【HarmonyOS 6.0】MDM Kit：PC/2in1设备用户行为限制策略详解

文章目录

• [1 -> 概述](#1 -> 概述)
• [2 -> 核心限制策略详解](#2 -> 核心限制策略详解)
• • [2.1 -> 禁止用户修改网卡IP地址策略](#2.1 -> 禁止用户修改网卡IP地址策略)
  • • [2.1.1 -> 策略说明](#2.1.1 -> 策略说明)
    • [2.1.2 -> 核心API](#2.1.2 -> 核心API)
    • [2.1.3 -> 权限要求](#2.1.3 -> 权限要求)
    • [2.1.4 -> 代码示例](#2.1.4 -> 代码示例)
    • [2.1.5 -> 注意事项](#2.1.5 -> 注意事项)
  • [2.2 -> 禁止用户修改设备名称策略](#2.2 -> 禁止用户修改设备名称策略)
  • • [2.2.1 -> 策略说明](#2.2.1 -> 策略说明)
    • [2.2.2 -> 相关配置](#2.2.2 -> 相关配置)
    • [2.2.3 -> 核心API](#2.2.3 -> 核心API)
    • [2.2.4 -> 权限要求](#2.2.4 -> 权限要求)
    • [2.2.5 -> 代码示例](#2.2.5 -> 代码示例)
    • [2.2.6 -> 注意事项](#2.2.6 -> 注意事项)
  • [2.3 -> 禁止用户修改锁屏密码策略](#2.3 -> 禁止用户修改锁屏密码策略)
  • • [2.3.1 -> 策略说明](#2.3.1 -> 策略说明)
    • [2.3.2 -> 相关API能力](#2.3.2 -> 相关API能力)
    • [2.3.3 -> 权限要求](#2.3.3 -> 权限要求)
    • [2.3.4 -> 代码示例](#2.3.4 -> 代码示例)
    • [2.3.5 -> 密码策略管控（HEM平台方案）](#2.3.5 -> 密码策略管控（HEM平台方案）)
    • [2.3.6 -> 注意事项](#2.3.6 -> 注意事项)
• [3 -> 典型应用场景](#3 -> 典型应用场景)
• • [3.1 -> 企业办公设备管理](#3.1 -> 企业办公设备管理)
  • [3.2 -> 教育场景设备管理](#3.2 -> 教育场景设备管理)
  • [3.3 -> 公共终端设备管理](#3.3 -> 公共终端设备管理)
• [4 -> 开发注意事项](#4 -> 开发注意事项)
• • [4.1 -> 权限体系说明](#4.1 -> 权限体系说明)
  • [4.2 -> 设备类型限制](#4.2 -> 设备类型限制)
  • [4.3 -> 调试方法](#4.3 -> 调试方法)
  • [4.4 -> 策略冲突处理](#4.4 -> 策略冲突处理)
• [5 -> 总结](#5 -> 总结)

---

1 -> 概述

移动设备管理是企业级IT解决方案中的核心组件，用于管理和保护企业设备上的数据和应用程序。随着鸿蒙操作系统在PC和2in1设备（即二合一设备，具备平板和笔记本双重形态）上的全面铺开，企业对这类设备的管控需求呈现出快速增长的趋势。

鸿蒙6.0版本中，MDM Kit（Mobile Device Management Kit）针对PC/2in1设备进行了一次重要的能力升级，新增了对多项用户行为限制策略的支持。具体来说，这些策略涵盖了网络配置、设备标识和系统安全三个关键维度：禁止用户修改网卡IP地址（包括Wi-Fi和以太网场景），防止用户私自变更网络接入参数破坏企业网络准入策略；禁止用户修改设备名称，统一设备标识管理以支持资产盘点与溯源；禁止用户修改锁屏密码，避免因用户自行弱化密码策略而引入数据泄漏风险。

本文将从业务背景出发，系统梳理鸿蒙6.0 MDM Kit中针对PC/2in1设备新增的这些限制策略，结合官方API说明与代码示例，详细阐述接口参数、权限要求、调用方式及实际开发中的注意事项，为从事企业设备管理应用开发的工程师提供一份专业的技术参考。

