以在设备设置过程中通过单击关于配置进行访问的信息中.
电话号码贵公司的支持电话号码.
此字段将使用技术支持联系人详细信息中的电话号码预先填充.
请参阅配置IT部门联系人(第15页).
注释该号码存储在DEP配置文件内部,但设备用户不可用.
电子邮件贵公司的支持电子邮件地址.
此字段将使用技术支持联系人详细信息中的电子邮件地址预先填充.
请参阅配置IT部门联系人(第15页).
注释该电子邮件地址存储在DEP配置文件内部,但设备用户不可用.
USB配对在USB配对选项卡上,您可以限制iOSDEP设备与选定的Mac设备进行USB配对.
要将设备连接到iTunes或AppleConfigurator,需要进行USB配对.
版权所有SophosLimited71SophosMobile设置/字段说明允许使用所有主机进行USB配对如果您选中该复选框,则可将该设备与任何计算机配对.
如果您不勾选该复选框,则只能将该设备与作为监管主机的Mac设备配对.
您不能将该设备与Windows计算机配对.
上传主机证书上传监管身份证书.
这使得在其密钥链中包含该证书的Mac设备成为监管主机.
请参阅配置监管主机(第68页).
您可以上传多个证书.
注释如果您不勾选允许使用所有主机进行USB配对且没有上传证书,则不能将设备连接到iTunes或AppleConfigurator.
相关任务创建DEP配置文件(第66页)11.
8.
9DEP配置文件设置(macOS)常规设置设置/字段说明名称DEP配置文件的名称.
描述DEP配置文件的可选描述.
设备组设备注册到SophosMobile时,将分配给设备的设备组.
有关设备组的信息,请参阅设备组(第77页).
注释为简化设备管理,我们建议对DEP设备使用单独的设备组.
任务捆绑包设备注册到SophosMobile时,将传输到设备的任务捆绑包.
该列表包括所有包含非注册任务的任务捆绑包.
有关任务捆绑包的信息,请参阅任务捆绑包(第237页).
72版权所有SophosLimitedSophosMobile注册设置/字段说明用户可以跳过MDM配置文件分配用户可以跳过应用SophosMobile注册配置文件的设置步骤.
将用户分配给设备在通过SophosMobile进行注册的过程中,将要求提供用户的自助服务门户凭据,然后将用户分配给设备.
可以使用此选项将用户自动分配给设备.
macOS设置在macOS设置选项卡上,可以禁用设备首次开机时启动的设置助手的配置步骤.
注释这些设置只影响macOS设置.
如果禁用配置步骤,以后用户仍然可以启用相关的选项.
要完全禁用某项功能,请使用限制配置.
请参阅限制配置(macOS设备策略)(第186页)和限制配置(macOS用户策略)(第201页).
设置/字段说明备份恢复跳过从iCloud或iTunes备份还原数据,或从Android设备传输数据.
AppleID跳过AppleID配置.
用户不能使用其AppleID登录并访问Apple服务.
iCloudAnalytics跳过配置iCloudAnalytics.
iCloud帐户的诊断和使用情况数据将不发送给Apple.
定位服务跳过定位服务配置.
定位服务将关闭.
条款和条件跳过显示条款和条件页面.
注册跳过计算机帐户创建.
诊断跳过诊断配置.
诊断和使用情况数据将不发送给Apple.
FileVault磁盘加密跳过配置FileVault磁盘加密.
FileVault将关闭.
Siri跳过Siri配置.
Siri将关闭.
支持信息设置/字段说明部门与配置文件关联的部门或位置名称.
此名称包括在用户可以在设备设置过程中通过单击关于配置进行访问的信息中.
版权所有SophosLimited73SophosMobile设置/字段说明电话号码贵公司的支持电话号码.
此字段将使用技术支持联系人详细信息中的电话号码预先填充.
请参阅配置IT部门联系人(第15页).
注释该号码存储在DEP配置文件内部,但设备用户不可用.
电子邮件贵公司的支持电子邮件地址.
此字段将使用技术支持联系人详细信息中的电子邮件地址预先填充.
请参阅配置IT部门联系人(第15页).
注释该电子邮件地址存储在DEP配置文件内部,但设备用户不可用.
相关任务创建DEP配置文件(第66页)11.
9DuoSecurity集成您可以使用DuoSecurity身份验证软件连接SophosMobile.
这样DuoSecurity就可以根据设备的SophosMobile管理状态识别信任的设备.
为确定设备的信任状态,DuoSecurity对Android和iOS使用不同的方法:对于Android设备,DuoSecurity通过SophosMobileWeb服务接口获取信任状态.
对于iOS设备,DuoSecurity通过设备上的特定证书确定信任状态.
注释有关信任设备的详细信息,请参阅DuoSecurity文档.
11.
9.
1为Android设备配置DuoSecurity集成执行以下步骤,让DuoSecurity确定您的Android设备的信任状态.
1.
在SophosMobile中,使用DuoAPI角色创建管理员.
2.
在Duo管理员面板中,输入该管理员的用户名和密码.
请参阅DuoSecurity文档了解详细信息.
为确定Android设备的信任状态,DuoMobileAndroid应用将向DuoSecurity服务器报告设备ID.
然后,DuoSecurity服务器将通过SophosMobileWeb服务接口获取设备状态,并将托管设备归入信任设备.
相关概念用户角色(第4页)74版权所有SophosLimitedSophosMobile相关任务创建管理员(第300页)11.
9.
2为iOS设备配置DuoSecurity集成执行以下步骤,让DuoSecurity确定您的iOS设备的信任状态.
1.
配置与Duo证书服务器的连接:a)在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击DuoSecurity选项卡.
b)输入DuoSecurity提供的设置.
2.
将Duo设备证书配置添加到您要用于iOS设备的iOS设备配置文件.
3.
更新设备上的iOS设备配置文件.
将在设备上安装Duo设备证书.
DuoMobileiOS应用将检测该证书,并将设备归入信任设备.
相关任务在设备上安装配置文件(第91页)相关参考Duo设备证书(iOS设备配置文件)(第175页)11.
10TeamViewer远程控制TeamViewer是一款第三方远程控制工具.
TeamViewer集成让您可以在SophosMobile中启动与托管的Android或iOS设备的远程控制会话,不必使用会话ID或密码.
11.
10.
1设置TeamViewer集成要从SophosMobile中启动TeamViewer会话,您必须创建TeamViewer应用程序并将其链接到SophosMobile.
1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击TeamViewer选项卡.
2.
单击TeamViewer配置向导.
向导引导您完成设置过程.
a)创建TeamViewer帐户.
b)在TeamViewer管理控制台中创建应用程序并将其链接到SophosMobile.
3.
安装TeamViewer软件:a)进入您登录到SophosMobile的计算机.
从TeamViewer网站安装TeamViewerWindows客户端.
b)在您要控制的设备上,从GooglePlay或AppStore安装TeamViewerQuickSupport应用.
设置TeamViewer集成后,即可使用请求远程控制设备操作.
相关信息TeamViewer网站(外部链接)TeamViewer管理控制台(外部链接)版权所有SophosLimited75SophosMobile11.
10.
2启动TeamViewer会话注释您需要TeamViewer许可证和支持移动设备的附加许可证.
SophosMobile支持通过Android和iOS设备进行的TeamViewer会话.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要控制的设备.
3.
在显示设备页面上,单击操作>请求远程控制.
将在您的计算机和选定的设备上启动TeamViewer会话.
用户确认连接后,您将可以控制该设备.
76版权所有SophosLimitedSophosMobile12设备组设备组用于对设备进行分类.
它们可以帮助您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
一个设备始终属于一个设备组.
当您将设备添加到SophosMobile时,您可以将其分配至设备组.
提示仅在相同的操作系统中对设备进行分组.
这样更便于用设备组执行安装和其他操作系统特定任务.

12.
1创建设备组1.
在侧边的菜单栏中,单击管理下的设备组,然后单击创建设备组.
2.
在编辑设备组页面中,输入新设备组的名称和描述.
3.
在合规性策略下,选择应用到公司和个人设备的合规性策略.
4.
单击保存.
注释设备组的设置包括启用iOS自动注册选项.
此选项让您可以通过AppleConfigurator注册iOS设备.
请参阅自动注册iOS设备(第42页).
新设备组将创建,并显示在设备组页面上.
12.
2删除设备组1.
在侧边的菜单栏中,单击管理下的设备组.
2.
在设备组页面上,单击要删除的设备组旁边的蓝色三角形,然后单击删除.

3.
在确认对话框中,选择一个剩余的设备组,将当前设备组中的设备重新分配到该组.

如果当前设备组未分配有设备,该选项将不可用.
4.
单击是删除该设备组.
注释如果只剩一个设备组,且它分配有设备,则不能删除此设备组.
版权所有SophosLimited77SophosMobile13用户在人员页面上管理您的SophosMobile用户帐户.
用户管理在SophosMobile中设置客户时,您可以选择以下用户管理类型:内部用户管理在SophosMobile中创建用户帐户.
外部用户管理在LDAP目录(如Activedirectory)中创建用户帐户,然后将LDAP目录连接到SophosMobile.
请参阅配置外部目录连接(第80页).
联合身份验证在AzureActiveDirectory(AzureAD)中创建用户帐户.
当用户登录自助服务门户时,他们将通过AzureAD进行身份验证.
请参阅配置联合身份验证(第82页).
用户详细信息对于内部用户管理,人员页面将显示您已经添加到SophosMobile的用户.
对于外部用户管理和联合身份验证,人员页面将只显示与SophosMobile相关的用户:分配给SophosMobile托管设备的用户.
分配给Apple大量购买方案(VPP)应用的用户.
单击用户名以查看帐户详细信息.
导入用户对于内部用户管理,您可以从CSV文件导入用户.
请参阅导入用户(第84页).
用户组通过用户组,您可以控制自助服务门户访问权限和可用的注册选项.
要仅为某些用户创建自助服务门户配置,请将这些用户添加到用户组,并将该组分配给自助服务门户配置.
请参阅配置自助服务门户(第26页).
对于内部用户管理,可以在SophosMobileAdmin中将用户添加到组中.
请参阅创建用户组(第84页).
对于外部用户管理,SophosMobile使用您的LDAP目录中定义的组.
对于联合身份验证,SophosMobile使用AzureAD中定义的组.
78版权所有SophosLimitedSophosMobile13.
1配置自助服务门户用户管理注释对于SophosMobileonPremise,自助服务门户的用户管理是由超级管理员在创建客户时配置的.
请参阅SophosMobile超级管理员指南.
1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击用户设置选项卡.
2.
在设备分配下,选择删除分配给设备的用户时发生什么情况:选项描述从设备取消用户分配删除用户分配.
设备状态不变.
取消注册并删除设备设备从SophosMobile取消注册并删除.
取消设备注册设备从SophosMobile取消注册.
设备状态更改为取消注册.
当您使用外部用户管理时,此设置不可用.
3.
在用户管理模式下,选择SophosMobile如何管理用户帐户:选项描述无.
没有可用的SSP、用户特定的配置文件或LDAP管理员.
用户管理将关闭.
不能给设备分配用户,也不能使用自助服务门户.
内部目录在SophosMobile中创建用户帐户和用户组.
外部LDAP目录SophosMobile使用LDAP目录中的用户帐户和用户组.
AzureAD联合身份验证在AzureActiveDirectory(AzureAD)中创建用户帐户和用户组.
当用户登录自助服务门户时,他们将通过AzureAD进行身份验证.
请参阅配置联合身份验证(第82页).
4.
对于外部用户管理,单击配置外部LDAP配置与您的LDAP目录的连接.
请参阅配置外部目录连接(第80页).
5.
单击保存.
在您设置用户管理模式之后,不能直接切换到其他模式.
而应选择无.
没有可用的SSP、用户特定的配置文件或LDAP管理员.
,以使所有选项再次可用.
注释在下列情况下,您不能修改用户管理模式:有用户分配给设备.
有Apple大量购买方案(VPP)许可证分配给用户.
版权所有SophosLimited79SophosMobile13.
2配置外部目录连接要在外部LDAP用户目录中管理SophosMobileAdmin用户帐户和自助服务门户,您必须配置与LDAP服务器的连接.
SophosMobile可以连接到以下LDAP服务器:ActiveDirectoryGoogleCloudDirectoryIBMDominoNetIQeDirectoryRedHatDirectoryServerZimbra有关支持的版本,请参阅SophosMobile9发行说明.
注释LDAP目录和SophosMobile之间没有同步.
SophosMobile将只访问LDAP目录以查找用户信息.
对LDAP用户帐户的更改将不会在SophosMobile数据库中进行,反之亦然.
1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击用户设置选项卡.
2.
选择外部LDAP目录.
3.
单击配置外部LDAP.
配置取决于LDAP服务器类型.
以下说明适用于ActiveDirectory.
4.
在服务器详细信息页面上,配置以下设置:a)在LDAP类型字段中,选择连接类型:b)在主要URL字段中,输入主目录服务器的IP地址或名称.
选择SSL/TLS通过SSL或TLS(取决于服务器支持的类型)保护服务器连接.
c)可选:在适用URL字段中,输入主服务器不可用时SophosMobile用作回退的目录服务器的IP地址或名称.
d)在用户和密码字段中,输入SophosMobile用于进行LDAP服务器身份验证的凭据.
使用以下任一格式:\@.
注释出于安全考虑,我们建议您选择没有目录写入权限的帐户.
5.
在搜索库页面上,输入搜索基对象的distinguishedname(DN).
搜索基对象用于定义目录中的位置,LDAP搜索将从这里开始.
6.
在搜索字段页面上,配置目录服务(包含SophosMobile使用的用户属性)的属性.
从列表中选择属性名称或手动输入.
对ActiveDirectory使用以下映射:80版权所有SophosLimitedSophosMobileSophosMobile中的属性ActiveDirectory中的属性用户名sAMAccountName名givenName姓sn电子邮件mail7.
在SSP配置页面上,指定允许登录到自助服务门户的用户.
使用以下任一选项,在LDAP目录组字段中输入相关信息:如果输入的组名已经定义在目录服务器中,将允许该组的所有成员登录自助服务门户.
输入组名后,单击测试组,将组名解析为可分辨名称(DN).
如果将该字段保留为空,将不允许该目录服务器的用户登录自助服务门户.
如果要对SophosMobileAdmin启用外部用户管理,但不对自助服务门户启用,则可使用此选项.
注释在这里指定的组与在自助服务门户页面的组设置选项卡中定义的用户组不相关.
使用这些设置,可以为每个用户组定义任务捆绑包、SophosMobile组成员身份和可用的设备平台.
8.
单击应用.
9.
在用户设置选项卡上,单击保存.
相关信息如何连接SophosMobile8.
0服务器和AzureActiveDirectory(Sophos知识库文章128081)使用SecureLDAP将SophosMobile连接到GoogleCloudIdentity/GoogleCloudDirectory(Sophos知识库文章132870)13.
3联合身份验证AzureActiveDirectory(AzureAD)联合身份验证是内部和外部(LDAP)用户管理的一种替代用户管理模式.
当用户登录自助服务门户时,外部用户管理和联合身份验证之间有根本的区别:采用外部用户管理模式,用户使用其LDAP凭据进行SophosMobile身份验证.
采用联合身份验证模式,用户直接通过AzureAD进行身份验证.
它具有以下优点:AzureAD支持现代登录功能,如多重身份验证、智能卡身份验证或基于证书的身份验证.

跨平台单一登录:用户只需登录一次,就可以访问自助服务门户和您为AzureAD身份验证配置的其他应用程序和资源.
您不需要打开端口389(LDAP)或636(LDAPS)进行SophosMobile和您的LDAP服务器之间的通信.
版权所有SophosLimited81SophosMobile13.
3.
1配置联合身份验证要使用AzureActiveDirectory(AzureAD)进行联合身份验证,您必须将SophosMobile注册为MicrosoftAzure应用程序.
1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击MicrosoftAzure选项卡.
2.
单击MicrosoftAzure注册向导.
向导将引导您在MicrosoftAzure门户和SophosMobileAdmin中完成注册过程:a)在MicrosoftAzure门户中为SophosMobile创建应用程序.
b)在SophosMobile中输入应用程序ID.
c)将SophosMobile服务器证书上传到您的应用程序.
d)为SophosMobile注册回复URL.
用户通过AzureAD身份验证后,Azure会将其转到SophosMobile页面.
e)给您的应用程序授予所需的权限.
3.
在Sophos设置页面上,单击用户设置选项卡.
4.
选择AzureAD联合身份验证作为用户管理模式.
如果联合身份验证不可用,请先切换到无.
没有可用的SSP、用户特定的配置文件或LDAP管理员.
.
注释您可以将该应用程序用于在Azure门户中创建的SophosMobile,也可以用于Intune应用保护.
请注意,Intune应用保护有额外的许可证要求.
请参阅Intune应用保护(第286页).
13.
3.
2设置自助服务门户的默认客户作为超级管理员,您可以设置用户访问自助服务门户时自动选择的默认客户.

在SophosMobile中,您可以设置多个客户对您所在组织的不同区域进行彼此独立的管理.
当用户访问自助服务门户时,他们必须在输入其凭据前选择其客户.
您可以通过设置默认客户简化登录体验.
虽然这对于所有用户管理模式都是可能的,但它对于联合身份验证尤其有用:如果用户已经进行了AzureActiveDirectory(AzureAD)身份验证,他们根本就不会看到登录页面.
要设置自助服务门户的默认客户:1.
以超级管理员帐户登录SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击Web门户选项卡.
3.
在自助服务门户下,选择默认客户,然后从列表中选择客户.
4.
可选:如果用户已经进行了AzureAD身份验证,则关闭可见且可编辑跳过登录页面.
注释如果您关闭此选项,则只有默认客户的用户才能访问自助服务门户.
5.
单击保存.
82版权所有SophosLimitedSophosMobile13.
4配置LDAP连接如果您已经设置了联合身份验证,那么您可以在SophosMobile与AzureActiveDirectory(AzureAD)之间配置LDAP连接.
如果您要使用AppleDEP、GoogleZero-touch或SamsungKME,则必须这样做.
以下设备将在用户设置设备时自动注册到SophosMobile:为Apple设备注册程序(DEP)注册的iPhone、iPad和Mac设备.
为GoogleZero-touch注册的Android设备.
为KnoxMobileEnrollment(KME)注册的SamsungAndroid设备.
注册过程中,SophosMobile将连接到AzureAD对用户进行身份验证.
要配置LDAP连接:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击LDAP连接选项卡.
2.
单击配置外部LDAP.
3.
在服务器详细信息页面上,配置以下设置:a)在主要URL字段中,输入主目录服务器的IP地址或名称.
服务器必须支持LDAPS(LDAPoverSSL/TLS).
b)可选:在适用URL字段中,输入主服务器不可用时SophosMobile用作回退的目录服务器的IP地址或名称.
c)在用户和密码字段中,输入SophosMobile用于进行LDAP服务器身份验证的凭据.
使用以下任一格式:\@.
注释出于安全考虑,我们建议您选择没有目录写入权限的帐户.
4.
在搜索库页面上,输入搜索基对象的distinguishedname(DN).
搜索基对象用于定义目录中的位置,LDAP搜索将从这里开始.
5.
单击应用.
13.
5创建用户1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击创建用户.
3.
在编辑用户页面上,选中发送注册邮件复选框.
4.
输入帐户详细信息.
用户名字段必须仅包含字母(拉丁字母)、数字、空格和字符\!
.
_-#.
5.
单击保存.
将向新用户发送注册电子邮件.
如果单击所需用户旁边的蓝色三角形,则可查看用户详细信息(显示)、编辑或删除用户.

版权所有SophosLimited83SophosMobile注释如果单击用户名,将显示编辑用户页面.
该页面包含重新发送注册邮件按钮,如果用户没有收到或丢失了最初的电子邮件,可用它重新发送该邮件.
13.
6导入用户您可以通过从CSV文件导入用户来添加用户.
您可以导入最多500个用户.
如果您指定的组不存在,SophosMobile将会创建.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入用户页面上,单击CSV示例下载示例文件.
要从CSV文件导入用户:1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击导入用户.
3.
在导入用户页面上,选择发送注册邮件.
4.
单击上传文件,然后浏览并找到准备好的CSV文件.
将从文件中读入记录,并显示出来.
5.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
6.
单击完成以创建用户帐户.
用户将导入,并显示在人员页面上.
他们将收到电子邮件,其中包括他们的自助服务门户登录凭据.

13.
7创建用户组通过用户组,您可以控制自助服务门户访问权限和可用的注册选项.
注释如果您在外部LDAP目录中管理用户帐户,则在此创建用户组.
如果您使用联合身份验证,则在AzureActiveDirectory中创建用户组.
要创建用户组:1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击显示用户组.
84版权所有SophosLimitedSophosMobile3.
在显示用户组页面上,单击创建组.
4.
为组输入名称.
5.
单击保存.
创建用户组之后,可以向其中添加用户.
当您将组分配给自助服务门户配置时,该配置仅应用到该组成员.
请参阅配置自助服务门户(第26页).
版权所有SophosLimited85SophosMobile14配置文件和策略配置文件配置文件是由您定义、然后安装到设备或设备组的设置.
为将配置文件安装到一个或多个设备上,SophosMobile可以创建任务,并在指定的时间执行该任务.
更新配置文件时,要使更改后的配置在设备上生效,必须再次安装更新的配置文件.

以下是可用的配置文件类型:Android设备配置文件的配置(第93页)Knox容器配置文件的配置(第144页)iOS设备配置文件的配置(第148页)策略策略是由您定义、然后分配给设备或设备组的设置.
一个设备只能分配一种策略.

如果将策略分配到设备,将触发同步,并且设置会立即生效.
每次设备连接SophosMobile服务器时,设备上分配的策略都会更新.
因此,当您更新策略时,不必重新将其应用到设备.

以下是可用的策略类型:Android企业设备策略的配置(第120页)Android企业工作配置文件策略的配置(第109页)Android的Sophos容器策略的配置(第132页)Android的MobileSecurity策略的配置(第141页)AndroidThings策略的配置(第148页)iOS的Sophos容器策略的配置(第175页)iOS的MobileSecurity策略的配置(第183页)macOS设备策略的配置(第185页)macOS用户策略的配置(第199页)WindowsMobile策略的配置(第215页)Windows策略的配置(第224页)WindowsIoT策略的配置(第234页)86版权所有SophosLimitedSophosMobile14.
1开始使用设备策略策略启动向导帮助您为所有平台创建基本的设备策略.
以后您可以加强这些策略.

注释根据平台的不同,通过设备配置文件(Android、iOS)或设备策略(macOS、Windows、WindowsMobile)配置设备设置.
为简单起见,本节使用术语策略表示配置文件和策略.
要了解配置文件和策略的区别,请参阅配置文件和策略(第86页).
1.
在仪表板上,单击入门任务小组件中的策略启动向导.
提示如果您找不到该小组件,请单击添加小组件>开始使用.
2.
在平台页面上,选择您要为其创建策略的设备平台.
3.
对于Android,您可以选择管理模式.
此设置影响可用的策略类型.
我们建议您使用Android企业模式.
4.
在政策页面上,配置以下设置:a)为策略输入一个名称.
将为每个平台创建一个该名称的策略.
b)选择该策略管理的区域.
如果不选中某个复选框,将跳过相应的向导页面.
您可以稍后配置跳过的区域(以及其他设置).
5.
在密码页面上,配置设备密码的要求.
6.
在限制页面上,配置应用于设备的限制,如关闭相机或其他可能存在安全风险的设备功能.

7.
在Wi-Fi页面上,配置与您的公司Wi-Fi网络的连接.
如果您的Wi-Fi网络使用WPA/WPA2PSK以外的安全类型,您可以稍后更改该设置.
8.
在电子邮件页面上,配置与您的公司MicrosoftExchange电子邮件服务器的连接.
占位符%_USERNAME_%和%_EMAILADDRESS_%将被分配给设备的用户的用户名和电子邮件地址代替.
9.
单击完成.
向导将为您选择的每个平台创建一个策略.
要查看策略,请单击侧边菜单栏中的配置文件,策略,然后单击设备平台.

要修改管理的区域,请单击策略的名称,然后单击添加配置.
如果选择Android企业模式,您必须先为您的组织设置Android企业,然后才能注册设备.
请参阅设置Android企业-概述(第270页).
14.
2创建配置文件或策略配置文件和策略是由一个或多个配置组成的.
通过添加配置,您可以定义配置文件或策略的范围,即设备上要管理的方面.
1.
在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击要为其创建配置文件或策略的平台.

版权所有SophosLimited87SophosMobile2.
在配置文件和策略页面上,单击创建.
如果有多个配置文件或策略类型可用于某个平台,单击创建时将打开一个菜单,您可以从其中选择所需的类型.
要查看可用配置文件和策略类型的列表,请参阅配置文件和策略(第86页).
3.
输入名称和说明.
4.
对于iOS和macOS设备配置文件,输入您的组织名称.
5.
对于Sophos容器策略,常规配置是强制要求的,会自动添加到策略中.
在编辑策略页面上,单击常规打开配置,并进行所需的修改.
6.
对于Android企业策略,限制配置是强制要求的,会自动添加到策略中.
在编辑策略页面上,单击限制打开配置,并进行所需的修改.
7.
对于MobileSecurity策略,网络配置是强制要求的,会自动添加到策略中.
在编辑策略页面上,单击网络打开配置,并进行所需的修改.
8.
要将更多配置添加到配置文件或策略,请单击添加配置,然后选择要添加的配置.

注释支持的配置取决于操作系统的版本或其他设备功能.
要求通过蓝色标签表示.

9.
在配置的设置页面中,输入所需的设置.
10.
可选:重复前面的步骤以添加更多的配置.
11.
如果您已经添加SCEP或Duo设备证书配置,可以选择性地在SCEP更新间隔中选择更新间隔.
设备将在您选择的时间间隔后自动请求证书更新,时间从配置文件或策略分配到设备开始计算.
配置文件或策略中的所有SCEP和Duo设备证书配置使用相同的间隔.
12.
添加所有要求的配置后,单击保存.
将创建配置文件或策略.
有关如何将配置文件或策略应用到设备的信息,请参阅在设备上安装配置文件(第91页)或向设备分配策略(第92页).
提示当您更新配置文件时,您可以轻松将其重新安装到所安装的所有设备上:在配置文件和策略页面上,单击配置文件旁边的蓝色三角形,然后单击更新设备.
更新策略时,策略会在已分配策略的所有设备上自动更新.
14.
3导入用AppleConfigurator创建的iOS设备配置文件可以将使用AppleConfigurator创建的配置文件导入SophosMobile.
AppleConfigurator可以从应用商店中下载.
注释您可以使用与自己开发的iOS应用的设置配置文件相同的程序,导入设备配置文件.
上传配置文件时,SophosMobile将分析其内容,以区分这两种配置文件类型.
1.
在AppleConfigurator中创建配置文件后,将其导出(不加密、不签名)并保存在您的计算机中.
2.
在侧边的菜单栏中,单击配置下的配置文件,策略>iOS.
3.
在配置文件和策略页面上,单击创建导入配置文件.
将显示编辑配置文件页面.
88版权所有SophosLimitedSophosMobile4.
在相应字段中输入新的配置文件的名称和说明.
5.
单击上传文件,浏览并找到保存在您计算机上的文件,将其选中并单击打开.

6.
单击保存.
将创建配置文件.
它可以安装到设备上.
请参阅在设备上安装配置文件(第91页).
14.
4导入iOS应用的设置配置文件当您开发自己的iOS应用时,可以创建设置配置文件,以便可以从IPA文件而不是应用商店安装您的应用.
您可以将这些设置配置文件上传到SophosMobile服务器,随后将它们分发到您的设备.
有关设置配置文件的详细信息,请参阅iOS开发库.
注释可以采用与AppleConfigurator创建的设备配置文件相同的程序导入设置配置文件.
上传配置文件时,SophosMobile将分析其内容,以区分这两种配置文件类型.
1.
在您的iOS开发环境中生成设置配置文件后,将其保存在您的计算机上.
2.
在侧边的菜单栏中,单击配置下的配置文件,策略>iOS.
3.
在配置文件和策略页面上,单击创建导入配置文件.
将显示编辑配置文件页面.
4.
在相应字段中输入新的配置文件的名称和说明.
5.
单击上传文件,浏览并找到保存在您计算机上的文件,将其选中并单击打开.

6.
单击保存.
将创建配置文件.
它可以安装到设备上.
请参阅在设备上安装配置文件(第91页).
14.
5关于macOS策略Mac设备有两种类型的策略:设备策略:如果您将设备策略分配给Mac设备,设置将应用到所有登录该Mac设备的用户,无论他们是否由SophosMobile托管.
用户策略:如果您将用户策略分配给Mac设备,设置将应用到所有登录该Mac设备的托管用户.
托管用户有:将Mac设备注册到SophosMobile的本地用户.
SophosMobile可以识别的所有网络用户,即来自您已经为自助服务门户配置的外部LDAP目录的用户.
关于设备和用户策略除注册策略(它是一个设备策略)外,您还可以给Mac设备分配一个设备策略和一个用户策略.
如果分配给同一Mac设备的设备策略和用户策略中有冲突性的配置,将应用限制更多的配置.

