Sophos Mobile 管理员帮助(产品版本号:9)说明书-USB迷|专注于互联网分享

2024年9月11日发(作者：褚怀柔)

Sophos Mobile

生物特征身份验证

设置/字段

允许指纹身份验证

允许虹膜身份验证

说明

如果设备支持，用户可以使用指纹验证方式解锁设备。

如果设备支持，用户可以使用虹膜验证方式解锁设备。

14.13.2 限制配置（Android 设备配置文件）

使用限制配置，您可以为设备定义限制。

安全

设置/字段

强制加密

强制 SD 卡加密

说明

用户必须对其设备进行加密。

将配置文件安装到设备上时，用户必须对 SD 卡进行加

密。

注释

对于某些设备类型，用户可以选择取消加密。在下

次装载 SD 卡时，将再次提醒他们。

允许快速加密

允许恢复出厂设置

允许“开发人员选项”

允许安全模式

允许 USB 调试

用户可以修改设备设置中的快速加密选项。

用户可以将其设备重置为出厂状态。

用户可以修改开发者选项。

用户可以在安全模式下启动设备。

用户可以开启 USB 调试。

注释

对于 Enterprise API 版本 9 或更高版本的 Sony

设备，清除允许 USB 调试复选框将使所有开发人员

选项不可用。

允许固件恢复

允许备份

将允许所有类型的固件更新（如无线、下载等）。

用户可以创建系统备份。

如果清除该复选框，将关闭 Google 备份，但其他备份

方法（例如 Sophos Mobile 备份）仍然可用。

Sophos Mobile

设置/字段

允许更改设置

说明

用户可以修改设备设置。

注释

对于您要在其上面配置 Knox 容器的 Samsung 设备，您必

须开启此选项。

允许剪贴板

启用共享的剪贴板

用户可以将任意内容复制到剪贴板。

允许用户在应用之间复制剪贴板内容。

如果清除该复选框，每个应用都将有各自的剪贴板。

只有在您选中允许剪贴板时，此设置才可用。

允许屏幕捕获

允许模仿 GPS 位置

用户可以截屏。

用户可以在 Android 开发人员选项中选择模拟位置信

息应用。

将允许无线固件更新。

用户可以录音。

用户可以录像。

如果清除该复选框，用户仍然可以拍摄照片和流式视

频。

允许无线固件更新

允许录音

允许录像

允许激活锁定

允许 S 光束

允许 S 语音

允许“共享方式”

用户可以修改设备设置中的激活锁定选项。

用户可以启动 Samsung S Beam 应用。

用户可以启动 Samsung S Voice 应用。

共享方式功能可以使用。

帐户

设置/字段

允许多个用户帐户

说明

如果清除该复选框，将关闭多用户支持。用户或其他应

用不能创建额外的用户帐户。

如果清除该复选框，用户将不能添加电子邮件帐户。

这不影响通过设备配置文件创建帐户。

允许删除 Google 帐户如果清除该复选框，用户将不能从设备上删除 Google

帐户。

允许添加电子邮件帐户

Sophos Mobile

设置/字段

允许 Google 账户自动同步

说明

如果清除该复选框，Google 帐户将不会自动同步。用

户仍然可以在 Gmail 等应用内执行手动同步。

网络与通信

设置/字段

允许飞行模式

允许漫游时同步

仅允许紧急呼叫

漫游时强制要求手动同步

说明

如果清除该复选框，用户将不能启用飞行模式。

如果清除该复选框，将关闭漫游时同步。

只允许紧急呼叫。所有其他通话将被阻止。

设备漫游时，将关闭自动数据同步。这将影响所有配置

的帐户，如 Google 或 Exchange。

用户不能关闭手机网络数据。

如果清除该复选框，用户将不能发送短信。

如果清除该复选框，将关闭漫游时的移动数据连接。

如果清除该复选框，将关闭漫游时的语音通话。

如果清除该复选框，用户将不能设置移动数据限制。

如果清除该复选框，用户将不能使用 VPN 连接。

如果清除该复选框，将关闭通过 Wi-Fi Direct 传输数

据。

如果清除该复选框，将关闭通过 Android Beam 传输数

据。包括 Samsung S Beam 应用。

如果清除该复选框，将关闭通过 Miracast 传输数据。

如果清除该复选框，将关闭蓝牙。

要允许单个蓝牙配置文件，请选中允许蓝牙复选框，然

后选择要允许的配置文件。

如果清除允许蓝牙复选框，设置将不起作用，即禁止所

有配置文件。

强制要求移动数据连接

允许短信

允许漫游时连接移动数据

允许漫游时语音呼叫

允许用户移动数据限制

允许 VPN

允许 Wi-Fi Direct

允许 Android Beam

允许 Miracast 策略

允许蓝牙

允许高级音频分发模式 (A2DP)

允许音频/视频远程控制模式 (AVRCP)

允许免提模式 (HFP)

允许耳机模式 (HSP)

允许电话簿访问模式 (PBAP)

允许串口模式 (SPP)

Sophos Mobile

设置/字段

允许 NFC

允许 Wi-Fi

说明

如果清除该复选框，将关闭 NFC（近场通信）。

如果清除该复选框，将关闭 Wi-Fi。

数据加密

设置/字段

允许数据共享

说明

如果清除该复选框，将关闭数据共享。包括通过 Wi-

Fi、USB 和蓝牙进行的数据共享。

注释

如果清除该复选框，允许 Wi-Fi 数据共享、允许

USB 数据共享和允许蓝牙数据共享将不起作用。

允许 Wi-Fi 数据共享如果清除该复选框，将关闭 Wi-Fi 数据共享（Wi-Fi

热点）。

如果清除该复选框，将关闭 USB 数据共享。

如果清除该复选框，将关闭蓝牙数据共享。

用户可以配置 Wi-Fi 热点的设置。

允许 USB 数据共享

允许蓝牙数据共享

允许配置 Wi-Fi 数据共享

硬件

设置/字段

允许照相机

允许在锁定屏幕期间使用照相机

说明

如果清除该复选框，相机将不可用。

如果清除该复选框，锁屏时将不能使用相机。

要允许相机在锁定屏幕上，您还必须选择允许照相机

选项。

强制要求 GPS 进行位置查询

允许 SD 卡

允许将应用移至 SD 卡

将使用 GPS 信息进行设备定位。

如果清除该复选框，SD 卡将不能在设备上使用。

如果清除该复选框，用户将不能将应用从内部存储移动

到 SD 卡。

如果清除该复选框，将不能写入未加密的 SD 卡。

如果清除该复选框，麦克风将不可用。

允许写入未加密的 SD 卡

允许麦克风

Sophos Mobile

设置/字段

允许 USB

说明

设备上的 USB 大容量存储模式和 USB 媒体设备模式

(MTP) 可用。

如果清除该复选框，媒体传输协议 (MTP) 将不可用。

因为 Android 使用 MTP 传输 USB 文件，因此将阻止通

过 USB 传输任何文件。

如果清除该复选框，设备将不会进入省电模式。

将装载用户连接的所有外部存储设备。其中包括便携式

USB 存储设备、外置硬盘和 SD 卡读卡器。

如果清除该复选框，将不装载外部存储设备。

允许 USB 媒体播放器

允许省电模式

允许 USB 主机存储

应用程序

设置/字段

允许应用安装

允许应用卸载

允许未签名应用安装

说明

如果清除该复选框，用户将不能安装应用。

如果清除该复选框，用户将不能卸载应用。

如果清除该复选框，用户将只能安装签名的 APK 文

件。

如果清除该复选框，将不能使用 Google Play Store

应用。

如果清除该复选框，用户将只能通过 Google Play

Store 应用安装应用。

如果清除该复选框，本地浏览器将不可用。第三方浏览

器应用将不受影响。

如果清除该复选框，用户将不能发送崩溃报告。

如果清除该复选框，用户将不能更换壁纸。

如果清除该复选框，将不显示来电详细信息。所有呼叫

者都将显示为 "未知号码"。

用户可以在本机 Android 浏览器的设置中启用自动填

充。启用后，网页会在用户填充表单数据时提供建议。

如果清除该复选框，将关闭自动填充，且浏览器设置将

不可用。

允许在浏览器中使用 Cookie用户可以在本机 Android 浏览器的设置中启用

Cookie。启用后，网页可以将 Cookie 存储在设备上。

如果清除该复选框，将关闭 Cookie，且浏览器设置将

不可用。

允许 Play Store

允许未知来源的应用

允许本地浏览器

允许应用崩溃报告

允许更换墙纸

显示来电信息

允许在浏览器中自动填充

Sophos Mobile

设置/字段

允许在浏览器中使用 JavaScript

说明

用户可以在本机 Android 浏览器的设置中启用

JavaScript。启用后，网页可以在设备上执行

JavaScript 代码。

如果清除该复选框，将关闭 JavaScript，且浏览器设

置将不可用。

允许在浏览器中弹出窗口用户可以在本机 Android 浏览器的设置中启用弹出窗

口。启用后，网页可以打开新的浏览器窗口。

如果清除该复选框，将关闭弹出窗口，且浏览器设置将

不可用。

允许修改日期和时间设置

允许的应用/禁止的应用

用户可以修改日期和时间设置。

您可以配置允许的应用或禁止的应用。从第一个列表中

选择所需的选项，然后从第二个列表中选择包含要允许

的或禁止的应用的应用组。

Sophos Mobile 服务器启动的应用安装不受此设置的影

响。

有关创建应用组的信息，请参阅应用组（第 265

页）。

14.13.3 Knox Premium 限制配置（Android 设备配置文件）

使用 Knox Premium 限制配置，您可以为 Samsung Knox 设备定义限制。这些限制适用于设备，不适用

于 Knox 容器。

注释

为了强制执行 Knox Premium 限制，您必须将 Samsung Knox Premium 许可证注册到 Sophos

Mobile，且设备必须支持 Knox Premium SDK 2.x。

选项

允许固件自动更新选项

说明

设备将自动检查固件更新。用户不能在设备设置

中更改此选项。

只有二进制文件和内核文件是正式的，也就是设

备没有进行 Root 的情况下，设备才会在启动时

解密数据分区。

如果清除该复选框，设备总是会在启动时解密数

据分区。

阻止另一管理应用安装将阻止安装需要设备管理员权限的应用。这不影

响 Sophos Mobile 安装的应用。

将阻止激活设备管理员权限。

启用 ODE 信任引导验证

阻止另一管理应用激活

Sophos Mobile

选项

允许常见标准模式

说明

将开启设备的常见条件模式 (CC 模式)，从而确

保设备符合移动设备基本保护配置文件 (MDFPP)

规定的安全要求。

请注意：CC 模式仅在满足以下附加要求时使

用：

•

设备加密已开启。

快速加密已关闭。

外部存储加密已开启。

设置了设备擦除前允许的登录失败尝试次数。

证书吊销已开启。

密码历史记录已关闭。

14.13.4 Exchange 帐户配置（Android 设备配置文件）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

发件人此帐户的发件人名称。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

密码此帐户的密码。

如果将此字段保留为空，用户必须在其设备上输入

密码。

Sophos Mobile

设置/字段

同步周期

说明

用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

同步间隔

SSL/TLS

电子邮件同步过程之间的时间间隔。

连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

默认账户

允许所有证书

客户端证书

允许转发邮件

允许使用 HTML 格式

最大附件大小 (MB)。

该帐户用作默认的电子邮件帐户。

允许电子邮件服务器传输过程中的所有证书。

用于连接 Exchange 服务器的客户端证书。

允许转发电子邮件。

允许在电子邮件中使用 HTML 格式。

单封电子邮件最大的大小 (1、3、5、10、无限

制)。

要同步的内容类型。同步内容类型

注释

在使用 LG GATE、Samsung Knox 或 Sony Enterprise API 的设备上，该电子邮件应用将自动配

置。在其他 Android 设备上，用户将收到配置该电子邮件应用的消息。配置详细信息可以在 Sophos

Mobile Control 应用中找到。

注释

对于采用 Enterprise API 6.x 或以下版本的 Sony 设备，Exchange 帐户信息与分配给设备的用户

相匹配非常重要。

在这些设备上，Sophos Mobile Control 客户端不能将 ActiveSync ID 发送到 Sophos Mobile 服务

器。当设备首次联系 EAS 代理时，电子邮件客户端发送的 ActiveSync ID 对于 Sophos Mobile 是

未知的。为验证帐户详细信息，EAS 代理会搜索 ActiveSync ID 未知的设备以及与电子邮件客户端

提供的用户信息相匹配的已分配用户。如果找到这样的设备，ActiveSync ID 将分配给该设备，电子

邮件请求将传递到 Exchange 服务器。否则，请求将被拒绝。

有关详细信息，请参阅 Sophos 知识库文章 121360。

Sophos Mobile

14.13.5 Wi-Fi 配置（Android 设备配置文件）

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

安全类型

说明

Wi-Fi 网络的 ID：

Wi-Fi 连接的安全类型：

•

阶段 2 授权

无

WEP

WPA/WPA2 PSK

EAP/PEAP

EAP/TLS

EAP/TTLS

EAP 协商的阶段 2 身份验证方法。

•

无

PAP

CHAP

MSCHAP

MSCHAPv2

此字段可用于 EAP/PEAP 和 EAP/TTLS 连接。

身份用户标识。

此字段可用于 EAP 连接。

匿名身份在 EAP 协商的阶段 1 采用非加密方式发送的假

名标识。

此字段可用于 EAP 连接。

密码

身份证明书

Wi-Fi 网络的密码。

用于连接 Wi-Fi 网络的身份证书。

列表包括当前策略的客户端证书配置中的所有证

书。

此字段可用于 EAP 连接。

可信任证书EAP 服务器的证书根 CA。

列表包括当前策略的根证书配置中的所有证书。

此字段可用于 EAP 连接。

代理服务器和端口Wi-Fi 连接代理服务器的名称或 IP 地址和端口

号。

Sophos Mobile

14.13.6 应用保护配置（Android 设备配置文件）

使用应用保护配置，您可以为保护应用定义密码要求。

使用应用保护时，用户必须在首次启动受保护的应用时创建一个密码。登录尝试失败后，将出现登录

延迟。

如果在设备上激活了应用保护，则可以使用显示设备页面中操作菜单中的重置应用保护密码命令。用

户还可在自助服务门户中重置应用保护密码。

设置/字段

密码复杂性

宽限期的分钟数

说明

用户定义的密码最低复杂性要求。

宽限期到期后，只有输入密码才能解锁受保护的

应用。

选择包含受到密码保护的应用的应用组。

有关创建应用组的信息，请参阅应用组（第

265 页）。

允许指纹身份验证用户可以使用指纹来解锁受保护的应用。

应用组

14.13.7 应用控制配置（Android 设备配置文件）

使用应用控制配置，您可以定义不允许用户启动的应用。例如，可以使用此功能阻止设备制造商预安装

并且无法卸载的应用程序。

设置/字段

应用组

说明

选择包含被阻止应用的应用组。

有关创建应用组的信息，请参阅应用组（第

265 页）。

Sophos Mobile

14.13.8 应用权限配置（Android）

使用应用权限配置，您可以配置应用在运行期间请求权限时会发生什么。

设置/字段

特定于 App 的运行时权限

说明

您可以对单个应用授予或拒绝某些运行时权限。单击添

加，然后配置应用的设置：

在应用 ID字段中，输入应用的内部标识符。

对每个运行时权限，选择所需的授权状态：

•

可选择: 用户可以授予或拒绝权限。

授权: 授予权限且用户不能拒绝。

拒绝: 拒绝权限且用户不能授权。

14.13.9 展台模式配置（Android 设备配置文件）

使用展台模式配置，您可以为设备定义限制，使其进入展台模式。

单击选择源，然后执行以下操作之一，指定配置文件传输到设备时将启动的应用：

•

选择自定义并输入应用标识符。

选择应用列表，然后从应用标识符列表中选择一个应用。该列表包含您在应用页面上配置的所有应

用。请参阅添加应用（第 247 页）。

选择没有应用可以配置展台模式，但不指定应用。展台模式限制将应用于设备，但不会启动任何应

用。

在选项下，不选择要在展台模式下禁用的硬件和软件功能。

当配置文件传输到设备时，指定的应用将启动。但是，如果您未关闭任何可用的硬件或软件功能，

用户将可以离开应用并正常使用该设备。要将设备设置为真正的展台模式，至少必须清除允许主页按

钮和允许任务管理器复选框。

注释

•必须将指定的应用安装到设备上。如果未安装，传输任务将保持未完成状态，直到该应用安

装完成。要安装该应用，请创建一个包含（例如）安装应用任务的任务绑定包，并将其传输到

您的设备。

•对于 Enterprise API 版本 9 或更高版本的 Sony 设备，如果您清除允许调高音量、允许

调低音量或允许静音复选框中的任意一项，设备的所有音量按钮都将禁用。

Sophos Mobile

14.13.10 接入点名称配置（Android 设备配置文件）

使用接入点名称配置，可以为移动设备指定接入点名称 (APN) 配置。APN 配置定义设备如何连接到移动

网络。

重要提示

我们建议您向运营商了解所需的设置。如果选择用作默认 APN 且设置不正确，设备将不能通过手机

网络访问数据。

注释

除 APN 字段外，所有设置均为可选，并且仅在移动网络运营商要求时才指定。

设置/字段

APN

说明

设备开启与运营商的连接时引用的 APN。

它必须与运营商接受的 APN 一致。否则，将无

法建立连接。

用户友好名称

代理服务器和端口

用户名、用户密码

服务器

MMSC

MMS 代理服务器和端口

除 APN 外，显示在设备上的可选名称。

用于 Web 通信的 HTTP 服务器的地址和端口。

用于连接到 APN 的用户名和密码。

WAP 网关服务器。

多媒体消息服务中心 (MMSC)。

用于与 MMSC 进行通信的 HTTP 服务器的地址和

端口。

用于指定运营商的 MCC 和 MNC。

APN 仅用于该运营商。

PPP 连接的身份验证方法。

使用此 APN 的数据连接的类型。

要将该 APN 用于所有数据类型，请输入 * 或将

该字段保留为空。

持有者

协议

漫游协议

运营商使用的无线接入技术 (RAT)。

运营商支持的网络协议。

运营商在漫游模式下支持的网络协议。

移动设备国家代码 (MCC)、移动设备网络代码

(MNC)

身份验证类型

APN 类型

Sophos Mobile

设置/字段

用作默认 APN

说明

如果选中，设备将使用此 APN 作为默认值。

如果尝试在多个接入点名称配置中选择此选项，

将会引发错误。

14.13.11 VPN 配置（Android 设备配置文件）

使用 VPN 配置，您可以为网络连接定义 VPN 设置。

设置/字段

连接名称

服务器

连接类型

说明

设备上显示的连接名称。

服务器的主机名或 IP 地址。

VPN 连接的类型：

•L2TP/IPsec (PSK)

如果选择此类型，将显示用户、密码和 L2TP/IPsec (PSK) 字段。输入

用户名及密码。在 L2TP/IPsec (PSK) 字段中，输入身份验证的预共享密

钥。

•L2TP/IPsec (证书)

如果选择此类型，将显示客户端证书、根证书、用户名及密码字段。在客

户端证书及根证书字段中，选择相应的证书。此外，输入用户名及相应

的密码。

•Cisco AnyConnect

如果选择此类型，您可以上传 XML 文件及 AnyConnect VPN 配置文件和/

或 NVM (网络可见性模块) 配置文件。请参阅 Cisco AnyConnect 管理员

指南，了解有关这些配置文件的信息。

14.13.12 根证书配置（Android 设备配置文件）

使用根证书配置，您可以在设备上安装根证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书，则必须再次

上传。

14.13.13 客户端证书配置（Android 设备配置文件）

使用客户端证书配置，您可以在设备上安装客户端证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

Sophos Mobile

注释

在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书，则必须再次

上传。

14.13.14 SCEP 配置（Android 设备配置文件）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

主题将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(serial_number)_% 指定

Android 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

Sophos Mobile

设置/字段

质询

说明

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

根证书CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

如果您选中此复选框，公钥将可以用于数据加

密。

用于加密

14.14 Android 企业工作配置文件策略的配置

使用 Android 企业工作配置文件策略，可以配置与设备的工作配置文件相关的设置。策略可以应用到配

置文件所有者模式下的 Android 企业设备。

有关如何创建 Android 企业工作配置文件策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.14.1 “密码策略 - 设备”配置（Android 企业工作配置文件

策略）

使用密码策略 - 设备配置，您可以为显示锁定密码定义要求。

密码类型

在密码类型列表中，选择允许用户配置的密码类型：

设置/字段

图案、PIN 或密码

说明

用户必须设置屏幕锁定方式。他们可以选择图

案、PIN 或密码类型的屏幕锁定方式。没有额外

的限制。

用户必须设置密码类型的屏幕锁定方式。允许

数字，但密码必须包含至少一个字母。您可以定

义最小长度。请参阅下表。

简单密码

Sophos Mobile

设置/字段

PIN 或密码

说明

用户必须设置 PIN 或密码类型的屏幕锁定方

式。您可以定义最小长度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度，以及数字、小写和大写字母及特殊字符的最

小数目。请参阅下面的两个表格。

字母数字密码

复杂密码

如果您选择了简单密码、PIN 或密码、字母数字密码或复杂密码，则会显示以下字段：

设置/字段

密码长度最小值

密码提示前最长空闲时间

说明

密码必须包含的最少字符数目。

如果设备未使用，则该设备被锁定后的时间。设

备可通过输入密码解锁。

注释

该设备可能会施加比您在此配置的时间更短

的时间段。

最长密码期效（天）要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

经过这么多次错误登录尝试之后，将擦除设备。

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

如果您选择了复杂密码，将显示以下附加字段：

设置/字段

字母最小数目

小写字母的最小数目

大写字母的最小数目

非字母数字字符的最小数目

说明

密码必须包含的最少字母数目。

密码必须包含的最少小写字母数目。

密码必须包含的最少大写字母数目。

密码必须包含的非字母数字字符（如 & 或 !）

的最小数目。

密码必须包含的最少数字字符数目。

最大的登录尝试次数

密码历史记录

最小位数

Sophos Mobile

设置/字段

特殊字符的最小数目

说明

密码必须包含的特殊字符（如 !"§$%&/

()=,.-;:_@<>）的最小数目。

14.14.2 “密码策略 - 工作配置文件”配置（Android 企业工作

配置文件策略）

使用密码策略 - 工作配置文件配置，您可以为工作配置文件密码定义要求。工作配置文件锁定时，用户

必须输入该密码才能打开应用。

注释

支持的设置取决于操作系统的版本或其他设备功能。它在 Sophos Mobile Admin 中通过蓝色标签表

示。

密码类型

在密码类型列表中，选择允许用户配置的密码类型：

设置/字段

图案、PIN 或密码

说明

用户必须设置屏幕锁定方式。他们可以选择图

案、PIN 或密码类型的屏幕锁定方式。没有额外

的限制。

用户必须设置密码类型的屏幕锁定方式。允许

数字，但密码必须包含至少一个字母。您可以定

义最小长度。请参阅下表。

用户必须设置 PIN 或密码类型的屏幕锁定方

式。您可以定义最小长度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度，以及数字、小写和大写字母及特殊字符的最

