限制配置(iOS 设备策略)
限制配置让您可以配置针对 iPhone 和 iPad 的限制。
注释
一些设置仅适用于特定的设备类型或操作系统版本。要了解详细信息,请在 Sophos Mobile 中参阅设置旁边的标签。
有关设备监管的详细信息,请参阅 配置设备监管。
设备
| 设置 | 说明 |
|---|---|
| 允许应用安装 | 如果清除该复选框,App Store 将不可用,且其图标将从主屏幕中移除。用户不能通过 App Store、其他应用商城或 Apple Configurator 安装或更新应用。 |
| 允许其他应用商城 | 如果清除此复选框,则用户将无法安装替代应用程序商城,并且已安装的任何替代应用程序商城都将被禁用。 请注意,其他应用程序商城仅在欧盟提供。必须满足以下要求:
有关详细信息,请参阅关于欧盟的其他应用分发。该设备物理位置位于欧盟境内。 |
| 允许从网站安装应用 | 用户可以从网站安装应用。 请注意,应用的 Web 分发仅在欧盟提供。必须满足以下要求:
有关详细信息,请参阅关于欧盟的其他应用分发。 此设置仅适用于受监管的设备。 |
| 允许通过设备界面安装应用 | 若取消选中此复选框,App Store 将不可用,且其图标将从主屏幕中移除。用户仍可以从替代应用市场或 Apple Configurator 安装或更新应用。 |
| 允许 App Clips | 用户可以添加 App Clips。 如果取消选中该复选框,任何现有的 App Clips 将被移除。 |
| 允许卫星连接 | 用户可以连接到卫星服务。 |
| 允许使用相机 | 如果取消选中该复选框,相机将不可用,且相机图标将从主屏幕中移除。用户无法拍照、录制视频或使用 FaceTime。 |
| 允许 FaceTime | 用户可以发起或接听 FaceTime 视频通话。 |
| 允许截屏 | 用户可以截取显示屏的屏幕截图。 |
| 允许在 Mac 上使用 iPhone 镜像 | 用户可以在 Mac 上使用 iPhone 镜像来控制其设备。 |
| 允许视频会议远程控制 | 在 FaceTime 通话中,用户可以通过 SharePlay 远程控制允许其他用户控制其设备。 |
| 允许更改默认浏览器应用 | 如果关闭此设置,用户将无法更改默认浏览器应用。如果用户在分配策略之前已经配置了默认浏览器应用,则其选择将被保留。 |
| 允许漫游时自动同步 | 如果取消选中该复选框,正在漫游的设备仅在用户访问账户时才会同步。 |
| 允许 Siri | 如果取消选中该复选框,用户将无法使用 Siri、语音命令或听写功能。 |
| 允许设备锁定时使用 Siri | 如果取消选中该复选框,用户必须输入密码解锁设备后才能使用 Siri。 |
| 允许 Siri 查询网页内容 | 如果取消选中该复选框,Siri 将不会查询网页内容。 |
| 强制 Siri 过滤不当语言 | 如果取消选中该复选框,设备上不会强制执行 Siri 的不当语言过滤功能。 |
| 强制本地听写 | 使用听写时不连接到 Siri 服务器。 |
| 强制本地翻译 | 翻译时不连接到 Siri 服务器。 |
| 允许设备锁定时语音拨号 | 如果取消选中该复选框,当设备被密码锁定时,用户无法通过语音命令拨打电话。 如果用户未配置设备密码,则始终允许语音拨号。 |
| 允许实时语音留言 | 如果取消选中该复选框,实时语音留言将不可用。 |
| 允许更改默认通话应用 | 如果关闭此设置,用户将无法更改默认通话应用。 |
| 允许更改默认信息应用 | 如果关闭此设置,用户将无法更改默认信息应用。 |
| 允许设备锁定时使用 Passbook | 设备锁定时会显示 Passbook 通知。 |
| 允许设备锁定时使用 USB 配件模式 | 设备锁定时可以访问 USB 配件,例如用于输入密码的 USB 辅助输入设备。 |
| 允许应用内购买 | 用户可以进行应用内购买。 |
| 强制用户在进行所有购买时输入 Apple 账户密码 | 用户必须登录其 Apple 账户(原 Apple ID)才能进行任何购买。 如果关闭此设置,会有一个短暂的宽限期,在此期间用户无需再次输入密码即可进行后续购买。 |
| 允许多人游戏 | 用户可以在 Game Center 中玩多人游戏。 |
