XenMobile Server

限制设备策略

限制设备策略允许或限制用户设备上的某些特性或功能,例如相机。您还可以设置安全限制、对媒体内容的限制以及对用户能够和不能安装的应用程序类型的限制。大多数限制设置默认为允许。主要的例外情况是 iOS 安全 - 强制功能和所有 Windows Tablet 功能,其默认值为限制

对于 Windows 10 RS2 Phone:用于禁用 Internet Explorer 的自定义 XML 策略或限制策略部署到 Phone 后,浏览器将保持已启用。要解决此问题,请重新启动 Phone。此问题属于第三方问题。

提示:

如果您为任何选项选择,则意味着用户可以执行该操作或使用该功能。例如:

相机。如果设置为,用户将可以在其设备上使用相机。如果选择,用户将无法使用其设备上的相机。

屏幕截图。如果设置为,则用户无法在其设备上拍摄屏幕截图。如果设置为,则用户无法在其设备上拍摄屏幕截图。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕

某些 iOS 限制策略设置仅适用于特定版本的 iOS,如此处和 XenMobile 控制台限制策略页面中所述。

当设备在用户注册模式、未受监督(完全 MDM)模式或受监督模式下注册时,iOS 限制策略设置适用。下表显示了适用于 iOS 13 及更高版本的每个限制策略设置的注册模式。

如表中所示,自 iOS 13 起,以前在未受监督和监督模式下可用的某些设置仅在监督模式下可用。以下规则适用:

  • 如果受监督的 iOS 13+ 设备在 XenMobile 中注册,这些设置将应用到该设备。
  • 如果未受监督的 iOS 13+ 设备在 XenMobile 中注册,这些设置将不应用到该设备。
  • 如果 iOS 12(或更低版本)的设备已在 XenMobile 中注册,然后升级到 iOS 13,则不会发生任何变化。这些设置与升级之前一样应用到设备。

有关将 iOS 设备置于受监督模式的信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

设置 用户注册 不受监督 受监督
允许硬件控制      
相机
FaceTime 否(iOS 13 中的新增功能)
屏幕截图
允许“课堂”应用程序远程观察学生的屏幕
允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示
照片流
共享照片流
语音拨号
Siri
设备锁定时允许
Siri 猥亵语言过滤器
安装应用程序 否(iOS 13 中的新增功能)
替代应用程序市场
允许在漫游时执行全局后台获取
允许使用应用程序      
iTunes Store 否(iOS 13 中的新增功能)
应用内购买
所有购买均需使用 iTunes 密码
Safari 否(iOS 13 中的新增功能)
自动填充 否(iOS 13 中的新增功能)
强制显示欺诈警告
启用 JavaScript
阻止弹出窗口
接受 Cookie
网络 - 允许执行 iCloud 操作      
iCloud 文档和数据 否(iOS 13 中的新增功能)
iCloud 备份
iCloud 照片钥匙链
iCloud 照片库
安全 - 强制      
加密备份
有限广告跟踪
首次 AirPlay 配对时输入通行码
需要配对的 Apple Watch 才能使用腕部监测
使用 AirDrop 共享托管文档
安全 - 允许      
接受不可信 SSL 证书
自动更新证书信任设置
在非托管应用程序中使用托管应用程序的文档
非托管应用程序读取托管联系人
托管应用程序写入非托管联系人
在托管应用程序中使用非托管应用程序的文档
诊断结果提交到 Apple
通过 Touch ID 解锁设备
自动解锁
锁定时接收 Passbook 通知
提交
托管应用程序的 iCloud 同步
企业书籍备份
企业书籍的笔记和重点同步
Spotlight 中的 Internet 结果
企业应用程序信任
允许 Apple 个性化广告
仅监管设置 - 允许      
擦除所有内容和设置
配置限制
播客
安装配置文件
修改指纹
从设备安装应用程序
键盘快捷方式
已配对 Apple Watch
修改通行码
修改设备名称
修改壁纸
自动下载应用程序
AirDrop
iMessage
Siri 用户生成的内容
iBooks
删除应用程序
游戏中心 否(iOS 13 中的新增功能)
添加好友
多人游戏 否(iOS 13 中的新增功能)
修改帐户设置
修改应用程序手机网络数据设置
修改应用程序手机网络数据设置
修改“查找我的好友”设置
与非 Configurator 主机配对
预测键盘
键盘自动更正
键盘拼写检查
定义查找
单应用程序捆绑 ID      
新闻
Apple 音乐服务
iTunes 电台
通知修改
受限应用程序使用
诊断提交修改
蓝牙修改
允许听写
仅加入通过 Wi-Fi 策略安装的 Wi-Fi 网络
允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示
允许“课堂”应用程序锁定到应用程序以及锁定设备而不提示
自动加入“课堂”应用程序课程而不提示
允许 AirPrint
允许在钥匙串中存储 AirPrint 凭据
允许使用 iBeacon 发现 AirPrint 打印机
仅允许通过 AirPrint 打印到证书受信任的目标打印机
添加 VPN 配置
修改手机网络套餐设置
删除系统应用程序
设置新的附近的设备
允许 USB 受限模式
强制执行延迟的软件更新
强制执行的软件更新延迟
强制课堂申请离开课程的权限
密码自动填充
密码邻近请求
密码共享
强制自动填写日期和时间
允许未配对的设备引导至恢复模式
安装快速安全响应
删除快速安全响应
允许邮件隐私保护
NFC
允许应用程序剪辑
安全 - 在锁屏界面中显示      
控制中心
通知
“今天”视图
媒体内容 - 允许      
成人音乐、博客及 iTunes U 资料 否(iOS 13 中的新增功能)
iBooks 中暴露的性内容
评级地区
电影
电视节目
应用程序
  • 允许硬件控制
    • 相机: 允许用户在其设备上使用相机。
      • FaceTime: 允许用户在其设备上使用 FaceTime。适用于受监督的 iOS 设备。
    • 屏幕截图: 允许用户在其设备上截取屏幕截图。
      • 允许“课堂”应用程序远程观察学生的屏幕: 如果未选中此限制,教师将无法使用“课堂”应用程序远程观察学生的屏幕。默认设置为选中,教师可以使用“课堂”应用程序观察学生的屏幕。允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示的设置确定学生是否接收向教师授予权限的提示。适用于受监督的 iOS 设备。
      • 允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示: 如果选中此限制,教师可以在学生的设备上执行 AirPlay 和查看屏幕操作,而不提示授予权限。默认设置为未选中。适用于受监督的 iOS 设备。
    • 照片流: 允许用户使用 MyPhotoStream 通过 iCloud 与其所有 iOS 设备共享照片。
    • 共享照片流: 允许用户使用 iCloud Photo Sharing 与同事、朋友和家人共享照片。
    • 语音拨号: 在用户设备上启用拨号。
    • Siri: 允许用户使用 Siri。
      • 设备锁定时允许: 允许用户在其设备锁定时使用 Siri。
      • Siri 猥亵语言过滤: 启用 Siri 猥亵语言过滤。默认为限制此功能,也就是说不会进行猥亵语言过滤。

        有关 Siri 和安全性的详细信息,请参阅 Siri 和听写策略

    • 安装应用程序: 允许用户安装应用程序。适用于受监督的 iOS 设备。
    • 替代应用程序市场: 防止从 Web 安装替代市场应用程序,并防止任何已安装的替代市场应用程序安装应用程序。此功能在 iOS 17.4 及更高版本中提供。默认值为。适用于受监督的 iOS 设备。
    • 允许在漫游时执行全局后台获取: 允许设备在漫游时自动向 iCloud 同步邮件帐户。设置为时,在 iOS 手机漫游时将禁用全局后台获取活动。默认值为
  • 允许使用应用程序
    • iTunes Store: 允许用户访问 iTunes Store。适用于受监督的 iOS 设备。
    • 应用程序内购买: 允许用户进行应用程序内购买。
      • 所有购买均需使用 iTunes 密码: 需要密码才能进行应用程序内购买。默认为限制此功能,也就是说进行应用程序内购买无需密码。
    • Safari: 允许用户访问 Safari。适用于受监督的 iOS 设备。
      • 自动填充: 允许用户在 Safari 上设置用户名和密码自动填充功能。
      • 强制显示欺诈警告: 如果启用此设置,则当用户访问可疑网络钓鱼 Web 站点时,Safari 会向用户发出警报。默认为限制此功能,也就是说不会发出警报。
      • 启用 JavaScript: 允许在 Safari 上运行 JavaScript。
      • 阻止弹出窗口: 查看 Web 站点时阻止弹出窗口。默认为限制此功能,也就是说不阻止弹出窗口。
    • 接受 Cookie: 设置为接受 Cookie 的程度。在列表中,选择某个选项以允许或限制 Cookie。默认选项为总是,即允许所有 Web 站点在 Safari 中保存 Cookie。其他选项为仅限当前 Web 站点从不仅来自访问的 Web 站点
  • 网络 - 允许执行 iCloud 操作