小数目。请参阅下面的两个表格。

允许用户使用较弱的生物识别方法（如面部识

别）来解锁工作配置文件。

注释

较弱的生物识别方法提供与 3 位数 PIN 码

相似的安全性。这意味着在 1000 次尝试中

可能会发生 1 次中未经授权的解锁。

简单密码

PIN 或密码

字母数字密码

复杂密码

弱的生物识别

Sophos Mobile

如果您选择了简单密码、PIN 或密码、字母数字密码或复杂密码，则会显示以下字段：

设置/字段

密码长度最小值

密码提示前最长空闲时间

说明

密码必须包含的最少字符数目。

如果设备未使用，则该工作配置文件被锁定后的

时间。配置文件可通过输入密码解锁。

注释

该设备可能会施加比您在此配置的时间更短的时间

段。

最长密码期效（天）要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

经过这么多次错误登录尝试之后，将删除工作配

置文件。

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

最大的登录尝试次数

密码历史记录

如果您选择了复杂密码，将显示以下附加字段：

设置/字段

字母最小数目

小写字母的最小数目

大写字母的最小数目

非字母数字字符的最小数目

说明

密码必须包含的最少字母数目。

密码必须包含的最少小写字母数目。

密码必须包含的最少大写字母数目。

密码必须包含的非字母数字字符（如 & 或 !）

的最小数目。

密码必须包含的最少数字字符数目。

密码必须包含的特殊字符（如 !"§$%&/

()=,.-;:_@<>）的最小数目。

最小位数

特殊字符的最小数目

Sophos Mobile

14.14.3 限制配置（Android 企业工作配置文件策略）

使用限制配置，您可以为 Android 工作配置文件配置限制和相关设置。

安全

设置/字段

允许屏幕捕获

允许用户配置凭据

允许在个人应用中使用工作剪贴板

说明

用户可以截取工作配置文件中安装的应用的屏幕内容。

用户可以在工作配置文件中安装或删除证书。

用户可以从工作配置文件中的应用复制文本，并粘贴到

个人应用中。

始终可以将剪贴板文本从个人应用粘贴到工作配置文件

中的应用。

允许智能锁定用户可以开启在特定情况下自动解锁设备的 Android

智能解锁功能。

注释

此设置会影响设备锁定。如果还配置了工作配置文件锁

定，它将被忽略。

允许共享位置工作配置文件中的应用可以访问设备的定位功能。

如果不选中该复选框，即便用户已经开启位置共享，工

作配置文件中的应用也不能访问设备的定位功能。

允许在个人应用中打开 Web 链接用户在工作配置文件中的应用中点击的 Web 链接可以

通过个人浏览器应用打开。

用户可以开启 Android 开发人员选项中的调试功能。

用户可以使用指纹传感器解锁设备。

工作联系人来电时，个人电话应用显示来电人姓名。

工作联系人个人来电时，连接的蓝牙设备显示来电人姓

名。

搜索来电人姓名时，个人电话应用包括来自工作联系人

的结果。

允许调试

允许通过指纹解锁设备

允许工作联系信息用于个人呼叫

允许工作联系信息用于蓝牙设备

允许搜索个人配置文件中的工作联系人

Sophos Mobile

帐户

设置/字段

允许管理帐户

说明

用户可以添加或删除工作配置文件中的帐户，但不能添

加或删除 Google 帐户。

网络与通信

设置/字段

允许 VPN

允许 Android Beam

说明

用户可以将 VPN 连接用于工作配置文件中的应用。

用户可以通过 Android Beam (通过 NFC 传输数据) 从

工作配置文件中的应用发送数据。

硬件

设置/字段

允许照相机

说明

工作配置文件中的应用可以访问相机。

应用程序

设置/字段

允许应用卸载

允许安装未知来源的应用

说明

用户可以从工作配置文件中卸载应用。

如果不选中该复选框，用户将只能通过 Google Play

安装工作配置文件中的应用，不能从未知来源或通过

Android 调试桥 (ADB) 安装。

如果不选中该复选框，用户将不能对工作配置文件中的

应用执行以下任务：

•

卸载应用

禁用应用

停止应用

清除应用缓存

清除应用数据

清除默认情况下打开设置

允许管理应用

Sophos Mobile

设置/字段

允许禁用 Google 安全扫描

说明

用户可以关闭 Google 安全设置扫描设备是否存在安全

威胁。

该设置可用于设置应用中，在 Google > 安全 >

Google Play Protect下。

短消息特定于公司的支持消息，当功能关闭时向用户显示。

注释

如果您的输入超过了 200 个字符，消息可能会被

截断。

长消息用于补充短消息的附加文本。当用户在显示短消息的屏

幕中点击更多详细信息时，显示该文本。

注释

此文本还会显示在 Sophos Mobile Control 应用

的 Android 设备管理员屏幕上。

14.14.4 Exchange 帐户配置（Android 企业工作配置文件策略）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。这些设

置被应用至工作配置文件中的 Gmail 应用程序。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

注释

密码由用户输入。

Sophos Mobile

设置/字段

电子邮件地址

说明

帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

发件人此帐户的发件人名称。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

同步周期用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

SSL/TLS连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

允许所有证书

客户端证书

允许电子邮件服务器传输过程中的所有证书。

用于连接 Exchange 服务器的客户端证书。

14.14.5 Wi-Fi 配置 (Android 企业工作配置文件策略)

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

安全类型

说明

Wi-Fi 网络的 ID：

Wi-Fi 连接的安全类型：

•

阶段 2 授权

无

WEP

WPA/WPA2 PSK

EAP/PEAP

EAP/TLS

EAP/TTLS

EAP 协商的阶段 2 身份验证方法。

•

无

PAP

CHAP

MSCHAP

MSCHAPv2

此字段可用于 EAP/PEAP 和 EAP/TTLS 连接。

Sophos Mobile

设置/字段

身份

说明

用户标识。

此字段可用于 EAP 连接。

匿名身份在 EAP 协商的阶段 1 采用非加密方式发送的假

名标识。

此字段可用于 EAP 连接。

密码

身份证明书

Wi-Fi 网络的密码。

用于连接 Wi-Fi 网络的身份证书。

列表包括当前策略的客户端证书配置中的所有证

书。

此字段可用于 EAP 连接。

可信任证书EAP 服务器的证书根 CA。

列表包括当前策略的根证书配置中的所有证书。

此字段可用于 EAP 连接。

14.14.6 应用保护配置（Android 企业工作配置文件策略）

通过应用保护配置，可以为保护托管的 Google Play 应用 (即工作配置文件中安装的应用) 定义密码要

求。

使用应用保护时，用户必须在首次启动受保护的应用时创建一个密码。登录尝试失败后，将出现登录

延迟。

如果在设备上激活了应用保护，则可以使用显示设备页面中操作菜单中的重置应用保护密码命令。用

户还可在自助服务门户中重置应用保护密码。

设置/字段

密码复杂性

宽限期的分钟数

说明

用户定义的密码最低复杂性要求。

宽限期到期后，只有输入密码才能解锁受保护的

应用。

选择包含受到密码保护的应用的应用组。

有关创建应用组的信息，请参阅应用组（第

265 页）。

允许指纹身份验证用户可以使用指纹来解锁受保护的应用。

应用组

Sophos Mobile

14.14.7 应用控制配置（Android 企业工作配置文件策略）

通过应用程序控制配置，您可以定义不允许用户启动的应用。

设置/字段

应用组

说明

选择包含被阻止应用的应用组。

有关创建应用组的信息，请参阅应用组（第

265 页）。

14.14.8 应用权限配置（Android 企业工作配置文件策略）

通过应用权限配置，您可以配置托管的 Google Play 应用在运行期间请求权限时会发生什么。

设置/字段

对运行时权限请求的默认响应

说明

对未来运行时权限请求的默认响应：

•

提示：应用提示用户授予权限。

自动接受：所有运行时权限请求都会自动授予。

自动拒绝：所有运行时权限请求都会自动拒绝。

用户以后不能更改权限。

特定于 App 的运行时权限您可以对单个应用授予或拒绝某些运行时权限。单击添

加，然后配置应用的设置：

在应用标识符字段中，输入应用的内部标识符。

对每个运行时权限，选择所需的授权状态：

•

可选择：用户可以授予或拒绝权限。

授权：授予权限且用户不能拒绝。

拒绝：拒绝权限且用户不能授权。

14.14.9 VPN 配置 (Android 企业工作配置文件策略)

通过 VPN 配置，您可以为 Android 企业设备选择 VPN 客户端。

设置/字段

VPN 客户端

说明

VPN 应用的标识符。

VPN 客户端必须是已安装在设备上的托管的 Google Play 应用。

在应用的托管配置中配置 VPN 连接。有关详细信息，请参阅应用

文档。

Sophos Mobile

14.14.10 根证书配置（Android 企业工作配置文件策略）

使用根证书配置，您可以在设备上安装根证书。该证书可用于托管的 Google Play 应用，即安装在工作

配置文件中的应用。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.14.11 客户端证书配置（Android 企业工作配置文件策略）

使用客户端证书配置，您可以在设备上安装客户端证书。该证书可用于托管的 Google Play 应用，即安

装在工作配置文件中的应用。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.14.12 SCEP 配置（Android 企业工作配置文件策略）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。在工作配置

文件中安装的应用将可以使用这些证书。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

Sophos Mobile

设置/字段

主题

说明

将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(serial_number)_% 指定

Android 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

根证书CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

如果您选中此复选框，公钥将可以用于数据加

密。

用于加密

14.15 Android 企业设备策略的配置

使用 Android 企业设备策略，您可以配置 Android 设备的各个方面，如密码策略、限制或 Wi-Fi 设

置。策略可以应用到设备所有者模式下的 Android 企业设备。

有关如何创建 Android 企业设备策略的信息，请参阅创建配置文件或策略（第 87 页）。

Sophos Mobile

14.15.1 “密码策略”配置（Android 企业设备策略）

使用密码策略配置，您可以为显示锁定密码定义要求。

密码类型

在密码类型列表中，选择允许用户配置的密码类型：

设置/字段

图案、PIN 或密码

说明

用户必须设置屏幕锁定方式。他们可以选择图

案、PIN 或密码类型的屏幕锁定方式。没有额外

的限制。

用户必须设置密码类型的屏幕锁定方式。允许

数字，但密码必须包含至少一个字母。您可以定

义最小长度。请参阅下表。

用户必须设置 PIN 或密码类型的屏幕锁定方

式。您可以定义最小长度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度，以及数字、小写和大写字母及特殊字符的最

小数目。请参阅下面的两个表格。

简单密码

PIN 或密码

字母数字密码

复杂密码

如果您选择了简单密码、PIN 或密码、字母数字密码或复杂密码，则会显示以下字段：

设置/字段

密码长度最小值

密码提示前最长空闲时间

说明

密码必须包含的最少字符数目。

如果设备未使用，则该设备被锁定后的时间。设

备可通过输入密码解锁。

注释

该设备可能会施加比您在此配置的时间更短

的时间段。

最长密码期效（天）要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

经过这么多次错误登录尝试之后，将擦除设备。最大的登录尝试次数

Sophos Mobile

设置/字段

密码历史记录

说明

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

如果您选择了复杂密码，将显示以下附加字段：

设置/字段

字母最小数目

小写字母的最小数目

大写字母的最小数目

非字母数字字符的最小数目

说明

密码必须包含的最少字母数目。

密码必须包含的最少小写字母数目。

密码必须包含的最少大写字母数目。

密码必须包含的非字母数字字符（如 & 或 !）

的最小数目。

密码必须包含的最少数字字符数目。

密码必须包含的特殊字符（如 !"§$%&/

()=,.-;:_@<>）的最小数目。

最小位数

特殊字符的最小数目

14.15.2 限制配置（Android 企业设备策略）

使用限制配置，您可以为设备定义限制。

安全

设置/字段

强制加密

允许恢复出厂设置

允许安全模式

允许调试

允许屏幕捕获

允许用户配置凭据

说明

用户必须对其设备进行加密。

用户可以将设备重置为出厂设置。

用户可以在安全模式下启动设备。

用户可以开启 Android 开发人员选项中的调试功能。

用户可以截屏。

用户可以安装或删除证书。

Sophos Mobile

设置/字段

允许智能锁定

说明

用户可以开启在特定情况下自动解锁设备的 Android

智能解锁功能。

注释

此设置会影响设备锁定。如果还配置了工作配置文件锁

定，它将被忽略。

允许共享位置

允许通过指纹解锁设备

允许修改用户头像

在锁屏界面隐藏敏感信息

系统更新策略

用户可以开启位置共享。

用户可以使用指纹传感器解锁设备。

用户可以修改其用户帐户使用的照片。

如果开启锁屏界面上的通知，将隐藏敏感的通知内容。

选择安装系统更新的时间：

•

无策略: 用户决定何时安装系统更新。

自动安装: 只要有系统更新可用，即自动安装。

在维护时段内安装: 系统更新在日常维护时段内自动安装。

输入一天的开始和结束时间。

推迟: 阻止系统更新 (安全更新除外) 30 天。

帐户

设置/字段

允许管理帐户

说明

用户可以在设备中添加或删除帐户，但不能添加或删除 Google

帐户。

网络与通信

设置/字段

允许短信

允许漫游时连接移动数据

允许 VPN

允许 Android Beam

说明

如果清除该复选框，用户将不能发送短信。

如果清除该复选框，将关闭漫游时的移动数据连接。

如果清除该复选框，用户将不能使用 VPN 连接。

用户可以通过 Android Beam (通过 NFC 传输数据) 从

应用发送数据。

如果清除该复选框，将关闭蓝牙。

用户可以拨打电话。

允许蓝牙

允许拨出

Sophos Mobile

设置/字段

允许网络重置

启用 Wi-Fi 设置

允许配置手机网络广播

说明

用户可以将网络设置重置为默认设置。

用户可以修改 Wi-Fi 设置。

用户可以在其消息应用中开启或关闭手机网络广播

(CB) 消息。

用户可以修改手机网络设置。

用户可以修改数据共享和便携式热点设置。

启用手机网络设置

启用数据共享设置

硬件

设置/字段

允许照相机

允许麦克风

允许外部媒体

启用 USB 存储

说明

如果清除该复选框，相机将不可用。

如果清除该复选框，麦克风将不可用。

用户可以将 USB 存储等外部媒体连接到设备。

用户可以将 USB 大容量存储模式 (USB MSC) 的设备连

接到主计算机，即作为外部硬盘驱动器。

如果不选中该复选框，用户仍然可以连接媒体传输模式

(USB MTP) 或图片传输模式 (USB PTP) 的设备以传输文

件。

允许通过 USB 传输文件。用户可以在设备和外部 USB 存储之间传输文件。

应用程序

设置/字段

允许应用卸载

允许安装未知来源的应用

说明

用户可以卸载应用。

如果清除该复选框，用户将只能通过 Google Play 安

装应用，不能从未知来源或通过 Android 调试桥 (ADB)

安装。

如果清除该复选框，将只启用以下应用：Google Play

Store、Contacts、Messages、Phone。对于以 Android

企业设备所有者模式注册的设备，Google 建议开启此选

项。

如果您选中此复选框，将启用制造商预安装的所有应

用。

允许更换墙纸如果清除该复选框，用户将不能更换壁纸。

启用系统应用

Sophos Mobile

设置/字段

允许管理应用

说明

如果清除该复选框，用户将不能对应用执行以下任务：

•

卸载应用

禁用应用

停止应用

清除应用缓存

清除应用数据

清除默认情况下打开设置

允许禁用 Google 安全扫描用户可以关闭 Google 安全设置扫描设备是否存在安全

威胁。

该设置可用于设置应用中，在 Google > 安全 >

Google Play Protect下。

允许设置日期和时间用户可以设置日期和时间。

如果清除该复选框，将使用网络日期和时间。

短消息特定于公司的支持消息，当功能关闭时向用户显示。

注释

如果您的输入超过了 200 个字符，消息可能会被

截断。

长消息用于补充短消息的附加文本。当用户在显示短消息的屏

幕中点击更多详细信息时，显示该文本。

注释

此文本还会显示在 Sophos Mobile Control 应用

的 Android 设备管理员屏幕上。

允许的辅助功能服务限制可以提供辅助功能服务的应用的列表：

•

如果您选择所有可用的应用，用户将可以使用所有辅助功

能服务。

如果您选择仅系统应用，用户将只能使用系统应用提供的

辅助功能服务。

如果您选择应用组，用户将只能使用该组的应用和系统应用

提供的辅助功能服务。

Sophos Mobile

14.15.3 Exchange 帐户配置（Android 企业设备策略）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

注释

密码由用户输入。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

发件人此帐户的发件人名称。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

同步周期用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

SSL/TLS连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

允许所有证书

客户端证书

允许电子邮件服务器传输过程中的所有证书。

用于连接 Exchange 服务器的客户端证书。

Sophos Mobile

14.15.4 Wi-Fi 配置（Android 企业设备策略）

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

安全类型

说明

Wi-Fi 网络的 ID：

Wi-Fi 连接的安全类型：

•

阶段 2 授权

无

WEP

WPA/WPA2 PSK

EAP/PEAP

EAP/TLS

EAP/TTLS

EAP 协商的阶段 2 身份验证方法。

•

无

PAP

CHAP

MSCHAP

MSCHAPv2

此字段可用于 EAP/PEAP 和 EAP/TTLS 连接。

身份用户标识。

此字段可用于 EAP 连接。

匿名身份在 EAP 协商的阶段 1 采用非加密方式发送的假

名标识。

此字段可用于 EAP 连接。

密码

身份证明书

Wi-Fi 网络的密码。

用于连接 Wi-Fi 网络的身份证书。

列表包括当前策略的客户端证书配置中的所有证

书。

此字段可用于 EAP 连接。

可信任证书EAP 服务器的证书根 CA。

列表包括当前策略的根证书配置中的所有证书。

此字段可用于 EAP 连接。

Sophos Mobile

14.15.5 应用保护配置（Android 企业设备策略）

通过应用保护配置，可以为保护托管的 Google Play 应用定义密码要求。

使用应用保护时，用户必须在首次启动受保护的应用时创建一个密码。登录尝试失败后，将出现登录

延迟。

如果在设备上激活了应用保护，则可以使用显示设备页面中操作菜单中的重置应用保护密码命令。用

户还可在自助服务门户中重置应用保护密码。

设置/字段

密码复杂性

宽限期的分钟数

说明

用户定义的密码最低复杂性要求。

宽限期到期后，只有输入密码才能解锁受保护的

应用。

选择包含受到密码保护的应用的应用组。

有关创建应用组的信息，请参阅应用组（第

265 页）。

允许指纹身份验证用户可以使用指纹来解锁受保护的应用。

应用组

14.15.6 应用控制配置（Android 企业设备策略）

使用应用控制配置，您可以定义不允许用户启动的应用。例如，可以使用此功能阻止设备制造商预安装

并且无法卸载的应用程序。

设置/字段

应用组

说明

选择包含被阻止应用的应用组。

有关创建应用组的信息，请参阅应用组（第

265 页）。

14.15.7 应用权限配置（Android 企业设备策略）

使用应用权限配置，您可以配置应用在运行期间请求权限时会发生什么。

设置/字段

对运行时权限请求的默认响应

说明

对未来运行时权限请求的默认响应：

•

提示：应用提示用户授予权限。

自动接受：所有运行时权限请求都会自动授予。

自动拒绝：所有运行时权限请求都会自动拒绝。

用户以后不能更改权限。

Sophos Mobile

设置/字段

特定于 App 的运行时权限

说明

您可以对单个应用授予或拒绝某些运行时权限。单击添

加，然后配置应用的设置：

在应用标识符字段中，输入应用的内部标识符。

对每个运行时权限，选择所需的授权状态：

•

可选择：用户可以授予或拒绝权限。

授权：授予权限且用户不能拒绝。

拒绝：拒绝权限且用户不能授权。

14.15.8 展台模式配置（Android 企业设备策略）

使用展台模式配置，您可以为设备定义限制，使其进入展台模式。

设置/字段

选择源

说明

•

无：允许所有应用。展台模式限制将应用于设备，但用户可

以启动设备上可用的任意应用。

自定义, 应用列表, : 将单个应用锁定在屏幕上。

应用组：允许多个应用出现在屏幕上。

应用 ID展台模式下可用的应用。

根据您在选择源中的选择，按其标识符指定应用，或从

可用应用列表中选择应用。

应用组展台模式下可用的应用。

选择其中一个配置的应用组。

允许调高调节

关闭锁屏

充电时保持开启

如果清除该复选框，设备的音量按钮将禁用。

设备的屏幕将永不锁定。

只要设备连接到电源，设备屏幕就保持开启。

14.15.9 全球 HTTP 代理配置 (Android 企业设备策略)

通过全球 HTTP 代理配置，您可以定义公司代理服务器。

设置/字段

代理

说明

选择手动，对连接详细信息进行手动配置。

如果您有代理自动配置 (PAC) 文件，则选择自动。

服务器和端口

PAC URL

HTTP 代理的名称 (或 IP 地址) 和端口号。

代理自动配置 (PAC) 文件的 URL。

Sophos Mobile

14.15.10 VPN 配置（Android 企业设备策略）

通过 VPN 配置，您可以为 Android 企业设备选择 VPN 客户端。

设置/字段

VPN 客户端

说明

VPN 应用的标识符。

VPN 客户端必须是已安装在设备上的托管的 Google Play 应用。

在应用的托管配置中配置 VPN 连接。有关详细信息，请参阅应用

文档。

14.15.11 根证书配置（Android 企业设备策略）

使用根证书配置，您可以在设备上安装根证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.15.12 客户端证书配置（Android 企业设备策略）

使用客户端证书配置，您可以在设备上安装客户端证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.15.13 SCEP 配置（Android 企业设备策略）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

