设备百度分享工具

SophosMobileonPremise管理员帮助产品版本号:8.
1内容关于本帮助.
1关于SophosMobile.
2关于SophosMobileAdmin.
3用户界面.
3表格视图.
3前提条件.
4用户角色.
4登录SophosMobileAdmin.
5注销SophosMobileAdmin.
5更改您的密码.
5密码恢复.
6使用SophosMobile管理设备的主要步骤.
7仪表板.
8报告.
9任务.
10监视任务.
10警报.
13常规设置.
15配置个人设置.
15配置密码策略.
16配置SMC应用设置.
16启用百度云推送服务.
17配置iOS设置.
17配置Windows设备的轮询间隔.
18配置电子邮件.
18配置技术支持联系人详细信息.
19定义客户属性.
19配置自助服务门户.
20使用内部用户管理创建自助服务门户组.
20配置自助服务门户设置.
21可用的自助服务门户操作.
22管理自助服务门户.
24系统设置.
29检查您的许可证.
29Apple推送通知服务证书.
30配置iOSAirPlay目标.
33注册SamsungKnox许可证.
33简单证书注册协议(SCEP)33配置用户设置.
35合规性策略.
36创建合规性策略.
36可用的合规性规则.
37将合规策略分配到设备组.
41检查设备合规性.
41设备.
43添加设备.
43注册设备.
44取消设备注册.
50管理设备.
51AppleDEP.
60DuoSecurity集成.
66设备组.
68(2018/03/27)创建设备组.
68删除设备组.
68配置文件和策略.
69创建配置文件或策略.
69导入用AppleConfigurator创建的iOS设备配置文件.
70导入iOS应用的设置配置文件.
71关于macOS策略.
71Windows密码复杂性规则.
72SamsungKnox支持.
72配置文件和策略中的占位符.
73在设备上安装配置文件.
73向设备分配策略.
74卸载配置文件.
75下载配置文件和策略.
75Android设备配置文件的配置.
75Android企业工作配置文件策略的配置.
91Android企业设备策略的配置.
100Android的Sophos容器策略的配置.
111MobileSecurity策略的配置.
119Knox容器配置文件的配置.
119AndroidThings策略的配置.
123iOS设备配置文件的配置.
123iOS的Sophos容器策略的配置.
147macOS设备策略的配置.
156macOS用户策略的配置.
168WindowsMobile策略的配置.
182Windows策略的配置.
192WindowsIoT策略的配置.
198任务捆绑包.
200创建任务捆绑包.
200可用的Android任务类型.
201可用的iOS任务类型.
204可用的macOS任务类型.
206可用的Windows任务类型.
207复制任务捆绑包.
209将任务捆绑包传输至个人设备或设备组.
209应用程序.
210添加应用.
210安装应用.
211卸载应用.
212应用设置(Android)213应用设置(iOS)214应用设置(WindowsMobile)216应用设置(Windows)217确定WindowsMSI链接的设置.
218iOS的托管应用.
219管理AppleVPP应用.
219配置每个应用VPN和iOS应用设置.
224应用组.
225创建应用组.
225导入应用组.
226企业文档.
227添加公司文档.
227Android企业.
228设置Android企业-概述.
228设置Android企业(托管GooglePlay帐户方案)229(2018/03/27)设置Android企业(托管Google域方案)230配置Android企业设备注册.
233管理Android企业用户(托管Google网域方案)234创建工作配置文件.
234锁定工作配置文件.
234从设备删除工作配置文件.
235用户启动的工作配置文件删除.
235工作应用.
236Intune应用保护.
242设置MicrosoftIntune集成.
242创建Intune应用保护策略.
243将应用分配给Intune应用保护策略.
243将用户分配给Intune应用保护策略.
243Intune应用保护策略设置(Android)244Intune应用保护策略设置(iOS)247创建管理员.
252向设备发送消息.
253管理SophosMobileSecurity.
254配置SophosMobileSecurity的防病毒设置.
254为SophosMobileSecurity配置网络筛选设置.
255定义SophosMobileSecurity合规性规则.
256查看SophosMobileSecurity扫描结果.
256Sophos容器.
258配置Sophos容器注册.
258MobileAdvanced许可证.
258管理Sophos容器应用.
259重置Sophos容器密码.
260锁定和解锁Sophos容器.
260企业Keyring同步.
261将数据从SophosMobile传递到SophosMobileinCentral.
262术语表.
263技术支持.
264法律声明.
265(2018/03/27)SophosMobileonPremise1关于本帮助本帮助介绍如何使用SophosMobileAdmin.
详细信息可以在以下文档中找到:有关安装SophosMobile的描述,请参阅SophosMobile安装指南.
本指南与SophosMobile即服务无关.
有关如何以超级管理员身份使用SophosMobileAdmin进行客户管理的信息,请参阅SophosMobile超级管理员指南.
本指南与SophosMobile即服务无关.
有关初始配置重要步骤的描述,请参阅SophosMobile启动指南和SophosMobileasaService启动指南.
有关自助服务门户的信息,请参阅SophosMobile用户帮助.
文档约定本帮助中使用了以下约定:除非另有说明,WindowsMobile指的是Windows10移动版和移动企业版以及WindowsPhone8.
1.
除非另有说明,Windows或Windows10指的是Windows10专业版、企业版、教育版、家庭版以及S版本.
除非另有说明,WindowsIoT指的是Windows10IoTCore版本.
除非另有说明,所有过程都假定您使用管理员帐户登录到SophosMobileAdmin控制台.
版权所有2018SophosLimited1SophosMobileonPremise2关于SophosMobileSophosMobileSophosMobile是一套EMM解决方案,适合希望节省管理和保护移动设备的时间和精力的公司.
通过易于使用、基于Web的统一SophosCentral管理界面管理移动设备,享受Sophos提供的端点、网络或服务器安全性.
安全的容器应用以及在iOS、Android企业和SamsungKnox中对移动OS容器化的支持,可以确保设备上敏感的公司数据和个人信息相分离.
SophosMobile提供了一流的数据保护、综合的安全性、很高的资金利用价值以及灵活的管理选项,是允许将移动设备用于工作、保持用户的生产效率、保持企业数据安全和保护个人数据隐私的最佳途径.
SophosMobileSecuritySophosMobileSecurity不仅可以保护您的Android设备,而且不会影响设备的性能或电池的寿命.
SophosMobileSecurity利用领先的Sophos反恶意软件技术,提供屡获殊荣的反恶意软件和反病毒功能,能够检测可能不需要的应用,并且提供了隐私和安全顾问、丢失和被盗保护、Web保护等功能.
SophosSecureWorkspaceSophosSecureWorkspace是针对iOS和Android系统的容器化移动内容管理应用,为保护、管理和分发企业文档及Web内容提供了安全的途径.
不离开容器环境即可编辑Office格式的文档,可以确保加密内容保持安全.
防钓鱼技术能够阻止用户打开文档或内容中的恶意链接.
通过SophosMobile托管时,管理员能够根据设备合规性规则,轻松限制内容的访问.
和SophosSafeGuardEncryption一起使用,SophosSecureWorkspace能够在Windows、macOS、iOS和Android用户之间提供加密文件(存储在本地或云上)的无缝交换.
SophosSecureEmailSophosSecureEmail是针对Android和iOS系统的全功能、安全且容器化的电子邮件应用,通过SophosMobile托管时,它让您可以在移动设备上分离企业电子邮件、日历及联系人和个人数据.
所有公司信息都受到AES-256加密方式的保护,并且可以根据设备合规性规则轻松取消访问权限.
SophosSecureEmail还让IT人员可以跨不同的设备和操作系统安全一致地设置企业电子邮件.
2版权所有2018SophosLimitedSophosMobileonPremise3关于SophosMobileAdminSophosMobileAdmin是使用SophosMobile管理设备的主要工具.
服务器的Web界面可用于管理设备.
使用Web门户,可以执行使用设备的企业政策,并将其应用到向SophosMobile注册的设备.
在SophosMobileAdmin中,您可以:配置系统,如个人设置或平台特定的设置.
配置合规性策略,并定义设备不再符合指定规则时要采取的行动.
请参阅合规性策略(第36页).
将设备注册到SophosMobile.
请参阅添加设备(第43页).
设置新设备.
请参阅注册设备(第44页).
在注册的设备上安装应用.
请参阅应用程序(第210页).
定义设备的配置文件和安全策略.
请参阅配置文件和策略(第69页).
创建任务捆绑包以捆绑多个任务,并在一次事务处理中将它们传输到设备.
请参阅任务捆绑包(第200页).
配置自助服务门户的设置.
请参阅配置自助服务门户(第20页).
在设备上执行管理任务,例如,重置设备密码、锁定或擦除设备(如设备丢失或被盗)、取消设备注册.
请参阅管理设备(第51页).
创建和查看报告.
请参阅报告(第9页).
3.
1用户界面SophosMobileAdmin的用户界面分为标题、主菜单和主框架.
主框架根据选定的菜单,显示SophosMobileAdmin的不同页面.
标题页面标题在右侧有以下链接:—您的帐户名称和客户名称.
—帮助按钮,用于在单独的浏览器窗口中打开联机帮助.
—注销按钮,用于注销SophosMobileAdmin.
主菜单左侧的主菜单让您可以访问SophosMobile的主要功能.
注释为您分配的管理员角色会影响您可以做什么.
请参阅用户角色(第4页).
3.
2表格视图在SophosMobileAdmin,很多页面以表格形式显示信息.
这些表格有常用的控件,可以与其进行交互.
在表格上面:使用显示或隐藏列图标配置表格的哪些列可见.
版权所有2018SophosLimited3SophosMobileonPremise在搜索所有字段字段中输入文本,可以仅显示任意列中包含该文本的数据行.
在表格中:单击列标题可以按该属性对表格的行排序.
再次单击可改变排序顺序.
单击记录名称旁边的蓝色三角形,可以对该记录执行操作,如显示、编辑、删除.
在表格下面:使用导航按钮显示特定的表格页面.
使用导出图标将整个表格或当前页面导出为MicrosoftExcel文件或逗号分隔值(CSV)文件.
如果您配置了行筛选器,将只导出当前可见的行.
3.
3前提条件使用SophosMobileAdmin前:您需要一台连接到互联网并配备网页浏览器的计算机.
有关支持的浏览器及相关版本的信息,请参阅SophosMobile发行说明.
超级管理员必须创建了客户(其设备在SophosMobile中进行管理的租户).
有关详细信息,请参阅SophosMobile超级管理员指南.
注释对于SophosMobile即服务,客户是预定义的.
SophosMobile即服务不支持超级管理员.
您需要SophosMobile用户帐户及相关凭据,以登录到SophosMobileAdmin.
凭据由客户、用户名和密码组成.
有关更多信息,请参阅登录SophosMobileAdmin(第5页).
3.
4用户角色SophosMobile管理员有不同的角色.
角色影响管理员可以执行的操作.
可用的角色有:角色说明管理员此角色可以执行所有可用的操作.
受限制的管理员此角色可以注册和管理设备,但不能指定基本设置,也不能管理其他管理员.
报告此角色可以查看设备列表,并且可以创建报告.
例如,审计员或需要在SophosMobile中记录设置的员工.
内容管理员此角色用于负责进行上传、更新或删除文档操作的员工.
此角色通常分配给IT部门以外的人员.
权限设置为限制可见性,且只能访问文档菜单中的内容.
支持人员此角色可以执行支持性的操作,包括注册设备和安装应用.
该角色无权访问关键功能,如定义设置和创建、删除或编辑设备/设备组、软件包和配置文件.
4版权所有2018SophosLimitedSophosMobileonPremise角色说明只读访问对于管理员角色可以使用的所有设置,此角色拥有只读访问权限.
应用组管理员此角色可以管理应用组.
典型的用户是访问SophosMobileWeb服务界面以创建、更新或读取应用组的管理员.
DuoAPI与DuoSecurity身份验证软件进行集成需要此角色.
DuoAPI角色的管理员可以访问SophosMobileWeb服务界面,从而请求设备的管理状态.
请参阅DuoSecurity集成(第66页).
提示您的SophosMobile产品交付包括角色编辑器.
角色编辑器可让您轻松修改现有用户角色或创建自己的自定义角色.
您可以在%MDM_HOME%\tools\Wizard文件夹中找到它,其中%MDM_HOME%是SophosMobile安装文件夹.
有关如何使用角色编辑器的信息,请参阅Sophos知识库文章122066或联系Sophos支持团队.
相关任务创建管理员(第252页)3.
5登录SophosMobileAdmin1.
在您的Web浏览器中打开SophosMobileAdmin.
2.
在登录对话框中,输入您的客户名和用户凭据(名称和密码),然后单击登录.
将显示客户的仪表板页面.
注释首次登录SophosMobileAdmin时,系统会提示您更改密码.
注释管理员可以在登录对话框中显示消息,如关于即将出现的升级或服务中断时间的消息.
单击该消息可以显示其全部内容.
3.
6注销SophosMobileAdmin要注销SophosMobileAdmin,请单击页面标题中的注销.
3.
7更改您的密码登录SophosMobileAdmin后,您可以随时更改您的密码:版权所有2018SophosLimited5SophosMobileonPremise1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击更改密码选项卡.
2.
输入您的旧密码、新密码,并确认.
3.
单击保存.
3.
8密码恢复如果您忘记了SophosMobileAdmin的密码,您可以重置该密码.
1.
在SophosMobileAdmin的登录对话框中,单击忘记密码将显示重置密码对话框.
2.
输入您的账户信息,然后单击重置密码.
您将会收到一封含有重置密码链接的电子邮件.
3.
单击该链接.
将显示更改密码对话框.
4.
输入新密码,确认并单击更改密码.
您的密码已更改,并登录到SophosMobileAdmin.
6版权所有2018SophosLimitedSophosMobileonPremise4使用SophosMobile管理设备的主要步骤根据设备类型、企业安全策略及企业特定要求,SophosMobile提供了广泛的移动设备管理功能.
使用SophosMobile管理设备的主要步骤为:为设备配置合规性策略.
请参阅合规性策略(第36页).
创建设备组.
请参阅创建设备组(第68页).
设备组用于对设备进行分类.
建议将设备放入组中.
这样有助于您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
注册和设置设备.
请参阅添加设备(第43页)和注册设备(第44页).
设备可以由管理员在SophosMobileAdmin中或由设备用户在自助服务门户中注册并设置.
设置设备的配置文件和安全设置.
请参阅配置文件和策略(第69页).
创建任务捆绑包.
请参阅任务捆绑包(第200页).
配置可用的自助服务门户.
请参阅配置自助服务门户(第20页).
对注册的设备应用新的或更新后的配置文件及安全设置.
版权所有2018SophosLimited7SophosMobileonPremise5仪表板注释本节内容适用于普通管理员的仪表板页面.
对于超级管理员,仪表板页面用于管理客户.
请参阅SophosMobile超级管理员指南.
可自定义的仪表板是SophosMobile的常规启动页面,它提供了一种快速浏览最重要信息的途径.
它由几个小组件构成,提供以下信息:设备,全部或分组合规性状态,按平台或所有设备管理状态(按平台或所有设备)SSP注册状态托管的平台版本还有一个特殊的添加设备小组件,用于启动设备注册向导.
请参阅使用设备注册向导分配和注册新设备(第46页).
以下选项可用于自定义仪表板:要在页面中添加小组件,请单击添加小组件.
要从页面中删除小部件,请单击其标题中的关闭按钮.
要将页面重置为其默认布局,请单击恢复默认布局.
要在页面上重新排列小组件,请拖动小组件的标题.
8版权所有2018SophosLimitedSophosMobileonPremise6报告使用SophosMobile,可以从以下区域创建不同的报告:设备应用和文档兼容性恶意软件证书要创建报告:1.
在侧边的菜单栏上,单击通知下的报告,然后单击所需报告的名称.
2.
在选择格式对话框中,单击其中一个可用的图标,选择输出格式︰单击可将报告导出到MicrosoftExcel文件.
单击可将报告导出到逗号分隔值(CSV)文件.
将使用您的Web浏览器下载设置将报告保存到本地计算机上.
版权所有2018SophosLimited9SophosMobileonPremise7任务任务视图页面提供了您创建和启动的所有任务的概况,并显示它们的当前状态.
您可以监视您的所有任务,并在出现问题时进行干预.
例如,您可以删除不能完成但又影响设备的任务.
要删除任务,请单击它旁边的删除图标.
可以根据类型和状态对任务进行筛选,并按设备名称、数据包名称、创建人和计划日期对它们排序.
7.
1监视任务在SophosMobileAdmin中,您可以监视设备的所有现有任务.
任务页面显示最近几天内所有未完成、失败以及已完成的任务.
任务视图页面会自动刷新,因此可以查看任务的状态.
任务详细信息页面显示来自任务页面或任务存档页面中的任务的常规信息.
任务存档页面显示所有任务.
7.
1.
1查看未完成、失败和最近完成的任务1.
在侧边的菜单栏中,单击通知下的任务.
2.
在任务视图页面上,状态列显示任务状态,例如,完全失败.
3.
在刷新间隔(秒)字段中,可以选择任务视图页面多长时间刷新一次.
4.
要查看任务的详细信息,请单击所需任务旁边的显示放大镜图标.
将显示任务详细信息页面.
除有关任务的一般信息(如设备名、软件包名称和创建人)以外,它还会显示特定任务运行的状态,包括时间戳和错误代码.
如有需要设备执行的命令,可使用任务详细信息页面上的附加详细信息按钮.
5.
如可用,请单击详细信息以查看需要设备执行的命令.
发送到设备的命令是任务的一部分.
它们由SMC应用或MDM客户端执行.
指示成功或失败的结果会传回服务器.
如果没有出错,错误代码为"0".
如果某个命令失败,将显示错误代码.
在大多数情况下,还会有导致命令失败的原因的说明.
6.
要返回任务详细信息页面,请单击返回.
7.
1.
2查看任务存档1.
在侧边的菜单栏中,单击通知下的任务.
2.
在任务视图页面中,单击任务存档.
将显示任务存档页面.
它会显示系统中所有完成和失败的任务.
3.
在此页面上,可以:单击重新加载,刷新任务存档页面.
通过单击相关任务旁边的删除图标,从存档中删除任务.
选中多个任务并单击删除选中内容按钮,将它们从存档中删除.
要返回任务视图页面,请单击侧边菜单栏中的任务.
10版权所有2018SophosLimitedSophosMobileonPremise7.
1.
3任务状态下表概述了任务视图和任务存档页面中显示的任务状态.
每种状态都与指示状态类别的颜色代码相关联.
颜色代码状态说明接收任务已创建.
将重试稍后将重试任务.
已开始任务已开始.
正在执行正在准备执行任务.
正在执行任务捆绑包正在准备执行任务捆绑包.
通知已通知SMC应用.
发送命令SMC应用已接收软件包和/或命令.
开始结果评价SMC应用已响应且已开始评价结果.
结果不完整评价结果表明,目前并非所有命令结果均已收到.
等待用户介入设备上有待定的用户操作.
等待任务完成安装任务已发送到设备,但完成任务需要一些时间.
设备被锁定任务等待设备解锁(仅iOS).
成功已安装软件包或已成功执行命令.
注释对于SophosMobileControl应用的初始配置,任务必须以已安装状态完成.
已安装已成功安装SophosMobileControl应用.
设备现在已设置.
结果评价失败结果评价无法执行.
任务部分失败并非所有任务命令均可成功执行.
版权所有2018SophosLimited11SophosMobileonPremise颜色代码状态说明延迟稍后将重启任务.
失败(等候重试)任务已失败,稍后将重试该任务.
任务失败任务已失败,不再等候进一步重试.
完全失败任务已失败,且不能再重试.
未开始任务是任务捆绑包的一部分,且尚未处理.
已跳过设备不支持.
任务包执行继续执行下一个任务.
未知服务器没有有关任务状态的信息.
颜色代码类别打开正在执行成功失败其他12版权所有2018SophosLimitedSophosMobileonPremise8警报警报页面列出了需要您注意的警报.
对于每个警报,列表显示引起警报的事件、发生时间以及受影响的用户和设备.
该列表还显示警报的严重性:灰色信息标志信息警报橙色警告标志中等优先级警报红色警告标志高等优先级警报确认已知警报选择一个或多个警报,然后单击标记为已确认以从列表中删除所选警报.
要显示已确认的警报,请在表格上方的下拉列表中选择显示已确认的警报.
注释确认警报并不能解决触发它的事件.
重要提示90天后,即使您尚未确认,警报也会自动从SophosMobile数据库中删除.
设置警报的电子邮件报告SophosMobile发送尚未确认的所有警报的电子邮件报告.
有关如何设置收件人列表和通知时间表的信息,请参阅配置电子邮件(第18页).
哪些事件触发警报为以下事件创建警报:您已启动创建警报操作的合规性冲突.
请参阅创建合规性策略(第36页).
已解决的合规性冲突设备生命周期更改:—添加设备—注册设备—取消设备注册重要的设备操作:—擦除设备—锁定设备—定位设备版权所有2018SophosLimited13SophosMobileonPremise—重置密码超过了手机网络数据使用量的阈值成功和失败的任务在配置文件或策略中使用的未定义的占位符以下许可证和证书即将到期:—SophosMobile许可证—Apple大量购买方案(VPP)许可证—Apple设备注册程序(DEP)许可证—SamsungKnoxPremium许可证—SophosMobile服务器的SSL/TLS证书—Apple推送通知服务(APNs)证书—配置文件和策略中配置的根和客户端证书—设备证书APNs证书附加事件:—APNs证书已续订—APNs证书已撤销—未配置APNs证书SophosMobileSecurity事件:—检测到或清除的恶意软件—检测到或清除的PUA—检测到或清除的低信誉应用Android企业活动:—Google通讯错误—取消任务捆绑包中使用的工作应用的审批14版权所有2018SophosLimitedSophosMobileonPremise9常规设置在一般设置页面上,您可以执行以下任务:个人—配置个人设置(第15页)更改密码—更改您的密码(第5页)密码策略—配置密码策略(第16页)SMC应用程序—配置SMC应用设置(第16页)Android—启用百度云推送服务(第17页)iOS—配置iOS设置(第17页)Windows—配置Windows设备的轮询间隔(第18页)邮件配置—配置电子邮件(第18页)技术联系人—配置技术支持联系人详细信息(第19页)客户属性—定义客户属性(第19页)9.
1配置个人设置为了更有效地使用SophosMobileAdmin,您可以自定义用户界面,以只显示使用的平台.
注释通过对平台进行配置,可以只更改当前登录用户的视图.
不能在这里停用任何功能.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击个人选项卡.
2.
配置以下设置:选项说明语言为SophosMobileAdmin选择语言.
时区选择显示哪个时区的日期.
单位系统选择长度值的单位系统(公制或英制).
表格中每个页面的行数选择要在每个页面中显示的最大表格行数.
版权所有2018SophosLimited15SophosMobileonPremise选项说明显示扩展的设备详细信息选中此复选框将显示设备的所有可用信息.
自定义属性和内部属性选项卡将添加到显示设备页面上.
激活的平台选择要为客户管理的平台:AndroidAndroidThingsiOSWindowsMobile(包括WindowsPhone8.
1和Windows10Mobile操作系统)WindowsWindowsIoT根据选择的平台,将调整SophosMobileAdmin的用户界面.
只显示与所选平台相关的视图和功能.
注释可用的平台取决于超级管理员配置中的平台设置.
有关详细信息,请参阅SophosMobile超级管理员指南.
3.
单击保存.
9.
2配置密码策略为加强密码安全性,请为SophosMobileAdmin用户和自助服务门户配置密码策略.
注释密码策略不适用于外部LDAP目录中的用户.
有关外部用户管理的详细信息,请参阅SophosMobile超级管理员指南.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击密码策略选项卡.
2.
在规则下,可以定义密码要求,如有效密码必须包含的小写、大写或数字字符的最小数目.
3.
在设置下,配置以下设置:a)更改密码的间隔天数(天):输入密码过期之前的天数(1和730之间),或将该字段保留为空以禁用密码过期.
b)不得重复使用的旧密码的数目:选择1和10之间的值,或选择---禁用此限制.
c)登录尝试失败的最大次数:选择帐户被锁定之前可以尝试的失败登录次数(1和10之间),或选择---允许无限次失败的登录尝试.
4.
单击保存.
9.
3配置SMC应用设置在常规设置页面的SMC应用选项卡上,可以为Android、iOS和WindowsMobile设备上的SophosMobileControl应用配置设置.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击SMC应用选项卡.
16版权所有2018SophosLimitedSophosMobileonPremise2.
配置以下设置:选项说明禁用通过应用程序取消注册可以从SophosMobileControl应用删除取消注册按钮,防止用户通过该应用取消其设备注册.
注释要完全防止用户启动的取消注册,也可以在自助服务门户设置中禁用取消设备注册选项.
请参阅配置自助服务门户设置(第21页).
3.
单击保存.
9.
4启用百度云推送服务SophosMobile使用GoogleCloudMessaging(GCM)服务向Android设备发送推送通知,从面触发设备与SophosMobile服务器通信.
在中国,GCM可能无法使用.
因此,SophosMobile还可以使用百度云推送服务,这是中国的推送通知服务.
如果要管理位于中国的Android设备,请按以下步骤启用百度云推送服务:1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击Android选项卡.
2.
在百度云推送服务部分,选择启用百度云推送服务.
3.
单击保存.
启用百度云推送服务后,SophosMobile将通过GCM和百度云推送服务发送所有推送通知.
9.
5配置iOS设置在常规设置页面的iOS选项卡上,可以配置特定于iOS设备的设置.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击iOS选项卡.
2.
配置以下设置:选项说明激活锁定跳过选择启用可以在受监督的设备上清除激活锁定.
选中此选项后,SophosMobile将在同步已启用激活锁定的受监督设备时检索跳过代码.
如果需要,可以在设备的显示设备页面上执行激活锁定跳过操作,在需要擦除和重新部署设备时清除激活锁定.
激活锁定是iOS的一项安全功能,可以防止重新激活丢失或被盗的设备.
通常,需要正确的AppleID和密码才能清除激活锁定.
使用激活锁定跳过功能,只需要提供跳过代码就可以清除激活锁定.
同步设备名称选中启用可以通过设备上配置的名称来管理iOS设备.
如果选中此选项,SophosMobile使用的设备名称将在SophosMobile每次同步设备时设置.
版权所有2018SophosLimited17SophosMobileonPremise选项说明如果不选择此选项,可以在设备注册时设置设备名称.
3.
单击保存.
9.
6配置Windows设备的轮询间隔对于Windows设备,可以配置WindowsMDM客户端和SophosMobile服务器进行通信的轮询间隔.
服务器通常使用推送通知联系客户端.
推送通知服务不可用时,使用轮询作为安全方式.
注释默认值在大多数情况下已经足够.
使用较短的间隔会影响电池寿命和数据消耗,并导致更高的服务器负载.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击Windows选项卡.
2.
为不同的Windows操作系统选择轮询间隔.
可以为以下设备配置单独的设置︰Windows10移动版和WindowsPhone8.
1设备Windows10计算机3.
单击保存.
9.
7配置电子邮件在邮件配置选项卡上,您可以配置由SophosMobile发送的电子邮件的设置.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击邮件配置选项卡.
2.
在语言中,选择电子邮件语言.
3.
在发件人名称,输入显示为电子邮件发件人的名称.
4.
可选:在警报电子邮件设置下,配置发送给管理员的警报报告:a)在严重性中,选择报告中包含的严重性级别.
b)在邮件收件人中,通过输入一个或多个有效的电子邮件地址来指定收件人.
c)在电子邮件计划中,输入报告发出的时间,然后单击添加.
重复此操作,每天发送多个报告.
注释时间在服务器时区中.
5.
单击保存.
相关概念警报(第13页)18版权所有2018SophosLimitedSophosMobileonPremise9.
8配置技术支持联系人详细信息为支持有问题或疑问的用户,可以向他们提供有关如何联系技术支持的详细信息.
在这里输入的信息将显示在SophosMobileControl应用和自助服务门户中.
1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击技术联系人选项卡.
2.
为技术联系人输入必要的信息.
3.
单击保存.
9.
9定义客户属性可以定义客户级别的属性.
使用我的属性名称定义属性时,可以使用%_CUSTPROP(我的属性)_%占位符引用配置文件和策略中的属性值.
例如,可以用它来引用特定于客户的域.
有关配置文件和策略占位符的详细信息,请参阅配置文件和策略中的占位符(第73页).
要定义客户属性:1.
在侧边的菜单栏中,单击设置下的设置>常规,然后单击客户属性选项卡.
2.
单击添加客户属性.
3.
为新属性输入名称和值.
4.
单击应用,添加该属性.
5.
单击保存,将修改保存到客户设置中.
版权所有2018SophosLimited19SophosMobileonPremise10配置自助服务门户使用自助服务门户,可以通过允许用户自己注册设备并执行其他任务来减少IT工作量,而无需联系支持人员.
在侧边的菜单栏上,可以配置自助服务门户的使用设置,例如:可以注册设备的平台.
可用的功能.
允许访问自助服务门户的用户.
自助服务门户可用于以下平台:AndroidiOSWindowsMobileWindows10.
1使用内部用户管理创建自助服务门户组自助服务门户配置适用于自助服务门户用户组.
通过内部用户管理,您可以创建自助服务门户组并为其分配用户.
更多有关用户管理的信息,请参见管理自助服务门户(第24页).
注释如果被超级管理员激活后,内部用户管理仅适用于客户.
有关详细信息,请参阅SophosMobile超级管理员指南.
这不适用于SophosMobile即服务.
SophosMobile即服务中不支持超级管理员.
有关如何定义SophosMobile即服务的用户管理方法的信息,请参阅配置自助服务门户用户管理(第25页).
若要创建自助服务门户组,请执行以下操作:1.
在侧边的菜单栏中,单击管理下的用户.
将显示显示用户页面.
2.
单击显示用户组.
将显示显示用户组页面.
3.
单击创建组.
将显示编辑组页面.
4.
在名称字段中,输入自助服务门户用户组的名称.
5.
单击保存.
新的自助服务门户用户组将显示在显示用户组页面上.
当您创建新用户时,您可以将他们分配到组中.
当您定义自助服务门户设置时,您可以选择组以进行设置分配.
20版权所有2018SophosLimitedSophosMobileonPremise10.
2配置自助服务门户设置注释当您关闭内部和外部用户管理时,"自助服务门户"设置不可用.
请参阅配置自助服务门户用户管理(第25页).
1.
在侧边的菜单栏中,单击设置下的设置,然后单击自助服务门户.
将显示自助服务门户页面.
2.
在配置选项卡中,配置以下设置:a)在最大设备数目列表中,选择用户可以在自助服务门户中注册的最大设备数目.
这可以确保不超过可用的许可证数目.
b)在设备所有者预选列表中,选择是否将新设备分为企业或个人设备,以及用户在自助服务门户中注册其设备时是否可以修改此分类.
可以选择以下任一设置:无预选:用户可以选择企业设备或个人设备.
预选企业:将预选企业设备.
用户可以将其修改为个人设备.
固定企业:将选择企业设备,且用户不能修改.
预选个人:将预选个人设备.
用户可以将其修改为企业设备.
固定个人:将选择个人设备,且用户不能修改.
c)在可用功能下,选择用户可以在自助服务门户中使用的功能.
支持的功能根据设备平台而有所不同.
请参阅可用的自助服务门户操作(第22页).
3.
在使用条款选项卡中,可以配置移动策略、免责声明或协议文本,它们将在用户注册其设备时显示为第一步骤.
用户必须接受该文本,才能继续.
您可以使用HTML标记格式化文本.
4.
在安装后文本选项卡上,可以配置设备注册后要在自助服务门户中显示的文本.
例如,使用它来描述注册后任务.
您可以使用HTML标记格式化文本.
5.
在组设置选项卡中,可以配置组设置,例如,注册设备要添加到的设备组以及将传递到设备中的任务捆绑包.
重要提示由于组设置配置的复杂性,我们建议您在向实际用户推出这些设置前,对不同的用户组进行设备注册测试.
a)单击添加.
将显示编辑组设置页面.
b)在名称字段中,输入自助服务门户配置组的名称.
c)在用户组字段中,输入您已定义的用户组(用于内部用户管理)或具有完整LDAP路径或通配符的LDAP目录组(用于外部用户管理).
可以在此字段中使用星号(*)作为第一、最后或唯一字符,以指定多个组.
例如:输入Dev*可指定所有以Dev字符串开头的组名称.
输入*指定所有可用组.
注释值*表示所有组,而不是所有用户.
不包括不是任何组成员的用户.
版权所有2018SophosLimited21SophosMobileonPremised)选择在注册过程中显示使用条款以显示您在注册过程第一步之前配置的使用条款文本.
e)选择注册期间显示安装后文本以显示您在注册过程最后一步之前配置的安装后文本.
f)在初始包-企业设备和初始包-个人设备列中,选择要在企业和个人设备上执行的任务捆绑包(对于Android、iOS和macOS)或策略(对于Windows和WindowsMobile).
g)在活动列中,选择在自助服务门户中可用的平台.
必须先选择一个初始包,然后才能选择平台.
h)在添加到设备组列中,选择要将设备添加到哪个设备组.
有关设备组的信息,请参阅设备组(第68页).
i)单击应用.
6.
将显示自助服务门户页面.
单击保存.
注释作为超级管理员,您也可以为自助服务门户定义默认客户.
有关详细信息,请参阅SophosMobile超级管理员指南.
请注意,这不适用于SophosMobile即服务.
SophosMobile即服务中不支持超级管理员.
10.
3可用的自助服务门户操作本节列出了针对单个平台的自助服务门户操作.
操作说明平台定位设备使用此功能,用户可以在其设备丢失或被盗时定位设备.
AndroidiOSWindowsMobileWindows锁定设备使用此功能,用户可以在其设备丢失或被盗时锁定设备.
AndroidiOSmacOSWindowsMobile重新配置设备使用此功能,用户可以在SophosMobile已经从设备中删除、但设备仍然处于注册状态时,重新配置其设备.
AndroidiOSmacOSWindowsMobileWindows22版权所有2018SophosLimitedSophosMobileonPremise操作说明平台显示违反兼容性使用此功能,用户可以查看其设备的合规性违反情况.
AndroidiOSmacOSWindowsMobileWindows刷新数据使用此功能,用户可以手动操作将其设备与SophosMobile服务器同步.
这很有用,例如,您的设备已关闭较长一段时间,因此不能与服务器取得同步.
在这种情况下,设备可能不合规,并且需要与服务器同步才能使其再次相容.
注释在SophosMobile只管理Sophos容器的设备上,此功能不可用.
AndroidiOSmacOSWindowsMobileWindows重置密码使用此功能,用户可以重置他们的锁屏密码.
对于Android和iOS设备,自助服务门户中将显示一个临时密码.
设备只能使用此密码解锁.
设备解锁后,用户可以设置新密码.
对于iOS,将完全删除密码.
用户必须在60分钟内设置新密码.
AndroidiOSWindowsMobile擦除使用此功能,用户可以在其注册设备丢失或被盗时,将设备恢复为出厂设置.
设备中的所有数据都将被删除.
AndroidiOSmacOSWindowsMobileWindows擦除Android工作配置文件使用此功能,用户可以从其设备中删除工作配置文件.
这也会从SophosMobile中取消注册设备.
Android取消设备注册使用此功能,用户可以对不再使用的设备解除授权.
这很有用,例如当用户可在自助服务门户中注册的设备数量有限时或用户取得新设备时.
AndroidiOSmacOSWindowsMobileWindows版权所有2018SophosLimited23SophosMobileonPremise操作说明平台删除未托管的设备使用此功能,用户可以删除已经解除授权的设备.
AndroidiOSmacOSWindowsMobileWindows重置应用保护密码使用此功能,用户可以重置Android设备的应用保护密码.
应用保护密码可以保护定义的应用,用户每次启动这些应用时都必须输入密码.
密码将被删除,用户必须设置一个新密码.
Android重置Sophos容器密码使用此功能,用户可以重置其Sophos容器密码.
用户每次启动Sophos容器应用时,都必须输入容器密码.
密码将被删除,用户必须设置一个新密码.
AndroidiOS重新配置SMC应用程序使用此功能,用户可以重新配置已经安装的SophosMobileControl应用.
iOSWindowsMobile托管的丢失模式用户可以开启或关闭托管的丢失模式.
iOS播放丢失模式声音用户可以在其托管的丢失模式下的设备上播放声音.
iOS相关任务配置自助服务门户设置(第21页)10.
4管理自助服务门户SophosMobile为管理自助服务门户用户提供了不同的方法.
内部用户管理:使用内部用户管理,您可以通过在SophosMobile中手动添加用户或通过从逗号分隔值(CSV)文件导入用户的形式创建用户.
外部用户管理:使用外部用户管理功能,您可以将设备分配至基于外部目录成员的组或配置文件中.
用户管理方法特定于客户.
对于SophosMobileonPremise,它是由超级管理员在创建客户时定义的.
对于SophosMobile即服务,必须在添加用户前定义.
请参阅配置自助服务门户用户管理(第25页).
24版权所有2018SophosLimitedSophosMobileonPremise10.
4.
1配置自助服务门户用户管理注释对于SophosMobileonPremise,自助服务门户的用户管理是由超级管理员在创建客户时配置的.
请参阅SophosMobile超级管理员指南.
1.
在侧边的菜单栏中,单击设置下的设置,然后单击系统设置.
将显示系统设置页面.
2.
转到用户设置选项卡.
在该选项卡上,选择可供SophosMobile管理的自助服务门户(SSP)用户的数据源:选择无没有可用的SSP、用户特定配置文件或LDAP管理员来关闭用户管理.
选择内部目录对自助服务门户用户使用内部用户管理.
选择外部LDAP目录对自助服务门户用户使用外部用户管理.
单击配置外部LDAP,指定服务器详细信息.
请参阅配置外部目录连接(第25页).
3.
单击保存.
如果已经选择内部目录或外部LDAP目录、选定的选项和无选项.
用户设置选项卡中将显示没有可用的SSP、用户特定配置文件或LDAP管理员.
如果要在以后更改选项,请选择无.
没有可用的SSP、用户特定配置文件或LDAP管理员可以使所有选项可用.
注释只要有设备链接到目录,则不能更改用户管理配置.
如果在设备仍然连接时尝试更改配置,将显示一条错误消息.
10.
4.
2配置外部目录连接使用外部LDAP目录管理SophosMobileAdmin和自助服务门户的用户帐户时,必须配置目录连接,这样SophosMobile才能从LDAP服务器检索用户数据.
对于SophosMobileonPremise,它是由超级管理员在创建客户时完成的.
注释LDAP目录和SophosMobile之间没有同步.
SophosMobile将只访问LDAP目录以查找用户信息.
对LDAP用户帐户的更改将不会在SophosMobile数据库中进行,反之亦然.
1.
在侧边的菜单栏中,单击设置下的设置>系统设置,然后单击用户设置选项卡.
2.
选择外部LDAP目录.
3.
单击配置外部LDAP,指定服务器详细信息.
4.
在服务器详细信息页面上,配置以下设置:a)在LDAP类型字段中,选择LDAP服务器类型:ActiveDirectoryIBMDominoNetIQeDirectoryRedHatDirectoryServer版权所有2018SophosLimited25SophosMobileonPremiseZimbrab)在主URL字段中,输入主目录服务器的URL.
可以输入服务器IP或服务器名称.
选择SSL/TLS通过SSL或TLS(取决于服务器支持的类型)保护服务器连接.
对于SophosMobile即服务,无法取消选择SSL/TLS.
c)可选:在辅助URL字段中,输入在主服务器无法连接时用作回退方法的目录服务器的URL.
可以输入服务器IP或服务器名称.
选择SSL/TLS通过SSL或TLS(取决于服务器支持的类型)保护服务器连接.
对于SophosMobile即服务,无法取消选择SSL/TLS.
d)在用户字段中,输入用于在目录服务器上执行查找操作的帐户.
SophosMobile将在连接到目录服务器时使用该帐户凭据.
对于ActiveDirectory,还需要输入相关的域.
支持的格式有:\@.
注释出于安全考虑,我们建议您指定只有目录服务器读取权限而没有写入权限的用户.
e)在密码字段中,输入用户的密码.
单击下一步.
5.
在搜索库页面上,输入搜索库对象的可分辨名称.
搜索库对象用于定义外部目录中的位置,搜索用户或用户组时将从这里开始.
6.
在搜索字段页面上,定义使用哪些目录字段来解析配置文件和策略中的占位符%_USERNAME_%和%_EMAILADDRESS_%.
键入所需字段的名称或在用户名和电子邮件列表中选择.
注释列表只包含为当前连接到LDAP目录的用户配置的字段,这是在本说明前面部分的步骤4.
d(第26页)中指定的.
例如,如果没有为该用户配置电子邮件字段,则需要在电子邮件字段中手动输入所需的值.
对于ActiveDirectory,将应用以下字段映射:用户名:sAMAccountName名:givenName姓:sn电子邮件:mail7.
在SSP配置页面上,指定允许登录到自助服务门户的用户.
使用以下任一选项,在LDAP目录组字段中输入相关信息:如果输入星号*,将允许所有LDAP目录组的成员登录到自助服务门户.
注释值*表示所有组,而不是所有用户.
不包括不是任何LDAP目录组成员的用户.
如果输入的组名已经定义在目录服务器中,将允许该组的所有成员登录自助服务门户.
输入组名后,单击解析组,将组名解析为可分辨名称(DN).
如果将该字段保留为空,将不允许该目录服务器的用户登录自助服务门户.
如果要对SophosMobileAdmin启用外部用户管理,但不对自助服务门户启用,则可使用此选项.
26版权所有2018SophosLimitedSophosMobileonPremise注释在这里指定的组与在自助服务门户页面的组设置选项卡中定义的用户组不相关.
使用这些设置,可以为每个用户组定义任务捆绑包、SophosMobile组成员身份和可用的设备平台.
8.
单击应用.
9.
在用户设置选项卡上,单击保存.
10.
4.
3创建自助服务门户用户本节仅适用于内部用户管理,即当您不使用LDAP目录来管理用户帐户时.
有关如何配置SophosMobileonPremise的用户管理的信息,请参阅SophosMobile超级管理员指南.
有关如何配置SophosMobile即服务的用户管理的信息,请参阅配置自助服务门户用户管理(第25页).
要为自助服务门户创建用户帐户:1.
在侧边的菜单栏中,单击管理下的用户.
将显示显示用户页面.
2.
单击创建用户.
将显示编辑用户页面.
3.
选中发送注册邮件复选框.
4.
输入以下信息:a)用户名b)名c)姓d)电子邮件地址e)组(可选)注释用户名字段必须仅包含字母(拉丁字母)、数字、空格和字符\!
.
_-#.
5.
单击保存.
新的自助服务门户用户将显示在显示用户页面上.
将向新用户发送注册电子邮件.
如果单击所需用户旁边的蓝色三角形,则可查看用户详细信息(显示)、编辑或删除用户.
注释如果单击用户名,将显示显示用户页面.
该页面包含重新发送注册邮件按钮,如果用户没有收到或丢失了最初的电子邮件,可用它重新发送该邮件.
10.
4.
4导入自助服务门户用户本节仅适用于内部用户管理,即当您不使用LDAP目录来管理用户帐户时.
版权所有2018SophosLimited27SophosMobileonPremise有关如何配置SophosMobileonPremise的用户管理的信息,请参阅SophosMobile超级管理员指南.
有关如何配置SophosMobile即服务的用户管理的信息,请参阅配置自助服务门户用户管理(第25页).
您可以通过导入UTF-8编码的逗号分隔值CSV文件添加新的自助服务门户用户,最多可添加500个用户.
注释使用文本编辑器编辑CSV文件.
如果使用MicrosoftExcel,输入的值可能无法正确处理.
确保使用.
csv扩展名保存该文件.
提示可从导入用户页面中下载带有正确列名和列顺序的样本文件.
要从CSV文件导入用户:1.
在侧边的菜单栏中,单击管理下的用户,然后单击导入用户.
2.
在导入用户页面上,选择发送注册邮件.