在Mac设备上,分配的策略在系统首选项>配置文件下列出.
如果您更新设备策略,修改将在下次设备同步时生效.
如果您更新用户策略,修改将在下次用户登录到Mac设备时生效.
版权所有SophosLimited89SophosMobile用户可以从Mac设备上删除用户策略,但它会在下次用户登录时自动重新分配.
用户不能删除设备策略.
如果用户删除注册策略,Mac设备将取消SophosMobile注册.
这需要管理员权限.
相关概念macOS设备策略的配置(第185页)macOS用户策略的配置(第199页)14.
6Windows密码复杂性规则Windows计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过SophosMobile策略设置.
本地帐户和Microsoft帐户使用不同的规则.
本地帐户密码不能包含用户的帐户名或用户全名中两个以上的连续字符.
密码长度不得少于6个字符.
密码必须包含以下4类字符中的3类︰—大写字符A-Z(拉丁字母)—小写字符a-z(拉丁字母)—数字0-9—特殊字符(等)Microsoft帐户密码长度不得少于8个字符.
密码必须包含以下4类字符中的2类︰—大写字符A-Z(拉丁字母)—小写字符a-z(拉丁字母)—数字0-9—特殊字符(等)14.
7SamsungKnox支持您可以通过SophosMobile管理SamsungKnox设备.
要激活SamsungKnox支持,您必须将SamsungKnoxPremium许可证密钥注册到SophosMobile.
请参阅注册SamsungKnox许可证(第21页).
要配置Samsung设备的Knox容器,请参阅Knox容器配置文件的配置(第144页).
要在SamsungKnox容器中安装应用,请参阅添加应用(第247页).
要管理您的SamsungKnox设备,您可以创建任务捆绑包,执行以下操作:90版权所有SophosLimitedSophosMobileKnox容器:锁定Knox容器:解除锁定Knox容器:重置密码Knox容器:删除(从设备删除容器和所有相关配置)要为SamsungKnox设备创建任务捆绑包,请参阅创建任务捆绑包(第237页).
14.
8配置文件和策略中的占位符配置文件和策略可能包含在执行任务时被实际数据替换的占位符.
可以使用以下占位符:用于用户数据的占位符:—%_EMAILADDRESS_%—%_USERNAME_%用于设备属性的占位符:—%_DEVPROP(属性名)_%属性名可以是设备的标准属性或自定义属性.
请参阅自定义设备属性(第58页).
用于客户属性的占位符:—%_CUSTPROP(属性名)_%请参阅创建客户属性(第23页).
对于macOS,用户数据按以下方式替换:对于本地Mac用户,使用分配给设备的SophosMobile用户的数据.
对于网络用户,使用LDAP用户帐户的数据.
14.
9在设备上安装配置文件1.
在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击其中一个支持配置文件的设备平台:AndroidiOS将显示所选平台的配置文件和策略页面.
2.
单击要安装的配置文件旁边的蓝色三角形,然后单击安装.
将显示选择设备页面.
3.
在此页面上,可以:选择要安装该配置文件的单个设备.
单击选择设备组,然后选择一个或多个设备组.
4.
完成选择后,单击下一步.
将显示设置执行日期页面.
5.
在计划日期下,选择立即或为该任务的执行指定一个日期和时间.
6.
单击完成.
将显示任务视图页面.
配置文件将在指定的日期和时间安装到所选的设备上.
版权所有SophosLimited91SophosMobile提示您还可以使用以下任一选项安装配置文件:要在所有安装该配置文件的设备上更新配置文件:在配置文件和策略页面上,单击配置文件旁边的蓝色三角形,然后单击更新设备.
要在单个设备上安装配置文件:在设备的显示设备页面上,选择配置文件选项卡并单击安装配置文件.
要在多个设备上安装配置文件:在设备页面上,选择所需设备,然后单击操作>安装配置文件.
要在一个或多个设备上作为任务捆绑包的一部分安装配置文件:将安装配置文件任务添加到任务捆绑包并将其传输到所需的设备或设备组.
14.
10向设备分配策略1.
在侧边的菜单栏中,单击配置下的配置文件,策略,然后单击设备平台.
2.
单击策略旁边的蓝色三角形,然后单击分配.
3.
在选择设备页面上,您可以:选择要向其分配策略的单个设备.
单击选择设备组,并选择一个或多个设备组进行策略分配.
4.
单击完成.
策略将分配给选定的设备.
注释SophosMobile不能从设备删除策略.
要禁用策略,请将其替换为空策略.
提示您还可以使用以下任一选项分配策略:要分配策略至单个设备:在设备的显示设备页面上,选择策略选项卡并单击分配策略.
要分配策略至多个设备:在设备页面上,选择所需设备,然后单击操作>安装配置文件或分配策略.
要将策略作为任务捆绑包的一部分分配到一个或多个设备:将安装配置文件或分配策略任务添加到任务捆绑包并将其传输到所需的设备或设备组.
14.
11卸载配置文件使用以下任一过程从设备卸载配置文件:要从单个设备卸载配置文件:在设备的显示设备页面上,选择配置文件选项卡.
单击要删除的配置文件旁边的蓝色三角形,然后单击卸载.
要从所有设备上卸载配置文件:在平台的配置文件和策略页面上,单击要删除的配置文件旁边的蓝色三角形,然后单击卸载.
要从选定设备卸载配置文件:创建一个包括卸载配置文件任务的任务捆绑包,并将它传递到所需的设备或设备组.
92版权所有SophosLimitedSophosMobile14.
12下载配置文件和策略您可以下载配置文件和策略.
这很有用,例如,如果您需要将设置传到SophosSupport.
1.
在侧边的菜单栏中,转到配置文件,策略,并单击一个设备平台.
2.
单击配置文件或策略旁边的蓝色三角形并单击下载.
配置文件或策略将保存到您的计算机上.
14.
13Android设备配置文件的配置使用Android设备配置文件,您可以配置Android设备的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建设备配置文件的信息,请参阅创建配置文件或策略(第87页).
14.
13.
1密码策略配置(Android设备配置文件)使用密码策略配置,您可以为显示锁定密码定义要求.
注释支持的设置取决于操作系统的版本或其他设备功能.
它在SophosMobileAdmin中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
版权所有SophosLimited93SophosMobile设置/字段说明复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将擦除设备.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
94版权所有SophosLimitedSophosMobile生物特征身份验证设置/字段说明允许指纹身份验证如果设备支持,用户可以使用指纹验证方式解锁设备.
允许虹膜身份验证如果设备支持,用户可以使用虹膜验证方式解锁设备.
14.
13.
2限制配置(Android设备配置文件)使用限制配置,您可以为设备定义限制.
安全设置/字段说明强制加密用户必须对其设备进行加密.
强制SD卡加密将配置文件安装到设备上时,用户必须对SD卡进行加密.
注释对于某些设备类型,用户可以选择取消加密.
在下次装载SD卡时,将再次提醒他们.
允许快速加密用户可以修改设备设置中的快速加密选项.
允许恢复出厂设置用户可以将其设备重置为出厂状态.
允许"开发人员选项"用户可以修改开发者选项.
允许安全模式用户可以在安全模式下启动设备.
允许USB调试用户可以开启USB调试.
注释对于EnterpriseAPI版本9或更高版本的Sony设备,清除允许USB调试复选框将使所有开发人员选项不可用.
允许固件恢复将允许所有类型的固件更新(如无线、下载等).
允许备份用户可以创建系统备份.
如果清除该复选框,将关闭Google备份,但其他备份方法(例如SophosMobile备份)仍然可用.
版权所有SophosLimited95SophosMobile设置/字段说明允许更改设置用户可以修改设备设置.
注释对于您要在其上面配置Knox容器的Samsung设备,您必须开启此选项.
允许剪贴板用户可以将任意内容复制到剪贴板.
启用共享的剪贴板允许用户在应用之间复制剪贴板内容.
如果清除该复选框,每个应用都将有各自的剪贴板.
只有在您选中允许剪贴板时,此设置才可用.
允许屏幕捕获用户可以截屏.
允许模仿GPS位置用户可以在Android开发人员选项中选择模拟位置信息应用.
允许无线固件更新将允许无线固件更新.
允许录音用户可以录音.
允许录像用户可以录像.
如果清除该复选框,用户仍然可以拍摄照片和流式视频.
允许激活锁定用户可以修改设备设置中的激活锁定选项.
允许S光束用户可以启动SamsungSBeam应用.
允许S语音用户可以启动SamsungSVoice应用.
允许"共享方式"共享方式功能可以使用.
帐户设置/字段说明允许多个用户帐户如果清除该复选框,将关闭多用户支持.
用户或其他应用不能创建额外的用户帐户.
允许添加电子邮件帐户如果清除该复选框,用户将不能添加电子邮件帐户.
这不影响通过设备配置文件创建帐户.
允许删除Google帐户如果清除该复选框,用户将不能从设备上删除Google帐户.
96版权所有SophosLimitedSophosMobile设置/字段说明允许Google账户自动同步如果清除该复选框,Google帐户将不会自动同步.
用户仍然可以在Gmail等应用内执行手动同步.
网络与通信设置/字段说明允许飞行模式如果清除该复选框,用户将不能启用飞行模式.
允许漫游时同步如果清除该复选框,将关闭漫游时同步.
仅允许紧急呼叫只允许紧急呼叫.
所有其他通话将被阻止.
漫游时强制要求手动同步设备漫游时,将关闭自动数据同步.
这将影响所有配置的帐户,如Google或Exchange.
强制要求移动数据连接用户不能关闭手机网络数据.
允许短信如果清除该复选框,用户将不能发送短信.
允许漫游时连接移动数据如果清除该复选框,将关闭漫游时的移动数据连接.
允许漫游时语音呼叫如果清除该复选框,将关闭漫游时的语音通话.
允许用户移动数据限制如果清除该复选框,用户将不能设置移动数据限制.
允许VPN如果清除该复选框,用户将不能使用VPN连接.
允许Wi-FiDirect如果清除该复选框,将关闭通过Wi-FiDirect传输数据.
允许AndroidBeam如果清除该复选框,将关闭通过AndroidBeam传输数据.
包括SamsungSBeam应用.
允许Miracast策略如果清除该复选框,将关闭通过Miracast传输数据.
允许蓝牙如果清除该复选框,将关闭蓝牙.
允许高级音频分发模式(A2DP)允许音频/视频远程控制模式(AVRCP)允许免提模式(HFP)允许耳机模式(HSP)允许电话簿访问模式(PBAP)允许串口模式(SPP)要允许单个蓝牙配置文件,请选中允许蓝牙复选框,然后选择要允许的配置文件.
如果清除允许蓝牙复选框,设置将不起作用,即禁止所有配置文件.
版权所有SophosLimited97SophosMobile设置/字段说明允许NFC如果清除该复选框,将关闭NFC(近场通信).
允许Wi-Fi如果清除该复选框,将关闭Wi-Fi.
数据加密设置/字段说明允许数据共享如果清除该复选框,将关闭数据共享.
包括通过Wi-Fi、USB和蓝牙进行的数据共享.
注释如果清除该复选框,允许Wi-Fi数据共享、允许USB数据共享和允许蓝牙数据共享将不起作用.
允许Wi-Fi数据共享如果清除该复选框,将关闭Wi-Fi数据共享(Wi-Fi热点).
允许USB数据共享如果清除该复选框,将关闭USB数据共享.
允许蓝牙数据共享如果清除该复选框,将关闭蓝牙数据共享.
允许配置Wi-Fi数据共享用户可以配置Wi-Fi热点的设置.
硬件设置/字段说明允许照相机如果清除该复选框,相机将不可用.
允许在锁定屏幕期间使用照相机如果清除该复选框,锁屏时将不能使用相机.
要允许相机在锁定屏幕上,您还必须选择允许照相机选项.
强制要求GPS进行位置查询将使用GPS信息进行设备定位.
允许SD卡如果清除该复选框,SD卡将不能在设备上使用.
允许将应用移至SD卡如果清除该复选框,用户将不能将应用从内部存储移动到SD卡.
允许写入未加密的SD卡如果清除该复选框,将不能写入未加密的SD卡.
允许麦克风如果清除该复选框,麦克风将不可用.
98版权所有SophosLimitedSophosMobile设置/字段说明允许USB设备上的USB大容量存储模式和USB媒体设备模式(MTP)可用.
允许USB媒体播放器如果清除该复选框,媒体传输协议(MTP)将不可用.
因为Android使用MTP传输USB文件,因此将阻止通过USB传输任何文件.
允许省电模式如果清除该复选框,设备将不会进入省电模式.
允许USB主机存储将装载用户连接的所有外部存储设备.
其中包括便携式USB存储设备、外置硬盘和SD卡读卡器.
如果清除该复选框,将不装载外部存储设备.
应用程序设置/字段说明允许应用安装如果清除该复选框,用户将不能安装应用.
允许应用卸载如果清除该复选框,用户将不能卸载应用.
允许未签名应用安装如果清除该复选框,用户将只能安装签名的APK文件.
允许PlayStore如果清除该复选框,将不能使用GooglePlayStore应用.
允许未知来源的应用如果清除该复选框,用户将只能通过GooglePlayStore应用安装应用.
允许本地浏览器如果清除该复选框,本地浏览器将不可用.
第三方浏览器应用将不受影响.
允许应用崩溃报告如果清除该复选框,用户将不能发送崩溃报告.
允许更换墙纸如果清除该复选框,用户将不能更换壁纸.
显示来电信息如果清除该复选框,将不显示来电详细信息.
所有呼叫者都将显示为"未知号码".
允许在浏览器中自动填充用户可以在本机Android浏览器的设置中启用自动填充.
启用后,网页会在用户填充表单数据时提供建议.
如果清除该复选框,将关闭自动填充,且浏览器设置将不可用.
允许在浏览器中使用Cookie用户可以在本机Android浏览器的设置中启用Cookie.
启用后,网页可以将Cookie存储在设备上.
如果清除该复选框,将关闭Cookie,且浏览器设置将不可用.
版权所有SophosLimited99SophosMobile设置/字段说明允许在浏览器中使用JavaScript用户可以在本机Android浏览器的设置中启用JavaScript.
启用后,网页可以在设备上执行JavaScript代码.
如果清除该复选框,将关闭JavaScript,且浏览器设置将不可用.
允许在浏览器中弹出窗口用户可以在本机Android浏览器的设置中启用弹出窗口.
启用后,网页可以打开新的浏览器窗口.
如果清除该复选框,将关闭弹出窗口,且浏览器设置将不可用.
允许修改日期和时间设置用户可以修改日期和时间设置.
允许的应用/禁止的应用您可以配置允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
SophosMobile服务器启动的应用安装不受此设置的影响.
有关创建应用组的信息,请参阅应用组(第265页).
14.
13.
3KnoxPremium限制配置(Android设备配置文件)使用KnoxPremium限制配置,您可以为SamsungKnox设备定义限制.
这些限制适用于设备,不适用于Knox容器.
注释为了强制执行KnoxPremium限制,您必须将SamsungKnoxPremium许可证注册到SophosMobile,且设备必须支持KnoxPremiumSDK2.
x.
选项说明允许固件自动更新选项设备将自动检查固件更新.
用户不能在设备设置中更改此选项.
启用ODE信任引导验证只有二进制文件和内核文件是正式的,也就是设备没有进行Root的情况下,设备才会在启动时解密数据分区.
如果清除该复选框,设备总是会在启动时解密数据分区.
阻止另一管理应用安装将阻止安装需要设备管理员权限的应用.
这不影响SophosMobile安装的应用.
阻止另一管理应用激活将阻止激活设备管理员权限.
100版权所有SophosLimitedSophosMobile选项说明允许常见标准模式将开启设备的常见条件模式(CC模式),从而确保设备符合移动设备基本保护配置文件(MDFPP)规定的安全要求.
请注意:CC模式仅在满足以下附加要求时使用:设备加密已开启.
快速加密已关闭.
外部存储加密已开启.
设置了设备擦除前允许的登录失败尝试次数.
证书吊销已开启.
密码历史记录已关闭.
14.
13.
4Exchange帐户配置(Android设备配置文件)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
版权所有SophosLimited101SophosMobile设置/字段说明同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
默认账户该帐户用作默认的电子邮件帐户.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
允许转发邮件允许转发电子邮件.
允许使用HTML格式允许在电子邮件中使用HTML格式.
最大大小(MB).
单封电子邮件最大的大小(1、3、5、10、无限制).
同步内容类型要同步的内容类型.
注释在使用LGGATE、SamsungKnox或SonyEnterpriseAPI的设备上,该电子邮件应用将自动配置.
在其他Android设备上,用户将收到配置该电子邮件应用的消息.
配置详细信息可以在SophosMobileControl应用中找到.
注释对于采用EnterpriseAPI6.
x或以下版本的Sony设备,Exchange帐户信息与分配给设备的用户相匹配非常重要.
在这些设备上,SophosMobileControl客户端不能将ActiveSyncID发送到SophosMobile服务器.
当设备首次联系EAS代理时,电子邮件客户端发送的ActiveSyncID对于SophosMobile是未知的.
为验证帐户详细信息,EAS代理会搜索ActiveSyncID未知的设备以及与电子邮件客户端提供的用户信息相匹配的已分配用户.
如果找到这样的设备,ActiveSyncID将分配给该设备,电子邮件请求将传递到Exchange服务器.
否则,请求将被拒绝.
有关详细信息,请参阅Sophos知识库文章121360.
102版权所有SophosLimitedSophosMobile14.
13.
5Wi-Fi配置(Android设备配置文件)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
代理服务器和端口Wi-Fi连接代理服务器的名称或IP地址和端口号.
版权所有SophosLimited103SophosMobile14.
13.
6应用保护配置(Android设备配置文件)使用应用保护配置,您可以为保护应用定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在自助服务门户中重置应用保护密码.
设置/字段说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
14.
13.
7应用控制配置(Android设备配置文件)使用应用控制配置,您可以定义不允许用户启动的应用.
例如,可以使用此功能阻止设备制造商预安装并且无法卸载的应用程序.
设置/字段说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
104版权所有SophosLimitedSophosMobile14.
13.
8应用权限配置(Android)使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么.

设置/字段说明特定于App的运行时权限您可以对单个应用授予或拒绝某些运行时权限.
单击添加,然后配置应用的设置:在应用ID字段中,输入应用的内部标识符.
对每个运行时权限,选择所需的授权状态:可选择:用户可以授予或拒绝权限.
授权:授予权限且用户不能拒绝.
拒绝:拒绝权限且用户不能授权.
14.
13.
9展台模式配置(Android设备配置文件)使用展台模式配置,您可以为设备定义限制,使其进入展台模式.
单击选择源,然后执行以下操作之一,指定配置文件传输到设备时将启动的应用:选择自定义并输入应用标识符.
选择应用列表,然后从应用标识符列表中选择一个应用.
该列表包含您在应用页面上配置的所有应用.
请参阅添加应用(第247页).
选择没有应用可以配置展台模式,但不指定应用.
展台模式限制将应用于设备,但不会启动任何应用.
在选项下,不选择要在展台模式下禁用的硬件和软件功能.
当配置文件传输到设备时,指定的应用将启动.
但是,如果您未关闭任何可用的硬件或软件功能,用户将可以离开应用并正常使用该设备.
要将设备设置为真正的展台模式,至少必须清除允许主页按钮和允许任务管理器复选框.
注释必须将指定的应用安装到设备上.
如果未安装,传输任务将保持未完成状态,直到该应用安装完成.
要安装该应用,请创建一个包含(例如)安装应用任务的任务绑定包,并将其传输到您的设备.
对于EnterpriseAPI版本9或更高版本的Sony设备,如果您清除允许调高音量、允许调低音量或允许静音复选框中的任意一项,设备的所有音量按钮都将禁用.

版权所有SophosLimited105SophosMobile14.
13.
10接入点名称配置(Android设备配置文件)使用接入点名称配置,可以为移动设备指定接入点名称(APN)配置.
APN配置定义设备如何连接到移动网络.
重要提示我们建议您向运营商了解所需的设置.
如果选择用作默认APN且设置不正确,设备将不能通过手机网络访问数据.
注释除APN字段外,所有设置均为可选,并且仅在移动网络运营商要求时才指定.
设置/字段说明APN设备开启与运营商的连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
用户友好名称除APN外,显示在设备上的可选名称.
代理服务器和端口用于Web通信的HTTP服务器的地址和端口.
用户名、用户密码用于连接到APN的用户名和密码.
服务器WAP网关服务器.
MMSC多媒体消息服务中心(MMSC).
MMS代理服务器和端口用于与MMSC进行通信的HTTP服务器的地址和端口.
移动设备国家代码(MCC)、移动设备网络代码(MNC)用于指定运营商的MCC和MNC.
APN仅用于该运营商.
身份验证类型PPP连接的身份验证方法.
APN类型使用此APN的数据连接的类型.
要将该APN用于所有数据类型,请输入*或将该字段保留为空.
持有者运营商使用的无线接入技术(RAT).
协议运营商支持的网络协议.
漫游协议运营商在漫游模式下支持的网络协议.
106版权所有SophosLimitedSophosMobile设置/字段说明用作默认APN如果选中,设备将使用此APN作为默认值.
如果尝试在多个接入点名称配置中选择此选项,将会引发错误.
14.
13.
11VPN配置(Android设备配置文件)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
服务器服务器的主机名或IP地址.
连接类型VPN连接的类型:L2TP/IPsec(PSK)如果选择此类型,将显示用户、密码和L2TP/IPsec(PSK)字段.
输入用户名及密码.
在L2TP/IPsec(PSK)字段中,输入身份验证的预共享密钥.
L2TP/IPsec(证书)如果选择此类型,将显示客户端证书、根证书、用户名及密码字段.
在客户端证书及根证书字段中,选择相应的证书.
此外,输入用户名及相应的密码.
CiscoAnyConnect如果选择此类型,您可以上传XML文件及AnyConnectVPN配置文件和/或NVM(网络可见性模块)配置文件.
请参阅CiscoAnyConnect管理员指南,了解有关这些配置文件的信息.
14.
13.
12根证书配置(Android设备配置文件)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
13.
13客户端证书配置(Android设备配置文件)使用客户端证书配置,您可以在设备上安装客户端证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
版权所有SophosLimited107SophosMobile注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
13.
14SCEP配置(Android设备配置文件)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
108版权所有SophosLimitedSophosMobile设置/字段说明质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
14.
14Android企业工作配置文件策略的配置使用Android企业工作配置文件策略,可以配置与设备的工作配置文件相关的设置.
策略可以应用到配置文件所有者模式下的Android企业设备.
有关如何创建Android企业工作配置文件策略的信息,请参阅创建配置文件或策略(第87页).
14.
14.
1"密码策略-设备"配置(Android企业工作配置文件策略)使用密码策略-设备配置,您可以为显示锁定密码定义要求.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
版权所有SophosLimited109SophosMobile设置/字段说明PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将擦除设备.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
110版权所有SophosLimitedSophosMobile设置/字段说明特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
14.
14.
2"密码策略-工作配置文件"配置(Android企业工作配置文件策略)使用密码策略-工作配置文件配置,您可以为工作配置文件密码定义要求.
工作配置文件锁定时,用户必须输入该密码才能打开应用.
注释支持的设置取决于操作系统的版本或其他设备功能.
它在SophosMobileAdmin中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
弱的生物识别允许用户使用较弱的生物识别方法(如面部识别)来解锁工作配置文件.
注释较弱的生物识别方法提供与3位数PIN码相似的安全性.
这意味着在1000次尝试中可能会发生1次中未经授权的解锁.
版权所有SophosLimited111SophosMobile如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该工作配置文件被锁定后的时间.
配置文件可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将删除工作配置文件.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
112版权所有SophosLimitedSophosMobile14.
14.
3限制配置(Android企业工作配置文件策略)使用限制配置,您可以为Android工作配置文件配置限制和相关设置.
安全设置/字段说明允许屏幕捕获用户可以截取工作配置文件中安装的应用的屏幕内容.
允许用户配置凭据用户可以在工作配置文件中安装或删除证书.
允许在个人应用中使用工作剪贴板用户可以从工作配置文件中的应用复制文本,并粘贴到个人应用中.
始终可以将剪贴板文本从个人应用粘贴到工作配置文件中的应用.
允许智能锁定用户可以开启在特定情况下自动解锁设备的Android智能解锁功能.
注释此设置会影响设备锁定.
如果还配置了工作配置文件锁定,它将被忽略.
允许共享位置工作配置文件中的应用可以访问设备的定位功能.
如果不选中该复选框,即便用户已经开启位置共享,工作配置文件中的应用也不能访问设备的定位功能.
允许在个人应用中打开Web链接用户在工作配置文件中的应用中点击的Web链接可以通过个人浏览器应用打开.
允许调试用户可以开启Android开发人员选项中的调试功能.
允许通过指纹解锁设备用户可以使用指纹传感器解锁设备.
允许工作联系信息用于个人呼叫工作联系人来电时,个人电话应用显示来电人姓名.
允许工作联系信息用于蓝牙设备工作联系人个人来电时,连接的蓝牙设备显示来电人姓名.
允许搜索个人配置文件中的工作联系人搜索来电人姓名时,个人电话应用包括来自工作联系人的结果.
版权所有SophosLimited113SophosMobile帐户设置/字段说明允许管理帐户用户可以添加或删除工作配置文件中的帐户,但不能添加或删除Google帐户.
网络与通信设置/字段说明允许VPN用户可以将VPN连接用于工作配置文件中的应用.
允许AndroidBeam用户可以通过AndroidBeam(通过NFC传输数据)从工作配置文件中的应用发送数据.
硬件设置/字段说明允许照相机工作配置文件中的应用可以访问相机.
应用程序设置/字段说明允许应用卸载用户可以从工作配置文件中卸载应用.
允许安装未知来源的应用如果不选中该复选框,用户将只能通过GooglePlay安装工作配置文件中的应用,不能从未知来源或通过Android调试桥(ADB)安装.
允许管理应用如果不选中该复选框,用户将不能对工作配置文件中的应用执行以下任务:卸载应用禁用应用停止应用清除应用缓存清除应用数据清除默认情况下打开设置114版权所有SophosLimitedSophosMobile设置/字段说明允许禁用Google安全扫描用户可以关闭Google安全设置扫描设备是否存在安全威胁.
该设置可用于设置应用中,在Google>安全>GooglePlayProtect下.
短消息特定于公司的支持消息,当功能关闭时向用户显示.
注释如果您的输入超过了200个字符,消息可能会被截断.
长消息用于补充短消息的附加文本.
当用户在显示短消息的屏幕中点击更多详细信息时,显示该文本.
注释此文本还会显示在SophosMobileControl应用的Android设备管理员屏幕上.
14.
14.
4Exchange帐户配置(Android企业工作配置文件策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
这些设置被应用至工作配置文件中的Gmail应用程序.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
注释密码由用户输入.
版权所有SophosLimited115SophosMobile设置/字段说明电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
14.
14.
5Wi-Fi配置(Android企业工作配置文件策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
116版权所有SophosLimitedSophosMobile设置/字段说明身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
14.
14.
6应用保护配置(Android企业工作配置文件策略)通过应用保护配置,可以为保护托管的GooglePlay应用(即工作配置文件中安装的应用)定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在自助服务门户中重置应用保护密码.
设置/字段说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
版权所有SophosLimited117SophosMobile14.
14.
7应用控制配置(Android企业工作配置文件策略)通过应用程序控制配置,您可以定义不允许用户启动的应用.
设置/字段说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
14.
14.
8应用权限配置(Android企业工作配置文件策略)通过应用权限配置,您可以配置托管的GooglePlay应用在运行期间请求权限时会发生什么.
设置/字段说明对运行时权限请求的默认响应对未来运行时权限请求的默认响应:提示:应用提示用户授予权限.
自动接受:所有运行时权限请求都会自动授予.
自动拒绝:所有运行时权限请求都会自动拒绝.
用户以后不能更改权限.
特定于App的运行时权限您可以对单个应用授予或拒绝某些运行时权限.
单击添加,然后配置应用的设置:在应用标识符字段中,输入应用的内部标识符.
对每个运行时权限,选择所需的授权状态:可选择:用户可以授予或拒绝权限.
授权:授予权限且用户不能拒绝.
拒绝:拒绝权限且用户不能授权.
14.
14.
9VPN配置(Android企业工作配置文件策略)通过VPN配置,您可以为Android企业设备选择VPN客户端.
设置/字段说明VPN客户端VPN应用的标识符.
VPN客户端必须是已安装在设备上的托管的GooglePlay应用.
在应用的托管配置中配置VPN连接.
有关详细信息,请参阅应用文档.
118版权所有SophosLimitedSophosMobile14.
14.
10根证书配置(Android企业工作配置文件策略)使用根证书配置,您可以在设备上安装根证书.
该证书可用于托管的GooglePlay应用,即安装在工作配置文件中的应用.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
14.
11客户端证书配置(Android企业工作配置文件策略)使用客户端证书配置,您可以在设备上安装客户端证书.
该证书可用于托管的GooglePlay应用,即安装在工作配置文件中的应用.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
14.
12SCEP配置(Android企业工作配置文件策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
在工作配置文件中安装的应用将可以使用这些证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
版权所有SophosLimited119SophosMobile设置/字段说明主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
14.
15Android企业设备策略的配置使用Android企业设备策略,您可以配置Android设备的各个方面,如密码策略、限制或Wi-Fi设置.
策略可以应用到设备所有者模式下的Android企业设备.
有关如何创建Android企业设备策略的信息,请参阅创建配置文件或策略(第87页).
120版权所有SophosLimitedSophosMobile14.
15.
1"密码策略"配置(Android企业设备策略)使用密码策略配置,您可以为显示锁定密码定义要求.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将擦除设备.
版权所有SophosLimited121SophosMobile设置/字段说明密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
14.
15.
2限制配置(Android企业设备策略)使用限制配置,您可以为设备定义限制.
安全设置/字段说明强制加密用户必须对其设备进行加密.
允许恢复出厂设置用户可以将设备重置为出厂设置.
允许安全模式用户可以在安全模式下启动设备.
允许调试用户可以开启Android开发人员选项中的调试功能.
允许屏幕捕获用户可以截屏.
允许用户配置凭据用户可以安装或删除证书.
122版权所有SophosLimitedSophosMobile设置/字段说明允许智能锁定用户可以开启在特定情况下自动解锁设备的Android智能解锁功能.
注释此设置会影响设备锁定.
如果还配置了工作配置文件锁定,它将被忽略.
允许共享位置用户可以开启位置共享.
允许通过指纹解锁设备用户可以使用指纹传感器解锁设备.
允许修改用户头像用户可以修改其用户帐户使用的照片.
在锁屏界面隐藏敏感信息如果开启锁屏界面上的通知,将隐藏敏感的通知内容.
系统更新策略选择安装系统更新的时间:无策略:用户决定何时安装系统更新.
自动安装:只要有系统更新可用,即自动安装.
在维护时段内安装:系统更新在日常维护时段内自动安装.
输入一天的开始和结束时间.
推迟:阻止系统更新(安全更新除外)30天.
帐户设置/字段说明允许管理帐户用户可以在设备中添加或删除帐户,但不能添加或删除Google帐户.
网络与通信设置/字段说明允许短信如果清除该复选框,用户将不能发送短信.
允许漫游时连接移动数据如果清除该复选框,将关闭漫游时的移动数据连接.
允许VPN如果清除该复选框,用户将不能使用VPN连接.
允许AndroidBeam用户可以通过AndroidBeam(通过NFC传输数据)从应用发送数据.
允许蓝牙如果清除该复选框,将关闭蓝牙.
允许拨出用户可以拨打电话.
版权所有SophosLimited123SophosMobile设置/字段说明允许网络重置用户可以将网络设置重置为默认设置.
启用Wi-Fi设置用户可以修改Wi-Fi设置.
允许配置手机网络广播用户可以在其消息应用中开启或关闭手机网络广播(CB)消息.
启用手机网络设置用户可以修改手机网络设置.
启用数据共享设置用户可以修改数据共享和便携式热点设置.
硬件设置/字段说明允许照相机如果清除该复选框,相机将不可用.
允许麦克风如果清除该复选框,麦克风将不可用.
允许外部媒体用户可以将USB存储等外部媒体连接到设备.
启用USB存储用户可以将USB大容量存储模式(USBMSC)的设备连接到主计算机,即作为外部硬盘驱动器.
如果不选中该复选框,用户仍然可以连接媒体传输模式(USBMTP)或图片传输模式(USBPTP)的设备以传输文件.
允许通过USB传输文件.
用户可以在设备和外部USB存储之间传输文件.
应用程序设置/字段说明允许应用卸载用户可以卸载应用.
允许安装未知来源的应用如果清除该复选框,用户将只能通过GooglePlay安装应用,不能从未知来源或通过Android调试桥(ADB)安装.
启用系统应用如果清除该复选框,将只启用以下应用:GooglePlayStore、Contacts、Messages、Phone.
对于以Android企业设备所有者模式注册的设备,Google建议开启此选项.
如果您选中此复选框,将启用制造商预安装的所有应用.
允许更换墙纸如果清除该复选框,用户将不能更换壁纸.
124版权所有SophosLimitedSophosMobile设置/字段说明允许管理应用如果清除该复选框,用户将不能对应用执行以下任务:卸载应用禁用应用停止应用清除应用缓存清除应用数据清除默认情况下打开设置允许禁用Google安全扫描用户可以关闭Google安全设置扫描设备是否存在安全威胁.
该设置可用于设置应用中,在Google>安全>GooglePlayProtect下.
允许设置日期和时间用户可以设置日期和时间.
如果清除该复选框,将使用网络日期和时间.
短消息特定于公司的支持消息,当功能关闭时向用户显示.
注释如果您的输入超过了200个字符,消息可能会被截断.
长消息用于补充短消息的附加文本.
当用户在显示短消息的屏幕中点击更多详细信息时,显示该文本.
注释此文本还会显示在SophosMobileControl应用的Android设备管理员屏幕上.
允许的辅助功能服务限制可以提供辅助功能服务的应用的列表:如果您选择所有可用的应用,用户将可以使用所有辅助功能服务.
如果您选择仅系统应用,用户将只能使用系统应用提供的辅助功能服务.
如果您选择应用组,用户将只能使用该组的应用和系统应用提供的辅助功能服务.
版权所有SophosLimited125SophosMobile14.
15.
3Exchange帐户配置(Android企业设备策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
注释密码由用户输入.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
126版权所有SophosLimitedSophosMobile14.
15.
4Wi-Fi配置(Android企业设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
版权所有SophosLimited127SophosMobile14.
15.
5应用保护配置(Android企业设备策略)通过应用保护配置,可以为保护托管的GooglePlay应用定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时创建一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在自助服务门户中重置应用保护密码.
设置/字段说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
14.
15.
6应用控制配置(Android企业设备策略)使用应用控制配置,您可以定义不允许用户启动的应用.
例如,可以使用此功能阻止设备制造商预安装并且无法卸载的应用程序.
设置/字段说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
14.
15.
7应用权限配置(Android企业设备策略)使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么.