Sophos Mobile

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

主题将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(serial_number)_% 指定

Android 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

根证书CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

Sophos Mobile

设置/字段

用于加密

说明

如果您选中此复选框，公钥将可以用于数据加

密。

14.16 Android 的 Sophos 容器策略的配置

使用 Sophos 容器策略，您可以配置与 Sophos 容器应用 Sophos Secure Email 和 Sophos Secure

Workspace 相关的设置。

有关如何创建 Sophos 容器策略的信息，请参阅创建配置文件或策略（第 87 页）。

注释

如果您将此策略分配给 Android 企业设备，将同时安装 Sophos Secure Workspace 应用。如果策

略还包含工作电子邮件配置，将同时安装 Sophos Secure Email 应用。您必须已经在托管的 Google

Play 中批准了这些应用。

14.16.1 常规配置（Android Sophos 容器策略）

使用常规配置，您可以定义适用于所有 Sophos 容器应用的设置（如果适用）。

设置/字段

启用 Sophos 容器密码

说明

用户必须输入一个额外的密码才能启动 Sophos

容器应用。在应用该配置后启动第一个容器应

用时，必须定义密码。此密码适用于所有容器应

用。

要求的 Sophos 容器密码的最低复杂性。始终

允许更安全的密码。密码（数字和字母数字字符

的组合）始终被视为比 PIN（仅数字字符）更安

全。

•

始终在密码条目字段中隐藏字符

任意：Sophos 容器密码没有限制。

4 个数字的 PIN

6 个数字的 PIN

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

密码复杂性

密码输入字段中的字符在屏蔽之前不会短暂显

示。

密码可以使用的天数，之后会提示用户修改。密码期限（天）

Sophos Mobile

设置/字段

锁定前登录失败

说明

允许登录尝试失败的次数，之后将锁定容器应

用。它们被锁定后，需要管理员对应用进行解

锁，如果允许，用户也可以使用自助服务门户

进行解锁。

用户可以使用其指纹解锁应用。

容器应用再次回到前台而无需输入 Sophos 容器

密码的时间段。

该宽限期适用于所有容器应用。在该宽限期内，

无需输入密码就可以在应用之间进行切换。

允许指纹

宽限期的分钟数

在设备锁定时锁定当设备锁定时，Sophos 容器也锁定。

如果清除该复选框，容器将只在宽限期结束后锁

定。

上一次服务器连接用户可以使用 Sophos 容器应用而不必连接

Sophos Mobile 服务器的时间。

当 Sophos 容器应用激活且在定义的时间内没有

与服务器连接时，将显示锁屏界面。用户只能通

过点击锁屏界面上的重试解锁应用。然后，应用

将尝试连接到服务器。如果可以建立连接，应用

将解锁。否则，访问将被拒绝。

•

访问时：服务器无法访问时，总是需要服务器连接

并且应用将被锁定。

1 小时：在上次服务器成功连接后，应用活动 1 个

小时或以上时，需要连接服务器。

3 小时

6 小时

12 小时

1 天

3 天

无: 无需定期联系。

Sophos Mobile

设置/字段

没有服务器连接时离线启动

说明

在此字段中，您可以定义在没有服务器连接时，

用户多久可以启动一个 Sophos 容器应用一次。

注释

该设置需要开启 Sophos 容器密码功能。

只要用户输入 Sophos 容器密码，计数器就会增

加。如果计数器超过定义的数量，将显示和上一

次服务器连接设置相同的锁屏界面。如果建立了

与 Sophos Mobile 服务器的连接，该计数器将

被重置。

•

无限制: 无需服务器联系。

0：不连接服务器则无法启动应用。

1：成功启动应用后，需要连接服务器。

允许根目录访问

应用使用约束条件

允许容器应用在 Root 的设备上运行。

可以在这里定义使用 Sophos 容器应用的约束条件。单击添加，输入约束条件。

地理限制用于添加 Sophos 容器应用可以在其中使用的纬

度和经度以及半径范围。

用于指定 Sophos 容器应用可以使用的开始时间

和结束时间。还可以指定应用可以在一周内的哪

些天可以使用。

如果您选中需要 Wi-Fi 连接，没有有效的 Wi-

Fi 连接时将锁定 Sophos 容器。

如果您将 Wi-Fi 网络添加到列表中，当设备连

接到未列出的 Wi-Fi 网络时将锁定 Sophos 容

器。

重要提示

我们建议您不要以 Wi-Fi 限制作为唯一的安全机

制，因为 Wi-Fi 名称很容易被欺骗。

时间限制

Wi-Fi 限制

Sophos Mobile

14.16.2 公司电子邮件配置（Android Sophos 容器策略）

使用公司电子邮件配置，您可以为您的 Microsoft Exchange Server 定义用户设置。这些设置适用于安

装在 Sophos 容器中的 Sophos Secure Email 应用。

设置/字段

Exchange 服务器

说明

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输

入代理服务器的 URL。

用户此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其

替换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会

将其替换为实际的电子邮件地址。

域

支持联系人电子邮件

此帐户的域。

将用作“联系技术人员”电子邮件地址的电子邮

件地址。

允许用户将 Exchange 联系人导出到本地设备联

系人，以便他们可以识别来电中的公司联系人。

Sophos Secure Email 保持信息同步。

注释

在以下情况下，本地联系人信息将自动删

除：

•从 Sophos 容器策略中删除公司电子邮

件配置（需要重新启动 Secure Email

应用）时。

从设备删除 Sophos 容器时。

从 Sophos Mobile 取消注册设备时。

将联系人导出到设备

•

导出公司名称公司名将包含在从公司联系人到本地设备联系人

的导出中。

如果清除该复选框，将只导出姓名和电话号码。

Sophos Mobile

设置/字段

通知详细信息

说明

选择显示在电子邮件通知中的信息量。

该设置还会影响事件提醒。如果您选择了无通

知，则会关闭事件提醒。如果您选择了其他值，

事件提醒将打开并且包含时间、位置和标题信

息。

拒绝复制到剪贴板用户不能从 Sophos Secure Email 应用复制或

剪切文件。

用户无法截取显示 Sophos Secure Email 应用

的屏幕截图。

不会从 Exchange 服务器检索大于所选大小的电

子邮件（包括附件）。

用户可以查看或共享电子邮件附件。

选择附件可以在所有应用中查看，还是只能在

Sophos 容器应用 Sophos Secure Workspace 和

Sophos Secure Email 中查看。

所有应用程序: 附件可以共享给支持文件格式的

所有应用。

容器应用: 附件将使用设备密钥加密，且只能在

Sophos Secure Workspace 中打开。共享操作本

身不会被阻止。

拒绝截屏

最大的电子邮件大小

允许查看/共享

查看附件

共享附件

额外设置仅在得到 Sophos 客户支持的指令时配置这些设

置。

注释

如果 Sophos Secure Email 未安装，用户将收到安装消息。当他们首次启动该应用时，它将自动配

置。

14.16.3 公司文档配置（Android Sophos 容器策略）

使用公司文档配置，您可以为 Sophos Secure Workspace 应用的公司文档功能定义设置。

配置存储提供程序

对于每个存储提供程序，可以分别定义下列设置：

设置/字段

启用

说明

可以在应用中使用存储提供程序。

Sophos Mobile

设置/字段

离线

说明

将允许用户将文件从存储提供程序添加到应用

的收藏夹列表，以供离线使用。

用户可以通过打开与其他应用共享加密的文件。

用户可以通过打开与其他应用共享未加密的文

件。

用户可以复制文档的不同部分，并将它们粘贴到

其他应用。

打开（已加密）

打开（未加密）

剪贴板

企业提供程序设置

对于 WebDAV 提供程序 (也称为企业提供程序)，您可以集中定义服务器设置和登录凭据。这些不能被

用户更改。

未集中定义的凭据设置，可以由用户在应用的提供程序凭据屏幕中进行选择。

例如，可以集中定义服务器和要使用的用户帐户，但是可以不定义密码字段。然后用户在访问存储提

供程序时，必须要知道密码。

设置/字段

名称

说明

在 Sophos Secure Workspace 应用中显示的提

供程序的名称。

在此字段中，输入：

•

公司文档 WebDAV 服务器上根文件夹的

URL。

WebDAV 服务器上根文件夹的 URL。

服务器

使用以下格式：

仅支持 https 协议。

用户名相关服务器的用户名。也可以使用 %_USERNAME_

% 变量。

相关帐户的密码。

相关帐户的上传文件夹。

密码

上传文件夹

其他设置

设置/字段

启用文档

说明

将开启文档功能，可以安全分发公司文档。

Sophos Mobile

设置/字段

密码复杂性

说明

要求的加密密钥密码的最低复杂性。总是允许更

安全的密码。

可以选择以下设置：

•

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

拒绝截屏用户无法截取显示 Sophos Secure Workspace

应用的屏幕截图。

仅在得到 Sophos 客户支持的指令时配置这些设

置。

额外设置

14.16.4 公司浏览器配置（Android Sophos 容器策略）

使用公司浏览器配置，您可以为 Sophos Secure Workspace 应用的公司浏览器功能定义设置。

公司浏览器让您可以安全访问公司的 Intranet 页面和其他允许的页面。您可以定义域和域内的书

签。

每个书签都属于某个域。当您添加书签时，如果没有域条目，将会自动创建域条目。

一般设置

设置/字段

拒绝截屏

说明

用户不能截取显示公司浏览器的屏幕截图。

域设置

设置/字段

URL

允许复制/粘贴

说明

您要允许的域。

用户可以从公司浏览器中将文本复制和粘贴到其

他应用。

用户可以下载附件，或将它们传递到其他应用。

用户可以在公司浏览器中保存他们的密码。

允许打开方式

允许保存密码

Sophos Mobile

书签设置

设置/字段

名称

URL

说明

书签的名称。

书签的的 Web 地址。

14.16.5 根证书配置（Android Sophos 容器策略）

使用根证书配置，您可以在设备上安装根证书。如果 Sophos Secure Email 和 Sophos Secure

Workspace 应用安装在 Sophos 容器中，它们将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.16.6 客户端证书配置（Android Sophos 容器策略）

使用客户端证书配置，您可以在设备上安装客户端证书。如果 Sophos Secure Workspace 应用安装在

Sophos 容器中，它将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.16.7 SCEP 配置（Android Sophos 容器策略）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。这些证书可

用于 Sophos Secure Workspace 应用的公司浏览器功能。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

Sophos Mobile

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

主题将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(serial_number)_% 指定

Android 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

根证书CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

Sophos Mobile

设置/字段

用于加密

说明

如果您选中此复选框，公钥将可以用于数据加

密。

14.17 Android 的 Mobile Security 策略的配置

利用 Mobile Security 策略，可以配置 Sophos Mobile Security 应用。

有关如何创建 Mobile Security 策略的信息，请参阅创建配置文件或策略（第 87 页）。

注释

如果您将此策略分配给 Android 企业设备，将同时安装 Sophos Mobile Security 应用。您必须已

经在托管的 Google Play 中批准了此应用。

14.17.1 网络配置 (Android 的 Sophos Mobile Security 策略)

通过网络配置，您可以管理 Sophos Mobile Security 应用的网络设置，让用户免受来自网络的威胁。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

设置/字段

中间人保护

说明

Sophos Mobile Security 检查 Wi-Fi 连接是否存在中间

人攻击。

仅在得到 Sophos 客户支持的指令时配置这些设置。额外设置

14.17.2 反病毒配置 (Android 的 Sophos Mobile Security 策

略)

通过防病毒配置，您可以管理 Sophos Mobile Security 应用的恶意软件保护设置。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

设置/字段

云扫描模式

说明

选择 Sophos Mobile Security 何时从 Sophos 服务器加

载最新的恶意软件信息。

Sophos Mobile

设置/字段

计划扫描间隔

说明

选择执行恶意软件扫描的频率。

如果您选择每天充电时，则设备会在连接到电源超过 30

分钟后执行扫描。

扫描系统应用扫描系统应用。

默认情况下不扫描系统应用，因为它们受到 Android 操作

系统的保护且用户不能卸载。

扫描存储除了默认扫描所有安装的应用外，还扫描内部共享存

储、SD 卡和连接的 USB 设备上的所有文件，看是否存在威

胁。

扫描是否存在可能不需要的应用 (PUA)。

可能不需要的应用是指虽不是恶意软件，但通常被认为是

不适合企业网络的应用。PUA 包括广告软件、拨号器、系统

监控、远程管理工具和黑客工具。但是，某些可以归为 PUA

的应用可能对某些用户很有用。

检测 PUA

允许用户启用PUAs用户可以允许归为 PUA 的应用。随后的扫描中将忽略允许

的应用。

选择如何处理低信誉应用：

允许: 关闭对低信誉应用的扫描。

警告: 检测到低信誉应用时，在设备上显示警告消息。用

户可以选择如何处理该应用。他们可以将其添加到允许的应

用列表中，以便在检测到该应用时不会显示警告。

阻止: 用户不能启动低信誉应用。

模式

扫描通知当应用在安装后被扫描时，Sophos Mobile Security 将创

建一个通知。

如果不选中该复选框，将不会为清洁应用创建通知。

监控存储监控内部共享存储、SD 卡和连接的 USB 设备是否有修

改。新的文件存储在这些位置时，它们将被扫描到。

选择允许应用组。该组中的应用将排除在扫描以外。应用组

Sophos Mobile

14.17.3 网站筛选配置 (Android 的 Sophos Mobile Security

策略)

通过网络筛选配置，您可以管理 Sophos Mobile Security 应用的网站筛选功能。这可以让用户避免浏

览包含恶意、不需要或非法内容的网站。

重要提示

您还必须关闭允许拒绝 SMSec 权限合规性规则。否则，用户将可以通过关闭 Sophos 辅助功能服

务停止网站筛选。

设置

设置/字段

筛选恶意网站

按照类别筛选网站

说明

选择用户是否可以访问带有恶意内容的网站。

选择用户是否可以访问属于特定类别的网站。

Sophos Mobile Security 根据 SophosLabs 提供的数据对

网站进行分类。该数据会不断更新。

提示

为了测试网络筛选，Sophos 创建了包含每个类别的示例页面

的网站。尽管其中一些页面被归类为具有潜在

的攻击性或危险性，但是页面内容本身在所有情况下都是无害

的。

网站例外配置类别筛选的例外：

允许的域: 允许网站，即使它们所属的类别受到阻止。

阻止的域: 阻止网站，即使它们属于允许的类别。

可以输入域名或 IP 地址。示例:

•

198.51.100.1

198.51.100.0/24

支持的浏览器

网站筛选可与下列 Web 浏览器配合使用：

•

Android Web 浏览器

Firefox

Google Chrome

Sophos Mobile

•Microsoft Edge

其他浏览器可能也可以，但没有经过测试。

14.18 Knox 容器配置文件的配置

通过 Knox 容器配置文件，可以配置与 Samsung 设备的 Knox 容器相关的设置。

有关如何创建 Knox 容器配置文件的信息，请参阅创建配置文件或策略（第 87 页）。

14.18.1 密码策略配置（Knox 容器配置文件）

使用密码策略配置，您可以为 Knox 容器密码定义要求。

注释

支持的设置取决于操作系统的版本或其他设备功能。它在 Sophos Mobile Admin 中通过蓝色标签表

示。

密码类型

在密码类型列表中，选择允许用户配置的密码类型：

设置/字段

图案、PIN 或密码

说明

用户必须设置屏幕锁定方式。他们可以选择图

案、PIN 或密码类型的屏幕锁定方式。没有额外

的限制。

用户必须设置密码类型的屏幕锁定方式。允许

数字，但密码必须包含至少一个字母。您可以定

义最小长度。请参阅下表。

用户必须设置 PIN 或密码类型的屏幕锁定方

式。您可以定义最小长度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度，以及数字、小写和大写字母及特殊字符的最

小数目。请参阅下面的两个表格。

简单密码

PIN 或密码

字母数字密码

复杂密码

如果您选择了简单密码、PIN 或密码、字母数字密码或复杂密码，则会显示以下字段：

设置/字段

密码长度最小值

说明

密码必须包含的最少字符数目。

Sophos Mobile

设置/字段

密码提示前最长空闲时间

说明

如果 Knox 容器未使用，则该工作配置文件被锁

定后的时间。容器可通过输入密码解锁。

注释

该设备可能会施加比您在此配置的时间更短的时间

段。

最长密码期效（天）要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

经过这么多次错误登录尝试之后，将删除 Knox

容器。

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

最大的登录尝试次数

密码历史记录

如果您选择了复杂密码，将显示以下附加字段：

设置/字段

字母最小数目

小写字母的最小数目

大写字母的最小数目

非字母数字字符的最小数目

说明

密码必须包含的最少字母数目。

密码必须包含的最少小写字母数目。

密码必须包含的最少大写字母数目。

密码必须包含的非字母数字字符（如 & 或 !）

的最小数目。

密码必须包含的最少数字字符数目。

密码必须包含的特殊字符（如 !"§$%&/

()=,.-;:_@<>）的最小数目。

最小位数

特殊字符的最小数目

生物特征身份验证

设置/字段

允许指纹身份验证

说明

如果设备支持，用户可以使用指纹验证方式解锁 Knox

容器。

如果设备支持，用户可以使用虹膜验证方式解锁 Knox

容器。

如果设备支持，用户可以人脸身份验证方式解锁 Knox

容器。

允许虹膜身份验证

允许人脸身份验证

Sophos Mobile

14.18.2 限制配置（Knox 容器配置文件）

使用限制配置，您可以配置 Samsung 设备 Knox 容器的限制和相关设置。

设置/字段

允许屏幕捕获

说明

用户可以捕获 Samsung Knox 容器中的应用的屏幕内

容。

Samsung Knox 容器中的应用可以访问相机。

用户可以将任意内容复制到剪贴板。

某些应用使用的共享方式功能将开启。

Samsung Knox 容器中的应用可以访问麦克风。

用户必须使用安全键盘。

用户可以在 Sophos Mobile 配置文件配置的帐户以外

添加电子邮件帐户。

私人应用可以访问 Samsung Knox 容器的数据。

私人文件可以复制或移动到 Samsung Knox 容器内。

Samsung Knox 容器内的应用可以使用蓝牙连接。

Samsung Knox 容器内的应用可以使用 NFC（近场通

信）连接。

要解锁 Samsung Knox 容器，需要多种身份验证方法，

如密码和指纹。

您可以配置允许的应用或禁止的应用。从第一个列表中

选择所需的选项，然后从第二个列表中选择包含要允许

的或禁止的应用的应用组。

Sophos Mobile 服务器启动的应用安装不受此设置的影

响。

有关创建应用组的信息，请参阅应用组（第 265

页）。

允许照相机

允许剪贴板

允许“共享方式”

允许麦克风

强制使用安全键盘

允许添加新邮件账户

允许数据导出

允许将文件复制到容器中

允许蓝牙

允许 NFC

强制进行多重身份验证

允许的应用/禁止的应用

Sophos Mobile

14.18.3 Exchange 帐户配置（Knox 容器配置文件）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。这些设

置被应用至 Samsung Knox 容器。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

发件人此帐户的发件人名称。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

密码此帐户的密码。

如果将此字段保留为空，用户必须在其设备上输入

密码。

同步周期用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

同步间隔

SSL/TLS

电子邮件同步过程之间的时间间隔。

连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

默认账户

允许所有证书

该帐户用作默认的电子邮件帐户。

允许电子邮件服务器传输过程中的所有证书。

Sophos Mobile

设置/字段

允许从其他帐户转发。

说明

此帐户可用于转发其他帐户收到的电子邮件。

例如，如果这是帐户 A，且 Knox 容器还包含另一

个帐户，即帐户 B，则帐户 B 收到的电子邮件可

以使用帐户 A 作为发件人转发。

注释

此设置仅供本机 Android 电子邮件应用使用。

允许使用 HTML 格式

最大附件大小 (MB)。

允许在电子邮件中使用 HTML 格式。

单封电子邮件最大的大小 (1、3、5、10、无限

制)。

要同步的内容类型。同步内容类型

14.19 Android Things 策略的配置

使用 Android Things 策略，您可以配置 Android Things 设备的各个方面。目前，仅支持 Wi-Fi 设

置。

有关如何创建 Android Things 策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.19.1 Wi-Fi 配置（Android Things 策略）

