设备限制策略
注意:
当升级包含新的限制设备策略设置时,您必须编辑并保存该策略。端点管理不会部署升级后的限制设备策略,直到您保存它。
限制设备策略允许或限制用户设备上的某些特性或功能,例如相机。您可以设置安全限制和媒体内容限制。你还可以对用户可以安装和不可以安装的应用类型设置限制。大多数限制设置默认为在,或允许。主要的例外是iOS的安全强制功能和所有Windows平板电脑的功能,默认为从,或限制。
您选择的任何选项在表示用户可以执行该操作或使用该特性。例如:
- 相机:如果在,用户可以使用他们设备上的摄像头。如果从,用户无法使用其设备上的摄像头。
- 截图:如果在,用户可以在他们的设备上截图。如果从,用户不能在他们的设备上截图。
对于Windows 10 RS2话机:在话机上部署了禁用ie的自定义XML策略或限制策略后,浏览器保持启用状态。要解决此问题,请重新启动手机。本问题属于第三方问题。
如果您同时配置了限制设备策略和kiosk设备策略,则限制设备策略优先。
添加或配置该策略,请执行“配置>设备策略”。有关更多信息,请参见设备的政策。
iOS设置
某些iOS限制策略设置仅适用于特定版本的iOS,如此处和端点管理控制台限制策略页面所述。
当设备以用户注册模式、无监督(完全MDM)模式或受监督模式注册时,将应用这些设置。下表显示了iOS 13及更高版本的每种设置可用的注册模式。
- 自动设备登记:监督设备。这些是通过批量注册注册的设备。
- 设备注册:无监督设备。这些设备单独注册,整个设备完全是MDM。
- 用户注册:只管理特定用户的设备。有关用户注册的更多信息,请参阅Apple文档。
当设备以用户注册模式、无监督(完全MDM)模式或受监督模式注册时,可能会应用iOS限制策略设置。下表显示了iOS 13及更高版本的每个限制策略设置可用的注册模式。
如表所示,从iOS 13开始,以前在无监督和监督模式下可用的一些设置只能在监督模式下使用。以下规则适用:从iOS 13开始,以前在无监督和监督模式下可用的一些设置只能在监督模式下可用。以下规则适用:
- 如果受监管的iOS 13+设备注册了端点管理,则这些设置适用于该设备。
- 如果一个无监督的iOS 13+设备注册了端点管理,这些设置将不会应用于该设备。
- 如果iOS 12(或更低版本)的设备已经注册了端点管理,然后升级到iOS 13,则不会发生变化。这些设置与升级前一样适用于设备。
有关将iOS设备设置为监督模式的信息,请参见使用Apple Configurator 2部署设备。
| 设置 | 用户注册 | 无人管理的 | 监督 |
|---|---|---|---|
| 允许硬件控制 | |||
| 相机 | 没有 | 是的 | 是的 |
| FaceTime | 没有 | 没有 | 是的 |
| 截图 | 是的 | 没有 | 是的 |
| 允许课堂应用程序远程观察学生的屏幕 | 没有 | 没有 | 是的 |
| 允许课堂应用程序在没有提示的情况下执行AirPlay和View Screen | 没有 | 没有 | 是的 |
| 照片流 | 没有 | 是的 | 是的 |
| 共享照片流 | 没有 | 是的 | 是的 |
| 允许共享iPad临时会话 | 没有 | 没有 | 是的 |
| 语音拨号 | 没有 | 是的 | 是的 |
| Siri | 是的 | 是的 | 是的 |
| 当设备被锁定时允许 | 是的 | 是的 | 是的 |
| Siri脏话过滤器 | 没有 | 没有 | 是的 |
| 安装应用程序 | 没有 | 没有 | 是的 |
| 允许漫游时全局后台取回 | 没有 | 是的 | 是的 |
| 允许应用程序 | |||
| 苹果应用商店 | 没有 | 没有 | 是的 |
| 应用内购买 | 没有 | 是的 | 是的 |
| 购买时需要Apple App Store密码 | 没有 | 是的 | 是的 |
| Safari | 没有 | 没有 | 是的 |
| 自动填充 | 没有 | 没有 | 是的 |
| 强制欺诈警告 | 是的 | 是的 | 是的 |
| 启用JavaScript | 没有 | 是的 | 是的 |
| 阻止弹出窗口 | 没有 | 是的 | 是的 |
| 接受饼干 | 没有 | 是的 | 是的 |
| 网络-允许iCloud操作 | |||
| iCloud文档和数据 | 没有 | 没有 | 是的 |
| iCloud备份 | 没有 | 是的 | 是的 |
| iCloud照片钥匙链 | 没有 | 是的 | 是的 |
| iCloud照片库 | 没有 | 是的 | 是的 |
| 保安-部队 | |||
| 加密备份 | 是的 | 是的 | 是的 |
| 有限广告追踪 | 没有 | 是的 | 是的 |
| 第一次AirPlay配对的密码 | 是的 | 是的 | 是的 |
| 配对苹果手表使用手腕检测 | 是的 | 是的 | 是的 |
| 使用AirDrop共享管理文档 | 是的 | 是的 | 是的 |
| 安全-允许 | |||
| 接受不受信任的SSL证书 | 没有 | 是的 | 是的 |
| 自动更新到证书信任设置 | 没有 | 是的 | 是的 |
| 非托管应用中的托管应用中的文档 | 是的 | 是的 | 是的 |
| 非托管应用程序读取托管联系人 | 没有 | 没有 | 是的 |
| 托管应用程序编写非托管联系人 | 没有 | 没有 | 是的 |
| 托管应用中的非托管应用中的文档 | 是的 | 是的 | 是的 |
| 向苹果提交诊断报告 | 是的 | 是的 | 是的 |
| 触摸ID解锁设备 | 没有 | 是的 | 是的 |
| 锁定时的存折通知 | 没有 | 是的 | 是的 |
| 切换 | 没有 | 是的 | 是的 |
| 管理应用的iCloud同步 | 是的 | 是的 | 是的 |
| 企业图书备份 | 是的 | 是的 | 是的 |
| 企业图书的笔记和高亮同步 | 是的 | 是的 | 是的 |
| 互联网结果在聚光灯下 | 没有 | 是的 | 是的 |
| 企业应用信任 | 没有 | 是的 | 是的 |
| 仅受监督设置-允许 | |||
| 允许修改eSIM | 没有 | 没有 | 是的 |
| 擦除所有内容和设置 | 没有 | 没有 | 是的 |
| 屏幕时间 | 没有 | 没有 | 是的 |
| 播客 | 没有 | 没有 | 是的 |
| 安装配置文件 | 没有 | 没有 | 是的 |
| 指纹修改 | 没有 | 没有 | 是的 |
| 从设备安装应用程序 | 没有 | 没有 | 是的 |
| 键盘快捷键 | 没有 | 没有 | 是的 |
| 配对Apple watch | 没有 | 没有 | 是的 |
| 密码修改 | 没有 | 没有 | 是的 |
| 设备名称修改 | 没有 | 没有 | 是的 |
| 壁纸修改 | 没有 | 没有 | 是的 |
| 自动下载应用程序 | 没有 | 没有 | 是的 |
| 空投 | 没有 | 没有 | 是的 |
| iMessage | 没有 | 没有 | 是的 |
| Siri用户生成内容 | 没有 | 没有 | 是的 |
| iBooks | 没有 | 没有 | 是的 |
| 删除应用程序 | 没有 | 是的 | 是的 |
| 游戏中心 | 没有 | 没有 | 是的 |
| 添加朋友 | 没有 | 没有 | 是的 |
| 多人游戏 | 没有 | 没有 | 是的 |
| 修改帐户设置 | 没有 | 没有 | 是的 |
| 修改应用程序蜂窝数据设置 | 没有 | 没有 | 是的 |
| 修改应用程序蜂窝数据设置 | 没有 | 没有 | 是的 |
| 允许网络驱动器连接 | 没有 | 没有 | 是的 |
| 允许USB设备连接 | 没有 | 没有 | 是的 |
| 允许找到我的iPhone | 没有 | 没有 | 是的 |
| 允许查找我的朋友设置 | 没有 | 没有 | 是的 |
| 修改“查找我的朋友”设置 | 没有 | 没有 | 是的 |
| 与非configurator主机配对 | 没有 | 没有 | 是的 |
| 预测键盘 | 没有 | 没有 | 是的 |
| 键盘自动校对功能 | 没有 | 没有 | 是的 |
| 键盘拼写检查 | 没有 | 没有 | 是的 |
| 允许快捷键盘 | 没有 | 没有 | 是的 |
| 定义查询 | 没有 | 没有 | 是的 |
| 单个应用包ID | |||
| 新闻 | 没有 | 没有 | 是的 |
| Apple Music服务 | 没有 | 没有 | 是的 |
| 苹果的音乐 | 没有 | 没有 | 是的 |
| 通知修改 | 没有 | 没有 | 是的 |
| 限制应用程序使用 | 没有 | 没有 | 是的 |
| 诊断提交修改 | 没有 | 没有 | 是的 |
| 蓝牙修改 | 没有 | 没有 | 是的 |
| 允许听写 | 没有 | 没有 | 是的 |
| 修改Wi-Fi开启或关闭 | 没有 | 没有 | 是的 |
| 仅加入网络策略中安装的Wi-Fi网络 | 没有 | 没有 | 是的 |
| 允许课堂应用程序在没有提示的情况下执行AirPlay和View Screen | 没有 | 没有 | 是的 |
| 允许“课堂”应用锁定到一个应用,并在没有提示的情况下锁定设备 | 没有 | 没有 | 是的 |
| 自动加入课堂应用程序课程,无需提示 | 没有 | 没有 | 是的 |
| 允许AirPrint | 没有 | 没有 | 是的 |
| 允许存储AirPrint凭据在Keychain | 没有 | 没有 | 是的 |
| 允许使用iBeacons发现AirPrint打印机 | 没有 | 没有 | 是的 |
| 只允许AirPrint到具有可信证书的目的地 | 没有 | 没有 | 是的 |
| 添加VPN配置 | 没有 | 没有 | 是的 |
| 修改蜂窝计划设置 | 没有 | 没有 | 是的 |
| 删除系统应用 | 没有 | 没有 | 是的 |
| 设置新的附近设备 | 没有 | 没有 | 是的 |
| 允许USB受限模式 | 没有 | 没有 | 是的 |
| 强制延迟的软件更新 | 没有 | 没有 | 是的 |
| 强制软件更新延迟 | 没有 | 没有 | 是的 |
| 强制教室请求允许离开教室 | 没有 | 没有 | 是的 |
| 在自动填充之前强制验证 | 没有 | 没有 | 是的 |
| 强制自动日期和时间 | 没有 | 没有 | 是的 |
| 密码自动填充 | 没有 | 没有 | 是的 |
| 密码接近请求 | 没有 | 没有 | 是的 |
| 密码共享 | 没有 | 没有 | 是的 |
| 允许个人热点修改 | 没有 | 没有 | 是的 |
| 安全-显示在锁定屏幕 | |||
| 控制中心 | 是的 | 是的 | 是的 |
| 通知 | 是的 | 是的 | 是的 |
| 今天的观点 | 是的 | 是的 | 是的 |
| 媒体内容-允许 | |||
| 明确的音乐,播客和iTunes U材料 | 没有 | 没有 | 是的 |
| iBooks中有露骨的色情内容 | 没有 | 是的 | 是的 |
| 评级地区 | 没有 | 是的 | 是的 |
| 电影 | 没有 | 是的 | 是的 |
| 电视节目 | 没有 | 是的 | 是的 |
| 应用程序 | 没有 | 是的 | 是的 |
- 允许硬件控制
- 相机:允许用户在他们的设备上使用摄像头。
- FaceTime:允许用户在其设备上使用FaceTime。适用于受监管的iOS设备。
- 截图:允许用户在他们的设备上截图。
- 允许课堂应用程序远程观察学生的屏幕:如果未选择此限制,教师就不能使用“课堂”应用程序远程观察学生的屏幕。选择默认设置后,教师可以使用课堂应用程序观察学生的屏幕。的设置允许课堂应用程序在没有提示的情况下执行AirPlay和View Screen确定学生是否收到给予教师许可的提示。适用于受监管的iOS设备。
