限制设备策略
限制设备策略允许或限制用户设备上的某些功能或特性,例如摄像头。除了对媒体内容的限制以及对用户可以和不可以安装的应用程序类型的限制之外,您还可以设置安全限制。大多数限制设置默认为“开”或“允许”。主要例外是 iOS 安全 - 强制功能和所有 Windows 平板电脑功能,它们默认为“关”或“限制”。
对于 Windows 10 RS2 手机:在禁用 Internet Explorer 的自定义 XML 策略或限制策略部署到手机后,浏览器仍保持启用状态。要解决此问题,请重启手机。此问题是第三方问题。
提示:
任何您选择“开”的选项都意味着用户可以执行该操作或使用该功能。例如:
摄像头。如果为“开”,用户可以在其设备上使用摄像头。如果为“关”,用户无法在其设备上使用摄像头。
屏幕截图。如果为“开”,用户可以在其设备上进行屏幕截图。如果为“关”,用户无法在其设备上进行屏幕截图。
要添加或配置此策略,请转到“配置 > 设备策略”。有关详细信息,请参阅设备策略。
iOS 设置
某些 iOS 限制策略设置仅适用于特定版本的 iOS,如本文和 XenMobile® 控制台限制策略页面中所述。
iOS 限制策略设置可在设备注册到用户注册模式、非受监管(完全 MDM)模式或受监管模式时应用。下表显示了适用于 iOS 13 及更高版本中每个限制策略设置的注册模式。
如表所示,某些以前在非受监管模式和受监管模式下可用的设置从 iOS 13 开始仅在受监管模式下可用。适用以下规则:
- 如果受监管的 iOS 13+ 设备注册到 XenMobile,这些设置将应用于设备。
- 如果非受监管的 iOS 13+ 设备注册到 XenMobile,这些设置将不应用于设备。
- 如果已注册到 XenMobile 的 iOS 12(或更低版本)设备随后升级到 iOS 13,则没有变化。这些设置将像升级前一样应用于设备。
有关将 iOS 设备设置为受监管模式的信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监管模式。
| 设置 | 用户注册 | 非受监管 | 受监管 |
|---|---|---|---|
| 允许硬件控制 | |||
| 摄像头 | 否 | 是 | 是 |
| FaceTime | 否 | 否 (iOS 13 新增) | 是 |
| 允许 FaceTime 远程控制 | 否 | 否 | 是 |
| 屏幕截图 | 是 | 否 | 是 |
| 允许“课堂”应用远程观察学生屏幕 | 否 | 否 | 是 |
| 允许“课堂”应用在不提示的情况下执行 AirPlay 和查看屏幕 | 否 | 否 | 是 |
| 照片流 | 否 | 是 | 是 |
| 共享照片流 | 否 | 是 | 是 |
| 允许共享 iPad 临时会话 | 否 | 是 | 是 |
| 语音拨号 | 否 | 是 | 是 |
| Siri | 是 | 是 | 是 |
| 设备锁定时允许 | 是 | 是 | 是 |
| Siri 脏话过滤器 | 否 | 否 | 是 |
| 安装应用 | 否 | 否 (iOS 13 新增) | 是 |
| 备用应用市场 | 否 | 否 | 是 |
| Web 分发应用 | 否 | 否 | 是 |
| 漫游时允许全局后台获取 | 否 | 是 | 是 |
| 允许应用 | |||
| iTunes Store | 否 | 否 (iOS 13 新增) | 是 |
| 应用内购买 | 否 | 是 | 是 |
| 购买时需要 iTunes 密码 | 否 | 是 | 是 |
| Safari | 否 | 否 (iOS 13 新增) | 是 |
| 自动填充 | 否 | 否 (iOS 13 新增) | 是 |
| 强制欺诈警告 | 是 | 是 | 是 |
| 启用 JavaScript | 否 | 是 | 是 |
| 阻止弹出窗口 | 否 | 是 | 是 |
| 接受 Cookie | 否 | 是 | 是 |
| 网络 - 允许 iCloud 操作 | |||
| iCloud 文档和数据 | 否 | 否 (iOS 13 新增) | 是 |
| iCloud 备份 | 否 | 是 | 是 |
| iCloud 钥匙串 | 否 | 是 | 是 |
| iCloud 照片图库 | 否 | 是 | 是 |
| 安全 - 强制 | |||
| 加密备份 | 是 | 是 | 是 |
| 限制广告跟踪 | 否 | 是 | 是 |
| 首次 AirPlay 配对时需要密码 | 是 | 是 | 是 |
| 配对的 Apple Watch 使用手腕检测 | 是 | 是 | 是 |
| 使用 AirDrop 共享受管文档 | 是 | 是 | 是 |
| 安全 - 允许 | |||
| 接受不受信任的 SSL 证书 | 否 | 是 | 是 |
| 自动更新证书信任设置 | 否 | 是 | 是 |
| 需要受管粘贴板 | 是 | 是 | 是 |
| 非受管应用中的受管应用文档 | 是 | 是 | 是 |
| 非受管应用读取受管联系人 | 否 | 否 | 是 |
| 受管应用写入非受管联系人 | 否 | 否 | 是 |
| 受管应用中的非受管应用文档 | 是 | 是 | 是 |
| 向 Apple 提交诊断 | 是 | 是 | 是 |
| 使用 Touch ID 解锁设备 | 否 | 是 | 是 |
| 自动解锁 | 否 | 是 | 是 |
| 锁定时 Passbook 通知 | 否 | 是 | 是 |
| 接力 | 否 | 是 | 是 |
| 受管应用的 iCloud 同步 | 是 | 是 | 是 |
| 企业图书备份 | 是 | 是 | 是 |
| 企业图书的笔记和高亮同步 | 是 | 是 | 是 |
| Spotlight 中的互联网结果 | 否 | 是 | 是 |
| 企业应用信任 | 否 | 是 | 是 |
| 允许 Apple 个性化广告 | 否 | 是 | 是 |
| 仅受监管设置 - 允许 | |||
| 允许 eSIM 修改 | 否 | 否 | 是 |
| 擦除时保留 eSIM | 否 | 否 | 是 |
| 擦除所有内容和设置 | 否 | 否 | 是 |
| 配置限制 | 否 | 否 | 是 |
| 播客 | 否 | 否 | 是 |
| 安装配置配置文件 | 否 | 否 | 是 |
| 指纹修改 | 否 | 否 | 是 |
| 从设备安装应用 | 否 | 否 | 是 |
| 键盘快捷键 | 否 | 否 | 是 |
| 配对的 Apple Watch | 否 | 否 | 是 |
| 密码修改 | 否 | 否 | 是 |
| 设备名称修改 | 否 | 否 | 是 |
| 壁纸修改 | 否 | 否 | 是 |
| 自动下载应用 | 否 | 否 | 是 |
| AirDrop | 否 | 否 | 是 |
| iMessage | 否 | 否 | 是 |
| Siri 用户生成内容 | 否 | 否 | 是 |
| iBooks | 否 | 否 | 是 |
| 移除应用 | 否 | 是 | 是 |
| Game Center | 否 | 否 (iOS 13 新增) | 是 |
| 添加朋友 | 否 | 否 | 是 |
| 多人游戏 | 否 | 否 (iOS 13 新增) | 是 |
| 修改帐户设置 | 否 | 否 | 是 |
| 修改应用蜂窝数据设置 | 否 | 否 | 是 |
| 允许网络驱动器连接 | 否 | 否 | 是 |
| 允许 USB 设备连接 | 否 | 否 | 是 |
| 允许查找我的设备 | 否 | 否 | 是 |
| 允许查找我的朋友 | 否 | 否 | 是 |
| 修改查找我的朋友设置 | 否 | 否 | 是 |
| 与非 Configurator 主机配对 | 否 | 否 | 是 |
| 预测键盘 | 否 | 否 | 是 |
| 键盘自动更正 | 否 | 否 | 是 |
| 键盘拼写检查 | 否 | 否 | 是 |
| 允许 QuickPath 键盘 | 否 | 否 | 是 |
| 定义查找 | 否 | 否 | 是 |
| 单个应用捆绑包 ID | 否 | 否 | 是 |
| 新闻 | 否 | 否 | 是 |
| Apple Music 服务 | 否 | 否 | 是 |
| iTunes Radio | 否 | 否 | 是 |
| 通知修改 | 否 | 否 | 是 |
| 受限应用使用 | 否 | 否 | 是 |
| 诊断提交修改 | 否 | 否 | 是 |
| 蓝牙修改 | 否 | 否 | 是 |
| 允许听写 | 否 | 否 | 是 |
| 强制开启 Wi-Fi | 否 | 否 | 是 |
| 仅加入由 Wi-Fi 策略安装的 Wi-Fi 网络 | 否 | 否 | 是 |
| 允许“课堂”应用在不提示的情况下执行 AirPlay 和查看屏幕 | 否 | 否 | 是 |
| 允许“课堂”应用在不提示的情况下锁定到某个应用并锁定设备 | 否 | 否 | 是 |
| 自动加入“课堂”应用课程,无需提示 | 否 | 否 | 是 |
| 允许 AirPrint | 否 | 否 | 是 |
| 允许在钥匙串中存储 AirPrint 凭据 | 否 | 否 | 是 |
| 允许使用 iBeacon 发现 AirPrint 打印机 | 否 | 否 | 是 |
| 仅允许 AirPrint 到具有受信任证书的目标 | 否 | 否 | 是 |
| 添加 VPN 配置 | 否 | 否 | 是 |
| 修改蜂窝网络套餐设置 | 否 | 否 | 是 |
| 移除系统应用 | 否 | 否 | 是 |
| 设置新的附近设备 | 否 | 否 | 是 |
| 允许 USB 受限模式 | 否 | 否 | 是 |
| 强制延迟软件更新 | 否 | 否 | 是 |
| 强制软件更新延迟 | 否 | 否 | 是 |
| 强制课堂请求离开课程的权限 | 否 | 否 | 是 |
| 强制自动填充前进行身份验证 | 否 | 否 | 是 |
| 强制自动日期和时间 | 否 | 否 | 是 |
| 密码自动填充 | 否 | 否 | 是 |
| 密码邻近请求 | 否 | 否 | 是 |
| 密码共享 | 否 | 否 | 是 |
| 修改个人热点设置 | 否 | 否 | 是 |
| 允许未配对设备启动到恢复模式 | 否 | 否 | 是 |
| 安装快速安全响应 | 否 | 否 | 是 |
| 移除快速安全响应 | 否 | 否 | 是 |
| 允许邮件隐私保护 | 否 | 否 | 是 |
| NFC | 否 | 否 | 是 |
| 允许 App Clips | 否 | 否 | 是 |
| Genmoji | 否 | 否 | 是 |
| Image Playground | 否 | 否 | 是 |
| Image Wand | 否 | 否 | 是 |
| iPhone Mirroring | 否 | 否 | 是 |
| 个性化手写结果 | 否 | 否 | 是 |
| 书写工具 | 否 | 否 | 是 |