3.
单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
4.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
5.
单击完成以创建用户帐户.
用户将导入,并显示在显示用户页面上.
他们将收到电子邮件,其中包括他们的自助服务门户登录凭据.
10.
4.
5查看用户详细信息1.
在侧边的菜单栏中,单击管理下的用户.
将显示显示用户页面,显示自助服务门户的所有用户帐户.
2.
单击要显示其详细信息的用户旁边的蓝色三角形,然后单击显示.
显示账户详细信息和用户分配到的设备.
对于内部用户管理,即当您不使用LDAP目录管理用户帐户时,您可以单击编辑以编辑帐户详细信息.
28版权所有2018SophosLimitedSophosMobileonPremise11系统设置在系统设置页面上,您可以执行以下任务:许可证—检查您的许可证(第29页)APNs—创建APNs证书(第30页)—续订APNs证书(第31页)—复制APNs证书到其他客户(第32页)iOSAirPlay—配置iOSAirPlay目标(第33页)Android企业—设置Android企业-概述(第228页)AppleVPP—设置VPPsToken(第220页)—自动分配VPP应用(第222页)—同步VPP许可证信息(第223页)AppleDEP—设置AppleDEP(第61页)AppleDEP配置文件—创建DEP配置文件(第62页)SamsungKnox许可证—注册SamsungKnox许可证(第33页)SCEP—配置SCEP(第34页)用户设置—配置用户设置(第35页)SGN—启用企业Keyring同步(第261页)11.
1检查您的许可证SophosMobile采用基于用户的许可证授权方案.
一个用户许可证对分配给该用户的所有设备都有效.
每个未分配给用户的设备都需要一个许可证.
要检查可用的许可证:1.
在侧边的菜单栏中,单击设置下的设置>系统设置.
2.
在系统设置页面上,单击许可证选项卡.
将显示以下信息:最大许可证数目:可以管理的设备用户(和未分配的设备)的最大数目.
版权所有2018SophosLimited29SophosMobileonPremise如果超级管理员没有为客户设置配额,许可证的数量将受SophosMobile服务器的总量限制.
使用的许可证:在用的许可证数量.
有效期至:许可证的到期日期.
高级许可证:超级管理员已经为客户激活了MobileAdvanced许可证.
如果您对显示的许可证信息有任何问题或疑问,请联系您的Sophos销售代表.
11.
2Apple推送通知服务证书要使用iOS和macOS设备的内置移动设备管理(MDM)协议,SophosMobile必须使用Apple推送通知服务(APNs)触发设备.
APNs证书的有效期为一年.
以下各节介绍使用自己的客户端证书访问APNs时,必须满足的要求和必须执行的步骤.
11.
2.
1要求为了与Apple推送通知服务(APNs)进行通信,必须允许以下端口的双向TCP数据流:SophosMobile服务器需要连接到gateway.
push.
apple.
com:2195TCP(17.
0.
0.
0/8)每个只有Wi-Fi访问权限的iOS设备需要连接到*.
push.
apple.
com:5223TCP(17.
0.
0.
0/8)11.
2.
2创建APNs证书此过程假定您尚未上传Apple推送通知服务(APNs)证书到SophosMobile.
要续订现有证书,请参阅续订APNs证书(第31页).
提示您可以对多个客户使用相同的证书.
请参阅复制APNs证书到其他客户(第32页).
1.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击APNs选项卡.
该选项卡上的说明将引导您完成必须执行的步骤,以便从Apple申请证书并将其上传到SophosMobile.
2.
在下载证书签名请求步骤中,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
签名请求文件特定于当前客户.
3.
您需要AppleID.
即便您已经有ID,我们还是建议您创新一个新的ID用于SophosMobile.
在创建AppleID步骤中,单击创建一个新的AppleID.
将打开一个Apple网页,您可以在其中为您的公司创建AppleID.
注释将凭据存储在一个您的同事可以访问的安全地方.
您的公司每年都需要这些凭据来续订证书.
4.
为方便您参考,在APNs选项卡顶部的AppleID字段中输入您的新AppleID.
当您每年续订证书时,始终必须使用相同的AppleID.
5.
在创建或续订APNs证书步骤中,单击Apple推送证书门户.
30版权所有2018SophosLimitedSophosMobileonPremise将打开Apple推送证书门户.
6.
用您的AppleID登录,并上传证书签名请求文件apple.
csr.
7.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
8.
在上传APNs证书步骤中,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
9.
单击保存,将APNs证书添加到SophosMobile.
SophosMobile读取证书,并在APNs选项卡上显示证书详细信息.
11.
2.
3续订APNs证书此过程假定您已经上传了Apple推送通知服务(APNs)证书到即将过期且需要续订的SophosMobile.
要创建和上传新证书,请参阅创建APNs证书(第30页).
重要提示在Apple门户中,选择正确的APNs证书进行续订很重要.
如果续订了错误的证书,可能需要重新注册所有iOS和macOS设备.
1.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击APNs选项卡.
2.
在下载证书签名请求步骤中,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
3.
跳过创建AppleID步骤.
仅在您首次为SophosMobile创建APNs证书时,才需要执行此步骤.
4.
在创建或续订APNs证书步骤中,单击Apple推送证书门户.
将打开Apple推送证书门户.
5.
使用您的AppleID登录.
这必须是用于创建初始APNs证书的相同ID.
6.
在Apple推送证书门户中,单击SophosMobileAPNs证书旁边的续订.
7.
上传您之前准备的证书签名请求文件apple.
csr.
8.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
9.
在上传APNs证书步骤中,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
10.
单击保存.
11.
以超级管理员客户身份登录时,有一个额外的对话框列出了当前使用与超级管理员相同APNs证书(即有相同主题属性的证书)的所有客户.
单击对所有相关客户保存,为所有这些客户续订APNs证书.
单击仅对超级管理员客户保存,只为超级管理员客户续订APNs证书.
重要提示如果显示以下消息,则不是在续订正确的证书:新证书的主题不符合旧证书.
如果设备已经用先前证书进行设置,则必须重新进行设置.
确定要保存更改此消息表明您将使用不同的标识符创建新的APNs证书.
如果您确认该消息,将不能再管理所有现有的iOS和macOS设备,并且您必须重新注册这些设备.
有关如何选择正确证书的信息,请参阅确定正确的APNs证书进行续订(第32页).
版权所有2018SophosLimited31SophosMobileonPremise11.
2.
4复制APNs证书到其他客户您可以将Apple推送通知服务(APNs)证书复制到安装的相同或不同SophosMobile中的其他客户.
重要提示如果目标位置已经有APNs证书,要复制的证书的主题属性与现有证书的主题相同很重要.
如果复制了错误的证书,可能需要重新注册客户的所有iOS和macOS设备.
从源位置下载证书:1.
以要复制其APNs证书的客户的管理员身份登录到SophosMobileAdmin.
2.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击APNs选项卡.
3.
记录证书详细信息中显示的主题值.
4.
单击将证书下载为PKCS#12文件.
5.
在确认对话框中,将显示证书文件的密码.
记录该密码,然后单击下载.
将把证书文件apns_cert.
p12保存到您的本地计算机.
将该证书上传到目标位置:6.
以要向其上传证书的客户的管理员身份登录到SophosMobileAdmin.
7.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击APNs选项卡.
8.
如果已经有APNs证书,请验证主题值与您要复制的证书的值相同.
9.
在上传APNs证书步骤中,单击上传证书,然后浏览并找到您之前下载的apns_cert.
p12文件.
10.
输入密码,然后单击确定11.
单击保存.
11.
2.
5确定正确的APNs证书进行续订如续订APNs证书(第31页)中所述,当您为SophosMobile服务器续订Apple推送通知服务(APNs)证书时,在Apple门户中选择正确的APNs证书进行续订很重要.
本节介绍如何确定当前上传到SophosMobile服务器的APNs证书.
检索证书标识符:1.
使用其APNs证书需要续订的客户的管理员帐户,登录到SophosMobileAdmin.
2.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击APNs选项卡.
3.
在Apple推送通知密钥库内容部分,将显示上传的APNs证书的属性.
4.
记录显示的主题值.
这就是您的APNs证书的标识符.
确定证书:5.
使用您的Web浏览器打开Apple推送证书门户的URL:https://identity.
apple.
com/pushcert/.
如果您在MicrosoftInternetExplorer中使用Apple门户的某些功能时遇到问题,建议您改用最新版本的Firefox、Opera、Chrome或Safari浏览器.
6.
使用用于创建初始APNs证书的AppleID登录.
7.
在APNs证书的列表中,单击一个证书项旁边的证书信息图标.
将显示证书的详细信息.
32版权所有2018SophosLimitedSophosMobileonPremise8.
在对象DN字段中,找到字符串UID=后的值.
如果它与您在SophosMobileAdmin中确定的标识符相匹配,则说明您找到了正确的证书.
11.
2.
6检查设备的APNs连接SophosMobileControl应用的iOS用户可以检查他们的设备是否可以连接到Apple推送通知服务(APNs)服务器.
1.
在SophosMobileControl应用中,点击信息图标,打开关于屏幕.
2.
点击检查APNs.
该应用将尝试连接到AppleAPNs服务器.
预期的服务器响应时间为5秒或更少.
如果该应用通知您可以连接到APNs服务器,则说明设备可以通过APNs接收来自SophosMobile服务器的命令.
如果该应用通知您不能连接到APNs服务器,则说明您的网络不允许APNs通信,因此SophosMobile不能管理iOS设备.
为纠正此问题,请确保满足要求(第30页)中所述的要求.
11.
3配置iOSAirPlay目标使用SophosMobile,可以触发iOS设备和预设AirPlay目标(如AppleTV)之间的AirPlay镜像.
注释AirPlay仅适用于在同一网络内的设备.
可以定义AirPlay镜像的目标.
1.
在侧边的菜单栏中,单击设置下的设置,然后单击系统设置,并转到iOSAirPlay选项卡.
2.
在AirPlay目标部分,单击创建AirPlay目标.
将显示AirPlay目标页面.
3.
输入设备名称,以及可选的AirPlay目标设备的MAC地址.
如果需要,请输入设备的密码.
4.
单击应用.
该设备将显示在系统设置页面上iOSAirPlay选项卡中的AirPlay目标下.
5.
单击保存.
单击相关设备的显示设备页面上操作菜单中的请求AirPlay镜像,可以触发iOS设备和该目标间的AirPlay镜像.
11.
4注册SamsungKnox许可证如果贵公司已经购买了SamsungKnoxPremium许可证,则必须在SamsungKnox许可证选项卡中输入您的许可证密钥、许可证数量和到期日期,这样才能通过SophosMobile在您的SamsungKnox设备上管理Knox容器.
11.
5简单证书注册协议(SCEP)可以配置简单证书注册协议(SCEP)以提供证书.
这样,设备就可以使用SCEP从证书颁发机构获得证书.
版权所有2018SophosLimited33SophosMobileonPremise在SophosMobileAdmin中,可以配置使用SCEP访问证书颁发机构服务器所需的所有设置.
您可以在设备配置文件(Android和iOS)或策略(WindowsMobile)的SCEP配置中定义设备所需的设置.
11.
5.
1前提条件为使用简单证书注册协议(SCEP),必须满足以下条件:环境中有支持SCEP的WindowsCA.
对于可以创建质询代码的用户,有可用的登录凭据.
SophosMobile服务器拥有通过http或https访问以下站点的权限:—https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN—https://YOUR-SCEP-SERVER/CertSrv/MSCEP11.
5.
2配置SCEP1.
在侧边的菜单栏中,单击设置下的设置>系统设置,然后转到SCEP选项卡.
2.
指定以下内容:a)在SCEP服务器URL字段中,输入https://您的SCEP服务器/CertSrv/MSCEP.
b)在质询URL字段中,输入https://您的SCEP服务器/CertSrv/MSCEP_ADMIN.
注释如果您将Windows2003服务器用作SCEP服务器,请输入https://您的SCEP服务器/CertSrv/MSCEP.
c)在用户和密码字段中,输入可以创建质询代码的用户的用户凭据.
注释在用户字段中,输入有权注册证书的用户.
使用登录格式:用户名@域d)在质询字符字段中,选择用于质询密码的字符类型.
e)在质询长度字段中,接受默认的长度.
f)可选:如果要在连接SCEP服务器时让SophosMobile绕过HTTP代理,请清除使用HTTP代理选项.
此选项仅在HTTP代理启用时才可用.
对于SophosMobileonPremise,超级管理员可以配置SophosMobile用于出站HTTP和SSL/TLS连接的HTTP代理.
请参阅SophosMobile超级管理员指南.
对于SophosMobile即服务,HTTP代理始终启用.
3.
单击保存.
SophosMobile测试与SCEP服务器的连接.
要使用SCEP部署配置文件,您必须将SCEP配置添加到Android或iOS设备配置文件或WindowsMobile策略中.
34版权所有2018SophosLimitedSophosMobileonPremise11.
6配置用户设置在用户设置选项卡上,可以更改用户管理设置.
有关详细信息,请参阅管理自助服务门户(第24页)和SophosMobile超级管理员指南.
版权所有2018SophosLimited35SophosMobileonPremise12合规性策略合规性策略可用于:允许、禁止或强制执行设备的某些功能.
定义违反合规性规则时执行的操作.
您可以创建不同的合规性策略,并将它们分配到设备组.
这样就可以对托管设备应用不同的安全级别.
提示如果要同时管理公司和个人的设备,我们建议至少为这两类设备分别定义合规性策略.
12.
1创建合规性策略1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
在合规性策略页面上,单击创建合规性策略,然后选择策略将基于哪个模板:默认模板:一组合规性规则,未定义操作.
PCI模板,HIPAA模板:分别基于HIPAA和PCIDSS安全标准的合规性规则和操作.
您选择的模板不限制您的后续配置选项.
3.
为合规性策略输入名称,并选择性地输入描述.
对所有要求的平台重复以下步骤.
4.
确保每个选项卡上的启用平台复选框已选中.
如果此复选框未选中,将不会对该平台的设备进行合规性检查.
5.
在规则下,为特定的平台配置合规性规则.
注释每条合规性规则有固定的严重性级别(高、中、低),通过蓝色图标指示.
严重性有助于了解每条规则的重要性,以及违反该规则时应执行的操作.
注释如果SophosMobile管理Sophos容器而非整个设备,则这些设备中只能使用合规性规则的一个子集.
在突出显示规则中,选择管理类型以突出显示相关的规则.
6.
在如果违反规则下,定义违反规则时要执行的操作:选项说明拒绝电子邮件禁止访问电子邮件.
只有在超级管理员配置了与内部或独立EAS代理的连接后,才能执行此操作.
请参阅SophosMobile超级管理员指南.
此操作仅可用于Android、iOS、Windows和WindowsMobile设备.
36版权所有2018SophosLimitedSophosMobileonPremise选项说明锁定容器禁用SophosSecureWorkspace和SecureEmail应用.
这将影响由这些应用管理的文档、电子邮件和Web的访问.
此操作只能在激活MobileAdvanced许可证后执行.
此操作仅可用于Android和iOS设备.
拒绝网络禁止访问网络.
只有在超级管理员配置了网络访问控制后,才能执行此操作.
请参阅SophosMobile超级管理员指南.
创建警报创建警报.
警报将显示在警报页面上.
传输任务捆绑包将特定的任务捆绑包传输到设备.
从列表中选择任务捆绑包,或选择无以便在违反合规性规则时不传输任务捆绑包.
此操作仅可用于Android、iOS、macOS和Windows设备.
重要提示如果使用不正确,可能会导致任务捆绑包配置错误,甚至擦除设备.
要为合规性规则分配正确的任务捆绑包,需要对系统有深入的了解.
7.
对所有要求的平台进行设置后,单击保存,以指定的名称保存合规性策略.
新的合规性策略将显示在合规性策略页面上.
12.
2可用的合规性规则本节列出了可以为各个平台选择的合规性规则.
规则说明平台需要托管定义设备不再受到管理时将执行的操作.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT最低SMC应用程序版本输入必须在设备上安装的SophosMobileControl应用的最低版本.
AndroidAndroidThingsiOSWindowsMobile版权所有2018SophosLimited37SophosMobileonPremise规则说明平台允许根目录访问选择是否允许设备具有Root权限.
注释对于EnterpriseAPI版本4或更高版本的Sony设备,或Knox版本5.
5或更低版本的Samsung设备,这包括所有被MDMAPI归入不安全类别的设备(例如因为解锁了bootloader).
Android允许未知来源的应用选择是否允许使用未知来源的应用.
此规则只影响Android7.
x或之前版本的设备.
对于Android8,用于限制应用安装来源的系统设置已删除.
Android允许Android调试桥(ADB)选择是否允许ADB(Android调试桥).
Android允许越狱选择是否允许越狱设备.
iOS需要锁定屏幕选择是否需要设备密码或其他屏幕锁定机制(如图案或PIN).
对于Android,这包括显示屏锁定类型图案、PIN和密码,但不包括轻扫.
没有分配密码策略的WindowsMobile设备始终报告为不兼容.
这是Windows限制.
AndroidiOSWindowsMobileWindows最低OS端版本选择要求的最早版本的操作系统.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT最高OS版本选择允许的最新版操作系统.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT38版权所有2018SophosLimitedSophosMobileonPremise规则说明平台强制要求的OS更新选择设备是否必须安装了最新可用或最新必需的更新.
部分iOS更新由Apple分类为必需.
最新可用的更新可能比最新必需的更新更新一点.
iOS最大同步间隙指定设备同步过程之间的最大间隔.
AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT最大的SMC应用程序同步间隔指定设备的应用同步过程之间的最大间隔.
iOSWindowsMobile最大SMSec扫描间隔指定通过SophosMobileSecurity应用程序在设备上执行恶意软件扫描的最大扫描间隔.
Android允许拒绝SMSec权限SophosMobileSecurity需要设备上的权限才能正常工作.
用户必须在安装该应用时授予这些权限.
选择拒绝要求的权限是否会造成违反合规性.
Android允许恶意软件应用选择是否允许SophosMobileSecurity检测到的恶意软件应用程序.
Android允许可疑应用选择是否允许SophosMobileSecurity检测到的可疑应用程序.
Android允许PUA选择是否允许SophosMobileSecurity检测到的PUA(可能不需要的应用).
Android需要加密选择是否要求对设备加密.
在采用Android5或更高版本的设备上,用户还必须在他们设置屏幕锁定时,启用启动设备需要PIN或启动设备需要密码设置.
请参阅Sophos知识库文章123947.
对于macOS,此设置适用于FileVault全盘加密.
对于WindowsMobile,只有在设置了限制禁止未加密设备的情况下,才会报告违规.
这是Windows限制.
AndroidiOSmacOSWindowsMobileWindows版权所有2018SophosLimited39SophosMobileonPremise规则说明平台允许数据漫游选择是否允许数据在设备上漫游.
AndroidiOS容器已配置选择是否必须在设备上设置并启用容器.
这可以是Sophos容器、SamsungKnox容器或Android工作配置文件.
Android需要定位权限该设置表示定位功能.
选择用户是否必须在安装时允许SophosMobileControl应用检索定位数据以便确定为合规.
Android允许拒绝SMC权限SophosMobileControl应用需要设备上的权限才能正常工作.
用户必须在安装该应用时授予这些权限.
选择拒绝要求的权限是否会造成违反合规性.
Android应用可以定位必须开启定位服务,并且允许SophosMobileControl应用使用.
对于WindowsMobile,此规则只影响WindowsPhone8.
1设备.
iOSWindowsMobile需要防火墙必须开启macOS防火墙.
macOS需要系统完整性保护必须开启系统完整性保护.
注释系统完整性保护是一项macOS安全功能,用于限制根用户可以执行的操作.
系统完整性保护可以在Mac设备从macOS恢复中启动时配置.
macOS需要安全更新必须开启macOS安全更新程序的自动安装.
macOS40版权所有2018SophosLimitedSophosMobileonPremise规则说明平台允许的应用/禁止的应用程序可以指定允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
如果指定允许的应用,则只允许列出的应用.
如果检测到其他应用,设备将不再合规.
注释将自动允许Android系统应用.
如果指定禁止的应用,检测到这些应用时,设备将不再合规.
AndroidiOSmacOS强制性应用指定必须安装的应用.
从列表中选择包含强制性应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
AndroidiOSmacOSWindows必须开启WindowsDefender必须开启WindowsDefender的实时保护设置.
Windows需要清洁的WindowsDefender状态设备在WindowsDefender显示警报时将不合规.
Windows需要最新的WindowsDefender定义WindowsDefender必须使用最新的间谍软件定义.
Windows12.
3将合规策略分配到设备组1.
在侧边的菜单栏中,单击管理下的设备组.
将显示设备组页面.
2.
单击要向其分配合规策略的设备组旁边的蓝色三角形,然后单击编辑.
始终会有一个可用的默认设备组.
有关如何创建自己的设备组的信息,请参阅创建设备组(第68页).
3.
在合规性策略下,选择要应用到公司和个人设备的合规性策略.
4.
单击保存.
所选合规性策略将显示在合规性策略(公司)和合规性策略(个人)下的相关设备组的设备组页面上.
12.
4检查设备合规性配置合规性策略后,可以检查注册的设备是否与这些策略相符.
版权所有2018SophosLimited41SophosMobileonPremise1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
单击立即检查.
已检查所有注册设备的合规性.
将执行特定操作.
42版权所有2018SophosLimitedSophosMobileonPremise13设备13.
1添加设备设备可以通过以下方式添加到SophosMobile:手动添加设备.
请参阅添加设备(第43页).
从逗号分隔值(CSV)文件导入设备.
请参阅导入设备(第44页).
可以使用设备注册向导将设备添加到SophosMobile、将它分配给用户、对它注册和传递注册任务捆绑包.
请参阅使用设备注册向导分配和注册新设备(第46页).
允许用户在自助服务门户中自己注册设备.
请参阅配置自助服务门户(第20页).
该门户让用户无需联系支持人员就可以执行任务,减少了IT支持需求.
设备通过执行定义的任务捆绑包进行设置.
请参阅任务捆绑包(第200页).
建议使用设备组对设备进行分组,以方便管理.
请参阅设备组(第68页).
13.
1.
1添加设备我们建议您在将第一个设备添加到SophosMobile前,先创建一个或多个设备组.
然后可以将每个设备分配到一个设备组,从而简化设备管理.
请参阅创建设备组(第68页).
将新设备添加到SophosMobile:1.
在侧边的菜单栏中,单击管理下的设备.
将显示设备页面.
2.
单击添加,然后从手动添加设备菜单部分选择平台.
将显示编辑设备页面.
3.
在编辑设备页面上,指定以下设备详细信息:a)在名称字段中,为新设备输入一个唯一名称.
b)在描述字段中,为新设备输入一段说明.
c)在所有者下,选择企业或个人.
d)在电子邮件地址字段中,输入电子邮件地址.
e)在电话号码字段中,输入新设备的电话号码.
输入电话号码(以国际格式),如+491701234567.
f)在设备组下,选择设备要分配到的设备组.
有关如何创建设备组的信息,请参阅创建设备组(第68页).
4.
要向设备分配用户,请单击用户字段旁边的编辑用户分配图标,然后单击分配用户至设备.
有关更多信息,请参阅将用户分配到设备(第55页).
5.
要将自定义属性添加到设备,请转到自定义属性选项卡,并单击添加自定义属性.
有关更多信息,请参阅定义设备的自定义属性(第55页).
6.
指定所有相关设备详细信息后,单击保存.
新设备将添加到SophosMobile中,并显示在管理下的设备页面上.
现在即可配置和管理该设备.
版权所有2018SophosLimited43SophosMobileonPremise注释对于iOS设备,如果已按配置iOS设置(第17页)中所述将SophosMobile配置为与设备同步设备名称,在名称字段中输入的名称将替换为同步时设置的名称.
13.
1.
2导入设备可以通过导入UTF-8编码的逗号分隔值(CSV)文件添加新设备,最多可添加500个设备.
注释使用文本编辑器编辑CSV文件.
如果使用MicrosoftExcel,输入的值可能无法正确处理.
确保使用.
csv扩展名保存该文件.
注释在您的CSV文件中指定的用户必须已经在SophosControl中可用.
提示可从导入设备页面中下载带有正确列名和列顺序的样本文件.
要从CSV文件导入设备:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击添加>导入设备.
3.
在导入设备页面上,单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
4.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
5.
单击完成以创建设备.
CSV文件中所列的设备将导入并显示在设备页面上.
现在即可注册和配置这些设备.
13.
2注册设备在SophosMobileAdmin中添加新设备之后,它们必须注册到SophosMobile.
注册类型SophosMobile支持两种注册类型:设备注册该注册类型提供了完整的移动设备管理(MDM)功能.
SophosMobile能够管理整个设备.
Sophos容器注册SophosMobile仅管理设备上的Sophos容器,但不管理设备本身.
Sophos容器仅可用于Android和iOS.
44版权所有2018SophosLimitedSophosMobileonPremiseSophos容器注册在以下情况中有用:您要管理自带设备(BYOD)方案.
有了Sophos容器注册,您的组织只能看到非常有限的设备信息,并且不会看到个人应用或数据.
您的设备受非SophosMDM软件管理,但您也想使用Sophos容器提供的功能,例如,使用SophosSafeGuardEnterprise进行的企业keyring同步.
您的设备受非SophosMDM软件管理,但您要配置其他电子邮件账户.
例如,当您的组织是一家咨询公司,并且您的员工需要访问客户的Exchange服务器时.
注册方法以下选项可用于注册设备:可以使用设备功能,注册单个、未管理的设备.
有关更多信息,请参阅注册单个设备(第45页).
您可以使用设备注册向导将设备添加到SophosMobile、将它分配给用户、注册它和传递注册任务捆绑包.
请参阅使用设备注册向导分配和注册新设备(第46页).
注释如果需要,您可以使用设备注册向导或自动注册方法,在没有AppleID的情况下注册iOS设备.
这可能很有用,比如在将设备交给用户前进行预配置时.
请参阅注册没有AppleID的iOS设备(第48页).
建议要对多个设备进行有效的注册和配置,建议采取以下方法:可以将注册设备、应用所需策略和安装所需应用程序(如iOS设备的托管应用)所需的任务捆绑在一起.
有关更多信息,请参阅任务捆绑包(第200页).
您可以允许用户在自助服务门户中注册设备.
为此,在配置自助服务门户设置时将注册任务捆绑包包括在内.
有关如何创建注册所需的任务捆绑包的详细信息,请参阅SophosMobile启动指南或SophosMobileasaService启动指南有关如何在自助服务门户设置中选择任务捆绑包的详细信息,请参阅配置自助服务门户设置(第21页).
13.
2.
1注册单个设备1.
在侧边的菜单栏中,单击管理下的设备,然后单击要注册的设备.
2.
在显示设备页面上,选择注册类型:要将设备注册到SophosMobile,点击操作>注册.
要注册Sophos容器,点击操作>注册Sophos容器.
3.
若要进行Sophos容器注册,选择任务捆绑包或策略.
注册任务将启动,并显示在任务视图页面上.
将向用户发送带有注册说明的电子邮件.
版权所有2018SophosLimited45SophosMobileonPremise注释在Mac设备上,必须由将受到SophosMobile管理的用户执行注册程序.
要安装注册配置文件,用户必须输入管理员密码.
13.
2.
2使用设备注册向导分配和注册新设备使用设备注册向导很容易注册新设备.
它提供了可以合并以下任务的工作流:将新设备添加到SophosMobile.
可选:将用户分配到设备.
注册设备.
可选:将任务捆绑包传输到设备.
要启动设备注册向导:1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>注册向导.
提示或者,通过单击添加设备小组件,从仪表板页面启动该向导.
2.
在输入用户搜索参数向导页面上,可以输入搜索条件以查找将要分配该设备的用户,或选择跳过用户分配以注册尚未分配给用户的设备.
3.
输入搜索条件后,向导将显示匹配用户的列表.
选择所需的用户.
4.
在设备详细信息向导页面中,配置以下设置:选项说明平台设备平台.
只能选择对登录的客户启用的平台.
名称SophosMobile管理的设备的唯一名称.
描述设备的可选描述.
电话号码可选的电话号码.
输入国际格式的号码,如+491701234567.
电子邮件地址用于接收注册说明的电子邮件地址.
如果为该客户配置了用户管理,则是分配给该设备的用户的电子邮件地址.
如果没有配置用户管理,请在此处输入电子邮件地址.
所有者选择设备所有者类型:企业或个人.
设备组选择设备将要分配到哪个设备组.
如果还没有创建设备组,可以选择始终可选的默认设备组.
5.
如果您已经配置了Sophos容器注册,请选择是要注册设备还是只注册Sophos容器.
请参阅配置Sophos容器注册(第258页).
6.
选择在设备注册后将传送到设备的任务捆绑包.
或选择仅注册设备以注册设备但不传送任务捆绑包.
对于Sophos容器注册,您可以选择策略而不是任务捆绑包.
当您单击下一步后,设备将添加到SophosMobile.
46版权所有2018SophosLimitedSophosMobileonPremise7.
在注册向导页面上,按说明完成注册操作.
注释在Mac设备上,必须由将受到SophosMobile管理的用户执行注册程序.
要安装注册配置文件,用户必须输入管理员密码.
8.
注册成功完成后,单击完成,关闭设备注册向导.
注释完成所有选择后,可以关闭向导,不必等到完成按钮出现.
将在后台创建并处理注册任务.
如果选择在注册后向设备传输任务捆绑包,则可在任务视图页面上监控任务状态.
请参阅查看未完成、失败和最近完成的任务(第10页).
对于iOS设备,如果已按配置iOS设置(第17页)中所述将SophosMobile配置为与设备同步设备名,将忽略在名称字段中输入的名称,并使用设备上配置的名称.
13.
2.
3自动注册iOS设备可以对iOS设备进行配置,以便在设备激活过程中自动进行SophosMobile注册.
为此,可以使用AppleConfigurator2将设备分配给SophosMobileMDM服务器.
用户首次开启设备时,iOS设置助手将启动.
设置过程中,设备将自动进行SophosMobile注册.
注释有关AppleConfigurator2的详细说明,请参阅AppleConfigurator2在线帮助.
要配置通过SophosMobile自动注册iOS设备:1.
作为准备自动注册的一次性步骤,创建一个将在SophosMobile自动注册过程中分配给设备的设备组.
在设备组属性中,选中启用iOS自动注册选项.
请参阅创建设备组(第68页).
2.
记录在设备组的自动注册URL字段中显示的URL.
使用AppleConfigurator2配置设备时,需要此URL.
3.
将要自动注册的iOS设备连接到安装有AppleConfigurator2的Mac计算机的USB端口.
4.
在AppleConfigurator2中,使用PrepareAssistant设置设备配置.
5.
选择手动注册,然后输入设备组的自动注册URL.
6.
按PrepareAssistant提示的步骤进行操作.
可以选择配置设备激活的以下方面︰启用设备监管模式.
配置允许设备使用USB端口进行连接的主机计算机.
对于监管的设备,生成或选择"监管身份".
禁用iOS设置助手的配置步骤.
完成配置后,将设备交给用户.
用户首次开启设备时,将按配置执行iOS设置,并进行SophosMobile注册.
版权所有2018SophosLimited47SophosMobileonPremise提示默认情况下,SophosMobile将管理自动注册的设备,所使用的名称由设备ID和设备类型组成.
此外,SophosMobile也可以使用在设备上配置的名称.
请参阅配置iOS设置(第17页)中的同步设备名称选项.
13.
2.
4注册没有AppleID的iOS设备通过SophosMobile注册iOS设备时,不必先将设备和AppleID相关联.
这可能很有用,比如在将设备交给用户前进行预配置时.
标准的注册方法包括在设备上安装SophosMobileControl应用.
因为从AppStore安装该应用,且访问AppStore需要AppleID,因此在开始注册前,需要关联设备和AppleID.
此外,可以注册iOS设备但不安装SophosMobileControl应用,因此不需要关联设备和AppleID.
这是由以下方法提供的︰自动注册方法.
请参阅自动注册iOS设备(第47页).
设备注册向导.
请参阅使用设备注册向导分配和注册新设备(第46页).
在设备注册向导中,执行以下操作︰1.
在注册页面上,选择在没有AppleID的情况下注册选项卡.
2.
使用设备的Web浏览器打开注册URL.
将打开SophosMobile注册表单.
3.
在该表单中输入令牌,然后单击注册.
4.
按设备上的说明安装注册任务捆绑包.
13.
2.
5注册AndroidThings设备本节介绍如何使用设备注册向导注册AndroidThings设备.
前提条件:您已安装了连接到本地IP网络并安装了Android调试桥命令行工具(adb)的计算机(称为主机).
adb是AndroidSDKPlatform-Tools软件包的一部分.
该软件包可以作为AndroidSDK的一部分安装,也可以作为独立软件包进行安装.
有关详细信息,请参阅Android开发人员文档.
您已将AndroidThings图像文件闪烁到要注册的设备上.
您已将设备通过以太网或Wi-Fi连接到本地IP网络.
要使用SophosMobile注册AndroidThings设备:1.
在侧边的菜单栏上,在管理下,单击设备,然后单击添加>注册向导.
2.
按照使用设备注册向导分配和注册新设备(第46页)中所述,使用设备注册向导启动注册过程.
对于AndroidThings设备,请执行以下操作:a)在设备详细信息向导步骤中,在平台字段中,选择AndroidThings.
b)在注册向导步骤中,单击打开SophosMobile下载区域,然后从那里下载最新的SMCAndroidClient版本的APK文件.
3.
将APK文件复制到主计算机.
提示您可以将相同的APK文件用于您注册的所有AndroidThings设备.
48版权所有2018SophosLimitedSophosMobileonPremise4.
在主机上,使用adb命令行工具连接到AndroidThings设备,其中是设备的IP地址:adbconnect连接到:55555.
使用以下adb命令将SophosMobileControl应用安装到AndroidThings设备上:adbinstall6.
重新启动设备,例如使用以下adb命令:adbreboot注释需要重新启动才能向SophosMobileControl应用授予所需的权限.
7.
重启后,再次连接到设备:adbconnect8.
使用设备注册向导或说明电子邮件中显示的adb命令配置SophosMobileControl应用:adbshellamstart-d""注释您可能会收到系统消息警告:活动未开始,其当前任务已经带到了前方.
这可以忽略.
AndroidThings设备上的SophosMobileControl应用连接到您的SophosMobile服务器.
注册过程完成后,设备在SophosMobile中显示为托管状态.
13.
2.
6注册WindowsIoT设备本节介绍如何使用设备注册向导注册WindowsIoT设备.
前提条件:您已将Windows10IoTCore闪烁到要注册的设备上.
您已将设备通过以太网或Wi-Fi连接到本地IP网络.
要使用SophosMobile注册WindowsIoT设备:1.
在侧边的菜单栏上,在管理下,单击设备,然后单击添加>注册向导.
2.
按照使用设备注册向导分配和注册新设备(第46页)中所述,使用设备注册向导启动注册过程.
对于WindowsIoT设备,请执行以下操作:a)在设备详细信息向导步骤中,在平台字段中,选择WindowsIoT.
b)在注册向导步骤中,单击下载配置包以下载SophosMobile的具有配置包的.
ppkg文件.
此链接也可从说明电子邮件中获取.
3.
在连接到与WindowsIoT设备相同本地网络的Windows计算机上,使用Windows文件资源管理器连接该设备.
版权所有2018SophosLimited49SophosMobileonPremise在文件资源管理器地址栏中,输入以下地址,其中是设备的IP地址:\\\c$如果出现提示,请输入设备的管理员用户名和密码.
4.
将您从注册向导下载的.
ppkg文件复制到设备上的C:\Windows\Provisioning\Packages文件夹.
注释该文件夹中只能有一个.
ppkg文件.
5.
重新启动设备.
重新启动后,WindowsIoT设备将执行配置包并连接到您的SophosMobile服务器.
注册过程完成后,设备在SophosMobile中显示为托管状态.
重要提示在显示设备页面上,取消注册设备之前,请勿执行设备操作设置为"非管理"或删除.
如果这样做,您必须先擦除设备,然后再重新注册.
要擦除它,您需要将Windows10IoTCore图像重新闪烁到设备上.
13.
3取消设备注册对于不再使用的设备,例如用户有了新设备,可以取消注册.
这很有用,例如,如果您限制了用户可以在自助服务门户中注册的设备数量.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
选择所需的设备,单击操作,然后单击取消注册.
将显示一条提示您确认是否要取消设备注册的消息.
注释可以选择多个设备进行取消注册操作.
3.
单击是.
设备将取消注册.
结果如下:Android设备:—SophosMobileControl设备管理员已禁用.
—服务器登录数据和所有其他接收到的数据都被删除.
—将重置容器应用(SophosSecureWorkspace和SophosSecureEmail)和SophosMobileSecurity应用.
iOS设备:—将删除所有配置文件.
—将删除所有托管应用.
—将删除所有通过MobileDeviceManagement接收的证书.
—将重置容器应用(SophosSecureWorkspace和SophosSecureEmail).
Macs:50版权所有2018SophosLimitedSophosMobileonPremise—将删除所有策略.
—将删除所有通过MobileDeviceManagement接收的证书.
注释对于以Android企业设备所有者模式注册到SophosMobile的设备,没有专用的取消注册操作.
要对此类设备取消注册,请将其擦除.
13.
4管理设备在侧边菜单栏中的管理>设备和设备组下,可以跟踪所有设备和设备组,并执行各种管理任务.
添加设备至SophosMobile后,您可以执行以下操作,例如:查看并编辑设备详细信息.
允许或禁止设备访问电子邮件.
远程锁定或解锁设备.
重置设备密码.
设备丢失或被盗后远程擦除该设备.
解除设备授权(Android和iOS).
删除设备.
13.
4.
1查看设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
转到所需的设备,并单击其名称.
将显示所选设备的显示设备页面.
提示在设备页面,可以将鼠标指向某些元素以显示额外的信息:指向设备的"不受管理"图标可显示实际状态,如取消注册或已检验.
指向设备的"不合规"图标可显示严重性级别(高、中、低).
13.
4.
2"显示设备"页面在显示设备页面中,将显示单个设备的所有相关信息.
在页面的上方,可以快速查看最重要的设备信息.
在页面的下方,将在多个选项卡上显示详细的设备信息.
显示的选项卡和信息取决于设备平台.
可以直接从显示设备页面切换至编辑设备页面.
要编辑正在查看的设备,请单击编辑.
状态显示必要的设备信息,如管理类型、管理状态和合规状态.
版权所有2018SophosLimited51SophosMobileonPremise配置文件显示安装在设备上的配置文件(包括设置配置文件).
该选项卡还包含用于在设备上安装配置文件或删除配置文件的命令.
注释配置文件选项卡上不显示仅包含以下配置的iOS设备配置文件:漫游/热点壁纸这些配置未作为配置文件安装到设备上.
他们只设置用户稍后可能更改的设置.
提示表的搜索字段允许您通过配置文件ID进行搜索,即使表中未显示ID.
策略显示分配给设备的策略.
在此选项卡中,可以使用分配策略按钮,为设备分配策略.
设备属性显示设备属性,如型号、型号名称及OS版本等属性.
对于Android设备,将检测已设置根路径的智能手机,并显示相关属性.
对于iOS设备,将检测已越狱智能手机,并显示相关属性.
自定义属性显示自定义设备属性.
可以自已创建这些属性.
例如,如果没有ActiveDirectory连接可用,可在占位符中使用自定义设备属性.
编辑设备时,还可以在此处添加用户特定信息.
内部属性显示内部设备属性,例如允许的ActiveSync数据流、IMEI.
违反合规性只有不合规的设备才会显示此选项卡.
它显示设备的合规性违反情况,以及由于违反合规性而采取的操作.
有关这些操作的配置,请参阅创建合规性策略(第36页).
52版权所有2018SophosLimitedSophosMobileonPremise已安装的应用显示安装在设备上的软件.
不同平台上显示的信息不同.
大小列显示应用本身的磁盘空间使用量.
数据列显示应用用于用户数据、配置等的额外磁盘空间.
使用安装应用按钮,您可以在设备上安装软件.
也可以通过单击相关应用旁的删除图标,删除设备上的应用.
注释对于SophosMobile仅管理Sophos容器的设备,Sophos容器之外的应用程序不会列出.
这包括用户从企业应用商店安装的应用.
对于iOS,标记为托管的应用可以静默地删除.
请参阅iOS的托管应用(第219页).
对于Mac,将列出所有用户帐户的应用.
对于Windows,您只能删除已经由SophosMobile安装的应用.
如果您试图删除用户安装的应用,任务将失败.
系统应用显示设备上的Android系统应用.
注释不能从设备上删除系统应用.
Knox应用此选项卡显示用户安装在SamsungKnox容器内的应用.
Knox系统应用此选项卡显示安装在SamsungKnox容器内的系统应用.
扫描结果该选项卡显示SophosMobileSecurity在设备上执行的最后一次扫描的结果.
该选项卡仅在SophosMobileSecurity应用受SophosMobile管理的情况下可用.
请参阅管理SophosMobileSecurity(第254页).
证书显示设备上使用的证书.
对于Mac,将列出设备证书,但不列出用户证书.
版权所有2018SophosLimited53SophosMobileonPremise提示在表中,指向使用者或颁发机构值以显示证书详细信息.
任务此选项卡显示设备未完成和失败的所有任务,以及最近几天内完成的任务.
还可以在任务视图页面上查看这些任务,以及所有其他设备的任务.
请参阅监视任务(第10页).
13.
4.
3使用扩展设备筛选器使用扩展设备筛选器,可以根据需要筛选设备列表.
您可以用自定义名称存储筛选条件,并在以后使用.
要定义设备筛选器:1.
在设备页面上,单击标题栏中的扩展筛选器.
2.
定义您的筛选条件.
3.
要用自定义名称保存筛选条件,请在设备筛选器中输入该名称,并单击保存.
4.
选择所需条件后,单击筛选将筛选器应用到设备列表.
筛选器激活后,标题栏中的筛选器图标将由蓝色变为绿色.
提示不再需要筛选器时,请记得重置筛选器.
否则,列表或报告可能不包括您所期望的结果.
其他设备筛选任务:要从设备列表中删除筛选器,请单击扩展筛选器,然后单击重置.
要应用保存的筛选器,请单击已保存筛选器,然后选择所需的筛选器.
要删除保存的筛选器,请单击已保存筛选器,然后单击要删除的筛选器旁边的垃圾桶图标.
要编辑保存的筛选器,请先应用该筛选器,然后单击扩展筛选器,并进行所需的修改,然后再次保存该筛选器.
13.
4.
4编辑设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击所需设备旁边的蓝色三角形,然后单击编辑.
将显示所选设备的编辑设备页面.
3.
进行必要的修改(例如,在安装的应用选项卡中安装或删除软件),然后单击保存.
更改只适用于编辑的设备.
注释只有单击保存后,属性更改才会生效.
如果未保存所做的更改,则不会有任何效果.
54版权所有2018SophosLimitedSophosMobileonPremise13.
4.
5将用户分配到设备1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标,然后单击选择列表中的相关条目:要将用户分配给尚未分配用户的设备,请单击将用户分配给设备.
要将其他用户分配给已经分配有用户的设备,请单击向设备重新分配用户.
4.
在分配对话框的输入用户搜索参数步骤中,在一个或多个字段中输入搜索字符串,以查找将要分配设备的用户.
例如,输入用户名或部分用户名.
5.
在选择用户步骤中,选择所需的用户,然后单击应用.
6.
在编辑设备页面上,单击保存.
13.
4.
6从设备取消用户分配1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击所需设备旁边的蓝色三角形,然后单击编辑.
3.
在编辑设备页面上,单击用户字段旁边的编辑用户分配图标,然后单击从设备取消用户分配.
4.
在确认对话框中,单击是.
5.
单击保存.
13.
4.
7定义设备的自定义属性可以定义单个设备的自定义属性.
使用我的属性名称定义属性时,可以使用%_DEVPROP(我的属性)_%占位符引用配置文件和策略中的属性值.
例如,可以用它来引用分配给设备的用户.
