定义客户端策略和功能限制

移动服务 使用“客户端设置”功能管理并在移动客户端和服务器之间交换常规设置。设置包括客户端策略、JSON 存储、用户注册和服务密钥。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端设置上，选择标签以进行更改。有关详细信息，请参阅指南中的相应部分。

   • 选择客户端配置来配置策略：

     • 密码策略

     • 应用程序管理策略

     • 设备合规性策略

     • 锁定和擦除策略

     • 网络同步策略

     • 设备策略配置文件

     • 功能标志和 SaaS 的功能标志

     • 外观

     • 共享设备设置

   • 选择 JSON 存储以配置应用程序存储相关设置。有关详细信息，请参阅管理 JSON 存储。

   • 选择用户注册来管理注册的应用程序用户。有关详细信息，请参阅管理注册的用户。

   • 选择服务密钥以管理应用程序的服务密钥。有关详细信息，请参阅服务密钥。

   • 选择信息来查找功能详细信息，并以 JSON 格式导出数据。对于为 OAuth 安全性配置的应用程序，您可以从一个位置复制连接设置。

4. 选择保存。

定义客户端密码策略

定义用于为所选应用程序解锁安全存储的客户端密码策略。应用程序开发人员必须添加代码，强制应用程序使用安全存储的策略。 管理员在应用程序初始化过程中，输入用于解锁安全存储的应用程序密码策略。

客户端密码策略仅适用于在应用程序初始化期间用于解锁安全存储的应用程序密码； 不会影响 SAP Mobile Services 安全参数文件或集成的后端安全系统。 后端安全系统的密码策略由客户信息技术部门使用本机安全管理工具进行管理。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签上的密码策略部分下，选择启用密码策略，然后输入：

   属性	默认值	描述
   过期时间范围天数	0	密码保持有效的天数。默认值 0 表示密码永不过期。
   密码重用限制	0	用户无法使用的先前密码数量。要查看消息，请选择 图标。例如，如果您输入 5，则用户不能使用他们的最后 5 个密码。此属性与过期时间范围属性一起工作。例如，如果您将过期时间范围设置为 100 天，并将密码重用限制设置为 5，则您不能在这 100 天内重用先前 5 个密码。
   最小长度	8	密码的最小长度。
   重试限制	20	输入错误密码时允许重试的次数。到达该重试次数时，客户端会锁定，DataVault 及其所有内容会被永久删除，应用程序将无法使用，且无法访问加密的应用程序数据。
   最小唯一字符数	0	密码必须包含最小数量的唯一字符。但是，最小唯一字符数设置不能超过密码的最小长度，从而防止不相关的配置。例如，如果将最短密码长度设置为 8，则最短唯一字符长度应为 8 或更少，例如 5。此场景中的密码示例为 Ab12@333。
   锁定超时	0	安全存储在应用程序中保持解锁状态的秒数，超过此时间后，用户必须重新输入默认密码才能继续使用应用程序（与屏幕保护功能类似）。
   无需密码	已禁用	如果启用，则安全存储可以生成默认密码；从用户的角度来讲，这样会关闭密码。要查看消息，请选择 图标。消息状态：只能在单用户设备上跳过设置密码。此选项在共享设备上被禁用。 请注意，如果设置了默认密码，SDK 会自动生成默认密码来加密安全存储。默认密码由操作系统级加密机制加密并安全存储。
   允许生物识别验证	已禁用	如果启用，则允许使用本机生物技术解锁应用。如果启用共享设备，则会禁用现有复选框状态中的以下属性：无需密码和允许生物验证。
   需要大写字符	已禁用	如果启用，则密码必须包含大写字母。
   需要小写字符	已禁用	如果启用，则密码必须包含小写字母。
   需要特殊字符	已禁用	如果启用，则密码必须包含特殊字符。
   需要数字	已禁用	如果启用，则密码必须包含数字。
   仅数字	已禁用	如果启用，密码仅包含数字。启用此属性将禁用以下密码属性： 需要大写字符 需要小写字符 需要特殊字符 需要数字（默认启用）

4. 选择保存。

定义应用程序管理策略

为所选应用定义 SAP 移动服务主控室 的应用程序管理策略，例如是否检测设备合规性；限制用户在应用之间剪切、复制和粘贴信息；并限制用户打印数据或打开 URL。这些策略可以提供一些附加安全性。缺省情况下，未启用这些选项。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签上的应用程序管理策略部分下，启用或禁用策略。请注意，对于软件即服务或平台即服务环境中的某些应用，某些选项可能不会显示。

