使用 Intune 允许或限制功能的 macOS 设备设置
注意
Intune 支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录。
本文介绍可在 macOS 设备上控制和限制的设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来允许或禁用功能、设置密码规则等。
此功能适用于:
- macOS
这些设置将添加到 Intune 中的设备配置文件,然后分配或部署到 macOS 设备。
注意
用户界面可能与本文中的注册类型不匹配。 本文中的信息是正确的。 用户界面即将在即将发布的版本中更新。
提示
这些设置使用 Apple 的限制设置。 有关这些设置的详细信息,请参阅 Apple 的移动设备管理设置网站 , () 打开 Apple 网站。
开始之前
创建 macOS 设备限制配置文件。
注意
这些设置适用于不同的注册类型。 有关不同注册类型的详细信息,请参阅 macOS 注册。
App Store, 文档查看, 游戏
设置适用于:自动化设备注册 (监督)
阻止添加游戏中心好友: “是 ”会阻止用户向 Game Center 添加好友。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户将好友添加到游戏中心。
此功能适用于:
- macOS 10.13 及更高版本
阻止游戏中心: “是 ”禁用游戏中心,并且游戏中心图标将从主屏幕中删除。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会使游戏中心可供用户使用。
此功能适用于:
- macOS 10.13 及更高版本
在 Game Center 中阻止多人游戏: “是 ”会阻止使用 Game Center 进行多人游戏。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户玩多人游戏。
此功能适用于:
- macOS 10.13 及更高版本
内置应用
设置适用于:所有注册类型
阻止 Safari 自动填充: “是 ”会禁用设备上的 Safari 中的自动填充功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在 Web 浏览器中更改自动完成设置。
阻止使用相机: “是 ”会阻止访问设备上的相机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问设备相机。
Intune 仅管理对设备相机的访问。 它无法访问图片或视频。
阻止 Apple Music: “是 ”会将音乐应用还原为经典模式,并禁用音乐服务。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 Apple Music 应用。
阻止聚焦建议: “是 ”会阻止聚焦从 Internet 搜索返回任何结果。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许聚焦搜索连接到 Internet 并获取搜索结果。
使用 Finder 或 iTunes 阻止文件传输: 是 禁用应用程序文件共享服务。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许应用程序文件共享服务。
此功能适用于:
- macOS 10.13 及更高版本
云和存储
设置适用于:所有注册类型
阻止 iCloud 密钥链同步: 是 会禁用将密钥链中存储的凭据同步到 iCloud。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户同步这些凭据。
阻止 iCloud 文档和数据同步: 是 会阻止 iCloud 同步文档和数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许将文档和键值同步到 iCloud 存储空间。
阻止 iCloud 邮件备份: 是 会阻止 iCloud 同步到 macOS 邮件应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许邮件同步到 iCloud。
阻止 iCloud 联系人备份: 是 会阻止 iCloud 同步设备联系人。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 iCloud 进行联系人同步。
阻止 iCloud 日历备份: 是 会阻止 iCloud 同步到 macOS 日历应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许日历同步到 iCloud。
阻止 iCloud 提醒备份: 是 会阻止 iCloud 同步到 macOS Reminders 应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许“提醒”同步到 iCloud。
阻止 iCloud 书签备份: 是 会阻止 iCloud 同步设备书签。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许书签同步到 iCloud。