    • iCloud 文档和数据: 允许用户将文档和数据同步到 iCloud。适用于受监督的 iOS 设备。
    • iCloud 备份: 允许用户向 iCloud 备份其设备。
    • iCloud 钥匙串: 允许用户在 iCloud 钥匙串中存储密码、Wi-Fi 网络信息、信用卡信息以及其他信息。
    • 云照片库: 允许用户访问其 iCloud 照片库。
  • 安全 - 强制

    默认为限制以下功能,即不启用任何安全功能。

    • 加密备份: 强制加密到 iCloud 的备份。
    • 有限广告跟踪: 阻止有针对性的广告跟踪。
    • 首次 AirPlay 配对时输入通行码: 需要使用屏幕上显示的一次性代码验证已启用 AirPlay 的设备才可以使用 AirPlay。
    • 需要配对的 Apple Watch 才能使用腕部监测: 需要配对的 Apple Watch 才能使用腕部监测
    • 使用 AirDrop 共享托管文档: 将此选项设置为会使 AirDrop 显示为非托管放置目标。
  • 安全 - 允许

    • 接受不可信 SSL 证书: 允许用户接受 Web 站点的不可信 SSL 证书。
    • 自动更新证书信任设置: 允许自动更新可信证书。
    • 在非托管应用程序中使用托管应用程序中的文档: 允许用户将托管(企业)应用程序中的数据移动到非托管(私人)应用程序。
    • 在托管应用程序中使用非托管应用程序中的文档: 允许用户将非托管(私人)应用程序中的数据移动到托管(企业)应用程序。
    • 将诊断结果提交给 Apple: 允许将有关用户设备的匿名诊断数据发送给 Apple。
    • 通过 Touch ID 解锁设备: 允许用户使用其指纹解锁其设备。
    • Auto unlock(自动解锁):如果设置为,用户将无法使用 Apple Watch 解锁配对的 iPhone。默认值为。适用于 iOS 14.5 或更高版本。
    • 锁定时接收 Passbook 通知: 允许 Passbook 通知显示在锁屏界面上。
    • Handoff: 允许用户从一台 iOS 设备向附近的另一台 iOS 设备转移活动。
    • 托管应用程序的 iCloud 同步: 允许用户向 iCloud 同步托管应用程序。
    • 企业通讯簿备份: 允许将企业通讯簿备份到 iCloud。
    • 企业书籍的笔记和重点同步: 允许用户添加到企业书籍的笔记和重点同步到 iCloud。
    • 企业应用程序信任: 允许信任企业应用程序。企业应用程序是指为贵组织自定义的任何应用程序。这些产品可以在内部开发,也可以从外部供应商处开发并购买。有关其他信息,请参阅 Install custom enterprise apps on iOS(在 iOS 上安装自定企业级应用)。
    • Spotlight 中的 Internet 结果: 允许 Spotlight 显示来自 Internet 以及设备的搜索结果。
    • 非托管应用程序读取托管联系人: 可选。仅当非托管应用程序中来自托管应用程序的文档处于禁用状态时才可用。如果启用,则非托管应用程序可以读取托管帐户的联系人数据。默认设置为。截至 iOS 12 适用。
    • 托管应用程序写入非托管联系人: 可选。如果启用,则允许托管应用程序将联系人写入非托管帐户的联系人。如果非托管应用程序中来自托管应用程序的文档处于启用状态,则此限制无效。默认设置为。截至 iOS 12 适用。
    • Allow Apple personalized advertising(允许 Apple 个性化广告):如果设置为,Apple 广告平台将不使用用户的数据来投放个性化广告。默认值为。适用于 iOS 14.0 或更高版本。
  • 仅监管设置 - 允许

    这些设置仅适用于受监管设备。有关将 iOS 设备置于受监督模式的步骤,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

    • 擦除所有内容和设置: 允许用户擦除其设备中的所有内容和设置。
    • 配置限制: 允许用户在其设备上配置家长控制。
    • 播客: 允许用户下载和同步播客。
    • 安装配置文件: 允许用户安装并非由您部署的配置文件。
    • 修改指纹: 允许用户更改或删除其 Touch ID 指纹。
    • 从设备安装应用程序: 允许用户安装应用程序。禁用此设置将阻止最终用户安装新应用程序。App Store 处于禁用状态,其图标将从主屏幕中删除。
    • 键盘快捷方式: 允许用户为其常用的字词或短语创建自定义键盘快捷方式。
    • 配对的 Apple Watch: 允许用户将 Apple Watch 与受监督的设备配对。
    • 修改通行码: 允许用户在受监督的设备上更改通行码。
    • 修改设备名称: 允许用户更改其设备的名称。
    • 修改壁纸: 允许用户在更改其设备上的壁纸。
    • 自动下载应用程序: 允许下载应用程序。
    • AirDrop: 允许用户与附近的 iOS 设备共享照片、视频、Web 站点、位置及其他信息。
    • iMessage: 允许用户使用 iMessage 通过 Wi-Fi 传递文本消息。
    • Siri 用户生成的内容: 允许 Siri 从 Web 查询用户生成的内容。用户,而非传统新闻记者;生成用户生成的内容。例如,在 Twitter 或 Facebook 上找到的内容是用户生成的。
    • iBooks: 允许用户使用 iBooks 应用程序。
    • 删除应用程序: 允许用户从其设备中删除应用程序。
    • 游戏中心: 允许用户在其设备上通过游戏中心在线玩游戏。
      • 添加好友: 允许用户向好友发送玩游戏通知。
      • 多人游戏: 允许用户在其设备上启动多人游戏。
    • 修改帐户设置: 允许用户修改其设备帐户设置。
    • 修改应用程序手机网络数据设置: 允许用户修改使用手机网络数据的方式。
    • 修改“查找我的好友”设置: 允许用户更改其“查找我的好友”设置。
    • 与非 Configurator 主机配对: 允许管理员控制用户设备可以与哪些设备配对。禁用此设置将阻止配对,与运行 Apple Configurator 的监督主机配对除外。如果未配置任何监督主机证书,将禁用所有配对。
    • 预测键盘: 允许用户设备使用预测键盘,在用户键入时提供建议单词。如果要管理标准化测试,不允许用户访问建议的单词,在此类情况下可以禁用此选项。
    • 键盘自动更正: 允许用户设备使用键盘自动更正。如果要管理标准化测试,不允许用户访问自动更正,在此类情况下可以禁用此选项。
    • 键盘拼写检查: 在键入时允许用户设备使用拼写检查。如果要管理标准化测试,不允许用户访问拼写检查,在此类情况下可以禁用此选项。
    • 定义查找: 在键入时允许用户设备使用定义查找。如果要管理标准化测试,不允许用户在键入时查找定义,在此类情况下可以禁用此选项。
    • 单应用程序捆绑包 ID: 创建允许保留设备的控制权并阻止与其他应用程序或功能进行交互的应用程序的列表。 要添加应用程序,请单击添加,键入应用程序名称,然后单击保存。对要添加的每个应用程序重复该过程。
    • 新闻: 允许用户使用新闻应用程序。
    • Apple 音乐服务: 允许用户使用 Apple 音乐服务。如果您不允许使用 Apple 音乐服务,则音乐应用程序以经典模式运行。
    • iTunes Radio: 允许用户使用 iTunes Radio。
    • 修改通知: 允许用户修改通知设置。
    • 受限应用程序使用: 允许用户使用所有应用程序或者使用或不使用某些应用程序,具体取决于您提供的捆绑包 ID。仅适用于受监督的设备。如果选择仅允许某些应用程序,请添加捆绑包 ID 为 com.apple.webapp 的应用程序以允许 Web 剪辑。

      注意:

      自 iOS 11 起,Apple 引入了对适用于应用程序限制的策略所做的更改。Apple 不再允许您通过限制适当的 iOS 应用程序包来删除对“设置”应用程序和“电话”应用程序的访问权限。

      配置限制设备策略以阻止某些应用程序,然后部署了该策略之后:如果以后要允许这些应用程序中的一些或全部,更改并部署限制设备策略不会更改显示。在这种情况下,iOS 不会将更改应用于 iOS 配置文件。要继续操作,请使用配置文件删除策略删除 iOS 配置文件,然后部署更新的限制设备策略。