- 允许课堂应用程序执行AirPlay和查看屏幕没有提示:如果选择此限制,教师可以在学生设备上执行AirPlay和View Screen,而无需提示许可。默认设置为未选择。适用于受监管的iOS设备。
- 照片流:允许用户使用MyPhotoStream通过iCloud将照片分享到他们所有的iOS设备。
- 共享的照片流:允许用户使用iCloud照片共享与同事、朋友和家人共享照片。
- 允许共享iPad临时会话:禁止访问共享ipad上的临时会话。
- 语音拨号:开启用户设备语音拨号功能。
- Siri:允许用户使用Siri。
- 当设备被锁定时允许:允许用户在设备锁定的情况下使用Siri。
Siri脏话过滤器:启用Siri脏话过滤器。默认设置是限制此功能,这意味着不进行亵渎过滤。
有关Siri和安全性的详细信息,请参阅Siri和听写策略。
- 安装程序:允许用户安装应用程序。适用于受监管的iOS设备。
- 允许漫游时全局后台取回:允许设备在漫游时自动将邮件帐户同步到iCloud。当从当iOS手机漫游时,禁用全局后台取回活动。默认为在。
- 相机:允许用户在他们的设备上使用摄像头。
- 允许应用程序
- 苹果应用商店:允许用户访问苹果应用商店。适用于受监管的iOS设备。
- 应用内购买:允许用户进行应用内购买。
- 购买时需要Apple App Store密码:应用内购买需要密码。默认情况是限制此功能,这意味着应用内购买不需要密码。
- Safari:允许用户访问Safari。适用于受监管的iOS设备。
- 自动填充:允许用户在Safari上设置用户名和密码的自动填充。
- 强制欺诈警告:如果启用了此设置,并且用户访问了可疑的钓鱼网站,Safari会向用户发出警报。默认是限制此功能,这意味着不会发出警告。
- 启用JavaScript:允许JavaScript在Safari上运行。
- 阻止弹出窗口:在浏览网站时阻止弹出窗口。默认是限制此功能,这意味着不会阻止弹出窗口。
- 接受cookie:设置接受cookie的程度。在列表中,选择允许或限制cookie的选项。默认选项为总是,允许所有网站在Safari中保存cookie。其他选择包括仅当前网站,从来没有,仅限访问过的网站。
网络-允许iCloud操作
- iCloud文档和数据:允许用户将文档和数据同步到iCloud。适用于受监管的iOS设备。
- iCloud备份:允许用户将设备备份到iCloud。
- iCloud钥匙链:允许用户在iCloud Keychain中存储密码、Wi-Fi网络、信用卡等信息。
- 云图片库:允许用户访问他们的iCloud照片库。
保安-部队
默认情况下限制以下功能,这意味着不启用任何安全功能。
- 加密备份:强制备份到iCloud进行加密。
- 广告追踪有限:阻止定向广告跟踪。
- 第一次Airplay配对的密码:要求启用AirPlay的设备在使用AirPlay之前通过一次性屏幕代码进行验证。
- 配对Apple Watch使用手腕检测:需要配对的Apple Watch才能使用手腕检测。
- 使用AirDrop共享管理文档:将此选项设置为在使空投显示为一个未管理的空投目标。
安全-允许
- 接受不受信任的SSL证书:允许用户接受网站不受信任的SSL证书。
- 自动更新证书信任设置:允许自动更新受信任的证书。
- 非托管应用中托管应用的文档:允许用户将数据从托管(公司)应用程序移动到非托管(个人)应用程序。
- 受管理应用中来自非受管理应用的文档:允许用户将数据从非托管(个人)应用程序移动到托管(公司)应用程序。
- 向Apple提交诊断:允许将用户设备的匿名诊断数据发送给苹果。
- 触摸ID解锁设备:允许用户使用指纹解锁设备。
- 锁定时的存折通知:允许存折通知出现在锁定屏幕上。
- 切换:允许用户将活动从一台iOS设备转移到附近的另一台iOS设备。
- 托管应用的iCloud同步:允许用户同步管理应用到iCloud。
- 企业图书备份:允许企业图书备份到iCloud。
- 企业书籍的笔记和亮点同步:允许用户添加到企业图书的笔记和亮点同步到iCloud。
- 企业应用信任:允许信任企业应用程序。企业应用程序是为您的组织定制的任何应用程序。这些可以在内部制造,也可以从外部供应商那里开发和购买。有关其他信息,请参见在iOS上安装自定义企业应用程序。
- 重点报道节目的网络结果:允许Spotlight除了显示设备,还显示来自互联网的搜索结果。
- 非托管应用读取托管联系人:可选的。仅在以下情况下可用非托管应用中的托管应用中的文档是禁用的。如果启用此策略,非托管应用程序可以从托管帐户的联系人中读取数据。默认是从。从iOS 12开始可用。
- 托管应用程序编写非托管联系人:可选的。如果启用,允许管理应用程序将联系人写入非管理帐户的联系人。如果非托管应用中的托管应用中的文档启用时,此限制不起作用。默认是从。从iOS 12开始可用。
仅受监督设置-允许
这些设置仅适用于受监督的设备。设置iOS设备为监管模式的操作步骤请参见使用Apple Configurator 2部署设备。
- 允许修改eSIM:允许用户更改其设备上的eSIM设置。
- 删除所有内容和设置:允许用户清除设备上的所有内容和设置。
- 屏幕时间:允许用户启用屏幕使用时间。
- 播客:允许用户下载和同步播客。
- 安装配置文件:允许用户安装与您部署的配置文件不同的配置文件。
- 指纹修改:允许用户更改或删除他们的Touch ID指纹。
- 从设备安装应用程序:允许用户安装应用程序。禁用此设置将阻止最终用户安装新应用程序。App Store被禁用,主屏幕上的图标被移除。
- 键盘快捷键:允许用户为他们经常使用的单词或短语创建自定义键盘快捷键。
- 配对Apple watch:允许用户将Apple Watch与受监管的设备配对。
- 密码修改:允许用户更改受监督设备上的密码。
- 设备名称修改:允许用户更改其设备的名称。
- 壁纸修改:允许用户更改其设备上的壁纸。
- 自动下载应用程序:允许应用程序下载。
- 空投:允许用户与附近的iOS设备共享照片、视频、网站、位置等。
- iMessage:允许用户使用iMessage通过Wi-Fi发送短信。
- Siri用户生成内容:允许Siri从网络上查询用户生成的内容。消费者,而不是传统的记者;生成用户生成的内容。例如,在Twitter或Facebook上发现的内容是用户生成的。
- iBooks:允许用户使用iBooks应用程序。
- 删除应用程序:允许用户从他们的设备上删除应用。
- 游戏中心:允许用户在他们的设备上通过Game Center玩在线游戏。
- 添加朋友:允许用户向好友发送游戏通知。
- 多人游戏:允许用户在他们的设备上开始多人游戏。
- 修改帐号设置:允许用户修改其设备帐户设置。
- 修改应用手机数据设置:允许用户修改应用程序使用蜂窝数据的方式。
- 允许网络驱动器连接:防止在文件应用程序连接到网络驱动器。
- 允许USB设备连接:防止连接到任何连接的USB设备在文件应用程序。
- 允许找到我的iPhone:禁用找到我的iPhone选项。
- 允许查找我的朋友设置:禁用找到我的朋友选项。
- 修改“查找好友”设置:允许用户更改“查找我的朋友”设置。
- 与非configurator主机配对:允许管理员控制用户设备可以与哪些设备配对。禁用此设置将阻止配对,除非与运行Apple Configurator的监督主机配对。如果没有配置监管主机证书,将禁用所有配对。
- 预测键盘:允许用户设备在输入时使用预测键盘来提示单词。在管理标准化测试(如不希望用户访问建议的单词)等情况下禁用此选项。
- 键盘自动校对功能:允许用户设备使用键盘自动纠错。在管理标准化测试(如不希望用户访问自动更正)等情况下禁用此选项。
- 键盘拼写检查:允许用户设备在打字时使用拼写检查。在不希望用户访问拼写检查器的情况下,例如管理标准化测试时,请禁用此选项。
- 定义查找:允许用户设备在输入时使用定义查找。在不希望用户在键入时查找定义的情况下,例如管理标准化测试,请禁用此选项。
- 单个App bundle ID:创建一个应用程序列表,允许保留对设备的控制,并防止与其他应用程序或功能交互。添加应用:单击添加,输入应用程序名称,并按保存。对每一个你想添加的应用重复这个过程。
- 新闻:允许用户使用新闻应用程序。
- Apple Music服务:允许用户使用Apple Music服务。如果你不允许苹果音乐服务,音乐应用程序运行在经典模式。
- 苹果音乐:允许用户使用Apple Music。
- 通知修改:允许用户修改通知设置。
限制应用程序使用:根据你提供的bundle id,允许用户使用所有应用程序,或者使用或不使用应用程序。仅适用于受监管的设备。如果你选择只允许部分应用,添加一个带有bundle ID的应用
com.apple.webapp允许网络剪辑。注意:
从iOS 11开始,苹果对应用程序限制的政策进行了修改。苹果不再允许你通过限制适当的iOS应用程序包来删除对设置应用程序和手机应用程序的访问权限。
在您配置了限制设备策略以阻止某些应用并部署该策略之后:如果您以后想要允许其中的部分或全部应用,更改和部署限制设备策略不会改变限制。在这种情况下,iOS不会将更改应用到iOS配置文件中。请使用“配置文件移除策略”移除iOS配置文件,然后部署更新后的“限制”设备策略。
如果将此设置更改为只允许一些应用程序:在部署此策略之前,建议使用Apple部署计划注册的设备的用户从安装助手登录到他们的Apple帐户。否则,用户可能不得不在他们的设备上禁用双因素身份验证,以登录他们的苹果账户并访问允许的应用程序。
- 诊断提交修改:允许用户修改诊断提交和应用程序分析设置“设置>诊断与使用”窗格。
- 蓝牙修改:允许用户修改蓝牙设置。
- 允许听写:监督。如果此限制设置为从,不允许听写输入,包括语音转文本。默认设置为在。
- 修改Wi-Fi开启或关闭:禁止在设置或控制中心中打开或关闭Wi-Fi。进入飞行模式也没有效果。这个限制并不妨碍选择使用哪个Wi-Fi网络。
- 仅加入由网络策略安装的Wi-Fi网络:可选的。监督。如果此限制设置为在只有通过配置文件设置Wi-Fi网络后,设备才能加入Wi-Fi网络。默认设置为从。
- 允许课堂应用程序执行AirPlay和查看屏幕没有提示:如果选择此限制,教师可以在学生设备上执行AirPlay和View Screen,而无需提示许可。默认设置为未选择。适用于受监管的iOS设备。
- 允许“课堂”应用锁定到一个应用,并在没有提示的情况下锁定设备:如果此限制设置为在时,“课堂”应用会自动将用户设备锁定到某个应用,并锁定设备,而无需提示用户。默认设置为从。适用于运行iOS 11(最低版本)的受监管设备。
- 自动加入课堂应用程序课程,无需提示:如果此限制设置为在,“课堂”应用程序会自动将用户加入到课程中,而不会提示用户。默认设置为从。适用于运行iOS 11(最低版本)的受监管设备。
- 允许AirPrint:如果此限制设置为从在美国,用户无法使用AirPrint打印。默认设置为在。当这个限制是在,这些额外的限制出现了。适用于运行iOS 11(最低版本)的受监管设备。
- 允许存储AirPrint凭据在Keychain:如果不选择此限制,则AirPrint用户名和密码不会存储在Keychain中。选择默认设置。适用于运行iOS 11(最低版本)的受监管设备。
- 允许使用iBeacons发现AirPrint打印机:如果不选择此限制,则禁用AirPrint打印机的iBeacon发现。此设置可防止伪造的AirPrint蓝牙信标对网络流量进行网络钓鱼。选择默认设置。适用于运行iOS 11(最低版本)的受监管设备。
- 只允许AirPrint到具有可信证书的目的地:如果选择此限制,用户可以使用AirPrint只打印到具有受信任证书的目的地。默认设置为未选择。适用于运行iOS 11(最低版本)的受监管设备。
