iOS 和 iPadOS 设备设置,以允许或限制使用 Intune 的功能

本文介绍了可以在 iOS 和 iPadOS 设备上控制的不同设置。 作为 MDM 解决方案中移动设备管理的一 (,) 允许或禁用功能、设置密码规则、允许或限制特定应用等。

这些设置将添加到 Intune 中的设备配置文件,然后分配或部署到 iOS/iPadOS 设备。

提示

这些设置使用 Apple 的 MDM 设置。 有关这些设置详细信息,请参阅 Apple 的移动设备管理设置 (打开 Apple 的网站) 。

准备工作

创建 iOS/iPadOS 设备限制配置文件

备注

这些设置适用于不同的注册类型,其中某些设置适用于所有注册选项。 有关不同注册类型的信息,请参阅 iOS/iPadOS 注册

应用商店、文档查看、游戏

设置适用于:所有注册类型

  • 阻止在非托管应用中查看公司文档:是可防止**** 在非托管应用中查看公司文档。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在任何应用中查看公司文档。

    例如,您希望阻止用户将文件从 OneDrive 应用Dropbox。 将此设置配置为 "是"。 设备收到策略 (例如,重启后) ,它不再允许保存。

    备注

    如果阻止此设置 (设置为"是) ,则也会阻止**** 从应用商店安装的第三方键盘。

    • **** 允许非托管应用从托管联系人帐户读取:是,允许非**** 托管应用(如内置 iOS/iPadOS 联系人应用)读取和访问托管应用(包括 Outlook 移动应用)中的联系人信息。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止读取设备上内置的"联系人"应用。

      此设置允许或禁止读取联系人信息。 它无法控制应用之间的联系人同步。

      若要使用此设置,将"阻止在非托管应用中查看公司文档"设置设置为 "是"。

    有关这两个设置及其对 Outlook for iOS/iPadOS 联系人导出同步的影响详细信息,请参阅支持提示:将 Intune 自定义配置文件设置与iOS/iPadOS 本机联系人应用一同使用。

  • 将 AirDrop 视为非托管目标 :Yes 强制将 AirDrop 视为非托管放置目标。 它阻止托管应用使用 Airdrop 发送数据。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。

  • 阻止在公司应用中查看非公司文档 :是 ,禁止在公司应用中查看非公司文档。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在公司托管应用中查看任何文档。

    Yes还阻止 iOS/iPadOS Outlook联系人导出同步。 有关详细信息,请参阅支持提示:使用 iOS12 MDM 控件Outlook iOS/iPadOS联系人同步。

  • 允许复制/ 粘贴受托管的打开功能的影响:是,根据配置阻止在非托管应用中查看公司文档的方式强制执行复制/**** 粘贴限制,以及阻止在公司应用中查看非公司文档。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会强制执行任何复制/粘贴限制。

设置适用于:设备注册、自动设备注册 (监督)

  • 所有购买都需要 iTunes 应用商店密码: 会强制用户输入每个应用内或 ITunes 购买的 Apple ID 密码。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许购买,而不会每次提示输入密码。

  • 阻止应用内购买**:是**,阻止从应用商店进行应用内购买。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在正在运行的应用中购买应用商店。

  • 阻止下载 Apple Books中的显式性内容 是,阻止用户从标记为 erotica 的 iBook 商店下载媒体。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户下载具有"Erotica"类别的书籍。

  • 允许托管应用将联系人写入非托管联系人帐户:是,允许托管应用****(如 Outlook 移动应用)将联系人信息(包括企业联系人和公司联系人)保存到内置 iOS/iPadOS 联系人应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止托管应用将联系人信息保存或同步到设备上内置的 iOS/iPadOS 联系人应用。

    若要使用此设置,将"阻止在非托管应用中查看公司文档"设置设置为 "是"。

  • 分级区域:选择要用于允许下载的分级区域。 然后,为电影、电视节目和应用选择**** 允许的评分。 ****

设置适用:自动注册设备 (监督)

  • 阻止应用商店**:是**,禁止在受监督的设备上访问应用商店。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

    • 阻止使用应用商店安装应用**:是**不会在设备主屏幕上显示应用商店。 用户可以继续使用 iTunes 或 Apple Configurator 安装应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许主屏幕上的应用商店。
    • 阻止自动应用下载**:是**可阻止自动下载在其他设备上购买的应用以及自动更新新应用。 它不会影响现有应用的更新。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在其他 iOS/iPadOS 设备上购买的应用在设备上下载和更新。
  • 阻止播放显式音乐、播客和 iTunes U: 是可阻止显示 iTunes 音乐、播客或新闻内容。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许设备访问从应用商店中视为成人的内容。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 阻止添加游戏中心好友**:是**,阻止用户添加游戏中心好友。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在游戏中心添加好友。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 阻止游戏中心**:是**,阻止使用游戏中心应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备上使用游戏中心应用。

  • 在游戏中心阻止多人游戏 可阻止多人游戏。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在设备上玩多人游戏。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 在文件应用中阻止访问网络驱动器:使用 SMB (SMB) ,设备可以访问网络服务器上的文件或其他资源。 Yes 阻止访问网络 SMB 驱动器上的文件。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本

ASAM 应用的自治 (模式)

使用这些设置将 iOS/iPadOS 设备配置为在 ASAM 应用中以自治的单一应用模式 (特定) 。 配置 ASAM,并且用户启动其中一个已配置的应用时,设备将锁定到该应用。 在用户退出允许的应用之前,应用/任务切换处于禁用状态。

若要应用 ASAM 配置,用户必须手动打开特定应用。 此任务还适用于 公司门户 应用。

  • 例如,在学校或大学环境中,添加允许用户在设备上参加测验的应用。 或者,将设备锁定公司门户应用,直到用户进行身份验证。 当用户完成应用操作或删除此策略时,设备将返回到其正常状态。

  • 并非所有应用都支持自治的单应用模式。 若要将应用置于 ASAM 中,通常需要应用配置策略提供的捆绑 ID 或密钥值对。 有关详细信息,请参阅 Apple autonomousSingleAppModePermittedAppIDs MDM 文档中的限制。 有关要配置的应用所需的特定设置详细信息,请参阅供应商文档。