MDM Kit整体提供了丰富的设备管理能力，包括企业设备管理与事件监听、应用管理、禁用管理、安全管理、设备设置、设备控制、设备信息获取、硬件外设管理、系统管理、网络通信管理等。开发设备管理应用需要完成申请资质、创建EnterpriseAdminExtensionAbility、声明接口所需权限、MDM功能开发与调试、分发部署等步骤。本模块提供的限制类策略接口从API version 12开始支持，并仅可在Stage模型下使用。

MDM Kit的接口仅对设备管理应用开放，且调用接口前需通过hdc命令激活企业设备管理扩展能力。从API version 23开始，系统支持激活为普通设备管理应用，该命令在PC/2in1设备可正常使用。

2 -> 核心限制策略详解

2.1 -> 禁止用户修改网卡IP地址策略

在企业网络环境中，IP地址是设备接入网络后进行身份识别和访问控制的基础依据。员工私自修改设备的IP地址可能导致IP地址冲突、网络准入策略失效、安全审计追踪困难等一系列问题。鸿蒙6.0 MDM Kit针对这一场景提供了精确的限制能力，可以从系统层面阻止用户修改网卡的IP地址配置。

2.1.1 -> 策略说明

禁止修改网卡IP地址的策略主要涉及以下几个方面：

• Wi-Fi IP地址配置：用户无法通过设置界面或系统API修改Wi-Fi连接的IP地址获取方式（DHCP/静态）以及静态IP地址的具体参数。
• 以太网IP地址配置：对于有线网络连接，同样禁止用户修改IP地址相关配置。
• 网络代理配置：禁止用户修改HTTP/HTTPS代理设置，防止绕过企业网络监控。

2.1.2 -> 核心API

该能力主要通过restrictions.setDisallowedPolicy接口实现。接口签名如下：

setDisallowedPolicy(admin: Want, feature: string, disallow: boolean): void

参数说明：

• admin（Want类型）：企业设备管理扩展组件，Want中必须包含企业设备管理扩展能力的abilityName和所在应用的bundleName。
• feature （string类型）：需要设置禁用的特性名称，网络相关特性包括wifi（设备Wi-Fi能力）、tethering（网络共享/热点能力）、modifyDateTime（修改系统时间能力）等。
• disallow（boolean类型）：true表示禁止使用，false表示允许使用。

对于更精细的网络配置限制（如仅禁止修改IP地址而不完全禁用Wi-Fi），系统提供了networkManager模块的防火墙规则能力，可以通过networkManager.addFirewallRule方法添加特定的网络访问控制策略。

2.1.3 -> 权限要求

该接口需要以下任一权限：

• ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS
• ohos.permission.PERSONAL_MANAGE_RESTRICTIONS（API version 15及以上）
• ohos.permission.ENTERPRISE_MANAGE_NETWORK（部分网络相关特性需要此权限）

不同特性所需权限不同，具体可参考官方表1。

2.1.4 -> 代码示例

以下是禁止修改Wi-Fi IP地址配置的完整实现示例：

import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';

// 配置设备管理应用的Want信息，需根据实际情况替换
let adminWant: Want = {
    bundleName: 'com.example.mdmapplication',
    abilityName: 'EnterpriseAdminAbility'
};

// 禁止Wi-Fi能力（此操作将禁用整个Wi-Fi功能）
function disableWifi(): void {
    try {
        restrictions.setDisallowedPolicy(adminWant, 'wifi', true);
        console.info('Wi-Fi capability has been disabled successfully.');
    } catch (err) {
        console.error(`Failed to disable Wi-Fi. Code: ${err.code}, Message: ${err.message}`);
    }
}

// 启用Wi-Fi能力
function enableWifi(): void {
    try {
        restrictions.setDisallowedPolicy(adminWant, 'wifi', false);
        console.info('Wi-Fi capability has been enabled successfully.');
    } catch (err) {
        console.error(`Failed to enable Wi-Fi. Code: ${err.code}, Message: ${err.message}`);
    }
}

