文章目录
- [1 -> 引言:鸿蒙企业设备管理能力的演进](#1 -> 引言:鸿蒙企业设备管理能力的演进)
- [2 -> MDM Kit 与 restrictions 模块概述](#2 -> MDM Kit 与 restrictions 模块概述)
-
- [2.1 -> MDM Kit 能力定位](#2.1 -> MDM Kit 能力定位)
- [2.2 -> 接口核心原理](#2.2 -> 接口核心原理)
- [2.3 -> 使用前置条件](#2.3 -> 使用前置条件)
- [3 -> 新增五项管控特性详解](#3 -> 新增五项管控特性详解)
-
- [3.1 -> 短信(sms)管控](#3.1 -> 短信(sms)管控)
-
- [3.1.1 -> 功能定义](#3.1.1 -> 功能定义)
- [3.1.2 -> 应用场景分析](#3.1.2 -> 应用场景分析)
- [3.1.3 -> 代码实现](#3.1.3 -> 代码实现)
- [3.1.4 -> 注意事项](#3.1.4 -> 注意事项)
- [3.2 -> 蜂窝数据(mobileData)管控](#3.2 -> 蜂窝数据(mobileData)管控)
-
- [3.2.1 -> 功能定义](#3.2.1 -> 功能定义)
- [3.2.2 -> 需要权限](#3.2.2 -> 需要权限)
- [3.2.3 -> 应用场景分析](#3.2.3 -> 应用场景分析)
- [3.2.4 -> 代码实现](#3.2.4 -> 代码实现)
- [3.2.5 -> 注意事项](#3.2.5 -> 注意事项)
- [3.3 -> 飞行模式(airplaneMode)管控](#3.3 -> 飞行模式(airplaneMode)管控)
-
- [3.3.1 -> 功能定义](#3.3.1 -> 功能定义)
- [3.3.2 -> 需要权限](#3.3.2 -> 需要权限)
- [3.3.3 -> 应用场景分析](#3.3.3 -> 应用场景分析)
- [3.3.4 -> 代码实现](#3.3.4 -> 代码实现)
- [3.3.5 -> 注意事项](#3.3.5 -> 注意事项)
- [3.4 -> 通知消息(notification)管控](#3.4 -> 通知消息(notification)管控)
-
- [3.4.1 -> 功能定义](#3.4.1 -> 功能定义)
- [3.4.2 -> 需要权限](#3.4.2 -> 需要权限)
- [3.4.3 -> 应用场景分析](#3.4.3 -> 应用场景分析)
- [3.4.4 -> 代码实现](#3.4.4 -> 代码实现)
- [3.4.5 -> 注意事项](#3.4.5 -> 注意事项)
- [3.5 -> NFC(nfc)管控](#3.5 -> NFC(nfc)管控)
-
- [3.5.1 -> 功能定义](#3.5.1 -> 功能定义)
- [3.5.2 -> 需要权限](#3.5.2 -> 需要权限)
- [3.5.3 -> 应用场景分析](#3.5.3 -> 应用场景分析)
- [3.5.4 -> 代码实现](#3.5.4 -> 代码实现)
- [3.5.5 -> 注意事项](#3.5.5 -> 注意事项)
- [4 -> 策略查询与清除](#4 -> 策略查询与清除)
-
- [4.1 -> 查询当前禁用状态](#4.1 -> 查询当前禁用状态)
- [4.2 -> 清除策略(启用)](#4.2 -> 清除策略(启用))
- [4.3 -> 策略生命周期管理的最佳实践](#4.3 -> 策略生命周期管理的最佳实践)
- [5 -> 完整实践示例](#5 -> 完整实践示例)
-
- [5.1 -> 完整 MDM 应用限制策略模块](#5.1 -> 完整 MDM 应用限制策略模块)
- [5.2 -> 在 EnterpriseAdminExtensionAbility 中初始化策略](#5.2 -> 在 EnterpriseAdminExtensionAbility 中初始化策略)
- [6 -> 总结与展望](#6 -> 总结与展望)
-
- [6.1 -> 核心能力总结](#6.1 -> 核心能力总结)
- [6.2 -> 使用建议](#6.2 -> 使用建议)
- [6.3 -> 行业影响](#6.3 -> 行业影响)
1 -> 引言:鸿蒙企业设备管理能力的演进
随着移动办公场景的持续深化,企业对终端设备的管控需求已从早期的简单设备管理,演进为覆盖硬件能力、通信渠道、网络连接、数据交互等全维度的精细化管控体系。在金融、政务、教育、军工等高敏感行业,仅仅管理应用安装与卸载已远远不够,企业更需要系统级的能力开关,从设备底层实现通信与数据通道的精准控制。
HarmonyOS 6.0 在 MDM Kit(企业设备管理服务)上开放了超过 300 项系统 API,覆盖设备管理、通信管理、网络配置、应用分发、KIOSK 展台模式等关键领域。其中,restrictions 模块作为限制类策略的核心入口,自 API 12 版本起提供设备通用能力的全局禁用与启用控制,在 HarmonyOS 6.0 中进一步扩展了特性覆盖范围。