    例如,若要在自治的单应用模式下配置 Zoom Rooms,Zoom 表示使用 us.zoom.zpcontroller 捆绑包 ID。 在此实例中,你还在缩放 Web 门户中做出更改。 有关详细信息,请参阅缩放 帮助中心

  • 在 iOS/iPadOS 设备上,公司门户支持 ASAM。 当公司门户位于 ASAM 中时,用户必须手动打开公司门户应用。 然后设备锁定在 公司门户应用中,直到用户进行身份验证。 当用户登录到 公司门户应用时,他们可以使用其他应用和设备的"主屏幕"按钮。 当他们注销应用公司门户,设备将返回到单个应用模式,并锁定公司门户应用。

    若要将 公司门户 应用转换为"登录/注销"应用 (启用 ASAM) ,请在这些设置中输入 公司门户 应用名称(如 )和捆绑包 ID () 。 Microsoft Intune Company Portal com.microsoft.CompanyPortal 分配此配置文件后,你必须打开公司门户应用以锁定该应用,以便用户可以登录和注销它。 若要应用 ASAM 配置,用户必须手动打开公司门户应用。

    删除设备配置文件并且用户退出时,设备不会锁定在 公司门户 应用中。

设置适用:自动注册设备 (监督)

  • 应用名称:输入想要应用的名称。
  • 应用程序包 ID: 输入 你需要 的应用的捆绑包 ID。

还可以 导入包含 应用名称及其捆绑包 ID 列表的 CSV 文件。 或者 ,导出 包含应用的现有列表。

内置应用

设置适用于:所有注册类型

  • Block Siri:是 ,阻止访问 Siri。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备上使用 Siri 语音助理。

    • 锁定设备时阻止 Siri:阻止在 设备锁定时访问 Siri。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备锁定时在设备上使用 Siri 语音助理。
  • 要求 Safari 欺诈警告**:是**要求在设备的 Web 浏览器中显示欺诈警告。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会显示这些警告。

设置适用于:设备注册、自动设备注册 (监督)

  • 阻止来自聚焦的 Internet 搜索结果 ,阻止聚焦返回来自 Internet 搜索的任何结果。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许聚焦搜索连接到 Internet 以提供搜索结果。

  • Safari Cookie: 默认情况下,Apple 允许所有 Cookie,并阻止跨网站跟踪。 使用此设置可允许用户启用或禁用这些功能。 你的选项:

    • 未配置 ( 默认) :Intune 不会更改或更新此设置。 默认情况下,操作系统允许所有 Cookie 和阻止跨网站跟踪,并可能允许用户启用和禁用这些功能。
    • 允许所有 Cookie,并允许跨网站跟踪:允许 Cookie,用户可以禁用 Cookie。 默认情况下,将阻止跨网站跟踪,并且用户可以启用此功能。
    • 阻止所有 Cookie 和跨网站跟踪:同时阻止 Cookie 和跨网站跟踪。 用户无法启用或禁用任一设置。
    • 允许所有 Cookie,并阻止跨网站跟踪:允许 Cookie,用户可以禁用。 默认情况下,跨网站跟踪将被阻止,用户无法启用或禁用。
  • 阻止 Safari JavaScript: 是Java浏览器中的脚本在设备上运行。 **** 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许Java脚本。

  • 阻止 Safari 弹出窗口 阻止 Safari Web 浏览器中的所有弹出窗口。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许弹出窗口阻止程序。

  • 阻止 Siri 进行听写**:是**,阻止与 Siri 服务器的连接。 用户不能用 Siri 听写文本。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许将 Siri 用于听写。

    此功能适用于:

    • iOS/iPadOS 14.5 及更高版本
  • 阻止 Siri 进行翻译**:Yes**阻止与 Siri 服务器连接,以便用户不能使用 Siri 翻译文本。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用 Siri 进行翻译。

    此功能适用于:

    • iOS/iPadOS 15.0 及更高版本

设置适用:自动注册设备 (监督)

  • 阻止相机**:是**,阻止访问设备上相机。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问设备的相机。

    Intune 仅管理对设备相机的访问。 它无法访问图片或视频。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

    • 阻止 FaceTime:****是阻止访问 FaceTime 应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问设备上 FaceTime 应用。

      从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 需要 Siri 亵亵筛选器**:是**,打开筛选器,并防止 Siri 听写或说亵亵语言。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。

    若要使用此设置,将Block Siri设置设置为 "未配置"。

    此功能适用于:

    • iOS 11.0 及更高版本
  • Block user-generated content in Siri :Yes prevents Siri from accessing websites to answer questions. 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许 Siri 从 Internet 访问用户生成的内容。

    若要使用此设置,将Block Siri设置设置为 "未配置"。

  • 阻止 Apple 新闻**:是**阻止在设备上访问 Apple News 应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用 Apple News 应用。

  • 阻止 Apple 书籍**:是**阻止访问 iBooks 商店。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户浏览和购买 iBooks 商店中的书籍。

  • **阻止 iMessage:**,阻止使用适用于 iMessage 的邮件应用。 如果设备支持短信,则用户仍可使用短信发送和接收短信。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用邮件应用通过 Internet 发送和接收消息。

  • 阻止播客**:是**,禁止使用播客应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用播客应用。

  • 音乐服务**:** 是禁用 音乐 服务,音乐应用恢复为经典模式。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用 Apple 音乐应用。

  • 阻止 iTunes 无线电****广播:是,禁止使用 iTunes 无线电应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用 iTunes Radio 应用。

  • 阻止 iTunes 存储**:是**,禁止在设备上使用 iTunes。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许 iTunes。

    此功能适用于:

    • iOS 4.0 及更高版本
    • iPadOS 13.0 及更高版本
  • **阻止查找我的iPhone:**,在"查找我的应用程序"中阻止此功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用此"查找我的应用"功能获取设备的大致位置。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 阻止查找我的好友**:是**,在"查找我的应用程序"中阻止此功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用此"查找我的应用"功能从 Apple 设备或设备 iCloud.com。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 阻止用户修改"查找我的好友"设置**:"** 是"阻止对"查找我的好友"应用设置进行更改。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改"查找我的好友"应用的设置。

  • 阻止从设备中删除系统应用**:是**可阻止从设备中删除系统应用。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户删除系统应用。

  • 阻止 Safari:是 ,禁止在设备上使用 Safari 浏览器。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用 Safari 浏览器。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 阻止 Safari 自动填充**:是**,在设备的 Safari 中禁用自动填充功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在 Web 浏览器中更改自动完成设置。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