4. 对于设备合规性检测，选择或取消选择该复选框可启用或禁用该限制。启用后，移动服务 检查设备是否已 jailbroken (iOS) 或已开放根目录权限 (Android)。缺省情况下，未启用此选项。有关详细信息，请参阅定义设备合规性策略。

5. 对于限制应用间的剪切、复制和粘贴，选择或取消选择该复选框可启用或禁用该限制。此功能定义用户是否可以在 SAP 移动服务主控室 中的应用之间剪切、复制和粘贴信息。启用后，可以通过限制应用之间的信息交换来提供一些附加安全性。缺省情况下，未启用此选项。

6. 对于限制打印数据，选择或取消选择该复选框可启用或禁用应用的限制。启用后，将阻止用户从应用程序打印数据。在测试场景中或数据高度敏感时，这会很有用。缺省情况下，未启用此选项。

   对于限制打开 URL，选择或取消选择该复选框可启用或禁用应用的限制。启用后，将阻止用户访问某些 URL。当 URL 只能由某些角色访问时，这会很有用。缺省情况下，未启用此选项。

7. 选择保存。

定义设备合规性策略

定义 移动服务 是否应检查客户端设备合规性。如果启用，移动服务 将检查设备是否已 jailbroken 或已开放根目录权限。

Jailbreaking 是用于 iOS 设备的术语，而根是用于 Android 设备的术语。Jailbreaking 或设置设备根目录是指移除制造商或运营商对设备施加的软件限制的流程，允许用户访问设备的文件系统并安装未经授权的应用程序等。但是，jailbreaking 或设置设备根目录也可能使其更容易受到安全威胁和恶意软件的攻击。

此功能通过检测受影响的设备提供了一些附加安全性。缺省情况下，未启用此选项。启用后，移动服务 将检查设备合规性和报告状态。状态选项包括：

• 合规 - 设备通过了合规性检测，发现既未 jailbroken 也未开放根目录权限。

• 受损 - 设备通过了合规性检测，发现既未 jailbroken 也未开放根目录权限。受损设备状态也在事件日志中报告为错误（使用移动设备安全过滤器）。一旦合规性问题得到解决并重新检查，状态将更改。

• 未知 - 未知 - 设备尚未进行合规性检测，因此其状态尚不清楚。

当检测到受损设备时，会将其报告为移动设备安全事件，并显示在用户注册选项卡和事件日志中。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签的合规性策略部分下，选择启用合规性检测以启用限制。

4. 启用策略后，移动服务 SDK 定期检查最新的安全策略设置。如果启用合规性检查策略，SDK 将发起检查，如果失败则将结果报告给服务器。如果检测到受损设备，则会创建移动设备安全事件。您可以：

   • 检查用户注册以查看应用的设备状态。有关信息，请参阅管理注册的用户。

   • 检查事件日志以了解有关移动设备安全事件的详细信息。有关信息，请参阅查看事件日志。

   • 使用租用事件日志警报中的信息租用移动设备安全事件。

5. 如果需要，您可以选择关闭合规性检测。 -->

定义锁定和擦除策略

定义在设备中运行的应用程序的锁定和擦除策略。

（本机/MDK、SAP Build Apps）应用必须包含 SDK 逻辑才能支持锁定和擦除策略。例如，在设备丢失或被盗，或用户希望删除本地存储的数据时，开发人员可能会实施锁定和/或擦除。

在 SAP 移动服务主控室中，管理员可以为应用创建锁定和擦除策略：

• 锁定指锁定设备客户端中的应用。在应用锁定后，用户可以通过连接到服务器并验证来解锁应用。 所有现有的数据（特别是离线 OData 存储）都会保留在设备中。您可以设置锁定发生之前经过的天数。

