可以自定义限制配置文件来控制最终用户可以访问的应用程序、硬件和功能。使用这些限制可提高效率、保护最终用户和设备,以及分离个人和企业数据。

要创建限制配置文件,请参见强制实施设备限制

以下限制是代表性选项列表,并不全面。

操作系统限制

操作系统级别软件延迟限制,允许您在指定天数内可向最终用户隐藏 iOS 更新。

设置

说明

延迟更新 (天)

启用此选项并指定延迟软件更新的天数。天数范围介于 1 到 90 之间。(iOS 11.3 及更高版本,受监督设备)。此天数指示软件更新发布后而不是安装配置文件后的时间长度。

设备功能限制

设备级限制可以禁用摄像头、FaceTime、Siri 和应用内购买项等核心设备功能,从而有助于提高效率并改善安全性。

  • 限制最终用户修改设备蓝牙设置。(iOS 10 及更高版本)。
  • 禁止使用设备的屏幕捕获功能以保护设备上的企业内容。
  • 在设备被锁定时禁用 Siri,以禁止不使用安全密码访问电子邮件、电话和备忘录(iOS 7 及更高版本)。

    默认情况下,最终用户即使在设备处于锁定状态时也可以按住 Home 按钮来使用 Siri。但此功能可能允许未经授权的用户访问非其所拥有设备上的敏感信息并执行操作。如果贵组织对安全有严格的要求,则应考虑部署一个限制配置文件,当设备锁定时使用 Siri 加以限制。

  • 禁止漫游时自动同步可降低数据费用。
  • 防止触控 ID 解锁设备(iOS 7 及更高版本)
  • 限制最终用户修改设备上的个人热点设置(iOS 12.2 及更高版本,受监督设备)。无论在配置文件中启用还是禁用了限制,您都可以使用“个人热点纳管设置”命令替代个人热点设置。
  • 限制最终用户在 Siri 服务器上的日志记录请求。禁用限制后,Siri 不会将最终用户日志记录数据记录到服务器。
  • 通过在 UEM console(iOS 10.3 及更高版本)上启用强制开启 Wi-Fi,限制最终用户在设备设置或控制中心中打开 Wi-Fi(即使打开或关闭飞行模式)。
  • 禁用文件网络驱动器访问以限制用户连接到“文件”应用(iOS 10.3 及更高版本)中的网络驱动器。

精选 iOS 8 设备限制

  • 禁用切换,切换可用于在一个设备上启动活动、查找其他设备以及在共享应用上继续执行活动。
  • 在 Spotlight 中禁用 Internet 搜索结果。此限制将禁止在使用 Spotlight 进行搜索时显示建议的网站。(iOS 8 及更高版本,受监督设备)
  • 禁用“限制”设置配置。此权限允许管理员通过设备的“设置”菜单覆盖个人限制的配置(iOS 8 及更高版本,受监督设备)。
  • 禁止最终用户擦除设备上的所有内容和设置。此限制将禁止用户擦除和取消注册设备(iOS 8 及更高版本,受监督设备)。
  • 通过使用 iCloud 备份纳管的应用来禁用本地数据存储。
  • 禁用通过 iCloud 备份企业图书。
  • 禁止用户使用 iCloud 同步企业图书中的笔记和重点文本。
  • 禁用添加或删除现有触控 ID 信息(iOS 8.1.3 及更高版本,受监督设备)。
  • 禁用播客。此限制将禁止访问 Apple 的播客应用程序(仅限受监督设备)。

精选 iOS 9 限制

  • 禁用密码修改,这会禁止添加、更改或移除设备密码(仅限受监督设备)。
  • 隐藏 App Store。此限制将禁用 App Store 并从主屏幕中移除图标。最终用户仍可使用 MDM 安装或更新其应用,从而为管理员提供对应用程序的完全控制(仅限受监督设备)。
  • 禁用自动应用下载。此限制将禁止在其他设备上购买的应用自动同步。此限制不会影响现有应用更新(仅限受监督设备)。
  • 禁用设备名称修改。此限制将禁止最终用户更改设备名称。请考虑对共享和注册预备设备部署应用此限制(仅限受监督设备)。
  • 禁用墙纸修改。此限制将禁止用户更改设备墙纸(仅限受监督设备)。
  • 禁止将 AirDrop 当作未纳管的拖放目标位置,这将禁止用户从一个纳管应用程序向 AirDrop 发送企业数据或附件。此限制也要求对 Apple 的管理式打开方式功能进行限制。
  • 禁用键盘快捷键,以禁止用户创建和使用键盘快捷键(仅限受监督设备)。
  • 禁用“新闻”来禁止访问 Apple 的新闻应用程序(仅限受监督设备)。
  • 禁用 iCloud 照片库。此限制禁止未能从照片库完全下载完毕的照片在本机存储。
  • 禁用外部企业应用信任,这将禁止最终用户安装任何不信任的企业签字、未纳管的应用。管理式内部企业应用被隐式信任。
  • 通过限制屏幕捕获禁用视频录制以禁止最终用户捕获设备显示。
  • 禁用 Music 服务,这会限制安装 Music 应用(iOS 8.3.3,仅限受监督设备)。

精选 iOS 9.3 限制

  • 禁用 iTunes Radio 服务,这将限制 iTunes Radio 的安装。如果 Apple Music 不受限,Radio 服务将会出现在 Apple Music 应用中(仅限受监督设备)。

