使用 iOS 和 iPadOS 裝置設定來允許或限制功能 Intune
注意事項
Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
本文說明您可以在 iOS 和 iPadOS 裝置上控制的不同設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來允許或停用功能、設定密碼規則、允許或限制特定應用程式等等。
本功能適用於:
- iOS/iPadOS
這些設定會新增至 Intune 中的裝置組態配置檔,然後指派或部署到您的 iOS/iPadOS 裝置。
提示
這些設定會使用Apple的限制設定。 如需這些設定的詳細資訊,請參閱 Apple 的行動裝置管理設定網站 (開啟 Apple 的網站) 。
開始之前
設定裝置限制原則時,廣泛的設定可讓您根據特定需求量身打造保護。
當您準備好繼續進行時,請建立 iOS/iPadOS 裝置限制組態配置檔。
注意事項
這些設定適用於不同的註冊類型,其中有些設定會套用至所有註冊選項。 如需不同註冊類型的詳細資訊,請參閱 iOS/iPadOS 註冊。
App Store、文件檢視、遊戲
設定適用於:所有註冊類型
封鎖在非受控應用程式中檢視公司檔: [是 ] 會防止在非受控應用程式中檢視公司檔。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在任何應用程式中檢視公司檔。
例如,您想要防止使用者將檔案從 OneDrive 應用程式儲存至 Dropbox。 將此設定設定為 [是]。 例如,在裝置收到原則 (之後,在重新啟動) 之後,就不再允許儲存。
注意事項
當此設定遭到封鎖 (設為 [是) 時,也會封鎖從 App Store 安裝的第三方鍵盤。
允許 Unmanaged 應用程式從受管理的聯繫人帳戶讀取: [是 ] 可讓非受控應用程式,例如內建的 iOS/iPadOS 聯繫人應用程式,從受控應用程式讀取和存取聯繫人資訊,包括 Outlook 行動應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止從裝置上的內建聯繫人應用程式讀取。
此設定允許或防止讀取聯繫人資訊。 它不會控制應用程式之間的同步處理聯繫人。
若要使用此設定,請將 [ 封鎖在 Unmanaged 應用程式中檢視公司檔 ] 設定設為 [ 是]。
如需這兩個設定及其對 iOS/iPadOS 版 Outlook 聯繫人匯出同步處理影響的詳細資訊,請參閱支援提示:搭配 iOS/iPadOS 原生聯繫人應用程式使用 Intune 自定義配置檔設定。
將 AirDrop 視為非受控目的地: [是 ] 會強制將 AirDrop 視為 Unmanaged 置放目標。 它會阻止受管理的應用程式使用Airdrop傳送數據。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
封鎖在公司應用程式中檢視非公司檔: [是 ] 會防止在公司應用程式中檢視非公司檔。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在公司管理的應用程式中檢視任何檔。
是 也可防止在 iOS/iPadOS 版 Outlook 中進行聯繫人匯出同步處理。 如需詳細資訊,請參閱 支援提示:啟用 Outlook iOS/iPadOS Contact Sync with iOS12 MDM Controls。
允許複製/貼上受到受管理的開啟程序影響: [是 ] 會根據您如何設定 [ 封鎖在非受控應用程式中檢視公司檔 ] 和 [ 封鎖在公司應用程式中檢視非公司檔] 來強制執行複製/貼上限制。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會強制執行任何複製/貼上限制。
設定適用於:裝置註冊、自動裝置註冊 (受監督)
所有購買都需要 iTunes Store 密碼: [是 ] 會強制使用者輸入每個應用程式內或 ITunes 購買的 Apple ID 密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許購買,而不會每次提示輸入密碼。
封鎖應用程式內購買: [是 ] 會防止從市集購買應用程式內。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在執行中的應用程式內購買市集。
禁止在 Apple Books 中下載明確的性內容: [是 ] 會防止使用者從標記為 erotica 的 iBook 市集下載媒體。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許用戶下載具有 「Erotica」 類別的書籍。
允許受管理的應用程式將聯繫人寫入 Unmanaged 聯繫人帳戶: 是 ,可讓受管理的應用程式,例如 Outlook 行動應用程式,儲存或同步連絡資訊,包括商務和公司聯繫人,到內建的 iOS/iPadOS 聯繫人應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止受管理的應用程式將聯繫人資訊儲存或同步至裝置上的內建 iOS/iPadOS 聯繫人應用程式。
若要使用此設定,請將 [ 封鎖在 Unmanaged 應用程式中檢視公司檔 ] 設定設為 [ 是]。
分級區域:選取您想要用於允許下載的評等區域。 然後選取 [電影]、 [TV Shows] 和 [ 應用程式] 的允許評分。
設定適用於:自動化裝置註冊 (受監督)
封鎖應用程式市集: [是 ] 會防止存取受監督裝置上的應用程式市集。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
- 封鎖使用 App Store 安裝應用程式:[是] 不會在裝置主畫面上顯示應用程式市集。 用戶可以繼續使用 iTunes 或 Apple Configurator 來安裝應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許主畫面上的應用程式市集。
- 封鎖自動應用程式下載: [是 ] 會防止自動下載在其他裝置上購買的應用程式,以及自動更新新應用程式。 它不會影響現有應用程式的更新。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在其他 iOS/iPadOS 裝置上購買的應用程式在裝置上下載並更新。
封鎖播放明確音樂、播客和 iTunes U: [是 ] 會防止明確的 iTunes 音樂、播客或新聞內容。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置從市集存取評等為成人的內容。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖新增 Game Center 朋友: [是 ] 會防止使用者新增 Game Center 朋友。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在遊戲中心新增朋友。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖遊戲中心: 是 ,防止使用 Game Center 應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用遊戲中心應用程式。
封鎖遊戲中心的多人遊戲: [是 ] 會防止多人遊戲。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置上玩多人遊戲。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖對檔案應用程式中網路驅動器機的存取:使用伺服器消息塊 (SMB) 通訊協定,裝置可以存取網路伺服器上的檔案或其他資源。 是 ,可防止存取網路SMB磁碟驅動器上的檔案。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
ASAM) (自發性單一應用程式模式
使用這些設定來設定 iOS/iPadOS 裝置,以在自動單一應用程式模式中執行特定應用程式, (ASAM) 。 設定 ASAM 且用戶啟動其中一個已設定的應用程式時,裝置會鎖定至該應用程式。 應用程式/工作切換會停用,直到用戶結束允許的應用程式為止。
若要套用 ASAM 設定,用戶必須手動開啟特定應用程式。 這項工作也適用於 公司入口網站 應用程式。
例如,在學校或大學環境中,新增可讓使用者在裝置上進行測試的應用程式。 或者,將裝置鎖定到 公司入口網站 應用程式,直到使用者驗證為止。 當使用者完成應用程式動作,或您移除此原則時,裝置會回到其正常狀態。
