使用 Intune 允許或限制功能的 macOS 裝置設定
注意事項
Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
本文說明您可以在macOS裝置上控制和限制的設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來允許或停用功能、設定密碼規則等等。
本功能適用於:
- macOS
這些設定會新增至 Intune 中的裝置組態配置檔,然後指派或部署到您的 macOS 裝置。
注意事項
用戶介面可能不符合本文中的註冊類型。 本文中的資訊正確無誤。 使用者介面即將在即將推出的版本中更新。
提示
這些設定會使用Apple的限制設定。 如需這些設定的詳細資訊,請參閱 Apple 的行動裝置管理設定網站 (開啟 Apple 的網站) 。
開始之前
建立 macOS 裝置限制組態配置檔。
注意事項
這些設定適用於不同的註冊類型。 如需不同註冊類型的詳細資訊,請參閱 macOS註冊。
App Store、文件檢視、遊戲
設定適用於:自動化裝置註冊 (受監督)
封鎖新增 Game Center 朋友: [是 ] 會防止使用者將朋友新增至遊戲中心。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者將朋友新增至遊戲中心。
本功能適用於:
- macOS 10.13 和更新版本
封鎖遊戲中心: [是 ] 會停用 Game Center,並將 Game Center 圖示從主畫面中移除。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者可以使用遊戲中心。
本功能適用於:
- macOS 10.13 和更新版本
在遊戲中心封鎖多人遊戲: 是 ,在使用遊戲中心時防止多人遊戲。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者玩多人遊戲。
本功能適用於:
- macOS 10.13 和更新版本
內建應用程式
設定適用於:所有註冊類型
封鎖Safari自動填寫: [是 ] 會停用裝置上Safari中的自動填寫功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更網頁瀏覽器中的自動完成設定。
禁止使用相機: [是] 會防止在裝置上存取相機。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取裝置相機。
Intune 只會管理裝置相機的存取權。 它無法存取圖片或影片。
封鎖 Apple Music: 是 ,會將音樂應用程式還原為傳統模式,並停用音樂服務。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Apple Music 應用程式。
封鎖焦點建議: [是] 會阻止 Spotlight 從因特網搜尋傳回任何結果。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許焦點搜尋連線到因特網,並取得搜尋結果。
使用 Finder 或 iTunes 封鎖檔案傳輸: [是 ] 會停用應用程式檔案共享服務。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許應用程式檔案共享服務。
本功能適用於:
- macOS 10.13 和更新版本
雲端和記憶體
設定適用於:所有註冊類型
封鎖 iCloud Keychain 同步處理: [是 ] 會停用將儲存在 Keychain 中的認證同步處理至 iCloud。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者同步這些認證。
封鎖 iCloud 檔和數據同步: [是 ] 會防止 iCloud 同步處理檔和數據。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許將檔和索引鍵/值同步處理到您的 iCloud 儲存空間。
封鎖 iCloud 郵件備份: [是 ] 會防止 iCloud 同步處理至 macOS Mail 應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許郵件同步處理至 iCloud。
封鎖 iCloud 聯繫人備份: [是 ] 會防止 iCloud 同步處理裝置聯繫人。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 iCloud 進行聯繫人同步處理。
封鎖 iCloud 行事歷備份: [是 ] 會防止 iCloud 同步處理至 macOS 行事曆應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許行事曆同步處理至 iCloud。
封鎖 iCloud 提醒備份: [是 ] 會防止 iCloud 同步處理至 macOS Reminders 應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許提醒同步處理至 iCloud。
封鎖 iCloud 書簽備份: [是 ] 會防止 iCloud 同步處理裝置書籤。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許書籤同步處理至 iCloud。