设置/字段说明对运行时权限请求的默认响应对未来运行时权限请求的默认响应:提示:应用提示用户授予权限.
自动接受:所有运行时权限请求都会自动授予.
自动拒绝:所有运行时权限请求都会自动拒绝.
用户以后不能更改权限.
128版权所有SophosLimitedSophosMobile设置/字段说明特定于App的运行时权限您可以对单个应用授予或拒绝某些运行时权限.
单击添加,然后配置应用的设置:在应用标识符字段中,输入应用的内部标识符.
对每个运行时权限,选择所需的授权状态:可选择:用户可以授予或拒绝权限.
授权:授予权限且用户不能拒绝.
拒绝:拒绝权限且用户不能授权.
14.
15.
8展台模式配置(Android企业设备策略)使用展台模式配置,您可以为设备定义限制,使其进入展台模式.
设置/字段说明选择源无:允许所有应用.
展台模式限制将应用于设备,但用户可以启动设备上可用的任意应用.
自定义,应用列表,:将单个应用锁定在屏幕上.
应用组:允许多个应用出现在屏幕上.
应用ID展台模式下可用的应用.
根据您在选择源中的选择,按其标识符指定应用,或从可用应用列表中选择应用.
应用组展台模式下可用的应用.
选择其中一个配置的应用组.
允许调高调节如果清除该复选框,设备的音量按钮将禁用.
关闭锁屏设备的屏幕将永不锁定.
充电时保持开启只要设备连接到电源,设备屏幕就保持开启.
14.
15.
9全球HTTP代理配置(Android企业设备策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器和端口HTTP代理的名称(或IP地址)和端口号.
PACURL代理自动配置(PAC)文件的URL.
版权所有SophosLimited129SophosMobile14.
15.
10VPN配置(Android企业设备策略)通过VPN配置,您可以为Android企业设备选择VPN客户端.
设置/字段说明VPN客户端VPN应用的标识符.
VPN客户端必须是已安装在设备上的托管的GooglePlay应用.
在应用的托管配置中配置VPN连接.
有关详细信息,请参阅应用文档.
14.
15.
11根证书配置(Android企业设备策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
15.
12客户端证书配置(Android企业设备策略)使用客户端证书配置,您可以在设备上安装客户端证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
15.
13SCEP配置(Android企业设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
130版权所有SophosLimitedSophosMobile设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
版权所有SophosLimited131SophosMobile设置/字段说明用于加密如果您选中此复选框,公钥将可以用于数据加密.
14.
16Android的Sophos容器策略的配置使用Sophos容器策略,您可以配置与Sophos容器应用SophosSecureEmail和SophosSecureWorkspace相关的设置.
有关如何创建Sophos容器策略的信息,请参阅创建配置文件或策略(第87页).
注释如果您将此策略分配给Android企业设备,将同时安装SophosSecureWorkspace应用.
如果策略还包含工作电子邮件配置,将同时安装SophosSecureEmail应用.
您必须已经在托管的GooglePlay中批准了这些应用.
14.
16.
1常规配置(AndroidSophos容器策略)使用常规配置,您可以定义适用于所有Sophos容器应用的设置(如果适用).
设置/字段说明启用Sophos容器密码用户必须输入一个额外的密码才能启动Sophos容器应用.
在应用该配置后启动第一个容器应用时,必须定义密码.
此密码适用于所有容器应用.
密码复杂性要求的Sophos容器密码的最低复杂性.
始终允许更安全的密码.
密码(数字和字母数字字符的组合)始终被视为比PIN(仅数字字符)更安全.
任意:Sophos容器密码没有限制.
4个数字的PIN6个数字的PIN4个字符的密码6个字符的密码8个字符的密码10个字符的密码始终在密码条目字段中隐藏字符密码输入字段中的字符在屏蔽之前不会短暂显示.
密码期限(天)密码可以使用的天数,之后会提示用户修改.
132版权所有SophosLimitedSophosMobile设置/字段说明锁定前登录失败允许登录尝试失败的次数,之后将锁定容器应用.
它们被锁定后,需要管理员对应用进行解锁,如果允许,用户也可以使用自助服务门户进行解锁.
允许指纹用户可以使用其指纹解锁应用.
宽限期的分钟数容器应用再次回到前台而无需输入Sophos容器密码的时间段.
该宽限期适用于所有容器应用.
在该宽限期内,无需输入密码就可以在应用之间进行切换.
在设备锁定时锁定当设备锁定时,Sophos容器也锁定.
如果清除该复选框,容器将只在宽限期结束后锁定.
上一次服务器连接用户可以使用Sophos容器应用而不必连接SophosMobile服务器的时间.
当Sophos容器应用激活且在定义的时间内没有与服务器连接时,将显示锁屏界面.
用户只能通过点击锁屏界面上的重试解锁应用.
然后,应用将尝试连接到服务器.
如果可以建立连接,应用将解锁.
否则,访问将被拒绝.
访问时:服务器无法访问时,总是需要服务器连接并且应用将被锁定.
1小时:在上次服务器成功连接后,应用活动1个小时或以上时,需要连接服务器.
3小时6小时12小时1天3天3天无:无需定期联系.
版权所有SophosLimited133SophosMobile设置/字段说明没有服务器连接时离线启动在此字段中,您可以定义在没有服务器连接时,用户多久可以启动一个Sophos容器应用一次.
注释该设置需要开启Sophos容器密码功能.
只要用户输入Sophos容器密码,计数器就会增加.
如果计数器超过定义的数量,将显示和上一次服务器连接设置相同的锁屏界面.
如果建立了与SophosMobile服务器的连接,该计数器将被重置.
无限制:无需服务器联系.
0:不连接服务器则无法启动应用.
1:成功启动应用后,需要连接服务器.
351020允许根目录访问允许容器应用在Root的设备上运行.
应用使用约束条件可以在这里定义使用Sophos容器应用的约束条件.
单击添加,输入约束条件.
地理限制用于添加Sophos容器应用可以在其中使用的纬度和经度以及半径范围.
时间限制用于指定Sophos容器应用可以使用的开始时间和结束时间.
还可以指定应用可以在一周内的哪些天可以使用.
Wi-Fi限制如果您选中需要Wi-Fi连接,没有有效的Wi-Fi连接时将锁定Sophos容器.
如果您将Wi-Fi网络添加到列表中,当设备连接到未列出的Wi-Fi网络时将锁定Sophos容器.
重要提示我们建议您不要以Wi-Fi限制作为唯一的安全机制,因为Wi-Fi名称很容易被欺骗.
134版权所有SophosLimitedSophosMobile14.
16.
2公司电子邮件配置(AndroidSophos容器策略)使用公司电子邮件配置,您可以为您的MicrosoftExchangeServer定义用户设置.
这些设置适用于安装在Sophos容器中的SophosSecureEmail应用.
设置/字段说明Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
域此帐户的域.
支持联系人电子邮件将用作"联系技术人员"电子邮件地址的电子邮件地址.
将联系人导出到设备允许用户将Exchange联系人导出到本地设备联系人,以便他们可以识别来电中的公司联系人.
SophosSecureEmail保持信息同步.
注释在以下情况下,本地联系人信息将自动删除:从Sophos容器策略中删除公司电子邮件配置(需要重新启动SecureEmail应用)时.
从设备删除Sophos容器时.
从SophosMobile取消注册设备时.
导出公司名称公司名将包含在从公司联系人到本地设备联系人的导出中.
如果清除该复选框,将只导出姓名和电话号码.
版权所有SophosLimited135SophosMobile设置/字段说明通知详细信息选择显示在电子邮件通知中的信息量.
该设置还会影响事件提醒.
如果您选择了无通知,则会关闭事件提醒.
如果您选择了其他值,事件提醒将打开并且包含时间、位置和标题信息.
拒绝复制到剪贴板用户不能从SophosSecureEmail应用复制或剪切文件.
拒绝截屏用户无法截取显示SophosSecureEmail应用的屏幕截图.
最大的电子邮件大小不会从Exchange服务器检索大于所选大小的电子邮件(包括).
允许查看/共享用户可以查看或共享电子邮件.
查看选择可以在所有应用中查看,还是只能在Sophos容器应用SophosSecureWorkspace和SophosSecureEmail中查看.
共享所有应用程序:可以共享给支持文件格式的所有应用.
容器应用:将使用设备密钥加密,且只能在SophosSecureWorkspace中打开.
共享操作本身不会被阻止.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
注释如果SophosSecureEmail未安装,用户将收到安装消息.
当他们首次启动该应用时,它将自动配置.
14.
16.
3公司文档配置(AndroidSophos容器策略)使用公司文档配置,您可以为SophosSecureWorkspace应用的公司文档功能定义设置.
配置存储提供程序对于每个存储提供程序,可以分别定义下列设置:设置/字段说明启用可以在应用中使用存储提供程序.
136版权所有SophosLimitedSophosMobile设置/字段说明离线将允许用户将文件从存储提供程序添加到应用的收藏夹列表,以供离线使用.
打开(已加密)用户可以通过打开与其他应用共享加密的文件.
打开(未加密)用户可以通过打开与其他应用共享未加密的文件.
剪贴板用户可以复制文档的不同部分,并将它们粘贴到其他应用.
企业提供程序设置对于WebDAV提供程序(也称为企业提供程序),您可以集中定义服务器设置和登录凭据.
这些不能被用户更改.
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择.

例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段.
然后用户在访问存储提供程序时,必须要知道密码.
设置/字段说明名称在SophosSecureWorkspace应用中显示的提供程序的名称.
服务器在此字段中,输入:公司文档WebDAV服务器上根文件夹的URL.
WebDAV服务器上根文件夹的URL.
使用以下格式:https://server.
company.
com仅支持https协议.
用户名相关服务器的用户名.
也可以使用%_USERNAME_%变量.
密码相关帐户的密码.
上传文件夹相关帐户的上传文件夹.
其他设置设置/字段说明启用文档将开启文档功能,可以安全分发公司文档.
版权所有SophosLimited137SophosMobile设置/字段说明密码复杂性要求的加密密钥密码的最低复杂性.
总是允许更安全的密码.
可以选择以下设置:4个字符的密码6个字符的密码8个字符的密码10个字符的密码拒绝截屏用户无法截取显示SophosSecureWorkspace应用的屏幕截图.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
16.
4公司浏览器配置(AndroidSophos容器策略)使用公司浏览器配置,您可以为SophosSecureWorkspace应用的公司浏览器功能定义设置.
公司浏览器让您可以安全访问公司的Intranet页面和其他允许的页面.
您可以定义域和域内的书签.
每个书签都属于某个域.
当您添加书签时,如果没有域条目,将会自动创建域条目.

一般设置设置/字段说明拒绝截屏用户不能截取显示公司浏览器的屏幕截图.
域设置设置/字段说明URL您要允许的域.
允许复制/粘贴用户可以从公司浏览器中将文本复制和粘贴到其他应用.
允许打开方式用户可以下载,或将它们传递到其他应用.
允许保存密码用户可以在公司浏览器中保存他们的密码.
138版权所有SophosLimitedSophosMobile书签设置设置/字段说明名称书签的名称.
URL书签的的Web地址.
14.
16.
5根证书配置(AndroidSophos容器策略)使用根证书配置,您可以在设备上安装根证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
16.
6客户端证书配置(AndroidSophos容器策略)使用客户端证书配置,您可以在设备上安装客户端证书.
如果SophosSecureWorkspace应用安装在Sophos容器中,它将可以使用此证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
16.
7SCEP配置(AndroidSophos容器策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
这些证书可用于SophosSecureWorkspace应用的公司浏览器功能.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
版权所有SophosLimited139SophosMobile设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
140版权所有SophosLimitedSophosMobile设置/字段说明用于加密如果您选中此复选框,公钥将可以用于数据加密.
14.
17Android的MobileSecurity策略的配置利用MobileSecurity策略,可以配置SophosMobileSecurity应用.
有关如何创建MobileSecurity策略的信息,请参阅创建配置文件或策略(第87页).
注释如果您将此策略分配给Android企业设备,将同时安装SophosMobileSecurity应用.
您必须已经在托管的GooglePlay中批准了此应用.
14.
17.
1网络配置(Android的SophosMobileSecurity策略)通过网络配置,您可以管理SophosMobileSecurity应用的网络设置,让用户免受来自网络的威胁.
注释将此配置分配给设备时,将禁用SophosMobileSecurity应用中的相应设置.
用户不能对它们进行修改.
设置/字段说明中间人保护SophosMobileSecurity检查Wi-Fi连接是否存在中间人攻击.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
17.
2反病毒配置(Android的SophosMobileSecurity策略)通过防病毒配置,您可以管理SophosMobileSecurity应用的恶意软件保护设置.
注释将此配置分配给设备时,将禁用SophosMobileSecurity应用中的相应设置.
用户不能对它们进行修改.
设置/字段说明云扫描模式选择SophosMobileSecurity何时从Sophos服务器加载最新的恶意软件信息.
版权所有SophosLimited141SophosMobile设置/字段说明计划扫描间隔选择执行恶意软件扫描的频率.
如果您选择每天充电时,则设备会在连接到电源超过30分钟后执行扫描.
扫描系统应用扫描系统应用.
默认情况下不扫描系统应用,因为它们受到Android操作系统的保护且用户不能卸载.
扫描存储除了默认扫描所有安装的应用外,还扫描内部共享存储、SD卡和连接的USB设备上的所有文件,看是否存在威胁.
检测PUA扫描是否存在可能不需要的应用(PUA).
可能不需要的应用是指虽不是恶意软件,但通常被认为是不适合企业网络的应用.
PUA包括广告软件、拨号器、系统监控、远程管理工具和黑客工具.
但是,某些可以归为PUA的应用可能对某些用户很有用.
允许用户启用PUAs用户可以允许归为PUA的应用.
随后的扫描中将忽略允许的应用.
模式选择如何处理低信誉应用:允许:关闭对低信誉应用的扫描.
警告:检测到低信誉应用时,在设备上显示警告消息.
用户可以选择如何处理该应用.
他们可以将其添加到允许的应用列表中,以便在检测到该应用时不会显示警告.
阻止:用户不能启动低信誉应用.
扫描通知当应用在安装后被扫描时,SophosMobileSecurity将创建一个通知.
如果不选中该复选框,将不会为清洁应用创建通知.
监控存储监控内部共享存储、SD卡和连接的USB设备是否有修改.
新的文件存储在这些位置时,它们将被扫描到.
应用组选择允许应用组.
该组中的应用将排除在扫描以外.
142版权所有SophosLimitedSophosMobile14.
17.
3网站筛选配置(Android的SophosMobileSecurity策略)通过网络筛选配置,您可以管理SophosMobileSecurity应用的网站筛选功能.
这可以让用户避免浏览包含恶意、不需要或非法内容的网站.
重要提示您还必须关闭允许拒绝SMSec权限合规性规则.
否则,用户将可以通过关闭Sophos辅助功能服务停止网站筛选.
设置设置/字段说明筛选恶意网站选择用户是否可以访问带有恶意内容的网站.
按照类别筛选网站选择用户是否可以访问属于特定类别的网站.
SophosMobileSecurity根据SophosLabs提供的数据对网站进行分类.
该数据会不断更新.
提示为了测试网络筛选,Sophos创建了包含每个类别的示例页面的网站sophostest.
com.
尽管其中一些页面被归类为具有潜在的攻击性或危险性,但是页面内容本身在所有情况下都是无害的.
网站例外配置类别筛选的例外:允许的域:允许网站,即使它们所属的类别受到阻止.
阻止的域:阻止网站,即使它们属于允许的类别.
可以输入域名或IP地址.
示例:www.
example.
com*.
example.
com198.
51.
100.
1198.
51.
100.
0/24支持的浏览器网站筛选可与下列Web浏览器配合使用:AndroidWeb浏览器FirefoxGoogleChrome版权所有SophosLimited143SophosMobileMicrosoftEdge其他浏览器可能也可以,但没有经过测试.
14.
18Knox容器配置文件的配置通过Knox容器配置文件,可以配置与Samsung设备的Knox容器相关的设置.
有关如何创建Knox容器配置文件的信息,请参阅创建配置文件或策略(第87页).
14.
18.
1密码策略配置(Knox容器配置文件)使用密码策略配置,您可以为Knox容器密码定义要求.
注释支持的设置取决于操作系统的版本或其他设备功能.
它在SophosMobileAdmin中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
144版权所有SophosLimitedSophosMobile设置/字段说明密码提示前最长空闲时间如果Knox容器未使用,则该工作配置文件被锁定后的时间.
容器可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大的登录尝试次数经过这么多次错误登录尝试之后,将删除Knox容器.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
生物特征身份验证设置/字段说明允许指纹身份验证如果设备支持,用户可以使用指纹验证方式解锁Knox容器.
允许虹膜身份验证如果设备支持,用户可以使用虹膜验证方式解锁Knox容器.
允许人脸身份验证如果设备支持,用户可以人脸身份验证方式解锁Knox容器.
版权所有SophosLimited145SophosMobile14.
18.
2限制配置(Knox容器配置文件)使用限制配置,您可以配置Samsung设备Knox容器的限制和相关设置.
设置/字段说明允许屏幕捕获用户可以捕获SamsungKnox容器中的应用的屏幕内容.
允许照相机SamsungKnox容器中的应用可以访问相机.
允许剪贴板用户可以将任意内容复制到剪贴板.
允许"共享方式"某些应用使用的共享方式功能将开启.
允许麦克风SamsungKnox容器中的应用可以访问麦克风.
强制使用安全键盘用户必须使用安全键盘.
允许添加新邮件账户用户可以在SophosMobile配置文件配置的帐户以外添加电子邮件帐户.
允许数据导出私人应用可以访问SamsungKnox容器的数据.
允许将文件复制到容器中私人文件可以复制或移动到SamsungKnox容器内.
允许蓝牙SamsungKnox容器内的应用可以使用蓝牙连接.
允许NFCSamsungKnox容器内的应用可以使用NFC(近场通信)连接.
强制进行多重身份验证要解锁SamsungKnox容器,需要多种身份验证方法,如密码和指纹.
允许的应用/禁止的应用您可以配置允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
SophosMobile服务器启动的应用安装不受此设置的影响.
有关创建应用组的信息,请参阅应用组(第265页).
146版权所有SophosLimitedSophosMobile14.
18.
3Exchange帐户配置(Knox容器配置文件)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
这些设置被应用至SamsungKnox容器.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
默认账户该帐户用作默认的电子邮件帐户.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
版权所有SophosLimited147SophosMobile设置/字段说明允许从其他帐户转发.
此帐户可用于转发其他帐户收到的电子邮件.
例如,如果这是帐户A,且Knox容器还包含另一个帐户,即帐户B,则帐户B收到的电子邮件可以使用帐户A作为发件人转发.
注释此设置仅供本机Android电子邮件应用使用.
允许使用HTML格式允许在电子邮件中使用HTML格式.
最大大小(MB).
单封电子邮件最大的大小(1、3、5、10、无限制).
同步内容类型要同步的内容类型.
14.
19AndroidThings策略的配置使用AndroidThings策略,您可以配置AndroidThings设备的各个方面.
目前,仅支持Wi-Fi设置.
有关如何创建AndroidThings策略的信息,请参阅创建配置文件或策略(第87页).
14.
19.
1Wi-Fi配置(AndroidThings策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:安全类型Wi-Fi网络的安全类型:无WEPWPA/WPA2如果选择WEP或WPA/WPA2,将显示密码字段.
输入相应的密码.
14.
20iOS设备配置文件的配置使用iOS设备配置文件,您可以配置iOS设备的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建设备配置文件的信息,请参阅创建配置文件或策略(第87页).
148版权所有SophosLimitedSophosMobile14.
20.
1密码策略配置(iOS设备配置文件)使用密码策略配置,您可以为设备密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置/字段说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
版权所有SophosLimited149SophosMobile14.
20.
2限制配置(iOS设备配置文件)使用限制配置,您可以为设备定义限制.
注释一些选项仅适用于某些版本的iOS或受监督的设备.
它在SophosMobileAdmin中通过蓝色标签表示.
设备设置/字段说明允许应用安装如果清除该复选框,AppStore将不可用,且其图标将从主屏幕中删除.
用户不能通过AppStore或AppleConfigurator安装或更新应用.
允许从设备用户界面安装应用如果清除该复选框,AppStore将不可用,且其图标将从主屏幕中删除.
用户仍然可以通过AppleConfigurator安装或更新应用.
允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
允许FaceTime用户可以发起或接收FaceTime视频通话.
允许屏幕捕获用户可以截屏.
漫游时允许自动同步如果清除该复选框,漫游的设备将仅在用户访问帐户时同步.
允许Siri如果清除该复选框,用户将不能使用Siri、语音命令或听写模式.
设备锁定时,允许Siri如果清除该复选框,则用户必须输入其密码解锁其设备方可使用Siri.
允许Siri从网页查询内容如果清除该复选框,Siri将不会从网络查询内容.
强制执行Siri限制性语言筛选如果清除该复选框,则不在设备上强制执行Siri限制性语言过滤.
允许在设备锁定时进行语音拨号如果清除该复选框,用户将不能在设备被密码锁定时使用语音命令拨号.
注释如果用户尚未配置设备密码,则始终允许语音拨号.
150版权所有SophosLimitedSophosMobile设置/字段说明设备锁定时,允许Passbook将在设备锁定时显示Passbook通知.
允许应用内购买用户可以进行应用内购买.
强制用户购买时输入存储密码用户必须输入其AppleID密码才能购买.
如果清除该复选框,将会有一个简短的宽限期,在此期间,用户可以进行后续购买而不必再次输入其密码.
允许多人游戏用户可以在GameCenter内玩多人游戏.
允许GameCenter如果清除该复选框,GameCenter将不可用.
允许添加游戏中心的朋友用户可以在GameCenter中添加好友.
允许查找好友修改如果清除该复选框,将不能修改"查找好友"应用.
允许主机配对如果清除该复选框,将关闭主机配对(监督主机除外).
如果未配置监督主机证书,将关闭所有配对.
允许与AppleWatch配对如果清除该复选框,用户将不能将设备与AppleWatch配对.
任何当前已经配对的AppleWatch将取消配对.
强制执行手腕检测配对的AppleWatch必须使用手腕检测.
允许AirDrop将开启AirDrop的内容共享.
允许锁定屏幕上的ControlCenter如果清除该复选框,锁屏时将不能使用ControlCenter.
允许锁定屏幕上的NotificationCenter如果清除该复选框,锁屏时将不能使用NotificationCenter.
允许锁定屏幕上的Today视图如果清除该复选框,锁屏时将不能使用Today视图.
允许新闻新闻应用可以使用.
允许无线PKI更新可以进行无线PKI更新.
允许iBooksStore用户可以在iBooks中购买书籍.
允许iBooks商店存在色情内容如果清除该复选框,将阻止通过iBooks商店提供的限制性色情内容.
允许用户安装配置文件用户可以安装配置文件.
允许即时消息用户可以使用iMessage发送或接收短信.
允许删除应用用户可以从设备中卸载应用.
允许删除系统应用用户可以从设备中卸载系统应用.
版权所有SophosLimited151SophosMobile设置/字段说明允许清除所有内容和设置如果清除该复选框,重置用户界面中的清除所有内容和设置选项将不可用.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许启用限制选项如果清除该复选框,重置用户界面中的启用限制选项将不可用.
允许传递用户可以使用AppleContinuity的Handoff功能.
使用Handoff,用户可以在一个设备上开始文档、电子邮件或消息等工作,并在其他设备上继续.
允许修改设备名称用户可以更改设备名称.
允许修改壁纸用户可以更改壁纸.
允许修改通知设置用户可以修改通知设置.
允许键盘快捷方式用户可以使用键盘快捷方式.
允许听写键盘输入用户可以开启启用听写键盘设置.
允许预测键盘用户可以开启预测键盘设置.
允许自动更正用户可以开启自动更正键盘设置.
允许拼写检查用户可以开启拼写检查键盘设置.
允许自动下载应用如果清除该复选框,自动下载在其他设备上购买的应用将关闭.
这不影响现有应用的更新.
允许AppleMusic用户可以访问AppleMusic库.
允许AppleMusicRadio用户可以访问AppleMusicRadio.
允许修改蓝牙设置用户可以修改蓝牙设置.
允许创建VPN用户可以添加VPN配置.
强制执行日期和时间自动调整iOS的日期和时间设置自动设置将开启,且用户不能将其关闭.
iOS软件更新延迟iOS软件的更新在发布日期后延迟的天数.
输入一个0(无延迟)和90之间的值.
152版权所有SophosLimitedSophosMobile公司数据设置/字段说明允许文档仅共享于托管的应用/帐户内这限制了通过SophosMobile管理的应用或帐户打开文档,例如公司电子邮件帐户.
如果用户拥有SophosMobile管理的电子邮件帐户且其设备上有SophosMobile管理的应用,则受管理电子邮件帐户的仅可用受管理的应用打开.
这样,您可以防止公司文档在未受管理的应用中打开.
如果您关闭此设置,将禁用接下来的两项设置.
托管帐户的联系人可以共享给非托管应用.
允许托管应用将联系人写入非托管帐户托管应用可以将联系人写入非托管帐户.
允许非托管应用从托管帐户读取联系人非托管应用可以从托管帐户读取联系人.
允许文档仅共享于未托管的应用/帐户内这限制了未通过SophosMobile管理的应用/帐户打开文档,例如私人电子邮件帐户.
如果用户拥有不受其设备上的SophosMobile管理的电子邮件帐户和应用,则未受管理的电子邮件帐户的附件仅可用未受管理的应用打开.
这样,您可以防止个人文档在受管理的应用中打开.
强制要求AirDrop文档用作非托管文档AirDrop被认为是一个非托管拖放目标.
允许托管应用与iCloud同步托管应用可以使用iCloud同步.
允许企业簿备份将备份企业簿.
允许企业簿说明并强调同步将同步企业簿说明和亮点.
应用程序设置/字段说明允许使用iTunesStore如果清除该复选框,iTunesStore将不可用,且其图标将从主屏幕中删除.
用户无法预览、购买或下载内容.
允许使用Safari如果清除该复选框,SafariWeb浏览器将不可用,且其图标将从主屏幕中删除.
此操作还可以用于防止用户打开网页剪辑.
启用自动填充功能如果清除该复选框,Safari将不会使用先前输入的信息自动填充Web表单.
版权所有SophosLimited153SophosMobile设置/字段说明强制欺诈警告Safari安全设置在用户访问可疑的网络钓鱼网站时提醒用户始终打开.
阻止弹出窗口将开启Safari弹出窗口阻止程序.
允许在浏览器中使用JavaScript网页可以在设备上执行JavaScript代码.
接受缓存在此字段中,您指定Safari是否接受Cookie.
当您允许Cookie时,您可以指定是否只接受来自当前网站、以前访问过的网站或所有网站的Cookie.
允许修改每一应用的手机网络数据用户可以更改每个应用的手机网络数据使用.
允许的应用/禁止的应用可以指定允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
有关创建应用组的信息,请参阅应用组(第265页).
iCloud设置/字段说明允许备份用户可以将其设备备份到iCloud.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
允许PhotoStream用户可以将照片上传到我的照片流.
注释如果您清除该复选框,禁止我的照片流,将同时从所有设备删除通过我的照片流共享的现有照片.
如果这些照片没有其他副本,这些照片将会丢失.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许共享照片流用户可以邀请他人查看其照片流,并查看他人共享的照片流.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
154版权所有SophosLimitedSophosMobile安全和隐私设置/字段说明允许将诊断数据发送到Apple如果清除该复选框,iOS诊断信息将不会发送至Apple.
允许用户接受不受信任的TLS证书如果清除该复选框,将不会询问用户是否信任无法验证的证书.
此设置仅适用于Safari、邮件联系人及日历帐户.
信任企业应用将信任企业应用.
允许修改密码用户可以添加、更改或删除设备密码.
允许修改帐户如果清除该复选框,用户将不能修改帐户.
帐户菜单将不可用.
允许TouchID解锁设备如果清除该复选框,将不能通过TouchID解锁设备.
强制限制广告跟踪不再提供用于目标广告的匿名用户数据应用.
强制加密备份用户必须对iTunes中的备份进行加密.
强制使用配置的Wi-Fi网络设备只能连接到通过SophosMobile配置文件配置的Wi-Fi网络.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
允许AirPrint凭据存储AirPrint用户名和密码可以存储在系统钥匙串(Keychain)中.
允许AirPrint打印机的iBeacon发现设备使用iBeacon发现AirPrint设备.
重要提示如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
允许快速启动传输到新设备用户可以使用iOS设置助手的快速启动功能,将数据从设备传递到新设备.
允许密码自动填入用户可以开启自动填入密码设置,以使用在Safari或其他应用中保存的密码或信用卡信息.
如果清除此复选框,将同时禁用自动建议强密码功能.
版权所有SophosLimited155SophosMobile设置/字段说明强制执行在自动填充前进行身份验证用户在使用自动填充功能时必须进行身份验证.
此设置仅在支持FaceID或TouchID的设备上强制执行.
从附近的设备请求Wi-Fi密码设置Wi-Fi连接时,设备从附近设备请求密码.
允许AirDrop密码分享用户可以通过AirDrop与其他用户共享PasswordManager的密码.
内容分级设置/字段说明允许显式音乐和播客如果清除该复选框,iTunesStore中的限制性音乐或视频内容将会隐藏.
限制性内容由内容提供商在放到iTunesStore上标记,如记录标签.
14.
20.
3Exchange帐户配置(iOS设备配置文件)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
156版权所有SophosLimitedSophosMobile设置/字段说明OAuth帐户使用OAuth进行身份验证,即用户使用其Microsoft凭据进行身份验证.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许移动用户可以将电子邮件从该帐户移动到其他帐户.
此选项允许用户在回复或转发此帐户的邮件时使用其他帐户.
允许最近地址同步将在与其他使用iCloud的设备同步最近使用的地址时包含该帐户.
仅在邮件中使用该帐户只能用于发送来自邮件应用的邮件.
不可选择它充当其他应用所创建邮件的发送帐户,例如Photos或Safari.
身份证明书选择用于连接Exchange服务器的身份证书.
列表包括当前配置文件的客户端证书配置中的所有证书.
启用S/MIME支持S/MIME加密标准.
签名证书加密证书用于电子邮件签名和加密的证书.
要选择证书,必须先将其上传到当前配置文件的客户端证书配置中.
允许用户发送未加密的电子邮件对于每封传出电子邮件,用户可以选择加密或不加密.
14.
20.
4Wi-Fi配置(iOS设备配置文件)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:自动连接自动连接到目标网络.
隐藏网络目标网络不开放或可见.
版权所有SophosLimited157SophosMobile设置/字段说明安全类型Wi-Fi网络的安全类型:无WEP(个人)WPA/WPA2(个人)任何(个人)WEP(企业)WPA/WPA2(企业)任意(企业)如果您选择其名称中带有个人的类型,则会显示密码字段.
输入相应的密码.
如果您选择其名称中带有企业的类型,则会显示协议、身份验证和信任选项卡.
在协议选项卡上,配置以下设置:在接受EAP类型下,选择要用于身份验证的EAP方法.
根据该选项卡上所选的类型,此选项卡中内部身份字段中的值可供选择.
在EAP-FAST下,配置EAP-FAST保护访问凭据设置.
在TLS最低版本和TLS最高版本中,选择用于EAP身份验证的最低和最高TLS版本.
在身份验证选项卡上,可以配置客户端身份验证设置:在用户字段中,输入用于连接到Wi-Fi网络的用户名.
如果每个连接均询问密码且通过身份验证进行传输,则选中每个连接都需要密码.
在密码字段中输入相关密码.
在身份证书列表中,选择用于连接Wi-Fi网络的证书.
注释必须在客户端证书配置中指定要使用的证书.
在外部身份字段中,输入外部可见ID(TTLS、PEAP及EAP-FAST).
在信任选项卡上,可以配置服务器身份验证设置:从列表中选择信任的证书.
注释必须在根证书配置中指定证书.
158版权所有SophosLimitedSophosMobile设置/字段说明代理在此列表中,选择用于Wi-Fi连接的代理设置:无代理手动自动如果您选择手动,将显示服务器和端口、身份验证和密码字段.
输入所需的代理信息.
如果您选择自动,将显示PACURL字段.
输入代理服务器的URL.
14.
20.
5单个应用模式配置(iOS设备配置文件)使用单个应用模式配置,您可以定义将设备锁定到单个应用中的操作模式的设置,并阻止用户更改为其他应用.
设置/字段说明选择源选择您要如何为单个应用模式指定应用:应用列表:从所有可用iOS应用的列表中选择应用.
自定义:手动输入应用的捆绑ID.
应用标识符用于单个应用模式的应用.
从列表中选择应用或输入捆绑ID.
禁用触摸屏触摸手势将不可用.
禁用旋转屏幕不会转动.
禁用音量按钮音量按钮将不可用.
禁用铃声切换铃声切换将不可用.
禁用睡眠唤醒按钮唤醒按钮将不可用.
禁用自动锁定将关闭在空闲时间后让设备进入睡眠状态的自动锁定功能.
启用画外音画外音将可用.
启用放大缩放功能将可用.
启用反色反色功能将可用.
启用辅助触摸功能AssistiveTouch将可用.
启用演讲选择演讲选择功能将可用.
启用单声道音频单声道功能将可用.
版权所有SophosLimited159SophosMobile设置/字段说明画外音画外音调节将可用.
放大缩放调节将可用.
反色反色调节将可用.
AssistiveTouchAssistiveTouch调节将可用.
14.
20.
6接入点名称配置(iOS设备配置文件)使用接入点名称配置,可以为iOS设备指定接入点名称(APN)配置.
APN配置定义设备如何连接到移动网络.
注释接入点名称配置由于手机网络配置而被弃用.
请参阅手机网络配置(iOS设备配置文件)(第161页).
重要提示如果这些设置不正确,设备将不能使用手机网络访问数据.
要撤消设置更改,必须从设备中删除配置文件.
设置/字段说明APN设备开启与运营商的GPRS连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
接入点用户名称接入点的用户名称.
注释IOS支持最多64个字符的APN用户名称.
接入点密码接入点的密码.
注释IOS支持最多64个字符的APN密码.
代理服务器和端口代理服务器的地址和端口.
160版权所有SophosLimitedSophosMobile14.
20.
7漫游/热点配置(iOS设备配置文件)使用漫游/热点配置,您可以定义漫游和个人热点的设置.
注释用户可随时在其设备上更改这些设置.
设置/字段说明启用语音漫游可以使用语音漫游.
如果移动网络运营商不支持语音漫游,此设置将被忽略.
启用数据漫游可以使用数据漫游.
启用个人热点用户可以配置设备以用作个人热点.
如果移动网络运营商不支持个人热点,此设置将被忽略.
14.
20.
8手机网络配置(iOS设备配置文件)使用手机网络配置,可以定义iOS设备的手机网络设置.
注释如果已经安装了接入点名称配置,则不能在设备上安装手机网络配置.
设置/字段说明身份验证PAPCHAPAPN设备开启与运营商的GPRS连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
接入点用户名称接入点的用户名称.
注释IOS支持最多64个字符的APN用户名称.
版权所有SophosLimited161SophosMobile设置/字段说明接入点密码接入点的密码.
注释IOS支持最多64个字符的APN密码.
代理服务器和端口代理服务器的地址和端口.
14.
20.
9网络使用情况规则配置(iOS设备配置文件)使用网络使用情况规则配置,您可以指定如何允许托管应用使用手机数据网络.