• 擦除指重置设备中的应用程序。此操作会删除设备中现有的数据。您可以设置擦除发生之前经过的天数。

在主控室中设置锁定和擦除值时，请记住以下验证规则：

• 当未启用锁定或擦除策略时，这些字段将显示值零 (0)。

• 启用锁定或擦除策略时，至少其中一个字段必须具有非零值。

• 锁定周期必须小于擦除周期。

• 擦除前的天数必须大于锁定前的天数。

当策略生效时，服务器会通知应用，而应用程序根据 SDK 编程进行响应。

注释

锁定策略与冻结策略不同，冻结策略会阻止应用程序用户注册

应用程序或接收流量。请参阅管理应用。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签的锁定和擦除策略部分下，选择启用锁定和擦除策略。

4. 配置锁定和擦除功能。

   锁定和擦除策略

   策略	描述
   锁定前的离线天数	设置在锁定用户设备中的应用程序之前经过的天数。锁定前的天数必须低于擦除前的天数。零 (0) 表示未启用锁定。 如果锁定，用户必须重新连接到服务器并进行验证。
   擦除前的离线天数	设置在重置用户设备中的应用程序之前经过的天数。擦除前的天数必须高于锁定前的天数。零 (0) 表示未启用锁定。 擦除后，保留应用程序，但删除数据。

5. 选择保存。

定义功能限制策略

功能限制策略用于控制所选应用程序的功能访问。在 SAP 移动服务主控室中设置这些策略。可以添加、允许、限制、编辑或删除功能。

当您在 SAP 移动服务主控室中编辑本机或混合应用或者使用移动开发工具包开发的应用时，可用的功能插件会在客户端设置屏幕上列出。 功能插件通常是提供移动设备的本机 API 访问权限的 JavaScript API（例如，对于混合应用，通常作为 Apache Cordova 插件实施，如照相机、日历和推送）。可指示应限制用户使用的功能。

当插件（例如条形码扫描器插件）在服务器上处于禁用状态时，应用程序将启动设置交换并执行以下两项操作：

• 使插件的本机端无效。

• 将插件的命名空间更改为 null。

之后可以在服务器端启用插件，并触发设置交换。此时，尽管插件未出现在禁用列表中，cordova.plugins.barcodeScanner 命名空间的值仍为 null；仅当进行页面刷新，并且 Cordova 重新加载插件命名空间时，此值才会重置。

新功能限制策略在退出应用程序并重新启动以使 Cordova 刷新所有命名空间后生效。

注释

但是在 Web 应用程序（或使用应用程序的基础组件）中调用功能之前，应验证特定功能是否已启用。

您可以将功能限制值应用于所有用户（默认）；或者您可以对特定参数设置功能限制，以启用或禁用特定用户、组、类型和操作的功能，以及应用它们的顺序。您可以指定随机池（A/B 测试）并选择活动/非活动百分比值。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签的功能标志部分下，可以看到功能限制策略的当前状态。 对于以应用程序类型为 SAP 应用程序、移动开发工具包 或本机创建的应用程序，默认情况下不会添加功能标志。然而，以应用程序类型为混合创建的应用程序将默认添加所有功能标志。

   列	描述
   名称	唯一的功能插件名称。
   插件	应用程序提供的一系列功能插件，如照相机、日历和推送。
   标识	功能插件的唯一标识符。
   活动	指示允许或限制功能。开表示允许该功能。关表示不允许该功能。对于从提供者继承的某些功能，您可能能够激活某个功能，或者可能会受到限制。
   操作	可以执行的操作，例如编辑或删除。对于从提供者继承的功能，您可能会受到这些操作的限制。

4. 选择 为所选应用程序添加功能插件，或选择一行进行编辑，然后单击确定。

   字段	描述
   名称	唯一的功能名称。
   插件	应用程序提供的功能插件，如照相机、日历和推送。
   插件名称	插件名称。
   描述	功能插件描述，如 Cordova Camera 插件、Cordova Contacts 插件和 SAP Push 插件。
   JavaScript 模块	此插件使用的所有 JavaScript 模块的逗号分隔列表。JavaScript 模块值是用于调用插件的 JavaScript API。
   标识	插件的唯一标识符。值来自 cordova_plugins.js 文件，该文件在添加插件 ("pluginId") 后出现在项目中。
   活动	切换打开（允许）或关闭（受限）功能。默认允许功能。
   基于规则的激活	指示功能是否受任何规则约束。选项包括：(1)无 - 未应用特殊规则。功能限制设置适用于所有应用用户；(2) 激活规则 - 应用特殊规则。您可以设置一个或多个仅适用于特定应用用户的规则，并设置应用规则的顺序。选择此选项时，将显示激活规则部分。以适当的顺序输入规则（如下所述）；(3) 随机池（A/B 测试） - 用于延迟向较小的随机用户池推出新功能，或用于在新后端执行 A/B 测试。随即显示活动/非活动百分比属性。
   活动百分比	如果您已选择随机池（A/B 测试）激活规则并将活动设置为关闭（意味着功能受限），则会显示此属性。输入您要向其推出此功能的已注册应用用户的百分比。例如，输入 25 以向 25% 的用户推出此功能。
   非活动百分比	如果您已选择随机池（A/B 测试）激活规则并将活动设置为开（意味着所有用户都可以使用该功能），请输入您要向其推出此功能的已注册应用用户的百分比。例如，输入 35 以向 35% 的用户推出此功能。