| 通话录音 | 否 | 否 | 是 |
| 要隐藏的应用 | 否 | 否 | 是 |
| 要锁定的应用 | 否 | 否 | 是 |
| 邮件摘要 | 否 | 否 | 是 |
| RCS 消息 | 否 | 否 | 是 |
| 允许外部智能集成 | 否 | 否 | 是 |
| 允许登录外部智能集成 | 否 | 否 | 是 |
| 允许邮件智能回复 | 否 | 否 | 是 |
| 允许备忘录转录 | 否 | 否 | 是 |
| 允许 Safari 摘要 | 否 | 否 | 是 |
| 允许视觉智能摘要 | 否 | 否 | 是 |
| 允许备忘录转录摘要 | 否 | 否 | 是 |
| 允许 Apple 智能报告 | 否 | 否 | 是 |
| 允许默认通话应用修改 | 否 | 否 | 是 |
| 允许默认消息应用修改 | 否 | 否 | 是 |
| 允许外部智能工作区 ID | 否 | 否 | 是 |
| 默认浏览器修改 | 否 | 否 | 是 |
| 允许实时语音邮件 | 否 | 否 | 是 |
| 安全 - 在锁定屏幕中显示 | |||
| 控制中心 | 是 | 是 | 是 |
| 通知 | 是 | 是 | 是 |
| 今天视图 | 是 | 是 | 是 |
| 媒体内容 - 允许 | |||
| 露骨音乐、播客和 iTunes U 材料 | 否 | 否 (iOS 13 新增) | 是 |
| iBooks 中的露骨性内容 | 否 | 是 | 是 |
| 评级区域 | 否 | 是 | 是 |
| 电影 | 否 | 是 | 是 |
| 电视节目 | 否 | 是 | 是 |
| 应用 | 否 | 是 | 是 |
-
允许硬件控制
-
摄像头: 允许用户在其设备上使用摄像头。
- FaceTime: 允许用户在其设备上使用 FaceTime。适用于受监管的 iOS 设备。
- 允许 FaceTime 远程控制: 允许远程 FaceTime 会话请求控制设备。适用于受监管的 iOS 设备。适用于 iOS 18.4 及更高版本。
-
屏幕截图: 允许用户在其设备上截取屏幕截图。
- 允许“课堂”应用远程观察学生屏幕: 如果取消选择此限制,教师将无法使用“课堂”应用远程观察学生屏幕。默认设置为选中,教师可以使用“课堂”应用观察学生屏幕。允许“课堂”应用在不提示的情况下执行 AirPlay 和查看屏幕 的设置决定学生是否收到提示以授予教师权限。适用于受监管的 iOS 设备。
- 允许“课堂”应用在不提示的情况下执行 AirPlay 和查看屏幕: 如果选中此限制,教师可以在不提示权限的情况下,在学生设备上执行 AirPlay 和查看屏幕。默认设置为未选中。适用于受监管的 iOS 设备。
- 照片流: 允许用户使用“我的照片流”通过 iCloud 将照片共享到其所有 iOS 设备。
- 共享照片流: 允许用户使用 iCloud 照片共享与同事、朋友和家人共享照片。
- 允许共享 iPad 临时会话: 当设置为 关闭 时,阻止访问共享 iPad 上的临时会话。默认设置为 开启。
- 语音拨号: 在用户设备上启用语音拨号。
-
Siri: 允许用户使用 Siri。
- 设备锁定时允许: 允许用户在其设备锁定时使用 Siri。
-
Siri 脏话过滤器: 启用 Siri 脏话过滤器。默认是限制此功能,这意味着不进行脏话过滤。
有关 Siri 和安全性的详细信息,请参阅 Siri 和听写策略。
- 安装应用: 允许用户安装应用。适用于受监管的 iOS 设备。
- 备用应用市场: 阻止从 Web 安装备用应用市场应用,并阻止任何已安装的备用应用市场应用安装应用。此功能适用于 iOS 17.4 及更高版本。默认设置为 开启。适用于受监管的 iOS 设备。
- Web 分发应用: 允许客户管理员阻止 iOS 设备上的 Web 分发第三方应用。这适用于 iOS 17.5 及更高版本。有关详细信息,请参阅 Restrictions。
- 漫游时允许全局后台获取: 允许设备在漫游时自动将邮件帐户同步到 iCloud。当设置为 关闭 时,禁用 iOS 手机漫游时的全局后台获取活动。默认设置为 开启。
-
摄像头: 允许用户在其设备上使用摄像头。
-
允许应用
- iTunes Store: 允许用户访问 iTunes Store。适用于受监管的 iOS 设备。
-
应用内购买: 允许用户进行应用内购买。
- 购买时需要 iTunes 密码: 应用内购买需要密码。默认是限制此功能,这意味着应用内购买不需要密码。
-
Safari: 允许用户访问 Safari。适用于受监管的 iOS 设备。
- 自动填充: 允许用户在 Safari 上设置用户名和密码的自动填充。
- 强制欺诈警告: 如果启用此设置,并且用户访问可疑的钓鱼网站,Safari 会提醒用户。默认是限制此功能,这意味着不发出警告。
- 启用 JavaScript: 允许 JavaScript 在 Safari 上运行。
- 阻止弹出窗口: 在查看网站时阻止弹出窗口。默认是限制此功能,这意味着不阻止弹出窗口。
- 接受 Cookie: 设置接受 Cookie 的程度。在列表中,选择一个选项以允许或限制 Cookie。默认选项是 始终,它允许所有网站在 Safari 中保存 Cookie。其他选项包括 仅当前网站、从不 和 仅来自访问过的网站。
-
网络 - 允许 iCloud 操作
- iCloud 文档和数据: 允许用户将文档和数据同步到 iCloud。适用于受监管的 iOS 设备。
- iCloud 备份: 允许用户将其设备备份到 iCloud。
- iCloud 钥匙串: 允许用户在 iCloud 钥匙串中存储密码、Wi-Fi 网络、信用卡和其他信息。
- iCloud 照片图库: 允许用户访问其 iCloud 照片图库。
-
安全 - 强制
默认是限制以下功能,这意味着不启用任何安全功能。
- 加密备份: 强制将备份加密到 iCloud。
- 限制广告跟踪: 阻止定向广告跟踪。
- 首次 AirPlay 配对时需要密码: 要求 AirPlay 启用设备在使用 AirPlay 之前通过一次性屏幕代码进行验证。
- 配对的 Apple Watch 使用手腕检测: 要求配对的 Apple Watch 使用 手腕检测。
- 使用 AirDrop 共享受管文档: 将此选项设置为 开启 会使 AirDrop 显示为非受管投放目标。
-
安全 - 允许
- 接受不受信任的 SSL 证书: 允许用户接受网站不受信任的 SSL 证书。
- 自动更新证书信任设置: 允许自动更新受信任的证书。
-
需要受管粘贴板: 如果为“开启”,则允许复制和粘贴功能遵循您应用于 非受管应用中的受管应用文档 和 受管应用中的非受管应用文档 的相同限制。默认值为 关闭。 例如,您配置以下内容:
- 需要受管粘贴板:开启
- 非受管应用中的受管应用文档:关闭
- 受管应用中的非受管应用文档:开启
注意:
将策略部署到 iOS 设备后,用户无法将数据从受管应用复制并粘贴到非受管应用,但可以将数据从非受管应用复制并粘贴到受管应用。
- 将受管应用中的文档用于非受管应用: 允许用户将数据从受管(公司)应用移动到非受管(个人)应用。
- 将非受管应用中的文档用于受管应用: 允许用户将数据从非受管(个人)应用移动到受管(公司)应用。
- 向 Apple 提交诊断信息: 允许将有关用户设备的匿名诊断数据发送给 Apple。
- 使用触控 ID 解锁设备: 允许用户使用指纹解锁设备。
- 自动解锁: 如果设置为“关”,用户无法使用 Apple Watch 解锁配对的 iPhone。默认设置为“开”。适用于 iOS 14.5 或更高版本。
- 锁定时的 Passbook 通知: 允许 Passbook 通知显示在锁定屏幕上。
- 接力: 允许用户将活动从一台 iOS 设备传输到附近的另一台 iOS 设备。
- 受管应用的 iCloud 同步: 允许用户将受管应用同步到 iCloud。
- 企业图书备份: 允许将企业图书备份到 iCloud。
- 企业图书的笔记和高亮同步: 允许用户添加到企业图书的笔记和高亮同步到 iCloud。
- 企业应用信任: 允许信任企业应用程序。企业应用是为您的组织定制的任何应用。这些应用可以在内部制作,也可以由外部供应商开发和购买。有关其他信息,请参阅在 iOS 上安装自定义企业应用。
- Spotlight 中的 Internet 结果: 允许 Spotlight 除了显示设备上的搜索结果外,还显示来自 Internet 的搜索结果。
- 非受管应用读取受管联系人: 可选。仅当“将受管应用中的文档用于非受管应用”被禁用时可用。如果启用此策略,非受管应用可以读取受管帐户联系人中的数据。默认设置为“关”。适用于 iOS 12 及更高版本。
- 受管应用写入非受管联系人: 可选。如果启用,允许受管应用将联系人写入非受管帐户的联系人。如果“将受管应用中的文档用于非受管应用”已启用,则此限制无效。默认设置为“关”。适用于 iOS 12 及更高版本。
-
允许 Apple 个性化广告: 如果设置为“关”,Apple 广告平台不会使用用户数据来投放个性化广告。默认设置为“开”。适用于 iOS 14.0 或更高版本。
-
仅限受监督设备的设置 - 允许
这些设置仅适用于受监督设备。有关将 iOS 设备设置为监督模式的步骤,请参阅使用 Apple Configurator 将 iOS 设备置于监督模式。
- 允许修改 eSIM: 允许用户更改其设备上的 eSIM 设置。
-
擦除时保留 eSIM: 如果设置为“开”,当设备因密码尝试失败次数过多或“设置”>“通用”>“传输或还原 iPhone”中的“抹掉所有内容和设置”选项而被擦除时,系统会保留 eSIM。默认设置为“关”。
注意:
如果“查找”功能启动擦除设备,系统不会保留 eSIM。
- 抹掉所有内容和设置: 允许用户抹掉其设备上的所有内容和设置。
- 配置限制: 允许用户在其设备上配置家长控制。
- 播客: 允许用户下载和同步播客。
- 安装配置描述文件: 允许用户安装您部署的配置描述文件以外的配置描述文件。
- 指纹修改: 允许用户更改或删除其触控 ID 指纹。
- 从设备安装应用: 允许用户安装应用。禁用此设置会阻止最终用户安装新应用。App Store 将被禁用,其图标将从主屏幕中移除。
- 键盘快捷方式: 允许用户为其经常使用的词语或短语创建自定义键盘快捷方式。
- 配对的 Apple Watch: 允许用户将 Apple Watch 与受监督设备配对。
- 密码修改: 允许用户更改受监督设备上的密码。
- 设备名称修改: 允许用户更改其设备的名称。
- 墙纸修改: 允许用户更改其设备上的墙纸。
- 自动下载应用: 允许应用下载。
- 隔空投送: 允许用户与附近的 iOS 设备共享照片、视频、网站、位置等。
- iMessage: 允许用户通过 Wi-Fi 使用 iMessage 发送短信。
