限制设备策略

限制设备策略允许或限制用户设备上的某些特性或功能,例如相机。您还可以设置安全限制、对媒体内容的限制以及对用户能够和不能安装的应用程序类型的限制。大多数限制设置默认为允许。主要的例外情况是 iOS 安全 - 强制功能和所有 Windows Tablet 功能,其默认值为限制

对于 Windows 10 RS2 Phone:用于禁用 Internet Explorer 的自定义 XML 策略或限制策略部署到 Phone 后,浏览器将保持已启用。要解决此问题,请重新启动 Phone。这是第三方问题。

提示:

如果您为任何选项选择,则意味着用户可以执行该操作或使用该功能。例如:

相机。如果设置为,用户将可以在其设备上使用相机。如果设置为,用户将无法在其设备上使用相机。

屏幕截图。如果设置为,用户可以在其设备上截取屏幕截图。如果设置为,用户将无法在设备上截取屏幕截图。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕图

某些 iOS 限制选项仅适用于特定版本的 iOS(并且如果适用,这些版本将记录在 XenMobile 控制台的页面上)。例如,允许或阻止 AirDrop 的功能仅在运行 iOS 7 及更高版本的设备上受支持。允许或阻止照片流的功能在运行 iOS 5 及更高版本的设备上受支持。此外,如果设备处于“受监督”模式,将仅有部分选项适用。有关将 iOS 设备置于受监督模式的步骤,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

  • 允许硬件控制
    • 相机: 允许用户在其设备上使用相机。
      • FaceTime: 允许用户在其设备上使用 FaceTime。此限制在未受监督的 iOS 10 设备上已弃用。
    • 屏幕截图: 允许用户在其设备上截取屏幕截图。
      • 允许“课堂”应用程序远程观察学生的屏幕: 如果未选中此限制,教师将无法使用“课堂”应用程序远程观察学生的屏幕。默认设置为选中,教师可以使用“课堂”应用程序观察学生的屏幕。允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示的设置确定学生是否接收向教师授予权限的提示。适用于运行 iOS 9.3(最低版本)的受监督设备。
      • 允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示: 如果选中此限制,教师可以在学生的设备上执行 AirPlay 和查看屏幕操作,而不提示授予权限。默认设置为未选中。适用于运行 iOS 10.3(最低版本)的受监督设备。
    • 照片流: 允许用户使用 MyPhotoStream 通过 iCloud 与其所有 iOS 设备共享照片(iOS 5.0 及更高版本)。
    • 共享照片流: 允许用户使用 iCloud Photo Sharing 与同事、朋友和家人共享照片(iOS 6.0 及更高版本)。
    • 语音拨号: 在用户设备上启用拨号。
    • Siri: 允许用户使用 Siri。
      • 设备锁定时允许: 允许用户在其设备锁定时使用 Siri。
      • Siri 猥亵语言过滤: 启用 Siri 猥亵语言过滤。默认为限制此功能,也就是说不会进行猥亵语言过滤。

        有关 Siri 和安全性的详细信息,请参阅 Siri 和听写策略

    • 安装应用程序: 允许用户安装应用程序。此限制在未受监督的 iOS 10 设备上已弃用。
    • 允许在漫游时执行全局后台获取: 允许设备在漫游时自动向 iCloud 同步邮件帐户。设置为时,在 iOS 手机漫游时将禁用全局后台获取活动。默认值为
  • 允许使用应用程序
    • iTunes Store: 允许用户访问 iTunes Store。此限制在未受监督的 iOS 10 设备上已弃用。
    • 应用程序内购买: 允许用户进行应用程序内购买。
      • 所有购买均需使用 iTunes 密码: 需要密码才能进行应用程序内购买。默认为限制此功能,也就是说进行应用程序内购买无需密码(iOS 5.0 及更高版本)。
    • Safari: 允许用户访问 Safari。此限制在未受监督的 iOS 10 设备上已弃用。
      • 自动填充: 允许用户在 Safari 上设置用户名和密码自动填充功能。
      • 强制显示欺诈警告: 如果启用此设置,则当用户访问可疑网络钓鱼 Web 站点时,Safari 会向用户发出警报。默认为限制此功能,也就是说不会发出警报。
      • 启用 JavaScript: 允许在 Safari 上运行 JavaScript。
      • 阻止弹出窗口: 查看 Web 站点时阻止弹出窗口。默认为限制此功能,也就是说不阻止弹出窗口。
    • 接受 Cookie: 设置为接受 Cookie 的程度。在列表中,选择某个选项以允许或限制 Cookie。默认选项为总是,即允许所有 Web 站点在 Safari 中保存 Cookie。其他选项为仅限当前 Web 站点从不仅来自访问的 Web 站点
    • 允许“课堂”应用程序远程观察学生的屏幕: 如果未选中此限制,教师将无法使用“课堂”应用程序远程观察学生的屏幕。默认设置为选中,教师可以使用“课堂”应用程序观察学生的屏幕。允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示的设置确定学生是否接收向教师授予权限的提示。适用于运行 iOS 9.3(最低版本)的受监督设备。
    • 允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示: 如果选中此限制,教师可以在学生的设备上执行 AirPlay 和查看屏幕操作,而不提示授予权限。默认设置为未选中。适用于运行 iOS 10.3(最低版本)的受监督设备。
    • 允许“课堂”应用程序锁定到应用程序以及锁定设备而不提示: 如果此限制设置为,“课堂”应用程序会自动将用户设备锁定到某个应用程序并锁定设备,而不提示用户。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 自动加入“课堂”应用程序课程而不提示: 如果此限制设置为,“课堂”应用程序会自动将用户加入到课程中,而不提示用户。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 允许 AirPrint: 如果此限制设置为,用户将无法通过 AirPrint 打印。默认设置为。此限制设置为时,将显示这些额外的限制。适用于运行 iOS 11(最低版本)的受监督设备。
      • 允许在钥匙串中存储 AirPrint 凭据: 如果未选中此限制,AirPrint 用户名和密码将不存储在钥匙串中。默认设置为选中。适用于运行 iOS 11(最低版本)的受监督设备。
      • 允许使用 iBeacon 发现 AirPrint 打印机: 如果未选中此限制,则禁止 iBeacon 发现 AirPrint 打印机。禁用发现功能将阻止虚假 AirPrint 蓝牙信标对网络流量进行网络钓鱼。默认设置为选中。适用于运行 iOS 11(最低版本)的受监督设备。
      • 仅允许通过 AirPrint 打印到证书受信任的目标打印机: 如果选中此限制,用户可以使用 AirPrint 仅打印到证书受信任的目标打印机。默认设置为未选中。适用于运行 iOS 11(最低版本)的受监督设备。
    • 添加 VPN 配置: 如果此限制设置为,用户将无法创建 VPN 配置。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 修改手机网络套餐设置: 如果此限制设置为,用户将无法修改手机网络套餐设置。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 删除系统应用程序: 如果此限制设置为,用户将无法从其设备中删除系统应用程序。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 设置新的附近的设备: 如果此限制设置为,用户将无法设置新的附近的设备。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
  • 网络 - 允许执行 iCloud 操作

