iOS 和 iPadOS 设备设置,以允许或限制使用 Intune
注意
Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到 设置目录。
本文介绍可在 iOS 和 iPadOS 设备上控制的不同设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来允许或禁用功能、设置密码规则、允许或限制特定应用等。
此功能适用于:
- iOS/iPadOS
这些设置将添加到 Intune 中的设备配置文件,然后分配或部署到 iOS/iPadOS 设备。
提示
这些设置使用 Apple 的限制设置。 有关这些设置的详细信息,请参阅 Apple 的移动设备管理设置网站 , () 打开 Apple 网站。
开始之前
配置设备限制策略时,可以使用各种设置根据特定需求定制保护。
准备好继续操作时,请创建 iOS/iPadOS 设备限制配置文件。
注意
这些设置适用于不同的注册类型,某些设置适用于所有注册选项。 有关不同注册类型的详细信息,请参阅 iOS/iPadOS 注册。
App Store、文档查看和游戏
设置适用于:所有注册类型
阻止在非托管应用中查看公司文档: “是 ”会阻止在非托管应用中查看公司文档。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在任何应用中查看公司文档。
例如,你想要阻止用户将文件从 OneDrive 应用保存到 Dropbox。 将此设置配置为 “是”。 设备收到策略 ((例如,重启) 后),它不再允许保存。
注意
如果阻止此设置 (设置为“是) ”,也会阻止从App Store安装的第三方键盘。
允许非托管应用从托管联系人帐户读取: “是 ”允许非托管应用(如内置 iOS/iPadOS 联系人应用)从托管应用(包括 Outlook 移动应用)读取和访问联系人信息。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止从设备上的内置联系人应用进行读取。
此设置允许或阻止读取联系人信息。 它无法控制应用之间的联系人同步。
若要使用此设置,请将 “阻止在非托管应用中查看公司文档 ”设置设置为 “是”。
有关这两个设置及其对 Outlook for iOS/iPadOS 联系人导出同步的影响的详细信息,请参阅支持提示:将Intune自定义配置文件设置与 iOS/iPadOS 本机联系人应用配合使用。
将 AirDrop 视为非托管目标: 是 的,会强制 AirDrop 被视为非托管下降目标。 它阻止托管应用使用 Airdrop 发送数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
阻止在公司应用中查看非公司文档: “是 ”会阻止在公司应用中查看非公司文档。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在公司托管应用中查看任何文档。
是 还会阻止 Outlook for iOS/iPadOS 中的联系人导出同步。 有关详细信息,请参阅 支持提示:使用 iOS12 MDM 控件启用 Outlook iOS/iPadOS 联系人同步。
允许复制/粘贴受托管打开的影响: “是 ”会根据配置“ 阻止在非托管应用中查看公司文档 ”和“ 阻止在公司应用中查看非公司文档”的方式强制实施复制/粘贴限制。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会强制实施任何复制/粘贴限制。
设置适用于:设备注册、自动设备注册 (监督)
所有购买都需要 iTunes Store 密码: “是 ”会强制用户为每个应用内或 ITunes 购买输入 Apple ID 密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许购买,而无需每次都提示输入密码。
阻止应用内购买: “是 ”会阻止从应用商店进行应用内购买。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在正在运行的应用内进行商店购买。
阻止在 Apple Books 中下载露骨色情内容: “是 ”会阻止用户从标记为 erotica 的 iBook 商店下载媒体。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户下载具有“Erotica”类别的书籍。
允许托管应用将联系人写入非托管联系人帐户: “是 ”允许托管应用(如 Outlook 移动应用)将联系人信息(包括业务和公司联系人)保存或同步到内置的 iOS/iPadOS 联系人应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止托管应用将联系人信息保存或同步到设备上的内置 iOS/iPadOS 联系人应用。
若要使用此设置,请将 “阻止在非托管应用中查看公司文档 ”设置设置为 “是”。
分级区域:选择要用于允许下载的分级区域。 然后选择电影、电视节目和应用允许的分级。
设置适用于:自动化设备注册 (监督)
阻止应用商店: “是 ”会阻止在受监督的设备上访问应用商店。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
- 阻止使用 App Store安装应用:是不会在设备主屏幕上显示应用商店。 用户可以继续使用 iTunes 或 Apple Configurator 安装应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在主屏幕上使用应用商店。
- 阻止自动应用下载: “是 ”会阻止自动下载在其他设备上购买的应用并自动更新新应用。 它不会影响现有应用的更新。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在其他 iOS/iPadOS 设备上购买的应用在设备上下载和更新。
阻止播放显式音乐、播客和 iTunes U: “是 ”会阻止显式 iTunes 音乐、播客或新闻内容。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备从应用商店访问分级为成人的内容。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止添加 Game Center 好友: “是 ”会阻止用户添加 Game Center 好友。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在游戏中心中添加好友。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止游戏中心: “是 ”会阻止使用 Game Center 应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上使用 Game Center 应用。
在游戏中心阻止多人游戏: “是 ”会阻止多人游戏。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上玩多人游戏。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
在“文件”应用中阻止对网络驱动器的访问:使用服务器消息块 (SMB) 协议,设备可以访问网络服务器上的文件或其他资源。 “是 ”会阻止访问网络 SMB 驱动器上的文件。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
自治单应用模式 (ASAM)
使用这些设置将 iOS/iPadOS 设备配置为在自治单应用模式下运行特定应用, (ASAM) 。 配置 ASAM 后,用户启动其中一个已配置的应用时,设备将锁定到该应用。 在用户退出允许的应用之前,将禁用应用/任务切换。
若要应用 ASAM 配置,用户必须手动打开特定应用。 此任务也适用于公司门户应用。
例如,在学校或大学环境中,添加允许用户在设备上进行测试的应用。 或者,将设备锁定到 公司门户 应用中,直到用户进行身份验证。 当用户完成应用操作或删除此策略时,设备将恢复其正常状态。
并非所有应用都支持自治单应用模式。 若要将应用放入 ASAM,通常需要应用配置策略提供的捆绑 ID 或键值对。 有关详细信息,请参阅