- Siri 用户生成内容: 允许 Siri 查询来自网络的、用户生成的内容。用户生成内容是由消费者而非传统记者制作的。例如,Twitter 或 Facebook 上的内容就是用户生成内容。
- iBooks: 允许用户使用 iBooks 应用。
- 移除应用: 允许用户从其设备中移除应用。
-
Game Center: 允许用户通过其设备上的 Game Center 玩在线游戏。
- 添加朋友: 允许用户向朋友发送玩游戏的通知。
- 多人游戏: 允许用户在其设备上开始多人游戏。
- 修改帐户设置: 允许用户修改其设备帐户设置。
- 修改应用蜂窝数据设置: 允许用户修改应用使用蜂窝数据的方式。
- 允许网络驱动器连接: 如果设置为“关”,则阻止在“文件”应用中连接到网络驱动器。默认设置为“开”。
- 允许 USB 设备连接: 如果设置为“关”,则阻止在“文件”应用中连接到任何已连接的 USB 设备。默认设置为“开”。
- 允许查找我的设备: 如果设置为“关”,则禁用“查找”应用中的“查找我的设备”选项。默认设置为“开”。
- 允许查找我的朋友: 如果设置为“关”,则禁用“查找”应用中的“查找我的朋友”选项。默认设置为“开”。
- 修改查找我的朋友设置: 允许用户更改其“查找我的朋友”设置。
- 与非 Configurator 主机配对: 允许管理员控制用户设备可以与哪些设备配对。禁用此设置会阻止配对,但运行 Apple Configurator 的监督主机除外。如果未配置监督主机证书,则所有配对都将被禁用。
- 预测键盘: 允许用户设备使用预测键盘在键入时建议词语。在管理标准化测试等情况下禁用此选项,因为您不希望用户访问建议的词语。
- 键盘自动更正: 允许用户设备使用键盘自动更正。在管理标准化测试等情况下禁用此选项,因为您不希望用户访问自动更正。
- 键盘拼写检查: 允许用户设备在键入时使用拼写检查。在管理标准化测试等情况下禁用此选项,因为您不希望用户访问拼写检查器。
- 允许 QuickPath 键盘: 如果设置为“关”,则禁用 QuickPath 键盘。默认设置为“开”。
- 定义查找: 允许用户设备在键入时使用定义查找。在管理标准化测试等情况下禁用此选项,因为您不希望用户在键入时查找定义。
- 单个应用捆绑包 ID: 创建一个允许保留设备控制权并阻止与其他应用或功能交互的应用列表。 要添加应用,请单击“添加”,键入“应用名称”,然后单击“保存”。对要添加的每个应用重复此过程。
- 新闻: 允许用户使用“新闻”应用。
- Apple Music 服务: 允许用户使用 Apple Music 服务。如果您不允许 Apple Music 服务,则“音乐”应用将以经典模式运行。
- iTunes Radio: 允许用户使用 iTunes Radio。
- 通知修改: 允许用户修改通知设置。
-
受限应用使用: 允许用户使用所有应用,或根据您提供的捆绑包 ID 使用或不使用应用。仅适用于受监督设备。如果选择“仅允许部分应用”,请添加捆绑包 ID 为
com.apple.webapp的应用以允许 Web Clip。注意:
从 iOS 11 开始,Apple 对可用于应用限制的策略进行了更改。Apple 不再允许您通过限制相应的 iOS 应用程序捆绑包来移除对“设置”应用和“电话”应用的访问权限。
在您配置“限制”设备策略以阻止某些应用并部署该策略后:如果您以后想允许部分或所有这些应用,更改和部署“限制”设备策略不会更改限制。在这种情况下,iOS 不会将更改应用于 iOS 描述文件。要继续,请使用“描述文件移除”策略移除 iOS 描述文件,然后部署更新的“限制”设备策略。
如果将此设置更改为“仅允许部分应用”:在部署此策略之前,请建议使用 Apple 部署计划注册设备的用户从“设置助理”登录其 Apple 帐户。否则,用户可能需要禁用其设备上的双重身份验证才能登录其 Apple 帐户并访问允许的应用。
- 诊断提交修改: 允许用户在“设置”>“诊断与用量”窗格中修改诊断提交和应用分析设置。
- 蓝牙修改: 允许用户修改蓝牙设置。
- 允许听写: 仅限受监督设备。如果此限制设置为“关”,则不允许听写输入,包括语音转文本。默认设置为“开”。
- 强制开启 Wi-Fi: 阻止在“设置”或“控制中心”中开启或关闭 Wi-Fi。激活飞行模式对此限制没有影响,这不会阻止您选择要连接的 Wi-Fi 网络。默认设置为“关”。
- 仅加入通过 Wi-Fi 策略安装的 Wi-Fi 网络: 可选。仅限受监督设备。如果此限制设置为“开”,则设备只能加入通过配置描述文件设置的 Wi-Fi 网络。默认设置为“关”。
- 允许“课堂”应用在不提示的情况下执行隔空播放和查看屏幕: 如果选择此限制,教师可以在学生设备上执行隔空播放和查看屏幕,而无需提示权限。默认设置为未选择。适用于受监督的 iOS 设备。
- 允许“课堂”应用在不提示的情况下锁定到应用并锁定设备: 如果此限制设置为“开”,则“课堂”应用会自动将用户设备锁定到某个应用并锁定设备,而无需提示用户。默认设置为“关”。适用于运行 iOS 11(最低版本)的受监督设备。
- 自动加入“课堂”应用课程而无需提示: 如果此限制设置为“开”,则“课堂”应用会自动将用户加入课程,而无需提示用户。默认设置为“关”。适用于运行 iOS 11(最低版本)的受监督设备。
-
允许隔空打印: 如果此限制设置为“关”,用户无法使用隔空打印进行打印。默认设置为“开”。当此限制设置为“开”时,将显示以下额外限制。适用于运行 iOS 11(最低版本)的受监督设备。
- 允许在钥匙串中存储隔空打印凭据: 如果未选择此限制,则隔空打印用户名和密码不会存储在钥匙串中。默认设置为已选择。适用于运行 iOS 11(最低版本)的受监督设备。
- 允许使用 iBeacon 发现隔空打印打印机: 如果未选择此限制,则禁用 iBeacon 发现隔空打印打印机。这可以防止虚假的隔空打印蓝牙信标进行网络流量钓鱼。默认设置为已选择。适用于运行 iOS 11(最低版本)的受监督设备。
- 仅允许隔空打印到具有受信任证书的目标: 如果选择此限制,用户只能使用隔空打印到具有受信任证书的目标进行打印。默认设置为未选择。适用于运行 iOS 11(最低版本)的受监督设备。
- 添加 VPN 配置: 如果此限制设置为“关”,用户无法创建 VPN 配置。默认设置为“开”。适用于运行 iOS 11(最低版本)的受监督设备。
- 修改蜂窝数据套餐设置: 如果此限制设置为“关”,用户无法修改蜂窝数据套餐设置。默认设置为“开”。适用于运行 iOS 11(最低版本)的受监督设备。
- 移除系统应用: 如果此限制设置为“关”,用户无法从其设备中移除系统应用。默认设置为“开”。适用于运行 iOS 11(最低版本)的受监督设备。
- 设置新的附近设备: 如果此限制设置为“关”,用户无法设置新的附近设备。默认设置为“开”。适用于运行 iOS 11(最低版本)的受监督设备。
- 允许 USB 受限模式: 如果设置为“关”,设备在锁定时始终可以连接到 USB 配件。默认设置为“开”。仅适用于受监督的 iOS 11.3 及更高版本设备。
- 强制延迟软件更新: 如果设置为“开”,则延迟用户查看软件更新。启用此限制后,用户在软件更新发布日期后的指定天数内不会看到软件更新。默认设置为“关”。仅适用于受监督的 iOS 11.3 及更高版本设备。
- 强制软件更新延迟(天): 允许您指定设备上软件更新的延迟天数。最大延迟为 90 天。默认延迟为 30 天。仅适用于受监督的 iOS 11.3 及更高版本设备。
- 强制课堂请求离开课程的权限: 如果设置为“开”,则在“课堂”中注册非受管课程的学生在尝试离开课程时必须请求教师的许可。默认设置为“关”。仅适用于受监督的 iOS 11.3 及更高版本设备。
- 强制自动填充前进行身份验证: 如果设置为“开”,用户需要先进行身份验证,系统才能在 Safari 和应用中自动填充密码或信用卡信息。仅支持配备面容 ID 或触控 ID 的设备。默认设置为“关”。
- 强制自动日期和时间: 允许您在受监督设备上自动设置日期和时间。如果设置为“开”,设备用户无法在“通用”>“日期与时间”下关闭“自动设置”。设备上的时区仅在设备可以确定其位置时更新。也就是说,当设备具有蜂窝连接或启用了定位服务的 Wi-Fi 连接时。默认设置为“关”。仅适用于受监督的 iOS 12 及更高版本设备。
- 密码自动填充: 可选。如果禁用,用户无法使用“自动填充密码”或“自动强密码”功能。默认设置为“开”。适用于 iOS 12 及更高版本。
- 密码邻近请求: 可选。如果禁用,用户设备不会从附近的设备请求密码。默认设置为“开”。适用于 iOS 12 及更高版本。
- 密码共享: 可选。如果禁用,用户无法使用“隔空投送密码”功能共享其密码。默认设置为“开”。适用于 iOS 12 及更高版本。
- 修改个人热点设置: 如果设置为“关”,则禁用对个人热点设置的修改。默认设置为“开”。
- 允许未配对设备启动到恢复模式: 如果设置为“开”,则允许未配对设备将设备启动到恢复模式。默认设置为“关”。适用于 iOS 14.5 或更高版本。
- 安装快速安全响应: 如果设置为“关”,则禁止安装快速安全响应。默认设置为“开”。
- 移除快速安全响应: 如果设置为“关”,则禁止移除快速安全响应。默认设置为“开”。
- 允许邮件隐私保护: 如果设置为“关”,则禁用设备上的邮件隐私保护。默认设置为“开”。适用于 iOS 15.2 或更高版本。
- NFC: 如果设置为“关”,则禁用 NFC。默认设置为“开”。适用于 iOS 14.2 或更高版本。
- 允许 App Clip: 如果设置为“关”,则阻止用户添加任何 App Clip 并移除设备上任何现有的 App Clip。默认设置为“开”。适用于 iOS 14.0 或更高版本。
- Genmoji: 如果设置为“关”,则禁止创建新的 Genmoji。适用于 iOS 18 或更高版本。
- 图像游乐场: 如果设置为“关”,则禁止使用图像生成。适用于 iOS 18 或更高版本。
- 图像魔杖: 如果设置为“关”,则禁止使用图像魔杖。适用于 iOS 18 或更高版本。
- iPhone 镜像: 如果设置为“关”,则禁止使用 iPhone 镜像。在 iOS 上使用时,这会阻止 iPhone 镜像到任何 Mac。适用于 iOS 18 或更高版本。
- 个性化手写结果: 如果设置为“关”,则阻止系统生成用户手写文本。适用于 iOS 18 或更高版本。
- 写作工具: 如果设置为“关”,则禁用 Apple 智能写作工具。适用于 iOS 18 或更高版本。
- 通话录音: 如果设置为“关”,则禁用通话录音。需要受监督设备。适用于 iOS 18.1 或更高版本。
- 要隐藏的应用: 如果设置为“关”,则禁止用户隐藏应用。在 iOS 上使用时,这会阻止用户隐藏应用,但仍允许他们将应用留在 App 资源库中,同时将其从主屏幕中移除。需要受监督设备。适用于 iOS 18 或更高版本。