    • iCloud 文档和数据: 允许用户将文档和数据同步到 iCloud(iOS 5.0 及更高版本)。此限制在未受监督的 iOS 10 设备上已弃用。
    • iCloud 备份: 允许用户向 iCloud 备份其设备(iOS 5.0 及更高版本)。
    • iCloud 钥匙串: 允许用户在 iCloud 钥匙串中存储密码、WiFi 网络信息、信用卡信息以及其他信息(iOS 7.0 及更高版本)。
    • 云照片库: 允许用户访问其 iCloud 照片库(iOS 9.0 及更高版本)。
  • 安全 - 强制

    默认为限制以下功能,即不启用任何安全功能。

    • 加密备份: 强制加密到 iCloud 的备份。
    • 有限广告跟踪: 阻止有针对性的广告跟踪(iOS 7.0 及更高版本)。
    • 首次 AirPlay 配对时输入通行码: 需要使用屏幕上显示的一次性代码验证已启用 AirPlay 的设备才可以使用 AirPlay(iOS 7.0 及更高版本)。
    • 需要配对的 Apple Watch 才能使用腕部监测: 需要配对的 Apple Watch 才能使用腕部监测(iOS 8.2 及更高版本)。
    • 使用 AirDrop 共享托管文档: AirDrop 访问受监督选项。将此选项设置为可允许受监督的设备使用 AirDrop 与附近的 iOS 设备共享数据和媒体(iOS 9.0 及更高版本)。
  • 安全 - 允许

    • 接受不可信 SSL 证书: 允许用户接受 Web 站点的不可信 SSL 证书(iOS 5.0 及更高版本)。
    • 自动更新证书信任设置: 允许自动更新可信证书(iOS 7.0 及更高版本)。
    • 在非托管应用程序中使用托管应用程序中的文档: 允许用户将托管(企业)应用程序中的数据移动到非托管(私人)应用程序。
    • 在托管应用程序中使用非托管应用程序中的文档: 允许用户将非托管(私人)应用程序中的数据移动到托管(企业)应用程序。
    • 将诊断结果提交给 Apple: 允许将有关用户设备的匿名诊断数据发送给 Apple。
    • 通过 Touch ID 解锁设备: 允许用户使用其指纹解锁其设备(iOS 7.0 及更高版本)。
    • 锁定时接收 Passbook 通知: 允许 Passbook 通知显示在锁屏界面上(iOS 6.0 及更高版本)。
    • Handoff: 允许用户从一台 iOS 设备向附近的另一台 iOS 设备转移活动(iOS 8.0 及更高版本)。
    • 托管应用程序的 iCloud 同步: 允许用户向 iCloud 同步托管应用程序(iOS 8.0 及更高版本)。
    • 企业通讯簿备份: 允许将企业通讯簿备份到 iCloud(iOS 8.0 及更高版本)。
    • 企业书籍的笔记和重点同步: 允许用户添加到企业书籍的笔记和重点同步到 iCloud(iOS 8.0 及更高版本)。
    • 企业应用程序信任: 允许信任企业应用程序(iOS 9.0 及更高版本)。
    • Spotlight 中的 Internet 结果: 允许 Spotlight 显示来自 Internet 以及设备的搜索结果(iOS 8.0 及更高版本)。
  • 仅监管设置 - 允许

    这些设置仅适用于受监管设备。有关将 iOS 设备置于受监督模式的步骤,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