| 允许 Game Center | 如果取消选中该复选框,Game Center 将不可用。 |
| 允许添加 Game Center 好友 | 用户可以在 Game Center 中添加好友。 |
| 允许修改查找我的朋友 | 如果取消选中该复选框,将无法对“查找我的朋友”应用进行修改。 |
| 允许查找我的朋友 | 用户可以在“查找”应用中找人。 如果您同时关闭允许查找我的设备和允许查找我的好友,“查找我的”应用将不可用。 如果同时关闭允许查找我的设备和允许查找我的朋友,则“查找”应用将不可用。 |
| 允许主机配对 | 如果取消选中该复选框,您只能将设备与已配置为设备监管的 Mac 进行配对。 |
| 允许与 Apple Watch 配对 | 如果取消选中该复选框,用户无法将设备与 Apple Watch 进行配对。任何已配对的 Apple Watch 将被解除配对。 |
| 强制使用手腕检测 | 已配对的 Apple Watch 必须使用手腕检测。 |
| 强制为发出的隔空播放请求使用配对密码 | 接收来自此设备的隔空播放请求的其他设备必须使用配对密码。 |
| 允许隔空投送 | 开启通过隔空投送共享内容。 当您还在筛选器类型中配置包含允许应用的应用组时,必须将 |
| 允许锁屏时使用控制中心 | 如果取消选中该复选框,设备屏幕锁定时将无法使用控制中心。 |
| 允许锁屏时使用通知中心 | 如果取消选中该复选框,设备屏幕锁定时将无法使用通知中心。 |
| 允许锁屏时使用“今天”视图 | 如果取消选中该复选框,设备屏幕锁定时将无法使用“今天”视图。 |
| 允许新闻 | “新闻”应用可用。 |
| 允许空中 PKI 更新 | 支持空中 PKI 更新。 |
| 允许 iBooks Store | 用户可以在 iBooks 中购买书籍。 |
| 允许 iBooks Store 中的限制性内容 | 如果取消选中该复选框,通过 iBooks Store 访问限制性内容将被阻止。 |
| 允许用户安装配置描述文件 | 用户可以安装配置描述文件。 |
| 允许 iMessage | 用户可以使用 iMessage 发送或接收短信。 |
| 允许 RCS | 用户可以通过 RCS(富通信服务)发送消息。 |
| 允许移除应用 | 用户可以从设备上卸载应用。 |
| 允许移除系统应用 | 用户可以从设备上卸载系统应用。 |
| 允许抹掉所有内容和设置 | 如果取消选中该复选框,“重置”界面中的抹掉所有内容和设置选项将不可用。 |
| 抹掉时保留 eSIM | 当通过抹掉所有内容和设置操作或因多次输入错误密码抹掉设备内容时,eSIM 将被保留。 如果用户在“查找”应用中抹除设备,eSIM 不会被保留。 |
| 允许将 eSIM 转移到另一台设备 | 用户可以将他们的 eSIM 转移到另一台设备。 |
| 允许 Spotlight 显示互联网搜索结果 | 如果取消选中该复选框,Spotlight 不会返回互联网搜索结果。 |
| 允许启用限制选项 | 如果取消选中该复选框,“重置”界面中的启用限制选项将不可用。 |
| 允许“接力” | 用户可以使用 Apple 连续性功能“接力”。使用 Handoff,用户可以在一个设备上开始文档、电子邮件或消息等工作,并在其他设备上继续。 |
| 允许从未配对的主机进入恢复模式 | 允许在恢复模式下通过 USB 从未配对的主机重启设备。 注意:选中此选项后,未经授权的用户可以将 iPhone 或 iPad 重置为出厂设置,无需与设备直接交互。他们所需要的只是通过 USB 将设备连接到电脑。 |
| 允许修改设备名称 | 用户可以更改设备名称。 |
| 允许修改壁纸 | 用户可以更改壁纸。 |
| 允许更改通知设置 | 用户可以更改通知设置。 |
| 允许键盘快捷键 | 用户可以使用键盘快捷键。 |
| 允许键盘输入听写 | 用户可以开启启用听写键盘设置。 |
| 允许预测键盘 | 用户可以开启预测键盘设置。 |
| 允许自动修正 | 用户可以开启自动修正键盘设置。 |
| 允许拼写检查 | 用户可以开启检查拼写键盘设置。 |
| 允许自动下载应用 | 如果取消选中该复选框,将不会自动下载在其他设备上购买的应用。这不影响对现有应用的更新。 |
