策略 - Apple
Apple 策略
Apple 策略定义了 Cerberus Enterprise 通过移动设备管理 (MDM) 应用于 Apple 设备的管理设置。这些设置可在 Apple 策略编辑器中的仪表板中进行配置。
开始之前
管理 Apple 设备需要配置 Apple 管理 (APNs)。如果需要,请阅读 Apple 管理设置 (APNs) 页面。
打开 Apple 策略编辑器
在仪表板中,打开 策略,然后点击 创建新的 Apple 策略。 要编辑现有的 Apple 策略,请在策略表中点击其行。
编辑器布局
Apple策略编辑器以可展开的部分组织结构呈现。您始终可以在页面的顶部编辑以下内容:
- 名称(必填)
- ID (只读)
- 描述(可选)
策略部分(可选)
以下部分与 Apple Policy Editor 中目前可用的面板相对应:
- 应用管理:配置与应用相关的限制,并管理已安装的应用。
- 密码设置:配置密码要求以及相关的规则。
- 安全:管理如自动解锁和生物识别解锁等功能。
- iCloud:允许或禁止特定的 iCloud 服务(备份、钥匙串同步、私密保护等)。
- 多媒体:允许或禁止相机以及相关功能。
- 移动网络:控制与移动网络相关的设置(例如,应用程序的移动数据设置、eSIM、套餐变更)。
- 网络:控制 AirDrop/AirPrint/AirPlay 以及其他连接设置。
- 账户:限制账户修改,并(可选)配置 Google 和邮件账户。
苹果策略编辑器中的许多选项都包含工具提示,用于说明要求和支持的操作系统版本。
保存、删除和关联的设备。
使用 保存策略以应用您的更改。 当没有未保存的修改时,或当许可证过期时,该按钮将被禁用。
编辑现有策略时,页面还会显示一个 删除策略 选项。 编辑器可以在底部显示一个 关联设备 列表,以便您了解当前有多少设备正在使用该策略。
下一页
- 密码:配置密码要求以及相关的安全选项。
- 限制:定义允许的功能和操作系统级别的限制。
- 应用和配置:配置已安装的应用和配置文件。
Apple 策略:密码。
“密码设置”部分用于控制设备密码的要求以及相关的安全规则(例如,最小长度和复杂度)。密码设置
选项
在 Apple 策略编辑器中,密码选项的配置方式是混合使用开关和数字字段。许多字段都包含工具提示,用于指示支持的操作系统版本和监管要求。
密码选项开关。
- 下次身份验证时强制重置密码:在用户下次进行身份验证时,强制执行密码重置。
- 强制使用包含字母和数字的密码:要求密码至少包含一个字母和一个数字。
- RequireComplexPasscode:要求使用复杂的密码(不允许重复或连续的模式,且至少包含一个非字母数字字符)。
- RequirePasscode:要求设置密码,但对密码的长度或质量没有其他要求。请注意:设置其他密码相关选项,默认会要求设置密码。
数字字段
- 失败尝试重置时间(分钟):在重置失败尝试计数器之前的时间(需要设置“最大失败尝试次数”)。
- 最大失败尝试次数:设备在被擦除/锁定之前允许的最大失败尝试次数(范围:2–11)。
- 最大允许解锁无密码时间(分钟):设备在需要输入密码之前允许的解锁无密码时间(0 表示无此功能)。
- 最大允许空闲时间(分钟):设备在锁定之前允许的空闲时间(范围:0–15)。
- 最大密码有效期(天数):密码到期前的最大天数,超过该天数需要强制更改密码(范围:0–730)。
- 最小复杂字符数: 密码中至少包含的“复杂”字符数量(范围:0–4)。
- 最小密码长度: 密码的最小长度(范围:0–16)。
- 密码重复使用限制: 限制密码历史记录的长度,以防止重复使用旧密码(范围:1–50)。
Apple 策略:限制
“限制” 部分用于控制哪些操作系统功能允许在受管理的 Apple 设备上使用。 在 Apple 策略编辑器中,这些选项以分组面板的形式呈现,每个面板包含多个开关。
许多限制仅在特定操作系统版本上受支持,并且可能需要经过配置的设备。 请在仪表板中使用工具提示查看权威要求。