一般规则在针对所有托管应用的规则下,为托管应用输入一般设置.
设置/字段说明允许手机网络数据允许托管的应用使用手机网络进行数据通信.
允许数据漫游允许托管的应用在设备漫游到外地手机网络时使用数据通信.
例外情况例外情况将替代一般规则.
使用添加例外定义特定于应用组的规则.
设置/字段说明应用组选择应用组此例外适用于该组中的所有托管应用.
允许手机网络数据允许所选应用组的托管应用使用手机网络进行数据通信.
允许数据漫游允许所选应用组的托管应用在设备漫游到外地手机网络时使用数据通信.
注释不能为同一个应用组定义多个例外.
162版权所有SophosLimitedSophosMobile14.
20.
10VPN配置(iOS设备配置文件)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
版权所有SophosLimited163SophosMobile设置/字段说明设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
14.
20.
11每个应用VPN配置(iOS设备配置文件)使用每个应用VPN配置,您可以为每个应用定义VPN设置.
您可以将应用配置为在其启动时自动连接到VPN.
这样就可以(例如)确保托管应用发送的数据通过VPN传输.
设置每个应用VPN配置后,可以在应用的编辑软件包页面上选择配置.
请参阅将VPN连接分配给iOS应用(第263页).
设置/字段说明连接名称设备上显示的连接名称.
164版权所有SophosLimitedSophosMobile设置/字段说明连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectF5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
版权所有SophosLimited165SophosMobile设置/字段说明提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
Safari域在此字段中,可以输入一系列域字符串.
每个域字符串都使用一个新行.
在Safari或其他浏览器应用中打开与其中一个域字符串匹配的域时,将触发VPN连接.
规则匹配行为如下所示:开头和结尾处的点将忽略.
例如,字符串.
example.
com与example.
com匹配的域相同.
字符串的每个组件必须匹配整个域组件.
例如,字符串example.
com匹配域www.
example.
com,但不匹配www.
myexample.
com.
单个组件的字符串只匹配该特定域.
例如,字符串example匹配域example,但不匹配www.
example.
com.
14.
20.
12Web剪辑配置(iOS设备配置文件)使用Web剪辑配置,您可以定义将添加到用户设备主屏幕的Web剪辑.
Web剪辑让您可以快速访问收藏的网页.
但您也可以使用支持电话号码添加Web剪辑,例如,为致电支持人员提供了快捷方法.
设置/字段说明说明对Web剪辑的说明.
URLWeb剪辑的Web地址.
可以删除如果清除该复选框,用户将不能删除Web剪辑.
不可将其从设备删除,除非用户删除了已安装的配置文件.
全屏显示将在设备上全屏显示打开的Web剪辑.
全屏显示的Web剪辑打开作为Web应用的URL.
166版权所有SophosLimitedSophosMobile设置/字段说明图标选择要在主屏幕上用作Web剪辑图标的图片.
这必须是最大1MB的PNG、GIF或JPEG图片.
图片将剪裁为方形并进行缩放以匹配显示分辨率.
为获得最佳效果,建议您使用180x180像素的图片.
注释当在网页的HTML代码中定义了一个图标时,设备可能会将该图标显示为Web剪辑图标.
这仅适用于某些网页,具体取决于网页代码中图标的配置方式.
14.
20.
13壁纸配置(iOS设备配置文件)通过壁纸配置,您可以为iOS设备的锁定屏幕和/或主屏幕定义背景图像.
设置/字段说明应用到选择图像是用于锁定屏幕、主屏幕还是两者皆使用.
图片选择用于壁纸的文件大小上限为5MB的PNG或JPEG图像.
iOS根据需要剪裁并缩放图像.
为获得最佳效果,请使用以下像素尺寸的图片:640*1136(iPhone5)750*1334(iPhone6/7)1242*2208(iPhone6/7Plus)1536*2048(iPad,iPadmini,iPadAir)2048*2732(iPadPro)注释用户可以随时更改壁纸.
版权所有SophosLimited167SophosMobile14.
20.
14网站内容筛选器配置(iOS设备配置文件)使用网站内容筛选器配置,您可以定义阻止的URL和允许的带书签的URL.
设置/字段说明已阻止URL如果选中该复选框,您可以定义不能在设备上访问的阻止URL的列表.
单击下一步以显示Web内容筛选器页面.
在此页面上,可以添加单个URL.
每个URL都使用一个新行.
允许的带书签的URL如果您选中该复选框,可以定义允许的带书签的URL,以将其添加到设备的Safari浏览器中.
阻止所有其他网站.
单击下一步以显示Web内容筛选器页面.
单击添加,将单个URL添加为书签.
阻止成人内容在Web内容筛选器页面上,使用它来打开阻止成人内容的Apple筛选器.
例如,包含亵渎或色情语言的网页.
14.
20.
15全球HTTP代理配置(iOS设备配置文件)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器和端口HTTP代理的名称(或IP地址)和端口号.
身份验证用于连接代理服务器的用户名.
密码用于连接代理服务器的密码.
PACURL代理自动配置(PAC)文件的URL.
168版权所有SophosLimitedSophosMobile14.
20.
16托管域配置(iOS设备配置文件)使用托管域配置,您可以定义iOS设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子邮件突出显示为不在域内.
网页域名从其中一个配置的域下载的文件将被当作托管文档处理.
如果激活允许文档仅共享于托管的应用/帐户内限制,这些文档将只能通过托管应用打开.
有关托管应用的信息,请参阅iOS的托管应用(第258页).
注释如果一个管理的网页域名条目包含一个端口号,只有指定端口号的地址将被管理.
否则,仅标准端口将被管理(http的端口80及https端口443).
14.
20.
17CalDAV配置(iOS设备配置文件)使用CalDAV配置,您可以配置与CalDAV服务器的日历数据同步.
例如,可用于与iOS设备同步Google日历.
设置/字段说明帐户名称设备上CalDAV帐户的显示名称.
帐户主机和端口CalDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google日历,请输入:calendar.
google.
com:443主要URL如果CalDAV服务器需要,请输入日历资源的主要URL.
例如,要与Google帐户中主日历以外的日历同步,请输入:https://apidata.
googleusercontent.
com/caldav/v2/calendar_id/user其中calendar_id是要同步的日历的ID.
在Google日历Web应用程序中,日历ID显示在日历设置中.
有关详细信息,请参阅Google日历的帮助.
用户名、密码CalDAV帐户的登录凭据.
例如,对于Google日历,请输入Google帐户的凭据.
版权所有SophosLimited169SophosMobile设置/字段说明SSL/TLS连接CalDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
20.
18CardDAV配置(iOS设备配置文件)使用CardDAV配置,您可以配置与CardDAV服务器的联系人数据同步.
例如,可用于与iOS设备同步Google联系人.
设置/字段说明帐户名称设备上CardDAV帐户的显示名称.
帐户主机和端口CardDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google联系人,请输入:google.
com主要URL如果CardDAV服务器需要,请输入联系人资源的主要URL.
例如,GoogleCardDAVAPI支持以下主要URL:https://www.
googleapis.
com/carddav/v1/principals/account_name@gmail.
com其中account_name是Google帐户名称.
用户名、密码CardDAV帐户的登录凭据.
例如,对于Google联系人,请输入Google帐户的凭据.
SSL/TLS连接CardDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
20.
19IMAP/POP配置(iOS设备配置文件)使用IMAP/POP配置,您可以在iOS设备上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户名称设备上电子邮件帐户的显示名称.
帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
170版权所有SophosLimitedSophosMobile设置/字段说明用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
允许移动用户可以将电子邮件从该帐户移动到其他帐户.
此选项允许用户在回复或转发此帐户的邮件时使用其他帐户.
允许最近地址同步在同步最近地址列表时将包含该帐户.
仅在邮件中使用该帐户只能用于发送来自邮件应用的邮件.
不可选择它充当其他应用所创建邮件的发送帐户,例如Photos或Safari.
允许邮件删除允许此帐户使用AppleMailDrop.
启用S/MIME支持S/MIME加密标准.
签名证书加密证书用于电子邮件签名和加密的证书.
要选择证书,必须先将其上传到当前配置文件的客户端证书配置中.
允许用户发送未加密的电子邮件对于每封传出电子邮件,用户可以选择加密或不加密.
传入电子邮件电子邮件服务器和端口传入电子邮件服务器(入站服务器)的主机名或IP地址,以及端口号.
用户名用于连接入站服务器的用户名.
身份验证类型用于连接入站服务器的身份验证方法.
密码用于连接入站服务器的密码(如果需要).
SSL/TLS连接接入服务器受到SSL或TLS的保护(取决于服务器支持的类型).
外发电子邮件电子邮件服务器和端口外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
用户名用于连接出站服务器的用户名.
身份验证类型用于连接出站服务器的身份验证方法.
密码用于连接出站服务器的密码(如果需要).
版权所有SophosLimited171SophosMobile设置/字段说明使用与传入电子邮件相同的密码使用为传入电子邮件指定的密码.
SSL/TLS连接接出服务器受到SSL或TLS的保护(取决于服务器支持的类型).
14.
20.
20Google帐户配置(iOS设备配置文件)通过Google帐户配置,您可以设置Google帐户.
将配置分配给设备后,将要求用户进行Google帐户身份验证.
进行身份验证后,将在设备上设置Google帐户,并且用户可以启用Google服务.
设置/字段说明Google电子邮件地址Google帐户的完整电子邮件地址.
帐户描述帐户的可选描述.
该值将显示在邮件和设置应用中.
用户名用户的名称.
该值用于外发电子邮件消息.
14.
20.
21单点登录配置(iOS设备配置文件)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置/字段说明名称可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果您不输入值,用户必须在配置文件安装过程中输入名称.
领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
您可以使用单个星号(*)匹配所有值.
例如,https://*.
example.
com/匹配https://www.
example.
com/和https://m.
example.
com/.
172版权所有SophosLimitedSophosMobile设置/字段说明应用ID应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
14.
20.
22AirPrint配置(iOS设备配置文件)通过AirPrint配置,您可以在用户的AirPrint打印机列表中添加AirPrint打印机.
设置/字段说明IP地址AirPrint打印机的IP地址.
资源路径与打印机关联的资源路径.
示例:printers/ipp/print端口AirPrint打印机的侦听端口.
强制TLS通过TLS保护AirPrint连接.
14.
20.
23根证书配置(iOS设备配置文件)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
20.
24客户端证书配置(iOS设备配置文件)使用客户端证书配置,您可以在设备上安装客户端证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
版权所有SophosLimited173SophosMobile14.
20.
25SCEP配置(iOS设备配置文件)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定iPhone或iPad设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
174版权所有SophosLimitedSophosMobile14.
20.
26Duo设备证书(iOS设备配置文件)使用Duo设备证书配置,您可以让设备从DuoSecuritySCEP服务器请求证书.
如果设备上安装有此证书,DuoMobileiOS应用将把设备归入信任设备.
要求的设置对所有DuoSecurity帐户通用.
请勿修改预填充的值.
14.
21iOS的Sophos容器策略的配置使用Sophos容器策略,您可以配置与Sophos容器应用SophosSecureEmail和SophosSecureWorkspace相关的设置.
有关如何创建Sophos容器策略的信息,请参阅创建配置文件或策略(第87页).
14.
21.
1常规配置(iOSSophos容器策略)使用常规配置,您可以定义适用于所有Sophos容器应用的设置(如果适用).
设置/字段说明启用Sophos容器密码用户必须输入一个额外的密码才能启动Sophos容器应用.
在应用该配置后启动第一个容器应用时,必须定义密码.
此密码适用于所有容器应用.
密码复杂性要求的Sophos容器密码的最低复杂性.
始终允许更安全的密码.
密码(数字和字母数字字符的组合)始终被视为比PIN(仅数字字符)更安全.
任意:Sophos容器密码没有限制.
4个数字的PIN6个数字的PIN4个字符的密码6个字符的密码8个字符的密码10个字符的密码始终在密码条目字段中隐藏字符密码输入字段中的字符在屏蔽之前不会短暂显示.
密码期限(天)密码可以使用的天数,之后会提示用户修改.
锁定前登录失败允许登录尝试失败的次数,之后将锁定容器应用.
它们被锁定后,需要管理员对应用进行解锁,如果允许,用户也可以使用自助服务门户进行解锁.
版权所有SophosLimited175SophosMobile设置/字段说明允许指纹用户可以使用其指纹解锁应用.
宽限期的分钟数容器应用再次回到前台而无需输入Sophos容器密码的时间段.
该宽限期适用于所有容器应用.
在该宽限期内,无需输入密码就可以在应用之间进行切换.
上一次服务器连接用户可以使用Sophos容器应用而不必连接SophosMobile服务器的时间.
当Sophos容器应用激活且在定义的时间内没有与服务器连接时,将显示锁屏界面.
用户只能通过点击锁屏界面上的重试解锁应用.
然后,应用将尝试连接到服务器.
如果可以建立连接,应用将解锁.
否则,访问将被拒绝.
访问时:服务器无法访问时,总是需要服务器连接并且应用将被锁定.
1小时:在上次服务器成功连接后,应用活动1个小时或以上时,需要连接服务器.
3小时6小时12小时1天3天3天无:无需定期联系.
没有服务器连接时离线启动在此字段中,您可以定义在没有服务器连接时,用户多久可以启动一个Sophos容器应用一次.
注释该设置需要开启Sophos容器密码功能.
只要用户输入Sophos容器密码,计数器就会增加.
如果计数器超过定义的数量,将显示和上一次服务器连接设置相同的锁屏界面.
如果建立了与SophosMobile服务器的连接,该计数器将被重置.
无限制:无需服务器联系.
0:不连接服务器则无法启动应用.
1:成功启动应用后,需要连接服务器.
351020允许越狱允许容器应用在越狱的设备上运行.
176版权所有SophosLimitedSophosMobile设置/字段说明应用使用约束条件可以在这里定义使用Sophos容器应用的约束条件.
单击添加,输入约束条件.
地理限制用于添加Sophos容器应用可以在其中使用的纬度和经度以及半径范围.
时间限制用于指定Sophos容器应用可以使用的开始时间和结束时间.
还可以指定应用可以在一周内的哪些天可以使用.
Wi-Fi限制如果您选中需要Wi-Fi连接,没有有效的Wi-Fi连接时将锁定Sophos容器.
如果您将Wi-Fi网络添加到列表中,当设备连接到未列出的Wi-Fi网络时将锁定Sophos容器.
重要提示我们建议您不要以Wi-Fi限制作为唯一的安全机制,因为Wi-Fi名称很容易被欺骗.
14.
21.
2公司电子邮件配置(iOSSophos容器策略)使用公司电子邮件配置,您可以为您的MicrosoftExchangeServer定义用户设置.
这些设置适用于安装在Sophos容器中的SophosSecureEmail应用.
设置/字段说明Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
域此帐户的域.
支持联系人电子邮件将用作"联系技术人员"电子邮件地址的电子邮件地址.
版权所有SophosLimited177SophosMobile设置/字段说明使用安全文本字段输入字段的内容是保密的.
将在SophosSecureEmail应用中禁用自动完成和自动更正功能,以防止敏感的内容保存在设备内存中.
将联系人导出到设备允许用户将Exchange联系人导出到本地设备联系人,以便他们可以识别来电中的公司联系人.
SophosSecureEmail保持信息同步.
注释在以下情况下,本地联系人信息将自动删除:从Sophos容器策略中删除公司电子邮件配置(需要重新启动SecureEmail应用)时.
从设备删除Sophos容器时.
从SophosMobile取消注册设备时.
呼叫识别SophosSecureEmail中的联系人信息可用于识别来电的公司联系人,无需将SophosSecureEmail联系人导出到设备联系人.
要使用此功能,用户必须开启以下设备设置:在设置应用中:电话>呼叫阻止与识别>电子邮件在SophosSecureEmail应用中:设置>联系人>呼叫识别通知新邮件的通知类型:系统:通知由iOS管理.
它们不包括发件人或主题等详细信息.
应用程序:通知由SophosSecureEmail应用管理.
您可以选择要显示多少详细信息.
应用未运行时,不显示通知.
无:不显示通知.
此设置还会影响事件提醒:系统,无:事件提醒只包括时间信息.
应用程序:事件提醒包括时间、位置和标题信息.
拒绝复制到剪贴板用户不能从SophosSecureEmail应用复制或剪切文件.
178版权所有SophosLimitedSophosMobile设置/字段说明打开在所有应用程序中:可以在支持文件格式的所有应用中打开.
容器应用:将使用设备密钥加密,且只能在SophosSecureWorkspace中打开.
打开方式操作本身不会被阻止.
最大的电子邮件大小不会从Exchange服务器检索大于所选大小的电子邮件(包括).
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
21.
3公司文档配置(iOSSophos容器策略)使用公司文档配置,您可以为SophosSecureWorkspace应用的公司文档功能定义设置.
配置存储提供程序对于每个存储提供程序,可以分别定义下列设置:设置/字段说明启用可以在应用中使用存储提供程序.
离线将允许用户将文件从存储提供程序添加到应用的收藏夹列表,以供离线使用.
打开(已加密)用户可以通过打开与其他应用共享加密的文件.
打开(未加密)用户可以通过打开与其他应用共享未加密的文件.
剪贴板用户可以复制文档的不同部分,并将它们粘贴到其他应用.
企业提供程序设置对于Egnyte和WebDAV提供程序(也称为企业提供程序),您可以集中定义服务器设置和登录凭据.
这些不能被用户更改.
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择.

例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段.
然后用户在访问存储提供程序时,必须要知道密码.
版权所有SophosLimited179SophosMobile设置/字段说明名称在SophosSecureWorkspace应用中显示的提供程序的名称.
服务器在此字段中,输入:公司文档WebDAV服务器上根文件夹的URL.
Egnyte服务器上根文件夹的URL.
WebDAV服务器上根文件夹的URL.
使用以下格式:https://server.
company.
com用户名相关服务器的用户名.
也可以使用%_USERNAME_%变量.
密码相关帐户的密码.
上传文件夹相关帐户的上传文件夹.
其他设置设置/字段说明启用文档将开启文档功能,可以安全分发公司文档.
密码复杂性要求的加密密钥密码的最低复杂性.
总是允许更安全的密码.
可以选择以下设置:4个字符的密码6个字符的密码8个字符的密码10个字符的密码额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
21.
4公司浏览器配置(iOSSophos容器策略)使用公司浏览器配置,您可以为SophosSecureWorkspace应用的公司浏览器功能定义设置.
公司浏览器让您可以安全访问公司的Intranet页面和其他允许的页面.
您可以定义域和域内的书签.
每个书签都属于某个域.
当您添加书签时,如果没有域条目,将会自动创建域条目.

180版权所有SophosLimitedSophosMobile域设置设置/字段说明URL您要允许的域.
允许复制/粘贴用户可以从公司浏览器中将文本复制和粘贴到其他应用.
允许打开方式用户可以下载,或将它们传递到其他应用.
允许保存密码用户可以在公司浏览器中保存他们的密码.
书签设置设置/字段说明名称书签的名称.
URL书签的的Web地址.
14.
21.
5根证书配置(iOSSophos容器策略)使用根证书配置,您可以在设备上安装根证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
21.
6客户端证书配置(iOSSophos容器策略)使用客户端证书配置,您可以在设备上安装客户端证书.
如果SophosSecureWorkspace应用安装在Sophos容器中,它将可以使用此证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
版权所有SophosLimited181SophosMobile14.
21.
7SCEP配置(iOSSophos容器策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
这些证书可用于SophosSecureWorkspace应用的公司浏览器功能.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定iPhone或iPad设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
182版权所有SophosLimitedSophosMobile设置/字段说明根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
14.
22iOS的MobileSecurity策略的配置利用MobileSecurity策略,可以配置SophosMobileSecurity应用.
有关如何创建MobileSecurity策略的信息,请参阅创建配置文件或策略(第87页).
14.
22.
1网络配置(iOS的SophosMobileSecurity策略)通过网络配置,您可以管理SophosMobileSecurity应用的网络设置,让用户免受来自网络的威胁.
注释将此配置分配给设备时,将禁用SophosMobileSecurity应用中的相应设置.
用户不能对它们进行修改.
设置/字段说明中间人保护SophosMobileSecurity检查Wi-Fi连接是否存在中间人攻击.
额外设置仅在得到Sophos客户支持的指令时配置这些设置.
14.
22.
2网络筛选配置(iOS的SophosMobileSecurity策略)通过网络筛选配置,您可以管理SophosMobileSecurity应用的网站筛选功能.
这可以让用户避免浏览包含恶意、不需要或非法内容的网站.
此配置只影响受监督的设备.
注释将此配置分配给设备时,将禁用SophosMobileSecurity应用中的相应设置.
用户不能对它们进行修改.
版权所有SophosLimited183SophosMobile设置/字段说明筛选恶意网站选择用户是否可以访问带有恶意内容的网站.
按照类别筛选网站选择用户是否可以访问属于特定类别的网站.
SophosMobileSecurity根据SophosLabs提供的数据对网站进行分类.
该数据会不断更新.
提示为了测试网络筛选,Sophos创建了包含每个类别的示例页面的网站sophostest.
com.
尽管其中一些页面被归类为具有潜在的攻击性或危险性,但是页面内容本身在所有情况下都是无害的.
网站例外配置类别筛选的例外:允许的域:允许网站,即使它们所属的类别受到阻止.
阻止的域:阻止网站,即使它们属于允许的类别.
可以输入域名或IP地址.
示例:www.
example.
com*.
example.
com198.
51.
100.
1198.
51.
100.
0/2414.
22.
3短信过滤配置(iOS的SophosMobileSecurity策略)通过短信过滤配置,您可以为SophosMobileSecurityiOS应用的短信过滤功能定义域名.
短信过滤保护用户免受短信和彩信攻击.
它将包含虚假域的消息移入垃圾短信,不包括联系人中的发件人.
虚假域看起来像真实域,但略有修改:替换、插入或置换了单个字符.
域名的前缀或后缀被修改.
一级域名(TLD)不同.
例如,如果您的真实域为sophos.
com,下面的则是虚假域:s0phos.
com(替换)soophos.
com(插入)sohpos.
com(置换)mysophos.
com(前缀)sophos.
net(不同的TLD)hr.
sophos.
com之类的子域则不过滤.
184版权所有SophosLimitedSophosMobile14.
23macOS设备策略的配置使用macOS设备策略,您可以配置Mac设备的各个方面,如密码策略、限制或Wi-Fi设置.
设备策略应用到所有登录到您分配该策略的Mac设备的用户,无论他们是否由SophosMobile托管.
相关概念关于macOS策略(第89页)macOS用户策略的配置(第199页)相关任务创建配置文件或策略(第87页)14.
23.
1密码策略配置(macOS设备策略)使用密码策略配置,您可以为Mac用户帐户的密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置/字段说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
版权所有SophosLimited185SophosMobile设置/字段说明设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
14.
23.
2限制配置(macOS设备策略)使用限制配置,您可以为Mac设备定义限制.
注释一些选项仅适用于某些版本的macOS.
它在SophosMobileAdmin中通过蓝色标签表示.
设备设置/字段说明允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许AppleMusic用户可以访问AppleMusic库.
macOS软件更新延迟macOS软件的更新在发布日期后延迟的天数.
输入一个0(无延迟)和90之间的值.
iCloud设置/字段说明允许备份用户可以将其设备备份到iCloud.
186版权所有SophosLimitedSophosMobile设置/字段说明允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
允许返回我的Mac用户可以使用iCloud返回我的Mac,即远程和本地Mac之间的文件和屏幕共享.
允许查找我的Mac用户可以使用iCloud查找我的Mac远程定位、锁定或擦除其Mac设备.
允许iCloud书签用户可以使用iCloud书签在浏览器和平台之间同步Web书签.
允许iCloud邮件用户可以在其Mac设备上设置iCloud邮件帐户.
允许iCloud日历用户可以使用iCloud日历在其设备之间共享其日历,并与其他iCloud用户共享其日历.
允许iCloud提醒用户可以使用iCloud提醒在其设备之间共享提醒列表,并与其他iCloud用户共享提醒列表.
允许iCloud通讯簿用户可以使用iCloud通讯簿在其设备之间共享其联系人,并与其他iCloud用户共享联系人.
允许iCloud笔记用户可以使用iCloud笔记记笔记,在其设备之间共享笔记,并与其他用户共享笔记.
允许iCloudDriveforDesktopandDocuments用户可以将其MacDesktop和Documents文件夹存储在iCloudDrive中,并在其他设备上访问.
安全和隐私设置/字段说明允许TouchID解锁设备如果清除该复选框,将不能通过TouchID解锁设备.
允许定义查找用户可以查找突出显示词汇的定义.
允许自动解锁用户可以使用自动解锁,通过AppleWatch自动解锁其Mac设备.
允许iTunes文件共享用户可以使用iTunes中的文件共享,在其Mac设备和iPhone或iPad之间复制文件.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
版权所有SophosLimited187SophosMobile设置/字段说明允许AirPrint打印机的iBeacon发现设备使用iBeacon发现AirPrint设备.
重要提示如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
允许密码自动填入用户可以开启自动填入密码设置,以使用在Safari或其他应用中保存的密码或信用卡信息.
如果清除此复选框,将同时禁用自动建议强密码功能.
从附近的设备请求Wi-Fi密码设置Wi-Fi连接时,设备从附近设备请求密码.
允许AirDrop密码分享用户可以通过AirDrop与其他用户共享PasswordManager的密码.
14.
23.
3Wi-Fi配置(macOS设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:自动连接自动连接到目标网络.
隐藏网络目标网络不开放或可见.
188版权所有SophosLimitedSophosMobile设置/字段说明安全类型Wi-Fi网络的安全类型:无WEP(个人)WPA/WPA2(个人)任何(个人)WEP(企业)WPA/WPA2(企业)任意(企业)如果您选择其名称中带有个人的类型,则会显示密码字段.
输入相应的密码.
如果您选择其名称中带有企业的类型,则会显示协议、身份验证和信任选项卡.
在协议选项卡上,配置以下设置:在接受EAP类型下,选择要用于身份验证的EAP方法.
根据该选项卡上所选的类型,此选项卡中内部身份字段中的值可供选择.
在EAP-FAST下,配置EAP-FAST保护访问凭据设置.
在TLS最低版本和TLS最高版本中,选择用于EAP身份验证的最低和最高TLS版本.
在身份验证选项卡上,可以配置客户端身份验证设置:在用户字段中,输入用于连接到Wi-Fi网络的用户名.
如果每个连接均询问密码且通过身份验证进行传输,则选中每个连接都需要密码.
在密码字段中输入相关密码.
在身份证书列表中,选择用于连接Wi-Fi网络的证书.
注释必须在客户端证书配置中指定要使用的证书.
在外部身份字段中,输入外部可见ID(TTLS、PEAP及EAP-FAST).
在信任选项卡上,可以配置服务器身份验证设置:从列表中选择信任的证书.
注释必须在根证书配置中指定证书.
版权所有SophosLimited189SophosMobile设置/字段说明代理在此列表中,选择用于Wi-Fi连接的代理设置:无代理手动自动如果您选择手动,将显示服务器和端口、身份验证和密码字段.
输入所需的代理信息.
如果您选择自动,将显示PACURL字段.
输入代理服务器的URL.
14.
23.
4网关守卫配置(macOS设备策略)使用网关守卫配置,您可以配置macOS网关守卫,它可以阻止安装禁止来源的应用.
设置/字段说明允许从以下地方下载的应用选择要求的设置:任意地方:用户可以打开所有应用,无论这些应用是从哪里安装的.
MacAppStore:用户只能打开来自MacAppStore的应用.
MacAppStore和确定的开发商:用户只能打开来自MacAppStore的应用,或来自可识别的开发者——即Apple认可的开发者的应用.
14.
23.
5内核扩展程序策略配置(macOS设备策略)通过内核扩展程序策略配置,您可以批准或阻止某些第三方内核扩展(KEXT).
如果没有此配置,当应用要安装内核扩展时,macOS将请求用户批准.
设置/字段说明允许用户批准的扩展程序当应用要安装没有经此配置批准的内核扩展时,macOS将请求用户批准.
如果不选中此复选框,将阻止未经此配置批准的扩展.
批准Sophos扩展程序将批准Sophos内核扩展.
批准的TeamIDTeamID值的列表.
由这些ID中的其中一个签发的内核扩展将被批准.
190版权所有SophosLimitedSophosMobile要找到内核扩展的TeamID,请在您的测试环境中将其安装到Mac设备上.
然后在终端输入以下两条命令:sqlite3/var/db/SystemPolicyConfiguration/KextPolicySELECT*FROMkext_policy;使用Control-D退出sqlite3会话.
对于安装的每个内核扩展,您都可以得到一行输出.
在每一行中,第一个值就是TeamID.
14.
23.
6VPN配置(macOS设备策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
版权所有SophosLimited191SophosMobile设置/字段说明用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
192版权所有SophosLimitedSophosMobile14.
23.
7Firewall配置(macOS设备策略)通过Firewall配置,您可以为macOS中包括的应用程序防火墙定义设置.
设置/字段说明开启应用程序防火墙应用程序防火墙将开启.
阻止所有传入连接共享服务(如文件共享或屏幕共享)不允许接收传入连接.
这不影响以下系统服务:configd(DHCP和其他网络配置服务)mDNSResponder(Bonjour)racoon(IPSec)使用隐藏模式计算机将忽略意外的请求,如ping请求.
自动允许内置应用内置应用,如iTunes,将添加到允许接收连接的应用列表中.
您不能关闭此选项.
自动允许签名下载的应用由有效证书颁发机构签发的应用将添加到允许接收连接的应用列表中.
您不能关闭此选项.
允许的连接应用组包含允许接收连接的应用.
对于其他应用,用户可以选择允许或拒绝连接.
拒绝的连接应用组包含不允许接收连接的应用.
对于其他应用,用户可以选择允许或拒绝连接.
14.
23.
8网站内容筛选器配置(macOS设备策略)使用Web内容筛选器配置,您可以为第三方应用定义用于筛选Internet内容的设置.
设置/字段说明筛选名称筛选配置的自定义名称.
筛选ID第三方应用的捆绑ID.
服务器托管筛选服务的服务器(主机名、IP地址或URL).
组织您所在组织的名称.
该值将传递到筛选服务.
用户名密码连接到筛选服务所需的凭据.
版权所有SophosLimited193SophosMobile设置/字段说明证书用于对筛选服务进行身份验证的证书.
筛选范围第三方应用将筛选的数据流:筛选浏览器数据流:将筛选WebKit浏览器数据流.
筛选套接字数据流:将筛选套接字数据流.
筛选浏览器和套接字数据流:将筛选WebKit和套接字数据流.
第三方设置附加配置设置(如果第三方应用要求).
14.
23.
9全球HTTP代理配置(macOS设备策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器和端口HTTP代理的名称(或IP地址)和端口号.
身份验证用于连接代理服务器的用户名.
密码用于连接代理服务器的密码.
PACURL代理自动配置(PAC)文件的URL.
14.
23.
10托管域配置(macOS设备策略)使用托管域配置,您可以定义Mac设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子邮件突出显示为不在域内.
14.
23.
11单一登录配置(macOS设备策略)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置/字段说明名称可读帐户名称.
194版权所有SophosLimitedSophosMobile设置/字段说明Kerberos主体名称Kerberos主体名称.
如果您不输入值,用户必须在配置文件安装过程中输入名称.
领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
应用ID应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
14.
23.
12AirPrint配置(macOS设备策略)通过AirPrint配置,您可以在用户的AirPrint打印机列表中添加AirPrint打印机.
设置/字段说明IP地址AirPrint打印机的IP地址.
资源路径与打印机关联的资源路径.
示例:printers/ipp/print14.
23.
13目录服务配置(macOS设备策略)使用目录服务配置,您可以指定将策略分配给Mac设备时,Mac设备将加入的ActiveDirectory域.
注释如果您在这里配置的ActiveDirectory域和您用于自助服务门户的域相同,分配给Mac设备的macOS用户策略将应用于登录到该Mac设备的所有ActiveDirectory用户.
版权所有SophosLimited195SophosMobile一般设置设置/字段说明域主机名要加入的ActiveDirectory域的DNS主机名.
AD管理员名称密码用于连接到ActiveDirectory服务器的用户帐户的凭据.
此用户必须有权在ActiveDirectory数据库中添加设备.
部门ActiveDirectory数据库中的组织单位(OU),加入的计算机将添加到其中.
用户体验设置/字段说明创建移动帐户网络用户首次登录时,macOS将创建一个移动帐户.
使用移动帐户,即使在Mac设备未连接到ActiveDirectory服务器时,用户也可以使用其ActiveDirectory凭据登录Mac设备.
创建移动帐户前要求确认用户可以决定是否创建移动帐户.
强制要求本地主文件夹选中此复选框可以强制在启动磁盘上创建用户配置文件.
这对于移动帐户是必须的.
如果您清除该复选框,将使用纯网络主目录.
使用来自ActiveDirectory的UNC路径macOS将装载在ActiveDirectory用户帐户中指定的主文件夹.
网络协议用于装载主文件夹的协议.
默认用户shell针对用户的命令行shell.
如果将此字段保留为空,将使用/bin/bash.
映射设置/字段说明UID属性映射到macOS中唯一用户ID(UID)的ActiveDirectory属性.
196版权所有SophosLimitedSophosMobile设置/字段说明用户GID属性映射到macOS用户帐户中主要组ID的ActiveDirectory属性.
组GID属性映射到macOS组帐户中组ID的ActiveDirectory属性.
重要提示如果以后您更改这些映射设置,用户可能会失去访问之前创建的文件的权限.