封鎖 iCloud Notes 備份: [是 ] 會防止 iCloud 同步處理裝置附註。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Notes 同步處理至 iCloud。
封鎖 iCloud 相片備份: [是 ] 會停用 iCloud 相片庫,並防止 iCloud 同步處理裝置相片。 未從 iCloud 相片庫完整下載的任何相片,都會從裝置上的本機記憶體中移除。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置與 iCloud 相片庫之間同步處理相片。
封鎖遞交:此功能可讓使用者在macOS裝置上開始工作,然後繼續在另一個iOS/iPadOS或macOS裝置上啟動的工作。 [是 ] 會防止裝置上的遞交功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在裝置上允許這項功能。
本功能適用於:
- macOS 10.15 和更新版本
設定適用於:使用者核准的裝置註冊、自動化裝置註冊 (受監督)
封鎖 iCloud 私人轉送: [是 ] 會停用 iCloud 私人轉送。 停用時,Apple 不會加密離開裝置的因特網流量。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能,以防止網路和伺服器透過因特網監視用戶的活動。
本功能適用於:
- macOS 12 和更新版本
iCloud Private Relay (開啟 Apple 的網站)
線上的裝置
設定適用於:所有註冊類型
- 封鎖AirDrop: 是 ,防止在裝置上使用AirDrop。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 AirDrop 功能與附近的裝置交換內容。
- 封鎖 Apple Watch 自動解除鎖定: 是 ,可防止使用者使用 Apple Watch 解除鎖定其 macOS 裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用 Apple Watch 解除鎖定 macOS 裝置。
網域
設定適用於:所有註冊類型
- 未標記 Email 網域:在清單中輸入一或多個 Email 網域 URL。 當使用者從您新增的網域以外的網域傳送或接收電子郵件時,該電子郵件在macOS郵件應用程式中會標示為不受信任。
一般
設定適用於:所有註冊類型
封鎖查閱: 是 ,可防止使用者反白顯示單字,然後在裝置上查閱其定義。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許定義查閱功能。
封鎖聽寫: [是 ] 會阻止使用者使用語音輸入輸入文字。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用聽寫輸入。
封鎖內容快取: [是 ] 會防止內容快取。 內容快取會在本機裝置上儲存應用程式數據、網頁瀏覽器數據、下載等專案。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會啟用內容快取。
如需macOS上內容快取的詳細資訊,請參閱 管理Mac上的內容快 取 (開啟另一個網站) 。
本功能適用於:
- macOS 10.13 和更新版本
封鎖螢幕快照和螢幕錄製: [是 ] 會防止使用者儲存顯示的螢幕快照。 它也會防止 Classroom 應用程式觀察遠程畫面。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者擷取螢幕快照,並允許 Classroom 應用程式檢視遠程畫面。
設定適用於:使用者核准的裝置註冊、自動化裝置註冊 (受監督)
延遲軟體更新:此設定可讓您將裝置上的軟體更新可見度延遲最多 90 天。 例如,如果 Apple 在特定日期發行 macOS 更新,它自然會顯示在發行日期前後的裝置上。 此設定可以隱藏更新,讓使用者不會在更新可用時立即看到更新。
此設定無法控制何時安裝更新,也不會影響排程的更新。 種子組建更新允許不延遲。
若要使用此設定,請選取您想要延遲的軟體更新。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會在用戶發行后立即向用戶顯示新發行的軟體更新。
- 主要 OS 軟體更新:主要 OS 軟體更新,例如 macOS 12,預設會延遲 30 天,除非在 主要 OS 軟體更新的 [延遲可見性 ] 字段中另有指定。 需要macOS 11.3和更新版本。
- 次要OS軟體更新:除非在 [次要OS軟體更新的延遲可見性] 欄位中另有指定,否則 macOS 12.x 等 次要 OS 軟體更新 預設會延遲 30 天。 需要macOS 11.3和更新版本。
- 非 OS 軟體更新:非 OS 軟體更新,例如 Safari 更新,預設會延遲 30 天,除非在 [非 OS 軟體更新的延遲可見性 ] 字段中另有指定。 需要macOS 11.0和更新版本。
然後輸入您要延遲每種更新類型的時間長度,從 1 到 90 天。 例如,如果macOS更新可在1月1日使用,且 [延遲可見度 ] 設定為5天,則更新不會顯示為可用的更新。 在發行后的第六天,該更新會變成可用,而使用者會在觸發延遲時收到更新至最早可用版本的通知。 選項包括:
延遲軟體更新的預設可見度:輸入延遲所有軟體更新的天數,從 1 到 90。 如果您未輸入任何專案,更新預設會延遲 30 天。 如果您選擇個別延遲主要OS、次要OS或非OS軟體更新,Intune 將會覆寫此值。
重大 OS 軟體更新的延遲可見度:輸入延遲所有主要 OS 軟體更新的天數,從 1 到 90。 如果您未輸入任何專案,更新預設會延遲 30 天。 此值會覆寫 [延遲軟體更新的預設可見度] 中的值。
本功能適用於:
- macOS 11.3 和更新版本
次要 OS 軟體更新的延遲可見度:輸入延遲所有次要 OS 軟體更新的天數,從 1 到 90。 如果您未輸入任何專案,更新預設會延遲 30 天。 此值會覆寫 [延遲軟體更新的預設可見度] 中的值。
本功能適用於:
- macOS 11.3 和更新版本
非OS軟體更新的延遲可見度:輸入延遲所有非OS軟體更新的天數,從1到90。 如果您未輸入任何專案,更新預設會延遲 30 天。 此值會覆寫 [延遲軟體更新的預設可見度] 中的值。
本功能適用於:
- macOS 11.0 和更新版本
允許啟用鎖定: 是,可在受監督的macOS裝置上啟用啟用鎖定。 啟用鎖定會讓遺失或遭竊的裝置更難重新啟用。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
本功能適用於:
- macOS 10.15 或更新版本
設定適用於:自動裝置註冊
停用 AirPlay、依 Classroom 應用程式檢視畫面,以及螢幕畫面共用: [是 ] 會封鎖 AirPlay,並防止螢幕畫面共用至其他裝置。 它也可防止教師使用 Classroom 應用程式來查看學生的畫面。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許教師查看學生的畫面。
若要使用此設定,請將 [ 封鎖螢幕快照] 和 [螢幕錄製 ] 設定設為 [ 不允許 設定 (允許) 螢幕快照。
允許 Classroom 應用程式在不提示的情況下執行 AirPlay 和檢視畫面: [是 ] 可讓教師查看學生的畫面,而不需要學生同意。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能需要學生同意,教師才能看到畫面。
若要使用此設定,請將 [ 封鎖螢幕快照] 和 [螢幕錄製 ] 設定設為 [ 不允許 設定 (允許) 螢幕快照。
需要教師許可權才能離開 Classroom 應用程式非受控課程: [是 ] 會強制在 Unmanaged Classroom 課程中註冊的學生取得教師核准以離開課程。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許學生在學生選擇時離開課程。
允許 Classroom 在不提示的情況下鎖定裝置: [是 ] 可讓教師在未經學生核准的情況下鎖定學生的裝置或應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會要求學生同意,教師才能鎖定裝置或應用程式。
學生可以自動加入 Classroom 課程而不提示: [是 ] 可讓學生加入班級,而不需要提示老師。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能需要教師核准才能加入班級。
封鎖修改桌布: [是 ] 會防止用戶變更裝置桌布。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許用戶變更桌布。
本功能適用於:
- macOS 10.13 和更新版本
禁止使用者清除裝置上的所有內容和設定: [是 ] 會停用受監督裝置上的重設選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者清除其裝置上的所有內容和設定。
本功能適用於:
- macOS 12 和更新版本
密碼
這些設定會使用 密碼承載 (開啟Apple的網站) 。
重要事項
在執行 10.14.2 和更新版本的 macOS 裝置 (除了所有版本的 macOS 10.15 Catalina) 外,當裝置更新為新的主要 OS 版本時,系統會提示使用者變更裝置密碼。 此密碼更新會發生一次。 使用者更新密碼之後,會強制執行任何其他密碼原則。 如果至少一個原則需要密碼,則此行為只會發生在本機計算機使用者。
每當更新密碼原則時,所有執行這些macOS版本的用戶都必須變更密碼,即使目前的密碼符合新需求也一般。 例如,當您的 macOS 裝置在升級至新的主要 OS 版本之後開啟,例如 Big Sur (macOS 11) 或 Monterey (macOS 12) ,用戶必須先變更裝置密碼,才能登入。
設定適用於:所有註冊類型
需要密碼: 是 ,用戶必須輸入密碼才能存取裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要密碼。 它也不會強制執行任何限制,例如封鎖簡單密碼或設定最小長度。
必要的密碼類型:輸入組織所需的密碼複雜度層級。 當保留空白時,Intune 不會變更或更新此設定。 選項包括:
- 未設定:使用裝置預設值。
- 英數位元:包含大寫字母、小寫字母和數位字元。
- 數值:密碼只能是數位,例如123456789。
本功能適用於:
- macOS 10.10.3 和更新版本