| 允许 Apple Music | 用户可以访问 Apple Music 音乐库。 |
| 允许 Apple Music 广播 | 用户可以访问 Apple Music 广播。 |
| 允许修改蓝牙设置 | 用户可以修改蓝牙设置。 |
| 允许创建 VPN | 用户可以添加 VPN 配置。 |
| 强制自动日期和时间 | 日期与时间设置中的自动设置已开启,用户无法将其关闭。 |
| 允许 QuickPath 键盘 | 用户可以使用 QuickPath 键盘功能。 |
| 允许共享的 iPad 临时会话 | 用户可以通过点击登录页面上的客人,无需密码即可访问共享的 iPad。这将启动一个临时会话。 当用户注销临时会话时,将删除其所有的数据。 在临时会话中,用户无法编辑账户设置或登录 Apple 服务。 |
| 允许自动调暗 | 如果取消选中该复选框,配备 OLED 显示屏的 iPad 的自动调暗功能将关闭。 |
| iOS 和 iPadOS 软件更新延迟 | iOS 或 iPadOS 更新发布后,延迟安装的天数。 输入一个 0 (无延迟) 和 90 之间的值。 |
公司数据
| 设置 | 说明 |
|---|---|
| 仅允许在受管应用/账户之间共享文档 | 这会限制只能使用 Sophos Mobile 管理的应用或账户(例如企业电子邮件账户)打开文档。 如果用户拥有 Sophos Mobile 管理的电子邮件帐户且其设备上有 Sophos Mobile 管理的应用,则受管理电子邮件帐户的附件仅可用受管理的应用打开。 这样,您可以防止公司文档在未受管理的应用中打开。 如果您关闭此设置,将禁用接下来的两项设置。来自受管账户的联系人可与未受管应用共享。 |
| 允许受管应用向未受管账户写入联系人 | 受管应用可以向未受管账户写入联系人。 |
| 允许未受管应用从受管账户读取联系人 | 未受管应用可以从受管账户读取联系人。 |
| 仅允许在未受管应用/账户之间共享文档 | 这会限制只能使用 Sophos Mobile 未管理的应用或账户(例如私人电子邮件账户)打开文档。 如果用户拥有不受其设备上的 Sophos Mobile 管理的电子邮件帐户和应用,则未受管理的电子邮件帐户的附件仅可用未受管理的应用打开。 通过这种方式,您可以防止个人文档在受管应用中打开。 |
| 剪贴板遵循文档共享限制 | 此设置会根据您在仅允许在受管应用/账户之间共享文档和仅允许在未受管应用/账户之间共享文档设置中为共享文档而配置的内容,限制剪贴板内容在受管和未受管应用及账户之间的共享。 例如,当您开启允许文档仅共享于托管的应用/帐户内时,启用此设置可防止用户将剪贴板内容从托管应用粘贴到非托管应用。 当您同时关闭两项允许文档...设置时,此设置无效。 |
| 强制将隔空投送文档视为未受管文档 | 隔空投送被视为未受管的接收目标。 |
| 允许受管应用与 iCloud 同步 | 受管应用可以使用 iCloud 同步功能。 |
| 允许备份企业书籍 | 企业书籍会被备份。 |
| 允许企业书籍的笔记和高亮内容同步 | 企业书籍的笔记和高亮内容会被同步。 |
应用程序
| 设置 | 说明 |
|---|---|
| 允许锁定应用 | 当关闭此设置时,以下用于锁定应用的命令将无法在其快速操作菜单中使用:
|
| 允许隐藏应用 | 当关闭此设置时,以下用于隐藏应用的命令将无法在其快速操作菜单中使用:
此设置不会影响从主屏幕移除应用。 |
| 允许使用 iTunes Store | 如果清除该复选框,iTunes Store 将不可用,且其图标将从主屏幕中删除。用户无法预览、购买或下载内容。 |
| 允许使用 Safari | 如果取消选中该复选框,Safari 网络浏览器将不可用,其图标将从主屏幕中移除。这也会阻止用户打开 Web Clips。 |
| 启用自动填充 | 如果取消选中该复选框,Safari 不会使用之前输入的信息自动填充网页表单。 |
| 强制欺诈警告 | Safari 的安全设置始终开启,当用户访问疑似网络钓鱼网站时会发出警告。 |
| 阻止弹出窗口 | Safari 的弹出窗口阻止程序已开启。 |
| 允许浏览器中执行 JavaScript | 网页可以在设备上执行 JavaScript 代码。 |
