策略 - Apple Apple 策略 Apple 策略定义了 Cerberus Enterprise 通过 MDM 应用于 Apple 设备的管理设置。这些设置可在控制面板的 Apple 策略编辑器中进行配置。 开始之前 Apple 设备管理需要配置 Apple 管理 (APNs)。如有需要,请阅读 Apple 管理设置 (APNs) 页面。 打开 Apple 策略编辑器 在控制面板中,打开 策略 并点击 创建新 Apple 策略。要编辑现有的 Apple 策略,请点击策略列表中的对应行。 编辑器布局 Apple 策略编辑器由一组可展开的区块组成。在页面顶部,您可以随时编辑: 名称(必填) ID(只读) 描述(可选) 策略区块 以下区块与当前 Apple 策略编辑器中可用的面板相对应: 应用管理:配置与应用相关的限制以及受管应用。 密码设置:配置密码要求及相关规则。 安全:控制自动解锁和生物识别解锁等功能。 iCloud:允许或禁止特定的 iCloud 服务(备份、钥匙串同步、私密传送等)。 多媒体:允许/禁止使用摄像头及相关功能。 蜂窝网络:控制蜂窝网络相关设置(应用蜂窝数据设置、eSIM、方案更改)。 网络:控制 AirDrop/AirPrint/AirPlay 及其他连接设置。 账户:限制账户修改,并(可选地)配置 Google 和邮件账户。 Apple 策略编辑器中的许多选项都包含工具提示,用于说明相关要求和支持的操作系统版本。 保存、删除及关联设备 使用 保存策略 来应用您的更改。如果没有待处理的编辑或许可证已过期,该按钮将处于禁用状态。 在编辑现有策略时,页面还会显示 删除策略 操作。编辑器底部可能会显示 关联设备 列表,以便您查看当前有多少台设备正在使用该策略。 后续页面 密码:配置密码要求及相关的安全选项。 限制:定义允许的功能和操作系统层面的限制。 应用与描述文件:配置已安装的应用和配置描述文件。 Apple 策略:密码 密码设置部分用于控制设备密码要求及相关的安全规则(例如,最小长度和复杂度)。 选项 在 Apple 策略编辑器中,密码选项通过开关和数字字段组合进行配置。许多字段都包含工具提示,用于说明支持的操作系统版本和监管要求。 密码开关 ChangeAtNextAuth:在用户下次进行身份验证时强制重置密码。 RequireAlphanumericPasscode:要求至少包含一个字母字符和一个数字。 RequireComplexPasscode:要求使用“复杂”密码(不得包含重复/连续模式,且至少包含一个非字母数字字符)。 RequirePasscode:要求设置密码,但不包含额外的长度/质量要求。注意:设置其他密码选项会隐式地要求设置密码。 数字字段 FailedAttemptsResetInMinutes:失败尝试计数器重置前的分钟数(需要设置 MaximumFailedAttempts)。 MaximumFailedAttempts:在设备被抹除/锁定前允许的失败尝试次数(范围:2–11)。 MaximumGracePeriodInMinutes:设备在无需输入密码的情况下可以保持解锁状态的时长(0 = 无)。 MaximumInactivityInMinutes:设备锁定前的闲置时间(范围:0–15)。 MaximumPasscodeAgeInDays:强制更改前的最大密码有效期(范围:0–730)。 MinimumComplexCharacters:最小“复杂”字符数(范围:0–4)。 MinimumLength:最小密码长度(范围:0–16)。 PasscodeReuseLimit:用于防止重复使用旧密码的密码历史记录长度(范围:1–50)。 Apple 策略:限制 “限制”部分用于控制受管 Apple 设备允许使用哪些操作系统功能。在 Apple 策略编辑器中,这些选项以带有多个开关的分组面板形式呈现。 许多限制仅在特定的操作系统版本上受支持,并且可能需要监管设备。请参考控制面板中的工具提示以获取权威的要求说明。 安全 允许自动解锁 允许使用指纹解锁 允许修改指纹 iCloud 允许 iCloud 通讯录 允许 iCloud 备份 允许 iCloud 书签 允许 iCloud 日历 允许 iCloud 桌面与文稿 允许 iCloud 文档同步 允许 iCloud 无边记 允许 iCloud 钥匙串同步 允许 iCloud 邮件 允许 iCloud 备忘录 允许使用 iCloud 照片库 允许使用 iCloud 私密传送 允许使用 iCloud 提醒事项 多媒体 允许使用摄像头 允许修改文件共享 允许“文件”访问 USB 驱动器 蜂窝网络 允许修改应用蜂窝数据设置 允许修改蜂窝网络方案 允许修改 eSIM 允许 eSIM 转出 网络 允许使用 AirDrop 允许 AirPlay 传入请求 允许使用 AirPrint 允许存储 AirPrint 凭据 允许 AirPrint iBeacon 发现 允许修改蓝牙设置 允许修改蓝牙共享设置 允许“文件”访问网络驱动器 允许修改互联网共享设置 账户(限制) “账户”面板包含限制设置以及(可选的)账户配置。限制开关用于控制用户是否可以修改系统账户。 允许修改账户 Apple 策略:应用与描述文件 本章节记录了如何为 Apple 设备配置受管应用和账号有效负载。 应用管理 应用管理面板包含通用的应用相关限制以及受管应用列表。 通用应用限制 允许 App Clips 允许安装应用 允许删除应用 允许自动下载应用 允许隐藏应用 允许锁定应用 允许应用内购买 受管应用 使用 添加应用 将应用添加到策略中。每个受管应用都以卡片形式显示。您可以展开卡片来编辑其设置,并使用删除操作移除该应用。 App Store ID:受管应用的 App Store 标识符。 Bundle ID:应用包标识符。 安装行为:控制应用必须保持安装状态,还是可以由用户自行安装/移除。 分配:许可证分配类型。 VPP 许可证:用于通过 App Store 进行安装的 VPP 许可证类型。 账号 账号面板允许您配置应用于受管设备的账号。它还包含一个用于限制账号修改的开关。 限制 允许修改账号:禁用时,用户无法修改 Apple 账号和互联网账号等。 添加账号 使用 添加 Google 账号 或 添加邮件账号 将账号有效负载添加到策略中。每个账号都会以带有其配置字段的卡片形式显示。 来自用户的账号凭据 Google 和邮件账号卡片都提供 来自用户的账号凭据开关。启用时,系统将按用户分别应用账号凭据。禁用时,您将在策略中输入账号身份信息。 Google 账号字段 可见名称:向用户显示的账号名称。 Google 电子邮件地址:用户电子邮件地址。 姓名全称:用户的全名。 邮件账号字段 邮件账号包括身份字段以及传入/传出服务器配置。必须填写主机名。 可见名称:向用户显示的邮件账号名称。 电子邮件地址:用户电子邮件地址。 姓名全称:用户的全名。 传入服务器 服务器类型:邮件协议(例如 IMAP 或 POP)。 身份验证方法:服务器的身份验证方法。 IMAP 路径前缀:仅在服务器类型为 IMAP 时显示。 主机名:必填项。 端口:服务器端口 (1–65535)。 传出服务器 身份验证方法 主机名:必填项。 端口:服务器端口 (1–65535)。 S/MIME 选项 对于邮件账号,您还可以配置 S/MIME 加密和签名行为。 加密 S/MIME 加密 身份可由用户覆盖 启用单条消息开关 用户可覆盖 签名 S/MIME 签名 身份可由用户覆盖 用户可覆盖 账号和限制选项在控制面板中包含工具提示,用于记录先决条件和支持的操作系统版本。