精选 watchOS 限制

  • 禁用 Apple Watch 配对,这将取消任何当前已配对 Apple Watch 的配对并将其清除(iOS 9 及更高版本,受监督设备)。
  • 执行手腕检测,这将在未佩载时锁定 Apple Watch。

应用程序级限制

应用程序级限制禁用某些应用程序,例如 YouTube、iTunes 和 Safari 或其部分功能,以强制执行企业使用策略。可用的限制包括:

  • 禁用自动填充以确保敏感信息不会自动显示在某些表单中。
  • 启用“强制发出欺诈警告”功能,可强制 Safari 在最终用户访问可疑网络钓鱼网站时显示警告。
  • 在 Safari 中控制是否接受 Cookie。您可以将 Safari 设置为不接受任何 Cookie 或仅接受来自特定站点的 Cookie。
  • 禁止访问 Game Center 和玩多人游戏以强制执行工作时间的设备使用企业策略。
  • 通过将单个、本机和其他应用程序添加到显示应用隐藏应用部分来启用或禁用这些应用程序。此限制让您可以根据需要显示或隐藏应用程序(适用于 iOS 9.3 及更高版本,仅限受监督设备)。
    • 若要将网页剪辑列入白名单,请将包 ID com.apple.webapp 添加到显示应用文本框中。

iCloud 限制

对于运行 iOS 7 及更高版本的设备,最终用户可以将他们设备上的数据存储、备份或同步到 iCloud(一个 Apple 服务器的集合)。此数据包括照片、视频、设备设置、应用数据、消息、文档等。为了满足您的企业需求,Workspace ONE UEM 对 iOS 7 和更高版本的设备提供了限制,可以根据需要禁用 iCloud 或 iCloud 功能。

Exchange ActiveSync 的内容(邮件、联系人、日历、任务)及任何移动预置配置文件不会被同步到最终用户的 iCloud 中。

管理要求

限制

设置在设备上被禁用

限制 iCloud 配置(设备功能限制)

限制登录和配置 iCloud 设置。

允许帐户修改

(需要监督)

在设备“设置”下禁用 iCloud 选项(iOS 7 及更高版本,受监督设备)

此限制还会禁止在设备设置中修改其他帐户,例如电子邮件。

iCloud 管理(粒度 iCloud 限制)

禁止用户将数据备份到 iCloud

允许备份

在 iCloud 设置下关闭“备份”选项 (iOS 7)

禁止用户将文档和数据存储到 iCloud Drive

允许文档同步

在 iCloud 设置下移除“iCloud Drive”选项 (iOS 7)

禁止用户在 iCloud 中保留密码和信用卡信息 允许 Keychain 同步

在 iCloud 设置下移除“Keychain”选项 (iOS 7)

禁止纳管应用程序的用户将文档存储到 iCloud 允许纳管应用存储数据 禁止纳管应用程序在 iCloud 驱动器中存储文档 (iOS 8)
禁止用户将企业图书备份到 iCloud 允许备份企业图书 禁止通过 iCloud 或 iTunes 备份纳管的图书 (iOS 8)
禁止同步企业图书、笔记和重点文本 允许同步企业图书笔记和重点文本 在 iBooks 中禁用企业图书的笔记和重点文本 (iOS 8)
禁止用户将照片同步到 iCloud 允许照片流并允许共享照片流 在 iCloud 设置下移除“照片”选项 (iOS 7)
禁止自动上传新照片以及将其发送到 iCloud 设备 允许共享照片流 在 iCloud 设置下的“照片”中禁用“我的照片流”(iOS 7)

iCloud 备份只会在下列情形时发生:

  • 不存在对 iCloud 备份的限制。
  • iCloud 切换设置已在设备的设置 > iCloud > 备份被启用。
  • 已启用 Wi-Fi。
  • 设备连接到电源并被锁定。

安全与隐私限制

基于安全与隐私的限制禁止最终用户执行可能违反企业策略或以其他方式破解其设备的某些操作。可用的限制包括:

  • 禁止 iOS 11.4.1 及更高版本设备的用户输入密码,以在设备锁定时初始连接到或者保持连接到 USB 附件。
  • 禁止用户信任未纳管的企业应用。
  • 禁止强制输入 iTunes Store 密码。
  • 禁止将诊断数据(包括位置信息和使用数据)发送给 Apple 以帮助改善 iOS 软件功能。
  • 禁止最终用户接受不受信任的 TLS 证书,致使他们不能访问 SSL 证书无效的网站。如果您允许不受信任的 TLS 证书,则用户仍会收到证书无效的通知,但如果需要可继续访问。
  • 禁止无线 PKI 更新。
  • 强制执行加密备份。加密备份可确保所有个人信息(例如电子邮件帐户密码或联系信息)在备份并存储到设备上时进行加密。
  • 禁止与非配置器主机配对。
  • 禁止 iOS 10.3 及更高版本的设备连接到未知或恶意网络。启用该限制的设备只能连接到受管的 WiFi 网络。选择强制实施 WiFi 白名单以强制实施该限制。

媒体内容限制

基于评级的限制会禁止根据其评级(按地区管理)访问某些内容。可用的限制包括:

  • 限制在企业所有的设备上访问成人内容,作为企业策略的一部分。
  • 禁止在正常上班时间访问有 17 岁以上年龄限制的应用。
  • 屏蔽在企业所有的设备上访问不适当或限制级的 iBook 内容。