    • 擦除所有内容和设置: 允许用户擦除其设备中的所有内容和设置(iOS 8.0 及更高版本)。
    • 配置限制: 允许用户在其设备上配置家长控制(iOS 8.0 及更高版本)。
    • 播客: 允许用户下载和同步播客(iOS 8.0 及更高版本)。
    • 安装配置文件: 允许用户安装并非由您部署的配置文件(iOS 6.0 及更高版本)。
    • 修改指纹: 允许用户更改或删除其 Touch ID 指纹(iOS 8.3 及更高版本)。
    • 从设备安装应用程序: (iOS 9.0 及更高版本)。
    • 键盘快捷方式: 允许用户为其常用的字词或短语创建自定义键盘快捷方式(iOS 9.0 及更高版本)。
    • 配对的 Apple Watch: 允许用户将 Apple Watch 与受监督的设备配对(iOS 9.0 及更高版本)。
    • 修改通行码: 允许用户在受监督的设备上更改通行码(iOS 9.0 及更高版本)。
    • 修改设备名称: 允许用户更改其设备的名称。
    • 修改壁纸: 允许用户在更改其设备上的壁纸(iOS 9.0 及更高版本)。
    • 自动下载应用程序(iOS 9.0 及更高版本)。
    • AirDrop: 允许用户与附近的 iOS 设备共享照片、视频、Web 站点、位置及其他信息(iOS 7.0 及更高版本)。
    • iMessage: 允许用户使用 iMessage 通过 Wi-Fi 传递文本消息(iOS 6.0 及更高版本)。
    • Siri 用户生成的内容: 允许 Siri 从 Web 查询用户生成的内容。用户,而非传统新闻记者;生成用户生成的内容。例如,在 Twitter 或 Facebook 上找到的内容是用户生成的。(iOS 7.0 及更高版本)。
    • iBooks: 允许用户使用 iBooks 应用程序(iOS 6.0 及更高版本)。
    • 删除应用程序: 允许用户从其设备中删除应用程序(iOS 7.0 及更高版本)。
    • 游戏中心: 允许用户在其设备上通过游戏中心在线玩游戏(iOS 6.0 及更高版本)。
      • 添加好友: 允许用户向好友发送玩游戏通知。
      • 多人游戏: 允许用户在其设备上启动多人游戏。
    • 修改帐户设置: 允许用户修改其设备帐户设置(iOS 7.0 及更高版本)。
    • 修改应用程序手机网络数据设置: 允许用户修改使用手机网络数据的方式(iOS 7.0 及更高版本)。
    • 修改“查找我的好友”设置: 允许用户更改其“查找我的好友”设置(iOS 7.0 及更高版本)。
    • 与非 Configurator 主机配对: 允许管理员控制用户设备可以与哪些设备配对。禁用此设置将阻止配对,与运行 Apple Configurator 的监督主机配对除外。如果未配置任何监督主机证书,将禁用所有配对(iOS 7.0 及更高版本)。
    • 预测键盘: 允许用户设备使用预测键盘,在用户键入时提供建议单词(iOS 8.1.3 及更高版本)。如果要管理标准化测试,不允许用户访问建议的单词,在此类情况下可以禁用此选项。
    • 键盘自动更正: 允许用户设备使用键盘自动更正(iOS 8.1.3 及更高版本)。如果要管理标准化测试,不允许用户访问自动更正,在此类情况下可以禁用此选项。
    • 键盘拼写检查: 在键入时允许用户设备使用拼写检查(iOS 8.1.3 及更高版本)。如果要管理标准化测试,不允许用户访问拼写检查,在此类情况下可以禁用此选项。
    • 定义查找: 在键入时允许用户设备使用定义查找(iOS 8.1.3 及更高版本)。如果要管理标准化测试,不允许用户在键入时查找定义,在此类情况下可以禁用此选项。
    • 单应用程序捆绑包 ID: 创建允许保留设备的控制权并阻止与其他应用程序或功能进行交互的应用程序的列表。 要添加应用程序,请单击添加,键入应用程序名称,然后单击保存。对要添加的每个应用程序重复该过程。
    • 新闻: 允许用户使用新闻应用程序(iOS 9.0 及更高版本)。
    • Apple 音乐服务: 允许用户使用 Apple 音乐服务(iOS 9.3 及更高版本)。如果您不允许使用 Apple 音乐服务,则音乐应用程序以经典模式运行。
    • iTunes Radio: 允许用户使用 iTunes Radio(iOS 9.3 及更高版本)。
    • 修改通知: 允许用户修改通知设置(iOS 9.3 及更高版本)。
    • 受限应用程序使用: 允许用户使用所有应用程序或者使用或不使用某些应用程序,具体取决于您提供的捆绑包 ID(iOS 9.3 及更高版本)。仅适用于受监督的设备。

      配置限制设备策略以阻止某些应用程序,然后部署了该策略之后:如果以后要允许这些应用程序中的一些或全部,更改并部署限制设备策略不会更改显示。在这种情况下,iOS 不会将更改应用于 iOS 配置文件。要继续操作,请使用配置文件删除策略删除 iOS 配置文件,然后部署更新的限制设备策略。

      如果将此设置更改为仅允许某些应用程序: 部署此策略之前,建议使用 Apple DEP 注册的设备的用户从设置助理登录其 Apple 帐户。否则,用户可能必须在其设备上禁用双重身份验证,才能登录其 Apple 帐户并访问允许的应用程序。

