配置文件是管理设备的主要方法。通过对配置文件进行配置,使 iOS 设备的安全得到保障后,就可以配置为首选设置了。您可以将配置文件视作各种设置和规则,当它们与合规策略结合使用时,可协助您强制执行企业规则和程序。配置文件中含有您要对设备强制使用的设置、配置和限制。

配置文件由常规的配置文件设置和特定的负载组成。配置文件在仅包含单一负载时效果最好。

iOS 配置文件在用户级别或设备级别上应用到设备。在创建 iOS 配置文件时,您可以选择配置文件将要应用到的级别。某些配置文件只能应用到用户级别或设备级别。

配置文件的受监督模式要求

可以在受监督模式下部署部分或全部 iOS 设备。受监督模式是设备级设置,它向管理员提供高级管理功能和限制。

某些配置文件设置仅可用于受监督设备。受监督设置会在右侧显示一个图标,指示强制实施该设置或限制所需的最低 iOS 要求。

例如,通过取消选中允许 AirDrop 旁边的复选框,可以禁止最终用户使用 AirDrop 与其他 macOS 计算机和 iOS 设备共享文件。iOS 7 + 受监督图标表示只有运行 iOS 7 且使用 Apple Configurator 设置为受监督模式的设备才受此限制影响。有关详细信息,请参见与 Apple Configurator 集成Apple 商务管理。要查看 iOS 系统要求和监督选项的完整列表,请参见 **iOS 功能表:******受监督与不受监督

配置 iOS 配置文件

使用以下基本步骤,您可以在 Workspace ONE UEM 中配置任何 iOS 配置文件。浏览以下各部分中每个配置文件的可用设置。

  1. 导航到资源 > 配置文件和基准 > 配置文件,然后选择添加 > Apple iOS > 设备配置文件

  2. 为配置文件配置常规设置。

  3. 从列表中选择负载。

  4. 配置配置文件设置。

  5. 选择保存并发布

设备密码 (iOS)

设备密码配置文件可保护 iOS 设备及其内容的安全。基于用户的需要来配置安全级别。

为大量配置文件员工选择严格的选项或为其他设备或参与 BYOD 计划的员工选择更灵活的选项。此外,如果在 iOS 设备上设置了密码,它会为该设备提供硬件加密,同时还会在设备详细信息页面的安全标签页中创建一个设备指示器已启用数据保护

创建一个密码并配置:

  • 复杂程度 – 使用简单值以便快速访问,或使用字母数字密码来增强安全性。您还可以要求在密码中使用最低数量的复杂字符(@、#、&、! , ,? )。例如,可以要求有权访问敏感内容的用户使用更严格的密码。
  • 失败尝试次数上限 – 在指定的尝试次数后擦除或锁定设备,以阻止未经授权的访问。此选项很适用于企业所有的设备,但不适用于 BYOD 计划中的员工所有设备。例如,如果设备仅限于尝试 5 次密码,且用户在一行中 5 次输入不正确的密码,设备会自动执行全设备擦除。如果锁定设备更合适,请将此选项设置为,这意味着您可以无限期地尝试密码重试。
  • 密码最长有效时限 – 按选定的期限强制密码更新。密码更换次数越频繁,泄露给未获授权方的可能性就越小。
  • 自动锁定(分钟) – 在一定时间过后自动锁定设备。如果最终用户意外使手机无人看管,此锁定可确保设备上的内容不被破解。

配置设备密码配置文件

设备密码配置文件可保护 iOS 设备及其内容的安全。配置多个设置作为密码负载的一部分,以便根据用户需求强制执行设备密码。

设置 说明
要求设备使用密码 启用强制性密码保护。
允许简单值 允许最终用户应用简单数字密码。
需要字母数字值 限制最终用户在密码中使用空格或非字母数字字符。
密码长度下限 选择密码所需的字符字数下限。
最低复杂字符数 选择密码所需的最低复杂字符数(#、$、!、@))。
最长密码期限 (天) 选择密码可能活跃的天数上限。
自动锁定(分钟) 选择设备处于空闲状态后自动锁定屏幕的时间长度。
密码历史记录 选择最终用户不得重复的历史记录中存储的密码次数。
设备锁定宽限期 (分钟) 选择设备在被系统锁定前处于空闲状态的时间长度(分钟),在此时间之后最终用户必须重新输入密码。
失败尝试次数上限 选择允许的尝试次数。如果最终用户输入错误密码次数过多,则设备将执行出厂重置。

限制配置文件 (iOS)

限制配置文件限制员工使用其 iOS 设备的方式,并向管理员提供锁定 iOS 设备本机功能的权限并强制实施数据丢失防护。

限制配置文件页面的某些限制选项会在右侧显示一个图标,表示执行该限制所规定的最低 iOS 版本要求。例如,允许 AirDrop 复选框旁边的 iOS 7 + 受监督图标表示只有运行 iOS 7 且使用 Apple ConfiguratorApple 设备注册计划设置为在受监督模式下运行的设备才受此限制影响。

此处列出的分步说明列出您可以限制的设置的一些功能示例。要查看 iOS 版本要求和受监督要求的完整列表,请参见 iOS 功能表:受监督与不受监督

限制配置文件的配置

可以自定义限制配置文件来控制最终用户可以访问的应用程序、硬件和功能。使用这些限制可提高效率、保护最终用户和设备,以及分离个人和企业数据。

要创建限制配置文件,请参阅配置设备限制配置文件

以下限制是代表性选项列表,并不全面。

操作系统限制

操作系统级别软件延迟限制,允许您在指定天数内可向最终用户隐藏 iOS 更新。

设置 说明
延迟更新 (天) 启用此选项并指定延迟软件更新的天数。天数范围介于 1 到 90 之间。(iOS 11.3 及更高版本,受监督设备)。此天数指示软件更新发布后而不是安装配置文件后的时间长度。

设备功能限制

设备级限制可以停用相机、FaceTime、Siri 和应用内购买项等核心设备功能,从而有助于提高效率和安全性。

  • 限制最终用户修改设备蓝牙设置。(iOS 10 及更高版本)。

  • 禁止使用设备的屏幕捕获功能以保护设备上的企业内容。

  • 在设备锁定时停用 Siri,以禁止不使用安全密码访问电子邮件、电话和备忘录(iOS 7 及更高版本)。

    默认情况下,最终用户即使在设备处于锁定状态时也可以按住 Home 按钮来使用 Siri。但此功能可能允许未经授权的用户访问非其所拥有设备上的敏感信息并执行操作。如果贵组织对安全有严格的要求,则应考虑部署一个限制配置文件,当设备锁定时使用 Siri 加以限制。

  • 禁止漫游时自动同步可降低数据费用。

  • 防止触控 ID 解锁设备(iOS 7 及更高版本)

  • 限制最终用户修改设备上的个人热点设置(iOS 12.2 及更高版本,受监督设备)。无论在配置文件中启用还是停用了限制,您都可以使用“个人热点纳管设置”命令替代个人热点设置。

  • 限制最终用户在 Siri 服务器上的日志记录请求。停用限制后,Siri 不会将最终用户日志记录数据记录到服务器。

  • 通过在 UEM console(iOS 10.3 及更高版本)上启用强制开启 Wi-Fi,限制最终用户在设备设置或控制中心中打开 Wi-Fi(即使打开或关闭飞行模式)。

  • 停用文件网络驱动器访问,以限制用户连接到“文件”应用(iOS 10.3 及更高版本)中的网络驱动器。

精选 iOS 8 设备限制

  • 停用切换,切换可用于在一台设备上启动活动、查找其他设备以及在共享应用上继续执行活动。
  • 在 Spotlight 中停用 Internet 搜索结果。此限制将禁止在使用 Spotlight 进行搜索时显示建议的网站。(iOS 8 及更高版本,受监督设备)
  • 禁止配置“限制”设置。此权限允许管理员通过设备的“设置”菜单覆盖个人限制的配置(iOS 8 及更高版本,受监督设备)。
  • 禁止最终用户擦除设备上的所有内容和设置。此限制将禁止用户擦除和取消注册设备(iOS 8 及更高版本,受监督设备)。
  • 通过使用 iCloud 备份受管应用来停用本地数据存储。
  • 禁止使用 iCloud 备份企业图书。
  • 禁止用户使用 iCloud 同步企业图书中的笔记和重点文本。
  • 禁止添加或移除现有触控 ID 信息(iOS 8.1.3 及更高版本,受监督设备)。
  • 停用播客。此限制将禁止访问 Apple 的播客应用程序(仅限受监督设备)。