云和存储

设置适用于:所有注册类型

  • 强制加密备份**:是**要求对设备备份进行加密。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。
  • 阻止托管应用在 iCloud中存储数据****:是,阻止 Intune 托管的应用将数据同步到用户的 iCloud 帐户。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会允许此数据同步到 iCloud。
  • 阻止备份企业书籍 可防止备份企业书籍。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户备份这些书籍。
  • 阻止企业书籍的备注和突出显示同步 是可防止同步企业书籍中的笔记和突出显示内容。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许同步。

设置适用于:设备注册、自动设备注册 (监督)

  • 阻止 iCloud 照片同步**:是**,阻止照片流同步到 iCloud。 阻止此功能可能会导致数据丢失。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在设备上启用"**** 我的照片流"以同步到 iCloud,并且所有用户设备上都有可用的照片。
  • 阻止 iCloud 照片库**:是**,禁止使用 iCloud 照片库在云中存储照片和视频。 未从 iCloud 照片库完全下载到设备的任何照片将从设备中删除。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用 iCloud 照片库。
  • 阻止我的照片流**:是**,在设备上禁用 iCloud照片共享。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许共享照片流。
  • 阻止关闭**:是**,阻止用户在 iOS/iPadOS 设备上开始工作,然后在另一个 iOS/iPadOS 或 macOS 设备上继续工作。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许此讲台。

设置适用:自动注册设备 (监督)

  • 阻止 iCloud 备份**:是**,阻止用户将设备备份到 iCloud。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户将设备备份到 iCloud。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 阻止 iCloud 文档和数据同步**:是**,阻止 iCloud 同步文档和数据。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许将文档和键值同步到 iCloud 存储空间。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

  • 阻止 iCloud 钥匙链同步**:是**,禁止将密钥链中存储的凭据同步到 iCloud。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户同步这些凭据。

    从 iOS/iPadOS 13.0 开始,此设置需要监督的设备。

已连接设备

设置适用于:所有注册类型

  • 强制 Apple Watch 检测:****是会强制配对的 Apple Watch 使用手部检测。 如果需要,Apple Watch 不会在未更新时显示通知。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。

设置适用于:设备注册、自动设备注册 (监督)

  • 需要 AirPlay 传出请求配对密码 需要使用 AirPlay 将内容流式传输给其他 Apple 设备时需要配对密码。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用 AirPlay 流式传输内容,而无需输入密码。

  • 阻止 Apple Watch**** 自动解锁:是,当障碍(如掩码)阻止人脸 ID 识别用户人脸时,阻止用户使用 Apple Watch 解锁其设备。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,如果障碍阻止人脸 ID 识别用户,操作系统可能会允许 Apple Watch 自动解锁设备。

    此功能适用于:

    • iOS/iPadOS 14.5 及更高版本

设置适用:自动注册设备 (监督)

  • **阻止 AirDrop:**,禁止在设备上使用 AirDrop。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用 AirDrop 功能与附近设备交换内容。

  • 阻止与 Apple Watch 配对 ,阻止与 Apple Watch 配对。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许设备与 Apple Watch 配对。

  • 阻止修改蓝牙设置 是会阻止用户蓝牙更改设备设置。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改这些设置。

  • 阻止与非 Configurator主机 配对:是 可阻止主机配对。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许主机配对,以允许管理员控制 iOS/iPadOS 设备可以配对的设备。

  • **阻止 AirPrint:**,禁止在设备上使用 AirPrint 功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用 AirPrint。

    • 阻止在密钥链中存储 AirPrint 凭据 :阻止 在设备上对用户名和密码使用密钥链存储。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许将 AirPrint 用户名和密码存储在钥匙链应用中。
    • 需要 AirPrint 到具有受信任证书的目标 :Yes 强制设备使用受信任的证书进行 TLS 打印通信。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。
    • 阻止 iBeacon 发现 AirPrint****打印机:是,可防止恶意 AirPrint 蓝牙网络通信的网络钓鱼信号。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备上广告 AirPrint 打印机。
  • 阻止设置新的附近设备**:** 是,禁用设置附近新设备的提示。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许提示用户连接到其他附近的 Apple 设备。

    此功能适用于:

    • iOS 11.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 阻止访问文件应用中的 USB驱动器:设备可以连接和打开 USB 驱动器上的文件。 :当 USB 连接到设备时,阻止设备访问"文件"应用中的 USB 驱动器。 阻止此功能还会阻止用户将文件传输到连接到主机的 U 盘iPad。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问"文件"应用中的 U 盘。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本
  • **禁用近场通信 (NFC ** ) : 是禁用 NFC,并阻止设备与其他支持 NFC 的设备配对。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,可能允许用户使用 NFC 并连接到其他支持 NFC 的设备。

    此功能适用于:

    • iOS 14.2 及更高版本
    • iPadOS 14.2 及更高版本
  • 允许用户使用未配对的设备将设备启动到恢复模式 是,允许用户使用未配对的设备将设备启动到恢复模式。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止用户使用未配对的设备将设备启动到恢复模式。

    此功能适用于:

    • iOS/iPadOS 14.5 及更高版本

设置适用于:设备注册、自动设备注册 (监督)

  • 未标记的电子邮件域:将一个或多个域 URL 添加到列表中。 当用户从非你输入的域的域中收到电子邮件时,该电子邮件在 iOS/iPadOS 邮件应用中被标记为不可信。

  • 托管 Safari Web 域:将一个或多个 Web 域 URL 添加到列表中。 从您输入的域下载文档时,它们被视为托管文档。 此设置仅适用于使用 Safari 浏览器下载的文档。

设置适用:自动注册设备 (监督)

  • Safari 密码域:将一个或多个域 URL 添加到列表中。 用户只能保存此列表中的 URL 中的 Web 密码。 此设置仅适用于 Safari 浏览器和监督模式下的设备。 如果不输入任何 URL,则密码可以从所有网站保存。

    此功能适用于:

    • iOS 9.3 及更高版本
    • iPadOS 13.0 及更高版本

常规

设置适用于:所有注册类型

  • 阻止将诊断和使用情况数据发送到 Apple: 是,阻止设备将诊断和使用情况数据发送到 Apple。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许发送此数据。