   选择激活规则时，将显示激活规则部分。按照应执行的顺序添加规则。

   1. 选择 以添加新规则。

   2. 为规则分配属性值。有关示例值，请参阅激活规则示例表。

      激活规则属性

      属性	描述
      名称	激活规则的描述性名称，例如 "allowedPolicies: OS is Android" 或 "allowedPolicies: Svc Group"。
      类型	指示从何处获取信息，例如从标头、服务等。通过此源解析值。选项包括：(1) 应用版本、(2) OS 版本和 (3) 设备平台和 (4) 用户组。
      操作	用于与配置值进行比较的运算符。(1) 对于应用程序版本和操作系统版本，选项包括：等于、不等于、开始于、结束于和包含。 (2) 对于设备平台，选项包括等于、不等于和任意。(3) 对于用户组，选项包括：所有和任意。
      值	运算符比较的值，例如这些典型值：(1) 应用版本 - 1.0.0（单个值）；(2) 操作系统版本 - iOS/16.11（单个值）；(3) 设备平台 - iOS、Android、Windows；(4) 用户组 - Cards_Admin、kibana_user_global（支持多个值）。
      匹配	指示打开/关闭状态。
      操作	要执行的操作，例如 以移除规则。

      激活规则示例

      类型	运算符	典型值
      应用版本	等于、不等于、开始于、结束于、包含	1.0.0（单个值）
      操作系统版本	等于、不等于、开始于、结束于、包含	iOS/16.11（单个值）
      设备平台	等于、不等于、任意	Android（单个值）
      用户组	所有、任何	Cards_Admin、kibana_user_global（支持多个值）

   3. 按照应处理的顺序放置规则，从第一个（列表中最高）到最后一个（列表中最低）。这导致“优先匹配”方法。要定位规则，请选择规则，然后选择 将规则移至列表中的上层位置，然后选择 将规则移至列表中的下层位置。

   4. 选择确定进行保存。此规则将添加到列表中。

5. （仅限提供者）在 SaaS 租户的功能标志下，您可以查看租户的设备功能插件的当前状态，或选择启用 SaaS 租户的功能标志以启用该功能。有关详细信息，请参阅为 SaaS 提供者定义功能限制策略。如果您不是租户提供者，则不会出现此部分。

6. 选择保存。

为 SaaS 提供者定义功能限制策略

介绍软件即服务提供者为其租户设置功能限制策略的端到端流程。开始之前：

• SaaS 提供者生产架构必须在 SAP Business Technology Platform 中进行配置。

• SAP 移动服务主控室 必须实施存储服务。

• 运行时应用程序设置必须包含 saasFeatureVectorPolicies 节点。

• 要激活或取消激活特定租户，您需要他们的租户标识。您可以在 SAP Business Technology Platform 主控室中从子账户租户列表中获取租户标识。

此功能使软件提供者可以向租户租用者提供移动应用程序功能插件。此插件可以为所有租户激活，为所有租户取消激活，或为受限租户列表激活/取消激活。根据所做的设置，功能插件详细信息可能是只读的，也可能被编辑或覆盖。

您可以将功能限制值应用于所有用户（默认）；或者您可以对特定参数设置功能限制，以启用或禁用特定用户、组、类型和操作的功能，以及应用它们的顺序。您可以指定随机池（A/B 测试）并选择活动/非活动百分比值。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签上的 SaaS 租户的功能标志部分下，选择启用 SaaS 租户的功能标志。