autonomousSingleAppModePermittedAppIDsApple MDM 文档中的限制。 有关要配置的应用所需的特定设置的详细信息,请参阅供应商文档。例如,若要在自治单应用模式下配置 Zoom 会议室,Zoom 会说使用
us.zoom.zpcontroller捆绑包 ID。 在此实例中,还可以在 Zoom Web 门户中进行更改。 有关详细信息,请参阅 Zoom 帮助中心。在 iOS/iPadOS 设备上,公司门户应用支持 ASAM。 当 公司门户 应用位于 ASAM 中时,用户必须手动打开 公司门户 应用。 然后,设备在公司门户应用中锁定,直到用户进行身份验证。 当用户登录到公司门户应用时,他们可以使用设备上的其他应用和“主页”按钮。 当他们注销公司门户应用时,设备将返回到单应用模式,并锁定公司门户应用。
若要将公司门户应用转换为“登录/注销”应用, (启用 ASAM) ,请在这些设置中输入公司门户应用名称(例如
Microsoft Intune Company Portal),并在这些设置中输入捆绑 ID (com.microsoft.CompanyPortal) 。 分配此配置文件后,必须打开 公司门户 应用以锁定应用,以便用户可以登录并注销该应用。 若要应用 ASAM 配置,用户必须手动打开公司门户应用。删除设备配置文件并且用户注销时,设备不会在 公司门户 应用中锁定。
设置适用于:自动化设备注册 (监督)
- 应用名称:输入所需应用的名称。
- 应用捆绑 ID:输入所需应用的 捆绑 ID 。 若要获取添加到 Intune 的应用的捆绑 ID,可以使用 Intune 管理中心。
还可以使用应用名称及其捆绑 ID 列表 导入 CSV 文件。 或者 ,导出 包含应用的现有列表。
内置应用
设置适用于:所有注册类型
阻止 Siri: “是 ”会阻止访问 Siri。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上使用 Siri 语音助手。
- 在设备锁定时阻止 Siri: “是 ”会阻止在设备锁定时访问 Siri。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备锁定时在设备上使用 Siri 语音助手。
需要 Safari 欺诈警告: “是 ”要求在设备上的 Web 浏览器中显示欺诈警告。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会显示这些警告。
阻止 Siri 进行听写: “是 ”会阻止连接到 Siri 服务器。 用户无法使用 Siri 来听写文本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许将 Siri 用于听写。 也可用于用户注册。
此功能适用于:
- iOS/iPadOS 14.5 及更高版本
阻止 Siri 进行翻译: “是 ”会阻止连接到 Siri 服务器,使用户无法使用 Siri 翻译文本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 Siri 进行翻译。 也可用于用户注册。
此功能适用于:
- iOS/iPadOS 15.0 及更新版
设置适用于:设备注册和自动设备注册 (监督)
阻止聚焦中的 Internet 搜索结果: “是 ”会阻止聚焦返回 Internet 搜索中的任何结果。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Spotlight 搜索连接到 Internet 以提供搜索结果。
Safari Cookie:默认情况下,Apple 允许所有 Cookie,并阻止跨站点跟踪。 使用此设置可允许用户启用或禁用这些功能。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 允许所有 Cookie 和块跨站点跟踪,并可能允许用户启用和禁用这些功能。
- 允许所有 Cookie,并允许跨站点跟踪:允许用户禁用 Cookie。 默认情况下,会阻止跨站点跟踪,并且可以由用户启用。
- 阻止所有 Cookie 和阻止跨站点跟踪:Cookie 和跨站点跟踪均被阻止。 用户无法启用或禁用任一设置。
- 允许所有 Cookie,并阻止跨站点跟踪:允许用户禁用 Cookie。 默认情况下,会阻止跨站点跟踪,用户无法启用或禁用。
阻止 Safari JavaScript: “是 ”会阻止浏览器中的 Java 脚本在设备上运行。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Java 脚本。
阻止 Safari 弹出窗口: 是 阻止 Safari Web 浏览器中的所有弹出窗口。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许弹出窗口阻止程序。
设置适用于:自动化设备注册 (监督)
阻止相机: “是 ”会阻止访问设备上的相机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问设备的相机。
Intune仅管理对设备相机的访问。 它无法访问图片或视频。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止 FaceTime: “是 ”会阻止访问 FaceTime 应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问设备上的 FaceTime 应用。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
需要 Siri 不雅筛选器: “是 ”会打开筛选器,并阻止 Siri 听写或说亵渎语言。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
若要使用此设置,请将 “阻止 Siri ”设置设置为 “未配置”。
此功能适用于:
- iOS 11.0 及更高版本
阻止 Siri 中用户生成的内容: “是 ”会阻止 Siri 访问网站来回答问题。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Siri 从 Internet 访问用户生成的内容。
若要使用此设置,请将 “阻止 Siri ”设置设置为 “未配置”。
阻止 Apple 新闻: “是 ”会阻止在设备上访问 Apple News 应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 Apple News 应用。
阻止 Apple Books: “是 ”会阻止访问 iBooks 商店。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户从 iBooks 商店浏览和购买书籍。
阻止 iMessage: “是 ”会阻止使用适用于 iMessage 的消息应用。 如果设备支持短信,则用户仍可以使用短信发送和接收短信。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用“消息”应用通过 Internet 发送和读取消息。
阻止播客: “是 ”会阻止使用播客应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用播客应用。
音乐服务: “是 ”会禁用音乐服务,并将音乐应用还原到经典模式。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 Apple Music 应用。
阻止 iTunes Radio: “是 ”会阻止使用 iTunes Radio 应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 iTunes Radio 应用。
阻止 iTunes 存储: “是 ”会阻止在设备上使用 iTunes。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 iTunes。
此功能适用于:
- iOS 4.0 及更新版
- iPadOS 13.0 及更高版本