有关配置文件和策略占位符的详细信息,请参阅配置文件和策略中的占位符(第73页).
注释不能创建与标准设备属性名称相同的自定义设备属性.
除此处所述的设备级自定义属性外,还可以定义客户级自定义属性.
请参阅定义客户属性(第19页).
要定义自定义设备属性:1.
在侧边的菜单栏中,单击设置下的设置>常规.
在个人选项卡上,确保选中了显示扩展设备详细信息选项.
2.
在侧边的菜单栏中,单击管理下的设备.
3.
单击所需设备旁边的蓝色三角形,然后单击编辑.
4.
在编辑设备页面上,转到自定义属性选项卡,然后单击添加自定义属性.
5.
为新的自定义设备属性输入名称和值.
6.
单击应用,添加该属性.
版权所有2018SophosLimited55SophosMobileonPremise7.
单击保存,将修改保存到设备中.
13.
4.
8配置网络访问权限在配置设备的网络访问权限前,必须在SophosMobile中启用网络访问控制(NAC).
对于SophosMobileonPremise,NAC由超级管理员启用.
请参阅SophosMobile超级管理员指南.
对于SophosMobile即服务,NAC始终启用.
有两个选项用于配置设备的网络访问权限︰1.
允许或无条件拒绝网络访问权限.
2.
在设备违反合规性规则时禁用网络访问权限,否则启用网络访问权限.
注释SophosMobile本身不控制网络访问权限.
而是提供了拒绝网络状态,外部NAC软件(如SophosUTM)可用它来阻止网络通信.
要配置设备的网络访问权限:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,选择要为其设置网络访问模式的设备.
3.
单击操作,然后单击设置网络访问权限.
4.
选择网络访问模式︰允许:允许选定的设备访问网络.
拒绝:拒绝选定的设备访问网络.
自动模式:根据设备的合规性状态决定选定设备的网络访问权限.
5.
单击是保存修改.
注释您不能拒绝SophosMobile仅管理Sophos容器的设备的网络访问.
有关如何在合规性规则中配置网络访问权限的信息,请参阅创建合规性策略(第36页).
13.
4.
9锁定设备您可以远程锁定由SophosMobile管理的设备.
将激活屏幕锁定.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要锁定或解锁的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>锁定.
4.
对于macOS:设置必须在Mac设备上输入才能解锁设备的6位PIN码.
将创建激活锁屏的任务,并将其传递到设备.
对于除macOS外的所有平台:用户必须输入设备密码(或根据配置输入PIN码或图案)才能解锁设备.
对于macOS:Mac设备将重新启动.
用户必须输入您设置的设备解锁PIN码.
您可以在任务视图页面上显示任务状态.
56版权所有2018SophosLimitedSophosMobileonPremise注释即使对于SophosMobile仅管理Android工作配置文件的设备,锁定操作也会锁定设备,而不仅仅是工作配置文件.
注释您不能锁定SophosMobile仅管理Sophos容器的设备.
注释您不能擦除被远程锁定的Mac设备.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>解锁密码下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
13.
4.
10擦除设备您可以远程擦除由SophosMobile管理的设备.
此操作将把设备重置为出厂设置.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要擦除的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>擦除.
4.
对于macOS:设置必须在Mac设备上输入才能解锁设备的6位PIN码.
将创建擦除设备的任务,并将其传递到设备.
对于macOS:当该任务传递到Mac设备时,它将重新启动,然后开始擦除磁盘.
用户必须在Mac设备上输入系统锁定PIN码才能将其解锁.
您可以在任务视图页面上显示任务状态.
注释您不能擦除以下设备:SophosMobile仅在其上面管理Sophos容器的设备.
以Android企业配置文件所有者模式注册到SophosMobile的设备.
AndroidThings或WindowsIoT设备.
您已经远程锁定的Mac设备.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>解锁密码下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
版权所有2018SophosLimited57SophosMobileonPremise13.
4.
11配置电信费用管理使用电信费用管理(TEM),您可以监控单个设备的手机网络数据使用情况.
此功能适用于Android和iOS设备.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,选择您要为其配置电信费用管理的设备.
注释仅选择使用相同手机网络数据套餐的设备.
3.
单击操作>配置电信费用管理.
4.
配置以下设置:选项说明开启监控如果选中,将对选中的设备开启手机网络数据使用情况监控.
套餐的数据量您的手机网络数据套餐的数据量(MB).
警报阈值数据量的阈值(MB).
设备使用的数据量超过此阈值时,将发出警报.
请参阅警报(第13页).
使用周期重置日期1和31之间的一个值,用于指定在一个月中的哪一天重置数据使用值.
注释如果某月的天数少于输入的值,则在当月的最后一天重置数据使用值.
5.
单击保存将设置应用到选定的设备.
设备在每次与SophosMobile服务器同步时报告手机网络数据使用情况.
要查看设备的当前数据使用量,请打开设备的显示设备页面,然后单击操作>电信费用管理.
重要提示报告的数据使用量可能与您的电信服务提供商收费的值有差异.
将报告安装的应用导致的数据流,但不报告系统更新、系统应用更新等导致的.
提示使用手机网络数据使用情况报告查看所有已经开启电信费用管理的设备的数据使用量.
请参阅报告(第9页).
58版权所有2018SophosLimitedSophosMobileonPremise注释数据使用值将在以下时间重置:—每月定期在您配置的日期结束时间.
—当您关闭设备的电信费用管理时.
—从SophosMobile取消注册设备时.
对于iOS,SophosMobileControl应用关闭时,即用户在设备重启后未启动该应用时,将不报告数据使用量.
13.
4.
12更新iOS软件您可以更新以下设备类型的iOS软件:iOS10.
3或更高版本的受监督设备受监督的AppleDEP设备注释本节介绍了如何更新单个设备的iOS软件.
要更新设备组的iOS软件,请使用带有安装最新的iOS更新任务的任务捆绑包.
请参阅可用的iOS任务类型(第204页).
要更新设备上的iOS软件:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>显示可用的更新.
将显示可用于设备的iOS更新列表.
标记紧要的更新是由Apple分类的关键安全更新.
4.
要安装最新的可用更新,请单击安装最新的可用更新.
创建更新iOS软件的任务并将其传输到设备.
您可以在任务视图页面上显示任务状态.
提示要检查单个iOS设备的更新状态,请打开设备的显示设备页面.
如果设备没有安装最新的可用iOS版本,则操作系统旁边会显示警告标志.
要检查所有iOS设备的更新状态,请转到设备报告的OsUpdateAvailable列.
13.
4.
13配置iOS托管的丢失模式您可以将监督的iOS设备置于托管的丢失模式下.
直到在SophosMobile中再次关闭托管的丢失模式前,将不能使用该设备.
在托管的丢失模式下,设备只能执行以下操作:拨打您已经配置的电话号码.
拨打紧急呼叫号码.
版权所有2018SophosLimited59SophosMobileonPremise注释托管的丢失模式是一种与丢失模式不同的锁定模式,后者可以由用户在iCloud中开启.
如果您在SophosMobile中开启托管的丢失模式,设备将不能在iCloud中解除锁定.
在托管的丢失模式下定位设备比在标准锁定模式下更可靠.
设备位置是由iOS系统功能报告的,不需要激活SophosMobileControl应用.
托管的丢失模式需要iOS9.
3或更高版本.
要开启托管的丢失模式:1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要将其置于托管的丢失模式下的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>开启托管的丢失模式.
4.
配置以下设置:选项说明锁屏消息显示在锁屏界面上的文本.
电话号码可以在锁屏界面上拨打的电话号码.
脚注显示在锁屏界面底部的脚注文本.
如果您没有配置脚注,将显示提示联系管理员的标准注释.
将创建开启托管的丢失模式的任务,并将其传递到设备.
设备接收该任务后,将立即开启托管的丢失模式.
如果设备处于托管的丢失模式下,您将可以在显示设备页面上执行以下操作:要定位此设备,请使用操作>定位.
要在设备上播放声音,请使用操作>播放丢失模式声音.
这需要iOS10.
3或更高版本.
要关闭托管的丢失模式,请使用操作>关闭托管的丢失模式.
提示要查看托管的丢失模式是否开启,请检查设备属性IsMDMLostModeEnabled.
13.
5AppleDEP通过Apple设备注册程序(DEP),可以批量购买iPhone、iPad和Mac设备,并在您的公司内分发.
DEP提供了以下功能,可以简化移动设备的部署:可配置的激活过程.
无线启用监督模式.
无线配置.
在设备激活过程中,将iOS设备自动注册到SophosMobile.
60版权所有2018SophosLimitedSophosMobileonPremise注释SophosMobile目前支持在iPhone和iPad设备上使用AppleDEP,但不支持在Mac设备上使用.
提示有关DEP的详细信息,请访问AppleDEP网站http://www.
apple.
com/business/dep/.
准备步骤准备通过SophosMobile管理DEP设备时,请执行以下一次性步骤:1.
在AppleDEPWeb门户中,创建虚拟MDM服务器,并将其连接到SophosMobile.
请参阅设置AppleDEP(第61页).
2.
在SophosMobile中,创建一个或多个DEP配置文件,以控制各种DEP设备属性.
通过DEP配置文件,还可以自定义在设备首次开机时启动的iOS设置助手.
请参阅创建DEP配置文件(第62页).
部署步骤购买DEP设备时,典型的部署过程包括以下步骤:1.
从Apple或授权的DEP供应商购买设备.
2.
在AppleDEPWeb门户中,将设备分配给SophosMobileMDM服务器.
有关此步骤和下一步的信息,请参阅部署DEP设备(第65页).
3.
在SophosMobileAdmin中,给设备分配DEP配置文件.
4.
将设备分发给您的用户.
5.
用户首次开启设备时,自定义的iOS设置助手将启动.
设置过程中,设备将注册到SophosMobile,并将用户分配给设备.
6.
如果需要,可以向设备传输其他任务绑定包,以完成设置.
13.
5.
1设置AppleDEP前提条件:此过程假定您已在Apple设备注册程序(DEP)中注册,并且已经为AppleDEPWeb门户设置了管理员帐户.
注释有关在DEP中注册的详细信息,请访问AppleDEP网站http://www.
apple.
com/business/dep/或参阅Apple部署程序在线帮助.
提示如果已在Apple批量购买计划(VPP)中注册,则可对DEP使用相同的AppleID.
版权所有2018SophosLimited61SophosMobileonPremise要与SophosMobile一起使用AppleDEP,需要在AppleDEPWeb门户中创建虚拟MDM服务器,并将其链接到SophosMobile服务器.
这包括在SophosMobile和AppleDEPWeb服务之间建立安全连接的验证过程.
要设置SophosMobile的虚拟MDM服务器:1.
在侧边的菜单栏中,单击设置下的设置>系统设置,然后单击AppleDEP选项卡.
2.
单击下载公钥,下载用于AppleDEP的SophosMobile公钥.
文件将使用您的Web浏览器下载设置保存到本地计算机上.
3.
在新的浏览器窗口中,使用网址https://deploy.
apple.
com打开AppleDEPWeb门户.
此操作可以通过在SophosMobile中单击AppleDEPWeb门户链接实现.
4.
使用您的公司AppleID登录AppleDEPWeb门户.
5.
在该门户中,转到设备注册程序>管理服务器,然后单击添加MDM服务器.
6.
为MDM服务器输入名称,如SophosMobile.
7.
在下一步中,上传您从SophosMobile下载的公钥文件.
8.
在下一步中,下载服务器令牌.
此时,可以注销AppleDEPWeb门户.
9.
在SophosMobile的AppleDEP选项卡上,单击上传文件并选择您从AppleDEPWeb门户下载的服务器令牌.
将显示虚拟MDM服务器的详细信息.
10.
单击保存保存修改.
DEP服务器令牌的有效期为一年.
重要提示在AppleDEPWeb门户中创建新的服务器令牌时,必须使用创建初始令牌时使用的相同AppleID.
13.
5.
2创建DEP配置文件在创建DEP配置文件前,需要设置Apple设备注册程序(DEP).
请参阅设置AppleDEP(第61页).
DEP配置文件分配给DEP设备,并在设备激活时向Apple服务器提供信息.
该信息包括:分配用于管理该设备的MDM服务器(即SophosMobile).
通过SophosMobile进行注册的配置选项.
允许设备与之配对的主机的列表.
在设备首次开机时启动的iOS设置助手使用的自定义选项.
如果需要,可以创建多个DEP配置文件,以便对DEP设备使用不同的设置和注册设定值.
要创建DEP配置文件:1.
在侧边的菜单栏中,单击设置下的设置>系统设置,然后单击AppleDEP配置文件选项卡.
2.
单击添加.
3.
在编辑DEP配置文件对话框中,输入DEP配置文件的名称,并选择性输入一段说明.
4.
可选:在设备组列表中,选择一个设备组,在通过SophosMobile注册设备时,它将分配给设备.
有关设备组的信息,请参阅设备组(第68页).
62版权所有2018SophosLimitedSophosMobileonPremise注释为简化设备管理,我们建议对DEP设备使用单独的设备组.
5.
可选:在任务捆绑包列表中,选择一个任务捆绑包,在通过SophosMobile注册设备时,它将传递到设备上.
该列表包括所有包含非注册任务的iOS任务捆绑包.
有关任务捆绑包的信息,请参阅任务捆绑包(第200页).
6.
在注册选项卡上,可以配置以下设置:选项说明监控设备启用监督模式.
用户可以删除MDM配置文件用户可以通过iOS用户界面,删除SophosMobile注册配置文件.
只有对于受监督的设备,才可以不选择此选项.
安装SMC应用在设备上安装SophosMobileControl应用.
如果启用此选项,还必须禁用iOS设置选项卡上的跳过AppleID选项,以确保SophosMobile可以从AppStore安装该应用.
注释或者,如果您注册了Apple批量购买计划(VPP),即使设备没有关联AppleID,SophosMobile应用也可以作为VPP应用进行安装.
设备必须处于托管状态.
请参阅自动分配VPP应用(第222页).
用户可以跳过MDM配置文件分配用户可以跳过应用SophosMobile注册配置文件的设置步骤.
将用户分配给设备在通过SophosMobile进行注册的过程中,将要求提供用户的自助服务门户凭据,然后将用户分配给设备.
可以使用此选项将用户自动分配给设备.
7.
在iOS设置选项卡上,可以禁用设备首次开机时启动的iOS设置助手的配置步骤.
注释这些设置只影响iOS设置.
如果禁用配置步骤,以后用户仍然可以启用相关的选项.
要完全禁用某项功能,请使用限制配置.
请参阅限制配置(iOS设备配置文件)(第125页).
选项说明跳过应用程序和数据应用程序和数据页面将不会显示.
用户不能从iCloud或iTunes备份还原数据,或从Android设备传输数据.
禁用"从Android移动数据"在应用程序和数据页面上,从Android移动数据将不可用.
用户不能从Android设备传输数据.
版权所有2018SophosLimited63SophosMobileonPremise选项说明此选项只能在启用跳过应用程序和数据时启用.
跳过诊断诊断页面将不会显示.
将禁用向Apple发送诊断和使用情况数据.
跳过定位服务定位服务页面将不会显示.
用户不能启用定位服务.
跳过SiriSiri页面将不会显示.
用户不能设置Siri.
跳过显示缩放显示缩放页面将不会显示.
用户不能更改显示视图.
跳过AppleIDAppleID页面将不会显示.
用户不能使用其AppleID登录并访问Apple服务.
跳过ApplePayApplePay页面将不会显示.
用户不能添加信用卡或借记卡信息,不能使用ApplePay在应用商店或在应用程序中进行支付.
跳过TouchIDTouchID页面将不会显示.
用户不能设置指纹代替密码.
跳过密码创建密码页面将不会显示.
用户不能设置用于解锁设备的密码.
跳过条款和条件条款和条件页面将不会显示.
8.
在支持信息选项卡上,可以配置以下设置:选项说明部门与配置文件关联的部门或位置名称.
此名称包括在用户可以在设备设置过程中通过单击关于配置进行访问的信息中.
电话号码贵公司的支持电话号码.
此字段将使用技术支持联系人详细信息中的电话号码预先填充.
请参阅配置技术支持联系人详细信息(第19页).
注释该号码存储在DEP配置文件内部,但设备用户不可用.
电子邮件贵公司的支持电子邮件地址.
此字段将使用技术支持联系人详细信息中的电子邮件地址预先填充.
请参阅配置技术支持联系人详细信息(第19页).
注释该电子邮件地址存储在DEP配置文件内部,但设备用户不可用.
9.
在USB配对选项卡上,可以配置允许设备使用USB端口进行连接的主机计算机.
此选项可用于同步设备和iTunes,或使用AppleConfigurator对设备进行管理.
要允许通过USB连接所有主机,请选择允许使用所有主机进行USB配对.
要禁止USB连接或限制连接某些主机,请取消选择允许使用所有主机进行USB配对,然后为允许设备连接的每个主机上传一个证书文件.
10.
配置编辑DEP配置文件对话框的所有选项卡后,单击应用保存DEP配置文件.
64版权所有2018SophosLimitedSophosMobileonPremise11.
要将配置文件分配给所有没有手动分配配置文件的新DEP设备,请在分配给新设备的默认DEP配置文件列表中将其选中.
如果选择无,则必须将DEP配置文件手动分配给新的DEP设备,如部署DEP设备(第65页)中所述.
否则,DEP设备将不会在激活时通过SophosMobile进行注册.
12.
单击保存保存修改.
13.
5.
3部署DEP设备执行此过程可以将设备连接到AppleDEP,并对设备进行SophosMobile注册.
可以管理从Apple或授权的Apple供应商购买的设备.
将设备连接到AppleDEP前,需要先在AppleDEP门户中配置设备供应商.
注释在典型的DEP工作流程中,是先执行此过程,然后再将设备交给用户激活和使用.
注释有关AppleDEP门户的详细说明,请参阅Apple部署程序在线帮助.
要将设备分配给SophosMobile,并为设备分配DEP配置文件:1.
在您的Web浏览器地址栏中输入https://deploy.
apple.
com,打开Apple部署程序的Web门户,然后使用您的公司AppleID登录.
2.
在门户中,转到设备注册程序>管理设备.
3.
在设备选择方式下,按序列号或按订单号选择您的新设备,或上传包含设备序列号的CSV文件.
注释从经销商购买设备后,在经销商将您的订单传给Apple后的24小时内,设备会出现在DEP门户中.
4.
在选择操作下,选择分配给服务器,然后选择已经为SophosMobile设置的虚拟MDM服务器(如设置AppleDEP(第61页)中所述).
5.
单击确定执行分配.
此时,可以注销AppleDEPWeb门户.
如果已经按创建DEP配置文件(第62页)的描述配置了默认的DEP配置文件,则可跳过其余步骤.
6.
使用要为其管理DEP设备的客户的管理员帐户,登录到SophosMobileAdmin.
7.
在侧边的菜单栏中,单击管理下的设备,然后单击AppleDEP.
AppleDEP设备页面将列出您在AppleDEPWeb门户中分配给SophosMobile的所有设备.
8.
如果刚分配给SophosMobile的设备未出现在列表中,请单击与AppleDEP门户同步.
注释为限制AppleDEP服务器上的负荷,只能在经过短暂的排队时间后进行重复同步.
9.
选择新设备,然后单击操作>分配配置文件.
10.
在确认对话框中,选择要分配给设备的DEP配置文件,然后单击确定.
版权所有2018SophosLimited65SophosMobileonPremise购买的设备到达公司后,即可交给您的用户.
无需进行其他配置.
当用户首次开启他们的设备时,将按分配的DEP配置文件中的配置,执行iOS设置和SophosMobile注册.
如果您按创建DEP配置文件(第62页)中的描述选择将用户分配给设备配置文件选项,用户将自动分配给他们的设备.
13.
5.
4管理DEP设备在SophosMobile中管理DEP设备就和管理非DEP设备一样.
请参阅管理设备(第51页).
DEP比较特别的地方是可以向设备分配DEP配置文件.
DEP配置文件在设备激活时向Apple服务器提供信息.
请参阅创建DEP配置文件(第62页).
注释SophosMobile中显示的DEP配置文件可能与设备上实际使用的配置文件不同.
如果在设备激活后更改分配,设备将继续使用先前分配的配置文件,直到其被擦除并再次激活.
要更改设备的DEP配置文件:1.
在侧边的菜单栏中,单击管理下的设备,然后单击AppleDEP.
AppleDEP设备页面将列出您在AppleDEPWeb门户中分配给SophosMobile的所有设备.
2.
单击与AppleDEP门户同步可更新DEP信息.
注释为限制AppleDEP服务器的负荷,同步后将禁用与AppleDEP门户同步选项,几分钟后将再次变为可用.
3.
选择要为其分配不同DEP配置文件的设备.
4.
单击操作,然后单击所需的操作:分配配置文件:选择下次启动时将分配给设备的DEP配置文件.
取消配置文件分配:下次启动设备时,不会分配DEP配置文件.
新的配置文件分配显示在AppleDEP设备页面上.
这些更改将在擦除并再次激活后应用于设备.
13.
6DuoSecurity集成您可以使用DuoSecurity身份验证软件连接SophosMobile.
这样DuoSecurity就可以根据设备的SophosMobile管理状态识别信任的设备.
为确定设备的信任状态,DuoSecurity对Android和iOS使用不同的方法:对于Android设备,通过SophosMobileWeb服务界面获取信任状态.
对于iOS设备,通过设备上的特定证书确定信任状态.
注释有关信任设备的详细信息,请参阅DuoSecurity文档.
66版权所有2018SophosLimitedSophosMobileonPremise13.
6.
1为Android设备配置DuoSecurity集成执行以下步骤,让DuoSecurity确定您的Android设备的信任状态.
1.
在SophosMobile中,使用DuoAPI角色创建管理员.
2.
在Duo管理员面板中,输入该管理员的用户名和密码.
请参阅DuoSecurity文档了解详细信息.
为确定Android设备的信任状态,DuoMobileAndroid应用将向DuoSecurity服务器报告设备ID.
然后,DuoSecurity服务器将通过SophosMobileWeb服务接口获取设备状态,并将托管设备归入信任设备.
相关概念用户角色(第4页)相关任务创建管理员(第252页)13.
6.
2为iOS设备配置DuoSecurity集成执行以下步骤,让DuoSecurity确定您的iOS设备的信任状态.
1.
从侧边的菜单栏中,依次点击安装>系统设置>DuoSecurity,然后按DuoSecurity提供的信息配置SCEPCA服务器的设置.
2.
将Duo设备证书配置添加到您要用于iOS设备的iOS设备配置文件.
3.
更新设备上的iOS设备配置文件.
将在设备上安装Duo设备证书.
DuoMobileiOS应用将检测该证书,并将设备归入信任设备.
相关任务在设备上安装配置文件(第73页)相关参考Duo设备证书(iOS设备配置文件)(第143页)版权所有2018SophosLimited67SophosMobileonPremise14设备组设备组用于对设备进行分类.
它们可以帮助您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
一个设备始终属于一个设备组.
当您将设备添加到SophosMobile时,您可以将其分配至设备组.
提示仅在相同的操作系统中对设备进行分组.
这样更便于用设备组执行安装和其他操作系统特定任务.
14.
1创建设备组1.
在侧边的菜单栏中,单击管理下的设备组,然后单击创建设备组.
2.
在编辑设备组页面中,输入新设备组的名称和描述.
3.
在合规性策略下,选择应用到公司和个人设备的合规性策略.
4.
单击保存.
注释设备组的设置包括启用iOS自动注册选项.
此选项让您可以通过AppleConfigurator注册iOS设备.
请参阅自动注册iOS设备(第47页).
新设备组将创建,并显示在设备组页面上.
14.
2删除设备组1.
在侧边的菜单栏中,单击管理下的设备组.
2.
在设备组页面上,单击要删除的设备组旁边的蓝色三角形,然后单击删除.
3.
在确认对话框中,选择一个剩余的设备组,将当前设备组中的设备重新分配到该组.
如果当前设备组未分配有设备,该选项将不可用.
4.
单击是删除该设备组.
注释如果只剩一个设备组,且它分配有设备,则不能删除此设备组.
68版权所有2018SophosLimitedSophosMobileonPremise15配置文件和策略配置文件配置文件是由您定义、然后安装到设备或设备组的设置.
为将配置文件安装到一个或多个设备上,SophosMobile可以创建任务,并在指定的时间执行该任务.
更新配置文件时,要使更改后的配置在设备上生效,必须再次安装更新的配置文件.
以下是可用的配置文件类型:Android设备配置文件的配置(第75页)Knox容器配置文件的配置(第119页)iOS设备配置文件的配置(第123页)策略策略是由您定义、然后分配给设备或设备组的设置.
一个设备只能分配一种策略.
如果将策略分配到设备,将触发同步,并且设置会立即生效.
每次设备连接SophosMobile服务器时,设备上分配的策略都会更新.
因此,当您更新策略时,不必重新将其应用到设备.
以下是可用的策略类型:Android企业设备策略的配置(第100页)Android企业工作配置文件策略的配置(第91页)Android的Sophos容器策略的配置(第111页)MobileSecurity策略的配置(第119页)AndroidThings策略的配置(第123页)iOS的Sophos容器策略的配置(第147页)macOS设备策略的配置(第156页)macOS用户策略的配置(第168页)WindowsMobile策略的配置(第182页)Windows策略的配置(第192页)AndroidThings策略的配置(第123页)WindowsIoT策略的配置(第198页)15.
1创建配置文件或策略配置文件和策略是由一个或多个配置组成的.
通过添加配置,您可以定义配置文件或策略的范围,即设备上要管理的方面.
1.
在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击要为其创建配置文件或策略的平台.
2.
在配置文件和策略页面上,单击创建.
如果有多个配置文件或策略类型可用于某个平台,单击创建时将打开一个菜单,您可以从其中选择所需的类型.
要查看可用配置文件和策略类型的列表,请参阅配置文件和策略(第69页).
3.
输入名称和说明.
4.
对于iOS和macOS设备配置文件,输入您的组织名称.
版权所有2018SophosLimited69SophosMobileonPremise5.
对于Sophos容器策略,常规配置是强制要求的,会自动添加到策略中.
在编辑策略页面上,单击常规打开配置,并进行所需的修改.
6.
对于Android企业策略,限制配置是强制要求的,会自动添加到策略中.
在编辑策略页面上,单击限制打开配置,并进行所需的修改.
7.
要将更多配置添加到配置文件或策略,请单击添加配置,然后选择要添加的配置.
注释支持的配置取决于操作系统的版本或其他设备功能.
要求通过蓝色标签表示.
8.
在配置的设置页面中,指定所需的设置.
9.
可选:重复前面的步骤以添加更多的配置.
10.
添加所有要求的配置后,单击保存.
将创建配置文件或策略.
有关如何将配置文件或策略应用到设备的信息,请参阅在设备上安装配置文件(第73页)或向设备分配策略(第74页).
提示当您更新配置文件时,您可以轻松将其重新安装到所安装的所有设备上:在配置文件和策略页面上,单击配置文件旁边的蓝色三角形,然后单击更新设备.
更新策略时,策略会在已分配策略的所有设备上自动更新.
15.
2导入用AppleConfigurator创建的iOS设备配置文件可以将使用AppleConfigurator创建的配置文件导入SophosMobile.
AppleConfigurator可以从应用商店中下载.
注释您可以使用与自己开发的iOS应用的设置配置文件相同的程序,导入设备配置文件.
上传配置文件时,SophosMobile将分析其内容,以区分这两种配置文件类型.
1.
在AppleConfigurator中创建配置文件后,将其导出(不加密、不签名)并保存在您的计算机中.
2.
在侧边的菜单栏中,单击配置下的配置文件,策略>iOS.
3.
在配置文件和策略页面上,单击创建>导入配置文件.
将显示编辑配置文件页面.
4.
在相应字段中输入新的配置文件的名称和说明.
5.
单击上传文件,浏览并找到保存在您计算机上的文件,将其选中并单击打开.
6.
单击保存.
将创建配置文件.
它可以安装到设备上.
请参阅在设备上安装配置文件(第73页).
70版权所有2018SophosLimitedSophosMobileonPremise15.
3导入iOS应用的设置配置文件当您开发自己的iOS应用时,可以创建设置配置文件,以便可以从IPA文件而不是应用商店安装您的应用.
您可以将这些设置配置文件上传到SophosMobile服务器,随后将它们分发到您的设备.
有关设置配置文件的详细信息,请参阅iOS开发库.
注释可以采用与AppleConfigurator创建的设备配置文件相同的程序导入设置配置文件.
上传配置文件时,SophosMobile将分析其内容,以区分这两种配置文件类型.
1.
在您的iOS开发环境中生成设置配置文件后,将其保存在您的计算机上.
2.
在侧边的菜单栏中,单击配置下的配置文件,策略>iOS.
3.
在配置文件和策略页面上,单击创建>导入配置文件.
将显示编辑配置文件页面.
4.
在相应字段中输入新的配置文件的名称和说明.
5.
单击上传文件,浏览并找到保存在您计算机上的文件,将其选中并单击打开.
6.
单击保存.
将创建配置文件.
它可以安装到设备上.
请参阅在设备上安装配置文件(第73页).
15.
4关于macOS策略Mac设备有两种类型的策略:设备策略:如果您将设备策略分配给Mac设备,设置将应用到所有登录该Mac设备的用户,无论他们是否由SophosMobile托管.
用户策略:如果您将用户策略分配给Mac设备,设置将应用到所有登录该Mac设备的托管用户.
托管用户有:将Mac设备注册到SophosMobile的本地用户.
SophosMobile可以识别的所有网络用户,即来自您已经为自助服务门户配置的外部LDAP目录的用户.
关于设备和用户策略除注册策略(它是一个设备策略)外,您还可以给Mac设备分配一个设备策略和一个用户策略.
如果分配给同一Mac设备的设备策略和用户策略中有冲突性的配置,将应用限制更多的配置.
在Mac设备上,分配的策略在系统首选项>配置文件下列出.
如果您更新设备策略,修改将在下次设备同步时生效.
如果您更新用户策略,修改将在下次用户登录到Mac设备时生效.
用户可以从Mac设备上删除用户策略,但它会在下次用户登录时自动重新分配.
用户不能删除设备策略.
如果用户删除注册策略,Mac设备将取消SophosMobile注册.
这需要管理员权限.
版权所有2018SophosLimited71SophosMobileonPremise相关概念macOS设备策略的配置(第156页)macOS用户策略的配置(第168页)15.
5Windows密码复杂性规则Windows计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过SophosMobile策略设置.
本地帐户和Microsoft帐户使用不同的规则.
本地帐户密码不能包含用户的帐户名或用户全名中两个以上的连续字符.
密码长度不得少于6个字符.
密码必须包含以下4类字符中的3类︰—大写字符A-Z(拉丁字母)—小写字符a-z(拉丁字母)—数字0-9—特殊字符(等)Microsoft帐户密码长度不得少于8个字符.
密码必须包含以下4类字符中的2类︰—大写字符A-Z(拉丁字母)—小写字符a-z(拉丁字母)—数字0-9—特殊字符(等)15.
6SamsungKnox支持您可以通过SophosMobile管理SamsungKnox设备.
要激活SamsungKnox支持,您必须在SophosMobile中配置SamsungKnoxPremium许可证密钥.
请参阅注册SamsungKnox许可证(第33页).
要配置Samsung设备的Knox容器,请参阅Knox容器配置文件的配置(第119页).
要在SamsungKnox容器中安装应用,请参阅添加应用(第210页).
要管理您的SamsungKnox设备,您可以创建任务捆绑包,执行以下操作:Knox容器:锁定Knox容器:解除锁定Knox容器:重置密码Knox容器:删除(从设备删除容器和所有相关配置)要为SamsungKnox设备创建任务捆绑包,请参阅创建任务捆绑包(第200页).
72版权所有2018SophosLimitedSophosMobileonPremise15.
7配置文件和策略中的占位符配置文件和策略可能包含在执行任务时被实际数据替换的占位符.
可以使用以下占位符:用于用户数据的占位符:—%_EMAILADDRESS_%—%_USERNAME_%用于设备属性的占位符:—%_DEVPROP(属性名)_%属性名可以是设备的标准属性或自定义属性.
请参阅定义设备的自定义属性(第55页).
用于客户属性的占位符:—%_CUSTPROP(属性名)_%请参阅定义客户属性(第19页).
对于macOS,用户数据按以下方式替换:对于本地Mac用户,使用分配给设备的SophosMobile用户的数据.
对于网络用户,使用LDAP用户帐户的数据.
15.
8在设备上安装配置文件1.
在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击其中一个支持配置文件的设备平台:AndroidiOS将显示所选平台的配置文件和策略页面.
2.
单击要安装的配置文件旁边的蓝色三角形,然后单击安装.
将显示选择设备页面.
3.
在此页面上,可以:选择要安装该配置文件的单个设备.
单击选择设备组,然后选择一个或多个设备组.
4.
完成选择后,单击下一步.
将显示设置执行日期页面.
5.
在计划日期下,选择立即或为该任务的执行指定一个日期和时间.
6.
单击完成.
将显示任务视图页面.
配置文件将在指定的日期和时间安装到所选的设备上.
版权所有2018SophosLimited73SophosMobileonPremise提示您还可以使用以下任一选项安装配置文件:要在所有安装该配置文件的设备上更新配置文件:在配置文件和策略页面上,单击配置文件旁边的蓝色三角形,然后单击更新设备.
要在单个设备上安装配置文件:在设备的显示设备页面上,选择配置文件选项卡并单击安装配置文件.
要在多个设备上安装配置文件:在设备页面上,选择所需设备,然后单击操作>安装配置文件.
要在一个或多个设备上作为任务捆绑包的一部分安装配置文件:将安装配置文件任务添加到任务捆绑包并将其传输到所需的设备或设备组.
15.
9向设备分配策略1.
在侧边的菜单栏中,单击配置下的配置文件、策略,然后单击其中一个支持策略的设备平台:AndroidAndroidThingsiOSmacOSWindowsMobileWindowsWindowsIoT将显示所选平台的策略页面.
2.
单击要分配的策略旁边的蓝色三角形,然后单击分配.
将显示选择设备页面.
3.
在此页面上,可以:选择要向其分配策略的单个设备.
单击选择设备组,并选择一个或多个设备组进行策略分配.
4.
完成选择后,单击完成.
策略将分配给所选的设备,并触发所选设备的同步过程.
注释不能从设备上删除策略.
要禁用策略,必须向该设备分配其他策略.
74版权所有2018SophosLimitedSophosMobileonPremise提示您还可以使用以下任一选项分配策略:要分配策略至单个设备:在设备的显示设备页面上,选择策略选项卡并单击分配策略.
要分配策略至多个设备:在设备页面上,选择所需设备,然后单击操作>安装配置文件.
要将策略作为任务捆绑包的一部分分配到一个或多个设备:将安装配置文件任务添加到任务捆绑包并将其传输到所需的设备或设备组.
15.
10卸载配置文件使用以下任一过程从设备卸载配置文件:要从单个设备卸载配置文件:在设备的显示设备页面上,选择配置文件选项卡.
单击要删除的配置文件旁边的蓝色三角形,然后单击卸载.
要从所有设备上卸载配置文件:在平台的配置文件和策略页面上,单击要删除的配置文件旁边的蓝色三角形,然后单击卸载.
要从选定设备卸载配置文件:创建一个包括卸载配置文件任务的任务捆绑包,并将它传递到所需的设备或设备组.
15.
11下载配置文件和策略可以下载已经在SophosMobileAdmin中配置的配置文件和策略.
这很有用,例如,如果您需要将定义的设置传到SophosSupport.
1.
在侧边的菜单栏中,转到配置文件,策略,并单击一个设备平台.
将显示所选平台的配置文件和策略页面.
2.
单击所需配置文件或策略的名称.
将显示显示配置文件或显示策略页面.
3.
单击下载.
配置文件或策略将保存到您的本地计算机.
15.
12Android设备配置文件的配置使用Android设备配置文件,您可以配置Android设备的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建设备配置文件的信息,请参阅创建配置文件或策略(第69页).
版权所有2018SophosLimited75SophosMobileonPremise15.
12.
1密码策略配置(Android设备配置文件)使用密码策略配置,您可以为显示锁定密码定义要求.
注释支持的设置取决于操作系统的版本或其他设备功能.
范围在SophosMobile中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
76版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
设备擦除前的失败尝试次数输入正确密码的失败次数,超过后将擦除设备.
最小历史长度记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1至5或0.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
生物特征身份验证设置/字段说明允许指纹身份验证如果设备支持,用户可以使用指纹验证方式解锁设备.
允许虹膜身份验证如果设备支持,用户可以使用虹膜验证方式解锁设备.
15.
12.
2限制配置(Android设备配置文件)使用限制配置,您可以为设备定义限制.
安全设置/字段说明强制加密用户必须对其设备进行加密.
版权所有2018SophosLimited77SophosMobileonPremise设置/字段说明强制SD卡加密将配置文件安装到设备上时,用户必须对SD卡进行加密.
注释对于某些设备类型,用户可以选择取消加密.
在下次装载SD卡时,将再次提醒他们.
允许快速加密用户可以修改设备设置中的快速加密选项.
允许恢复出厂设置用户可以将其设备重置为出厂状态.
允许"开发人员选项"用户可以修改开发者选项.
允许安全模式用户可以在安全模式下启动设备.
允许USB调试用户可以开启USB调试.
注释对于EnterpriseAPI版本9或更高版本的Sony设备,清除允许USB调试复选框将使所有开发人员选项不可用.
允许固件恢复将允许所有类型的固件更新(如无线、下载等).
允许备份用户可以创建系统备份.
如果清除该复选框,将关闭Google备份,但其他备份方法(例如SophosMobile备份)仍然可用.
允许更改设置用户可以修改设备设置.
允许剪贴板用户可以将任意内容复制到剪贴板.
启用共享的剪贴板允许用户在应用之间复制剪贴板内容.
如果清除该复选框,每个应用都将有各自的剪贴板.
只有在您选中允许剪贴板时,此设置才可用.
允许屏幕捕获用户可以截屏.
允许模仿GPS位置用户可以在Android开发人员选项中选择模拟位置信息应用.
允许无线固件更新将允许无线固件更新.
允许录音用户可以录音.
78版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许录像用户可以录像.
如果清除该复选框,用户仍然可以拍摄照片和流式视频.
允许激活锁定用户可以修改设备设置中的激活锁定选项.
允许S光束用户可以启动SamsungSBeam应用.
允许S语音用户可以启动SamsungSVoice应用.
允许"共享方式"共享方式功能可以使用.
帐户设置/字段说明允许多个用户帐户如果清除该复选框,将关闭多用户支持.
用户或其他应用不能创建额外的用户帐户.
允许添加电子邮件帐户如果清除该复选框,用户将不能添加电子邮件帐户.
这不影响通过设备配置文件创建帐户.
允许删除Google帐户如果清除该复选框,用户将不能从设备上删除Google帐户.
允许Google账户自动同步如果清除该复选框,Google帐户将不会自动同步.
用户仍然可以在Gmail等应用内执行手动同步.
网络与通信设置/字段说明允许飞行模式如果清除该复选框,用户将不能启用飞行模式.
允许漫游时同步如果清除该复选框,将关闭漫游时同步.
仅允许紧急呼叫只允许紧急呼叫.
所有其他通话将被阻止.
漫游时强制要求手动同步设备漫游时,将关闭自动数据同步.
这将影响所有配置的帐户,如Google或Exchange.
强制要求移动数据连接用户不能关闭手机网络数据.
允许短信如果清除该复选框,用户将不能发送短信.
允许漫游时连接移动数据如果清除该复选框,将关闭漫游时的移动数据连接.
允许漫游时语音呼叫如果清除该复选框,将关闭漫游时的语音通话.
版权所有2018SophosLimited79SophosMobileonPremise设置/字段说明允许用户移动数据限制如果清除该复选框,用户将不能设置移动数据限制.
允许VPN如果清除该复选框,用户将不能使用VPN连接.
允许Wi-FiDirect如果清除该复选框,将关闭通过Wi-FiDirect传输数据.
允许AndroidBeam如果清除该复选框,将关闭通过AndroidBeam传输数据.
包括SamsungSBeam应用.
允许Miracast策略如果清除该复选框,将关闭通过Miracast传输数据.
允许蓝牙如果清除该复选框,将关闭蓝牙.
允许高级音频分发模式(A2DP)允许音频/视频远程控制模式(AVRCP)允许免提模式(HFP)允许耳机模式(HSP)允许电话簿访问模式(PBAP)允许串口模式(SPP)要允许单个蓝牙配置文件,请选中允许蓝牙复选框,然后选择要允许的配置文件.
如果清除允许蓝牙复选框,设置将不起作用,即禁止所有配置文件.
允许NFC如果清除该复选框,将关闭NFC(近场通信).
允许Wi-Fi如果清除该复选框,将关闭Wi-Fi.
数据加密设置/字段说明允许数据共享如果清除该复选框,将关闭数据共享.
包括通过Wi-Fi、USB和蓝牙进行的数据共享.
注释如果清除该复选框,允许Wi-Fi数据共享、允许USB数据共享和允许蓝牙数据共享将不起作用.
允许Wi-Fi数据共享如果清除该复选框,将关闭Wi-Fi数据共享(Wi-Fi热点).
允许USB数据共享如果清除该复选框,将关闭USB数据共享.
允许蓝牙数据共享如果清除该复选框,将关闭蓝牙数据共享.
80版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许配置Wi-Fi数据共享用户可以配置Wi-Fi热点的设置.
硬件设置/字段说明允许照相机如果清除该复选框,相机将不可用.
允许在锁定屏幕期间使用照相机如果清除该复选框,锁屏时将不能使用相机.
要允许相机在锁定屏幕上,您还必须选择允许照相机选项.
强制要求GPS进行位置查询将使用GPS信息进行设备定位.
允许SD卡如果清除该复选框,SD卡将不能在设备上使用.
允许将应用移至SD卡如果清除该复选框,用户将不能将应用从内部存储移动到SD卡.
允许写入未加密的SD卡如果清除该复选框,将不能写入未加密的SD卡.
允许麦克风如果清除该复选框,麦克风将不可用.
允许USB设备上的USB大容量存储模式和USB媒体设备模式(MTP)可用.
允许USB媒体播放器如果清除该复选框,媒体传输协议(MTP)将不可用.
因为Android使用MTP传输USB文件,因此将阻止通过USB传输任何文件.
允许省电模式如果清除该复选框,设备将不会进入省电模式.
允许USB主机存储将装载用户连接的所有外部存储设备.
其中包括便携式USB存储设备、外置硬盘和SD卡读卡器.
如果清除该复选框,将不装载外部存储设备.
应用程序设置/字段说明允许应用安装如果清除该复选框,用户将不能安装应用.
允许应用卸载如果清除该复选框,用户将不能卸载应用.
允许未签名应用安装如果清除该复选框,用户将只能安装签名的APK文件.
版权所有2018SophosLimited81SophosMobileonPremise设置/字段说明允许PlayStore如果清除该复选框,将不能使用GooglePlayStore应用.
允许未知来源的应用如果清除该复选框,用户将只能通过GooglePlayStore应用安装应用.
允许本地浏览器如果清除该复选框,本地浏览器将不可用.
第三方浏览器应用将不受影响.
允许应用崩溃报告如果清除该复选框,用户将不能发送崩溃报告.
允许更换墙纸如果清除该复选框,用户将不能更换壁纸.
在锁定屏幕上允许使用小组件如果清除该复选框,锁屏时将不能使用小组件.
允许Knox联系信息用于个人呼叫默认情况下,当用户在个人模式下收到Knox联系人的来电时,SamsungKnox设备将显示联系人信息.
如果清除该复选框,将不会在个人模式下显示Knox联系人信息.
允许在浏览器中自动填充用户可以在本机Android浏览器的设置中启用自动填充.
启用后,网页会在用户填充表单数据时提供建议.
如果清除该复选框,将关闭自动填充,且浏览器设置将不可用.
允许在浏览器中使用Cookie用户可以在本机Android浏览器的设置中启用Cookie.
启用后,网页可以将Cookie存储在设备上.