  • 修改诊断提交: 允许用户在“设置”的“Diagnostics & Usage”(诊断和使用)窗格中修改诊断提交和应用程序分析设置(iOS 9.3.2 及更高版本)。
  • 修改蓝牙: 允许用户修改蓝牙设置(iOS 10.0 及更高版本)。
  • 允许听写: 仅在监督下使用。如果此限制设置为,则不允许听写输入。默认设置为。适用于 iOS 10.3 及更高版本。
  • 仅加入通过 WiFi 策略安装的 WiFi 网络: 可选。仅在监督下使用。如果此限制设置为,则仅在 WiFi 网络是通过配置文件设置的情况下设备才能加入这些网络。默认设置为。适用于 iOS 10.3 及更高版本。
  • 允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示: 如果选中此限制,教师可以在学生的设备上执行 AirPlay 和查看屏幕操作,而不提示授予权限。默认设置为未选中。适用于运行 iOS 10.3(最低版本)的受监督设备。
  • 允许“课堂”应用程序锁定到应用程序以及锁定设备而不提示: 如果此限制设置为,“课堂”应用程序会自动将用户设备锁定到某个应用程序并锁定设备,而不提示用户。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
  • 自动加入“课堂”应用程序课程而不提示: 如果此限制设置为,“课堂”应用程序会自动将用户加入到课程中,而不提示用户。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
  • 允许 AirPrint: 如果此限制设置为,用户将无法通过 AirPrint 打印。默认设置为。此限制设置为时,将显示这些额外的限制。适用于运行 iOS 11(最低版本)的受监督设备。
    • 允许在钥匙串中存储 AirPrint 凭据: 如果未选中此限制,AirPrint 用户名和密码将不存储在钥匙串中。默认设置为选中。适用于运行 iOS 11(最低版本)的受监督设备。
    • 允许使用 iBeacon 发现 AirPrint 打印机: 如果未选中此限制,则禁止 iBeacon 发现 AirPrint 打印机。这将阻止虚假 AirPrint 蓝牙信标对网络流量进行网络钓鱼。默认设置为选中。适用于运行 iOS 11(最低版本)的受监督设备。
    • 仅允许通过 AirPrint 打印到证书受信任的目标打印机: 如果选中此限制,用户可以使用 AirPrint 仅打印到证书受信任的目标打印机。默认设置为未选中。适用于运行 iOS 11(最低版本)的受监督设备。
  • 添加 VPN 配置: 如果此限制设置为,用户将无法创建 VPN 配置。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
  • 修改手机网络套餐设置: 如果此限制设置为,用户将无法修改手机网络套餐设置。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
  • 删除系统应用程序: 如果此限制设置为,用户将无法从其设备中删除系统应用程序。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
  • 设置新的附近的设备: 如果此限制设置为“关”,用户将无法设置新的附近的设备。默认设置为“开”。适用于运行 iOS 11(最低版本)的受监督设备。
  • 安全 - 在锁屏界面中显示
    • 控制中心: 允许在锁屏界面上访问控制中心,这样便于用户轻松修改飞行模式、WiFi、蓝牙、请勿打扰模式和锁定旋转设置(iOS 7.0 及更高版本)。
    • 通知: 允许在锁屏界面上显示通知(iOS 7.0 及更高版本)。
    • “今天”视图: 允许在锁屏界面上显示“今天”视图,此视图汇总了天气及当天的日历项目等信息。
  • 媒体内容 - 允许
    • 成人音乐、博客及 iTunes U 资料: 允许用户设备上出现成人资料。
    • iBooks 中暴露的性内容: 允许从 iBooks 下载成人资料(iOS 6.0 及更高版本)。
    • 评分地区: 设置从其获得家长控制评分的地区。在列表中,单击某个国家/地区以设置评分地区。默认值为美国
    • 电影: 设置是否允许在用户设备上播放电影。如果允许播放电影,可以选择为电影设置评分级别。在列表中,单击某个选项以允许或限制在设备上播放电影。默认值为“允许所有电影”。
    • 电视节目: 设置是否允许在用户设备上播放电视节目。如果允许播放电视节目,可以选择为电视节目设置评分级别。在列表中,单击某个选项以允许或限制在设备上播放电视节目。默认值为“允许所有电视节目”。
    • 应用程序: 设置是否允许在用户设备上使用应用程序。如果允许使用应用程序,可以选择为应用程序设置评分级别。在列表中,单击某个选项以允许或限制在设备上使用应用程序。默认值为“允许所有应用程序”。