      如果将此设置更改为仅允许某些应用程序: 部署此策略之前,建议使用 Apple 部署计划注册的设备的用户从设置助理登录其 Apple 帐户。否则,用户可能必须在其设备上禁用双重身份验证,才能登录其 Apple 帐户并访问允许的应用程序。

    • 修改诊断提交: 允许用户在设置 > Diagnostics & Usage(诊断和使用)窗格中修改诊断提交和应用程序分析设置。
    • 修改蓝牙: 允许用户修改蓝牙设置。
    • 允许听写: 仅在监督下使用。如果此限制设置为,则不允许听写输入,包括语音转换为文本。默认设置为
    • 仅加入通过 WiFi 策略安装的 WiFi 网络: 可选。仅在监督下使用。如果此限制设置为,则仅在 Wi-Fi 网络是通过配置文件设置的情况下设备才能加入这些网络。默认设置为
    • 允许“课堂”应用程序运行 AirPlay 和查看屏幕而不提示: 如果选中此限制,教师可以在学生的设备上执行 AirPlay 和查看屏幕操作,而不提示授予权限。默认设置为未选中。适用于受监督的 iOS 设备。
    • 允许“课堂”应用程序锁定到应用程序以及锁定设备而不提示: 如果此限制设置为,“课堂”应用程序会自动将用户设备锁定到某个应用程序并锁定设备,而不提示用户。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 自动加入“课堂”应用程序课程而不提示: 如果此限制设置为,“课堂”应用程序会自动将用户加入到课程中,而不提示用户。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 允许 AirPrint: 如果此限制设置为,用户将无法通过 AirPrint 打印。默认设置为。此限制设置为时,将显示这些额外的限制。适用于运行 iOS 11(最低版本)的受监督设备。
      • 允许在钥匙串中存储 AirPrint 凭据: 如果未选中此限制,AirPrint 用户名和密码将不存储在钥匙串中。默认设置为选中。适用于运行 iOS 11(最低版本)的受监督设备。
      • 允许使用 iBeacon 发现 AirPrint 打印机: 如果未选中此限制,则禁止 iBeacon 发现 AirPrint 打印机。这将阻止虚假 AirPrint 蓝牙信标对网络流量进行网络钓鱼。默认设置为选中。适用于运行 iOS 11(最低版本)的受监督设备。
      • 仅允许通过 AirPrint 打印到证书受信任的目标打印机: 如果选中此限制,用户可以使用 AirPrint 仅打印到证书受信任的目标打印机。默认设置为未选中。适用于运行 iOS 11(最低版本)的受监督设备。
    • 添加 VPN 配置: 如果此限制设置为,用户将无法创建 VPN 配置。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 修改手机网络套餐设置: 如果此限制设置为,用户将无法修改手机网络套餐设置。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 删除系统应用程序: 如果此限制设置为,用户将无法从其设备中删除系统应用程序。默认设置为。适用于运行 iOS 11(最低版本)的受监督设备。
    • 设置新的附近的设备: 如果此限制设置为“关”,用户将无法设置新的附近的设备。默认设置为开。适用于运行 iOS 11(最低版本)的受监督设备。
    • 允许 USB 受限模式: 如果设置为,设备在锁定状态下可以始终连接到 USB 附属设施。默认值为。仅适用于 iOS 11.3 及更高版本的受监督设备。
    • 强制执行延迟的软件更新: 如果设置为,则延迟软件更新对用户的可见性。设置此限制后,用户在软件更新发布日期后的指定天数之后才能看到软件更新。默认设置为。仅适用于 iOS 11.3 及更高版本的受监督设备。
    • 强制执行的软件更新延迟(天): 允许您指定在设备上延迟软件更新的天数。最长延迟时间为 90 天。默认值为 30 天。仅适用于 iOS 11.3 及更高版本的受监督设备。
    • 强制课堂申请离开课程的权限: 如果设置为,通过“课堂”应用程序在非托管课程中注册的学生在尝试离开课程时将向教师申请权限。默认设置为。仅适用于 iOS 11.3 及更高版本的受监督设备。
    • 密码自动填充: 可选。如果禁用,用户将无法使用“自动填充密码”或“自动使用强密码”功能。默认值为。截至 iOS 12 适用。
    • 密码邻近请求: 可选。如果禁用,用户的设备将不从附近的设备请求密码。默认值为。截至 iOS 12 适用。
    • 密码共享: 可选。如果禁用,用户将无法使用“AirDrop 密码”功能共享其密码。默认值为。截至 iOS 12 适用。
    • 强制自动填写日期和时间: 允许您在受监督设备上自动设置日期和时间。如果设置为,设备用户将无法在常规 > 日期和时间下关闭自动设置。仅当设备可以确定其位置时,设备上的时区才会更新。也就是说,当设备启用了手机网络连接或启用了带定位服务的 Wi-Fi 连接时。默认设置为。仅适用于 iOS 12 及更高版本的受监督设备。
    • Allow boot to recovery by an unpaired device(允许未配对的设备引导至恢复模式):如果设置为,则允许未配对的设备引导至恢复模式。默认值为。适用于 iOS 14.5 或更高版本。
    • Install rapid security response(安装快速安全响应):如果设置为,则禁止安装快速安全响应。默认值为
    • Remove rapid security response(删除快速安全响应):如果设置为,则禁止删除快速安全响应。默认值为
    • Allow mail privacy protection(允许邮件隐私保护):如果设置为,则禁用设备上的“Mail Privacy Protection”(邮件隐私保护)。默认值为。适用于 iOS 15.2 或更高版本。
    • NFC: 如果设置为,则禁用 NFC。默认值为。适用于 iOS 14.2 或更高版本。
    • Allow App clips(允许应用程序剪辑):如果设置为,则禁止用户添加任何应用程序剪辑并删除设备上的任何现有应用程序剪辑。默认值为。适用于 iOS 14.0 或更高版本。
  • 安全 - 在锁屏界面中显示
    • 控制中心: 允许访问锁屏界面上的控制中心。控制中心允许用户轻松修改飞行模式、Wi-Fi、蓝牙、请勿打扰模式和锁定旋转设置。
    • 通知: 允许在锁屏界面上显示通知。
    • “今天”视图: 允许在锁屏界面上显示“今天”视图,此视图汇总了天气及当天的日历项目等信息。
  • 媒体内容 - 允许
    • 成人音乐、博客及 iTunes U 资料: 允许用户设备上出现成人资料。
    • iBooks 中暴露的性内容: 允许从 iBooks 下载成人资料。
    • 评分地区: 设置从其获得家长控制评分的地区。在列表中,单击某个国家/地区以设置评分地区。默认值为美国
    • 电影: 设置是否允许在用户设备上播放电影。如果允许播放电影,可以选择为电影设置评分级别。在列表中,单击某个选项以允许或限制在设备上播放电影。默认值为“允许所有电影”。
    • 电视节目: 设置是否允许在用户设备上播放电视节目。如果允许播放电视节目,可以选择为电视节目设置评分级别。在列表中,单击某个选项以允许或限制在设备上播放电视节目。默认值为“允许所有电视节目”。
    • 应用程序: 设置是否允许在用户设备上使用应用程序。如果允许使用应用程序,可以选择为应用程序设置评分级别。在列表中,单击某个选项以允许或限制在设备上使用应用程序。默认值为“允许所有应用程序”。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。
    • 配置文件作用域: 选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅适用于 iOS 9.3 及更高版本。