如果清除该复选框,将关闭Cookie,且浏览器设置将不可用.
允许在浏览器中使用JavaScript用户可以在本机Android浏览器的设置中启用JavaScript.
启用后,网页可以在设备上执行JavaScript代码.
如果清除该复选框,将关闭JavaScript,且浏览器设置将不可用.
允许在浏览器中弹出窗口用户可以在本机Android浏览器的设置中启用弹出窗口.
启用后,网页可以打开新的浏览器窗口.
如果清除该复选框,将关闭弹出窗口,且浏览器设置将不可用.
允许修改日期和时间设置用户可以修改日期和时间设置.
允许的应用/禁止的应用您可以配置允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
SophosMobile服务器启动的应用安装不受此设置的影响.
有关创建应用组的信息,请参阅应用组(第225页).
82版权所有2018SophosLimitedSophosMobileonPremise15.
12.
3KnoxPremium限制配置(Android设备配置文件)使用KnoxPremium限制配置,您可以为SamsungKnox设备定义限制.
这些限制适用于设备,不适用于Knox容器.
选项说明允许固件自动更新选项设备将自动检查固件更新.
用户不能在设备设置中更改此选项.
启用ODE信任引导验证只有二进制文件和内核文件是正式的,也就是设备没有进行Root的情况下,设备才会在启动时解密数据分区.
如果清除该复选框,设备总是会在启动时解密数据分区.
阻止另一管理应用安装将阻止安装需要设备管理员权限的应用.
这不影响SophosMobile安装的应用.
阻止另一管理应用激活将阻止激活设备管理员权限.
允许常见标准模式将开启设备的常见条件模式(CC模式),从而确保设备符合移动设备基本保护配置文件(MDFPP)规定的安全要求.
请注意:CC模式仅在满足以下附加要求时使用:设备加密已开启.
快速加密已关闭.
外部存储加密已开启.
设置了设备擦除前允许的登录失败尝试次数.
证书吊销已开启.
密码历史记录已关闭.
15.
12.
4应用保护配置(Android设备配置文件)使用应用保护配置,您可以为保护应用定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时定义一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在自助服务门户中重置应用保护密码.
设置/字段说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
版权所有2018SophosLimited83SophosMobileonPremise设置/字段说明应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
15.
12.
5应用控制配置(Android设备配置文件)使用应用控制配置,您可以定义不允许用户启动的应用.
例如,可以使用此功能阻止设备制造商预安装并且无法卸载的应用程序.
设置/字段说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
15.
12.
6应用权限配置(Android)使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么.
设置/字段说明特定于App的运行时权限您可以对单个应用授予或拒绝某些运行时权限.
单击添加,然后配置应用的设置:在应用标识符字段中,输入应用的内部标识符.
对每个运行时权限,选择所需的授权状态:可选择:用户可以授予或拒绝权限.
授权:授予权限且用户不能拒绝.
拒绝:拒绝权限且用户不能授权.
15.
12.
7Exchange帐户配置(Android设备配置文件)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
84版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
默认账户该帐户用作默认的电子邮件帐户.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
允许转发邮件允许转发电子邮件.
允许使用HTML格式允许在电子邮件中使用HTML格式.
最大大小(MB).
单封电子邮件最大的大小(1、3、5、10、无限制).
版权所有2018SophosLimited85SophosMobileonPremise设置/字段说明同步内容类型要同步的内容类型.
注释对于采用EnterpriseAPI6.
x或以下版本的Sony设备,Exchange帐户信息与分配给设备的用户相匹配非常重要.
在这些设备上,SophosMobileControl客户端不能将ActiveSyncID发送到SophosMobile服务器.
当设备首次联系EAS代理时,电子邮件客户端发送的ActiveSyncID对于SophosMobile是未知的.
为验证帐户详细信息,EAS代理会搜索ActiveSyncID未知的设备以及与电子邮件客户端提供的用户信息相匹配的已分配用户.
如果找到这样的设备,ActiveSyncID将分配给该设备,电子邮件请求将传递到Exchange服务器.
否则,请求将被拒绝.
有关详细信息,请参阅Sophos知识库文章121360.
15.
12.
8Wi-Fi配置(Android设备配置文件)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
86版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
代理服务器和端口Wi-Fi连接代理服务器的名称或IP地址和端口号.
15.
12.
9VPN配置(Android设备配置文件)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
服务器服务器的主机名或IP地址.
连接类型VPN连接的类型:L2TP/IPsec(PSK)如果选择此类型,将显示用户、密码和L2TP/IPsec(PSK)字段.
输入用户名及密码.
在L2TP/IPsec(PSK)字段中,输入身份验证的预共享密钥.
L2TP/IPsec(证书)如果选择此类型,将显示客户端证书、根证书、用户名及密码字段.
在客户端证书及根证书字段中,选择相应的证书.
此外,输入用户名及相应的密码.
CiscoAnyConnect如果选择此类型,您可以上传XML文件及AnyConnectVPN配置文件和/或NVM(网络可见性模块)配置文件.
请参阅CiscoAnyConnect管理员指南,了解有关这些配置文件的信息.
15.
12.
10根证书配置(Android设备配置文件)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
版权所有2018SophosLimited87SophosMobileonPremise注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
12.
11客户端证书配置(Android设备配置文件)使用客户端证书配置,您可以在设备上安装客户端证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
12.
12SCEP配置(Android设备配置文件)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
88版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
15.
12.
13接入点名称配置(Android设备配置文件)使用接入点名称配置,可以为移动设备指定接入点名称(APN)配置.
APN配置定义设备如何连接到移动网络.
重要提示我们建议您向运营商了解所需的设置.
如果选择用作默认APN且设置不正确,设备将不能通过手机网络访问数据.
注释除APN字段外,所有设置均为可选,并且仅在移动网络运营商要求时才指定.
设置/字段说明APN设备开启与运营商的连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
用户友好名称除APN外,显示在设备上的可选名称.
版权所有2018SophosLimited89SophosMobileonPremise设置/字段说明代理服务器和端口用于Web通信的HTTP服务器的地址和端口.
用户名、用户密码用于连接到APN的用户名和密码.
服务器WAP网关服务器.
MMSC多媒体消息服务中心(MMSC).
MMS代理服务器和端口用于与MMSC进行通信的HTTP服务器的地址和端口.
移动设备国家代码(MCC)、移动设备网络代码(MNC)用于指定运营商的MCC和MNC.
APN仅用于该运营商.
身份验证类型PPP连接的身份验证方法.
APN类型使用此APN的数据连接的类型.
要将该APN用于所有数据类型,请输入*或将该字段保留为空.
持有者运营商使用的无线接入技术(RAT).
协议运营商支持的网络协议.
漫游协议运营商在漫游模式下支持的网络协议.
用作默认APN如果选中,设备将使用此APN作为默认值.
如果尝试在多个接入点名称配置中选择此选项,将会引发错误.
15.
12.
14展台模式配置(Android设备配置文件)使用展台模式配置,您可以为设备定义限制,使其进入展台模式.
单击选择源,然后执行以下操作之一,指定配置文件传输到设备时将启动的应用:选择自定义并输入应用标识符.
选择应用列表,然后从应用标识符列表中选择一个应用.
该列表包含您在应用页面上配置的所有应用.
请参阅添加应用(第210页).
选择无可以配置展台模式,但不指定应用.
展台模式限制将应用于设备,但不会启动任何应用.
在选项下,不选择要在展台模式下禁用的硬件和软件功能.
当配置文件传输到设备时,指定的应用将启动.
但是,如果您未关闭任何可用的硬件或软件功能,用户将可以离开应用并正常使用该设备.
要将设备设置为真正的展台模式,至少必须清除允许主页按钮和允许任务管理器复选框.
90版权所有2018SophosLimitedSophosMobileonPremise注释必须将指定的应用安装到设备上.
如果未安装,传输任务将保持未完成状态,直到该应用安装完成.
要安装该应用,请创建一个包含(例如)安装应用任务的任务绑定包,并将其传输到您的设备.
如果要为SamsungKnox设备指定应用,请确保它是一个启动器应用.
这种类型的应用程序为Android提供了替代桌面.
对于EnterpriseAPI版本9或更高版本的Sony设备,如果您清除允许调高音量、允许调低音量或允许静音复选框中的任意一项,设备的所有音量按钮都将禁用.
15.
13Android企业工作配置文件策略的配置使用Android企业工作配置文件策略,可以配置与设备的工作配置文件相关的设置.
策略可以应用到使用Android企业配置文件所有者模式注册到SophosMobile的设备.
有关如何创建Android企业工作配置文件策略的信息,请参阅创建配置文件或策略(第69页).
15.
13.
1"密码策略-设备"配置(Android企业工作配置文件策略)使用密码策略-设备配置,您可以为显示锁定密码定义要求.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
版权所有2018SophosLimited91SophosMobileonPremise如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
设备擦除前的失败尝试次数输入正确密码的失败次数,超过后将擦除设备.
最小历史长度记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1至5或0.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
15.
13.
2"密码策略-工作配置文件"配置(Android企业工作配置文件策略)使用密码策略-工作配置文件配置,您可以为工作配置文件密码定义要求.
当工作配置文件被锁定时,用户必须输入该密码才能打开工作应用.
注释支持的设置取决于操作系统的版本或其他设备功能.
范围在SophosMobile中通过蓝色标签表示.
92版权所有2018SophosLimitedSophosMobileonPremise密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
弱的生物识别允许用户使用较弱的生物识别方法(如面部识别)来解锁工作配置文件.
注释较弱的生物识别方法提供与3位数PIN码相似的安全性.
这意味着在1000次尝试中可能会发生1次中未经授权的解锁.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该工作配置文件被锁定后的时间.
配置文件可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
版权所有2018SophosLimited93SophosMobileonPremise设置/字段说明最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
设备擦除前的失败尝试次数输入正确密码的失败次数,超过后将擦除工作配置文件.
最小历史长度记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1至5或0.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
15.
13.
3限制配置(Android企业工作配置文件策略)使用限制配置,您可以为Android工作配置文件配置限制和相关设置.
安全设置/字段说明允许屏幕捕获用户可以捕获工作应用的屏幕内容.
允许用户配置凭据用户可以在工作配置文件中安装或删除证书.
允许在个人应用中使用工作剪贴板用户可以从工作应用复制文本,并粘贴到个人应用中.
始终可以将剪贴板文本从个人应用粘贴到工作应用.
允许智能锁定用户可以开启在特定情况下自动解锁设备的Android智能解锁功能.
94版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许共享位置工作应用可以访问设备的定位功能.
如果清除该复选框,即便用户已经开启位置共享,工作应用也不能访问设备的定位功能.
允许在个人应用中打开Web链接用户在工作应用中点击的Web链接可以通过个人浏览器应用打开.
允许调试用户可以开启Android开发人员选项中的调试功能.
允许通过指纹解锁设备用户可以使用指纹传感器解锁设备.
允许工作联系信息用于个人呼叫工作联系人来电时,个人电话应用显示来电人姓名.
允许工作联系信息用于蓝牙设备工作联系人个人来电时,连接的蓝牙设备显示来电人姓名.
允许搜索个人配置文件中的工作联系人搜索来电人姓名时,个人电话应用包括来自工作联系人的结果.
帐户设置/字段说明允许管理帐户用户可以添加或删除工作配置文件中的帐户,但不能添加或删除Google帐户.
网络与通信设置/字段说明允许VPN用户可以将VPN连接用于工作应用.
允许AndroidBeam用户可以通过AndroidBeam(通过NFC传输数据)从工作应用发送数据.
硬件设置/字段说明允许照相机工作应用可以访问相机.
版权所有2018SophosLimited95SophosMobileonPremise应用程序设置/字段说明允许应用卸载用户可以卸载工作应用.
允许安装未知来源的应用如果清除该复选框,用户将只能通过GooglePlayStore安装工作应用,不能从未知来源或通过Android调试桥(ADB)安装.
允许管理应用如果清除该复选框,用户将不能对工作应用执行以下任务:卸载应用禁用应用停止应用清除应用缓存清除应用数据清除默认情况下打开设置允许禁用Google安全扫描用户可以关闭Google安全设置扫描设备是否存在安全威胁.
该设置可用于设置应用中,在Google>安全>GooglePlayProtect下.
短消息特定于公司的支持消息,当功能关闭时向用户显示.
注释如果您的输入超过了200个字符,消息可能会被截断.
长消息用于补充短消息的附加文本.
当用户在显示短消息的屏幕中点击更多详细信息时,显示该文本.
注释此文本还会显示在SophosMobileControl应用的Android设备管理员屏幕上.
15.
13.
4应用保护配置(Android企业工作配置文件策略)使用应用保护配置,您可以定义保护工作应用(即安装在工作配置文件中的应用)的密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时定义一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在自助服务门户中重置应用保护密码.
96版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
15.
13.
5应用控制配置(Android企业工作配置文件策略)使用应用控制配置,您可以定义不允许用户启动的工作应用.
设置/字段说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
15.
13.
6应用权限配置(Android企业工作配置文件策略)使用应用权限配置,您可以配置工作应用在运行期间请求权限时会发生什么.
设置/字段说明对运行时权限请求的默认响应对工作应用未来运行时权限请求的默认响应:提示:应用提示用户授予权限.
自动接受:所有运行时权限请求都会自动授予.
自动拒绝:所有运行时权限请求都会自动拒绝.
用户以后不能更改权限.
特定于App的运行时权限您可以对单个应用授予或拒绝某些运行时权限.
单击添加,然后配置应用的设置:在应用标识符字段中,输入应用的内部标识符.
对每个运行时权限,选择所需的授权状态:可选择:用户可以授予或拒绝权限.
授权:授予权限且用户不能拒绝.
拒绝:拒绝权限且用户不能授权.
版权所有2018SophosLimited97SophosMobileonPremise15.
13.
7Exchange帐户配置(Android企业工作配置文件策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
这些设置被应用至工作配置文件中的Gmail应用程序.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
注释密码由用户输入.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
98版权所有2018SophosLimitedSophosMobileonPremise15.
13.
8根证书配置(Android企业工作配置文件策略)使用根证书配置,您可以在设备上安装根证书.
工作应用,即在工作配置文件中安装的应用将可以使用此证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
13.
9客户端证书配置(Android企业工作配置文件策略)使用客户端证书配置,您可以在设备上安装客户端证书.
工作应用,即在工作配置文件中安装的应用将可以使用此证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
13.
10SCEP配置(Android企业工作配置文件策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
在工作配置文件中安装的应用将可以使用这些证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
版权所有2018SophosLimited99SophosMobileonPremise设置/字段说明主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
15.
14Android企业设备策略的配置使用Android企业设备策略,您可以配置Android设备的各个方面,如密码策略、限制或Wi-Fi设置.
策略可以应用到使用Android企业设备所有者模式注册到SophosMobile的设备.
有关如何创建Android企业设备策略的信息,请参阅创建配置文件或策略(第69页).
15.
14.
1"密码策略"配置(Android企业设备策略)使用密码策略配置,您可以为显示锁定密码定义要求.
100版权所有2018SophosLimitedSophosMobileonPremise密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果设备未使用,则该设备被锁定后的时间.
设备可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
设备擦除前的失败尝试次数输入正确密码的失败次数,超过后将擦除设备.
最小历史长度记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1至5或0.
如果您选择了复杂密码,将显示以下附加字段:版权所有2018SophosLimited101SophosMobileonPremise设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
15.
14.
2限制配置(Android企业设备策略)使用限制配置,您可以为设备定义限制.
安全设置/字段说明强制加密用户必须对其设备进行加密.
允许恢复出厂设置用户可以将设备重置为出厂设置.
允许安全模式用户可以在安全模式下启动设备.
允许调试用户可以开启Android开发人员选项中的调试功能.
允许屏幕捕获用户可以截屏.
允许用户配置凭据用户可以安装或删除证书.
允许智能锁定用户可以开启在特定情况下自动解锁设备的Android智能解锁功能.
允许共享位置用户可以开启位置共享.
允许通过指纹解锁设备用户可以使用指纹传感器解锁设备.
允许修改用户头像用户可以修改其用户帐户使用的照片.
在锁屏界面隐藏敏感信息如果开启锁屏界面上的通知,将隐藏敏感的通知内容.
102版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明系统更新策略选择安装系统更新的时间:无策略:用户可以决定何时安装系统更新.
自动安装:只要有系统更新可用,即自动安装.
在维护时段内安装:系统更新在日常维护时段内自动安装.
输入一天的开始和结束时间.
推迟:阻止系统更新(安全更新除外)30天.
帐户设置/字段说明允许管理帐户用户可以在设备中添加或删除帐户,但不能添加或删除Google帐户.
网络与通信设置/字段说明允许短信如果清除该复选框,用户将不能发送短信.
允许漫游时连接移动数据如果清除该复选框,将关闭漫游时的移动数据连接.
允许VPN如果清除该复选框,用户将不能使用VPN连接.
允许AndroidBeam用户可以通过AndroidBeam(通过NFC传输数据)从工作应用发送数据.
允许蓝牙如果清除该复选框,将关闭蓝牙.
允许拨出用户可以拨打电话.
允许网络重置用户可以将网络设置重置为默认设置.
启用Wi-Fi设置用户可以修改Wi-Fi设置.
允许配置手机网络广播用户可以在其消息应用中开启或关闭手机网络广播(CB)消息.
启用手机网络设置用户可以修改手机网络设置.
启用数据共享设置用户可以修改数据共享和便携式热点设置.
版权所有2018SophosLimited103SophosMobileonPremise硬件设置/字段说明允许照相机如果清除该复选框,相机将不可用.
允许麦克风如果清除该复选框,麦克风将不可用.
允许外部媒体用户可以将USB存储等外部媒体连接到设备.
应用程序设置/字段说明允许应用卸载用户可以卸载应用.
允许安装未知来源的应用如果清除该复选框,用户将只能通过GooglePlay安装应用,不能从未知来源或通过Android调试桥(ADB)安装.
允许更换墙纸如果清除该复选框,用户将不能更换壁纸.
允许管理应用如果清除该复选框,用户将不能对应用执行以下任务:卸载应用禁用应用停止应用清除应用缓存清除应用数据清除默认情况下打开设置允许禁用Google安全扫描用户可以关闭Google安全设置扫描设备是否存在安全威胁.
该设置可用于设置应用中,在Google>安全>GooglePlayProtect下.
允许设置日期和时间用户可以设置日期和时间.
如果清除该复选框,将使用网络日期和时间.
短消息特定于公司的支持消息,当功能关闭时向用户显示.
注释如果您的输入超过了200个字符,消息可能会被截断.
104版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明长消息用于补充短消息的附加文本.
当用户在显示短消息的屏幕中点击更多详细信息时,显示该文本.
注释此文本还会显示在SophosMobileControl应用的Android设备管理员屏幕上.
允许的辅助功能服务限制可以提供辅助功能服务的应用的列表:如果您选择所有可用的应用,用户将可以使用所有辅助功能服务.
如果您选择仅系统应用,用户将只能使用系统应用提供的辅助功能服务.
如果您选择应用组,用户将只能使用该组的应用和系统应用提供的辅助功能服务.
15.
14.
3应用保护配置(Android企业设备策略)使用应用保护配置,您可以为保护工作应用定义密码要求.
使用应用保护时,用户必须在首次启动受保护的应用时定义一个密码.
登录尝试失败后,将出现登录延迟.
如果在设备上激活了应用保护,则可以使用显示设备页面中操作菜单中的重置应用保护密码命令.
用户还可在自助服务门户中重置应用保护密码.
设置/字段说明密码复杂性用户定义的密码最低复杂性要求.
宽限期的分钟数宽限期到期后,只有输入密码才能解锁受保护的应用.
应用组选择包含受到密码保护的应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
允许指纹身份验证用户可以使用指纹来解锁受保护的应用.
版权所有2018SophosLimited105SophosMobileonPremise15.
14.
4应用控制配置(Android企业设备策略)使用应用控制配置,您可以定义不允许用户启动的应用.
例如,可以使用此功能阻止设备制造商预安装并且无法卸载的应用程序.
设置/字段说明应用组选择包含被阻止应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
15.
14.
5应用权限配置(Android企业设备策略)使用应用权限配置,您可以配置应用在运行期间请求权限时会发生什么.
设置/字段说明对运行时权限请求的默认响应对工作应用未来运行时权限请求的默认响应:提示:应用提示用户授予权限.
自动接受:所有运行时权限请求都会自动授予.
自动拒绝:所有运行时权限请求都会自动拒绝.
用户以后不能更改权限.
特定于App的运行时权限您可以对单个应用授予或拒绝某些运行时权限.
单击添加,然后配置应用的设置:在应用标识符字段中,输入应用的内部标识符.
对每个运行时权限,选择所需的授权状态:可选择:用户可以授予或拒绝权限.
授权:授予权限且用户不能拒绝.
拒绝:拒绝权限且用户不能授权.
15.
14.
6Exchange帐户配置(Android企业设备策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
106版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
注释密码由用户输入.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
客户端证书用于连接Exchange服务器的客户端证书.
15.
14.
7Wi-Fi配置(Android企业设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:版权所有2018SophosLimited107SophosMobileonPremise设置/字段说明安全类型Wi-Fi连接的安全类型:无WEPWPA/WPA2PSKEAP/PEAPEAP/TLSEAP/TTLS阶段2授权EAP协商的阶段2身份验证方法.
无PAPCHAPMSCHAPMSCHAPv2此字段可用于EAP/PEAP和EAP/TTLS连接.
身份用户标识.
此字段可用于EAP连接.
匿名身份在EAP协商的阶段1采用非加密方式发送的假名标识.
此字段可用于EAP连接.
密码Wi-Fi网络的密码.
身份证明书用于连接Wi-Fi网络的身份证书.
列表包括当前策略的客户端证书配置中的所有证书.
此字段可用于EAP连接.
可信任证书EAP服务器的证书根CA.
列表包括当前策略的根证书配置中的所有证书.
此字段可用于EAP连接.
15.
14.
8根证书配置(Android企业设备策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
108版权所有2018SophosLimitedSophosMobileonPremise注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
14.
9客户端证书配置(Android企业设备策略)使用客户端证书配置,您可以在设备上安装客户端证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
14.
10SCEP配置(Android企业设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
版权所有2018SophosLimited109SophosMobileonPremise设置/字段说明使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
15.
14.
11展台模式配置(Android企业设备策略)使用展台模式配置,您可以为设备定义限制,使其进入展台模式.
设置/字段说明选择源无:允许所有应用.
展台模式限制将应用于设备,但用户可以启动设备上可用的任意应用.
自定义,应用列表,:将单个应用锁定在屏幕上.
应用组:允许多个应用出现在屏幕上.
应用标识符展台模式下可用的应用.
根据您在选择源中的选择,按其标识符指定应用,或从可用应用列表中选择应用.
应用组展台模式下可用的应用.
选择其中一个配置的应用组.
允许调高调节如果清除该复选框,设备的音量按钮将禁用.
关闭锁屏设备的屏幕将永不锁定.
充电时保持开启只要设备连接到电源,设备屏幕就保持开启.
110版权所有2018SophosLimitedSophosMobileonPremise15.
15Android的Sophos容器策略的配置使用Sophos容器策略,您可以配置与Sophos容器应用SophosSecureEmail和SophosSecureWorkspace相关的设置.
有关如何创建Sophos容器策略的信息,请参阅创建配置文件或策略(第69页).
15.
15.
1常规配置(AndroidSophos容器策略)使用常规配置,您可以定义适用于所有Sophos容器应用的设置(如果适用).
设置/字段说明启用Sophos容器密码用户必须输入一个额外的密码才能启动Sophos容器应用.
在应用该配置后启动第一个容器应用时,必须定义密码.
此密码适用于所有容器应用.
密码复杂性要求的Sophos容器密码的最低复杂性.
始终允许更安全的密码.
密码(数字和字母数字字符的组合)始终被视为比PIN(仅数字字符)更安全.
任意:Sophos容器密码没有限制.
4个数字的PIN6个数字的PIN4个字符的密码6个字符的密码8个字符的密码10个字符的密码始终在密码条目字段中隐藏字符密码输入字段中的字符在屏蔽之前不会短暂显示.
密码期限(天)密码可以使用的天数,之后会提示用户修改.
锁定前登录失败允许登录尝试失败的次数,之后将锁定容器应用.
它们被锁定后,需要管理员对应用进行解锁,如果允许,用户也可以使用自助服务门户进行解锁.
允许指纹用户可以使用其指纹解锁应用.
宽限期的分钟数容器应用再次回到前台而无需输入Sophos容器密码的时间段.
该宽限期适用于所有容器应用.
在该宽限期内,无需输入密码就可以在应用之间进行切换.
在设备锁定时锁定当设备锁定时,Sophos容器也锁定.
如果清除该复选框,容器将只在宽限期结束后锁定.
版权所有2018SophosLimited111SophosMobileonPremise设置/字段说明上一次服务器连接用户可以使用Sophos容器应用而不必连接SophosMobile服务器的时间.
当Sophos容器应用激活且在定义的时间内没有与服务器连接时,将显示锁屏界面.
用户只能通过点击锁屏界面上的重试解锁应用.
然后,应用将尝试连接到服务器.
如果可以建立连接,应用将解锁.
否则,访问将被拒绝.
访问时:服务器无法访问时,总是需要服务器连接并且应用将被锁定.
1小时:在上次服务器成功连接后,应用活动1个小时或以上时,需要连接服务器.
3小时6小时12小时1天3天1周无:无需定期联系.
没有服务器连接时离线启动在此字段中,您可以定义在没有服务器连接时,用户多久可以启动一个Sophos容器应用一次.
注释该设置需要开启Sophos容器密码功能.
只要用户输入Sophos容器密码,计数器就会增加.
如果计数器超过定义的数量,将显示和上一次服务器连接设置相同的锁屏界面.
如果建立了与SophosMobile服务器的连接,该计数器将被重置.
无限制:无需服务器联系.
0:不连接服务器则无法启动应用.
1:成功启动应用后,需要连接服务器.
351020允许根目录访问允许容器应用在Root的设备上运行.
应用使用约束条件可以在这里定义使用Sophos容器应用的约束条件.
单击添加,输入约束条件.
地理限制用于添加Sophos容器应用可以在其中使用的纬度和经度以及半径范围.
112版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明时间限制用于指定Sophos容器应用可以使用的开始时间和结束时间.
还可以指定应用可以在一周内的哪些天可以使用.
Wi-Fi限制如果您选中需要Wi-Fi连接,没有有效的Wi-Fi连接时将锁定Sophos容器.
如果您将Wi-Fi网络添加到列表中,当设备连接到未列出的Wi-Fi网络时将锁定Sophos容器.
重要提示我们建议您不要以Wi-Fi限制作为唯一的安全机制,因为Wi-Fi名称很容易被欺骗.
15.
15.
2公司电子邮件配置(AndroidSophos容器策略)使用公司电子邮件配置,您可以为您的MicrosoftExchangeServer定义用户设置.
这些设置适用于安装在Sophos容器中的SophosSecureEmail应用.
设置/字段说明Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
域此帐户的域.
支持联系人电子邮件将用作"联系技术人员"电子邮件地址的电子邮件地址.
版权所有2018SophosLimited113SophosMobileonPremise设置/字段说明将联系人导出到设备允许用户将带有电话号码的Exchange联系人导出到本地设备联系人,以便他们可以识别来电中的公司联系人.
SophosSecureEmail保持信息同步.
注释在以下情况下,本地联系人信息将自动删除:从Sophos容器策略中删除公司电子邮件配置(需要重新启动SecureEmail应用)时.
从设备删除Sophos容器时.
从SophosMobile取消注册设备时.
通知详细信息选择显示在电子邮件通知中的信息量.
该设置还会影响事件提醒.
如果您选择了无通知,则会关闭事件提醒.
如果您选择了其他值,事件提醒将打开并且包含时间、位置和标题信息.
拒绝复制到剪贴板用户不能从SophosSecureEmail应用复制或剪切文件.
拒绝截屏用户无法截取显示SophosSecureEmail应用的屏幕截图.
最大的电子邮件大小不会从Exchange服务器检索大于所选大小的电子邮件(包括).
允许查看/共享用户可以查看或共享电子邮件.
查看选择可以在所有应用中查看,还是只能在Sophos容器应用SophosSecureWorkspace和SophosSecureEmail中查看.
共享选择可以和所有应用共享,还是只能和Sophos容器应用SophosSecureWorkspace和SophosSecureEmail共享.
高级设置单击高级设置配置SophosSecureEmail应用的未来版本可能需要的设置.
重要提示仅在得到Sophos支持团队的指令时配置这些设置.
114版权所有2018SophosLimitedSophosMobileonPremise15.
15.
3公司文档配置(AndroidSophos容器策略)使用公司文档配置,您可以为SophosSecureWorkspace应用的公司文档功能定义设置.
配置存储提供程序对于每个存储提供程序,可以分别定义下列设置:设置/字段说明启用可以在应用中使用存储提供程序.
离线将允许用户将文件从存储提供程序添加到应用的收藏夹列表,以供离线使用.
打开(已加密)用户可以通过打开与其他应用共享加密的文件.
打开(未加密)用户可以通过打开与其他应用共享未加密的文件.
剪贴板用户可以复制文档的不同部分,并将它们粘贴到其他应用.
企业提供程序设置对于WebDAV提供程序(也称为企业提供程序),您可以集中定义服务器设置和登录凭据.
这些不能被用户更改.
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择.
例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段.
然后用户在访问存储提供程序时,必须要知道密码.
设置/字段说明名称在SophosSecureWorkspace应用中显示的提供程序的名称.
服务器在此字段中,输入:公司文档WebDAV服务器上根文件夹的URL.
WebDAV服务器上根文件夹的URL.
使用以下格式:https://server.
company.
com仅支持https协议.
用户名相关服务器的用户名.
也可以使用%_USERNAME_%变量.
密码相关帐户的密码.
上传文件夹相关帐户的上传文件夹.
版权所有2018SophosLimited115SophosMobileonPremise其他设置设置/字段说明启用文档将开启文档功能,可以安全分发公司文档.
密码复杂性要求的加密密钥密码的最低复杂性.
总是允许更安全的密码.
可以选择以下设置:4个字符的密码6个字符的密码8个字符的密码10个字符的密码拒绝截屏用户无法截取显示SophosSecureWorkspace应用的屏幕截图.
15.
15.
4公司浏览器配置(AndroidSophos容器策略)使用公司浏览器配置,您可以为SophosSecureWorkspace应用的公司浏览器功能定义设置.
公司浏览器让您可以安全访问公司的Intranet页面和其他允许的页面.
您可以定义域和域内的书签.
每个书签都属于某个域.
当您添加书签时,如果没有域条目,将会自动创建域条目.
一般设置设置/字段说明拒绝截屏用户无法截取显示SophosSecureWorkspace应用的屏幕截图.
域设置设置/字段说明URL您要允许的域.
允许复制/粘贴用户可以从公司浏览器中将文本复制和粘贴到其他应用.
允许打开方式用户可以下载,或将它们传递到其他应用.
允许保存密码用户可以在公司浏览器中保存他们的密码.
116版权所有2018SophosLimitedSophosMobileonPremise书签设置设置/字段说明名称书签的名称.
URL书签的的Web地址.
15.
15.
5客户端证书配置(AndroidSophos容器策略)使用客户端证书配置,您可以在设备上安装客户端证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
15.
6根证书配置(AndroidSophos容器策略)使用根证书配置,您可以在设备上安装根证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
15.
7SCEP配置(AndroidSophos容器策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
这些证书可用于安装在Sophos容器中的SophosSecureWorkspace应用.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
版权所有2018SophosLimited117SophosMobileonPremise设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
118版权所有2018SophosLimitedSophosMobileonPremise15.
16MobileSecurity策略的配置使用MobileSecurity策略,您可以配置与SophosMobileSecurity应用相关的设置.
有关MobileSecurity策略的详细信息,请参阅以下部分:配置SophosMobileSecurity的防病毒设置(第254页)为SophosMobileSecurity配置网络筛选设置(第255页)15.
17Knox容器配置文件的配置通过Knox容器配置文件,可以配置与Samsung设备的Knox容器相关的设置.
有关如何创建Knox容器配置文件的信息,请参阅创建配置文件或策略(第69页).
15.
17.
1密码策略配置(Knox容器配置文件)使用密码策略配置,您可以为Knox容器密码定义要求.
注释支持的设置取决于操作系统的版本或其他设备功能.
范围在SophosMobile中通过蓝色标签表示.
密码类型在密码类型列表中,选择允许用户配置的密码类型:设置/字段说明图案、PIN或密码用户必须设置屏幕锁定方式.
他们可以选择图案、PIN或密码类型的屏幕锁定方式.
没有额外的限制.
简单密码用户必须设置密码类型的屏幕锁定方式.
允许数字,但密码必须包含至少一个字母.
您可以定义最小长度.
请参阅下表.
PIN或密码用户必须设置PIN或密码类型的屏幕锁定方式.
您可以定义最小长度.
请参阅下表.
字母数字密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度.
请参阅下表.
复杂密码用户必须设置密码类型的屏幕锁定方式.
密码必须同时包含字母和数字.
您可以定义最小长度,以及数字、小写和大写字母及特殊字符的最小数目.
请参阅下面的两个表格.
版权所有2018SophosLimited119SophosMobileonPremise如果您选择了简单密码、PIN或密码、字母数字密码或复杂密码,则会显示以下字段:设置/字段说明密码长度最小值密码必须包含的最少字符数目.
密码提示前最长空闲时间如果Knox容器未使用,则该工作配置文件被锁定后的时间.
容器可通过输入密码解锁.
注释该设备可能会施加比您在此配置的时间更短的时间段.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
设备擦除前的失败尝试次数输入正确密码的失败次数,超过后将擦除Knox容器.
最小历史长度记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1至5或0.
如果您选择了复杂密码,将显示以下附加字段:设置/字段说明字母最小数目密码必须包含的最少字母数目.
小写字母的最小数目密码必须包含的最少小写字母数目.
大写字母的最小数目密码必须包含的最少大写字母数目.
非字母数字字符的最小数目密码必须包含的非字母数字字符(如&或!
)的最小数目.
最小位数密码必须包含的最少数字字符数目.
特殊字符的最小数目密码必须包含的特殊字符(如!
"§$%&/的最小数目.
生物特征身份验证设置/字段说明允许指纹身份验证如果设备支持,用户可以使用指纹验证方式解锁Knox容器.
允许虹膜身份验证如果设备支持,用户可以使用虹膜验证方式解锁Knox容器.
120版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许人脸身份验证如果设备支持,用户可以人脸身份验证方式解锁Knox容器.
15.
17.
2限制配置(Knox容器配置文件)使用限制配置,您可以配置Samsung设备Knox容器的限制和相关设置.
设置/字段说明允许屏幕捕获用户可以捕获SamsungKnox容器中的应用的屏幕内容.
允许照相机SamsungKnox容器中的应用可以访问相机.
允许剪贴板用户可以将任意内容复制到剪贴板.
允许"共享方式"某些应用使用的共享方式功能将开启.
允许麦克风SamsungKnox容器中的应用可以访问麦克风.
强制使用安全键盘用户必须使用安全键盘.
允许添加新邮件账户用户可以在SophosMobile配置文件配置的帐户以外添加电子邮件帐户.
允许数据导出私人应用可以访问SamsungKnox容器的数据.
允许将文件复制到容器中私人文件可以复制或移动到SamsungKnox容器内.
允许蓝牙SamsungKnox容器内的应用可以使用蓝牙连接.
允许NFCSamsungKnox容器内的应用可以使用NFC(近场通信)连接.
强制进行多重身份验证要解锁SamsungKnox容器,需要多种身份验证方法,如密码和指纹.
允许的应用/禁止的应用您可以配置允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
SophosMobile服务器启动的应用安装不受此设置的影响.
有关创建应用组的信息,请参阅应用组(第225页).
版权所有2018SophosLimited121SophosMobileonPremise15.
17.
3Exchange帐户配置(Knox容器配置文件)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
这些设置被应用至SamsungKnox容器.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
发件人此帐户的发件人名称.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
默认账户该帐户用作默认的电子邮件帐户.
允许所有证书允许电子邮件服务器传输过程中的所有证书.
122版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许转发邮件允许转发电子邮件.
允许使用HTML格式允许在电子邮件中使用HTML格式.
最大大小(MB).
单封电子邮件最大的大小(1、3、5、10、无限制).
同步内容类型要同步的内容类型.
15.
18AndroidThings策略的配置使用AndroidThings策略,您可以配置AndroidThings设备的各个方面.
目前,仅支持Wi-Fi设置.
有关如何创建AndroidThings策略的信息,请参阅创建配置文件或策略(第69页).
15.
18.
1Wi-Fi配置(AndroidThings策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:安全类型Wi-Fi网络的安全类型:无WEPWPA/WPA2如果选择WEP或WPA/WPA2,将显示密码字段.
输入相应的密码.
15.
19iOS设备配置文件的配置使用iOS设备配置文件,您可以配置iOS设备的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建设备配置文件的信息,请参阅创建配置文件或策略(第69页).
版权所有2018SophosLimited123SophosMobileonPremise15.
19.
1密码策略配置(iOS设备配置文件)使用密码策略配置,您可以为设备密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置/字段说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录在此字段中,可以指定记住多少个旧密码,并与新密码进行比较.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1到50或0(无密码历史记录).
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
124版权所有2018SophosLimitedSophosMobileonPremise15.
19.
2限制配置(iOS设备配置文件)使用限制配置,您可以为设备定义限制.
注释一些选项仅适用于某些版本的iOS或受监督的设备.
它在SophosMobileAdmin中通过蓝色标签表示.
设备设置/字段说明允许应用安装如果清除该复选框,AppStore将不可用,且其图标将从主屏幕中删除.
用户不能通过AppStore、iTunes或AppleConfigurator安装或更新应用.
允许从设备用户界面安装应用如果清除该复选框,AppStore将不可用,且其图标将从主屏幕中删除.
用户仍然可以通过iTunes或AppleConfigurator安装或更新应用.
允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
允许FaceTime用户可以发起或接收FaceTime视频通话.
允许屏幕捕获用户可以截屏.
漫游时允许自动同步如果清除该复选框,漫游的设备将仅在用户访问帐户时同步.
允许Siri如果清除该复选框,用户将不能使用Siri、语音命令或听写模式.
设备锁定时,允许Siri如果清除该复选框,则用户必须输入其密码解锁其设备方可使用Siri.
允许Siri从网页查询内容如果清除该复选框,Siri将不会从网络查询内容.
强制执行Siri限制性语言筛选如果清除该复选框,则不在设备上强制执行Siri限制性语言过滤.
允许在设备锁定时进行语音拨号如果清除该复选框,用户将不能在设备被密码锁定时使用语音命令拨号.
注释如果用户尚未配置设备密码,则始终允许语音拨号.
版权所有2018SophosLimited125SophosMobileonPremise设置/字段说明设备锁定时,允许Passbook将在设备锁定时显示Passbook通知.
允许应用内购买用户可以进行应用内购买.
强制用户购买时输入存储密码用户必须输入其AppleID密码才能购买.
如果清除该复选框,将会有一个简短的宽限期,在此期间,用户可以进行后续购买而不必再次输入其密码.
允许多人游戏用户可以在GameCenter内玩多人游戏.
允许GameCenter如果清除该复选框,GameCenter将不可用.
允许添加游戏中心的朋友用户可以在GameCenter中添加好友.
允许查找好友修改如果清除该复选框,将不能修改"查找好友"应用.
允许主机配对如果清除该复选框,将关闭主机配对(监督主机除外).
如果未配置监督主机证书,将关闭所有配对.
允许与AppleWatch配对如果清除该复选框,用户将不能将设备与AppleWatch配对.
任何当前已经配对的AppleWatch将取消配对.
允许AirDrop将开启AirDrop的内容共享.
允许锁定屏幕上的ControlCenter如果清除该复选框,锁屏时将不能使用ControlCenter.
允许锁定屏幕上的NotificationCenter如果清除该复选框,锁屏时将不能使用NotificationCenter.
允许锁定屏幕上的Today视图如果清除该复选框,锁屏时将不能使用Today视图.
允许新闻新闻应用可以使用.
允许无线PKI更新可以进行无线PKI更新.
允许iBooksStore用户可以在iBooks中购买书籍.
允许iBooks商店存在色情内容如果清除该复选框,将阻止通过iBooks商店提供的限制性色情内容.
允许用户安装配置文件用户可以安装配置文件.
允许即时消息用户可以使用iMessage发送或接收短信.
允许删除应用用户可以从设备中删除应用.
允许清除所有内容和设置如果清除该复选框,重置用户界面中的清除所有内容和设置选项将不可用.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
126版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许启用限制选项如果清除该复选框,重置用户界面中的启用限制选项将不可用.
允许传递用户可以使用AppleContinuity的Handoff功能.
使用Handoff,用户可以在一个设备上开始文档、电子邮件或消息等工作,并在其他设备上继续.
允许修改设备名称用户可以更改设备名称.
允许修改壁纸用户可以更改壁纸.
允许键盘快捷方式用户可以使用键盘快捷方式.
允许听写键盘输入用户可以在键盘设置中打开听写.
允许自动下载应用如果清除该复选框,自动下载在其他设备上购买的应用将关闭.
这不影响现有应用的更新.
允许AppleMusic用户可以访问AppleMusic库.
允许AppleMusicRadio用户可以访问AppleMusicRadio.
允许修改蓝牙设置用户可以修改蓝牙设置.
公司数据设置/字段说明允许文档仅共享于托管的应用/帐户内这限制了通过SophosMobile管理的应用或帐户打开文档,例如公司电子邮件帐户.
如果用户拥有SophosMobile管理的电子邮件帐户且其设备上有SophosMobile管理的应用,则受管理电子邮件帐户的仅可用受管理的应用打开.
这样,您可以防止公司文档在未受管理的应用中打开.
允许文档仅共享于未托管的应用/帐户内这限制了未通过SophosMobile管理的应用/帐户打开文档,例如私人电子邮件帐户.
如果用户拥有不受其设备上的SophosMobile管理的电子邮件帐户和应用,则未受管理的电子邮件帐户的仅可用未受管理的应用打开.
这样,您可以防止个人文档在受管理的应用中打开.
强制要求AirDrop文档用作非托管文档AirDrop被认为是一个非托管拖放目标.
允许托管应用与iCloud同步托管应用可以使用iCloud同步.
允许企业簿备份将备份企业簿.
版权所有2018SophosLimited127SophosMobileonPremise设置/字段说明允许企业簿说明并强调同步将同步企业簿说明和亮点.
应用程序设置/字段说明允许使用iTunesStore如果清除该复选框,iTunesStore将不可用,且其图标将从主屏幕中删除.
用户无法预览、购买或下载内容.
允许使用Safari如果清除该复选框,SafariWeb浏览器将不可用,且其图标将从主屏幕中删除.
此操作还可以用于防止用户打开网页剪辑.
启用自动填充功能如果清除该复选框,Safari将不会使用先前输入的信息自动填充Web表单.
强制欺诈警告Safari安全设置在用户访问可疑的网络钓鱼网站时提醒用户始终打开.
阻止弹出窗口将开启Safari弹出窗口阻止程序.
允许在浏览器中使用JavaScript网页可以在设备上执行JavaScript代码.
接受缓存在此字段中,您指定Safari是否接受Cookie.
当您允许Cookie时,您可以指定是否只接受来自当前网站、以前访问过的网站或所有网站的Cookie.
允许修改每一应用的手机网络数据用户可以更改每个应用的手机网络数据使用.
允许的应用/禁止的应用可以指定允许的应用或禁止的应用.
从第一个列表中选择所需的选项,然后从第二个列表中选择包含要允许的或禁止的应用的应用组.
有关创建应用组的信息,请参阅应用组(第225页).
iCloud设置/字段说明允许备份用户可以将其设备备份到iCloud.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
128版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许PhotoStream用户可以将照片上传到我的照片流.
注释如果您清除该复选框,禁止我的照片流,将同时从所有设备删除通过我的照片流共享的现有照片.