  • 阻止屏幕截图和屏幕录制**:是**可阻止在设备上进行屏幕截图或屏幕捕获。 在 iOS/iPadOS 9.0 及更高版本中,它还阻止屏幕录制。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户将屏幕内容捕获为图像或视频。

设置适用于:设备注册、自动设备注册 (监督)

  • 阻止不受信任的 TLS证书 :是 ,可防止 tLS (TLS) 设备上使用不受信任的传输层安全性。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许 TLS 证书。

  • 阻止无线 PKI 更新**:是**,除非设备连接到计算机,否则会阻止用户接收软件更新。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许设备在不连接到计算机的情况下接收软件更新。

  • 强制有限广告跟踪 ,禁用设备广告标识符。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会保持启用状态。

  • 阻止信任新的企业应用作者:是**** Enterprise设备上"常规**** 设置 >配置文件>"&开发人员"按钮。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户选择信任未从应用商店下载的应用。

  • 阻止应用剪辑**:是**,在托管设备上阻止应用剪辑。 具体来说,设置为 "是":

    • 阻止用户在设备上添加应用剪辑。
    • 删除设备上现有的应用剪辑。

    设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备上添加和删除应用剪辑。

    此功能适用于:

    • iOS 14.0 及更高版本
    • iPadOS 14.0 及更高版本
  • 限制 Apple 个性化广告 限制 Apple 在应用商店、Apple 新闻和股票应用中的个性化广告。 在设备上 ,设置 > **** > 隐私 Apple Advertising处于关闭状态。 此设置仅影响这些应用中的个性化广告。 它不会影响非个性化广告,并且可能不会减少广告。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会启用个性化广告。

    有关 Apple 策略详细信息,请参阅 Apple Advertising & Privacy (opens Apple's web site) 。

    此功能适用于:

    • iOS 14.0 及更高版本
    • iPadOS 14.0 及更高版本

设置适用:自动注册设备 (监督)

  • 阻止修改诊断设置**:是**,防止用户更改诊断提交和诊断设备使用情况 (应用设置) 。 **** 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改这些设备设置。

    若要使用此设置,将阻止 发送诊断和使用情况 数据设置为未配置 Apple 设置

    此功能适用于:

    • iOS 9.3.2 及更高版本
    • iPadOS 13.0 及更高版本
  • 阻止远程 AirPlay、按教室应用查看屏幕和屏幕共享:**** 是可防止 Classroom 应用在设备上远程查看屏幕。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许 Apple Classroom 应用查看屏幕。

    若要使用此设置,将"阻止屏幕截图和屏幕录制"设置设置为 "未配置"。

    此功能适用于:

    • iOS 9.3 - iOS 12.x:需要监督的设备
    • iOS 13.0 及更高版本:不需要受监督的设备
    • iPadOS 13.0 及更高版本:必须在 ADE 设备上使用设备注册或自动 (注册)
  • 允许教室应用在无提示的情况下执行 AirPlay 和查看**** 屏幕:是,教师可以在不知情的情况下使用 Classroom 应用以静默方式观察学生 iOS/iPadOS 屏幕。 使用 Classroom 应用在课堂中注册的学生设备会自动向该课程的教师授予权限。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止此功能。

    若要使用此设置,将"阻止屏幕截图和屏幕录制"设置设置为 "未配置"。

  • 阻止修改帐户设置**:是**,阻止用户从 iOS/iPadOS 设置应用更新特定于设备的设置。 例如,用户无法创建新的设备帐户或更改用户名或密码。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改这些设置。

    此功能还适用于 iOS/iPadOS 设置应用中的设置,如邮件、联系人、日历、Twitter 等。 此功能不适用于帐户设置不可在 iOS/iPadOS 设置应用中配置的应用,如 Microsoft Outlook 应用。

  • 阻止屏幕时间**:** 是,阻止用户在"屏幕时间"中设置自己的 (设备设置) 。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户配置设备限制 (如家长控件或内容,以及设备上) 隐私限制。

    此设置从设备设置中的启用限制重命名。 此更改的影响:

    • iOS 11.4.1 及**** 较早版本:是可防止用户在设备设置中设置自己的限制。 行为相同;并且用户没有任何更改。
    • iOS 12.0 及**** 更高版本:是可防止用户在设备设置中**** 设置自己的屏幕时间 (设置 > 常规 > 屏幕时间) ,包括内容和隐私限制。 升级到 iOS 12.0 的设备不会再在设备设置中看到"限制"选项卡 (设置 >常规 > 设备管理 > 管理配置文件>限制) 。 这些设置在"屏幕 时间"中
  • 阻止使用擦除所有内容和设置**:是**,阻止在设备上使用"擦除所有内容和设置"选项。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户访问这些设置。

  • 阻止修改设备名称 可防止在本地更改设备名称。 设置为" 是" 时,可以使用远程设备操作远程重命名设备。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改设备的名称。

  • 阻止修改通知设置 可阻止更改通知设置。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改设备通知设置。

  • 阻止修改墙纸**:是**可防止更改墙纸。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在设备上更改墙纸。

  • 阻止配置文件更改 ,防止在设备上更改配置文件。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户安装配置文件。

  • 允许激活锁定**:是**,在监督的 iOS/iPadOS 设备上启用激活锁定。 激活锁定使丢失或被盗设备更难被重新激活。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。

  • 阻止删除应用 可阻止删除应用。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户从设备中删除应用。

  • 在设备锁定时允许 USB附件:**** 是允许 USB 附件与锁定时间超过一小时的设备交换数据。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会在设备上更新 USB 受限模式,如果锁定一小时以上,USB 附件将阻止从设备传输数据。

    此功能适用于:

    • iOS/iPadOS 11.4.1 及更高版本
  • 强制自动日期和时间 强制受监督设备自动设置&日期和时间。 设备具有手机网络连接或已启用定位服务Wi-Fi更新设备的时区。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。

  • 需要教师权限才能将课堂应用保留为非托管课程:**** 是强制使用 Classroom 应用在非托管课程注册的学生向教师请求离开课程的权限。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会强制学生请求权限。

    此功能适用于:

    • iOS 11.3 及更高版本
    • iPadOS 13.0 及更高版本
  • 允许 Classroom 锁定应用并锁定设备,而不提示:是,**** 允许教师使用 Classroom 应用锁定应用或锁定设备,而不提示学生。 锁定应用意味着设备只能访问教师指定的应用。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止教师使用 Classroom 应用锁定应用或设备,而不提示学生。