- 要锁定的应用: 如果设置为“关”,则禁止用户锁定应用。在 iOS 上使用时,这会阻止用户锁定应用,因此也阻止隐藏应用。需要受监督设备。适用于 iOS 18 或更高版本。
- 邮件摘要: 如果设置为“关”,则禁止手动创建电子邮件摘要。在 iOS 上使用时,这不影响自动摘要生成。需要受监督设备。适用于 iOS 18.1 或更高版本。
- RCS 消息: 如果设置为“关”,则阻止使用 RCS 消息。需要受监督设备。适用于 iOS 18.1 或更高版本。
- 允许外部智能集成: 如果设置为“关”,则禁用 Siri 与外部基于云的智能服务的使用。默认设置为“开”。适用于 iOS 18.2 及更高版本。
- 允许登录外部智能集成: 如果设置为“关”,则强制外部智能提供商进入匿名模式。如果用户已登录外部智能提供商,则应用此限制将导致他们在尝试下一次请求时被注销。默认设置为“开”。适用于 iOS 18.2 及更高版本。
- 允许邮件智能回复: 如果设置为“关”,则禁用邮件中的智能回复。默认设置为“开”。适用于 iOS 18.2 及更高版本。
- 允许备忘录转录: 如果设置为“关”,则禁用备忘录中的转录。默认设置为“开”。适用于 iOS 18.2 及更高版本。
- 允许 Safari 摘要: 如果设置为“关”,系统将禁用在 Safari 中总结内容的功能。默认设置为“开”。适用于 iOS 18.4 及更高版本。
- 允许视觉智能摘要: 如果设置为“关”,系统将禁用视觉智能摘要。默认设置为“开”。适用于 iOS 18.3 及更高版本。
- 允许备忘录转录摘要: 如果设置为“关”,则禁用备忘录中的转录摘要。默认设置为“开”。适用于 iOS 18.3 及更高版本。
- 允许 Apple 智能报告: 如果设置为“关”,系统将禁用 Apple 智能报告。默认设置为“开”。适用于 iOS 18.4 及更高版本。
- 允许默认通话应用修改: 如果设置为“关”,则禁用默认通话应用偏好设置修改。应用此设置时,用于设置默认通话应用偏好设置的 MDM 设置命令仍然有效。默认设置为“开”。适用于 iOS 18.4 及更高版本。
- 允许默认消息应用修改: 如果设置为“关”,则禁用默认消息应用偏好设置修改。应用此设置时,用于设置默认消息应用偏好设置的 MDM 设置命令仍然有效。默认设置为“开”。适用于 iOS 18.4 及更高版本。
-
允许外部智能工作区 ID: 一个字符串数组,但目前限制为单个元素。如果存在,Apple 智能仅允许使用给定的外部集成工作区 ID,并且需要登录才能发出请求;用户将被要求登录支持登录的集成。多个有效负载通过交集操作组合。这意味着如果多个有效负载中指定了冲突值,则允许的工作区 ID 集可能成为空集。适用于 iOS 18.3 及更高版本。
- 外部智能工作区 ID: 要添加外部智能工作区 ID,请单击“添加”,键入“外部智能工作区 ID”,然后单击“保存”。对要添加的每个工作区 ID 重复此过程。
- 默认浏览器修改: 如果设置为“关”,则禁止修改默认浏览器偏好设置。在 iOS 上使用时,这仍然允许 MDM 设置命令设置默认浏览器偏好设置。需要受监督设备。适用于 iOS 18.2 或更高版本。
- 允许实时语音邮件: 如果设置为“关”,系统将禁用设备上的实时语音邮件。默认设置为“开”。适用于 iOS 17.2 及更高版本。
-
安全性 - 在锁定屏幕上显示
- 控制中心: 允许在锁定屏幕上访问控制中心。控制中心允许用户轻松修改飞行模式、Wi-Fi、蓝牙、勿扰模式和锁定旋转设置。
- 通知: 允许在锁定屏幕上显示通知。
- 今天视图: 允许在锁定屏幕上显示“今天视图”,该视图聚合了天气和当天日历项目等信息。
-
媒体内容 - 允许
- 露骨音乐、播客和 iTunes U 材料: 允许用户设备上的露骨材料。
- iBooks 中的露骨性内容: 允许从 iBooks 下载露骨材料。
- 分级区域: 设置获取家长控制分级的区域。在列表中,单击一个国家/地区以设置分级区域。默认设置为“美国”。
- 电影: 设置是否允许用户设备上的电影。如果允许电影,则可选地设置电影的分级级别。在列表中,单击一个选项以允许或限制设备上的电影。默认设置为“允许所有电影”。
- 电视节目: 设置是否允许用户设备上的电视节目。如果允许电视节目,则可选地设置电视节目的分级级别。在列表中,单击一个选项以允许或限制设备上的电视节目。默认设置为“允许所有电视节目”。
- 应用: 设置是否允许用户设备上的应用。如果允许应用,则可选地设置应用的分级级别。在列表中,单击一个选项以允许或限制设备上的应用。默认设置为“允许所有应用”。
-
策略设置
-
移除策略: 选择一种计划策略移除的方法。可用选项为“选择日期”和“移除持续时间(小时)”。
- 选择日期: 单击日历以选择具体的移除日期。
- 移除持续时间(小时): 键入一个数字(以小时为单位),直到策略移除发生。仅适用于 iOS 6.0 及更高版本。
- 描述文件范围: 选择此策略是应用于“用户”还是整个“系统”。默认设置为“用户”。此选项仅适用于 iOS 9.3 及更高版本。
-
移除策略: 选择一种计划策略移除的方法。可用选项为“选择日期”和“移除持续时间(小时)”。
macOS 设置
-
偏好设置
-
限制“系统偏好设置”中的项目: 允许或限制用户访问“系统偏好设置”。默认设置为关,这允许用户完全访问“系统偏好设置”。如果启用,请配置以下设置。
-
系统偏好设置面板: 选择您选择的设置是启用还是禁用。默认是启用所有设置,这些设置默认处于开状态。
- 用户与群组
- 通用
- 辅助功能
- App Store
- 软件更新
- 蓝牙
- CD 与 DVD
- 日期与时间
- 桌面与屏幕保护程序
- 显示器
- 程序坞
- 节能
- 扩展
- 光纤通道
- iCloud
- 墨水
- 互联网帐户
- 键盘
- 语言与文本
- Mission Control
- 鼠标
- 网络
- 通知
- 家长控制
- 打印机与扫描仪
- 描述文件
- 安全性与隐私
- 共享
- 声音
- 听写与语音
- 聚焦
- 启动磁盘
- 时间机器
- 触控板
- Xsan
-
系统偏好设置面板: 选择您选择的设置是启用还是禁用。默认是启用所有设置,这些设置默认处于开状态。
-
限制“系统偏好设置”中的项目: 允许或限制用户访问“系统偏好设置”。默认设置为关,这允许用户完全访问“系统偏好设置”。如果启用,请配置以下设置。
-
应用
- 允许使用 Game Center: 允许用户通过 Game Center 玩在线游戏。默认设置为开。
- 允许添加 Game Center 朋友: 允许用户向朋友发送玩游戏的通知。默认设置为开。
- 允许多人游戏: 允许用户开始多人游戏。默认设置为开。
- 允许修改 Game Center 帐户: 允许用户修改其 Game Center 帐户设置。默认设置为开。
- 允许 App Store 采用: 允许或限制 App Store 采用 OS X 中预先存在的应用。默认设置为开。
- 允许 Safari 自动填充: 允许 Safari 自动使用其存储的密码、地址和其他基本信息填充网站上的字段。默认设置为开。
- 安装或更新应用时需要管理员密码: 安装或更新应用时需要管理员密码。默认设置为关,这意味着不需要管理员密码。
- 将 App Store 限制为仅软件更新: 将 App Store 限制为仅更新,这将禁用 App Store 中除“更新”之外的所有选项卡。默认设置为关,这允许完全访问 App Store。
-
限制允许打开的应用: 限制或允许用户可以使用的应用。默认设置为“关”,这允许使用所有应用。如果启用,请配置以下设置:
- 允许的应用: 单击添加,输入允许启动的应用的名称和捆绑 ID,然后单击保存。对每个允许启动的应用重复此步骤。
- 不允许的文件夹: 单击添加,键入要限制用户访问的文件夹的文件路径(例如,/Applications/Utilities),然后单击保存。对所有您不希望用户访问的文件夹重复此步骤。
- 允许的文件夹: 单击添加,键入要授予用户访问权限的文件夹的文件路径,然后单击保存。对所有您希望用户访问的文件夹重复此步骤。
-
小组件
-
仅允许运行以下 Dashboard 小组件: 允许或限制用户可以运行的 Dashboard 小组件,例如“世界时钟”或“计算器”。默认设置为关,这允许用户运行所有小组件。如果启用,请配置以下设置:
- 允许的小组件: 单击添加,键入允许运行的小组件的名称和 ID,然后单击保存。对您希望在 Dashboard 上运行的每个小组件重复此步骤。
-
仅允许运行以下 Dashboard 小组件: 允许或限制用户可以运行的 Dashboard 小组件,例如“世界时钟”或“计算器”。默认设置为关,这允许用户运行所有小组件。如果启用,请配置以下设置:
-
媒体
- 允许 AirDrop: 允许用户与附近的 iOS 设备共享照片、视频、网站、位置等。
-
共享
- 自动启用新的共享服务: 选择是否自动启用共享服务。
- 邮件: 选择是否允许共享邮箱。
- Facebook: 选择是否允许共享 Facebook 帐户。
- 视频服务 - Flickr、Vimeo、土豆和优酷: 选择是否允许共享视频服务。
- 添加到 Aperture: 选择是否允许共享添加到 Aperture 的功能。
- 新浪微博: 选择是否允许共享新浪微博帐户。
- Twitter: 选择是否允许共享 Twitter 帐户。
- 信息: 选择是否允许共享访问信息。
- 添加到 iPhoto: 选择是否允许共享添加到 iPhoto 的功能。
- 添加到阅读列表: 选择是否允许共享添加到阅读列表的功能。
- AirDrop: 选择是否允许共享 AirDrop 帐户。
-
功能
- 锁定桌面图片: 选择用户是否可以更改桌面图片。默认设置为关,这意味着用户可以更改桌面图片。
- 允许使用摄像头: 选择用户是否可以使用其 Mac 上的摄像头。默认设置为关,这意味着用户无法使用摄像头。
- 允许 Apple Music: 允许用户使用 Apple Music 服务 (macOS 10.12 及更高版本)。如果您不允许 Apple Music 服务,则“音乐”应用将以经典模式运行。仅适用于受监督的设备。默认设置为开。
- 允许 Spotlight 建议: 选择用户是否可以使用 Spotlight 建议来搜索其 Mac,并从互联网、iTunes 和 App Store 提供 Spotlight 建议。默认设置为关,这会阻止用户使用 Spotlight 建议。
- 允许查询: 选择用户是否可以使用上下文菜单或 Spotlight 搜索菜单查找单词定义。默认设置为“关”,这会阻止用户在其 Mac 上使用“查询”。
