为 iOS 设备应用设置

支持这些功能的版本（除非另有说明）：“Frontline Starter”和“Frontline Standard”；商务新手版、商务标准版和商务 Plus 版；企业标准版和企业 Plus 版；教育基础版、教育标准版、教与学升级版、教育 Plus 版和教育端点管理升级；Essentials、Enterprise Essentials和Enterprise Essentials Plus；G Suite 基本版和 G Suite 商务版；Cloud Identity 免费版和 Cloud Identity 专业版。比较您的版本

作为管理员，您可以决定用户在受管理的 iPhone 和 iPad 上使用工作账号的方式。例如，您可以禁止将受管理应用中的数据复制到不受管理的应用（数据保护）、停用某些应用，以及控制哪些工作数据可以同步到设备内置的 iOS 应用。

查找设置

准备工作：如果您需要为此设置设定部门或团队，请参阅添加组织部门。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标设备移动设备和端点设置iOS。
点击一个设置类别和一项设置。请参阅下文了解这些设置。
（可选）要将设置应用于某个部门或团队，请在侧边选择一个组织部门。显示具体方法
启用或停用该设置。
点击保存。或者，您也可以针对组织部门点击覆盖。
如果之后要恢复继承的值，请点击继承。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

iOS 设置索引

基本移动设备管理

数据保护适用于那些使用基本或高级移动设备管理功能的设备。

高级移动设备管理

支持此功能的版本：“Frontline Starter”和“Frontline Standard”；商务 Plus 版；企业标准版和企业 Plus 版；教育标准版、教育 Plus 版和教育端点管理升级；“Enterprise Essentials”和“Enterprise Essentials Plus”；G Suite 基本版和 G Suite 商务版；Cloud Identity 专业版。 比较您的版本

要使用这些设置，请为 iOS 设备设置高级移动设备管理。

部分设置仅适用于受监管的公司自有设备：

所有使用高级管理功能的 iOS 设备	仅限受监管的公司自有 iOS 设备
Apple 证书 - 设置 Google 端点管理功能与 Apple 服务之间的集成。 Apple 批量购买计划 (VPP) - 设置 Apple VPP 以分发和管理 iOS 应用。账号配置 - 允许用户将 Google Workspace 或 Cloud Identity 数据同步到内置 iOS 应用。注册 - 控制 iOS 设备在组织中的注册方式。锁定屏幕 - 控制设备锁定时屏幕上显示的信息。数据共享 - 控制在应用之间共享文件和内容的方式。备份和 iCloud 同步 - 限制用户使用 iCloud 进行数据同步和备份的方式。照片 - 限制在 iCloud 中同步和存储照片。高级安全设置 - 限制使用屏幕截图、Siri、Apple Watch 同步以及接力。 Safari - 控制对 Safari 功能的访问权限。设备功能 - 控制诊断报告。	公司自有 iOS 设备设置 - 控制公司自有 iOS 设备的注册方式以及显示的初始设置页面。设备功能 - 限制用户对设备进行个性化设置的方式以及使用某些功能的方式（例如隔空投送、屏幕使用时间和恢复出厂设置）。网络 - 限制用户可以更改的移动数据网络、蓝牙、eSIM、个人热点、VPN 和 Wi-Fi 设置。应用和服务 - 限制应用的安装、移除以及对设置的更改。 Apple 应用 - 限制使用包括 FaceTime 通话、iMessage 信息、Game Center 和播客在内的 iOS 应用，以及限制对 iTunes 和 Apple Books 中露骨内容的访问。身份验证 - 控制用户可以修改哪些身份验证方法，以及控制密码分享和自动填充。连接 - 限制配对和打印。键盘和词典 - 限制使用拼写检查、自动改正、QuickPath 和查询功能。

所有使用高级管理功能的 iOS 设备

仅限受监管的公司自有 iOS 设备

Apple 证书 - 设置 Google 端点管理功能与 Apple 服务之间的集成。
Apple 批量购买计划 (VPP) - 设置 Apple VPP 以分发和管理 iOS 应用。
账号配置 - 允许用户将 Google Workspace 或 Cloud Identity 数据同步到内置 iOS 应用。
注册 - 控制 iOS 设备在组织中的注册方式。
锁定屏幕 - 控制设备锁定时屏幕上显示的信息。
数据共享 - 控制在应用之间共享文件和内容的方式。
备份和 iCloud 同步 - 限制用户使用 iCloud 进行数据同步和备份的方式。
照片 - 限制在 iCloud 中同步和存储照片。
高级安全设置 - 限制使用屏幕截图、Siri、Apple Watch 同步以及接力。
Safari - 控制对 Safari 功能的访问权限。
设备功能 - 控制诊断报告。