    此功能适用于:

    • iOS 11.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 允许学生自动加入课堂,而不提示:是自动**** 允许学生加入课堂应用中的课堂,而不提示教师。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会提示教师学生要加入"课堂"应用中的课堂。

    此功能适用于:

    • iOS 11.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 阻止 VPN 创建**:是**阻止用户创建 VPN 配置设置。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在设备上创建 VPN。

  • 阻止修改 eSIM 设置 可防止在设备上删除手机网络计划或将手机网络计划添加到 eSIM。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更改这些设置。

    此功能适用于:

    • iOS 12.1 及更高版本
    • iPadOS 13.0 及更高版本
  • 延迟软件更新**:启用**后,可以在设备上显示软件更新时延迟 1-90 天。 此设置无法控制更新何时安装或不安装。

    设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,当 Apple 发布软件更新时,操作系统可能会显示设备上软件更新。 例如,如果 Apple 在特定的日期发布了 iOS/iPadOS 更新,那么该更新自然会围绕发布日期显示在设备上。

    • 延迟软件更新的可见性:输入 1-90 天的值。 当延迟到期时,将通知用户更新到延迟触发时可用的最早操作系统版本。 不要将此值设置为零 0 () 天。

      例如,如果 iOS 12.a 在1月**** 1 日可用,延迟可见性设置为5 天,则 iOS 12.a 不会在用户设备上显示为可用更新。 在 发布后 的第六天,该更新可用,用户可以安装它。

      此功能适用于:

      • iOS 11.3 及更高版本
      • iPadOS 13.0 及更高版本

键盘和字典

设置适用:自动注册设备 (监督)

  • 阻止单词定义查找 可防止突出显示一个单词,然后查找其定义。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问定义查找功能。

  • 阻止预测键盘**:是**可防止使用预测键盘建议用户可能需要的字词。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许此功能。

  • 阻止自动更正 ,禁止使用自动更正。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许设备自动更正拼写错误的单词。

  • 阻止拼写检查 ,阻止拼写检查。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用拼写检查器。

  • 阻止键盘快捷方式**:是**,阻止用户使用键盘快捷方式。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备上使用键盘快捷方式。

  • 阻止听写**:是**,阻止用户使用语音输入输入文本。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用听写输入。

  • **阻止 QuickPath:**,阻止用户使用 QuickPath。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用 QuickPath,这将允许在设备的键盘上连续输入。 用户可以通过跨键轻扫以创建单词来键入内容。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本

Kiosk

单应用 (打开 Apple 的网站) Intune 中称为展台模式。

设置适用:自动注册设备 (监督)

  • 应用以展台模式运行:选择要在展台模式下运行的应用类型。 你的选项:

    • 未配置 ( 默认) :Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会应用展台设置。 设备不以展台模式运行。
    • 应用商店应用:在 iTunes 应用商店中输入应用的 URL。
    • 托管应用:选择之前添加到 Intune 的应用。
    • 内置应用:输入 内置 应用的捆绑包 ID。
  • 需要辅助触摸**:是**要求在设备上设置辅助触摸辅助功能设置。 此功能可帮助用户使用屏幕手势,这些手势对于用户来说可能比较困难。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会在展台模式下运行或启用此功能。

  • 需要反转颜色**:是**需要"反转颜色"辅助功能设置,以便有视觉障碍的用户可以更改显示屏幕。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会在展台模式下运行或启用此功能。

  • 需要单声道音频 :是 要求在设备上设置单声道音频辅助功能设置。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会在展台模式下运行或启用此功能。

  • 需要语音控制 ,在设备上启用语音控制,并允许用户使用 Siri 命令完全控制操作系统。 用户无法将其关闭。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会禁用语音控制。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本

    提示

    如果你的组织可以使用 LOB 应用,并且它们在 iOS 13.0 版本发布的第 0 天没有准备好语音控制,那么我们建议你将此设置保留为"未配置 "。 ****

  • 需要 VoiceOver:****是需要 VoiceOver 辅助功能设置来大声读出屏幕上的文本。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会在展台模式下运行或启用此功能。

  • 需要缩放**:是**需要缩放设置,以便用户可以触摸来放大屏幕。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能不会在展台模式下运行或启用此功能。

  • 阻止自动锁定**:是**可阻止设备自动锁定。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许此功能。

  • 阻止响铃开关**:** 是,在设备上 (将) 将响铃器设为静音。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许此功能。

  • 阻止屏幕旋转**:是**可防止在用户旋转设备时更改屏幕方向。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许此功能。

  • 阻止屏幕睡眠按钮**:是**,在设备上禁用屏幕睡眠唤醒按钮。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许此功能。

  • 阻止触摸**:是**,在设备上禁用触摸屏。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用触摸屏。

  • 阻止音量按钮**:是**,禁止在设备上使用音量按钮。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用音量按钮。

  • 允许辅助触摸控件**:是**,允许用户使用辅助触摸功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会禁用此功能。

  • 允许反转颜色控制**:是**反转颜色更改,以允许用户调整反转颜色函数。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会禁用此功能。

  • 对选定文本说话**:是**允许在设备上使用"说话选择"辅助功能设置。 此功能会读出用户选择的大声朗读的文本。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会禁用此功能。

  • 允许语音控制**:是**允许用户更改其设备上语音控制的状态。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止用户更改其设备上语音控制的状态。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 允许 VoiceOver 控件 允许进行语音切换更改以允许用户更新 VoiceOver 功能,例如屏幕文本的朗读速度。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止语音转换更改。

  • 允许缩放控制**:是**允许用户更改缩放。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会阻止缩放更改。

备注

必须先使用 Apple 配置器工具或 Apple 设备注册计划将设备置于监督模式,然后才能将 iOS/iPadOS 设备配置为展台模式。 请参阅 Apple 有关使用 Apple Configurator 工具的指南。 如果在分配配置文件后安装了你输入的 iOS/iPadOS 应用,则设备不会进入展台模式,直到重新启动设备。