管理设置/字段说明首选DC服务器首先访问的ActiveDirectory域控制器(DC).
如果将此字段保留为空,macOS将根据站点信息和控制器响应来选择域控制器.
密码信任间隔天数指定macOS更改其ActiveDirectory计算机帐户密码的频率.
如果将此字段保留为空,macOS将每14天更改一次密码.
如果将值设置为0,macOS将不会自动更改密码.
命名空间林将开启命名空间支持.
在ActiveDirectory林的不同域中具有相同登录名的多个用户都可以登录.
用户必须按域\名称的格式输入其登录名.
域将关闭命名空间支持.
用户必须有唯一的登录名.
数据包签名数据包加密macOS可以对用于ActiveDirectory通信的LDAP连接进行签名和加密.
允许:macOS决定是否对LDAP连接进行签名和/或加密.
禁用:macOS不对LDAP连接进行签名或加密.
需要:macOS始终对LDAP连接进行签名和加密.
SSL/TLS:macOS始终使用LDAPoverSSL/TLS.
多域身份验证ActiveDirectory林中所有域的用户都可以登录.
版权所有SophosLimited197SophosMobile设置/字段说明域管理员组ActiveDirectory组列表.
这些组的成员将在Mac设备上授予管理权限.
要输入多个组,请在每次输入后按Enter键.
限制DDNS网络接口列表.
默认情况下,macOS对所有网络接口使用动态DNS(DDNS).
要对某些接口限制DDNS,请输入其BSD名称.
例如,要对内置的以太网端口限制DDNS,请输入en0.
要输入多个接口,请在每次输入后按Enter键.
14.
23.
14根证书配置(macOS设备策略)使用根证书配置,您可以在Mac设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
23.
15客户端证书配置(macOS设备策略)使用客户端证书配置,您可以在Mac设备上安装客户端证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
23.
16SCEP配置(macOS设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
198版权所有SophosLimitedSophosMobile设置/字段说明CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定Mac设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
14.
24macOS用户策略的配置使用macOS用户策略,您可以配置Mac设备的各个方面,如密码策略、限制或Wi-Fi设置.
用户策略应用到您分配该策略的Mac设备的所有托管用户.
相关概念关于macOS策略(第89页)macOS设备策略的配置(第185页)相关任务创建配置文件或策略(第87页)版权所有SophosLimited199SophosMobile14.
24.
1密码策略配置(macOS用户策略)使用密码策略配置,您可以为Mac用户帐户的密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置/字段说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
200版权所有SophosLimitedSophosMobile14.
24.
2限制配置(macOS用户策略)使用限制配置,您可以为Mac设备定义限制.
注释一些选项仅适用于某些版本的macOS.
它在SophosMobileAdmin中通过蓝色标签表示.
设备设置/字段说明允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许AppleMusic用户可以访问AppleMusic库.
macOS软件更新延迟macOS软件的更新在发布日期后延迟的天数.
输入一个0(无延迟)和90之间的值.
iCloud设置/字段说明允许备份用户可以将其设备备份到iCloud.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
允许返回我的Mac用户可以使用iCloud返回我的Mac,即远程和本地Mac之间的文件和屏幕共享.
允许查找我的Mac用户可以使用iCloud查找我的Mac远程定位、锁定或擦除其Mac设备.
允许iCloud书签用户可以使用iCloud书签在浏览器和平台之间同步Web书签.
版权所有SophosLimited201SophosMobile设置/字段说明允许iCloud邮件用户可以在其Mac设备上设置iCloud邮件帐户.
允许iCloud日历用户可以使用iCloud日历在其设备之间共享其日历,并与其他iCloud用户共享其日历.
允许iCloud提醒用户可以使用iCloud提醒在其设备之间共享提醒列表,并与其他iCloud用户共享提醒列表.
允许iCloud通讯簿用户可以使用iCloud通讯簿在其设备之间共享其联系人,并与其他iCloud用户共享联系人.
允许iCloud笔记用户可以使用iCloud笔记记笔记,在其设备之间共享笔记,并与其他用户共享笔记.
允许iCloudDriveforDesktopandDocuments用户可以将其MacDesktop和Documents文件夹存储在iCloudDrive中,并在其他设备上访问.
安全和隐私设置/字段说明允许TouchID解锁设备如果清除该复选框,将不能通过TouchID解锁设备.
允许定义查找用户可以查找突出显示词汇的定义.
允许自动解锁用户可以使用自动解锁,通过AppleWatch自动解锁其Mac设备.
允许iTunes文件共享用户可以使用iTunes中的文件共享,在其Mac设备和iPhone或iPad之间复制文件.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
允许AirPrint打印机的iBeacon发现设备使用iBeacon发现AirPrint设备.
重要提示如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
允许密码自动填入用户可以开启自动填入密码设置,以使用在Safari或其他应用中保存的密码或信用卡信息.
如果清除此复选框,将同时禁用自动建议强密码功能.
从附近的设备请求Wi-Fi密码设置Wi-Fi连接时,设备从附近设备请求密码.
202版权所有SophosLimitedSophosMobile设置/字段说明允许AirDrop密码分享用户可以通过AirDrop与其他用户共享PasswordManager的密码.
14.
24.
3Exchange帐户配置(macOS用户策略)使用Exchange帐户配置,您可以为联系人、邮件、提醒和日历设置ExchangeWeb服务(EWS)帐户.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
OAuth帐户使用OAuth进行身份验证,即用户使用其Microsoft凭据进行身份验证.
OAuth登录URLOAuth身份验证的登录页面URL.
如果关闭了Exchange服务器的自动发现服务,请使用此设置.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
版权所有SophosLimited203SophosMobile14.
24.
4Wi-Fi配置(macOS用户策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:自动连接自动连接到目标网络.
隐藏网络目标网络不开放或可见.
204版权所有SophosLimitedSophosMobile设置/字段说明安全类型Wi-Fi网络的安全类型:无WEP(个人)WPA/WPA2(个人)任何(个人)WEP(企业)WPA/WPA2(企业)任意(企业)如果您选择其名称中带有个人的类型,则会显示密码字段.
输入相应的密码.
如果您选择其名称中带有企业的类型,则会显示协议、身份验证和信任选项卡.
在协议选项卡上,配置以下设置:在接受EAP类型下,选择要用于身份验证的EAP方法.
根据该选项卡上所选的类型,此选项卡中内部身份字段中的值可供选择.
在EAP-FAST下,配置EAP-FAST保护访问凭据设置.
在TLS最低版本和TLS最高版本中,选择用于EAP身份验证的最低和最高TLS版本.
在身份验证选项卡上,可以配置客户端身份验证设置:在用户字段中,输入用于连接到Wi-Fi网络的用户名.
如果每个连接均询问密码且通过身份验证进行传输,则选中每个连接都需要密码.
在密码字段中输入相关密码.
在身份证书列表中,选择用于连接Wi-Fi网络的证书.
注释必须在客户端证书配置中指定要使用的证书.
在外部身份字段中,输入外部可见ID(TTLS、PEAP及EAP-FAST).
在信任选项卡上,可以配置服务器身份验证设置:从列表中选择信任的证书.
注释必须在根证书配置中指定证书.
版权所有SophosLimited205SophosMobile设置/字段说明代理在此列表中,选择用于Wi-Fi连接的代理设置:无代理手动自动如果您选择手动,将显示服务器和端口、身份验证和密码字段.
输入所需的代理信息.
如果您选择自动,将显示PACURL字段.
输入代理服务器的URL.
14.
24.
5VPN配置(macOS用户策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
206版权所有SophosLimitedSophosMobile设置/字段说明用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无代理手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
版权所有SophosLimited207SophosMobile14.
24.
6Web剪辑配置(macOS用户策略)使用Web剪辑配置,您可以定义要添加到macOS桌面的Web剪辑.
Web剪辑让您可以快速访问收藏的网页.
但您也可以使用支持电话号码添加Web剪辑,例如,为致电支持人员提供了快捷方法.
设置/字段说明说明对Web剪辑的说明.
URLWeb剪辑的Web地址.
可以删除如果清除该复选框,用户将不能删除Web剪辑.
不可将其从设备删除,除非用户删除了已安装的配置文件.
全屏显示将在设备上全屏显示打开的Web剪辑.
全屏显示的Web剪辑打开作为Web应用的URL.
图标选择要在主屏幕上用作Web剪辑图标的图片.
这必须是最大1MB的PNG、GIF或JPEG图片.
图片将剪裁为方形并进行缩放以匹配显示分辨率.
为获得最佳效果,建议您使用180x180像素的图片.
注释当在网页的HTML代码中定义了一个图标时,设备可能会将该图标显示为Web剪辑图标.
这仅适用于某些网页,具体取决于网页代码中图标的配置方式.
14.
24.
7网站内容筛选器配置(macOS用户策略)使用Web内容筛选器配置,您可以为第三方应用定义用于筛选Internet内容的设置.
设置/字段说明筛选名称筛选配置的自定义名称.
筛选ID第三方应用的捆绑ID.
服务器托管筛选服务的服务器(主机名、IP地址或URL).
组织您所在组织的名称.
该值将传递到筛选服务.
用户名密码连接到筛选服务所需的凭据.
208版权所有SophosLimitedSophosMobile设置/字段说明证书用于对筛选服务进行身份验证的证书.
筛选范围第三方应用将筛选的数据流:筛选浏览器数据流:将筛选WebKit浏览器数据流.
筛选套接字数据流:将筛选套接字数据流.
筛选浏览器和套接字数据流:将筛选WebKit和套接字数据流.
第三方设置附加配置设置(如果第三方应用要求).
14.
24.
8全球HTTP代理配置(macOS用户策略)通过全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明代理选择手动,对连接详细信息进行手动配置.
如果您有代理自动配置(PAC)文件,则选择自动.
服务器和端口HTTP代理的名称(或IP地址)和端口号.
身份验证用于连接代理服务器的用户名.
密码用于连接代理服务器的密码.
PACURL代理自动配置(PAC)文件的URL.
14.
24.
9托管域配置(macOS用户策略)使用托管域配置,您可以定义Mac设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,来自不与其中一个配置的域相匹配的地址的电子邮件突出显示为不在域内.
14.
24.
10CalDAV配置(macOS用户策略)使用CalDAV配置,您可以配置与CalDAV服务器的日历数据同步.
例如,可用于与Mac设备同步Google日历.
设置/字段说明帐户名称设备上CalDAV帐户的显示名称.
版权所有SophosLimited209SophosMobile设置/字段说明帐户主机和端口CalDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google日历,请输入:calendar.
google.
com:443主要URL如果CalDAV服务器需要,请输入日历资源的主要URL.
例如,要与Google帐户中主日历以外的日历同步,请输入:https://apidata.
googleusercontent.
com/caldav/v2/calendar_id/user其中calendar_id是要同步的日历的ID.
在Google日历Web应用程序中,日历ID显示在日历设置中.
有关详细信息,请参阅Google日历的帮助.
用户名、密码CalDAV帐户的登录凭据.
例如,对于Google日历,请输入Google帐户的凭据.
SSL/TLS连接CalDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
24.
11CardDAV配置(macOS用户策略)使用CardDAV配置,您可以配置与CardDAV服务器的联系人数据同步.
例如,可用于与Mac设备同步Google联系人.
设置/字段说明帐户名称设备上CardDAV帐户的显示名称.
帐户主机和端口CardDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google联系人,请输入:google.
com主要URL如果CardDAV服务器需要,请输入联系人资源的主要URL.
例如,GoogleCardDAVAPI支持以下主要URL:https://www.
googleapis.
com/carddav/v1/principals/account_name@gmail.
com其中account_name是Google帐户名称.
用户名、密码CardDAV帐户的登录凭据.
例如,对于Google联系人,请输入Google帐户的凭据.
210版权所有SophosLimitedSophosMobile设置/字段说明SSL/TLS连接CardDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
14.
24.
12IMAP/POP配置(macOS用户策略)使用IMAP/POP配置,您可以在Mac设备上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户名称设备上电子邮件帐户的显示名称.
帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
传入电子邮件电子邮件服务器和端口传入电子邮件服务器(入站服务器)的主机名或IP地址,以及端口号.
用户名用于连接入站服务器的用户名.
身份验证类型用于连接入站服务器的身份验证方法.
密码用于连接入站服务器的密码(如果需要).
SSL/TLS连接接入服务器受到SSL或TLS的保护(取决于服务器支持的类型).
外发电子邮件电子邮件服务器和端口外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
用户名用于连接出站服务器的用户名.
身份验证类型用于连接出站服务器的身份验证方法.
密码用于连接出站服务器的密码(如果需要).
使用与传入电子邮件相同的密码使用为传入电子邮件指定的密码.
版权所有SophosLimited211SophosMobile设置/字段说明SSL/TLS连接接出服务器受到SSL或TLS的保护(取决于服务器支持的类型).
14.
24.
13单一登录配置(macOS用户策略)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置/字段说明名称可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果您不输入值,用户必须在配置文件安装过程中输入名称.
领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
应用ID应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
14.
24.
14LDAP配置(macOS用户策略)使用LDAP配置,您可以将LDAP目录的用户信息添加到macOS通讯簿应用.
注释要配置Mac设备以使其加入ActiveDirectory域,请使用目录服务配置.
请参阅目录服务配置(macOS设备策略)(第195页).
设置/字段说明帐户描述LDAP连接的描述.
主机名LDAP服务器的主机名或IP地址.
212版权所有SophosLimitedSophosMobile设置/字段说明用户名密码SophosMobile用于连接LDAP服务器的登录凭据.
使用SSL/TLS连接LDAP服务器受到SSL或TLS的保护(取决于服务器支持的类型).
搜索设置作为搜索起点的LDAP树的节点,以及搜索范围.
基本到搜索开始节点的路径.
例如:ou=users,o=mycompany范围要包括在搜索中的子节点的范围:仅基本节点:只有基本节点.
基本节点和直接子节点:基本节点及其子节点,即第一级子节点.
基本节点和所有子节点:基本节点和所有子节点.
说明搜索设置的描述.
14.
24.
15AppStore配置(macOS用户策略)通过AppStore配置,您可以限制AppStore的使用.
设置/字段说明需要管理员密码用户安装或更新应用需要管理员密码.
限制更新用户可以更新应用,但不能安装新的应用.
禁止应用采纳应用采纳让用户可以将尚未通过AppStore安装的应用分配给他们的AppleID.
如果您禁止应用采纳,用户将不能更新这些应用.
例如,这会影响与Mac捆绑的iLife或iWork应用.
关闭更新通知用户不会收到更新通知.
14.
24.
16根证书配置(macOS用户策略)使用根证书配置,您可以在Mac设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
版权所有SophosLimited213SophosMobile注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
24.
17客户端证书配置(macOS用户策略)使用客户端证书配置,您可以在Mac设备上安装客户端证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
24.
18SCEP配置(macOS用户策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(SerialNumber)_%指定Mac设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
214版权所有SophosLimitedSophosMobile设置/字段说明AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
14.
25WindowsMobile策略的配置使用WindowsMobile策略,您可以配置WindowsMobile设备的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建WindowsMobile策略的信息,请参阅创建配置文件或策略(第87页).
14.
25.
1密码策略配置(WindowsMobile策略)使用密码策略配置,您可以为设备密码定义要求.
设置/字段说明密码类型用户必须定义的密码类型:字母数字:密码必须同时包含数字和字母数值:密码必须仅包含数字对于WindowsPhone8.
1,字母数字覆盖包含数字和/或字母的密码.
版权所有SophosLimited215SophosMobile设置/字段说明字母数字密码的最低复杂性这定义了必须用于数字字母密码中的字符类.
对于Windows10Mobile:1:不适用(如果选中,将使用2)2:需要数字和小写字母3:需要数字、小写字母和大写字母4:需要数字、小写字母、大写字母和特殊字符对于WindowsPhone8.
1,您选择的值是必须在密码中使用的不同字符类的数目.
字符类有:数字小写字母大写字母特殊字符允许简单密码密码可以包含顺序或重复的字符,如abcde或1111.
密码长度最小值密码必须包含的最少字符数目.
失败尝试的最大次数输入正确密码的失败登录次数,超过后将擦除设备.
输入1和999之间的值,或输入0表示无限制.
设备锁定时间(分钟)设备空闲多长时间(分钟)后将被锁定.
用户可以解锁该设备.
输入1和999之间的值,或输入0表示无限制.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
最长密码期效(天)用户多少天后必须修改其密码.
输入1和730之间的值,或输入0表示无限制.
允许设置密码GracePeriod.
将允许用户设置密码宽限期.
216版权所有SophosLimitedSophosMobile14.
25.
2限制配置(WindowsMobile策略)使用限制配置,您可以为设备定义限制.
设备设置/字段说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止未加密设备内部存储加密将开启.
重要提示在设备上开启内部存储加密后,您不能再通过策略将其关闭.
注释应用策略前,必须在设备上启用BitLocker.
禁止在锁屏界面上显示操作中心通知将不会在设备锁屏界面上显示操作中心通知.
禁止手动添加非Microsoft电子邮件帐户禁止添加所有类型的电子邮件帐户,以及Exchange、Office365和Outlook.
com帐户.
禁止Microsoft账户连接不能连接到Microsoft服务,如同步、备份、Skype或Microsoft应用商店.
重要提示此设置只影响分配策略后在设备上设置的Microsoft帐户.
禁止开发人员模式将关闭Windows开发人员模式.
禁止Windows商店应用商店将不可用.
禁止本地浏览器MicrosoftEdge浏览器将不可用.
禁止相机将关闭隐私设置允许应用使用我的相机.
版权所有SophosLimited217SophosMobile设置/字段说明遥测级别允许设备发送的Windows诊断和使用数据量.
Windows10:全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
禁用(仅适用于WindowsPhone8.
1):Windows10设备上不受支持.
如果您选择了此项,则会使用基本级别.
注释级别是从下到上累积的,例如增强包括基本的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
WindowsPhone8.
1不支持不同的遥测级别:全部,增强,基本:用户可以开启或关闭遥测.
禁用(仅适用于WindowsPhone8.
1):未提交遥测数据.
不同的设置/字段说明禁止复制和粘贴剪贴板不可用.
禁止CortanaCortana将关闭.
禁止Office文件的"另存为"用户不能将设备上的文件保存为Office文件.
禁止屏幕捕获截屏将关闭.
禁止共享Office文件用户不能共享Office文件.
禁止"同步我的设置"将不能与其他Windows设备同步设备设置.
禁止录音录音功能将关闭.
218版权所有SophosLimitedSophosMobileWi-Fi设置/字段说明禁止Wi-FiWi-Fi连接将关闭.
禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
禁止热点报告设备将不会发送有关Wi-Fi连接的信息.
禁止手动配置用户不能在SophosMobile配置的连接以外配置Wi-Fi连接.
现有用户配置的和Wi-Fi感知的Wi-Fi配置文件将被删除.
连接设置/字段说明禁止NFCNFC(近场通信)被关闭.
禁止蓝牙蓝牙将关闭.
禁止USB连接将禁用设备与计算机之间用于同步文件或使用开发人员工具来部署或调试应用的USB连接.
这不影响USB充电.
漫游及费用设置/字段说明禁止手机数据漫游使用外地手机网络的数据连接将关闭.
禁止手机VPN使用外地手机网络的VPN连接将关闭.
禁止手机VPN漫游使用外地手机网络的VPN连接将关闭.
安全和隐私设置/字段说明禁止Bing影像通过Bing影像搜索存储图像Bing影像将不会存储执行Bing影像搜索时捕获的图像内容.
版权所有SophosLimited219SophosMobile设置/字段说明搜索时禁止使用位置搜索不能使用位置信息.
禁止手动安装根证书用户不能手动安装根和中间CA证书.
禁止定位设备上的所有位置隐私设置将关闭.
没有应用可以使用定位服务.
还将禁止SophosMobile定位设备.
SafeSearch权限设备上强制执行的搜索结果筛选级别:中等:对成人内容进行中等筛选.
将不筛选有效的搜索结果.
严格:对成人内容进行最严格的筛选.
未注册设置/字段说明禁止用户重置手机用户不能通过控制面板或硬件组合键将设备恢复为出厂设置.
禁止手动MDM用户不能删除工作区帐户.
14.
25.
3Exchange帐户配置(WindowsMobile策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
220版权所有SophosLimitedSophosMobile设置/字段说明密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
同步内容类型要同步的内容类型.
14.
25.
4Wi-Fi配置(WindowsMobile策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
代理如果从列表中选择手动,则必须指定服务器和端口.
14.
25.
5应用限制配置(WindowsMobile策略)使用应用限制配置,您可以特别地在设备上允许或阻止应用.
设置/字段说明允许的应用包含一组允许用户在设备上安装和使用的单个应用.
用户将不能安装或使用任何未明确列出的应用.
当您知道要允许的应用和要阻止的所有其他应用时,可以使用允许的应用.
版权所有SophosLimited221SophosMobile设置/字段说明禁止的应用程序包含一组禁止用户在设备上安装的单个应用.
用户将可以安装任何未明确列出的应用.
当您知道要阻止的应用和要允许的所有其他应用的列表时,可以使用禁止的应用.
应用组选择包含要允许或阻止的应用列表的应用组.
注释应用组必须事先创建.
请参阅应用组(第265页).
14.
25.
6IMAP/POP配置(WindowsMobile策略)使用IMAP/POP配置,您可以在设备上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
帐户名称设备上电子邮件帐户的显示名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
用户名用于连接入站服务器的用户名.
域入站服务器凭据的域部分(如果需要).
密码用于连接入站服务器的密码(如果需要).
传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名(或IP地址)和端口号.
格式:服务器名称:端口号如果使用以下标准端口,则不需要指定端口号:143(IMAP)993(IMAP和SSL)110(POP3)995(POP3和SSL)对传入电子邮件使用SSL/TLS使用安全套接字层进行传入电子邮件的传输.
222版权所有SophosLimitedSophosMobile设置/字段说明传出电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
格式:服务器名称:端口号对传出电子邮件使用SSL/TLS使用安全套接字层进行外发电子邮件的传输.
传出连接所需的身份验证出站服务器需要身份验证.
使用与入站服务器相同的凭据,如用户名、域和密码字段中所指定.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
自动同步自动电子邮件同步的间隔.
14.
25.
7根证书配置(WindowsMobile策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
14.
25.
8SCEP配置(WindowsMobile策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明描述有关配置的说明.
URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
版权所有SophosLimited223SophosMobile设置/字段说明主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称作为选项,可以配置一个或多个使用者可选名称(SAN)值.
单击添加,然后输入SAN类型和SAN值.
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
哈希算法选择一种或多种SCEP服务器支持的哈希算法.
警告我们建议您不要使用SHA-1算法,因为它被认为是不安全的.
14.
26Windows策略的配置使用Windows策略,您可以配置Windows计算机的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建Windows策略的信息,请参阅创建配置文件或策略(第87页).
224版权所有SophosLimitedSophosMobile14.
26.
1密码策略配置(Windows策略)使用密码策略配置,您可以为Windows用户帐户的密码定义要求.
注释Windows计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过SophosMobile策略设置.
有关详细信息,请参阅Windows密码复杂性规则(第90页).
注释如果同时满足以下条件,则无法将密码策略分配给Windows计算机:除了注册到SophosMobile的用户之外,还有在设备上配置的其他本地用户.
这些其他用户中的一个或多个不允许更改其密码.
设置/字段说明失败尝试的最大次数输入正确密码的失败登录次数,超过后将擦除设备.
输入1和999之间的值,或输入0表示无限制.
设备锁定时间(分钟)设备空闲多长时间(分钟)后将被锁定.
用户可以解锁该设备.
输入1和999之间的值,或输入0表示无限制.
密码历史记录SophosMobile存储的以前使用过的密码的数量.
用户设置新密码时,不能与已经使用过的密码相同.
最长密码期效(天)用户多少天后必须修改其密码.
输入1和730之间的值,或输入0表示无限制.
14.
26.
2限制配置(Windows策略)使用限制配置,您可以为设备定义限制.
设备设置/字段说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
版权所有SophosLimited225SophosMobile设置/字段说明禁止手动添加非Microsoft电子邮件帐户禁止添加所有类型的电子邮件帐户,以及Exchange、Office365和Outlook.
com帐户.
禁止开发人员模式将关闭Windows开发人员模式.
禁止相机将关闭隐私设置允许应用使用我的相机.
禁用Edge自动填充EdgeWeb浏览器的保存表单项设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用EdgeF12开发人员工具EdgeWeb浏览器的F12开发人员工具将不可用.
禁用Edge弹出窗口阻止程序EdgeWeb浏览器的阻止弹出窗口设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用自动播放设置禁用日期与时间设置禁用语言设置禁用电源和睡眠设置禁用区域设置禁用登录设置禁用VPN设置禁用工作区设置禁用帐户设置Windows控制面板的相应部分将不可用.
策略分配给设备后,用户将不能更改所有这些设置.
注释禁用自动播放设置不会影响移动电话等连接设备.
226版权所有SophosLimitedSophosMobile设置/字段说明遥测级别允许设备发送的Windows诊断和使用数据量.
全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
安全:使用最新的安全更新保护设备所需的信息.
注释级别是从下到上累积的,例如增强包括基本和安全的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
不同的设置/字段说明禁止CortanaCortana将关闭.
禁止"同步我的设置"将不能与其他Windows设备同步设备设置.
禁用Windows提示Windows通知设置向我显示有关Windows的提示将清除且不可用.
Wi-Fi设置/字段说明禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
禁止手动配置用户不能在SophosMobile配置的连接以外配置Wi-Fi连接.
现有用户配置的和Wi-Fi感知的Wi-Fi配置文件将被删除.
版权所有SophosLimited227SophosMobile连接设置/字段说明禁止蓝牙蓝牙将关闭.
安全和隐私设置/字段说明搜索时禁止使用位置搜索不能使用位置信息.
未注册设置/字段说明禁止手动MDM用户不能删除工作区帐户.
14.
26.
3Exchange帐户配置(Windows策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
重要提示如果使用多个配置设置Exchange电子邮件帐户,设备可能只能检索一个帐户的邮件.
如果这些帐户位于不同的Exchange服务器上,且这些服务器上定义了不同的邮箱策略,这通常会发生.
因为Windows计算机只能使用一种邮箱策略,它们将无法连接到使用不同策略的帐户.

注释Windows允许用户拒绝您对Exchange配置所做的所有更改.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
228版权所有SophosLimitedSophosMobile设置/字段说明用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
同步内容类型要同步的内容类型.
14.
26.
4Wi-Fi配置(Windows策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
14.
26.
5展台模式配置(Windows策略)通过展台模式配置,您可以将Windows计算机设置为以展台模式运行.
在展台模式下,只有一个应用(展台应用)可以运行.
与展台模式关联的用户(展台用户)登录时,将开启展台模式.
版权所有SophosLimited229SophosMobile注释默认情况下,计算机重启后仍然处于展台模式.
要修改这种设置,请以展台用户帐户登录计算机,转到设置>帐户>登录选项,并关闭更新或重启后,使用我的登录信息自动完成设备设置.
设置/字段说明用户帐户与展台模式关联的用户(展台用户).
格式:\(本地帐户)\(域帐户)如果用户名在所有域中都是惟一的,可以省略部分.
应用AUMID展台模式开启时启动的应用(展台应用)的应用程序用户模型ID(ApplicationUserModelID,AUMID).
有关如何获取AUMID值的信息,请参阅Microsoft文档FindtheApplicationUserModelIDofaninstalledapp.
14.
26.
6IMAP/POP配置(Windows策略)使用IMAP/POP配置,您可以在Windows计算机上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
帐户名称设备上电子邮件帐户的显示名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
用户名用于连接入站服务器的用户名.
域入站服务器凭据的域部分(如果需要).
密码用于连接入站服务器的密码(如果需要).
230版权所有SophosLimitedSophosMobile设置/字段说明传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名(或IP地址)和端口号.
格式:服务器名称:端口号如果使用以下标准端口,则不需要指定端口号:143(IMAP)993(IMAP和SSL)110(POP3)995(POP3和SSL)对传入电子邮件使用SSL/TLS使用安全套接字层进行传入电子邮件的传输.
传出电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
格式:服务器名称:端口号对传出电子邮件使用SSL/TLS使用安全套接字层进行外发电子邮件的传输.
传出连接所需的身份验证出站服务器需要身份验证.
使用与入站服务器相同的凭据,如用户名、域和密码字段中所指定.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
自动同步自动电子邮件同步的间隔.
14.
26.
7DeviceGuard配置(Windows策略)通过DeviceGuard配置,您可以在Windows计算机上配置基于虚拟化的安全性(VBS).
注释所有设置都会在策略分配后第一次启动Windows计算机时应用.
设置/字段说明开启基于虚拟化的安全性(VBS)开启基于虚拟化的安全性(VBS).
版权所有SophosLimited231SophosMobile设置/字段说明CredentialGuard配置关闭:关闭CredentialGuard.
如果使用开启并锁定UEFI选项开启CredentialGuard,此选项将不起作用.
开启并锁定UEFI:开启CredentialGuard,并确保它不能远程关闭.
CredentialGuard只能在BIOS设置中再次关闭,并且需要对计算机进行物理访问.
开启但不锁定:开启CredentialGuard.
CredentialGuard可以使用关闭选项或使用Windows组策略再次关闭.
平台安全级别安全启动:VBS将开启并提供计算机硬件支持的尽可能多的保护.
如果计算机没有输入/输出内存管理单元(IOMMU),VBS将使用安全启动UEFI功能.
如果计算机有IOMMU,VBS将使用安全启动和直接内存访问(DMA)保护.
安全启动和DMA保护:VBS将使用安全启动和直接内存访问(DMA)保护.
如果计算机不支持DMA,将不会开启VBS.
14.
26.
8根证书配置(Windows策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
232版权所有SophosLimitedSophosMobile14.
26.
9客户端证书配置(Windows策略)使用客户端证书配置,您可以在Windows计算机上安装客户端证书.
设置/字段说明文件要安装的证书.
您可以上传PEM和PKCS#12证书.
单击上传文件,然后浏览并找到包含该证书的文件.
提示或者将文件从文件资源管理器拖动到上传文件区域.
证书名称上传证书文件后,该字段显示证书的使用者值.
目标存储证书安装位置的证书存储:用户:证书供注册到SophosMobile的用户使用.
设备:证书供计算机上的所有用户使用.
密钥位置存储证书私钥的位置:软件:密钥存储在基于软件的密钥存储库中.
TPM或软件:如果TPM可用,则密钥存储在TPM中.
否则,密钥存储在基于软件的密钥存储库中.
TPM:密钥存储在受信任的平台模块(TPM)硬件芯片中.
如果计算机没有TPM芯片或在BIOS中关闭了TPM,将不安装证书.
WindowsHelloforBusiness:密钥存储在WindowsHelloforBusiness容器中.
密钥可导出导出证书时,用户还可以导出私钥.
容器名称存储证书私钥的WindowsHelloforBusiness容器的名称.
14.
26.
10SCEP配置(Windows策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明描述有关配置的说明.
URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在Sophos设置页面的SCEP选项卡上配置的服务器URL.
版权所有SophosLimited233SophosMobile设置/字段说明主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定Android设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第91页).
使用者可选名称作为选项,可以配置一个或多个使用者可选名称(SAN)值.
单击添加,然后输入SAN类型和SAN值.
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在Sophos设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
哈希算法选择一种或多种SCEP服务器支持的哈希算法.
警告我们建议您不要使用SHA-1算法,因为它被认为是不安全的.
14.
27WindowsIoT策略的配置使用WindowsIoT策略,您可以配置WindowsIoT设备的各个方面,如限制或Wi-Fi设置.
有关如何创建WindowsIoT策略的信息,请参阅创建配置文件或策略(第87页).
234版权所有SophosLimitedSophosMobile14.
27.
1限制配置(WindowsIoT策略)使用限制配置,您可以为设备定义限制.
设备设置/字段说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止开发人员模式将关闭Windows开发人员模式.
禁止相机将关闭隐私设置允许应用使用我的相机.
禁用Edge自动填充EdgeWeb浏览器的保存表单项设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用Edge弹出窗口阻止程序EdgeWeb浏览器的阻止弹出窗口设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
遥测级别允许设备发送的Windows诊断和使用数据量.
全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
安全:使用最新的安全更新保护设备所需的信息.
注释级别是从下到上累积的,例如增强包括基本和安全的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
版权所有SophosLimited235SophosMobileWi-Fi设置/字段说明禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
连接设置/字段说明禁止蓝牙蓝牙将关闭.
14.
27.
2Wi-Fi配置(WindowsIoT策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
14.
27.
3根证书配置(WindowsIoT策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,选择PKCS#12(.
pfx)证书文件并单击上传文件.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
236版权所有SophosLimitedSophosMobile15任务捆绑包通过使用任务捆绑包,可以在一次事务中捆绑多个任务.
因此,可以捆绑注册和配置设备所必需的所有任务:注册设备.
应用所需的配置文件.
应用所需的策略.
安装所需的应用(如iOS设备的托管应用).
您还可以在任务捆绑包中包括擦除命令,以自动擦除不相容(例如已越狱或已root)的设备.
有关更多信息,请参阅合规性策略(第31页).
任务捆绑包可用于以下平台:AndroidiOSmacOSWindows15.
1创建任务捆绑包1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击要为其创建任务捆绑包的平台.

2.
在任务捆绑包页面上,单击创建任务捆绑包.
将显示编辑任务捆绑包页面.
3.
在相应字段中输入新的任务捆绑包的名称,并选择性地输入说明.
当您每次保存任务捆绑包时,版本将自动递增.
4.
可选:选中对合规性操作可选,以便在设备违反合规性规则时将任务捆绑包传送到设备上.
请参阅合规性策略(第31页).
注释编辑现有的任务捆绑包并且该任务捆绑包已用于合规性操作时,此选项将禁用.