公司自有 iOS 设备设置 - 控制公司自有 iOS 设备的注册方式以及显示的初始设置页面。
设备功能 - 限制用户对设备进行个性化设置的方式以及使用某些功能的方式（例如隔空投送、屏幕使用时间和恢复出厂设置）。
网络 - 限制用户可以更改的移动数据网络、蓝牙、eSIM、个人热点、VPN 和 Wi-Fi 设置。
应用和服务 - 限制应用的安装、移除以及对设置的更改。
Apple 应用 - 限制使用包括 FaceTime 通话、iMessage 信息、Game Center 和播客在内的 iOS 应用，以及限制对 iTunes 和 Apple Books 中露骨内容的访问。
身份验证 - 控制用户可以修改哪些身份验证方法，以及控制密码分享和自动填充。
连接 - 限制配对和打印。
键盘和词典 - 限制使用拼写检查、自动改正、QuickPath 和查询功能。

全部展开 | 全部收起

Apple 证书

Apple 推送通知服务

创建并管理组织的 Apple Push Certificate。首次设置 Google 端点管理时，您需要设置 Apple Push Certificate。证书即将到期时，您可以续订现有证书。

请尽早续订证书，以免您的 iOS 用户需要重新注册设备。您无法续用已过期的证书。

Apple 设备注册

关联组织的 Apple 商务管理或 Apple 校园教务管理账号，以便管理公司自有的 iOS 设备。您可以了解如何设置公司自有 iOS 设备管理服务。移动设备管理 (MDM) 服务器令牌即将到期时，您可以续订该令牌。

Apple 批量购买计划 (VPP)

Apple VPP 设置

您可批量购买应用，并将其分发到组织中的 iOS 设备。您需将 Apple 商务管理或 Apple 校园教务管理与您的 Google Workspace 或 Cloud Identity 账号相关联。您可以购买应用许可，并使用内容令牌将其与您的账号同步。有关详情，请参阅通过 Apple VPP 分发 iOS 应用。

账号配置（仅限 Google Workspace）

打开此部分 | 全部收起并转至页首

Google 账号 - 自动推送配置

启用自定义推送配置后，此设置将无法使用。

自动将用户的 Google Workspace 电子邮件、日历和联系人同步到其设备上对应的内置 iOS 应用。勾选推送 Google 账号配置对应的复选框后，可实现以下功能：

将 Google Workspace 电子邮件与 Apple“邮件”应用同步。
将 Google Workspace 日历活动与 Apple“日历”应用同步。
将 Google Workspace 联系人与 Apple“通讯录”应用同步。
允许用户在 iOS“通讯录”应用中搜索您单位的目录。

用户可以在 Google 移动应用（推荐）或 iOS 应用中查看电子邮件和日历活动。有关详情，请参阅注册我的 iOS 设备。

如果您不希望用户在 Apple“邮件”应用中访问自己的邮件，请停用 IMAP 访问。日历活动和联系人仍然会同步到 iOS 应用。有关详情，请参阅启用和停用 POP 和 IMAP 访问权限。如果您停用了 IMAP 访问权限，请告知用户他们无法再将 Google Workspace 邮件同步到 Apple“邮件”应用，因为他们可能不会在设备上收到相应通知。此外，当 IMAP 处于停用状态时，如果用户尝试使用其 Google 账号登录 Apple 的“邮件”应用，则登录会失败且无任何提示。

如果您启用了 Google 账号设置，则使用已注册管理服务的设备的用户会收到通知，要求他们为自己的 Google Workspace 账号添加密码。用户可以通过 Google 移动应用（例如 Google Device Policy 应用）登录自己的 Google Workspace 账号，从而注册新设备。

Google Workspace 电子邮件、日历和联系人均可通过设备进行管理。因此，如果您屏蔽设备或移除账号，用户的 Google Workspace 电子邮件、日历活动和联系人也会从设备上移除，而且会停止同步。

自定义推送配置 - CalDAV

选择自动推送配置后，此设置将无法使用。

启用此设置后，系统会自动将 Google 日历同步到用户设备的 iOS“日历”应用中。

如果您决定使用该设置，Google Workspace 日历活动将无法完全通过设备进行管理。如果您远程擦除设备或账号，Google Workspace 日历活动就会停止同步，而且所有现有活动都会从设备上移除。但是，如果您屏蔽设备，或者设备处于待审批状态，那么日历活动仍会同步到设备，而且现有活动也会保留在设备上。