本文聚焦于 restrictions 模块在 API 20 版本中新增的五项关键管控特性:短信(sms)、蜂窝数据(mobileData)、飞行模式(airplaneMode)、通知消息(notification)和 NFC(nfc)。这五项策略的加入,标志着鸿蒙企业设备管理从基础硬件管控向通信与数据交互层的纵深拓展。
2 -> MDM Kit 与 restrictions 模块概述
2.1 -> MDM Kit 能力定位
MDM Kit(Mobile Device Management Kit)是为企业 MDM 应用提供的设备管理能力集合,由多个子模块构成,涵盖应用管理、通信管理、安全管理、禁用管理、设备设置与查询、硬件外设管理等。设备管理应用需要在 Manifest 中声明 EnterpriseAdminExtensionAbility,并在激活后方可调用 MDM Kit 中的各类接口。
restrictions 模块是 MDM Kit 中专门负责设备通用功能全局限制的子模块。该模块提供统一的 setDisallowedPolicy 接口,以规范化的方式实现对设备各项特性的禁用与启用控制。
2.2 -> 接口核心原理
setDisallowedPolicy 接口的设计遵循"单一职责、统一调用"原则:无论管控的是蓝牙、Wi-Fi,还是本文重点讨论的短信、蜂窝数据等新特性,均通过同一组参数结构完成策略下发。其核心逻辑可概括为:
- 全局作用域:策略作用于整个设备,而非特定应用或用户。一旦通过 MDM 应用设置禁用,系统层面即对该特性进行阻断。
- 冲突规则------从严管控:当存在多个 MDM 应用时,任一应用要求"禁用",则最终策略为禁用。仅当所有 MDM 应用都移除"禁用"指令后,限制才会解除。
- 持久化存储:策略设置后持久保存在设备中,系统重启后依然生效,直到被显式清除或覆盖。
2.3 -> 使用前置条件
调用 restrictions 模块的任何接口之前,必须满足以下条件:
- 应用类型:调用方必须为已激活的设备管理应用(MDM 应用),普通应用无权调用。
- 模型约束:仅在 Stage 模型下可用。
- 权限声明 :根据设置的特性类型,需要声明对应权限。本批新增特性中:
sms需要ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONSmobileData需要ohos.permission.ENTERPRISE_MANAGE_NETWORKairplaneMode需要ohos.permission.ENTERPRISE_MANAGE_NETWORKnotification需要ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONSnfc需要ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS
- 设备形态:部分特性有设备形态限制,详情见下文各节说明。
3 -> 新增五项管控特性详解
3.1 -> 短信(sms)管控
3.1.1 -> 功能定义
sms 特性用于管控设备接收和发送短信的能力。设置禁用后,设备将无法通过短信应用发送任何短信,也无法接收来自运营商网络的短信消息。此项能力在 API 20 版本中新增,当前仅支持手机和平板设备。
3.1.2 -> 应用场景分析
短信管控在企业场景中具有多重价值:
场景一:防数据泄露防线。在涉密场所(如军工实验室、核心研发区),短信作为明文传输通道存在敏感信息泄露风险。禁用短信能力可以从通信链路上切断数据外传途径。
场景二:员工专注力管理。在教育或生产场景中,禁用短信可减少员工在工作期间的无关通信干扰,提升专注度。考试场景中禁用短信可有效防止通过短信传输答案的作弊行为。
场景三:SIM 卡资源共享策略。在双卡设备场景下,企业可根据策略区分主副卡的短信权限,例如仅允许工作卡号收发短信,禁用副卡短信能力。
3.1.3 -> 代码实现
typescript
// 导入所需模块
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
// 定义设备管理应用的 Want 参数
// bundleName: 设备管理应用的包名
// abilityName: EnterpriseAdminExtensionAbility 的类名
const admin: Want = {
bundleName: 'com.example.mdmapp',
abilityName: 'EnterpriseAdminAbility'
};
/**
* 禁用短信功能
* @returns Promise<void>
*/
function disableSms(): void {
try {
restrictions.setDisallowedPolicy(admin, 'sms', true);