5.
可选:对于iOS任务捆绑包,如果选择忽略应用安装失败,即使在应用安装失败时也可以继续处理任务捆绑包.
如果任务捆绑包不包含安装应用任务,此选项将禁用.
6.
单击创建任务.
7.
选择任务类型并单击下一步.
下一个视图取决于选择的任务类型.
在每个视图中,可以指定对您个人有意义的任务名称.
这些任务名称将在安装过程中显示在自助服务门户上.
8.
按向导步骤添加所需的任务,并单击应用创建任务.
9.
可选:在任务捆绑包中添加其他任务.
注释不能混合Android和Androidenterprise任务.
版权所有SophosLimited237SophosMobile提示可以使用任务列表右侧的排序箭头,更改任务的安装顺序.
10.
将所有需要的任务添加到任务捆绑包后,单击编辑任务捆绑包页面上的保存.

任务捆绑包可以进行传输.
它将显示在任务捆绑包页面上.
注释在自助服务门户设置中编辑用作初始包的现有任务捆绑包时,不能删除注册任务.
请参阅配置自助服务门户设置(第26页).
相关概念可用的Android任务类型(第238页)可用的iOS任务类型(第241页)可用的macOS任务类型(第243页)可用的Windows任务类型(第244页)15.
2可用的Android任务类型以下任务类型可用于Android任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
注册Sophos容器当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
安装配置文件或分配策略选择配置文件或策略.
有关如何将配置文件或策略添加到此列表的信息,请参阅配置文件和策略(第86页).
当任务传递到设备时,将静默地安装配置文件,或静默地分配策略.
卸载配置文件在选择源下选择配置文件,然后从列表中选择配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.

238版权所有SophosLimitedSophosMobile还可以卸载未包含在该列表中的配置文件.
选择标识符,然后输入要从设备上卸载的配置文件的标识符.
当任务传递到设备时,将静默地卸载该配置文件.
注释不能从设备直接卸载Sophos容器策略或MobileSecurity策略.
相反,使用设备操作取消Sophos容器注册或取消SMSec注册.
这将同时从设备删除相关的策略.
安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第247页).
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要安装应用.
用户可以点击确定启动该进程,或点击现在不行,以便过段时间后再收到通知.
如果用户点击确定,然后又在随后的Android对话框中点击取消,任务将失败.
如果该应用已经安装在收到任务的设备上,它将会更新.
安装托管的GooglePlay应用如果您为客户配置了Androidenterprise,此任务类型将可用.
从您为您的组织批准的托管GooglePlay应用列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅编辑托管的GooglePlay应用(第281页).
安装任务将发送到Google服务.
然后,Google将管理在设备上安装该应用.
在任务视图页面上,任务将在其发送到Google后显示为成功状态.
您也可以从批准的应用页面安装应用.
请参阅安装托管的GooglePlay应用(第283页).
有关如何从设备卸载应用的信息,请参阅卸载托管的GooglePlay应用(第283页).
卸载应用在选择源下选择应用,从可用应用的列表中选择应用.
除SophosMobile服务器上可用的应用外,该列表还包括托管设备上正在使用的应用-除Android系统应用和设备制造商已经预先安装的应用外.
还可以卸载未包含在该列表中的应用.
选择标识符,然后输入要从设备上卸载的应用的程序包名称.

如果选择Knox容器应用,该应用将从SamsungKnox容器中卸载.
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要卸载应用.
用户可以点击确定启动该进程,或点击现在不行,以便过段时间后再收到通知.
如果用户点击确定,然后又在随后的Android对话框中点击取消,任务将失败.
如果该应用未安装在收到任务的设备上,将不会显示通知.
发送消息输入要在设备上显示的纯文本.
版权所有SophosLimited239SophosMobile当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosMobileControl应用中显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第46页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.

重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.

注释当擦除任务以配置文件所有者模式传递到Android企业设备时,将只删除工作配置文件和所有托管的GooglePlay应用.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
Knox容器:锁定当任务传递到支持SamsungKnox的Samsung设备时,将锁定Knox容器.
Knox容器:解除锁定当任务传递到支持SamsungKnox的Samsung设备时,将解锁Knox容器.
Knox容器:重置密码当任务传递到支持SamsungKnox的Samsung设备时,将重置Knox容器密码.
用户必须设置新的密码才能解锁Knox容器.
Knox容器:移除当该任务传递到支持SamsungKnox的Samsung设备时,将删除Knox容器(包括与容器相关的所有配置).
触发SMSec扫描当任务传递到设备时,将静默地触发SophosMobileSecurity应用,执行针对恶意软件和可能不需要的应用(PUA)的扫描.
240版权所有SophosLimitedSophosMobile此任务要求SophosMobileSecurity通过SophosMobile进行管理,也就是说,MobileSecurity策略将分配给设备.
请参阅管理SophosMobileSecurity(第296页).
如果在收到该任务的设备上,SophosMobileSecurity不是通过SophosMobile进行管理的(也就是说,如果MobileSecurity策略未分配给该设备),该任务将保持将重试状态.
15.
3可用的iOS任务类型以下任务类型可用于iOS任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
注册Sophos容器当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
安装配置文件或分配策略选择配置文件或策略.
有关如何将配置文件或策略添加到此列表的信息,请参阅配置文件和策略(第86页).
当任务传递到设备时,将静默地安装配置文件,或静默地分配策略.
卸载配置文件在选择源下选择配置文件,然后从列表中选择配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.

还可以卸载未包含在该列表中的配置文件.
选择标识符,然后输入要从设备上卸载的配置文件的标识符.
当任务传递到设备时,将静默地卸载该配置文件.
注释不能从设备直接卸载Sophos容器策略.
相反,使用设备操作取消Sophos容器注册.
这将同时从设备删除相关的策略.
安装设置配置文件从可用配置文件的列表中选择应用设置配置文件.
有关如何将配置文件添加到此列表的信息,请参阅导入iOS应用的设置配置文件(第89页).
版权所有SophosLimited241SophosMobile当任务传递到设备时,将静默地安装该设置配置文件.
卸载设置配置文件在选择源下选择配置文件,然后从列表中选择设置配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.

还可以删除未包含在该列表中的设置配置文件.
选择标识符,然后输入要从设备上删除的配置文件的标识符.
当任务传递到设备时,将静默地删除该设置配置文件.
重新配置SMC应用当任务传递到设备时,用户将被要求扫描QR码或手动输入配置详细信息.
这将先前卸载的SophosMobileControl应用重新连接到服务器.
注释该任务之前应该有一个SophosMobileControl应用的安装应用任务.
安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第247页).
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要安装应用.
用户可以点击安装启动该进程,或点击取消拒绝该安装.
如果用户拒绝安装,任务将失败.
如果该应用已经安装在收到任务的设备上,它将会更新.
卸载应用在选择源下选择应用,从可用应用的列表中选择应用.
除SophosMobile服务器上可用的应用外,该列表还包括托管设备上正在使用的应用-除iOS系统应用外.
还可以卸载未包含在该列表中的应用.
选择标识符,然后输入要从设备上卸载的应用的捆绑ID.
当任务传递到设备时,将静默地卸载该应用.
安装最新的iOS更新当任务传递到设备时,会安装最新的iOS软件更新.
根据iOS设备型号,可能会安装不同的更新.
您可以更新以下设备类型的iOS软件:受监督的设备受监督的AppleDEP设备对于其他设备,任务将失败.
242版权所有SophosLimitedSophosMobile发送消息输入要在设备上显示的纯文本.
当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosMobileControl应用中显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第46页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.

重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.

不能将取消注册任务和擦除任务添加到同一任务捆绑包.
15.
4可用的macOS任务类型以下任务类型可用于macOS任务捆绑包.
注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配设备策略从可用的macOS设备策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅配置文件和策略(第86页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了设备策略,将被替换.

分配用户策略从可用的macOS用户策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅配置文件和策略(第86页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了用户策略,将被替换.

版权所有SophosLimited243SophosMobile用户策略将在用户下次登录到Mac设备时应用到用户.
安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第247页).
当该任务传递到设备时,将静默地安装应用.
PKG软件包文件可能包含多个应用.
在这种情况下,将安装所有应用.
注释成功任务状态意味着设备已经开始下载应用.
要验证应用是否已安装成功,请同步设备,并检查设备详细信息页面上已安装的应用列表.
取消VPP应用分配从可用的macOSVPP应用的列表中选择应用.
当该任务传递到设备时,已经分配有VPP许可证的设备中将删除该许可证.
用户可以继续使用该应用30天.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第46页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除设置6位系统锁定PIN码.
当该任务传递到Mac设备时,它将重新启动,然后开始擦除磁盘.
用户必须在Mac设备上输入系统锁定PIN码才能将其解锁.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.

提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>解锁密码下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
15.
5可用的Windows任务类型以下任务类型可用于Windows任务捆绑包:244版权所有SophosLimitedSophosMobile注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当该任务传递到已经注册的设备时,将跳过该任务.
分配策略从可用的设备策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅配置文件和策略(第86页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了设备策略,将被替换.

安装应用从可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第247页).
当任务传递到设备时,将静默地安装该应用.
如果该应用已经安装在收到任务的设备上,它将会更新.
卸载应用从可用应用的列表中选择应用.
列表包括您已经在SophosMobile服务器上配置的应用,以及安装在任意托管Windows计算机上的应用(Windows系统应用除外).
当任务传递到设备时,将静默地卸载选定的应用.
注释您只能卸载已经由SophosMobile安装的应用.
如果您试图卸载用户安装的应用,任务将失败.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第46页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.

重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.

版权所有SophosLimited245SophosMobile不能将取消注册任务和擦除任务添加到同一任务捆绑包.
15.
6复制任务捆绑包由于创建任务捆绑包可能很耗时,因此可以复制已经完成的任务捆绑包.
如果需要多个带有相似任务的任务捆绑包,此功能很有用.
只要删除或添加几个任务即可.
注释只能复制不是正在编辑的任务捆绑包.
副本以"副本"加上原捆绑包的名称命名.
可以根据您的需求重命名捆绑包.
1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击Android或iOS.
会出现任务捆绑包页面.
2.
单击要复制的任务捆绑包旁边的蓝色三角形,然后单击复制.
任务捆绑包将复制,并显示在任务捆绑包页面上.
单击复制的任务捆绑包可以对它进行编辑.

15.
7将任务捆绑包传输至个人设备或设备组1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击Android或iOS.
会出现任务捆绑包页面.
2.
单击所需任务旁边的蓝色三角形,然后单击传输.
将显示选择设备页面.
3.
在此页面上,可以:选择要将任务捆绑包传输到的个人设备.
单击选择设备组,打开选择设备组页面,并选择一个或多个用于传输任务捆绑包的设备组.

4.
完成选择后,单击下一步.
将显示设置执行日期页面.
5.
在计划日期下,选择立即或为此任务的执行指定日期和时间.
6.
单击完成.
将显示任务视图页面.
任务捆绑包将在指定的日期和时间传输到所选的设备.
246版权所有SophosLimitedSophosMobile16应用程序您可以对应用进行配置,使其可以在SophosMobileAdmin(管理员启动的)或SophosMobileControl应用(用户启动)中进行安装.
应用管理可用于以下平台:AndroidiOSmacOSWindowsWindowsMobile要在SophosMobile中提供应用,可以执行以下任一操作:将应用包上传至SophosMobile服务器.
此选项对WindowsMobile应用或SophosMobile只管理Sophos容器的设备不可用.
提供该应用在相关应用商店中链接.
有关这两个选项的信息,请参阅添加应用(第247页).
要在设备上安装应用,请创建一个包含安装应用任务的任务捆绑包.
对于Android和iOS设备,可以直接从应用页面创建此类任务捆绑包.
请参阅安装应用(第248页).
注释要安装存储在SophosMobile服务器上的应用包(对比从应用商店安装),必须满足以下条件︰对于Android,必须在设备上启用Android的安全设置未知来源.
如果在未知来源禁用的情况下尝试安装APK文件,SophosMobileControl应用将转到可以启用该设置的页面.
此限制不适用于使用LGGATE、SamsungKnox或SonyEnterpriseAPI的设备.
对于iOS,从IPA文件安装应用只适用于自行开发的应用.
准备好分发应用时,必须为该应用创建一个设置配置文件并使其在设备上可用,可以事先分别安装或包括在应用的IPA文件中.
可以使用SophosMobile将设置配置文件分发给您的iOS设备.
请参阅导入iOS应用的设置配置文件(第89页).
有关设置配置文件的详细信息,请参阅iOS开发库.
16.
1添加应用可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.

1.
在侧边的菜单栏中,单击配置下的应用程序,然后选择要为其添加应用的平台.

2.
单击添加应用,然后选择所需的选项:Android链接:通过在GooglePlay中进行链接,添加Android应用.
Android软件包:通过将APK文件上传到SophosMobile添加Android应用.
iOS链接:通过在AppStore中进行链接,添加iOS应用.
iOS软件包:通过将IPA文件上传到SophosMobile添加iOS企业应用.
macOS软件包:通过将PKG文件上传到SophosMobile添加macOS企业应用.
WindowsMobile链接:通过在Microsoft商店中进行链接,添加WindowsMobile应用.
版权所有SophosLimited247SophosMobileWindowsMSI链接:通过链接到其MSI安装文件,添加Windows应用.
Microsoft商店链接:通过在Microsoft商店中进行链接,添加Windows应用.
3.
对于iOS和macOSVPP应用,单击导入VPP应用加载您通过Apple大量购买方案(VPP)购买的应用的列表.
请参阅管理AppleVPP应用(第258页).
4.
根据要求配置应用设置.
5.
请单击保存,保存应用设置并返回应用页面.
应用可用于安装.
它将显示在应用页面上.
如果已经配置了可用于设备组字段,应用还将显示在SophosMobileControl应用的企业应用商店中,用户可以在这里安装应用.
安装过程可无人参与或需要极少用户互动.
注释在SophosMobile只管理Sophos容器的设备上,您通过上传APK文件(对于Android应用)或IPA文件(对于iOS应用)添加的应用将不可用.
相关参考应用设置(Android)(第250页)应用设置(iOS)(第252页)应用设置(macOS)(第254页)应用设置(WindowsMobile)(第255页)应用设置(Windows)(第256页)16.
2安装应用注释本节内容不适用于Android企业.
要安装Android企业应用,请参阅安装托管的GooglePlay应用(第283页).
注释本节内容不适用于SophosMobile仅管理Sophos容器的设备.
如添加应用(第247页)中所述将应用添加到SophosMobile后,即可在选定的设备或设备组上手动安装该应用.
1.
在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其安装应用的平台.

2.
在应用页面上,单击所需应用旁边的蓝色三角形,然后单击安装.
3.
选择要安装该应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
4.
在设置执行日期页面上,设置安装该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
5.
单击完成.
选定的应用将在指定的日期安装在所选的设备上.
248版权所有SophosLimitedSophosMobile注释在以下设备上,应用会静默安装,即无需与用户交互:受监督的iOS设备Android企业设备具有SamsungKnoxStandardSDK5.
1或更高版本的Android设备具有LGGATE的Android设备具有SonyEnterpriseAPI版本8或更高版本的Android设备MacsWindows计算机(如果您已经为应用配置了/quiet安装选项).
对于上面所列的Samsung、LG和Sony设备,只有APK文件会静默安装,来自GooglePlay的应用不会.
提示您可以在任务视图页面上显示安装任务状态.
提示您还可以使用以下任一选项安装应用:要在单个设备上安装应用:在设备的显示设备页面上,选择已安装的应用选项卡并单击安装应用.
要在多个设备上安装应用:在设备页面上,选择所需设备,然后单击操作>安装应用.
要在一个或多个设备上作为任务捆绑包的一部分安装应用:将安装应用任务添加到任务捆绑包并将其传输到所需的设备或设备组.
16.
3卸载应用注释本节内容不适用于Android企业.
要卸载Android企业应用,请参阅卸载托管的GooglePlay应用(第283页).
注释本节内容不适用于SophosMobile仅管理Sophos容器的设备.
如添加应用(第247页)中所述将应用添加到SophosMobile后,即可从选定的设备或设备组上手动卸载该应用.
1.
在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其卸载应用的平台.

2.
在应用页面上,单击卸载.
3.
选择要卸载应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
版权所有SophosLimited249SophosMobile4.
在选择应用页面上,选择所需的应用.
5.
在设置执行日期页面上,设置卸载该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
6.
单击完成.
选定的应用将在指定的日期从所选设备上卸载.
注释在以下设备上,应用将静默地卸载,即无需用户交互:受监督的iOS设备上的托管应用Windows计算机(如果您已经为应用配置了/quiet安装选项).
提示另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项卡,然后单击应用名称旁边的垃圾桶图标.
16.
4应用设置(Android)一般设置设置/字段说明名称应用的名称.
版本在企业应用商店中显示的版本.
对于应用链接,SophosMobile使用来自GooglePlay的版本.
应用ID已存在.
该应用的内部标识符.
对于应用链接,请单击获取数据获取GooglePlay提供的值.
对于应用包,SophosMobile将从APK文件获取值.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
250版权所有SophosLimitedSophosMobile设置/字段说明描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为GooglePlay中的实际应用描述.
在Knox容器中安装对于SamsungKnox设备,应用将安装在Knox容器内.
此设置仅在配置了SamsungKnox许可证后才可用.
应用链接的设置设置/字段说明链接应用在GooglePlay中的URL.
为确定URL,请单击转到GooglePlay,在新的浏览器选项卡中打开GooglePlay,并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
当您输入URL后,单击获取数据可自动填充应用ID已存在.
字段.
应用包的设置设置/字段说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到APK文件,然后单击打开.
提示或者将文件从文件资源管理器拖动到上传文件区域.
相关任务添加应用(第247页)版权所有SophosLimited251SophosMobile16.
5应用设置(iOS)一般设置设置/字段说明名称应用的名称.
对于AppleVPP应用,此字段为只读.
版本在企业应用商店中显示的版本.
对于应用链接,SophosMobile使用来自AppStore的版本.
对于AppleVPP应用,此字段为只读.
应用ID已存在.
该应用的内部标识符.
SophosMobile从AppStore或IPA文件获取此设置.
对于AppleVPP应用,此字段为只读.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
SophosMobile托管安装应用将作为托管应用进行安装.
请参阅iOS的托管应用(第258页).
此设置仅影响用户从企业应用商店安装的应用.
您通过SophosMobileAdmin安装的应用始终是托管的.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为AppStore中的实际应用描述.
252版权所有SophosLimitedSophosMobile应用链接的设置设置/字段说明在AppStore中搜索单击在AppStore中搜索在AppStore数据库中搜索应用.
当您在搜索结果列表中选择一个应用时,以下字段将自动填充:应用ID已存在.
应用程序类别链接链接该应用在AppStore中的URL.
为确定URL,请单击获取链接,在新的浏览器选项卡中打开iTunesLinkMaker.
在LinkMaker中浏览并找到该应用,然后将直接链接下显示的URL复制到SophosMobileAdmin中的链接字段.
对于AppleVPP应用,此字段为只读.
设置和VPN单击显示配置应用启动时使用的VPN连接,或配置自定义应用设置.
VPP许可证单击显示将应用手动分配给用户或设备.
请参阅手动分配VPP应用(第262页).
应用包的设置设置/字段说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到IPA文件,然后单击打开.
提示或者将文件从文件资源管理器拖动到上传文件区域.
相关任务添加应用(第247页)版权所有SophosLimited253SophosMobile16.
6应用设置(macOS)一般设置设置/字段说明名称应用的名称.
对于应用包,SophosMobile将从PKG文件获取值.
对于AppleVPP应用,此字段为只读.
版本AppStore中的应用版本.
对于应用包,SophosMobile将从PKG文件获取值.
对于AppleVPP应用,此字段为只读.
应用ID已存在.
该应用的内部标识符.
对于应用包,SophosMobile将从PKG文件获取值.
对于AppleVPP应用,此字段为只读.
应用程序类别类别名称,例如Productivity.
该值当前未使用.
描述应用的描述.
该值当前未使用.
VPP应用链接的设置设置/字段说明链接该应用在AppStore中的URL.
对于AppleVPP应用,此字段为只读.
VPP许可证单击显示将应用手动分配给用户或设备.
请参阅手动分配VPP应用(第262页).
254版权所有SophosLimitedSophosMobile应用包的设置设置/字段说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到PKG文件,然后单击打开.
注释PKG软件包文件可能包含多个应用.
在这种情况下,将只显示一个应用的名称、版本和标识符.

16.
7应用设置(WindowsMobile)设置/字段说明名称应用的名称.
版本应用版本.
SophosMobile使用来自Microsoft商店的版本.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为Microsoft商店中的实际应用描述.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
链接该应用在Microsoft应用商店中的URL.
为确定URL,请单击转到Microsoft商店,在新的浏览器选项卡中打开Microsoft商店,找到WindowsPhone应用并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
相关任务添加应用(第247页)版权所有SophosLimited255SophosMobile16.
8应用设置(Windows)一般设置设置/字段说明名称应用的名称.
版本应用版本.
对于应用链接,SophosMobile使用来自MicrosoftStore的版本.
应用程序类别类别名称,例如Productivity.
描述应用的描述.
MSI链接的设置设置/字段说明产品代码GUIDMSI文件的ProductCodeGUID.
注释如果您输入错误的GUID值,应用将不能卸载.
链接MSI文件的URL.
SHA-256文件哈希MSI文件的SHA-256哈希值.
注释如果您输入错误的哈希值,应用将不能安装.
安装选项可执行的msiexec.
exe安装程序的命令行选项.
使用默认选项/quit安装该应用不需要用户进行交互.
有关这些设置的详细信息,请参阅确定WindowsMSI链接的设置(第257页).
256版权所有SophosLimitedSophosMobileMicrosoft商店链接的设置设置/字段说明商店ID应用在Microsoft商店中的商店ID.
当您单击获取数据时,该值将自动输入.
SKUID应用在Microsoft商店目录中的SKUID(库存单位ID).
应用可能因为完整版或试用版,或因为不同的市场区域而有不同的SKUID.
如果您不知道应用的SKUID,请使用默认值0010.
包系列名称应用的包系列名称(PFN).
当您单击获取数据时,该值将自动输入.
链接该应用在Microsoft应用商店中的URL.
为确定URL,请单击转到Microsoft商店,在新的浏览器选项卡中打开Microsoft商店,找到Windows应用并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
当您输入URL后,单击获取数据可自动填充以下字段:产品ID包系列名称相关任务添加应用(第247页)16.
9确定WindowsMSI链接的设置本节介绍如何确定WindowsMSI链接的应用设置.
产品代码GUID—如果您已经安装了MicrosoftWindowsSDK,请使用包括的Orca程序获取MSI文件的ProductCode值.
要查看示例,请参阅网页使用Orca查找MSI文件GUID产品代码.
或使用PowerShell脚本.
此类脚本可以在Internet上找到,例如在网页如何通过PowerShell获取MSI文件信息上.
注释您输入产品代码GUID字段的值不得包含括号.
版权所有SophosLimited257SophosMobileSHA-256文件哈希—使用Get-FileHashPowerShell命令获取MSI文件的SHA-256哈希值:PS>Get-FileHash有关Get-FileHash命令的详细信息,请参阅Microsoft网页Get-FileHash.
安装选项—有关安装MSI文件可用的命令行选项的信息,请参阅Microsoft网页标准安装程序命令行选项.
相关参考应用设置(Windows)(第256页)16.
10iOS的托管应用对于您添加到SophosMobile的iOS应用,您可以选择将该应用以托管或非托管方式安装在用户的设备上.
托管应用具有以下特点:当用户在企业应用商店中选择托管应用时,安装任务将在SophosMobile中创建和处理.
相反,当用户选择非托管应用时,他们将跳转到AppleAppStore并在这里安装该应用.
您可以在SophosMobileAdmin中卸载托管应用.
不能对非托管应用执行此操作.
在受监管的iOS设备上,托管应用的安装和卸载都是静默执行的,无需用户干预.
iOS设备配置文件中的某些设置仅适用于托管应用.
iOS设备从SophosMobile取消注册时,所有托管应用将从设备上自动卸载.
非托管应用将保留在设备上.
以下规则确定应用是以托管还是非托管方式安装的:您通过SophosMobileAdmin安装的应用始终是托管的.
用户通过AppStore安装的应用始终是非托管的.
如添加应用(第247页)中所述,如果您在应用属性中激活了SMC托管安装,用户通过企业应用商店安装的应用将是托管的.
要检查设备上的应用状态,请打开该设备的显示设备页面,并转到安装的应用选项卡.
请参阅"显示设备"页面(第48页).
提示如果用户安装了非托管应用,您可以将其转换为托管应用.
为此,在SophosMobile中将该应用配置为托管应用,然后为它创建安装任务.
因为该应用已安装,它不会再次安装,但其状态会从非托管更改为托管.
16.
11管理AppleVPP应用您可以使用Apple大量购买方案(VPP)购买iOS和macOS应用许可证.
然后您可以在您的组织中分发这些许可证.
订单完成后,您可以下载服务令牌(sToken).
其中包含所购买应用的许可证.
258版权所有SophosLimitedSophosMobile将VPP应用分配给用户或设备对于iOS,您可以选择将VPP应用分配给用户或设备.
对于macOS,您将VPP应用分配给设备:当您将iOSVPP应用分配给用户后,他们将可以把它安装到所有注册到SophosMobile并连接到其AppleID的iPhone和iPad上.
当您将iOSVPP应用分配给设备后,不需要将其与AppleID关联.
当您将macOSVPP应用分配给Mac设备后,所有登录该Mac设备的用户都可以使用它.
请参阅手动分配VPP应用(第262页)和自动分配VPP应用(第262页).
邀请用户加入AppleVPP您必须先邀请用户加入VPP,然后才能向他们分配VPP应用.
请参阅邀请用户加入AppleVPP(第260页).
不需要邀请设备加入VPP.
安装VPP应用您在SophosMobileAdmin中安装VPP应用,和安装其他应用一样.
请参阅安装应用(第248页).
用户可以从AppStore应用中的已购买应用列表中安装iOSVPP应用.
macOSVPP应用则不行.
取消VPP应用分配您可以通过以下方式取消VPP应用的分配:在应用的详细信息页面上取消选择所需的用户或设备.
iOS应用:在用户的详细信息页面上取消选择该应用.
macOS应用:将带有取消VPP应用分配任务的任务捆绑包传输到设备.
VPP许可证在以下情况下将自动释放:应用从设备上卸载.
设备从SophosMobile取消注册.
提示您取消VPP应用的分配后,用户可以继续使用30天.
16.
11.
1设置AppleVPP要设置AppleVPP,请将您的AppleVPP帐户的sToken(服务令牌)上传到SophosMobile,并配置应用分配设置.
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击AppleVPP选项卡.
2.
单击AppleiTunesVPP门户链接.
将在新的浏览器窗口中打开AppleVPPWeb门户.
版权所有SophosLimited259SophosMobile3.
在该页面上,选择业务.
4.
在企业商店登录对话框中,输入您的AppleID和密码.
5.
转到帐户摘要页面,并单击下载令牌.
将使用您的Web浏览器下载设置生成sToken,并以.
vpptoken为扩展名在您的本地计算机上保存为文本文件.
6.
可选:将sToken文件移动到一个您可以通过SophosMobileAdmin访问的位置.
7.
回到SophosMobileAdmin的AppleVPP选项卡,单击上传文件,选择sToken文件,然后单击打开.
SophosMobile将读入该文件,并用sToken的详细信息填充组织和到期日期字段.
8.
在在安装时自动分配VPP应用中,配置VPP应用的自动分配.
请参阅自动分配VPP应用(第262页).
9.
可选:选中自动更新分配给设备的iOSVPP应用,在VPP应用有更新时通知用户.
这适用于分配给iPhone或iPad的VPP应用.
对于分配给用户的VPP应用,用户必须在AppStore中检查是否有更新.
10.
可选:填写AppleVPP选项卡的其余字段.
在国家字段中,输入您的两字母国家代码,例如US代表美国.
11.
单击保存.
16.
11.
2邀请用户加入AppleVPP您需要先设置sToken,然后才能邀请用户加入Apple批量购买计划(VPP).
请参阅设置AppleVPP(第259页).
1.
在侧边的菜单栏中,单击管理下的人员.
2.
在人员页面上,可以邀请所有用户或单个用户加入AppleVPP:要邀请所有用户︰a)单击人员页面顶部的邀请用户加入AppleVPP.
b)在确认对话框中单击是.
要邀请单个用户︰a)单击所需的用户.
b)在下一页面上,单击邀请用户加入VPP.
c)在确认对话框中单击是.
要在使用外部用户管理且用户尚未注册设备时邀请单个用户︰a)单击人员页面顶部的搜索并要求一个用户加入AppleVPP.
b)在搜索用户对话框中,按用户名或电子邮件地址搜索用户.
c)在搜索结果列表中,选择要邀请加入AppleVPP的用户.
d)单击应用.
SophosMobile将向所有相关用户发送邀请电子邮件.
用户必须通过邀请电子邮件中的链接,连接其AppleiTunes帐户和AppleVPP.
此后,他们就可以安装和使用贵公司授权的应用.
260版权所有SophosLimitedSophosMobile注释使用外部用户管理并邀请所有用户加入AppleVPP时,没有分配电子邮件地址的用户将进行AppleVPP注册,但不会收到用于连接其AppleiTunes帐户和AppleVPP的链接.
有关如何在这种情况下完成VPP注册过程的信息,请参阅邀请没有电子邮件地址的用户加入AppleVPP(第261页).
16.
11.
3邀请没有电子邮件地址的用户加入AppleVPP此过程需要超级管理员帐户,因此不适用于SophosMobile即服务.
如邀请用户加入AppleVPP(第260页)中所述,邀请来自外部用户目录的用户加入AppleVPP时,没有分配电子邮件地址的用户将进行AppleVPP注册,但不会收到用于连接其AppleiTunes帐户和AppleVPP的链接.
如果发生这种情况,请执行以下步骤以完成AppleVPP注册过程.
1.
以SophosMobile超级管理员身份下载服务器日志文件.
请参阅SophosMobile超级管理员指南.
2.
通过日志文件确定受影响的用户帐户.
3.
在SophosMobileAdmin的侧边菜单栏中,单击管理下的人员.
4.
单击其中一个受影响的用户.
5.
在下一页面上,单击显示邀请链接.
对于没有电子邮件地址的外部用户,此功能不会发送邀请电子邮件,而是在消息框中显示邀请链接.
6.
从消息框中复制该链接,并将其发给用户.
7.
对所有受影响的用户重复此操作.
用户需要通过该链接,连接其AppleiTunes帐户和AppleVPP.
16.
11.
4管理AppleVPP用户如果您设置了AppleVPP,显示用户页面将包括Apple大量购买方案(VPP)部分.
您可以查看或编辑每个用户的AppleVPP状态.
查看AppleVPP用户状态.
—已注册:用户已受邀加入AppleVPP,但还未将其AppleiTunes帐户连接到AppleVPP.
—已关联:用户已将其AppleiTunes帐户连接到AppleVPP,并且可以安装VPP应用.
查看用户已经安装的AppleVPP应用.
邀请用户加入该方案.
将向用户发送带有邀请链接的电子邮件.
如果用户帐户不包含电子邮件地址,邀请链接将显示在消息框中.
如果需要,重新发送邀请电子邮件.
从AppleVPP取消用户注册.
版权所有SophosLimited261SophosMobile16.
11.
5手动分配VPP应用您可以将VPP应用分配给单个用户或设备.
提示您可以在应用安装后自动分配应用.
请参阅自动分配VPP应用(第262页).
1.
在侧边的菜单栏中,单击配置下的应用程序>iOS或应用程序>macOS.
2.
单击导入VPP应用.
将根据需要从AppleVPP服务器检索应用信息,并在SophosMobile中创建应用条目.
3.
单击要分配给用户或设备的VPP应用.
提示VPP应用在VPP列中以复选标记图标标记.
4.
单击VPP许可证旁边的显示.
5.
选择您要向其分配应用的用户或设备.
您可以从所有注册或关联到AppleVPP的用户中进行选择,也可以从所有状态为托管的设备中进行选择.
您只能将macOS应用分配给设备.
6.
或者通过选择设备组将应用分配给设备:a)单击可用于设备组旁边的显示.
b)选择设备组.
7.
默认情况下,iOSVPP应用是作为托管应用安装在用户设备上的.
要将应用安装为未托管,请清除SophosMobile托管安装复选框.
8.
单击保存.
这还将与AppleVPP服务器同步应用分配.
注释因为VPP应用的状态是由AppleVPP服务器管理的,您在SophosMobile中所做的修改可能需要一些时间才会显示在设备上.
16.
11.
6自动分配VPP应用您可以在安装VPP应用时自动对它们进行分配.
对于iOSVPP应用,您可以决定是将它们分配给设备,还是分配给已经分配到设备的用户.