macOS 设置

“设备策略”配置屏幕图

  • 首选项
    • 限制系统首选项中的项目: 允许或限制用户访问系统首选项。默认值为,表示完全允许用户访问系统首选项。如果启用,可以配置以下设置。
      • 系统首选项窗格: 选择是启用还是禁用选择的设置。默认为启用所有设置,即默认情况下为
        • 用户和组
        • 常规
        • 辅助工具
        • 应用商店
        • 软件更新
        • 蓝牙
        • CD 和 DVD
        • 日期和时间
        • 桌面和屏幕保护程序
        • 显示
        • 基站
        • 节能程序
        • 扩展
        • 光纤通道
        • iCloud
        • Ink
        • Internet 帐户
        • 键盘
        • 语言和文字
        • Mission Control
        • 鼠标
        • 网络
        • 通知
        • 家长控制
        • 打印机和扫描仪
        • 配置文件
        • 安全和隐私
        • 共享
        • 声音
        • 用词和语音
        • Spotlight
        • 启动磁盘
        • Time Machine
        • 触控板
        • Xsan
  • 应用程序
    • 允许使用游戏中心: 允许用户通过游戏中心在线玩游戏。默认值为
    • 允许添加游戏中心好友: 允许用户向好友发送玩游戏通知。默认值为
    • 允许多人游戏: 允许用户发起多人游戏。默认值为
    • 允许修改游戏中心帐户: 允许用户修改其游戏中心帐户设置。默认值为
    • 允许应用商店采用: 允许或限制应用商店采用 OS X 中预先存在的应用程序。默认值为
    • 允许 Safari 自动填充: 允许 Safari 自动使用其存储的密码、地址和其他基本信息填充 Web 站点上的字段。默认值为
    • 需要提供管理员密码才能安装或更新应用程序: 需要提供管理员密码才能安装或更新应用程序。默认值为,表示无需提供管理员密码。
    • 将应用商店限制为仅提供软件更新: 将应用商店限制为仅提供更新,这样会在应用商店中禁用除“更新”之外的所有选项卡。默认值为,即允许完整的应用商店访问。
    • 限制允许打开的应用程序: 限制或允许用户可以使用的应用程序。默认值为“关”,表示所有应用程序均可以使用。如果启用,请配置以下设置:
      • 允许运行的应用程序: 单击添加,输入允许启动的应用程序的名称和捆绑包 ID,然后单击保存。为允许启动的每个应用程序重复此步骤。
      • 不允许使用的文件夹: 单击添加,键入限制用户访问的文件夹的文件路径(例如,/Applications/Utilities),然后单击保存。为不希望用户访问的所有文件夹重复此步骤。
      • 允许使用的文件夹: 单击添加,键入要允许用户访问的文件夹的文件路径,然后单击保存。为希望用户可以访问的所有文件夹重复此步骤。
  • 小组件
    • 仅允许运行以下控制板小组件: 允许或限制用户可以运行的控制板小组件,如世界时钟或计算器。默认值为,表示允许用户运行所有小组件。如果启用,可以配置以下设置:
      • 允许运行的小组件: 单击添加,键入允许运行的小组件的名称和 ID,然后单击保存。为希望在控制板上运行的每个小组件重复执行此步骤。
  • 媒体
    • 允许 AirDrop: 允许用户与附近的 iOS 设备共享照片、视频、Web 站点、位置及其他信息。
  • 共享
    • 自动启用新共享服务: 选择是否自动启用共享服务。
    • 邮件: 选择是否允许使用共享的邮箱。
    • Facebook: 选择是否允许使用共享的 Facebook 帐户。
    • 视频服务 - Flickr、Vimeo、Tudou 和 Youku: 选择是否允许使用共享的视频服务。
    • 添加到 Aperture: 选择是否允许将共享功能添加到 Aperture。
    • 新浪微博: 选择是否允许使用共享的新浪微博微博客帐户。
    • Twitter: 选择是否允许使用共享的 Twitter 帐户。
    • 消息: 选择是否允许对消息进行共享访问。
    • 添加到 iPhoto: 选择是否允许将共享功能添加到 iPhoto。
    • 添加到阅读列表: 选择是否允许将共享功能添加到阅读列表。
    • AirDrop: 选择是否允许使用共享的 AirDrop 帐户。
  • 功能
    • 锁定桌面图片: 选择用户是否可以更改桌面图片。默认值为,表示用户可以更改桌面图片。
    • 允许使用相机: 选择用户是否可以在其 Mac 上使用相机。默认值为,表示用户无法使用相机。
    • 允许 Apple 音乐: 允许用户使用 Apple 音乐服务(macOS 10.12 及更高版本)。如果您不允许使用 Apple 音乐服务,则音乐应用程序以经典模式运行。仅适用于受监督的设备。默认值为
    • 允许 Spotlight 推荐: 选择用户是否可以使用 Spotlight 推荐搜索其 Mac 并提供来自 Internet、iTunes 和 App Store 的 Spotlight 推荐。默认值为,表示阻止用户使用 Spotlight 推荐。有关 Spotlight 推荐的详细信息,请参阅 Apple 的 Spotlight 推荐页面。
    • 允许查找: 选择用户是否可以使用上下文菜单或 Spotlight 搜索菜单查找字词的定义。默认值为“关”,表示阻止用户在其 Mac 上使用查找。
    • 允许使用本地帐户的 iCloud 密码: 选择用户是否可以使用其 Apple ID 和 iCloud 密码登录其 Mac。启用此选项意味着用户对其 Mac 上的所有登录屏幕仅使用一个 ID 和密码。默认值为,表示允许用户使用其 Apple ID 和 iCloud 密码访问其 Mac。
    • 允许使用 iCloud 文档和数据: 选择是否允许用户在其 Mac 上访问存储在 iCloud 上的文档和数据。默认值为,表示阻止用户在其 Mac 上使用 iCloud 文档和数据。有关详细信息,请参阅 Apple 的 iCloud 文档和数据页面。
      • 允许 iCloud 桌面和文档: (macOS 10.12.4 及更高版本)默认选中。
    • 允许 iCloud 钥匙串同步: 允许 iCloud 钥匙串同步(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 邮件: 允许用户使用 iCloud 邮件(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 通讯录: 允许用户使用 iCloud 通讯录(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 日历: 允许用户使用 iCloud 日历(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 提醒事项: 允许用户使用 iCloud 提醒事项(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 书签: 允许用户与 iCloud 书签同步(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 备忘录: 允许用户使用 iCloud 备忘录(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 照片: 如果将此设置更改为,未完全从 iCloud 照片库中下载的所有照片都将从本地设备存储中删除(macOS 10.12 及更高版本)。默认值为
    • 允许自动解锁:有关此选项及 Apple Watch 的信息,请参阅 https://www.imore.com/auto-unlock(macOS 10.12 及更高版本)。默认值为
    • 允许 Touch ID 解锁 Mac: (macOS 10.12.4 及更高版本)。默认值为