macOS 设置

“设备策略”配置屏幕图

  • 首选项
    • 限制系统首选项中的项目: 允许或限制用户访问系统首选项。默认值为,表示完全允许用户访问系统首选项。如果启用,可以配置以下设置。
      • 系统首选项窗格: 选择是启用还是禁用选择的设置。默认为启用所有设置,即默认情况下为
        • 用户和组
        • 常规
        • 辅助工具
        • App Store
        • 软件更新
        • 蓝牙
        • CD 和 DVD
        • 日期和时间
        • 桌面和屏幕保护程序
        • 显示
        • 基站
        • 节能程序
        • 扩展
        • 光纤通道
        • iCloud
        • Ink
        • Internet 帐户
        • 键盘
        • 语言和文字
        • Mission Control
        • 鼠标
        • 网络
        • 通知
        • 家长控制
        • 打印机和扫描仪
        • 配置文件
        • 安全和隐私
        • 共享
        • 声音
        • 用词和语音
        • Spotlight
        • 启动磁盘
        • Time Machine
        • 触控板
        • Xsan
  • 应用程序
    • 允许使用游戏中心: 允许用户通过游戏中心在线玩游戏。默认值为
    • 允许添加游戏中心好友: 允许用户向好友发送玩游戏通知。默认值为
    • 允许多人游戏: 允许用户发起多人游戏。默认值为
    • 允许修改游戏中心帐户: 允许用户修改其游戏中心帐户设置。默认值为
    • 允许应用商店采用: 允许或限制应用商店采用 OS X 中预先存在的应用程序。默认设置为
    • 允许 Safari 自动填充: 允许 Safari 自动使用其存储的密码、地址和其他基本信息填充 Web 站点上的字段。默认值为
    • 需要提供管理员密码才能安装或更新应用程序: 需要提供管理员密码才能安装或更新应用程序。默认值为,表示无需提供管理员密码。
    • 将应用商店限制为仅提供软件更新: 将应用商店限制为仅提供更新,这样会在应用商店中禁用除“更新”之外的所有选项卡。默认值为,即允许完整的应用商店访问。
    • 限制允许打开的应用程序: 限制或允许用户可以使用的应用程序。默认值为“关”,表示所有应用程序均可以使用。如果启用,请配置以下设置:
      • 允许运行的应用程序: 单击添加,输入允许启动的应用程序的名称和捆绑包 ID,然后单击保存。为允许启动的每个应用程序重复此步骤。
      • 不允许使用的文件夹: 单击添加,键入限制用户访问的文件夹的文件路径(例如,/Applications/Utilities),然后单击保存。对不希望用户可以访问的所有文件夹重复此步骤。
      • 允许使用的文件夹: 单击添加,键入要允许用户访问的文件夹的文件路径,然后单击保存。为希望用户可以访问的所有文件夹重复此步骤。
  • 小组件
    • 仅允许运行以下控制板小组件: 允许或限制用户可以运行的控制板小组件,如世界时钟或计算器。默认值为,表示允许用户运行所有小组件。如果启用,可以配置以下设置:
      • 允许运行的小组件: 单击添加,键入允许运行的小组件的名称和 ID,然后单击保存。为希望在控制板上运行的每个小组件重复执行此步骤。
  • 媒体
    • 允许 AirDrop: 允许用户与附近的 iOS 设备共享照片、视频、Web 站点、位置及其他信息。
  • 共享
    • 自动启用新共享服务: 选择是否自动启用共享服务。
    • 邮件: 选择是否允许使用共享的邮箱。
    • Facebook: 选择是否允许使用共享的 Facebook 帐户。
    • 视频服务 - Flickr、Vimeo、Tudou 和 Youku: 选择是否允许使用共享的视频服务。
    • 添加到 Aperture: 选择是否允许将共享功能添加到 Aperture。
    • 新浪微博: 选择是否允许使用共享的新浪微博微博客帐户。
    • Twitter: 选择是否允许使用共享的 Twitter 帐户。
    • 消息: 选择是否允许对消息进行共享访问。
    • 添加到 iPhoto: 选择是否允许将共享功能添加到 iPhoto。
    • 添加到阅读列表: 选择是否允许将共享功能添加到阅读列表。
    • AirDrop: 选择是否允许使用共享的 AirDrop 帐户。
  • 功能
    • 锁定桌面图片: 选择用户是否可以更改桌面图片。默认值为,表示用户可以更改桌面图片。
    • 允许使用相机: 选择用户是否可以在其 Mac 上使用相机。默认值为,表示用户无法使用相机。
    • 允许 Apple 音乐: 允许用户使用 Apple 音乐服务(macOS 10.12 及更高版本)。如果您不允许使用 Apple 音乐服务,则音乐应用程序以经典模式运行。仅适用于受监督的设备。默认值为
    • 允许 Spotlight 推荐: 选择用户是否可以使用 Spotlight 推荐搜索其 Mac 并提供来自 Internet、iTunes 和 App Store 的 Spotlight 推荐。默认值为,表示阻止用户使用 Spotlight 推荐。
    • 允许查找: 选择用户是否可以使用上下文菜单或 Spotlight 搜索菜单查找字词的定义。默认值为“关”,表示阻止用户在其 Mac 上使用查找。
    • 允许使用本地帐户的 iCloud 密码: 选择用户是否可以使用其 Apple ID 和 iCloud 密码登录其 Mac。启用此策略意味着用户对其 Mac 上的所有登录屏幕仅使用一个 ID 和密码。默认值为,表示允许用户使用其 Apple ID 和 iCloud 密码访问其 Mac。
    • 允许使用 iCloud 文档和数据: 选择是否允许用户在其 Mac 上访问存储在 iCloud 上的文档和数据。默认值为,表示阻止用户在其 Mac 上使用 iCloud 文档和数据。
      • 允许 iCloud 桌面和文档: (macOS 10.12.4 及更高版本)默认选中。
    • 允许 iCloud 钥匙串同步: 允许 iCloud 钥匙串同步(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 邮件: 允许用户使用 iCloud 邮件(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 通讯录: 允许用户使用 iCloud 通讯录(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 日历: 允许用户使用 iCloud 日历(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 提醒事项: 允许用户使用 iCloud 提醒事项(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 书签: 允许用户与 iCloud 书签同步(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 备忘录: 允许用户使用 iCloud 备忘录(macOS 10.12 及更高版本)。默认值为
    • 允许 iCloud 照片: 如果将此设置更改为,未完全从 iCloud 照片库中下载的所有照片都将从本地设备存储中删除(macOS 10.12 及更高版本)。默认值为
    • 允许自动解锁:有关此选项及 Apple Watch 的信息,请参阅 https://www.imore.com/auto-unlock(macOS 10.12 及更高版本)。默认值为
    • 允许 Touch ID 解锁 Mac: (macOS 10.12.4 及更高版本)。默认值为
    • 强制执行延迟的软件更新: 如果设置为,此设置将延迟软件更新对用户的可见性。用户在软件更新发布日期后的指定天数之后才能看到软件更新。默认设置为。仅适用于运行 macOS 10.13.4 及更高版本的受监督设备。
    • 强制执行的软件更新延迟(天): 指定在设备上延迟软件更新的天数。最大值为 90 天。默认值为 30。仅适用于运行 macOS 10.13.4 及更高版本的受监督设备。
    • 密码自动填充: 可选。如果禁用,用户将无法使用“自动填充密码”或“自动使用强密码”功能。默认值为。截至 macOS 10.14 可用。
    • 密码邻近请求: 可选。如果禁用,用户的设备将不从附近的设备请求密码。默认值为。截至 macOS 10.14 可用。
    • 密码共享: 可选。如果禁用,用户将无法使用“AirDrop 密码”功能共享其密码。默认值为。截至 macOS 10.14 可用。

Android 设置

  • 相机: 允许用户在其设备上使用相机。如果设置为,则将禁用相机。默认值为

Android Enterprise 设置

“设备策略”配置屏幕

当新的或已恢复出厂设置的 Android 设备在工作配置文件模式下注册时,运行 Android 9.0-10.x 的设备会注册为具有工作配置文件的完全托管设备。运行 Android 11+ 的设备将注册为企业拥有的设备上的工作配置文件。限制策略可以应用到设备上的工作配置文件,也可以应用到托管设备。

在企业拥有的设备上的工作配置文件模式下注册的设备上,以下限制仅适用于工作配置文件:

  • 允许备份服务
  • 启用系统应用程序
  • 保持键盘锁不锁定设备
  • 允许使用状态栏
  • 保持设备屏幕处于打开状态
  • 允许用户控制应用程序设置
  • 允许用户配置用户凭据
  • 允许 VPN 配置
  • 允许 USB 大容量存储
  • 允许恢复出厂设置
  • 允许卸载应用程序
  • 允许使用非 Google Play 应用程序
  • 允许跨配置文件复制和粘贴
  • 启用应用程序验证
  • 允许帐户管理
  • 允许打印
  • 允许使用 NFC
  • 允许添加用户

默认情况下,如果某个设备是在工作配置文件模式下在 Android Enterprise 中注册的,USB 调试和未知来源设置在该设备上将处于禁用状态。

对于运行 Android 9.0-10.x 和 Samsung Knox 3.0 及更高版本的设备,请在 Android Enterprise 页面上为 Samsung Knox 和 Samsung SAFE 配置设置。对于运行早期版本的 Android 或 Samsung Knox 的设备,请使用 Samsung KnoxSamsung SAFE 页面。

Samsung 限制不会应用到在企业拥有的设备上的工作配置文件模式下注册的设备。使用 Knox 服务插件 (KSP) 将 Samsung 限制应用到这些设备。有关详细信息,请参阅 Samsung 文档