並非所有應用程式都支援自發單一應用程式模式。 若要將應用程式放在 ASAM 中,通常需要應用程式組態原則所傳遞的套件組合識別碼或金鑰值組。 如需詳細資訊,請參
autonomousSingleAppModePermittedAppIDs
閱Apple MDM檔中的限制。 如需您要設定之應用程式所需之特定設定的詳細資訊,請參閱廠商檔。例如,若要在自發性單一應用程式模式中設定 Zoom Rooms,Zoom 表示要使用套
us.zoom.zpcontroller
件組合標識符。 在此情況下,您也會在 Zoom 入口網站中進行變更。 如需詳細資訊,請參閱 Zoom 說明中心。在 iOS/iPadOS 裝置上,公司入口網站 應用程式支援 ASAM。 當 公司入口網站 應用程式在 ASAM 中時,用戶必須手動開啟 公司入口網站 應用程式。 然後裝置會在 公司入口網站 應用程式中鎖定,直到使用者驗證為止。 當使用者登入 公司入口網站 應用程式時,他們可以使用其他應用程式和裝置上的 [主畫面] 按鈕。 當他們註銷 公司入口網站 應用程式時,裝置會回到單一應用程式模式,並鎖定 公司入口網站 應用程式。
若要將 公司入口網站 應用程式轉換成「登入/註銷」應用程式 (啟用 ASAM) ,請在這些設定中輸入 公司入口網站 應用程式名稱,例如
Microsoft Intune Company Portal
,以及套件組合識別碼 (com.microsoft.CompanyPortal
) 。 指派此設定檔之後,您必須開啟 公司入口網站 應用程式來鎖定應用程式,讓使用者可以登入並註銷應用程式。 若要套用 ASAM 設定,用戶必須手動開啟 公司入口網站 應用程式。拿掉裝置組態配置檔,且使用者註銷時,裝置不會鎖定在 公司入口網站 應用程式中。
設定適用於:自動化裝置註冊 (受監督)
- 應用程式名稱:輸入您要的應用程式名稱。
- 應用程式套件組合識別碼:輸入您想要的應用程式套 件組合識別 碼。 若要取得新增至 Intune 的應用程式套件組合識別碼,您可以使用 Intune 系統管理中心。
您 也可以匯 入包含應用程式名稱清單及其套件組合識別碼的 CSV 檔案。 或者, 匯 出包含應用程式的現有清單。
內建應用程式
設定適用於:所有註冊類型
封鎖 Siri: 是 ,可防止存取 Siri。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用 Siri 語音 助理。
- 鎖定裝置時封鎖 Siri: [是 ] 會在裝置鎖定時防止存取 Siri。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在鎖定裝置時,在裝置上使用 Siri 語音 助理。
需要Safari詐騙警告: 是 ,需要在裝置的網頁瀏覽器中顯示詐騙警告。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會顯示這些警告。
封鎖 Siri 聽寫: [是 ] 會防止連線到 Siri 伺服器。 用戶無法使用 Siri 來指定文字。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Siri 用於聽寫。 也適用於用戶註冊。
本功能適用於:
- iOS/iPadOS 14.5 和更新版本
封鎖 Siri 進行翻譯: [是 ] 會防止連線到 Siri 伺服器,讓使用者無法使用 Siri 翻譯文字。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Siri 進行翻譯。 也適用於用戶註冊。
本功能適用於:
- iOS/iPadOS 15.0 和更新版本
設定適用於:裝置註冊和自動化裝置註冊 (受監督的)
封鎖焦點的因特網搜尋結果: [是] 會阻止 Spotlight 從因特網搜尋傳回任何結果。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許焦點搜尋連線到因特網以提供搜尋結果。
Safari Cookie:根據預設,Apple 允許所有 Cookie,並封鎖跨網站追蹤。 使用此設定可讓用戶啟用或停用這些功能。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 允許所有 Cookie 和封鎖跨網站追蹤,而且可能會允許使用者啟用和停用這些功能。
- 允許所有 Cookie,並允許跨網站追蹤:允許 Cookie,而且可以由使用者停用。 根據預設,跨網站追蹤會遭到封鎖,而且可以由用戶啟用。
- 封鎖所有 Cookie,並封鎖跨網站追蹤:Cookie 和跨網站追蹤都會遭到封鎖。 用戶無法啟用或停用任一設定。
- 允許所有 Cookie,並封鎖跨網站追蹤:允許 Cookie,而且使用者可以停用 Cookie。 根據預設,跨網站追蹤會遭到封鎖,且使用者無法啟用或停用。
封鎖Safari JavaScript: [是 ] 會防止瀏覽器中的 Java 腳本在裝置上執行。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Java 腳本。
封鎖 Safari 彈出視窗: [是 ] 會封鎖 Safari 網頁瀏覽器中的所有彈出視窗。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許快顯封鎖程式。
設定適用於:自動化裝置註冊 (受監督)
封鎖相機: [是 ] 會防止存取裝置上的相機。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取裝置的相機。
Intune 只會管理裝置相機的存取權。 它無法存取圖片或影片。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖 FaceTime: 是 會防止存取 FaceTime 應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取裝置上的 FaceTime 應用程式。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
需要 Siri 不雅內容篩選: [是 ] 會開啟篩選,並防止 Siri 聽寫或說出不雅的語言。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
若要使用此設定,請將 [封鎖 Siri ] 設定設為 [未設定]。
本功能適用於:
- iOS 11.0 及更新版本
封鎖 Siri 中使用者產生的內容: [是 ] 會防止 Siri 存取網站來回答問題。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Siri 從因特網存取用戶產生的內容。
若要使用此設定,請將 [封鎖 Siri ] 設定設為 [未設定]。
封鎖 Apple News: [是 ] 會防止在裝置上存取 Apple News 應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Apple News 應用程式。
封鎖 Apple Books: [是 ] 會防止存取 iBooks 市集。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者從iBooks市集流覽及購買書籍。
封鎖 iMessage: 是 ,防止使用 iMessage 的訊息應用程式。 如果裝置支援簡訊,則使用者仍然可以使用SMS來傳送和接收簡訊。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用訊息應用程式透過因特網傳送和讀取訊息。
封鎖播客: 是 ,防止使用Podcasts應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用Podcasts應用程式。
音樂服務: 是 ,會停用音樂服務,並將音樂應用程式還原為傳統模式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 Apple Music 應用程式。
封鎖 iTunes Radio: [是 ] 會防止使用 iTunes Radio 應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 iTunes Radio 應用程式。
封鎖 iTunes 存放區: 是 ,防止在裝置上使用 iTunes。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 iTunes。
本功能適用於:
- iOS 4.0 和更新版本
- iPadOS 13.0 及更新版本
