将受管理的 App 分发到 Apple 设备
根据组织的不同,你可能需要控制如何将 App 分发到连接内部资源的用户,以及如何在用户离开组织时处理数据安全问题。你可使用移动设备管理 (MDM) 解决方案以无线方式分发免费、付费以及自定义 App,并管理数据流,从而在组织安全性和用户个性化之间取得适当平衡。
受管理的 App
使用 MDM 安装的 App 称为受管理的 App。它们通常包含敏感性信息,并且相对于由用户下载的 App 来说,你对受管理的 App 具有更多的控制权。
受管理的 App 可由 MDM 解决方案从设备上远程移除,或在用户从 MDM 移除设备时移除。在 iPhone、iPad 和 Apple Vision Pro 上,移除 App 会同时移除数据容器中其关联的数据。如果 App 许可证被 iPhone、iPad 和 Apple Vision Pro 上的 MDM 撤销且未移除,该 App 在设备上仍可使用 30 天。如果 App 开发者执行回执检查,该 App 可能提前停用。在 Mac 上,App 仍保持可用直至回执检查发生。
App 停用后将无法再启动并会通知用户,但该 App 仍保留在设备上且其数据也会保留。用户购买副本后,才能再次使用 App。
受管理的 App 的访问限制和功能
受管理的 App 可拥有以下 MDM 功能和访问限制,由此提供更强的安全性和更好的用户体验:
从 MDM 取消注册:指定当用户从 MDM 取消注册时,是否在设备上保留受管理的 App 及其数据。
转换 App:将未受管理的 App 转换为受管理的 App。
如果设备被监督且转换由 MDM 解决方案请求,那么将未受管理的 App 转换为受管理的 App 无须用户交互。如果设备未被监督,用户必须正式接受管理。用户注册到 MDM 方式不支持 App 转换。
App 版本更新:定期检查 App Store 中所发布 App 的最新版本,然后将安装 App 命令发送到设备以更新 App。此检查操作也应用于自定义 App。通过 MDM 安装和管理且分配到设备的 App 必须由 MDM 更新;App Store 中不会向用户显示 App 更新通知。
允许 Tap to Pay (iOS):对于运行 iOS 16.4 或更高版本的设备,在前台运行的支付 App 可被标记为在 Tap to Pay 交易期间安全使用。设定时,将设备交由客户输入卡片 PIN 码进行每次交易后,需要用户通过面容 ID、触控 ID 或密码来解锁其设备。
使用“被管理的打开方式”访问限制(iOS、iPadOS):你可以从三种功能中选取一种来保护你组织的 App 数据:
允许被管理的目的位置中包含来自未被管理的来源中的文稿。实施此访问限制可帮助防止用户的个人来源和账户打开组织内部被管理的目的位置中的文稿。例如,此访问限制可防止用户在组织的 PDF App 中打开随机网页的 PDF。
允许未被管理的目的位置中包含来自被管理的来源中的文稿。实施此访问限制可帮助防止组织内部被管理的来源和账户打开用户个人目的位置中的文稿。这可防止用户使用任何个人 App 打开组织内部被管理的电子邮件账户中的机密电子邮件附件。
被管理的粘贴板。对于运行 iOS 15 和 iPadOS 15 或更高版本的设备,此访问限制有助于控制在受管理的目的位置和未受管理的目的位置之间粘贴内容。实施以上访问限制时,粘贴内容被设计为遵循第三方或第一方 App(如“日历”、“文件”、“邮件”和“备忘录”)之间的“被管理的打开方式”边界。当使用此访问限制且内容超过被管理的边界时,App 也不能从粘贴板请求项目。对于运行 iOS 16 和 iPadOS 16.1 或更高版本的设备,受管理的域也包括在此边界内。
将 App 标记为不可移除(iOS、iPadOS):对于运行 iOS 14 和 iPadOS 14 或更高版本的设备,你可以将受管理的 App 标记为不可移除。以前管理员必须完全锁定主屏幕并阻止删除所有 App,这限制了用户管理自己 App 的能力。用户可继续重新排列其 App、安装新 App 以及删除已安装的其他 App。管理员可将对执行任务至关重要的受管理的 App 标记为不可移除。用户尝试删除或卸载受管理的 App 时,该过程会被阻止并显示提醒。不可移除的受管理的 App 确保了组织中用户的设备上始终有所需的 App。
阻止受管理的 App 备份数据 (macOS):你可以帮助阻止受管理的 App 将数据备份到“访达”(macOS 10.15 或更高版本)、iTunes(macOS 10.14 或更低版本)或者 iCloud。如果禁止备份,通过 MDM 解决方案移除的 App 被用户重新安装后,用户不能恢复受管理的 App 的数据。
使用 App 配置设置:App 开发者可标识出配置设置,这些设置可在 App 安装为受管理的 App 之前或之后进行设定。例如,开发者可以指定一个 SkipIntro 设置,让 App 作为受管理的 App 时跳过介绍屏幕。
使用可被 MDM 读取的 App 反馈设置:App 开发者可标识出 App 设置,这些设置可使用 MDM 读取。例如,开发者可以指定一个
DidFinishSetup键,MDM 解决方案通过查询此键来确定 App 是否已启动和设置。从 Safari 浏览器下载受管理的文稿:如果 Safari 浏览器中的下载项源自受管理的域,那么该下载项视为受管理的文稿。例如,用户从受管理的域下载了 PDF,那么该 PDF 需要符合所有受管理的文稿设置。有关更多信息,请参阅被管理的域示例。
阻止受管理的 App 将数据储存在 iCloud 中:用户在未受管理的 App 中创建的数据仍可储存在 iCloud 中。
【注】某些选项并非在所有 MDM 解决方案中都可用。若要了解哪些 MDM 选项适用于你的设备,请参阅 MDM 供应商文稿。
受管理的图书
你还可以使用 MDM 解决方案来分发自己创建的受管理的图书、EPUB 图书和 PDF。
由 MDM 分发的 EPUB 图书和 PDF 与其他受管理的文稿具有相同的属性,它们可在需要时更新为较新版本、只能使用其他受管理的 App 共享,或使用管理式账户通过电子邮件发送。MDM 解决方案还能够防止备份受管理的图书。这些图书已分配给用户,但它们只会出现在使用 MDM 分配给用户的 iPhone 和 iPad 设备上。
【注】Apple Vision Pro 上不支持受管理的图书。
限制第三方键盘
iOS 和 iPadOS 支持可应用到第三方键盘扩展上的“被管理的打开方式”规则。这些规则可防止未受管理的键盘出现在受管理的 App 中。