console.info('短信功能已禁用,设备将无法接收和发送短信');
} catch (err) {
console.error(`禁用短信功能失败: ${err}`);
// 常见错误处理:
// 9200001: 应用不是已激活的设备管理应用
// 9200002: 设备管理应用无相应权限
}
}
/**
* 启用短信功能
*/
function enableSms(): void {
try {
restrictions.setDisallowedPolicy(admin, 'sms', false);
console.info('短信功能已启用');
} catch (err) {
console.error(`启用短信功能失败: ${err}`);
}
}3.1.4 -> 注意事项
- 短信功能被禁用后,短信应用界面仍可打开,但发送操作会被系统拦截,且接收短信的监听机制将失效。
- 禁用短信不会影响基于 RCS(富通信服务)的消息服务,若需同时管控 RCS 需配合其他策略。
- 禁用短信与通话功能管控相互独立,禁用短信不影响语音通话。
3.2 -> 蜂窝数据(mobileData)管控
3.2.1 -> 功能定义
mobileData 特性用于管控设备使用蜂窝数据网络的能力,即设备的 4G/5G 移动数据上网能力。设置为禁用后,设备将无法通过移动数据网络访问互联网,但仍可通过 Wi-Fi 等其他方式联网。此项能力在 API 20 版本中新增,当前仅支持手机和平板设备。
3.2.2 -> 需要权限
ohos.permission.ENTERPRISE_MANAGE_NETWORK
3.2.3 -> 应用场景分析
蜂窝数据管控是网络成本控制与网络边界管理的核心手段:
场景一:网络成本控制。在企业配发给外勤人员的设备上,蜂窝数据是主要上网方式。通过策略强制使用 Wi-Fi 优先,或在特定时间禁用移动数据,可有效控制运营商流量费用。例如,零售门店的巡店终端可在营业时段禁用蜂窝数据,强制使用门店 Wi-Fi。
场景二:跨场景网络权限切换。当设备进入特定地理围栏(如公司园区内部)时,可远程禁用移动数据、强制使用企业 Wi-Fi,实现网络接入的统一管控。
场景三:极简工作模式。在教育场景中(如考试平板),禁用蜂窝数据可切断设备与外界的主动网络连接,但仍保留通过受控 Wi-Fi 访问内部考务系统的能力。
场景四:漫游场景成本控制。当设备处于国际漫游状态时,企业可通过远程策略禁用移动数据,避免产生高昂的漫游数据费用。
3.2.4 -> 代码实现
typescript
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
const admin: Want = {
bundleName: 'com.example.mdmapp',
abilityName: 'EnterpriseAdminAbility'
};
/**
* 禁用蜂窝数据网络
*/
function disableMobileData(): void {
try {
restrictions.setDisallowedPolicy(admin, 'mobileData', true);
console.info('蜂窝数据已禁用,设备将无法使用移动数据网络');
} catch (err) {
console.error(`禁用蜂窝数据失败: ${err}`);
}
}
/**
* 启用蜂窝数据网络
*/
function enableMobileData(): void {
try {
restrictions.setDisallowedPolicy(admin, 'mobileData', false);
console.info('蜂窝数据已启用');
} catch (err) {
console.error(`启用蜂窝数据失败: ${err}`);
}
}
/**
* 获取当前蜂窝数据管控状态
*/
function getMobileDataPolicy(): boolean {
try {
const isDisabled = restrictions.getDisallowedPolicy(admin, 'mobileData');
return isDisabled;
} catch (err) {
console.error(`获取蜂窝数据策略状态失败: ${err}`);
return false;
}
}3.2.5 -> 注意事项
- 禁用蜂窝数据不会自动禁用语音通话与短信服务。
- 禁用蜂窝数据与禁用飞行模式有优先级关系:若先禁用飞行模式后再禁用蜂窝数据,效果为飞行模式可用但数据功能被额外禁用;若先禁用蜂窝数据后启用飞行模式,飞行模式生效时蜂窝数据状态被飞行模式覆盖。
- 企业 Wi-Fi 策略与蜂窝数据管控的冲突处理遵循"从严管控"原则。
3.3 -> 飞行模式(airplaneMode)管控
3.3.1 -> 功能定义
