# 策略 - Apple

# Apple 策略

 Apple 策略定义了 Cerberus Enterprise 通过 MDM 应用于 Apple 设备的管理设置。这些设置可在控制面板的 Apple 策略编辑器中进行配置。

## 开始之前

Apple 设备管理需要配置 Apple 管理 (APNs)。如有需要，请阅读 [Apple 管理设置 (APNs)](https://enterprise.cerberusapp.com/docs/books/8efb1/page/apple-apns-HjR "Apple Management setup (APNs)") 页面。

## 打开 Apple 策略编辑器

 在控制面板中，打开 **策略** 并点击 **创建新 Apple 策略**。要编辑现有的 Apple 策略，请点击策略列表中的对应行。

## 编辑器布局

 Apple 策略编辑器由一组可展开的区块组成。在页面顶部，您可以随时编辑：

- **名称**（必填）
- **ID**（只读）
- **描述**（可选）

## 策略区块

 以下区块与当前 Apple 策略编辑器中可用的面板相对应：

- **应用管理**：配置与应用相关的限制以及受管应用。
- **密码设置**：配置密码要求及相关规则。
- **安全**：控制自动解锁和生物识别解锁等功能。
- **iCloud**：允许或禁止特定的 iCloud 服务（备份、钥匙串同步、私密传送等）。
- **多媒体**：允许/禁止使用摄像头及相关功能。
- **蜂窝网络**：控制蜂窝网络相关设置（应用蜂窝数据设置、eSIM、方案更改）。
- **网络**：控制 AirDrop/AirPrint/AirPlay 及其他连接设置。
- **账户**：限制账户修改，并（可选地）配置 Google 和邮件账户。

<p class="callout info"> Apple 策略编辑器中的许多选项都包含工具提示，用于说明相关要求和支持的操作系统版本。 </p>

## 保存、删除及关联设备

 使用 **保存策略** 来应用您的更改。如果没有待处理的编辑或许可证已过期，该按钮将处于禁用状态。

 在编辑现有策略时，页面还会显示 **删除策略** 操作。编辑器底部可能会显示 **关联设备** 列表，以便您查看当前有多少台设备正在使用该策略。

## 后续页面

- 密码：配置密码要求及相关的安全选项。
- 限制：定义允许的功能和操作系统层面的限制。
- 应用与描述文件：配置已安装的应用和配置描述文件。

# Apple 策略：密码

**密码设置**部分用于控制设备密码要求及相关的安全规则（例如，最小长度和复杂度）。

## 选项

 在 Apple 策略编辑器中，密码选项通过开关和数字字段组合进行配置。许多字段都包含工具提示，用于说明支持的操作系统版本和监管要求。

### 密码开关

- **ChangeAtNextAuth**：在用户下次进行身份验证时强制重置密码。
- **RequireAlphanumericPasscode**：要求至少包含一个字母字符和一个数字。
- **RequireComplexPasscode**：要求使用“复杂”密码（不得包含重复/连续模式，且至少包含一个非字母数字字符）。
- **RequirePasscode**：要求设置密码，但不包含额外的长度/质量要求。注意：设置其他密码选项会隐式地要求设置密码。

### 数字字段

- **FailedAttemptsResetInMinutes**：失败尝试计数器重置前的分钟数（需要设置 MaximumFailedAttempts）。
- **MaximumFailedAttempts**：在设备被抹除/锁定前允许的失败尝试次数（范围：2–11）。
- **MaximumGracePeriodInMinutes**：设备在无需输入密码的情况下可以保持解锁状态的时长（0 = 无）。
- **MaximumInactivityInMinutes**：设备锁定前的闲置时间（范围：0–15）。
- **MaximumPasscodeAgeInDays**：强制更改前的最大密码有效期（范围：0–730）。
- **MinimumComplexCharacters**：最小“复杂”字符数（范围：0–4）。
- **MinimumLength**：最小密码长度（范围：0–16）。
- **PasscodeReuseLimit**：用于防止重复使用旧密码的密码历史记录长度（范围：1–50）。

# Apple 策略：限制

 “限制”部分用于控制受管 Apple 设备允许使用哪些操作系统功能。在 Apple 策略编辑器中，这些选项以带有多个开关的分组面板形式呈现。

<p class="callout info"> 许多限制仅在特定的操作系统版本上受支持，并且可能需要监管设备。请参考控制面板中的工具提示以获取权威的要求说明。 </p>