// 禁止网络共享（热点）能力
function disableTethering(): void {
    try {
        restrictions.setDisallowedPolicy(adminWant, 'tethering', true);
        console.info('Network sharing capability has been disabled.');
    } catch (err) {
        console.error(`Failed to disable network sharing. Code: ${err.code}, Message: ${err.message}`);
    }
}

如果需要仅限制IP地址修改而非完全禁用Wi-Fi，可以结合使用网络防火墙规则：

import { networkManager } from '@kit.MDMKit';

// 添加防火墙规则，限制特定端口的IP访问
function addNetworkRestriction(): void {
    try {
        // 添加防火墙规则以限制网络访问
        // 具体参数根据实际网络策略配置
        networkManager.addFirewallRule(adminWant, /* rule parameters */);
        console.info('Network restriction rule has been added.');
    } catch (err) {
        console.error(`Failed to add network restriction. Code: ${err.code}, Message: ${err.message}`);
    }
}

2.1.5 -> 注意事项

1. 网络共享能力（tethering）禁用后，设备将无法通过热点等方式将网络共享给其他设备。
2. 从API version 15开始，申请ohos.permission.PERSONAL_MANAGE_RESTRICTIONS权限并通过startAdminProvision接口激活为自带设备管理应用的应用，可以使用此接口设置包括wifi在内的多种特性。
3. 当蓝牙设备禁用名单与设备蓝牙能力禁用同时存在时，禁用设备蓝牙能力会优先生效。

2.2 -> 禁止用户修改设备名称策略

设备名称是企业在资产管理中进行设备识别和盘点的重要标识。在大规模设备部署场景（如教育机构机房、企业办公场所、公共终端等）中，统一的设备命名规范对于运维管理至关重要。鸿蒙6.0 MDM Kit支持通过策略限制用户修改设备名称。

2.2.1 -> 策略说明

禁止修改设备名称的策略会锁定系统设置中的设备名称修改入口，用户无法通过"设置-关于设备"等路径修改设备名称。这确保了设备名称与企业资产管理系统中的记录保持一致，便于远程识别和管理。

2.2.2 -> 相关配置

该策略在华为企业设备管理平台中通常以"允许修改设备名称"开关的形式呈现。管理员通过HEM（企业用户管理中心）部署管控策略时，可以选择"不保留"或禁用该开关，从而禁止用户修改设备名称。

2.2.3 -> 核心API

设备名称修改的限制主要通过设备设置管理模块和限制策略模块配合实现。MDM Kit的deviceSettings模块提供了设备设置的查询和管理能力，包括获取息屏时间等基础设置信息。对于设备名称修改的禁止，通常需要结合deviceSettings模块和restrictions模块联合配置。

2.2.4 -> 权限要求

• ohos.permission.ENTERPRISE_MANAGE_SETTINGS：管理设备设置权限
• ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS：管理设备限制策略权限

2.2.5 -> 代码示例

以下是通过MDM Kit禁止修改设备名称的实现示例：

import { restrictions } from '@kit.MDMKit';
import { deviceSettings } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';

let adminWant: Want = {
    bundleName: 'com.example.mdmapplication',
    abilityName: 'EnterpriseAdminAbility'
};

// 设置设备名称锁定策略（通过限制策略模块）
function lockDeviceName(): void {
    try {
        // 通过setDisallowedPolicy限制设备相关设置修改
        // 具体feature值根据实际API版本支持情况调整
        // 部分版本中可通过modifyDateTime等策略间接限制
        console.info('Device name modification restriction has been applied.');
    } catch (err) {
        console.error(`Failed to lock device name. Code: ${err.code}, Message: ${err.message}`);
    }
}

// 获取当前设备设置信息（可用于校验设备名称是否符合策略）
function getDeviceSettings(): void {
    try {
        // 获取息屏时间等设备设置信息
        deviceSettings.getScreenOffTime(adminWant, (err, result) => {
            if (err) {
                console.error(`Failed to get screen off time: ${err.message}`);
                return;
            }
            console.info(`Current screen off time: ${result} ms`);
        });
    } catch (err) {
        console.error(`Failed to get device settings. Code: ${err.code}, Message: ${err.message}`);
    }
}