如果这些照片没有其他副本,这些照片将会丢失.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许共享照片流用户可以邀请他人查看其照片流,并查看他人共享的照片流.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
安全和隐私设置/字段说明允许将诊断数据发送到Apple如果清除该复选框,iOS诊断信息将不会发送至Apple.
允许用户接受不受信任的TLS证书如果清除该复选框,将不会询问用户是否信任无法验证的证书.
此设置仅适用于Safari、邮件联系人及日历帐户.
信任企业应用将信任企业应用.
允许修改密码用户可以添加、更改或删除设备密码.
允许修改帐户如果清除该复选框,用户将不能修改帐户.
帐户菜单将不可用.
允许TouchID解锁设备如果清除该复选框,将不能通过TouchID解锁设备.
强制限制广告跟踪不再提供用于目标广告的匿名用户数据应用.
强制加密备份用户必须对iTunes中的备份进行加密.
强制使用配置的Wi-Fi网络设备只能连接到通过SophosMobile配置文件配置的Wi-Fi网络.
版权所有2018SophosLimited129SophosMobileonPremise内容分级设置/字段说明允许显式音乐和播客如果清除该复选框,iTunesStore中的限制性音乐或视频内容将会隐藏.
限制性内容由内容提供商在放到iTunesStore上标记,如记录标签.
15.
19.
3漫游/热点配置(iOS设备配置文件)使用漫游/热点配置,您可以定义漫游和个人热点的设置.
注释用户可随时在其设备上更改这些设置.
设置/字段说明启用语音漫游可以使用语音漫游.
启用数据漫游可以使用数据漫游.
启用个人热点用户可以配置设备以用作个人热点.
15.
19.
4Exchange帐户配置(iOS设备配置文件)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
130版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
允许移动用户可以将电子邮件从该帐户移动到其他帐户.
此选项允许用户在回复或转发此帐户的邮件时使用其他帐户.
允许最近地址同步将在与其他使用iCloud的设备同步最近使用的地址时包含该帐户.
仅在邮件中使用该帐户只能用于发送来自邮件应用的邮件.
不可选择它充当其他应用所创建邮件的发送帐户,例如Photos或Safari.
身份证明书选择用于连接Exchange服务器的身份证书.
列表包括当前配置文件的客户端证书配置中的所有证书.
启用S/MIME支持S/MIME加密标准.
签名证书加密证书用于电子邮件签名和加密的证书.
要选择证书,必须先将其上传到当前配置文件的客户端证书配置中.
允许用户发送未加密的电子邮件对于每封传出电子邮件,用户可以选择加密或不加密.
15.
19.
5Wi-Fi配置(iOS设备配置文件)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:版权所有2018SophosLimited131SophosMobileonPremise设置/字段说明自动连接自动连接到目标网络.
隐藏网络目标网络不开放或可见.
安全类型Wi-Fi网络的安全类型:无WEP(个人)WPA/WPA2(个人)任何(个人)WEP(企业)WPA/WPA2(企业)任意(企业)如果您选择其名称中带有个人的类型,则会显示密码字段.
输入相应的密码.
如果您选择其名称中带有企业的类型,则会显示协议、身份验证和信任选项卡.
在协议选项卡上,配置以下设置:在接受EAP类型下,指定要用于身份验证的EAP方法.
根据该选项卡上所选的类型,此选项卡中内部身份字段中的值可供选择.
在EAP-FAST下,配置EAP-FAST保护访问凭据设置.
在身份验证选项卡上,可以配置客户端身份验证设置:在用户字段中,输入用于连接到Wi-Fi网络的用户名.
如果每个连接均询问密码且通过身份验证进行传输,则选中每个连接都需要密码.
在密码字段中输入相关密码.
在身份证书列表中,选择用于连接Wi-Fi网络的证书.
注释必须在客户端证书配置中指定要使用的证书.
在外部身份字段中,输入外部可见ID(TTLS、PEAP及EAP-FAST).
在信任选项卡上,可以配置服务器身份验证设置:从列表中选择信任的证书.
注释必须在根证书配置中指定证书.
132版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明代理在此列表中,选择用于Wi-Fi连接的代理设置:无手动自动如果选择手动,将显示服务器和端口、身份验证及密码字段.
输入所需的代理信息.
如果选择自动,将显示代理服务器URL字段.
输入代理服务器的URL.
15.
19.
6VPN配置(iOS设备配置文件)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
版权所有2018SophosLimited133SophosMobileonPremise设置/字段说明用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
15.
19.
7每个应用VPN配置(iOS设备配置文件)使用每个应用VPN配置,您可以为每个应用定义VPN设置.
您可以将应用配置为在其启动时自动连接到VPN.
这样就可以(例如)确保托管应用发送的数据通过VPN传输.
134版权所有2018SophosLimitedSophosMobileonPremise设置每个应用VPN配置后,可以在应用的编辑软件包页面上选择配置.
请参阅配置每个应用VPN和iOS应用设置(第224页).
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectF5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
版权所有2018SophosLimited135SophosMobileonPremise设置/字段说明代理用于连接的代理设置:无手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
Safari域在此字段中,可以输入一系列域字符串.
每个域字符串都使用一个新行.
在Safari或其他浏览器应用中打开与其中一个域字符串匹配的域时,将触发VPN连接.
规则匹配行为如下所示:开头和结尾处的点将忽略.
例如,字符串.
example.
com与example.
com匹配的域相同.
字符串的每个组件必须匹配整个域组件.
例如,字符串example.
com匹配域www.
example.
com,但不匹配www.
myexample.
com.
单个组件的字符串只匹配该特定域.
例如,字符串example匹配域example,但不匹配www.
example.
com.
15.
19.
8单点登录配置(iOS设备配置文件)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置/字段说明名称可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果您不输入值,用户必须在配置文件安装过程中输入名称.
136版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明领域Kerberos领域名称.
您必须用大写字母输入名称.
URL为将帐户用于基于HTTP的Kerberos身份验证,必须匹配的URL前缀的列表.
值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
对于iOS9.
0或更高版本的设备,您可以使用单个星号(*)匹配所有值.
例如,https://*.
example.
com/匹配https://www.
example.
com/或https://m.
example.
com/.
应用标识符应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
15.
19.
9单个应用模式配置(iOS设备配置文件)使用单个应用模式配置,您可以定义将设备锁定到单个应用中的操作模式的设置,并阻止用户更改为其他应用.
设置/字段说明选择源选择您要如何为单个应用模式指定应用:应用列表:从所有可用iOS应用的列表中选择应用.
自定义:手动输入应用的捆绑ID.
应用标识符用于单个应用模式的应用.
从列表中选择应用或输入捆绑ID.
禁用触摸屏触摸手势将不可用.
禁用旋转屏幕不会转动.
禁用音量按钮音量按钮将不可用.
禁用铃声切换铃声切换将不可用.
禁用睡眠唤醒按钮唤醒按钮将不可用.
禁用自动锁定将关闭在空闲时间后让设备进入睡眠状态的自动锁定功能.
启用画外音画外音将可用.
版权所有2018SophosLimited137SophosMobileonPremise设置/字段说明启用放大缩放功能将可用.
启用反色反色功能将可用.
启用辅助触摸功能AssistiveTouch将可用.
启用演讲选择演讲选择功能将可用.
启用单声道音频单声道功能将可用.
画外音画外音调节将可用.
放大缩放调节将可用.
反色反色调节将可用.
AssistiveTouchAssistiveTouch调节将可用.
15.
19.
10Web剪辑配置(iOS设备配置文件)使用Web剪辑配置,您可以定义将添加到用户设备主屏幕的Web剪辑.
Web剪辑让您可以快速访问收藏的网页.
但您也可以使用支持电话号码添加Web剪辑,例如,为致电支持人员提供了快捷方法.
设置/字段说明说明对Web剪辑的说明.
URLWeb剪辑的Web地址.
可以删除如果清除该复选框,用户将不能删除Web剪辑.
不可将其从设备删除,除非用户删除了已安装的配置文件.
全屏显示将在设备上全屏显示打开的Web剪辑.
全屏显示的Web剪辑打开作为Web应用的URL.
图标选择要在主屏幕上用作Web剪辑图标的图片.
这必须是最大1MB的PNG、GIF或JPEG图片.
图片将剪裁为方形并进行缩放以匹配显示分辨率.
为获得最佳效果,建议您使用180x180像素的图片.
注释当在网页的HTML代码中定义了一个图标时,设备可能会将该图标显示为Web剪辑图标.
这仅适用于某些网页,具体取决于网页代码中图标的配置方式.
138版权所有2018SophosLimitedSophosMobileonPremise15.
19.
11壁纸配置(iOS设备配置文件)通过壁纸配置,您可以为iOS设备的锁定屏幕和/或主屏幕定义背景图像.
设置/字段说明应用到选择图像是用于锁定屏幕、主屏幕还是两者皆使用.
图片选择用于壁纸的文件大小上限为5MB的PNG或JPEG图像.
iOS根据需要剪裁并缩放图像.
为获得最佳效果,请使用以下像素尺寸的图片:640*1136(iPhone5)750*1334(iPhone6/7)1242*2208(iPhone6/7Plus)1536*2048(iPad,iPadmini,iPadAir)2048*2732(iPadPro)注释用户可以随时更改壁纸.
15.
19.
12接入点名称配置(iOS设备配置文件)使用接入点名称配置,可以为iOS设备指定接入点名称(APN)配置.
APN配置定义设备如何连接到移动网络.
注释接入点名称配置由于手机网络配置而被弃用.
请参阅手机网络配置(iOS设备配置文件)(第143页).
重要提示如果这些设置不正确,设备将不能使用手机网络访问数据.
要撤消设置更改,必须从设备中删除配置文件.
设置/字段说明APN设备开启与运营商的GPRS连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
版权所有2018SophosLimited139SophosMobileonPremise设置/字段说明接入点用户名称接入点的用户名称.
注释IOS支持最多64个字符的APN用户名称.
接入点密码接入点的密码.
注释IOS支持最多64个字符的APN密码.
代理服务器和端口代理服务器的地址和端口.
15.
19.
13网站内容筛选器配置(iOS设备配置文件)使用网站内容筛选器配置,您可以定义阻止的URL和允许的带书签的URL.
设置/字段说明已阻止URL如果选中该复选框,您可以定义不能在设备上访问的阻止URL的列表.
单击下一步以显示Web内容筛选器页面.
在此页面上,可以添加单个URL.
每个URL都使用一个新行.
允许的带书签的URL如果您选中该复选框,可以定义允许的带书签的URL,以将其添加到设备的Safari浏览器中.
阻止所有其他网站.
单击下一步以显示Web内容筛选器页面.
单击添加,将单个URL添加为书签.
阻止成人内容在Web内容筛选器页面上,使用它来打开阻止成人内容的Apple筛选器.
例如,包含亵渎或色情语言的网页.
140版权所有2018SophosLimitedSophosMobileonPremise15.
19.
14全球HTTP代理配置(iOS设备配置文件)使用全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明全球HTTP代理选择用于连接的代理设置:手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
15.
19.
15根证书配置(iOS设备配置文件)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
19.
16客户端证书配置(iOS设备配置文件)使用客户端证书配置,您可以在设备上安装客户端证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
版权所有2018SophosLimited141SophosMobileonPremise15.
19.
17SCEP配置(iOS设备配置文件)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
142版权所有2018SophosLimitedSophosMobileonPremise15.
19.
18Duo设备证书(iOS设备配置文件)使用Duo设备证书配置,您可以让设备从DuoSecuritySCEP服务器请求证书.
如果设备上安装有此证书,DuoMobileiOS应用将把设备归入信任设备.
要求的设置对所有DuoSecurity帐户通用.
请勿修改预填充的值.
15.
19.
19托管域配置(iOS设备配置文件)使用托管域配置,您可以定义iOS设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,不与其中一个配置的域匹配的电子邮件地址突出显示为不在域内.
网页域名管理Web域时,只能通过托管应用打开在Safari中从特定网站下载的文件.
有关托管应用的信息,请参阅iOS的托管应用(第219页).
注释如果一个管理的网页域名条目包含一个端口号,只有指定端口号的地址将被管理.
否则,仅标准端口将被管理(http的端口80及https端口443).
15.
19.
20手机网络配置(iOS设备配置文件)使用手机网络配置,可以定义iOS设备的手机网络设置.
注释如果已经安装了接入点名称配置,则不能在设备上安装手机网络配置.
设置/字段说明身份验证PAPCHAPAPN设备开启与运营商的GPRS连接时引用的APN.
它必须与运营商接受的APN一致.
否则,将无法建立连接.
版权所有2018SophosLimited143SophosMobileonPremise设置/字段说明接入点用户名称接入点的用户名称.
注释IOS支持最多64个字符的APN用户名称.
接入点密码接入点的密码.
注释IOS支持最多64个字符的APN密码.
代理服务器和端口代理服务器的地址和端口.
15.
19.
21CalDAV配置(iOS设备配置文件)使用CalDAV配置,您可以配置与CalDAV服务器的日历数据同步.
例如,可用于与iOS设备同步Google日历.
设置/字段说明帐户名称设备上CalDAV帐户的显示名称.
帐户主机和端口CalDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google日历,请输入:calendar.
google.
com:443主要URL如果CalDAV服务器需要,请输入日历资源的主要URL.
例如,要与Google帐户中主日历以外的日历同步,请输入:https://apidata.
googleusercontent.
com/caldav/v2/calendar_id/user其中calendar_id是要同步的日历的ID.
在Google日历Web应用程序中,日历ID显示在日历设置中.
有关详细信息,请参阅Google日历的帮助.
用户名、密码CalDAV帐户的登录凭据.
例如,对于Google日历,请输入Google帐户的凭据.
SSL/TLS连接CalDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
144版权所有2018SophosLimitedSophosMobileonPremise15.
19.
22CardDAV配置(iOS设备配置文件)使用CardDAV配置,您可以配置与CardDAV服务器的联系人数据同步.
例如,可用于与iOS设备同步Google联系人.
设置/字段说明帐户名称设备上CardDAV帐户的显示名称.
帐户主机和端口CardDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google联系人,请输入:google.
com主要URL如果CardDAV服务器需要,请输入联系人资源的主要URL.
例如,GoogleCardDAVAPI支持以下主要URL:https://www.
googleapis.
com/carddav/v1/principals/account_name@gmail.
com其中account_name是Google帐户名称.
用户名、密码CardDAV帐户的登录凭据.
例如,对于Google联系人,请输入Google帐户的凭据.
SSL/TLS连接CardDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
15.
19.
23IMAP/POP配置(iOS设备配置文件)使用IMAP/POP配置,您可以在iOS设备上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户名称设备上电子邮件帐户的显示名称.
帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
允许移动用户可以将电子邮件从该帐户移动到其他帐户.
此选项允许用户在回复或转发此帐户的邮件时使用其他帐户.
版权所有2018SophosLimited145SophosMobileonPremise设置/字段说明允许最近地址同步在同步最近地址列表时将包含该帐户.
仅在邮件中使用该帐户只能用于发送来自邮件应用的邮件.
不可选择它充当其他应用所创建邮件的发送帐户,例如Photos或Safari.
允许邮件删除允许此帐户使用AppleMailDrop.
启用S/MIME支持S/MIME加密标准.
签名证书加密证书用于电子邮件签名和加密的证书.
要选择证书,必须先将其上传到当前配置文件的客户端证书配置中.
允许用户发送未加密的电子邮件对于每封传出电子邮件,用户可以选择加密或不加密.
传入电子邮件电子邮件服务器和端口传入电子邮件服务器(入站服务器)的主机名或IP地址,以及端口号.
用户名用于连接入站服务器的用户名.
身份验证类型用于连接入站服务器的身份验证方法.
密码用于连接入站服务器的密码(如果需要).
SSL/TLS连接接入服务器受到SSL或TLS的保护(取决于服务器支持的类型).
外发电子邮件电子邮件服务器和端口外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
用户名用于连接出站服务器的用户名.
身份验证类型用于连接出站服务器的身份验证方法.
密码用于连接出站服务器的密码(如果需要).
使用与传入电子邮件相同的密码使用为传入电子邮件指定的密码.
SSL/TLS连接接出服务器受到SSL或TLS的保护(取决于服务器支持的类型).
146版权所有2018SophosLimitedSophosMobileonPremise15.
19.
24网络使用情况规则配置(iOS设备配置文件)使用网络使用情况规则配置,您可以指定如何允许托管应用使用手机数据网络.
一般规则在针对所有托管应用的规则下,为托管应用指定一般设置.
设置/字段说明允许手机网络数据允许托管的应用使用手机网络进行数据通信.
允许数据漫游允许托管的应用在设备漫游到外地手机网络时使用数据通信.
例外情况例外情况将替代一般规则.
使用添加例外定义特定于应用组的规则.
设置/字段说明应用组选择要对其包含的托管应用使用例外的应用组.
允许手机网络数据允许所选应用组的托管应用使用手机网络进行数据通信.
允许数据漫游允许所选应用组的托管应用在设备漫游到外地手机网络时使用数据通信.
注释不能为同一个应用组定义多个例外.
15.
20iOS的Sophos容器策略的配置使用Sophos容器策略,您可以配置与Sophos容器应用SophosSecureEmail和SophosSecureWorkspace相关的设置.
有关如何创建Sophos容器策略的信息,请参阅创建配置文件或策略(第69页).
版权所有2018SophosLimited147SophosMobileonPremise15.
20.
1常规配置(iOSSophos容器策略)使用常规配置,您可以定义适用于所有Sophos容器应用的设置(如果适用).
设置/字段说明启用Sophos容器密码用户必须输入一个额外的密码才能启动Sophos容器应用.
在应用该配置后启动第一个容器应用时,必须定义密码.
此密码适用于所有容器应用.
密码复杂性要求的Sophos容器密码的最低复杂性.
始终允许更安全的密码.
密码(数字和字母数字字符的组合)始终被视为比PIN(仅数字字符)更安全.
任意:Sophos容器密码没有限制.
4个数字的PIN6个数字的PIN4个字符的密码6个字符的密码8个字符的密码10个字符的密码始终在密码条目字段中隐藏字符密码输入字段中的字符在屏蔽之前不会短暂显示.
密码期限(天)密码可以使用的天数,之后会提示用户修改.
锁定前登录失败允许登录尝试失败的次数,之后将锁定容器应用.
它们被锁定后,需要管理员对应用进行解锁,如果允许,用户也可以使用自助服务门户进行解锁.
允许指纹用户可以使用其指纹解锁应用.
宽限期的分钟数容器应用再次回到前台而无需输入Sophos容器密码的时间段.
该宽限期适用于所有容器应用.
在该宽限期内,无需输入密码就可以在应用之间进行切换.
在设备锁定时锁定当设备锁定时,Sophos容器也锁定.
如果清除该复选框,容器将只在宽限期结束后锁定.
148版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明上一次服务器连接用户可以使用Sophos容器应用而不必连接SophosMobile服务器的时间.
当Sophos容器应用激活且在定义的时间内没有与服务器连接时,将显示锁屏界面.
用户只能通过点击锁屏界面上的重试解锁应用.
然后,应用将尝试连接到服务器.
如果可以建立连接,应用将解锁.
否则,访问将被拒绝.
访问时:服务器无法访问时,总是需要服务器连接并且应用将被锁定.
1小时:在上次服务器成功连接后,应用活动1个小时或以上时,需要连接服务器.
3小时6小时12小时1天3天1周无:无需定期联系.
没有服务器连接时离线启动在此字段中,您可以定义在没有服务器连接时,用户多久可以启动一个Sophos容器应用一次.
注释该设置需要开启Sophos容器密码功能.
只要用户输入Sophos容器密码,计数器就会增加.
如果计数器超过定义的数量,将显示和上一次服务器连接设置相同的锁屏界面.
如果建立了与SophosMobile服务器的连接,该计数器将被重置.
无限制:无需服务器联系.
0:不连接服务器则无法启动应用.
1:成功启动应用后,需要连接服务器.
351020允许越狱允许容器应用在越狱的设备上运行.
应用使用约束条件可以在这里定义使用Sophos容器应用的约束条件.
单击添加,输入约束条件.
地理限制用于添加Sophos容器应用可以在其中使用的纬度和经度以及半径范围.
版权所有2018SophosLimited149SophosMobileonPremise设置/字段说明时间限制用于指定Sophos容器应用可以使用的开始时间和结束时间.
还可以指定应用可以在一周内的哪些天可以使用.
Wi-Fi限制如果您选中需要Wi-Fi连接,没有有效的Wi-Fi连接时将锁定Sophos容器.
如果您将Wi-Fi网络添加到列表中,当设备连接到未列出的Wi-Fi网络时将锁定Sophos容器.
重要提示我们建议您不要以Wi-Fi限制作为唯一的安全机制,因为Wi-Fi名称很容易被欺骗.
15.
20.
2公司电子邮件配置(iOSSophos容器策略)使用公司电子邮件配置,您可以为您的MicrosoftExchangeServer定义用户设置.
这些设置适用于安装在Sophos容器中的SophosSecureEmail应用.
设置/字段说明Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
域此帐户的域.
支持联系人电子邮件将用作"联系技术人员"电子邮件地址的电子邮件地址.
使用安全文本字段输入字段的内容是保密的.
将在SophosSecureEmail应用中禁用自动完成和自动更正功能,以防止敏感的内容保存在设备内存中.
150版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明将联系人导出到设备允许用户将带有电话号码的Exchange联系人导出到本地设备联系人,以便他们可以识别来电中的公司联系人.
SophosSecureEmail保持信息同步.
注释在以下情况下,本地联系人信息将自动删除:从Sophos容器策略中删除公司电子邮件配置(需要重新启动SecureEmail应用)时.
从设备删除Sophos容器时.
从SophosMobile取消注册设备时.
呼叫识别SophosSecureEmail中的联系人信息可用于识别来电的公司联系人,无需将SophosSecureEmail联系人导出到设备联系人.
要使用此功能,用户必须开启以下设备设置:在设置应用中:电话>呼叫阻止与识别>电子邮件在SophosSecureEmail应用中:设置>联系人>呼叫识别通知新邮件的通知类型:系统:通知由iOS管理.
它们不包括发件人或主题等详细信息.
应用程序:通知由SophosSecureEmail应用管理.
您可以选择要显示多少详细信息.
应用未运行时,不显示通知.
无:不显示通知.
此设置还会影响事件提醒:系统,无:事件提醒只包括时间信息.
应用程序:事件提醒包括时间、位置和标题信息.
拒绝复制到剪贴板用户不能从SophosSecureEmail应用复制或剪切文件.
打开选择可以在所有应用中打开,还是只能在Sophos容器应用SophosSecureWorkspace和SophosSecureEmail中打开.
最大的电子邮件大小不会从Exchange服务器检索大于所选大小的电子邮件(包括).
版权所有2018SophosLimited151SophosMobileonPremise设置/字段说明高级设置单击高级设置配置SophosSecureEmail应用的未来版本可能需要的设置.
重要提示仅在得到Sophos支持团队的指令时配置这些设置.
15.
20.
3公司文档配置(iOSSophos容器策略)使用公司文档配置,您可以为SophosSecureWorkspace应用的公司文档功能定义设置.
配置存储提供程序对于每个存储提供程序,可以分别定义下列设置:设置/字段说明启用可以在应用中使用存储提供程序.
离线将允许用户将文件从存储提供程序添加到应用的收藏夹列表,以供离线使用.
打开(已加密)用户可以通过打开与其他应用共享加密的文件.
打开(未加密)用户可以通过打开与其他应用共享未加密的文件.
剪贴板用户可以复制文档的不同部分,并将它们粘贴到其他应用.
企业提供程序设置对于Egnyte和WebDAV提供程序(也称为企业提供程序),您可以集中定义服务器设置和登录凭据.
这些不能被用户更改.
未集中定义的凭据设置,可以由用户在应用的提供程序凭据屏幕中进行选择.
例如,可以集中定义服务器和要使用的用户帐户,但是可以不定义密码字段.
然后用户在访问存储提供程序时,必须要知道密码.
设置/字段说明名称在SophosSecureWorkspace应用中显示的提供程序的名称.
152版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明服务器在此字段中,输入:公司文档WebDAV服务器上根文件夹的URL.
Egnyte服务器上根文件夹的URL.
WebDAV服务器上根文件夹的URL.
使用以下格式:https://server.
company.
com用户名在此字段中,输入相关服务器的用户名.
密码在此字段中,输入相关帐户的密码.
上传文件夹在此字段中,输入相关帐户的上传文件夹.
其他设置设置/字段说明启用文档将开启文档功能,可以安全分发公司文档.
密码复杂性要求的加密密钥密码的最低复杂性.
总是允许更安全的密码.
可以选择以下设置:4个字符的密码6个字符的密码8个字符的密码10个字符的密码15.
20.
4公司浏览器配置(iOSSophos容器策略)使用公司浏览器配置,您可以为SophosSecureWorkspace应用的公司浏览器功能定义设置.
公司浏览器让您可以安全访问公司的Intranet页面和其他允许的页面.
您可以定义域和域内的书签.
每个书签都属于某个域.
当您添加书签时,如果没有域条目,将会自动创建域条目.
域设置设置/字段说明URL您要允许的域.
允许复制/粘贴用户可以从公司浏览器中将文本复制和粘贴到其他应用.
允许打开方式用户可以下载,或将它们传递到其他应用.
版权所有2018SophosLimited153SophosMobileonPremise设置/字段说明允许保存密码用户可以在公司浏览器中保存他们的密码.
书签设置设置/字段说明名称书签的名称.
URL书签的的Web地址.
15.
20.
5客户端证书配置(iOSSophos容器策略)使用客户端证书配置,您可以在设备上安装客户端证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
20.
6根证书配置(iOSSophos容器策略)使用根证书配置,您可以在设备上安装根证书.
如果SophosSecureEmail和SophosSecureWorkspace应用安装在Sophos容器中,它们将可以使用此证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
20.
7SCEP配置(iOSSophos容器策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
这些证书可用于安装在Sophos容器中的SophosSecureWorkspace应用.
注释您必须首先添加根证书配置以上传SCEP服务器的CA证书,然后才能添加SCEP配置.
154版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
别名证书将以该名称显示在选择对话框中.
这应该是一个可以标识证书的、容易记住的名称.
例如,使用与使用者字段中的相同值,而不带CN=前缀.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
版权所有2018SophosLimited155SophosMobileonPremise15.
21macOS设备策略的配置使用macOS设备策略,您可以配置Mac设备的各个方面,如密码策略、限制或Wi-Fi设置.
设备策略设置应用到所有登录到您分配该策略的Mac设备的用户,无论他们是否由SophosMobile托管.
相关概念关于macOS策略(第71页)macOS用户策略的配置(第168页)相关任务创建配置文件或策略(第69页)15.
21.
1密码策略配置(macOS设备策略)使用密码策略配置,您可以为Mac用户帐户的密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置/字段说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录在此字段中,可以指定记住多少个旧密码,并与新密码进行比较.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1到50或0(无密码历史记录).
156版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
15.
21.
2限制配置(macOS设备策略)使用限制配置,您可以为Mac设备定义限制.
注释一些选项仅适用于某些版本的macOS.
它在SophosMobileAdmin中通过选项旁边的蓝色标签表示.
设备设置/字段说明允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许AppleMusic用户可以访问AppleMusic库.
iCloud设置/字段说明允许备份用户可以将其设备备份到iCloud.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
版权所有2018SophosLimited157SophosMobileonPremise设置/字段说明允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
允许返回我的Mac用户可以使用iCloud返回我的Mac,即远程和本地Mac之间的文件和屏幕共享.
允许查找我的Mac用户可以使用iCloud查找我的Mac远程定位、锁定或擦除其Mac设备.
允许iCloud书签用户可以使用iCloud书签在浏览器和平台之间同步Web书签.
允许iCloud邮件用户可以在其Mac设备上设置iCloud邮件帐户.
允许iCloud日历用户可以使用iCloud日历在其设备之间共享其日历,并与其他iCloud用户共享其日历.
允许iCloud提醒用户可以使用iCloud提醒在其设备之间共享提醒列表,并与其他iCloud用户共享提醒列表.
允许iCloud通讯簿用户可以使用iCloud通讯簿在其设备之间共享其联系人,并与其他iCloud用户共享联系人.
允许iCloud笔记用户可以使用iCloud笔记记笔记,在其设备之间共享笔记,并与其他用户共享笔记.
允许iCloudDriveforDesktopandDocuments用户可以将其MacDesktop和Documents文件夹存储在iCloudDrive中,并在其他设备上访问.
安全和隐私设置/字段说明允许TouchID解锁设备如果清除该复选框,将不能通过TouchID解锁设备.
允许定义查找用户可以查找突出显示词汇的定义.
允许自动解锁用户可以使用自动解锁,通过AppleWatch自动解锁其Mac设备.
允许iTunes文件共享用户可以使用iTunes中的文件共享,在其Mac设备和iPhone或iPad之间复制文件.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
158版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许AirPrint打印机的iBeacon发现macOS使用iBeacon发现AirPrint设备.
重要提示如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
15.
21.
3Wi-Fi配置(macOS设备策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:自动连接自动连接到目标网络.
隐藏网络目标网络不开放或可见.
版权所有2018SophosLimited159SophosMobileonPremise设置/字段说明安全类型Wi-Fi网络的安全类型:无WEP(个人)WPA/WPA2(个人)任何(个人)WEP(企业)WPA/WPA2(企业)任意(企业)如果您选择其名称中带有个人的类型,则会显示密码字段.
输入相应的密码.
如果您选择其名称中带有企业的类型,则会显示协议、身份验证和信任选项卡.
在协议选项卡上,配置以下设置:在接受EAP类型下,指定要用于身份验证的EAP方法.
根据该选项卡上所选的类型,此选项卡中内部身份字段中的值可供选择.
在EAP-FAST下,配置EAP-FAST保护访问凭据设置.
在身份验证选项卡上,可以配置客户端身份验证设置:在用户字段中,输入用于连接到Wi-Fi网络的用户名.
如果每个连接均询问密码且通过身份验证进行传输,则选中每个连接都需要密码.
在密码字段中输入相关密码.
在身份证书列表中,选择用于连接Wi-Fi网络的证书.
注释必须在客户端证书配置中指定要使用的证书.
在外部身份字段中,输入外部可见ID(TTLS、PEAP及EAP-FAST).
在信任选项卡上,可以配置服务器身份验证设置:从列表中选择信任的证书.
注释必须在根证书配置中指定证书.
代理在此列表中,选择用于Wi-Fi连接的代理设置:无手动自动如果选择手动,将显示服务器和端口、身份验证及密码字段.
输入所需的代理信息.
如果选择自动,将显示代理服务器URL字段.
输入代理服务器的URL.
160版权所有2018SophosLimitedSophosMobileonPremise15.
21.
4VPN配置(macOS设备策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
版权所有2018SophosLimited161SophosMobileonPremise设置/字段说明设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
15.
21.
5网站内容筛选器配置(macOS设备策略)使用Web内容筛选器配置,您可以为第三方应用定义用于筛选Internet内容的设置.
设置/字段说明筛选名称筛选配置的自定义名称.
筛选ID第三方应用的捆绑ID.
服务器托管筛选服务的服务器(主机名、IP地址或URL).
组织您所在组织的名称.
该值将传递到筛选服务.
用户名连接到筛选服务所需的凭据.
162版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明密码证书用于对筛选服务进行身份验证的证书.
筛选范围第三方应用将筛选的数据流:筛选浏览器数据流:将筛选WebKit浏览器数据流.
筛选套接字数据流:将筛选套接字数据流.
筛选浏览器和套接字数据流:将筛选WebKit和套接字数据流.
第三方设置附加配置设置(如果第三方应用要求).
15.
21.
6全球HTTP代理配置(macOS设备策略)使用全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明全球HTTP代理选择用于连接的代理设置:手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
15.
21.
7根证书配置(macOS设备策略)使用根证书配置,您可以在Mac设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
21.
8客户端证书配置(macOS设备策略)使用客户端证书配置,您可以在Mac设备上安装客户端证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
版权所有2018SophosLimited163SophosMobileonPremise注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
21.
9SCEP配置(macOS设备策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
164版权所有2018SophosLimitedSophosMobileonPremise15.
21.
10目录服务配置(macOS设备策略)使用目录服务配置,您可以指定将策略分配给Mac设备时,Mac设备将加入的ActiveDirectory域.
注释如果您在这里配置的ActiveDirectory域和您用于自助服务门户的域相同,分配给Mac设备的macOS用户策略将应用于登录到该Mac设备的所有ActiveDirectory用户.
一般设置设置/字段说明域主机名要加入的ActiveDirectory域的DNS主机名.
AD管理员名称密码用于连接到ActiveDirectory服务器的用户帐户的凭据.
此用户必须有权在ActiveDirectory数据库中添加设备.
部门ActiveDirectory数据库中的组织单位(OU),加入的计算机将添加到其中.
用户体验设置/字段说明创建移动帐户网络用户首次登录时,macOS将创建一个移动帐户.
使用移动帐户,即使在Mac设备未连接到ActiveDirectory服务器时,用户也可以使用其ActiveDirectory凭据登录Mac设备.
创建移动帐户前要求确认用户可以决定是否创建移动帐户.
强制要求本地主文件夹选中此复选框可以强制在启动磁盘上创建用户配置文件.
这对于移动帐户是必须的.
如果您清除该复选框,将使用纯网络主目录.
使用来自ActiveDirectory的UNC路径macOS将装载在ActiveDirectory用户帐户中指定的主文件夹.
网络协议用于装载主文件夹的协议.
默认用户shell针对用户的命令行shell.
如果将此字段保留为空,将使用/bin/bash.
版权所有2018SophosLimited165SophosMobileonPremise映射设置/字段说明UID属性映射到macOS中唯一用户ID(UID)的ActiveDirectory属性.
用户GID属性映射到macOS用户帐户中主要组ID的ActiveDirectory属性.
组GID属性映射到macOS组帐户中组ID的ActiveDirectory属性.
重要提示如果以后您更改这些映射设置,用户可能会失去访问之前创建的文件的权限.
管理设置/字段说明首选DC服务器首先访问的ActiveDirectory域控制器(DC).
如果将此字段保留为空,macOS将根据站点信息和控制器响应来选择域控制器.
密码信任间隔天数指定macOS更改其ActiveDirectory计算机帐户密码的频率.
如果将此字段保留为空,macOS将每14天更改一次密码.
如果将值设置为0,macOS将不会自动更改密码.
命名空间林将开启命名空间支持.
在ActiveDirectory林的不同域中具有相同登录名的多个用户都可以登录.
用户必须按域\名称的格式输入其登录名.
域将关闭命名空间支持.
用户必须有唯一的登录名.
166版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明数据包签名数据包加密macOS可以对用于ActiveDirectory通信的LDAP连接进行签名和加密.
允许:macOS决定是否对LDAP连接进行签名和/或加密.
禁用:macOS不对LDAP连接进行签名或加密.
需要:macOS始终对LDAP连接进行签名和加密.
SSL/TLS:macOS始终使用LDAPoverSSL/TLS.
多域身份验证ActiveDirectory林中所有域的用户都可以登录.
域管理员组ActiveDirectory组列表.
这些组的成员将在Mac设备上授予管理权限.
要输入多个组,请在每次输入后按Enter键.
限制DDNS网络接口列表.
默认情况下,macOS对所有网络接口使用动态DNS(DDNS).
要对某些接口限制DDNS,请输入其BSD名称.
例如,要对内置的以太网端口限制DDNS,请输入en0.
要输入多个接口,请在每次输入后按Enter键.
15.
21.
11托管域配置(macOS设备策略)使用托管域配置,您可以定义Mac设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,不与其中一个配置的域匹配的电子邮件地址突出显示为不在域内.
版权所有2018SophosLimited167SophosMobileonPremise15.
21.
12网关守卫配置(macOS设备策略)使用网关守卫配置,您可以配置macOS网关守卫,它可以阻止安装禁止来源的应用.
设置/字段说明允许从以下地方下载的应用选择要求的设置:任意地方:用户可以打开所有应用,无论这些应用是从哪里安装的.
MacAppStore:用户只能打开来自MacAppStore的应用.
MacAppStore和确定的开发商:用户只能打开来自MacAppStore的应用,或来自可识别的开发者——即Apple认可的开发者的应用.
15.
22macOS用户策略的配置使用macOS用户策略,您可以配置Mac设备的各个方面,如密码策略、限制或Wi-Fi设置.
用户策略设置应用到您分配该策略的Mac设备的所有托管用户.
相关概念关于macOS策略(第71页)macOS设备策略的配置(第156页)相关任务创建配置文件或策略(第69页)15.
22.
1密码策略配置(macOS用户策略)使用密码策略配置,您可以为Mac用户帐户的密码定义要求.
注释将密码策略配置分配给设备时,将开始60分钟的宽限期.
在宽限期内,将在用户返回主屏幕时,提示用户修改密码,以符合策略要求.
在宽限期后,用户将不能启动设备上的应用,其中包括内部应用.
设置/字段说明允许简单值允许用户在其密码中使用顺序或重复字符,如1111或abcde.
需要字母数字值密码必须包含至少1个字母或数字.
密码长度最小值指定密码必须包含的最少字符数目.
168版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明复杂字符的最小数目指定密码必须包含的非字母数字字符(例如&或!
)的最小数目.
最长密码期效(天)要求用户在指定的时间间隔内更改其密码.
取值范围:0(无需更改密码)至730天.
最大自动锁定(分钟)在此字段中,可以指定允许用户在设备上配置的最大值.
"自动锁定"指定设备空闲多长时间(分钟)后将被锁定.
密码历史记录在此字段中,可以指定记住多少个旧密码,并与新密码进行比较.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
取值范围:1到50或0(无密码历史记录).
设备锁定的最大宽限期间在此字段中,可以指定允许用户在设备上配置的最大值.
设备锁定的宽限期指定设备锁定后在多长时间内可以解锁且没有密码提示.
如果选择无,则用户可选择任何可用时间间隔.
如果选择立即,则用户每次必须输入密码方可解锁其设备.
设备擦除前的失败尝试次数在此字段中,可以指定输入正确密码的失败次数,超过后将擦除设备.
6次失败尝试之后,再次输入密码之前将出现时间延迟.
每次失败尝试后将增加延迟时间.
最终失败尝试后,所有数据和设置将从设备安全地删除.
六次失败尝试后,时间开始延迟.
因此,如果将该数值设置为6或更小值,则不会出现时间延迟,并且超过失败尝试限制时将擦除设备.
15.
22.
2限制配置(macOS用户策略)使用限制配置,您可以为Mac设备定义限制.
注释一些选项仅适用于某些版本的macOS.
它在SophosMobileAdmin中通过选项旁边的蓝色标签表示.
设备设置/字段说明允许使用照相机如果清除该复选框,相机将不可用,且相机图标将从主屏幕中删除.
用户无法拍照、录制视频或者使用FaceTime.
版权所有2018SophosLimited169SophosMobileonPremise设置/字段说明允许Spotlight的网络搜索结果如果清除该复选框,Spotlight将不会返回Internet搜索结果.
允许AppleMusic用户可以访问AppleMusic库.
iCloud设置/字段说明允许备份用户可以将其设备备份到iCloud.
允许iCloud照片库用户可以使用iCloudPhotoLibrary.
允许iCloudKeychain同步用户可以使用iCloudKeychain在其iPhone、iPad和Mac设备之间同步密码.
如果清除该复选框,将只在设备上本地存储iCloudKeychain数据.
允许文件同步用户可以在iCloud中存储文档和应用配置数据.
允许返回我的Mac用户可以使用iCloud返回我的Mac,即远程和本地Mac之间的文件和屏幕共享.
允许查找我的Mac用户可以使用iCloud查找我的Mac远程定位、锁定或擦除其Mac设备.
允许iCloud书签用户可以使用iCloud书签在浏览器和平台之间同步Web书签.
允许iCloud邮件用户可以在其Mac设备上设置iCloud邮件帐户.
允许iCloud日历用户可以使用iCloud日历在其设备之间共享其日历,并与其他iCloud用户共享其日历.
允许iCloud提醒用户可以使用iCloud提醒在其设备之间共享提醒列表,并与其他iCloud用户共享提醒列表.
允许iCloud通讯簿用户可以使用iCloud通讯簿在其设备之间共享其联系人,并与其他iCloud用户共享联系人.
允许iCloud笔记用户可以使用iCloud笔记记笔记,在其设备之间共享笔记,并与其他用户共享笔记.
允许iCloudDriveforDesktopandDocuments用户可以将其MacDesktop和Documents文件夹存储在iCloudDrive中,并在其他设备上访问.
170版权所有2018SophosLimitedSophosMobileonPremise安全和隐私设置/字段说明允许TouchID解锁设备如果清除该复选框,将不能通过TouchID解锁设备.
允许定义查找用户可以查找突出显示词汇的定义.
允许自动解锁用户可以使用自动解锁,通过AppleWatch自动解锁其Mac设备.
允许iTunes文件共享用户可以使用iTunes中的文件共享,在其Mac设备和iPhone或iPad之间复制文件.
允许AirPrint用户可以将文件发送到支持AirPrint的打印机.
允许AirPrint打印机的iBeacon发现macOS使用iBeacon发现AirPrint设备.
重要提示如果允许此选项,恶意的AirPrint设备将可能对网络数据流进行钓鱼攻击.
强制要求AirPrintoverTLS的信任证书如果AirPrint设备使用不受信任的证书,将拒绝基于TLS的AirPrint.
15.
22.
3Exchange帐户配置(macOS用户策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
版权所有2018SophosLimited171SophosMobileonPremise设置/字段说明电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
15.
22.
4Wi-Fi配置(macOS用户策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSIDWi-Fi网络的ID:自动连接自动连接到目标网络.
隐藏网络目标网络不开放或可见.
172版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明安全类型Wi-Fi网络的安全类型:无WEP(个人)WPA/WPA2(个人)任何(个人)WEP(企业)WPA/WPA2(企业)任意(企业)如果您选择其名称中带有个人的类型,则会显示密码字段.
输入相应的密码.
如果您选择其名称中带有企业的类型,则会显示协议、身份验证和信任选项卡.
在协议选项卡上,配置以下设置:在接受EAP类型下,指定要用于身份验证的EAP方法.
根据该选项卡上所选的类型,此选项卡中内部身份字段中的值可供选择.
在EAP-FAST下,配置EAP-FAST保护访问凭据设置.
在身份验证选项卡上,可以配置客户端身份验证设置:在用户字段中,输入用于连接到Wi-Fi网络的用户名.
如果每个连接均询问密码且通过身份验证进行传输,则选中每个连接都需要密码.
在密码字段中输入相关密码.
在身份证书列表中,选择用于连接Wi-Fi网络的证书.
注释必须在客户端证书配置中指定要使用的证书.
在外部身份字段中,输入外部可见ID(TTLS、PEAP及EAP-FAST).
在信任选项卡上,可以配置服务器身份验证设置:从列表中选择信任的证书.
注释必须在根证书配置中指定证书.
代理在此列表中,选择用于Wi-Fi连接的代理设置:无手动自动如果选择手动,将显示服务器和端口、身份验证及密码字段.
输入所需的代理信息.
如果选择自动,将显示代理服务器URL字段.
输入代理服务器的URL.
版权所有2018SophosLimited173SophosMobileonPremise15.
22.
5VPN配置(macOS用户策略)使用VPN配置,您可以为网络连接定义VPN设置.
设置/字段说明连接名称设备上显示的连接名称.
连接类型VPN连接的类型:CiscoAnyConnectCiscoLegacyAnyConnectIPsec(Cisco)F5CheckPoint自定义SSL/TLSVPN页面上所显示的不同输入字段取决于您在此处所选择的连接类型.
标示符(反向DNS格式)反向DNS格式的自定义标识符.
服务器服务器的主机名或IP地址.
帐户用于验证连接的用户帐户.
第三方设置如果您的供应商指定了自定义连接属性,可以将其输入此字段.
要输入属性,请单击添加,然后在对话框中输入属性的密钥和值.
通过VPN发送所有流量所有流量都将通过VPN发送.
组验证连接所需的组.
用户验证用于连接的用户验证类型:密码如果选中此选项,用户验证字段下方将显示密码字段.