Android 设置

  • 相机: 允许用户在其设备上使用相机。如果设置为,则将禁用相机。默认值为

Android for Work 设置

“设备策略”配置屏幕图

默认情况下,如果某个设备是在工作配置文件模式下在 Android for Work 中注册的,“USB 调试”和“未知来源”设置在该设备上将处于禁用状态。

  • 调试: 允许通过 USB 调试(Android 5.0 及更高版本)。默认值为
  • 文件传输: 允许通过 USB 进行文件传输(Android 5.0 及更高版本)。默认值为
  • 网络共享: 允许用户配置便携式热点和网络共享数据(Android 5.0 及更高版本)。默认值为
  • 允许使用非 Google Play 应用程序: 允许从 Google Play 之外的应用商店安装应用程序(Android 5.0 及更高版本)。默认值为
  • 允许复制粘贴: 允许或阻止使用剪贴板在 Android for Work 配置文件中的应用程序与个人区域中的应用程序之间复制并粘贴(Android 5.0 及更高版本)。默认值为
  • 启用应用程序验证: 允许操作系统扫描应用程序以检测恶意行为(Android 5.0 及更高版本)。默认值为
  • 允许用户控制应用程序设置: 允许用户卸载应用程序、禁用应用程序、清除缓存和数据、强制停止任何应用程序以及清除默认设置(Android 5.0 及更高版本)。默认值为
  • 允许在设备联系人中添加工作配置文件联系人: 在家长配置文件中显示托管 Android for Work 配置文件中的联系人,以便接收传入呼叫(Android 7.0 及更高版本)。默认值为

Samsung SAFE 设置

“设备策略”配置屏幕图

某些选项仅适用于特定的 Samsung Mobile Device Management API。这些选项上会标记相关的版本信息。

  • 允许硬件控制
    • 启用 ODE 可信引导验证: 使用 ODE 可信引导验证建立从引导加载程序到系统映像的信任链。
    • 允许使用开发模式: 允许用户在其设备上启用开发人员设置。
    • 仅允许紧急呼叫: 允许用户在其设备上启用“仅限紧急呼叫”模式。
    • 允许固件恢复: 允许用户在其设备上恢复固件。
    • 允许快速加密: 允许仅加密已使用的内存空间。此选项相对于完全磁盘加密,即加密所有数据,包括设置、应用程序数据、已下载的文件和应用程序、媒体及其他文件。
    • 通用准则模式: 将设备置于通用准则模式。通用准则配置强制执行严苛的安全流程。
    • 恢复出厂设置: 允许用户在其设备上恢复出厂设置。
    • 日期时间更改: 允许用户在其设备上更改日期和时间。
    • DOD 重新启动横幅: 用户的设备重新启动时,显示 DoD 批准的系统使用通知消息或横幅。
    • 设置更改: 允许用户在其设备上更改设置。
    • 备份: 允许用户备份其设备上的应用程序和系统数据。
    • 通过无线传输技术升级: 允许用户设备无线接收软件更新(MDM 3.0 及更高版本)。
    • 后台数据: 允许应用程序在后台同步数据。
    • 相机: 允许用户在其设备上使用相机。
    • 剪贴板: 允许用户在其设备上将数据复制到剪贴板。
      • 剪贴板共享: 允许用户在其设备和某个计算机之间共享剪贴板内容(MDM 4.0 及更高版本)。
    • Home 键: 允许用户在其设备上使用 Home 键。
    • 麦克风: 允许用户在其设备上使用麦克风。
    • 伪装位置: 允许用户伪装其 GPS 位置。
    • NFC: 允许用户在其设备(MDM 3.0 及更高版本)上使用 NFC(近场通信)。
    • 关机: 允许用户关闭其设备(MDM 3.0 及更高版本)。
    • 屏幕截图: 允许用户在其设备上截取屏幕截图。
    • SD 卡: 允许用户在其设备上使用 SD 卡(如果可用)。
    • 语音拨号器: 允许用户在其设备上使用语音拨号器(MDM 4.0 及更高版本)。
    • SBeam: 允许用户使用 NFC 和 Wi-Fi Direct 与其他人共享内容(MDM 4.0 及更高版本)。
    • SVoice: 允许用户在其设备上使用智能个人助手和知识导航器(MDM 4.0 及更高版本)。
    • 允许多个用户: 允许多个用户使用一个设备(MDM 4.0 及更高版本)。默认值为
  • 允许使用应用程序
    • 浏览器: 允许用户使用 Web 浏览器。
    • Youtube: 允许用户访问 YouTube。
    • Google Play/Marketplace: 允许用户访问 Google Play 和 Google Apps Marketplace。
    • 允许使用非 Google Play 应用程序: 允许用户从 Google Play 和 Google Apps Marketplace 之外的站点下载应用程序。如果设置为,用户可以在其设备上使用安全设置信任来自未知来源的应用程序。
    • 停止系统应用程序: 允许用户禁用预安装的系统应用程序(MDM 4.0 及更高版本)。
    • 禁用应用程序: 如果设置为,则将阻止指定的应用程序列表在 Samsung SAFE 设备上运行。
  • 网络
    • 传入 MMS: 允许用户接收 MMS 消息。
    • 传入 SMS: 允许用户接收 SMS 消息。
    • 传出 MMS: 允许用户发送 MMS 消息。
    • 传出 SMS: 允许用户发送 SMS 消息。
    • 用户添加配置文件 VPN:
    • 蓝牙: 允许用户使用蓝牙。
      • 网络共享: 允许用户使用其蓝牙连接与其他设备共享移动数据连接。
    • WiFi: 允许用户连接到 WiFi 网络。
      • 网络共享: 允许用户使用其 WiFi 连接与其他设备共享移动数据连接。
      • 直接: 允许用户通过其 WiFi 连接直接连接到其他设备(MDM 4.0 及更高版本)。
      • 状态更改: 允许应用程序更改 WiFi 连接状态。
      • 用户策略更改: 允许用户更改 WiFi 策略。如果不选择,则用户只能更改 WiFi 用户名和密码。如果选择此选项,用户可以更改所有 WiFi 策略。
    • 网络共享: 允许用户与其他设备共享移动数据连接。
    • 手机网络数据: 允许用户使用其手机网络连接获取数据。
    • 允许漫游: 允许用户在漫游时使用手机网络数据。默认值为“关”,即在用户设备上禁用漫游。
    • 仅允许安全连接: 允许用户仅使用安全连接(MDM 4.0 及更高版本)。
    • Android Beam: 允许用户使用 NFC 从其设备向其他设备发送 Web 页面、照片、视频或其他内容(MDM 4.0 及更高版本)。
    • 音频录制: 允许用户使用其设备录制音频(MDM 4.0 及更高版本)。
    • 视频录制: 允许用户使用其设备录制视频(MDM 4.0 及更高版本)。
    • 定位服务: 允许用户在其设备上打开 GPS。
    • 按天限制(MB): 输入移动数据用户每天可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 按周限制(MB): 输入移动数据用户每周可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 按月限制(MB): 输入移动数据用户每月可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
  • 允许执行 USB 操作: 允许在用户设备与计算机之间建立 USB 连接。
    • 调试: 允许通过 USB 调试。
    • 主机存储: 当 USB 设备连接到用户的设备时,允许用户的设备充当 USB 主机。然后,用户的设备为 USB 设备提供电源。
    • 大容量存储设备: 允许通过 USB 连接在用户的设备与计算机之间传输大型数据文件。
    • Kies 媒体播放器: 允许用户使用 Samsung Kies 工具在其设备与计算机之间同步文件。
    • 网络共享: 允许用户通过 USB 连接与其他设备共享移动数据连接。