- 允许本地帐户使用 iCloud 密码: 选择用户是否可以使用其 Apple ID 和 iCloud 密码登录其 Mac。启用此策略意味着用户在其 Mac 上的所有登录屏幕都只使用一个 ID 和密码。默认设置为开,这允许用户使用其 Apple ID 和 iCloud 密码访问其 Mac。
-
允许 iCloud 文档与数据: 选择是否允许用户访问其 Mac 上存储在 iCloud 中的文档和数据。默认设置为关,这会阻止用户在其 Mac 上使用 iCloud 文档和数据。
- 允许 iCloud 桌面和文稿: (macOS 10.12.4 及更高版本) 默认已选中。
- 允许 iCloud 钥匙串同步: 允许 iCloud 钥匙串同步 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 邮件: 允许用户使用 iCloud 邮件 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 通讯录: 允许用户使用 iCloud 通讯录 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 日历: 允许用户使用 iCloud 日历 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 提醒事项: 允许用户使用 iCloud 提醒事项 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 书签: 允许用户与 iCloud 书签同步 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 备忘录: 允许用户使用 iCloud 备忘录 (macOS 10.12 及更高版本)。默认设置为开。
- 允许 iCloud 照片: 如果您将此设置更改为关,则任何未从 iCloud 照片图库完全下载的照片都将从本地设备存储中删除 (macOS 10.12 及更高版本)。默认设置为开。
- 允许自动解锁: 有关此选项和 Apple Watch 的信息,请参阅 https://www.imore.com/auto-unlock (macOS 10.12 及更高版本)。默认设置为开。
- 允许 Touch ID 解锁 Mac: (macOS 10.12.4 及更高版本)。默认设置为开。
- 强制延迟软件更新: 如果设置为开,此设置会延迟用户看到软件更新。用户在软件更新发布日期后的指定天数内不会看到软件更新。默认设置为关。仅适用于运行 macOS 10.13.4 及更高版本的受监督设备。
- 强制软件更新延迟(天): 指定在设备上延迟软件更新的天数。最多 90 天。默认设置为30。仅适用于运行 macOS 10.13.4 及更高版本的受监督设备。
- 密码自动填充: 可选。如果禁用,用户无法使用“自动填充密码”或“自动强密码”功能。默认设置为开。适用于 macOS 10.14 及更高版本。
- 密码邻近请求: 可选。如果禁用,用户的设备不会从附近的设备请求密码。默认设置为开。适用于 macOS 10.14 及更高版本。
- 密码共享: 可选。如果禁用,用户无法使用 AirDrop 密码功能共享其密码。默认设置为开。适用于 macOS 10.14 及更高版本。
- 图像游乐场: 如果设置为关,则禁止使用图像生成。默认设置为开。仅适用于运行 macOS 15 及更高版本的受监督设备。
- iPhone 镜像: 如果设置为关,则禁止使用 iPhone 镜像。在 macOS 上使用时,这会阻止 Mac 镜像任何 iPhone。默认设置为开。仅适用于运行 macOS 15 及更高版本的受监督设备。
- 写作工具: 如果设置为关,则禁用 Apple Intelligence 写作工具。默认设置为开。仅适用于运行 macOS 15 及更高版本的受监督设备。
- 允许修改媒体共享: 如果设置为关,则阻止修改媒体共享设置。默认设置为开。适用于 macOS 15.1 及更高版本。
- 强制绕过屏幕捕获警报: 如果设置为开,则绕过屏幕捕获警报的显示。默认设置为关。适用于 macOS 15.1 及更高版本。
- 邮件摘要: 如果设置为关,则禁用手动创建电子邮件摘要的功能。这不影响自动摘要生成。默认设置为开。适用于 macOS 15.1 或更高版本。
Android 设置
- 摄像头: 允许用户使用其设备上的摄像头。如果设置为关,则摄像头将被禁用。默认设置为开。
Android Enterprise 设置
当新的或恢复出厂设置的 Android 设备以工作配置文件模式注册时,运行 Android 9.0-10.x 的设备将注册为具有工作配置文件的完全托管设备。运行 Android 11+ 的设备将注册为公司拥有设备上的工作配置文件。限制策略可以应用于设备上的工作配置文件或托管设备。
在以公司拥有设备上的工作配置文件模式注册的设备上,以下限制仅适用于工作配置文件:
- 允许备份服务
- 启用系统应用
- 防止键盘锁锁定设备
- 允许使用状态栏
- 保持设备屏幕常亮
- 允许用户控制应用程序设置
- 允许用户配置用户凭据
- 允许 VPN 配置
- 允许 USB 大容量存储
- 允许恢复出厂设置
- 允许应用卸载
- 从工作和个人配置文件访问电子邮件应用
- 允许非 Google Play 应用
- 允许跨配置文件复制和粘贴
- 启用应用验证
- 允许帐户管理
- 允许打印
- 允许 NFC
- 允许添加用户
默认情况下,当设备以工作配置文件模式注册到 Android Enterprise 时,USB 调试和未知来源设置在设备上处于禁用状态。
对于运行 Android 9.0-10.x 和 Samsung Knox 3.0 及更高版本的设备,请在Android Enterprise页面上配置 Samsung Knox 和 Samsung SAFE 的设置。对于运行早期版本 Android 或 Samsung Knox 的设备,请使用Samsung Knox和Samsung SAFE页面。
Samsung 限制不适用于在企业拥有设备工作资料模式下注册的设备。使用 Knox Service Plugin (KSP) 将 Samsung 限制应用于这些设备。有关详细信息,请参阅 Samsung 文档。
建议您使用 Samsung Knox 3.4 或更高版本以获取最新的 Samsung Knox 管理功能。
-
应用于具有工作资料的完全托管设备/企业拥有设备上的工作资料: 允许为具有工作资料的完全托管设备配置限制策略设置。当此设置为“开”时,请选择以下设置之一:
- 工作资料: 您配置的限制设置仅适用于设备上的工作资料。
- 管理设备: 您配置的限制设置仅适用于设备。
当此设置为“关”时,您配置的凭据设置将应用于设备,但明确适用于工作资料的设置除外。默认值为“关”。
当“应用于具有工作资料的完全托管设备/企业拥有设备上的工作资料”设置为“关”时,配置以下设置:
-
安全性
- 允许帐户管理: 允许在工作资料和托管设备中添加帐户。默认值为“关”。
- 允许跨资料复制和粘贴: 如果设置为“开”,用户可以在 Android Enterprise 资料中的应用程序与个人区域中的应用程序之间复制和粘贴。默认值为“关”。
- 允许屏幕捕获: 允许用户录制或捕获设备屏幕。默认值为“关”。
- 允许使用摄像头: 允许用户使用设备摄像头拍照和录制视频。默认值为“关”。
- 允许 VPN 配置: 允许用户创建 VPN 配置。适用于运行 Android 6 及更高版本的工作资料设备以及完全托管设备。默认值为“开”。
- 允许备份服务: 允许用户备份其设备上的应用程序和系统数据。默认值为“开”。
- 允许 NFC: 允许用户使用近场通信 (NFC) 将网页、照片、视频或其他内容从其设备发送到另一设备。适用于 MDM 4.0 及更高版本。默认值为“开”。
- 允许配置位置提供程序: 允许用户在其设备上打开 GPS。适用于 Android API 28 及更高版本。默认值为“开”。
-
允许位置共享: 对于托管资料,设备所有者可以覆盖此设置。默认值为“关”。
提示:
您可以在 XenMobile 中创建位置设备策略以强制实施地理边界。请参阅 位置设备策略。
- 允许用户配置用户凭据: 指定用户是否可以在托管密钥库中配置凭据。默认值为“开”。
- 允许打印: 如果设置为“开”,则此设置允许用户打印到用户设备可访问的任何打印机。默认值为“关”。适用于:Android 9 及更高版本。
- 允许 USB 调试: 默认值为“关”。
-
应用程序
-
启用系统应用程序: 允许用户运行预安装的设备应用程序。默认值为“关”。要启用特定应用程序,请单击“系统应用程序列表”表中的“添加”。
-
系统应用程序列表: 您要在设备上启用的系统应用程序列表。将“启用系统应用程序”设置为“开”并添加应用程序包名称。要查找系统应用程序的包名称,可以使用 Android 调试桥 (
adb) 调用 Android 包管理器 (pm) 命令。例如,adb shell "pm list packages -f name",其中“name”是包名称的一部分。有关详细信息,请参阅 https://developer.android.com/studio/command-line/adb。对于 Android Enterprise 设备,您可以使用 Android Enterprise 应用程序权限 策略限制应用程序权限。
-
系统应用程序列表: 您要在设备上启用的系统应用程序列表。将“启用系统应用程序”设置为“开”并添加应用程序包名称。要查找系统应用程序的包名称,可以使用 Android 调试桥 (
-
禁用应用程序: 阻止指定应用程序列表在设备上运行。默认值为“关”。要禁用已安装的应用程序,请将设置更改为“开”,然后单击“应用程序列表”表中的“添加”。
- 应用程序列表: 您要阻止的应用程序列表。将“禁用应用程序”设置为“开”并添加应用程序。键入应用程序包名称。更改和部署应用程序列表会覆盖之前的应用程序列表。例如:如果您禁用 com.example1 和 com.example2,然后将列表更改为 com.example1 和 com.example3,则 XenMobile 会启用 com.example.2。
- 启用应用程序验证: 启用操作系统扫描应用程序以检测恶意行为。默认值为“开”。
- 启用 Google 应用程序: 允许用户从 Google 移动服务下载应用程序到设备。默认值为“开”。
- 允许非 Google Play 应用程序: 允许安装来自 Google Play 以外商店的应用程序。默认值为“关”。
- 允许用户控制应用程序设置: 允许用户卸载应用程序、禁用应用程序、清除缓存和数据、强制停止任何应用程序以及清除默认设置。用户从“设置”应用程序执行这些操作。默认值为“关”。
-
允许应用程序卸载: 允许用户从托管 Google Play 商店中卸载应用程序。默认值为“关”。要显示此设置,请启用服务器属性
afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅 服务器属性。 - 从工作资料和个人资料访问电子邮件应用程序: 当设置为“开”时,允许用户从其个人资料访问和使用工作资料电子邮件应用程序。默认值为“关”。
-
启用系统应用程序: 允许用户运行预安装的设备应用程序。默认值为“关”。要启用特定应用程序,请单击“系统应用程序列表”表中的“添加”。
-
BYOD 工作资料
-
允许工作配置文件应用程序小组件显示在主屏幕上:如果此设置设置为“开”,用户可以将工作配置文件应用程序小组件放置在设备主屏幕上。如果此设置设置为“关”,用户无法将工作配置文件应用程序小组件放置在设备主屏幕上。默认设置为“关”。
- 允许显示小组件的应用程序:您希望在主屏幕上允许的应用程序列表。将“允许工作配置文件应用程序小组件显示在主屏幕上”设置为“开”并添加应用程序。单击“添加”,然后从列表中选择要在主屏幕上允许其小组件的应用程序。单击“保存”。重复此过程以允许更多应用程序小组件。
-
允许设备联系人中显示工作配置文件联系人:在父配置文件中显示来自托管 Android Enterprise 配置文件的联系人,用于来电(Android 7.0 及更高版本)。默认设置为“关”。
-
仅限完全托管设备
- 允许添加用户:允许用户在设备上添加新用户。默认设置为“开”。
- 允许数据漫游:允许用户在漫游时使用蜂窝数据。默认设置为“关”,这会禁用用户设备上的漫游。默认设置为“关”。
- 允许短信:允许用户发送和接收短信。默认设置为“关”。
- 允许使用状态栏:如果设置为“开”,此设置将在托管设备和专用设备(也称为 COSU 设备)上启用状态栏。此设置会禁用通知、快速设置以及其他允许从全屏模式退出的屏幕叠加层。用户可以转到系统设置并查看通知。适用于 Android 6.0 及更高版本。默认设置为“关”。
-
允许蓝牙:允许用户使用蓝牙。默认设置为“开”。
-
允许蓝牙共享:如果未选中,用户无法在其设备上建立传出蓝牙共享。默认设置为选中。要显示此设置,请启用服务器属性
afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性。
-
允许蓝牙共享:如果未选中,用户无法在其设备上建立传出蓝牙共享。默认设置为选中。要显示此设置,请启用服务器属性
- 允许配置日期和时间:允许用户更改其设备上的日期和时间。默认设置为“开”。
- 允许恢复出厂设置:允许用户对其设备执行恢复出厂设置。默认设置为“开”。
- 保持设备屏幕常亮:如果此设置设置为“开”,则当设备插入电源时,设备屏幕将保持常亮。默认设置为“关”。
- 允许 USB 大容量存储:允许用户设备与计算机之间通过 USB 连接传输大型数据文件。默认设置为“开”。
- 允许麦克风:允许用户使用其设备上的麦克风。默认设置为“开”。
- 允许网络共享:允许用户配置便携式热点和共享数据。默认设置为“关”。
- 防止键盘锁锁定设备:如果设置为“开”,此设置将在托管设备和专用设备(也称为 COSU 设备)的锁定屏幕上禁用键盘锁。默认设置为“关”。
- 允许更改 Wi-Fi:如果设置为“开”,用户可以打开或关闭 Wi-Fi 并连接到 Wi-Fi 网络。默认设置为“开”。
- 允许文件传输:允许通过 USB 进行文件传输。默认设置为“关”。
-
Samsung
- 启用 TIMA 密钥库:TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书将路由到默认密钥存储提供程序进行存储。默认设置为“关”。
- 允许共享列表:允许用户在“共享方式”列表中的应用程序之间共享内容。默认设置为“开”。
- 启用审核日志:启用事件审核日志的创建,用于设备的取证分析。默认设置为“关”。
-
Samsung:仅限完全托管设备
- 启用 ODE 可信启动验证:使用 ODE 可信启动验证,从引导加载程序到系统映像建立信任链。默认设置为“开”。
- 仅允许紧急呼叫:允许用户在其设备上启用“仅限紧急呼叫”模式。默认设置为“关”。
- 允许固件恢复:允许用户恢复其设备上的固件。默认设置为“开”。
- 允许快速加密:仅允许加密已使用的内存空间。此加密与完全磁盘加密不同,后者会加密所有数据。这些数据包括设置、应用程序数据、下载的文件和应用程序、媒体以及其他文件。默认设置为“开”。
- 启用通用标准模式:将设备置于通用标准模式。通用标准配置强制执行严格的安全流程。默认设置为“开”。
- 启用重新启动横幅:当用户设备重新启动时,显示经 DoD 批准的系统使用通知消息或横幅。默认设置为“关”。
- 允许更改设置:允许用户更改其完全托管设备上的设置。默认设置为“开”。
- 启用后台数据使用:允许应用程序在后台同步数据。适用于完全托管设备。默认设置为“开”。
-
允许剪贴板:允许用户将数据复制到其设备上的剪贴板。
- 允许剪贴板共享:允许用户在其设备和计算机之间共享剪贴板内容(MDM 4.0 及更高版本)。
- 允许主页键:允许用户在其完全托管设备上使用“主页”键。默认设置为“开”。
- 允许模拟位置:允许用户伪造其 GPS 位置。适用于完全托管设备。默认设置为“关”。
- NFC:允许用户在其完全托管设备上使用 NFC(MDM 3.0 及更高版本)。默认设置为“开”。
- 允许关机:允许用户关闭其完全托管设备(MDM 3.0 及更高版本)。默认设置为“开”。
- 允许 Wi-Fi 直连:允许用户通过其 Wi-Fi 连接直接连接到另一台设备。默认设置为“开”。如果设置为“开”,则必须启用“允许更改 Wi-Fi”设置。
- 允许 SD 卡:允许用户在其设备上使用 SD 卡(如果可用)。默认设置为“开”。
- 允许 USB 主机存储:当 USB 设备连接到用户设备时,允许用户设备充当 USB 主机。然后,用户设备会向 USB 设备供电。默认设置为“开”。
- 允许语音拨号器:允许用户在其设备上使用语音拨号器(MDM 4.0 及更高版本)。默认设置为“开”。
- 允许 S Beam:允许用户使用 NFC 和 Wi-Fi 直连与他人共享内容(MDM 4.0 及更高版本)。默认设置为“开”。
- 允许 S Voice:允许用户在其设备上使用智能个人助理和知识导航器(MDM 4.0 及更高版本)。默认设置为“开”。
- 允许 USB 网络共享:允许用户使用其 USB 连接与另一台设备共享移动数据连接。默认设置为“关”。如果设置为“开”,则“允许网络共享”设置也必须设置为“开”。
-
允许蓝牙网络共享:允许用户使用其蓝牙连接与另一台设备共享移动数据连接。默认设置为“关”。如果设置为“开”,则“允许网络共享”设置也必须设置为“开”。
-
允许蓝牙共享:如果未选中,用户无法在其设备上建立传出蓝牙共享。默认设置为选中。要显示此设置,请启用服务器属性
afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性。
-
允许蓝牙共享:如果未选中,用户无法在其设备上建立传出蓝牙共享。默认设置为选中。要显示此设置,请启用服务器属性
- 允许 Wi-Fi 网络共享:允许用户使用其 Wi-Fi 连接与另一台设备共享移动数据连接。默认设置为“关”。如果设置为“开”,则“允许网络共享”设置也必须设置为“开”。
- 允许接收彩信:允许用户接收彩信。默认设置为“关”。如果设置为“开”,则必须启用“允许短信”设置。
- 允许发送彩信:允许用户发送彩信。默认设置为“关”。如果设置为“开”,则必须启用“允许短信”设置。
- 允许接收短信:允许用户接收短信。默认设置为“关”。如果设置为“开”,则必须启用“允许短信”设置。
- 允许发送短信:允许用户发送短信。默认设置为“关”。如果设置为“开”,则必须启用“允许短信”设置。
- 配置移动网络:允许用户使用其蜂窝数据连接。默认设置为“关”。
- 按天限制 (MB):输入用户每天可使用的移动数据量(MB)。默认值为 0,这会禁用此功能(MDM 4.0 及更高版本)。
- 按周限制 (MB):输入用户每周可使用的移动数据量(MB)。默认值为 0,这会禁用此功能(MDM 4.0 及更高版本)。
- 按月限制 (MB):输入用户每月可使用的移动数据量(MB)。默认值为 0,这会禁用此功能(MDM 4.0 及更高版本)。
- 仅允许安全 VPN 连接:允许用户仅使用安全连接(MDM 4.0 及更高版本)。默认设置为“开”。
- 允许录音:允许用户使用其设备录音(MDM 4.0 及更高版本)。默认设置为“开”。如果设置为“开”,则必须启用“允许麦克风”设置。
- 允许录像:允许用户使用其设备录像(MDM 4.0 及更高版本)。默认设置为“关”。如果设置为“开”,则必须启用“允许使用摄像头”设置。
- 允许漫游时推送消息:允许用户使用蜂窝数据进行推送。默认设置为“关”。如果设置为“开”,则必须启用“允许数据漫游”设置。
- 允许漫游时自动同步:允许用户使用蜂窝数据进行同步。默认设置为“关”。如果设置为“开”,则必须启用“允许数据漫游”设置。
- 允许漫游时语音通话:允许用户使用蜂窝数据进行语音通话。默认设置为“关”。如果设置为“开”,则必须启用“允许数据漫游”设置。
-
Samsung:Knox 容器/完全托管设备
- 启用吊销检查:启用对已吊销证书的检查。默认设置为“关”。
-
Samsung:仅限 Knox 容器
- 将应用程序移动到容器:允许用户在其设备上的 Knox 容器和个人区域之间移动应用程序。默认设置为“开”。
- 强制执行多重身份验证:用户必须使用指纹和另一种身份验证方法(例如密码或 PIN)来打开其设备。默认设置为“开”。
- 强制执行容器身份验证:使用与用于解锁设备的方法不同的身份验证方法来打开 KNOX 容器。默认设置为“开”。
- 启用安全键盘:强制用户在 Knox 容器内使用安全键盘。默认设置为“开”。
-
Samsung:DeX
-
启用 Samsung DeX: 允许支持 Knox 的设备在 Samsung DeX 模式下运行。需要 Samsung Knox 3.1(最低版本)。默认设置为“开”。有关 Samsung DeX 设备要求和设置 Samsung DeX 的信息,请参阅 Samsung 开发者文档。
- 仅在 DeX 模式下允许以太网: 允许在 Samsung DeX 模式下使用以太网。蜂窝数据、Wi-Fi 和网络共享(Wi-Fi、蓝牙和 USB)在 DeX 模式下受到限制。默认设置为未选中。
- 上传 DeX 徽标图像: 选择此设置可指定用作 Samsung DeX 图标的 .png 图像。
- DeX 屏幕超时(秒): 指定 DeX 屏幕关闭前的空闲时间(以秒为单位)。要禁用超时,请键入 0。默认值为 1200 秒(20 分钟)。
-
在 Samsung DeX 中添加应用程序快捷方式: 指定应用程序包名称,以将该应用程序的快捷方式添加到 DeX。要查找应用程序包名称,请转至 Google Play 并选择该应用程序。URL 中包含包名称:
https://play.google.com/store/apps/details?id=<package.name><!--NeedCopy-->。 - 在 Samsung DeX 中删除应用程序快捷方式: 指定应用程序包名称,以从 DeX 中删除快捷方式。转至 Google Play 查找应用程序包名称。
-
要在 Samsung DeX 中禁用的应用程序包: 指定要从 Samsung DeX 模式中阻止的应用程序包的逗号分隔列表。例如:
"com.android.chrome", "com.google.android.gm"<!--NeedCopy-->。
当“应用于具有工作资料的完全托管设备”设置为“开”且“对于具有工作资料的完全托管设备,将策略应用于”设置为“工作资料”时,请配置以下设置:
-
安全性
- 允许帐户管理: 允许在工作资料和托管设备中添加帐户。默认设置为“关”。
- 允许跨配置文件复制和粘贴: 如果设置为“开”,用户可以在 Android Enterprise 配置文件中的应用程序与个人区域中的应用程序之间复制和粘贴。默认设置为“关”。
- 允许屏幕捕获: 允许用户录制或捕获设备屏幕。默认设置为“关”。
- 允许使用摄像头: 允许用户使用设备摄像头拍照和录制视频。默认设置为“关”。
- 允许配置位置提供程序: 允许用户在其设备上打开 GPS。适用于 Android API 28 及更高版本。默认设置为“开”。
-
允许位置共享: 对于托管配置文件,设备所有者可以覆盖此设置。默认设置为“关”。
提示:
您可以在 XenMobile 中创建位置设备策略以强制执行地理边界。请参阅位置设备策略。
- 允许用户配置用户凭据: 指定用户是否可以在托管密钥库中配置凭据。默认设置为“开”。
- 允许打印: 如果设置为“开”,则此设置允许用户打印到可从用户设备访问的任何打印机。默认设置为“关”。适用于:Android 9 及更高版本。
-
应用程序
-
启用系统应用程序: 允许用户运行预安装的设备应用程序。默认设置为“关”。要启用特定应用程序,请在“系统应用程序列表”表中单击“添加”。
-
系统应用程序列表: 要在设备上启用的系统应用程序列表。将“启用系统应用程序”设置为“开”并添加应用程序包名称。要查找系统应用程序的包名称,可以使用 Android 调试桥 (
adb) 调用 Android 包管理器 (pm) 命令。例如,adb shell "pm list packages -f name",其中“name”是包名称的一部分。有关详细信息,请参阅 https://developer.android.com/studio/command-line/adb。对于 Android Enterprise 设备,您可以使用 Android Enterprise 应用程序权限策略限制应用程序权限。
-
系统应用程序列表: 要在设备上启用的系统应用程序列表。将“启用系统应用程序”设置为“开”并添加应用程序包名称。要查找系统应用程序的包名称,可以使用 Android 调试桥 (
-
禁用应用程序: 阻止指定应用程序列表在设备上运行。默认设置为“关”。要禁用已安装的应用程序,请将设置更改为“开”,然后在“应用程序列表”表中单击“添加”。
- 应用程序列表: 要阻止的应用程序列表。将“禁用应用程序”设置为“开”并添加应用程序。键入应用程序包名称。更改和部署应用程序列表会覆盖之前的应用程序列表。例如:如果您禁用 com.example1 和 com.example2,然后将列表更改为 com.example1 和 com.example3,则 XenMobile 会启用 com.example.2。
- 启用应用程序验证: 使操作系统能够扫描应用程序以检测恶意行为。默认设置为“开”。
- 启用 Google 应用程序: 允许用户将 Google 移动服务中的应用程序下载到设备上。默认设置为“开”。
- 允许非 Google Play 应用程序: 允许安装来自 Google Play 以外商店的应用程序。默认设置为“关”。
- 允许用户控制应用程序设置: 允许用户卸载应用程序、禁用应用程序、清除缓存和数据、强制停止任何应用程序以及清除默认设置。用户从“设置”应用程序执行这些操作。默认设置为“关”。
-
允许应用程序卸载: 允许用户从托管 Google Play 商店中卸载应用程序。默认设置为“关”。要显示此设置,请启用服务器属性
afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性。 - 从工作和个人配置文件访问电子邮件应用程序: 当设置为“开”时,允许用户从其个人配置文件访问和使用工作配置文件电子邮件应用程序。默认设置为“关”。
-
启用系统应用程序: 允许用户运行预安装的设备应用程序。默认设置为“关”。要启用特定应用程序,请在“系统应用程序列表”表中单击“添加”。
-
BYOD 工作资料
-
允许工作资料应用程序小组件在主屏幕上: 如果此设置为“开”,用户可以将工作资料应用程序小组件放置在设备主屏幕上。如果此设置为“关”,用户无法将工作资料应用程序小组件放置在设备主屏幕上。默认设置为“关”。
- 允许使用小组件的应用程序: 要在主屏幕上允许的应用程序列表。将“允许工作资料应用程序小组件在主屏幕上”设置为“开”并添加应用程序。单击“添加”并从列表中选择要在主屏幕上允许其小组件的应用程序。单击“保存”。重复此过程以允许更多应用程序小组件。
- 允许设备联系人中的工作资料联系人: 在父配置文件中显示来自托管 Android Enterprise 配置文件的联系人,用于来电(Android 7.0 及更高版本)。默认设置为“关”。
-
允许工作资料应用程序小组件在主屏幕上: 如果此设置为“开”,用户可以将工作资料应用程序小组件放置在设备主屏幕上。如果此设置为“关”,用户无法将工作资料应用程序小组件放置在设备主屏幕上。默认设置为“关”。
-
Samsung
- 启用 TIMA 密钥库: TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书将路由到默认密钥库提供程序进行存储。默认设置为“关”。
- 允许共享列表: 允许用户在“共享方式”列表中的应用程序之间共享内容。默认设置为“开”。
- 启用审核日志: 启用事件审核日志的创建,以便对设备进行取证分析。默认设置为“关”。
-
Samsung: Knox 容器/完全托管设备
- 启用吊销检查: 启用对已吊销证书的检查。默认值为关。
-
Samsung: 仅限 Knox 容器
- 将应用移至容器: 允许用户在其设备上的 Knox 容器和个人区域之间移动应用。默认值为开。
- 强制执行多重身份验证: 用户必须使用指纹和另一种身份验证方法(例如密码或 PIN)才能打开其设备。默认值为开。
- 强制执行容器身份验证: 使用与用于解锁设备的方法不同的身份验证方法来打开 KNOX 容器。默认值为开。
- 启用安全键盘: 强制用户在 Knox 容器内使用安全键盘。默认值为开。
当应用于具有工作资料的完全托管设备为“开”且对于具有工作资料的完全托管设备,将策略应用于设置为托管设备时,请配置以下设置:
-
安全性
- 允许帐户管理: 允许在工作资料和托管设备中添加帐户。默认值为关。
- 允许跨配置文件复制和粘贴: 如果为开,用户可以在 Android Enterprise 配置文件中的应用与个人区域中的应用之间复制和粘贴。默认值为关。
- 允许屏幕捕获: 允许用户录制或捕获设备屏幕。默认值为关。
- 允许使用摄像头: 允许用户使用设备摄像头拍照和录制视频。默认值为关。
- 允许 VPN 配置: 允许用户创建 VPN 配置。适用于运行 Android 6 及更高版本的工作资料设备和完全托管设备。默认值为开。
- 允许备份服务: 允许用户备份其设备上的应用程序和系统数据。默认值为开。
- 允许 NFC: 允许用户使用近场通信 (NFC) 将网页、照片、视频或其他内容从其设备发送到另一台设备。适用于 MDM 4.0 及更高版本。默认值为开。
- 允许配置位置提供程序: 允许用户在其设备上打开 GPS。适用于 Android API 28 及更高版本。默认值为开。
-
允许位置共享: 对于托管配置文件,设备所有者可以覆盖此设置。默认值为关。
提示:
您可以在 XenMobile 中创建位置设备策略以强制执行地理边界。请参阅位置设备策略。
- 允许用户配置用户凭据: 指定用户是否可以在托管密钥库中配置凭据。默认值为开。
- 允许打印: 如果为开,此设置允许用户打印到用户设备可访问的任何打印机。默认值为关。适用于:Android 9 及更高版本。
- 允许 USB 调试: 默认值为关。
-
应用
-
启用系统应用: 允许用户运行预安装的设备应用。默认值为关。要启用特定应用,请在系统应用列表表中单击添加。
-
系统应用列表: 您要在设备上启用的系统应用列表。将启用系统应用设置为开并添加应用包名称。要查找系统应用的包名称,可以使用 Android 调试桥 (
adb) 调用 Android 包管理器 (pm) 命令。例如,adb shell "pm list packages -f name",其中“name”是包名称的一部分。有关详细信息,请参阅 https://developer.android.com/studio/command-line/adb。对于 Android Enterprise 设备,您可以使用 Android Enterprise 应用权限策略限制应用权限。
-
系统应用列表: 您要在设备上启用的系统应用列表。将启用系统应用设置为开并添加应用包名称。要查找系统应用的包名称,可以使用 Android 调试桥 (
-
禁用应用程序: 阻止指定列表中的应用在设备上运行。默认值为关。要禁用已安装的应用,请将设置更改为开,然后在应用程序列表表中单击添加。
- 应用程序列表: 您要阻止的应用列表。将禁用应用程序设置为开并添加应用。键入应用包名称。更改和部署应用列表会覆盖先前的应用列表。例如:如果您禁用 com.example1 和 com.example2,然后将列表更改为 com.example1 和 com.example3,则 XenMobile 会启用 com.example.2。
- 启用应用验证: 启用操作系统扫描应用以检测恶意行为。默认值为开。
- 启用 Google 应用: 允许用户从 Google 移动服务下载应用到设备。默认值为开。
- 允许非 Google Play 应用: 允许安装来自 Google Play 以外的应用商店的应用。默认值为关。
- 允许用户控制应用程序设置: 允许用户卸载应用、禁用应用、清除缓存和数据、强制停止任何应用以及清除默认设置。用户通过“设置”应用执行这些操作。默认值为关。
-