- 添加VPN配置:如果此限制设置为从,用户无法创建VPN配置。默认设置为在。适用于运行iOS 11(最低版本)的受监管设备。
- 修改蜂窝计划设置:如果此限制设置为从,用户不能修改手机套餐设置。默认设置为在。适用于运行iOS 11(最低版本)的受监管设备。
- 删除系统应用程序:如果此限制设置为从,用户不能从他们的设备上删除系统应用程序。默认设置为在。适用于运行iOS 11(最低版本)的受监管设备。
- 设置新的附近设备:如果将此限制设置为“关闭”,则用户不能设置新的附近设备。默认设置为“开启”。适用于运行iOS 11(最低版本)的受监管设备。
- 允许USB受限模式:如果从,设备在锁定状态下始终可以连接USB配件。默认是在。仅适用于受监管的iOS 11.3及更高版本的设备。
- 强制延迟的软件更新:如果在,延迟了用户对软件更新的可见性。有了这个限制,用户在软件更新发布日期之后的指定天数才会看到软件更新。默认是从。仅适用于受监管的iOS 11.3及更高版本的设备。操作系统更新策略包含更多控制设备接收更新频率的设置。看到操作系统更新设备策略。
- 强制软件更新延迟(天):允许您指定延迟设备上的软件更新的天数。最大延迟为90天。默认是30.天。仅适用于受监管的iOS 11.3及更高版本的设备。
- 强制教室请求允许离开课堂;如果在在课堂上注册了非管理课程的学生,在试图离开该课程时必须获得老师的许可。默认是从。仅适用于受监管的iOS 11.3及更高版本的设备。
- 自动填充前强制认证:强制用户在使用自动填充功能之前进行身份验证。
- 强制自动日期和时间:允许您在监督设备上自动设置日期和时间。如果在,设备用户无法清除设置自动下一般>日期和时间。只有当设备能够确定自己的位置时,设备上的时区才会更新。也就是说,当设备具有蜂窝连接或Wi-Fi连接并启用了定位服务时。默认是从。仅适用于受监督的iOS 12及更高版本的设备。
- 密码自动填充:可选的。如果禁用,用户将无法使用自动填充密码或自动强密码功能。默认是在。从iOS 12开始可用。
- 密码接近请求:可选的。如果禁用,用户的设备不会向附近的设备请求密码。默认是在。从iOS 12开始可用。
- 密码共享:可选的。如果禁用,用户就不能使用AirDrop密码功能共享他们的密码。默认是在。从iOS 12开始可用。
- 允许个人热点修改:禁止用户更改个人热点设置。
- 安全-显示在锁定屏幕
- 控制中心:在锁定屏幕上允许进入控制中心。控制中心允许用户轻松修改飞行模式,Wi-Fi,蓝牙,请勿打扰模式和锁定旋转设置。
- 通知:允许在锁定屏幕上显示通知。
- 今天的观点:允许“今日视图”在锁定屏幕上聚合天气和当天日历项目等信息。
- 媒体内容-允许
- 明确的音乐,播客和iTunes U材料:允许在用户的设备上出现露骨的内容。
- iBooks中的露骨色情内容:允许从iBooks下载露骨的内容。
- 评级地区:设置从哪个区域获得家长控制等级。在列表中单击国家,设置评级区域。默认值为美国。
- 电影:设置用户设备上是否允许播放电影。如果允许观看电影,可以选择设置电影的评级级别。在列表中,单击一个选项来允许或限制设备上的电影。默认是允许所有电影。
- 电视节目:设置是否允许在用户设备上播放电视节目。如果允许播放电视节目,可选择设置电视节目的评级级别。在列表中,单击一个选项来允许或限制设备上的电视节目。默认是允许所有电视节目。
- 应用程序:设置用户设备上是否允许使用应用程序。如果允许应用程序,可选择设置应用程序的评级级别。在列表中,单击一个选项来允许或限制设备上的应用程序。默认是允许所有应用程序。
- 策略设置
- 删除政策:选择调度策略删除的方法。可用的选项有选择日期和移除前持续时间(以小时计)
- 选择日期:单击日历以选择要删除的特定日期。
- 移除前持续时间(以小时计):键入一个数字,以小时为单位,直到策略删除发生。仅适用于iOS 6.0及更高版本。
- 概要范围:选择此策略是否适用于a用户或者整个系统。默认值为用户。此选项仅在iOS 9.3及更高版本上可用。
- 删除政策:选择调度策略删除的方法。可用的选项有选择日期和移除前持续时间(以小时计)
macOS设置
| 设置 | 无人管理的 | 监督 |
|---|---|---|
| 应用程序 | ||
| 允许使用Game Center | 没有 | 是的 |
| 允许添加Game Center好友 | 没有 | 是的 |
| 允许多人游戏 | 没有 | 是的 |
| 允许Game Center账号修改 | 是的 | 是的 |
| 允许应用商店采用 | 是的 | 是的 |
| 允许Safari自动填充 | 没有 | 是的 |
| 需要管理员密码来安装或更新应用程序 | 是的 | 是的 |
| 限制App Store仅提供软件更新 | 是的 | 是的 |
| 限制允许打开哪些应用程序 | 是的 | 是的 |
| 媒体 | ||
| 允许空投 | 没有 | 是的 |
| 功能 | ||
| 锁定桌面图片 | 没有 | 是的 |
| 允许使用相机 | 没有 | 是的 |
| 允许苹果音乐 | 没有 | 是的 |
| 允许聚光灯下的建议 | 是的 | 是的 |
| 允许查找 | 是的 | 是的 |
| 允许本地帐户使用iCloud密码 | 是的 | 是的 |
| 允许iCloud文档和数据 | 是的 | 是的 |
| 允许使用iCloud桌面和文档 | 没有 | 是的 |
| 允许iCloud钥匙扣同步 | 没有 | 是的 |
| 允许iCloud邮件 | 是的 | 是的 |
| 允许iCloud联系人 | 是的 | 是的 |
| 允许使用iCloud日历 | 是的 | 是的 |
| 允许iCloud提醒 | 是的 | 是的 |
| 允许iCloud书签 | 是的 | 是的 |
| 允许使用iCloud笔记 | 是的 | 是的 |
| 允许使用iCloud照片 | 是的 | 是的 |
| 允许自动解锁 | 是的 | 是的 |
| 允许Touch ID解锁Mac | 是的 | 是的 |
| 强制延迟的软件更新 | 没有 | 是的 |
| 密码自动填充 | 没有 | 是的 |
| 密码接近请求 | 没有 | 是的 |
| 密码共享 | 是的 | 是的 |
- 首选项
- 限制系统首选项:允许或限制用户访问系统首选项。默认值为从,它允许用户完全访问系统首选项。如果启用,请配置以下设置。
- 系统偏好面板:选择您选择的设置是启用还是禁用。默认情况下是启用所有设置,即在默认情况下。
- 用户和组
- 一般
- 可访问性
- 应用程序商店
- 软件更新
- 蓝牙
- cd和dvd
- 日期和时间
- 桌面和屏幕保护程序
- 显示
- 码头
- 节省能源
- 扩展
- FibreChannel
- iCloud
- 墨水
- 网络账户
- 键盘
- 语言与文字
- 任务控制
- 鼠标
- 网络
- 通知
- 家长控制
- 打印机和扫描仪
- 配置文件
- 安全与隐私
- 分享
- 声音
- 听写与演讲
- 关注的焦点
- 启动盘
- 时间机器
- 触控板
- Xsan
- 系统偏好面板:选择您选择的设置是启用还是禁用。默认情况下是启用所有设置,即在默认情况下。
- 限制系统首选项:允许或限制用户访问系统首选项。默认值为从,它允许用户完全访问系统首选项。如果启用,请配置以下设置。
- 应用程序
- 允许使用Game Center:允许用户通过游戏中心玩在线游戏。默认值为在。
- 允许添加Game Center好友:允许用户向好友发送游戏通知。默认值为在。
- 允许多人游戏:允许用户发起多人游戏。默认值为在。
- 允许Game Center账号修改:允许用户修改他们的Game Center帐户设置。默认值为在。
- 允许应用商店采用:允许或限制应用商店采用OS x中已有的应用程序。默认值为在。
- 允许Safari自动填充:允许Safari在网站上自动填充密码、地址和其他存储的基本信息。默认值为在。
- 需要管理员密码来安装或更新应用程序:安装或更新应用程序需要管理员密码。默认值为从,这意味着不需要管理员密码。
- 限制App Store仅为软件更新:将App Store限制为只有更新,这将禁用App Store中除了更新之外的所有选项卡。默认值为从,允许完全访问App Store。
- 限制允许打开哪些应用程序:限制或允许用户使用应用程序。默认为关闭,允许使用所有应用程序。如果启用,请配置以下设置:
- 允许应用程序:点击添加、输入允许启动的应用程序的名称和bundle ID,然后单击保存。对于思杰移动生产力应用程序,请使用包ID字段。对允许启动的每个应用重复此步骤。
- 不允许文件夹:点击添加,键入要限制用户访问的文件夹的文件路径(例如,/Applications/Utilities),然后单击保存。对不希望用户访问的所有文件夹重复此步骤。
- 允许文件夹:点击添加时,键入要授予用户访问权限的文件夹的文件路径,然后单击保存。对希望用户能够访问的所有文件夹重复此步骤。
- 小部件
- 只允许运行以下仪表板小部件:如果在,用户只能运行在此设置中配置的Dashboard小部件。默认值为从,它允许用户运行所有小部件。如果启用,请配置以下设置:
- 允许部件:点击添加,键入允许运行的小部件的名称和ID,然后单击保存。对要在Dashboard上运行的每个小部件重复此步骤。
- 只允许运行以下仪表板小部件:如果在,用户只能运行在此设置中配置的Dashboard小部件。默认值为从,它允许用户运行所有小部件。如果启用,请配置以下设置:
- 媒体
- 允许空投:允许用户与附近的iOS设备共享照片、视频、网站、位置等。
- 分享
- 自动启用新的共享服务:选择是否自动启用共享服务。
- 邮件:选择是否允许共享邮箱。
- Facebook:选择是否允许共享Facebook帐户。
- 视频服务——Flickr、Vimeo、土豆和优酷;选择是否允许共享视频业务。
- 添加到光圈:选择是否允许共享功能添加到光圈。
- 新浪微博:选择是否允许共享新浪微博账号。
- Twitter:选择是否允许共享Twitter帐户。
- 消息:选择是否允许对消息进行共享访问。
- 添加到iPhoto:选择是否允许共享功能添加到iPhoto中。
- 添加到阅读列表:选择是否允许共享能力添加到“阅读列表”。
- 空投:选择是否允许共享AirDrop帐户。
- 功能
- 锁定桌面图片:选择用户是否可以更改桌面图片。默认值为从,这意味着用户可以更改桌面图片。
- 允许使用相机:选择用户是否可以在他们的mac上使用相机。默认值为从这意味着用户无法使用摄像头。
- 允许苹果音乐:允许用户使用Apple Music服务(macOS 10.12及更高版本)。如果你不允许苹果音乐服务,音乐应用程序运行在经典模式。仅适用于受监管的设备。默认为在。
- 建议:选择用户是否可以使用Spotlight建议来搜索他们的Mac,并提供来自互联网和应用商店的Spotlight建议。默认值为从,阻止用户使用聚光灯建议。
- 允许查找:选择用户是否可以通过上下文菜单或Spotlight搜索菜单查找单词的定义。默认设置为“关闭”,这将阻止用户在mac电脑上使用“查找”功能。
- 允许本地帐户使用iCloud密码:选择用户是否可以使用他们的Apple ID和iCloud密码登录他们的mac电脑。启用此策略意味着用户只能使用一个ID和密码所有他们的mac电脑上的登录屏幕。默认值为在用户可以使用他们的苹果ID和iCloud密码来访问他们的mac电脑。
- 允许iCloud文档和数据:选择是否允许用户在mac上访问存储在iCloud上的文档和数据。默认值为在该功能可以防止用户在mac电脑上使用iCloud的文档和数据。
- 允许iCloud桌面和文档:(macOS 10.12.4及以上版本)采用默认设置。
- 允许iCloud钥匙扣同步:允许iCloud Keychain同步(macOS 10.12及以上版本)。默认值为在。