锁定屏幕体验

设置适用于:所有注册类型

  • 在锁屏界面中阻止控制中心访问 :是 阻止在设备锁定时访问控制中心应用。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,当设备锁定时,操作系统可能允许访问控制中心应用。
  • 阻止锁屏界面中的通知中心访问 :是 阻止在设备锁定时访问通知。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问通知而不解锁设备。
  • 在锁屏界面中阻止"今天"视图 :是 阻止在设备锁定时访问"今天"视图。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在设备锁定时查看"今天"视图。

设置适用于:设备注册、自动设备注册 (监督)

  • 在锁屏界面中阻止"电子钱包"通知 :是 ,当设备锁定时,阻止访问"电子钱包"应用。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,当设备锁定时,操作系统可能允许访问电子钱包应用。

Password

设置适用于:所有注册类型

  • 需要密码**:是**要求用户输入密码才能访问设备。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在不输入密码的情况下访问设备。

设置适用于:设备注册、自动设备注册 (监督)

重要

在用户注册的设备上,如果配置了任何密码设置,则"简单密码****"设置将自动设置为"是",**** 并强制执行 6 位数 PIN。

例如,配置密码 过期 设置,将此策略推送到用户注册的设备。 在设备上,将发生以下情况:

  • 忽略"密码 过期"设置。
  • 不允许使用简单密码(如 或 1111 1234 )。
  • 强制使用 6 位数的引脚。
  • 阻止简单密码 阻止简单密码,并且需要更复杂的密码。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许使用简单的密码,如 和 0000 1234

  • 所需密码类型:输入组织所需的密码复杂性级别。 你的选项:

    • 设备默认值
    • Numeric: 可以是字母字符(如 abcdef)和数字字符(如 123456789)。
    • 字母数字: 包括大写字母、小写字母和数字字符。

    备注

    选择字母数字可能会影响配对的 Apple Watch。 有关详细信息,请参阅设置 Apple Watch 密码限制 (打开 Apple 的网站) 。

  • 密码中的非字母数字字符数:输入密码中必须包含的符号字符(如 或 )的数量,从 # @ 1 到 4。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。

  • 最小密码长度:输入密码必须具有的最小长度,4-16 个字符。 在用户注册的设备上,输入长度介于 4 到 6 个字符之间。

    备注

    对于用户注册的设备,用户可以设置大于 6 位数的 PIN。 但是,在设备上强制执行的数字不能超过 6 位。 例如,管理员将最小长度设置为 8 。 在用户注册的设备上,用户只需设置 6 位数的 PIN。 Intune 不会强制在用户注册的设备上使用大于 6 位数的 PIN。

  • 擦除设备之前登录失败次数:输入擦除设备之前登录失败次数,从 2 到 11。 不建议将此值设置为 23 。 通常输入错误的密码。 在两三次不正确的密码尝试后擦除设备通常会发生。 建议至少将此值设置为 4

    iOS/iPadOS 具有可影响此设置的内置安全性。 例如,iOS/iPadOS 可能会延迟触发策略,具体取决于登录失败次数。 它也可能考虑重复输入与一次尝试相同的密码。 Apple 的 iOS/iPadOS 安全指南 (打开 Apple 的网站) 是一个很好的资源,提供有关密码的更具体的详细信息。

  • 屏幕锁定后需要密码的最大分钟数1:输入在用户必须重新输入其密码之前设备保持空闲状态的时间。 如果你输入的时间长于设备上当前设置的时间,则设备将忽略你输入的时间。

    此功能适用于:

    • iOS 8.0+
    • iPadOS 13.0 及以上
  • 在屏幕锁定1之前处于非活动状态的最大分钟数:输入在屏幕锁定之前允许设备上处于非活动状态的最大分钟数。

    iOS/iPadOS 选项

    • 未 ( 默认) :Intune 不会更改或更新此设置。
    • 立即:屏幕在非活动状态 30 秒后锁定。
    • 1:1分钟不活动后屏幕锁定。
    • 2:2分钟不活动后屏幕锁定。
    • 3:3分钟不活动后屏幕锁定。
    • 4: 在处于非活动状态 4 分钟后屏幕锁定。
    • 5:5分钟不活动后屏幕锁定。

    iPadOS 选项

    • 未 ( 默认) :Intune 不会更改或更新此设置。
    • 立即:屏幕在非活动状态 2 分钟后锁定。
    • 2:2分钟不活动后屏幕锁定。
    • 5:5分钟不活动后屏幕锁定。
    • 10:10分钟不活动后屏幕锁定。
    • 15: 在 15 分钟的不活动状态后,屏幕将锁定。

    如果值不适用于 iOS 和 iPadOS,Apple 将使用最接近 的最低 值。 例如,如果输入 4 分钟数,则 iPadOS 设备使用 2 分钟数。 如果输入 10 分钟数,则 iOS 设备使用 5 分钟数。 此行为是 Apple 的限制。

    备注

    此设置的 Intune UI 不分隔 iOS 和 iPadOS 支持的值。 UI 可能会在未来版本中更新。

  • **密码 (天数) : **输入必须更改设备密码的天数,从 1 到 65535。

  • 防止重复使用以前的密码:限制用户创建以前的密码。 输入以前使用的密码数,1 到 24 时不能用。 例如,输入 5,以便用户不能将新密码设置为其当前密码或前四个密码中的任意密码。 当值为空时,Intune 不会更改或更新此设置。

  • 阻止触摸 ID 和人脸 ID 解锁**:是**,阻止使用指纹或人脸解锁设备。 设置为" 配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户使用生物识别解锁设备。

    设置为 "是 "还会阻止使用 FaceID 身份验证解锁设备。

    人脸 ID 适用于:

    • iOS 11.0 及更高版本
    • iPadOS 13.0 及更高版本

设置适用:自动注册设备 (监督)

  • 阻止密码修改**:是**,阻止更改、添加或删除密码。 阻止此功能后,在受监督的设备上将忽略对密码限制的更改。 在共享 iPad 上忽略此设置。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会允许添加、更改或删除密码。

    • 阻止修改触摸 ID 指纹和人脸 ID 人脸****:是可阻止用户更改、添加或删除 TouchID 指纹和人脸 ID。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户更新设备的 TouchID 指纹和人脸 ID。

      阻止此设置还会阻止用户更改、添加或删除 FaceID 身份验证。

      人脸 ID 适用于:

      • iOS 11.0 及更高版本
      • iPadOS 13.0 及更高版本
  • 阻止密码自动填充**:是**,阻止使用自动填充密码功能。 选择 " 是"也具有以下影响:

    • 系统不会提示用户在 Safari 或任何应用中使用保存的密码。
    • 自动强密码处于禁用状态,并且不会向用户建议强密码。

    设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许这些功能。

  • 阻止密码邻近请求**:是**,阻止设备从附近设备请求密码。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会允许这些密码请求。

  • 阻止密码共享**:是**阻止使用 AirDrop 在设备之间共享密码。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许共享密码。

  • 需要触摸 ID或人脸 ID 身份验证才能自动填充密码或信用卡**** 信息:是强制用户在 Safari 和其他应用中自动填充密码或信用卡信息之前,使用 TouchID 或 FaceID 进行身份验证。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户在设备设置中控制此功能。

    此功能适用于:

    • iOS 11.0 及更高版本
    • iPadOS 13.0 及更高版本

1配置"屏幕**** 锁定前不活动的最大分钟数"和****"需要密码前屏幕锁定后的最大分钟数"设置时,将按顺序应用这些设置。 例如,如果将两个设置的值都设置为 5 分钟,则屏幕将在 5 分钟后自动关闭,设备将在五分钟后锁定。 但是,如果用户手动关闭屏幕,则立即应用第二个设置。 在同一示例中,在用户关闭屏幕后,设备在 5 分钟后将锁定。

受限制的应用

设置适用于:设备注册、自动设备注册 (监督)

  • 受限制的应用类型列表:创建不允许用户安装或使用的应用列表。 你的选项:

    • 未配置 ( 默认) :Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许访问你分配的应用和内置应用。
    • 禁止的应用:列出 (Intune) 不允许用户安装和运行的应用。 不会阻止用户安装禁止的应用。 如果用户从此列表中安装应用,则设备在具有受限应用的设备报告 (Endpoint Manager **** 管理中心 设备监视具有受限应用的设备报告 > **** > **** > ****) 。
    • 已批准的应用:列出允许用户安装的应用。 若要保持合规性,用户不得安装其他应用。 自动允许由 Intune 管理的应用,包括公司门户应用。 不会阻止用户安装未在已批准列表中的应用。 但如果它们这样做,它将在 Intune 中报告。

若要向这些列表添加应用,你可以:

  • 输入您想要的应用的 iTunes 应用商店 URL。 例如,若要添加 Microsoft 工作文件夹应用,请输入 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8https://apps.apple.com/us/app/work-folders/id950878067?mt=8

    若要查找应用程序的 URL,请打开 iTunes 应用商店,然后搜索该应用。 例如,搜索 Microsoft Remote DesktopMicrosoft Word 。 选择应用,然后复制 URL。

    您还可以使用 iTunes 查找应用程序,然后使用复制 链接 任务获取应用程序 URL。

  • 导入 包含有关应用的详细信息的 CSV 文件,包括 URL。 使用 <app url>, <app name>, <app publisher> 格式。 或者, 导出 包含相同格式的受限应用列表的现有列表。

重要

必须将使用受限应用设置的设备配置文件分配给用户组,而不是设备组。

共享 iPad

此功能适用于:

  • iPadOS 13.4 及更高版本
  • 共享 iPad

设置适用:自动注册设备 (监督)

  • 阻止共享iPad会话:临时会话允许用户以来宾身份登录,并且用户无需输入托管的 Apple ID 或密码。

    设置为" 是"时

    • 共享iPad用户不能使用临时会话。
    • 用户必须使用其托管 Apple ID 和密码登录设备。
    • 来宾帐户选项不会显示在设备的锁屏界面上。

    设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统允许共享iPad用户使用来宾帐户登录设备。 当用户退出时,不会保存任何用户数据或将数据同步到 iCloud。

显示或隐藏应用

此功能适用于:

  • iOS 9.3 及更高版本
  • iPadOS 13.0 及更高版本

设置适用:自动注册设备 (监督)

  • 应用类型列表:创建要显示或隐藏的应用列表。 你可以显示或隐藏内置应用和业务线应用。 Apple 的网站包含内置 Apple 应用的列表。 你的选项:

    • 未配置 ( 默认) :Intune 不会更改或更新此设置。

    • 隐藏应用:输入用户隐藏的应用列表。 用户无法查看或打开这些应用。

      Apple 阻止隐藏一些本机应用。 例如,你无法隐藏设置应用。 删除内置的 Apple 应用 列出了可以隐藏的应用。

    • 可见应用:输入用户可以查看和启动的应用列表。 无法查看或启动其他应用。

  • 应用 URL: 输入要显示或隐藏的应用的应用商店应用 URL。 例如:

    • 若要添加 Microsoft 工作文件夹应用,请输入 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8https://apps.apple.com/us/app/work-folders/id950878067?mt=8

    • 若要添加Microsoft Word,请输入 https://itunes.apple.com/de/app/microsoft-word/id586447913https://apps.apple.com/de/app/microsoft-word/id586447913

    若要查找应用程序的 URL,请打开 iTunes 应用商店,然后搜索该应用。 例如,搜索 Microsoft Remote DesktopMicrosoft Word 。 选择应用,然后复制 URL。

    您还可以使用 iTunes 查找应用程序,然后使用复制 链接 任务获取应用程序 URL。

  • 应用程序包 ID: 输入 你需要 的应用的应用程序包 ID。 你可以显示或隐藏内置应用和业务线应用。 Apple 的网站包含内置 Apple 应用的列表

  • 应用名称:输入你需要的应用的应用名称。 你可以显示或隐藏内置应用和业务线应用。 Apple 的网站包含内置 Apple 应用的列表

  • Publisher: 输入你需要的应用的发布者。

还可以执行以下操作:

  • 导入 包含有关应用的详细信息的 CSV 文件,包括 URL。 使用 <app url>, <app name>, <app publisher> 格式。 或者 ,导出 以创建以相同格式添加的受限应用的列表。

无线

设置适用于:设备注册、自动设备注册 (监督)

  • 阻止数据漫游 ,阻止通过手机网络漫游数据。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,当设备位于手机网络时,操作系统可能允许数据漫游。

    重要

    此设置被视为远程设备操作。 因此,此设置不会显示在设备的管理配置文件中。 每次数据漫游状态在设备上更改时,Intune**** 服务都会阻止数据漫游。 在 Intune 中,如果报告状态显示成功,则知道它正常工作,即使设置未显示在设备的管理配置文件中。