精选 iOS 9 限制

  • 停用密码修改,这会禁止添加、更改或移除设备密码(仅限受监督设备)。
  • 隐藏 App Store。此限制将停用 App Store 并从主屏幕中移除图标。最终用户仍可使用 MDM 安装或更新其应用,从而为管理员提供对应用程序的完全控制(仅限受监督设备)。
  • 停用自动应用下载。此限制将禁止在其他设备上购买的应用自动同步。此限制不会影响现有应用更新(仅限受监督设备)。
  • 停用设备名称修改。此限制将禁止最终用户更改设备名称。请考虑对共享和注册预备设备部署应用此限制(仅限受监督设备)。
  • 停用墙纸修改。此限制将禁止用户更改设备墙纸(仅限受监督设备)。
  • 禁止将 AirDrop 用作非受管拖放目标,这将阻止用户从受管应用程序向 AirDrop 发送企业数据或附件。此限制也要求对 Apple 的管理式打开方式功能进行限制。
  • 停用键盘快捷键,以禁止用户创建和使用键盘快捷键(仅限受监督设备)。
  • 停用“新闻”,以禁止访问 Apple 的“新闻”应用程序(仅限受监督设备)。
  • 停用 iCloud 照片库。此限制禁止未能从照片库完全下载完毕的照片在本机存储。
  • 停用外部企业应用信任,这将禁止最终用户安装任何不受信任、由企业签名的非受管应用。管理式内部企业应用被隐式信任。
  • 通过限制屏幕捕获来停用视频录制,以禁止最终用户捕获设备显示。
  • 停用 Music 服务,这会限制安装“音乐”应用(iOS 8.3.3 及更高版本,仅限受监督设备)。

精选 iOS 9.3 限制

  • 停用 iTunes Radio 服务,这将限制安装 iTunes Radio。如果 Apple Music 不受限,Radio 服务将会出现在 Apple Music 应用中(仅限受监督设备)。

精选 watchOS 限制

  • 停用 Apple Watch 配对,这将取消任何当前已配对 Apple Watch 的配对并将其擦除(iOS 9 及更高版本,受监督设备)。
  • 执行手腕检测,这将在未佩载时锁定 Apple Watch。

应用程序级限制

应用程序级限制将停用某些应用程序(例如 YouTube、iTunes 和 Safari)或其部分功能,以强制执行企业使用策略。可用的限制包括:

  • 停用自动填充,以确保敏感信息不会自动显示在某些表单中。
  • 启用“强制发出欺诈警告”功能,可强制 Safari 在最终用户访问可疑网络钓鱼网站时显示警告。
  • 在 Safari 中控制是否接受 Cookie。您可以将 Safari 设置为不接受任何 Cookie 或仅接受来自特定站点的 Cookie。
  • 禁止访问 Game Center 和玩多人游戏以强制执行工作时间的设备使用企业策略。
  • 通过将单个本机应用程序及其他应用程序添加到显示应用隐藏应用部分来激活或停用这些应用程序。此限制让您可以根据需要显示或隐藏应用程序(适用于 iOS 9.3 及更高版本,仅限受监督设备)。
    • 要允许网页剪辑,请将包 ID com.apple.webapp 添加到显示应用文本框中。

iCloud 限制

对于运行 iOS 7 及更高版本的设备,最终用户可以将他们设备上的数据存储、备份或同步到 iCloud(一个 Apple 服务器的集合)。此数据包括照片、视频、设备设置、应用数据、消息、文档等。为了满足您的企业需求,Workspace ONE UEM 对 iOS 7 和更高版本的设备提供了限制,可以根据需要停用 iCloud 或 iCloud 功能。

Exchange ActiveSync 的内容(邮件、联系人、日历、任务)及任何移动预置配置文件不会被同步到最终用户的 iCloud 中。

管理要求 限制 设置在设备上被停用
限制 iCloud 配置(设备功能限制)
限制登录和配置 iCloud 设置。 允许修改帐户(需要监督) 在设备“设置”下停用 iCloud 选项(iOS 7 及更高版本,受监督)此限制还可防止在设备设置中修改其他帐户(例如电子邮件地址)。
iCloud 管理(粒度 iCloud 限制)
禁止用户将数据备份到 iCloud 允许备份 在 iCloud 设置下关闭“备份”选项 (iOS 7)
禁止用户将文档和数据存储到 iCloud Drive 允许文档同步 在 iCloud 设置下移除“iCloud Drive”选项 (iOS 7)
禁止用户在 iCloud 中保留密码和信用卡信息 允许 Keychain 同步 在 iCloud 设置下移除“Keychain”选项 (iOS 7)
禁止纳管应用程序的用户将文档存储到 iCloud 允许纳管应用存储数据 禁止受管应用程序在 iCloud 驱动器中存储文档 (iOS 8)
禁止用户将企业图书备份到 iCloud 允许备份企业图书 禁止通过 iCloud 或 iTunes 备份受管图书 (iOS 8)
禁止同步企业图书、笔记和重点文本 允许同步企业图书笔记和重点文本 在 iBooks 中停用企业图书的笔记和重点文本 (iOS 8)
禁止用户将照片同步到 iCloud 允许照片流并允许共享照片流 在 iCloud 设置下移除“照片”选项 (iOS 7)
禁止自动上传新照片以及将其发送到 iCloud 设备 允许共享照片流 在 iCloud 设置下的“照片”中停用“我的照片流”(iOS 7)

iCloud 备份只会在下列情形时发生:

  • 不存在对 iCloud 备份的限制。
  • 已在设备的设置 > iCloud > 备份中启用 iCloud 切换设置。
  • 已启用 Wi-Fi。
  • 设备连接到电源并被锁定。

安全与隐私限制

基于安全与隐私的限制禁止最终用户执行可能违反企业策略或以其他方式破解其设备的某些操作。可用的限制包括:

  • 禁止 iOS 11.4.1 及更高版本设备的用户输入密码,以在设备锁定时初始连接到或者保持连接到 USB 附件。
  • 禁止用户信任未纳管的企业应用。
  • 禁止强制输入 iTunes Store 密码。
  • 禁止将诊断数据(包括位置信息和使用数据)发送给 Apple 以帮助改善 iOS 软件功能。
  • 禁止最终用户接受不受信任的 TLS 证书,致使他们不能访问 SSL 证书无效的网站。如果您允许不受信任的 TLS 证书,则用户仍会收到证书无效的通知,但如果需要可继续访问。
  • 禁止无线 PKI 更新。
  • 强制执行加密备份。加密备份可确保所有个人信息(例如电子邮件帐户密码或联系信息)在备份并存储到设备上时进行加密。
  • 禁止与非配置器主机配对。
  • 禁止 iOS 10.3 及更高版本的设备连接到未知或恶意网络。启用该限制的设备只能连接到受管的 WiFi 网络。选择需要受管 Wi-Fi 来强制实施此限制。

媒体内容限制

基于评级的限制会禁止根据其评级(按地区管理)访问某些内容。可用的限制包括:

  • 限制在企业所有的设备上访问成人内容,作为企业策略的一部分。
  • 禁止在正常上班时间访问有 17 岁以上年龄限制的应用。
  • 屏蔽在企业所有的设备上访问不适当或限制级的 iBook 内容。

设备限制 (iOS)

限制配置文件限制员工使用其 iOS 设备的方式,并向管理员提供锁定 iOS 设备本机功能的权限并强制实施数据丢失防护。

  1. 导航到资源 > 配置文件和基准> 配置文件> 添加。选择 Apple iOS

  2. 为配置文件配置常规设置。

  3. 从列表中选择限制负载。可以将多个限制作为单一限制负载的一部分来选择。

  4. 配置限制设置。有关限制的更多信息,请参见限制配置文件配置

  5. 选择保存并发布

跳过设置助理 (iOS)

使用设置助理配置文件可在更新操作系统后在设备上跳过设置助理屏幕。此配置文件仅适用于 iOS 14、IPadOS 14 及更高版本。

设置 说明
设置帮助 从下方列表中选择在更新操作系统后跳过所有设置助理屏幕或跳过所选屏幕。

**注:**默认情况下,“跳过所有屏幕”选项处于选中状态。当用户选择跳过某些屏幕的选项时,其余文本框可编辑。
移离 Android 如果未跳过“还原”窗格,则会在 iOS 上跳过“还原”窗格中的“移离 Android”选项。
选择外观 跳过“选择外观”屏幕。
Apple ID 设置 跳过 Apple ID 设置。
生物识别 ID 跳过生物识别设置。设备到设备迁移
设备到设备迁移 跳过“设备到设备迁移”窗格。
诊断 跳过“应用分析”窗格。
显示音调 跳过 DisplayTone 设置。
Home 键 跳过 iPhone 7、iPhone 7 Plus、iPhone 8、iPhone 8 Plus 和 iPhone SE 上的“认识新的主屏幕按钮”屏幕。
iMessage 和 FaceTime 跳过 iOS 中的 iMessage 和 FaceTime 屏幕。
定位服务 跳过“定位服务”。
密码 跳过密码窗格。
付款 跳过 Apple Pay 设置。
隐私政策 跳过隐私窗格。
还原 禁止从“备份/还原”进行还原。
还原已完成 跳过“还原已完成”窗格。
屏幕时间 跳过“屏幕使用时间”窗格。
添加流量套餐 跳过“添加流量套餐”窗格。
Siri 跳过 Siri。
软件更新 跳过 iOS 中的强制软件更新屏幕。
条款和条件 跳过条款和条件。
更新已完成 跳过“软件更新完成”窗格。
Watch 迁移 跳过用于监控迁移的屏幕。
欢迎 跳过“入门”窗格。
缩放 跳过缩放设置。