| 允许清除 Safari 历史记录 | 当关闭此设置时,Safari 中的清除历史记录与网站数据选项将不可用。 |
| 允许 Safari 无痕浏览 | 用户可以使用 Safari 的无痕浏览功能。 |
| 接受 Cookie | 在此字段中,您可以指定 Safari 是否接受 Cookie。 在允许 Cookie 的情况下,您可以指定 Safari 仅接受当前网站的 Cookie、仅接受以前访问过网站的 Cookie,或者接受所有网站的 Cookie。 |
| 允许按应用修改蜂窝数据使用量 | 用户可以更改每个应用的蜂窝数据使用量。 |
| 允许更改蜂窝套餐设置 | 用户可以更改与其蜂窝套餐相关的设置。 |
| 允许个人热点 | 用户可以修改个人热点设置。 作为管理员,您可以使用漫游/热点配置开启个人热点。请参阅 漫游/热点配置 (iOS 设备策略)。 |
| 允许连接网络驱动器 | 用户可以在“文件”应用中连接网络驱动器。 |
| 允许连接 USB 设备 | 用户可以连接 USB 设备。 |
| 允许在 Mac 上使用 iPhone 小组件 | 关闭此设置时,用户无法在 Mac 上使用其 iPhone 应用中的小组件。 |
| 过滤类型 | 选择允许的应用或禁止的应用,然后选择包含要允许或禁止的应用的应用组。 如果您配置允许的应用,则所有其他应用都将被禁止,包括内置的 iPhone 或 iPad 应用。您必须将以下应用添加到您的应用组中,才能允许相应的功能:
|
iCloud
| 设置 | 说明 |
|---|---|
| 允许备份 | 用户可以将其设备备份到 iCloud。 |
| 允许文档同步 | 用户可以将文档和应用配置数据存储到 iCloud。 |
| 允许照片流 | 用户可以将照片上传到“我的照片流”。 警告:如果取消选中该复选框以禁止“我的照片流”,这也会从所有设备中移除通过“我的照片流”共享的现有照片。如果这些照片没有其他副本,它们将丢失。 |
| 允许 iCloud 照片图库 | 用户可以使用 iCloud 照片图库。 |
| 允许共享照片流 | 用户可以邀请其他人查看他们的照片流,也可以查看其他人共享的照片流。 |
| 允许 iCloud 钥匙串同步 | 用户可以使用 iCloud 钥匙串在其 iPhone、iPad 和 Mac 之间同步密码。 如果取消选中该复选框,iCloud 钥匙串数据将仅存储在设备本地。 |
| 允许 iCloud 专用代理 | 用户可以使用 iCloud 专用代理。 iCloud 专用代理是一项 Apple 服务,用于在 Safari 中隐藏 IP 地址和浏览活动。iCloud 专用代理需要订阅 iCloud+。 |
安全和隐私
| 设置 | 说明 |
|---|---|
| 允许将诊断数据发送给 Apple | 如果取消选中该复选框,诊断信息将不会发送给 Apple。 |
| 允许用户接受不受信任的 TLS 证书 | 如果取消选中该复选框,系统不会询问用户是否要信任无法验证的证书。 此设置适用于 Safari 以及邮件联系人和日历账户。 |
| 信任企业应用 | 企业应用受到信任。 |
| 允许修改密码 | 用户可以添加、更改或移除设备密码。 |
| 允许修改账户 | 如果取消选中该复选框,用户无法修改账户。账户菜单不可用。 |
| 允许使用触控 ID 和面容 ID 解锁设备 | 如果取消选中该复选框,设备无法通过生物识别认证解锁。 |
| 允许自动解锁 | 用户可以设置戴着口罩时通过 Apple Watch 解锁设备。 |
| 允许 NFC | 用户可以开启近场通信 (NFC)。 |
| 强制限制广告跟踪 | 不再提供用于广告定向的匿名用户数据应用。 |
| 强制加密备份 | 用户必须在 iTunes 中加密备份。 |
| 强制使用已配置的 Wi-Fi 网络 | 设备只能连接到您通过 Sophos Mobile 策略配置的 Wi-Fi 网络。 |
| 强制开启 Wi-Fi | 用户无法关闭 Wi-Fi。因此,在飞行模式下 Wi-Fi 仍保持开启。 |
| 允许隔空打印 | 用户可以将文件发送到支持隔空打印的打印机。 |
| 允许存储隔空打印凭据 | 隔空打印的用户名和密码可以存储在系统钥匙串中。 |