建议您使用 Samsung Knox 3.4 或更高版本来获得最新的 Samsung Knox 管理功能。

  • 应用到具有工作配置文件/企业拥有的设备上的工作配置文件的完全托管设备: 允许为具有工作配置文件的完全托管设备配置凭据策略设置。当此设置设为时,选择以下设置之一:
    • 工作配置文件: 您配置的限制设置仅适用于设备上的工作配置文件。
    • 管理设备: 您配置的限制设置仅适用于设备。

    当此设置设为时,您配置的凭据设置将应用到设备,但明确应用于工作配置文件的设置除外。默认设置为

应用到具有工作配置文件/企业拥有的设备上的工作配置文件的完全托管设备处于关闭状态时,请配置以下设置:

  • 安全性

    • 允许帐户管理: 允许在工作配置文件和托管设备中向帐户中添加对象。默认设置为
    • 允许跨配置文件复制粘贴: 如果为,用户可以在 Android Enterprise 配置文件中的应用程序和个人区域中的应用程序之间执行复制和粘贴操作。默认设置为
    • 允许屏幕捕获: 允许用户记录或捕获设备屏幕的屏幕拍图。默认设置为
    • 允许使用相机: 允许用户使用设备摄像头拍照并制作视频。默认设置为
    • 允许 VPN 配置: 允许用户创建 VPN 配置。适用于运行 Android 6 及更高版本的工作配置文件设备以及完全托管设备。默认值为
    • 允许备份服务: 允许用户备份其设备上的应用程序和系统数据。默认值为
    • 允许使用 NFC: 允许用户使用近场通信 (NFC) 从其设备向其他设备发送 Web 页面、照片、视频或其他内容。适用于 MDM 4.0 及更高版本。默认值为
    • 允许配置位置提供程序: 允许用户在其设备上打开 GPS。适用于 Android API 28 及更高版本。默认值为
    • 允许位置共享: 对于托管配置文件,设备所有者可以覆盖此设置。默认设置为

      提示:

      可以在 XenMobile 中创建定位设备策略以强制实施地理边界。请参阅位置设备策略

    • 允许用户配置用户凭据: 指定用户是否可以在托管密钥库中配置凭据。默认值为
    • 允许打印: 如果为,则此设置允许用户打印到任何可通过用户设备访问的打印机。默认值为。适用于:Android 9 及更高版本。
    • 允许 USB 调试: 默认值为
  • 应用程序

    • 启用系统应用程序: 允许用户运行预安装的设备应用程序。默认设置为。要启用特定应用程序,请单击系统应用程序列表表中的添加
      • 系统应用程序列表: 要在设备上启用的系统应用程序的列表。将启用系统应用程序设置为并添加应用程序包名称。要查找系统应用程序的软件包名称,可以使用 Android Debug Bridge (adb) 调用 Android 软件包管理器 (pm) 命令。例如,adb shell "pm list packages -f name",其中“name”为软件包名称的一部分。有关详细信息,请参阅 https://developer.android.com/studio/command-line/adb。对于 Android Enterprise 设备,可以使用 Android Enterprise 应用程序权限策略限制应用程序权限。
    • 禁用应用程序: 阻止列出的指定应用程序在设备上运行。默认设置为。要禁用已安装的应用程序,请将该设置更改为,然后单击应用程序列表表中的添加
      • 应用程序列表: 要阻止的应用程序的列表。请将禁用应用程序设置为并添加应用程序。请键入应用程序软件包名称。更改和部署某个应用程序列表将覆盖之前的应用程序列表。例如:如果禁用了 com.example1 和 com.example2,然后将列表更改为 com.example1 和 com.example3,XenMobile 将启用 com.example.2。
    • 启用应用程序验证: 允许操作系统扫描应用程序以检测恶意行为。默认值为
    • 启用 Google 应用程序: 允许用户将 Google Mobile Services 中的应用程序下载到设备中。默认值为
    • 允许使用非 Google Play 应用程序: 允许从 Google Play 之外的应用商店安装应用程序。默认设置为
    • 允许用户控制应用程序设置: 允许用户卸载应用程序、禁用应用程序、清除缓存和数据、强制停止任何应用程序以及清除默认设置。用户将从“设置”应用程序执行这些操作。默认值为
    • 允许卸载应用程序: 允许用户从托管的 Google Play Store 中卸载应用程序。默认设置为。要显示此设置,请启用服务器属性 afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性
  • BYOD 工作配置文件

    • 允许在主屏幕上显示工作配置文件应用程序小组件: 如果此设置设为,则用户可以将工作配置文件应用程序小组件放置在设备主屏幕上。如果此设置设为,则用户无法将工作配置文件应用程序小组件放置在设备主屏幕上。默认设置为
      • Apps with allowed widgets(具有允许的小组件的应用程序): 要允许显示在主屏幕上的应用程序的列表。将允许在主屏幕上显示工作配置文件应用程序小组件设置为并添加应用程序。单击添加并从列表中选择希望允许在主屏幕上显示其小组件的应用程序。单击保存。重复该过程将允许更多应用程序小组件。
    • 允许在设备联系人中添加工作配置文件联系人: 在家长配置文件中显示托管 Android Enterprise 配置文件中的联系人,以便接收传入呼叫(Android 7.0 及更高版本)。默认设置为
  • 仅限完全托管设备

    • 允许添加用户: 允许用户在设备上添加新用户。默认值为
    • 允许数据漫游: 允许用户在漫游时使用手机网络数据。默认值为“关”,即在用户设备上禁用漫游。默认设置为
    • 允许短信: 允许用户发送和接收短消息。默认设置为
    • 允许使用状态栏: 如果为,此设置将在托管设备和专用设备(又称为 COSU 设备)上启用状态栏。此设置将禁用通知、快速设置以及其他促使退出全屏模式的屏幕叠加。用户可以转到系统设置并查看通知。适用于 Android 6.0 及更高版本。默认设置为
    • 允许使用蓝牙: 允许用户使用蓝牙。默认值为
      • 允许蓝牙共享: 如果未选择,用户将无法在其设备上建立传出蓝牙共享。默认处于选中状态。要显示此设置,请启用服务器属性 afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性
    • 允许配置日期和时间: 允许用户在其设备上更改日期和时间。默认值为
    • 允许恢复出厂设置: 允许用户在其设备上恢复出厂设置。默认值为
    • 保持设备屏幕处于打开状态: 如果此设置设为,设备插入时设备屏幕保持打开状态。默认设置为
    • 允许 USB 大容量存储: 允许通过 USB 连接在用户的设备与计算机之间传输大型数据文件。默认值为
    • 允许使用麦克风: 允许用户在其设备上使用麦克风。默认值为
    • 允许网络共享: 允许用户配置便携式热点和网络共享数据。默认设置为
    • 保持键盘锁不锁定设备: 如果为,此设置将在托管设备和专用设备(又称为 COSU 设备)上的锁屏界面上禁用键盘锁。默认设置为
    • 允许更改 Wi-Fi: 如果为,用户可以打开或关闭 Wi-Fi 并连接到 Wi-Fi 网络。默认值为
    • 允许文件传输: 允许通过 USB 进行文件传输。默认设置为
  • Samsung

    • 启用 TIMA 密钥库: TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书路由到默认密钥库提供商进行存储。默认设置为
    • 允许共享列表: 允许用户在“共享方式”列表中的应用程序之间共享内容。默认值为
    • 启用审核日志: 启用事件审核日志的创建,以便对设备进行取证分析。默认设置为
  • Samsung: 仅限完全托管设备