您启用此设置后，用户需要生成并输入应用专用密码，而不是使用自己的 Google Workspace 密码。然后，Google Workspace 活动会同步到 iOS“日历”应用中。用户可以关闭此同步功能。有关详情，请参阅注册我的 iOS 设备。

您停用 CalDAV 设置后，用户仍然可以手动添加他们的日历。

自定义推送配置 - CardDAV

如果 Google 账号设置处于启用状态，此设置将无法使用。

启用此设置后，系统会自动将 Google 通讯录同步到用户设备的 iOS“通讯录”应用中。通过此设置，用户还可以在 iOS 通讯录应用中搜索贵组织的目录。

如果您决定使用此设置，Google Workspace 联系人将无法完全通过设备进行管理。如果您远程擦除设备或账号，用户的联系人就会停止同步，而且现有联系人也会从设备上移除。但是，如果您屏蔽设备，或者设备处于待审批状态，那么联系人仍然会同步到设备。

您启用 CardDAV 设置后，用户需要生成并输入应用专用密码，而不是使用自己的 Google Workspace 密码。然后，Google Workspace 联系人就会同步到 iOS“通讯录”应用。用户可以关闭此同步功能。有关详情，请参阅注册我的 iOS 设备。

如果您仅与应用和 API 共享已公开的目录数据，那么用户将无法搜索您组织的目录。有关详情，请参阅允许第三方应用访问目录数据。

如果您停用 CardDAV 设置，用户仍然可以手动添加联系人。

注册

注册类型

控制您是管理用户个人 iOS 设备上的所有数据，还是仅管理工作数据：

请选择一个选项：

设备注册 -（默认）贵组织拥有对设备的完全控制权，包括擦除设备中的所有数据。您可以查看设备上的工作应用清单，并要求用户设置安全系数高的设备密码。
用户注册 - 将 iOS 设备上的工作数据和个人数据分开，这样您就可以完全控制设备上的工作数据，而用户则可以保持其个人数据的私密性。如果您想将此设置仅应用于新设备，请勾选允许现有用户注册设备复选框。
用户选择 -（仅限新设备注册）让用户在向设备添加工作账号时选择注册类型。

有关详情，请参阅将 iOS 设备上的工作数据和个人数据分开。

锁定屏幕

打开此部分 | 全部收起并转至页首

控制中心

允许用户在设备处于锁定状态时访问和更改控制中心中的设置。用户只需滑动屏幕，便可通过控制中心访问相关设置和应用（例如 Wi-Fi、Apple 隔空投送和相机）。

要禁止在锁定屏幕上访问控制中心，请取消选中允许在锁定屏幕上显示“控制中心”对应的复选框。

通知视图

允许用户在锁定的设备上打开通知中心。用户只需在屏幕上从上向下滑动，便可通过通知中心查看近期提醒（例如日历活动或未接电话）。

要禁止用户在锁定的设备上打开通知中心，请取消选中允许在锁定屏幕上显示“通知”视图对应的复选框。不过，用户仍然可以看到收到的新通知。

“今天”视图

允许用户在设备处于锁定状态时查看“今天”视图。用户只需在屏幕上从左向右滑动便可打开“今天”视图，该视图会显示今天的摘要信息。这些信息可能包含敏感的日历活动名称和电子邮件主题行。

要禁止在锁定屏幕上显示“今天”视图，请取消选中允许在锁定屏幕上显示“今天”视图对应的复选框。

数据共享

如要使用其中大部分设置，您必须为 iOS 设备设置高级移动设备管理功能。不过，您无需设置高级移动设备管理功能就可以使用数据操作设置。

打开此部分 | 全部收起并转至页首

数据操作

支持此功能的版本：Frontline Standard；企业标准版和企业 Plus 版；教育标准版、教育 Plus 版和教育端点管理升级；Cloud Identity 专业版。 比较您的版本

允许用户在 iOS 设备上与组织外部人员共享 Google Workspace 数据。开启此功能后，您可以使用数据渗漏防护设置来防止意外数据泄露。不过，这些设置无法防范所有可能的数据渗漏方法（例如通过 Apple 看图查询功能进行复制、进行屏幕截图或使用翻译扩展程序）。如要防止用户对外共享 Google Workspace 数据，请选择不允许用户执行对外共享 Google Workspace 数据的操作。

重要提示：某些文件可能会在非 Google Workspace 应用中打开，因此不受数据保护的约束。

如需了解详情，请参阅防止 iOS 设备上意外发生数据泄露。

信任应用开发者

允许用户信任并非通过 Apple App Store 或 Google Device Policy 应用安装的企业应用。

如果您允许用户信任未知来源的应用（已勾选对应的复选框），则当用户首次打开来自未知来源的应用时，会在设备上收到该应用的开发者不可信的通知。用户可以在设备设置中将应用开发者设为“受信任”。如果用户信任开发者，他们就可以安装同一开发者的其他应用，并立即打开这些应用。