封鎖尋找我的 iPhone:在 [尋找我的應用程式] 中, [是 ] 會停用/隱藏 [ 裝置 ] 索引標籤。 [是 ] 可能也會防止 AirTags 配對。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 [尋找我的應用程式] 中的 [ 裝置 ] 索引標籤來取得裝置的近似位置。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
封鎖 [尋找朋友]: [是] 會防止在 [尋找我的應用程式] 中使用此功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用此「尋找我的應用程式」功能,從 Apple 裝置或 iCloud.com 尋找家庭及朋友。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
封鎖使用者修改 [尋找朋友] 設定: [是 ] 會防止變更 [尋找朋友] 應用程式設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更尋找朋友應用程式的設定。
封鎖從裝置移除系統應用程式: [是 ] 會防止從裝置移除系統應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者移除系統應用程式。
封鎖Safari: 是 ,防止在裝置上使用Safari瀏覽器。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用 Safari 瀏覽器。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖Safari自動填寫: 是 ,會停用裝置上Safari中的自動填寫功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更網頁瀏覽器中的自動完成設定。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
雲端和記憶體
設定適用於:所有註冊類型
- 強制加密備份: 是 ,需要加密裝置備份。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
- 封鎖受控應用程式將數據儲存在 iCloud 中:[是] 會防止 Intune 管理的應用程式將數據同步至使用者的 iCloud 帳戶。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許此數據同步至 iCloud。
- 封鎖企業書籍的備份: [是 ] 會防止備份企業書籍。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者備份這些書籍。
- 企業書籍的封鎖附註和醒目提示同步處理: 是 ,可防止同步處理企業書籍中的筆記和重點。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許同步處理。
設定適用於:裝置註冊、自動裝置註冊 (受監督)
- 封鎖 iCloud 照片 同步處理:[是] 會防止相片串流同步至 iCloud。 封鎖此功能可能會導致數據遺失。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者在其裝置上啟用 [我的相片 Stream] 以同步至 iCloud,並在所有使用者的裝置上提供相片。
- 封鎖 iCloud 相片庫: [是 ] 會停用使用 iCloud 相片庫在雲端中儲存相片和影片。 未從 iCloud 相片庫完整下載到裝置的任何相片,都會從裝置中移除。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 iCloud 相片庫。
- 封鎖我的相片 Stream:[是] 會停用裝置上的 iCloud 相片共用。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許共用相片串流。
- 封鎖遞交: [是 ] 會防止使用者在iOS/iPadOS裝置上啟動工作,然後在其他iOS/iPadOS 或macOS裝置上繼續工作。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許此遞交。
設定適用於:自動化裝置註冊 (受監督)
封鎖 iCloud 備份: [是 ] 會阻止使用者將裝置備份至 iCloud。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者將裝置備份至 iCloud。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖 iCloud 檔和數據同步處理: [是 ] 會防止 iCloud 同步處理檔和數據。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許將檔和索引鍵/值同步處理到您的 iCloud 儲存空間。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖 iCloud Keychain 同步處理: [是 ] 會停用將儲存在 Keychain 中的認證同步處理至 iCloud。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者同步這些認證。
從 iOS/iPadOS 13.0 開始,此設定需要受監督的裝置。
封鎖 iCloud 私人轉送: [是 ] 會停用 iCloud 私人轉送。 停用時,Apple 不會加密離開裝置的因特網流量。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能,以防止網路和伺服器透過因特網監視用戶的活動。
本功能適用於:
- iOS/iPadOS 15 和更新版本
iCloud Private Relay (開啟 Apple 的網站)
線上的裝置
設定適用於:所有註冊類型
- 強制Apple Watch偵測:[是] 會強制配對的 Apple watch 使用關節偵測。 如有需要,Apple Watch不會在通知未被套用時顯示通知。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
設定適用於:裝置註冊、自動裝置註冊 (受監督)
需要 AirPlay 傳出要求配對密碼: 是 ,使用 AirPlay 將內容串流至其他 Apple 裝置時,需要配對密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用 AirPlay 串流內容,而不需要輸入密碼。
封鎖Apple Watch自動解除鎖定: [是 ] 會防止使用者在遮罩之類的障礙物防止臉部標識符辨識使用者的臉部時,使用Apple Watch將裝置解除鎖定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,如果阻礙導致臉部標識碼無法辨識使用者,OS 可能會允許Apple Watch自動解除鎖定裝置。
本功能適用於:
- iOS/iPadOS 14.5 和更新版本
設定適用於:自動化裝置註冊 (受監督)
封鎖AirDrop: 是 ,防止在裝置上使用AirDrop。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用 AirDrop 功能與附近的裝置交換內容。
封鎖與Apple Watch配對: [是 ] 會防止與Apple Watch配對。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置與Apple Watch配對。
封鎖修改藍牙設定: [是 ] 會阻止使用者變更裝置上的藍牙設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更這些設定。
封鎖與非 Configurator 主機的配對: [是 ] 會防止主機配對。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許主機配對,讓系統管理員控制 iOS/iPadOS 裝置可以配對的裝置。
封鎖 AirPrint: 是 ,防止在裝置上使用 AirPrint 功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用 AirPrint。