Samsung KNOX 设置

“设备策略”配置屏幕图

这些选项仅适用于 Samsung KNOX Premium (KNOX 2.0)。

  • 允许使用相机: 允许用户在其设备上使用相机。
  • 允许执行吊销检查: 启用已吊销证书检查。
  • 将应用程序移至容器: 允许用户在其设备上在 KNOX 容器与个人区域之间移动应用程序。
  • 强制执行多重身份验证: 用户必须使用指纹和另一种身份验证方法(密码或 PIN)才能打开设备。
  • 启用 TIMA 密钥库: TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书路由到默认密钥库提供商进行存储。
  • 强制对容器执行身份验证: 使用不同的单独身份验证来打开 KNOX 容器,通过该容器来解锁设备。
  • 共享列表: 允许用户在“共享方式”列表中的应用程序之间共享内容。
  • 启用审核日志: 启用事件审核日志的创建,以便对设备进行取证分析。
  • 使用安全小键盘: 强制用户在 KNOX 容器内使用安全小键盘。
  • 启用 Google 应用程序: 允许用户将 Google Mobile Services 中的应用程序下载到 KNOX 容器中。
  • 身份验证智能卡浏览器: 在配备有智能卡读卡器的设备上启用浏览器身份验证。

Windows Phone 和 Windows Desktop/Tablet 设置

“设备策略”配置屏幕图

  • WiFi 设置
    • 允许使用 WiFi: 允许设备连接到 WiFi 网络。仅限 Windows Phone。
    • 允许 Internet 共享: 允许设备通过将其设为 WiFi 热点与其他设备共享其 Internet 连接。
    • 允许自动连接到 WiFi 感应热点: 允许设备自动连接到 WiFi 感应热点。必须启用定位服务才能使用此选项。有关 WiFi 感应的详细信息,请参阅 Windows Phone“WiFi 感知”常见问题解答
    • 允许手动配置: 允许用户手动配置 WiFi 连接。仅限 Windows Phone。
  • 连接
    • 允许 NFC: 允许设备与 NFC(近场通信)标记或另一台启用了 NFC 的传输设备通信。仅限 Windows Phone。
    • 允许使用蓝牙: 允许设备通过蓝牙进行连接。仅限 Windows Phone。
    • 允许通过手机网络使用 VPN: 允许设备通过 VPN 连接到手机网络。
    • 允许在漫游时通过手机网络使用 VPN: 允许设备在通过手机网络漫游时使用 VPN。
    • 允许 USB 连接: 允许桌面通过 USB 连接访问设备的存储。仅限 Windows Phone。
    • 允许使用手机网络数据漫游: 允许用户在漫游时使用手机网络数据。
  • 帐户
    • 允许使用 Microsoft 帐户连接: 允许设备使用 Microsoft 帐户进行与电子邮件无关的连接身份验证和服务。
    • 允许使用非 Microsoft 电子邮件: 允许用户添加非 Microsoft 电子邮件帐户。
  • 搜索: 仅限 Windows Phone。
    • 允许搜索使用定位服务: 允许搜索使用设备的定位服务。
    • 过滤成人内容: 允许成人内容。默认值为,表示不过滤成人内容。
    • 允许 Bing 影像存储捕获的图片: 允许 Bing 影像存储执行 Bing 影像搜索时捕获的图片。
  • 系统
    • 允许使用存储卡: 允许设备使用存储卡。
    • 遥测: 在列表中,单击某个选项以允许或限制设备发送遥测信息。默认值为允许。其他选项为不允许允许,次要数据请求除外
    • 允许使用定位服务: 允许使用定位服务。
    • 允许预览内部版本: 允许用户预览 Microsoft 内部版本。
  • 相机: 仅限 Windows Desktop/Tablet
    • 允许使用相机: 允许用户使用其设备相机。
  • 蓝牙: 仅限 Windows Desktop/Tablet
    • 允许使用可发现模式: 允许蓝牙设备查找本地设备。
    • 本地设备名称: 本地设备的名称。
  • 安全性: 仅限 Windows Phone
    • 允许手动安装根证书: 允许用户手动安装根证书。