Wi-Fi (iOS)

配置 Wi-Fi 配置文件允许设备连接到企业网络,即使这些网络已隐藏、加密或受密码保护。这项负载对以下情况的最终用户是有用的,如经常出差且使用他们自己特有无线网络的最终用户或者对那些在办公室设置内能够自动将他们的设备连接到一个现场无线网络的最终用户。

  1. 配置 Wi-Fi 设置,其中包括:

    设置 说明
    服务集标识符 输入设备连接的网络名称。
    隐藏网络 输入与未打开或广播的网络的连接。
    自动加入 当开启设备时,决定该设备是否要自动连接到网络。除非设备被重启或被手动选择一个不同的连接,否则设备会保持一个活跃的连接状态。
    安全类型 选择要使用的访问协议的类型。输入密码或选择适用于您 Wi-Fi 网络的协议
    协议 选择网络访问协议。

    WiFi安全类型为任意企业选项时,将显示此选项。选择以太网时,也会显示此选项。

    Wi-Fi Hotspot 2.0 启用 Wi-Fi Hotspot 2.0 的功能但此功能仅对 iOS 7 及以上设备可用。Hotspot 2.0 是一种公共访问 Wi-Fi 类型,允许设备无缝识别和连接最佳匹配的接入点。运营商计划必须支持 Hotspot 2.0 才能保证其正常工作。
    域名 输入 Passpoint 服务提供商的域名。
    允许连接到漫游合作伙伴的 Passpoint 网络 允许漫游到合作伙伴 Passpoint 网络。
    显示的运营商名称 输入 Wi-Fi 热点服务提供商的名称。
    漫游联盟组织 ID 输入漫游联盟组织的标识符。
    网络访问 ID 输入网络访问 ID 的领域名。
    MCC/MNC 按 6 位数格式输入“移动国家代码/移动网络配置”。
    身份验证 配置身份验证设置(设置项目因协议而异)。
    用户名 输入帐户的用户名。
    用户每连接密码 在连接过程中请求输入密码,并发送密码进行身份验证。
    密码 输入连接密码。
    标识证书 选择用于身份验证的证书。
    外部标识 选择外部身份验证方法。
    TLS 最低版本 选择最低 TLS 版本 1.0、1.1 和 1.2。如果未选择任何值,则最低 TLS 版本默认为 1.0。

    **注意:**只能为 TLS、TTLS、EAP-Fast 和 PEAP 协议类型配置最高 TLS 版本。
    TLS 最高版本 选择最高 TLS 版本 1.0、1.1 和 1.2。如果未选择任何值,则最高 TLS 版本默认为 1.2。
    受信任的证书 指供 Wi-Fi 网络使用的受信任的服务器证书。
    受信任的服务器证书名称 输入受信任的服务器证书名称。
    允许信任例外 允许最终用户做出信任决策。
  2. 手动自动代理服务器类型配置代理设置。

  3. 如果您使用 Cisco 基础结构,请配置 QoS 标记策略(适用于 iOS v11 及更高版本设备)。

    设置 说明
    Fastlane QoS 标记 选择所需的标记设置。
    启用 QoS 标记 选择此选项以选择适用于优先处理的数据分配的应用。
    允许列表 Apple 通话 选择“允许 Apple 通话”以将 Apple Wifi 通话添加到 QoS 允许列表。
    QoS 标记的允许应用 搜索并添加应用以分配优先处理的数据。
  4. 配置俘获型门户以绕过此门户。

  5. 完成后,选择保存并发布将配置文件推送到设备。

虚拟专用网络 (VPN) (iOS)

虚拟专用网络 (VPN) 为设备提供安全并且加密的隧道来访问内部资源。VPN 配置文件能让每台设备像接通现场网络一样工作。配置 VPN 配置文件可确保最终用户无缝访问电子邮件、文件和内容。

您看到的设置因您所选的连接类型而异。有关使用 Forcepoint 内容筛选的详细信息,请参阅创建 Forcepoint 内容筛选器配置文件

设置 说明
连接名称 输入显示在设备上显示该连接的名称。
连接类型 使用下拉菜单选择网络连接方法。
服务器 输入用于连接的服务器的主机名或 IP 地址。
帐户 输入 VPN 帐户名称。
发送所有流量 强制所有流量通过指定的网络。
空闲时断开连接 允许 VPN 在经过一个特定时段后自动断开连接。是否支持此值取决于 VPN 提供商。
自动连接 选中该项可允许 VPN 自动连接到以下域。此选项在选择了每应用 VPN 规则时显示。

Safari 域
邮件域
联系人域
日历域

提供商类型 选择 VPN 服务的类型。如果 VPN 服务类型是应用代理,则 VPN 服务将在应用程序级别对流量进行隧道处理。如果是数据包隧道,则 VPN 服务会在 IP 层对流量进行隧道处理。
每应用 VPN 规则 为设备启用每应用 VPN。有关更多信息,请参见本指南中的为 iOS 设备配置每应用 VPN
身份验证 选择对最终用户进行身份验证的方法。按照相关提示上传标识证书,或者输入密码信息或为授权最终用户进行 VPN 访问而提供的共享机密密钥。
启用按需接入 VPN 按照本指南中配置 iOS 设备的按需接入 VPN 部分介绍的内容启用“按需接入 VPN”,以使用证书自动建立 VPN 连接。
代理 选择手动自动作为要为此 VPN 连接配置的代理类型。
服务器 输入代理服务器的 URL。
端口 输入用于与代理服务器通信的端口。
用户名 输入连接到代理服务器的用户名。
密码 输入身份验证的密码。
供应商密钥 选中此项以创建进入到供应商配置字典中的自定义密钥。
输入供应商提供的特定密钥。
输入每个密钥的 VPN 值。
排除本地网络 启用该选项可包含所有网络以路由 VPN 外部的网络流量。
包括所有网络 启用该选项可包含所有网络以通过 VPN 路由网络流量。

注:如果您选择的类型是 IKEv2,则您有资格输入 VPN 连接的最低和最高 TLS 版本。前提是在输入 TLS 版本前选中了启用 EAP 复选框。

保存配置文件后,最终用户可以访问允许的站点。

Forcepoint 内容筛选器 (iOS)

通过 Workspace ONE UEM 与 Forcepoint 的集成,您可以使用 Forcepoint 中的现有内容筛选类别并将其应用于在 UEM Console 中管理的设备。

按照您在 Forcepoint 中配置的网站允许或阻止对网站的访问,然后部署 VPN 负载,以强制设备遵守这些规则。系统将依据 Forcepoint 验证在 Workspace ONE UEM 中注册的目录用户,以根据特定的最终用户来确定要应用的内容筛选规则。

您可以通过两种方式之一,强制使用 Forcepoint 执行内容筛选。 

a. 如本主题中所述,使用 VPN 配置文件。强制使用 VPN 配置文件进行内容筛选可以应用于使用除 VMware Browser 之外的浏览器的所有 Web 流量。

b. 配置设置和策略页面,它可应用于使用除 VMware Browser 之外的浏览器的所有 Web 流量。有关配置设置和策略的说明,请参考**《VMware Browser 指南》**。

过程

  1. 选择负载后,选择 Websense (Forcepoint) 作为连接类型

  2. 配置连接信息,包括:

    设置 说明
    连接名称 输入要显示的连接名的名称。
    用户名 输入连接到代理服务器的用户名。
    密码 输入连接密码。
  3. 您也可以选择测试连接

  4. 配置供应商配置设置。

    设置 说明
    供应商密钥 创建自定义密钥,并添加到供应商配置字典中。
    输入供应商提供的特定密钥。
    输入每个密钥的 VPN 值。
  5. 选择保存并发布。基于目录的最终用户现在可以拥有基于 Forcepoint 类别允许的站点访问权限。

按需接入 VPN 配置文件 (iOS)

“按需接入 VPN”指的是为特定域自动建立 VPN 连接的过程。为了增加安全性和易用性,“按需接入 VPN”使用证书而非简单密码进行身份验证。

确保 Workspace ONE UEM 中的证书颁发机构和证书模板已正确配置以执行证书分发。将您选中的第三方 VPN 应用程序推送到设备或在您的企业应用目录加以推荐,以供最终用户使用。