airplaneMode 特性用于管控设备飞行模式的开关能力。设置为禁用后,用户将无法通过系统设置、控制中心等入口开启或关闭飞行模式。此项能力在 API 20 版本中新增,当前仅支持手机和平板设备。
3.3.2 -> 需要权限
ohos.permission.ENTERPRISE_MANAGE_NETWORK
3.3.3 -> 应用场景分析
飞行模式管控是一项基础但关键的能力,其核心价值在于维持设备的持续在线状态:
场景一:设备轨迹追踪。在物流快递、外勤业务等场景中,企业需要确保设备始终在线以进行位置追踪和状态上报。用户自行开启飞行模式将导致设备脱离网络,使追踪功能失效。通过禁用飞行模式开关,可强制设备保持网络连接。
场景二:紧急通信保障。在应急管理(如消防、救援、安保)场景中,设备必须随时保持通信畅通。禁用飞行模式可防止因误操作导致设备脱网而延误关键通信。
场景三:Kiosk 展台设备管控。在公共场所部署的自助查询终端或展示设备,通常需要保持网络在线以更新内容和上报状态。禁用飞行模式开关可确保终端不受人为干扰,维持业务连续性。
场景四:教育考试场景。在线考试期间,禁用飞行模式可配合其他策略防止考生通过开启飞行模式逃避监考系统。
3.3.4 -> 代码实现
typescript
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
const admin: Want = {
bundleName: 'com.example.mdmapp',
abilityName: 'EnterpriseAdminAbility'
};
/**
* 禁用飞行模式开关
*/
function disableAirplaneMode(): void {
try {
restrictions.setDisallowedPolicy(admin, 'airplaneMode', true);
console.info('飞行模式开关已禁用,用户无法开启或关闭飞行模式');
} catch (err) {
console.error(`禁用飞行模式失败: ${err}`);
}
}
/**
* 启用飞行模式开关(恢复用户操作权限)
*/
function enableAirplaneMode(): void {
try {
restrictions.setDisallowedPolicy(admin, 'airplaneMode', false);
console.info('飞行模式开关已启用');
} catch (err) {
console.error(`启用飞行模式失败: ${err}`);
}
}3.3.5 -> 注意事项
- 禁用飞行模式开关不等于禁用飞行模式本身。若飞行模式已在禁用策略生效前开启,设备将处于飞行模式状态,用户无法关闭;若飞行模式处于关闭状态,用户无法开启。
- 建议在设置禁用飞行模式开关前,先通过系统接口确保飞行模式处于关闭状态。
- 禁用飞行模式开关不会影响系统通过远程指令切换飞行模式的能力(如有云端遥控指令)。
3.4 -> 通知消息(notification)管控
3.4.1 -> 功能定义
notification 特性用于管控设备通知消息的显示能力。设置为禁用后,由系统应用和三方应用发出的通知将不会在通知栏中显示,但系统服务的通知能力(如系统级警报)不受影响。此项能力在 API 20 版本中新增。
3.4.2 -> 需要权限
ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS
3.4.3 -> 应用场景分析
通知管控在信息安全与用户体验管理中均有重要应用:
场景一:考试/会议场景防干扰。在考试场景中,设备需要保持纯净的信息环境。禁用通知可防止社交应用的消息弹窗在考试过程中干扰考生注意力。企业会议场景中同样适用此策略。
场景二:信息防泄漏。在涉密信息处理场景中,通知消息可能在设备锁屏状态直接显示消息内容,构成信息泄露风险。通过全局禁用通知,可消除这一潜在的泄露通道。例如,金融机构的交易终端禁用通知可防止交易信息在锁屏界面被无意展示。
场景三:Kiosk 展台 UI 净化。部署在公共场所的自助服务终端,通知栏的出现会干扰交互体验并可能被恶意利用。禁用通知可保持沉浸式的操作界面。
场景四:企业数据防泄露。结合 Enterprise Data Guard Kit,禁用通知可避免企业敏感文件或消息通过通知栏被第三方应用预览或读取。
3.4.4 -> 代码实现
typescript
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
const admin: Want = {
bundleName: 'com.example.mdmapp',
abilityName: 'EnterpriseAdminAbility'
};
/**
* 禁用通知消息显示
*/
function disableNotifications(): void {