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

安全类型

说明

Wi-Fi 网络的 ID：

Wi-Fi 网络的安全类型：

•

无

WEP

WPA/WPA2

如果选择 WEP 或 WPA/WPA2，将显示密码字段。

输入相应的密码。

14.20 iOS 设备配置文件的配置

使用 iOS 设备配置文件，您可以配置 iOS 设备的各个方面，如密码策略、限制或 Wi-Fi 设置。

有关如何创建设备配置文件的信息，请参阅创建配置文件或策略（第 87 页）。

Sophos Mobile

14.20.1 密码策略配置（iOS 设备配置文件）

使用密码策略配置，您可以为设备密码定义要求。

注释

将密码策略配置分配给设备时，将开始 60 分钟的宽限期。在宽限期内，将在用户返回主屏幕时，

提示用户修改密码，以符合策略要求。在宽限期后，用户将不能启动设备上的应用，其中包括内部

应用。

设置/字段

允许简单值

说明

允许用户在其密码中使用顺序或重复字符，如

1111 或 abcde。

密码必须包含至少 1 个字母或数字。

指定密码必须包含的最少字符数目。

指定密码必须包含的非字母数字字符（例如 &

或！）的最小数目。

要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

在此字段中，可以指定允许用户在设备上配置

的最大值。“自动锁定”指定设备空闲多长时间

（分钟）后将被锁定。

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

设备锁定的最大宽限期间在此字段中，可以指定允许用户在设备上配置

的最大值。设备锁定的宽限期指定设备锁定后

在多长时间内可以解锁且没有密码提示。如果选

择无，则用户可选择任何可用时间间隔。如果选

择立即，则用户每次必须输入密码方可解锁其设

备。

在此字段中，可以指定输入正确密码的失败次

数，超过后将擦除设备。6 次失败尝试之后，再

次输入密码之前将出现时间延迟。每次失败尝试

后将增加延迟时间。最终失败尝试后，所有数据

和设置将从设备安全地删除。六次失败尝试后，

时间开始延迟。因此，如果将该数值设置为 6

或更小值，则不会出现时间延迟，并且超过失败

尝试限制时将擦除设备。

需要字母数字值

密码长度最小值

复杂字符的最小数目

最长密码期效（天）

最大自动锁定（分钟）

密码历史记录

设备擦除前的失败尝试次数

Sophos Mobile

14.20.2 限制配置（iOS 设备配置文件）

使用限制配置，您可以为设备定义限制。

注释

一些选项仅适用于某些版本的 iOS 或受监督的设备。它在 Sophos Mobile Admin 中通过蓝色标签

表示。

设备

设置/字段

允许应用安装

说明

如果清除该复选框，App Store 将不可用，且其图标将

从主屏幕中删除。用户不能通过 App Store 或 Apple

Configurator 安装或更新应用。

如果清除该复选框，App Store 将不可用，且其

图标将从主屏幕中删除。用户仍然可以通过 Apple

Configurator 安装或更新应用。

如果清除该复选框，相机将不可用，且相机图标将

从主屏幕中删除。用户无法拍照、录制视频或者使用

FaceTime。

用户可以发起或接收 FaceTime 视频通话。

用户可以截屏。

如果清除该复选框，漫游的设备将仅在用户访问帐户时

同步。

如果清除该复选框，用户将不能使用 Siri、语音命令

或听写模式。

如果清除该复选框，则用户必须输入其密码解锁其设备

方可使用 Siri。

如果清除该复选框，Siri 将不会从网络查询内容。

如果清除该复选框，则不在设备上强制执行 Siri 限制

性语言过滤。

如果清除该复选框，用户将不能在设备被密码锁定时使

用语音命令拨号。

注释

如果用户尚未配置设备密码，则始终允许语音拨

号。

允许从设备用户界面安装应用

允许使用照相机

允许 FaceTime

允许屏幕捕获

漫游时允许自动同步

允许 Siri

设备锁定时，允许 Siri

允许 Siri 从网页查询内容

强制执行 Siri 限制性语言筛选

允许在设备锁定时进行语音拨号

Sophos Mobile

设置/字段

设备锁定时，允许 Passbook

允许应用内购买

强制用户购买时输入存储密码

说明

将在设备锁定时显示 Passbook 通知。

用户可以进行应用内购买。

用户必须输入其 Apple ID 密码才能购买。

如果清除该复选框，将会有一个简短的宽限期，在此期

间，用户可以进行后续购买而不必再次输入其密码。

允许多人游戏

允许 Game Center

允许添加游戏中心的朋友

允许查找好友修改

允许主机配对

用户可以在 Game Center 内玩多人游戏。

如果清除该复选框，Game Center 将不可用。

用户可以在 Game Center 中添加好友。

如果清除该复选框，将不能修改“查找好友”应用。

如果清除该复选框，将关闭主机配对（监督主机除

外）。如果未配置监督主机证书，将关闭所有配对。

如果清除该复选框，用户将不能将设备与 Apple Watch

配对。任何当前已经配对的 Apple Watch 将取消配

对。

配对的 Apple Watch 必须使用手腕检测。

将开启 AirDrop 的内容共享。

如果清除该复选框，锁屏时将不能使用 Control

Center。

如果清除该复选框，锁屏时将不能使用 Notification

Center。

如果清除该复选框，锁屏时将不能使用 Today 视图。

新闻应用可以使用。

可以进行无线 PKI 更新。

用户可以在 iBooks 中购买书籍。

如果清除该复选框，将阻止通过 iBooks 商店提供的限

制性色情内容。

用户可以安装配置文件。

用户可以使用 iMessage 发送或接收短信。

用户可以从设备中卸载应用。

用户可以从设备中卸载系统应用。

允许与 Apple Watch 配对

强制执行手腕检测

允许 AirDrop

允许锁定屏幕上的 Control Center

允许锁定屏幕上的 Notification Center

允许锁定屏幕上的 Today 视图

允许新闻

允许无线 PKI 更新

允许 iBooks Store

允许iBooks 商店存在色情内容

允许用户安装配置文件

允许即时消息

允许删除应用

允许删除系统应用

Sophos Mobile

设置/字段

允许清除所有内容和设置

说明

如果清除该复选框，重置用户界面中的清除所有内容和

设置选项将不可用。

如果清除该复选框，Spotlight 将不会返回 Internet

搜索结果。

如果清除该复选框，重置用户界面中的启用限制选项将

不可用。

用户可以使用 Apple Continuity 的 Handoff 功能。

使用 Handoff，用户可以在一个设备上开始文档、电子

邮件或消息等工作，并在其他设备上继续。

用户可以更改设备名称。

用户可以更改壁纸。

用户可以修改通知设置。

用户可以使用键盘快捷方式。

用户可以开启启用听写键盘设置。

用户可以开启预测键盘设置。

用户可以开启自动更正键盘设置。

用户可以开启拼写检查键盘设置。

如果清除该复选框，自动下载在其他设备上购买的应用

将关闭。这不影响现有应用的更新。

用户可以访问 Apple Music 库。

用户可以访问 Apple Music Radio。

用户可以修改蓝牙设置。

用户可以添加 VPN 配置。

iOS 的日期和时间设置自动设置将开启，且用户不能将

其关闭。

iOS 软件的更新在发布日期后延迟的天数。

输入一个 0 (无延迟) 和 90 之间的值。

允许 Spotlight 的网络搜索结果

允许启用限制选项

允许传递

允许修改设备名称

允许修改壁纸

允许修改通知设置

允许键盘快捷方式

允许听写键盘输入

允许预测键盘

允许自动更正

允许拼写检查

允许自动下载应用

允许 Apple Music

允许 Apple Music Radio

允许修改蓝牙设置

允许创建 VPN

强制执行日期和时间自动调整

iOS 软件更新延迟

Sophos Mobile

公司数据

设置/字段

允许文档仅共享于托管的应用/帐户内

说明

这限制了通过 Sophos Mobile 管理的应用或帐户打开

文档，例如公司电子邮件帐户。

如果用户拥有 Sophos Mobile 管理的电子邮件帐户且

其设备上有 Sophos Mobile 管理的应用，则受管理电

子邮件帐户的附件仅可用受管理的应用打开。

这样，您可以防止公司文档在未受管理的应用中打开。

如果您关闭此设置，将禁用接下来的两项设置。托管帐

户的联系人可以共享给非托管应用。

允许托管应用将联系人写入非托管帐户

允许非托管应用从托管帐户读取联系人

允许文档仅共享于未托管的应用/帐户内

托管应用可以将联系人写入非托管帐户。

非托管应用可以从托管帐户读取联系人。

这限制了未通过 Sophos Mobile 管理的应用/帐户打开

文档，例如私人电子邮件帐户。

如果用户拥有不受其设备上的 Sophos Mobile 管理的

电子邮件帐户和应用，则未受管理的电子邮件帐户的附

件仅可用未受管理的应用打开。

这样，您可以防止个人文档在受管理的应用中打开。

强制要求 AirDrop 文档用作非托管文档

允许托管应用与 iCloud 同步

允许企业簿备份

允许企业簿说明并强调同步

AirDrop 被认为是一个非托管拖放目标。

托管应用可以使用 iCloud 同步。

将备份企业簿。

将同步企业簿说明和亮点。

应用程序

设置/字段

允许使用 iTunes Store

说明

如果清除该复选框，iTunes Store 将不可用，且其图

标将从主屏幕中删除。用户无法预览、购买或下载内

容。

如果清除该复选框，Safari Web 浏览器将不可用，且

其图标将从主屏幕中删除。此操作还可以用于防止用户

打开网页剪辑。

如果清除该复选框，Safari 将不会使用先前输入的信

息自动填充 Web 表单。

允许使用 Safari

启用自动填充功能

Sophos Mobile

设置/字段

强制欺诈警告

说明

Safari 安全设置在用户访问可疑的网络钓鱼网站时提

醒用户始终打开。

将开启 Safari 弹出窗口阻止程序。

网页可以在设备上执行 JavaScript 代码。

在此字段中，您指定 Safari 是否接受 Cookie。

当您允许 Cookie 时，您可以指定是否只接受来自当前

网站、以前访问过的网站或所有网站的 Cookie。

阻止弹出窗口

允许在浏览器中使用 JavaScript

接受缓存

允许修改每一应用的手机网络数据

允许的应用/禁止的应用

用户可以更改每个应用的手机网络数据使用。

可以指定允许的应用或禁止的应用。从第一个列表中选

择所需的选项，然后从第二个列表中选择包含要允许的

或禁止的应用的应用组。有关创建应用组的信息，请参

阅应用组（第 265 页）。

iCloud

设置/字段

允许备份

允许文件同步

允许 Photo Stream

说明

用户可以将其设备备份到 iCloud。

用户可以在 iCloud 中存储文档和应用配置数据。

用户可以将照片上传到我的照片流。

注释

如果您清除该复选框，禁止我的照片流，将同时从

所有设备删除通过我的照片流共享的现有照片。如

果这些照片没有其他副本，这些照片将会丢失。

允许 iCloud 照片库

允许共享照片流

用户可以使用 iCloud Photo Library。

用户可以邀请他人查看其照片流，并查看他人共享的照

片流。

用户可以使用 iCloud Keychain 在其 iPhone、iPad

和 Mac 设备之间同步密码。

如果清除该复选框，将只在设备上本地存储 iCloud

Keychain 数据。

允许 iCloud Keychain 同步

Sophos Mobile

安全和隐私

设置/字段

允许将诊断数据发送到 Apple

说明

如果清除该复选框，iOS 诊断信息将不会发送至

Apple。

如果清除该复选框，将不会询问用户是否信任无法验证

的证书。

此设置仅适用于 Safari、邮件联系人及日历帐户。

信任企业应用

允许修改密码

允许修改帐户

将信任企业应用。

用户可以添加、更改或删除设备密码。

如果清除该复选框，用户将不能修改帐户。帐户菜单将

不可用。

如果清除该复选框，将不能通过 Touch ID 解锁设备。

不再提供用于目标广告的匿名用户数据应用。

用户必须对 iTunes 中的备份进行加密。

设备只能连接到通过 Sophos Mobile 配置文件配置的

Wi-Fi 网络。

用户可以将文件发送到支持 AirPrint 的打印机。

AirPrint 用户名和密码可以存储在系统钥匙串

(Keychain) 中。

设备使用 iBeacon 发现 AirPrint 设备。

重要提示

如果允许此选项，恶意的 AirPrint 设备将可能对网络数

据流进行钓鱼攻击。

允许用户接受不受信任的 TLS 证书

允许 Touch ID 解锁设备

强制限制广告跟踪

强制加密备份

强制使用配置的 Wi-Fi 网络

允许 AirPrint

允许 AirPrint 凭据存储

允许 AirPrint 打印机的 iBeacon 发现

强制要求 AirPrint over TLS 的信任证

书

允许快速启动传输到新设备

如果 AirPrint 设备使用不受信任的证书，将拒绝基于

TLS 的 AirPrint。

用户可以使用 iOS 设置助手的快速启动功能，将数据

从设备传递到新设备。

用户可以开启自动填入密码设置，以使用在 Safari 或

其他应用中保存的密码或信用卡信息。

如果清除此复选框，将同时禁用自动建议强密码功能。

允许密码自动填入

Sophos Mobile

设置/字段

强制执行在自动填充前进行身份验证

说明

用户在使用自动填充功能时必须进行身份验证。

此设置仅在支持 Face ID 或 Touch ID 的设备上强制

执行。

从附近的设备请求 Wi-Fi 密码

允许 AirDrop 密码分享

设置 Wi-Fi 连接时，设备从附近设备请求密码。

用户可以通过 AirDrop 与其他用户共享 Password

Manager 的密码。

内容分级

设置/字段

允许显式音乐和播客

说明

如果清除该复选框，iTunes Store 中的限制性音乐或

视频内容将会隐藏。限制性内容由内容提供商在放到

iTunes Store 上标记，如记录标签。

14.20.3 Exchange 帐户配置（iOS 设备配置文件）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

密码此帐户的密码。

如果将此字段保留为空，用户必须在其设备上输入

密码。

Sophos Mobile

设置/字段

OAuth

说明

帐户使用 OAuth 进行身份验证，即用户使用其

Microsoft 凭据进行身份验证。

用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

同步周期

SSL/TLS连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

允许移动用户可以将电子邮件从该帐户移动到其他帐户。此

选项允许用户在回复或转发此帐户的邮件时使用其

他帐户。

将在与其他使用 iCloud 的设备同步最近使用的地

址时包含该帐户。

该帐户只能用于发送来自邮件应用的邮件。不可

选择它充当其他应用所创建邮件的发送帐户，例如

Photos 或 Safari。

选择用于连接 Exchange 服务器的身份证书。

列表包括当前配置文件的客户端证书配置中的所有

证书。

允许最近地址同步

仅在邮件中使用

身份证明书

启用 S/MIME

签名证书

加密证书

支持 S/MIME 加密标准。

用于电子邮件签名和加密的证书。

要选择证书，必须先将其上传到当前配置文件的客

户端证书配置中。

对于每封传出电子邮件，用户可以选择加密或不加

密。

允许用户发送未加密的电子邮件

14.20.4 Wi-Fi 配置（iOS 设备配置文件）

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

自动连接

隐藏网络

说明

Wi-Fi 网络的 ID：

自动连接到目标网络。

目标网络不开放或可见。

Sophos Mobile

设置/字段

安全类型

说明

Wi-Fi 网络的安全类型：

•

无

WEP (个人)

WPA/WPA2 (个人)

任何（个人）

WEP (企业)

WPA/WPA2 (企业)

任意 (企业)

如果您选择其名称中带有个人的类型，则会显示密

码字段。输入相应的密码。

如果您选择其名称中带有企业的类型，则会显示协

议、身份验证和信任选项卡。

在协议选项卡上，配置以下设置：

•在接受 EAP 类型下，选择要用于身份验证的 EAP 方

法。根据该选项卡上所选的类型，此选项卡中内部身

份字段中的值可供选择。

在 EAP-FAST 下，配置 EAP-FAST 保护访问凭据设置。

在TLS 最低版本和TLS 最高版本中，选择用于 EAP 身份

验证的最低和最高 TLS 版本。

•

在身份验证选项卡上，可以配置客户端身份验证设

置：

•

在用户字段中，输入用于连接到 Wi-Fi 网络的用户名。

如果每个连接均询问密码且通过身份验证进行传输，则

选中每个连接都需要密码。

在密码字段中输入相关密码。

在身份证书列表中，选择用于连接 Wi-Fi 网络的证书。

注释

必须在客户端证书配置中指定要使用的证书。

•在外部身份字段中，输入外部可见 ID（TTLS、PEAP 及

EAP-FAST）。

在信任选项卡上，可以配置服务器身份验证设置：

从列表中选择信任的证书。

注释

必须在根证书配置中指定证书。

Sophos Mobile

设置/字段

代理

说明

在此列表中，选择用于 Wi-Fi 连接的代理设置：

•

无代理

手动

自动

如果您选择手动，将显示服务器和端口、身份验

证和密码字段。输入所需的代理信息。如果您选择自

动，将显示PAC URL字段。输入代理服务器的 URL。

14.20.5 单个应用模式配置（iOS 设备配置文件）

使用单个应用模式配置，您可以定义将设备锁定到单个应用中的操作模式的设置，并阻止用户更改为其

他应用。

设置/字段

选择源

说明

选择您要如何为单个应用模式指定应用：

•

应用标识符

应用列表：从所有可用 iOS 应用的列表中选择应

用。

自定义：手动输入应用的捆绑 ID。

用于单个应用模式的应用。

从列表中选择应用或输入捆绑 ID。

禁用触摸屏

禁用旋转

禁用音量按钮

禁用铃声切换

禁用睡眠唤醒按钮

禁用自动锁定

触摸手势将不可用。

屏幕不会转动。

音量按钮将不可用。

铃声切换将不可用。

唤醒按钮将不可用。

将关闭在空闲时间后让设备进入睡眠状态的自动锁定功

能。

画外音将可用。

缩放功能将可用。

反色功能将可用。

AssistiveTouch 将可用。

演讲选择功能将可用。

单声道功能将可用。

启用画外音

启用放大

启用反色

启用辅助触摸功能

启用演讲选择

启用单声道音频

Sophos Mobile

设置/字段

画外音

放大

反色

AssistiveTouch

说明

画外音调节将可用。

缩放调节将可用。

反色调节将可用。

AssistiveTouch 调节将可用。

14.20.6 接入点名称配置（iOS 设备配置文件）

使用接入点名称配置，可以为 iOS 设备指定接入点名称 (APN) 配置。APN 配置定义设备如何连接到移

动网络。

注释

接入点名称配置由于手机网络配置而被弃用。请参阅手机网络配置（iOS 设备配置文件）（第 161

页）。

重要提示

如果这些设置不正确，设备将不能使用手机网络访问数据。要撤消设置更改，必须从设备中删除配

置文件。

设置/字段

APN

说明

设备开启与运营商的 GPRS 连接时引用的 APN。

它必须与运营商接受的 APN 一致。否则，将无

法建立连接。

接入点用户名称接入点的用户名称。

注释

IOS 支持最多 64 个字符的 APN 用户名

称。

接入点密码接入点的密码。

注释

IOS 支持最多 64 个字符的 APN 密码。

代理服务器和端口代理服务器的地址和端口。

Sophos Mobile

14.20.7 漫游/热点配置（iOS 设备配置文件）

使用漫游/热点配置，您可以定义漫游和个人热点的设置。

注释

用户可随时在其设备上更改这些设置。

设置/字段

启用语音漫游

说明

可以使用语音漫游。

如果移动网络运营商不支持语音漫游，此设置将

被忽略。

启用数据漫游

启用个人热点

可以使用数据漫游。

用户可以配置设备以用作个人热点。

如果移动网络运营商不支持个人热点，此设置将

被忽略。

14.20.8 手机网络配置（iOS 设备配置文件）

使用手机网络配置，可以定义 iOS 设备的手机网络设置。

注释

如果已经安装了接入点名称配置，则不能在设备上安装手机网络配置。

设置/字段

身份验证

说明

PAP

CHAP

APN设备开启与运营商的 GPRS 连接时引用的 APN。

它必须与运营商接受的 APN 一致。否则，将无

法建立连接。

接入点用户名称接入点的用户名称。

注释

IOS 支持最多 64 个字符的 APN 用户名

称。

Sophos Mobile

设置/字段

接入点密码

说明

接入点的密码。

注释

IOS 支持最多 64 个字符的 APN 密码。

代理服务器和端口代理服务器的地址和端口。

14.20.9 网络使用情况规则配置（iOS 设备配置文件）

使用网络使用情况规则配置，您可以指定如何允许托管应用使用手机数据网络。

一般规则

在针对所有托管应用的规则下，为托管应用输入一般设置。

设置/字段

允许手机网络数据

允许数据漫游

说明

允许托管的应用使用手机网络进行数据通信。

允许托管的应用在设备漫游到外地手机网络时使用数据通

信。

例外情况

例外情况将替代一般规则。使用添加例外定义特定于应用组的规则。

设置/字段

应用组

说明

选择应用组

此例外适用于该组中的所有托管应用。

允许手机网络数据

允许数据漫游

允许所选应用组的托管应用使用手机网络进行数据通信。

允许所选应用组的托管应用在设备漫游到外地手机网络时

使用数据通信。

注释

不能为同一个应用组定义多个例外。

Sophos Mobile

14.20.10 VPN 配置（iOS 设备配置文件）

使用 VPN 配置，您可以为网络连接定义 VPN 设置。

设置/字段

连接名称

连接类型

说明

设备上显示的连接名称。

VPN 连接的类型：

•

Cisco AnyConnect

Cisco Legacy AnyConnect

IPsec (Cisco)

Check Point

自定义 SSL/TLS

VPN 页面上所显示的不同输入字段取决于您在此

处所选择的连接类型。

标示符（反向 DNS 格式）

服务器

帐户

第三方设置

反向 DNS 格式的自定义标识符。

服务器的主机名或 IP 地址。

用于验证连接的用户帐户。

如果您的供应商指定了自定义连接属性，可以将

其输入此字段。

要输入属性，请单击添加，然后在对话框中输入

属性的密钥和值。

通过 VPN 发送所有流量

组

用户验证

所有流量都将通过 VPN 发送。

验证连接所需的组。

用于连接的用户验证类型：

•密码

如果选中此选项，用户验证字段下方将显

示密码字段。输入密码以进行验证。

•证书

如果选中此选项，用户验证字段下方将显

示证书字段。选择证书。

Sophos Mobile

设置/字段

设备验证

说明

设备验证的类型：

•密钥（共享密钥）/组名称

如果选中此选项，设备验证字段下方将显

示组名称、密钥（共享密钥）、使用混合验

证及请求密码字段。在组名称及密钥（共享

密钥）字段输入所需的验证信息。选择使用

混合验证及所需的请求密码。

•证书

如果选中此选项，设备验证字段将显示证

书及包括用户 PIN 字段。在证书列表中，选

择所需的证书。选择包括用户 PIN 以将用户

的 PIN 包括在设备认证中。

代理用于连接的代理设置：

•

无代理

手动

如果选中此选项，将显示服务器和端口、验

证及密码字段。在服务器和端口字段中，

输入有效地址及代理服务器端口。在身份

验证字段中，输入连接到代理服务器的用户

名。在密码字段中，输入连接到代理服务器

的密码。

•自动

如果选中此选项，将显示代理服务器 URL

字段。在此字段中输入代理设置服务器的

URL。

提供程序类型VPN 连接类型。

•

应用代理: 网络数据流通过应用程序层的

VPN 隧道发送。

包隧道: 网络数据流通过网络层的 VPN 隧道

发送。

14.20.11 每个应用 VPN 配置（iOS 设备配置文件）

使用每个应用 VPN 配置，您可以为每个应用定义 VPN 设置。

您可以将应用配置为在其启动时自动连接到 VPN。这样就可以（例如）确保托管应用发送的数据通过

VPN 传输。

设置每个应用 VPN 配置后，可以在应用的编辑软件包页面上选择配置。请参阅将 VPN 连接分配给

iOS 应用（第 263 页）。

设置/字段

连接名称

说明

设备上显示的连接名称。

Sophos Mobile

设置/字段

连接类型

说明

VPN 连接的类型：

•

Cisco AnyConnect

Cisco Legacy AnyConnect

Check Point

自定义 SSL/TLS

VPN 页面上所显示的不同输入字段取决于您在此

处所选择的连接类型。

标示符（反向 DNS 格式）

服务器

帐户

第三方设置

反向 DNS 格式的自定义标识符。

服务器的主机名或 IP 地址。

用于验证连接的用户帐户。

如果您的供应商指定了自定义连接属性，可以将

其输入此字段。

要输入属性，请单击添加，然后在对话框中输入

属性的密钥和值。

通过 VPN 发送所有流量

组

用户验证

所有流量都将通过 VPN 发送。

验证连接所需的组。

用于连接的用户验证类型：

•密码

如果选中此选项，用户验证字段下方将显

示密码字段。输入密码以进行验证。

•证书

如果选中此选项，用户验证字段下方将显

示证书字段。选择证书。

代理用于连接的代理设置：

•

无代理

手动

如果选中此选项，将显示服务器和端口、验

证及密码字段。在服务器和端口字段中，

输入有效地址及代理服务器端口。在身份

验证字段中，输入连接到代理服务器的用户

名。在密码字段中，输入连接到代理服务器

的密码。

•自动

如果选中此选项，将显示代理服务器 URL

字段。在此字段中输入代理设置服务器的

URL。

Sophos Mobile

设置/字段

提供程序类型

说明

VPN 连接类型。

•

应用代理: 网络数据流通过应用程序层的

VPN 隧道发送。

包隧道: 网络数据流通过网络层的 VPN 隧道

发送。

Safari 域在此字段中，可以输入一系列域字符串。每个域

字符串都使用一个新行。

在 Safari 或其他浏览器应用中打开与其中一个

域字符串匹配的域时，将触发 VPN 连接。

规则匹配行为如下所示：

•开头和结尾处的点将忽略。例如，字符串

. 与匹配的域相

同。

字符串的每个组件必须匹配整个域组

件。例如，字符串匹

配域，但不匹配

。

单个组件的字符串只匹配该特定域。例如，

字符串 example 匹配域 example，但不匹配

。

•

14.20.12 Web 剪辑配置（iOS 设备配置文件）

使用 Web 剪辑配置，您可以定义将添加到用户设备主屏幕的 Web 剪辑。Web 剪辑让您可以快速访问收

藏的网页。但您也可以使用支持电话号码添加 Web 剪辑，例如，为致电支持人员提供了快捷方法。

设置/字段

说明

URL

可以删除

说明

对 Web 剪辑的说明。

Web 剪辑的 Web 地址。

如果清除该复选框，用户将不能删除 Web 剪

辑。不可将其从设备删除，除非用户删除了已安

装的配置文件。

将在设备上全屏显示打开的 Web 剪辑。全屏显

示的 Web 剪辑打开作为 Web 应用的 URL 。

全屏显示

Sophos Mobile

设置/字段

图标

说明

选择要在主屏幕上用作 Web 剪辑图标的图片。

这必须是最大 1 MB 的 PNG、GIF 或 JPEG 图

片。

图片将剪裁为方形并进行缩放以匹配显示分辨

率。为获得最佳效果，建议您使用 180 x 180

像素的图片。

注释

当在网页的 HTML 代码中定义了一个图标时，设备

可能会将该图标显示为 Web 剪辑图标。这仅适用

于某些网页，具体取决于网页代码中图标的配置方

式。

14.20.13 壁纸配置（iOS 设备配置文件）

通过壁纸配置，您可以为 iOS 设备的锁定屏幕和/或主屏幕定义背景图像。

设置/字段

应用到

图片

说明

选择图像是用于锁定屏幕、主屏幕还是两者皆使用。

选择用于壁纸的文件大小上限为 5 MB 的 PNG 或 JPEG 图像。

iOS 根据需要剪裁并缩放图像。为获得最佳效果，请使用以下像

素尺寸的图片：

•

640 × 1136 (iPhone 5)