  1. 相应地配置基础 VPN 配置文件。

  2. 用户身份验证下拉菜单中选择证书。导航到凭据负载。

    a. 从凭据来源下拉菜单中选择定义的证书颁发机构

    b. 从相应的下拉菜单中选择证书颁发机构证书模板

    c. 导航回到 VPN 负载。

  3. 如果您对 VPN配置文件应用证书身份验证,选择通过凭据负载指定的标识证书

  4. 选中启用按需接入 VPN 框。

  5. 当最终用户访问任何指定域名时,配置使用新的“按需”密钥 (iOS 7) 来启用 VPN 连接:

    设置 说明
    使用新的“按需”密钥(iOS 7 和更高版本) 选择此项以使用允许指定更细致的 VPN 规则的新语法。
    按需规则/操作 根据定义的条件选择一个操作来定义要应用到 VPN 连接的 VPN 行为。如果满足条件,则指定的操作将会发生。

    评估连接: 根据网络设置和每个连接的特性自动建立 VPN 隧道连接。每次 VPN 连接到网站时都会执行评估。

    连接:如果满足网络条件,则在下一次尝试连接到网络时自动建立 VPN 隧道连接。

    断开连接: 如果满足网络条件,自动停用 VPN 隧道连接,并且不按需重新连接。

    忽略: 如果满足网络条件,将保留现有 VPN 连接,但不按需重新连接。
    操作参数 为指定域配置操作参数,以便在域名解析失败(例如当 DNS 服务器指出其无法解析域)并通过重定向到其他服务器进行响应或无法响应(超时)时触发 VPN 连接尝试。

    如果选择评估连接,将显示以下选项:

    选择需要时连接/永不连接,然后输入其他信息:

    - 输入此评估所适用的域。

    URL 探测 – 输入要使用 GET 请求进行探测的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名,如果服务器无法访问或服务器无法通过 200 HTTP 状态代码响应,则在响应时建立 VPN 连接。

    DNS 服务器 – 输入要用来解析指定域的 DNS 服务器 IP 地址的阵列。这些服务器无需包含在设备的当前网络配置中。如果这些 DNS 服务器无法访问,则在响应时建立 VPN 连接。这些 DNS 服务器必须是内部 DNS 服务器或受信任的外部 DNS 服务器。(可选)
    参数的条件/值 接口匹配 – 选择与设备当前的网络适配器相匹配的连接类型。可用值包括任意Wifi以太网蜂窝网

    URL 探测 - 输入指定的 URL 以使条件得到满足。满足条件时,返回 200 HTTP 状态代码。此格式包含协议 (https)。

    SSID 匹配 - 输入设备当前的网络 ID。要满足条件,此 ID 必须与阵列中至少一个值匹配。- 根据需要使用 + 图标输入多个 SSID。

    DNS 域匹配 – 输入设备当前的网络搜索域。支持使用通配符 (*.example.com)。

    DNS 地址匹配 - 输入与设备当前 DNS 服务器 IP 地址相匹配的 DNS 地址。要满足条件,必须输入所有设备列出的 IP 地址。支持使用单个通配符进行匹配 (17.*)。
  6. 或者选择旧版按需接入 VPN

    设置 说明
    匹配域名或主机 按需操作

    需要时建立始终建立 - 只有当无法直接访问指定的页面时才启动 VPN 连接。

    从不建立 - 不为与指定域名相匹配的地址建立 VPN 连接。但是,如果 VPN 已处于活动状态,则可以使用。
  7. 根据需要使用 + 图标添加更多规则操作参数

  8. 选择一个代理服务器类型:

    设置 说明
    代理 选择要为此 VPN 连接配置的手动自动代理服务器类型。
    服务器 输入代理服务器的 URL。
    端口 输入用于与代理服务器通信的端口。
    用户名 输入连接到代理服务器的用户名。
    密码 输入身份验证的密码。
  9. 完成供应商配置。这些值对每个 VPN 提供商都是唯一的。

    设置 说明
    供应商密钥 选择此项将创建自定义密钥,以便将其添加到供应商的配置字典。
    输入供应商提供的特定密钥。
    输入每个密钥的 VPN 值。
  10. 单击保存并发布。配置文件安装到用户的设备上之后,只要用户导航到需要 VPN 连接的站点(如 SharePoint),VPN 连接提示就会自动显示。

每应用 VPN (iOS)

对于 iOS 7 和更高版本的设备,您可以强制选定的应用程序通过企业 VPN 进行连接。VPN 供应商必须支持该功能,同时您必须将应用发布为纳管应用程序。

  1. 相应地配置基础 VPN 配置文件。

  2. 选择每应用 VPN,为当前的 VPN 配置文件设置生成一个 VPN UUID。该 VPN UUID 是这个特定 VPN 配置的唯一标识符。

  3. 选择自动连接以显示 Safari 域名(即触发自动 VPN 连接的内部站点)的文本框。

  4. 选择一个提供商类型以确定如何传送流量(通过应用程序层或 IP 层)。

  5. 选择保存并发布

    如果保存对现有 VPN 配置文件的更新,则会更新当前使用配置文件的任何现有设备/应用程序。也会更新未使用任何 VPN UUID 的任何设备/应用程序以使用 VPN 配置文件。

配置公共应用以使用每应用配置文件

当您创建一个每应用隧道配置文件后,您可以将其分配给在应用程序配置屏幕的特定应用。这会在建立连接时告知应用程序使用已定义的 VPN 配置文件。

  1. 导航到资源 > 应用 > 本机

  2. 选择公共标签页。

  3. 选择添加应用程序以添加一款应用或编辑现有应用。

  4. 在“部署”标签页,选择使用 VPN然后选择您创建的配置文件。

  5. 选择保存并发布您做出的更改。

有关添加或编辑应用的更多信息,请参阅移动应用管理指南。

配置内部应用以使用每应用配置文件

当您创建一个每应用隧道配置文件后,您可以将其分配给在应用程序配置屏幕的特定应用。这会在建立连接时告知应用程序使用已定义的 VPN 配置文件。

  1. 导航到资源 > 应用 > 本机

  2. 选择内部标签页。

  3. 选择添加应用程序并添加一款应用。

  4. 选择保存并分配,移动到“分配”页面。

  5. 选择添加分配并选择高级部分的每应用 VPN 配置文件

  6. 保存并发布应用。

有关添加或编辑应用的详细信息,请参阅 VMware AirWatch 文档网站上的移动应用程序管理指南

电子邮件帐户 (iOS)

为 iOS 设备配置电子邮件配置文件,以配置设备上的电子邮件设置。

设置 说明
帐户描述 输入电子邮件帐户的简要描述。
帐户类型 使用下拉菜单选择 IMAP 或 POP 。
路径前缀 输入电子邮件账户根文件夹的名称(仅 IMAP)。
用户显示名称 输入最终用户的名称。
电子邮件地址 输入电子邮件帐户的地址。
禁止移动邮件 选中此项可阻止用户转发电子邮件或在第三方应用中打开电子邮件。
禁止近期地址同步 选中此项可限制用户将电子邮件联系人同步到其个人设备。
禁止在第三方应用中使用 选中此项可禁止用户将企业电子邮件移至其他电子邮件客户端。
禁止邮件投递 选中此项可禁止用户使用 Apple 的 Mail Drop 功能。
使用 S/MIME 选中此项可使用更多加密证书。
主机名 输入电子邮件服务器名称。
端口 输入分配给接收邮件流量的端口数。
用户名 输入电子邮件帐户的用户名。
身份验证类型 使用下拉菜单选择如何对电子邮件帐户持有者进行身份验证。
密码 输入验证最终用户身份所需的密码。
使用 SSL 选择此项为接收电子邮件流量启用安全套接层 (SSL)。
主机名 输入电子邮件服务器名称。
端口 输入分配给发送邮件流量的端口数。
用户名 输入电子邮件帐户的用户名。
身份验证类型 使用下拉菜单选择如何对电子邮件帐户持有者进行身份验证。
发送与接收密码相同 选中此项可自动填充“密码”文本框。
密码 输入验证最终用户身份所需的密码。
使用 SSL 选择此项可启用用于发送电子邮件流量的安全套接层。

适用于 iOS 设备的 Exchange ActiveSync (EAS) 邮件

为移动设备电子邮件同步专门设计的行业标准协议被称为 Exchange Active Sync (EAS)。通过 EAS 配置文件,您可以远程配置设备签入到您的邮件服务器,以便同步电子邮件、日历和联系人。