阻止查找我的 iPhone:在“查找我的”应用中, “是 ”会禁用/隐藏 “设备 ”选项卡。 “是 ”还可能会阻止 AirTag 的配对。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用“查找我的 ” 应用中的“设备”选项卡获取设备的大致位置。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
阻止“查找我的朋友”: “是 ”会阻止在“查找我的”应用中使用此功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用此“查找我的应用”功能从 Apple 设备或 iCloud.com 查找家人和朋友。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
阻止用户修改“查找我的好友”设置: “是 ”会阻止更改“查找我的好友”应用设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改“查找我的朋友”应用的设置。
阻止从设备中删除系统应用: “是 ”会阻止从设备中删除系统应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户删除系统应用。
阻止 Safari: “是 ”会阻止在设备上使用 Safari 浏览器。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用 Safari 浏览器。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止 Safari 自动填充: “是 ”会禁用设备上的 Safari 中的自动填充功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在 Web 浏览器中更改自动完成设置。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
云和存储
设置适用于:所有注册类型
- 强制加密备份: “是 ”要求对设备备份进行加密。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
- 阻止托管应用在 iCloud 中存储数据:“是”会阻止Intune管理的应用将数据同步到用户的 iCloud 帐户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此数据同步到 iCloud。
- 阻止备份企业书籍: 是 会阻止备份企业书籍。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户备份这些书籍。
- 阻止企业书籍的笔记和突出显示同步: “是 ”会阻止在企业书籍中同步笔记和突出显示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许同步。
设置适用于:设备注册、自动设备注册 (监督)
- 阻止 iCloud 照片同步: “是 ”会阻止照片流同步到 iCloud。 阻止此功能可能会导致数据丢失。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在其设备上启用“我的照片Stream”以同步到 iCloud,并在所有用户设备上提供照片。
- 阻止 iCloud 照片库: 是 禁用使用 iCloud 照片库在云中存储照片和视频。 任何未从 iCloud 照片库下载到设备的照片都将从设备中删除。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 iCloud 照片库。
- 阻止我的照片Stream:是禁用设备上的 iCloud 照片共享。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许共享照片流式传输。
- 阻止交接: “是 ”会阻止用户在 iOS/iPadOS 设备上开始工作,然后在其他 iOS/iPadOS 或 macOS 设备上继续工作。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此切换。
设置适用于:自动化设备注册 (监督)
阻止 iCloud 备份: “是 ”会阻止用户将设备备份到 iCloud。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户将设备备份到 iCloud。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止 iCloud 文档和数据同步: 是 会阻止 iCloud 同步文档和数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许将文档和键值同步到 iCloud 存储空间。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止 iCloud 密钥链同步: 是 会禁用将密钥链中存储的凭据同步到 iCloud。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户同步这些凭据。
从 iOS/iPadOS 13.0 开始,此设置需要受监督的设备。
阻止 iCloud 专用中继: 是 会禁用 iCloud 专用中继。 禁用后,Apple 不会加密离开设备的 Internet 流量。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能,从而阻止网络和服务器监视用户通过 Internet 的活动。
此功能适用于:
- iOS/iPadOS 15 及更高版本
iCloud 专用中继 (打开 Apple 网站)
连接的设备
设置适用于:所有注册类型
- 强制 Apple Watch 手腕检测:是会强制配对的 Apple watch使用手腕检测。 如果需要,Apple Watch 在未佩戴时不会显示通知。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
设置适用于:设备注册、自动设备注册 (监督)
需要 AirPlay 传出请求配对密码: 是 在使用 AirPlay 将内容流式传输到其他 Apple 设备时需要配对密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用 AirPlay 流式传输内容,而无需输入密码。
阻止 Apple Watch 自动解锁: 当 障碍物(如掩码)阻止人脸 ID 识别用户脸时,“是”会阻止用户使用 Apple Watch 解锁其设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,如果障碍阻止人脸 ID 识别用户,OS 可能会允许 Apple Watch 自动解锁设备。
此功能适用于:
- iOS/iPadOS 14.5 及更高版本
设置适用于:自动化设备注册 (监督)
阻止 AirDrop: “是 ”会阻止在设备上使用 AirDrop。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 AirDrop 功能与附近的设备交换内容。
阻止与 Apple Watch 配对: 是 会阻止与 Apple Watch 配对。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备与 Apple Watch 配对。
阻止修改蓝牙设置: “是 ”可阻止用户更改设备上的蓝牙设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改这些设置。
阻止与非配置器主机配对: “是 ”会阻止主机配对。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许主机配对,以允许管理员控制 iOS/iPadOS 设备可以与哪些设备配对。
阻止 AirPrint: 是 会阻止在设备上使用 AirPrint 功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用 AirPrint。