750 × 1334 (iPhone 6/7)

1242 × 2208 (iPhone 6/7 Plus)

1536 × 2048 (iPad, iPad mini, iPad Air)

2048 × 2732 (iPad Pro)

注释

用户可以随时更改壁纸。

Sophos Mobile

14.20.14 网站内容筛选器配置（iOS 设备配置文件）

使用网站内容筛选器配置，您可以定义阻止的 URL 和允许的带书签的 URL。

设置/字段

已阻止 URL

说明

如果选中该复选框，您可以定义不能在设备上访

问的阻止 URL 的列表。

单击下一步以显示 Web 内容筛选器页面。在此

页面上，可以添加单个 URL。

每个 URL 都使用一个新行。

允许的带书签的 URL如果您选中该复选框，可以定义允许的带书签的

URL，以将其添加到设备的 Safari 浏览器中。

阻止所有其他网站。

单击下一步以显示 Web 内容筛选器页面。单

击添加，将单个 URL 添加为书签。

阻止成人内容在 Web 内容筛选器页面上，使用它来打开阻止

成人内容的 Apple 筛选器。例如，包含亵渎或

色情语言的网页。

14.20.15 全球 HTTP 代理配置（iOS 设备配置文件）

通过全球 HTTP 代理配置，您可以定义公司代理服务器。

设置/字段

代理

说明

选择手动，对连接详细信息进行手动配置。

如果您有代理自动配置 (PAC) 文件，则选择自动。

服务器和端口

身份验证

密码

PAC URL

HTTP 代理的名称 (或 IP 地址) 和端口号。

用于连接代理服务器的用户名。

用于连接代理服务器的密码。

代理自动配置 (PAC) 文件的 URL。

Sophos Mobile

14.20.16 托管域配置（iOS 设备配置文件）

使用托管域配置，您可以定义 iOS 设备的托管域。

邮件域

输入由您的组织管理的电子邮件域。在邮件应用中，来自不与其中一个配置的域相匹配的地址的电子

邮件突出显示为不在域内。

网页域名

从其中一个配置的域下载的文件将被当作托管文档处理。如果激活允许文档仅共享于托管的应用/帐户

内限制，这些文档将只能通过托管应用打开。

有关托管应用的信息，请参阅iOS 的托管应用（第 258 页）。

注释

如果一个管理的网页域名条目包含一个端口号，只有指定端口号的地址将被管理。否则，仅标准端

口将被管理（http 的端口 80 及 https 端口 443）。

14.20.17 CalDAV 配置（iOS 设备配置文件）

使用 CalDAV 配置，您可以配置与 CalDAV 服务器的日历数据同步。例如，可用于与 iOS 设备同步

Google 日历。

设置/字段

帐户名称

帐户主机和端口

说明

设备上 CalDAV 帐户的显示名称。

CalDAV 服务器的主机名或 IP 地址，以及可选的端口号。

例如，对于 Google 日历，请输入：

:443

主要 URL如果 CalDAV 服务器需要，请输入日历资源的主要 URL。

例如，要与 Google 帐户中主日历以外的日历同步，请输

入：

/caldav/

v2/calendar_id/user

其中 calendar_id 是要同步的日历的 ID。在 Google 日

历 Web 应用程序中，日历 ID 显示在日历设置中。有关详

细信息，请参阅 Google 日历的帮助。

用户名、密码CalDAV 帐户的登录凭据。

例如，对于 Google 日历，请输入 Google 帐户的凭据。

Sophos Mobile

设置/字段

SSL/TLS

说明

连接 CalDAV 服务器受到 SSL 或 TLS 的保护（取决于服

务器支持的类型）。

建议您选中此复选框。

14.20.18 CardDAV 配置（iOS 设备配置文件）

使用 CardDAV 配置，您可以配置与 CardDAV 服务器的联系人数据同步。例如，可用于与 iOS 设备同步

Google 联系人。

设置/字段

帐户名称

帐户主机和端口

说明

设备上 CardDAV 帐户的显示名称。

CardDAV 服务器的主机名或 IP 地址，以及可选的端口

号。

例如，对于 Google 联系人，请输入：

主要 URL如果 CardDAV 服务器需要，请输入联系人资源的主要

URL。

例如，Google CardDAV API 支持以下主要 URL：

/carddav/

v1/principals/**********************

其中 account_name 是 Google 帐户名称。

用户名、密码CardDAV 帐户的登录凭据。

例如，对于 Google 联系人，请输入 Google 帐户的凭

据。

SSL/TLS连接 CardDAV 服务器受到 SSL 或 TLS 的保护（取决于服

务器支持的类型）。

建议您选中此复选框。

14.20.19 IMAP/POP 配置（iOS 设备配置文件）

使用 IMAP/POP 配置，您可以在 iOS 设备上添加 IMAP 或 POP 电子邮件帐户。

设置/字段

帐户名称

帐户类型

说明

设备上电子邮件帐户的显示名称。

传入电子邮件的邮件服务器类型 (IMAP 或 POP)。

Sophos Mobile

设置/字段

用户显示名称

说明

传出电子邮件的用户显示名称。

使用变量 %_USERNAME_% 来指定分配给设备的用户名称。

电子邮件地址帐户的电子邮件地址。

使用变量 %_EMAILADDRESS_% 来指定分配给设备的用户电

子邮件地址。

允许移动用户可以将电子邮件从该帐户移动到其他帐户。此选项允

许用户在回复或转发此帐户的邮件时使用其他帐户。

在同步最近地址列表时将包含该帐户。

该帐户只能用于发送来自邮件应用的邮件。不可选择它

充当其他应用所创建邮件的发送帐户，例如 Photos 或

Safari。

允许此帐户使用 Apple Mail Drop。

支持 S/MIME 加密标准。

用于电子邮件签名和加密的证书。

要选择证书，必须先将其上传到当前配置文件的客户端证

书配置中。

对于每封传出电子邮件，用户可以选择加密或不加密。

允许最近地址同步

仅在邮件中使用

允许邮件删除

启用 S/MIME

签名证书

加密证书

允许用户发送未加密的电子邮件

传入电子邮件

电子邮件服务器和端口传入电子邮件服务器（入站服务器）的主机名或 IP 地

址，以及端口号。

用于连接入站服务器的用户名。

用于连接入站服务器的身份验证方法。

用于连接入站服务器的密码（如果需要）。

连接接入服务器受到 SSL 或 TLS 的保护（取决于服务器

支持的类型）。

用户名

身份验证类型

密码

SSL/TLS

外发电子邮件

电子邮件服务器和端口外发电子邮件服务器（出站服务器）的主机名或 IP 地

址，以及端口号。

用于连接出站服务器的用户名。

用于连接出站服务器的身份验证方法。

用于连接出站服务器的密码（如果需要）。

用户名

身份验证类型

密码

Sophos Mobile

设置/字段

使用与传入电子邮件相同的密码

SSL/TLS

说明

使用为传入电子邮件指定的密码。

连接接出服务器受到 SSL 或 TLS 的保护（取决于服务器

支持的类型）。

14.20.20 Google 帐户配置 (iOS 设备配置文件)

通过 Google 帐户配置，您可以设置 Google 帐户。将配置分配给设备后，将要求用户进行 Google 帐

户身份验证。进行身份验证后，将在设备上设置 Google 帐户，并且用户可以启用 Google 服务。

设置/字段

Google 电子邮件地址

帐户描述

说明

Google 帐户的完整电子邮件地址。

帐户的可选描述。该值将显示在邮件和设置应用

中。

用户的名称。该值用于外发电子邮件消息。用户名

14.20.21 单点登录配置（iOS 设备配置文件）

使用单点登录配置，您可以定义第三方应用的单点登录设置。

设置/字段

名称

Kerberos 主体名称

说明

可读帐户名称。

Kerberos 主体名称。

如果您不输入值，用户必须在配置文件安装过程

中输入名称。

领域Kerberos 领域名称。

您必须用大写字母输入名称。

URL为将帐户用于基于 HTTP 的 Kerberos 身份验

证，必须匹配的 URL 前缀的列表。

值必须以或开始

如果值不是以 / 结尾，Sophos Mobile 将添加

/。

您可以使用单个星号 (*) 匹配所有值。

例如，*./ 匹配

/ 和

/。

Sophos Mobile

设置/字段

应用 ID

说明

应用的捆绑 ID 列表。

值必须是准确匹配 (如 )，

或在字符串结尾使用 .* 字符的前缀 (如

.*)。

14.20.22 AirPrint 配置 (iOS 设备配置文件)

通过 AirPrint 配置，您可以在用户的 AirPrint 打印机列表中添加 AirPrint 打印机。

设置/字段

IP 地址

资源路径

说明

AirPrint 打印机的 IP 地址。

与打印机关联的资源路径。

示例:

•

端口

强制 TLS

printers/<打印机型号>

ipp/print

AirPrint 打印机的侦听端口。

通过 TLS 保护 AirPrint 连接。

14.20.23 根证书配置（iOS 设备配置文件）

使用根证书配置，您可以在设备上安装根证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书，则必须再次

上传。

14.20.24 客户端证书配置（iOS 设备配置文件）

使用客户端证书配置，您可以在设备上安装客户端证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书，则必须再次

上传。

Sophos Mobile

14.20.25 SCEP 配置（iOS 设备配置文件）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的服务器 URL。

CA 名称证书颁发机构能够理解的名称。例如，该名称可用

于区分实例。

将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有效

的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(SerialNumber)_% 指定 iPhone

或 iPad 设备。

主题

有关可用占位符的信息，请参阅配置文件和策略中

的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，请选

择 SAN 类型，然后输入 SAN 值。SAN 类型有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即用

户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

重试

重试延迟

密钥大小

服务器发送挂起类型的响应时的重试次数。

两次重试之间间隔的秒数。

颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名

用于加密

如果您选中此复选框，公钥将可以用作数字签名。

如果您选中此复选框，公钥将可以用于数据加密。

Sophos Mobile

14.20.26 Duo 设备证书（iOS 设备配置文件）

使用 Duo 设备证书配置，您可以让设备从 Duo Security SCEP 服务器请求证书。如果设备上安装有

此证书，Duo Mobile iOS 应用将把设备归入信任设备。

要求的设置对所有 Duo Security 帐户通用。请勿修改预填充的值。

14.21 iOS 的 Sophos 容器策略的配置

使用 Sophos 容器策略，您可以配置与 Sophos 容器应用 Sophos Secure Email 和 Sophos Secure

Workspace 相关的设置。

有关如何创建 Sophos 容器策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.21.1 常规配置（iOS Sophos 容器策略）

使用常规配置，您可以定义适用于所有 Sophos 容器应用的设置（如果适用）。

设置/字段

启用 Sophos 容器密码

说明

用户必须输入一个额外的密码才能启动 Sophos

容器应用。在应用该配置后启动第一个容器应

用时，必须定义密码。此密码适用于所有容器应

用。

要求的 Sophos 容器密码的最低复杂性。始终

允许更安全的密码。密码（数字和字母数字字符

的组合）始终被视为比 PIN（仅数字字符）更安

全。

•

始终在密码条目字段中隐藏字符

任意：Sophos 容器密码没有限制。

4 个数字的 PIN

6 个数字的 PIN

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

密码复杂性

密码输入字段中的字符在屏蔽之前不会短暂显

示。

密码可以使用的天数，之后会提示用户修改。

允许登录尝试失败的次数，之后将锁定容器应

用。它们被锁定后，需要管理员对应用进行解

锁，如果允许，用户也可以使用自助服务门户

进行解锁。

密码期限（天）

锁定前登录失败

Sophos Mobile

设置/字段

允许指纹

宽限期的分钟数

说明

用户可以使用其指纹解锁应用。

容器应用再次回到前台而无需输入 Sophos 容器

密码的时间段。

该宽限期适用于所有容器应用。在该宽限期内，

无需输入密码就可以在应用之间进行切换。

上一次服务器连接用户可以使用 Sophos 容器应用而不必连接

Sophos Mobile 服务器的时间。

当 Sophos 容器应用激活且在定义的时间内没有

与服务器连接时，将显示锁屏界面。用户只能通

过点击锁屏界面上的重试解锁应用。然后，应用

将尝试连接到服务器。如果可以建立连接，应用

将解锁。否则，访问将被拒绝。

•

访问时：服务器无法访问时，总是需要服务器连接

并且应用将被锁定。

1 小时：在上次服务器成功连接后，应用活动 1 个

小时或以上时，需要连接服务器。

3 小时

6 小时

12 小时

1 天

3 天

无: 无需定期联系。

没有服务器连接时离线启动在此字段中，您可以定义在没有服务器连接时，

用户多久可以启动一个 Sophos 容器应用一次。

注释

该设置需要开启 Sophos 容器密码功能。

只要用户输入 Sophos 容器密码，计数器就会增

加。如果计数器超过定义的数量，将显示和上一

次服务器连接设置相同的锁屏界面。如果建立了

与 Sophos Mobile 服务器的连接，该计数器将

被重置。

•

无限制: 无需服务器联系。

0：不连接服务器则无法启动应用。

1：成功启动应用后，需要连接服务器。

允许越狱允许容器应用在越狱的设备上运行。

Sophos Mobile

设置/字段

应用使用约束条件

说明

可以在这里定义使用 Sophos 容器应用的约束条件。单击添加，输入约束条件。

地理限制用于添加 Sophos 容器应用可以在其中使用的纬

度和经度以及半径范围。

用于指定 Sophos 容器应用可以使用的开始时间

和结束时间。还可以指定应用可以在一周内的哪

些天可以使用。

如果您选中需要 Wi-Fi 连接，没有有效的 Wi-

Fi 连接时将锁定 Sophos 容器。

如果您将 Wi-Fi 网络添加到列表中，当设备连

接到未列出的 Wi-Fi 网络时将锁定 Sophos 容

器。

重要提示

我们建议您不要以 Wi-Fi 限制作为唯一的安全机

制，因为 Wi-Fi 名称很容易被欺骗。

时间限制

Wi-Fi 限制

14.21.2 公司电子邮件配置（iOS Sophos 容器策略）

使用公司电子邮件配置，您可以为您的 Microsoft Exchange Server 定义用户设置。这些设置适用于安

装在 Sophos 容器中的 Sophos Secure Email 应用。

设置/字段

Exchange 服务器

说明

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输

入代理服务器的 URL。

用户此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其

替换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会

将其替换为实际的电子邮件地址。

域

支持联系人电子邮件

此帐户的域。

将用作“联系技术人员”电子邮件地址的电子邮

件地址。

Sophos Mobile

设置/字段

使用安全文本字段

说明

输入字段的内容是保密的。将在 Sophos Secure

Email 应用中禁用自动完成和自动更正功能，以

防止敏感的内容保存在设备内存中。

允许用户将 Exchange 联系人导出到本地设备联

系人，以便他们可以识别来电中的公司联系人。

Sophos Secure Email 保持信息同步。

注释

在以下情况下，本地联系人信息将自动删

除：

•从 Sophos 容器策略中删除公司电子邮

件配置（需要重新启动 Secure Email

应用）时。

从设备删除 Sophos 容器时。

从 Sophos Mobile 取消注册设备时。

将联系人导出到设备

•

呼叫识别Sophos Secure Email 中的联系人信息可用于

识别来电的公司联系人，无需将 Sophos Secure

Email 联系人导出到设备联系人。

要使用此功能，用户必须开启以下设备设置：

•

在设置应用中：电话 > 呼叫阻止与识别 > 电子邮

件

在 Sophos Secure Email 应用中：设置 > 联系人

> 呼叫识别

通知新邮件的通知类型：

•

系统: 通知由 iOS 管理。它们不包括发件人

或主题等详细信息。

应用程序: 通知由 Sophos Secure Email 应

用管理。您可以选择要显示多少详细信息。

应用未运行时，不显示通知。

无: 不显示通知。•

此设置还会影响事件提醒：

•

系统, 无：事件提醒只包括时间信息。

应用程序: 事件提醒包括时间、位置和标题

信息。

拒绝复制到剪贴板用户不能从 Sophos Secure Email 应用复制或

剪切文件。

Sophos Mobile

设置/字段

打开附件

说明

在所有应用程序中: 附件可以在支持文件格式的

所有应用中打开。

容器应用: 附件将使用设备密钥加密，且只能在

Sophos Secure Workspace 中打开。打开方式操

作本身不会被阻止。

最大的电子邮件大小不会从 Exchange 服务器检索大于所选大小的电

子邮件（包括附件）。

仅在得到 Sophos 客户支持的指令时配置这些设

置。

额外设置

14.21.3 公司文档配置（iOS Sophos 容器策略）

使用公司文档配置，您可以为 Sophos Secure Workspace 应用的公司文档功能定义设置。

配置存储提供程序

对于每个存储提供程序，可以分别定义下列设置：

设置/字段

启用

离线

说明

可以在应用中使用存储提供程序。

将允许用户将文件从存储提供程序添加到应用

的收藏夹列表，以供离线使用。

用户可以通过打开与其他应用共享加密的文件。

用户可以通过打开与其他应用共享未加密的文

件。

用户可以复制文档的不同部分，并将它们粘贴到

其他应用。

打开（已加密）

打开（未加密）

剪贴板

企业提供程序设置

对于 Egnyte 和 WebDAV 提供程序 (也称为企业提供程序)，您可以集中定义服务器设置和登录凭据。

这些不能被用户更改。

未集中定义的凭据设置，可以由用户在应用的提供程序凭据屏幕中进行选择。

例如，可以集中定义服务器和要使用的用户帐户，但是可以不定义密码字段。然后用户在访问存储提

供程序时，必须要知道密码。

Sophos Mobile

设置/字段

名称

说明

在 Sophos Secure Workspace 应用中显示的提

供程序的名称。

在此字段中，输入：

•

公司文档 WebDAV 服务器上根文件夹的

URL。

Egnyte 服务器上根文件夹的 URL。

WebDAV 服务器上根文件夹的 URL。

服务器

使用以下格式：

用户名相关服务器的用户名。也可以使用 %_USERNAME_

% 变量。

相关帐户的密码。

相关帐户的上传文件夹。

密码

上传文件夹

其他设置

设置/字段

启用文档

密码复杂性

说明

将开启文档功能，可以安全分发公司文档。

要求的加密密钥密码的最低复杂性。总是允许更

安全的密码。

可以选择以下设置：

•

额外设置

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

仅在得到 Sophos 客户支持的指令时配置这些设

置。

14.21.4 公司浏览器配置（iOS Sophos 容器策略）

使用公司浏览器配置，您可以为 Sophos Secure Workspace 应用的公司浏览器功能定义设置。

公司浏览器让您可以安全访问公司的 Intranet 页面和其他允许的页面。您可以定义域和域内的书

签。

每个书签都属于某个域。当您添加书签时，如果没有域条目，将会自动创建域条目。

Sophos Mobile

域设置

设置/字段

URL

允许复制/粘贴

说明

您要允许的域。

用户可以从公司浏览器中将文本复制和粘贴到其

他应用。

用户可以下载附件，或将它们传递到其他应用。

用户可以在公司浏览器中保存他们的密码。

允许打开方式

允许保存密码

书签设置

设置/字段

名称

URL

说明

书签的名称。

书签的的 Web 地址。

14.21.5 根证书配置（iOS Sophos 容器策略）

使用根证书配置，您可以在设备上安装根证书。如果 Sophos Secure Email 和 Sophos Secure

Workspace 应用安装在 Sophos 容器中，它们将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.21.6 客户端证书配置（iOS Sophos 容器策略）

使用客户端证书配置，您可以在设备上安装客户端证书。如果 Sophos Secure Workspace 应用安装在

Sophos 容器中，它将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

Sophos Mobile

14.21.7 SCEP 配置（iOS Sophos 容器策略）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。这些证书可

用于 Sophos Secure Workspace 应用的公司浏览器功能。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

主题将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(SerialNumber)_% 指定 iPhone

或 iPad 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

Sophos Mobile

设置/字段

根证书

说明

CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

如果您选中此复选框，公钥将可以用于数据加

密。

用于加密

14.22 iOS 的 Mobile Security 策略的配置

利用 Mobile Security 策略，可以配置 Sophos Mobile Security 应用。

有关如何创建 Mobile Security 策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.22.1 网络配置 (iOS 的 Sophos Mobile Security 策略)

通过网络配置，您可以管理 Sophos Mobile Security 应用的网络设置，让用户免受来自网络的威胁。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

设置/字段

中间人保护

说明

Sophos Mobile Security 检查 Wi-Fi 连接是否存在中间

人攻击。

仅在得到 Sophos 客户支持的指令时配置这些设置。额外设置

14.22.2 网络筛选配置 (iOS 的 Sophos Mobile Security 策略)

通过网络筛选配置，您可以管理 Sophos Mobile Security 应用的网站筛选功能。这可以让用户避免浏

览包含恶意、不需要或非法内容的网站。此配置只影响受监督的设备。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