EAS 配置文件使用来自每位用户的信息,如用户名、电子邮件地址和密码等。如果您将 Workspace ONE UEM 与 Active Directory 服务集成,则此用户信息将自动为用户填充,还可以通过使用查阅值在 EAS 配置文件中指定。

为多个用户创建一个通用 EAS 配置文件

在创建可以自动允许设备从邮件服务器中提取数据的 EAS 配置文件之前,首先必须确保用户的用户账户记录中有相应的信息。对于目录用户或使用活动目录等目录凭据注册的用户,此类信息会在注册期间被自动填充。但对于基本用户,系统无法自动获知这些信息,所以您必须采用以下两种方法之一予以填充:

  • 您可以编辑每个用户的记录,并填充电子邮件地址电子邮件用户名文本框。

  • 您可以通过以下方法在注册过程中提示用户输入这些信息:导航到设备 > 设置 > 常规 > 注册,然后在可选提示选项卡下选中启用注册电子邮件提示复选框。

为本机邮件客户端配置 EAS 邮件配置文件

在 iOS 设备上为本机邮件客户端创建一个电子邮件配置文件。

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加。选择 Apple iOS

  2. 为配置文件配置常规设置。

  3. 选择 Exchange ActiveSync 负载。

  4. 邮件客户端选择本机邮件客户端。在账户名称文本框中填写此邮件账户的描述。在 Exchange ActiveSync 主机中填写您公司的 ActiveSync 服务器的外部 URL。

    ActiveSync 服务器可以是实施 ActiveSync 协议的任何邮件服务器,如 Lotus Notes Traveler、Novell Data Synchronizer 和 Microsoft Exchange。如果要实施安全电子邮件网关 (SEG) 部署,请使用 SEG URL 而非电子邮件服务器 URL。

  5. 选中使用 SSL 复选框为传入的电子邮件流量启用安全套接层。

  6. 选中 S/MIME 复选框以使用更多加密证书。在启用此选项之前,请确保您已在凭据配置文件设置下上传了必要的证书。

    a. 选择 S/MIME 证书,为电子邮件签名。

    b. 选择 S/MIME 加密证书,为电子邮件签名并加密。

    c. 选中每消息切换复选框,以允许最终用户选择使用原生 iOS 邮件客户端(iOS 8 及更高版本,仅限受监督设备)为哪些电子邮件签名并加密。

  7. 选中使用 OAuth 复选框以包括登录和令牌 URL。

    a. OAuth 登录 URL - 输入 OAuth 登录 URL。

    b. OAuth 令牌 URL - 输入 OAuth 令牌 URL。

  8. 使用查找值填写登录信息,包括域名、用户名和电子邮件地址。系统直接从用户账户记录中获取查阅值。若要使用 {EmailDomain}、{EmailUserName} 和 {EmailAddress} 查找值,请确保您的 Workspace ONE UEM 用户帐户已定义电子邮件地址和电子邮件用户名。

  9. 密码字段留空以便提示用户输入密码。

  10. 将证书添加到证书负载后,选择负载证书以定义证书,用于基于证书的身份验证。

  11. 根据需要配置以下设置和安全性可选设置:

    a. 要同步邮件的已过天数 - 下载已定义的邮件数量。请注意,设备下载邮件时,持续时间越长,数据消耗就会越大。

    b. 禁止移动邮件 - 不允许将邮件从 Exchange 邮箱移到设备上的其他邮箱。

    c. 禁止在第三方应用中使用 - 不允许其他应用使用 Exchange 邮箱发送邮件。

    d. 防止近期地址同步 - 禁止在 Exchange 中发送邮件时提供联系人建议。

    e. 禁用 Mail Drop - 停用 Apple 的 Mail Drop 功能。

    f. (iOS 13) 启用邮件 - 支持为 Exchange 帐户单独配置“邮件”应用。

    g. (iOS 13) 允许邮件切换 - 如果停用,将阻止用户开启或关闭“邮件”。

    h. (iOS 13) 启用通讯录 - 支持为 Exchange 帐户单独配置“通讯录”应用。

    i. (iOS 13) 允许通讯录切换 - 如果停用,将阻止用户开启或关闭“通讯录”。

    j.(iOS 13) 启用日历 – 支持为 Exchange 帐户单独配置“日历”应用。

    k.(iOS 13) 允许日历切换 - 如果停用,将阻止用户开启或关闭“日历”。

    l.启用便笺 – 支持为 Exchange 帐户单独配置“便笺”应用。

    m. (iOS 13) 允许便笺切换 - 如果停用,将阻止用户开启或关闭“便笺”。

    n. (iOS 13) 启用提醒 - 支持为 Exchange 帐户单独配置“提醒”应用

    o. (iOS 13) 允许提醒切换 - 如果停用,将阻止用户开启或关闭“提醒”。

  12. 分配一个默认音频通话应用,当您在电子邮件中选择电话号码时,本机 EAS 帐户将使用该应用拨打电话。

  13. 选择保存并发布,以将配置文件推送到可用设备。

通知 (iOS)

使用此配置文件以允许指定应用在设备锁屏时,在主屏上显示通知。

控制通知显示的时间和方式。此配置文件应用到 iOS 9.3 + 的受监督设备。

  1. 选择**选择应用。**随即会出现新窗口。

    设置 说明
    选择应用 选择您要配置的应用。
    允许通知 选择是否允许任何通知。
    在通知中心显示 选择是否允许在通知中心显示通知。
    在锁定屏幕显示 选择是否允许在锁定屏幕显示通知。
    允许声音 选择是否允许伴随通知发出响声。
    允许提示标记 选择是否允许在应用程序图标上显示提示标记。
    解锁之后的警告类型 选择解锁之后的通知类型:

    横幅 - 横幅显示在主屏幕上以警示用户。

    模式警告 - 跨主屏显示的窗口。用户必须与窗口进行交互后才能继续进行。
  2. 选择保存将负载推送到设备。

LDAP (iOS)

配置 LDAP 配置文件,以便允许最终用户访问并与企业 LDAPv3 目录信息集成。

设置 说明
帐户描述 输入 LDAP 帐户的简要描述。
帐户主机名 输入/查看 Active Directory 使用的服务器名称。
帐户用户名 输入 Active Directory 帐户的用户名。
帐户密码 输入 Active Directory 帐户的密码。
使用 SSL 选中此复选框以允许安全套接层使用。
搜索设置 输入从设备中执行的 Active Directory 搜索的设置。

CalDAV 或 CardDAV (iOS)

部署 CalDAV 或 CardDAV 配置文件,以允许最终用户分别同步企业日历项目和通讯录。

设置 说明
帐户描述 输入帐户的简要描述。
帐户主机名 输入/查看 CalDAV 使用的服务器的名称。
端口 输入分配用于与 CalDAV 服务器进行通信的端口号。
主体 URL 输入 CalDAV 服务器的 Web 位置。
帐户用户名 输入 Active Directory 帐户的用户名。
帐户密码 输入 Active Directory 帐户的密码。
使用 SSL 选择此项以启用安全套接层。

订阅的日历 (iOS)

通过配置此负载将使用 macOS 中的本机日历应用所进行的日历订阅推送到您的 iOS 设备。

配置日历设置,包括:

设置 说明
说明 输入订阅的日历的简要描述。
URL 输入要订阅的日历的 URL。
用户名 输入最终用户进行身份验证时使用的用户名。
密码 输入最终用户进行身份验证时使用的密码。
使用 SSL 使用 SSL 检查来发送所有流量。

网页剪辑 (iOS)

网页剪辑是您可以推送到设备并在设备主屏幕上或您的应用目录中显示为图标的 Web 书签。

配置网页剪辑设置,包括:

设置 说明
标签 输入将在最终用户设备上的 Web Clip 图标下方显示的文字。例如:“AirWatch 自助服务门户”。
URL 输入该 Web Clip 将要显示的 URL。Workspace ONE UEM 页面的部分示例如下:

对于 SSP,请使用:https://<Airwatch Environment>/mydevice/

对于应用目录,请使用:https://<Environment>/Catalog/ViewCatalog/{SecureDeviceUdid}/{DevicePlatform}
对于图书目录,请使用:https://<Environment>/Catalog/BookCatalog?uid={DeviceUUID}

可移除 允许设备用户使用长按键功能来从他们的设备上删除网页剪辑。
图标 选择此项以作为 Web Clip 图标上传。上传该应用程序的自定义图标(.gif、.jpg 或 .png 格式)。为达到最佳效果,提供一个长宽不大于 400 像素、解压后小于 1 MB 大小的方形图像。必要时该图像会被自动缩放和裁剪到合适尺寸,并转换为 png 格式。配备 Retina 显示屏设备的“网页剪辑”图标为 104 x 104 像素,所有其他设备为 57 x 57 像素。
原生图标 选取此选项以显示没有任何视觉效果的图标。
全屏 选取此选项以全屏模式运行网页。