阻止 iCloud 笔记备份: 是 会阻止 iCloud 同步设备笔记。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许将笔记同步到 iCloud。
阻止 iCloud 照片备份: “是 ”会禁用 iCloud 照片库,并阻止 iCloud 同步设备照片。 未从 iCloud 照片库下载的任何照片都将从设备上的本地存储中删除。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备和 iCloud 照片库之间同步照片。
阻止移交:此功能允许用户在 macOS 设备上开始工作,然后继续在另一个 iOS/iPadOS 或 macOS 设备上启动的工作。 “是 ”会阻止设备上的“切换”功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在设备上使用此功能。
此功能适用于:
- macOS 10.15 及更高版本
设置适用于:用户批准的设备注册、自动设备注册 (监督)
阻止 iCloud 专用中继: 是 会禁用 iCloud 专用中继。 禁用后,Apple 不会加密离开设备的 Internet 流量。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能,从而阻止网络和服务器监视用户通过 Internet 的活动。
此功能适用于:
- macOS 12 及更高版本
iCloud 专用中继 (打开 Apple 网站)
连接的设备
设置适用于:所有注册类型
- 阻止 AirDrop: “是 ”会阻止在设备上使用 AirDrop。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用 AirDrop 功能与附近的设备交换内容。
- 阻止 Apple Watch 自动解锁: “是 ”会阻止用户使用 Apple Watch 解锁其 macOS 设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用 Apple Watch 解锁其 macOS 设备。
域
设置适用于:所有注册类型
- 未标记的电子邮件域:在列表中输入一个或多个 电子邮件域 URL 。 当用户从你添加的域以外的域发送或接收电子邮件时,该电子邮件会在 macOS 邮件应用中标记为不受信任。
一般信息
设置适用于:所有注册类型
阻止查找: “是 ”会阻止用户突出显示某个字词,然后在设备上查找其定义。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许定义查找功能。
阻止听写: “是 ”会阻止用户使用语音输入输入文本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用听写输入。
阻止内容缓存: “是 ”会阻止内容缓存。 内容缓存在设备上本地存储应用数据、Web 浏览器数据、下载内容等。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内容缓存。
有关 macOS 上的内容缓存的详细信息,请参阅 在 Mac 上管理内容缓存 (打开另一个网站) 。
此功能适用于:
- macOS 10.13 及更高版本
阻止屏幕截图和屏幕录制: “是 ”会阻止用户保存显示屏幕截图。 它还会阻止 Classroom 应用观察远程屏幕。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户捕获屏幕截图,并允许 Classroom 应用查看远程屏幕。
设置适用于:用户批准的设备注册、自动设备注册 (监督)
延迟软件更新:此设置允许将设备上软件更新的可见性延迟长达 90 天。 例如,如果 Apple 在特定日期发布 macOS 更新,它自然会显示在发布日期前后的设备上。 此设置可以隐藏更新,以便用户不会在更新可用时立即看到它。
此设置不会控制何时安装更新,并且不会影响计划的更新。 允许无延迟地进行种子生成更新。
若要使用此设置,请选择要延迟的软件更新。 选项包括:
- 未 配置 (默认) :Intune 不会更改或更新此设置。 默认情况下,OS 可能会在用户发布新发布的软件更新后立即显示它们。
- 主要 OS 软件更新:主要 OS 软件更新(如 macOS 12)默认延迟 30 天,除非在 “主要 OS 软件更新的延迟可见性 ”字段中另行指定。 需要 macOS 11.3 及更新版本。
- 次要 OS 软件更新:次要 OS 软件更新(如 macOS 12.x)默认延迟 30 天,除非在 次要 OS 软件更新的延迟可见性 字段中另行指定。 需要 macOS 11.3 及更新版本。
- 非 OS 软件更新:非 OS 软件更新(如 Safari 更新)默认延迟 30 天,除非在 “非 OS 软件更新的延迟可见性 ”字段中另行指定。 需要 macOS 11.0 及更高版本。
然后输入希望将每种类型的更新延迟 1-90 天的时间。 例如,如果 macOS 更新在 1 月 1 日可用,并且 延迟可见性 设置为 5 天,则更新不会显示为可用更新。 发布后的第六天,该更新将变为可用,并在触发延迟时通知用户更新到可用的最早版本。 选项包括:
延迟软件更新的默认可见性:输入延迟所有软件更新的天数,从 1 到 90。 如果未输入任何内容,则默认情况下,更新将延迟 30 天。 如果选择单独延迟主要 OS、次要 OS 或非 OS 软件更新,Intune 将替代此值。
延迟主要 OS 软件更新的可见性:输入延迟所有主要 OS 软件更新的天数(从 1 到 90)。 如果未输入任何内容,则默认情况下,更新将延迟 30 天。 此值替代 延迟软件更新的默认可见性中的值。
此功能适用于:
- macOS 11.3 及更新版本
延迟次要 OS 软件更新的可见性:输入延迟所有次要 OS 软件更新的天数(从 1 到 90)。 如果未输入任何内容,则默认情况下,更新将延迟 30 天。 此值替代 延迟软件更新的默认可见性中的值。
此功能适用于:
- macOS 11.3 及更新版本
延迟非 OS 软件更新的可见性:输入延迟所有非 OS 软件更新的天数,从 1 到 90。 如果未输入任何内容,则默认情况下,更新将延迟 30 天。 此值替代 延迟软件更新的默认可见性中的值。
此功能适用于:
- macOS 11.0 及更新版本
允许激活锁: 是,在受监督的 macOS 设备上启用激活锁定。 激活锁定使丢失或被盗的设备更难重新激活。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
此功能适用于:
- macOS 10.15 或更高版本
设置适用于:自动设备注册
禁用 AirPlay、按 Classroom 应用查看屏幕和屏幕共享: 是 阻止 AirPlay,并阻止与其他设备共享屏幕。 它还阻止教师使用 Classroom 应用查看其学生的屏幕。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许教师查看其学生的屏幕。
若要使用此设置,请将 “阻止屏幕截图和屏幕录制 ”设置设置为 “未配置 (允许) 屏幕截图。
允许 Classroom 应用在不提示的情况下执行 AirPlay 和查看屏幕: “是 ”允许教师查看其学生的屏幕,而无需学生同意。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能要求学生同意,然后教师才能看到屏幕。
若要使用此设置,请将 “阻止屏幕截图和屏幕录制 ”设置设置为 “未配置 (允许) 屏幕截图。
需要教师权限才能离开 Classroom 应用非托管课程: 是 ,强制注册非托管 Classroom 课程的学生获得教师批准离开课程。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许学生在学生选择时离开课程。
允许 Classroom 在不提示的情况下锁定设备: 是 允许教师在未经学生批准的情况下锁定学生的设备或应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能需要学生同意,然后教师才能锁定设备或应用。
学生可以在不提示的情况下自动加入 Classroom 课堂: “是 ”允许学生在不提示教师的情况下加入课堂。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能需要教师批准才能加入课堂。
阻止修改壁纸: “是 ”会阻止用户更改设备壁纸。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改壁纸。
此功能适用于:
- macOS 10.13 及更高版本
阻止用户擦除设备上的所有内容和设置: “是 ”禁用受监督设备上的重置选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户擦除其设备上的所有内容和设置。
此功能适用于:
- macOS 12 及更高版本
Password
这些设置使用 密码有效负载 (打开 Apple 网站) 。
重要
在运行 10.14.2 及更高 (除 macOS 10.15 Catalina) 的所有版本的 macOS 设备上,当设备更新到新的主操作系统版本时,系统会提示用户更改设备密码。 此密码更新发生一次。 用户更新密码后,将强制实施任何其他密码策略。 如果至少在一个策略中需要密码,则此行为仅针对本地计算机用户发生。
每当更新密码策略时,运行这些 macOS 版本的所有用户都必须更改密码,即使当前密码符合新要求也是如此。 例如,当 macOS 设备在升级到新的主 OS 版本(例如 Big Sur (macOS 11) 或 Monterey (macOS 12) )后打开时,用户需要先更改设备密码才能登录。
设置适用于:所有注册类型
需要密码: “是 ”要求用户输入密码才能访问设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不需要密码。 它也不会强制实施任何限制,例如阻止简单密码或设置最小长度。
所需的密码类型:输入组织所需的所需密码复杂性级别。 当留空时,Intune 不会更改或更新此设置。 选项包括:
- 未配置:使用设备默认值。
- 字母数字:包括大写字母、小写字母和数字字符。
- 数字:密码只能是数字,例如123456789。
此功能适用于:
- macOS 10.10.3 及更新版本
密码中的非字母数字字符数:输入密码中所需的复杂字符数(从 0 到 4)。 复杂字符是符号,例如
?