要禁止用户信任应用开发者，请取消选中允许用户信任新的企业应用开发者。如果您取消选中该复选框，则在该设置应用到设备前，用户信任的任何应用开发者仍会保持受信任状态。用户可以安装并打开同一开发者开发的更多应用。

在非受管应用中打开文档

通过此设置，用户可以在非受管应用中使用不受管理的账号打开工作文件和链接，还可以使用 Apple 隔空投送共享文件和链接。

要让用户只能在受管理应用中使用受管理的账号打开工作文件、附件和链接，请取消选中允许在非受管应用中打开创建自受管理的应用的内容对应的复选框。例如，您可以禁止用户在个人应用中使用工作账号打开机密电子邮件附件。

如果您禁止用户在非受管应用中打开工作文件和链接，仍可以允许他们使用 Apple 隔空投送共享这些内容。要禁止用户使用隔空投送共享文件，请取消选中允许使用隔空投送共享通过受管理的应用创建的内容对应的复选框。

iCloud 存储空间

允许受管理的应用使用 Apple iCloud 存储数据。存储在 iCloud 的数据会一直保留，直到设备用户将其移除。

要禁止用户将工作应用数据存储在 iCloud 中，请取消选中允许受管理的应用在 iCloud 中存储数据对应的复选框。但用户仍然可以使用 iCloud 存储个人数据。

在受管理的应用中打开文档

通过此设置，用户可以在受管理的应用中使用受管理的账号打开个人文档、附件和链接。

要禁止用户在受管理的应用中打开个人文档或链接，请取消选中允许在受管理的应用中打开创建自非受管应用的内容对应的复选框。在这种情况下，用户仅能在非受管应用中使用个人账号打开个人文档和链接。

使用移动流量进行同步

允许受管理的应用使用移动流量上网。如果您允许受管理的应用使用移动流量进行同步，则还可以决定是否允许相应应用在漫游时同步数据。要禁止受管理的应用在漫游时同步，请取消选中允许受管理的应用在漫游时进行同步。

要禁止受管理的应用随时使用移动流量，请取消选中允许受管理的应用使用移动流量进行同步对应的复选框。

备份和 iCloud 同步

注意：iOS 设备用户需要授予相关权限，才能使用这些设置进行自动备份和同步。

打开此部分 | 全部收起并转至页首

文档同步

允许用户启用或停用将 iOS 设备上的文档和数据同步到 iCloud 的功能。如果允许，系统会将用户的不同 iOS 应用中的数据存储在 iCloud 中，并在用户受支持的 iOS 设备间进行同步。

要禁止用户使用 iCloud 进行设备同步，请取消选中允许用户通过 iCloud 同步文档和数据对应的复选框。

对于 iOS 13 及更高版本的设备，该设置仅适用于受监管的公司自有设备。对于 iOS 12 及更低版本的设备，该设置适用于所有使用高级管理功能的设备。

加密备份

勾选此设置后，系统会强制为备份到 Apple iTunes 的所有内容加密。用户将自己的 iOS 设备备份到 iTunes 后，会在 iTunes 设备“摘要”页面中看到加密本地备份或给 iPhone 备份加密对应的复选框处于选中状态，且无法取消选中。

首次启用备份加密时，iTunes 会要求用户输入密码。加密的备份内容会储存在用户的计算机上，用户需要输入密码才能恢复 iOS 设备。

要允许用户在备份设备时不加密备份的内容，请取消选中要求加密备份内容对应的复选框。

iCloud 备份

允许用户每天通过 Wi-Fi 自动将其 iOS 设备上的内容备份到 iCloud。在 iCloud 备份期间，您必须开启然后锁定 iOS 设备，并将设备连接到电源。

如要禁止将设备内容备份到 iCloud，请取消选中允许用户通过 iCloud 备份设备对应的复选框。

钥匙串同步

允许用户使用 iCloud 钥匙串。用户使用 iCloud 钥匙串时，其用户名、密码和信用卡号码均将采用 256 位高级加密标准 (AES) 存储在 iCloud 上。这些数据会在用户受支持的 iOS 设备之间同步。