| 允许通过 iBeacon 发现隔空打印打印机 | 设备使用 iBeacon 来发现隔空打印设备。 警告如果允许此操作,恶意的隔空打印设备可能会对网络流量进行网络钓鱼攻击。 |
| 强制隔空打印通过 TLS 使用受信任的证书 | 如果隔空打印设备使用不受信任的证书,则通过 TLS 的隔空打印将被拒绝。 |
| 允许快速开始转移到新设备 | 用户可以使用设置助理的“快速开始”功能将数据从当前设备转移到新设备。 |
| 允许密码自动填充 | 用户可以开启自动填充密码设置,从而在 Safari 或其他应用中使用已保存的密码或信用卡信息。 如果取消选中此复选框,强密码的自动建议也会被禁用。 |
| 在自动填充前强制认证 | 用户在使用自动填充时必须进行认证。 此设置仅在支持面容 ID 或触控 ID 的设备上强制执行。 |
| 从附近设备请求 Wi-Fi 密码 | 设备在设置 Wi-Fi 连接时向附近设备请求密码。 |
| 允许隔空投送密码共享 | 用户可以通过隔空投送与其他用户共享密码管理器中的密码。 |
| 允许 Apple 个性化广告 | Apple 投放的广告会使用用户信息来提供与用户更相关的广告。 用户可以通过设置 > 隐私与安全性 > Apple 广告中的个性化广告设置关闭个性化广告。 |
| 允许邮件隐私保护 | 如果取消选中该复选框,设备上的“邮件隐私保护”将被禁用。 |
| 开启快速安全响应 | 如果取消选中该复选框,设备将不会接收快速安全响应更新。 |
| 允许移除快速安全响应更新 | 如果取消选中该复选框,用户将无法移除快速安全响应更新。 |
Apple Intelligence
| 设置 | 说明 |
|---|---|
| 允许外部 Apple Intelligence 集成 | 用户可以在 Siri 中使用第三方基于云的人工智能服务。 |
| 允许登录外部 Apple Intelligence 集成 | 如果关闭此设置,用户只能以匿名模式在 Siri 中使用第三方人工智能服务。如果在您对设备应用此限制时用户已经登录,他们将在下次使用该服务时注销。 |
| 允许汇总电子邮件 | 如果关闭此设置,邮件中的汇总命令将不可用。此命令使用 Apple Intelligence 汇总电子邮件或主题。 此设置不会影响在收件箱中的每个电子邮件下自动创建简短摘要。 |
| 允许邮件中的智能回复 | 用户可以使用邮件应用中由 AI 驱动的“智能回复”功能来回复电子邮件。 |
| 允许通话录音 | 用户可以录制电话通话并在“备忘录”应用中查看转录文本。 |
| 允许备忘录转录 | 用户可以使用 Apple 智能在“备忘录”应用中转录录音。 |
| 允许备忘录转录摘要 | 用户可以使用 Apple Intelligence 在“备忘录”应用中总结录音摘要。 |
| 允许 Genmoji | 用户可以通过输入描述,使用由 AI 驱动的 Genmoji 功能创建自定义表情符号。 |
| 允许 Image Wand | 用户可以使用由 AI 驱动的 Image Wand 功能,在“备忘录”应用中根据草图和文本创建图像。 |
| 允许 Image Playground | 用户可以使用由 AI 驱动的 Image Playground 功能创建图像。 |
| 允许书写工具 | 用户可以使用 AI 驱动的书写工具功能,创建、校对、重写或汇总文本。 |
| 允许以用户自己的笔迹输出 | 用户可以使用 Apple Intelligence 以自己的笔迹创建内容。 |
| 允许 Safari 中的摘要 | 用户可以使用 Safari 中由 AI 驱动的“摘要”功能来总结网页。 如果关闭此设置,用户仍可使用“书写工具”来总结他们在 Safari 中选择的文本。 |
| 允许视觉智能摘要 | 用户可以使用视觉智能来总结他们用设备相机拍摄的文本。 |
| 允许 Apple Intelligence 报告 | 如果关闭此设置,用户无法生成 Apple Intelligence 报告,该报告显示设备已发送给“私密云计算”的请求。 |
内容分级
| 设置 | 说明 |
|---|---|
| 允许限制性音乐和播客 | 如果清除该复选框,iTunes Store 中的限制性音乐或视频内容将会隐藏。限制性内容由内容提供商在放到 iTunes Store 上标记,如记录标签。 |