4. 启用启用 SaaS 租户的功能标志后，您会看到租户的设备功能插件的当前状态。

   列	描述
   名称	唯一的功能插件名称。
   插件	应用程序提供的一系列功能插件，如照相机、日历和推送。
   标识	功能插件的唯一标识符。
   活动	指示是允许还是限制租户使用该功能。开表示允许租户使用该功能。关表示不允许租户使用该功能。
   可覆盖租户	指示租户是否可覆盖此设置。例如，租户可能决定不希望他们的用户使用某个功能，即使该功能可用。
   操作	可以执行的操作，例如编辑或删除。

5. 选择 为租户添加功能插件，或选择一行进行编辑，然后单击确定。

   SaaS 租户的功能标志属性

   属性	描述
   名称	输入功能名称，如 Feature1 或 SaaSFeature2。
   插件	输入功能插件。
   插件名称	输入功能插件名称。
   描述	输入插件的描述。
   JavaScript 模块	输入插件中所包含功能的列表，例如 Camera,navigator.camera,CameraPopoverOptions,CameraPopoverHandle。
   标识	插件标识符，例如 cordova-plugin.Feature1。
   可覆盖租户	租用者是否可覆盖此设置。例如，租户可能想要决定是否向其租用者提供某个功能，或者何时提供该功能。
   活动	提供者应用程序（租户）和租用者应用程序的功能标志是否都处于活动状态。此值适用于所有租户，除非您另行指定。如果功能标志处于活动状态，请选择开。设置为“开”时，所有租户都可以使用该功能。将显示属性在租户上 Deactive，您可以使用它关闭特定租户的功能标志。如果该功能处于非活动状态，请选择关。设置为“关”时，任何租户都无法使用该功能。将出现属性在租户上已激活，您可以使用它打开特定租户的功能标志。此设置可确定出现在功能标志表中的租用者的缺省值。请参阅定义功能限制策略。
   在租户上已激活	如果已激活设置为关（意味着该功能未对所有租户激活），您可以使用此属性覆盖特定租户的标志。输入一个或多个租户标识。然后，为该列表中的租户激活该功能。
   在租户上 Deactive	如果已激活设置为开（意味着该功能对所有租户激活），您可以使用此属性覆盖特定租户的标志。输入一个或多个租户标识。然后，为该列表中的租户取消激活该功能。
   基于规则的激活	指示功能是否受任何规则约束。选项包括：(1)无 - 未应用特殊规则。功能限制设置适用于所有应用用户；(2) 激活规则 - 应用特殊规则。您可以设置一个或多个仅适用于特定应用用户的规则，并设置应用规则的顺序。选择此选项时，将显示激活规则部分。以适当的顺序输入规则（如下所述）；(3) 随机池（A/B 测试） - 用于延迟向较小的随机用户池推出新功能，或用于在新后端执行 A/B 测试。随即显示活动/非活动百分比属性。
   活动百分比	如果您已选择随机池（A/B 测试）激活规则并将活动设置为关闭（意味着功能受限），则会显示此属性。输入您要向其推出此功能的已注册应用用户的百分比。例如，输入 25 以向 25% 的用户推出此功能。
   非活动百分比	如果您已选择随机池（A/B 测试）激活规则并将活动设置为开（意味着所有用户都可以使用该功能），请输入您要向其推出此功能的已注册应用用户的百分比。例如，输入 35 以向 35% 的用户推出此功能。

   选择激活规则时，将显示激活规则部分。按照应执行的顺序添加规则。

   1. 选择 以添加新规则。

   2. 为规则分配属性值。有关示例值，请参阅激活规则示例表。

      激活规则属性

      属性	描述
      名称	激活规则的描述性名称，例如 "allowedPolicies: OS is Android" 或 "allowedPolicies: Svc Group"。
      类型	指示从何处获取信息，例如从标头、服务等。通过此源解析值。选项包括：(1) 应用版本、(2) OS 版本和 (3) 设备平台和 (4) 用户组。
      操作	用于与配置值进行比较的运算符。(1) 对于应用程序版本和操作系统版本，选项包括：等于、不等于、开始于、结束于和包含。 (2) 对于设备平台，选项包括等于、不等于和任意。(3) 对于用户组，选项包括：所有和任意。
      值	运算符比较的值，例如这些典型值：(1) 应用版本 - 1.0.0（单个值）；(2) 操作系统版本 - iOS/16.11（单个值）；(3) 设备平台 - iOS、Android、Windows；(4) 用户组 - Cards_Admin、kibana_user_global（支持多个值）。
      匹配	指示打开/关闭状态。
      操作	要执行的操作，例如 以移除规则。