- 允许iCloud邮件:允许用户使用iCloud Mail (macOS 10.12及以上版本)。默认值为在。
- 允许iCloud联系人:允许用户使用iCloud通讯录(macOS 10.12及以上版本)。默认值为在。
- 允许iCloud日历:允许用户使用iCloud日历(macOS 10.12及更高版本)。默认值为在。
- 允许iCloud提醒:允许用户使用iCloud提醒(macOS 10.12及更高版本)。默认值为在。
- 允许iCloud书签:允许用户与iCloud书签同步(macOS 10.12及更高版本)。默认值为在。
- 允许iCloud笔记:允许用户使用Cloud Notes (macOS 10.12及更高版本)。默认值为在。
- 允许iCloud照片:如果将此设置更改为从,任何未从iCloud Photo Library下载完整的照片都将从本地设备存储中删除(macOS 10.12及更高版本)。默认值为在。
- 允许自动解锁:有关此选项和Apple Watch的信息,请参见https://www.imore.com/auto-unlock(macOS 10.12及更高版本)。默认值为在。
- 允许Touch ID解锁Mac:(macOS 10.12.4及更高版本)。默认值为在。
- 强制延迟的软件更新:如果在,此设置会延迟用户对软件更新的可见性。在软件更新发布日期之后的指定天数内,用户才会看到软件更新。默认是从。仅适用于运行macOS 10.13.4及以上版本的受监管设备。操作系统更新策略包含更多控制设备接收更新频率的设置。看到操作系统更新设备策略。
- 强制软件更新延迟(天):指定在设备上延迟软件更新的天数。最长为90天。默认是30.。仅适用于运行macOS 10.13.4及以上版本的受监管设备。
- 密码自动填充:可选的。如果禁用,用户将无法使用自动填充密码或自动强密码功能。默认是在。(macOS 10.14及更高版本)
- 密码接近请求:可选的。如果禁用,用户的设备不会向附近的设备请求密码。默认是在。(macOS 10.14及更高版本)
- 密码共享:可选的。如果禁用,用户就不能使用AirDrop密码功能共享他们的密码。默认是在。(macOS 10.14及更高版本)
tvo设置
- 安全和媒体设置-允许
- 第一次AirPlay配对的密码:要求启用AirPlay的设备在使用AirPlay之前通过一次性屏幕代码进行验证。
- iBooks中的露骨色情内容:允许从iBooks下载露骨的内容。
- 明确的音乐,播客和iTunes U材料:允许在用户设备上出现露骨的内容。
- 应用内购买:允许用户进行应用内购买。
- 购买时需要Apple App Store密码:应用内购买需要密码。默认情况是限制此功能,这意味着应用内购买不需要密码。
- 仅受监督设置-允许
- 设备名称修改:允许用户更改其设备的名称。
- 允许与Apple TV Remote应用程序配对:允许用户将他们的设备与Apple TV Remote应用程序配对。
Siri脏话过滤器:Siri亵渎过滤器:启用Siri亵渎过滤器。默认设置是限制此功能,这意味着不进行亵渎过滤。
有关Siri和安全性的详细信息,请参阅Siri和听写策略。
- 启用AirPlay:允许用户在此设备上流式传输内容或镜像他们的iOS设备屏幕。
限制应用程序使用:根据你提供的bundle id,允许用户使用所有应用程序,或者使用或不使用应用程序。仅适用于受监管的设备。
在您配置了限制设备策略以阻止某些应用并部署该策略之后:如果您以后想要允许其中的部分或全部应用,更改和部署限制设备策略不会改变限制。在这种情况下,iOS不会将更改应用到iOS配置文件中。
如果将此设置更改为只允许一些应用程序:在部署此策略之前,建议使用Apple部署计划注册的设备的用户从安装助手登录到他们的Apple帐户。否则,用户可能不得不在他们的设备上禁用双重身份验证,以登录他们的苹果账户并访问允许的应用程序。
- 策略设置
- 删除政策:选择调度策略删除的方法。可用的选项有选择日期和移除前持续时间(以小时计)
- 选择日期:单击日历以选择要删除的特定日期。
- 移除前持续时间(以小时计):键入一个数字,以小时为单位,直到策略删除发生。
- 允许用户删除策略:您可以选择用户何时可以从其设备中删除策略。选择总是,密码需要,或从来没有菜单上的。如果你选择密码需要,在删除密码字段。iOS不可用。
- 删除政策:选择调度策略删除的方法。可用的选项有选择日期和移除前持续时间(以小时计)
安卓系统设置
- 相机:允许用户在他们的设备上使用摄像头。如果从,则摄像头关闭。默认为在。
Android企业设置
当一个新的或出厂重置的Android设备注册在工作配置文件模式,设备运行Android 8.0-10。X注册为具有工作配置文件的完全托管设备。运行Android 11+的设备在企业设备上注册为工作配置文件。限制策略既可以应用于设备上的工作配置文件,也可以应用于被管理设备。
在企业自有设备模式下注册工作配置文件的设备上,以下限制不起作用:
- 允许备份服务
- 启用系统应用
- 不要让键盘锁住设备
- 允许使用状态栏
- 保持设备屏幕常亮
- 允许用户控制应用程序设置
- 允许用户配置用户凭据
- 允许配置VPN
- 允许USB大容量存储
- 允许重置出厂
- 允许卸载应用程序
- 允许非google Play应用
- 允许交叉配置文件复制和粘贴
- 启用应用验证
- 允许账户管理
- 允许印刷
- 允许NFC
- 允许添加用户
默认情况下,USB调试和未知来源当设备在工作配置文件模式下注册到Android Enterprise时,设备上的设置将被禁用。
适用于运行Android 8.0-10的设备。x和三星Knox 3.0及以上版本,配置三星Knox和三星SAFEAndroid的企业页面。对于运行较早版本的Android或三星Knox的设备,请使用三星诺克斯和三星安全页面。
三星的限制不适用于在企业自有设备模式下注册工作配置文件的设备。使用Knox服务插件(KSP)将三星限制应用于这些设备。有关更多信息,请参见三星电子文档。
我们建议您使用Samsung Knox 3.4或更高版本,以获得最新的Samsung Knox管理功能。
观看这个视频了解更多信息:
- 适用于具有工作配置文件的完全管理设备/企业自有设备上的工作配置文件:允许为具有工作配置文件的完全管理设备配置限制策略设置。这些设备也被称为COPE(公司拥有的个人启用的)设备。当这个设置为在,选择以下设置之一:
- 工作简介:您配置的限制设置仅适用于设备上的工作配置文件。
- 设备管理:您配置的限制设置仅适用于该设备。
当这个设置为从,您配置的凭据设置将应用于设备,但显式应用于工作配置文件的设置除外。默认是从。
当适用于具有工作配置文件的完全管理设备/企业自有设备上的工作配置文件为off,请配置以下设置:
安全
- 允许账户管理:允许将帐户添加到工作配置文件和管理设备中。默认是从。
- 允许跨剖面复制和粘贴:如果在,用户可以在Android企业档案中的应用程序和个人区域中的应用程序之间复制粘贴。默认是从。
- 允许屏幕截图:允许用户记录或截取设备屏幕的屏幕截图。默认是从。
- 允许使用相机:允许用户使用设备摄像头拍照和制作视频。默认是从。
- 允许配置VPN:允许用户创建VPN配置。适用于运行Android 6及更高版本的工作配置文件设备以及完全管理的设备。默认是在。
- 允许备份服务:允许用户备份设备上的应用程序和系统数据。默认是在。
- 允许NFC:允许用户使用近场通信(NFC)将网页、照片、视频或其他内容从他们的设备发送到另一个设备。适用于MDM 4.0及更高版本。默认是在。
- 允许配置位置提供程序:允许用户在他们的设备上打开GPS。适用于Android API 28及更高版本。默认是在。
允许位置共享:对于托管配置文件,设备所有者可以覆盖此设置。默认是从。
提示:
您可以在端点管理中创建位置设备策略来强制执行地理边界。看到定位设备策略。
- 允许用户配置用户凭据:指定用户是否可以在托管的密钥库中配置凭据。默认是在。
- 允许印刷:如果在,该设置允许用户从用户设备可访问的任何打印机上打印。默认值为从。适用于:Android 9及以上版本。
- 允许USB调试:默认是从。
应用程序
- 启用系统应用程序:允许用户运行预装的设备应用程序。默认是从。如果需要启用特定应用,请单击添加在系统应用程序列表表格
- 系统应用程序列表:您希望在设备上启用的系统应用程序列表。集启用系统应用来在并添加应用程序包名。要查找一个系统应用程序的包名,你可以使用Android Debug Bridge (
亚洲开发银行)调用Android包管理器(点)命令。例如,Adb shell "pm list packages -f name",其中“name”是包名称的一部分。有关更多信息,请参见https://developer.android.com/studio/command-line/adb。对于Android Enterprise设备,您可以使用Android企业应用程序权限政策。
- 系统应用程序列表:您希望在设备上启用的系统应用程序列表。集启用系统应用来在并添加应用程序包名。要查找一个系统应用程序的包名,你可以使用Android Debug Bridge (
- 禁用应用程序:阻止指定的应用程序列表在设备上运行。默认是从。要禁用已安装的应用程序,请将设置更改为在然后点击添加在应用程序列表表格
- 应用程序列表:你想要屏蔽的应用程序列表。集禁用应用程序来在并添加应用。输入应用包名称。修改和部署应用列表会覆盖之前的应用列表。例如:如果您禁用了com。Example1和com。Example2,然后稍后将列表更改为com。Example1和com。example3,端点管理启用com. example2。
- 启用应用验证:启用操作系统扫描应用程序以检测恶意行为。默认是在。
- 启用Google apps:允许用户从谷歌移动服务下载应用程序到设备上。默认是在。
- 允许非google Play应用:允许安装应用程序从商店以外的Google Play。默认是从。
- 允许用户控制应用程序设置:允许用户卸载应用程序,禁用应用程序,清除缓存和数据,强制停止任何应用程序,清除默认设置。用户从设置应用程序执行这些操作。默认值为从。
- 允许卸载应用程序:允许用户卸载应用程序从管理谷歌Play商店。默认是从。
- 启用系统应用程序:允许用户运行预装的设备应用程序。默认是从。如果需要启用特定应用,请单击添加在系统应用程序列表表格
BYOD工作概况
- 允许在主屏幕上显示工作配置文件应用程序小部件:如果此设置为在,用户可以在设备主屏幕上放置工作配置应用程序小部件。如果此设置为从,用户不能在设备主屏幕上放置工作配置文件应用程序小部件。默认是从。
- 允许插件的应用程序:你想在主屏幕上允许的应用程序列表。集允许在主屏幕上显示工作配置文件应用程序小部件来在添加应用。单击添加然后从列表中选择一个你想在主屏幕上显示的应用程序。点击保存。重复该过程以允许更多应用程序小部件。
- 在设备联系人中允许工作配置文件联系人:在父配置文件中显示受管理的Android Enterprise配置文件中的联系人,用于传入呼叫(Android 7.0及更高版本)。默认是从。
- 允许在主屏幕上显示工作配置文件应用程序小部件:如果此设置为在,用户可以在设备主屏幕上放置工作配置应用程序小部件。如果此设置为从,用户不能在设备主屏幕上放置工作配置文件应用程序小部件。默认是从。
仅限完全管理的设备
- 允许添加用户:允许用户在设备上添加新用户。默认是在。
- 允许数据漫游:允许用户在漫游时使用蜂窝数据。默认设置为“关闭”,即禁用用户设备上的漫游功能。默认是从。
- 让短信:允许用户发送和接收短信。默认是从。