。 当留空或设置为 “未配置”时,Intune 不会更改或更新此设置。最小密码长度:输入密码必须具有的最小长度(4-16 个字符)。 当留空时,Intune 不会更改或更新此设置。
阻止简单密码: “是 ”会阻止使用简单密码,例如
0000
或1234
。 当该值为空或设置为 “未配置”时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许简单密码。屏幕锁定前的最大非活动分钟数:输入设备在屏幕自动锁定之前必须处于空闲状态的时间长度。 例如,输入
5
以在空闲 5 分钟后锁定设备。 当该值为空或设置为 “未配置”时,Intune 不会更改或更新此设置。需要密码之前屏幕锁定后的最大分钟数:输入设备在需要密码才能解锁之前必须处于非活动状态的时间长度。 当该值为空或设置为 “未配置”时,Intune 不会更改或更新此设置。
密码过期 (天) :输入设备密码必须更改之前的天数,从 1 到 65535。 例如,输入
90
以在 90 天后使密码过期。 密码过期时,系统会提示用户创建新密码。 当该值为空或设置为 “未配置”时,Intune 不会更改或更新此设置。防止重用以前的密码:限制用户创建以前使用的密码。 输入以前使用过的不能使用的密码数(从 1 到 24)。 例如,输入 5,以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时,Intune 不会更改或更新此设置。
允许的最大登录尝试次数:输入用户在设备锁定用户之前可以连续尝试登录的最大次数(从 2 到 11)。 超过此数字时,设备将被锁定。 建议不要将此值设置为较低的数字,例如
2
或3
。 用户通常输入错误的密码。 建议将 设置为更高的值。例如,输入
5
,以便用户最多可以输入错误密码五次。 第五次尝试后,设备已锁定。 如果将此值留空或不更改此值,则11
默认使用 。尝试失败六次后,macOS 会自动强制延迟时间,然后才能再次输入密码。 延迟随着每次尝试而增加。 设置 锁定持续时间 以在输入下一个密码之前添加延迟。
锁定持续时间:输入锁定持续时间(从 0 到 10000)的持续时间。 在设备锁定期间,登录屏幕处于非活动状态,用户无法登录。 锁定结束时,用户可以尝试再次登录。
如果将此值留空或不更改该值,则
30
默认使用分钟数。此设置适用于:
- macOS 10.10 及更高版本
阻止用户修改密码: “是 ”可阻止更改、添加或删除密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许添加、更改或删除密码。
阻止触摸 ID 解锁设备: “是 ”会阻止使用指纹解锁设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户使用指纹解锁设备。
超时 (小时不活动) :输入用户必须输入其密码的非活动小时数值,而不是 TouchID。
默认的非活动期为 48 小时。 处于非活动状态 48 小时后,设备会提示输入密码,而非触摸 ID。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会将超时设置为 48 小时 (172,800 秒) 。
此功能适用于:
- macOS 12 及更高版本
阻止密码自动填充: “是 ”会阻止在 macOS 上使用自动填充密码功能。 选择 “是” 也会产生以下影响:
- 系统不会提示用户在 Safari 或任何应用中使用保存的密码。
- 禁用自动强密码,并且不会向用户建议使用强密码。
设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许这些功能。
阻止密码邻近感应请求: “是 ”会阻止设备从附近设备请求密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许这些密码请求。
阻止密码共享: “是 ”会阻止使用 AirDrop 在设备之间共享密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许共享密码。
隐私首选项
在 macOS 设备上,应用和进程通常会提示用户允许或拒绝访问设备功能,例如相机、麦克风、日历、Documents 文件夹等。 这些设置允许管理员预先批准或预先拒绝对这些设备功能的访问。 配置这些设置时,可以代表用户管理数据访问许可。 你的设置将覆盖其先前的决策。
这些设置的目的是减少应用和进程的提示数。
此功能适用于:
- macOS 10.14 及更新版本
- 某些设置适用于 macOS 10.15 及更新版本。
- 这些设置仅适用于在升级之前安装了隐私首选项配置文件的设备。
注意
当你允许使用策略的应用时,这些应用不会显示在设备上的“系统设置 (隐私 + 安全性) 中。 仅显示最终用户手动允许的应用。
设置适用于:用户批准的设备注册、自动设备注册
-
应用和进程: 添加 应用或进程以配置访问权限。 另输入:
名称:输入应用或进程的名称。 例如,输入