      激活规则示例

      类型	运算符	典型值
      应用版本	等于、不等于、开始于、结束于、包含	1.0.0（单个值）
      操作系统版本	等于、不等于、开始于、结束于、包含	iOS/16.11（单个值）
      设备平台	等于、不等于、任意	Android（单个值）
      用户组	所有、任何	Cards_Admin、kibana_user_global（支持多个值）

   3. 按照应处理的顺序放置规则，从第一个（列表中最高）到最后一个（列表中最低）。这导致“优先匹配”方法。要定位规则，请选择规则，然后选择 将规则移至列表中的上层位置，然后选择 将规则移至列表中的下层位置。

   4. 选择确定进行保存。此规则将添加到列表中。

6. 选择保存。

   激活应用的功能后，它会出现在功能插件的租用者列表中。根据其设置，该功能可能是只读的，租用者无法执行任何操作。

   如果您使租户可覆盖此功能，则租户可以决定是否向租用者提供功能插件。根据其设置，该功能可能是只读的，租用者无法执行任何操作。

定义设备策略配置文件

为所选应用创建设备策略配置文件，以及触发策略配置文件的条件。例如，您可能希望将一个密码策略应用到一组用户，并将另一个策略应用到另一组。

此功能可：

• 仅版本 2 API

• 仅本机/MDK 应用

• 包括 SaaS 应用

此功能提供了一种在 SAP 移动服务主控室 中将用户划分为不同组的方法，并使用条件对每个组应用不同的策略。这些策略可以应用于设备配置文件：

• 传递代码策略

• 锁定和擦除策略

• 网络同步策略

创建策略后，您可以使用拖放来调整配置文件的顺序。首先应用列表顶部的配置文件，然后是每个后续配置文件。

1. 在 SAP 移动服务主控室 中，选择移动应用程序 > 本机/MDK。

2. 选择应用程序，导航到设置标签，然后选择客户端设置。

3. 在客户端配置标签上的设备策略配置文件部分下，您可以查看设备策略配置文件列表。

   设备策略配置文件

   属性	设备策略配置文件
   名称	用于标识设备策略配置文件的描述名称。
   描述	设备策略配置文件的更详细描述。
   活动	策略是否处于活动状态。请注意，如果更改活动设置，请确保选择页面右上角的保存以保存更改。
   操作	可以执行的操作，例如编辑或删除。

4. 选择 以使用新建设备策略配置文件向导添加新配置文件，或选择现有配置文件进行编辑。

   1. 在常规信息页面上，输入基本信息，然后选择下一步。

      常规信息

      属性	描述
      名称	用于标识设备策略的描述名称。
      描述	（可选）设备策略的描述以及附加详细信息。
      活动	指示策略当前是否处于活动状态。

   2. 在密码策略上，选择启用密码策略并输入策略值。有关详细信息，请参阅定义客户端密码策略。完成时，选择下一步。

   3. 在锁定和擦除策略页面上，选择启用锁定和擦除策略并输入策略值。有关详细信息，请参阅定义锁定和擦除策略。完成时，选择下一步。

   4. 在网络同步策略页面上，选择启用网络策略并输入策略值。有关详细信息，请参阅定义网络同步策略。完成时，选择下一步。

   5. 在触发条件页面上，在一个或多个条件组中输入激活设备策略配置文件的条件。

      1. 如有必要，请选择添加条件组以开始。

      2. 向组添加一个或多个条件。

         条件属性

         属性	描述
         SAML 属性名称	条件的属性名称。
         运算符	用于条件的运算符，例如等于或包含。
         SAML 属性值	要使用的值。
         操作	要采取的操作，例如删除条件或组，或将另一个条件添加到条件组。

      3. 根据需要添加附加组。

5. 选择完成进行保存。向导关闭，策略出现在设备策略配置文件列表中。

6. 创建策略后，您可以使用拖放来调整配置文件的顺序。选择页面右上角的保存以保存更改。

   配置文件按照它们出现的顺序应用，从列表中的第一个到最后一个。

---

最后更新: January 12, 2026