Sophos Mobile

设置/字段

筛选恶意网站

按照类别筛选网站

说明

选择用户是否可以访问带有恶意内容的网站。

选择用户是否可以访问属于特定类别的网站。

Sophos Mobile Security 根据 SophosLabs 提供的数据对

网站进行分类。该数据会不断更新。

提示

为了测试网络筛选，Sophos 创建了包含每个类别的示例页面

的网站。尽管其中一些页面被归类为具有潜在

的攻击性或危险性，但是页面内容本身在所有情况下都是无害

的。

网站例外配置类别筛选的例外：

允许的域: 允许网站，即使它们所属的类别受到阻止。

阻止的域: 阻止网站，即使它们属于允许的类别。

可以输入域名或 IP 地址。示例:

•

198.51.100.1

198.51.100.0/24

14.22.3 短信过滤配置 (iOS 的 Sophos Mobile Security 策略)

通过短信过滤配置，您可以为 Sophos Mobile Security iOS 应用的短信过滤功能定义域名。

短信过滤保护用户免受短信和彩信攻击。它将包含虚假域的消息移入垃圾短信，不包括联系人中的发

件人。

虚假域看起来像真实域，但略有修改：

•

替换、插入或置换了单个字符。

域名的前缀或后缀被修改。

一级域名 (TLD) 不同。

例如，如果您的真实域为，下面的则是虚假域：

•

(替换)

(插入)

(置换)

(前缀)

(不同的 TLD)

之类的子域则不过滤。

Sophos Mobile

14.23 macOS 设备策略的配置

使用 macOS 设备策略，您可以配置 Mac 设备的各个方面，如密码策略、限制或 Wi-Fi 设置。设备策

略应用到所有登录到您分配该策略的 Mac 设备的用户，无论他们是否由 Sophos Mobile 托管。

相关帐户的密码。

相关帐户的上传文件夹。

密码

上传文件夹

其他设置

设置/字段

启用文档

说明

将开启文档功能，可以安全分发公司文档。

Sophos Mobile

设置/字段

密码复杂性

说明

要求的加密密钥密码的最低复杂性。总是允许更

安全的密码。

可以选择以下设置：

•

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

拒绝截屏用户无法截取显示 Sophos Secure Workspace

应用的屏幕截图。

仅在得到 Sophos 客户支持的指令时配置这些设

置。

额外设置

14.16.4 公司浏览器配置（Android Sophos 容器策略）

使用公司浏览器配置，您可以为 Sophos Secure Workspace 应用的公司浏览器功能定义设置。

公司浏览器让您可以安全访问公司的 Intranet 页面和其他允许的页面。您可以定义域和域内的书

签。

每个书签都属于某个域。当您添加书签时，如果没有域条目，将会自动创建域条目。

一般设置

设置/字段

拒绝截屏

说明

用户不能截取显示公司浏览器的屏幕截图。

域设置

设置/字段

URL

允许复制/粘贴

说明

您要允许的域。

用户可以从公司浏览器中将文本复制和粘贴到其

他应用。

用户可以下载附件，或将它们传递到其他应用。

用户可以在公司浏览器中保存他们的密码。

允许打开方式

允许保存密码

Sophos Mobile

书签设置

设置/字段

名称

URL

说明

书签的名称。

书签的的 Web 地址。

14.16.5 根证书配置（Android Sophos 容器策略）

使用根证书配置，您可以在设备上安装根证书。如果 Sophos Secure Email 和 Sophos Secure

Workspace 应用安装在 Sophos 容器中，它们将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.16.6 客户端证书配置（Android Sophos 容器策略）

使用客户端证书配置，您可以在设备上安装客户端证书。如果 Sophos Secure Workspace 应用安装在

Sophos 容器中，它将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.16.7 SCEP 配置（Android Sophos 容器策略）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。这些证书可

用于 Sophos Secure Workspace 应用的公司浏览器功能。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

Sophos Mobile

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

主题将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(serial_number)_% 指定

Android 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

根证书CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

Sophos Mobile

设置/字段

用于加密

说明

如果您选中此复选框，公钥将可以用于数据加

密。

14.17 Android 的 Mobile Security 策略的配置

利用 Mobile Security 策略，可以配置 Sophos Mobile Security 应用。

有关如何创建 Mobile Security 策略的信息，请参阅创建配置文件或策略（第 87 页）。

注释

如果您将此策略分配给 Android 企业设备，将同时安装 Sophos Mobile Security 应用。您必须已

经在托管的 Google Play 中批准了此应用。

14.17.1 网络配置 (Android 的 Sophos Mobile Security 策略)

通过网络配置，您可以管理 Sophos Mobile Security 应用的网络设置，让用户免受来自网络的威胁。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

设置/字段

中间人保护

说明

Sophos Mobile Security 检查 Wi-Fi 连接是否存在中间

人攻击。

仅在得到 Sophos 客户支持的指令时配置这些设置。额外设置

14.17.2 反病毒配置 (Android 的 Sophos Mobile Security 策

略)

通过防病毒配置，您可以管理 Sophos Mobile Security 应用的恶意软件保护设置。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

设置/字段

云扫描模式

说明

选择 Sophos Mobile Security 何时从 Sophos 服务器加

载最新的恶意软件信息。

Sophos Mobile

设置/字段

计划扫描间隔

说明

选择执行恶意软件扫描的频率。

如果您选择每天充电时，则设备会在连接到电源超过 30

分钟后执行扫描。

扫描系统应用扫描系统应用。

默认情况下不扫描系统应用，因为它们受到 Android 操作

系统的保护且用户不能卸载。

扫描存储除了默认扫描所有安装的应用外，还扫描内部共享存

储、SD 卡和连接的 USB 设备上的所有文件，看是否存在威

胁。

扫描是否存在可能不需要的应用 (PUA)。

可能不需要的应用是指虽不是恶意软件，但通常被认为是

不适合企业网络的应用。PUA 包括广告软件、拨号器、系统

监控、远程管理工具和黑客工具。但是，某些可以归为 PUA

的应用可能对某些用户很有用。

检测 PUA

允许用户启用PUAs用户可以允许归为 PUA 的应用。随后的扫描中将忽略允许

的应用。

选择如何处理低信誉应用：

允许: 关闭对低信誉应用的扫描。

警告: 检测到低信誉应用时，在设备上显示警告消息。用

户可以选择如何处理该应用。他们可以将其添加到允许的应

用列表中，以便在检测到该应用时不会显示警告。

阻止: 用户不能启动低信誉应用。

模式

扫描通知当应用在安装后被扫描时，Sophos Mobile Security 将创

建一个通知。

如果不选中该复选框，将不会为清洁应用创建通知。

监控存储监控内部共享存储、SD 卡和连接的 USB 设备是否有修

改。新的文件存储在这些位置时，它们将被扫描到。

选择允许应用组。该组中的应用将排除在扫描以外。应用组

Sophos Mobile

14.17.3 网站筛选配置 (Android 的 Sophos Mobile Security

策略)

通过网络筛选配置，您可以管理 Sophos Mobile Security 应用的网站筛选功能。这可以让用户避免浏

览包含恶意、不需要或非法内容的网站。

重要提示

您还必须关闭允许拒绝 SMSec 权限合规性规则。否则，用户将可以通过关闭 Sophos 辅助功能服

务停止网站筛选。

设置

设置/字段

筛选恶意网站

按照类别筛选网站

说明

选择用户是否可以访问带有恶意内容的网站。

选择用户是否可以访问属于特定类别的网站。

Sophos Mobile Security 根据 SophosLabs 提供的数据对

网站进行分类。该数据会不断更新。

提示

为了测试网络筛选，Sophos 创建了包含每个类别的示例页面

的网站。尽管其中一些页面被归类为具有潜在

的攻击性或危险性，但是页面内容本身在所有情况下都是无害

的。

网站例外配置类别筛选的例外：

允许的域: 允许网站，即使它们所属的类别受到阻止。

阻止的域: 阻止网站，即使它们属于允许的类别。

可以输入域名或 IP 地址。示例:

•

198.51.100.1

198.51.100.0/24

支持的浏览器

网站筛选可与下列 Web 浏览器配合使用：

•

Android Web 浏览器

Firefox

Google Chrome

Sophos Mobile

•Microsoft Edge

其他浏览器可能也可以，但没有经过测试。

14.18 Knox 容器配置文件的配置

通过 Knox 容器配置文件，可以配置与 Samsung 设备的 Knox 容器相关的设置。

有关如何创建 Knox 容器配置文件的信息，请参阅创建配置文件或策略（第 87 页）。

14.18.1 密码策略配置（Knox 容器配置文件）

使用密码策略配置，您可以为 Knox 容器密码定义要求。

注释

支持的设置取决于操作系统的版本或其他设备功能。它在 Sophos Mobile Admin 中通过蓝色标签表

示。

密码类型

在密码类型列表中，选择允许用户配置的密码类型：

设置/字段

图案、PIN 或密码

说明

用户必须设置屏幕锁定方式。他们可以选择图

案、PIN 或密码类型的屏幕锁定方式。没有额外

的限制。

用户必须设置密码类型的屏幕锁定方式。允许

数字，但密码必须包含至少一个字母。您可以定

义最小长度。请参阅下表。

用户必须设置 PIN 或密码类型的屏幕锁定方

式。您可以定义最小长度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度。请参阅下表。

用户必须设置密码类型的屏幕锁定方式。密码

必须同时包含字母和数字。您可以定义最小长

度，以及数字、小写和大写字母及特殊字符的最

小数目。请参阅下面的两个表格。

简单密码

PIN 或密码

字母数字密码

复杂密码

如果您选择了简单密码、PIN 或密码、字母数字密码或复杂密码，则会显示以下字段：

设置/字段

密码长度最小值

说明

密码必须包含的最少字符数目。

Sophos Mobile

设置/字段

密码提示前最长空闲时间

说明

如果 Knox 容器未使用，则该工作配置文件被锁

定后的时间。容器可通过输入密码解锁。

注释

该设备可能会施加比您在此配置的时间更短的时间

段。

最长密码期效（天）要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

经过这么多次错误登录尝试之后，将删除 Knox

容器。

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

最大的登录尝试次数

密码历史记录

如果您选择了复杂密码，将显示以下附加字段：

设置/字段

字母最小数目

小写字母的最小数目

大写字母的最小数目

非字母数字字符的最小数目

说明

密码必须包含的最少字母数目。

密码必须包含的最少小写字母数目。

密码必须包含的最少大写字母数目。

密码必须包含的非字母数字字符（如 & 或 !）

的最小数目。

密码必须包含的最少数字字符数目。

密码必须包含的特殊字符（如 !"§$%&/

()=,.-;:_@<>）的最小数目。

最小位数

特殊字符的最小数目

生物特征身份验证

设置/字段

允许指纹身份验证

说明

如果设备支持，用户可以使用指纹验证方式解锁 Knox

容器。

如果设备支持，用户可以使用虹膜验证方式解锁 Knox

容器。

如果设备支持，用户可以人脸身份验证方式解锁 Knox

容器。

允许虹膜身份验证

允许人脸身份验证

Sophos Mobile

14.18.2 限制配置（Knox 容器配置文件）

使用限制配置，您可以配置 Samsung 设备 Knox 容器的限制和相关设置。

设置/字段

允许屏幕捕获

说明

用户可以捕获 Samsung Knox 容器中的应用的屏幕内

容。

Samsung Knox 容器中的应用可以访问相机。

用户可以将任意内容复制到剪贴板。

某些应用使用的共享方式功能将开启。

Samsung Knox 容器中的应用可以访问麦克风。

用户必须使用安全键盘。

用户可以在 Sophos Mobile 配置文件配置的帐户以外

添加电子邮件帐户。

私人应用可以访问 Samsung Knox 容器的数据。

私人文件可以复制或移动到 Samsung Knox 容器内。

Samsung Knox 容器内的应用可以使用蓝牙连接。

Samsung Knox 容器内的应用可以使用 NFC（近场通

信）连接。

要解锁 Samsung Knox 容器，需要多种身份验证方法，

如密码和指纹。

您可以配置允许的应用或禁止的应用。从第一个列表中

选择所需的选项，然后从第二个列表中选择包含要允许

的或禁止的应用的应用组。

Sophos Mobile 服务器启动的应用安装不受此设置的影

响。

有关创建应用组的信息，请参阅应用组（第 265

页）。

允许照相机

允许剪贴板

允许“共享方式”

允许麦克风

强制使用安全键盘

允许添加新邮件账户

允许数据导出

允许将文件复制到容器中

允许蓝牙

允许 NFC

强制进行多重身份验证

允许的应用/禁止的应用

Sophos Mobile

14.18.3 Exchange 帐户配置（Knox 容器配置文件）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。这些设

置被应用至 Samsung Knox 容器。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

发件人此帐户的发件人名称。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

密码此帐户的密码。

如果将此字段保留为空，用户必须在其设备上输入

密码。

同步周期用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

同步间隔

SSL/TLS

电子邮件同步过程之间的时间间隔。

连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

默认账户

允许所有证书

该帐户用作默认的电子邮件帐户。

允许电子邮件服务器传输过程中的所有证书。

Sophos Mobile

设置/字段

允许从其他帐户转发。

说明

此帐户可用于转发其他帐户收到的电子邮件。

例如，如果这是帐户 A，且 Knox 容器还包含另一

个帐户，即帐户 B，则帐户 B 收到的电子邮件可

以使用帐户 A 作为发件人转发。

注释

此设置仅供本机 Android 电子邮件应用使用。

允许使用 HTML 格式

最大附件大小 (MB)。

允许在电子邮件中使用 HTML 格式。

单封电子邮件最大的大小 (1、3、5、10、无限

制)。

要同步的内容类型。同步内容类型

14.19 Android Things 策略的配置

使用 Android Things 策略，您可以配置 Android Things 设备的各个方面。目前，仅支持 Wi-Fi 设

置。

有关如何创建 Android Things 策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.19.1 Wi-Fi 配置（Android Things 策略）