2.2.6 -> 注意事项

1. 设备名称的修改限制策略通常需要在设备管理平台（如HEM管理中心）中统一配置和下发，而非仅通过单次API调用完成。
2. 按照国家监管要求，设备名称必须联网校验，检测是否包含网络敏感词。在联网状态下，修改设备名称时系统需要将修改文本上传至云端进行校验。MDM策略可以从入口层面阻止用户进入修改流程。

2.3 -> 禁止用户修改锁屏密码策略

锁屏密码是设备安全防护的第一道防线。在企业设备管理场景中，管理员需要确保设备始终满足最低安全要求，包括密码复杂度、密码有效期等。禁止用户修改锁屏密码的策略可以有效防止用户将企业设备的密码降低到不符合安全策略的级别，或者在共享设备场景中因用户随意修改密码而导致管理混乱。

2.3.1 -> 策略说明

禁止修改锁屏密码的策略具有以下特点：

• 入口拦截：用户无法通过系统设置进入锁屏密码修改界面
• 密码强制：设备必须保持管理员预设的锁屏密码配置，包括密码类型、最小长度、复杂度要求等
• 与密码策略协同：通常与密码最小位数、禁止与近期N次密码相同、允许尝试输入次数等密码策略配合使用

2.3.2 -> 相关API能力

MDM Kit在密码管理方面的能力主要通过devicePasswordManager模块等安全管控接口实现。该模块支持设置锁屏密码的数字序列最大长度、密码复杂度策略等。

2.3.3 -> 权限要求

• ohos.permission.ENTERPRISE_MANAGE_SECURITY：管理设备安全策略权限
• ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS：管理设备限制策略权限

2.3.4 -> 代码示例

以下是通过MDM Kit管理锁屏密码策略的代码示例：

import { restrictions } from '@kit.MDMKit';
import { Want } from '@kit.AbilityKit';

let adminWant: Want = {
    bundleName: 'com.example.mdmapplication',
    abilityName: 'EnterpriseAdminAbility'
};

// 禁止用户修改锁屏密码（结合限制策略）
function disablePasswordChange(): void {
    try {
        // 通过限制策略禁用密码设置入口的访问
        // 具体实现需结合系统安全管控接口
        console.info('Lock screen password modification has been restricted.');
    } catch (err) {
        console.error(`Failed to restrict password modification. Code: ${err.code}, Message: ${err.message}`);
    }
}

// 设置密码复杂度策略（配合禁止修改策略使用）
function setPasswordPolicy(): void {
    try {
        // 此处调用具体的密码策略设置接口
        // 例如：设置密码最小位数、禁止与近期密码相同等
        console.info('Password complexity policy has been set.');
    } catch (err) {
        console.error(`Failed to set password policy. Code: ${err.code}, Message: ${err.message}`);
    }
}

// 查询设备安全状态
function checkSecureMode(): void {
    try {
        // 通过屏幕锁模块检查设备安全状态
        // 确认锁屏密码是否已正确配置
        console.info('Device security status checked.');
    } catch (err) {
        console.error(`Failed to check security status. Code: ${err.code}, Message: ${err.message}`);
    }
}

2.3.5 -> 密码策略管控（HEM平台方案）

在华为HEM（企业用户管理中心）中，密码相关策略包括：

• 限制密码的最小位数：强制要求密码长度不低于指定值
• 允许尝试输入次数：限制密码输入错误次数，超过后触发设备擦除或锁定
• 禁止与近期N次密码相同：防止用户循环使用已用过的弱密码
• 超过自动锁屏时间：设置设备空闲后的自动锁屏时间

这些策略通常通过HEM管理中心统一下发，而非单次API调用完成。企业可以通过HEM平台实现全生命周期设备安全管理。

2.3.6 -> 注意事项

1. 禁止修改锁屏密码的策略通常需要与密码复杂度策略、密码有效期策略配合使用，构建完整的安全管控体系。
2. 关键策略（如网络、锁屏、应用安装）应具备系统级优先权，确保用户无法通过常规手段绕过。
3. 在多用户场景（如企业空间与个人空间共存）中，需要考虑策略作用的用户范围，区分企业空间策略和个人空间策略的边界。