安全
- 允许自动解锁
- 允许使用指纹解锁
- 允许修改指纹
iCloud
- 允许访问 iCloud 地址簿
- 允许 iCloud 备份
- 允许 iCloud 书签
- 允许 iCloud 日历
- 允许 iCloud 桌面和文档
- 允许 iCloud 文档同步
- 允许使用 iCloud Freeform
- 允许 iCloud 钥匙串同步
- 允许 iCloud 邮件
- 允许 iCloud 笔记
- 允许访问 iCloud 照片图库
- 允许使用 iCloud 私密保护
- 允许使用 iCloud 提醒
多媒体
- 允许使用相机
- 允许修改文件共享设置
- 允许访问USB存储设备上的文件
蜂窝网络
- 允许应用修改蜂窝数据
- 允许修改蜂窝数据套餐
- 允许修改eSIM设置
- 允许eSIM出站转账
网络设置
- 允许使用 AirDrop
- 允许接收 AirPlay 请求
- 允许 AirPrint
- 允许存储 AirPrint 凭据
- 允许 AirPrint iBeacon 发现
- 允许修改蓝牙设置
- 允许修改蓝牙共享设置
- 允许文件访问网络驱动器
- 允许修改互联网共享设置
帐户(限制)
“帐户”面板包含限制设置,以及(可选的)帐户配置。 限制开关控制用户是否可以修改系统帐户。
- 允许修改帐户
Apple 策略:应用与配置文件。
本部分介绍如何配置 Apple 设备的受管应用和配置信息。
应用管理
“应用管理”面板包含与应用程序相关的常规限制以及已管理的应用程序列表。
应用的常规限制
- 允许应用片段
- 允许应用安装
- 允许卸载应用
- 允许自动下载应用程序
- 允许隐藏应用程序
- 允许锁定应用程序
- 允许应用内购买
受管应用
使用 添加应用 将应用添加到策略中。每个受管应用都以卡片的形式显示。您可以展开卡片以编辑其设置,并使用删除操作移除该应用。
- 应用商店ID:受管应用的App Store标识符。
- Bundle ID:应用的Bundle标识符。
- 安装行为:控制应用程序是否必须保持安装状态,或是否允许用户自行安装/卸载。
- 授权:许可证授权类型。
- VPP 授权:用于通过 App Store 进行安装的 VPP 授权类型。
帐户
“帐户”面板允许您配置应用于管理设备的帐户,并包含一个用于限制帐户修改的开关。
限制
- 允许修改账户:当禁用此选项时,用户将无法修改诸如 Apple 账户和互联网账户等信息。
添加账户
使用 添加 Google 账户 或 添加邮件账户,以便将账户信息添加到策略中。每个账户都以卡片形式显示,包含其配置字段。
用户的账户凭据
无论是 Google 账户还是 Mail 账户,都提供了 用户的账户凭据 切换开关。 启用后,系统会为每个用户应用账户凭据。 禁用后,您需要在策略中输入账户身份。
Google 账户字段
- 可见名称: 显示给用户的账户名称。
- Google 邮箱地址:用户的电子邮件地址。
- 姓名:用户的全名。
邮件帐户字段。
邮件帐户包含身份信息字段,以及收发服务器配置。必须填写主机名。
- 显示名称:为邮件帐户显示的名称。
- 电子邮件地址:用户的电子邮件地址。
- 姓名:用户的全名。
接收服务器
- 服务器类型:邮件协议(例如 IMAP 或 POP)。
- 认证方式:服务器的认证方法。
- IMAP 路径前缀:仅在服务器类型为 IMAP 时显示。
- 主机名:必填。
- 端口:服务器端口(1–65535)。
出站服务器
- 认证方式
- 主机名:必填。
- 端口:服务器端口(1–65535)。
S/MIME 选项
对于邮件账户,您还可以配置 S/MIME 加密和签名行为。
加密
- S/MIME 加密
- 用户身份,可由管理员覆盖
- 每个消息的开关已启用
- 用户可自定义
签名
- S/MIME 签名
- 用户身份,可由管理员覆盖
- 用户可自定义
帐户和限制选项中,仪表板提供了工具提示,详细说明了先决条件和支持的操作系统版本。