- 阻止在密钥链中存储 AirPrint 凭据: 阻止 在设备上对用户名和密码使用密钥链存储。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在 Keychain 应用中存储 AirPrint 用户名和密码。
- 要求将 AirPrint 连接到具有受信任证书的目标: “是 ”会强制设备使用受信任的证书进行 TLS 打印通信。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
- 阻止 iBeacon 发现 AirPrint 打印机: “是 ”可阻止恶意 AirPrint 蓝牙信标网络流量网络钓鱼。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上播发 AirPrint 打印机。
阻止设置附近的新设备: “是 ”会禁用设置附近新设备的提示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许提示用户连接到其他附近的 Apple 设备。
此功能适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
在“文件”应用中阻止对 USB 驱动器的访问:设备可以连接和打开 U 盘上的文件。 “是 ”会阻止设备在 USB 连接到设备时访问“文件”应用中的 USB 驱动器。 阻止此功能还会阻止用户将文件传输到连接到 iPad 的 U 盘。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问“文件”应用中的 U 盘。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
禁用近场通信 (NFC) : “是 ”会禁用 NFC,并阻止设备与其他支持 NFC 的设备配对。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,可能允许用户使用 NFC,并连接到其他启用了 NFC 的设备。
此功能适用于:
- iOS 14.2 及更新版
- iPadOS 14.2 及更新版
允许用户使用未配对的设备将设备启动到恢复模式: “是 ”允许用户使用未配对设备启动设备进入恢复模式。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止用户使用未配对的设备将设备启动到恢复模式。
此功能适用于:
- iOS/iPadOS 14.5 及更高版本
域
设置适用于:设备注册和自动设备注册 (监督)
未标记的电子邮件域:向列表添加一个或多个域 URL。 当用户从你输入的域以外的域收到电子邮件时,该电子邮件在 iOS/iPadOS 邮件应用中被标记为不受信任。
托管 Safari Web 域:向列表添加一个或多个 Web 域 URL。 从输入的域下载文档时,它们被视为托管文档。 此设置仅适用于使用 Safari 浏览器下载的文档。
设置适用于:自动化设备注册 (监督)
Safari 密码域:将一个或多个域 URL 添加到列表中。 用户只能保存此列表中的 URL 中的 Web 密码。 此设置仅适用于 Safari 浏览器和处于监督模式的设备。 如果未输入任何 URL,则可以从所有网站保存密码。
此功能适用于:
- iOS 9.3 及更高版本
- iPadOS 13.0 及更高版本
常规
设置适用于:所有注册类型
阻止向 Apple 发送诊断和使用情况数据: “是 ”会阻止设备向 Apple 发送诊断和使用情况数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许发送此数据。
阻止屏幕截图和屏幕录制: “是 ”会阻止设备上的屏幕截图或屏幕捕获。 在 iOS/iPadOS 9.0 及更新版中,它还会阻止屏幕录制。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户将屏幕内容捕获为图像或视频。
设置适用于:设备注册和自动设备注册 (监督)
阻止不受信任的 TLS 证书: “是 ”可阻止设备上不受信任的传输层安全性 (TLS) 证书。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 TLS 证书。
阻止无线 PKI 更新: “是 ”会阻止用户接收软件更新,除非设备已连接到计算机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备在不连接到计算机的情况下接收软件更新。
强制有限广告跟踪: “是 ”将禁用设备广告标识符。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会保持启用状态。
阻止信任新的企业应用作者:是会删除设备上的“设置常规>配置文件”>& 设备管理 中的“信任企业开发人员”按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户选择信任未从应用商店下载的应用。
阻止应用剪辑: 是 阻止托管设备上的应用剪辑。 具体而言,设置为 “是”:
- 阻止用户在设备上添加应用剪辑。
- 删除设备上的现有应用剪辑。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上添加和删除应用剪辑。
此功能适用于:
- iOS 14.0 及更新版
- iPadOS 14.0 及更新版
限制 Apple 个性化广告:是限制 Apple 在App Store、Apple 新闻和股票应用中的个性化广告。 在设备上, “设置>隐私>”“Apple Advertising ”处于关闭状态。 此设置仅影响这些应用中的个性化广告。 它不会影响非个性化广告,并且可能不会减少广告。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会打开个性化广告。
有关 Apple 政策的详细信息,请参阅 Apple 广告 & 隐私 (打开 Apple 网站) 。
此功能适用于:
- iOS 14.0 及更新版
- iPadOS 14.0 及更新版
设置适用于:自动化设备注册 (监督)
阻止修改诊断设置:“是”会阻止用户更改诊断和使用情况 (设备设置) 中的诊断提交和应用分析设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改这些设备设置。
若要使用此设置,请将 “阻止向 Apple 发送诊断和使用情况数据 ”设置为 “未配置”。
此功能适用于:
- iOS 9.3.2 及更新
- iPadOS 13.0 及更高版本
阻止远程 AirPlay、按 Classroom 应用查看屏幕和屏幕共享: “是 ”会阻止 Classroom 应用远程查看设备上的屏幕。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Apple Classroom 应用查看屏幕。
若要使用此设置,请将 “阻止屏幕截图和屏幕录制 ”设置设置为 “未配置”。
此功能适用于:
- iOS 9.3 - iOS 12.x:需要受监督的设备
- iOS 13.0 及更新版本:不需要受监督的设备
- iPadOS 13.0 及更新:必须使用设备注册或自动设备注册 (ADE)
允许 Classroom 应用在不提示的情况下执行 AirPlay 和查看屏幕: “是 ”允许教师在学生不知道的情况下使用 Classroom 应用静默观察学生的 iOS/iPadOS 屏幕。 使用 Classroom 应用在课堂中注册的学生设备会自动向该课程的教师授予权限。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止此功能。
若要使用此设置,请将 “阻止屏幕截图和屏幕录制 ”设置设置为 “未配置”。
阻止修改帐户设置: “是 ”会阻止用户从 iOS/iPadOS 设置应用更新特定于设备的设置。 例如,用户无法创建新的设备帐户或更改用户名或密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改这些设置。
此功能也适用于 iOS/iPadOS 设置应用中的设置,例如邮件、联系人、日历、Twitter 等。 此功能不适用于帐户设置无法在 iOS/iPadOS 设置应用中配置的应用,例如 Microsoft Outlook 应用。