SCEP/凭证 (iOS)

即使您使用强密码和其他限制来保护企业电子邮件、Wi-Fi 和 VPN,您的基础结构除员工失误带来的风险外,还可能会很容易受到暴力破解和字典攻击。为了提高安全性,您可以实施数字证书来保护企业资产。

要分配证书,您必须首先定义一个证书颁发机构。然后,配置凭据负载以及 Exchange ActiveSync (EAS)Wi-FiVPN 负载。其中每个负载中都含有用于关联凭证负载中定义的证书颁发机构的设置。

要将证书推送到设备,您必须配置一个凭据SCEP 负载作为您为 EAS、Wi-Fi 和 VPN 设置创建的配置文件的一部分。按照以下说明创建启用证书的配置文件:

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加,然后从平台列表中选择 iOS

  2. 为配置文件配置常规设置。

  3. 选择要配置的 EASWi-FiVPN 负载。根据您选定的负载填写必要信息。

  4. 选择凭据SCEP负载。

  5. 凭据来源菜单中选择一个选项:

    a. 选择上载证书,然后输入证书名称

    b. 选择定义的证书颁发机构,然后选择相应的证书颁发机构证书模板

    c. 选择用户证书以及 S/MIME 证书的预计用途。

    d. 选择派生的凭据,然后根据证书的使用方法选择相应的密钥用法。“密钥用法”选项包括身份验证签名加密

  6. 导航回之前的 EASWi-FiVPN 负载。

  7. 在负载中指定标识证书:

    a. EAS - 在“登录信息”下选择负载证书

    b. Wi-Fi - 选择兼容的安全类型(WEP 企业、WPA/WPA2 企业或任何(企业)),然后在“身份验证”下选择标识证书

    c. VPN - 选择兼容的连接类型(例如:CISCO AnyConnect、F5 SSL),然后从“用户身份验证”下拉菜单中选择证书。选择标识证书

  8. 导航返回到凭据(或 SCEP)负载。

  9. 配置完任意剩余设置后,选择保存并发布

全局 HTTP 代理 (iOS)

配置全局 HTTP 代理,以便通过指定的代理服务器定向来自受监督的 iOS 7 及更高版本设备的所有 HTTP 流量。例如:一所学校可以通过设置全局代理来确保所有浏览的网络流量都必须通过其 Web 内容筛选器进行传送。

配置代理设置,包括:

设置 说明
代理服务器类型 为代理配置选择自动手动
代理服务器 输入代理服务器的 URL。此文本框会在代理类型设置为手动时显示。
代理服务器端口 输入用于与代理服务器通信的端口。此文本框会在代理类型设置为手动时显示。
代理服务器用户名/密码 如果该代理要求使用凭据,您可以用查找值来定义身份验证的方法。此文本框会在代理类型设置为手动时显示。
允许绕过代理服务器访问俘获型网络 选中此复选框将允许设备绕过代理服务器设置访问已知网络。此文本框会在代理类型设置为手动时显示。
代理 PAC 文件 URL 输入代理 PAC 文件的 URL 以自动应用其设置。此文本框会在代理类型设置为自动时显示。
如果无法连接 PAC,则允许直接连接 选择此选项将在无法访问 PAC 文件时允许 iOS 设备绕过代理服务器。此文本框会在代理类型设置为自动时显示。
允许绕过代理服务器访问俘获型网络 选中此复选框将允许设备绕过代理服务器设置访问已知网络。此文本框会在代理类型设置为自动时显示。

单应用模式 (iOS)

使用单应用模式来提供一种便于预置设备的方式,使设备只能访问所选定的一款单一应用。单应用模式将停用主屏幕按钮,并在用户尝试手动重新启动时强制设备直接引导至指定的应用。

此功能确保设备不会用于除所需应用程序以外的任何目的,而且未经获准根本无法访问其他应用、设备设置或 Internet 浏览器。此功能对餐馆和零售商店很有用。在教育领域,学生可以使用访问权被锁定到单个游戏、电子图书或练习题的设备。

在“受监督”模式下配置的 iOS 7 或更高版本的设备。(其他选项和自治单应用模式必须使用 iOS 7 和更高版本。)

配置单应用模式设置,包括:

设置 说明
筛选器类型 选择一个筛选器:将设备锁定在单一应用内自治单应用模式下允许的应用

将设备锁定在单一应用内 - 将设备一直锁定在单个公共、内部、已购或本机应用程序内,直到带有此负载的配置文件被移除为止。将停用主屏幕按钮,而且设备始终会从睡眠状态或重新引导返回到指定的应用程序。

自治单应用模式下允许的应用 - 使允许的应用程序可以基于事件触发单应用模式,此类事件控制何时在设备上开启和关闭单应用模式。此操作由应用开发者决定在应用内执行。
应用程序捆绑 ID 输入捆绑 ID或从下拉菜单选择。捆绑 ID 在应用程序被上传到 UEM Console 之后才会显示在下拉菜单中。例如:com.air-watch.secure.browser。
可选设置 为 iOS 7 及更高版本的受监督设备选择可选设置。

保存配置文件后,通过此配置文件置备的每台设备都将进入单应用模式。

重新启动在单应用模式下运行的设备

硬重置过程用于重新启动在单应用模式下运行的设备。

  1. 同时按住 Home 键和睡眠/唤醒 (Sleep/Wake) 键。

  2. 继续按住这两个键,直到设备关机并开始重启。

  3. 在看到银色的 Apple 徽标后即可把手放开。设备从加载 Apple 徽标到进入主屏幕可能需要一段时间。

在 iOS 设备上退出单应用模式

启用单应用模式时最终用户无法退出应用。Workspace ONE UEM 提供两个退出单应用模式的选项,具体取决于您启用的单应用模式。

如果您需要将指定的应用更新到新版本或新发行版,可以暂时停用单应用模式。请按照以下说明停用单应用模式,安装新的应用版本,然后再次启用单应用模式。

过程

  1. 导航到资源 > 配置文件和基准 > 配置文件。在单应用模式配置文件对应的行中,选择查看设备图标。
  2. 为您想要从中移除设置的设备选择移除配置文件
  3. 将应用程序更新到所需版本。
  4. 按照配置单应用模式下的步骤重新安装配置文件

允许设备管理员从设备中退出单应用模式

可以允许管理员使用设备上的密码退出单应用模式。该选项仅在您启用自治单应用模式作为单应用模式配置文件的筛选器类型时可用。

过程

  1. 导航到资源 > 配置文件和基准> 配置文件> 添加。选择 Apple iOS
  2. 为配置文件配置常规设置。
  3. 选择单应用模式负载。
  4. 如果选择了自治单应用模式下准许的应用,请在准许的应用程序下输入支持自治单应用模式的应用程序的包 ID。
  5. 选择保存并发布将此配置文件推送到分配的设备。
  6. 导航到资源 > 应用 > 本机 > 公共以选择公共应用,或者导航到资源 > 应用 > 本机 > 己购以选择通过 VPP 管理的应用。
  7. 找到支持自治单应用模式的应用程序,然后选择“编辑分配”图标。此时将显示“编辑应用程序”窗口。
  8. 选择“分配”选项卡,然后展开策略部分。
  9. 发送应用程序配置选择启用,输入 AdminPasscode 作为配置键,将值类型设置为字符串
  10. 输入管理员退出单应用模式时使用的密码作为配置值。该值可以是数字或字母数字。选择添加
  11. 选择保存并发布以推送应用程序配置。

Web 内容筛选器 (iOS)

您可以通过配置应用于设备的 Web 内容筛选器负载,允许或禁止最终用户使用网页浏览器访问特定 URL。所有 URL 必须以 http:// 或 https:// 开头。必要时,您必须分别为同一 URL 的 HTTP 和 HTTPS 版本创建单独的条目。Web 内容筛选器负载要求使用 iOS 7+ 受监督设备。

选择筛选器类型下拉菜单:

  1. 内置:允许访问网站

  2. 内置:拒绝访问网站

  3. 插件

内置:允许访问网站

配置 URL 允许列表来允许最终用户仅访问列表中的特定网站,并阻止他们访问任何其他网站。

  1. 筛选类型下拉菜单中****在筛选器类型下拉菜单允许网站来选择可被访问的插件。

  2. 选择添加并配置允许访问的网站列表:

    设置 说明
    允许的 URL 允许的网站的 URL。
    标题 书签标题。
    书签路径 输入在 Safari 中加入书签时使用的文件夹。

内置:拒绝访问网站

配置 URL 拒绝列表来禁止用户访问特定网站。但是,其他所有的网站将对最终用户开放。同时,不良网站将自动被过滤,除非允许有例外。

筛选类型下拉菜单中****选择**内置:**拒绝网站,然后配置拒绝的网站:

设置 说明
被拒绝的 URL 输入拒绝的 URL,并使用换行符、空格或逗号来分隔。
自动筛选不适当的网站。 选择以筛选成人网站。
书签路径 输入在 Safari 中加入书签时使用的文件夹路径。
准许的 URL 输入可允许作为自动筛选例外的任何网站。

插件

此负载允许您将第三方 Web 内容筛选插件与 Safari 集成。

如果要明确与 Forcepoint 或 Blue Coat 内容筛选器集成,请参阅本指南中的相应章节。

  1. 筛选类型下拉菜单选择插件来选择可被访问的插件。您必须启用 Webkit 或套接字流量,负载才能起作用。

    设置 说明
    筛选器名称 输入将显示在设备上的筛选器名称。
    标识符 输入提供筛选服务的插件标识符的捆绑 ID。
    服务地址 输入服务的主机名、IP 地址或 URL。
    组织 选择传递到第三方插件的组织字符串。
    筛选 WebKit 流量 选中此项可选择是否筛选 Webkit 流量。
    筛选套接字流量 选中此项可选择是否筛选套接字流量。
  2. 配置身份验证信息,包括:

    设置 说明
    用户名 使用查找值直接从用户账户记录中提取。确保您的 Workspace ONE UEM 用户帐户已定义电子邮件地址和电子邮件用户名。
    密码 输入此帐户的密码。
    负载证书 选择身份验证证书。
  3. 添加自定义数据,其中包括第三方筛选服务所需的密钥。这些信息将写入供应商配置字典中。

  4. 选择保存并发布

受管域 (iOS)

受管域是 Workspace ONE UEM 增强 Apple 的 iOS 8 设备上“打开方式”安全功能的另一种方式。在纳管的域中使用“打开方式”功能,您可以通过控制哪些应用能够使用 Safari 打开从企业域中下载的文档来保护企业数据。

指定 URL 或子域以管理如何从浏览器打开文档、附件和下载内容。此外,在纳管的电子邮件域中,发送到纳管域的电子邮件中可能会显示彩色编码警告指示器。这些工具可帮助最终用户快速确定哪些文档可以通过企业应用打开、哪些文件是个人文档并可在个人应用程序中打开。

设置 说明
纳管的电子邮件域 输入域以指定哪些电子邮件地址属于企业域。例如:exchange.acme.com。电子邮件应用会将发送到未在此处指定的地址的电子邮件突出显示,指明该地址不属于该企业域。
纳管的 Web 域 输入域以选择可视为纳管的特定 URL 或子域。例如:sharepoint.acme.com。来自这些域的任何文档或附件都视为纳管内容。
Safari 密码域 输入您为 Safari 保存的域指定的密码。此选项仅适用于受监督设备。

网络使用情况规则 (iOS)

配置网络使用情况规则来根据网络连接类型或当设备在漫游时,控制哪些应用程序和 SIM 卡可以访问数据。当员工使用工作设备时,该功能允许管理员来帮助管理数据流量费用。使用精确度控制来将不同规则按需要应用到不同的应用和 SIM 上。

  1. 在“应用使用情况规则”下,输入任何公共、内部或已购买应用程序的应用程序标识符

  2. 启用允许手机网络数据漫游数据使用情况。两个选项都是默认选择的。

  3. 在“SIM 使用情况规则”下,提供 SIM 卡(物理和 eSIM 卡)的 ICCID,并指定 Wi-Fi 助理功能的类型:默认无限制的手机网络数据

  4. 选择保存并发布

macOS 服务器帐户 (iOS)

从 UEM Console 直接添加一个 macOS 服务器账户来帮助管理您的 MDM 框架。用于提供凭据,以允许最终用户在 macOS 上访问文件共享。

设置 说明
帐户描述 输入帐户的显示名。
Hostname 输入服务器地址。
用户名 输入用户的登录名。
密码 输入用户的密码。
端口 当联系服务器时,指定要使用的端口号。

单点登录 (iOS)

启用企业应用单点登录以允许无缝访问,而无需对每款应用进行身份验证。推送此配置文件,通过 Kerberos 身份验证对最终用户进行身份验证,而不是将密码存储在设备上。有关单点登录设置的详细信息,请参考**《VMware Workspace ONE UEM 移动应用程序管理指南》**。

  1. 输入连接信息

    设置 说明
    帐户名称 输入在设备上显示的名称。
    Kerberos 主体名称 输入 Kerberos 主体名称。
    领域 输入 Kerberos 域领域。此参数必须完全大写。
    续订证书 在 iOS 8+ 设备中,当用户的单点登录会话到期时,选择使用此证书自动对用户重新进行身份验证,而不需要进行任何用户交互。配置续订证书(例如:.pfx)可通过使用凭据或 SCEP 负载来实现。
  2. 输入要使用此帐户通过 HTTP 进行 Kerberos 身份验证而必须匹配的 URL 前缀。例如:http://sharepoint.acme.com/。如果此处留空,该帐户则可以匹配所有 HTTP 和 HTTPS URL。

  3. 输入应用程序捆绑 ID 或从下拉菜单选择。捆绑 ID 在应用程序被上传到 UEM Console 之后才会显示在下拉菜单中。例如:com.air-watch.secure.browser。指定的应用程序必须支持 Kerberos 身份验证。

  4. 选择保存并发布。

以 Web 浏览器为例,当最终用户导航到负载内指定的网站时,他们将被提示输入域账户的密码。之后,他们无需再输入凭据来访问负载内指定的任何网站。

注:

  • 使用 Kerberos 身份验证时,设备必须连接到企业网络(使用企业 Wi-Fi 或 VPN)。

  • DNS 服务器需要有 Kerberos 服务的记录(KDC 服务器)。

  • 移动设备上和网站上的应用程序都必须支持 Kerberos/协商身份验证。

SSO 扩展 (iOS)

要将设备上的应用程序配置为使用 Kerberos 扩展执行单点登录 (SSO),请配置 SSO 扩展配置文件。使用 SSO 扩展配置文件时,用户无需提供其用户名和密码即可访问特定 URL。此配置文件仅适用于 iOS 13 及更高版本的设备。

设置 说明
扩展类型 选择应用程序的 SSO 扩展类型。如果选择了“通用”,请在扩展标识符字段中提供为指定 URL 执行 SSO 的应用程序扩展的包 ID。如果选择了 Kerberos,请提供 Active Directory 领域和域。
类型 选择“凭证”或“重定向”作为扩展类型。凭证扩展用于质询/响应身份验证。重定向扩展可以使用 OpenID Connect、OAuth 和 SAML 身份验证。
团队标识符 输入为指定 URL 执行 SSO 的应用程序扩展的团队标识符。
URL 输入应用程序扩展在其中执行 SSO 的身份提供程序的一个或多个 URL 前缀。
其他设置 在添加到 ExtensionData 节点的 XML 代码中输入配置文件的其他设置。
Active Directory 领域 仅当选择了 Kerberos 作为扩展类型时,才会显示此选项。输入 Kerberos 领域的名称。
输入可以通过应用程序扩展进行身份验证的主机名或域名。
使用站点自动发现 启用该选项以使 Kerberos 扩展自动使用 LDAP 和 DNS 来确定 Active Directory 站点名称。
允许自动登录 启用该选项以允许将密码保存到密钥链。
需要用户触控 ID 或密码 启用该选项以允许用户提供触控 ID、面容 ID 或密码来访问密钥链条目。
证书 选择要向下推送到位于同一 MDM 配置文件中的设备的证书。
允许的包 ID 输入应用程序包 ID 列表,以允许访问 Kerberos 票证授予票证 (TGT)。

AirPlay (iOS)

您可以通过配置 AirPlay 负载来根据设备 ID 允许一组特定设备接收广播特权。另外,如果接入 Apple TV 的显示器有密码保护,您可以预先输入密码以创建成功连接,而无需向未授权方泄露 PIN 码。

即使您没有使用 Workspace ONE UEM 注册您的 Apple TV,此负载也有效。有关 tvOS 功能的更多信息,请参阅 tvOS 管理指南。

**注:**AirPlay 允许列表当前仅与受监督的 iOS 7 和 iOS 8 设备有关。

  1. 为 iOS 7 设备配置密码设置,并为 iOS 7 及更高版本的受监督设备配置允许列表

    设置 说明
    设备名称 输入 AirPlay 目标的设备名称。
    密码 输入 AirPlay 目标位置的密码。选择添加以包括其他允许的设备。
    显示名称 输入目标位置显示的名称。名称必须与 tvOS 设备名称匹配,并且区分大小写。可以在 tvOS 设备设置中找到该设备名称。(iOS 7 + 受监督)
    设备 ID 输入目标显示器的设备 ID(包括 MAC 地址或以太网地址,格式为 XX:XX:XX:XX:XX:XX)。选择添加以包括其他允许的设备。(iOS 7 + 受监督)
  2. 鉴于已为 iOS 7 及更高版本的受监督设备建立了 AirPlay 目标允许列表,请使用设备控制面板手动激活或停用 AirPlay:

    a. 导航到设备 > 列表视图,找到要使用 AirPlay 的设备,然后选择该设备的友好名称。

    b. 选择支持,然后从支持选项列表中选择启动 AirPlay

    c. 选择在 AirPlay 配置文件中创建的目标,根据需要输入密码,然后选择扫描时间。或者,从目标列表中选择自定义,为此特定设备创建一个自定义目标。

    d. 选择保存并接受启用 AirPlay 的提示。

  3. 要手动在设备上停用 AirPlay,请返回到设备的控制面板,选择支持,然后选择停止 AirPlay

AirPrint (iOS)