要禁止用户使用 iCloud 钥匙串，请取消选中允许用户通过 iCloud 同步钥匙串。

照片

打开此部分 | 全部收起并转至页首

我的照片流

允许将用户相机胶卷中的照片同步到 iCloud 中的“我的照片流”。取消选中相应复选框即可执行以下操作：

将“我的照片流”中的照片从设备上清除。
停止将相机胶卷中的照片同步到“我的照片流”。
禁止通过设备查看在照片流中分享的照片和视频。

注意：如果相应照片和视频没有其他副本，就可能会被永久删除。

iCloud 照片图库

允许用户将自己的照片和视频存储在 iCloud 中，以便通过任一设备访问。

要禁止使用 iCloud 照片图库，请取消选中允许使用“iCloud 照片图库”对应的复选框。任何未从 iCloud 照片图库完全下载到设备上的照片都会从设备上移除。

iCloud 照片共享

允许用户向 iCloud 中的共享相簿添加照片和视频。该设置也允许用户邀请他人在共享相簿中添加照片、视频和评论。

要禁止用户订阅或发布共享相簿，请取消选中允许使用“iCloud 照片共享”功能对应的复选框。

高级安全设置

打开此部分 | 全部收起并转至页首

屏幕截图

允许用户保存屏幕截图或录像。

要禁止屏幕截图，请取消选中允许屏幕截图和屏幕录制对应的复选框。

Siri

允许用户使用 Siri。要禁止使用 Siri，请取消选中允许使用 Siri。

如果您允许用户使用 Siri，也可以决定是否允许 Siri 在设备处于锁定状态时回复用户。要禁止在锁定的设备上使用 Siri，请取消选中允许在锁定屏幕上使用 Siri 对应的复选框。

Apple Watch

允许用户从手腕上取下 Apple Watch 设备后不需要将其解锁便能直接使用。

要让手表在从用户手腕上取下时自动锁定，请取消选中允许在未检测手腕的情况下使用 Apple Watch 对应的复选框。用户将 Apple Watch 从手腕上取下后，仍然可以通过密码或配对的 iPhone 将其解锁。

接力

允许用户使用 Apple 接力在设备之间发送应用数据，以便在一台设备上开始工作，然后在另一台设备上继续工作。例如，用户可以使用 iPad 上的 Safari 开始阅读某个文档，然后再继续使用 iPhone 上的 Safari 阅读该文档。

要禁止使用接力，请取消选中允许使用接力对应的复选框。

Safari

打开此部分 | 全部收起并转至页首

允许使用 Safari（仅限受监管的公司自有设备）

允许用户在设备上使用 Safari。

要禁止使用 Safari，请取消选中允许使用 Safari 对应的复选框。对于 iOS 13 及更高版本的设备，该设置仅适用于受监管的公司自有设备。

自动填充

允许用户在 Safari 中通过自动填充功能完成在线表单。勾选此复选框后，Apple Safari 就会记住用户在表单中输入的信息，例如姓名、地址、电话号码或电子邮件地址。之后，相应信息就会自动填充到在线表单中。

要禁止在 Safari 中使用自动填充，请取消选中允许在 Safari 中自动填充对应的复选框。

对于 iOS 13 及更高版本的设备，该设置仅适用于受监管的公司自有设备。对于 iOS 12 及更低版本的设备，该设置适用于所有使用高级管理功能的设备。

安全浏览

当用户使用 Safari 访问疑似欺诈网站时发送警告。

要关闭欺诈网站警告功能，请取消选中为 Safari 强制启用欺诈网站警告功能对应的复选框。

JavaScript

允许在 Safari 中使用 JavaScript（用于网站中的按钮、表单或其他内容）。

要禁止在 Safari 中使用 JavaScript，请取消选中允许在 Safari 中使用 JavaScript 对应的复选框。如果您禁用 JavaScript，部分网站将无法正常运行。

弹出式窗口

允许当用户在 Safari 中访问或关闭网页时打开弹出式窗口。弹出式窗口通常用于显示广告。但是，部分网站会使用弹出式窗口来显示重要内容。

要禁止显示弹出式窗口，请取消选中允许在 Safari 中显示弹出式窗口对应的复选框。

允许 Safari 访问的所有网站、第三方和广告客户在设备上存储 Cookie 和其他数据。

要禁止在设备上存储 Cookie 和其他数据，请取消选中在 Safari 中接受 Cookie 对应的复选框。如果您关闭 Cookie，某些网站可能无法正常运行。

公司自有 iOS 设备设置

仅限公司自有设备

打开此部分 | 全部收起并转至页首

设备注册设置 - 允许配对

在设备设置过程中，允许设备与其他 Apple 设备配对。要在设置过程中禁止配对，请取消选中允许配对对应的复选框。对于 iOS 13 及更高版本的设备，该设置已停用。