Microsoft Remote Desktop
或Microsoft 365
。标识符类型:选项:
- 捆绑 ID:为应用选择此选项。
- 路径:为非捆绑二进制文件(进程或可执行文件)选择此选项。
嵌入到应用程序捆绑包中的帮助程序工具会自动继承其封闭应用程序捆绑包的权限。
标识符:输入应用捆绑包 ID 或进程或可执行文件的安装文件路径。 例如,输入
com.contoso.appname
。若要获取应用捆绑包 ID,请执行以下操作:
- 打开终端应用,并运行
codesign
命令。 此命令标识代码签名。 因此,可以同时获取捆绑包 ID 和代码签名。 - 对于添加到 Intune 的应用, 可以使用 Intune 管理中心。
- 打开终端应用,并运行
代码要求:输入应用程序或进程的代码签名。
当应用或二进制文件由开发人员证书签名时,将创建代码签名。 若要查找指定,请在
codesign
终端应用中手动运行命令:codesign --display -r - /path/to/app/binary
。 代码签名是在 之后=>
显示的所有内容。启用静态代码验证:为应用或进程选择“ 是 ”以静态方式验证代码要求。 设置为 “未配置”时,Intune 不会更改或更新此设置。
仅当进程使其动态代码签名失效时,才启用此设置。 否则,请使用 “未配置”。
阻止相机: 是 会阻止应用访问系统摄像头。 你不能允许访问相机。 设置为 “未配置”时,Intune 不会更改或更新此设置。
阻止麦克风: “是 ”会阻止应用访问系统麦克风。 你不能允许访问麦克风。 设置为 “未配置”时,Intune 不会更改或更新此设置。
阻止屏幕录制: 是 阻止应用捕获系统显示的内容。 你不能允许访问屏幕录制和屏幕捕获。 设置为 “未配置”时,Intune 不会更改或更新此设置。
需要 macOS 10.15 及更新版本。
阻止输入监视: 是 阻止应用使用 CoreGraphics 和 HID API 侦听来自所有进程的 CGEvent 和 HID 事件。 “是 ”还拒绝应用和进程侦听输入设备(例如鼠标、键盘或触控板)并从中收集数据。 不能允许访问 CoreGraphics 和 HID API。
设置为 “未配置”时,Intune 不会更改或更新此设置。
需要 macOS 10.15 及更新版本。
语音识别:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问系统语音识别,并允许向 Apple 发送语音数据。
- 阻止:阻止应用访问系统语音识别,并阻止向 Apple 发送语音数据。
需要 macOS 10.15 及更新版本。
辅助功能:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问系统辅助功能应用。 此应用包括隐藏式字幕、悬停文本和语音控件。
- 阻止:阻止应用访问系统辅助功能应用。
联系人:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问由系统联系人应用管理的联系人信息。
- 阻止:阻止应用访问此联系人信息。
日历:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问由系统日历应用管理的日历信息。
- 阻止:阻止应用访问此日历信息。
提醒:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问由系统提醒应用管理的提醒信息。
- 阻止:阻止应用访问此提醒信息。
照片:选项:
- 未配置:Intune 不会更改或更新此设置。
-
允许:允许应用访问 中
~/Pictures/.photoslibrary
由系统“照片”应用管理的图片。 - 阻止:阻止应用访问这些图片。
媒体库:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问 Apple Music、音乐和视频活动以及媒体库。
- 阻止:阻止应用访问此媒体。
需要 macOS 10.15 及更新版本。
文件提供程序状态:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问文件提供程序应用,并知道用户何时使用由文件提供程序管理的文件。 文件提供程序应用允许其他文件提供程序应用访问由包含的应用存储和管理的文档和目录。
- 阻止:阻止应用访问文件提供程序应用。
需要 macOS 10.15 及更新版本。
完全磁盘访问:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问所有受保护的文件,包括系统管理文件。 请谨慎应用此设置。
- 阻止:阻止应用访问这些受保护的文件。
系统管理员文件:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问系统管理中使用的某些文件。
- 阻止:阻止应用访问这些文件。