输入密码以进行验证.
证书如果选中此选项,用户验证字段下方将显示证书字段.
选择证书.
174版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明设备验证设备验证的类型:密钥(共享密钥)/组名称如果选中此选项,设备验证字段下方将显示组名称、密钥(共享密钥)、使用混合验证及请求密码字段.
在组名称及密钥(共享密钥)字段输入所需的验证信息.
选择使用混合验证及所需的请求密码.
证书如果选中此选项,设备验证字段将显示证书及包括用户PIN字段.
在证书列表中,选择所需的证书.
选择包括用户PIN以将用户的PIN包括在设备认证中.
代理用于连接的代理设置:无手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
提供程序类型VPN连接类型.
应用代理:网络数据流通过应用程序层的VPN隧道发送.
包隧道:网络数据流通过网络层的VPN隧道发送.
15.
22.
6单一登录配置(macOS用户策略)使用单点登录配置,您可以定义第三方应用的单点登录设置.
设置/字段说明名称可读帐户名称.
Kerberos主体名称Kerberos主体名称.
如果您不输入值,用户必须在配置文件安装过程中输入名称.
领域Kerberos领域名称.
您必须用大写字母输入名称.
版权所有2018SophosLimited175SophosMobileonPremise设置/字段说明URL值必须以http://或https://开始如果值不是以/结尾,SophosMobile将添加/.
应用标识符应用的捆绑ID列表.
值必须是准确匹配(如com.
sophos.
smsec),或在字符串结尾使用.
*字符的前缀(如com.
sophos.
*).
15.
22.
7Web剪辑配置(macOS用户策略)使用Web剪辑配置,您可以定义要添加到macOS桌面的Web剪辑.
Web剪辑让您可以快速访问收藏的网页.
但您也可以使用支持电话号码添加Web剪辑,例如,为致电支持人员提供了快捷方法.
设置/字段说明说明对Web剪辑的说明.
URLWeb剪辑的Web地址.
可以删除如果清除该复选框,用户将不能删除Web剪辑.
不可将其从设备删除,除非用户删除了已安装的配置文件.
全屏显示将在设备上全屏显示打开的Web剪辑.
全屏显示的Web剪辑打开作为Web应用的URL.
图标选择要在主屏幕上用作Web剪辑图标的图片.
这必须是最大1MB的PNG、GIF或JPEG图片.
图片将剪裁为方形并进行缩放以匹配显示分辨率.
为获得最佳效果,建议您使用180x180像素的图片.
注释当在网页的HTML代码中定义了一个图标时,设备可能会将该图标显示为Web剪辑图标.
这仅适用于某些网页,具体取决于网页代码中图标的配置方式.
176版权所有2018SophosLimitedSophosMobileonPremise15.
22.
8网站内容筛选器配置(macOS用户策略)使用Web内容筛选器配置,您可以为第三方应用定义用于筛选Internet内容的设置.
设置/字段说明筛选名称筛选配置的自定义名称.
筛选ID第三方应用的捆绑ID.
服务器托管筛选服务的服务器(主机名、IP地址或URL).
组织您所在组织的名称.
该值将传递到筛选服务.
用户名密码连接到筛选服务所需的凭据.
证书用于对筛选服务进行身份验证的证书.
筛选范围第三方应用将筛选的数据流:筛选浏览器数据流:将筛选WebKit浏览器数据流.
筛选套接字数据流:将筛选套接字数据流.
筛选浏览器和套接字数据流:将筛选WebKit和套接字数据流.
第三方设置附加配置设置(如果第三方应用要求).
15.
22.
9全球HTTP代理配置(macOS用户策略)使用全球HTTP代理配置,您可以定义公司代理服务器.
设置/字段说明全球HTTP代理选择用于连接的代理设置:手动如果选中此选项,将显示服务器和端口、验证及密码字段.
在服务器和端口字段中,输入有效地址及代理服务器端口.
在身份验证字段中,输入连接到代理服务器的用户名.
在密码字段中,输入连接到代理服务器的密码.
自动如果选中此选项,将显示代理服务器URL字段.
在此字段中输入代理设置服务器的URL.
版权所有2018SophosLimited177SophosMobileonPremise15.
22.
10根证书配置(macOS用户策略)使用根证书配置,您可以在Mac设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
22.
11客户端证书配置(macOS用户策略)使用客户端证书配置,您可以在Mac设备上安装客户端证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
22.
12SCEP配置(macOS用户策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
CA名称证书颁发机构能够理解的名称.
例如,该名称可用于区分实例.
主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
178版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明使用者可选名称的类型使用者可选名称的值要给SCEP配置添加使用者可选名称(SAN),请选择SAN类型,然后输入SAN值.
SAN类型有:RFC822名称:有效的电子邮件地址.
DNS名称:CA服务器的DNS名称.
统一资源标识符:CA服务器的完全限定URL.
AD用户登录名ActiveDirectory中设置的用户登录名值,即用户的用户主体名称(UPN).
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
15.
22.
13托管域配置(macOS用户策略)使用托管域配置,您可以定义Mac设备的托管域.
邮件域输入由您的组织管理的电子邮件域.
在邮件应用中,不与其中一个配置的域匹配的电子邮件地址突出显示为不在域内.
15.
22.
14CalDAV配置(macOS用户策略)使用CalDAV配置,您可以配置与CalDAV服务器的日历数据同步.
例如,可用于与Mac设备同步Google日历.
设置/字段说明帐户名称设备上CalDAV帐户的显示名称.
帐户主机和端口CalDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google日历,请输入:calendar.
google.
com:443版权所有2018SophosLimited179SophosMobileonPremise设置/字段说明主要URL如果CalDAV服务器需要,请输入日历资源的主要URL.
例如,要与Google帐户中主日历以外的日历同步,请输入:https://apidata.
googleusercontent.
com/caldav/v2/calendar_id/user其中calendar_id是要同步的日历的ID.
在Google日历Web应用程序中,日历ID显示在日历设置中.
有关详细信息,请参阅Google日历的帮助.
用户名、密码CalDAV帐户的登录凭据.
例如,对于Google日历,请输入Google帐户的凭据.
SSL/TLS连接CalDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
15.
22.
15CardDAV配置(macOS用户策略)使用CardDAV配置,您可以配置与CardDAV服务器的联系人数据同步.
例如,可用于与Mac设备同步Google联系人.
设置/字段说明帐户名称设备上CardDAV帐户的显示名称.
帐户主机和端口CardDAV服务器的主机名或IP地址,以及可选的端口号.
例如,对于Google联系人,请输入:google.
com主要URL如果CardDAV服务器需要,请输入联系人资源的主要URL.
例如,GoogleCardDAVAPI支持以下主要URL:https://www.
googleapis.
com/carddav/v1/principals/account_name@gmail.
com其中account_name是Google帐户名称.
用户名、密码CardDAV帐户的登录凭据.
例如,对于Google联系人,请输入Google帐户的凭据.
SSL/TLS连接CardDAV服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
180版权所有2018SophosLimitedSophosMobileonPremise15.
22.
16IMAP/POP配置(macOS用户策略)使用IMAP/POP配置,您可以在Mac设备上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户名称设备上电子邮件帐户的显示名称.
帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
传入电子邮件电子邮件服务器和端口传入电子邮件服务器(入站服务器)的主机名或IP地址,以及端口号.
用户名用于连接入站服务器的用户名.
身份验证类型用于连接入站服务器的身份验证方法.
密码用于连接入站服务器的密码(如果需要).
SSL/TLS连接接入服务器受到SSL或TLS的保护(取决于服务器支持的类型).
外发电子邮件电子邮件服务器和端口外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
用户名用于连接出站服务器的用户名.
身份验证类型用于连接出站服务器的身份验证方法.
密码用于连接出站服务器的密码(如果需要).
使用与传入电子邮件相同的密码使用为传入电子邮件指定的密码.
SSL/TLS连接接出服务器受到SSL或TLS的保护(取决于服务器支持的类型).
版权所有2018SophosLimited181SophosMobileonPremise15.
22.
17LDAP配置(macOS用户策略)使用LDAP配置,您可以将LDAP目录的用户信息添加到macOS通讯簿应用.
注释要配置Mac设备以使其加入ActiveDirectory域,请使用目录服务配置.
请参阅目录服务配置(macOS设备策略)(第165页).
设置/字段说明帐户描述LDAP连接的描述.
主机名LDAP服务器的主机名或IP地址.
用户名密码SophosMobile用于连接LDAP服务器的用户登录凭据.
使用SSL/TLS连接LDAP服务器受到SSL或TLS的保护(取决于服务器支持的类型).
搜索设置作为搜索起点的LDAP树的节点,以及搜索的范围.
基本到搜索开始节点的路径.
例如:ou=users,o=mycompany范围要包括在搜索中的子节点的范围:仅基本节点:只有基本节点.
基本节点和直接子节点:基本节点及其子节点,即第一级子节点.
基本节点和所有子节点:基本节点和无限深度的所有子节点.
说明搜索设置的描述.
15.
23WindowsMobile策略的配置使用WindowsMobile策略,您可以配置WindowsMobile设备的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建WindowsMobile策略的信息,请参阅创建配置文件或策略(第69页).
182版权所有2018SophosLimitedSophosMobileonPremise15.
23.
1密码策略配置(WindowsMobile策略)使用密码策略配置,您可以为设备密码定义要求.
设置/字段说明密码类型用户必须定义的密码类型:字母数字:密码必须同时包含数字和字母数值:密码必须仅包含数字对于WindowsPhone8.
1,字母数字覆盖包含数字和/或字母的密码.
字母数字密码的最低复杂性这定义了必须用于数字字母密码中的字符类.
对于Windows10Mobile:1:不适用(如果选中,将使用2)2:需要数字和小写字母3:需要数字、小写字母和大写字母4:需要数字、小写字母、大写字母和特殊字符对于WindowsPhone8.
1,您选择的值是必须在密码中使用的不同字符类的数目.
字符类有:数字小写字母大写字母特殊字符允许简单密码密码可以包含顺序或重复的字符,如abcde或1111.
密码长度最小值密码必须包含的最少字符数目.
失败尝试的最大次数输入正确密码的失败登录次数,超过后将擦除设备.
输入1和999之间的值,或输入0表示无限制.
设备锁定时间(分钟)设备空闲多长时间(分钟)后将被锁定.
用户可以解锁该设备.
输入1和999之间的值,或输入0表示无限制.
密码历史记录记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
输入1和999之间的值,或输入0表示无限制.
版权所有2018SophosLimited183SophosMobileonPremise设置/字段说明最长密码期效(天)用户多少天后必须修改其密码.
输入1和730之间的值,或输入0表示无限制.
允许设置密码GracePeriod.
将允许用户设置密码宽限期.
15.
23.
2限制配置(WindowsMobile策略)使用限制配置,您可以为设备定义限制.
设备设置/字段说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止未加密设备内部存储加密将开启.
重要提示在设备上开启内部存储加密后,您不能再通过策略将其关闭.
注释应用策略前,必须在设备上启用BitLocker.
禁止在锁屏界面上显示操作中心通知将不会在设备锁屏界面上显示操作中心通知.
禁止手动添加非Microsoft电子邮件帐户禁止添加所有类型的电子邮件帐户,以及Exchange、Office365和Outlook.
com帐户.
禁止Microsoft账户连接Microsoft帐户是用于同步、备份和存储的系统帐户.
禁止开发人员模式将关闭Windows开发人员模式.
禁止Windows商店应用商店将不可用.
禁止本地浏览器MicrosoftEdge浏览器将不可用.
禁止相机将关闭隐私设置允许应用使用我的相机.
184版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明遥测级别允许设备发送的Windows诊断和使用数据量.
Windows10:全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
禁用(仅适用于WindowsPhone8.
1):Windows10设备上不受支持.
如果您选择了此项,则会使用基本级别.
注释级别是从下到上累积的,例如增强包括基本的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
WindowsPhone8.
1不支持不同的遥测级别:全部,增强,基本:用户可以开启或关闭遥测.
禁用(仅适用于WindowsPhone8.
1):未提交遥测数据.
不同的设置/字段说明禁止复制和粘贴剪贴板不可用.
禁止CortanaCortana将关闭.
禁止Office文件的"另存为"用户不能将设备上的文件保存为Office文件.
禁止屏幕捕获截屏将关闭.
禁止共享Office文件用户不能共享Office文件.
禁止"同步我的设置"将不能与其他Windows设备同步设备设置.
禁止录音录音功能将关闭.
版权所有2018SophosLimited185SophosMobileonPremiseWi-Fi设置/字段说明禁止Wi-FiWi-Fi连接将关闭.
禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
禁止热点报告设备将不会发送有关Wi-Fi连接的信息.
禁止手动配置用户不能在SophosMobile配置的连接以外配置Wi-Fi连接.
连接设置/字段说明禁止NFCNFC(近场通信)被关闭.
禁止蓝牙蓝牙将关闭.
禁止USB连接将禁用设备与计算机之间用于同步文件或使用开发人员工具来部署或调试应用的USB连接.
这不影响USB充电.
漫游及费用设置/字段说明禁止手机数据漫游使用外地手机网络的数据连接将关闭.
禁止手机VPN使用外地手机网络的VPN连接将关闭.
禁止手机VPN漫游使用外地手机网络的VPN连接将关闭.
安全和隐私设置/字段说明禁止Bing影像通过Bing影像搜索存储图像Bing影像将不会存储执行Bing影像搜索时捕获的图像内容.
搜索时禁止使用位置搜索不能使用位置信息.
186版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明禁止手动安装根证书用户不能手动安装根和中间CA证书.
禁止定位设备上的所有位置隐私设置将关闭.
没有应用可以使用定位服务.
还将禁止SophosMobile定位设备.
SafeSearch权限设备上强制执行的搜索结果筛选级别:中等:对成人内容进行中等筛选.
将不筛选有效的搜索结果.
严格:对成人内容进行最严格的筛选.
未注册设置/字段说明禁止用户重置手机用户不能通过控制面板或硬件组合键将设备恢复为出厂设置.
禁止手动MDM用户不能删除工作区帐户.
15.
23.
3Exchange帐户配置(WindowsMobile策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
版权所有2018SophosLimited187SophosMobileonPremise设置/字段说明密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
同步内容类型要同步的内容类型.
15.
23.
4Wi-Fi配置(WindowsMobile策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
代理如果从列表中选择手动,则必须指定服务器和端口.
15.
23.
5应用限制配置(WindowsMobile策略)使用应用限制配置,您可以特别地在设备上允许或阻止应用.
设置/字段说明允许的应用包含一组允许用户在设备上安装和使用的单个应用.
用户将不能安装或使用任何未明确列出的应用.
当您知道要允许的应用和要阻止的所有其他应用时,可以使用允许的应用.
188版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明禁止的应用程序包含一组禁止用户在设备上安装的单个应用.
用户将可以安装任何未明确列出的应用.
当您知道要阻止的应用和要允许的所有其他应用的列表时,可以使用禁止的应用.
应用组选择包含要允许或阻止的应用列表的应用组.
注释应用组必须事先创建.
请参阅应用组(第225页).
15.
23.
6根证书配置(WindowsMobile策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
15.
23.
7SCEP配置(WindowsMobile策略)使用SCEP配置,您可以让设备使用简单证书注册协议(SCEP)从证书颁发机构申请证书.
设置/字段说明说明有关配置的说明.
URL证书颁发机构服务器的Web地址.
可以使用变量%_SCEPPROXYURL_%表示在系统设置页面的SCEP选项卡上配置的服务器URL.
版权所有2018SophosLimited189SophosMobileonPremise设置/字段说明主题将接收证书的实体(例如人或设备)的名称.
您可以使用占位符表示用户数据或设备属性.
您输入(占位符替换为实际数据)的值必须是有效的X.
500名称.
例如:输入CN=%_USERNAME_%指定用户.
输入CN=%_DEVPROP(serial_number)_%指定设备.
有关可用占位符的信息,请参阅配置文件和策略中的占位符(第73页).
使用者可选名称作为选项,可以配置一个或多个使用者可选名称(SAN)值.
单击添加,然后输入SAN类型和SAN值.
质询用于从SCEP服务器获取质询密码的Web地址.
可以使用变量%_CACHALLENGE_%表示在系统设置页面的SCEP选项卡上配置的质询URL.
根证书CA证书.
从列表中选择证书.
列表包含您已经上传到当前配置文件的根证书配置中的所有证书.
重试服务器发送挂起类型的响应时的重试次数.
重试延迟两次重试之间间隔的秒数.
密钥大小颁发的证书中的公钥大小.
确保该值与SCEP服务器上配置的大小一致.
用于数字签名如果您选中此复选框,公钥将可以用作数字签名.
用于加密如果您选中此复选框,公钥将可以用于数据加密.
哈希算法选择一种或多种SCEP服务器支持的哈希算法.
警告我们建议您不要使用SHA-1算法,因为它被认为是不安全的.
190版权所有2018SophosLimitedSophosMobileonPremise15.
23.
8IMAP/POP配置(WindowsMobile策略)使用IMAP/POP配置,您可以在设备上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
帐户名称设备上电子邮件帐户的显示名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
用户名用于连接入站服务器的用户名.
域入站服务器凭据的域部分(如果需要).
密码用于连接入站服务器的密码(如果需要).
传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名(或IP地址)和端口号.
格式:服务器名称:端口号如果使用以下标准端口,则不需要指定端口号:143(IMAP)993(IMAP和SSL)110(POP3)995(POP3和SSL)对传入电子邮件使用SSL/TLS使用安全套接字层进行传入电子邮件的传输.
传出电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
格式:服务器名称:端口号对传出电子邮件使用SSL/TLS使用安全套接字层进行外发电子邮件的传输.
传出连接所需的身份验证出站服务器需要身份验证.
使用与入站服务器相同的凭据,如用户名、域和密码字段中所指定.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
自动同步自动电子邮件同步的间隔.
版权所有2018SophosLimited191SophosMobileonPremise15.
24Windows策略的配置使用Windows策略,您可以配置Windows计算机的各个方面,如密码策略、限制或Wi-Fi设置.
有关如何创建Windows策略的信息,请参阅创建配置文件或策略(第69页).
15.
24.
1密码策略配置(Windows策略)使用密码策略配置,您可以为Windows用户帐户的密码定义要求.
注释Windows计算机的密码复杂性规则(如长度、大写和小写字母的数量)是固定的,且不能通过SophosMobile策略设置.
有关详细信息,请参阅Windows密码复杂性规则(第72页).
注释如果同时满足以下条件,则无法将密码策略分配给Windows计算机:除了注册到SophosMobile的用户之外,还有在设备上配置的其他本地用户.
这些其他用户中的一个或多个不允许更改其密码.
设置/字段说明失败尝试的最大次数输入正确密码的失败登录次数,超过后将擦除设备.
输入1和999之间的值,或输入0表示无限制.
设备锁定时间(分钟)设备空闲多长时间(分钟)后将被锁定.
用户可以解锁该设备.
输入1和999之间的值,或输入0表示无限制.
密码历史记录记住并与新密码进行比较的旧密码的数目.
用户定义新密码时,如果与先前使用的密码相匹配,则该密码不会被接受.
输入1和999之间的值,或输入0表示无限制.
最长密码期效(天)用户多少天后必须修改其密码.
输入1和730之间的值,或输入0表示无限制.
192版权所有2018SophosLimitedSophosMobileonPremise15.
24.
2限制配置(Windows策略)使用限制配置,您可以为设备定义限制.
设备设置/字段说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止手动添加非Microsoft电子邮件帐户禁止添加所有类型的电子邮件帐户,以及Exchange、Office365和Outlook.
com帐户.
禁止开发人员模式将关闭Windows开发人员模式.
禁止相机将关闭隐私设置允许应用使用我的相机.
禁用Edge自动填充EdgeWeb浏览器的保存表单项设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用EdgeF12开发人员工具EdgeWeb浏览器的F12开发人员工具将不可用.
禁用Edge弹出窗口阻止程序EdgeWeb浏览器的阻止弹出窗口设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用自动播放设置禁用日期与时间设置禁用语言设置禁用电源和睡眠设置禁用区域设置禁用登录设置禁用VPN设置禁用工作区设置禁用帐户设置Windows控制面板的相应部分将不可用.
策略分配给设备后,用户将不能更改所有这些设置.
注释禁用自动播放设置不会影响移动电话等连接设备.
版权所有2018SophosLimited193SophosMobileonPremise设置/字段说明遥测级别允许设备发送的Windows诊断和使用数据量.
全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
安全:使用最新的安全更新保护设备所需的信息.
注释级别是从下到上累积的,例如增强包括基本和安全的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
不同的设置/字段说明禁止CortanaCortana将关闭.
禁止"同步我的设置"将不能与其他Windows设备同步设备设置.
禁用Windows提示Windows通知设置向我显示有关Windows的提示将清除且不可用.
Wi-Fi设置/字段说明禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
连接设置/字段说明禁止蓝牙蓝牙将关闭.
194版权所有2018SophosLimitedSophosMobileonPremise安全和隐私设置/字段说明搜索时禁止使用位置搜索不能使用位置信息.
未注册设置/字段说明禁止手动MDM用户不能删除工作区帐户.
15.
24.
3Exchange帐户配置(Windows策略)使用Exchange帐户配置,您可以设置与MicrosoftExchangeServer电子邮件服务器的连接.
重要提示如果使用多个配置设置Exchange电子邮件帐户,设备可能只能检索一个帐户的邮件.
如果这些帐户位于不同的Exchange服务器上,且这些服务器上定义了不同的邮箱策略,这通常会发生.
因为Windows计算机只能使用一种邮箱策略,它们将无法连接到使用不同策略的帐户.
注释Windows允许用户拒绝您对Exchange配置所做的所有更改.
设置/字段说明帐户名称帐户名称.
Exchange服务器Exchange服务器地址.
注释如果使用SophosMobileEAS代理,请输入代理服务器的URL.
域此帐户的域.
用户此帐户的用户.
如果您输入变量%_USERNAME_%,服务器会将其替换为实际的用户名.
版权所有2018SophosLimited195SophosMobileonPremise设置/字段说明电子邮件地址帐户的电子邮件地址.
如果您输入变量%_EMAILADDRESS_%,服务器会将其替换为实际的电子邮件地址.
密码此帐户的密码.
如果将此字段保留为空,用户必须在其设备上输入密码.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
同步间隔电子邮件同步过程之间的时间间隔.
SSL/TLS连接Exchange服务器受到SSL或TLS的保护(取决于服务器支持的类型).
建议您选中此复选框.
同步内容类型要同步的内容类型.
15.
24.
4Wi-Fi配置(Windows策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
15.
24.
5根证书配置(Windows策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此策略.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
196版权所有2018SophosLimitedSophosMobileonPremise15.
24.
6IMAP/POP配置(Windows策略)使用IMAP/POP配置,您可以在Windows计算机上添加IMAP或POP电子邮件帐户.
设置/字段说明帐户类型传入电子邮件的邮件服务器类型(IMAP或POP).
帐户名称设备上电子邮件帐户的显示名称.
电子邮件地址帐户的电子邮件地址.
使用变量%_EMAILADDRESS_%来指定分配给设备的用户电子邮件地址.
用户显示名称传出电子邮件的用户显示名称.
使用变量%_USERNAME_%来指定分配给设备的用户名称.
用户名用于连接入站服务器的用户名.
域入站服务器凭据的域部分(如果需要).
密码用于连接入站服务器的密码(如果需要).
传入电子邮件服务器传入电子邮件服务器(入站服务器)的主机名(或IP地址)和端口号.
格式:服务器名称:端口号如果使用以下标准端口,则不需要指定端口号:143(IMAP)993(IMAP和SSL)110(POP3)995(POP3和SSL)对传入电子邮件使用SSL/TLS使用安全套接字层进行传入电子邮件的传输.
传出电子邮件服务器外发电子邮件服务器(出站服务器)的主机名或IP地址,以及端口号.
格式:服务器名称:端口号对传出电子邮件使用SSL/TLS使用安全套接字层进行外发电子邮件的传输.
传出连接所需的身份验证出站服务器需要身份验证.
使用与入站服务器相同的凭据,如用户名、域和密码字段中所指定.
同步周期用于同步电子邮件的时间段.
只有指定时间段的电子邮件会同步到托管设备的收件箱中.
自动同步自动电子邮件同步的间隔.
版权所有2018SophosLimited197SophosMobileonPremise15.
25WindowsIoT策略的配置使用WindowsIoT策略,您可以配置WindowsIoT设备的各个方面,如限制或Wi-Fi设置.
有关如何创建WindowsIoT策略的信息,请参阅创建配置文件或策略(第69页).
15.
25.
1限制配置(WindowsIoT策略)使用限制配置,您可以为设备定义限制.
设备设置/字段说明禁止SD卡用户不能访问存储卡.
不会阻止应用访问存储卡.
禁止开发人员模式将关闭Windows开发人员模式.
禁止相机将关闭隐私设置允许应用使用我的相机.
禁用Edge自动填充EdgeWeb浏览器的保存表单项设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
禁用Edge弹出窗口阻止程序EdgeWeb浏览器的阻止弹出窗口设置将关闭,且不能由用户开启.
如果清除该复选框,将开启该设置,且不能由用户关闭.
遥测级别允许设备发送的Windows诊断和使用数据量.
全部:确定和分析问题所需的全部数据.
增强:有关如何使用Windows和应用以及它们如何执行的数据.
基本:对于了解设备及其配置非常重要的数据的一个有限集合.
安全:使用最新的安全更新保护设备所需的信息.
注释级别是从下到上累积的,例如增强包括基本和安全的所有数据.
提示有关遥测级别的详细信息,请参阅Microsoft文章在组织中配置Windows遥测(外部链接).
198版权所有2018SophosLimitedSophosMobileonPremiseWi-Fi设置/字段说明禁止网络共享Internet连接共享(ICS)将关闭.
禁止Wi-Fi感知(热点自动连接)设备将不会自动连接到Wi-Fi热点.
连接设置/字段说明禁止蓝牙蓝牙将关闭.
15.
25.
2Wi-Fi配置(WindowsIoT策略)使用Wi-Fi配置,您可以指定用于连接到Wi-Fi网络的设置.
设置/字段说明SSID在此字段中,输入Wi-Fi网络的ID.
自动连接将自动建立连接.
隐藏网络目标网络不开放或可见.
安全类型从列表中选择安全类型.
如果选择WPA(个人)或WPA2(个人),则必须指定密码.
15.
25.
3根证书配置(WindowsIoT策略)使用根证书配置,您可以在设备上安装根证书.
在文件字段中,浏览并找到相应的证书,然后单击上传.
证书名称将显示在证书名称字段中.
输入所选证书的密码.
注释在此处上传的证书仅可用于此配置文件.
如果您需要其他配置文件或者策略中的证书,则必须再次上传.
版权所有2018SophosLimited199SophosMobileonPremise16任务捆绑包通过使用任务捆绑包,可以在一次事务中捆绑多个任务.
因此,可以捆绑注册和配置设备所必需的所有任务:注册设备.
应用所需的策略.
安装所需的应用(如iOS设备的托管应用).
应用所需的配置文件.
您还可以在任务捆绑包中包括擦除命令,以自动擦除不相容(例如已越狱或已root)的设备.
有关更多信息,请参见合规性策略(第36页).
任务捆绑包可用于以下平台:AndroidiOSmacOSWindows16.
1创建任务捆绑包1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击要为其创建任务捆绑包的平台.
2.
在任务捆绑包页面上,单击创建任务捆绑包.
将显示编辑任务捆绑包页面.
3.
在相应字段中输入新的任务捆绑包的名称,并选择性地输入说明.
当您每次保存任务捆绑包时,版本将自动递增.
4.
可选:选中对合规性操作可选,以便在设备违反合规性规则时将任务捆绑包传送到设备上.
请参阅合规性策略(第36页).
注释编辑现有的任务捆绑包并且该任务捆绑包已用于合规性操作时,此选项将禁用.
5.
可选:对于iOS任务捆绑包,如果选择忽略应用安装失败,即使在应用安装失败时也可以继续处理任务捆绑包.
如果任务捆绑包不包含安装应用任务,此选项将禁用.
6.
单击创建任务.
7.
选择任务类型并单击下一步.
下一个视图取决于选择的任务类型.
在每个视图中,可以指定对您个人有意义的任务名称.
这些任务名称将在安装过程中显示在自助服务门户上.
8.
按向导步骤添加所需的任务,并单击应用创建任务.
9.
可选:在任务捆绑包中添加其他任务.
200版权所有2018SophosLimitedSophosMobileonPremise注释对于Android任务捆绑包,不能混合Android和Androidenterprise任务.
例如,您不能用同一个任务捆绑包安装Android设备配置文件和Android工作应用.
提示可以使用任务列表右侧的排序箭头,更改任务的安装顺序.
10.
将所有需要的任务添加到任务捆绑包后,单击编辑任务捆绑包页面上的保存.
任务捆绑包可以进行传输.
它将显示在任务捆绑包页面上.
注释在自助服务门户设置中编辑用作初始包的现有任务捆绑包时,不能删除注册任务.
请参阅配置自助服务门户设置(第21页).
相关概念可用的Android任务类型(第201页)可用的iOS任务类型(第204页)可用的macOS任务类型(第206页)可用的Windows任务类型(第207页)16.
2可用的Android任务类型以下任务类型可用于Android任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当任务传递到已经注册的设备时,将不会发送注册电子邮件.
注册Sophos容器当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当任务传递到已经注册的设备时,将不会发送注册电子邮件.
安装配置文件从可用的配置文件和策略列表中选择配置文件或策略.
有关如何将配置文件或策略添加到此列表的信息,请参阅配置文件和策略(第69页).
当任务传递到设备时,将静默地安装配置文件,或静默地分配策略.
版权所有2018SophosLimited201SophosMobileonPremise卸载配置文件在选择源下选择配置文件,然后从列表中选择配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.
还可以卸载未包含在该列表中的配置文件.
选择标识符,然后输入要从设备上卸载的配置文件的标识符.
当任务传递到设备时,将静默地卸载该配置文件.
注释不能从设备直接卸载Sophos容器策略或MobileSecurity策略.
相反,使用设备操作取消Sophos容器注册或取消SMSec注册.
这将同时从设备删除相关的策略.
安装应用从所有可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第210页).
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要安装应用.
用户可以点击确定启动该进程,或点击现在不行,以便过段时间后再收到通知.
如果用户点击确定,然后又在随后的Android对话框中点击取消,任务将失败.
如果该应用已经安装在收到任务的设备上,它将会更新.
安装Android工作应用如果您为客户配置了Androidenterprise,此任务类型将可用.
从所有可用工作应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅编辑工作应用(第237页).
安装任务将发送到Google服务.
然后,Google将管理在设备上安装该应用.
在任务视图页面上,任务将在其发送到Google后显示为成功状态.
另外,您也可以通过Androidwork应用页面安装工作应用.
请参阅安装工作应用(第239页).
有关如何从设备卸载工作应用的信息,请参阅卸载工作应用(第240页).
删除应用在选择源下选择应用,从可用应用的列表中选择要删除的应用.
除SophosMobile服务器上可用的应用外,该列表还包括托管设备上正在使用的应用-除Android系统应用和设备制造商已经预先安装的应用外.
还可以删除未包含在该列表中的应用.
选择标识符,然后输入要从设备上删除的应用的程序包名称.
如果选择Knox容器应用,该应用将从SamsungKnox容器中删除.
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要删除应用.
用户可以点击确定启动该进程,或点击现在不行,以便过段时间后再收到通知.
如果用户点击确定,然后又在随后的Android对话框中点击取消,任务将失败.
202版权所有2018SophosLimitedSophosMobileonPremise如果该应用未安装在收到任务的设备上,将不会显示通知.
发送消息输入要在设备上显示的纯文本.
当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosMobileControl应用的消息页面上显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第50页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.
重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
注释以Android企业配置文件所有者模式将擦除任务传递到注册到SophosMobile的设备时,将只删除工作配置文件和所有工作应用.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
Knox容器:锁定当任务传递到支持SamsungKnox的Samsung设备时,将锁定Knox容器.
Knox容器:解除锁定当任务传递到支持SamsungKnox的Samsung设备时,将解锁Knox容器.
Knox容器:重置密码当任务传递到支持SamsungKnox的Samsung设备时,将重置Knox容器密码.
用户必须设置新的密码才能解锁Knox容器.
版权所有2018SophosLimited203SophosMobileonPremiseKnox容器:移除当该任务传递到支持SamsungKnox的Samsung设备时,将删除Knox容器(包括与容器相关的所有配置).
触发SMSec扫描当任务传递到设备时,将静默地触发SophosMobileSecurity应用,执行针对恶意软件和可能不需要的应用(PUA)的扫描.
此任务要求SophosMobileSecurity通过SophosMobile进行管理,也就是说,MobileSecurity策略将分配给设备.
请参阅管理SophosMobileSecurity(第254页).
如果在收到该任务的设备上,SophosMobileSecurity不是通过SophosMobile进行管理的(也就是说,如果MobileSecurity策略未分配给该设备),该任务将保持将重试状态.
16.
3可用的iOS任务类型以下任务类型可用于iOS任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当任务传递到已经注册的设备时,将不会发送注册电子邮件.
注册Sophos容器当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当任务传递到已经注册的设备时,将不会发送注册电子邮件.
安装配置文件从可用的配置文件和策略列表中选择配置文件或策略.
有关如何将配置文件或策略添加到此列表的信息,请参阅配置文件和策略(第69页).
当任务传递到设备时,将静默地安装配置文件,或静默地分配策略.
卸载配置文件在选择源下选择配置文件,然后从列表中选择配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.
还可以卸载未包含在该列表中的配置文件.
选择标识符,然后输入要从设备上卸载的配置文件的标识符.
204版权所有2018SophosLimitedSophosMobileonPremise当任务传递到设备时,将静默地卸载该配置文件.
注释不能从设备直接卸载Sophos容器策略.
相反,使用设备操作取消Sophos容器注册.
这将同时从设备删除相关的策略.
安装设置配置文件从可用配置文件的列表中选择应用设置配置文件.
有关如何将配置文件添加到此列表的信息,请参阅导入iOS应用的设置配置文件(第71页).
当任务传递到设备时,将静默地安装该设置配置文件.
卸载设置配置文件在选择源下选择配置文件,然后从列表中选择设置配置文件.
除SophosMobile服务器上可用的配置文件外,该列表还包括托管设备上正在使用的配置文件.
还可以删除未包含在该列表中的设置配置文件.
选择标识符,然后输入要从设备上删除的配置文件的标识符.
当任务传递到设备时,将静默地删除该设置配置文件.
重新配置SMC应用当任务传递到设备时,用户将被要求扫描QR码或手动输入配置详细信息.
这将先前卸载的SophosMobileControl应用重新连接到服务器.
注释该任务之前应该有一个SophosMobileControl应用的安装应用任务.
安装应用从所有可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第210页).
当任务传递到设备时,用户将会在其设备上收到通知,告知SophosMobile要安装应用.
用户可以点击安装启动该进程,或点击取消拒绝该安装.
如果用户拒绝安装,任务将失败.
如果该应用已经安装在收到任务的设备上,它将会更新.
删除应用在选择源下选择应用,从可用应用的列表中选择要删除的应用.
除SophosMobile服务器上可用的应用外,该列表还包括托管设备上正在使用的应用-除iOS系统应用外.
版权所有2018SophosLimited205SophosMobileonPremise还可以删除未包含在该列表中的应用.
选择标识符,然后输入要从设备上删除的应用的捆绑ID.
当任务传递到设备时,将静默地删除该应用.
安装最新的iOS更新当任务传递到设备时,会安装最新的iOS软件更新.
根据iOS设备型号,可能会安装不同的更新.
您可以更新以下设备类型的iOS软件:iOS10.
3或更高版本的受监督设备受监督的AppleDEP设备对于其他设备,任务将失败.
发送消息输入要在设备上显示的纯文本.
当任务传递到设备时,将在通知窗口中显示消息文本.
用户可以在SophosMobileControl应用的消息页面上显示过去的消息.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第50页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.
重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
16.
4可用的macOS任务类型以下任务类型可用于macOS任务捆绑包.
注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
当任务传递到已经注册的设备时,将不会发送注册电子邮件.
206版权所有2018SophosLimitedSophosMobileonPremise分配设备策略从可用的macOS设备策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅配置文件和策略(第69页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了设备策略,将被替换.
分配用户策略从可用的macOS用户策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅配置文件和策略(第69页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了用户策略,将被替换.
用户策略将在用户下次登录到Mac设备时应用到用户.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第50页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除设置6位系统锁定PIN码.
当该任务传递到Mac设备时,macOS将重新启动,然后开始擦除磁盘.
用户必须在Mac设备上输入系统锁定PIN码才能将其解锁.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
提示在SophosMobileAdmin中,macOS系统锁定PIN码将显示在设备属性>解锁密码下的设备页面上,以及锁定PIN码下的任务详细信息页面上.
16.
5可用的Windows任务类型以下任务类型可用于Windows任务捆绑包:注册当任务传递到设备时,将向为每个设备配置的电子邮件地址发送注册电子邮件.
用户必须执行该邮件中描述的步骤,才能注册其设备.
版权所有2018SophosLimited207SophosMobileonPremise当任务传递到已经注册的设备时,将不会发送注册电子邮件.
分配策略从可用的设备策略列表中选择策略.
有关如何将策略添加到此列表的信息,请参阅配置文件和策略(第69页).
当任务传递到设备时,该策略将静默地分配给设备.
如果已经分配了设备策略,将被替换.
安装应用从所有可用应用的列表中选择应用.
有关如何将应用添加到此列表的信息,请参阅添加应用(第210页).
当任务传递到设备时,将静默地安装该应用.
如果该应用已经安装在收到任务的设备上,它将会更新.
删除应用选择要删除的应用.
可用应用的列表包括您已经在SophosMobile服务器上配置的应用,以及安装在任意托管Windows计算机上的应用(Windows系统应用除外).
当任务传递到设备时,将静默地删除选定的应用.
注释您只能删除已经由SophosMobile安装的应用.
如果您试图删除用户安装的应用,任务将失败.
取消注册当任务传递到设备时,设备将从SophosMobile取消注册.
请参阅取消设备注册(第50页).
设备用户不需要确认该操作.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
擦除当任务传递到设备时,设备将重置为出厂设置.
设备用户不需要确认该操作.
重要提示请小心使用此任务类型.
将删除收到该任务的设备上的所有数据,无需用户确认.
不能将取消注册任务和擦除任务添加到同一任务捆绑包.
208版权所有2018SophosLimitedSophosMobileonPremise16.
6复制任务捆绑包由于创建任务捆绑包可能很耗时,因此可以复制已经完成的任务捆绑包.
如果需要多个带有相似任务的任务捆绑包,此功能很有用.
只要删除或添加几个任务即可.
注释只能复制不是正在编辑的任务捆绑包.
副本以"副本"加上原捆绑包的名称命名.
可以根据您的需求重命名捆绑包.
1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击Android或iOS.
会出现任务捆绑包页面.
2.
单击要复制的任务捆绑包旁边的蓝色三角形,然后单击复制.
任务捆绑包将复制,并显示在任务捆绑包页面上.
现在可以根据需要编辑复制的任务捆绑包.
要编辑任务捆绑包,请单击它旁边的蓝色三角形,然后单击编辑.
16.
7将任务捆绑包传输至个人设备或设备组1.
在侧边的菜单栏中,单击配置下的任务捆绑包,然后单击Android或iOS.
会出现任务捆绑包页面.
2.
单击所需任务旁边的蓝色三角形,然后单击传输.
将显示选择设备页面.
3.
在此页面上,可以:选择要将任务捆绑包传输到的个人设备.
单击选择设备组,打开选择设备组页面,并选择一个或多个用于传输任务捆绑包的设备组.
4.
完成选择后,单击下一步.
将显示设置执行日期页面.
5.
在计划日期下,选择立即或为此任务的执行指定日期和时间.
6.
单击完成.
将显示任务视图页面.
任务捆绑包将在指定的日期和时间传输到所选的设备.
版权所有2018SophosLimited209SophosMobileonPremise17应用程序您可以对应用进行配置,使其可以在SophosMobileAdmin(管理员启动的)或SophosMobileControl应用(用户启动)中进行安装.
应用管理可用于以下平台:AndroidiOSWindowsMobile要在SophosMobile中提供应用,可以执行以下任一操作:将应用包上传至SophosMobile服务器.
此选项对WindowsMobile应用或SophosMobile只管理Sophos容器的设备不可用.
提供该应用在相关应用商店中链接.
有关这两个选项的信息,请参阅添加应用(第210页).
要在设备上安装应用,请创建一个包含安装应用任务的任务捆绑包.
对于Android和iOS设备,可以直接从应用页面创建此类任务捆绑包.
请参阅安装应用(第211页).
注释要安装存储在SophosMobile服务器上的应用包(对比从应用商店安装),必须满足以下条件︰对于Android,必须在设备上启用Android的安全设置未知来源.
如果在未知来源禁用的情况下尝试安装APK文件,SophosMobileControl应用将转到可以启用该设置的页面.
此限制不适用于使用LGGATE、SamsungKnox或SonyEnterpriseAPI的设备.
对于iOS,从IPA文件安装应用只适用于自行开发的应用.
准备好分发应用时,必须为该应用创建一个设置配置文件并使其在设备上可用,可以事先分别安装或包括在应用的IPA文件中.
可以使用SophosMobile将设置配置文件分发给您的iOS设备.
请参阅导入iOS应用的设置配置文件(第71页).
有关设置配置文件的详细信息,请参阅iOS开发库.
17.
1添加应用可以通过上传应用包,或通过链接到相关应用商店中的该应用,让应用可用于进行安装.
1.
在侧边的菜单栏中,单击配置下的应用程序,然后选择要为其添加应用的平台.
2.
单击添加应用,然后选择所需的选项:Android软件包:通过将APK文件上传到SophosMobile添加Android应用.
iOS软件包:通过将IPA文件上传到SophosMobile添加iOS应用.
Android链接:通过在GooglePlay中进行链接,添加Android应用.
iOS链接:通过在AppStore中进行链接,添加iOS应用.
WindowsMobile链接:通过在Microsoft商店中进行链接,添加WindowsMobile应用.
WindowsMSI链接:通过链接到其MSI安装文件,添加Windows应用.
Microsoft商店链接:通过在Microsoft商店中进行链接,添加Windows应用.
3.
根据要求配置应用设置.
4.
请单击保存,保存应用设置并返回应用页面.
210版权所有2018SophosLimitedSophosMobileonPremise应用可用于安装.
它将显示在应用页面上.
如果已经配置了可用于设备组字段,应用还将显示在SophosMobileControl应用的企业应用商店中,用户可以在这里安装应用.
安装过程可无人参与或需要极少用户互动.
注释在SophosMobile只管理Sophos容器的设备上,您通过上传APK文件(对于Android应用)或IPA文件(对于iOS应用)添加的应用将不可用.
相关参考应用设置(Android)(第213页)应用设置(iOS)(第214页)应用设置(WindowsMobile)(第216页)应用设置(Windows)(第217页)17.
2安装应用注释本节内容不适用于Android工作应用.
要安装工作应用,请参阅安装工作应用(第239页).
注释本节内容不适用于SophosMobile仅管理Sophos容器的设备.
如添加应用(第210页)中所述将应用添加到SophosMobile后,即可在选定的设备或设备组上手动安装该应用.
1.
在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其安装应用的平台.
2.
在应用页面上,单击所需应用旁边的蓝色三角形,然后单击安装.
3.
选择要安装该应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
4.
在设置执行日期页面上,指定安装该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
5.
单击完成.
选定的应用将在指定的日期安装在所选的设备上.
版权所有2018SophosLimited211SophosMobileonPremise注释在以下设备上,应用会静默安装,即无需与用户交互:受监督的iOS设备具有SamsungKnoxStandardSDK5.
1或更高版本的Android设备具有LGGATE的Android设备具有SonyEnterpriseAPI版本8或更高版本的Android设备Windows计算机(如果您已经为应用配置了/quiet安装选项).