    • 启用 ODE 可信引导验证: 使用 ODE 可信引导验证建立从引导加载程序到系统映像的信任链。默认值为
    • 仅允许紧急呼叫: 允许用户在其设备上启用“仅限紧急呼叫”模式。默认设置为
    • 允许固件恢复: 允许用户在其设备上恢复固件。默认值为
    • 允许快速加密: 允许仅加密已使用的内存空间。此加密与完全磁盘加密(用于加密所有数据)完全不同。该数据包括设置、应用程序数据、已下载的文件和应用程序、媒体及其他文件。默认值为
    • 启用通用准则模式: 将设备置于通用准则模式。通用准则配置强制执行严苛的安全流程。默认值为
    • 启用重新启动横幅: 当用户的设备重新启动时,显示 DoD 批准的系统使用通知消息或横幅。默认设置为
    • 允许更改设置: 允许用户更改其完全托管设备上的设置。默认值为
    • 启用后台数据使用: 允许应用程序在后台同步数据,适用于完全托管设备。默认值为
    • 允许使用剪贴板: 允许用户在其设备上将数据复制到剪贴板。
      • 允许剪贴板共享: 允许用户在其设备和某个计算机之间共享剪贴板内容(MDM 4.0 及更高版本)。
    • 允许使用 Home 键: 允许用户在其完全托管设备上使用 Home 键。默认值为
    • 允许模拟位置: 允许用户伪造其 GPS 位置。适用于完全托管设备。默认设置为
    • NFC: 允许用户在其完全托管设备上使用 NFC(MDM 3.0 及更高版本)。默认值为
    • 允许关闭电源: 允许用户关闭其完全托管设备(MDM 3.0 及更高版本)的电源。默认值为
    • 允许使用 Wi-Fi Direct: 允许用户通过其 Wi-Fi 连接直接连接到其他设备。默认值为。如果为,则必须启用允许更改 Wi-Fi 设置。
    • 允许使用 SD 卡: 允许用户在其设备上使用 SD 卡(如果可用)。默认值为
    • 允许 USB 主机存储: 当 USB 设备连接到用户的设备时,允许用户的设备充当 USB 主机。然后,用户的设备为 USB 设备提供电源。默认值为
    • 允许使用语音拨号器: 允许用户在其设备上使用语音拨号器(MDM 4.0 及更高版本)。默认值为
    • 允许 S Beam: 允许用户使用 NFC 和 Wi-Fi Direct 与其他人共享内容(MDM 4.0 及更高版本)。默认值为
    • 允许 S Voice: 允许用户在其设备上使用智能个人助手和知识导航器(MDM 4.0 及更高版本)。默认值为
    • 允许 USB 网络共享: 允许用户使用其 USB 连接与其他设备共享移动数据连接。默认值为。如果为,则允许网络共享设置也必须为
    • 允许蓝牙网络共享: 允许用户使用其蓝牙连接与其他设备共享移动数据连接。默认值为。如果为,则允许网络共享设置也必须为
      • 允许蓝牙共享: 如果未选择,用户将无法在其设备上建立传出蓝牙共享。默认处于选中状态。要显示此设置,请启用服务器属性 afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性
    • 允许 Wi-Fi 网络共享: 允许用户使用其 Wi-Fi 连接与其他设备共享移动数据连接。默认值为。如果为,则允许网络共享设置也必须为
    • 允许传入 MMS: 允许用户接收 MMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 允许传出 MMS: 允许用户发送 MMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 允许传入 SMS: 允许用户接收 SMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 允许传出 SMS: 允许用户发送 SMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 配置移动网络: 允许用户使用其手机网络数据连接。默认设置为
    • 按天限制(MB): 输入移动数据用户每天可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 按周限制(MB): 输入移动数据用户每周可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 按月限制(MB): 输入移动数据用户每月可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 仅允许建立安全的 VPN 连接: 允许用户仅使用安全连接(MDM 4.0 及更高版本)。默认值为
    • 允许录制音频: 允许用户使用其设备录制音频(MDM 4.0 及更高版本)。默认值为。如果为,则必须打开允许使用麦克风设置。
    • 允许录制视频: 允许用户使用其设备录制视频(MDM 4.0 及更高版本)。默认设置为。如果为,则必须打开允许使用相机设置。
    • 允许漫游时推送消息: 允许用户使用手机网络数据进行推送。默认设置为。如果为,则必须启用允许数据漫游设置。
    • 允许漫游时自动同步: 允许用户使用手机网络数据进行同步。默认设置为。如果为,则必须启用允许数据漫游设置。
    • 允许漫游时语音通话: 允许用户使用手机网络数据进行语音通话。默认设置为。如果为,则必须启用允许数据漫游设置。
  • Samsung:Knox 容器/完全托管设备

    • 启用吊销检查: 启用对已吊销证书的检查。默认设置为
  • Samsung:仅限 Knox 容器

    • 将应用程序移至容器: 允许用户在其设备上的 Knox 容器与个人区域之间移动应用程序。默认值为
    • 强制执行多重身份验证: 用户必须使用指纹和另一种身份验证方法(密码或 PIN)才能打开设备。默认值为
    • 强制对容器执行身份验证: 使用与用于解锁设备以打开 KNOX 容器的方法不同的身份验证方法。默认值为
    • 允许使用安全小键盘: 强制用户在 Knox 容器内使用安全小键盘。默认值为
  • Samsung:DeX

    • 启用 Samsung DeX: 允许支持启用了 Knox 的设备在 Samsung DeX 模式下运行。需要 Samsung Knox 3.1(最低版本)。默认值为。有关 Samsung DeX 设备要求和设置 Samsung DeX 的信息,请参阅 Samsung 开发人员文档。
      • Allow Ethernet in DeX mode only(仅允许在 DeX 模式下使用以太网):允许在 Samsung DeX 模式下使用以太网。手机网络数据、Wi-Fi 和网络共享(Wi-Fi、蓝牙和 USB)在 DeX 模式下受到限制。默认处于未选中状态。
      • 上载 DeX 徽标图像: 选择此设置可指定一个 .png 图像,以用作 Samsung DeX 的图标。
      • DeX screen timeout (seconds)(DeX 屏幕超时(秒)):指定空闲时间(以秒为单位),超过此时间后,DeX 屏幕将关闭。要禁用超时,请键入 0。默认值为 1200 秒(20 分钟)。
      • 在 Samsung DeX 中添加应用程序快捷方式: 指定应用程序包名称以将应用程序的快捷方式添加到 DeX。要查找应用程序软件包名称,请转到 Google Play 并选择该应用程序。URL 包括软件包名称:https://play.google.com/store/apps/details?id=<package.name><!--NeedCopy-->
      • 删除 Samsung DeX 中的应用程序快捷方式: 指定应用程序包名称以从 DeX 中删除快捷方式。转到 Google Play 查找应用程序软件包名称。
      • 在 DeX 中禁用的应用程序包: 指定要从 Samsung DeX 模式中阻止的应用程序包的逗号分隔列表。例如:"com.android.chrome", "com.google.android.gm"<!--NeedCopy-->

应用到使用工作配置文件的完全托管设备设置为“开”且对于具有工作配置文件的完全托管设备,请将策略应用到设置为工作配置文件时,请配置以下设置:

  • 安全性

    • 允许帐户管理: 允许在工作配置文件和托管设备中向帐户中添加对象。默认设置为
    • 允许跨配置文件复制粘贴: 如果为,用户可以在 Android Enterprise 配置文件中的应用程序和个人区域中的应用程序之间执行复制和粘贴操作。默认设置为
    • 允许屏幕捕获: 允许用户记录或捕获设备屏幕的屏幕拍图。默认设置为
    • 允许使用相机: 允许用户使用设备摄像头拍照并制作视频。默认设置为
    • 允许配置位置提供程序: 允许用户在其设备上打开 GPS。适用于 Android API 28 及更高版本。默认值为
    • 允许位置共享: 对于托管配置文件,设备所有者可以覆盖此设置。默认设置为

      提示:

      可以在 XenMobile 中创建定位设备策略以强制实施地理边界。请参阅位置设备策略

    • 允许用户配置用户凭据: 指定用户是否可以在托管密钥库中配置凭据。默认值为
    • 允许打印: 如果为,则此设置允许用户打印到任何可通过用户设备访问的打印机。默认值为。适用于:Android 9 及更高版本。
  • 应用程序

    • 启用系统应用程序: 允许用户运行预安装的设备应用程序。默认设置为。要启用特定应用程序,请单击系统应用程序列表表中的添加
      • 系统应用程序列表: 要在设备上启用的系统应用程序的列表。将启用系统应用程序设置为并添加应用程序包名称。要查找系统应用程序的软件包名称,可以使用 Android Debug Bridge (adb) 调用 Android 软件包管理器 (pm) 命令。例如,adb shell "pm list packages -f name",其中“name”为软件包名称的一部分。有关详细信息,请参阅 https://developer.android.com/studio/command-line/adb。对于 Android Enterprise 设备,可以使用 Android Enterprise 应用程序权限策略限制应用程序权限。
    • 禁用应用程序: 阻止列出的指定应用程序在设备上运行。默认设置为。要禁用已安装的应用程序,请将该设置更改为,然后单击应用程序列表表中的添加
      • 应用程序列表: 要阻止的应用程序的列表。请将禁用应用程序设置为并添加应用程序。请键入应用程序软件包名称。更改和部署某个应用程序列表将覆盖之前的应用程序列表。例如:如果禁用了 com.example1 和 com.example2,然后将列表更改为 com.example1 和 com.example3,XenMobile 将启用 com.example.2。
    • 启用应用程序验证: 允许操作系统扫描应用程序以检测恶意行为。默认值为
    • 启用 Google 应用程序: 允许用户将 Google Mobile Services 中的应用程序下载到设备中。默认值为
    • 允许使用非 Google Play 应用程序: 允许从 Google Play 之外的应用商店安装应用程序。默认设置为
    • 允许用户控制应用程序设置: 允许用户卸载应用程序、禁用应用程序、清除缓存和数据、强制停止任何应用程序以及清除默认设置。用户将从“设置”应用程序执行这些操作。默认值为
    • 允许卸载应用程序: 允许用户从托管的 Google Play Store 中卸载应用程序。默认设置为。要显示此设置,请启用服务器属性 afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性
  • BYOD 工作配置文件