密碼中的非英數位元數目:輸入密碼中所需的複雜字元數目,從 0 到 4。 複雜字元是符號,例如
?。 當保留空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。密碼長度下限:輸入密碼必須具有的最小長度,從 4 到 16 個字元。 當保留空白時,Intune 不會變更或更新此設定。
封鎖簡單密碼: [是 ] 會防止使用簡單的密碼,例如
0000或1234。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許簡單的密碼。停止活動最多分鐘數,直到螢幕鎖定為止:輸入裝置在自動鎖定螢幕之前必須閑置的時間長度。 例如,輸入
5以在閑置 5 分鐘後鎖定裝置。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。屏幕鎖定后的分鐘數上限,才需要密碼:輸入裝置必須處於非作用中狀態的時間長度,才需要密碼才能解除鎖定。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。
密碼到期 (天數) :輸入必須變更裝置密碼的天數,從 1 到 65535。 例如,輸入
90以在 90 天后讓密碼過期。 密碼到期時,系統會提示使用者建立新密碼。 當值空白或設定為 [未設定] 時,Intune 不會變更或更新此設定。避免重複使用先前的密碼:限制使用者建立先前使用的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入 5,讓使用者無法將新密碼設定為其目前的密碼,或是先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。
允許的登入嘗試次數上限:輸入使用者在裝置鎖定使用者之前,可以連續嘗試登入的次數上限,從 2 到 11。 超過此數位時,裝置會鎖定。 建議您不要將此值設定為低數位,例如
2或3。 使用者通常會輸入錯誤的密碼。 建議您將 設定為較高的值。例如,輸入
5,讓使用者最多可以輸入五次錯誤的密碼。 第五次嘗試之後,裝置會被鎖定。 如果您將此值保留空白,或未加以變更,則11預設會使用 。在六次嘗試失敗之後,macOS 會自動強制延遲時間,才能再次輸入密碼。 每次嘗試時,延遲都會增加。 設定 [鎖定持續時間 ] 以在輸入下一個密碼之前新增延遲。
鎖定持續時間:輸入鎖定持續時間從 0 到 10000 的分鐘數。 在裝置鎖定期間,登入畫面處於非作用中狀態,且用戶無法登入。 鎖定結束時,用戶可以嘗試再次登入。
如果您將此值保留空白,或未加以變更,則
30預設會使用分鐘數。這個設定適用於:
- macOS 10.10 和更新版本
封鎖使用者修改密碼: [是 ] 會阻止變更、新增或移除密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許新增、變更或移除密碼。
封鎖觸控標識碼以解除鎖定裝置: 是 ,防止使用指紋解除鎖定裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用指紋解除鎖定裝置。
逾時 (非使用) 時 數:輸入用戶必須輸入其密碼而非 TouchID 的非使用中時數值。
默認的閑置期間為 48 小時。 閑置 48 小時後,裝置會提示輸入密碼,而不是 Touch ID。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會將逾時設定為 48 小時 (172,800 秒) 。
本功能適用於:
- macOS 12 和更新版本
封鎖密碼自動填寫: 是 ,防止在macOS上使用自動填入密碼功能。 選擇 [是 ] 也有下列影響:
- 系統不會提示使用者在 Safari 或任何應用程式中使用已儲存的密碼。
- 自動強密碼已停用,且使用者不建議使用強密碼。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這些功能。
封鎖密碼鄰近性要求: [是 ] 會防止裝置向附近的裝置要求密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這些密碼要求。
封鎖密碼共用: 是 ,防止使用AirDrop在裝置之間共享密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許共享密碼。
隱私權喜好設定
在macOS裝置上,應用程式和程式通常會提示使用者允許或拒絕存取裝置功能,例如相機、麥克風、行事歷、檔案資料夾等等。 這些設定可讓系統管理員預先核准或預先拒絕這些裝置功能的存取權。 當您設定這些設定時,您會代表使用者管理資料存取同意。 您的設定會覆寫先前的決策。
這些設定的目標是減少應用程式和程式的提示數目。
本功能適用於:
- macOS 10.14 和更新版本
- 某些設定適用於macOS 10.15和更新版本。
- 這些設定僅適用於在升級之前已安裝隱私權喜好設定配置檔的裝置。
注意事項
當您允許應用程式使用原則時,這些應用程式不會顯示在裝置上的 [系統設定 (隱私權 + 安全性) 中。 只會顯示終端使用者手動允許的應用程式。
設定適用於:使用者核准的裝置註冊、自動裝置註冊
- 應用程式和程式: 新增 應用程式或程式以設定存取權。 另請輸入:
名稱:輸入應用程式或進程的名稱。 例如,輸入