    • 要求设备加密: 要求设备加密。请注意,在设备上启用加密后,无法将其禁用。默认值为
    • 允许复制粘贴: 允许用户在其设备上复制和粘贴数据。
    • 允许屏幕捕获: 允许用户在其设备上捕获屏幕。
    • 允许录制音频: 允许用户在其设备上使用音频录制功能。
    • 允许使用“另存为”保存 Office 文件: 允许用户使用“另存为”保存 Office 文件。
    • 允许显示操作中心通知: 允许在设备锁屏界面上显示操作中心通知。
    • 允许使用 Cortana: 允许用户访问 Cortana(智能个人助手和知识导航器)。
    • 允许同步设备设置: 允许用户在漫游时在 Windows Phone 8.1 设备之间同步设置。
  • 体验: 仅限 Windows Desktop/Tablet
    • 允许使用 Cortana: 允许用户访问 Cortana(智能个人助手和知识导航器)。
    • 允许发现设备: 允许对设备进行网络发现。
    • 允许手动取消注册 MDM: 允许用户手动从 XenMobile MDM 中取消注册其设备。
    • 允许同步设备设置: 允许用户在漫游时在 Windows 10 设备之间同步设置。
  • 超出锁定范围: 仅限 Windows Desktop/Tablet
    • 允许显示 Toast: 允许在锁屏界面上显示 Toast 通知。仅限 Windows Desktop/Tablet
  • 应用程序
    • 允许访问应用商店: 允许用户访问 Microsoft 应用商店。仅限 Windows Phone。
    • 允许开发人员解锁: 允许用户向 Microsoft 注册其设备以及开发或安装 Windows Phone 应用商店之外的应用程序。仅限 Windows Phone。
    • 允许使用 Web 浏览器访问: 允许在设备上使用 Internet Explorer。仅限 Windows Phone。
    • 允许应用商店自动更新: 允许应用商店中的应用程序自动更新。仅限 Windows Desktop/Tablet。
  • 隐私: 仅限 Windows Desktop/Tablet
    • 允许输入个性化: 允许运行输入个性化服务,以改进基于用户键入内容的预测输入(例如手写笔和触摸键盘)。
  • 设置: 仅限 Windows Desktop/Tablet。
    • 允许自动播放: 允许用户更改自动播放设置。
    • 允许使用流量感知: 允许用户更改流量感知设置。
    • 允许设置日期时间: 允许用户更改日期和时间设置。
    • 允许设置语言: 允许用户更改语言设置。
    • 允许设置电源睡眠: 允许用户更改电源和睡眠设置。
    • 允许设置区域: 允许用户更改区域设置。
    • 允许设置登录选项: 允许用户更改登录设置。
    • 允许设置工作区: 允许用户更改工作区设置。
    • 允许使用您的帐户: 允许用户更改帐户设置。

Amazon 设置

“设备策略”配置屏幕图

  • 允许硬件控制
    • 恢复出厂设置: 允许用户在其设备上恢复出厂设置
    • 配置文件: 允许用户在其设备上更改硬件配置文件。
  • 允许使用应用程序
    • 非 Amazon 应用商店应用程序: 允许用户在其设备上安装非 Amazon 应用商店应用程序。
    • 社交网络: 允许用户从其设备访问社交网络。
  • 网络
    • 蓝牙: 允许用户使用蓝牙。
    • WiFi 开关: 允许应用程序更改 WiFi 连接状态。
    • WiFi 设置: 允许用户更改 WiFi 设置。
    • 手机网络数据: 允许用户使用其手机网络连接获取数据。
    • 漫游数据: 允许用户在漫游时使用手机网络数据。
    • 定位服务: 允许用户使用 GPS。
  • USB 操作:
    • 调试: 允许用户设备通过 USB 连接到计算机以进行调试。

Windows Mobile/CE 设置

“设备策略”配置屏幕图

  • 蓝牙/红外收发(Obex): 通过 Bluetooth 或红外线启用 OBEX(OBject EXchange 协议)以在设备之间交换数据。
  • 相机: 在用户设备上启用相机。
  • WiFi 开关: 允许用户切换 WiFi 网络。
  • 蓝牙: 在用户设备上启用蓝牙。