要在设置完成后限制配对，请参阅连接设置。

设备注册设置 - 需要 MDM 配置文件

要求使用 iOS 12 及更低版本设备的用户安装 MDM 配置文件。iOS 13 及更高版本的设备一律需要安装 MDM 配置文件。

要允许使用 iOS 12 及更低版本设备的用户跳过配置文件安装，请取消选中需要 MDM 配置文件对应的复选框。在这种情况下，设备将不受适用于受监管的公司自有设备的设置约束，而只受其他高级管理设置约束。

支持团队联系人

输入电子邮件地址和电话号码，以便用户在使用公司自有设备遇到问题时与支持团队联系。用户接受您单位的管理后，设置页面中会提供相关的联系信息。

设置助理

在用户首次设置设备时，您可以控制用户能在设置助手中看到哪些设置页面，只需取消选中所有您希望用户跳过的页面即可。例如，如果您不允许用户使用 Siri，则可以选择跳过 Siri 设置页面。

注意：我们建议您不要跳过 Apple ID 设置页面。因为使用设备的用户需要拥有 Apple ID 才能下载 Google Device Policy 应用并完成设备设置。

设备功能

仅限受监管的公司自有设备（诊断功能除外）

打开此部分 | 全部收起并转至页首

AirDrop

允许用户使用 Apple 隔空投送分享内容和密码。要停用隔空投送功能，请取消选中允许使用隔空投送功能对应的复选框。

如果您不想彻底停用隔空投送功能，则可以使用其他设置对隔空投送的内容进行限制：

要停用通过隔空投送分享密码的功能，请转到身份验证 分享密码，然后取消选中对应的复选框。
要禁止用户使用隔空投送共享在受管理应用中创建的文件，请转到数据共享 在非受管应用中打开文档，然后取消选中允许使用隔空投送共享通过受管理的应用创建的内容。