    • 允许在主屏幕上显示工作配置文件应用程序小组件: 如果此设置设为,则用户可以将工作配置文件应用程序小组件放置在设备主屏幕上。如果此设置设为,则用户无法将工作配置文件应用程序小组件放置在设备主屏幕上。默认设置为
      • Apps with allowed widgets(具有允许的小组件的应用程序): 要允许显示在主屏幕上的应用程序的列表。将允许在主屏幕上显示工作配置文件应用程序小组件设置为并添加应用程序。单击添加并从列表中选择希望允许在主屏幕上显示其小组件的应用程序。单击保存。重复该过程将允许更多应用程序小组件。
    • 允许在设备联系人中添加工作配置文件联系人: 在家长配置文件中显示托管 Android Enterprise 配置文件中的联系人,以便接收传入呼叫(Android 7.0 及更高版本)。默认设置为
  • Samsung

    • 启用 TIMA 密钥库: TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书路由到默认密钥库提供商进行存储。默认设置为
    • 允许共享列表: 允许用户在“共享方式”列表中的应用程序之间共享内容。默认值为
    • 启用审核日志: 启用事件审核日志的创建,以便对设备进行取证分析。默认设置为
  • Samsung:Knox 容器/完全托管设备

    • 启用吊销检查: 启用对已吊销证书的检查。默认设置为
  • Samsung:仅限 Knox 容器

    • 将应用程序移至容器: 允许用户在其设备上的 Knox 容器与个人区域之间移动应用程序。默认值为
    • 强制执行多重身份验证: 用户必须使用指纹和另一种身份验证方法(密码或 PIN)才能打开设备。默认值为
    • 强制对容器执行身份验证: 使用与用于解锁设备以打开 KNOX 容器的方法不同的身份验证方法。默认值为
    • 允许使用安全小键盘: 强制用户在 Knox 容器内使用安全小键盘。默认值为

应用到使用工作配置文件的完全托管设备设置为“开”且对于具有工作配置文件的完全托管设备,请将策略应用到设置为托管设备时,请配置以下设置:

  • 安全性

    • 允许帐户管理: 允许在工作配置文件和托管设备中向帐户中添加对象。默认设置为
    • 允许跨配置文件复制粘贴: 如果为,用户可以在 Android Enterprise 配置文件中的应用程序和个人区域中的应用程序之间执行复制和粘贴操作。默认设置为
    • 允许屏幕捕获: 允许用户记录或捕获设备屏幕的屏幕拍图。默认设置为
    • 允许使用相机: 允许用户使用设备摄像头拍照并制作视频。默认设置为
    • 允许 VPN 配置: 允许用户创建 VPN 配置。适用于运行 Android 6 及更高版本的工作配置文件设备以及完全托管设备。默认值为
    • 允许备份服务: 允许用户备份其设备上的应用程序和系统数据。默认值为
    • 允许使用 NFC: 允许用户使用近场通信 (NFC) 从其设备向其他设备发送 Web 页面、照片、视频或其他内容。适用于 MDM 4.0 及更高版本。默认值为
    • 允许配置位置提供程序: 允许用户在其设备上打开 GPS。适用于 Android API 28 及更高版本。默认值为
    • 允许位置共享: 对于托管配置文件,设备所有者可以覆盖此设置。默认设置为

      提示:

      可以在 XenMobile 中创建定位设备策略以强制实施地理边界。请参阅位置设备策略

    • 允许用户配置用户凭据: 指定用户是否可以在托管密钥库中配置凭据。默认值为
    • 允许打印: 如果为,则此设置允许用户打印到任何可通过用户设备访问的打印机。默认值为。适用于:Android 9 及更高版本。
    • 允许 USB 调试: 默认值为
  • 应用程序

    • 启用系统应用程序: 允许用户运行预安装的设备应用程序。默认设置为。要启用特定应用程序,请单击系统应用程序列表表中的添加
      • 系统应用程序列表: 要在设备上启用的系统应用程序的列表。将启用系统应用程序设置为并添加应用程序包名称。要查找系统应用程序的软件包名称,可以使用 Android Debug Bridge (adb) 调用 Android 软件包管理器 (pm) 命令。例如,adb shell "pm list packages -f name",其中“name”为软件包名称的一部分。有关详细信息,请参阅 https://developer.android.com/studio/command-line/adb。对于 Android Enterprise 设备,可以使用 Android Enterprise 应用程序权限策略限制应用程序权限。
    • 禁用应用程序: 阻止列出的指定应用程序在设备上运行。默认设置为。要禁用已安装的应用程序,请将该设置更改为,然后单击应用程序列表表中的添加
      • 应用程序列表: 要阻止的应用程序的列表。请将禁用应用程序设置为并添加应用程序。请键入应用程序软件包名称。更改和部署某个应用程序列表将覆盖之前的应用程序列表。例如:如果禁用了 com.example1 和 com.example2,然后将列表更改为 com.example1 和 com.example3,XenMobile 将启用 com.example.2。
    • 启用应用程序验证: 允许操作系统扫描应用程序以检测恶意行为。默认值为
    • 启用 Google 应用程序: 允许用户将 Google Mobile Services 中的应用程序下载到设备中。默认值为
    • 允许使用非 Google Play 应用程序: 允许从 Google Play 之外的应用商店安装应用程序。默认设置为
    • 允许用户控制应用程序设置: 允许用户卸载应用程序、禁用应用程序、清除缓存和数据、强制停止任何应用程序以及清除默认设置。用户将从“设置”应用程序执行这些操作。默认值为
    • 允许卸载应用程序: 允许用户从托管的 Google Play Store 中卸载应用程序。默认设置为。要显示此设置,请启用服务器属性 afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性
  • 仅限完全托管设备

    • 允许添加用户: 允许用户在设备上添加新用户。默认值为
    • 允许数据漫游: 允许用户在漫游时使用手机网络数据。默认值为“关”,即在用户设备上禁用漫游。默认设置为
    • 允许短信: 允许用户发送和接收短消息。默认设置为
    • 允许使用状态栏: 如果为,此设置将在托管设备和专用设备(又称为 COSU 设备)上启用状态栏。此设置将禁用通知、快速设置以及其他促使退出全屏模式的屏幕叠加。用户可以转到系统设置并查看通知。适用于 Android 6.0 及更高版本。默认设置为
    • 允许使用蓝牙: 允许用户使用蓝牙。默认值为
      • 允许蓝牙共享: 如果未选择,用户将无法在其设备上建立传出蓝牙共享。默认处于选中状态。要显示此设置,请启用服务器属性 afw.restriction.policy.v2。有关服务器属性的详细信息,请参阅服务器属性
    • 允许配置日期和时间: 允许用户在其设备上更改日期和时间。默认值为
    • 允许恢复出厂设置: 允许用户在其设备上恢复出厂设置。默认值为
    • 保持设备屏幕处于打开状态: 如果此设置设为,设备插入时设备屏幕保持打开状态。默认设置为
    • 允许 USB 大容量存储: 允许通过 USB 连接在用户的设备与计算机之间传输大型数据文件。默认值为
    • 允许使用麦克风: 允许用户在其设备上使用麦克风。默认值为
    • 允许网络共享: 允许用户配置便携式热点和网络共享数据。默认设置为。启用此设置时,这些设置适用于 Samsung 设备:
    • 保持键盘锁不锁定设备: 如果为,此设置将在托管设备和专用设备(又称为 COSU 设备)上的锁屏界面上禁用键盘锁。默认设置为
    • 允许更改 Wi-Fi: 如果为,用户可以打开或关闭 Wi-Fi 并连接到 Wi-Fi 网络。默认值为
    • 允许文件传输: 允许通过 USB 进行文件传输。默认设置为
  • Samsung