try {
restrictions.setDisallowedPolicy(admin, 'notification', true);
console.info('通知消息已禁用,所有应用的通知将不会在通知栏显示');
} catch (err) {
console.error(`禁用通知功能失败: ${err}`);
}
}
/**
* 启用通知消息显示
*/
function enableNotifications(): void {
try {
restrictions.setDisallowedPolicy(admin, 'notification', false);
console.info('通知消息已启用');
} catch (err) {
console.error(`启用通知功能失败: ${err}`);
}
}3.4.5 -> 注意事项
- 禁用通知仅影响通知栏显示,不影响应用内部的消息接收逻辑。应用仍可通过自身的消息推送服务接收数据,应用内部的处理逻辑不受影响。
- 系统级服务通知(如低电量警告、系统更新提示等)不受此策略影响。
- 禁用通知策略生效后,已显示在通知栏中的通知会被清除,不会残留。
- 如需更精细的通知管控(如按应用维度控制通知),可结合应用管理模块的相关接口实现。
3.5 -> NFC(nfc)管控
3.5.1 -> 功能定义
nfc 特性用于管控设备 NFC(Near Field Communication,近距离无线通信)能力的开关。设置为禁用后,设备的 NFC 芯片将关闭,无法进行任何 NFC 相关的通信操作(如移动支付、门禁刷卡、标签读写等)。此项能力在 API 20 版本中新增,当前仅支持手机和平板设备。
3.5.2 -> 需要权限
ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS
3.5.3 -> 应用场景分析
NFC 管控主要面向数据安全和访问控制两大领域:
场景一:防信息窃取。NFC 可在极近距离(通常 4 厘米以内)实现数据交换。在涉密区域,恶意设备可能通过 NFC 探测或读取设备内的敏感信息。禁用 NFC 可彻底消除这一近距离通信风险。在军工、政府等涉密区域的设备管控中,NFC 禁用是基础安全策略之一。
场景二:统一门禁权限管理。在企业园区内,若员工自有设备(BYOD)不应被用作门禁卡替代方案,可通过 MDM 策略禁用 NFC,强制员工使用工牌或其他指定媒介通行。
场景三:成本与耗电管理。NFC 虽功耗较低,但对于长期部署且不需要 NFC 功能的设备(如自助查询终端、仓储手持终端),禁用 NFC 可节省少量功耗并避免不必要的驱动开销。
场景四:防范无接触数据交换。在实验室、产线等高价值设备场景中,禁用 NFC 可避免因误碰或恶意触碰导致的数据交换。
3.5.4 -> 代码实现
typescript
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
const admin: Want = {
bundleName: 'com.example.mdmapp',
abilityName: 'EnterpriseAdminAbility'
};
/**
* 禁用 NFC 功能
*/
function disableNfc(): void {
try {
restrictions.setDisallowedPolicy(admin, 'nfc', true);
console.info('NFC 功能已禁用,设备无法进行 NFC 通信');
} catch (err) {
console.error(`禁用 NFC 失败: ${err}`);
}
}
/**
* 启用 NFC 功能
*/
function enableNfc(): void {
try {
restrictions.setDisallowedPolicy(admin, 'nfc', false);
console.info('NFC 功能已启用');
} catch (err) {
console.error(`启用 NFC 失败: ${err}`);
}
}
/**
* 检查当前 NFC 功能管控状态
*/
function checkNfcPolicy(): void {
try {
const isNfcDisabled = restrictions.getDisallowedPolicy(admin, 'nfc');
if (isNfcDisabled) {
console.info('当前策略:NFC 功能已被禁用');
} else {
console.info('当前策略:NFC 功能处于可用状态');
}
} catch (err) {
console.error(`获取 NFC 策略状态失败: ${err}`);
}
}3.5.5 -> 注意事项
- 禁用 NFC 后,NFC 设置开关会被禁用(置灰显示),用户无法手动开启。