1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击AppleVPP选项卡.
2.
在在安装时自动分配VPP应用中,选择下列其中一个选项:设备分配优先:iOSVPP应用分配给设备.
如果设备不支持VPP分配,则将应用分配给设备用户.
用户分配优先:iOSVPP应用分配给设备用户.
如果没有设备用户,则分配给设备.
禁用:您必须手动分配VPP应用.
262版权所有SophosLimitedSophosMobile注释您不能将macOSVPP应用分配给用户.
设备分配优先和用户分配优先都将开启自动分配.
16.
11.
7同步VPP许可证信息由于性能原因,SophosMobile会保留一份VPP许可证信息的本地副本.
您可以触发SophosMobile,将其VPP数据与AppleVPP服务器同步.
注释如果一个应用显示的许可证信息不正确,您只需要同步VPP数据.
1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击AppleVPP选项卡.
2.
单击清除VPP缓存.
SophosMobile将放弃该客户的本地VPP信息,并与AppleVPP服务器同步数据.
注释有关如何显示VPP应用许可证信息的信息,请参阅手动分配VPP应用(第262页).
16.
12将VPN连接分配给iOS应用将VPN连接分配给iOS应用后,应用将使用该连接进行所有网络通信.
前提条件:您已经使用每个应用VPN配置创建一个或多个iOS设备配置文件.
请参阅每个应用VPN配置(iOS设备配置文件)(第164页).
要将VPN连接分配给应用:1.
在侧边的菜单栏中,单击配置下的应用程序>iOS.
2.
在应用程序页面上,单击所需的应用.
3.
单击设置和VPN旁边的显示.
4.
在该应用使用的VPN连接中,选择VPN连接.
列表包含所有iOS设备配置文件的每个应用VPN配置.
5.
在编辑设置和VPN页面上,单击应用.
6.
单击保存.
16.
13将托管应用配置添加到iOS应用托管应用配置是iOS应用的一项功能,它让您可以远程配置应用,而不需要对安装该应用的设备进行物理访问.
要求:应用开发人员已经应用了托管应用配置.
应用已经作为托管应用进行安装.
请参阅iOS的托管应用(第258页).
要添加托管应用配置:版权所有SophosLimited263SophosMobile1.
在侧边的菜单栏中,单击配置下的应用程序>iOS.
2.
在应用程序页面上,单击所需的应用.
3.
单击设置和VPN旁边的显示.
4.
在托管的配置下,单击添加参数.
5.
输入所需的信息.
6.
在编辑设置和VPN页面上,单击应用.
7.
单击保存.
264版权所有SophosLimitedSophosMobile17应用组可以在SophosMobile中创建应用组,为配置文件、策略和合规性策略定义应用列表.
应用组可用于以下设置:Android设备配置文件的应用保护配置中.
Android设备配置文件的应用控制配置中.
Android设备配置文件、iOS设备配置文件和Knox容器配置文件的限制配置中.
WindowsMobile策略的应用限制配置中.
用于指定允许、禁止和强制要求的应用列表的合规性策略中.
17.
1创建应用组1.
在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台.

2.
单击创建应用组.
3.
在编辑应用组页面上,为新应用组输入名称,然后单击添加应用.
4.
选择要添加到组中的应用:要从托管设备上当前安装的所有应用列表中选择应用,请单击应用列表并选择应用.

要手动添加应用,请单击自定义并配置应用详细信息.
Android应用的设置:应用名称用于识别应用的唯一名称.
标识符应用的程序包名称.
您可以通过应用在GooglePlay中的URL获取程序包名称.
例如,SophosMobileControl应用的URL是play.
google.
com/store/apps/detailsid=com.
sophos.
mobilecontrol.
client.
android,程序包名称是com.
sophos.
mobilecontrol.
client.
android.
对于来自托管的GooglePlay的应用(针对Android企业设备的应用),请在程序包名称前加app:.
链接应用在GooglePlay中的URL.
iOS和macOS应用的设置:应用名称用于识别应用的唯一名称.
标识符应用的捆绑ID.
链接该应用在AppStore中的URL.
WindowsMobile应用的设置:版权所有SophosLimited265SophosMobile应用名称用于识别应用的唯一名称.
标识符应用的GUID.
如果您不知道GUID,请填写链接字段.
链接该应用在Microsoft应用商店中的URL.
例如,SophosMobileControl应用的URL是https://www.
microsoft.
com/en-us/store/p/mobile-control-2017/9nblggh51qsj.
Windows应用的设置:应用名称用于识别应用的唯一名称.
标识符Windows报告的应用ID.
对于MSI应用,它是MSI文件的ProductCodeGUID.
对于Microsoft商店应用,它是应用的包系列名称(PFN).
链接该应用在Microsoft应用商店中的URL.
5.
单击添加.
6.
可选:重复前面的步骤以添加更多的应用.
7.
单击保存保存应用组.
17.
2导入应用组您可以通过从CSV文件导入应用列表来创建应用组.
您可以导入最多10,000个应用.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入应用页面上,单击CSV示例下载示例文件.
要从CSV文件导入应用,并将它们添加到应用组:1.
在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台.

2.
在应用组页面上,单击创建应用组.
3.
在编辑应用组页面上,为新应用组输入名称,然后单击导入应用.
4.
在导入应用页面上,单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
266版权所有SophosLimitedSophosMobile5.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
6.
单击完成将应用添加到应用组.
7.
在编辑应用组页面上,单击保存.
版权所有SophosLimited267SophosMobile18企业文档注释此功能需要MobileAdvanced类型的许可证.
在SophosMobile中,您可以将要分发的文件上传到您用户的设备中.
在SophosMobile中管理的文档将自动添加到SophosSecureWorkspace的公司文档存储提供程序中.
您可以从公司文档存储提供程序为每个文档分配一个类别.
公司文档存储提供程序中的文档为只读.
如果SophosSecureWorkspace没有通过SophosMobile进行管理,公司文档存储提供程序将不可用.
要分发公司文档:1.
在设备上安装SophosSecureWorkspace应用.
请参阅应用程序(第247页).
2.
使用公司文档配置分配Sophos容器策略.
3.
上传文档至SophosMobile.
18.
1添加公司文档注释此功能需要MobileAdvanced类型的许可证.
要向设备分发文档:1.
在侧边的菜单栏中,单击配置下的文档.
将显示文档页面.
2.
单击添加文档.
将显示编辑文档页面.
3.
在类别字段中,输入文档在设备上的公司文档存储提供程序中显示的类别.

如果您将此字段保留为空,文件将显示在公司文档存储提供程序的根文件夹中.

4.
定义文档的设置:选择复制到剪贴板,让用户可以将文档复制到剪贴板.
选择共享文档,让用户可以共享文档.
选择离线使用文档,允许用户将文档添加到收藏夹列表.
当公司文档中未加密的文档被添加到收藏夹列表中时,本地副本被加密存储.
如果允许共享文档,文件将在转发到其他应用前自动解密.
如果清除离线使用文档复选框,则在下次同步期间将自动删除本地副本.
5.
单击分配的组旁边的显示,并选中应有权访问该文档的组.
6.
为文档添加描述.
7.
单击上传文件,浏览并找到该文档.
将其选中,并单击打开.
8.
对要分发的每个文档,重复此步骤.
268版权所有SophosLimitedSophosMobile文档将添加到文档列表中.
它将分发给用户,用户可以在SophosSecureWorkspace应用中查看.
版权所有SophosLimited269SophosMobile19Android企业Android的功能包括简化将设备集成到您的公司环境中,并帮助您的用户分离其设备上的个人数据和公司数据.
这被称为Android企业(以前称为AndroidforWork).
注释SophosMobile支持在Android6或更高版本的设备上使用Android企业.
SophosMobile支持设备所有者和配置文件所有者两种Android企业注册模式.
设备所有者如果设备是在设备所有者模式下注册的,设备所有权将分配给SophosMobile.
SophosMobile可以监控和管理整台设备上的设置、应用和数据.
设备所有者模式与标准注册不同,具体如下:用户能体验到注册简单.
用户无需在设备上设置个人Google帐户.
用户只能从托管的GooglePlay安装应用,并且您可以配置应用商店的布局.
默认情况下,只会启用最少量的应用:GooglePlayStore、Contacts、Messages、Phone.
您可以安装、卸载或更新应用,无需用户交互.
您可以配置应用权限,以免在运行时提示用户授予权限.
对于支持它的应用,您可以配置自定义应用设置.
您可以重置锁屏密码.
对于标准注册,不能对Android7.
0或之后版本执行此操作.
您可以配置展台模式,将应用使用情况限制为一组应用,而不仅仅是一个应用.

您只能注册尚未设置的设备或已经重置为出厂设置的设备.
没有专用的取消注册操作.
要取消设备注册,请将其擦除.
配置文件所有者如果在配置文件所有者模式下注册设备,将在设备上创建工作配置文件.
SophosMobile只能监控和管理工作配置文件中的设置、应用和数据.
配置文件所有者模式适合BYOD(自带设备办公)方案.
相关信息Android企业帮助(外部链接)19.
1设置Android企业-概述要为您的组织设置Android企业,您可以选择以下两种不同方案中的一种:270版权所有SophosLimitedSophosMobile托管的GooglePlay帐户方案这是为您的组织设置Android企业最容易的方法.
SophosMobile引导您完成为组织设置Android企业帐户的过程.
如果需要,您可以为组织创建多个Android企业帐户.
SophosMobile管理整个用户账户生命周期.
设备可以在自助服务门户或SophosMobileAdmin中注册.
请参阅设置Android企业(托管GooglePlay帐户方案)(第271页).
托管的Google域方案如果您已经有托管的Google域,或者您想在SophosMobile以外管理您的Android企业用户账户,可以使用此方法.
您使用Google注册托管Google域并证明域的所有权.
您将SophosMobile作为第三方EMM(企业移动性管理)软件绑定到托管的Google域.
SophosMobile根据需要创建用户账户.
除此之外,SophosMobile不管理账户生命周期.
设备只能在自助服务门户中注册,不能在SophosMobileAdmin中注册.
请参阅设置Android企业(托管Google域方案)(第272页).
注释设置Android企业后,不能修改用户管理模式.
例如,您不能从内部用户管理切换为外部LDAP目录.
提示设置Android企业后,可以在安装>Android设置>Android企业>Android企业模式下检查活动的场景.
19.
2设置Android企业(托管GooglePlay帐户方案)对于托管GooglePlay账户方案,要为您的组织设置Android企业,SophosMobile指导您完成该步骤.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android企业选项卡.
2.
3.
单击配置.
4.
选择"托管的GooglePlay帐户"方案然后单击下一个.
5.
选择注册帐户.
这会将您重定向至您将组织注册到Android企业的Google网站.
6.
使用您的Google账户登录Google网站.
版权所有SophosLimited271SophosMobile注释为此,我们建议您创建一个新的Google帐户.
7.
在Google网站上,按照步骤注册您的组织.
提示指定您的组织名称时,请包括术语SMC和您的SophosMobile客户名称,例如我的组织名称(SMC/我的客户名称).
帐户属性不提及有关连接到SophosMobile的帐户的任何信息.
完成注册步骤后,Google网站会将您重定向回SophosMobile.
8.
在SophosMobile中,单击完成设置即可完成注册过程.
这样就完成了为您的组织设置Android企业的过程.
注释在您设置Android企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部LDAP目录.
19.
3设置Android企业(托管Google域方案)对于托管Google域方案,要为您的组织设置Android企业,您可以:1.
使用Google注册托管Google域.
2.
创建企业服务帐户并配置与Google服务进行通信所需的API.
3.
将SophosMobile作为第三方EMM(企业移动性管理)软件绑定到托管的Google域.
注释在您设置Android企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部LDAP目录.
19.
3.
1通过Google注册域在为组织设置Android企业过程的第一阶段,您可以通过Google注册域(托管的Google域)、创建域管理员(托管的Google帐户)和验证您的域所有权.
注释如果您已经有托管的Google域,比如因为注册了GSuite(之前的Google应用),则可跳过本节.
1.
单击以下链接https://www.
google.
com/a/signup/enterprise_product=ANDROID_WORK&hl=zh-cn注册托管Google域.
.
2.
用所需的信息填充Web表单.
在关于您的企业下,在企业域地址字段中输入将用作托管Google域的域.
例如,您可以使用您的SophosMobile服务器的域.
272版权所有SophosLimitedSophosMobile注释如果您要在SophosMobile中为多个客户配置Android企业,每个客户都需要一个单独的域.
在您的Google管理帐户下,输入新的域管理员的凭据.
注释记录该凭据,因为在后面的设置过程中您将需要用到它.
3.
单击按钮创建域管理员帐户.
这会打开Google管理控制台.
4.
在Google管理控制台中,启动验证您的域所有权的程序.
按Google提供的说明,验证您的域.
验证您的域所有权后,您将会收到一个用于通过您的第三方EMM提供程序(即SophosMobile)连接您的托管Google域的令牌.
接下来,您必须创建Google服务帐户,并配置相关的GoogleAPI.
请参阅配置Google服务帐户(第273页).
19.
3.
2配置Google服务帐户在为您的组织设置Android企业过程的第二阶段,您可以创建并配置Google服务帐户.
前提条件:您有托管Google域的域管理员帐户.
Google服务帐户是一种针对应用程序的特殊类型的Google帐户.
此帐户由SophosMobile用于与GoogleAPI通信.
创建项目:1.
单击以下链接https://console.
developers.
google.
com/apis/library打开GoogleAPI控制台.
使用您的域管理员帐户凭据登录.
2.
在GoogleAPI控制台的标题栏中,单击项目创建项目.
如果已经有项目,标题栏将显示项目名称,而不是单词项目.
3.
在新建项目对话框中,输入项目名称,如Androidenterprise,然后单击创建.
启用所需的API:4.
在侧边的菜单栏中,单击库,然后在搜索字段中输入字符串adminsdk.
5.
在搜索结果列表中,单击AdminSDK.
6.
在AdminSDK页面的顶部,单击启用.
7.
对GooglePlayEMMAPI重复前面三个步骤:a)在侧边的菜单栏中,单击库,然后在搜索字段中输入字符串emm.
b)在搜索结果列表中,单击GooglePlayEMMAPI.
c)在GooglePlayEMMAPI页面的顶部,单击启用.
创建服务帐户:8.
在GooglePlayEMMAPI页面上,单击创建认证资料.
9.
在将凭据添加到您的项目页面的第一步中,单击服务帐户链接.
10.
在服务帐户页面上,单击创建服务帐户.
11.
在创建服务帐户对话框中,输入以下设置:版权所有SophosLimited273SophosMobilea)在名称中,输入可用于识别服务帐户的名称,如Android企业.
b)选择提供新的私人密钥,然后选择JSON.
c)选择启用G套装域范围委派.
d)在同意屏幕的产品名称中,输入(例如)Android企业.
当您单击创建时,将生成您的服务帐户私钥,并以JSON文件的形式保存到您的计算机上.
注释请将JSON文件存储在安全的位置.
您需要它以将SophosMobile绑定到您的托管Google域.
配置API访问权限:12.
单击以下链接https://admin.
google.
com打开Google管理控制台,并用您的域管理员帐户凭据登录.
13.
单击安全,然后单击高级设置.
提示您可能需要单击显示更多,以显示高级设置.
14.
单击管理API客户端访问权限.
15.
在文本编辑器中打开JSON文件,并将client_id值复制到客户端名称字段.
例如,如果您的JSON文件包含一行"client_id":"123456789",则在客户端名称字段中输入123456789.
16.
在一个或多个API范围字段中,输入下面两个URL,用逗号分隔:https://www.
googleapis.
com/auth/admin.
directory.
user,https://www.
googleapis.
com/auth/androidenterprise17.
单击授权.
您现在可以将SophosMobile绑定到您的托管Google域.
请参阅将SophosMobile绑定到您的域.
(第274页).
19.
3.
3将SophosMobile绑定到您的域.
在为您的组织设置Android企业过程的第三阶段,您可以将SophosMobile绑定到您的托管Google域.
前提条件:您有托管Google域的域管理员帐户.
您已经验证了您的域所有权.
您已经启用了相关GoogleAPI.
您已经创建了Google服务账户.
1.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android企业选项卡.
2.
单击配置.
274版权所有SophosLimitedSophosMobile3.
选择"托管的Google域"方案然后单击下一个.
4.
在打开的对话框中,配置以下设置:选项说明企业域已通过Google验证的您的托管Google域.
域管理员您的域管理员帐户的名称.
这是您通过Google注册您的域时创建的管理员.
EMM令牌您验证域所有权后,从Google收到的令牌.
当您使用您的域管理员凭据登录Google管理控制台(https://admin.
google.
com)并浏览到安全>管理Android的EMM提供程序时,可以查看该令牌.
5.
单击上传文件,然后浏览并找到您创建服务帐户时从Google下载的JSON文件.
您选择的JSON文件必须拥有扩展名.
json.
6.
单击绑定.
SophosMobile将联系GoogleWeb服务,并将其本身作为EMM提供程序绑定到您的托管Google域.
在为您的组织设置Android企业过程的最后阶段,您必须配置GoogleEMM设置.
请参阅配置EMM设置(第275页).
19.
3.
4配置EMM设置在为您的组织设置Android企业过程的最后阶段,您要配置GoogleEMM设置.
前提条件:您已将SophosMobile绑定到托管Google域.
1.
单击以下链接https://admin.
google.
com打开Google管理控制台,并用您的域管理员帐户凭据登录.
2.
单击安全,然后单击管理Android设备的EMM提供商.
提示您可能需要单击显示更多,才能显示管理Android设备的EMM提供商.
3.
在基本设置下,选中强制在Android设备上执行EMM政策.
这样就完成了为您的组织设置Android企业的过程.
注释在您设置Android企业后,将不能修改用户管理模式,例如,从内部用户管理修改为外部LDAP目录.
19.
4配置Android企业设备注册前提条件:您已经为客户配置了Android企业.
完成以下步骤,对Android企业设备注册进行配置.
1.
对您想要支持的每个Android企业注册模式创建策略.
版权所有SophosLimited275SophosMobile对于设备所有者模式,创建一个Android企业设备策略类型的策略.
对于配置文件所有者模式,创建一个Android企业工作配置文件策略类型的策略.
要了解有关如何创建策略的一般性说明,请参阅创建配置文件或策略(第87页).
2.
对您想要支持的每个Android企业注册模式创建任务捆绑包.
对于之前您已经创建的策略,该任务捆绑包至少必须包含注册任务和安装配置文件或分配策略任务.
要了解有关如何创建任务捆绑包的一般性说明,请参阅创建任务捆绑包(第237页).
3.
在自助服务门户组设置中,选择您创建作为初始包的任务捆绑包.
对于公司设备和个人设备,您可以配置不同的包.
例如,对公司设备使用设备所有者注册,对个人设备使用配置文件所有者注册.
要了解有关如何配置自助服务门户组设置的一般性说明,请参阅配置自助服务门户设置(第26页).
您配置设备注册后,自助服务门户用户即可将其Android设备注册到SophosMobile.
基于您的配置,注册模式(设备所有者或配置文件所有者模式)将由设备类型(公司或个人设备)确定.
如果您已经针对托管的GooglePlay帐户方案设置了Android企业,也可以使用添加设备向导注册设备.
请参阅注册Android企业设备(第43页).
重要提示对于托管的GooglePlay帐户方案,用户只能同时注册10台设备.
此限制是由Google设置的,以后可能会修改.
注释如果您按本节所述对公司和/或个人设备进行Android企业注册配置,该设备类型的Android设备将不能在自助服务门户中使用标准注册.
19.
5管理Android企业用户(托管Google网域方案)注释如果您已使用托管Google网域方案设置Android企业,本主题将介绍Google用户帐户的管理.
对于托管GooglePlay帐户方案,SophosMobile透明地管理您的用户的Google帐户.
要注册Android企业设备,用户必须拥有托管的Google帐户.
该帐户将连接到您注册到Google的域.
帐户名称的构成和电子邮件地址一样,如user@your_managed_Google_domain.
当用户在自助服务门户中注册设备时,SophosMobile检查该用户的托管Google帐户是否已经存在于Google服务器上.
为此,SophosMobile中用户电子邮件地址的左边部分将和您的托管Google域组合在一起.
如果没有该名称的帐户,SophosMobile将创建该帐户.
示例:如果SophosMobile中的用户电子邮件地址为user@your_company.
com,您的托管Google域为your_managed_Google_domain,SophosMobile将检查Google服务器上是否有帐户user@your_managed_Google_domain.
除了在注册期间为用户创建托管Google帐户之外,SophosMobile不管理帐户生命周期.
如果您在SophosMobile中删除用户帐户,用户的托管Google账户将保留.
276版权所有SophosLimitedSophosMobile您可以通过Google管理控制台管理您的托管Google域账户.
如果需要,您可以使用GoogleAppsDirectorySync(GADS)从LDAP目录创建帐户.
相关信息Google管理控制台(外部链接)关于GoogleAppsDirectorySync(外部链接)19.
6创建工作配置文件当用户在自助服务门户中以Android企业配置文件所有者模式注册其设备时,将创建工作配置文件.
您可以在SophosMobileAdmin中删除工作配置文件,例如,在丢失或被盗时,从设备中删除公司数据.
19.
7锁定工作配置文件您可以在SophosMobileAdmin中锁定或解锁工作配置文件.
工作配置文件锁定后,工作配置文件中的所有应用都将不可用,且不显示这些应用的任何通知.
注释本节内容不适用于设备所有者模式的Android企业设备.
请参阅Android企业(第270页).
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要为其锁定或解锁工作配置文件的设备旁边的蓝色三角形,然后单击显示.

3.
单击操作设置容器访问权限.
4.
选择访问权限.
拒绝:将锁定工作配置文件.
用户不能再访问工作配置文件中的应用或数据.

允许:将解锁工作配置文件.
自动模式:如果设备违反包含有锁定容器操作的合规性规则,将锁定工作配置文件.
如果您没有设置访问权限,这将是默认行为.
5.
单击是.
设备与SophosMobile服务器同步.
完成后,该设置将应用到设备.
提示要锁定整个设备,而不是仅锁定工作配置文件,请使用操作>锁定.
提示用户可以在其设备上的快速设置面板中锁定工作配置文件,例如在他们休假时.

版权所有SophosLimited277SophosMobile19.
8从设备删除工作配置文件注释本节内容不适用于设备所有者模式的Android企业设备.
请参阅Android企业(第270页).
您可以删除SophosMobileAdmin中的工作配置文件,以便在丢失或被盗时从设备删除公司数据.
如果您从设备删除工作配置文件,工作配置文件中安装的所有应用(包括SophosMobileControl应用)也将会删除.
在SophosMobileAdmin控制台中,设备的状态将显示为未注册.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要从其中删除工作配置文件的设备旁边的蓝色三角形,然后单击显示.

3.
单击操作>擦除Android工作配置文件.
将创建删除工作配置文件的任务,并将其传递到设备.
注释如果用户已经手动删除了工作配置文件,任务将失败,因为设备不能再接收它.

要重新创建工作配置文件,用户必须在自助服务门户中重复进行注册.
19.
9用户启动的工作配置文件删除用户可能会有意或无意地从他们的设备上删除工作配置文件.
SophosMobile无法检测这种删除.
它会继续将设备管理状态显示为Android企业(配置文件所有者).
用户删除工作配置文件后,设备将不能与SophosMobile服务器同步.
提示您可以使用最近7天未同步的设备报告来确定可能受到影响的设备.
如果工作配置文件被意外删除,可以重新注册,如下所述:1.
您从SophosMobile中删除设备.
2.
用户在自助服务门户中重复进行设备注册.
19.
10Android恢复出厂设置保护注释本节内容适用于以Android企业设备所有者模式注册到SophosMobile的设备.
Android设备包括恢复出厂设置保护(FRP)安全功能.
在设备上设置Google帐户时,如果要在设备恢复出厂设置后解锁设备,必须提供帐户凭据.
默认情况下,以Android企业设备所有者模式注册到SophosMobile的设备不受FRP保护,因为设备上没有设置Google帐户.
要对这些设备使用FRP,请为所有设备配置一个或多个要分配的Google帐户.
在开启FRP的情况下重置设备时,只能通过这些帐户中的其中一个进行解锁.
请参阅配置Android恢复出厂设置保护(第279页).
278版权所有SophosLimitedSophosMobile配置FRP后,设备将受到如下保护:本地重置:当设备在设置应用中或通过使用设备硬件按钮重置后,默认情况下FRP将开启.
要修改单个设备的此设置,请使用设置恢复出厂设置保护设备操作.
请参阅开启或关闭Android恢复出厂设置保护(第55页).
远程设置:在SophosMobileAdmin中远程重置设备后,默认情况下FRP将关闭.
要在FRP开启的情况下执行远程重置,请在擦除确认对话框中选择开启恢复出厂设置保护.
请参阅擦除设备(第55页).
19.
10.
1配置Android恢复出厂设置保护注释本节内容适用于以Android企业设备所有者模式注册到SophosMobile的设备.
恢复出厂设置保护(FRP)是Android的一项安全功能,它可以确保设备只能在Google帐户凭据已知时恢复出厂设置.
对于以Android企业设备所有者模式注册到SophosMobile的设备,您可以配置Google帐户,以解锁任何开启FRP且已重置的设备.
准备您的Google帐户:1.
创建一个或多个要用于FRP的Google帐户,或使用现有帐户.
重要提示确保将您的帐户凭据共享给您的组织.
解锁开启FRP且已恢复出厂设置的设备时需要这些信息.
2.
获取您的Google帐户的Google+ID.
每个Google帐户都分配有一个Google+ID,无论该帐户是否注册Google+服务.
要获取Google+ID:a)在您的Web浏览器中输入以下地址,打开Google登录页面:https://accounts.
google.
com/Loginb)使用您要用于FRP的Google帐户登录.
如果您已经用其他帐户登录到Google,请先退出.
c)在您的Web浏览器中输入以下地址:https://plus.
google.
com/me如果帐户已注册Google+,将转到Google+页面.
如果帐户未注册Google+,将显示错误信息页面.
两种情况下,帐户的Google+ID都将显示在浏览器的地址字段中,例如https://plus.
google.
com/123456789012345678901.
d)记录这个21位的数字.
它就是Google+ID.
在SophosMobileAdmin中配置您的Google帐户:3.
在侧边的菜单栏中,单击设置下,单击安装>Android设置然后单击Android企业选项卡.
4.
在恢复出厂设置保护下,单击使用FRP.
5.
在Google+ID中,输入要用于FRP的Google帐户的Google+ID.
6.
单击保存.
以Android企业设备所有者模式注册的所有设备都将开启FRP.
这发生在下一次设备与SophosMobile服务器同步时.
版权所有SophosLimited279SophosMobile重要提示如果您在SophosMobileAdmin中输入的Google+ID无效,或您忘记了Google帐户的凭据,当您在开启FRP的情况下将设备恢复为出厂设置后,设备将不可用.
19.
11托管的GooglePlay应用在Android企业设备上,只能安装您为您的组织批准的托管GooglePlay应用.
在托管的GooglePlay和SophosMobile中执行以下任务,使您的用户可以使用应用:1.
在托管GooglePlay中,您为组织选择应用.
为此:批准应用.
购买应用许可证.
接受应用权限.
请参阅批准托管的GooglePlay应用(第280页).
2.
在SophosMobile中,您可以配置应用.
为此:定义应用在用户设备上的托管GooglePlayStore应用中的位置.
对于支持它的应用,配置自定义应用设置.
对于付费应用,向用户分配该应用的许可证.
请参阅编辑托管的GooglePlay应用(第281页).
19.
11.
1批准托管的GooglePlay应用1.
打开托管的GooglePlay(https://play.
google.
com/work),并用您的Android企业管理员帐户登录.
2.
选择您要向用户提供的应用.
3.
单击批准(对于免费应用)或购买(对于付费应用).
注释付费应用目前仅在美国和加拿大提供.
4.
如果应用需要权限,请代表您的公司接受这些权限.
当您的用户安装该应用时,将不会要求他们授予权限.
5.
对于付费应用,输入许可证的数量和付款方式.
注释如果尝试购买应用时出现错误,请在Google管理控制台中检查是否对您的域或您的帐户启用了Google付款服务.
在此阶段,已对您的域批准了该应用,但用户还不能安装它.
您必须在SophosMobile中完成分配过程.
请参阅编辑托管的GooglePlay应用(第281页).
280版权所有SophosLimitedSophosMobile注释如果批准的应用的更新包括附加的应用权限,您必须接受这些权限,然后您的用户才能安装此更新.
在GooglePlay菜单中,单击更新查看和批准待定的更新.
相关信息托管的GooglePlay(外部链接)Google管理控制台(外部链接)托管的GooglePlay帮助(外部链接)19.
11.
2取消审批托管的GooglePlay应用前提条件:您已经从所有Android任务捆绑包中删除该应用.
1.
在侧边的菜单栏中,单击配置下的应用程序>Android.
2.
单击批准的应用.
3.
单击要取消审批的应用旁边的蓝色三角形,然后单击显示.
4.
单击取消批准.
提示您还可以对托管的GooglePlay中的应用取消审批.
19.
11.
3编辑托管的GooglePlay应用为您的组织批准托管的GooglePlay应用后,必须在SophosMobile中对它进行配置,以使您的用户可以使用它.
1.
在侧边的菜单栏中,单击配置下的应用Android.
2.
在应用程序页面上,单击批准的应用.
将打开批准的应用页面,其中将显示您在托管的GooglePlay中批准的所有应用的列表.
3.
单击从Google检索应用列表,同步您在托管GooglePlay中所做的修改.
同步后,用户可以通过托管的GooglePlayStore应用安装这些应用.
4.
单击所需的应用.
5.
在编辑批准的应用页面上,按照需要配置设置.
请参阅针对托管的GooglePlay应用的设置(第282页).
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
6.
单击保存保存修改.
7.
在批准的应用页面上,单击将配置发送到Google,将更新的布局信息和应用配置发送给Google.
注释如果您跳过最后这一步,应用配置将只本地存储在SophosMobile中.
它不会传输到Google服务器,也不会让您的用户可用.
数据同步到Google服务器后,可以通过托管的GooglePlayStore应用使用该应用.
所有用户都可以使用免费应用.
只有分配有许可证的用户可以使用付费应用.
版权所有SophosLimited281SophosMobile19.
11.
4针对托管的GooglePlay应用的设置这部分列出您为您的组织批准的托管GooglePlay应用的设置.
设置/字段说明标题托管GooglePlay中显示的外部应用名称.
产品ID内部应用名称.
定价定价类型:免费在应用内购买免费已付分发类型公共(Google托管):该应用可供托管GooglePlay中的一般公众使用.
专用(Google托管):该应用由您开发,并且只有您的托管Google域中的用户可以使用.
APK文件已上传到托管GooglePlay.
专用(自托管):和专用(Google托管)类似,但从您的本地服务器安装APK文件.
托管GooglePlay仅用于管理分发.
托管的GooglePlayURL,GooglePlayURL应用在托管GooglePlay和GooglePlay中的Web地址.
单击该链接可在新的浏览器窗口中打开该页面.
页在用户的GooglePlayStore应用中,在其中显示该应用的页面.
这些值是由SophosMobile预配置的,且不能修改.
应用程序类别在用户的GooglePlayforWork商店中,在其中显示该应用的类别的名称.
当您开始键入时,将显示一系列匹配的类别.
如果您输入一个没有的类别,将会创建该类别.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
许可证单击许可证旁边的显示以查看或编辑应用已使用和剩余的许可证数量以及已分配许可证的用户.
此设置仅适用于付费应用.
282版权所有SophosLimitedSophosMobile设置/字段说明托管的配置单击应用设置可查看或编辑特定于应用的设置.
有关可用设置的信息,请参阅该应用的开发人员提供的文档.
此设置仅在应用提供托管配置时才可用.
提示您可以使用由实际用户名和电子邮件地址替换的占位符%_USERNAME_%和%_EMAILADDRESS_%.
19.
11.
5安装托管的GooglePlay应用当您批准托管的GooglePlay应用并向您的用户分配应用许可证后,您可以将该应用安装到所选的设备或设备组.
注释用户可以通过托管的GooglePlayStore应用安装批准的应用.
1.
在侧边的菜单栏中,单击配置下的应用Android.
2.
在应用程序页面上,单击批准的应用.
3.
单击所需应用旁边的蓝色三角形,然后单击安装.
4.
选择要安装该应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
5.
在设置执行日期页面上,设置安装该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
6.
单击完成.
安装任务将发送到Google服务.
然后,Google将管理在设备上安装该应用.
在任务视图页面上,任务的状态将在其发送到Google后显示为成功.
19.
11.
6卸载托管的GooglePlay应用您可以从选定的设备或设备组卸载托管的GooglePlay应用.
1.
在侧边的菜单栏中,单击配置下的应用,然后单击Android.
2.
在应用程序页面上,单击批准的应用.
3.
在批准的应用页面上,单击卸载.
4.
选择要卸载应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
版权所有SophosLimited283SophosMobile准备就绪后,单击下一步.
5.
在选择应用页面上,选择所需的应用.
6.
在设置执行日期页面上,设置卸载该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
7.
单击完成.
将向Google服务发送一个卸载应用的任务.
然后,Google将管理从设备上卸载该应用.
在任务视图页面上,任务的状态将在其发送到Google后显示为成功.
提示另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项卡,然后单击应用名称旁边的垃圾桶图标.
19.
11.
7针对托管的GooglePlay应用的许可证对于您在托管的GooglePlay中批准的付费应用,必须向用户分配应用许可证,以使用户可以使用该应用.
您可以在编辑批准的应用页面上配置许可证分配.
请参阅编辑托管的GooglePlay应用(第281页).
注释您不需要为管理员启动的应用安装分配许可证.
当您如安装托管的GooglePlay应用(第283页)中所述安装应用时,将会从您的已购许可证池中向相关用户自动分配许可证.