- 允许使用状态栏:如果在,此设置启用被管理设备和专用设备(也称为COSU设备)上的状态栏。此设置禁用通知、快速设置和其他允许从全屏模式退出的屏幕覆盖。用户可以进入系统设置并查看通知。适用于Android 6.0及更高版本。默认是从。
- 允许蓝牙:允许用户使用蓝牙。默认是在。
- 允许蓝牙共享:如果未选中,用户将无法在其设备上建立外发蓝牙共享。选择默认值。
- 允许配置日期和时间:允许用户更改设备上的日期和时间。默认是在。
- 允许出厂重置:允许用户在他们的设备上进行出厂重置。默认是在。
- 保持设备屏幕常亮:如果此设置设置为在,当设备插入时,设备屏幕保持亮着。默认是从。
- 允许USB大容量存储:允许通过USB连接在用户设备和计算机之间传输大数据文件。默认是在。
- 允许麦克风:允许用户在他们的设备上使用麦克风。默认是在。
- 允许拘束:允许用户配置便携式热点和连接数据。默认是从。
- 防止键盘锁住设备;如果在,此设置在托管设备和专用设备(也称为COSU设备)的锁定屏幕上禁用keyguard。默认是从。
- 允许Wi-Fi更改:如果在,用户可以打开或关闭Wi-Fi,并连接到Wi-Fi网络。默认是在。
- 允许文件传输:允许通过USB传输文件。默认是从。
三星
- 启用TIMA密钥库:TIMA Keystore为对称密钥提供基于trustzone的安全密钥存储。RSA密钥对和证书被路由到默认密钥存储提供程序进行存储。默认是从。
- 允许共享列表:允许用户在共享Via列表中的应用程序之间共享内容。默认是在。
- 启用审计日志:允许创建事件审计日志,以便对设备进行取证分析。默认是从。
三星:只有完全管理的设备
- 启用ODE可信引导验证:使用ODE可信引导验证来建立从引导加载程序到系统映像的信任链。默认是在。
- 只允许紧急呼叫:允许用户在其设备上启用“紧急呼叫”模式。默认是从。
- 允许固件恢复:允许用户恢复其设备上的固件。默认是在。
- 允许快速加密:只允许加密已使用的内存空间。这种加密与全磁盘加密不同,全磁盘加密对所有数据进行加密。这些数据包括设置、应用程序数据、下载的文件和应用程序、媒体和其他文件。默认是在。
- 启用Common Criteria模式:将设备置于通用标准模式。Common Criteria配置强制执行严格的安全流程。默认是在。
- 启用重启横幅:当用户的设备重新启动时,显示DoD批准的系统使用通知消息或横幅。默认是从。
- 允许设置更改:允许用户更改其完全管理的设备上的设置。默认是在。
- 启用后台数据使用:允许应用程序在后台同步数据。对于完全管理的设备。默认是在。
- 允许剪贴板:允许用户将数据复制到其设备上的剪贴板。
- 允许剪贴板共享:允许用户在其设备和计算机之间共享剪贴板内容(MDM 4.0及更高版本)。
- 允许主键:允许用户使用首页密钥在他们完全管理的设备上。默认是在。
- 允许模拟位置:允许用户伪造他们的GPS位置。对于完全管理的设备。默认是从。
- NFC:允许用户在完全管理的设备上使用NFC (MDM 3.0及更高版本)。默认是在。
- 允许断电:允许用户关闭完全管理的设备(MDM 3.0及更高版本)。默认是在。
- 允许Wi-Fi直通:允许用户通过Wi-Fi连接直接连接到另一台设备。默认是在。如果在,则必须启用允许更改Wi-Fi设置。
- 允许SD卡:允许用户使用SD卡,如果有的话,与他们的设备。默认是在。
- 允许USB主机存储:当USB设备连接到用户的设备时,允许用户的设备作为USB主机。然后用户的设备为USB设备供电。默认是在。
- 允许语音拨号:允许用户在其设备上使用语音拨号器(MDM 4.0及更高版本)。默认是在。
- 允许S梁:允许用户使用NFC和Wi-Fi Direct (MDM 4.0及更高版本)与他人共享内容。默认是在。
- 允许S的声音:允许用户在其设备上使用智能个人助理和知识导航器(MDM 4.0及更高版本)。默认是在。
- 允许USB连接:允许用户使用USB连接与其他设备共享移动数据连接。默认值为从。如果在的允许拘束设置必须是在也
- 允许蓝牙连接:允许用户使用蓝牙连接与其他设备共享移动数据连接。默认值为从。如果在的允许拘束设置必须是在也
- 允许蓝牙共享:如果未选中,用户将无法在其设备上建立外发蓝牙共享。选择默认值。
- 允许Wi-Fi网络连接:允许用户通过Wi-Fi连接与其他设备共享移动数据连接。默认值为从。如果在的允许拘束设置必须是在也
- 允许传入彩信:允许用户接收彩信。默认是从。如果在,你必须打开让短信设置。
- 允许发送彩信:允许用户发送彩信。默认是从。如果在,你必须打开让短信设置。
- 允许传入短信:允许用户接收短信。默认是从。如果在,你必须打开让短信设置。
- 允许外发短信:允许用户发送短信。默认是从。如果在,你必须打开让短信设置。
- 配置移动网络:允许用户使用他们的蜂窝数据连接。默认是从。
- 按天计算(MB):输入用户每天可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 周限(MB):输入用户每周可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 每月限额(MB):输入用户每月可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 只允许安全VPN连接:允许用户只使用安全连接(MDM 4.0及更高版本)。默认是在。
- 允许录音:允许用户用他们的设备录制音频(MDM 4.0及更高版本)。默认是在。如果在你必须打开允许麦克风设置。
- 允许录像:允许用户用他们的设备录制视频(MDM 4.0及更高版本)。默认是从。如果在你必须打开允许使用相机设置。
- 允许在漫游时推送消息:允许用户使用蜂窝数据进行推送。默认是从。如果在,则必须启用允许数据漫游设置。
- 允许漫游时自动同步:允许用户使用蜂窝数据进行同步。默认是从。如果在,则必须启用允许数据漫游设置。
- 漫游时允许语音通话:允许用户使用蜂窝数据进行语音通话。默认是从。如果在,则必须启用允许数据漫游设置。
三星:Knox容器/完全管理设备
- 启用撤销检查:启用检查已撤销的证书。默认是从。
三星:只有诺克斯容器
- 移动应用到容器:允许用户在Knox容器和设备上的个人区域之间移动应用程序。默认是在。
- 实施多因素身份验证:用户必须使用指纹和其他一种身份验证方法(如密码或PIN)才能打开设备。默认是在。
- 对容器强制身份验证:使用与解锁设备所用方法不同的身份验证方法来打开KNOX容器。默认是在。
- 启用安全键盘:强制用户在Knox容器内使用安全键盘。默认是在。
三星:敏捷
- 启用三星DeX:使支持knox的设备在Samsung DeX模式下运行。要求三星Knox 3.1(最低版本)。默认是在。有关Samsung DeX设备要求和设置Samsung DeX的信息,请参阅Samsung Developers文档。
- 仅允许以太网在DeX模式下运行:启用在Samsung DeX模式下使用以太网。在DeX模式下,蜂窝数据、Wi-Fi和tethering (Wi-Fi、蓝牙和USB)受到限制。默认是未选择的。
- 上传DeX logo图片:选择此设置以指定一个.png图像作为Samsung DeX的图标。
- DeX屏幕超时(秒):指定空闲时间(以秒为单位),之后DeX屏幕将关闭。要禁用超时,请输入0。默认是1200秒(20分钟)。
- 在Samsung DeX中添加应用快捷方式:指定一个应用包名,为应用添加到DeX的快捷方式。要查找应用程序包名称,请转到Google Play并选择应用程序。URL包含包名称:
https://play.google.com/store/apps/details?id= < package.name > < !——NeedCopy >。 - 删除三星DeX中的应用快捷方式:指定一个应用包名,从DeX中删除快捷方式。去Google Play查找应用程序包名称。
- 在三星DeX中禁用的应用程序包:指定要阻止三星DeX模式的应用程序包的逗号分隔列表。例如:
“com.android。chrome”、“com.google.android.gm“< !——NeedCopy >。
- 启用三星DeX:使支持knox的设备在Samsung DeX模式下运行。要求三星Knox 3.1(最低版本)。默认是在。有关Samsung DeX设备要求和设置Samsung DeX的信息,请参阅Samsung Developers文档。
当适用于具有工作配置文件的完全管理设备/企业自有设备上的工作配置文件是on和对于具有工作配置文件的完全管理的设备,将策略应用于设为工作概要,配置这些设置:
安全
- 允许账户管理:允许将帐户添加到工作配置文件和管理设备中。默认是从。
- 允许跨剖面复制和粘贴:如果在,用户可以在Android企业档案中的应用程序和个人区域中的应用程序之间复制粘贴。默认是从。
- 允许屏幕截图:允许用户记录或截取设备屏幕的屏幕截图。默认是从。
- 允许使用相机:允许用户使用设备摄像头拍照和制作视频。默认是从。
- 允许配置位置提供程序:允许用户在他们的设备上打开GPS。适用于Android API 28及更高版本。默认是在。
允许位置共享:对于托管配置文件,设备所有者可以覆盖此设置。默认是从。
提示:
您可以在端点管理中创建位置设备策略来强制执行地理边界。看到定位设备策略。
- 允许用户配置用户凭据:指定用户是否可以在托管的密钥库中配置凭据。默认是在。
- 允许印刷:如果在,该设置允许用户从用户设备可访问的任何打印机上打印。默认值为从。适用于:Android 9及以上版本。
应用程序
- 启用系统应用程序:允许用户运行预装的设备应用程序。默认是从。如果需要启用特定应用,请单击添加在系统应用程序列表表格
- 系统应用程序列表:您希望在设备上启用的系统应用程序列表。集启用系统应用来在并添加应用程序包名。要查找一个系统应用程序的包名,你可以使用Android Debug Bridge (
亚洲开发银行)调用Android包管理器(点)命令。例如,Adb shell "pm list packages -f name",其中“name”是包名称的一部分。有关更多信息,请参见https://developer.android.com/studio/command-line/adb。对于Android Enterprise设备,您可以使用Android企业应用程序权限政策。
- 系统应用程序列表:您希望在设备上启用的系统应用程序列表。集启用系统应用来在并添加应用程序包名。要查找一个系统应用程序的包名,你可以使用Android Debug Bridge (
- 禁用应用程序:阻止指定的应用程序列表在设备上运行。默认是从。要禁用已安装的应用程序,请将设置更改为在然后点击添加在应用程序列表表格
- 应用程序列表:你想要屏蔽的应用程序列表。集禁用应用程序来在并添加应用。输入应用包名称。修改和部署应用列表会覆盖之前的应用列表。例如:如果您禁用了com。Example1和com。Example2,然后稍后将列表更改为com。Example1和com。example3,端点管理启用com. example2。
- 启用应用验证:启用操作系统扫描应用程序以检测恶意行为。默认是在。
- 启用Google apps:允许用户从谷歌移动服务下载应用程序到设备上。默认是在。
- 允许非google Play应用:允许安装应用程序从商店以外的Google Play。默认是从。
- 允许用户控制应用程序设置:允许用户卸载应用程序,禁用应用程序,清除缓存和数据,强制停止任何应用程序,清除默认设置。用户从设置应用程序执行这些操作。默认值为从。
- 允许卸载应用程序:允许用户卸载应用程序从管理谷歌Play商店。默认是从。
- 启用系统应用程序:允许用户运行预装的设备应用程序。默认是从。如果需要启用特定应用,请单击添加在系统应用程序列表表格