    • 启用 TIMA 密钥库: TIMA 密钥库为对称密钥提供基于 TrustZone 的安全密钥存储。RSA 密钥对和证书路由到默认密钥库提供商进行存储。默认设置为
    • 允许共享列表: 允许用户在“共享方式”列表中的应用程序之间共享内容。默认值为
    • 启用审核日志: 启用事件审核日志的创建,以便对设备进行取证分析。默认设置为
  • Samsung: 仅限完全托管设备

    • 启用 ODE 可信引导验证: 使用 ODE 可信引导验证建立从引导加载程序到系统映像的信任链。默认值为
    • 仅允许紧急呼叫: 允许用户在其设备上启用“仅限紧急呼叫”模式。默认设置为
    • 允许固件恢复: 允许用户在其设备上恢复固件。默认值为
    • 允许快速加密: 允许仅加密已使用的内存空间。此加密与完全磁盘加密(用于加密所有数据)完全不同。该数据包括设置、应用程序数据、已下载的文件和应用程序、媒体及其他文件。默认值为
    • 启用通用准则模式: 将设备置于通用准则模式。通用准则配置强制执行严苛的安全流程。默认值为
    • 启用重新启动横幅: 当用户的设备重新启动时,显示 DoD 批准的系统使用通知消息或横幅。默认设置为
    • 允许更改设置: 允许用户更改其完全托管设备上的设置。默认值为
    • 启用后台数据使用: 允许应用程序在后台同步数据,适用于完全托管设备。默认值为
    • 允许使用剪贴板: 允许用户在其设备上将数据复制到剪贴板。默认值为
      • 允许剪贴板共享: 允许用户在其设备和某个计算机之间共享剪贴板内容(MDM 4.0 及更高版本)。
    • 允许使用 Home 键: 允许用户在其完全托管设备上使用 Home 键。默认值为
    • 允许模拟位置: 允许用户伪造其 GPS 位置。适用于完全托管设备。默认设置为
    • NFC: 允许用户在其完全托管设备上使用 NFC(MDM 3.0 及更高版本)。默认值为
    • 允许关闭电源: 允许用户关闭其完全托管设备(MDM 3.0 及更高版本)的电源。默认值为
    • 允许使用 Wi-Fi Direct: 允许用户通过其 Wi-Fi 连接直接连接到其他设备。默认值为。如果为,则必须启用允许更改 Wi-Fi 设置。
    • 允许使用 SD 卡: 允许用户在其设备上使用 SD 卡(如果可用)。默认值为
    • 允许 USB 主机存储: 当 USB 设备连接到用户的设备时,允许用户的设备充当 USB 主机。然后,用户的设备为 USB 设备提供电源。默认值为
    • 允许使用语音拨号器: 允许用户在其设备上使用语音拨号器(MDM 4.0 及更高版本)。默认值为
    • 允许 S Beam: 允许用户使用 NFC 和 Wi-Fi Direct 与其他人共享内容(MDM 4.0 及更高版本)。默认值为
    • 允许 S Voice: 允许用户在其设备上使用智能个人助手和知识导航器(MDM 4.0 及更高版本)。默认值为
    • 允许 USB 网络共享: 允许用户使用其 USB 连接与其他设备共享移动数据连接。默认值为。如果为,则允许网络共享设置也必须为
    • 允许蓝牙网络共享: 允许用户使用其蓝牙连接与其他设备共享移动数据连接。默认值为。如果为,则允许网络共享设置也必须为
    • 允许 Wi-Fi 网络共享: 允许用户使用其 Wi-Fi 连接与其他设备共享移动数据连接。默认值为。如果为,则允许网络共享设置也必须为
    • 允许传入 MMS: 允许用户接收 MMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 允许传出 MMS: 允许用户发送 MMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 允许传入 SMS: 允许用户接收 SMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 允许传出 SMS: 允许用户发送 SMS 消息。默认设置为。如果为,则必须打开允许 SMS 设置。
    • 配置移动网络: 允许用户使用其手机网络数据连接。默认设置为
    • 按天限制(MB): 输入移动数据用户每天可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 按周限制(MB): 输入移动数据用户每周可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 按月限制(MB): 输入移动数据用户每月可以使用的 MB 数。默认值为 0,表示禁用此功能(MDM 4.0 及更高版本)。
    • 仅允许建立安全的 VPN 连接: 允许用户仅使用安全连接(MDM 4.0 及更高版本)。默认值为
    • 允许录制音频: 允许用户使用其设备录制音频(MDM 4.0 及更高版本)。默认值为。如果为,则必须打开允许使用麦克风设置。
    • 允许录制视频: 允许用户使用其设备录制视频(MDM 4.0 及更高版本)。默认设置为。如果为,则必须打开允许使用相机设置。
    • 允许漫游时推送消息: 允许用户使用手机网络数据进行推送。默认设置为。如果为,则必须启用允许数据漫游设置。
    • 允许漫游时自动同步: 允许用户使用手机网络数据进行同步。默认设置为。如果为,则必须启用允许数据漫游设置。
    • 允许漫游时语音通话: 允许用户使用手机网络数据进行语音通话。默认设置为。如果为,则必须启用允许数据漫游设置。
  • Samsung:Knox 容器/完全托管设备

    • 启用吊销检查: 启用对已吊销证书的检查。默认设置为
  • Samsung:仅限 Knox 容器

    • 将应用程序移至容器: 允许用户在其设备上的 Knox 容器与个人区域之间移动应用程序。默认值为
    • 强制执行多重身份验证: 用户必须使用指纹和另一种身份验证方法(密码或 PIN)才能打开设备。默认值为
    • 强制对容器执行身份验证: 使用与用于解锁设备以打开 KNOX 容器的方法不同的身份验证方法。默认值为
    • 允许使用安全小键盘: 强制用户在 Knox 容器内使用安全小键盘。默认值为

Windows Desktop/Tablet 设置

“设备策略”配置屏幕图

  • WiFi 设置
    • 允许 Internet 共享: 允许设备通过将其设为 Wi-Fi 热点与其他设备共享其 Internet 连接。
  • 连接
    • 允许通过手机网络使用 VPN: 允许设备通过 VPN 连接到手机网络。
    • 允许在漫游时通过手机网络使用 VPN: 允许设备在通过手机网络漫游时使用 VPN。
    • 允许使用手机网络数据漫游: 允许用户在漫游时使用手机网络数据。
  • 帐户
    • 允许使用 Microsoft 帐户连接: 允许设备使用 Microsoft 帐户进行与电子邮件无关的连接身份验证和服务。
    • 允许使用非 Microsoft 电子邮件: 允许用户添加非 Microsoft 电子邮件帐户。
  • 系统
    • 允许使用存储卡: 允许设备使用存储卡。
    • 遥测: 在下拉列表中,单击某个选项以允许或限制设备发送遥测信息。默认值为允许。其他选项为不允许允许,次要数据请求除外
    • 允许使用定位服务: 允许使用定位服务。
    • 允许预览内部版本: 允许用户预览 Microsoft 内部版本。
  • 相机:
    • 允许使用相机: 允许用户使用其设备相机。
  • 蓝牙:
    • 允许使用可发现模式: 允许蓝牙设备查找本地设备。
    • 本地设备名称: 本地设备的名称。
  • 体验:
    • 允许使用 Cortana: 允许用户访问 Cortana(智能个人助手和知识导航器)。
    • 允许发现设备: 允许对设备进行网络发现。
    • 允许手动取消注册 MDM: 允许用户手动从 XenMobile MDM 中取消注册其设备。
    • 允许同步设备设置: 允许用户在漫游时在 Windows 10 和 Windows 11 设备之间同步设置。
  • 超出锁定范围:
    • 允许显示 Toast: 允许在锁屏界面上显示 Toast 通知。
  • 应用程序
    • 允许应用商店自动更新: 允许应用商店中的应用程序自动更新。
  • 隐私声明:
    • 允许输入个性化: 允许运行输入个性化服务,以改进基于用户键入内容的预测输入(例如手写笔和触摸键盘)。
  • 设置:
    • 允许自动播放: 允许用户更改自动播放设置。
    • 允许使用流量感知: 允许用户更改流量感知设置。
    • 允许设置日期时间: 允许用户更改日期和时间设置。
    • 允许设置语言: 允许用户更改语言设置。
    • 允许设置电源睡眠: 允许用户更改电源和睡眠设置。
    • 允许设置区域: 允许用户更改区域设置。
    • 允许设置登录选项: 允许用户更改登录设置。
    • 允许设置工作区: 允许用户更改工作区设置。
    • 允许使用您的帐户: 允许用户更改帐户设置。
限制设备策略