允许应用卸载: 允许用户从托管 Google Play 商店中卸载应用。默认值为关。要显示此设置,请启用服务器属性
afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性。
-
启用系统应用: 允许用户运行预安装的设备应用。默认值为关。要启用特定应用,请在系统应用列表表中单击添加。
-
仅限完全托管设备
- 允许添加用户: 允许用户在设备上添加新用户。默认值为 开。
- 允许数据漫游: 允许用户在漫游时使用蜂窝数据。默认值为 关,这会在用户设备上禁用漫游。默认值为 关。
- 允许短信: 允许用户发送和接收短信。默认值为 关。
- 允许使用状态栏: 如果设置为 开,此设置将在托管设备和专用设备(也称为 COSU 设备)上启用状态栏。此设置会禁用通知、快速设置以及其他允许从全屏模式退出的屏幕叠加层。用户可以转到系统设置并查看通知。适用于 Android 6.0 及更高版本。默认值为 关。
-
允许蓝牙: 允许用户使用蓝牙。默认值为 开。
-
允许蓝牙共享: 如果未选中,用户无法在其设备上建立出站蓝牙共享。默认值为选中。要显示此设置,请启用服务器属性
afw.restriction.policy.v2。有关服务器属性的更多信息,请参阅服务器属性。
-
允许蓝牙共享: 如果未选中,用户无法在其设备上建立出站蓝牙共享。默认值为选中。要显示此设置,请启用服务器属性
- 允许配置日期和时间: 允许用户更改其设备上的日期和时间。默认值为 开。
- 允许恢复出厂设置: 允许用户对其设备执行恢复出厂设置。默认值为 开。
- 保持设备屏幕常亮: 如果此设置设置为 开,则当设备插入电源时,设备屏幕将保持常亮。默认值为 关。
- 允许 USB 大容量存储: 允许用户设备与计算机之间通过 USB 连接传输大型数据文件。默认值为 开。
- 允许麦克风: 允许用户在其设备上使用麦克风。默认值为 开。
- 允许网络共享: 允许用户配置便携式热点和共享数据。默认值为 关。当此设置打开时,以下设置适用于 Samsung 设备:
- 防止按键锁定设备: 如果设置为 开,此设置将禁用托管设备和专用设备(也称为 COSU 设备)锁屏上的按键锁定。默认值为 关。
- 允许 Wi-Fi 更改: 如果设置为 开,用户可以打开或关闭 Wi-Fi 并连接到 Wi-Fi 网络。默认值为 开。
-
允许文件传输: 允许通过 USB 进行文件传输。默认值为 关。
-
Samsung
- 启用 TIMA 密钥库: TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书将路由到默认密钥存储提供程序进行存储。默认值为 关。
- 允许共享列表: 允许用户在“共享方式”列表中的应用程序之间共享内容。默认值为 开。
- 启用审核日志: 启用事件审核日志的创建,用于设备的取证分析。默认值为 关。
-
Samsung:仅限完全托管设备
- 启用 ODE 可信启动验证: 使用 ODE 可信启动验证来建立从引导加载程序到系统映像的信任链。默认值为 开。
- 仅允许紧急呼叫: 允许用户在其设备上启用“仅限紧急呼叫”模式。默认值为 关。
- 允许固件恢复: 允许用户在其设备上恢复固件。默认值为 开。
- 允许快速加密: 仅允许加密已使用的内存空间。此加密与完全磁盘加密不同,完全磁盘加密会加密所有数据。这些数据包括设置、应用程序数据、下载的文件和应用程序、媒体以及其他文件。默认值为 开。
- 启用通用准则模式: 将设备置于通用准则模式。通用准则配置强制执行严格的安全流程。默认值为 开。
- 启用重启横幅: 当用户设备重启时,显示经 DoD 批准的系统使用通知消息或横幅。默认值为 关。
- 允许更改设置: 允许用户更改其完全托管设备上的设置。默认值为 开。
- 启用后台数据使用: 允许应用程序在后台同步数据。适用于完全托管设备。默认值为 开。
-
允许剪贴板: 允许用户将其设备上的数据复制到剪贴板。默认值为 开。
- 允许剪贴板共享: 允许用户在其设备和计算机之间共享剪贴板内容(MDM 4.0 及更高版本)。
- 允许主页键: 允许用户在其完全托管设备上使用 主页 键。默认值为 开。
- 允许模拟位置: 允许用户伪造其 GPS 位置。适用于完全托管设备。默认值为 关。
- NFC: 允许用户在其完全托管设备上使用 NFC(MDM 3.0 及更高版本)。默认值为 开。
- 允许关机: 允许用户关闭其完全托管设备(MDM 3.0 及更高版本)。默认值为 开。
- 允许 Wi-Fi 直连: 允许用户通过其 Wi-Fi 连接直接连接到另一台设备。默认值为 开。如果设置为 开,则必须启用 允许 Wi-Fi 更改 设置。
- 允许 SD 卡: 允许用户在其设备上使用 SD 卡(如果可用)。默认值为 开。
- 允许 USB 主机存储: 允许用户设备在 USB 设备连接到其设备时充当 USB 主机。然后,用户设备会向 USB 设备供电。默认值为 开。
- 允许语音拨号器: 允许用户在其设备上使用语音拨号器(MDM 4.0 及更高版本)。默认值为 开。
- 允许 S Beam: 允许用户使用 NFC 和 Wi-Fi 直连与他人共享内容(MDM 4.0 及更高版本)。默认值为 开。
- 允许 S Voice: 允许用户在其设备上使用智能个人助理和知识导航器(MDM 4.0 及更高版本)。默认值为 开。
- 允许 USB 网络共享: 允许用户使用其 USB 连接与其他设备共享移动数据连接。默认值为 关。如果设置为 开,则 允许网络共享 设置也必须设置为 开。
- 允许蓝牙网络共享: 允许用户使用其蓝牙连接与其他设备共享移动数据连接。默认值为 关。如果设置为 开,则 允许网络共享 设置也必须设置为 开。
- 允许 Wi-Fi 网络共享: 允许用户使用其 Wi-Fi 连接与其他设备共享移动数据连接。默认值为 关。如果设置为 开,则 允许网络共享 设置也必须设置为 开。
- 允许接收彩信: 允许用户接收彩信。默认值为 关。如果设置为 开,则必须打开 允许短信 设置。
- 允许发送彩信: 允许用户发送彩信。默认值为 关。如果设置为 开,则必须打开 允许短信 设置。
- 允许接收短信: 允许用户接收短信。默认值为 关。如果设置为 开,则必须打开 允许短信 设置。
- 允许发送短信: 允许用户发送短信。默认值为 关。如果设置为 开,则必须打开 允许短信 设置。
- 配置移动网络: 允许用户使用其蜂窝数据连接。默认值为 关。
- 每日限制 (MB): 输入用户每天可使用的移动数据量(以 MB 为单位)。默认值为 0,这会禁用此功能(MDM 4.0 及更高版本)。
- 每周限制 (MB): 输入用户每周可使用的移动数据量(以 MB 为单位)。默认值为 0,这会禁用此功能(MDM 4.0 及更高版本)。
- 每月限制 (MB): 输入用户每月可使用的移动数据量(以 MB 为单位)。默认值为 0,这会禁用此功能(MDM 4.0 及更高版本)。
- 仅允许安全 VPN 连接: 允许用户仅使用安全连接(MDM 4.0 及更高版本)。默认值为 开。
- 允许录音: 允许用户使用其设备录制音频(MDM 4.0 及更高版本)。默认值为 开。如果设置为 开,则必须打开 允许麦克风 设置。
- 允许录像: 允许用户使用其设备录制视频(MDM 4.0 及更高版本)。默认值为 关。如果设置为 开,则必须打开 允许使用摄像头 设置。
- 允许漫游时推送消息: 允许用户使用蜂窝数据进行推送。默认值为 关。如果设置为 开,则必须启用 允许数据漫游 设置。
- 允许漫游时自动同步: 允许用户使用蜂窝数据进行同步。默认值为 关。如果设置为 开,则必须启用 允许数据漫游 设置。
- 允许漫游时语音通话: 允许用户使用蜂窝数据进行语音通话。默认值为 关。如果设置为 开,则必须启用 允许数据漫游 设置。
-
Samsung:Knox 容器/完全托管设备
- 启用吊销检查: 启用对已吊销证书的检查。默认值为 关。
-
Samsung:仅限 Knox 容器
- 将应用程序移动到容器: 允许用户在其设备上的 Knox 容器和个人区域之间移动应用程序。默认值为 开。
- 强制执行多重身份验证: 用户必须使用指纹和另一种身份验证方法(例如密码或 PIN)来打开其设备。默认值为 开。
- 强制执行容器身份验证: 使用与用于解锁设备的方法不同的身份验证方法来打开 KNOX 容器。默认值为 开。
- 启用安全键盘: 强制用户在 Knox 容器内使用安全键盘。默认值为 开。
Windows 桌面/平板电脑设置
-
Wi-Fi 设置
- 允许 Internet 共享: 允许设备通过将其转换为 Wi-Fi 热点来与其他设备共享其 Internet 连接。
-
连接
- 允许通过蜂窝网络使用 VPN: 允许设备通过 VPN 连接到蜂窝网络。
- 允许漫游时通过蜂窝网络使用 VPN: 允许设备在蜂窝网络上漫游时通过 VPN 连接。
- 允许蜂窝数据漫游: 允许用户在漫游时使用蜂窝数据。
-
帐户
- 允许 Microsoft 帐户连接: 允许设备使用 Microsoft 帐户进行非电子邮件相关的连接身份验证和服务。
- 允许非 Microsoft 电子邮件: 允许用户添加非 Microsoft 电子邮件帐户。
-
系统
- 允许存储卡: 允许设备使用存储卡。
- 遥测: 在下拉列表中选择一个选项,以允许或限制设备发送遥测信息。默认值为 允许。其他选项为 不允许 和 允许,但辅助数据请求除外。
- 允许位置服务: 允许位置服务。
- 允许预览内部版本: 允许用户预览 Microsoft 内部版本。
-
摄像头:
- 允许使用摄像头: 允许用户使用其设备摄像头。
-
蓝牙:
- 允许可发现模式: 允许蓝牙设备发现本地设备。
- 本地设备名称: 本地设备的名称。
-
体验:
- 允许 Cortana: 允许用户访问 Cortana(智能个人助理和知识导航器)。
- 允许设备发现: 允许网络发现设备。
- 允许手动 MDM 取消注册: 允许用户手动将其设备从 XenMobile MDM 取消注册。
- 允许设备设置同步: 允许用户在漫游时在 Windows 10 和 Windows 11 设备之间同步设置。
-
锁屏上方:
- 允许浮动通知: 允许在锁屏上显示浮动通知。
-
应用程序
- 允许应用商店自动更新: 允许应用商店中的应用程序自动更新。
-
隐私:
- 允许输入个性化: 允许输入个性化服务运行,以根据用户输入的内容改进预测性输入(例如笔和触摸键盘)。
-
设置:
- 允许自动播放: 允许用户更改自动播放设置。
- 允许数据感知: 允许用户更改数据感知设置。
- 允许日期时间: 允许用户更改日期和时间设置。
- 允许语言: 允许用户更改语言设置。
- 允许电源和睡眠: 允许用户更改电源和睡眠设置。
- 允许区域: 允许用户更改区域设置。
- 允许登录选项: 允许用户更改登录设置。
- 允许工作区: 允许用户更改工作区设置。
- 允许您的帐户: 允许用户更改帐户设置。
已复制!
失败!