BYOD工作概况
- 允许在主屏幕上显示工作配置文件应用程序小部件:如果此设置为在,用户可以在设备主屏幕上放置工作配置应用程序小部件。如果此设置为从,用户不能在设备主屏幕上放置工作配置文件应用程序小部件。默认是从。
- 允许插件的应用程序:你想在主屏幕上允许的应用程序列表。集允许在主屏幕上显示工作配置文件应用程序小部件来在添加应用。单击添加然后从列表中选择一个你想在主屏幕上显示的应用程序。点击保存。重复该过程以允许更多应用程序小部件。
- 在设备联系人中允许工作配置文件联系人:在父配置文件中显示受管理的Android Enterprise配置文件中的联系人,用于传入呼叫(Android 7.0及更高版本)。默认是从。
- 允许在主屏幕上显示工作配置文件应用程序小部件:如果此设置为在,用户可以在设备主屏幕上放置工作配置应用程序小部件。如果此设置为从,用户不能在设备主屏幕上放置工作配置文件应用程序小部件。默认是从。
三星
- 启用TIMA密钥库:TIMA Keystore为对称密钥提供基于trustzone的安全密钥存储。RSA密钥对和证书被路由到默认密钥存储提供程序进行存储。默认是从。
- 允许共享列表:允许用户在共享Via列表中的应用程序之间共享内容。默认是在。
- 启用审计日志:允许创建事件审计日志,以便对设备进行取证分析。默认是从。
三星:Knox容器/完全管理设备
- 启用撤销检查:启用检查已撤销的证书。默认是从。
三星:只有诺克斯容器
- 移动应用到容器:允许用户在Knox容器和设备上的个人区域之间移动应用程序。默认是在。
- 实施多因素身份验证:用户必须使用指纹和其他一种身份验证方法(如密码或PIN)才能打开设备。默认是在。
- 对容器强制身份验证:使用与解锁设备所用方法不同的身份验证方法来打开KNOX容器。默认是在。
- 启用安全键盘:强制用户在Knox容器内使用安全键盘。默认是在。
当适用于具有工作配置文件的完全管理设备/企业自有设备上的工作配置文件是on和对于具有工作配置文件的完全管理的设备,将策略应用于设为管理设备,配置这些设置:
安全
- 允许账户管理:允许将帐户添加到工作配置文件和管理设备中。默认是从。
- 允许跨剖面复制和粘贴:如果在,用户可以在Android企业档案中的应用程序和个人区域中的应用程序之间复制粘贴。默认是从。
- 允许屏幕截图:允许用户记录或截取设备屏幕的屏幕截图。默认是从。
- 允许使用相机:允许用户使用设备摄像头拍照和制作视频。默认是从。
- 允许配置VPN:允许用户创建VPN配置。适用于运行Android 6及更高版本的工作配置文件设备以及完全管理的设备。默认是在。
- 允许备份服务:允许用户备份设备上的应用程序和系统数据。默认是在。
- 允许NFC:允许用户使用近场通信(NFC)将网页、照片、视频或其他内容从他们的设备发送到另一个设备。适用于MDM 4.0及更高版本。默认是在。
- 允许配置位置提供程序:允许用户在他们的设备上打开GPS。适用于Android API 28及更高版本。默认是在。
允许位置共享:对于托管配置文件,设备所有者可以覆盖此设置。默认是从。
提示:
您可以在端点管理中创建位置设备策略来强制执行地理边界。看到定位设备策略。
- 允许用户配置用户凭据:指定用户是否可以在托管的密钥库中配置凭据。默认是在。
- 允许印刷:如果在,该设置允许用户从用户设备可访问的任何打印机上打印。默认值为从。适用于:Android 9及以上版本。
- 允许USB调试:默认是从。
应用程序
- 启用系统应用程序:允许用户运行预装的设备应用程序。默认是从。如果需要启用特定应用,请单击添加在系统应用程序列表表格
- 系统应用程序列表:您希望在设备上启用的系统应用程序列表。集启用系统应用来在并添加应用程序包名。要查找一个系统应用程序的包名,你可以使用Android Debug Bridge (
亚洲开发银行)调用Android包管理器(点)命令。例如,Adb shell "pm list packages -f name",其中“name”是包名称的一部分。有关更多信息,请参见https://developer.android.com/studio/command-line/adb。对于Android Enterprise设备,您可以使用Android企业应用程序权限政策。
- 系统应用程序列表:您希望在设备上启用的系统应用程序列表。集启用系统应用来在并添加应用程序包名。要查找一个系统应用程序的包名,你可以使用Android Debug Bridge (
- 禁用应用程序:阻止指定的应用程序列表在设备上运行。默认是从。要禁用已安装的应用程序,请将设置更改为在然后点击添加在应用程序列表表格
- 应用程序列表:你想要屏蔽的应用程序列表。集禁用应用程序来在并添加应用。输入应用包名称。修改和部署应用列表会覆盖之前的应用列表。例如:如果您禁用了com。Example1和com。Example2,然后稍后将列表更改为com。Example1和com。example3,端点管理启用com. example2。
- 启用应用验证:启用操作系统扫描应用程序以检测恶意行为。默认是在。
- 启用Google apps:允许用户从谷歌移动服务下载应用程序到设备上。默认是在。
- 允许非google Play应用:允许安装应用程序从商店以外的Google Play。默认是从。
- 允许用户控制应用程序设置:允许用户卸载应用程序,禁用应用程序,清除缓存和数据,强制停止任何应用程序,清除默认设置。用户从设置应用程序执行这些操作。默认值为从。
- 允许卸载应用程序:允许用户卸载应用程序从管理谷歌Play商店。默认是从。
- 启用系统应用程序:允许用户运行预装的设备应用程序。默认是从。如果需要启用特定应用,请单击添加在系统应用程序列表表格
仅限完全管理的设备
- 允许添加用户:允许用户在设备上添加新用户。默认是在。
- 允许数据漫游:允许用户在漫游时使用蜂窝数据。默认设置为“关闭”,即禁用用户设备上的漫游功能。默认是从。
- 让短信:允许用户发送和接收短信。默认是从。
- 允许使用状态栏:如果在,此设置启用被管理设备和专用设备(也称为COSU设备)上的状态栏。此设置禁用通知、快速设置和其他允许从全屏模式退出的屏幕覆盖。用户可以进入系统设置并查看通知。适用于Android 6.0及更高版本。默认是从。
- 允许蓝牙:允许用户使用蓝牙。默认是在。
- 允许蓝牙共享:如果未选中,用户将无法在其设备上建立外发蓝牙共享。选择默认值。
- 允许配置日期和时间:允许用户更改设备上的日期和时间。默认是在。
- 允许出厂重置:允许用户在他们的设备上进行出厂重置。默认是在。
- 保持设备屏幕常亮:如果此设置设置为在,当设备插入时,设备屏幕保持亮着。默认是从。
- 允许USB大容量存储:允许通过USB连接在用户设备和计算机之间传输大数据文件。默认是在。
- 允许麦克风:允许用户在他们的设备上使用麦克风。默认是在。
- 允许拘束:允许用户配置便携式热点和连接数据。默认是从。开启此设置后,三星设备可以使用以下设置:
- 防止键盘锁住设备;如果在,此设置在托管设备和专用设备(也称为COSU设备)的锁定屏幕上禁用keyguard。默认是从。
- 允许Wi-Fi更改:如果在,用户可以打开或关闭Wi-Fi,并连接到Wi-Fi网络。默认是在。
- 允许文件传输:允许通过USB传输文件。默认是从。
三星
- 启用TIMA密钥库:TIMA Keystore为对称密钥提供基于trustzone的安全密钥存储。RSA密钥对和证书被路由到默认密钥存储提供程序进行存储。默认是从。
- 允许共享列表:允许用户在共享Via列表中的应用程序之间共享内容。默认是在。
- 启用审计日志:允许创建事件审计日志,以便对设备进行取证分析。默认是从。
三星:只有完全管理的设备
- 启用ODE可信引导验证:使用ODE可信引导验证来建立从引导加载程序到系统映像的信任链。默认是在。
- 只允许紧急呼叫:允许用户在其设备上启用“紧急呼叫”模式。默认是从。
- 允许固件恢复:允许用户恢复其设备上的固件。默认是在。
- 允许快速加密:只允许加密已使用的内存空间。这种加密与全磁盘加密不同,全磁盘加密对所有数据进行加密。这些数据包括设置、应用程序数据、下载的文件和应用程序、媒体和其他文件。默认是在。
- 启用Common Criteria模式:将设备置于通用标准模式。Common Criteria配置强制执行严格的安全流程。默认是在。
- 启用重启横幅:当用户的设备重新启动时,显示DoD批准的系统使用通知消息或横幅。默认是从。
- 允许设置更改:允许用户更改其完全管理的设备上的设置。默认是在。
- 启用后台数据使用:允许应用程序在后台同步数据。对于完全管理的设备。默认是在。
- 允许剪贴板:允许用户将数据复制到其设备上的剪贴板。默认是在。
- 允许剪贴板共享:允许用户在其设备和计算机之间共享剪贴板内容(MDM 4.0及更高版本)。
- 允许主键:允许用户使用首页密钥在他们完全管理的设备上。默认是在。
- 允许模拟位置:允许用户伪造他们的GPS位置。对于完全管理的设备。默认是从。
- NFC:允许用户在完全管理的设备上使用NFC (MDM 3.0及更高版本)。默认是在。
- 允许断电:允许用户关闭完全管理的设备(MDM 3.0及更高版本)。默认是在。
- 允许Wi-Fi直通:允许用户通过Wi-Fi连接直接连接到另一台设备。默认是在。如果在,则必须启用允许更改Wi-Fi设置。
- 允许SD卡:允许用户使用SD卡,如果有的话,与他们的设备。默认是在。
- 允许USB主机存储:当USB设备连接到用户的设备时,允许用户的设备作为USB主机。然后用户的设备为USB设备供电。默认是在。
- 允许语音拨号:允许用户在其设备上使用语音拨号器(MDM 4.0及更高版本)。默认是在。
- 允许S梁:允许用户使用NFC和Wi-Fi Direct (MDM 4.0及更高版本)与他人共享内容。默认是在。
- 允许S的声音:允许用户在其设备上使用智能个人助理和知识导航器(MDM 4.0及更高版本)。默认是在。
- 允许USB连接:允许用户使用USB连接与其他设备共享移动数据连接。默认值为从。如果在的允许拘束设置必须是在也
- 允许蓝牙连接:允许用户使用蓝牙连接与其他设备共享移动数据连接。默认值为从。如果在的允许拘束设置必须是在也
- 允许Wi-Fi网络连接:允许用户通过Wi-Fi连接与其他设备共享移动数据连接。默认值为从。如果在的允许拘束设置必须是在也
- 允许传入彩信:允许用户接收彩信。默认是从。如果在,你必须打开让短信设置。
- 允许发送彩信:允许用户发送彩信。默认是从。如果在,你必须打开让短信设置。
- 允许传入短信:允许用户接收短信。默认是从。如果在,你必须打开让短信设置。
- 允许外发短信:允许用户发送短信。默认是从。如果在,你必须打开让短信设置。
- 配置移动网络:允许用户使用他们的蜂窝数据连接。默认是从。
- 按天计算(MB):输入用户每天可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 周限(MB):输入用户每周可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 每月限额(MB):输入用户每月可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 只允许安全VPN连接:允许用户只使用安全连接(MDM 4.0及更高版本)。默认是在。
- 允许录音:允许用户用他们的设备录制音频(MDM 4.0及更高版本)。默认是在。如果在你必须打开允许麦克风设置。
- 允许录像:允许用户用他们的设备录制视频(MDM 4.0及更高版本)。默认是从。如果在你必须打开允许使用相机设置。
- 允许在漫游时推送消息:允许用户使用蜂窝数据进行推送。默认是从。如果在,则必须启用允许数据漫游设置。