提示您可以在任务视图页面上显示安装任务状态.
提示您还可以使用以下任一选项安装应用:要在单个设备上安装应用:在设备的显示设备页面上,选择已安装的应用选项卡并单击安装应用.
要在多个设备上安装应用:在设备页面上,选择所需设备,然后单击操作>安装应用.
要在一个或多个设备上作为任务捆绑包的一部分安装应用:将安装应用任务添加到任务捆绑包并将其传输到所需的设备或设备组.
17.
3卸载应用注释本节内容不适用于Android工作应用.
要卸载工作应用,请参阅卸载工作应用(第240页).
注释本节内容不适用于SophosMobile仅管理Sophos容器的设备.
如添加应用(第210页)中所述将应用添加到SophosMobile后,即可从选定的设备或设备组上手动卸载该应用.
1.
在侧边的菜单栏中,单击配置下的应用程序,然后单击要为其卸载应用的平台.
2.
在应用页面上,单击卸载.
3.
选择要卸载应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
4.
在选择应用页面上,选择所需的应用.
5.
在设置执行日期页面上,指定卸载该应用的日期:212版权所有2018SophosLimitedSophosMobileonPremise选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
6.
单击完成.
选定的应用将在指定的日期从所选设备上卸载.
注释在以下设备上,应用将静默地卸载,即无需用户交互:受监督的iOS设备上的托管应用Windows计算机(如果您已经为应用配置了/quiet安装选项).
提示另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项卡,然后单击应用名称旁边的垃圾桶图标.
17.
4应用设置(Android)一般设置设置/字段说明名称应用的名称.
版本对于应用包,在企业应用商店中显示的版本.
对于应用链接,SophosMobile使用来自GooglePlay的版本.
应用标识符该应用的内部标识符.
如果不知道确切的标识符,请将此字段保留为空.
大多数情况下,SophosMobile可以从应用本身读取该值,然后自动填充此字段.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为GooglePlay中的实际应用描述.
版权所有2018SophosLimited213SophosMobileonPremise设置/字段说明在Knox容器中安装对于SamsungKnox设备,应用将安装在Knox容器内.
此设置仅在配置了SamsungKnox许可证后才可用.
应用链接的设置设置/字段说明链接应用在GooglePlay中的URL.
为确定URL,请单击转到GooglePlay,在新的浏览器选项卡中打开GooglePlay,并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
应用包的设置设置/字段说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到APK文件,然后单击打开.
相关任务添加应用(第210页)17.
5应用设置(iOS)一般设置设置/字段说明名称应用的名称.
版本对于应用包,在企业应用商店中显示的版本.
对于应用链接,SophosMobile使用来自AppStore的版本.
应用标识符该应用的内部标识符.
如果不知道确切的标识符,请将此字段保留为空.
大多数情况下,SophosMobile可以从应用本身读取该值,然后自动填充此字段.
214版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
SophosMobile托管安装应用将作为托管应用进行安装.
请参阅iOS的托管应用(第219页).
此设置仅影响用户从企业应用商店安装的应用.
您通过SophosMobileAdmin安装的应用始终是托管的.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为AppStore中的实际应用描述.
设置和VPN单击显示,配置应用启动时使用的VPN连接,或配置应用安装时将部署到设备上的应用的设置.
应用链接的设置设置/字段说明在iTunes中搜索单击在iTunes中搜索在iTunes数据库中搜索应用.
当您在搜索结果列表中选择一个应用时,以下字段将自动填充:应用标识符应用程序类别链接链接该应用在AppStore中的URL.
为确定URL,请单击获取链接,在新的浏览器选项卡中打开iTunesLinkMaker.
在LinkMaker中浏览并找到该应用,然后将直接链接下显示的URL复制到SophosMobileAdmin中的链接字段.
版权所有2018SophosLimited215SophosMobileonPremise应用包的设置设置/字段说明上传文件单击上传文件将应用上传到SophosMobile服务器.
浏览并找到IPA文件,然后单击打开.
相关任务添加应用(第210页)17.
6应用设置(WindowsMobile)设置/字段说明名称应用的名称.
版本应用版本.
SophosMobile使用来自Microsoft商店的版本.
应用程序类别类别名称,例如Productivity.
在企业应用商店中提供该应用时,该应用将在某个部分以该名称列出.
描述应用说明显示在企业应用商店中.
您可以在描述文本中的任何地方使用占位符%_appstoretext_%.
在企业应用商店中,它将替换为Microsoft商店中的实际应用描述.
可用于设备组您可以在企业应用商店中提供该应用,以便用户可以启动它的安装.
单击显示,并选择一个或多个设备组,使该应用可以在企业应用商店中对它们列出.
链接该应用在Microsoft应用商店中的URL.
为确定URL,请单击转到Microsoft商店,在新的浏览器选项卡中打开Microsoft商店,找到WindowsPhone应用并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
相关任务添加应用(第210页)216版权所有2018SophosLimitedSophosMobileonPremise17.
7应用设置(Windows)一般设置设置/字段说明名称应用的名称.
版本应用版本.
应用程序类别类别名称,例如Productivity.
描述应用的描述.
MSI链接的设置设置/字段说明产品代码GUIDMSI文件的ProductCodeGUID.
注释如果您输入错误的GUID值,应用将不能卸载.
链接MSI文件的URL.
SHA-256文件哈希MSI文件的SHA-256哈希值.
注释如果您输入错误的哈希值,应用将不能安装.
安装选项可执行的msiexec.
exe安装程序的命令行选项.
使用默认选项/quit安装该应用不需要用户进行交互.
有关这些设置的详细信息,请参阅确定WindowsMSI链接的设置(第218页).
Microsoft商店链接的设置设置/字段说明商店ID应用在Microsoft商店中的商店ID.
当您单击获取数据时,该值将自动输入.
版权所有2018SophosLimited217SophosMobileonPremise设置/字段说明SKUID应用在Microsoft商店目录中的SKUID(库存单位ID).
应用可能因为完整版或试用版,或因为不同的市场区域而有不同的SKUID.
如果您不知道应用的SKUID,请使用默认值0010.
包系列名称应用的包系列名称(PFN).
当您单击获取数据时,该值将自动输入.
链接该应用在Microsoft应用商店中的URL.
为确定URL,请单击转到Microsoft商店,在新的浏览器选项卡中打开Microsoft商店,找到Windows应用并导航至该应用的页面.
然后从选项卡的地址栏中复制URL,并将其粘贴到链接字段.
当您输入URL后,单击获取数据可自动填充以下字段:产品ID包系列名称相关任务添加应用(第210页)17.
8确定WindowsMSI链接的设置本节介绍如何确定WindowsMSI链接的应用设置.
产品代码GUID—如果您已经安装了MicrosoftWindowsSDK,请使用包括的Orca程序获取MSI文件的ProductCode值.
要查看示例,请参阅网页使用Orca查找MSI文件GUID产品代码.
或使用PowerShell脚本.
此类脚本可以在Internet上找到,例如在网页如何通过PowerShell获取MSI文件信息上.
注释您输入产品代码GUID字段的值不得包含括号.
SHA-256文件哈希—使用Get-FileHashPowerShell命令获取MSI文件的SHA-256哈希值:PS>Get-FileHash有关Get-FileHash命令的详细信息,请参阅Microsoft网页Get-FileHash.
安装选项—有关安装MSI文件可用的命令行选项的信息,请参阅Microsoft网页标准安装程序命令行选项.
218版权所有2018SophosLimitedSophosMobileonPremise相关参考应用设置(Windows)(第217页)17.
9iOS的托管应用对于您添加到SophosMobile的iOS应用,您可以选择将该应用以托管或非托管方式安装在用户的设备上.
托管应用具有以下特点:当用户在企业应用商店中选择托管应用时,安装任务将在SophosMobile中创建和处理.
相反,当用户选择非托管应用时,他们将跳转到AppleAppStore并在这里安装该应用.
您可以在SophosMobileAdmin中卸载托管应用.
不能对非托管应用执行此操作.
在受监管的iOS设备上,托管应用的安装和卸载都是静默执行的,无需用户干预.
iOS设备配置文件中的某些设置仅适用于托管应用.
iOS设备从SophosMobile取消注册时,所有托管应用将从设备上自动删除.
非托管应用将保留在设备上.
以下规则确定应用是以托管还是非托管方式安装的:您通过SophosMobileAdmin安装的应用始终是托管的.
用户通过AppStore安装的应用始终是非托管的.
如添加应用(第210页)中所述,如果您在应用属性中激活了SMC托管安装,用户通过企业应用商店安装的应用将是托管的.
要检查设备上的应用状态,请打开该设备的显示设备页面,并转到安装的应用选项卡.
请参阅"显示设备"页面(第51页).
提示如果用户安装了非托管应用,您可以将其转换为托管应用.
为此,在SophosMobile中将该应用配置为托管应用,然后为它创建安装任务.
因为该应用已安装,它不会再次安装,但其状态会从非托管更改为托管.
17.
10管理AppleVPP应用通过Apple批量购买计划(VPP),可以批量购买iOS应用,并在公司内进行分配.
使用AppleVPP下订单后,可以下载包含所购应用许可证的sToken(服务令牌).
有关如何注册和使用AppleVPP的详细信息,请参阅http://www.
apple.
com/business/vpp/.
有关如何将VPP应用分配给用户或设备的详细信息,请参阅自动分配VPP应用(第222页)和手动分配VPP应用(第222页).
将VPP应用分配给用户在SophosMobile中,可以通过邀请用户成为授权的AppleVPP用户,以向他们提供包括在sToken中的许可证.
用户接受邀请后,他们将成为授权的VPP用户,然后就可以向他们分配VPP应用.
用户可以使用iTunes在他们的设备上安装分配的VPP应用.
邀请用户成为授权VPP用户的过程根据您是否使用SophosMobile的内部或外部用户管理而不同.
下一节将对两者进行介绍.
版权所有2018SophosLimited219SophosMobileonPremise有关内部和外部用户管理的信息,请参阅SophosMobile超级管理员指南.
将VPP应用分配给设备还可以将VPP应用分配给设备.
不需要邀请设备加入VPP.
通过SophosMobile将分配的VPP应用安装到设备上.
注释从设备卸载VPP应用时,SophosMobile将撤消VPP应用分配.
从SophosMobile取消设备注册时,SophosMobile将撤消所有VPP应用分配.
17.
10.
1设置VPPsToken要提供在SophosMobile中通过Apple批量购买计划(VPP)所购应用的许可证,您需要设置sToken(服务令牌).
1.
在侧边的菜单栏中,单击设置下的设置>系统设置.
2.
在系统设置页面上,单击AppleVPP选项卡.
3.
单击AppleiTunesVPP门户链接.
将在新的浏览器窗口中打开AppleVPPWeb门户.
4.
在该页面上,选择业务.
5.
在企业商店登录对话框中,输入您的AppleID和密码.
6.
转到帐户摘要页面,并单击下载令牌.
将使用您的Web浏览器下载设置生成sToken,并以.
vpptoken为扩展名在您的本地计算机上保存为文本文件.
7.
可选:将sToken文件移动到一个您可以通过SophosMobileAdmin访问的位置.
8.
回到SophosMobileAdmin的AppleVPP选项卡,单击上传文件,选择sToken文件,然后单击打开.
SophosMobile将读入该文件,并用sToken的详细信息填充组织和到期日期字段.
9.
在在安装时自动分配VPP应用列表中,可以配置VPP应用的自动分配.
请参阅自动分配VPP应用(第222页).
10.
可选:填写AppleVPP选项卡的其余字段.
在国家字段中,输入您的两字母国家代码,例如US代表美国.
11.
单击保存.
17.
10.
2邀请用户加入AppleVPP您需要先设置sToken,然后才能邀请用户加入Apple批量购买计划(VPP).
请参阅设置VPPsToken(第220页).
1.
在侧边的菜单栏中,单击管理下的用户.
2.
在显示用户页面上,可以邀请所有用户或单个用户加入AppleVPP:要邀请所有用户︰a)单击显示用户页面顶部的邀请用户加入AppleVPP.
b)在确认对话框中单击是.
要邀请单个用户︰220版权所有2018SophosLimitedSophosMobileonPremisea)单击所需的用户名.
b)在显示用户页面上,单击邀请用户加入VPP.
c)在确认对话框中单击是.
要在使用外部用户管理且用户尚未注册设备时邀请单个用户︰a)单击显示用户页面顶部的搜索并邀请用户加入AppleVPP.
b)在搜索用户对话框中,按用户名或电子邮件地址搜索用户.
c)在搜索结果列表中,选择要邀请加入AppleVPP的用户.
d)单击应用.
SophosMobile将向所有相关用户发送邀请电子邮件.
用户必须通过邀请电子邮件中的链接,连接其AppleiTunes帐户和AppleVPP.
此后,他们就可以安装和使用贵公司授权的应用.
注释使用外部用户管理并邀请所有用户加入AppleVPP时,没有分配电子邮件地址的用户将进行AppleVPP注册,但不会收到用于连接其AppleiTunes帐户和AppleVPP的链接.
有关如何在这种情况下完成VPP注册过程的信息,请参阅邀请没有电子邮件地址的用户加入AppleVPP(第221页).
17.
10.
3邀请没有电子邮件地址的用户加入AppleVPP前提条件:此过程需要超级管理员帐户,因此不适用于SophosMobile即服务.
如邀请用户加入AppleVPP(第220页)中所述,邀请来自外部用户目录的用户加入AppleVPP时,没有分配电子邮件地址的用户将进行AppleVPP注册,但不会收到用于连接其AppleiTunes帐户和AppleVPP的链接.
如果发生这种情况,请执行以下步骤以完成AppleVPP注册过程.
1.
以SophosMobile超级管理员身份下载服务器日志文件.
请参阅SophosMobile超级管理员指南.
2.
通过日志文件确定受影响的用户帐户.
3.
在SophosMobileAdmin的侧边菜单栏中,单击管理下的用户.
4.
在显示用户页面上,单击其中一个受影响的用户名称.
5.
在显示用户页面上,单击显示邀请链接.
对于没有电子邮件地址的外部用户,此功能不会发送邀请电子邮件,而是在消息框中显示邀请链接.
6.
从消息框中复制该链接,并将其发给用户.
7.
对所有受影响的用户重复此操作.
用户需要通过该链接,连接其AppleiTunes帐户和AppleVPP.
17.
10.
4管理AppleVPP用户按设置VPPsToken(第220页)中所述设置AppleVPP服务令牌后,每个用户的显示用户页面包括Apple大量购买方案(VPP)部分.
在该部分,可以执行以下任务以查看或编辑用户的AppleVPP状态:查看AppleVPP用户状态.
这可以是:版权所有2018SophosLimited221SophosMobileonPremise—未注册:未邀请用户加入AppleVPP.
—已注册:用户已受邀加入AppleVPP,但还未将其AppleiTunes帐户连接到AppleVPP.
—已关联:用户已将其AppleiTunes帐户连接到AppleVPP,并且可以安装VPP应用.
查看用户已经安装的AppleVPP应用.
通过单击邀请用户加入VPP,邀请用户加入AppleVPP.
在大多数情况下,将向用户发送带有邀请链接的电子邮件.
如果用户帐户不包含电子邮件地址,邀请链接将显示在消息框中.
如果用户未收到或失去了最初的电子邮件,可以单击重新发送邀请电子邮件发送另一封邀请电子邮件.
单击删除VPP注册可以从AppleVPP取消用户注册.
17.
10.
5自动分配VPP应用默认情况下,通过Apple批量购买计划(VPP)购买的应用会自动分配给安装该应用的设备.
如果设备不支持VPP应用的分配,该应用将分配给分配到该设备的用户.
注释为支持VPP应用的分配,设备的状态必须为托管.
可以修改优先顺序,先分配给用户,然后再分配给设备.
也可以禁用自动分配并手动分配VPP应用,如手动分配VPP应用(第222页)中所述.
VPP应用的自动分配按客户进行配置.
1.
在侧边的菜单栏中,单击设置下的设置>系统设置.
2.
在系统设置页面上,单击AppleVPP选项卡.
3.
在在安装时自动分配VPP应用列表中,选择所需的选项:优先分配给设备:如果设备支持VPP应用,它将分配给该设备.
否则,该VPP应用将分配给分配到该设备的用户.
如果没有用户分配到该设备,应用分配将失败.
优先分配给用户:如果有用户分配到该设备,VPP应用将分配给该用户.
否则,该应用将分配给该设备.
如果设备不支持,应用分配将失败.
禁用:VPP应用将不会自动分配.
如果选中此选项,必须手动分配VPP应用.
17.
10.
6手动分配VPP应用本节介绍单个VPP应用的手动分配.
默认情况下,通过Apple批量购买计划(VPP)购买的应用会自动分配给安装该应用的设备.
请参阅自动分配VPP应用(第222页).
可以向用户或设备分配通过Apple批量购买计划(VPP)购买的应用.
向与AppleVPP关联的用户分配VPP应用后,他们将可以将该应用安装到与其AppleID关联的所有iOS设备上.
向设备分配VPP应用后,可通过SophosMobile向设备推送该应用.
要向用户或设备分配VPP应用︰1.
在侧边的菜单栏中,单击配置下的应用程序>iOS.
将打开应用页面,其中显示了已添加到SophosMobile的所有应用的列表.
2.
要在应用列表中添加通过AppleVPP购买的应用,请单击导入VPP应用.
将根据需要从AppleVPP服务器检索应用信息,并在SophosMobile中创建应用条目.
3.
单击要向用户或设备分配的VPP应用旁边的蓝色三角形,然后单击编辑.
222版权所有2018SophosLimitedSophosMobileonPremise提示VPP应用在VPP列中以复选标记图标标记.
4.
在编辑iOS链接页面上,单击VPP许可证选项旁边的显示.
将打开VPP许可证对话框.
5.
要向一个或多个用户分配应用,请单击VPP用户,然后选择所需的用户.
列表包含所有已注册AppleVPP或与AppleVPP关联的用户.
6.
要向一个或多个设备分配应用,请单击设备,然后选择所需的设备.
该列表包含状态为托管的所有iOS设备.
7.
单击应用,确认更改并关闭VPP许可证对话框.
8.
默认情况下,VPP应用未分配给任何设备组.
要将应用分配给一个或多个设备组,请单击可用于设备组旁边的显示,然后选择一个或多个企业应用商店中列出应用的设备组.
9.
默认情况下,VPP应用是作为托管安装于用户设备上的.
要将应用安装为未托管,请清除SophosMobile托管安装复选框.
有关托管应用的信息,请参阅iOS的托管应用(第219页).
10.
单击保存,保存更改并与AppleVPP服务器同步应用分配.
提示要放弃在VPP许可证对话框中所做的分配更改,请单击应用关闭该对话框,然后单击返回离开编辑iOS链接页面,且不将更改保存到数据库.
要在设备上安装分配的应用︰将应用分配给用户后,它将列在用户设备上iTunes应用的已购买视图中.
用户可以从那里安装应用.
将应用分配给设备后,可以通过SophosMobile安装.
请参阅安装应用(第211页).
要取消应用分配:如前所述打开VPP许可证对话框,然后清除所选的所需用户或设备.
注释因为VPP应用的状态是由AppleVPP服务器管理的,您在SophosMobile中所做的修改可能需要一些时间才会显示在设备上.
17.
10.
7同步VPP许可证信息由于性能原因,SophosMobile会保留一份VPP许可证信息的本地副本.
您可以触发SophosMobile,将其VPP数据与AppleVPP服务器同步.
注释如果一个应用显示的许可证信息不正确,您只需要同步VPP数据.
1.
在侧边的菜单栏中,单击设置下的设置>系统设置,然后单击AppleVPP选项卡.
2.
单击清除VPP缓存.
版权所有2018SophosLimited223SophosMobileonPremiseSophosMobile将放弃该客户的本地VPP信息,并与AppleVPP服务器同步数据.
注释有关如何显示VPP应用许可证信息的信息,请参阅手动分配VPP应用(第222页).
17.
11配置每个应用VPN和iOS应用设置对于iOS应用,您可以配置启动应用时使用的VPN连接.
还可以在应用安装期间,为将要部署到设备上的应用执行设置配置.
前提条件:为能够选择每个应用VPN,您需要在iOS的配置文件中定义每个应用VPN配置.
请参阅每个应用VPN配置(iOS设备配置文件)(第134页).
要定义设置,需要了解要求的参数及参数类型.
1.
在侧边的菜单栏中,单击配置下的应用程序>iOS.
2.
在应用页面上,单击所需应用旁边的蓝色三角形,然后单击编辑.
3.
在编辑iOS链接或编辑iOS软件包页面上,单击设置和VPN字段旁边的显示.
4.
在编辑设置和VPN页面上,从每个应用VPN列表中选择所需的配置,定义应用要连接的VPN.
5.
要添加自定义设置,请单击创建参数.
6.
在配置参数对话框中,配置以下设置:a)在参数字段中,输入所需的参数,如SMC_URL.
b)在值字段中,输入参数值,如smc.
sophos.
com.
c)在类型列表中,选择参数类型:String、Bool、Integer或Real.
d)单击应用.
自定义设置集将显示在编辑设置和VPN页面上.
7.
在编辑设置和VPN页面上,单击应用.
8.
单击保存.
应用链接到VPN时,将使用所选的每个应用VPN.
这些设置将在应用安装期间提供给设备.
224版权所有2018SophosLimitedSophosMobileonPremise18应用组可以在SophosMobile中创建应用组,为配置文件、策略和合规性策略定义应用列表.
应用组可用于以下设置:Android设备配置文件的应用保护配置中.
Android设备配置文件的应用控制配置中.
Android设备配置文件、iOS设备配置文件和Knox容器配置文件的限制配置中.
WindowsMobile策略的应用限制配置中.
用于指定允许、禁止和强制要求的应用列表的合规性策略中.
18.
1创建应用组1.
在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台.
2.
在应用组页面上,单击创建应用组.
3.
在编辑应用组页面上,为新应用组输入名称,然后单击添加应用.
4.
在编辑应用对话框中,可以从列表中选择应用,或输入自定义的应用数据.
要从列表中选择应用,请单击应用列表,然后从托管设备上当前安装的所有应用的列表中,为您所选的平台选择一个应用.
要输入Android应用的自定义应用数据,请单击自定义,然后配置以下信息︰—应用名称:用于标识应用的任意名称.
—标识符:应用的程序包名称.
程序包名称可以通过GooglePlay中应用的URL进行检索.
例如,SophosMobileControlAndroid应用在GooglePlay中的URL为play.
google.
com/store/apps/detailsid=com.
sophos.
mobilecontrol.
client.
android,程序包名称为com.
sophos.
mobilecontrol.
client.
android.
—链接:应用在GooglePlay中的URL,可以方便您参考.
要输入iOS应用的自定义应用数据,请单击自定义,然后配置以下信息︰—应用名称:用于标识应用的任意名称.
—标识符:应用的捆绑ID.
—链接:应用在AppStore中的URL,可以方便您参考.
要输入macOS应用的自定义应用数据,请单击自定义,然后配置以下信息︰—应用名称:用于标识应用的任意名称.
—标识符:应用的捆绑ID.
—链接:应用在AppStore中的URL,可以方便您参考.
要输入WindowsMobile应用的自定义应用数据,请单击自定义,然后配置以下信息︰—应用名称:用于标识应用的任意名称.
—链接:该应用在Microsoft应用商店中的URL.
例如,SophosMobileControlWindowsMobile应用的URL是https://www.
microsoft.
com/en-us/store/p/mobile-control-2017/9nblggh51qsj.
—GUID:如果知道应用的GUID,则可以输入GUID而不是链接.
否则,将此字段保留为空.
要输入Windows应用的自定义应用数据,请单击自定义,然后配置以下信息︰—应用名称:用于标识应用的任意名称.
版权所有2018SophosLimited225SophosMobileonPremise—标识符:Windows报告的应用ID.
对于MSI应用,它是MSI文件的ProductCodeGUID.
对于Microsoft商店应用,它是应用的包系列名称(PFN).
—链接:应用在Microsoft商店中的URL,可以方便您参考.
例如,WikipediaWindows应用的URL是https://www.
microsoft.
com/en-us/store/p/wikipedia/9wzdncrfhwm4.
5.
从列表中选择应用或输入自定义应用数据后,单击添加将其添加到应用组.
6.
可选:将更多应用添加到应用组.
7.
准备就绪后,单击保存保存应用组.
18.
2导入应用组可以通过导入UTF-8编码的逗号分隔值(CSV)文件创建应用组,最多可创建10,000个应用.
注释使用文本编辑器编辑CSV文件.
如果使用MicrosoftExcel,输入的值可能无法正确处理.
确保使用.
csv扩展名保存该文件.
提示可从导入应用页面中下载带有正确列名和列顺序的样本文件.
要从CSV文件导入应用,并将它们添加到应用组:1.
在侧边的菜单栏中,单击设置下的应用组,然后单击要为其创建应用组的平台.
2.
在应用组页面上,单击创建应用组.
3.
在编辑应用组页面上,为新应用组输入名称,然后单击导入应用.
4.
在导入应用页面上,单击上传文件,然后导航至准备好的CSV文件.
将从文件中读入记录,并显示出来.
5.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
6.
单击完成将应用添加到应用组.
7.
在编辑应用组页面上,单击保存.
226版权所有2018SophosLimitedSophosMobileonPremise19企业文档注释此功能需要MobileAdvanced类型的许可证.
在SophosMobile中,您可以将要分发的文件上传到您用户的设备中.
在SophosMobile中管理的文档将自动添加到SophosSecureWorkspace的公司文档存储提供程序中.
您可以从公司文档存储提供程序为每个文档分配一个类别.
公司文档存储提供程序中的文档为只读.
如果SophosSecureWorkspace没有通过SophosMobile进行管理,公司文档存储提供程序将不可用.
要分发公司文档:1.
在设备上安装SophosSecureWorkspace应用.
请参阅应用程序(第210页).
2.
使用公司文档配置分配Sophos容器策略.
3.
上传文档至SophosMobile.
19.
1添加公司文档注释此功能需要MobileAdvanced类型的许可证.
要向设备分发文档:1.
在侧边的菜单栏中,单击配置下的文档.
将显示文档页面.
2.
单击添加文档.
将显示编辑文档页面.
3.
在类别字段中,输入文档在设备上的公司文档存储提供程序中显示的类别.
如果您将此字段保留为空,文件将显示在公司文档存储提供程序的根文件夹中.
4.
定义文档的设置:选择复制到剪贴板,让用户可以将文档复制到剪贴板.
选择共享文档,让用户可以共享文档.
选择离线使用文档,允许用户将文档添加到收藏夹列表.
当公司文档中未加密的文档被添加到收藏夹列表中时,本地副本被加密存储.
如果允许共享文档,文件将在转发到其他应用前自动解密.
如果清除离线使用文档复选框,则在下次同步期间将自动删除本地副本.
5.
单击分配的组旁边的显示,并选中应有权访问该文档的组.
6.
为文档添加描述.
7.
单击上传文件,浏览并找到该文档.
将其选中,并单击打开.
8.
对要分发的每个文档,重复此步骤.
文档将添加到文档列表中.
它将分发给用户,用户可以在SophosSecureWorkspace应用中查看.
版权所有2018SophosLimited227SophosMobileonPremise20Android企业Android的功能包括简化将设备集成到您的公司环境中,并帮助您的用户分离其设备上的个人数据和公司数据.
这被称为Android企业(以前称为AndroidforWork).
注释SophosMobile支持在Android6或更高版本的设备上使用Android企业.
SophosMobile支持设备所有者和配置文件所有者两种Android企业注册模式.
设备所有者如果设备是在设备所有者模式下注册的,设备所有权将分配给SophosMobile.
SophosMobile可以监控和管理整台设备上的设置、应用和数据.
设备所有者模式与标准注册不同,具体如下:用户能体验到注册简单.
用户无需在设备上设置个人Google帐户.
用户只能从托管的GooglePlay安装应用,并且您可以配置应用商店的布局.
默认情况下,只会启用最少量的应用:GooglePlayStore、Contacts、Messages、Phone.
您可以安装、卸载或更新应用,无需用户交互.
您可以配置应用权限,以免在运行时提示用户授予权限.
对于支持它的应用,您可以配置自定义应用设置.
您可以重置锁屏密码.
对于标准注册,不能对Android7.
0或之后版本执行此操作.
您可以配置展台模式,将应用使用情况限制为一组应用,而不仅仅是一个应用.
您只能注册尚未设置的设备或已经重置为出厂设置的设备.
没有专用的取消注册操作.
要取消设备注册,请将其擦除.
配置文件所有者如果在配置文件所有者模式下注册设备,将在设备上创建工作配置文件.
SophosMobile只能监控和管理工作配置文件中的设置、应用和数据.
配置文件所有者模式适合BYOD(自带设备办公)方案.
相关信息Android企业帮助(外部链接)20.
1设置Android企业-概述要为您的组织设置Android企业,您可以选择以下两种不同方案中的一种:228版权所有2018SophosLimitedSophosMobileonPremise托管的GooglePlay帐户方案这是为您的组织设置Android企业最容易的方法.
SophosMobile引导您完成为组织设置Android企业帐户的过程.
如果需要,您可以为组织创建多个Android企业帐户.
SophosMobile管理整个用户账户生命周期.
请参阅设置Android企业(托管GooglePlay帐户方案)(第229页).
托管的Google域方案如果您已经有托管的Google域,或者您想在SophosMobile以外管理您的Android企业用户账户,可以使用此方法.
您使用Google注册托管Google域并证明域的所有权.
您将SophosMobile作为第三方EMM(企业移动管理)绑定到您的托管Google域.
SophosMobile根据需要创建用户账户.
除此之外,SophosMobile不管理账户生命周期.
请参阅设置Android企业(托管Google域方案)(第230页).
20.
2设置Android企业(托管GooglePlay帐户方案)对于托管GooglePlay账户方案,要为您的组织设置Android企业,SophosMobile指导您完成该步骤.
1.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击Android企业选项卡.
2.
单击配置.
3.
选择"托管的GooglePlay帐户"方案然后单击下一个.
4.
选择注册帐户.
这会将您重定向至您将组织注册到Android企业的Google网站.
5.
使用您的Google账户登录Google网站.
注释为此,我们建议您创建一个新的Google帐户.
6.
在Google网站上,按照步骤注册您的组织.
提示指定您的组织名称时,请包括术语SMC和您的SophosMobile客户名称,例如我的组织名称(SMC/我的客户名称).
帐户属性不提及有关连接到SophosMobile的帐户的任何信息.
完成注册步骤后,Google网站会将您重定向回SophosMobile.
7.
在SophosMobile中,单击完成设置即可完成注册过程.
这样就完成了为您的组织设置Android企业的过程.
版权所有2018SophosLimited229SophosMobileonPremise20.
3设置Android企业(托管Google域方案)对于托管Google域方案,要为您的组织设置Android企业,您可以:1.
使用Google注册托管Google域.
2.
创建企业服务帐户并配置与Google服务进行通信所需的API.
3.
将SophosMobile作为第三方EMM(企业移动管理)绑定到您的托管Google域.
20.
3.
1通过Google注册域在为组织设置Android企业过程的第一阶段,您可以通过Google注册域(托管的Google域)、创建域管理员(托管的Google帐户)和验证您的域所有权.
注释如果您已经有托管的Google域,比如因为注册了GSuite(之前的Google应用),则可跳过本节.
1.
单击以下链接https://www.
google.
com/a/signup/enterprise_product=ANDROID_WORK&hl=zh-cn注册托管Google域.
.
2.
用所需的信息填充Web表单.
在关于您的企业下,在企业域地址字段中输入将用作托管Google域的域.
例如,您可以使用您的SophosMobile服务器的域.
注释如果您要在SophosMobile中为多个客户配置Android企业,每个客户都需要一个单独的域.
在您的Google管理帐户下,输入新的域管理员的凭据.
注释记录该凭据,因为在后面的设置过程中您将需要用到它.
3.
单击按钮创建域管理员帐户.
这会打开Google管理控制台.
4.
在Google管理控制台中,启动验证您的域所有权的程序.
按Google提供的说明,验证您的域.
验证您的域所有权后,您将会收到一个用于通过您的第三方EMM提供程序(即SophosMobile)连接您的托管Google域的令牌.
接下来,您必须创建Google服务帐户,并配置相关的GoogleAPI.
请参阅配置Google服务帐户(第231页).
230版权所有2018SophosLimitedSophosMobileonPremise20.
3.
2配置Google服务帐户在为您的组织设置Android企业过程的第二阶段,您可以创建并配置Google服务帐户.
前提条件:您有托管Google域的域管理员帐户.
Google服务帐户是一种针对应用程序的特殊类型的Google帐户.
此帐户由SophosMobile用于与GoogleAPI通信.
创建项目:1.
单击以下链接https://console.
developers.
google.
com/apis/library打开GoogleAPI控制台.
使用您的域管理员帐户凭据登录.
2.
在GoogleAPI控制台的标题栏中,单击项目>创建项目.
如果已经有项目,标题栏将显示项目名称,而不是单词项目.
3.
在新建项目对话框中,输入项目名称,如Androidenterprise,然后单击创建.
启用所需的API:4.
在侧边的菜单栏中,单击库,然后在搜索字段中输入字符串adminsdk.
5.
在搜索结果列表中,单击AdminSDK.
6.
在AdminSDK页面的顶部,单击启用.
7.
对GooglePlayEMMAPI重复前面三个步骤:a)在侧边的菜单栏中,单击库,然后在搜索字段中输入字符串emm.
b)在搜索结果列表中,单击GooglePlayEMMAPI.
c)在GooglePlayEMMAPI页面的顶部,单击启用.
创建服务帐户:8.
在GooglePlayEMMAPI页面上,单击创建认证资料.
9.
在将凭据添加到您的项目页面的第一步中,单击服务帐户链接.
10.
在服务帐户页面上,单击创建服务帐户.
11.
在创建服务帐户对话框中,输入以下设置:a)在名称中,输入可用于识别服务帐户的名称,如Android企业.
b)选择提供新的私人密钥,然后选择JSON.
c)选择启用G套装域范围委派.
d)在同意屏幕的产品名称中,输入(例如)Android企业.
当您单击创建时,将生成您的服务帐户私钥,并以JSON文件的形式保存到您的计算机上.
注释请将JSON文件存储在安全的位置.
您需要它以将SophosMobile绑定到您的托管Google域.
配置API访问权限:12.
单击以下链接https://admin.
google.
com打开Google管理控制台,并用您的域管理员帐户凭据登录.
13.
单击安全,然后单击高级设置.
提示您可能需要单击显示更多,以显示高级设置.
版权所有2018SophosLimited231SophosMobileonPremise14.
单击管理API客户端访问权限.
15.
在文本编辑器中打开JSON文件,并将client_id值复制到客户端名称字段.
例如,如果您的JSON文件包含一行"client_id":"123456789",则在客户端名称字段中输入123456789.
16.
在一个或多个API范围字段中,输入下面两个URL,用逗号分隔:https://www.
googleapis.
com/auth/admin.
directory.
user,https://www.
googleapis.
com/auth/androidenterprise17.
单击授权.
您现在可以将SophosMobile绑定到您的托管Google域.
请参阅将SophosMobile绑定到您的域.
(第232页).
20.
3.
3将SophosMobile绑定到您的域.
在为您的组织设置Android企业过程的第三阶段,您可以将SophosMobile绑定到您的托管Google域.
前提条件:您有托管Google域的域管理员帐户.
您已经验证了您的域所有权.
您已经启用了相关GoogleAPI.
您已经创建了Google服务账户.
1.
在侧边的菜单栏上,在设置下,单击安装>系统设置然后单击Android企业选项卡.
2.
单击配置.
3.
选择"托管的Google域"方案然后单击下一个.
4.
在打开的对话框中,配置以下设置:选项说明企业域已通过Google验证的您的托管Google域.
域管理员您的域管理员帐户的名称.
这是您通过Google注册您的域时创建的管理员.
EMM令牌您验证域所有权后,从Google收到的令牌.
当您使用您的域管理员凭据登录Google管理控制台(https://admin.
google.
com)并浏览到安全>管理Android的EMM提供程序时,可以查看该令牌.
5.
单击上传文件,然后浏览并找到您创建服务帐户时从Google下载的JSON文件.
您选择的JSON文件必须拥有扩展名.
json.
6.
单击绑定.
SophosMobile将联系GoogleWeb服务,并将其本身作为EMM提供程序绑定到您的托管Google域.
在为您的组织设置Android企业过程的最后阶段,您必须配置GoogleEMM设置.
请参阅配置EMM设置(第233页).
232版权所有2018SophosLimitedSophosMobileonPremise20.
3.
4配置EMM设置在为您的组织设置Android企业过程的最后阶段,您要配置GoogleEMM设置.
前提条件:您已将SophosMobile绑定到托管Google域.
1.
单击以下链接https://admin.
google.
com打开Google管理控制台,并用您的域管理员帐户凭据登录.
2.
单击安全,然后单击管理Android设备的EMM提供商.
提示您可能需要单击显示更多,才能显示管理Android设备的EMM提供商.
3.
在基本设置下,选中强制在Android设备上执行EMM政策.
这样就完成了为您的组织设置Android企业的过程.
20.
4配置Android企业设备注册前提条件您已经为客户配置了Android企业.
完成以下步骤,对Android企业设备注册进行配置.
1.
对您想要支持的每个Android企业注册模式创建策略.
对于设备所有者模式,创建一个Android企业设备策略类型的策略.
对于配置文件所有者模式,创建一个Android企业工作配置文件策略类型的策略.
要了解有关如何创建策略的一般性说明,请参阅创建配置文件或策略(第69页).
2.
对您想要支持的每个Android企业注册模式创建任务捆绑包.
对于之前您已经创建的策略,该任务捆绑包至少必须包含注册任务和安装配置文件或分配策略任务.
要了解有关如何创建任务捆绑包的一般性说明,请参阅创建任务捆绑包(第200页).
3.
在自助服务门户组设置中,对您创建作为初始包的任务捆绑包进行配置.
对于公司设备和个人设备,您可以配置不同的包.
例如,对公司设备使用设备所有者注册,对个人设备使用配置文件所有者注册.
要了解有关如何配置自助服务门户组设置的一般性说明,请参阅配置自助服务门户设置(第21页).
您配置设备注册后,自助服务门户用户即可将其Android设备注册到SophosMobile.
基于您的配置,注册模式(设备所有者或配置文件所有者模式)将由设备类型(公司或个人设备)确定.
注释如果您按本节所述对公司和/或个人设备进行Android企业注册配置,该设备类型的Android设备将不能在自助服务门户中使用标准注册.
版权所有2018SophosLimited233SophosMobileonPremise20.
5管理Android企业用户(托管Google网域方案)注释如果您已使用托管Google网域方案设置Android企业,本主题将介绍Google用户帐户的管理.
对于托管GooglePlay帐户方案,SophosMobile透明地管理您的用户的Google帐户.
要注册Android企业设备,用户必须拥有托管的Google帐户.
该帐户将连接到您注册到Google的域.
帐户名称的构成和电子邮件地址一样,如user@your_managed_Google_domain.
当用户在自助服务门户中注册设备时,SophosMobile检查该用户的托管Google帐户是否已经存在于Google服务器上.
为此,SophosMobile中用户电子邮件地址的左边部分将和您的托管Google域组合在一起.
如果没有该名称的帐户,SophosMobile将创建该帐户.
示例:如果SophosMobile中的用户电子邮件地址为user@your_company.
com,您的托管Google域为your_managed_Google_domain,SophosMobile将检查Google服务器上是否有帐户user@your_managed_Google_domain.
除了在注册期间为用户创建托管Google帐户之外,SophosMobile不管理帐户生命周期.
如果您在SophosMobile中删除用户帐户,用户的托管Google账户将保留.
您可以通过Google管理控制台管理您的托管Google域账户.
如果需要,您可以使用GoogleAppsDirectorySync(GADS)从LDAP目录创建帐户.
相关信息Google管理控制台(外部链接)关于GoogleAppsDirectorySync(外部链接)20.
6创建工作配置文件当用户在自助服务门户中以Android企业配置文件所有者模式注册其设备时,将创建工作配置文件.
您可以在SophosMobileAdmin中删除工作配置文件,例如,在丢失或被盗时,从设备中删除公司数据.
20.
7锁定工作配置文件您可以在SophosMobileAdmin中锁定或解锁工作配置文件.
工作配置文件锁定后,所有工作应用都不可用,且不显示工作应用的任何通知.
注释本节内容不适用于以Android企业设备所有者模式注册到SophosMobile的设备.
请参阅Android企业(第228页).
1.
在侧边的菜单栏中,单击管理下的设备.
234版权所有2018SophosLimitedSophosMobileonPremise2.
单击要为其锁定或解锁工作配置文件的设备旁边的蓝色三角形,然后单击显示.
3.
单击操作>设置容器访问权限.
4.
选择访问权限.
拒绝:将锁定工作配置文件.
用户不能再访问工作配置文件中的应用或数据.
允许:将解锁工作配置文件.
自动模式:如果设备违反包含有锁定容器操作的合规性规则,将锁定工作配置文件.
如果您没有设置访问权限,这将是默认行为.
5.
单击是.
设备与SophosMobile服务器同步.
完成后,该设置将应用到设备.
提示要锁定整个设备,而不是仅锁定工作配置文件,请使用操作>锁定.
提示用户可以在其设备上的快速设置面板中锁定工作配置文件,例如在他们休假时.
20.
8从设备删除工作配置文件注释本节内容不适用于以Android企业设备所有者模式注册到SophosMobile的设备.
请参阅Android企业(第228页).
您可以删除SophosMobileAdmin中的工作配置文件,以便在丢失或被盗时从设备删除公司数据.
从设备删除工作配置文件后,包括SophosMobileControl应用程序在内的所有工作应用程序将会同时删除.
在SophosMobileAdmin控制台中,设备的状态将显示为未注册.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要从其中删除工作配置文件的设备旁边的蓝色三角形,然后单击显示.
3.
单击操作>擦除Android工作配置文件.
将创建删除工作配置文件的任务,并将其传递到设备.
您可以在任务视图页面上显示任务状态.
注释如果用户已经手动删除了工作配置文件,任务将失败,因为设备不能再接收它.
要重新创建工作配置文件,用户必须在自助服务门户中重复注册过程.
20.
9用户启动的工作配置文件删除用户可能会有意或无意地从他们的设备上删除工作配置文件.
SophosMobile无法检测这种删除.
它会继续将设备管理状态显示为Android企业(配置文件所有者).
用户删除工作配置文件后,设备将不能与SophosMobile服务器同步.
版权所有2018SophosLimited235SophosMobileonPremise提示您可以使用最近7天未同步的设备报告来确定可能受到影响的设备.
如果工作配置文件被意外删除,可以重新注册,如下所述:1.
您从SophosMobile中删除设备.
2.
用户在自助服务门户中重复设备注册过程.
20.
10工作应用工作应用是可以安装到使用Android企业设备所有者或配置文件所有者模式注册到SophosMobile的设备上的应用.
注释对于配置文件所有者模式,工作应用安装在工作配置文件中,并标记有公文包标志.
您必须在托管GooglePlay和SophosMobile中执行以下任务,以使您的用户可以使用工作应用:1.
在托管GooglePlay中,您为组织选择应用.
为此:批准应用.
购买应用许可证.
接受应用权限.
请参阅批准工作应用(第236页).
2.
在SophosMobile中,您可以配置应用.
为此:定义应用在用户设备上的托管GooglePlayStore应用中的位置.
对于支持它的应用,配置自定义应用设置.
对于付费应用,向用户分配该应用的许可证.
请参阅编辑工作应用(第237页).
20.
10.
1批准工作应用1.
打开托管的GooglePlay(https://play.
google.
com/work),并用您的Android企业管理员帐户登录.
2.
选择您要向用户提供的应用.
3.
单击批准(对于免费应用)或购买(对于付费应用).
注释付费工作应用目前仅在美国和加拿大提供.
4.
如果应用需要权限,请代表您的公司接受这些权限.
当您的用户安装该应用时,将不会要求他们授予权限.
5.