阻止屏幕时间: “是 ”可阻止用户在屏幕时间 (设备设置) 设置自己的限制。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户配置设备限制 (,例如家长控制或内容,以及设备上) 隐私限制。
此设置已从 设备设置中的启用限制重命名。 此更改的影响:
- iOS 11.4.1 及更早版本: “是 ”会阻止用户在设备设置中设置自己的限制。 行为相同:并且不会对用户进行更改。
- iOS 12.0 及更新:“是”会阻止用户在设备设置 (“常规>屏幕时间”>) 设置自己的屏幕时间,包括内容和隐私限制。 升级到 iOS 12.0 的设备将不再在设备设置中看到“限制”选项卡, (“设置>”常规>设备管理>管理配置文件>限制“) 。 这些设置位于 “屏幕时间”。
阻止使用擦除所有内容和设置: “是 ”会阻止在设备上使用擦除所有内容和设置选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会向用户授予对这些设置的访问权限。
阻止修改设备名称: “是 ”会阻止在本地更改设备名称。 设置为 “是”时,可以使用远程设备操作远程重命名设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改设备的名称。
阻止修改通知设置: “是 ”会阻止更改通知设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改设备通知设置。
阻止修改壁纸: “是 ”可阻止更改壁纸。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改设备上的壁纸。
阻止配置文件更改: “是 ”会阻止设备上的配置文件更改。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户安装配置文件。
允许激活锁定: “是 ”在受监督的 iOS/iPadOS 设备上启用激活锁定。 激活锁定使丢失或被盗的设备更难重新激活。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
阻止删除应用: “是 ”会阻止删除应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户从设备中删除应用。
设备锁定时允许 USB 配件: 是 允许 USB 配件与锁定超过一小时的设备交换数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在设备上更新 USB 受限模式,如果锁定超过一小时,USB 配件将阻止从设备传输数据。
此功能适用于:
- iOS/iPadOS 11.4.1 及更新
强制自动日期和时间: “是 ”强制受监督设备自动设置日期 & 时间。 当设备具有手机网络连接或启用位置服务 Wi-Fi 时,将更新设备的时区。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
需要教师权限才能离开 Classroom 应用非托管课程: “是 ”,强制使用 Classroom 应用注册非托管课程的学生向教师请求离开课程的权限。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会强制学生请求权限。
此功能适用于:
- iOS 11.3 及更新版
- iPadOS 13.0 及更高版本
允许 Classroom 锁定应用并在不提示的情况下锁定设备: “是 ”允许教师在不提示学生的情况下使用 Classroom 应用锁定应用或锁定设备。 锁定应用意味着设备只能访问教师指定的应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止教师在不提示学生的情况下使用 Classroom 应用锁定应用或设备。
此功能适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
允许学生在不提示的情况下自动加入 Classroom 课程: “是 ”自动允许学生在不提示教师的情况下加入 Classroom 应用中的课堂。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会提示教师学生希望加入 Classroom 应用中的课堂。
此功能适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
阻止 VPN 创建: “是 ”会阻止用户创建 VPN 配置设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上创建 VPN。
阻止修改 eSIM 设置: “是 ”会阻止在设备上删除或向 eSIM 添加手机网络计划。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改这些设置。
此功能适用于:
- iOS 12.1 及更新
- iPadOS 13.0 及更高版本
延迟软件更新: 启用 允许在设备上显示软件更新时延迟 1-90 天。 此设置无法控制何时安装或未安装更新。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当 Apple 发布软件更新时,OS 可能会在设备上显示软件更新。 例如,如果 iOS/iPadOS 更新由 Apple 在特定日期发布,则该更新自然显示在发布日期前后的设备上。
延迟软件更新的可见性:输入 1-90 天的值。 延迟过期后,系统会通知用户更新到触发延迟时可用的最早 OS 版本。 不要将此值设置为零 ()
0天。例如,如果 iOS 12.a 在 1 月 1 日可用,并且 延迟可见性 设置为 5 天,则 iOS 12.a 不会在用户设备上显示为可用更新。 发布后 的第六天 ,该更新可用,用户可以安装它。
此功能适用于:
- iOS 11.3 及更新版
- iPadOS 13.0 及更高版本
键盘和字典
设置适用于:自动化设备注册 (监督)
阻止字词定义查找: “是 ”会阻止突出显示字词,然后查找其定义。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问定义查找功能。
阻止预测键盘: “是 ”会阻止使用预测键盘来建议用户可能需要的字词。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。
阻止自动更正: “是 ”会阻止使用自动更正。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备自动更正拼写错误的单词。
阻止拼写检查:是会阻止拼写检查器。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用拼写检查器。
阻止键盘快捷方式: “是 ”会阻止用户使用键盘快捷方式。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上使用键盘快捷方式。
阻止听写: “是 ”会阻止用户使用语音输入输入文本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用听写输入。
阻止 QuickPath: “是 ”会阻止用户使用 QuickPath。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用 QuickPath,它允许在设备的键盘上进行连续输入。 用户可以通过轻扫键进行键入以创建字词。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
Kiosk
应用锁定 (打开 Apple 网站,) 在 Intune 中称为展台模式。
设置适用于:自动化设备注册 (监督)
要在展台模式下运行的应用:选择要在展台模式下运行的应用类型。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能不会应用展台设置。 设备不在展台模式下运行。
- 应用商店应用:在 iTunes 应用商店中输入应用的 URL。
- 托管应用:选择之前添加到Intune的应用。
- 内置应用:输入内置应用的 捆绑 ID 。 若要获取添加到 Intune 的应用的捆绑 ID,可以使用 Intune 管理中心。