  • 漫游时阻止全局后台提取 是,阻止在通过手机网络漫游时使用全局后台提取功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,当设备在移动电话网络上漫游时,操作系统可能会允许设备提取数据(如电子邮件)。

  • 在设备锁定时阻止语音拨号 是,禁止在设备上使用语音拨号功能。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许在设备上进行语音拨号。

  • 阻止语音漫游 ,阻止通过手机网络进行语音漫游。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,当设备位于手机网络时,操作系统可能允许语音漫游。

  • 阻止个人热点**:是**,通过每个设备同步关闭设备上的个人热点。此设置可能与某些运营商不兼容。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能会将个人热点配置保留为用户设置的默认配置。

    重要

    此设置被视为远程设备操作。 因此,此设置不会显示在设备的管理配置文件中。 每次设备上个人热点状态更改时,Intune**** 服务都会阻止个人热点。 在 Intune 中,如果报告状态显示成功,则知道它正常工作,即使设置未显示在设备的管理配置文件中。

  • **仅 (应用的手机 **网络 ) :Allow 定义托管应用在手机网络上时可以使用的数据类型。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 你的选项:

    • 阻止使用手机网络数据:选择不使用手机网络数据的应用。 你的选项:
      • 未配置:Intune 不会更改或更新此设置。
      • 所有托管应用
      • 选择特定应用**:添加**应用程序包 ID、应用名称和发布者。
    • 漫游时阻止使用手机网络数据:选择漫游时不使用手机网络数据的应用。 你的选项:
      • 未配置:Intune 不会更改或更新此设置。
      • 所有托管应用
      • 选择特定应用**:添加**应用程序包 ID、应用名称和发布者。

设置适用:自动注册设备 (监督)

  • 阻止更改应用手机网络数据使用设置**:是**,阻止更改应用手机网络数据使用设置。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户控制允许哪些应用使用手机网络数据。

  • 阻止更改手机网络计划设置**:是**可阻止更改手机网络计划中的任何设置。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户进行更改。

    此功能适用于:

    • iOS 11.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 阻止修改个人热点**:是**可阻止更改个人热点设置。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户启用或禁用其个人热点。

    如果将此设置和"阻止个人热点 "设置设置为 "是 ", 则关闭个人热点。

    此功能适用于:

    • iOS 12.2 及更高版本
    • iPadOS 13.0 及更高版本
  • 仅要求Wi-Fi配置文件加入网络:是会强制设备仅**** Wi-Fi Intune 配置文件设置的网络。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许设备使用其他Wi-Fi网络。

    • 此设置适用于 iOS/iPadOS 14.4 和较旧的设备。 在 iOS/iPadOS 14.5 及更高版本设备上,使用"要求设备使用Wi-Fi配置文件设置 的网络" 设置。

    • 设置为" 是" 时,请确保设备具有Wi-Fi配置文件。 如果你未分配Wi-Fi配置文件,则此设置可能会阻止设备连接到 Internet。 例如,如果在配置配置文件之前分配此设备Wi-Fi配置文件,则设备可能会被阻止连接到 Internet。

    • 如果设备无法连接,请注销该设备,然后重新注册Wi-Fi配置文件。 然后,在 设备限制配置文件 中将此设置设置为"是",然后将该配置文件分配给设备。

      此功能适用于:

      • iOS/iPadOS 14.4 及更旧版本
  • 要求Wi-Fi始终打开**:** 是,Wi-Fi应用中保持设置打开。 它不能关闭在设置中,即使设备在飞行模式下。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许用户打开或关闭 WLAN。

    配置此设置不会阻止用户选择Wi-Fi网络。

    此功能适用于:

    • iOS 13.0 及更高版本
    • iPadOS 13.0 及更高版本
  • 要求设备使用通过Wi-Fi配置文件设置的网络 是会强制设备Wi-Fi配置文件设置的网络。 设置为" 未配置 (默认) 时,Intune 不会更改或更新此设置。 默认情况下,操作系统可能允许设备使用其他Wi-Fi网络。

    • 在 iOS/iPadOS 14.5 及更高版本的设备上,使用此设置。 请勿使用"要求 仅Wi-Fi配置文件加入网络" 设置。

    • 设置为" 是" 时,请确保设备具有Wi-Fi配置文件。 如果你未分配Wi-Fi配置文件,则此设置可能会阻止设备连接到 Internet。 例如,如果在配置配置文件之前分配此设备Wi-Fi配置文件,则设备可能会被阻止连接到 Internet。

    • 如果设备无法连接,请注销该设备,然后重新注册Wi-Fi配置文件。 然后,在 设备限制配置文件 中将此设置设置为"是",然后将该配置文件分配给设备。

      此功能适用于:

      • iOS/iPadOS 14.5 及更高版本

设置监督模式

iOS/iPadOS 监督模式仅在通过 Apple 的设备注册计划的初始设备设置期间或通过使用 Apple Configurator 启用。 启用监督模式后,Intune 可以配置具有以下功能的设备:

  • Kiosk Mode (Single App Mode) : Referred to as "app lock" in the Apple developer documentation.
  • 禁用激活锁定
  • 自治的单个应用模式
  • Web 内容筛选器
  • 设置背景和锁屏界面
  • 静默应用推送
  • Always-On VPN
  • 以独占方式允许托管应用安装
  • iBookstore
  • iMessages
  • 游戏中心
  • AirDrop
  • AirPlay
  • 主机配对
  • 云同步
  • 聚焦搜索
  • Handoff
  • 擦除设备
  • 限制 UI
  • 按 UI 安装配置文件
  • 新闻
  • 键盘快捷方式
  • 密码修改
  • 设备名称更改
  • 自动应用下载
  • Apple 音乐
  • 邮件投送
  • 与 Apple Watch 配对

备注

Apple 确认某些设置在 2019 年将移至仅监督。 我们建议在使用这些设置时考虑这一点,而不是等待 Apple 将它们迁移到仅监督的:

  • 最终用户安装应用
  • 应用删除
  • FaceTime
  • Safari
  • iTunes
  • 显式内容
  • iCloud 文档和数据
  • 多人游戏
  • 添加游戏中心好友
  • Siri

后续步骤

分配配置文件并监视其状态

还可以限制 macOS 设备上的设备功能和设置。