Microsoft Remote Desktop或Microsoft 365。識別元類型:您的選項:
- 套件組合標識碼:針對應用程式選取此選項。
- 路徑:針對非配套的二進位檔選取此選項,這是進程或可執行檔。
內嵌在應用程式套件組合中的協助程式工具會自動繼承其封入應用程式套件組合的許可權。
標識元:輸入應用程式套件組合識別碼,或進程或可執行檔的安裝檔案路徑。 例如,輸入
com.contoso.appname。若要取得應用程式套件組合識別碼,請開啟終端機應用程式,然後執行
codesign命令。 此命令會識別程式代碼簽章。 因此,您可以同時取得套件組合標識碼和程式代碼簽章。程式代碼需求:輸入應用程式或進程的程式代碼簽章。
當開發人員憑證簽署應用程式或二進位檔時,就會建立程式代碼簽章。 若要尋找指定,請
codesign在終端機應用程式中手動執行命令:codesign --display -r - /path/to/app/binary。 程式代碼簽章是 之後出現=>的所有專案。啟用靜態程式代碼驗證:為應用程式或程序選擇 [ 是 ],以靜態方式驗證程序代碼需求。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
只有在進程使其動態程式代碼簽章失效時,才啟用此設定。 否則,請使用 [未設定]。
封鎖相機: 是 ,可防止應用程式存取系統相機。 您無法允許存取相機。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
封鎖麥克風: 是 ,可防止應用程式存取系統麥克風。 您無法允許存取麥克風。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
封鎖螢幕錄製: 是 ,會封鎖應用程式擷取系統顯示的內容。 您無法允許存取螢幕錄製和螢幕擷取。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。
需要macOS 10.15和更新版本。
封鎖輸入監視: 是 ,會封鎖應用程式使用 CoreGraphics 和 HID API 來接聽來自所有進程的 CGEvents 和 HID 事件。 是 ,也拒絕應用程式和程式接聽輸入設備的數據,例如滑鼠、鍵盤或曲目板。 您無法允許存取 CoreGraphics 和 HID API。
當設定為 [未設定] 時,Intune 不會變更或更新此設定。
需要macOS 10.15和更新版本。
語音辨識:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取系統語音辨識,並允許將語音數據傳送至 Apple。
- 封鎖:防止應用程式存取系統語音辨識,並防止將語音數據傳送至 Apple。
需要macOS 10.15和更新版本。
輔助功能:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取系統輔助功能應用程式。 此應用程式包含隱藏式輔助字幕、暫留文字和語音控制。
- 封鎖:防止應用程式存取系統輔助功能應用程式。
連絡人:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取系統聯繫人應用程式所管理的聯繫人資訊。
- 封鎖:防止應用程式存取此連絡資訊。
行事曆:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取系統行事曆應用程式所管理的行事曆資訊。
- 封鎖:防止應用程式存取此行事曆資訊。
提醒:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取系統提醒應用程式所管理的提醒資訊。
- 封鎖:防止應用程式存取此提醒資訊。
相片:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取 中系統相片應用程式所管理的
~/Pictures/.photoslibrary圖片。 - 封鎖:防止應用程式存取這些圖片。
媒體櫃:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取Apple Music、音樂和視訊活動,以及媒體櫃。
- 封鎖:防止應用程式存取此媒體。
需要macOS 10.15和更新版本。
檔案提供者存在:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取檔案提供者應用程式,並知道使用者何時使用檔案提供者所管理的檔案。 檔案提供者應用程式可讓其他檔案提供者應用程式存取包含應用程式所儲存和管理的檔案和目錄。
- 封鎖:防止應用程式存取檔案提供者應用程式。
需要macOS 10.15和更新版本。
完整磁碟存取:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取所有受保護的檔案,包括系統管理檔案。 請小心套用此設定。
- 封鎖:防止應用程式存取這些受保護的檔案。
系統管理員檔案:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取系統管理中使用的某些檔案。
- 封鎖:防止應用程式存取這些檔案。
桌面資料夾:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取使用者 Desktop 資料夾中的檔案。