账号设置

允许用户更改账号设置。要禁止更改账号设置，请取消选中允许用户更改账号设置对应的复选框。

配置描述文件

允许用户以交互方式安装配置描述文件和证书。

要在不需要用户操作的情况下安装配置描述文件和证书，请取消选中允许用户以交互方式安装配置描述文件对应的复选框。

日期与时间

禁止用户在日期与时间系统偏好设置中关闭“自动设置”功能。要始终开启“自动设置”功能，请勾选强制设置自动日期与时间对应的复选框。

设备名称

允许用户更改设备名称。要禁止用户更改设备名称，请取消选中允许用户更改设备名称对应的复选框。

诊断

允许设备向 Apple 发送诊断数据。要禁止设备发送诊断报告，请取消选中允许向 Apple 发送诊断数据和使用情况数据对应的复选框。

如果您选择允许设备发送诊断数据，您还可以禁止用户更改诊断设置，只需取消选中允许用户更改诊断设置对应的复选框即可。

抹掉所有内容和设置

允许用户将设备恢复出厂设置。要禁止用户重置设备，请取消选中允许用户使用“抹掉所有内容和设置”功能来重置设备对应的复选框。

ScreenTime

允许用户使用“屏幕使用时间”功能。

如要禁止用户使用“屏幕使用时间”，请取消选中允许使用“屏幕使用时间”功能对应的复选框。

软件更新

在设定天数内为用户隐藏 iOS 更新通知。如要让用户即时看到 iOS 更新通知，请取消选中将软件更新延迟对应的复选框。

墙纸

允许用户更改设备的背景图片。要禁止用户更改背景图片，请取消选中允许用户更换墙纸对应的复选框。

网络

仅限受监管的公司自有设备

如果您对 Wi-Fi 网络和移动数据有限制，请确保贵单位的网络设置至少允许一个 Wi-Fi 网络。否则，设备可能无法同步政策，并最终导致所有用户被锁定。

打开此部分 | 全部收起并转至页首

应用移动数据网络

允许用户更改应用的移动数据网络设置。要禁止更改移动数据网络设置，请取消选中允许用户更改应用的移动数据网络设置对应的复选框。

蓝牙

允许用户更改“蓝牙”设置。要禁止更改“蓝牙”设置，请取消选中允许用户更改“蓝牙”设置对应的复选框。

移动数据网络方案

允许用户更改与设备移动数据网络方案相关的设置。要禁止更改移动数据网络方案，请取消选中允许用户更改移动数据网络方案设置对应的复选框。

eSIM

允许用户更改 eSIM 设置。要禁止更改 eSIM 设置，请取消选中允许用户更改 eSIM 设置对应的复选框。仅适用于 iOS 12.1 及更高版本的设备。

个人热点

允许用户更改“个人热点”设置。要禁止更改“个人热点”设置，请取消选中允许用户更改“个人热点”设置对应的复选框。仅适用于 iOS 12.2 及更高版本的设备。

VPN

允许用户添加 VPN 配置。要禁止添加新的 VPN 配置，请取消选中允许用户添加 VPN 配置对应的复选框。

Wi-Fi - 强制开启 Wi-Fi

允许用户关闭 Wi-Fi。要强制开启 Wi-Fi（即使是在飞行模式下），请勾选强制开启 Wi-Fi 对应的复选框。仅适用于 iOS 13 及更高版本的设备

Wi-Fi - 仅加入由 Wi-Fi 负载安装的 Wi-Fi 网络

允许用户加入任何 Wi-Fi 网络。要仅允许访问通过配置文件设置的 Wi-Fi 网络，请勾选仅加入由 Wi-Fi 负载安装的 Wi-Fi 网络对应的复选框。

如要了解如何通过配置文件为设备设置可用网络，请参阅为受管理的设备设置网络（Wi-Fi、以太网、VPN、移动网络）。

应用和服务

仅限受监管的公司自有设备

打开此部分 | 全部收起并转至页首

安装应用

允许用户从 App Store 安装应用

如要禁止用户在 iOS 13 设备上安装应用或使用 App Store，请取消选中允许用户安装应用对应的复选框。取消选中该复选框时：

用户无法访问 App Store。
在其他设备上购买的应用无法自动下载。
Google Device Policy 应用以及通过 Device Policy 应用安装的任何应用（不包括专用 iOS 应用）不会自动更新。
用户仍然可以通过 Google Device Policy 应用下载允许的应用。

如果您选择允许用户安装应用，您仍然可以限制用户获取应用的来源：

取消选中允许用户从 App Store 安装应用对应的复选框，即可禁止用户使用 App Store。用户仍然可以通过 Google Device Policy 应用下载允许的应用。
取消选中允许通过其他设备购买的应用自动下载复选框，即可禁止通过其他设备购买的应用自动下载。

移除应用

允许用户从自己的设备移除应用。要禁止用户移除应用，请取消选中允许用户移除应用对应的复选框。从设备移除用户个人资料后，工作应用也会一并移除。

“文件”应用

允许用户通过 Apple“文件”应用连接到任何 USB 和网络驱动器。要禁止用户在运行 iOS 13.1 及更高版本的设备上通过“文件”应用访问 USB 或网络驱动器，请取消选中相应复选框。

此设置不会影响运行 iOS 13.0 及更低版本的设备。使用这些设备的用户始终可通过“文件”应用访问 USB 和网络驱动器。

查找我的设备

允许用户在“查找”应用中使用“查找我的设备”。如要禁止用户在 iOS 13 及更高版本的设备上使用此功能，请取消选中允许使用“查找我的设备”对应的复选框。

此设置仅适用于使用个人 Apple ID（而非受管理的 Apple ID）设置的设备。

查找我的朋友

允许用户在“查找”应用中使用“查找我的朋友”。要禁止用户在 iOS 13 及更高版本的设备上使用此功能，请取消选中允许使用“查找我的朋友”对应的复选框。

此设置仅适用于使用个人 Apple ID（而非受管理的 Apple ID）设置的设备。

修改“查找我的朋友”

允许用户在“查找”应用中更改“查找我的朋友”设置。要禁止用户更改设置，请取消选中修改“查找我的朋友”对应的复选框。

通知

通过此设置，用户可以更改通知设置。要禁止用户更改设置，请取消选中允许用户更改通知设置复选框。

移除系统应用

允许用户从设备中移除系统应用。如要禁止用户移除应用，请取消选中允许用户移除系统应用对应的复选框。

Apple 应用

仅限受监管的公司自有设备

打开此部分 | 全部收起并转至页首

FaceTime

允许用户使用 Apple FaceTime 应用。要禁止使用 FaceTime，请取消选中允许使用 FaceTime 对应的复选框。

Apple Books - 允许下载 Apple Books 中标记为色情文学的图书

允许用户访问 Apple Books 中标记为色情文学的图书。要禁止访问这些图书，请取消选中允许下载 Apple Books 中标记为色情文学的图书对应的复选框。

Apple Books - 允许使用 Apple Books

允许用户访问 Apple Books 应用中的图书商店。要禁止访问图书商店，请取消选中允许用户访问 Apple Books 中的图书商店对应的复选框。

少儿不宜的内容

允许用户访问 iTunes Store 中包含露骨内容的音乐或视频。如要禁止访问 iTunes Store 中的露骨内容，请取消选中允许显示来自 iTunes Store 的少儿不宜内容（音乐或视频）对应的复选框。