需要辅助触摸: “是 ”要求设备上具有辅助触摸辅助功能设置。 此功能可帮助用户使用可能难以使用的屏幕手势。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在展台模式下运行或启用此功能。
需要反转颜色: 是 需要“反转颜色”辅助功能设置,以便有视觉障碍的用户可以更改显示屏幕。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在展台模式下运行或启用此功能。
需要单声道音频: “是 ”要求设备上具有 Mono 音频辅助功能设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在展台模式下运行或启用此功能。
需要语音控制: “是 ”启用设备上的语音控制,并允许用户使用 Siri 命令完全控制操作系统。 用户无法将其关闭。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会禁用语音控制。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
提示
如果你有适用于你的组织的 LOB 应用,并且它们未在 iOS 13.0 发布时第 0 天准备好 语音控制 ,我们建议将此设置保留为 “未配置”。
需要 VoiceOver: 是 需要 VoiceOver 辅助功能设置才能大声朗读屏幕上的文本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在展台模式下运行或启用此功能。
需要缩放: “是 ”需要缩放设置,以便用户可以触摸以放大屏幕。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在展台模式下运行或启用此功能。
阻止自动锁定: “是 ”会阻止自动锁定设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。
阻止响铃开关: “是 ”禁用设备上的响铃 (静音) 开关。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。
阻止屏幕旋转: “是 ”会阻止在用户旋转设备时更改屏幕方向。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。
阻止屏幕睡眠按钮: 是 禁用设备上的屏幕睡眠唤醒按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。
阻止触摸: “是 ”禁用设备上的触摸屏。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用触摸屏。
阻止音量按钮: “是 ”会阻止在设备上使用音量按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用音量按钮。
允许辅助触摸控制: 是 允许用户使用辅助触摸功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会禁用此功能。
允许反转颜色控制: 是 反转颜色更改,让用户调整反转颜色功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会禁用此功能。
对所选文本说话: “是 ”允许在设备上使用“朗讲所选内容”辅助功能设置。 此功能可大声朗读出用户选择的文本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会禁用此功能。
允许语音控制: “是 ”允许用户更改其设备上的语音控制状态。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止用户更改其设备上的语音控制状态。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
允许 VoiceOver 控制: “是 ”允许通过语音更改来让用户更新 VoiceOver 功能,例如大声朗读屏幕文本的速度。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止语音更改。
允许缩放控件: “是 ”允许用户进行缩放更改。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止缩放更改。
注意
在为展台模式配置 iOS/iPadOS 设备之前,必须使用 Apple 配置器工具或 Apple 设备注册计划将设备置于监督模式。 请参阅 Apple 有关使用 Apple Configurator 工具的指南。 如果在分配配置文件后安装了输入的 iOS/iPadOS 应用,则设备在重启设备之前不会进入展台模式。
锁定屏幕体验
设置适用于:所有注册类型
- 在锁屏界面中阻止控制中心访问: “是 ”会阻止在设备锁定时访问控制中心应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当设备锁定时,OS 可能允许访问控制中心应用。
- 在锁屏界面中阻止通知中心访问: “是 ”会阻止设备锁定时访问通知。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在不解锁设备的情况下访问通知。
- 在锁屏界面中阻止“今天”视图: “是 ”会阻止设备锁定时访问“今日”视图。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备锁定时看到“今日”视图。
设置适用于:设备注册、自动设备注册 (监督)
- 在锁屏界面中阻止电子钱包通知: “是 ”会阻止在设备锁定时访问电子钱包应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备锁定时访问电子钱包应用。
Password
设置适用于:所有注册类型
- 需要密码: “是 ”要求用户输入密码才能访问设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在不输入密码的情况下访问设备。
设置适用于:设备注册、自动设备注册 (监督)
重要
在用户注册的设备上,如果配置了任何密码设置,则 “简单密码 设置”将自动设置为 “是”,并强制实施 6 位 PIN。
例如,配置“密码过期”设置,并将此策略推送到用户注册的设备。 在设备上,会出现以下情况:
- 将忽略“密码过期”设置。
- 不允许使用简单密码,如
1111或1234。 - 强制使用 6 位 pin。
阻止简单密码: 是 会阻止简单密码,并且需要更复杂的密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许简单密码,例如
0000和1234。所需的密码类型:输入组织所需的所需密码复杂性级别。 选项包括:
- 设备默认值
- 数值:可以是字母字符(如 abcdef)和数字字符(如123456789)。
- 字母数字:包括大写字母、小写字母和数字字符。
注意
选择字母数字可能会影响配对的 Apple Watch。 有关详细信息,请参阅 设置 Apple Watch 的密码限制 (打开 Apple 网站) 。
密码中的非字母数字字符数:输入密码中必须包含的符号字符数,例如
#或@,从 1 到 4。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。最小密码长度:输入密码必须具有的最小长度(4-16 个字符)。 在用户注册的设备上,输入 4 到 6 个字符之间的长度。
注意
对于用户注册的设备,用户可以设置大于 6 位的 PIN。 但是,在设备上强制使用不超过 6 位数字。 例如,管理员将最小长度设置为
8。 在用户注册的设备上,用户只需设置 6 位数的 PIN。 Intune不会在用户注册的设备上强制使用大于 6 位的 PIN。擦除设备前的登录失败次数:输入擦除设备之前失败的登录次数(从 2 到 11)。 不建议将此值设置为
2或3。 输入错误的密码很常见。 经常在尝试两次或三次不正确的密码后擦除设备。 建议将此值至少4设置为 。iOS/iPadOS 具有可能影响此设置的内置安全性。 例如,iOS/iPadOS 可能会延迟触发策略,具体取决于登录失败次数。 它还可能考虑重复输入与一次尝试相同的密码。 Apple 的 iOS/iPadOS 安全指南 (打开 Apple 网站,) 是一个很好的资源,并提供有关密码的更具体详细信息。