- 允许漫游时自动同步:允许用户使用蜂窝数据进行同步。默认是从。如果在,则必须启用允许数据漫游设置。
- 漫游时允许语音通话:允许用户使用蜂窝数据进行语音通话。默认是从。如果在,则必须启用允许数据漫游设置。
三星:Knox容器/完全管理设备
- 启用撤销检查:启用检查已撤销的证书。默认是从。
三星:只有诺克斯容器
- 移动应用到容器:允许用户在Knox容器和设备上的个人区域之间移动应用程序。默认是在。
- 实施多因素身份验证:用户必须使用指纹和其他一种身份验证方法(如密码或PIN)才能打开设备。默认是在。
- 对容器强制身份验证:使用与解锁设备所用方法不同的身份验证方法来打开KNOX容器。默认是在。
- 启用安全键盘:强制用户在Knox容器内使用安全键盘。默认是在。
Android的工作区(预览)设置
安全
- 允许账户管理:允许将帐户添加到工作配置文件和管理设备中。默认是从。
- 允许屏幕截图:允许用户记录或截取设备屏幕的屏幕截图。默认是从。
- 允许使用相机:允许用户使用设备摄像头拍照和制作视频。默认是从。
- 允许配置VPN:允许用户创建VPN配置。适用于运行Android 6及更高版本的工作配置文件设备以及完全管理的设备。默认是在。
- 允许位置共享:允许位置共享。对于托管配置文件,设备所有者可以覆盖此设置。默认是从。
- 允许用户配置用户凭据:指定用户是否可以在托管的密钥库中配置凭据。默认是在。
- 允许USB调试:默认是从。
应用程序
- 允许非google Play应用:允许安装应用程序从商店以外的Google Play。默认是从。
- 禁用应用程序:阻止指定的应用程序列表在设备上运行。默认是从。要禁用已安装的应用程序,请将设置更改为在然后点击添加在应用程序列表表格
- 应用程序列表:你想要屏蔽的应用程序列表。集禁用应用程序来在并添加应用。输入应用包名称。修改和部署应用列表会覆盖之前的应用列表。例如:如果您禁用了com。Example1和com。Example2,然后稍后将列表更改为com。Example1和com。example3,端点管理启用com. example2。
- 启用应用验证:启用操作系统扫描应用程序以检测恶意行为。默认是在。
BYOD工作概况
- 在设备联系人中允许工作配置文件联系人:在父配置文件中显示受管理的Android Enterprise配置文件中的联系人,用于传入呼叫(Android 7.0及更高版本)。默认是从。
三星安全设置
如果您使用的是带有三星SAFE的Android Enterprise,请在Android Enterprise平台页面配置限制。有些选项只能在特定的三星移动设备管理api下使用。这些选项都标有相关的版本信息。
- 允许硬件控制
- 启用ODE可信引导验证:使用ODE可信引导验证来建立从引导加载程序到系统映像的信任链。
- 允许开发模式:允许用户在其设备上启用开发人员设置。
- 只允许紧急呼叫:允许用户在其设备上启用“紧急呼叫”模式。
- 允许固件恢复:允许用户恢复其设备上的固件。
- 允许快速加密:只允许加密已使用的内存空间。这种设置与全磁盘加密形成对比,后者加密所有数据。这些数据包括设置、应用程序数据、下载的文件和应用程序、媒体和其他文件。
- 启用通用标准模式:将设备设置为通用标准模式。Common Criteria配置强制执行严格的安全流程。
- 允许出厂重置:允许用户在他们的设备上进行出厂重置。
- 允许配置日期和时间:允许用户更改设备上的日期和时间。
- 启用重启横幅:当用户的设备重新启动时,显示DoD批准的系统使用通知消息或横幅。
- 允许设置更改:允许用户更改其设备上的设置。
- 允许备份服务:允许用户备份其设备上的应用程序和系统数据。
- 无线升级:允许用户的设备无线接收软件更新(MDM 3.0及更高版本)。
- 允许后台数据使用:允许应用程序在后台同步数据。
- 相机:允许用户在他们的设备上使用摄像头。
- 允许剪贴板:允许用户将数据复制到其设备上的剪贴板。
- 允许剪贴板共享:允许用户在其设备和计算机之间共享剪贴板内容(MDM 4.0及更高版本)。
- 允许主键:允许用户使用首页打开他们的设备。
- 允许麦克风:允许用户在他们的设备上使用麦克风。
- 允许模拟位置:允许用户伪造他们的GPS位置。
- NFC:允许用户在其设备上使用NFC (MDM 3.0及更高版本)。
- 允许断电:允许用户关闭设备(MDM 3.0及更高版本)。
- 屏幕截图:允许用户在他们的设备上截图。
- 允许SD卡:允许用户在设备上使用SD卡(如果有的话)。
- 允许语音拨号:允许用户在其设备上使用语音拨号器(MDM 4.0及更高版本)。
- 允许S束:允许用户使用NFC和Wi-Fi Direct (MDM 4.0及更高版本)与他人共享内容。
- 允许S的声音:允许用户在其设备上使用智能个人助理和知识导航器(MDM 4.0及更高版本)。
- 允许添加用户:允许用户在设备上添加新用户。默认是在。
- 允许应用程序
- 人脸识别:允许用户使用人脸识别应用。默认为在。
- 浏览器:允许用户使用web浏览器。
- YouTube:允许用户访问YouTube。
- 谷歌播放/市场:允许用户访问Google Play和Google Apps Marketplace。
- 允许非google Play应用:允许用户从Google Play和Google apps Marketplace以外的网站下载应用程序。如果在,用户可以使用设备上的安全设置来信任来自未知来源的应用程序。
- 强制停止系统app:允许用户禁用预安装的系统应用程序(MDM 4.0及更高版本)。
- 禁用应用程序:如果在该软件会阻止一系列特定的应用程序在三星SAFE设备上运行。要禁用已安装的应用程序,请将设置更改为在然后点击添加在应用程序列表表格
- 应用程序列表:你想要屏蔽的应用程序列表。集禁用应用程序来在并添加应用。输入应用包名称。修改和部署应用列表会覆盖之前的应用列表。例如:如果您禁用了com。Example1和com。Example2,然后稍后将列表更改为com。Example1和com。example3,端点管理启用com. example2。
- 网络
- 允许传入彩信:允许用户接收彩信。
- 允许传入短信:允许用户接收短信。
- 允许发送彩信:允许用户发送彩信。
- 允许外发短信:允许用户发送短信。
- 允许配置VPN:允许用户创建VPN配置。适用于运行Android 6及更高版本的工作配置文件设备以及完全管理的设备。默认是在。
- 允许蓝牙:允许用户使用蓝牙。
- 蓝牙共享:允许用户使用蓝牙连接与其他设备共享移动数据连接。
- 无线网络:允许用户连接Wi-Fi网络。
- 无线网络共享:允许用户通过Wi-Fi连接与其他设备共享移动数据连接。
- 直接:允许用户通过Wi-Fi连接直接连接到其他设备(MDM 4.0及更高版本)。
- 状态变化:允许应用程序更改Wi-Fi连接状态。
- 允许拘束:允许用户与其他设备共享移动数据连接。
- 允许配置移动网络:允许用户使用他们的蜂窝数据连接。
- 允许漫游:允许用户在漫游时使用蜂窝数据。默认设置为“关闭”,即禁用用户设备上的漫游功能。
- 只允许安全VPN连接:允许用户只使用安全连接(MDM 4.0及更高版本)。
- 允许NFC:允许用户使用NFC (MDM 4.0及更高版本)将网页、照片、视频或其他内容从自己的设备发送到另一台设备。
- 允许录音:允许用户用他们的设备录制音频(MDM 4.0及更高版本)。
- 允许录像:允许用户用他们的设备录制视频(MDM 4.0及更高版本)。
- 位置服务:允许用户在他们的设备上打开GPS。
- 按天计算(MB):输入用户每天可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 周限(MB):输入用户每周可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 每月限额(MB):输入用户每月可使用的移动数据流量。默认值为0,表示禁用此特性(MDM 4.0及更高版本)。
- 允许USB操作允许用户设备与计算机之间的USB连接。
- 允许USB调试:允许通过USB进行调试。
- 允许USB主机存储:当USB设备连接到用户的设备时,允许用户的设备作为USB主机。然后用户的设备为USB设备供电。
- 允许USB大容量存储:允许通过USB连接在用户设备和计算机之间传输大数据文件。
- 允许文件传输:允许通过USB传输文件。默认是从。
- USB接口:允许通过USB进行调试。
- 策略设置
- 删除政策:选择调度策略删除的方法。可用的选项有选择日期和移除前持续时间(以小时计)
- 选择日期:单击日历以选择要删除的特定日期。
- 移除前持续时间(以小时计):键入一个数字,以小时为单位,直到策略删除发生。
- 允许用户删除策略:您可以选择用户何时可以从其设备中删除策略。选择总是,密码需要,或从来没有菜单上的。如果你选择密码需要,在删除密码字段。
- 概要范围:选择此策略是否适用于a用户或者整个系统。默认值为用户。此选项仅在macOS 10.7及更高版本上可用。
- 删除政策:选择调度策略删除的方法。可用的选项有选择日期和移除前持续时间(以小时计)
三星Knox设置
如果您使用的是带有三星Knox的Android企业版,请在Android企业版平台页面配置限制。这些选项只能在三星Knox高级版(最低版本是Knox 2.0)下使用。
- 允许使用相机:允许用户在他们的设备上使用摄像头。
- 启用撤销检查:启用对已吊销证书的检查。
- 移动应用到容器:允许用户在Knox容器和设备上的个人区域之间移动应用程序。
- 实施多因素身份验证:用户必须使用指纹和其他一种身份验证方法(如密码或PIN)才能打开设备。
- 启用TIMA密钥库:TIMA Keystore为对称密钥提供基于trustzone的安全密钥存储。RSA密钥对和证书被路由到默认密钥存储提供程序进行存储。
- 对容器强制身份验证:使用与解锁设备所用方法不同的身份验证方法来打开KNOX容器。
- 允许共享列表:允许用户在共享Via列表中的应用程序之间共享内容。
- 启用审计日志:启用创建事件审计日志,以便对设备进行取证分析。
- 启用安全键盘:强制用户在Knox容器内使用安全键盘。
- 启用Google apps:允许用户从谷歌移动服务下载应用程序到Knox容器。
- 身份验证智能卡浏览器:在装有智能卡读卡器的设备上启用浏览器身份验证。
- 启用三星DeX:使支持knox的设备在Samsung DeX模式下运行。要求三星Knox 3.1(最低版本)。默认是在。有关Samsung DeX设备要求和设置Samsung DeX的信息,请参见三星DeX的工作原理。
- 仅允许以太网在DeX模式下运行:启用在Samsung DeX模式下使用以太网。在DeX模式下,蜂窝数据、Wi-Fi和tethering (Wi-Fi、蓝牙和USB)受到限制。
- 上传DeX logo图片:选择此设置以指定一个.png图像作为Samsung DeX的图标。
- DeX屏幕超时(秒):指定空闲时间(以秒为单位),之后DeX屏幕将关闭。要禁用超时,请输入0。默认是1200秒(20分钟)。
- 在Samsung DeX中添加应用快捷方式:指定一个应用包名,为应用添加到DeX的快捷方式。要查找应用程序包名称,请转到Google Play并选择应用程序。URL包含包名称:
https://play.google.com/store/apps/details?id= < package.name >。 - 删除三星DeX中的应用快捷方式:指定一个应用包名,从DeX中删除快捷方式。去Google Play查找应用程序包名称。
- 在三星DeX中禁用的应用程序包:指定要阻止三星DeX模式的应用程序包的逗号分隔列表。例如:
“com.android。chrome”、“com.google.android.gm”。
Windows Phone和Windows Desktop/Tablet设置
- 无线网络设置
- 使无线网络:允许设备连接Wi-Fi网络。仅限Windows Phone。
- 允许互联网共享:将一台设备变成Wi-Fi热点,让它与其他设备共享互联网连接。
- 允许自动连接到Wi-Fi感应热点:允许设备自动连接到Wi-Fi感知热点。必须启用位置服务才能使用此选项。有关Wi-Fi Sense的详细信息,请参阅微软文档。
- 允许手动配置:允许用户手动配置Wi-Fi连接。仅限Windows Phone。
- 连接
- 允许NFC:允许设备与NFC标签或其他支持NFC的传输设备通信。仅限Windows Phone。
- 允许蓝牙:允许设备通过蓝牙连接。
- 允许VPN通过蜂窝:允许设备通过VPN连接到蜂窝网络。
- 允许VPN通过蜂窝漫游时:当设备在蜂窝网络上漫游时,允许设备通过VPN连接。
- 允许USB连接:允许桌面通过USB连接访问设备的存储。仅限Windows Phone。
- 允许手机数据漫游:允许用户在漫游时使用蜂窝数据。
- 账户
- 允许微软账号连接:允许设备使用Microsoft帐户进行与电子邮件无关的连接认证和服务。
- 允许非微软电子邮件:允许用户添加非微软电子邮件帐户。
- 搜索:仅限Windows Phone。
- 允许搜索使用位置:允许搜索使用设备的定位服务。
- 过滤成人内容:允许成人内容。默认值为从,这意味着成人内容不会被过滤。
- 允许必应视觉存储图像:允许必应视觉存储执行必应视觉搜索时捕获的图像。
- 系统
- 允许存储卡:允许设备使用存储卡。
- 遥测:在列表中,单击允许或限制设备发送遥测信息的选项。默认值为允许。其他选择包括不允许和允许,次要资料要求除外。
- 允许定位服务:允许定位服务。
- 允许预览内部构建:允许用户预览微软内部构建。
- 相机:仅限Windows桌面/平板电脑
- 允许使用相机:允许用户使用他们的设备摄像头。
- 蓝牙:仅限Windows桌面/平板电脑
- 允许可发现模式:允许蓝牙设备找到本地设备。
- 本地设备名称:本地设备的名称。
- 安全:仅限Windows Phone
- 允许手动安装根证书:允许用户手动安装根证书。
- 要求设备加密:要求设备加密。设备启用加密功能后,不能关闭加密功能。默认值为从。
- 允许复制和粘贴:允许用户在他们的设备上复制和粘贴数据。
- 允许屏幕截图:允许用户在他们的设备上创建屏幕截图。
- 允许录音:允许用户在他们的设备上使用录音。
- 允许另存为Office文件:允许用户以“另存为”方式保存Office文件。
- 允许动作中心通知:允许在设备锁屏上显示操作中心通知。
- 允许Cortana:允许用户访问Cortana,智能个人助理和知识导航器。
- 允许同步设备设置:允许用户在漫游时同步Windows Phone 8.1设备之间的设置。
- 经验:仅限Windows桌面/平板电脑
- 允许Cortana:允许用户访问Cortana,智能个人助理和知识导航器。
- 允许设备发现:允许网络发现设备。
- 允许手动MDM注销:允许用户从Endpoint Management MDM中手动取消注册他们的设备。
- 允许同步设备设置:允许用户在漫游时在Windows 10和Windows 11设备之间同步设置。
- 上面的锁:仅限Windows桌面/平板电脑
- 允许祝酒:允许在锁定屏幕上显示吐司通知。仅限Windows桌面/平板电脑
- 应用程序
- 允许存储访问:允许用户访问Microsoft Store。仅限Windows Phone。
- 允许开发者解锁:允许用户在微软注册他们的设备,开发或安装Windows Phone应用程序商店中没有的应用程序。仅限Windows Phone。
- 允许网页浏览器访问:允许在设备上使用ie浏览器。仅限Windows Phone。
- 允许从应用商店自动更新:允许应用程序商店中的应用程序自动更新。仅限Windows桌面/平板电脑。
- 隐私:仅限Windows桌面/平板电脑
- 允许输入个性化:允许运行输入个性化服务。输入个性化服务根据用户输入的内容改进了笔和触摸键盘等预测性输入。
- 设置:仅限Windows桌面/平板电脑。
- 允许自动播放:允许用户更改自动播放设置。
- 允许数据感知:允许用户更改数据感知设置。
- 允许约会时间:允许用户更改日期和时间设置。
- 允许语言:允许用户更改语言设置。
- 允许电源休眠:允许用户更改电源和睡眠设置。
- 允许地区:允许用户更改区域设置。
- 允许登录选项:允许用户更改登录设置。
- 允许工作场所:允许用户更改工作场所设置。
- 允许您的帐户:允许用户更改帐户设置。
亚马逊的设置
- 允许硬件控制
- 工厂复位:允许用户在他们的设备上进行出厂重置
- 配置文件:允许用户更改其设备上的硬件配置文件。
- 允许应用程序
- 非亚马逊Appstore应用:允许用户在他们的设备上安装非亚马逊应用商店的应用。
- 社交网络:允许用户从他们的设备访问社交网络。
- 网络
- 蓝牙:允许用户使用蓝牙。
- 无线网络开关:允许应用程序更改Wi-Fi连接状态。
- 无线网络设置:允许用户更改Wi-Fi设置。
- 配置移动网络:允许用户使用他们的蜂窝数据连接。
- 漫游数据:允许用户在漫游时使用蜂窝数据。
- 位置服务:允许用户使用GPS。
- USB的行动:
- 调试:允许用户的设备通过USB连接到计算机进行调试。
Chrome操作系统设置
用户的政策
- 禁用表单自动填写:2 .选择是否开启Chrome浏览器的自动填充功能。如果此策略设置为在,则不允许使用自动填充功能。默认是在。
- 禁用密码保存:2 .选择是否开启Chrome浏览器的保存密码功能。如果此策略设置为在,不允许保存密码功能。默认是在。
- 禁用页面翻译:在Chrome浏览器中选择是否允许翻译其他语言的网页。如果此策略设置为在,不允许翻译网页。默认是在。
- 块图片:在Chrome浏览器中选择是否允许在网页中显示图像。如果此策略设置为在, Chrome浏览器中网页中的图像无法显示。默认是从。
- 禁用隐身模式:如果在Chrome OS设备用户无法在Chrome浏览器中打开隐身窗口。需要Google Workspace Chrome配置。默认是在。
- 禁用保存浏览历史记录:如果在,用户无法保存浏览历史记录、覆盖此设置或同步Chrome OS设备上的选项卡。需要Google Workspace Chrome配置。默认是从。
- 禁用删除浏览和下载历史记录:如果在,用户无法从Chrome操作系统设备上删除浏览或下载历史记录。但是,即使您阻止用户从Chrome中删除历史记录,用户也可以直接编辑或删除历史数据库文件。浏览器本身可以在任何时候过期或存档任何或所有历史记录项。需要Google Workspace Chrome配置。默认是从。
- 禁用打印:如果在,用户无法从谷歌浏览器打印。在扳手菜单、扩展和Javascript应用程序等位置禁用打印。打印可以通过绕过Google Chrome的插件来实现,例如在其上下文菜单中带有打印命令的Flash应用程序。需要Google Workspace Chrome配置。默认是从。
- 禁用从安全浏览警告页面继续:如果从,用户可以从警告页面继续从Chrome OS设备访问潜在的恶意网站。需要Google Workspace Chrome配置。默认是在。
- 安全浏览模式:如果从,谷歌安全浏览模式永远不会激活。用户无法更改或覆盖Chrome中的“保护您和您的设备免受危险网站”设置。需要Google Workspace Chrome配置。默认是在。
- 启用书签栏:如果在, Chrome浏览器显示书签栏。需要Google Workspace Chrome配置。默认是在。
- 禁用书签栏编辑:如果在,用户不能添加、更新或删除书签。需要Google Workspace Chrome配置。默认是在。
- 禁用任务管理器结束进程:如果在,禁用结束进程按钮任务管理器。需要Google Workspace Chrome配置。默认是在。
- 显示主页键:如果在,显示浏览器的主页按钮。需要Google Workspace Chrome配置。默认是在。
- 外部存储可访问性:控制用户通过文件浏览器访问外部存储设备的方式。需要Google Workspace Chrome配置。选项:
- 禁用:无法访问外部存储。
- 只读:用户只能对外部存储具有读访问权限。
- 只写:用户只能对外部存储进行写访问。
默认是禁用。
- 网站:选择是否在Chrome浏览器中使用允许或阻止列表来控制对网站的访问。如果你选择允许列表,指定允许的url列表。如果你选择块列表,在谷歌管理控制台中指定URL例外列表到Chrome策略中的阻止列表。最具体的过滤器确定URL是被阻止还是允许。允许列表优先于块列表。默认是块列表。选择完成后,单击添加添加网站列表。
- 扩展来源:指定允许用户安装扩展、应用程序和主题的url列表。
设备的政策
- 禁用Guest用户模式:如果在,来宾用户无法登录到Chrome操作系统设备。需要Google Workspace Chrome配置。默认值为从。
- 单点登录IDP重定向:如果在,支持基于saml的单点登录。需要Google Workspace Chrome配置。默认值为在。
- 启用设备状态报告:如果在,设备报告其当前设备状态,包括固件、Chrome和平台版本以及启动模式。需要Google Workspace Chrome配置。默认是在。
- 启用最近用户报告:如果在时,设备会报告最近登录到该设备的用户列表。如果设备配置为擦除所有本地用户数据,则不会报告用户。需要Google Workspace Chrome配置。默认是在。
- 单点登录cookie行为:如果在,在用户每次使用SAML凭据登录时,将由SAML IdP设置的cookie传输到用户配置文件。如果从, cookie仅在第一次登录期间传输。需要Google Workspace Chrome配置。默认值为在。
- 启用应用程序运行时Chrome (ARC):如果在,允许注册的Chrome OS设备用户运行Android应用程序。在App Restrictions设备策略中指定ARC应用。需要Google Workspace Chrome配置。如果在当前用户会话中启用了临时模式或多次登录,则ARC不可用。如果从在美国,企业Chrome OS设备用户无法运行Android应用程序。默认值为在。
- 迫使re-enrollment:如果在,强制设备在擦除设备后重新注册到以前的Google Workspace域。需要Google Workspace Chrome配置。默认是在。
- 设备禁用消息:如果设备因任何原因被禁用,用户将看到输入到此文本框中的消息。
- 登录自动完成域名:如果设置为域名,如
students.school.edu < !——NeedCopy >, Chrome浏览器在用户登录时将域名显示为自动完成选项。如果留空,Chrome不会显示域名的自动完成选项。需要Google Workspace Chrome配置。 - 设备时区设置:
- 系统时区:选择Chrome设备的时区。
- 时区检测:指定用于检测时区的设置。需要Google Workspace Chrome配置。
- 用户决定:允许用户通过Chrome操作系统设备上的标准日期和时间设置来配置策略。
- 禁用:拒绝访问时区信息。
- IP只有:根据设备的IP地址设置时区。
- WiFi接入点:根据用户的Wi-Fi连接设置时区。
- 使用位置信息:通过检测用户当前位置来设置时区。
- 允许登录的用户:限制登录Chrome OS设备的用户,基于电子邮件后缀,例如
* @example.com < !——NeedCopy >。
复制!
失败了!