- 封鎖在 Keychain 中儲存 AirPrint 認證: [封鎖 ] 會防止在裝置上使用 Keychain 記憶體作為使用者名稱和密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在 Keychain 應用程式中儲存 AirPrint 使用者名稱和密碼。
- 需要 AirPrint 到具有受信任憑證的目的地: [是 ] 會強制裝置使用受信任的憑證進行 TLS 列印通訊。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
- 封鎖 AirPrint 印表機的 iBeacon 探索: [是 ] 可防止惡意 AirPrint 藍牙指針對網路流量進行網路釣魚。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上公告 AirPrint 印表機。
封鎖設定新的鄰近裝置: [是 ] 會停用在附近設定新裝置的提示。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許提示用戶連線到附近的其他 Apple 裝置。
本功能適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
封鎖對檔案應用程式中 USB 磁碟驅動器的存取:裝置可以在 USB 磁碟驅動器上連線和開啟檔案。 是 ,當 USB 連線到裝置時,會防止裝置存取檔案應用程式中的 USB 磁碟驅動器。 封鎖此功能也會封鎖使用者將檔案傳輸到連線到iPad的USB磁碟驅動器。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取檔案應用程式中的 USB 磁碟驅動器。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
停用 NFC) (近距離通訊 : [是 ] 會停用 NFC,並防止裝置與其他已啟用 NFC 的裝置配對。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,可能會允許使用者使用 NFC,並連線到其他已啟用 NFC 的裝置。
本功能適用於:
- iOS 14.2 和更新版本
- iPadOS 14.2 和更新版本
允許使用者使用未配對的裝置將裝置開機進入恢復模式: 是 ,可讓使用者使用未配對的裝置將裝置開機進入恢復模式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者使用未配對的裝置將裝置開機進入恢復模式。
本功能適用於:
- iOS/iPadOS 14.5 和更新版本
網域
設定適用於:裝置註冊和自動化裝置註冊 (受監督的)
未標記的電子郵件網域:將一或多個網域 URL 新增至清單。 當使用者從您輸入的網域以外的網域收到電子郵件時,該電子郵件會在iOS/iPadOS郵件應用程式中標示為不受信任。
受控Safari Web網域:將一或多個Web網域URL新增至清單。 從您輸入的網域下載檔時,它們會被視為受控。 此設定僅適用於使用 Safari 瀏覽器下載的檔案。
設定適用於:自動化裝置註冊 (受監督)
Safari 密碼網域:將一或多個網域 URL 新增至清單。 使用者只能從此清單中的URL儲存Web密碼。 此設定僅適用於 Safari 瀏覽器,以及受監督模式的裝置。 如果您未輸入任何 URL,則可以從所有網站儲存密碼。
本功能適用於:
- iOS 9.3 和更新版本
- iPadOS 13.0 及更新版本
一般
設定適用於:所有註冊類型
封鎖將診斷和使用方式數據傳送至 Apple: [是 ] 會防止裝置將診斷和使用方式數據傳送至 Apple。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許傳送此數據。
封鎖螢幕快照和螢幕錄製: [是 ] 會防止在裝置上擷取螢幕快照或螢幕快照。 在 iOS/iPadOS 9.0 和更新版本中,它也會封鎖螢幕錄製。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者將螢幕內容擷取為影像或視訊。
設定適用於:裝置註冊和自動化裝置註冊 (受監督的)
封鎖未受信任的 TLS 憑證: [是 ] 可防止裝置上的未受信任傳輸層安全性 (TLS) 憑證。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許TLS 憑證。
封鎖無線 PKI 更新: [是 ] 會防止您的使用者接收軟體更新,除非裝置連線到計算機。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置接收軟體更新,而不需要連線到計算機。
強制限制廣告追蹤: [是 ] 會停用裝置廣告標識符。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會保持啟用狀態。
封鎖信任新的企業應用程式作者:[是] 會移除裝置上 [設定>一般>配置檔 & 裝置管理 中的 [信任企業開發人員] 按鈕。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者選擇信任未從應用程式市集下載的應用程式。
封鎖應用程式剪輯: 是 會封鎖受管理裝置上的應用程式剪輯。 具體而言,將 設定為 [是]:
- 防止使用者在裝置上新增應用程式剪輯。
- 拿掉裝置上的現有應用程式剪輯。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上新增和移除應用程式剪輯。
本功能適用於:
- iOS 14.0 和更新版本
- iPadOS 14.0 和更新版本
限制 Apple 個人化廣告:[是] 會限制 Apple 在 App Store、Apple News 和股票應用程式中的個人化廣告。 在裝置上,[設定隱私>權>] Apple Advertising 會關閉。 此設定只會影響這些應用程式中的個人化廣告。 它不會影響非個人化的廣告,而且可能不會減少廣告。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟個人化廣告。
如需 Apple 原則的詳細資訊,請 參閱 Apple Advertising & Privacy (開啟 Apple 的網站) 。
本功能適用於:
- iOS 14.0 和更新版本
- iPadOS 14.0 和更新版本
設定適用於:自動化裝置註冊 (受監督)
封鎖修改診斷設定: [是 ] 會防止使用者變更 [診斷] 和 [ 使用方式 ] (裝置設定) 中的診斷提交和應用程式分析設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更這些裝置設定。
若要使用此設定,請將 [封鎖傳送診斷和使用方式數據至 Apple ] 設定設為 [未設定]。
本功能適用於:
- iOS 9.3.2 和更新版本
- iPadOS 13.0 及更新版本
封鎖遠端 AirPlay、依教室應用程式檢視畫面,以及畫面共用: [是 ] 會防止 Classroom 應用程式從遠端檢視裝置上的畫面。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許Apple Classroom 應用程式檢視畫面。
若要使用此設定,請將 [封鎖螢幕快照] 和 [屏幕錄製] 設定設為 [未設定]。
本功能適用於:
- iOS 9.3 - iOS 12.x:需要受監督的裝置
- iOS 13.0 和更新版本:不需要受監督的裝置
- iPadOS 13.0 和更新版本:裝置必須使用裝置註冊或自動裝置註冊 (ADE)
允許 Classroom 應用程式在不提示的情況下執行 AirPlay 和檢視畫面: [是 ] 可讓教師在學生不知道的情況下,使用 Classroom 應用程式以無訊息方式觀察學生的 iOS/iPadOS 畫面。 使用 Classroom 應用程式在班級中註冊的學生裝置,會自動將許可權授與該課程的教師。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止這項功能。
若要使用此設定,請將 [封鎖螢幕快照] 和 [屏幕錄製] 設定設為 [未設定]。
封鎖帳戶設定的修改: [是 ] 會防止使用者從iOS/iPadOS 設定應用程式更新裝置特定設定。 例如,用戶無法建立新的裝置帳戶,或變更使用者名稱或密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更這些設定。
此功能也適用於 iOS/iPadOS 設定應用程式中的設定,例如郵件、連絡人、行事曆、Twitter 等等。 此功能不適用於帳戶設定無法在iOS/iPadOS 設定應用程式中設定的應用程式,例如 Microsoft Outlook 應用程式。