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

安全类型

说明

Wi-Fi 网络的 ID：

Wi-Fi 网络的安全类型：

•

无

WEP

WPA/WPA2

如果选择 WEP 或 WPA/WPA2，将显示密码字段。

输入相应的密码。

14.20 iOS 设备配置文件的配置

使用 iOS 设备配置文件，您可以配置 iOS 设备的各个方面，如密码策略、限制或 Wi-Fi 设置。

有关如何创建设备配置文件的信息，请参阅创建配置文件或策略（第 87 页）。

Sophos Mobile

14.20.1 密码策略配置（iOS 设备配置文件）

使用密码策略配置，您可以为设备密码定义要求。

注释

将密码策略配置分配给设备时，将开始 60 分钟的宽限期。在宽限期内，将在用户返回主屏幕时，

提示用户修改密码，以符合策略要求。在宽限期后，用户将不能启动设备上的应用，其中包括内部

应用。

设置/字段

允许简单值

说明

允许用户在其密码中使用顺序或重复字符，如

1111 或 abcde。

密码必须包含至少 1 个字母或数字。

指定密码必须包含的最少字符数目。

指定密码必须包含的非字母数字字符（例如 &

或！）的最小数目。

要求用户在指定的时间间隔内更改其密码。取值

范围：0（无需更改密码）至 730 天。

在此字段中，可以指定允许用户在设备上配置

的最大值。“自动锁定”指定设备空闲多长时间

（分钟）后将被锁定。

Sophos Mobile 存储的以前使用过的密码的数

量。

用户设置新密码时，不能与已经使用过的密码相

同。

设备锁定的最大宽限期间在此字段中，可以指定允许用户在设备上配置

的最大值。设备锁定的宽限期指定设备锁定后

在多长时间内可以解锁且没有密码提示。如果选

择无，则用户可选择任何可用时间间隔。如果选

择立即，则用户每次必须输入密码方可解锁其设

备。

在此字段中，可以指定输入正确密码的失败次

数，超过后将擦除设备。6 次失败尝试之后，再

次输入密码之前将出现时间延迟。每次失败尝试

后将增加延迟时间。最终失败尝试后，所有数据

和设置将从设备安全地删除。六次失败尝试后，

时间开始延迟。因此，如果将该数值设置为 6

或更小值，则不会出现时间延迟，并且超过失败

尝试限制时将擦除设备。

需要字母数字值

密码长度最小值

复杂字符的最小数目

最长密码期效（天）

最大自动锁定（分钟）

密码历史记录

设备擦除前的失败尝试次数

Sophos Mobile

14.20.2 限制配置（iOS 设备配置文件）

使用限制配置，您可以为设备定义限制。

注释

一些选项仅适用于某些版本的 iOS 或受监督的设备。它在 Sophos Mobile Admin 中通过蓝色标签

表示。

设备

设置/字段

允许应用安装

说明

如果清除该复选框，App Store 将不可用，且其图标将

从主屏幕中删除。用户不能通过 App Store 或 Apple

Configurator 安装或更新应用。

如果清除该复选框，App Store 将不可用，且其

图标将从主屏幕中删除。用户仍然可以通过 Apple

Configurator 安装或更新应用。

如果清除该复选框，相机将不可用，且相机图标将

从主屏幕中删除。用户无法拍照、录制视频或者使用

FaceTime。

用户可以发起或接收 FaceTime 视频通话。

用户可以截屏。

如果清除该复选框，漫游的设备将仅在用户访问帐户时

同步。

如果清除该复选框，用户将不能使用 Siri、语音命令

或听写模式。

如果清除该复选框，则用户必须输入其密码解锁其设备

方可使用 Siri。

如果清除该复选框，Siri 将不会从网络查询内容。

如果清除该复选框，则不在设备上强制执行 Siri 限制

性语言过滤。

如果清除该复选框，用户将不能在设备被密码锁定时使

用语音命令拨号。

注释

如果用户尚未配置设备密码，则始终允许语音拨

号。

允许从设备用户界面安装应用

允许使用照相机

允许 FaceTime

允许屏幕捕获

漫游时允许自动同步

允许 Siri

设备锁定时，允许 Siri

允许 Siri 从网页查询内容

强制执行 Siri 限制性语言筛选

允许在设备锁定时进行语音拨号

Sophos Mobile

设置/字段

设备锁定时，允许 Passbook

允许应用内购买

强制用户购买时输入存储密码

说明

将在设备锁定时显示 Passbook 通知。

用户可以进行应用内购买。

用户必须输入其 Apple ID 密码才能购买。

如果清除该复选框，将会有一个简短的宽限期，在此期

间，用户可以进行后续购买而不必再次输入其密码。

允许多人游戏

允许 Game Center

允许添加游戏中心的朋友

允许查找好友修改

允许主机配对

用户可以在 Game Center 内玩多人游戏。

如果清除该复选框，Game Center 将不可用。

用户可以在 Game Center 中添加好友。

如果清除该复选框，将不能修改“查找好友”应用。

如果清除该复选框，将关闭主机配对（监督主机除

外）。如果未配置监督主机证书，将关闭所有配对。

如果清除该复选框，用户将不能将设备与 Apple Watch

配对。任何当前已经配对的 Apple Watch 将取消配

对。

配对的 Apple Watch 必须使用手腕检测。

将开启 AirDrop 的内容共享。

如果清除该复选框，锁屏时将不能使用 Control

Center。

如果清除该复选框，锁屏时将不能使用 Notification

Center。

如果清除该复选框，锁屏时将不能使用 Today 视图。

新闻应用可以使用。

可以进行无线 PKI 更新。

用户可以在 iBooks 中购买书籍。

如果清除该复选框，将阻止通过 iBooks 商店提供的限

制性色情内容。

用户可以安装配置文件。

用户可以使用 iMessage 发送或接收短信。

用户可以从设备中卸载应用。

用户可以从设备中卸载系统应用。

允许与 Apple Watch 配对

强制执行手腕检测

允许 AirDrop

允许锁定屏幕上的 Control Center

允许锁定屏幕上的 Notification Center

允许锁定屏幕上的 Today 视图

允许新闻

允许无线 PKI 更新

允许 iBooks Store

允许iBooks 商店存在色情内容

允许用户安装配置文件

允许即时消息

允许删除应用

允许删除系统应用

Sophos Mobile

设置/字段

允许清除所有内容和设置

说明

如果清除该复选框，重置用户界面中的清除所有内容和

设置选项将不可用。

如果清除该复选框，Spotlight 将不会返回 Internet

搜索结果。

如果清除该复选框，重置用户界面中的启用限制选项将

不可用。

用户可以使用 Apple Continuity 的 Handoff 功能。

使用 Handoff，用户可以在一个设备上开始文档、电子

邮件或消息等工作，并在其他设备上继续。

用户可以更改设备名称。

用户可以更改壁纸。

用户可以修改通知设置。

用户可以使用键盘快捷方式。

用户可以开启启用听写键盘设置。

用户可以开启预测键盘设置。

用户可以开启自动更正键盘设置。

用户可以开启拼写检查键盘设置。

如果清除该复选框，自动下载在其他设备上购买的应用

将关闭。这不影响现有应用的更新。

用户可以访问 Apple Music 库。

用户可以访问 Apple Music Radio。

用户可以修改蓝牙设置。

用户可以添加 VPN 配置。

iOS 的日期和时间设置自动设置将开启，且用户不能将

其关闭。

iOS 软件的更新在发布日期后延迟的天数。

输入一个 0 (无延迟) 和 90 之间的值。

允许 Spotlight 的网络搜索结果

允许启用限制选项

允许传递

允许修改设备名称

允许修改壁纸

允许修改通知设置

允许键盘快捷方式

允许听写键盘输入

允许预测键盘

允许自动更正

允许拼写检查

允许自动下载应用

允许 Apple Music

允许 Apple Music Radio

允许修改蓝牙设置

允许创建 VPN

强制执行日期和时间自动调整

iOS 软件更新延迟

Sophos Mobile

公司数据

设置/字段

允许文档仅共享于托管的应用/帐户内

说明

这限制了通过 Sophos Mobile 管理的应用或帐户打开

文档，例如公司电子邮件帐户。

如果用户拥有 Sophos Mobile 管理的电子邮件帐户且

其设备上有 Sophos Mobile 管理的应用，则受管理电

子邮件帐户的附件仅可用受管理的应用打开。

这样，您可以防止公司文档在未受管理的应用中打开。

如果您关闭此设置，将禁用接下来的两项设置。托管帐

户的联系人可以共享给非托管应用。

允许托管应用将联系人写入非托管帐户

允许非托管应用从托管帐户读取联系人

允许文档仅共享于未托管的应用/帐户内

托管应用可以将联系人写入非托管帐户。

非托管应用可以从托管帐户读取联系人。

这限制了未通过 Sophos Mobile 管理的应用/帐户打开

文档，例如私人电子邮件帐户。

如果用户拥有不受其设备上的 Sophos Mobile 管理的

电子邮件帐户和应用，则未受管理的电子邮件帐户的附

件仅可用未受管理的应用打开。

这样，您可以防止个人文档在受管理的应用中打开。

强制要求 AirDrop 文档用作非托管文档

允许托管应用与 iCloud 同步

允许企业簿备份

允许企业簿说明并强调同步

AirDrop 被认为是一个非托管拖放目标。

托管应用可以使用 iCloud 同步。

将备份企业簿。

将同步企业簿说明和亮点。

应用程序

设置/字段

允许使用 iTunes Store

说明

如果清除该复选框，iTunes Store 将不可用，且其图

标将从主屏幕中删除。用户无法预览、购买或下载内

容。

如果清除该复选框，Safari Web 浏览器将不可用，且

其图标将从主屏幕中删除。此操作还可以用于防止用户

打开网页剪辑。

如果清除该复选框，Safari 将不会使用先前输入的信

息自动填充 Web 表单。

允许使用 Safari

启用自动填充功能

Sophos Mobile

设置/字段

强制欺诈警告

说明

Safari 安全设置在用户访问可疑的网络钓鱼网站时提

醒用户始终打开。

将开启 Safari 弹出窗口阻止程序。

网页可以在设备上执行 JavaScript 代码。

在此字段中，您指定 Safari 是否接受 Cookie。

当您允许 Cookie 时，您可以指定是否只接受来自当前

网站、以前访问过的网站或所有网站的 Cookie。

阻止弹出窗口

允许在浏览器中使用 JavaScript

接受缓存

允许修改每一应用的手机网络数据

允许的应用/禁止的应用

用户可以更改每个应用的手机网络数据使用。

可以指定允许的应用或禁止的应用。从第一个列表中选

择所需的选项，然后从第二个列表中选择包含要允许的

或禁止的应用的应用组。有关创建应用组的信息，请参

阅应用组（第 265 页）。

iCloud

设置/字段

允许备份

允许文件同步

允许 Photo Stream

说明

用户可以将其设备备份到 iCloud。

用户可以在 iCloud 中存储文档和应用配置数据。

用户可以将照片上传到我的照片流。

注释

如果您清除该复选框，禁止我的照片流，将同时从

所有设备删除通过我的照片流共享的现有照片。如

果这些照片没有其他副本，这些照片将会丢失。

允许 iCloud 照片库

允许共享照片流

用户可以使用 iCloud Photo Library。

用户可以邀请他人查看其照片流，并查看他人共享的照

片流。

用户可以使用 iCloud Keychain 在其 iPhone、iPad

和 Mac 设备之间同步密码。

如果清除该复选框，将只在设备上本地存储 iCloud

Keychain 数据。

允许 iCloud Keychain 同步

Sophos Mobile

安全和隐私

设置/字段

允许将诊断数据发送到 Apple

说明

如果清除该复选框，iOS 诊断信息将不会发送至

Apple。

如果清除该复选框，将不会询问用户是否信任无法验证

的证书。

此设置仅适用于 Safari、邮件联系人及日历帐户。

信任企业应用

允许修改密码

允许修改帐户

将信任企业应用。

用户可以添加、更改或删除设备密码。

如果清除该复选框，用户将不能修改帐户。帐户菜单将

不可用。

如果清除该复选框，将不能通过 Touch ID 解锁设备。

不再提供用于目标广告的匿名用户数据应用。

用户必须对 iTunes 中的备份进行加密。

设备只能连接到通过 Sophos Mobile 配置文件配置的

Wi-Fi 网络。

用户可以将文件发送到支持 AirPrint 的打印机。

AirPrint 用户名和密码可以存储在系统钥匙串

(Keychain) 中。

设备使用 iBeacon 发现 AirPrint 设备。

重要提示

如果允许此选项，恶意的 AirPrint 设备将可能对网络数

据流进行钓鱼攻击。

允许用户接受不受信任的 TLS 证书

允许 Touch ID 解锁设备

强制限制广告跟踪

强制加密备份

强制使用配置的 Wi-Fi 网络

允许 AirPrint

允许 AirPrint 凭据存储

允许 AirPrint 打印机的 iBeacon 发现

强制要求 AirPrint over TLS 的信任证

书

允许快速启动传输到新设备

如果 AirPrint 设备使用不受信任的证书，将拒绝基于

TLS 的 AirPrint。

用户可以使用 iOS 设置助手的快速启动功能，将数据

从设备传递到新设备。

用户可以开启自动填入密码设置，以使用在 Safari 或

其他应用中保存的密码或信用卡信息。

如果清除此复选框，将同时禁用自动建议强密码功能。

允许密码自动填入

Sophos Mobile

设置/字段

强制执行在自动填充前进行身份验证

说明

用户在使用自动填充功能时必须进行身份验证。

此设置仅在支持 Face ID 或 Touch ID 的设备上强制

执行。

从附近的设备请求 Wi-Fi 密码

允许 AirDrop 密码分享

设置 Wi-Fi 连接时，设备从附近设备请求密码。

用户可以通过 AirDrop 与其他用户共享 Password

Manager 的密码。

内容分级

设置/字段

允许显式音乐和播客

说明

如果清除该复选框，iTunes Store 中的限制性音乐或

视频内容将会隐藏。限制性内容由内容提供商在放到

iTunes Store 上标记，如记录标签。

14.20.3 Exchange 帐户配置（iOS 设备配置文件）

使用 Exchange 帐户配置，您可以设置与 Microsoft Exchange Server 电子邮件服务器的连接。

设置/字段

帐户名称

Exchange 服务器

说明

帐户名称。

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输入

代理服务器的 URL。

域

用户

此帐户的域。

此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其替

换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会将

其替换为实际的电子邮件地址。

密码此帐户的密码。

如果将此字段保留为空，用户必须在其设备上输入

密码。

Sophos Mobile

设置/字段

OAuth

说明

帐户使用 OAuth 进行身份验证，即用户使用其

Microsoft 凭据进行身份验证。

用于同步电子邮件的时间段。

只有指定时间段的电子邮件会同步到托管设备的收

件箱中。

同步周期

SSL/TLS连接 Exchange 服务器受到 SSL 或 TLS 的保护

（取决于服务器支持的类型）。

建议您选中此复选框。

允许移动用户可以将电子邮件从该帐户移动到其他帐户。此

选项允许用户在回复或转发此帐户的邮件时使用其

他帐户。

将在与其他使用 iCloud 的设备同步最近使用的地

址时包含该帐户。

该帐户只能用于发送来自邮件应用的邮件。不可

选择它充当其他应用所创建邮件的发送帐户，例如

Photos 或 Safari。

选择用于连接 Exchange 服务器的身份证书。

列表包括当前配置文件的客户端证书配置中的所有

证书。

允许最近地址同步

仅在邮件中使用

身份证明书

启用 S/MIME

签名证书

加密证书

支持 S/MIME 加密标准。

用于电子邮件签名和加密的证书。

要选择证书，必须先将其上传到当前配置文件的客

户端证书配置中。

对于每封传出电子邮件，用户可以选择加密或不加

密。

允许用户发送未加密的电子邮件

14.20.4 Wi-Fi 配置（iOS 设备配置文件）

使用 Wi-Fi 配置，您可以指定用于连接到 Wi-Fi 网络的设置。

设置/字段

SSID

自动连接

隐藏网络

说明

Wi-Fi 网络的 ID：

自动连接到目标网络。

目标网络不开放或可见。

Sophos Mobile

设置/字段

安全类型

说明

Wi-Fi 网络的安全类型：

•

无

WEP (个人)

WPA/WPA2 (个人)

任何（个人）

WEP (企业)

WPA/WPA2 (企业)

任意 (企业)

如果您选择其名称中带有个人的类型，则会显示密

码字段。输入相应的密码。

如果您选择其名称中带有企业的类型，则会显示协

议、身份验证和信任选项卡。

在协议选项卡上，配置以下设置：

•在接受 EAP 类型下，选择要用于身份验证的 EAP 方

法。根据该选项卡上所选的类型，此选项卡中内部身

份字段中的值可供选择。

在 EAP-FAST 下，配置 EAP-FAST 保护访问凭据设置。

在TLS 最低版本和TLS 最高版本中，选择用于 EAP 身份

验证的最低和最高 TLS 版本。

•

在身份验证选项卡上，可以配置客户端身份验证设

置：

•

在用户字段中，输入用于连接到 Wi-Fi 网络的用户名。

如果每个连接均询问密码且通过身份验证进行传输，则

选中每个连接都需要密码。

在密码字段中输入相关密码。

在身份证书列表中，选择用于连接 Wi-Fi 网络的证书。

注释

必须在客户端证书配置中指定要使用的证书。

•在外部身份字段中，输入外部可见 ID（TTLS、PEAP 及

EAP-FAST）。

在信任选项卡上，可以配置服务器身份验证设置：

从列表中选择信任的证书。

注释

必须在根证书配置中指定证书。

Sophos Mobile

设置/字段

代理

说明

在此列表中，选择用于 Wi-Fi 连接的代理设置：

•

无代理

手动

自动

如果您选择手动，将显示服务器和端口、身份验

证和密码字段。输入所需的代理信息。如果您选择自

动，将显示PAC URL字段。输入代理服务器的 URL。

14.20.5 单个应用模式配置（iOS 设备配置文件）

使用单个应用模式配置，您可以定义将设备锁定到单个应用中的操作模式的设置，并阻止用户更改为其

他应用。

设置/字段

选择源

说明

选择您要如何为单个应用模式指定应用：

•

应用标识符

应用列表：从所有可用 iOS 应用的列表中选择应

用。

自定义：手动输入应用的捆绑 ID。

用于单个应用模式的应用。

从列表中选择应用或输入捆绑 ID。

禁用触摸屏

禁用旋转

禁用音量按钮

禁用铃声切换

禁用睡眠唤醒按钮

禁用自动锁定

触摸手势将不可用。

屏幕不会转动。

音量按钮将不可用。

铃声切换将不可用。

唤醒按钮将不可用。

将关闭在空闲时间后让设备进入睡眠状态的自动锁定功

能。

画外音将可用。

缩放功能将可用。

反色功能将可用。

AssistiveTouch 将可用。

演讲选择功能将可用。

单声道功能将可用。

启用画外音

启用放大

启用反色

启用辅助触摸功能

启用演讲选择

启用单声道音频

Sophos Mobile

设置/字段

画外音

放大

反色

AssistiveTouch

说明

画外音调节将可用。

缩放调节将可用。

反色调节将可用。

AssistiveTouch 调节将可用。

14.20.6 接入点名称配置（iOS 设备配置文件）

使用接入点名称配置，可以为 iOS 设备指定接入点名称 (APN) 配置。APN 配置定义设备如何连接到移

动网络。

注释

接入点名称配置由于手机网络配置而被弃用。请参阅手机网络配置（iOS 设备配置文件）（第 161

页）。

重要提示

如果这些设置不正确，设备将不能使用手机网络访问数据。要撤消设置更改，必须从设备中删除配

置文件。

设置/字段

APN

说明

设备开启与运营商的 GPRS 连接时引用的 APN。

它必须与运营商接受的 APN 一致。否则，将无

法建立连接。

接入点用户名称接入点的用户名称。

注释

IOS 支持最多 64 个字符的 APN 用户名

称。

接入点密码接入点的密码。

注释

IOS 支持最多 64 个字符的 APN 密码。

代理服务器和端口代理服务器的地址和端口。

Sophos Mobile

14.20.7 漫游/热点配置（iOS 设备配置文件）

使用漫游/热点配置，您可以定义漫游和个人热点的设置。

注释

用户可随时在其设备上更改这些设置。

设置/字段

启用语音漫游

说明

可以使用语音漫游。

如果移动网络运营商不支持语音漫游，此设置将

被忽略。

启用数据漫游

启用个人热点

可以使用数据漫游。

用户可以配置设备以用作个人热点。

如果移动网络运营商不支持个人热点，此设置将

被忽略。

14.20.8 手机网络配置（iOS 设备配置文件）

使用手机网络配置，可以定义 iOS 设备的手机网络设置。

注释

如果已经安装了接入点名称配置，则不能在设备上安装手机网络配置。

设置/字段

身份验证

说明

PAP

CHAP

APN设备开启与运营商的 GPRS 连接时引用的 APN。

它必须与运营商接受的 APN 一致。否则，将无

法建立连接。

接入点用户名称接入点的用户名称。

注释

IOS 支持最多 64 个字符的 APN 用户名

称。

Sophos Mobile

设置/字段

接入点密码

说明

接入点的密码。

注释

IOS 支持最多 64 个字符的 APN 密码。

代理服务器和端口代理服务器的地址和端口。

14.20.9 网络使用情况规则配置（iOS 设备配置文件）

使用网络使用情况规则配置，您可以指定如何允许托管应用使用手机数据网络。

一般规则

在针对所有托管应用的规则下，为托管应用输入一般设置。

设置/字段

允许手机网络数据

允许数据漫游

说明

允许托管的应用使用手机网络进行数据通信。

允许托管的应用在设备漫游到外地手机网络时使用数据通

信。

例外情况

例外情况将替代一般规则。使用添加例外定义特定于应用组的规则。

设置/字段

应用组

说明

选择应用组

此例外适用于该组中的所有托管应用。

允许手机网络数据

允许数据漫游

允许所选应用组的托管应用使用手机网络进行数据通信。

允许所选应用组的托管应用在设备漫游到外地手机网络时

使用数据通信。

注释

不能为同一个应用组定义多个例外。

Sophos Mobile

14.20.10 VPN 配置（iOS 设备配置文件）

使用 VPN 配置，您可以为网络连接定义 VPN 设置。

设置/字段

连接名称

连接类型

说明

设备上显示的连接名称。

VPN 连接的类型：

•

Cisco AnyConnect

Cisco Legacy AnyConnect

IPsec (Cisco)

Check Point

自定义 SSL/TLS

VPN 页面上所显示的不同输入字段取决于您在此

处所选择的连接类型。

标示符（反向 DNS 格式）

服务器

帐户

第三方设置

反向 DNS 格式的自定义标识符。

服务器的主机名或 IP 地址。

用于验证连接的用户帐户。

如果您的供应商指定了自定义连接属性，可以将

其输入此字段。

要输入属性，请单击添加，然后在对话框中输入

属性的密钥和值。

通过 VPN 发送所有流量

组

用户验证

所有流量都将通过 VPN 发送。

验证连接所需的组。

用于连接的用户验证类型：

•密码

如果选中此选项，用户验证字段下方将显

示密码字段。输入密码以进行验证。

•证书

如果选中此选项，用户验证字段下方将显

示证书字段。选择证书。

Sophos Mobile

设置/字段

设备验证

说明

设备验证的类型：

•密钥（共享密钥）/组名称

如果选中此选项，设备验证字段下方将显

示组名称、密钥（共享密钥）、使用混合验

证及请求密码字段。在组名称及密钥（共享

密钥）字段输入所需的验证信息。选择使用

混合验证及所需的请求密码。

•证书

如果选中此选项，设备验证字段将显示证

书及包括用户 PIN 字段。在证书列表中，选

择所需的证书。选择包括用户 PIN 以将用户

的 PIN 包括在设备认证中。

代理用于连接的代理设置：

•

无代理

手动

如果选中此选项，将显示服务器和端口、验

证及密码字段。在服务器和端口字段中，

输入有效地址及代理服务器端口。在身份

验证字段中，输入连接到代理服务器的用户

名。在密码字段中，输入连接到代理服务器

的密码。

•自动

如果选中此选项，将显示代理服务器 URL

字段。在此字段中输入代理设置服务器的

URL。

提供程序类型VPN 连接类型。

•

应用代理: 网络数据流通过应用程序层的

VPN 隧道发送。

包隧道: 网络数据流通过网络层的 VPN 隧道

发送。

14.20.11 每个应用 VPN 配置（iOS 设备配置文件）

使用每个应用 VPN 配置，您可以为每个应用定义 VPN 设置。

您可以将应用配置为在其启动时自动连接到 VPN。这样就可以（例如）确保托管应用发送的数据通过

VPN 传输。

设置每个应用 VPN 配置后，可以在应用的编辑软件包页面上选择配置。请参阅将 VPN 连接分配给

iOS 应用（第 263 页）。

设置/字段

连接名称

说明

设备上显示的连接名称。

Sophos Mobile

设置/字段

连接类型

说明

VPN 连接的类型：

•

Cisco AnyConnect

Cisco Legacy AnyConnect

Check Point

自定义 SSL/TLS

VPN 页面上所显示的不同输入字段取决于您在此

处所选择的连接类型。

标示符（反向 DNS 格式）

服务器

帐户

第三方设置

反向 DNS 格式的自定义标识符。

服务器的主机名或 IP 地址。

用于验证连接的用户帐户。

如果您的供应商指定了自定义连接属性，可以将

其输入此字段。

要输入属性，请单击添加，然后在对话框中输入

属性的密钥和值。

通过 VPN 发送所有流量

组

用户验证

所有流量都将通过 VPN 发送。

验证连接所需的组。

用于连接的用户验证类型：

•密码

如果选中此选项，用户验证字段下方将显

示密码字段。输入密码以进行验证。

•证书

如果选中此选项，用户验证字段下方将显

示证书字段。选择证书。

代理用于连接的代理设置：

•

无代理

手动

如果选中此选项，将显示服务器和端口、验

证及密码字段。在服务器和端口字段中，

输入有效地址及代理服务器端口。在身份

验证字段中，输入连接到代理服务器的用户

名。在密码字段中，输入连接到代理服务器

的密码。

•自动

如果选中此选项，将显示代理服务器 URL

字段。在此字段中输入代理设置服务器的

URL。

Sophos Mobile

设置/字段

提供程序类型

说明

VPN 连接类型。

•

应用代理: 网络数据流通过应用程序层的

VPN 隧道发送。

包隧道: 网络数据流通过网络层的 VPN 隧道

发送。

Safari 域在此字段中，可以输入一系列域字符串。每个域

字符串都使用一个新行。

在 Safari 或其他浏览器应用中打开与其中一个

域字符串匹配的域时，将触发 VPN 连接。

规则匹配行为如下所示：

•开头和结尾处的点将忽略。例如，字符串

. 与匹配的域相

同。

字符串的每个组件必须匹配整个域组

件。例如，字符串匹

配域，但不匹配

。

单个组件的字符串只匹配该特定域。例如，

字符串 example 匹配域 example，但不匹配

。

•

14.20.12 Web 剪辑配置（iOS 设备配置文件）

使用 Web 剪辑配置，您可以定义将添加到用户设备主屏幕的 Web 剪辑。Web 剪辑让您可以快速访问收

藏的网页。但您也可以使用支持电话号码添加 Web 剪辑，例如，为致电支持人员提供了快捷方法。

设置/字段

说明

URL

可以删除

说明

对 Web 剪辑的说明。

Web 剪辑的 Web 地址。

如果清除该复选框，用户将不能删除 Web 剪

辑。不可将其从设备删除，除非用户删除了已安

装的配置文件。

将在设备上全屏显示打开的 Web 剪辑。全屏显

示的 Web 剪辑打开作为 Web 应用的 URL 。

全屏显示

Sophos Mobile

设置/字段

图标

说明

选择要在主屏幕上用作 Web 剪辑图标的图片。

这必须是最大 1 MB 的 PNG、GIF 或 JPEG 图

片。

图片将剪裁为方形并进行缩放以匹配显示分辨

率。为获得最佳效果，建议您使用 180 x 180

像素的图片。

注释

当在网页的 HTML 代码中定义了一个图标时，设备

可能会将该图标显示为 Web 剪辑图标。这仅适用

于某些网页，具体取决于网页代码中图标的配置方

式。

14.20.13 壁纸配置（iOS 设备配置文件）

通过壁纸配置，您可以为 iOS 设备的锁定屏幕和/或主屏幕定义背景图像。

设置/字段

应用到

图片

说明

选择图像是用于锁定屏幕、主屏幕还是两者皆使用。

选择用于壁纸的文件大小上限为 5 MB 的 PNG 或 JPEG 图像。

iOS 根据需要剪裁并缩放图像。为获得最佳效果，请使用以下像

素尺寸的图片：

•

640 × 1136 (iPhone 5)

750 × 1334 (iPhone 6/7)

1242 × 2208 (iPhone 6/7 Plus)

1536 × 2048 (iPad, iPad mini, iPad Air)

2048 × 2732 (iPad Pro)