- NFC 管控与蓝牙管控相互独立,禁用 NFC 不影响蓝牙功能,反之亦然。
- 部分设备形态(平板)可能仅支持 NFC 读卡器模式而不支持卡模拟,禁用策略仍能正常生效。
- 企业若使用了基于 NFC 的自定义门禁系统,禁用前需评估对业务流程的影响。
4 -> 策略查询与清除
4.1 -> 查询当前禁用状态
restrictions 模块提供了配套的 getDisallowedPolicy 接口,用于查询指定特性的当前禁用状态:
typescript
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
const admin: Want = {
bundleName: 'com.example.mdmapp',
abilityName: 'EnterpriseAdminAbility'
};
/**
* 批量查询多个特性的管控状态
*/
function checkMultiplePolicies(): void {
const features = ['sms', 'mobileData', 'airplaneMode', 'notification', 'nfc'];
const results: Record<string, boolean> = {};
for (const feature of features) {
try {
results[feature] = restrictions.getDisallowedPolicy(admin, feature);
console.info(`特性 ${feature} 当前${results[feature] ? '已禁用' : '已启用'}`);
} catch (err) {
console.error(`查询特性 ${feature} 失败: ${err}`);
results[feature] = false;
}
}
return results;
}getDisallowedPolicy 返回 true 表示该特性当前处于禁用状态,false 表示可用状态。调用此接口需要与 setDisallowedPolicy 相同的权限。
4.2 -> 清除策略(启用)
将 setDisallowedPolicy 的 disallow 参数设为 false 即可清除相应特性的禁用策略,使设备恢复该特性的正常使用权限。这一操作与禁用功能的 API 完全一致,仅入参不同。通过统一的 API 设计,MDM 应用可以灵活地动态调整策略。
4.3 -> 策略生命周期管理的最佳实践
在实际的企业部署中,建议采用以下模式管理策略生命周期:
- 策略初始化 :在
EnterpriseAdminExtensionAbility的onAdminEnabled回调中完成初始策略下发。 - 策略同步:建立云端策略与端侧策略的心跳同步机制,确保策略变更及时生效。
- 策略审计:定期审计已下发策略与设备实际状态的匹配度。
- 策略冲突处理:在多 MDM 应用的复杂环境中,明确各应用的策略授权边界,利用"从严管控"规则避免无效覆盖。
5 -> 完整实践示例
5.1 -> 完整 MDM 应用限制策略模块
以下是一个集成本文新增五项策略的完整模块化实现:
typescript
// MdmRestrictionsService.ets
import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';
// 定义特性名称常量,避免字符串硬编码
export const FeatureNames = {
SMS: 'sms',
MOBILE_DATA: 'mobileData',
AIRPLANE_MODE: 'airplaneMode',
NOTIFICATION: 'notification',
NFC: 'nfc'
} as const;
export type FeatureType = typeof FeatureNames[keyof typeof FeatureNames];
/**
* MDM 限制策略管理类
* 提供统一的新增五类管控特性管理接口
*/
export class MdmRestrictionsService {
private admin: Want;
constructor(bundleName: string, abilityName: string) {
this.admin = {
bundleName: bundleName,
abilityName: abilityName
};
}
/**
* 设置某一特性的禁用/启用状态
* @param feature 特性名称
* @param disable true-禁用,false-启用
*/
private setPolicy(feature: FeatureType, disable: boolean): void {
try {
restrictions.setDisallowedPolicy(this.admin, feature, disable);