封鎖螢幕時間: [是 ] 會防止使用者在屏幕時間 (裝置設定) 中設定自己的限制。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者 (設定裝置限制,例如父控件或內容,以及裝置上的隱私權限制) 。
此設定已從 裝置設定中的 [啟用限制] 重新命名。 這項變更的影響:
- iOS 11.4.1 和更舊版本: [是 ] 會防止使用者在裝置設定中設定自己的限制。 行為相同;而且用戶沒有變更。
- iOS 12.0 和更新版本: [是 ] 會防止使用者在裝置設定中設定自己的 螢幕時間 (設定 > 一般 > 螢幕時間) ,包括內容和隱私權限制。 升級至 iOS 12.0 的裝置將不再看到裝置設定中的限制索引標籤, (> 設定一般 > 裝置管理 > 管理配置檔>限制) 。 這些設定位於 屏幕時間。
封鎖清除所有內容和設定的使用: [是 ] 會防止在裝置上使用 [清除所有內容和設定] 選項。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者存取這些設定。
封鎖修改裝置名稱: [是 ] 會防止在本機變更裝置名稱。 當設定為 [是] 時,您可以使用遠端裝置動作從遠端重新命名裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更裝置的名稱。
封鎖修改通知設定: [是 ] 會防止變更通知設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更裝置通知設定。
封鎖修改桌布: [是 ] 會防止變更桌布。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更裝置上的桌布。
封鎖組態配置檔變更: [是 ] 會防止裝置上的組態配置文件變更。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者安裝組態配置檔。
允許啟用鎖定: 是 ,可在受監督的 iOS/iPadOS 裝置上啟用啟用鎖定。 啟用鎖定會讓遺失或遭竊的裝置更難重新啟用。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
封鎖移除應用程式: [是 ] 會防止移除應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者從裝置移除應用程式。
在裝置鎖定時允許USB配件: 是 ,可讓USB配件與鎖定超過一小時的裝置交換數據。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會更新裝置上的 USB 限制模式,而且如果鎖定超過一小時,USB 配件會遭到封鎖而無法從裝置傳輸數據。
本功能適用於:
- iOS/iPadOS 11.4.1 和更新版本
強制自動日期和時間: [是 ] 會強制受監督的裝置自動設定 [日期 & 時間]。 當裝置有行動數據連線或已啟用位置服務的 Wi-Fi 時,裝置的時區會更新。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。
需要教師許可權才能離開 Classroom 應用程式非受控課程: [是 ] 會強制學生使用 Classroom 應用程式在 Unmanaged 課程中註冊,以向教師要求離開課程的許可權。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會強制學生要求許可權。
本功能適用於:
- iOS 11.3 和更新版本
- iPadOS 13.0 及更新版本
允許 Classroom 鎖定應用程式,並在不提示的情況下鎖定裝置: [是 ] 可讓老師使用 Classroom 應用程式鎖定應用程式或鎖定裝置,而不需要提示學生。 鎖定應用程式表示裝置只能存取教師指定的應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止教師使用 Classroom 應用程式鎖定應用程式或裝置,而不會提示學生。
本功能適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
允許學生自動加入 Classroom 課程而不提示: [是 ] 會自動允許學生加入教室應用程式中的班級,而不需要提示老師。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會提示老師學生想要加入教室應用程式中的班級。
本功能適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
封鎖 VPN 建立: [是 ] 會防止使用者建立 VPN 組態設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓用戶在裝置上建立 VPN。
封鎖修改 eSIM 設定: [是 ] 會防止移除行動裝置上的 eSIM 或將行動數據計劃新增至 eSIM。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更這些設定。
本功能適用於:
- iOS 12.1 和更新版本
- iPadOS 13.0 及更新版本
延遲軟體更新: 啟用 可讓您在裝置上顯示軟體更新時延遲 1-90 天。 此設定無法控制更新何時安裝或未安裝。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當 Apple 發行軟體更新時,OS 可能會在裝置上顯示軟體更新。 例如,如果 iOS/iPadOS 更新由 Apple 在特定日期發行,則該更新會在發行日期前後自然顯示在裝置上。
軟體更新的延遲可見度:輸入 1-90 天的值。 當延遲到期時,使用者會收到通知,以在觸發延遲時更新為最早可用的OS版本。 請勿 ()
0
天將此值設定為零。例如,如果 iOS 12.a 於 1 月 1 日推出,且 [延遲可見性 ] 設定為 5 天,則 iOS 12.a 不會顯示為使用者裝置上的可用更新。 在發行后 的第六天 ,該更新可供使用,且使用者可以安裝它。
本功能適用於:
- iOS 11.3 和更新版本
- iPadOS 13.0 及更新版本
鍵盤和字典
設定適用於:自動化裝置註冊 (受監督)
封鎖文字定義查閱: [是 ] 會防止醒目提示單字,然後查閱其定義。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取定義查閱功能。
封鎖預測性鍵盤: [是 ] 會防止使用預測性鍵盤來建議使用者可能想要的單字。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
封鎖自動更正: 是 ,防止使用自動更正。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置自動更正拼錯的文字。
封鎖拼字檢查: [是 ] 會防止拼字檢查。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用拼字檢查。
封鎖鍵盤快捷方式: [是 ] 會阻止使用者使用鍵盤快捷方式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上使用鍵盤快捷方式。
封鎖聽寫: [是 ] 會阻止使用者使用語音輸入輸入文字。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用聽寫輸入。
封鎖 QuickPath: 是 ,可防止使用者使用 QuickPath。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用 QuickPath,以允許在裝置的鍵盤上連續輸入。 用戶可以透過在索引鍵之間撥動來輸入 ,以建立單字。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
Kiosk
應用程式鎖定 (會開啟 Apple 的網站) 在 Intune 中稱為 Kiosk 模式。
設定適用於:自動化裝置註冊 (受監督)
要以 kiosk 模式執行的應用程式:選取您想要在 kiosk 模式中執行的應用程式類型。 選項包括:
- 未 ( 預設) 設定:Intune 不會變更或更新此設定。 根據預設,OS 可能不會套用 kiosk 設定。 裝置不會以 kiosk 模式執行。
- 市集應用程式:輸入iTunes App Store 中應用程式的URL。
- Managed 應用程式:選取您先前新增至 Intune 的應用程式。
- 內建應用程式:輸入內建應用程式的套件 組合標識 碼。 若要取得新增至 Intune 的應用程式套件組合識別碼,您可以使用 Intune 系統管理中心。