需要密码之前屏幕锁定后的最大分钟数1:输入设备在用户必须重新输入其密码之前保持空闲状态的时间。 如果输入的时间长于设备上当前设置的时间,则设备将忽略您输入的时间。
此功能适用于:
- iOS 8.0+
- iPadOS 13.0+
屏幕锁定前的最大非活动分钟数1:输入设备在屏幕锁定之前允许的最大非活动分钟数。
iOS/iPadOS 选项:
- 未配置 (默认) :Intune不会更改或更新此设置。
- 立即:屏幕在处于非活动状态 30 秒后锁定。
- 1:屏幕处于非活动状态 1 分钟后锁定。
- 2:屏幕在处于非活动状态 2 分钟后锁定。
- 3:屏幕在处于非活动状态 3 分钟后锁定。
- 4:屏幕在处于非活动状态 4 分钟后锁定。
- 5:屏幕在处于非活动状态 5 分钟后锁定。
iPadOS 选项:
- 未配置 (默认) :Intune不会更改或更新此设置。
- 立即:屏幕在处于非活动状态 2 分钟后锁定。
- 2:屏幕在处于非活动状态 2 分钟后锁定。
- 5:屏幕在处于非活动状态 5 分钟后锁定。
- 10:屏幕在处于非活动状态 10 分钟后锁定。
- 15:屏幕在处于非活动状态 15 分钟后锁定。
如果某个值不适用于 iOS 和 iPadOS,则 Apple 将使用最接近 的最低 值。 例如,如果输入
4分钟,则 iPadOS 设备使用2分钟数。 如果输入10分钟数,则 iOS 设备使用5分钟数。 此行为是 Apple 的限制。注意
此设置的Intune UI 不会分隔 iOS 和 iPadOS 支持的值。 UI 可能会在将来的版本中更新。
密码过期 (天) :输入必须更改设备密码之前的天数,从 1 到 730。
防止重用以前的密码:限制用户创建以前的密码。 输入以前使用过的不能使用的密码数(从 1 到 24)。 例如,输入 5,以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时,Intune不会更改或更新此设置。
阻止触摸 ID 和人脸 ID 解锁: “是 ”会阻止使用指纹或人脸解锁设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用生物识别解锁设备。
设置为 “是” 还会阻止使用 FaceID 身份验证解锁设备。
人脸 ID 适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
设置适用于:自动化设备注册 (监督)
阻止密码修改: “是 ”可阻止更改、添加或删除密码。 阻止此功能后,在受监督的设备上忽略对密码限制的更改。 在共享 iPad 上忽略此设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许添加、更改或删除密码。
阻止修改触控 ID 指纹和人脸 ID 人脸: “是 ”可阻止用户更改、添加或删除 TouchID 指纹和人脸 ID。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更新设备上的 TouchID 指纹和人脸 ID。
阻止此设置还会阻止用户更改、添加或删除 FaceID 身份验证。
人脸 ID 适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
阻止密码自动填充: “是 ”会阻止使用“自动填充密码”功能。 选择 “是” 也会产生以下影响:
- 系统不会提示用户在 Safari 或任何应用中使用保存的密码。
- 禁用自动强密码,并且不会向用户建议使用强密码。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许这些功能。
阻止密码邻近感应请求: “是 ”会阻止设备从附近设备请求密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许这些密码请求。
阻止密码共享: “是 ”会阻止使用 AirDrop 在设备之间共享密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许共享密码。
需要触控 ID 或人脸 ID 身份验证才能自动填充密码或信用卡信息:“是”会强制用户使用 TouchID 或 FaceID 进行身份验证,然后才能在 Safari 和其他应用中自动填写密码或信用卡信息。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备设置中控制此功能。
此功能适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
1 配置 “屏幕锁定前的最大不活动分钟数 ”和 “屏幕锁定后的最大分钟数”时,密码是必需的 设置时,它们将按顺序应用。 例如,如果将这两个设置的值设置为 5 分钟,则屏幕会在 5 分钟后自动关闭,设备在 5 分钟后锁定。 但是,如果用户手动关闭屏幕,则会立即应用第二个设置。 在同一示例中,用户关闭屏幕后,设备将在五分钟后锁定。
受限应用
设置适用于:设备注册和自动设备注册 (监督)
受限应用列表的类型:Create不允许用户安装或使用的应用列表。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许访问你分配的应用和内置应用。
- 禁止的应用:列出 (不允许用户安装和运行Intune) 管理的应用。 不会阻止用户安装禁止的应用。 如果用户从此列表中安装应用,则会在具有受限应用的设备报告中报告设备 (Intune管理中心>设备>监视>具有受限应用) 的设备。
- 批准的应用:列出允许用户安装的应用。 为了保持合规性,用户不得安装其他应用。 自动允许Intune管理的应用,包括公司门户应用。 不会阻止用户安装不在已批准列表中的应用。 但是,如果他们这样做,在Intune报道。
注意
当设备上存在受限应用时,此设置将报告为“不符合”。
若要将应用添加到这些列表,可以:
输入所需应用的 iTunes 应用商店 URL。 例如,若要添加 Microsoft 工作文件夹应用,请输入
https://itunes.apple.com/us/app/work-folders/id950878067?mt=8或https://apps.apple.com/us/app/work-folders/id950878067?mt=8。若要查找应用的 URL,请打开 iTunes App Store,然后搜索该应用。 例如,搜索
Microsoft Remote Desktop或Microsoft Word。 选择应用,并复制 URL。还可以使用 iTunes 查找应用,然后使用 “复制链接” 任务获取应用 URL。
导入 包含应用详细信息(包括 URL)的 CSV 文件。 使用
<app url>, <app name>, <app publisher>格式。 或者, 以 相同格式导出包含受限应用列表的现有列表。
重要
必须将使用受限应用设置的设备配置文件分配给用户组,而不是设备组。
共享 iPad
此功能适用于:
- iPadOS 13.4 及更新版
- 共享 iPad
设置适用于:自动化设备注册 (监督)
阻止共享 iPad 临时会话:临时会话允许用户以来宾身份登录,用户无需输入托管 Apple ID 或密码。
设置为 “是”时:
- 共享 iPad 用户无法使用临时会话。
- 用户必须使用其托管 Apple ID 和密码登录到设备。
- “来宾帐户”选项不会显示在设备上的锁屏界面上。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 允许共享 iPad 用户使用来宾帐户登录到设备。 当用户注销时,用户的任何数据都不会保存或同步到 iCloud。
显示或隐藏应用
此功能适用于:
- iOS 9.3 及更高版本
- iPadOS 13.0 及更高版本
设置适用于:自动化设备注册 (监督)
应用列表类型:Create要显示或隐藏的应用列表。 可以显示或隐藏内置应用和业务线应用。 苹果的网站有一个 苹果内置应用列表。 选项包括:
未配置 (默认) :Intune不会更改或更新此设置。
隐藏的应用:输入对用户隐藏的应用列表。 用户无法查看或打开这些应用。
Apple 会阻止隐藏某些本机应用。 例如,无法隐藏设备上的 “设置” 应用。 删除内置 Apple 应用 列出了可隐藏的应用。