对于付费应用,输入许可证的数量和付款方式.
236版权所有2018SophosLimitedSophosMobileonPremise注释如果尝试购买应用时出现错误,请在Google管理控制台中检查是否对您的域或您的帐户启用了Google付款服务.
在此阶段,已对您的域批准了该应用,但用户还不能安装它.
您必须在SophosMobile中完成分配过程.
请参阅编辑工作应用(第237页).
注释如果您的工作应用的更新包括附加的应用权限,您必须接受这些权限,然后您的用户才能安装此更新.
在GooglePlay菜单中,单击更新查看和批准待定的更新.
相关信息托管的GooglePlay(外部链接)Google管理控制台(外部链接)托管的GooglePlay帮助(外部链接)20.
10.
2取消工作应用审批1.
打开托管的GooglePlay(https://play.
google.
com/work),并用您的Android企业管理员帐户登录.
2.
单击我的托管应用,查看您已经审批的工作应用.
3.
从您的托管GooglePlay商店中,选择要删除的应用.
4.
单击取消审批.
5.
要将修改与SophosMobile同步,请登录SophosMobileAdmin.
6.
在侧边的菜单栏中,单击配置下的应用>Android.
7.
在应用页面上,单击Android工作应用.
8.
单击从Google检索应用列表.
注释您还必须从您的Android任务捆绑包中删除该应用.
相关概念任务捆绑包(第200页)相关信息托管的GooglePlay(外部链接)Google管理控制台(外部链接)托管的GooglePlay帮助(外部链接)20.
10.
3编辑工作应用您在托管GooglePlay中批准一个应用后,还必须在SophosMobile中对该应用进行配置,以使您的用户可以使用它.
版权所有2018SophosLimited237SophosMobileonPremise1.
在侧边的菜单栏中,单击配置下的应用>Android.
2.
在应用页面上,单击Android工作应用.
这将打开Android工作应用页面,页面中将显示您在托管GooglePlay中已经批准的所有工作应用的列表.
3.
单击从Google检索应用列表,同步您在托管GooglePlay中所做的修改.
同步后,用户可以通过托管的GooglePlayStore应用安装这些应用.
4.
单击所需应用旁边的蓝色三角形,然后单击编辑.
5.
在编辑Android工作应用页面上,按照需要配置设置.
请参阅工作应用设置(第238页).
6.
单击保存保存修改.
7.
在Android工作应用页面上,单击将配置发送到Google,将更新的布局信息和应用配置发送给Google.
注释如果您跳过最后这一步,应用配置将只本地存储在SophosMobile中.
它不会传输到Google服务器,也不会让您的用户可用.
数据同步到Google服务器后,可以通过托管的GooglePlayStore应用使用该工作应用.
您的所有用户都可以使用免费应用,而只有分配有许可证的用户可以使用付费应用.
相关参考工作应用设置(第238页)20.
10.
4工作应用设置设置/字段说明标题托管GooglePlay中显示的外部应用名称.
产品ID内部应用名称.
定价定价类型:免费在应用内购买免费已付分发类型公共(Google托管):该应用可供托管GooglePlay中的一般公众使用.
专用(Google托管):该应用由您开发,并且只有您的托管Google域中的用户可以使用.
APK文件已上传到托管GooglePlay.
专用(自托管):和专用(Google托管)类似,但从您的本地服务器安装APK文件.
托管GooglePlay仅用于管理分发.
托管的GooglePlayURL,GooglePlayURL应用在托管GooglePlay和GooglePlay中的Web地址.
单击该链接可在新的浏览器窗口中打开该页面.
238版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明页在用户的GooglePlayStore应用中,在其中显示该应用的页面.
这些值是由SophosMobile预配置的,且不能修改.
应用程序类别在用户的GooglePlayforWork商店中,在其中显示该应用的类别的名称.
当您开始键入时,将显示一系列匹配的类别.
如果您输入一个没有的类别,将会创建该类别.
许可证单击许可证旁边的显示以查看或编辑应用已使用和剩余的许可证数量以及已分配许可证的用户.
此设置仅适用于付费应用.
应用设置单击应用设置可查看或编辑特定于应用的设置.
有关可用设置的信息,请参阅该应用的开发人员提供的文档.
此设置仅在应用提供托管配置时才可用.
提示您可以使用由实际用户名和电子邮件地址替换的占位符%_USERNAME_%和%_EMAILADDRESS_%.
20.
10.
5安装工作应用当您在托管GooglePlay中批准工作应用并向您的用户分配应用许可证后,您可以将该应用安装到所选的设备或设备组.
注释用户可以通过托管的GooglePlayStore应用安装批准的应用.
1.
在侧边的菜单栏中,单击配置下的应用>Android.
2.
在应用页面上,单击Android工作应用.
3.
单击所需应用旁边的蓝色三角形,然后单击安装.
4.
选择要安装该应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
5.
在设置执行日期页面上,指定安装该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
6.
单击完成.
版权所有2018SophosLimited239SophosMobileonPremise安装任务将发送到Google服务.
然后,Google将管理在设备上安装该应用.
在任务视图页面上,任务的状态将在其发送到Google后显示为成功.
20.
10.
6卸载工作应用您可以从选定的设备或设备组卸载工作应用.
1.
在侧边的菜单栏中,单击配置下的应用,然后单击Android.
2.
在应用页面上,单击Android工作应用.
3.
在Android工作应用页面上,单击卸载.
4.
选择要卸载应用的设备.
执行以下任一操作:选择单个设备.
单击选择设备组,然后选择一个或多个设备组.
准备就绪后,单击下一步.
5.
在选择应用页面上,选择所需的应用.
6.
在设置执行日期页面上,指定卸载该应用的日期:选择现在立即执行.
选择日期,然后输入一个计划执行的日期和时间.
7.
单击完成.
将向Google服务发送一个卸载应用的任务.
然后,Google将管理从设备上卸载该应用.
在任务视图页面上,任务的状态将在其发送到Google后显示为成功.
提示另外,您也可以使用以下过程从单个设备卸载应用:打开设备的显示设备页面,转到安装应用选项卡,然后单击应用名称旁边的垃圾桶图标.
20.
10.
7工作应用的许可证通过向用户分配付费工作应用的许可证,您可以定义用户可以使用哪些应用.
您只能向用户分配付费工作应用的许可证.
在您将应用列表从Google同步到SophosMobile后,您的所有用户将自动可以使用您已在托管GooglePaly中批准的免费应用.
您可以在编辑Android工作应用页面上配置许可证分配.
请参阅编辑工作应用(第237页).
提示您不需要为管理员启动的应用安装分配许可证.
当您如安装工作应用(第239页)中所述安装工作应用时,将会从您的已购许可证池中向相关用户自动分配许可证.
20.
10.
8托管GooglePlay的布局您可以定义每个工作应用在用户设备上的托管GooglePlayStore应用中的位置.
可配置的布局元素是页面和类别.
页面是有名称、可以垂直滚动的视图.
页面及其名称是通过SophosMobile预定义的.
240版权所有2018SophosLimitedSophosMobileonPremise类别是您定义的页面中有名称、可以水平滚动的子部分.
在Google文档中,类别又称为群集.
每个类别特定于某个页面,每个应用显示在特定的类别中.
不包含任何应用的页面不显示.
您可以在每个页面配置多达30个类别,每个类别可配置多达100个应用.
对于每个应用,您可以定义该应用在用户设备上的托管GooglePlayStore应用中显示在哪个页面,并且可以选择定义显示在哪个类别中.
默认情况下,应用放置在名称为其他的页面上.
您可以在编辑Android工作应用页面上配置商店布局.
请参阅编辑工作应用(第237页).
20.
10.
9可配置的工作应用工作应用可以提供托管配置.
此功能是由应用的开发人员包括在其中的,您可以用它为应用配置自定义设置.
如果应用支持托管配置,将在托管GooglePlay中的该应用页面上显示此应用提供托管配置备注.
您可以在编辑Android工作应用页面上配置应用设置.
请参阅编辑工作应用(第237页).
20.
10.
10专用工作应用和自托管工作应用您想让您的用户可以使用的所有工作应用都必须通过托管GooglePlay分发.
公用工作应用是拥有托管Google帐户的所有用户都可以使用的应用.
专用工作应用是由您开发、只有您所在的托管Google域内的用户才能使用的应用.
自托管工作应用是其应用程序包(即APK文件)放在属于贵组织的服务器而非Google服务器上的专用应用.
但是,自托管应用的应用商店元数据必须上传到Google,以便该应用可以通过托管GooglePlay进行分发.
有关专用工作应用的信息,请参阅Android企业开发人员信息(外部链接).
版权所有2018SophosLimited241SophosMobileonPremise21Intune应用保护Intune是一项用于管理移动设备和应用的Microsoft服务.
Intune应用保护让您可以定义应用级使用限制并分配给您的用户.
因为Intune应用保护基于用户身份,且不需要进行设备管理就可以保护您的公司数据,因此很适合自带设备办公(BYOD)计划.
您可以在SophosMobileAdmin中管理您的Intune应用保护策略.
功能和要求设备不需要注册到SophosMobile.
Intune应用保护策略可以应用到Office365应用,以及其他与IntuneAppSDK集成的应用.
策略仅在用户使用其公司帐户登录到应用后才会生效.
他们使用其私人帐户登录时没有使用限制.
您必须对您的公司用户帐户使用AzureActiveDirectory(AAD).
用户的AAD帐户必须分配有Intune许可证.
对于MicrosoftOutlook应用,用户的AAD帐户必须链接有Office365ExchangeOnline邮箱和许可证.
对于MicrosoftWord、Excel和PowerPoint应用,用户的AAD帐户必须链接有Office365商业版或企业版许可证.
相关信息MicrosoftIntune文档(外部链接)MicrosoftIntune应用(外部链接)21.
1设置MicrosoftIntune集成要在SophosMobileAdmin中管理您的Intune应用保护策略,您必须将SophosMobile注册为MicrosoftAzure应用程序.
我们建议您使用MicrosoftAzure注册向导.
1.
在侧边的菜单栏中,进入安装>系统设置,然后单击MicrosoftAzure选项卡.
2.
单击MicrosoftAzure注册向导.
向导将引导您在MicrosoftAzure门户和SophosMobileAdmin中完成注册过程:a)在MicrosoftAzure门户中为SophosMobile创建应用程序注册.
b)在SophosMobile中输入应用程序ID.
c)将SophosMobile服务器证书上传到您的应用程序.
d)给您的应用程序授予MicrosoftGraphAPI的读取和写入MicrosoftIntune应用和读取所有组委托权限.
完成设置程序后,SophosMobileAdmin的侧边菜单栏中将有新的配置文件,策略>Intune应用保护项.
242版权所有2018SophosLimitedSophosMobileonPremise21.
2创建Intune应用保护策略通过Intune应用保护策略,您可以根据用户身份应用数据限制.
限制仅当应用在工作环境下使用时才生效,即分配的用户使用公司帐户打开应用时.
您必须为Android和iOS应用创建单独的策略.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的策略页面上,单击添加,然后单击Android策略或iOS策略.
4.
在编辑策略页面上,输入要求的设置.
请参阅Intune应用保护策略设置(Android)(第244页)和Intune应用保护策略设置(iOS)(第247页).
5.
单击保存.
创建Intune应用保护策略后,将其分配给应用和用户.
请参阅将应用分配给Intune应用保护策略(第243页)和将用户分配给Intune应用保护策略(第243页).
21.
3将应用分配给Intune应用保护策略Intune应用保护策略将只应用于您分配的应用.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的策略页面上,单击要向其分配应用的策略旁边的蓝色三角形,然后单击分配应用.
4.
选择要向其分配策略的应用.
列表将包括您在MicrosoftAzure门户中添加到您的MicrosoftIntune帐户的所有Android或iOS应用.
5.
单击保存.
21.
4将用户分配给Intune应用保护策略Intune应用保护策略将只应用于分配的用户使用的应用.
您不是单独分配用户,而是通过AzureActiveDirectory(AAD)安全组进行分配.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略>Intune应用保护.
2.
显示转到Microsoft页面的对话框时,确认.
然后用您的MicrosoftAzure管理员帐户登录.
如果您已经在当前SophosMobileAdmin会话过程中登录到MicrosoftAzure,将省去此步骤.
3.
在SophosMobileAdmin的策略页面上,单击要向其分配用户的策略旁边的蓝色三角形,然后单击分配用户组.
4.
在可用的AAD安全组列表中,选择您要包括或排除的组:包括:策略将应用到该组的成员.
排除:策略将不应用到该组的成员,即便它们也是包括组中的成员.
未分配:策略将不应用到该组的成员,除非它们也是包括组中的成员.
版权所有2018SophosLimited243SophosMobileonPremise5.
单击保存.
注释策略将只应用到其AAD帐户分配有Intune许可证的用户.
选定安全组中的其他用户不受影响.
21.
5Intune应用保护策略设置(Android)通过Intune应用保护策略,您可以为Intune托管应用定义限制.
本节介绍针对Android应用的可用设置.
一般设置设置/字段说明名称策略的名称.
描述策略的简短说明.
数据重定位在数据重定位下,您可以配置如何让数据输入和离开应用.
注释所有设置将应用于用户使用其公司帐户登录后访问的数据.
设置/字段说明阻止Android备份应用将不能使用Android备份服务.
允许应用向其他应用传送数据此应用可以向其传输数据的应用:策略托管应用:仅允许向其他Intune策略托管应用传输.
所有应用:允许传输到任何应用.
无:不允许传输到任何应用.
注释可能会有始终允许向其传输数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
将始终阻止向Android即时应用传输数据.
244版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明允许应用从其他应用接收数据此应用可以从其中接收数据的应用:策略托管应用:仅允许从其他Intune策略托管应用传输.
所有应用:允许从任何应用传输.
无:不允许从任何应用传输.
注释可能会有始终允许从其中接收数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
将始终阻止从Android即时应用接收数据.
阻止"另存为"将禁用应用的"另存为"选项.
存储位置如果选中阻止"另存为",将选择存储公司数据的位置.
用户可以存储到选定的位置.
其他位置将被阻止.
限制剪切、复制和粘贴到其他应用选择如何将剪切、复制和粘贴操作用于此应用.
阻止:不允许在此应用和任何其他应用间进行剪切、复制和粘贴操作.
策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切、复制和粘贴操作.
带粘贴的策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切或复制.
允许将任何应用中的数据粘贴到此应用.
所有应用:不限制从此应用和对此应用进行剪切、复制和粘贴.
限制显示在ManagedBrowser内的Web内容强制要求应用中的Web链接在IntuneManagedBrowser应用中打开.
加密应用数据数据将使用Intune定义的加密方案进行加密.
禁用联系人同步应用将不会把数据保存到Contacts应用.
禁用打印应用中的打印功能将禁用.
访问在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用.
版权所有2018SophosLimited245SophosMobileonPremise设置/字段说明需要PIN才能进行访问使用该应用需要PIN.
用户首次使用其公司帐户登录时,将提示其设置PIN.
注释所有Intune托管应用都使用相同的PIN.
PIN重置前的尝试次数重置PIN前允许的登录失败尝试次数.
禁止简单PIN不允许用户使用简单的PIN序列,如1234或1111.
PIN长度PIN序列中数字的最小数目.
禁止指纹用户不能使用指纹身份验证,只能使用PIN进行身份验证.
访问需要公司凭据用户必须输入其公司密码,而非PIN.
此设置将替代其他PIN要求.
阻止在已取得root权限的设备上运行托管应用在已经取得root权限的设备上,用户不能通过其公司帐户使用该应用.
访问要求超时启动该应用时,重新检查访问要求(在此策略中设置)前的分钟数.
注释用户输入PIN后,在此设置定义的时间段内,用户不必再次输入PIN就可以使用其他Intune托管应用.
脱机宽限期在重新检查应用访问要求之前设备可以离线运行的分钟数.
超过该时间段后,该应用将要求用户连接到网络并再次进行身份验证.
擦除应用数据前的脱机时间间隔用户必须连接到网络并再次进行身份验证前,设备可以离线运行的天数.
如果身份验证失败,将擦除公司应用数据.
注释对于MicrosoftOutlook应用,擦除应用数据时将同时删除Contacts应用中保存的数据.
阻止屏幕捕获和Android助手用户将不能截屏或使用GoogleAssistant.
这还将使最近应用列表中的应用图片变得模糊.
246版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明要求的最低Android版本使用该应用所需的最低Android版本.
将该字段保留为空可忽略此设置.
推荐的最低Android版本使用该应用的推荐最低Android版本.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低应用版本使用该应用所需的最低应用版本.
将该字段保留为空可忽略此设置.
推荐的最低应用版本使用该应用的推荐最低应用版本.
如果设备上的应用不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低Android补丁版本使用该应用所需的最低Android安全补丁版本.
输入补丁版本日期,采用YYYY-MM-DD格式.
将该字段保留为空可忽略此设置.
推荐的最低Android补丁版本使用该应用的推荐最低Android安全补丁版本.
输入补丁版本日期,采用YYYY-MM-DD格式.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
21.
6Intune应用保护策略设置(iOS)通过Intune应用保护策略,您可以为Intune托管应用定义限制.
本节介绍针对iOS应用的可用设置.
一般设置设置/字段说明名称策略的名称.
描述策略的简短说明.
数据重定位在数据重定位下,您可以配置如何让数据输入和离开应用.
版权所有2018SophosLimited247SophosMobileonPremise注释所有设置将应用于用户使用其公司帐户登录后访问的数据.
设置/字段说明阻止iTunes和iCloud备份应用将不会把数据备份到iTunes或iCloud.
允许应用向其他应用传送数据此应用可以向其传输数据的应用:策略托管应用:仅允许向其他Intune策略托管应用传输.
所有应用:允许传输到任何应用.
无:不允许传输到任何应用.
注释可能会有始终允许向其传输数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
策略托管应用和无还将阻止Siri在应用中搜索数据.
允许应用从其他应用接收数据此应用可以从其中接收数据的应用:策略托管应用:仅允许从其他Intune策略托管应用传输.
所有应用:允许从任何应用传输.
无:不允许从任何应用传输.
注释可能会有始终允许从其中接收数据的应用和服务.
有关详细信息,请参阅有关数据传输豁免的MicrosoftIntune文档.
一些应用会忽略此设置并允许所有传入数据.
阻止"另存为"将禁用应用的"另存为"选项.
存储位置如果选中阻止"另存为",将选择存储公司数据的位置.
用户可以存储到选定的位置.
其他位置将被阻止.
248版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明限制剪切、复制和粘贴到其他应用选择如何将剪切、复制和粘贴操作用于此应用.
阻止:不允许在此应用和任何其他应用间进行剪切、复制和粘贴操作.
策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切、复制和粘贴操作.
带粘贴的策略托管应用:允许在此应用和其他Intune策略托管应用间进行剪切或复制.
允许将任何应用中的数据粘贴到此应用.
所有应用:不限制从此应用和对此应用进行剪切、复制和粘贴.
限制显示在ManagedBrowser内的Web内容强制要求应用中的Web链接在IntuneManagedBrowser应用中打开.
加密应用数据在加密数据时选中.
将使用iOS提供的设备级加密方案进行数据加密.
设备锁定时:在设备锁定时加密应用数据.
设备锁定且有打开的文件时:在设备锁定时加密应用数据,当前打开文件的数据除外.
设备重启时:在设备重新启动时加密应用数据,直至设备首次解锁.
使用设备设置:根据设备设置进行应用数据加密.
禁用联系人同步应用将不会把数据保存到Contacts应用.
禁用打印应用中的打印功能将禁用.
访问在访问下,您可以定义用户使用其公司帐户登录后如何访问该应用.
设置/字段说明需要PIN才能进行访问使用该应用需要PIN.
用户首次使用其公司帐户登录时,将提示其设置PIN.
注释相同发布者的所有Intune托管应用都使用相同的PIN.
版权所有2018SophosLimited249SophosMobileonPremise设置/字段说明密码类型用户必须定义的PIN类型:数值:PIN只能包含数字.
密码:PIN必须包含至少一个字母、特殊字符或符号(只要iOS英语键盘上有).
注释一些应用不支持密码类型.
PIN重置前的尝试次数重置PIN前允许的登录失败尝试次数.
禁止简单PIN不允许用户使用简单的PIN序列,如1234或1111.
如果将密码类型设置为密码,则PIN必须包含至少一个数字、一个字母和一个特殊字符或符号.
PIN长度PIN序列中字符的最小数目.
禁止指纹而非PIN用户不能使用TouchID,只能使用PIN进行身份验证.
禁止面部识别而非PIN用户不能使用FaceID,只能使用PIN进行身份验证.
访问需要公司凭据用户必须输入其公司密码,而非PIN.
此设置将替代其他PIN要求.
阻止在已越狱的设备上运行托管应用在已越狱的设备上,用户不能通过其公司帐户使用该应用.
访问要求超时启动该应用时,重新检查访问要求(在此策略中设置)前的分钟数.
注释用户输入PIN后,在此设置定义的时间段内,用户不必再次输入PIN就可以使用相同发布者的其他Intune托管应用.
脱机宽限期在重新检查应用访问要求之前设备可以离线运行的分钟数.
超过该时间段后,该应用将要求用户连接到网络并再次进行身份验证.
250版权所有2018SophosLimitedSophosMobileonPremise设置/字段说明擦除应用数据前的脱机时间间隔用户必须连接到网络并再次进行身份验证前,设备可以离线运行的天数.
如果身份验证失败,将擦除公司应用数据.
注释对于MicrosoftOutlook应用,擦除应用数据时将同时删除Contacts应用中保存的数据.
要求的最低iOS版本使用该应用所需的最低iOS版本.
将该字段保留为空可忽略此设置.
推荐的最低iOS版本使用该应用的推荐最低iOS版本.
如果设备不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低应用版本使用该应用所需的最低应用版本.
将该字段保留为空可忽略此设置.
推荐的最低应用版本使用该应用的推荐最低应用版本.
如果设备上的应用不满足此要求,将显示一条用户可以清除的通知.
将该字段保留为空可忽略此设置.
要求的最低Intune应用保护策略SDK版本该应用必须拥有的最低Intune应用保护策略SDK版本.
将该字段保留为空可忽略此设置.
版权所有2018SophosLimited251SophosMobileonPremise22创建管理员1.
在侧边的菜单栏中,单击设置下的设置>管理员打开显示管理员页面,然后单击创建管理员.
2.
在编辑管理员页面上,配置管理员的帐户详细信息.
当外部LDAP目录选择为客户的用户目录时,可以单击通过LDAP查找用户以选择现有的LDAP帐户.
如果不使用外部用户目录,请输入相关的登录名、名字、姓氏、电子邮件地址和密码数据.
指定的密码是一次性密码.
当管理员首次登录时,会提示他们修改.
注释登录名字段必须仅包含字母(拉丁字母)、数字、空格和字符\!
.
_-#.
3.
在角色列表中,选择其中一个可用角色.
角色定义新管理员将拥有的SophosMobile访问权限的类型.
请参阅用户角色(第4页).
4.
单击保存创建管理员帐户.
新的管理员将创建,并显示在显示管理员页面上.
向新用户转发用户凭据(用户、客户和一次性密码).
新用户可以登录SophosMobileAdmin,并提示更改密码.
252版权所有2018SophosLimitedSophosMobileonPremise23向设备发送消息注释本节内容不适用于Windows计算机或WindowsIoT设备.
您可以向托管设备发送自定义消息.
1.
在侧边的菜单栏中,单击管理下的设备.
会出现设备页面.
2.
选择一个或多个设备,单击操作,然后单击发送消息.
3.
在输入消息对话框中,输入您希望发送的消息.
消息可以包含最多500个字符.
4.
单击完成.
版权所有2018SophosLimited253SophosMobileonPremise24管理SophosMobileSecurity注释此功能需要MobileAdvanced类型的许可证.
SophosMobileSecurity是一款适用于Android设备的安全应用,它可以保护设备免受恶意应用的攻击,并帮助用户检测可能成为安全隐患的应用权限.
其网络筛选功能允许您按照类别筛选网站,并让您可以阻止不适当的内容.
在SophosMobileAdmin中,您可以在注册到SophosMobile的设备上管理SophosMobileSecurity应用,如下所述:您可以远程且集中地配置SophosMobileSecurity应用的设置.
可以确保SophosMobileSecurity应用已安装,并以定义的间隔运行扫描.
可以将此定义为合规性规则.
可以触发对特定设备的扫描.
可以查看设备的扫描结果.
有关SophosMobileSecurity的详细信息,请参阅SophosMobileSecurity帮助.
24.
1配置SophosMobileSecurity的防病毒设置前提条件:您已经激活了MobileAdvanced许可证.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略,然后单击Android.
将显示配置文件和策略页面.
2.
单击创建,并选择MobileSecurity策略.
将显示编辑策略页面.
3.
输入新配置文件的名称.
4.
在描述字段中,为配置文件输入一段说明.
5.
单击添加配置.
将显示可用配置页面.
6.
选择防病毒并单击下一步.
将显示配置设置视图.
7.
转到防病毒选项卡.
8.
在常规下,可以指定以下内容:a)在云扫描模式字段下,定义SophosMobileSecurity应在何时扫描最新的恶意软件信息.
选择下列选项之一定义应用应在何时使用云扫描:总是不在漫游时仅限Wi-Fi使用这些设置,可以控制应用的数据流.
如果您将云扫描模式选项设置为仅限Wi-Fi,云扫描将只有在设备Wi-Fi连接的情况下执行扫描.
如果将云扫描模式选项设置为不在漫游时,在设备漫游到外地网络时,将不执行云扫描.
b)在计划的扫描间隔列表中,选择多长时间执行一次扫描.
如果您选择每天充电时,则设备会在连接到电源超过30分钟后执行扫描.
9.
在目标下,可以进行以下选择:254版权所有2018SophosLimitedSophosMobileonPremisea)选择扫描系统应用可以在扫描中包括系统应用.
默认情况下不扫描系统应用,因为它们受到AndroidOS的保护,而且用户不能将它们删除.
但是可以在此处激活对系统应用的扫描.
b)除了按默认设置扫描安装的所有应用外,还可以选择扫描存储以扫描SD卡、USB和其他外部存储设备上的所有文件.
10.
在PUA下,可以进行以下操作:a)选择检测PUA以扫描可能不需要的应用程序.
可能不需要的应用程序(PUA)是指虽不是恶意软件,但通常被认为是不适合企业网络的应用程序.
PUA包括广告软件、拨号器、系统监控、远程管理工具和黑客工具.
但是,某些可以归为PUA的应用可能对某些用户很有用.
如果选中此选项,SophosMobileSecurity将在扫描过程中检测PUA,并通知相应的设备用户.
b)选择允许用户启用PUA以允许用户信任应用,即使它们已经被判断为PUA.
用户可以将它们标记为忽略.
在后续扫描中,这些应用将不会显示为PUA.
11.
在低信誉的应用下,可以指定如何处理这些应用.
应用的分类是根据SophosLiveProtection数据进行的.
在模式下,可以进行以下操作:a)选择允许以关闭对低信誉应用的扫描.
b)选择警告以便在检测到低信誉的应用时在设备中显示警告消息.
然后用户可以选择如何处理该应用.
他们可以将其添加到允许的应用列表中,以便在检测到该应用时不会显示警告.
c)选择阻止以阻止启动低信誉的应用.
将显示警告,但用户不能启动该应用.
12.
在SophosLiveProtection下,可以进行以下操作:a)确保选中扫描通知复选框以便接收扫描通知.
b)选择监控存储以监控内部共享存储、SD卡和连接的USB设备是否存在更改.
新的文件存储在这些位置时,它们将被扫描到.
13.
如果扫描结果中包括应允许启动的应用,可将它们添加到允许的应用列表中.
此列表中的应用将始终被允许启动.
将不会报告这些应用.
为确定此类应用,可以使用SophosMobileSecurity的扫描结果.
请参阅查看SophosMobileSecurity扫描结果(第256页).
在允许这些应用在设备上启动之前,您必须先将它们添加到应用组,如应用组(第225页)中所述.
14.
要添加允许的应用,请选择包含允许的应用的应用组.
15.
单击应用.
24.
2为SophosMobileSecurity配置网络筛选设置前提条件:您已经激活了MobileAdvanced许可证.
SophosMobileSecurity应用可以让您避免浏览包含恶意、不需要或非法内容的网站.
注释网络筛选只能用于AndroidWeb浏览器和GoogleChrome.
1.
在侧边的菜单栏中,单击配置下的配置文件,策略,然后单击Android.
将显示配置文件和策略页面.
2.
单击创建,并选择MobileSecurity策略.
将显示编辑策略页面.
3.
输入新配置文件的名称.
版权所有2018SophosLimited255SophosMobileonPremise4.
在描述字段中,为配置文件输入一段说明.
5.
单击添加配置.
将显示可用配置页面.
6.
选择网络筛选并单击下一步.
将显示网络筛选页面.
7.
在筛选恶意网站字段中,配置对具有恶意内容的网站的访问.
8.
在按类别筛选网站的情况下,根据其类别配置对网站的访问.
网站根据SophosLabs提供的数据进行分类.
该数据会不断更新.
9.
在网站例外下,您可以定义:a)允许的域:添加允许的域或IP地址,即便它们属于被阻止的类别.
b)阻止的域:添加阻止的域或IP地址,即便它们属于允许的类别.
可以插入域名或IP地址.
例如:www.
company.
com,*.
company.
com,10.
2.
0.
1,10.
2.
0.
1/2410.
单击应用.
用户不能更改您在SophosMobile中指定的设置.
24.
3定义SophosMobileSecurity合规性规则前提条件:您已经激活了MobileAdvanced许可证.
可以配置与SophosMobileSecurity相关的合规性规则.
1.
添加新的合规性策略或打开现有的合规策略进行编辑.
有关更多信息,请参阅合规性策略(第36页).
2.
转到Android选项卡.
3.
在最大SMSec扫描间隔字段中,可以指定通过SophosMobileSecurity应用执行恶意软件扫描的最大扫描间隔.
4.
在允许拒绝SMSec权限列表中,选择拒绝所需的权限是否会造成违反合规性.
5.
在允许恶意软件应用列表中,选择是否允许检测到的恶意软件应用.
6.
在允许可疑应用列表中,选择是否允许检测到的可疑应用.
7.
在允许PUA列表中,选择是否允许检测到的PUA(可能不需要的应用).
8.
配置所有所需的设置后,单击保存.
24.
4查看SophosMobileSecurity扫描结果注释此功能需要MobileAdvanced类型的许可证.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击所需设备旁边的蓝色三角形,然后单击编辑,或单击其名称.
将显示显示设备或编辑设备页面.
3.
转到扫描结果选项卡.
该选项卡将显示SophosMobileSecurity扫描结果.
不清洁的软件包(例如,可能不需要的应用)将显示在表格中.
在威胁名称下,您可以单击链接以显示SophosLabs相关威胁的更多信息.
4.
转到合规性冲突选项卡,以查看与扫描结果相关的合规性冲突.
显示的冲突取决于SophosMobileSecurity的符合性规则.
256版权所有2018SophosLimitedSophosMobileonPremise24.
4.
1创建允许的PUA和低信誉的应用的列表注释此功能需要MobileAdvanced类型的许可证.
您可以使用SophosMobileSecurity应用的扫描结果创建允许应用的列表.
1.
在侧边的菜单栏中,单击管理下的设备.
2.
单击要使用其扫描结果的设备旁边的蓝色三角形,然后单击编辑.
3.
转到扫描结果选项卡.
将在表格中显示不清洁的软件包.
威胁名称列指示显示的软件包是否是低信誉应用程序、PUA或恶意软件.
可以单击链接以显示有关SophosLabs相关威胁的详细信息.
检测到的低信誉应用程序和PUA在软件包名称的左侧有一个蓝色的复选标记.
只有这些应用程序可以添加到允许的应用程序列表中.
4.
单击蓝色复选标记图标可将应用添加到允许的应用列表中.
5.
在对话框中,单击是确认操作.
该应用程序将添加到允许的应用程序列表中.
6.
对所有要添加的应用程序,重复此步骤.
7.
要查看该列表,请转到设置,并单击常规.
8.
单击显示允许列表.
将显示添加的所有应用程序.
此列表中的应用程序将被允许在所有受管理的设备中启动.
将不再报告这些应用程序.
单击清除允许列表时,将删除列表中的所有条目.
版权所有2018SophosLimited257SophosMobileonPremise25Sophos容器注释此功能需要MobileAdvanced类型的许可证.
Sophos容器是包含由SophosMobile管理的SophosSecureWorkspace、SophosSecureEmail和SophosMobileSecurity应用的设备上的逻辑区域.
Sophos容器可用于以下平台:AndroidiOS25.
1配置Sophos容器注册注释此功能需要MobileAdvanced类型的许可证.
要使用Sophos容器将设备注册到SophosMobile,您需要执行以下配置步骤.
您需要为要使用Sophos容器注册的每个平台(Android,iOS)执行此操作.
1.
创建容器策略.
请参阅Android的Sophos容器策略的配置(第111页)和iOS的Sophos容器策略的配置(第147页).
2.
在任务捆绑包中使用此容器策略.
任务捆绑包必须至少包含一个注册Sophos容器任务和安装配置文件任务.
请参阅创建任务捆绑包(第200页).
3.
通过自助服务门户将此任务捆绑包用作注册的初始包:在自助服务门户设置中的组设置选项卡中,在初始包-公司设备或初始包-个人设备字段中选择该任务捆绑包.
请参阅配置自助服务门户设置(第21页).
25.
2MobileAdvanced许可证当您激活MobileAdvanced许可证后,您可以使用以下附加功能:管理SophosSecureWorkspace和SophosSecureEmail应用.
请参阅管理Sophos容器应用(第259页).
对于Android设备,管理SophosMobileSecurity应用.
请参阅管理SophosMobileSecurity(第254页).
在您收到许可证密钥后,您需要激活许可证.
为SophosMobileonPremise激活MobileAdvanced许可证对于SophosMobileonPremise,许可证由超级管理员在客户管理中进行管理.
有关详细信息,请参阅SophosMobile超级管理员指南.
258版权所有2018SophosLimitedSophosMobileonPremise为SophosMobile即服务激活MobileAdvanced许可证在SophosMobileAdmin中,转到设置>设置>系统设置>许可证,并在高级许可证密钥字段中输入您的许可证密钥.
25.
3管理Sophos容器应用注释此功能需要MobileAdvanced类型的许可证.
为了在托管设备上更好地分离数据,SophosMobile提供了Sophos容器应用,即SophosSecureEmail和SophosSecureWorkspace:SophosSecureEmail是一款针对Android和iOS设备的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
SophosSecureWorkspace是一款适用于Android和iOS设备的应用,允许用户访问存储在云上的加密文件.
可使用无缝方式加密和查看文件.
加密的文件可使用其他应用移交,并上传到一个支持的云存储提供程序.
也可以在应用内本地存储文档.
使用SophosSecureWorkspace,您可以阅读通过SafeGuardCloudStorage或SafeGuardDataExchange加密的文件.
两者都是SafeGuardEnterprise模块或其不同版本中的一个.
它们允许您使用本地密钥加密文件.
这些本地密钥由用户输入的密码派生而来.
只有在您知道用于加密文件的密码时,才能加密文件.
Sophos容器提供:集中定义的密码规则适用于所有容器应用的密码规则适用于所有容器应用的单一登录SophosSecureWorkspace文档设置SophosSecureWorkspace浏览器设置SophosSecureEmail设置如下所述,可以使用SophosMobile管理Sophos应用:可以在SophosMobile中,对所有托管的设备上的Sophos容器应用的设置进行远程和集中配置.
请参阅Android的Sophos容器策略的配置(第111页)和iOS的Sophos容器策略的配置(第147页).
使用合规性策略,您可以确保Sophos容器应用已安装在设备上.
您可以使用公司文档存储提供程序启用文档的安全分配.
请参阅企业文档(第227页).
可以在SophosSecureWorkspace应用和SophosSafeGuardEnterprise之间启用公司Keyring同步.
这样,来自用户的SafeGuardKeyring的密钥就可以在SophosSecureWorkspaceKeyring中可用.
请参阅启用企业Keyring同步(第261页).
注释为管理Sophos容器应用,必须使用SophosMobile分发应用.
如果用户已在其设备上安装有未受管理的SophosSecureWorkspace版本,他们首先必须卸载此版本,然后安装托管版本.
有关SophosSecureWorkspace的详细信息,请参阅SophosSecureWorkspace帮助.
版权所有2018SophosLimited259SophosMobileonPremise25.
4重置Sophos容器密码注释此功能需要MobileAdvanced类型的许可证.
注释本节内容适用于分配有Sophos容器策略的设备.
可以重置Sophos容器密码.
这很有用,例如,用户忘记了他们的密码时.
如果重置了Sophos容器的密码,将要求用户定义新的容器密码.
1.
在侧边的菜单栏中,单击管理下的设备.
将显示设备页面.
2.
单击要重置其Sophos容器密码的设备.
将显示显示设备页面.
3.
单击操作.
将显示操作菜单.
4.
单击重置Sophos容器密码.
5.
在对话框中,单击是确认操作.
将重置Sophos容器密码.
用户必须输入新的Sophos容器密码.
25.
5锁定和解锁Sophos容器注释此功能需要MobileAdvanced类型的许可证.
注释本节内容适用于分配有Sophos容器策略的设备.
您可以锁定或解锁Sophos容器,即为Sophos容器应用和Sophos容器中的数据设置访问权限1.
在侧边的菜单栏中,单击管理下的设备.
2.
在设备页面上,单击要对其锁定或解锁Sophos容器的设备旁边的蓝色三角形,然后单击显示.
3.
在显示设备页面上,单击操作>设置Sophos容器访问权限.
4.
在设置访问权限的对话框中,选择以下任意一项:拒绝:Sophos容器将锁定.
用户将不能再使用它.
允许:Sophos容器将解锁.
自动模式:如果设备违反了合规性规则,且规则中激活了锁定容器,将锁定Sophos容器.
如果您没有设置访问权限,这将是默认行为.
5.
单击是.
将触发设备与SophosMobile服务器同步.
同步后,该设置将应用到设备.
260版权所有2018SophosLimitedSophosMobileonPremise25.
6企业Keyring同步企业Keyring同步将在SophosSecureWorkspace应用中添加以下功能:来自用户的SafeGuardEnterpriseKeyring的密钥在SophosSecureWorkspaceKeyring(SSWKeyring)中可用.
然后,该应用的用户即可使用这些密钥来解密和查看文档或解密文档.
启用Keyring同步后,用户可以继续使用在其SSWKeyring中曾经可用的本地密钥.
用户不能创建新的本地密钥.
由于安全原因,管理Sophos容器时,来自SafeGuardKeyring的密钥将从设备删除.
25.
6.
1启用企业Keyring同步前提条件:使用SophosSafeGuardEnterprise8.
0.
已经使用在SafeGuardEnterprise中配置的相同ActiveDirectory用户数据库,为自助服务门户配置了外部用户管理.
SophosSecureWorkspace受SophosMobile管理.
这将需要MobileAdvanced许可证.
SophosMobileSecurity必须能够通过HTTPS与您的SafeGuardEnterprise服务器进行通信.
要启用企业Keyring同步,可以按下述方法设置SophosMobile和SophosSafeGuardEnterprise之间的连接:1.
在侧边的菜单栏中,单击设置下的设置>系统设置,然后单击SGN选项卡.
2.
单击证书链接,下载SophosMobile服务器的证书.
3.
打开SafeGuardManagementCenter,并转到Tools>ConfigurationPackageTool.
4.
在Servers选项卡上,单击Add,浏览并找到证书文件,然后单击OK.
请勿更改Servername字段的值.
5.
可选:选择Recoveryviamobile,以启用通过SophosSecureWorkspace应用同步BitLocker和FileVault恢复密钥.
6.
在Managedclientpackages选项卡上,配置以下设置:在ConfigurationPackageName字段中,选择ManagedClient(Default).
在PrimaryServer字段中,选择您的SGN服务器.
在TransportEncryption字段中,选择SSL.
7.
单击CreateConfigurationPackage.
8.
在SophosMobileAdmin控制台的SGN选项卡上,单击上传文件,将您在SafeGuardManagementCenter中创建的配置包上传到SophosMobile.
9.
单击保存,保存SafeGuard集成设置.
版权所有2018SophosLimited261SophosMobileonPremise26将数据从SophosMobile传递到SophosMobileinCentral您可以从SophosMobileonPremise或SophosMobile即服务导出数据,然后导入SophosMobileinCentral.
可以传递以下内容:配置文件策略应用组要导出您的数据,请在SophosMobileonPremise或SophosMobile即服务中执行以下步骤:1.
在侧边的菜单栏中,单击设置下的安装>导出.
2.
在导出预览下,将列出要导出的内容.
3.
单击导出,然后输入用于将数据传递到SophosMobileinCentral的交换文件密码.
4.
单击下载.
交换文件将下载到您的计算机.
要将您的数据导入SophosMobileinCentral,请在SophosCentralAdmin中执行以下步骤:5.
在侧边的菜单栏中,单击我的产品下的移动设备.
6.
在移动设备视图的侧边菜单栏中,单击设置下的安装>导入.
7.
单击上传交换文件,然后选择交换文件.
输入您导出文件时设置的密码.
8.
单击上传上传交换文件.
9.
在导入预览下,将列出要导入的内容.
查看是否出现任何警告.
重要提示如果有与要导入的内容相同名称的内容,它们将被替换.
10.
单击导入将数据导入您的SophosMobileinCentral帐户.
262版权所有2018SophosLimitedSophosMobileonPremise27术语表客户管理设备的租户.
设备要托管的设备(如智能手机、平板电脑或Windows10设备).
注册使用SophosMobile进行设备注册.
企业应用商店托管在SophosMobile服务器上的应用存储库.
管理员可以使用SophosMobileAdmin,将应用程序添加到EnterpriseAppStore.
然后,用户可以使用SophosMobileControl应用,将这些应用安装在他们的设备上.
设置在设备上安装SophosMobileControl应用的过程.
自助服务门户Web界面,允许用户注册自己的设备并执行其他任务,无需联系支持人员.
MobileAdvanced许可证使用MobileAdvanced类型的许可证,您可以通过SophosMobile管理SophosMobileSecurity、SophosSecureWorkspace和SophosSecureEmail应用.
SMSecSophosMobileSecurity的缩写.
SophosMobile客户端安装在SophosMobile托管的设备上的SophosMobileControl应用.
SophosMobile控制台您用于管理设备的Web界面.
SophosMobileSecurity适用于Android设备的安全应用.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureEmail一款针对Android和iOS设备的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureWorkspace一款针对AppleiOS和Android设备的应用,它提供的安全工作区可用于浏览、管理、编辑、共享、加密和解密来自不同存储提供程序的文档或贵公司分发的文档.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
任务捆绑包您可以创建一个包,将多项任务捆绑在一项事务中.
可以捆绑所有必需的任务,让设备完全注册和运行.
版权所有2018SophosLimited263SophosMobileonPremise28技术支持可以通过以下任意方式获得Sophos产品的技术支持:访问community.
sophos.
com/的SophosCommunity论坛,并搜索遇到相同问题的其它用户.
访问www.
sophos.
com/zh-cn/support.
aspx的Sophos技术支持知识库.
访问www.
sophos.
com/en-us/support/documentation.
aspx下载产品的技术文档.
访问https://secure2.
sophos.
com/support/contact-support/support-query.
aspx联系我们的技术支持团队.
264版权所有2018SophosLimitedSophosMobileonPremise29法律声明Copyright2018SophosLimited.
Allrightsreserved.
本出版物的任何部分,都不得被以电子、机械、复印、记录或其它一切手段或形式,再生、存储到检索系统中或者传输.
除非您是有效的被授权用户,并且根据您的用户授权使用许可协议中的条件,您可以再生本文档;或者,除非您事先已经获得了版权所有者的书面许可.
Sophos,SophosAnti-Virus和SafeGuard都是SophosLimited,SophosGroup和UtimacoSafewareAG的注册商标.
所有其他产品和公司名称是其各自所有者的商标或注册商标.
版权所有2018SophosLimited265