需要輔助觸控: 是 ,需要裝置上的 [輔助觸控] 輔助功能設定。 這項功能可協助用戶進行可能很難的螢幕手勢。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 kiosk 模式中執行或啟用此功能。
需要反轉色彩: 是 ,需要 [反向色彩] 輔助功能設定,讓視覺障礙的使用者可以變更顯示畫面。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 kiosk 模式中執行或啟用此功能。
需要單聲道音訊: 是 ,需要裝置上的Mono音訊輔助功能設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 kiosk 模式中執行或啟用此功能。
需要語音控制: 是 ,可在裝置上啟用語音控制,並允許使用者使用 Siri 命令完全控制 OS。 用戶無法將它關閉。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用語音控制。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
提示
如果您的組織有可用的 LOB 應用程式,而且在 iOS 13.0 發行時,它們在第 0 天尚未準備好 語音控制 ,則建議您將此設定保留為 [未設定]。
需要 VoiceOver: 是 ,需要 VoiceOver 輔助功能設定才能大聲朗讀螢幕上的文字。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 kiosk 模式中執行或啟用此功能。
需要縮放: 是 ,需要縮放設定,讓使用者可以觸控以放大螢幕。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在 kiosk 模式中執行或啟用此功能。
封鎖自動鎖定: [是 ] 可防止裝置自動鎖定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
封鎖響鈴開關: 是 ,會在裝置上停用響鈴 (靜音) 開關。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
封鎖螢幕旋轉: [是 ] 可防止使用者旋轉裝置時變更螢幕方向。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
封鎖螢幕睡眠按鈕: [是 ] 會停用裝置上的螢幕睡眠喚醒按鈕。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
封鎖觸控: 是 ,會停用裝置上的觸控畫面。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用觸控螢幕。
封鎖音量按鈕: [是 ] 會防止在裝置上使用音量按鈕。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許磁碟區按鈕。
允許輔助觸控控件: 是 ,可讓使用者使用輔助觸控功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用此功能。
允許反轉色彩控件: [是 ] 會反轉色彩變更,讓用戶調整反轉色彩函式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用此功能。
在選取的文字上說話: [是 ] 允許裝置上的 [讀出選取範圍] 輔助功能設定。 這項功能會大聲讀出用戶選取的文字。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用此功能。
允許語音控制: 是 ,可讓用戶變更其裝置上的語音控制狀態。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會封鎖使用者變更其裝置上的語音控制狀態。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
允許 VoiceOver 控制件: [是 ] 允許語音轉換變更,讓使用者更新 VoiceOver 函式,例如在螢幕上大聲朗讀文字的速度。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止語音轉換變更。
允許縮放控制: 是 ,允許使用者變更縮放。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止縮放變更。
注意事項
您必須先使用Apple Configurator 工具或Apple裝置註冊計劃,將裝置置於受監督模式,才能將iOS/iPadOS裝置設定為 kiosk 模式。 請參閱Apple關於使用Apple Configurator 工具的指南。 如果您輸入的 iOS/iPadOS 應用程式是在指派配置檔之後安裝的,則裝置在裝置重新啟動之前不會進入 kiosk 模式。
鎖定的屏幕體驗
設定適用於:所有註冊類型
- 在鎖定畫面中封鎖控制中心存取: [是 ] 會在裝置鎖定時防止存取控制中心應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置鎖定時,OS 可能會允許存取控制中心應用程式。
- 在鎖定畫面中封鎖通知中心存取: [是 ] 會防止在裝置鎖定時存取通知。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取通知,而不會解除鎖定裝置。
- 鎖定畫面中的 [封鎖今天] 檢視: [是 ] 會在裝置鎖定時防止存取 [今日] 檢視。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置鎖定時看到 [今日] 檢視。
設定適用於:裝置註冊、自動裝置註冊 (受監督)
- 在鎖定畫面中封鎖電子貨幣包通知: [是 ] 會在裝置鎖定時防止存取電子貨幣包應用程式。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在裝置鎖定時允許存取電子貨幣包應用程式。
密碼
設定適用於:所有註冊類型
- 需要密碼: 是 ,用戶必須輸入密碼才能存取裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在不輸入密碼的情況下存取裝置。
設定適用於:裝置註冊、自動裝置註冊 (受監督)
重要事項
在用戶註冊的裝置上,如果您設定任何密碼設定,則 [ 簡單密碼 ] 設定會自動設定為 [ 是],並強制執行 6 位數的 PIN。
例如,您可以設定 密碼到期 設定,並將此原則推送至使用者註冊的裝置。 在裝置上,會發生下列情況:
- 系統會忽略 [密碼到期 ] 設定。
- 不允許簡單的密碼,例如
1111
或1234
。 - 強制執行6位數的針腳。
封鎖簡單密碼: 是 會封鎖簡單的密碼,而且需要更複雜的密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許簡單的密碼,例如
0000
和1234
。必要的密碼類型:輸入組織所需的密碼複雜度層級。 選項包括:
- 裝置預設值
- 數值:可以是字母字元,例如 abcdef 和數值字元,例如123456789。
- 英數位元:包含大寫字母、小寫字母和數位字元。
注意事項
選取英數位元可能會影響配對的Apple Watch。 如需詳細資訊,請參閱 設定Apple Watch的密碼限制 (開啟 Apple 的網站) 。
密碼中的非英數位元數目:輸入密碼中必須包含的符號字元數目,例如
#
或@
,從 1 到 4。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。密碼長度下限:輸入密碼必須具有的最小長度,從 4 到 16 個字元。 在用戶註冊的裝置上,輸入長度介於 4 到 6 個字元之間的長度。
注意事項
對於已註冊用戶的裝置,用戶可以設定大於6位數的 PIN。 但是,不會在裝置上強制使用超過6位數。 例如,系統管理員會將最小長度設定為
8
。 在用戶註冊的裝置上,使用者只需要設定6位數的 PIN。 Intune 不會在用戶註冊的裝置上強制 PIN 大於 6 位數。抹除裝置之前登入失敗次數:輸入抹除裝置之前失敗的登入次數,從 2 到 11。 不建議將此值設定為
2
或3
。 通常會輸入錯誤的密碼。 在兩次或三次不正確的密碼嘗試之後,通常會抹除裝置。 建議您至少4
將此值設定為 。iOS/iPadOS 具有可能會影響此設定的內建安全性。 例如,iOS/iPadOS 可能會延遲觸發原則,視登入失敗次數而定。 它也可以考慮重複輸入與一次嘗試相同的密碼。 Apple 的 iOS/iPadOS 安全性指南 (開啟 Apple 的網站) 是不錯的資源,並提供有關密碼的更具體詳細數據。