Game Center

允许用户使用 Apple Game Center 应用。要禁止使用 Game Center，请取消选中允许使用 Game Center 对应的复选框。

iMessage

允许用户使用 iMessage 信息。要禁止使用 iMessage 信息，请取消选中允许使用 iMessage 对应的复选框。

iTunes Store

允许用户使用 iTunes Store。要禁止使用 iTunes Store，请取消选中允许使用 iTunes Store 对应的复选框。

仅适用于 iOS 13 及更高版本的设备。

Apple 音乐广播

允许用户使用 Apple 音乐广播应用。要禁止使用 Apple 音乐广播，请取消选中允许使用 Apple 音乐广播对应的复选框。

“音乐”服务

允许用户在 Apple 音乐应用中使用“音乐”服务。要禁止使用“音乐”服务并将音乐应用还原为经典模式，请取消选中允许使用“音乐”服务对应的复选框。

新闻

允许用户使用 Apple News 应用。要禁止使用 News，请取消选中允许使用 News 对应的复选框。

播客

允许用户使用 Apple 播客应用。要禁止使用播客，请取消选中允许使用播客对应的复选框。

身份验证

仅限受监督的公司自有设备

打开此部分 | 全部收起并转至页首

进行身份验证以使用自动填充功能

要在 Safari 和其他 Apple 应用中要求用户必须使用触控 ID 或面容 ID 进行身份验证后才能自动填充密码和信用卡信息，请勾选要求用户必须使用触控 ID 或面容 ID 进行身份验证后才能使用自动填充功能对应的复选框。

仅适用于支持触控 ID 或面容 ID 的设备。

自动填充密码

允许通过钥匙串或第三方密码管理器自动填充密码，这样用户在使用 Safari 和其他应用进行密码相关的操作时，系统会建议其使用安全系数高的密码，还会提示使用已保存的密码。

要禁止自动填充密码和建议使用安全系数高的密码，请取消选中允许自动填充密码对应的复选框。

请求附近的设备分享密码

允许附近的设备请求分享密码。如果设备启用了分享密码设置，则设备在收到分享密码请求时，会分享所请求的密码。

要在运行 iOS 12 的设备上屏蔽分享密码的请求，请取消选中允许附近的设备请求分享密码对应的复选框。

分享密码

允许通过隔空投送功能与其他设备分享密码。

要禁止分享密码，请取消选中允许通过隔空投送来分享密码对应的复选框。

触控 ID/面容 ID

允许用户更改触控 ID 和面容 ID 设置。勾选该选项后，用户便可以添加更多指纹或替用外貌。

要禁止更改触控 ID 和面容 ID，请取消选中允许用户更改触控 ID 或面容 ID 对应的复选框。

连接

仅限受监管的公司自有设备

打开此部分 | 全部收起并转至页首

主机配对

允许设备在没有监管主机证书的情况下与主机计算机配对。

要禁止与监管主机以外的任何设备配对，请取消选中允许设备在没有监管主机证书的情况下与主机计算机配对对应的复选框。如果未配置监管主机证书，则不允许配对。

设置附近的设备

允许设备接收让其设置附近新设备的提示。

要禁止接收提示，请取消选中允许设备设置附近的设备对应的复选框。

Apple Watch 配对

允许设备与 Apple Watch 配对。

要禁止配对，请取消选中允许设备与 Apple Watch 配对对应的复选框。取消选中后，如果设备已与 Apple Watch 配对，那么设备与 Apple Watch 的配对会被取消，并且 Apple Watch 中与该设备有关的内容会被清空。

打印设置

允许设备使用 AirPrint 进行打印。允许使用 AirPrint 后，您可以控制 AirPrint 的功能和连接：

允许通过 iBeacon 查找 AirPrint 打印机 - 取消选中后，可防范通过 AirPrint 蓝牙 Beacon 进行的网上诱骗攻击。禁止 iBeacon 后，设备仍可通过同一个 Wi-Fi 网络检测 AirPrint 打印机。
允许“钥匙串”存储 AirPrint 凭据 - 取消选中后，可防止“钥匙串”存储 AirPrint 的用户名和密码。
允许使用不受信任的证书进行 AirPrint 连接 - 取消选中后，用户需要拥有受信证书才能进行 TLS 打印。

要禁止用户使用 AirPrint，请取消选中允许使用 AirPrint 对应的复选框。

USB

允许已锁定的设备连接到 USB 配件。

要禁止已锁定的设备连接到 USB，请取消选中允许已锁定的设备连接到 USB 配件对应的复选框。