可见应用:输入用户可以查看和启动的应用列表。 无法查看或启动其他应用。
应用 URL:输入要显示或隐藏的应用的应用商店应用 URL。 例如:
若要添加 Microsoft 工作文件夹应用,请输入
https://itunes.apple.com/us/app/work-folders/id950878067?mt=8或https://apps.apple.com/us/app/work-folders/id950878067?mt=8。若要添加 Microsoft Word 应用,请输入
https://itunes.apple.com/de/app/microsoft-word/id586447913或https://apps.apple.com/de/app/microsoft-word/id586447913。
若要查找应用的 URL,请打开 iTunes App Store,然后搜索该应用。 例如,搜索
Microsoft Remote Desktop或Microsoft Word。 选择应用,并复制 URL。还可以使用 iTunes 查找应用,然后使用 “复制链接” 任务获取应用 URL。
应用捆绑 ID:输入所需应用的应用 捆绑 ID 。 可以显示或隐藏内置应用和业务线应用。
若要获取应用捆绑包 ID,请执行以下操作:
- 苹果的网站有一个 苹果内置应用列表。
- 对于添加到 Intune 的应用,可以使用 Intune 管理中心。
应用名称:输入所需应用的应用名称。 可以显示或隐藏内置应用和业务线应用。 苹果的网站有一个 苹果内置应用列表。
发布者:输入所需应用的发布者。
还可以执行以下操作:
导入 包含应用详细信息(包括 URL)的 CSV 文件。 使用
<app url>, <app name>, <app publisher>格式。 或者, 导出 以创建你添加的受限应用的列表,格式相同。提示
可以通过下载 Apple App BundleID CSV (打开 Microsoft GitHub 站点) ,导入预安装的 Apple 应用列表。
无线
设置适用于:设备注册和自动设备注册 (监督)
阻止数据漫游: “是 ”会阻止通过手机网络进行数据漫游。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当设备位于手机网络时,OS 可能允许数据漫游。
重要
此设置被视为远程设备操作。 因此,此设置不会显示在设备上的管理配置文件中。 每当设备上的数据漫游状态更改时,Intune服务都会阻止数据漫游。 在 Intune,如果报告状态显示成功,则知道它正在运行,即使设置未显示在设备上的管理配置文件中。
在漫游时阻止全局后台提取: “是 ”会阻止在通过手机网络漫游时使用全局后台提取功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备在手机网络漫游时提取数据,例如电子邮件。
设备锁定时阻止语音拨号: “是 ”会阻止在设备上使用语音拨号功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上进行语音拨号。
阻止语音漫游: “是 ”会阻止通过手机网络进行语音漫游。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当设备位于手机网络时,OS 可能允许语音漫游。
阻止个人热点: “是 ”关闭每次同步设备时设备上的个人热点。此设置可能与某些运营商不兼容。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会将个人热点配置保留为用户设置的默认设置。
重要
此设置被视为远程设备操作。 因此,此设置不会显示在设备上的管理配置文件中。 每次设备上的个人热点状态更改时,Intune服务都会阻止个人热点。 在 Intune,如果报告状态显示成功,则知道它正在运行,即使设置未显示在设备上的管理配置文件中。
手机网络使用规则 (仅) 托管应用 : 允许 定义托管应用在手机网络时可以使用的数据类型。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 选项包括:
- 阻止使用手机网络数据:选择无法使用手机网络数据的应用。 选项包括:
- 未配置:Intune 不会更改或更新此设置。
- 所有托管应用
- 选择特定应用: 添加 应用捆绑包 ID、应用名称和发布者。
- 在漫游时阻止使用手机网络数据:选择漫游时无法使用手机网络数据的应用。 选项包括:
- 未配置:Intune 不会更改或更新此设置。
- 所有托管应用
- 选择特定应用: 添加 应用捆绑包 ID、应用名称和发布者。
- 阻止使用手机网络数据:选择无法使用手机网络数据的应用。 选项包括:
设置适用于:自动化设备注册 (监督)
阻止更改应用手机网络数据使用情况设置: “是 ”会阻止更改应用手机网络数据使用情况设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户控制允许哪些应用使用手机网络数据。
阻止对手机网络计划设置的更改: “是 ”会阻止更改手机网络计划中的任何设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户进行更改。
此功能适用于:
- iOS 11.0 及更高版本
- iPadOS 13.0 及更高版本
阻止修改个人热点: “是 ”会阻止更改个人热点设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户启用或禁用其个人热点。
如果将此设置和 “阻止个人热点” 设置为 “是”,则个人热点将关闭。
此功能适用于:
- iOS 12.2 及更新版
- iPadOS 13.0 及更高版本
要求仅使用配置文件加入 Wi-Fi 网络:“是”强制设备仅使用通过Intune配置文件设置 Wi-Fi 网络。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备使用其他 Wi-Fi 网络。
此设置适用于 iOS/iPadOS 14.4 和更早的设备。 在 iOS/iPadOS 14.5 及更新设备上,使用 “要求设备使用通过配置文件设置 Wi-Fi 网络 ”设置。
设置为 “是”时,请确保设备具有 Wi-Fi 配置文件。 如果未分配 Wi-Fi 配置文件,此设置可能会阻止设备连接到 Internet。 例如,如果此设备限制配置文件是在 Wi-Fi 配置文件之前分配的,则可能会阻止设备连接到 Internet。
如果设备无法连接,请取消注册设备,并使用 Wi-Fi 配置文件重新注册。 然后,在设备限制配置文件中将此设置设置为 “是 ”,并将配置文件分配给设备。
此功能适用于:
- iOS/iPadOS 14.4 及更早版本
要求始终打开 Wi-Fi: “是 ”在“设置”应用中保持打开 Wi-Fi。 即使设备处于飞行模式,也无法在“设置”或“控制中心”中将其关闭。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户打开或关闭 WI-Fi。
配置此设置不会阻止用户选择 Wi-Fi 网络。
此功能适用于:
- iOS 13.0 及更高版本
- iPadOS 13.0 及更高版本
要求设备使用通过配置文件设置 Wi-Fi 网络: “是 ”将强制设备使用通过配置文件设置 Wi-Fi 网络。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备使用其他 Wi-Fi 网络。
在 iOS/iPadOS 14.5 及更新设备上,使用此设置。 不要仅使用配置文件使用 “需要加入 Wi-Fi 网络 ”设置。
设置为 “是”时,请确保设备具有 Wi-Fi 配置文件。 如果未分配 Wi-Fi 配置文件,此设置可能会阻止设备连接到 Internet。 例如,如果此设备限制配置文件是在 Wi-Fi 配置文件之前分配的,则可能会阻止设备连接到 Internet。
如果设备无法连接,请取消注册设备,并使用 Wi-Fi 配置文件重新注册。 然后,在设备限制配置文件中将此设置设置为 “是 ”,并将配置文件分配给设备。
此功能适用于:
- iOS/iPadOS 14.5 及更高版本
后续步骤
还可以限制 macOS 设备上的设备功能和设置。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