注释

用户可以随时更改壁纸。

Sophos Mobile

14.20.14 网站内容筛选器配置（iOS 设备配置文件）

使用网站内容筛选器配置，您可以定义阻止的 URL 和允许的带书签的 URL。

设置/字段

已阻止 URL

说明

如果选中该复选框，您可以定义不能在设备上访

问的阻止 URL 的列表。

单击下一步以显示 Web 内容筛选器页面。在此

页面上，可以添加单个 URL。

每个 URL 都使用一个新行。

允许的带书签的 URL如果您选中该复选框，可以定义允许的带书签的

URL，以将其添加到设备的 Safari 浏览器中。

阻止所有其他网站。

单击下一步以显示 Web 内容筛选器页面。单

击添加，将单个 URL 添加为书签。

阻止成人内容在 Web 内容筛选器页面上，使用它来打开阻止

成人内容的 Apple 筛选器。例如，包含亵渎或

色情语言的网页。

14.20.15 全球 HTTP 代理配置（iOS 设备配置文件）

通过全球 HTTP 代理配置，您可以定义公司代理服务器。

设置/字段

代理

说明

选择手动，对连接详细信息进行手动配置。

如果您有代理自动配置 (PAC) 文件，则选择自动。

服务器和端口

身份验证

密码

PAC URL

HTTP 代理的名称 (或 IP 地址) 和端口号。

用于连接代理服务器的用户名。

用于连接代理服务器的密码。

代理自动配置 (PAC) 文件的 URL。

Sophos Mobile

14.20.16 托管域配置（iOS 设备配置文件）

使用托管域配置，您可以定义 iOS 设备的托管域。

邮件域

输入由您的组织管理的电子邮件域。在邮件应用中，来自不与其中一个配置的域相匹配的地址的电子

邮件突出显示为不在域内。

网页域名

从其中一个配置的域下载的文件将被当作托管文档处理。如果激活允许文档仅共享于托管的应用/帐户

内限制，这些文档将只能通过托管应用打开。

有关托管应用的信息，请参阅iOS 的托管应用（第 258 页）。

注释

如果一个管理的网页域名条目包含一个端口号，只有指定端口号的地址将被管理。否则，仅标准端

口将被管理（http 的端口 80 及 https 端口 443）。

14.20.17 CalDAV 配置（iOS 设备配置文件）

使用 CalDAV 配置，您可以配置与 CalDAV 服务器的日历数据同步。例如，可用于与 iOS 设备同步

Google 日历。

设置/字段

帐户名称

帐户主机和端口

说明

设备上 CalDAV 帐户的显示名称。

CalDAV 服务器的主机名或 IP 地址，以及可选的端口号。

例如，对于 Google 日历，请输入：

:443

主要 URL如果 CalDAV 服务器需要，请输入日历资源的主要 URL。

例如，要与 Google 帐户中主日历以外的日历同步，请输

入：

/caldav/

v2/calendar_id/user

其中 calendar_id 是要同步的日历的 ID。在 Google 日

历 Web 应用程序中，日历 ID 显示在日历设置中。有关详

细信息，请参阅 Google 日历的帮助。

用户名、密码CalDAV 帐户的登录凭据。

例如，对于 Google 日历，请输入 Google 帐户的凭据。

Sophos Mobile

设置/字段

SSL/TLS

说明

连接 CalDAV 服务器受到 SSL 或 TLS 的保护（取决于服

务器支持的类型）。

建议您选中此复选框。

14.20.18 CardDAV 配置（iOS 设备配置文件）

使用 CardDAV 配置，您可以配置与 CardDAV 服务器的联系人数据同步。例如，可用于与 iOS 设备同步

Google 联系人。

设置/字段

帐户名称

帐户主机和端口

说明

设备上 CardDAV 帐户的显示名称。

CardDAV 服务器的主机名或 IP 地址，以及可选的端口

号。

例如，对于 Google 联系人，请输入：

主要 URL如果 CardDAV 服务器需要，请输入联系人资源的主要

URL。

例如，Google CardDAV API 支持以下主要 URL：

/carddav/

v1/principals/**********************

其中 account_name 是 Google 帐户名称。

用户名、密码CardDAV 帐户的登录凭据。

例如，对于 Google 联系人，请输入 Google 帐户的凭

据。

SSL/TLS连接 CardDAV 服务器受到 SSL 或 TLS 的保护（取决于服

务器支持的类型）。

建议您选中此复选框。

14.20.19 IMAP/POP 配置（iOS 设备配置文件）

使用 IMAP/POP 配置，您可以在 iOS 设备上添加 IMAP 或 POP 电子邮件帐户。

设置/字段

帐户名称

帐户类型

说明

设备上电子邮件帐户的显示名称。

传入电子邮件的邮件服务器类型 (IMAP 或 POP)。

Sophos Mobile

设置/字段

用户显示名称

说明

传出电子邮件的用户显示名称。

使用变量 %_USERNAME_% 来指定分配给设备的用户名称。

电子邮件地址帐户的电子邮件地址。

使用变量 %_EMAILADDRESS_% 来指定分配给设备的用户电

子邮件地址。

允许移动用户可以将电子邮件从该帐户移动到其他帐户。此选项允

许用户在回复或转发此帐户的邮件时使用其他帐户。

在同步最近地址列表时将包含该帐户。

该帐户只能用于发送来自邮件应用的邮件。不可选择它

充当其他应用所创建邮件的发送帐户，例如 Photos 或

Safari。

允许此帐户使用 Apple Mail Drop。

支持 S/MIME 加密标准。

用于电子邮件签名和加密的证书。

要选择证书，必须先将其上传到当前配置文件的客户端证

书配置中。

对于每封传出电子邮件，用户可以选择加密或不加密。

允许最近地址同步

仅在邮件中使用

允许邮件删除

启用 S/MIME

签名证书

加密证书

允许用户发送未加密的电子邮件

传入电子邮件

电子邮件服务器和端口传入电子邮件服务器（入站服务器）的主机名或 IP 地

址，以及端口号。

用于连接入站服务器的用户名。

用于连接入站服务器的身份验证方法。

用于连接入站服务器的密码（如果需要）。

连接接入服务器受到 SSL 或 TLS 的保护（取决于服务器

支持的类型）。

用户名

身份验证类型

密码

SSL/TLS

外发电子邮件

电子邮件服务器和端口外发电子邮件服务器（出站服务器）的主机名或 IP 地

址，以及端口号。

用于连接出站服务器的用户名。

用于连接出站服务器的身份验证方法。

用于连接出站服务器的密码（如果需要）。

用户名

身份验证类型

密码

Sophos Mobile

设置/字段

使用与传入电子邮件相同的密码

SSL/TLS

说明

使用为传入电子邮件指定的密码。

连接接出服务器受到 SSL 或 TLS 的保护（取决于服务器

支持的类型）。

14.20.20 Google 帐户配置 (iOS 设备配置文件)

通过 Google 帐户配置，您可以设置 Google 帐户。将配置分配给设备后，将要求用户进行 Google 帐

户身份验证。进行身份验证后，将在设备上设置 Google 帐户，并且用户可以启用 Google 服务。

设置/字段

Google 电子邮件地址

帐户描述

说明

Google 帐户的完整电子邮件地址。

帐户的可选描述。该值将显示在邮件和设置应用

中。

用户的名称。该值用于外发电子邮件消息。用户名

14.20.21 单点登录配置（iOS 设备配置文件）

使用单点登录配置，您可以定义第三方应用的单点登录设置。

设置/字段

名称

Kerberos 主体名称

说明

可读帐户名称。

Kerberos 主体名称。

如果您不输入值，用户必须在配置文件安装过程

中输入名称。

领域Kerberos 领域名称。

您必须用大写字母输入名称。

URL为将帐户用于基于 HTTP 的 Kerberos 身份验

证，必须匹配的 URL 前缀的列表。

值必须以或开始

如果值不是以 / 结尾，Sophos Mobile 将添加

/。

您可以使用单个星号 (*) 匹配所有值。

例如，*./ 匹配

/ 和

/。

Sophos Mobile

设置/字段

应用 ID

说明

应用的捆绑 ID 列表。

值必须是准确匹配 (如 )，

或在字符串结尾使用 .* 字符的前缀 (如

.*)。

14.20.22 AirPrint 配置 (iOS 设备配置文件)

通过 AirPrint 配置，您可以在用户的 AirPrint 打印机列表中添加 AirPrint 打印机。

设置/字段

IP 地址

资源路径

说明

AirPrint 打印机的 IP 地址。

与打印机关联的资源路径。

示例:

•

端口

强制 TLS

printers/<打印机型号>

ipp/print

AirPrint 打印机的侦听端口。

通过 TLS 保护 AirPrint 连接。

14.20.23 根证书配置（iOS 设备配置文件）

使用根证书配置，您可以在设备上安装根证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书，则必须再次

上传。

14.20.24 客户端证书配置（iOS 设备配置文件）

使用客户端证书配置，您可以在设备上安装客户端证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此配置文件。如果您需要其他配置文件或者策略中的证书，则必须再次

上传。

Sophos Mobile

14.20.25 SCEP 配置（iOS 设备配置文件）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的服务器 URL。

CA 名称证书颁发机构能够理解的名称。例如，该名称可用

于区分实例。

将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有效

的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(SerialNumber)_% 指定 iPhone

或 iPad 设备。

主题

有关可用占位符的信息，请参阅配置文件和策略中

的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，请选

择 SAN 类型，然后输入 SAN 值。SAN 类型有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即用

户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

重试

重试延迟

密钥大小

服务器发送挂起类型的响应时的重试次数。

两次重试之间间隔的秒数。

颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名

用于加密

如果您选中此复选框，公钥将可以用作数字签名。

如果您选中此复选框，公钥将可以用于数据加密。

Sophos Mobile

14.20.26 Duo 设备证书（iOS 设备配置文件）

使用 Duo 设备证书配置，您可以让设备从 Duo Security SCEP 服务器请求证书。如果设备上安装有

此证书，Duo Mobile iOS 应用将把设备归入信任设备。

要求的设置对所有 Duo Security 帐户通用。请勿修改预填充的值。

14.21 iOS 的 Sophos 容器策略的配置

使用 Sophos 容器策略，您可以配置与 Sophos 容器应用 Sophos Secure Email 和 Sophos Secure

Workspace 相关的设置。

有关如何创建 Sophos 容器策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.21.1 常规配置（iOS Sophos 容器策略）

使用常规配置，您可以定义适用于所有 Sophos 容器应用的设置（如果适用）。

设置/字段

启用 Sophos 容器密码

说明

用户必须输入一个额外的密码才能启动 Sophos

容器应用。在应用该配置后启动第一个容器应

用时，必须定义密码。此密码适用于所有容器应

用。

要求的 Sophos 容器密码的最低复杂性。始终

允许更安全的密码。密码（数字和字母数字字符

的组合）始终被视为比 PIN（仅数字字符）更安

全。

•

始终在密码条目字段中隐藏字符

任意：Sophos 容器密码没有限制。

4 个数字的 PIN

6 个数字的 PIN

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

密码复杂性

密码输入字段中的字符在屏蔽之前不会短暂显

示。

密码可以使用的天数，之后会提示用户修改。

允许登录尝试失败的次数，之后将锁定容器应

用。它们被锁定后，需要管理员对应用进行解

锁，如果允许，用户也可以使用自助服务门户

进行解锁。

密码期限（天）

锁定前登录失败

Sophos Mobile

设置/字段

允许指纹

宽限期的分钟数

说明

用户可以使用其指纹解锁应用。

容器应用再次回到前台而无需输入 Sophos 容器

密码的时间段。

该宽限期适用于所有容器应用。在该宽限期内，

无需输入密码就可以在应用之间进行切换。

上一次服务器连接用户可以使用 Sophos 容器应用而不必连接

Sophos Mobile 服务器的时间。

当 Sophos 容器应用激活且在定义的时间内没有

与服务器连接时，将显示锁屏界面。用户只能通

过点击锁屏界面上的重试解锁应用。然后，应用

将尝试连接到服务器。如果可以建立连接，应用

将解锁。否则，访问将被拒绝。

•

访问时：服务器无法访问时，总是需要服务器连接

并且应用将被锁定。

1 小时：在上次服务器成功连接后，应用活动 1 个

小时或以上时，需要连接服务器。

3 小时

6 小时

12 小时

1 天

3 天

无: 无需定期联系。

没有服务器连接时离线启动在此字段中，您可以定义在没有服务器连接时，

用户多久可以启动一个 Sophos 容器应用一次。

注释

该设置需要开启 Sophos 容器密码功能。

只要用户输入 Sophos 容器密码，计数器就会增

加。如果计数器超过定义的数量，将显示和上一

次服务器连接设置相同的锁屏界面。如果建立了

与 Sophos Mobile 服务器的连接，该计数器将

被重置。

•

无限制: 无需服务器联系。

0：不连接服务器则无法启动应用。

1：成功启动应用后，需要连接服务器。

允许越狱允许容器应用在越狱的设备上运行。

Sophos Mobile

设置/字段

应用使用约束条件

说明

可以在这里定义使用 Sophos 容器应用的约束条件。单击添加，输入约束条件。

地理限制用于添加 Sophos 容器应用可以在其中使用的纬

度和经度以及半径范围。

用于指定 Sophos 容器应用可以使用的开始时间

和结束时间。还可以指定应用可以在一周内的哪

些天可以使用。

如果您选中需要 Wi-Fi 连接，没有有效的 Wi-

Fi 连接时将锁定 Sophos 容器。

如果您将 Wi-Fi 网络添加到列表中，当设备连

接到未列出的 Wi-Fi 网络时将锁定 Sophos 容

器。

重要提示

我们建议您不要以 Wi-Fi 限制作为唯一的安全机

制，因为 Wi-Fi 名称很容易被欺骗。

时间限制

Wi-Fi 限制

14.21.2 公司电子邮件配置（iOS Sophos 容器策略）

使用公司电子邮件配置，您可以为您的 Microsoft Exchange Server 定义用户设置。这些设置适用于安

装在 Sophos 容器中的 Sophos Secure Email 应用。

设置/字段

Exchange 服务器

说明

Exchange 服务器地址。

注释

如果使用 Sophos Mobile EAS 代理，请输

入代理服务器的 URL。

用户此帐户的用户。

如果您输入变量 %_USERNAME_%，服务器会将其

替换为实际的用户名。

电子邮件地址帐户的电子邮件地址。

如果您输入变量 %_EMAILADDRESS_%，服务器会

将其替换为实际的电子邮件地址。

域

支持联系人电子邮件

此帐户的域。

将用作“联系技术人员”电子邮件地址的电子邮

件地址。

Sophos Mobile

设置/字段

使用安全文本字段

说明

输入字段的内容是保密的。将在 Sophos Secure

Email 应用中禁用自动完成和自动更正功能，以

防止敏感的内容保存在设备内存中。

允许用户将 Exchange 联系人导出到本地设备联

系人，以便他们可以识别来电中的公司联系人。

Sophos Secure Email 保持信息同步。

注释

在以下情况下，本地联系人信息将自动删

除：

•从 Sophos 容器策略中删除公司电子邮

件配置（需要重新启动 Secure Email

应用）时。

从设备删除 Sophos 容器时。

从 Sophos Mobile 取消注册设备时。

将联系人导出到设备

•

呼叫识别Sophos Secure Email 中的联系人信息可用于

识别来电的公司联系人，无需将 Sophos Secure

Email 联系人导出到设备联系人。

要使用此功能，用户必须开启以下设备设置：

•

在设置应用中：电话 > 呼叫阻止与识别 > 电子邮

件

在 Sophos Secure Email 应用中：设置 > 联系人

> 呼叫识别

通知新邮件的通知类型：

•

系统: 通知由 iOS 管理。它们不包括发件人

或主题等详细信息。

应用程序: 通知由 Sophos Secure Email 应

用管理。您可以选择要显示多少详细信息。

应用未运行时，不显示通知。

无: 不显示通知。•

此设置还会影响事件提醒：

•

系统, 无：事件提醒只包括时间信息。

应用程序: 事件提醒包括时间、位置和标题

信息。

拒绝复制到剪贴板用户不能从 Sophos Secure Email 应用复制或

剪切文件。

Sophos Mobile

设置/字段

打开附件

说明

在所有应用程序中: 附件可以在支持文件格式的

所有应用中打开。

容器应用: 附件将使用设备密钥加密，且只能在

Sophos Secure Workspace 中打开。打开方式操

作本身不会被阻止。

最大的电子邮件大小不会从 Exchange 服务器检索大于所选大小的电

子邮件（包括附件）。

仅在得到 Sophos 客户支持的指令时配置这些设

置。

额外设置

14.21.3 公司文档配置（iOS Sophos 容器策略）

使用公司文档配置，您可以为 Sophos Secure Workspace 应用的公司文档功能定义设置。

配置存储提供程序

对于每个存储提供程序，可以分别定义下列设置：

设置/字段

启用

离线

说明

可以在应用中使用存储提供程序。

将允许用户将文件从存储提供程序添加到应用

的收藏夹列表，以供离线使用。

用户可以通过打开与其他应用共享加密的文件。

用户可以通过打开与其他应用共享未加密的文

件。

用户可以复制文档的不同部分，并将它们粘贴到

其他应用。

打开（已加密）

打开（未加密）

剪贴板

企业提供程序设置

对于 Egnyte 和 WebDAV 提供程序 (也称为企业提供程序)，您可以集中定义服务器设置和登录凭据。

这些不能被用户更改。

未集中定义的凭据设置，可以由用户在应用的提供程序凭据屏幕中进行选择。

例如，可以集中定义服务器和要使用的用户帐户，但是可以不定义密码字段。然后用户在访问存储提

供程序时，必须要知道密码。

Sophos Mobile

设置/字段

名称

说明

在 Sophos Secure Workspace 应用中显示的提

供程序的名称。

在此字段中，输入：

•

公司文档 WebDAV 服务器上根文件夹的

URL。

Egnyte 服务器上根文件夹的 URL。

WebDAV 服务器上根文件夹的 URL。

服务器

使用以下格式：

用户名相关服务器的用户名。也可以使用 %_USERNAME_

% 变量。

相关帐户的密码。

相关帐户的上传文件夹。

密码

上传文件夹

其他设置

设置/字段

启用文档

密码复杂性

说明

将开启文档功能，可以安全分发公司文档。

要求的加密密钥密码的最低复杂性。总是允许更

安全的密码。

可以选择以下设置：

•

额外设置

4 个字符的密码

6 个字符的密码

8 个字符的密码

10 个字符的密码

仅在得到 Sophos 客户支持的指令时配置这些设

置。

14.21.4 公司浏览器配置（iOS Sophos 容器策略）

使用公司浏览器配置，您可以为 Sophos Secure Workspace 应用的公司浏览器功能定义设置。

公司浏览器让您可以安全访问公司的 Intranet 页面和其他允许的页面。您可以定义域和域内的书

签。

每个书签都属于某个域。当您添加书签时，如果没有域条目，将会自动创建域条目。

Sophos Mobile

域设置

设置/字段

URL

允许复制/粘贴

说明

您要允许的域。

用户可以从公司浏览器中将文本复制和粘贴到其

他应用。

用户可以下载附件，或将它们传递到其他应用。

用户可以在公司浏览器中保存他们的密码。

允许打开方式

允许保存密码

书签设置

设置/字段

名称

URL

说明

书签的名称。

书签的的 Web 地址。

14.21.5 根证书配置（iOS Sophos 容器策略）

使用根证书配置，您可以在设备上安装根证书。如果 Sophos Secure Email 和 Sophos Secure

Workspace 应用安装在 Sophos 容器中，它们将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

14.21.6 客户端证书配置（iOS Sophos 容器策略）

使用客户端证书配置，您可以在设备上安装客户端证书。如果 Sophos Secure Workspace 应用安装在

Sophos 容器中，它将可以使用此证书。

在文件字段中，选择 PKCS #12 (.pfx) 证书文件并单击上传文件。证书名称将显示在证书名称字段

中。输入所选证书的密码。

注释

在此处上传的证书仅可用于此策略。如果您需要其他配置文件或者策略中的证书，则必须再次上

传。

Sophos Mobile

14.21.7 SCEP 配置（iOS Sophos 容器策略）

使用 SCEP 配置，您可以让设备使用简单证书注册协议 (SCEP) 从证书颁发机构申请证书。这些证书可

用于 Sophos Secure Workspace 应用的公司浏览器功能。

注释

您必须首先添加根证书配置以上传 SCEP 服务器的 CA 证书，然后才能添加 SCEP 配置。

设置/字段

URL

说明

证书颁发机构服务器的 Web 地址。

可以使用变量 %_SCEPPROXYURL_% 表示在

Sophos 设置页面的 SCEP 选项卡上配置的服务

器 URL。

别名证书将以该名称显示在选择对话框中。

这应该是一个可以标识证书的、容易记住的名

称。例如，使用与使用者字段中的相同值，而不

带 CN= 前缀。

主题将接收证书的实体（例如人或设备）的名称。

您可以使用占位符表示用户数据或设备属性。

您输入（占位符替换为实际数据）的值必须是有

效的 X.500 名称。

例如：

•

输入 CN=%_USERNAME_% 指定用户。

输入 CN=%_DEVPROP(SerialNumber)_% 指定 iPhone

或 iPad 设备。

有关可用占位符的信息，请参阅配置文件和策略

中的占位符（第 91 页）.

使用者可选名称的类型

使用者可选名称的值

要给 SCEP 配置添加使用者可选名称 (SAN)，

请选择 SAN 类型，然后输入 SAN 值。SAN 类型

有：

•

RFC 822 名称: 有效的电子邮件地址。

DNS 名称: CA 服务器的 DNS 名称。

统一资源标识符: CA 服务器的完全限定 URL。

AD 用户登录名Active Directory 中设置的用户登录名值，即

用户的用户主体名称 (UPN)。

用于从 SCEP 服务器获取质询密码的 Web 地

址。

可以使用变量 %_CACHALLENGE_% 表示在 Sophos

设置页面的 SCEP 选项卡上配置的质询 URL。

质询

Sophos Mobile

设置/字段

根证书

说明

CA 证书。

从列表中选择证书。列表包含您已经上传到当前

配置文件的根证书配置中的所有证书。

密钥大小颁发的证书中的公钥大小。

确保该值与 SCEP 服务器上配置的大小一致。

用于数字签名如果您选中此复选框，公钥将可以用作数字签

名。

如果您选中此复选框，公钥将可以用于数据加

密。

用于加密

14.22 iOS 的 Mobile Security 策略的配置

利用 Mobile Security 策略，可以配置 Sophos Mobile Security 应用。

有关如何创建 Mobile Security 策略的信息，请参阅创建配置文件或策略（第 87 页）。

14.22.1 网络配置 (iOS 的 Sophos Mobile Security 策略)

通过网络配置，您可以管理 Sophos Mobile Security 应用的网络设置，让用户免受来自网络的威胁。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

设置/字段

中间人保护

说明

Sophos Mobile Security 检查 Wi-Fi 连接是否存在中间

人攻击。

仅在得到 Sophos 客户支持的指令时配置这些设置。额外设置

14.22.2 网络筛选配置 (iOS 的 Sophos Mobile Security 策略)

通过网络筛选配置，您可以管理 Sophos Mobile Security 应用的网站筛选功能。这可以让用户避免浏

览包含恶意、不需要或非法内容的网站。此配置只影响受监督的设备。

注释

将此配置分配给设备时，将禁用 Sophos Mobile Security 应用中的相应设置。用户不能对它们进

行修改。

Sophos Mobile

设置/字段

筛选恶意网站

按照类别筛选网站

说明

选择用户是否可以访问带有恶意内容的网站。

选择用户是否可以访问属于特定类别的网站。

Sophos Mobile Security 根据 SophosLabs 提供的数据对

网站进行分类。该数据会不断更新。

提示

为了测试网络筛选，Sophos 创建了包含每个类别的示例页面

的网站。尽管其中一些页面被归类为具有潜在

的攻击性或危险性，但是页面内容本身在所有情况下都是无害

的。

网站例外配置类别筛选的例外：

允许的域: 允许网站，即使它们所属的类别受到阻止。

阻止的域: 阻止网站，即使它们属于允许的类别。

可以输入域名或 IP 地址。示例:

•

198.51.100.1

198.51.100.0/24

14.22.3 短信过滤配置 (iOS 的 Sophos Mobile Security 策略)

通过短信过滤配置，您可以为 Sophos Mobile Security iOS 应用的短信过滤功能定义域名。

短信过滤保护用户免受短信和彩信攻击。它将包含虚假域的消息移入垃圾短信，不包括联系人中的发

件人。

虚假域看起来像真实域，但略有修改：

•

替换、插入或置换了单个字符。

域名的前缀或后缀被修改。

一级域名 (TLD) 不同。

例如，如果您的真实域为，下面的则是虚假域：

•

(替换)

(插入)

(置换)

(前缀)

(不同的 TLD)

之类的子域则不过滤。

Sophos Mobile

14.23 macOS 设备策略的配置

使用 macOS 设备策略，您可以配置 Mac 设备的各个方面，如密码策略、限制或 Wi-Fi 设置。设备策

略应用到所有登录到您分配该策略的 Mac 设备的用户，无论他们是否由 Sophos Mobile 托管。

USB迷 | 专注于互联网分享

Sophos Mobile 管理员帮助(产品版本号:9)说明书

与本文相关的文章

评论列表 (0)