屏幕鎖定后最多幾分鐘后需要密碼1:輸入用戶必須重新輸入密碼之前,裝置保持閑置的時間長度。 如果您輸入的時間超過裝置上目前設定的時間,則裝置會忽略您輸入的時間。
本功能適用於:
- iOS 8.0+
- iPadOS 13.0+
停止活動最多分鐘數,直到螢幕鎖定1:輸入裝置上允許的閑置分鐘數上限,直到螢幕鎖定為止。
iOS/iPadOS 選項:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 立即:在閑置 30 秒之後鎖定螢幕。
- 1:在閑置 1 分鐘后鎖定螢幕。
- 2:在閑置 2 分鐘后鎖定螢幕。
- 3:在閑置 3 分鐘后鎖定螢幕。
- 4:在閑置 4 分鐘后鎖定螢幕。
- 5:在閑置 5 分鐘后鎖定螢幕。
iPadOS 選項:
- [預設) (未設定:Intune 不會變更或更新此設定。
- 立即:在閑置 2 分鐘后鎖定螢幕。
- 2:在閑置 2 分鐘后鎖定螢幕。
- 5:在閑置 5 分鐘后鎖定螢幕。
- 10:在閑置 10 分鐘后鎖定螢幕。
- 15:在閑置 15 分鐘后鎖定螢幕。
如果值不適用於 iOS 和 iPadOS,則 Apple 會使用最 接近的最低 值。 例如,如果您輸入
4
分鐘數,則 iPadOS 裝置會使用2
分鐘。 如果您輸入10
分鐘數,則 iOS 裝置會使用5
分鐘。 此行為是 Apple 的限制。注意事項
此設定的 Intune UI 不會分隔 iOS 和 iPadOS 支援的值。 未來版本可能會更新UI。
密碼到期 (天) :輸入必須變更裝置密碼的天數,從 1 到 730。
防止重複使用先前的密碼:限制使用者建立先前的密碼。 輸入先前使用的密碼數目,從 1 到 24。 例如,輸入 5,讓使用者無法將新密碼設定為其目前的密碼,或是先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。
封鎖觸控標識碼和臉部標識碼解除鎖定: [是 ] 會防止使用指紋或臉部來解除鎖定裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者使用生物特徵辨識來解除鎖定裝置。
將 設定為 [是 ] 也會防止使用FaceID驗證來解除鎖定裝置。
臉部識別碼適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
設定適用於:自動化裝置註冊 (受監督)
封鎖修改密碼: [是 ] 會阻止變更、新增或移除密碼。 封鎖這項功能之後,受監督裝置上會忽略對密碼限制的變更。 共用 iPad 會忽略此設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許新增、變更或移除密碼。
封鎖修改觸控標識符指紋和臉部標識符臉部: [是 ] 會阻止用戶變更、新增或移除 TouchID 指紋和臉部標識碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者更新裝置上的 TouchID 指紋和臉部標識碼。
封鎖此設定也會阻止用戶變更、新增或移除 FaceID 驗證。
臉部識別碼適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
封鎖密碼自動填寫: 是 ,防止使用自動填入密碼功能。 選擇 [是 ] 也有下列影響:
- 系統不會提示使用者在 Safari 或任何應用程式中使用已儲存的密碼。
- 自動強密碼已停用,且使用者不建議使用強密碼。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這些功能。
封鎖密碼鄰近性要求: [是 ] 會防止裝置向附近的裝置要求密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這些密碼要求。
封鎖密碼共用: 是 ,防止使用AirDrop在裝置之間共享密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許共享密碼。
需要密碼或信用卡資訊自動填寫的觸控標識碼或臉部標識碼驗證: 是 ,會強制使用者使用 TouchID 或 FaceID 進行驗證,才能在 Safari 和其他應用程式中自動填入密碼或信用卡資訊。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置設定中控制這項功能。
本功能適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
1 當您設定 [在屏幕 鎖定之前閑置的最大分鐘 數] 和 [ 需要密碼之前螢幕鎖定后的分鐘數上限 ] 設定時,系統會依序套用這些設定。 例如,如果您將這兩個設定的值設定為 5 分鐘,則畫面會在五分鐘後自動關閉,而裝置會在五分鐘後鎖定。 不過,如果使用者手動關閉螢幕,則會立即套用第二個設定。 在相同的範例中,當使用者關閉屏幕之後,裝置會在五分鐘后鎖定。
受限制的應用程式
設定適用於:裝置註冊和自動化裝置註冊 (受監督的)
受限制的應用程式清單類型:建立不允許使用者安裝或使用的應用程式清單。 選項包括:
- 未設定預設) (:Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取您指派的應用程式和內建應用程式。
- 禁止的應用程式:列出 (不允許使用者安裝和執行的 Intune) 管理的應用程式。 用戶無法安裝禁止的應用程式。 如果使用者從此清單安裝應用程式,則裝置會在受限應用程式的裝置報告中回報 (Intune 系統管理中心>裝置>監視>具有受限制應用程式的裝置) 。
- 核准的應用程式:列出允許使用者安裝的應用程式。 若要保持合規性,使用者不得安裝其他應用程式。 系統會自動允許由 Intune管理的應用程式,包括 公司入口網站 應用程式。 使用者無法安裝不在核准清單上的應用程式。 但如果這麼做,則會在 Intune 中回報。
注意事項
當裝置上有受限制的應用程式時,此設定會報告為「不符合規範」。
若要將應用程式新增至這些清單,您可以:
輸入您想要之應用程式的 iTunes App Store URL。 例如,若要新增Microsoft工作資料夾應用程式,請輸入
https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
或https://apps.apple.com/us/app/work-folders/id950878067?mt=8
。若要尋找應用程式的 URL,請開啟 iTunes App Store,然後搜尋應用程式。 例如,搜尋
Microsoft Remote Desktop
或Microsoft Word
。 選取應用程式,然後複製URL。您也可以使用 iTunes 來尋找應用程式,然後使用 複製連結 工作來取得應用程式 URL。
匯 入 CSV 檔案,其中包含應用程式的詳細數據,包括 URL。
<app url>, <app name>, <app publisher>
使用格式。 或者, 匯 出包含相同格式之受限制應用程式清單的現有清單。
重要事項
使用受限制應用程式設定的裝置配置檔必須指派給使用者群組,而不是裝置群組。
共用的 iPad
本功能適用於:
- iPadOS 13.4 和更新版本
- 共用的 iPad
設定適用於:自動化裝置註冊 (受監督)
封鎖共用 iPad 暫存工作階段:暫時工作階段可讓用戶以來賓身分登入,而且使用者不需要輸入受控 Apple 標識符或密碼。
當設定為 [是] 時:
- 共用的 iPad 使用者無法使用暫時工作階段。
- 用戶必須使用其 Managed Apple ID 和密碼登入裝置。
- [來賓帳戶] 選項不會顯示在裝置的鎖定畫面上。
當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 允許共用 iPad 使用者使用來賓帳戶登入裝置。 當使用者註銷時,用戶的數據都不會儲存或同步至 iCloud。
顯示或隱藏應用程式
本功能適用於:
- iOS 9.3 和更新版本
- iPadOS 13.0 及更新版本
設定適用於:自動化裝置註冊 (受監督)
應用程式清單類型:建立要顯示或隱藏的應用程式清單。 您可以顯示或隱藏內建應用程式和企業營運應用程式。 Apple 的網站有 內建 Apple 應用程式的清單。 選項包括:
未設定 (預設) :Intune 不會變更或更新此設定。
隱藏的應用程式:輸入對用戶隱藏的應用程式清單。 使用者無法檢視或開啟這些應用程式。
Apple 可防止隱藏某些原生應用程式。 例如,您無法隱藏裝置上的 [設定 ] 應用程式。 刪除內建的Apple 應用程式 會列出可隱藏的應用程式。
可見的應用程式:輸入使用者可以檢視和啟動的應用程式清單。 無法檢視或啟動其他應用程式。