## 安全

- **允许自动解锁**
- **允许使用指纹解锁**
- **允许修改指纹**

## iCloud

- **允许 iCloud 通讯录**
- **允许 iCloud 备份**
- **允许 iCloud 书签**
- **允许 iCloud 日历**
- **允许 iCloud 桌面与文稿**
- **允许 iCloud 文档同步**
- **允许 iCloud 无边记**
- **允许 iCloud 钥匙串同步**
- **允许 iCloud 邮件**
- **允许 iCloud 备忘录**
- **允许使用 iCloud 照片库**
- **允许使用 iCloud 私密传送**
- **允许使用 iCloud 提醒事项**

## 多媒体

- **允许使用摄像头**
- **允许修改文件共享**
- **允许“文件”访问 USB 驱动器**

## 蜂窝网络

- **允许修改应用蜂窝数据设置**
- **允许修改蜂窝网络方案**
- **允许修改 eSIM**
- **允许 eSIM 转出**

## 网络

- **允许使用 AirDrop**
- **允许 AirPlay 传入请求**
- **允许使用 AirPrint**
- **允许存储 AirPrint 凭据**
- **允许 AirPrint iBeacon 发现**
- **允许修改蓝牙设置**
- **允许修改蓝牙共享设置**
- **允许“文件”访问网络驱动器**
- **允许修改互联网共享设置**

## 账户（限制）

 “账户”面板包含限制设置以及（可选的）账户配置。限制开关用于控制用户是否可以修改系统账户。

- **允许修改账户**

# Apple 策略：应用与描述文件

 本章节记录了如何为 Apple 设备配置受管应用和账号有效负载。

## 应用管理

**应用管理**面板包含通用的应用相关限制以及受管应用列表。

### 通用应用限制

- **允许 App Clips**
- **允许安装应用**
- **允许删除应用**
- **允许自动下载应用**
- **允许隐藏应用**
- **允许锁定应用**
- **允许应用内购买**

### 受管应用

 使用 **添加应用** 将应用添加到策略中。每个受管应用都以卡片形式显示。您可以展开卡片来编辑其设置，并使用删除操作移除该应用。

- **App Store ID**：受管应用的 App Store 标识符。
- **Bundle ID**：应用包标识符。
- **安装行为**：控制应用必须保持安装状态，还是可以由用户自行安装/移除。
- **分配**：许可证分配类型。
- **VPP 许可证**：用于通过 App Store 进行安装的 VPP 许可证类型。

## 账号

**账号**面板允许您配置应用于受管设备的账号。它还包含一个用于限制账号修改的开关。

### 限制

- **允许修改账号**：禁用时，用户无法修改 Apple 账号和互联网账号等。

### 添加账号

 使用 **添加 Google 账号** 或 **添加邮件账号** 将账号有效负载添加到策略中。每个账号都会以带有其配置字段的卡片形式显示。

### 来自用户的账号凭据

 Google 和邮件账号卡片都提供 **来自用户的账号凭据**开关。启用时，系统将按用户分别应用账号凭据。禁用时，您将在策略中输入账号身份信息。

### Google 账号字段

- **可见名称**：向用户显示的账号名称。
- **Google 电子邮件地址**：用户电子邮件地址。
- **姓名全称**：用户的全名。

### 邮件账号字段

 邮件账号包括身份字段以及传入/传出服务器配置。必须填写主机名。

- **可见名称**：向用户显示的邮件账号名称。
- **电子邮件地址**：用户电子邮件地址。
- **姓名全称**：用户的全名。

#### 传入服务器

- **服务器类型**：邮件协议（例如 IMAP 或 POP）。
- **身份验证方法**：服务器的身份验证方法。
- **IMAP 路径前缀**：仅在服务器类型为 IMAP 时显示。
- **主机名**：必填项。
- **端口**：服务器端口 (1–65535)。

#### 传出服务器

- **身份验证方法**
- **主机名**：必填项。
- **端口**：服务器端口 (1–65535)。

### S/MIME 选项

 对于邮件账号，您还可以配置 S/MIME 加密和签名行为。

#### 加密

- **S/MIME 加密**
- **身份可由用户覆盖**
- **启用单条消息开关**
- **用户可覆盖**

#### 签名

- **S/MIME 签名**
- **身份可由用户覆盖**
- **用户可覆盖**

<p class="callout info"> 账号和限制选项在控制面板中包含工具提示，用于记录先决条件和支持的操作系统版本。 </p>