管理员可以选择为通过 Apple Configurator 注册的设备启用受监督模式,从而启用额外的增强安全功能。不过,这种模式也会给设备带来一些限制。

优势

设备受到监督并在 Workspace ONE UEM注册后,与普通设备相比,管理员可以配置以下增强功能。

  • 通过 MDM 增强限制
    • 防止用户移除应用程序。也可以通过“系统配置”下的限制,在设备本地对应用程序移除作出限制。
    • 禁止 AirDrop。
    • 禁止用户修改 iCloud 和邮件帐户设置,从而防止修改帐户。
    • 禁用 iMessage。
    • 设置 iBookstore 内容评级限制。
    • 禁用 Game Center 和 iBookstore。
  • 增强安全性
    • 防止最终用户在 Safari 中访问含有成人内容的网站。
    • 限制可以连接指定 AirPlay 目标(如 Apple TV)的设备。
    • 防止安装证书或未纳管配置文件。
    • 强制所有设备网络流量经由全局 HTTP 代理。
  • Kiosk 模式
    • 利用单应用模式将设备锁定到一个应用,同时禁用主屏幕按钮。
  • 自定义设备上的墙纸和文本
  • 启用或清除激活锁

限制

  • 对受监督设备的 USB 访问仅限于监督的 Mac。
  • 除非设备上安装了 Apple Configurator 标识证书,否则无法使用 iTunes 将数据复制到设备或从设备复制数据。
    • 照片和视频等媒体无法从设备复制到 PC 或 Mac 上。若要传输此类数据,请使用 VMware Content Locker 将该内容与用户的“个人文档”部分同步。此外,也可以选择使用文件共享应用程序通过 WLAN/WWAN 将数据传输到服务器。
  • 受监督模式禁止使用 iPhone 配置实用工具 (IPCU) 访问设备端的日志。
    • 这种模式加大了对任何应用程序或设备问题进行故障排查的难度。之所以困难是因为,只有在设备连接到监督的 Mac 时才能从该设备获取日志。要克服其中的一些难题,请使用 Workspace ONE SDK将日志和后勤信息从应用程序发送到 UEM Console。
  • 无法通过出厂设置轻松重置设备。
    • 一旦设备执行了出厂重置,则必须将它带回到监督的 Mac,以恢复为受监督模式。如果 Mac 不在设备附近,则该过程可能会出现问题。

在决定是否要启用受监督模式时,请考虑以下事项。虽然它可以启用额外的功能以提升设备的安全性,但也必须考虑 USB 限制。

设备与监督的 Mac 的距离是决策过程中的一个重要因素。因为 USB 限制会阻止访问设备端日志,遇到问题的设备必须被送回到某个维修点并经过重新注册预备后才能恢复功能。

务必要提前决定好设备监督,因为监督或“取消监督”的过程需要将设备送往 IT 场所或维修点。