應用程式 URL:輸入您想要顯示或隱藏之應用程式的市集應用程式 URL。 例如:
若要新增Microsoft工作資料夾應用程式,請輸入
https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
或https://apps.apple.com/us/app/work-folders/id950878067?mt=8
。若要新增Microsoft Word 應用程式,請輸入
https://itunes.apple.com/de/app/microsoft-word/id586447913
或https://apps.apple.com/de/app/microsoft-word/id586447913
。
若要尋找應用程式的 URL,請開啟 iTunes App Store,然後搜尋應用程式。 例如,搜尋
Microsoft Remote Desktop
或Microsoft Word
。 選取應用程式,然後複製URL。您也可以使用 iTunes 來尋找應用程式,然後使用 複製連結 工作來取得應用程式 URL。
應用程式套件組合標識碼:輸入所要應用程式的應用程式套件 組合標識 碼。 您可以顯示或隱藏內建應用程式和企業營運應用程式。
若要取得應用程式套件組合識別碼:
- Apple 的網站有 內建 Apple 應用程式的清單。
- 針對新增至 Intune 的應用程式,您可以使用 Intune 系統管理中心。
應用程式名稱:輸入您要之應用程式的應用程式名稱。 您可以顯示或隱藏內建應用程式和企業營運應用程式。 Apple 的網站有 內建 Apple 應用程式的清單。
發行者:輸入您想要之應用程式的發行者。
您也可以:
匯 入 CSV 檔案,其中包含應用程式的詳細數據,包括 URL。
<app url>, <app name>, <app publisher>
使用格式。 或者, 匯 出以建立您新增的受限制應用程式清單,格式相同。提示
您可以下載Apple 應用程式套件組合標識碼 CSV 來匯入預安裝的Apple 應用程式清單, (開啟Microsoft GitHub 網站) 。
無線電
設定適用於:裝置註冊和自動化裝置註冊 (受監督的)
封鎖數據漫遊: 是 ,可防止透過行動數據網路進行數據漫遊。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置在行動數據網路上時,OS 可能會允許數據漫遊。
重要事項
此設定會被視為遠端裝置動作。 因此,此設定不會顯示在裝置上的管理配置檔中。 每次裝置上的數據漫遊狀態變更時,Intune 服務都會封鎖數據漫遊。 在 Intune 中,如果報告狀態顯示成功,則知道其運作正常,即使裝置上的管理配置檔中未顯示此設定也一般。
漫遊時封鎖全域背景擷取: 是 ,防止在透過行動數據網路漫遊時使用全域背景擷取功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置在行動數據網路上漫遊時擷取數據,例如電子郵件。
在裝置鎖定時封鎖語音撥號: [是 ] 會防止在裝置上使用語音撥號功能。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在裝置上進行語音撥號。
封鎖語音漫遊: 是 ,可防止透過行動電話網路進行語音漫遊。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當裝置在行動電話網路上時,OS 可能會允許語音漫遊。
封鎖個人熱點: 是 ,關閉裝置上具有每個裝置同步處理的個人熱點。此設定可能與某些貨運公司不相容。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會將個人熱點設定保留為用戶設定的預設值。
重要事項
此設定會被視為遠端裝置動作。 因此,此設定不會顯示在裝置上的管理配置檔中。 每次裝置上的個人熱點狀態變更時,Intune 服務都會封鎖個人熱點。 在 Intune 中,如果報告狀態顯示成功,則知道其運作正常,即使裝置上的管理配置檔中未顯示此設定也一般。
僅) 受控應用程式 (行動數據使用規則 : [允許 ] 會定義受控應用程式在行動數據網路上時可以使用的數據類型。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 選項包括:
-
封鎖行動資料的使用:選擇無法使用行動資料的應用程式。 選項包括:
- 未設定:Intune 不會變更或更新此設定。
- 所有 Managed 應用程式
- 選擇特定應用程式: 新增 應用程式套件組合標識碼、應用程式名稱和發行者。
-
漫遊時封鎖行動數據的使用:選擇漫遊時無法使用行動數據的應用程式。 選項包括:
- 未設定:Intune 不會變更或更新此設定。
- 所有 Managed 應用程式
- 選擇特定應用程式: 新增 應用程式套件組合標識碼、應用程式名稱和發行者。
-
封鎖行動資料的使用:選擇無法使用行動資料的應用程式。 選項包括:
設定適用於:自動化裝置註冊 (受監督)
封鎖對應用程式行動數據使用量設定的變更: [是 ] 會防止變更應用程式行動數據使用量設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者控制哪些應用程式可以使用行動數據。
封鎖行動數據計劃設定的變更: [是 ] 會防止變更行動數據計劃中的任何設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者進行變更。
本功能適用於:
- iOS 11.0 及更新版本
- iPadOS 13.0 及更新版本
封鎖個人熱點的修改: [是 ] 可防止變更個人熱點設定。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者啟用或停用其個人熱點。
如果您將此設定和 [封鎖個人熱點 ] 設定設為 [是],則會關閉個人熱點。
本功能適用於:
- iOS 12.2 和更新版本
- iPadOS 13.0 及更新版本
只需要使用組態配置檔來加入 Wi-Fi 網路:是,會強制裝置只使用透過 Intune 組態配置檔設定的 Wi-Fi 網路。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置使用其他 Wi-Fi 網路。
此設定適用於 iOS/iPadOS 14.4 和較舊的裝置。 在 iOS/iPadOS 14.5 和更新的裝置上,使用 [ 需要裝置使用透過組態設定檔設定的 Wi-Fi 網络 ] 設定。
當設定為 [是] 時,請確定裝置具有 Wi-Fi 配置檔。 如果您未指派 Wi-Fi 配置檔,則此設定可防止裝置連線到因特網。 例如,如果在 Wi-Fi 配置檔之前指派此裝置限制配置檔,則裝置可能會遭到封鎖而無法連線到因特網。
如果裝置無法連線,請取消註冊裝置,然後使用 Wi-Fi 配置檔重新註冊。 然後,在裝置限制配置檔中,將此設定設定為 [是 ],並將配置檔指派給裝置。
本功能適用於:
- iOS/iPadOS 14.4 和更舊版本
需要 Wi-Fi 一律開啟: 是 ,請在 [設定] 應用程式中保持 Wi-Fi。 即使在裝置處於飛航模式時,也無法在 [設定] 或 [控制中心] 中關閉它。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者開啟或關閉Wi-Fi。
設定此設定並不會防止用戶選取 Wi-Fi 網路。
本功能適用於:
- iOS 13.0 和更新版本
- iPadOS 13.0 及更新版本
需要裝置使用透過組態配置檔設定的 Wi-Fi 網络: [是 ] 會強制裝置使用透過組態配置檔設定的 Wi-Fi 網络。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置使用其他 Wi-Fi 網路。
在 iOS/iPadOS 14.5 和更新的裝置上,使用此設定。 請勿使用 [需要只使用組態配置文件聯結 Wi-Fi 網络 ] 設定。
當設定為 [是] 時,請確定裝置具有 Wi-Fi 配置檔。 如果您未指派 Wi-Fi 配置檔,則此設定可防止裝置連線到因特網。 例如,如果在 Wi-Fi 配置檔之前指派此裝置限制配置檔,則裝置可能會遭到封鎖而無法連線到因特網。
如果裝置無法連線,請取消註冊裝置,然後使用 Wi-Fi 配置檔重新註冊。 然後,在裝置限制配置檔中,將此設定設定為 [是 ],並將配置檔指派給裝置。
注意事項
要求裝置使用透過組態配置檔設定的 Wi-Fi 網路 ,不支援 Wi-Fi 使用 自定義配置檔部署的配置檔。
本功能適用於:
- iOS/iPadOS 14.5 和更新版本
後續步驟
您也可以限制 macOS 裝置上的裝置功能和設定。