- 封鎖:防止應用程式存取這些檔案。
需要macOS 10.15和更新版本。
檔案資料夾:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取使用者 [檔案] 資料夾中的檔案。
- 封鎖:防止應用程式存取這些檔案。
需要macOS 10.15和更新版本。
下載資料夾:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取使用者 [下載] 資料夾中的檔案。
- 封鎖:防止應用程式存取這些檔案。
需要macOS 10.15和更新版本。
網路磁碟區:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取網路磁碟區上的檔案。
- 封鎖:防止應用程式存取這些檔案。
需要macOS 10.15和更新版本。
卸載式磁碟區:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式存取卸除式磁碟區上的檔案,例如硬碟。
- 封鎖:防止應用程式存取這些檔案。
需要macOS 10.15和更新版本。
系統事件:您的選項:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式使用 CoreGraphics API 將 CGEvents 傳送至系統事件數據流。
- 封鎖:防止應用程式使用 CoreGraphics API 將 CGEvents 傳送至系統事件數據流。
Apple 事件:此設定可讓應用程式將受限制的Apple事件傳送至另一個應用程式或進程。 選 取 [新增 ] 以新增接收應用程式或進程。 輸入接收應用程式或行程的下列資訊:
標識元類型:如果接收識別碼是應用程式,請選取 [套件組合標識符]。 如果接收識別碼是進程或可執行檔,請選取 [ 路徑 ]。
標識碼:輸入應用程式套件組合標識碼,或接收Apple事件之進程的安裝路徑。
程式代碼需求:輸入接收應用程式或進程的程式代碼簽章。
當開發人員憑證簽署應用程式或二進位檔時,就會建立程式代碼簽章。 若要尋找指定,請
codesign在終端機應用程式中手動執行命令:codesign --display -r -/path/to/app/binary。 程式代碼簽章是 之後出現=>的所有專案。存取:允許將macOS Apple Event 傳送至接收應用程式或進程。 選項包括:
- 未設定:Intune 不會變更或更新此設定。
- 允許:允許應用程式或進程將受限制的Apple事件傳送至接收的應用程式或進程。
- 封鎖:防止應用程式或進程將受限制的Apple事件傳送至接收的應用程式或進程。
儲存 您的變更。
受限制的應用程式
設定適用於:所有註冊類型
受限制的應用程式設定不會防止使用者安裝和開啟特定應用程式。 相反地,已安裝受限制應用程式的裝置會在 Intune 系統管理中心 (裝置>監視器) 中填入受限應用程式的裝置報告。
受限制的應用程式清單類型:建立不允許使用者安裝或使用的應用程式清單。 選項包括:
未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,用戶可以存取您指派的應用程式和內建應用程式。
核准的應用程式:列出允許使用者安裝的應用程式。 使用者不得安裝其他應用程式。 如果使用者安裝不允許的應用程式,則會在 Intune 中回報。 Intune 所管理的應用程式會自動允許,包括 公司入口網站 應用程式。 使用者無法安裝不在核准清單上的應用程式。
如果已安裝的應用程式不在核准的應用程式清單上,則受限制的應用程式設定會報告錯誤。
禁止的應用程式:列出 Intune) 不允許使用者安裝和執行 (管理的應用程式。 用戶無法安裝禁止的應用程式。 如果使用者從此清單安裝應用程式,則會在 Intune 中回報。
如果應用程式安裝在禁止的應用程式清單上,則受限制的應用程式設定會報告錯誤。
應用程式清單: 將應用程式新 增至您的清單:
應用程式套件組合識別碼:輸入應用程式的 套件組合識別 碼。 您可以新增內建應用程式和企業營運應用程式。 Apple 的網站有 內建 Apple 應用程式的清單。
若要尋找 macOS 應用程式的套件組合識別碼,您可以開啟終端機應用程式,並使用 AppleScript (
osascript -e 'id of app "AppName"') 。若要尋找應用程式的 URL,請開啟 iTunes App Store,然後搜尋應用程式。 例如,搜尋
Microsoft Remote Desktop或Microsoft Word。 選取應用程式,然後複製URL。 您也可以使用 iTunes 來尋找應用程式,然後使用 複製連結 工作來取得應用程式 URL。應用程式名稱:輸入方便使用的名稱,以協助您識別套件組合識別符。 例如,輸入
Intune Company Portal app。發行者:輸入應用程式的發行者。
匯 入 CSV 檔案,其中包含應用程式的詳細數據,包括 URL。
<app bundle ID>, <app name>, <app publisher>使用格式。 或者, 匯 出以建立您新增的應用程式清單,格式相同。
後續步驟
您也可以限制 iOS/iPadOS 裝置上的裝置功能和設定。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應