console.info(`[MDM] ${feature} 已${disable ? '禁用' : '启用'}`);
} catch (err) {
console.error(`[MDM] 设置 ${feature} 策略失败: ${err}`);
throw err;
}
}
/**
* 获取某一特性的当前策略状态
*/
private getPolicy(feature: FeatureType): boolean {
try {
return restrictions.getDisallowedPolicy(this.admin, feature);
} catch (err) {
console.error(`[MDM] 获取 ${feature} 策略失败: ${err}`);
return false;
}
}
// ========== 短信管控 ==========
disableSms(): void { this.setPolicy(FeatureNames.SMS, true); }
enableSms(): void { this.setPolicy(FeatureNames.SMS, false); }
isSmsDisabled(): boolean { return this.getPolicy(FeatureNames.SMS); }
// ========== 蜂窝数据管控 ==========
disableMobileData(): void { this.setPolicy(FeatureNames.MOBILE_DATA, true); }
enableMobileData(): void { this.setPolicy(FeatureNames.MOBILE_DATA, false); }
isMobileDataDisabled(): boolean { return this.getPolicy(FeatureNames.MOBILE_DATA); }
// ========== 飞行模式管控 ==========
disableAirplaneMode(): void { this.setPolicy(FeatureNames.AIRPLANE_MODE, true); }
enableAirplaneMode(): void { this.setPolicy(FeatureNames.AIRPLANE_MODE, false); }
isAirplaneModeDisabled(): boolean { return this.getPolicy(FeatureNames.AIRPLANE_MODE); }
// ========== 通知管控 ==========
disableNotification(): void { this.setPolicy(FeatureNames.NOTIFICATION, true); }
enableNotification(): void { this.setPolicy(FeatureNames.NOTIFICATION, false); }
isNotificationDisabled(): boolean { return this.getPolicy(FeatureNames.NOTIFICATION); }
// ========== NFC 管控 ==========
disableNfc(): void { this.setPolicy(FeatureNames.NFC, true); }
enableNfc(): void { this.setPolicy(FeatureNames.NFC, false); }
isNfcDisabled(): boolean { return this.getPolicy(FeatureNames.NFC); }
/**
* 批量设置:统一应用某套预设策略(如"考试模式")
*/
applyExamMode(): void {
this.disableSms();
this.disableMobileData(); // 考试期间禁用移动网络
this.disableNotification(); // 避免弹窗干扰
// 飞行模式和 NFC 保持可管控状态,但不强制禁用
console.info('[MDM] 考试模式策略已应用');
}
/**
* 批量设置:涉密场所模式
*/
applySecureMode(): void {
this.disableSms(); // 切断短信外传通道
this.disableMobileData(); // 切断移动数据外传
this.disableNotification(); // 防止通知栏信息泄露
this.disableNfc(); // 禁用近场通信
this.disableAirplaneMode(); // 维持持续在线便于追踪