桌面文件夹:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问用户的桌面文件夹中的文件。
- 阻止:阻止应用访问这些文件。
需要 macOS 10.15 及更新版本。
Documents 文件夹:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问用户的 Documents 文件夹中的文件。
- 阻止:阻止应用访问这些文件。
需要 macOS 10.15 及更新版本。
下载文件夹:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问用户的“下载”文件夹中的文件。
- 阻止:阻止应用访问这些文件。
需要 macOS 10.15 及更新版本。
网络卷:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问网络卷上的文件。
- 阻止:阻止应用访问这些文件。
需要 macOS 10.15 及更新版本。
可移动卷:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用访问可移动卷(如硬盘)上的文件。
- 阻止:阻止应用访问这些文件。
需要 macOS 10.15 及更新版本。
系统事件:选项:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用使用 CoreGraphics API 将 CGEvent 发送到系统事件流。
- 阻止:阻止应用使用 CoreGraphics API 将 CGEvent 发送到系统事件流。
Apple 事件:此设置允许应用将受限的 Apple 事件发送到其他应用或进程。 选择“ 添加” 以添加接收应用或进程。 输入接收应用或进程的以下信息:
标识符类型:如果接收标识符是应用程序,请选择 “捆绑 ID ”。 如果接收标识符是进程或可执行文件,请选择 “路径 ”。
标识符:输入应用捆绑包 ID 或接收 Apple 事件的进程的安装路径。
代码要求:输入接收应用程序或进程的代码签名。
当应用或二进制文件由开发人员证书签名时,将创建代码签名。 若要查找指定,请在
codesign
终端应用中手动运行命令:codesign --display -r -/path/to/app/binary
。 代码签名是在 之后=>
显示的所有内容。访问:允许将 macOS Apple 事件发送到接收应用或进程。 选项包括:
- 未配置:Intune 不会更改或更新此设置。
- 允许:允许应用或进程将受限制的 Apple 事件发送到接收应用或进程。
- 阻止:阻止应用或进程将受限的 Apple 事件发送到接收应用或进程。
单击“保存”以保存更改。
受限应用
设置适用于:所有注册类型
受限应用设置不会阻止用户安装和打开特定应用。 相反,安装受限应用的设备在 Intune 管理中心 (设备监视器) 填充具有受限应用的设备>报表。
受限应用列表的类型:创建不允许用户安装或使用的应用列表。 选项包括:
未 配置 (默认) :Intune 不会更改或更新此设置。 默认情况下,用户可能有权访问你分配的应用和内置应用。
批准的应用:列出允许用户安装的应用。 用户不得安装其他应用。 如果用户安装不允许的应用,则会在 Intune 中报告。 自动允许 Intune 管理的应用,包括公司门户应用。 不会阻止用户安装不在已批准列表中的应用。
如果安装的应用不在批准的应用列表中,则受限应用设置将报告错误。
禁止的应用:列出不受 Intune 管理的应用 (,) 不允许用户安装和运行。 不会阻止用户安装禁止的应用。 如果用户从此列表中安装应用,则会在 Intune 中报告该应用。
如果应用安装在禁止的应用列表中,则受限应用设置将报告错误。
应用列表: 将应用添加到 列表:
应用捆绑 ID:输入应用的 捆绑 ID 。 可以添加内置应用和业务线应用。
若要获取捆绑包 ID,请执行以下操作:
- 苹果的网站有一个 苹果内置应用列表。
- 打开终端应用,并使用 AppleScript (
osascript -e 'id of app "AppName"'
) 。 - 对于添加到 Intune 的应用, 可以使用 Intune 管理中心。
若要查找应用的 URL,请打开 iTunes App Store,然后搜索该应用。 例如,搜索
Microsoft Remote Desktop
或Microsoft Word
。 选择应用,并复制 URL。 还可以使用 iTunes 查找应用,然后使用 “复制链接” 任务获取应用 URL。应用名称:输入用户友好名称,以帮助你识别捆绑包 ID。 例如,输入
Intune Company Portal app
。发布者:输入应用的发布者。
导入 包含应用详细信息(包括 URL)的 CSV 文件。 使用
<app bundle ID>, <app name>, <app publisher>
格式。 或者, 导出 以创建添加的应用列表,格式相同。
后续步骤
还可以限制 iOS/iPadOS 设备上的设备功能和设置。