3 -> 典型应用场景

3.1 -> 企业办公设备管理

在企业办公场景中，公司为员工配备PC/2in1设备后，需要通过MDM策略确保设备的合规使用。具体包括：

• 网络策略：禁止员工修改IP地址，确保设备始终通过企业DHCP服务器获取合规IP，维持网络准入策略的有效性
• 设备标识策略：锁定设备名称，便于IT部门通过终端管理平台远程识别和定位设备，加速故障排查效率
• 安全策略：禁止用户降低锁屏密码安全级别，防止因弱密码导致的数据泄露风险，满足合规审计要求

3.2 -> 教育场景设备管理

在教育机构的机房或电子教室场景中，PC/2in1设备由多名学生轮流使用，设备管理策略具有特殊要求：

• 环境一致性维护：锁定IP配置确保所有设备统一上网，便于网络访问控制；锁定设备名称便于教师端识别和管理学生终端
• 系统安全加固：统一管理锁屏密码策略，防止学生私自修改导致管理混乱；结合KIOSK模式限制设备仅运行教学应用

3.3 -> 公共终端设备管理

在公共信息查询终端、自助服务终端等场景中，设备需要在无人值守状态下稳定运行：

• 零误操作保障：禁止用户修改网络配置，避免因误操作导致网络中断；锁定设备名称，保持终端标识的唯一性和可追踪性
• 安全高可用：锁屏密码策略确保在需要管理员介入时，只有授权人员能够操作设备

4 -> 开发注意事项

4.1 -> 权限体系说明

MDM Kit的权限体系分为多个层级，不同操作所需权限各不相同：

• ohos.permission.ENTERPRISE_MANAGE_RESTRICTIONS：设备限制策略管理的核心权限
• ohos.permission.PERSONAL_MANAGE_RESTRICTIONS（API 15+）：自带设备管理场景下使用的限制策略权限
• ohos.permission.ENTERPRISE_MANAGE_NETWORK：网络相关策略管理所需权限

声明的MDM权限必须在申请MDM应用的证书和Profile时完成申请，否则应用无法获取到对应的权限。

4.2 -> 设备类型限制

部分策略功能仅支持PC/2in1设备使用，在其他设备类型（手机、平板）中调用可能无效或报错。例如，samba客户端能力、samba服务端能力、HDC调试其他设备的能力等当前仅支持PC/2in1设备使用。开发时需通过设备类型检测判断当前运行环境，避免在不受支持的设备上调用。

4.3 -> 调试方法

由于MDM接口需要激活企业设备管理扩展能力后才能调用，调试时需通过hdc命令进行激活操作：

# 激活为超级设备管理应用
hdc shell edm enable-admin -n 包名 -a 企业设备管理扩展能力类名

# 激活为BYOD设备管理应用
hdc shell edm enable-admin -n 包名 -a 企业设备管理扩展能力类名 -t byod

# 激活为普通设备管理应用（API 23开始支持，仅PC/2in1可用）
hdc shell edm enable-admin -n 包名 -a 企业设备管理扩展能力类名 -t da

# 解除激活
hdc shell edm disable-admin -n 包名

4.4 -> 策略冲突处理

MDM Kit采用"从严管控"的策略冲突规则。当多个管理应用设置了相互冲突的策略时，系统会优先采用限制程度更严格的策略。例如，当同时存在蓝牙设备禁用名单和设备蓝牙能力禁用时，禁用设备蓝牙能力会优先生效。开发者需要在设计策略时充分理解这一规则对策略生效行为的影响。

5 -> 总结

鸿蒙6.0 MDM Kit针对PC/2in1设备新增的用户行为限制策略，是企业设备管理能力的一次重要升级。通过禁止修改网卡IP地址、禁止修改设备名称、禁止修改锁屏密码等策略，企业IT管理员可以有效规范设备使用行为，保障企业网络安全、资产统一管理和数据安全防护。这些能力的开放也标志着鸿蒙操作系统在企业级应用领域迈出了坚实的一步。

---

感谢各位大佬支持！！！
互三啦！！！