console.info('[MDM] 涉密场所模式策略已应用');
}
/**
* 清除所有限制策略
*/
clearAllRestrictions(): void {
this.enableSms();
this.enableMobileData();
this.enableAirplaneMode();
this.enableNotification();
this.enableNfc();
console.info('[MDM] 所有限制策略已清除');
}
}5.2 -> 在 EnterpriseAdminExtensionAbility 中初始化策略
typescript
// EnterpriseAdminAbility.ets
import { EnterpriseAdminExtensionAbility } from '@kit.MDMKit';
import { MdmRestrictionsService } from './MdmRestrictionsService';
export default class EnterpriseAdminAbility extends EnterpriseAdminExtensionAbility {
private restrictionsService: MdmRestrictionsService;
constructor() {
super();
this.restrictionsService = new MdmRestrictionsService(
'com.example.mdmapp',
'EnterpriseAdminAbility'
);
}
// 设备管理应用激活时的回调
onAdminEnabled(): void {
console.info('[MDM] 设备管理应用已激活,正在初始化策略...');
// 根据企业策略配置,决定初始下发哪些限制
// 此处以涉密场景为例,可根据实际需求调整
this.restrictionsService.applySecureMode();
}
// 设备管理应用去激活时的回调
onAdminDisabled(): void {
console.info('[MDM] 设备管理应用已去激活,正在清理策略...');
this.restrictionsService.clearAllRestrictions();
}
}6 -> 总结与展望
6.1 -> 核心能力总结
鸿蒙 6.0 MDM Kit 在 restrictions 模块新增的 sms、mobileData、airplaneMode、notification、nfc 五项管控特性,标志着企业设备管理从基础硬件管控向更深层次的通信与数据交互控制迈进。这五项特性覆盖了企业移动办公中最关键的四个维度:
通信维度------短信管控(sms)和蜂窝数据管控(mobileData)分别控制短信通道和移动数据通道,构成了企业设备通信行为的基础控制框架。
连接维度------飞行模式管控(airplaneMode)和 NFC 管控(nfc)分别控制设备的全局连接状态和近场通信能力,保障设备的持续在线状态和数据安全。
信息维度------通知管控(notification)从视觉和交互层面管控信息暴露风险,在兼顾用户体验与信息安全之间提供了精细化的控制手段。
这些特性的共同特点是:通过极简的接口设计,实现了对设备底层能力的精准控制,企业 MDM 应用只需一次 API 调用即可完成全局策略下发,无需关心不同设备形态或系统版本的差异------鸿蒙系统已在底层完成了兼容性适配。
6.2 -> 使用建议
在实际应用中,建议开发者注意以下几点:
- 权限前置确认 :在调用
setDisallowedPolicy之前,务必确认应用已声明相应权限且在 AppGallery Connect 的证书和 Profile 中完成了权限申请。 - 策略组合设计:单个管控特性往往需要配合其他策略使用才能达到预期效果。例如,"考试模式"通常需要组合禁用短信、通知,并配合 Kiosk 展台模式锁定指定应用。
- 设备形态适配:部分特性仅支持手机和平板设备,开发阶段需根据目标设备形态进行功能屏蔽或适配。
- 调试与验证 :开发调试阶段需要使用
hdc shell edm enable-admin命令激活设备管理应用,确保接口能够正常调用。 - 冲突规则理解:在多 MDM 应用的复杂环境中,务必理解"从严管控"规则的工作原理,避免策略被意外覆盖。
6.3 -> 行业影响
从行业视角来看,鸿蒙 6.0 的 MDM 能力开放策略------单版本开放超过 300 项系统 API------显著降低了企业定制化设备管理的技术门槛。原有的粗放式"设备管理员"模式让位于精细化、场景化的能力按需控制,企业可以根据不同岗位、不同安全等级灵活组合管控策略,在保障数据安全的同时最大限度地保留用户体验。这种"安全不牺牲体验"的设计理念,正是鸿蒙在政企数字化浪潮中赢得行业信任的关键砝码。
感谢各位大佬支持!!!
互三啦!!!