为 Apple 设备配置 AirPrint 负载,让计算机能够自动检测到 AirPrint 打印机,即便设备处于与 AirPrint 打印机不同的子网。

设置 说明
IP 地址 输入 IP 地址 (XXX.XXX.XXX.XXX)。
资源路径 输入与 AirPrint 打印机相关联的资源路径 (ipp/printer 或 printers/Canon_MG5300_series)。要查找打印机的资源路径和 IP 地址信息,请参阅检索 AirPrint 打印机信息部分。

检索 AirPrint 打印机信息

要了解 AirPrint 打印机的信息(例如 IP 地址和资源路径),请执行本节中所述的步骤。

  1. 将 iOS 设备连接到 AirPrint 打印机所在的本地网络(子网)。

  2. 打开终端窗口(位于 /Applications/Utilities/ 中),输入以下命令,然后按回车键。

    ippfind
    

    **注:**记下通过命令获取的打印机信息。第一部分是您的打印机的名称,最后一部分是资源路径。

    ipp://myprinter.local.:XXX/ipp/portX
    
  3. 要获取 IP 地址,请输入以下命令和打印机的名称。

    ping myprinter.local.
    

    **注:**记下通过命令获取的 IP 地址信息。

    PING myprinter.local (XX.XX.XX.XX)
    
  4. 在 AirPrint 负载设置中输入从步骤 2 和 3 获取的 IP 地址 (XX.XX.XX.XX) 和资源路径 (/ipp/portX)。

蜂窝网络 (iOS)

配置蜂窝网络负载,用于在设备上配置蜂窝网络设置,并确定您的设备访问运营商的蜂窝数据网络的方式。

请推送此负载以使用与默认接入点不同的 APN。如果您的 APN 设置不正确,您可能会无法使用功能,请找到您的运营商提供的正确 APN 设置。有关蜂窝网设置的更多信息,请参见 Apple 知识库文章

设置 说明
访问点名称 (APN) 输入运营商提供的 APN(例如:come.moto.cellular)。
身份验证类型 选择身份验证协议。
接入点用户名 输入用于身份验证的用户名。
接入点密码 输入用于身份验证的 APN 密码。
接入点名称 输入运营商提供的 APN(例如:come.moto.cellular)。
接入点用户名 输入用于身份验证的用户名。
身份验证类型 选择身份验证协议。
密码 输入用于身份验证的 APN 密码。
代理服务器 输入代理服务器详细信息。
代理服务器端口 输入所有流量的代理服务器端口。选择添加继续完成此流程。

主屏布局(iOS 受监督设备)

使用此负载来自定义主屏。启用此功能允许您以满足企业需求的方式将应用程序分组。

当负载被推送到设备时,主屏幕会锁住,因此用户不能更改您的自定义配置。此负载应用到 iOS 9.3 + 的受监督设备。

设置 说明
Dock 选择您想要显示在 Dock 上的应用程序。
页面 选择您要添加到设备上的应用程序。还可以为更多应用程序组添加更多页面。
添加文件夹 在选定的页面上,配置一个新文件夹以添加到设备屏幕。- 使用灰色栏中的铅笔图标可创建或编辑该文件夹的名称。

选择添加页面以根据需要向设备添加更多页面,然后选择保存并发布将此配置文件推送到设备。

锁屏消息 (iOS)

利用可能有助于您检索丢失设备的信息自定义最终用户设备的锁屏消息。

设置 说明
“拾到请归还至”消息 显示应将找到的设备归还至的名称或组织。此字段支持查找值。
资产标签信息 在设备锁定屏幕上显示设备资产标记信息。此资产标记可能会复制或者替换附加到设备的物理资产标记。此字段支持查找值。

Google 帐户 (iOS)

允许最终用户在 iOS 设备本机邮件应用程序中使用他们的 Google 账户。从 UEM Console 中直接添加 Google 帐户。

设置 说明
帐户名称 Google 账户的完整用户名。这是在您发送电子邮件时显示的用户名。
帐户描述 Google 帐户的描述,显示在“邮件”和“设置”中。
电子邮件地址 帐户的完整 Google 电子邮件地址。
默认音频通话应用 搜索并选择作为从已配置 Google 帐户拨打任何电话的默认应用的应用。

自定义设置 (iOS)

在 Apple 发布 Workspace ONE UEM 当前无法通过其本机负载支持的新 iOS 功能时,可以使用自定义设置负载。如果您希望立即控制这些设置而不想等待 Workspace ONE UEM 的最新发行版发布,可以使用自定义设置负载和 XML 代码来手动启用或停用某些设置。

您可能需要复制配置文件并将其保存在“测试”组织组下,以免在您准备进行保存和发布之前影响用户。
请勿将配置文件分配给任何智能组,因为它可能会在查看 XML 时提供加密值。

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > iOS

  2. 为配置文件配置常规设置。

  3. 配置适当的负载(例如“限制”或“密码”)。

  4. 选择保存并发布

    **注:**确保未将步骤 1–4 中创建的配置文件分配给任何智能组。否则,在查看 xml 时,可能会对数据进行加密。

  5. 导航回“配置文件”页面,然后使用配置文件名称旁边的单选按钮选择一个配置文件。菜单选项将显示在列表上方。

  6. 从菜单选项中选择 </> XML。将会显示查看配置文件 XML 窗口。

  7. 查找并复制以先前配置的 <dict> ... </dict> 开头的文本部分,例如“限制”或“密码”。此文本包含标识其用途(例如限制)的配置类型。您必须复制 PayloadContent 内的单个字典内容,如示例所示。

    <plist version="1.0">
       <dict>
       <key>PayloadContent</key>
       <array>
         <dict>
           <key>safariAcceptCookies</key>
           <real>2</real>
           <key>safariAllowAutoFill</key>
           <true />
           <key>PayloadDisplayName</key>
           <string>Restrictions</string>
           <key>PayloadDescription</key>
           <string>RestrictionSettings</string>
           <key>PayloadIdentifier</key>
           <string>745714ad-e006-463d-8bc1-495fc99809d5.Restrictions</string>
           <key>PayloadOrganization</key>
           <string></string>
           <key>PayloadType</key>
           <string>com.apple.applicationaccess</string>
           <key>PayloadUUID</key>
           <string>9dd56416-dc94-4904-b60a-5518ae05ccde</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
         </dict>
       </array>
       <key>PayloadDescription</key>
       <string></string>
       <key>PayloadDisplayName</key>
       <string>Block Camera/V_1</string>
       <key>PayloadIdentifier</key>
       <string>745714ad-e006-463d-8bc1-495fc99809d5</string>
       <key>PayloadOrganization</key>
       <string></string>
       <key>PayloadRemovalDisallowed</key>
       <false />
       <key>PayloadType</key>
       <string>Configuration</string>
       <key>PayloadUUID</key>
       <string>86a02489-58ff-44ff-8cd0-faad7942f64a</string>
       <key>PayloadVersion</key>
       <integer>1</integer>
     </dict>
    </plist>
    

    有关 XML 代码的更多示例和信息,请参阅此处的知识库文章。

  8. 如果在 XML 窗口中的 dict 标记之间看到加密文本,您可以通过修改配置文件页面中的设置来生成解密的文本。为此,请执行以下操作:

    a. 导航到组与设置 > 所有设置 > 设备 > 用户 > Apple > 配置文件

    b. 替代自定义设置选项。

    c. 停用“加密配置文件”选项,然后保存。

  9. 导航返回自定义设置配置文件并粘贴您在文本框复制的 XML。粘贴的 XML 代码应包含从 <dict> 到 </dict> 的完整代码块。

  10. 选择基本负载部分来删除您配置的原始负载,例如:选择“限制”、“密码”,然后选择减号 [-] 按钮。您现在可以通过添加自定义 XML 代码来增强配置文件,从而增加新功能。

  11. 选择保存并发布

check-circle-line exclamation-circle-line close-line
Scroll to top icon