您不需要为您在托管的GooglePlay中批准的免费应用分配许可证.
当您将应用列表从Google同步到SophosMobile后,所有用户都自动可以使用免费应用.
19.
11.
8托管GooglePlay的布局您可以在用户的Play商店应用中定义托管的GooglePlay应用的位置.
可配置的布局元素是页面和类别.
页面是有名称、可以垂直滚动的视图.
页面及其名称是通过SophosMobile预定义的.
类别是您定义的页面中有名称、可以水平滚动的子部分.
在Google文档中,类别又称为群集.
每个类别特定于某个页面,每个应用显示在特定的类别中.
不包含任何应用的页面不显示.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
对于每个应用,您可以定义该应用在用户设备上的托管GooglePlayStore应用中显示在哪个页面,并且可以选择定义显示在哪个类别中.
默认情况下,应用放置在名称为其他的页面上.

您可以在编辑批准的应用页面上配置商店布局.
请参阅编辑托管的GooglePlay应用(第281页).
284版权所有SophosLimitedSophosMobile19.
11.
9可配置的应用托管的GooglePlay应用可以提供托管配置.
此功能是由应用的开发人员包括在其中的,您可以用它为应用配置自定义设置.
如果应用支持托管配置,将在托管GooglePlay中的该应用页面上显示此应用提供托管配置备注.
您可以在编辑批准的应用页面上配置应用设置.
请参阅编辑托管的GooglePlay应用(第281页).
19.
11.
10专用应用和自托管应用对于Android企业,您要提供给用户的所有应用都必须通过托管的GooglePlay进行分发.
公用应用是拥有托管的Google帐户的所有用户都可以使用的应用.
专用应用是由您开发、只有您所在的托管Google域内的用户才能使用的应用.
自托管应用是其应用包(即APK文件)放在属于贵组织的服务器而非Google服务器上的专用应用.
但是,自托管应用的应用商店元数据必须上传到Google,以便该应用可以通过托管GooglePlay进行分发.
有关专用应用的信息,请参阅Android企业开发者信息(外部链接).
版权所有SophosLimited285SophosMobile20Intune应用保护Intune是一项用于管理移动设备和应用的Microsoft服务.
Intune应用保护让您可以定义应用级使用限制并分配给您的用户.
因为Intune应用保护基于用户身份,且不需要进行设备管理就可以保护您的公司数据,因此很适合自带设备办公(BYOD)计划.
您可以在SophosMobileAdmin中管理您的Intune应用保护策略.
功能和要求设备不需要注册到SophosMobile.
Intune应用保护策略可以应用到Office365应用,以及其他与IntuneAppSDK集成的应用.
策略仅在用户使用其公司帐户登录到应用后才会生效.
他们使用其私人帐户登录时没有使用限制.

您必须预订有AzureActiveDirectory(AD)Premium.
用户的AzureAD帐户必须分配有Intune许可证.
对于MicrosoftOutlook应用,用户的AzureAD帐户必须链接有Office365ExchangeOnline邮箱和许可证.
对于MicrosoftWord、Excel和PowerPoint应用,用户的AzureAD帐户必须链接有Office365商业版或企业版许可证.
相关信息MicrosoftIntune文档(外部链接)MicrosoftIntune应用(外部链接)20.
1设置MicrosoftIntune集成要在SophosMobileAdmin中管理您的Intune应用保护策略,您必须将SophosMobile注册为MicrosoftAzure应用程序.
我们建议您使用MicrosoftAzure注册.
1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击MicrosoftAzure选项卡.
2.
单击MicrosoftAzure注册向导.
向导将引导您在MicrosoftAzure门户和SophosMobileAdmin中完成注册过程:a)在MicrosoftAzure门户中为SophosMobile创建应用程序.
b)在SophosMobile中输入应用程序ID.
c)将SophosMobile服务器证书上传到您的应用程序.
d)给您的应用程序授予所需的权限.
向导还包含一个用于配置联合身份验证的页面.
如果您要使用AzureActiveDirectory进行联合身份验证,而不是使用内部或外部用户管理,则只需按该页面的步骤进行操作.
请参阅联合身份验证(第81页).
完成设置程序后,SophosMobileAdmin的侧边菜单栏中将有新的配置文件,策略>Intune应用保护项.
286版权所有SophosLimitedSophosMobile20.
2创建Intune应用保护策略通过Intune应用保护策略,您可以根据用户身份应用数据限制.
限制仅当应用在工作环境下使用时才生效,即分配的用户使用公司帐户打开应用时.
您必须为Android和iOS应用创建单独的策略.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的策略页面上,单击添加,然后单击Android策略或iOS策略.
4.
在编辑策略页面上,输入要求的设置.
请参阅Intune应用保护策略设置(Android)(第288页)和Intune应用保护策略设置(iOS)(第292页).
5.
单击保存.
您可以在MicrosoftAzure门户中查看策略.
您可能需要再次登录门户才能刷新显示的信息.
创建Intune应用保护策略后,将其分配给应用和用户.
请参阅将应用分配给Intune应用保护策略(第287页)和将用户分配给Intune应用保护策略(第287页).
20.
3将应用分配给Intune应用保护策略Intune应用保护策略将只应用于分配有此策略的应用.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的策略页面上,单击要向其分配应用的策略旁边的蓝色三角形,然后单击分配应用.
4.
选择要向其分配策略的应用.
列表将包括您在MicrosoftAzure门户中添加到您的MicrosoftIntune帐户的所有Android或iOS应用.
5.
单击保存.
您可以在MicrosoftAzure门户中查看应用分配.
您可能需要再次登录门户才能刷新显示的信息.
20.
4将用户分配给Intune应用保护策略Intune应用保护策略将只应用于分配的用户使用的应用.
您不是单独分配用户,而是通过AzureActiveDirectory(AD)安全组进行分配.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的策略页面上,单击要向其分配用户的策略旁边的蓝色三角形,然后单击分配用户组.
4.
在可用的AzureAD安全组列表中,选择您要包括或排除的组:包括:策略将应用到该组的成员.
版权所有SophosLimited287SophosMobile排除:策略将不应用到该组的成员,即便它们也是包括组中的成员.
未分配:策略将不应用到该组的成员,除非它们也是包括组中的成员.
5.
单击保存.
您可以在MicrosoftAzure门户中查看用户分配.
您可能需要再次登录门户才能刷新显示的信息.
注释策略将只应用到其AzureAD帐户分配有Intune许可证的用户.
选定安全组中的其他用户不受影响.
20.
5Intune应用保护策略设置(Android)通过Intune应用保护策略,您可以为Intune托管应用定义限制.
本节介绍针对Android应用的可用设置.
一般设置设置/字段说明名称策略的名称.
描述策略的简短说明.
数据重定位在数据重定位下,您可以配置如何让数据输入和离开应用.
注释所有设置将应用于用户使用其公司帐户登录后访问的数据.
设置/字段说明阻止Android备份应用将不能使用Android备份服务.
288版权所有SophosLimitedSophosMobile设置/字段说明允许应用向其他应用传送数据此应用可以向其传输数据的应用:策略托管应用:仅允许向其他Intune策略托管应用传输.
所有应用:允许传输到任何应用.
无:不允许传输到任何应用.
注释可能会有始终允许向其传输数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
将始终阻止向Android即时应用传输数据.
允许应用从其他应用接收数据此应用可以从其中接收数据的应用:策略托管应用:仅允许从其他Intune策略托管应用传输.
所有应用:允许从任何应用传输.
无:不允许从任何应用传输.
注释可能会有始终允许从其中接收数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
将始终阻止从Android即时应用接收数据.
阻止"另存为"将禁用应用的"另存为"选项.
存储位置如果选中阻止"另存为",将选择存储公司数据的位置.
用户可以存储到选定的位置.
其他位置将被阻止.
限制剪切、复制和粘贴到其他应用选择如何将剪切、复制和粘贴操作用于此应用.
阻止:不允许在此应用和任何其他应用间进行剪切、复制和粘贴操作.
策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切、复制和粘贴操作.
带粘贴的策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切或复制.
允许将任何应用中的数据粘贴到此应用.
所有应用:不限制从此应用和对此应用进行剪切、复制和粘贴.
限制显示在ManagedBrowser内的Web内容强制要求应用中的Web链接在IntuneManagedBrowser应用中打开.
加密应用数据数据将使用Intune定义的加密方案进行加密.
版权所有SophosLimited289SophosMobile设置/字段说明禁用联系人同步应用将不会把数据保存到Contacts应用.
禁用打印应用中的打印功能将禁用.
访问在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用.
设置/字段说明需要PIN才能进行访问使用该应用需要PIN.
用户首次使用其公司帐户登录时,将提示其设置PIN.
注释所有Intune托管的Android应用都使用相同的PIN.
PIN重置前的尝试次数重置PIN前允许的登录失败尝试次数.
禁止简单PIN不允许用户使用简单的PIN序列,如1234或1111.
PIN长度PIN序列中数字的最小数目.
禁止指纹用户不能使用指纹身份验证,只能使用PIN进行身份验证.
访问需要公司凭据用户必须输入其公司密码,而非PIN.
此设置将替代其他PIN要求.
阻止在已取得root权限的设备上运行托管应用在已经取得root权限的设备上,用户不能通过其公司帐户使用该应用.
访问要求超时启动该应用时,重新检查访问要求(在此策略中设置)前的分钟数.
注释用户输入PIN后,在此设置定义的时间段内,用户不必再次输入PIN就可以使用其他Intune托管应用.
脱机宽限期在重新检查应用访问要求之前设备可以离线运行的分钟数.
超过该时间段后,该应用将要求用户连接到网络并再次进行身份验证.
290版权所有SophosLimitedSophosMobile设置/字段说明擦除应用数据前的脱机时间间隔用户必须连接到网络并再次进行身份验证前,设备可以离线运行的天数.
如果身份验证失败,将擦除公司应用数据.
注释对于MicrosoftOutlook应用,擦除应用数据时将同时删除Contacts应用中保存的数据.
阻止屏幕捕获和Android助手用户将不能截屏或使用GoogleAssistant.
这还将使最近应用列表中的应用图片变得模糊.
要求的最低Android版本使用该应用所需的最低Android版本.
将该字段保留为空可忽略此设置.
推荐的最低Android版本使用该应用的推荐最低Android版本.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低应用版本使用该应用所需的最低应用版本.
将该字段保留为空可忽略此设置.
推荐的最低应用版本使用该应用的推荐最低应用版本.
如果设备上的应用不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低Android补丁版本使用该应用所需的最低Android安全补丁版本.
输入补丁版本日期,采用YYYY-MM-DD格式.
将该字段保留为空可忽略此设置.
推荐的最低Android补丁版本使用该应用的推荐最低Android安全补丁版本.
输入补丁版本日期,采用YYYY-MM-DD格式.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
版权所有SophosLimited291SophosMobile20.
6Intune应用保护策略设置(iOS)通过Intune应用保护策略,您可以为Intune托管应用定义限制.
本节介绍针对iOS应用的可用设置.
一般设置设置/字段说明名称策略的名称.
描述策略的简短说明.
数据重定位在数据重定位下,您可以配置如何让数据输入和离开应用.
注释所有设置将应用于用户使用其公司帐户登录后访问的数据.
设置/字段说明阻止iTunes和iCloud备份应用将不会把数据备份到iTunes或iCloud.
允许应用向其他应用传送数据此应用可以向其传输数据的应用:策略托管应用:仅允许向其他Intune策略托管应用传输.
所有应用:允许传输到任何应用.
无:不允许传输到任何应用.
注释可能会有始终允许向其传输数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
策略托管应用和无还将阻止Siri在应用中搜索数据.
292版权所有SophosLimitedSophosMobile设置/字段说明允许应用从其他应用接收数据此应用可以从其中接收数据的应用:策略托管应用:仅允许从其他Intune策略托管应用传输.
所有应用:允许从任何应用传输.
无:不允许从任何应用传输.
注释可能会有始终允许从其中接收数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
一些应用会忽略此设置并允许所有传入数据.
阻止"另存为"将禁用应用的"另存为"选项.
存储位置如果选中阻止"另存为",将选择存储公司数据的位置.
用户可以存储到选定的位置.
其他位置将被阻止.
限制剪切、复制和粘贴到其他应用选择如何将剪切、复制和粘贴操作用于此应用.
阻止:不允许在此应用和任何其他应用间进行剪切、复制和粘贴操作.
策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切、复制和粘贴操作.
带粘贴的策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切或复制.
允许将任何应用中的数据粘贴到此应用.
所有应用:不限制从此应用和对此应用进行剪切、复制和粘贴.
限制显示在ManagedBrowser内的Web内容强制要求应用中的Web链接在IntuneManagedBrowser应用中打开.
加密应用数据在加密数据时选中.
将使用iOS提供的设备级加密方案进行数据加密.
设备锁定时:在设备锁定时加密应用数据.
设备锁定且有打开的文件时:在设备锁定时加密应用数据,当前打开文件的数据除外.
设备重启时:在设备重新启动时加密应用数据,直至设备首次解锁.
使用设备设置:根据设备设置进行应用数据加密.
禁用联系人同步应用将不会把数据保存到Contacts应用.
禁用打印应用中的打印功能将禁用.
版权所有SophosLimited293SophosMobile访问在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用.
设置/字段说明需要PIN才能进行访问使用该应用需要PIN.
用户首次使用其公司帐户登录时,将提示其设置PIN.
注释相同发布者的所有Intune托管的iOS应用都使用相同的PIN.
密码类型用户必须定义的PIN类型:数值:PIN只能包含数字.
密码:PIN必须包含至少一个字母、特殊字符或符号(只要iOS英语键盘上有).
注释一些应用不支持密码类型.
PIN重置前的尝试次数重置PIN前允许的登录失败尝试次数.
禁止简单PIN不允许用户使用简单的PIN序列,如1234或1111.
如果将密码类型设置为密码,则PIN必须包含至少一个数字、一个字母和一个特殊字符或符号.
PIN长度PIN序列中字符的最小数目.
禁止指纹用户不能使用TouchID,只能使用PIN进行身份验证.
禁止面部识别用户不能使用FaceID,只能使用PIN进行身份验证.
访问需要公司凭据用户必须输入其公司密码,而非PIN.
此设置将替代其他PIN要求.
阻止在已越狱的设备上运行托管应用在已越狱的设备上,用户不能通过其公司帐户使用该应用.
294版权所有SophosLimitedSophosMobile设置/字段说明访问要求超时启动该应用时,重新检查访问要求(在此策略中设置)前的分钟数.
注释用户输入PIN后,在此设置定义的时间段内,用户不必再次输入PIN就可以使用相同发布者的其他Intune托管应用.
脱机宽限期在重新检查应用访问要求之前设备可以离线运行的分钟数.
超过该时间段后,该应用将要求用户连接到网络并再次进行身份验证.
擦除应用数据前的脱机时间间隔用户必须连接到网络并再次进行身份验证前,设备可以离线运行的天数.
如果身份验证失败,将擦除公司应用数据.
注释对于MicrosoftOutlook应用,擦除应用数据时将同时删除Contacts应用中保存的数据.
要求的最低iOS版本使用该应用所需的最低iOS版本.
将该字段保留为空可忽略此设置.
推荐的最低iOS版本使用该应用的推荐最低iOS版本.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低应用版本使用该应用所需的最低应用版本.
将该字段保留为空可忽略此设置.
推荐的最低应用版本使用该应用的推荐最低应用版本.
如果设备上的应用不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低Intune应用保护策略SDK版本该应用必须拥有的最低Intune应用保护策略SDK版本.
将该字段保留为空可忽略此设置.
版权所有SophosLimited295SophosMobile21管理SophosMobileSecurity注释此功能需要MobileAdvanced类型的许可证.
SophosMobileSecurity是一款适用于Android和iOS设备的安全应用.
您可以管理注册到SophosMobile的设备上的该应用.
您还可以管理注册到第三方企业移动性管理(EMM)软件的设备上的SophosMobileSecurity应用.
第三方EMM软件必须支持自定义应用设置.
请参阅配置第三方EMM集成(第298页).
如果SophosMobileSecurity由SophosMobile管理,您可以在SophosMobileAdmin中执行以下任务:远程或集中配置SophosMobileSecurity应用的设置.
请参阅Android的MobileSecurity策略的配置(第141页)和iOS的MobileSecurity策略的配置(第183页).
分配合规性策略,以确保安装SophosMobileSecurity应用并按规定的间隔运行扫描.
请参阅SophosMobileSecurity合规性规则(第296页).
对于Android:触发设备扫描和查看扫描结果.
请参阅扫描设备(第52页).
21.
1SophosMobileSecurity合规性规则本节列出了可以为各个平台选择的合规性规则.
规则说明平台需要托管定义设备不再受到管理时将执行的操作.
AndroidiOS允许根目录访问选择是否允许设备具有Root权限.
Android允许越狱选择是否允许越狱设备.
iOS最低OS版本选择要求的最早版本的操作系统.
AndroidiOS最高OS版本选择允许的最新版操作系统.
AndroidiOS最大SMSec同步间隔指定设备同步过程之间的最大间隔.
AndroidiOS最大SMSec扫描间隔指定通过SophosMobileSecurity应用程序在设备上执行恶意软件扫描的最大扫描间隔.
Android296版权所有SophosLimitedSophosMobile规则说明平台允许拒绝SMSec权限SophosMobileSecurity需要设备上的权限才能正常工作.
用户必须在安装该应用时授予这些权限.
选择拒绝要求的权限是否会造成违反合规性.
Android允许恶意软件应用选择是否允许SophosMobileSecurity检测到的恶意软件应用程序.
Android允许可疑应用选择是否允许SophosMobileSecurity检测到的可疑应用程序.
Android允许PUA选择是否允许SophosMobileSecurity已经检测到的可能不需要的应用(PUA).
Android版权所有SophosLimited297SophosMobile22配置第三方EMM集成您可以管理注册到第三方企业移动性管理(EMM)软件的设备上的SophosMobileSecurity应用.
这需要第三方EMM软件和SophosMobile中都有配置任务.
在第三方EMM软件中,您必须为SophosMobileSecurity创建一个自定义应用配置.
当第三方EMM软件安装该应用时,它将自动注册到SophosMobile.
注释Android设备必须在Android企业模式下注册.
在SophosMobileAdmin中执行以下步骤:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击第三方EMM选项卡.
2.
单击生成连接代码.
该代码包含SophosMobileSecurity应用注册到SophosMobile所需的信息.
3.
配置以下设置:选项描述所有者您注册到第三方EMM软件的设备的所有权类型(企业或个人).
设备组设备分配到的SophosMobile设备组.
MobileSecurity策略(Android)可选:Android设备上SophosMobileSecurity的SophosMobile策略.
MobileSecurity策略(iOS)可选:iPhone和iPad设备上SophosMobileSecurity的SophosMobile策略.
4.
单击保存.
5.
单击连接代码旁的复制,将值复制到剪贴板.
配置第三方EMM软件需要提供连接代码.
在第三方EMM软件中执行剩余步骤:6.
为SophosMobileSecurity创建应用配置.
7.
在应用配置中添加以下自定义设置:参数名称参数值smcData您从SophosMobile复制的连接代码.
deviceId第三方EMM软件使用的设备唯一标识符.
该值用于链接在SophosMobile中创建的设备和第三方EMM软件中的设备.
deviceName可选:第三方EMM软件使用的设备名.
email可选:您想在SophosMobile中分配给设备的用户电子邮件地址.
有关如何配置自定义应用设置的详细信息,请参阅第三方EMM软件的文档.
298版权所有SophosLimitedSophosMobile提示如果您的第三方EMM软件支持,建议您使用占位符指定设备和用户属性.
8.
通过第三方EMM软件安装SophosMobileSecurity应用.
在安装后首次启动时,SophosMobileSecurity应用将注册到SophosMobile.
您可以从SophosMobileAdmin的设备页面管理该应用.
如果需要,您可以停用连接代码,以阻止未来的应用注册.
已经注册到SophosMobile服务器的SophosMobileSecurity应用不受影响.
版权所有SophosLimited299SophosMobile23创建管理员1.
在侧边的菜单栏中,单击设置下的设置管理员打开显示管理员页面,然后单击创建管理员.

2.
在编辑管理员页面上,配置管理员的帐户详细信息.
当外部LDAP目录选择为客户的用户目录时,可以单击通过LDAP查找用户以选择现有的LDAP帐户.
如果不使用外部用户目录,请输入相关的登录名、名字、姓氏、电子邮件地址和密码数据.

指定的密码是一次性密码.
当管理员首次登录时,会提示他们修改.
注释登录名字段必须仅包含字母(拉丁字母)、数字、空格和字符\!
.
_-#.
3.
在角色列表中,选择其中一个可用角色.
角色定义新管理员将拥有的SophosMobile访问权限的类型.
请参阅用户角色(第4页).
4.
单击保存创建管理员帐户.
新的管理员将创建,并显示在显示管理员页面上.
向新用户转发用户凭据(用户、客户和一次性密码).
新用户可以登录SophosMobileAdmin,并提示更改密码.
300版权所有SophosLimitedSophosMobile24向设备发送消息注释本节内容不适用于Windows计算机或WindowsIoT设备.
您可以向托管设备发送自定义消息.
1.
在侧边的菜单栏中,单击管理下的设备.
会出现设备页面.
2.
选择一个或多个设备,单击操作,然后单击发送消息.
3.
在输入消息对话框中,输入您希望发送的消息.
消息可以包含最多500个字符.
4.
单击完成.
版权所有SophosLimited301SophosMobile25Sophos容器注释此功能需要MobileAdvanced类型的许可证.
Sophos容器是包含由SophosMobile管理的SophosSecureWorkspace、SophosSecureEmail和SophosMobileSecurity应用的设备上的逻辑区域.
Sophos容器可用于以下平台:AndroidiOS25.
1配置Sophos容器注册注释此功能需要MobileAdvanced类型的许可证.
要使用Sophos容器将设备注册到SophosMobile,您需要执行以下配置步骤.
您需要为要使用Sophos容器注册的每个平台(Android,iOS)执行此操作.
1.
创建容器策略.
请参阅Android的Sophos容器策略的配置(第132页)和iOS的Sophos容器策略的配置(第175页).
2.
在任务捆绑包中使用此容器策略.
任务捆绑包必须至少包含一个注册Sophos容器任务和安装配置文件任务.
请参阅创建任务捆绑包(第237页).
3.
通过自助服务门户将此任务捆绑包用作注册的初始包:在自助服务门户设置中的组设置选项卡中,在初始包-公司设备或初始包-个人设备字段中选择该任务捆绑包.
请参阅配置自助服务门户设置(第26页).
25.
2MobileAdvanced许可证当您激活MobileAdvanced许可证后,您可以使用以下附加功能:管理SophosSecureWorkspace和SophosSecureEmail应用.
请参阅管理Sophos容器应用(第303页).
对于Android设备,管理SophosMobileSecurity应用.
请参阅管理SophosMobileSecurity(第296页).
在您收到许可证密钥后,您需要激活许可证.
为SophosMobileonPremise激活MobileAdvanced许可证对于SophosMobileonPremise,许可证由超级管理员在客户管理中进行管理.
有关详细信息,请参阅SophosMobile超级管理员指南.
302版权所有SophosLimitedSophosMobile为SophosMobile即服务激活MobileAdvanced许可证在SophosMobileAdmin中,转到安装>Sophos设置>许可证,并在高级许可证密钥字段中输入您的许可证密钥.
25.
3管理Sophos容器应用注释此功能需要MobileAdvanced类型的许可证.
为了在托管设备上更好地分离数据,SophosMobile提供了Sophos容器应用,即SophosSecureEmail和SophosSecureWorkspace:SophosSecureEmail是一款针对Android和iOS设备的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
SophosSecureWorkspace是一款适用于Android和iOS设备的应用,允许用户访问存储在云上的加密文件.
可使用无缝方式加密和查看文件.
加密的文件可使用其他应用移交,并上传到一个支持的云存储提供程序.
也可以在应用内本地存储文档.
使用SophosSecureWorkspace,您可以阅读通过SafeGuardCloudStorage或SafeGuardDataExchange加密的文件.
两者都是SafeGuardEnterprise模块或其不同版本中的一个.
它们允许您使用本地密钥加密文件.
这些本地密钥由用户输入的密码派生而来.
只有在您知道用于加密文件的密码时,才能加密文件.
Sophos容器提供:集中定义的密码规则适用于所有容器应用的密码规则适用于所有容器应用的单一登录SophosSecureWorkspace文档设置SophosSecureWorkspace浏览器设置SophosSecureEmail设置如下所述,可以使用SophosMobile管理Sophos应用:可以在SophosMobile中,对所有托管的设备上的Sophos容器应用的设置进行远程和集中配置.
请参阅Android的Sophos容器策略的配置(第132页)和iOS的Sophos容器策略的配置(第175页).
使用合规性策略,您可以确保Sophos容器应用已安装在设备上.
您可以使用公司文档存储提供程序启用文档的安全分配.
请参阅企业文档(第268页).
可以在SophosSecureWorkspace应用和SophosSafeGuardEnterprise之间启用公司Keyring同步.
这样,来自用户的SafeGuardKeyring的密钥就可以在SophosSecureWorkspaceKeyring中可用.
请参阅启用企业Keyring同步(第305页).
注释为管理Sophos容器应用,必须使用SophosMobile分发应用.
如果用户已在其设备上安装有未受管理的SophosSecureWorkspace版本,他们首先必须卸载此版本,然后安装托管版本.
有关SophosSecureWorkspace的详细信息,请参阅SophosSecureWorkspace帮助.
版权所有SophosLimited303SophosMobile25.
4重置Sophos容器密码注释此功能需要MobileAdvanced类型的许可证.
注释本节内容适用于分配有Sophos容器策略的设备.
可以重置Sophos容器密码.
这很有用,例如,用户忘记了他们的密码时.
如果重置了Sophos容器的密码,将要求用户创建新的容器密码.
1.
在侧边的菜单栏中,单击管理下的设备.
将显示设备页面.
2.
单击要重置其Sophos容器密码的设备.
将显示显示设备页面.
3.
单击操作.
将显示操作菜单.
4.
单击重置Sophos容器密码.
5.
在对话框中,单击是确认操作.
将重置Sophos容器密码.
用户必须输入新的Sophos容器密码.
25.
5锁定和解锁Sophos容器注释此功能需要MobileAdvanced类型的许可证.
注释本节内容适用于分配有Sophos容器策略的设备.
您可以锁定或解锁Sophos容器,即为Sophos容器应用和Sophos容器中的数据设置访问权限1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要对其锁定或解锁Sophos容器的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作设置Sophos容器访问权限.
4.
在设置访问权限的对话框中,选择以下任意一项:拒绝:Sophos容器将锁定.
用户将不能再使用它.
允许:Sophos容器将解锁.
自动模式:如果设备违反了合规性规则,且规则中激活了锁定容器,将锁定Sophos容器.
如果您没有设置访问权限,这将是默认行为.
5.
单击是.
将触发设备与SophosMobile服务器同步.
同步后,该设置将应用到设备.
304版权所有SophosLimitedSophosMobile25.
6企业Keyring同步企业Keyring同步将在SophosSecureWorkspace应用中添加以下功能:来自用户的SafeGuardEnterpriseKeyring的密钥在SophosSecureWorkspaceKeyring(SSWKeyring)中可用.
然后,该应用的用户即可使用这些密钥来解密和查看文档或解密文档.
启用Keyring同步后,用户可以继续使用在其SSWKeyring中曾经可用的本地密钥.
用户不能创建新的本地密钥.
由于安全原因,管理Sophos容器时,来自SafeGuardKeyring的密钥将从设备删除.
25.
6.
1启用企业Keyring同步前提条件:使用SophosSafeGuardEnterprise8.
0或更高版本.
已经使用在SafeGuardEnterprise中配置的相同ActiveDirectory用户数据库,为自助服务门户配置了外部用户管理.
SophosSecureWorkspace受SophosMobile管理.
这将需要MobileAdvanced许可证.
您的SophosMobile服务器可以通过HTTPS连接到您的SafeGuardEnterprise服务器.
要启用企业Keyring同步,可以按下述方法设置SophosMobile和SophosSafeGuardEnterprise之间的连接:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击SGN选项卡.
2.
单击证书链接,下载SophosMobile服务器的证书.
3.
打开SafeGuardManagementCenter,并转到ToolsConfigurationPackageTool.
4.
在Servers选项卡上,单击Add,浏览并找到证书文件,然后单击OK.
请勿更改Servername字段的值.
5.
可选:选择Recoveryviamobile,以启用通过SophosSecureWorkspace应用同步BitLocker和FileVault恢复密钥.
6.
在Managedclientpackages选项卡上,配置以下设置:在ConfigurationPackageName字段中,选择ManagedClient(Default).
在PrimaryServer字段中,选择您的SGN服务器.
在TransportEncryption字段中,选择SSL.
7.
单击CreateConfigurationPackage.
8.
在SophosMobileAdmin控制台的SGN选项卡上,单击上传文件,将您在SafeGuardManagementCenter中创建的配置包上传到SophosMobile.
9.
单击保存,保存SafeGuard集成设置.
版权所有SophosLimited305SophosMobile26将内容传递到SophosCentral要传递SophosMobile对象和设置,可将数据从SophosMobile服务器导出到交换文件,然后将该文件导入SophosCentral.
传递的内容包括:设备组设备配置文件和策略合规性策略任务捆绑包应用设置(不包括应用包文件)应用组自助服务门户配置(不包括用户组分配)大部分系统设置有些设置绑定到特定的SophosMobile服务器,不能传递.
有关详细信息,请参阅SophosMobile迁移指南.
26.
1导出内容要将对象和设置从您的SophosMobile服务器传递到SophosCentral,您可以将其导出到交换文件.
1.
在侧边的菜单栏中,单击设置下的安装>Sophos设置>导出.
在导出预览下,将显示要导出的内容.
2.
单击导出.
3.
为交换文件设置密码.
4.
单击下载.
交换文件sophosmobile.
export将下载到您的计算机.
您可以将该文件导入SophosCentral.
26.
2导入内容在您从SophosMobile服务器创建带有对象和设置的交换文件后,可将其导入SophosCentral.
1.
在SophosCentralAdmin中,转到Mobile.
2.
单击安装>Sophos设置>导入.
3.
单击上传交换文件.
4.
选择交换文件并输入当您导出数据时设置的密码.
5.
单击上传.
6.
在导入预览下,将列出要导入的内容.
查看是否出现任何警告.
重要提示如果有与要导入的内容相同名称的内容,它们将被覆盖.
306版权所有SophosLimitedSophosMobile7.
单击导入将数据导入SophosCentral.
导入数据后,必须执行以下手动任务:对于已经将其程序包文件上传到SophosMobile的应用,再次上传APK文件(Android)或IPA文件(iOS).
因为不传递用户组,您必须将SophosCentral用户组分配给您的自服务门户配置.
有关详细信息,请参阅SophosMobile迁移指南.
版权所有SophosLimited307SophosMobile27用语表专用设置配置文件您添加到自己开发的iOS应用的分发设置配置文件.
这样,您就可以在指定的设备上安装应用,而不必将其发布到AppStore.
客户客户表示SophosMobile中独立的管理区域.
您可以设置多个客户,并独立管理每个客户的设备.
这也称为多组织.
注册使用SophosMobile进行设备注册.
企业应用商店托管在SophosMobile服务器上的应用存储库.
管理员可以使用SophosMobileAdmin,将应用程序添加到EnterpriseAppStore.
然后,用户可以使用SophosMobileControl应用,将这些应用安装在他们的设备上.
设置在设备上安装SophosMobileControl应用的过程.
自助服务门户Web界面,允许用户注册自己的设备并执行其他任务,无需联系支持人员.
MobileAdvanced许可证使用MobileAdvanced类型的许可证,您可以通过SophosMobile管理SophosMobileSecurity、SophosSecureWorkspace和SophosSecureEmail应用.
SMSecSophosMobileSecurity的缩写.
SophosMobile客户端安装在SophosMobile托管的设备上的SophosMobileControl应用.
SophosMobile控制台您用于管理设备的Web界面.
SophosMobileSecurity适用于Android设备的安全应用.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureEmail一款针对Android和iOS设备的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureWorkspace一款针对AppleiOS和Android设备的应用,它提供的安全工作区可用于浏览、管理、编辑、共享、加密和解密来自不同存储提供程序的文档或贵公司分发的文档.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
任务捆绑包您可以创建一个包,将多项任务捆绑在一项事务中.
可以捆绑所有必需的任务,让设备完全注册和运行.
TeamID每个iOS和macOS应用都有TeamID签名.
TeamID由Apple提供,对于特定的开发团队是唯一的.
308版权所有SophosLimitedSophosMobile28技术支持您可以通过以下各种方式获得Sophos产品的技术支持:访问community.
sophos.
com/的SophosCommunity论坛,并搜索遇到相同问题的其它用户.
访问www.
sophos.
com/zh-cn/support.
aspx的Sophos技术支持知识库.
在www.
sophos.
com/zh-cn/support/documentation.
aspx中下载产品的技术文档.
访问https://secure2.
sophos.
com/support/contact-support/support-query.
aspx联系我们的技术支持团队.
版权所有SophosLimited309SophosMobile29法律声明版权所有2019SophosLimited.
保留一切权利.
除非您拥有根据许可证条款可以复制本文档的许可证,或事先得到版权所有者的书面许可,不得以电子、机械、复印、记录或其他任何形式或方式,复制、在检索系统中存储或传输本出版物的任何部分.
Sophos,SophosAnti-Virus和SafeGuard都是SophosLimited,SophosGroup和UtimacoSafewareAG的注册商标.
所有其他产品和公司名称是其各自所有者的商标或注册商标.