Cloud Identity 免費版和 Cloud Identity 進階版皆支援這項功能。版本比較
管理員可以決定使用者如何在受管理的 iPhone 和 iPad 上使用公司帳戶。舉例來說,您可以防止資料從受管理的應用程式複製到未受管理的應用程式 (資料保護設定)、停用特定應用程式,以及控管哪些資料會同步至 iOS 內建應用程式。
尋找設定
事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「行動裝置和端點」「設定」「iOS」。
- 按一下設定類別和設定,並參考下節說明瞭解設定。
- (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」。操作示範
- 開啟或關閉設定。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如果日後要還原沿用的值,請按一下「沿用」。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
iOS 設定索引
基本行動管理服務
資料保護設定適用於採用基本和進階行動管理服務的裝置。
進階行動管理服務
這項功能適用於 Cloud Identity 進階版。版本比較
如要套用下列設定,請為 iOS 裝置設定進階行動管理服務。
部分設定僅適用於公司擁有的受監督裝置:
適用於所有採用進階管理服務的 iOS 裝置 | 僅適用於公司擁有的受監督 iOS 裝置 |
---|---|
|
|
Apple 憑證
Apple 推播通知服務建立及管理貴機構的 Apple Push Certificate。首次設定 Google 端點管理服務時,您必須設定 Push Certificate。如果憑證即將到期,你可以續購現有憑證。
請盡早續購憑證,這樣您的 iOS 使用者就無須重新註冊裝置。不過如果憑證已過期,您就無法再續購該憑證。
與貴機構的 Apple Business Manager 或 Apple School Manager 帳戶建立連結,以便管理公司擁有的 iOS 裝置。您可以參閱這篇文章,瞭解如何為公司擁有的 iOS 裝置設定管理服務。如果行動裝置管理 (MDM) 伺服器權杖即將到期,您可以續購權杖。
Apple 大量採購計畫 (VPP)
可大量購買應用程式,將這些應用程式發布到貴機構的 iOS 裝置,並將 Apple Business Manager 或 Apple School Manager 連結至您的 Google Workspace 或 Cloud Identity 帳戶。您可以購買應用程式授權,並使用內容權杖將授權與帳戶同步處理。詳情請參閱「透過 Apple VPP 發布 iOS 應用程式」。
帳戶設定 (僅限 Google Workspace)
Google 帳戶 - 自動推送設定開啟自訂推送設定時無法套用這項設定。
自動將使用者的 Google Workspace 電子郵件、日曆和聯絡人與裝置上相應的 iOS 內建應用程式同步處理。勾選 [推送 Google 帳戶設定] 方塊後,您就可以執行以下作業:
- 將 Google Workspace 電子郵件與 Apple 郵件應用程式同步處理。
- 將 Google Workspace 日曆活動與 Apple 行事曆應用程式同步處理。
- 將 Google Workspace 聯絡人與 Apple 聯絡人應用程式同步處理。
- 允許使用者在 iOS 聯絡人應用程式中搜尋貴機構的目錄。
使用者可以使用 Google 行動應用程式 (建議做法) 或 iOS 應用程式來查看電子郵件和日曆活動。詳情請參閱「註冊 iOS 裝置」。
如果不希望使用者透過 Apple 郵件應用程式存取郵件,請關閉 IMAP 存取功能,這樣就只有日曆活動和聯絡人會與 iOS 應用程式保持同步。詳情請參閱「啟用及停用 POP 和 IMAP 存取功能」。IMAP 存取功能停用後,使用者的 Apple 郵件應用程式將不會再與 Google Workspace 郵件保持同步。由於使用者可能不會在裝置上收到通知,因此建議您提醒他們上述情況。此外,在停用 IMAP 的狀態下,如果使用者嘗試使用 Google 帳戶登入 Apple 郵件應用程式,將無法順利登入,系統也不會顯示相關通知或提示。
在您啟用 Google 帳戶設定後,如果使用者的裝置已註冊管理服務,系統就會傳送通知,要求他們為 Google Workspace 帳戶新增密碼。當使用者想註冊新裝置時,只要透過裝置上的 Google 行動應用程式 (例如 Google Device Policy 應用程式) 登入自己的 Google Workspace 帳戶即可。
在註冊管理服務的裝置上,Google Workspace 的電子郵件、日曆和聯絡人都在受管理的範圍內。因此,如果您封鎖這類裝置或移除其中的 Google Workspace 帳戶,使用者的 Google Workspace 電子郵件、日曆活動和聯絡人就會一併從裝置上移除,並停止同步作業。
選取自動推送設定時無法套用這項設定。
此設定啟用後,Google 日曆會自動與使用者裝置上的 iOS 行事曆應用程式同步處理。
如果啟用這項設定,您就無法完全管理裝置上的 Google Workspace 日曆活動。當您從遠端清除裝置/帳戶資料時,系統會停止同步處理 Google Workspace 日曆活動,並將裝置上的現有活動全數移除;但如果您只是封鎖裝置,或是裝置為待審核狀態,這時裝置仍然會同步處理日曆活動,既有的活動也會保留在裝置上。
當您啟用這項設定後,使用者就必須產生並輸入應用程式密碼,而不是使用自己的 Google Workspace 密碼。隨後,Google Workspace 活動就會同步至 iOS 行事曆應用程式。使用者可以關閉這項同步處理功能。詳情請參閱註冊 iOS 裝置。
即使您停用 CalDAV,使用者仍可手動新增日曆。
啟用 Google 帳戶設定時無法套用這項設定。
此設定啟用後,Google 聯絡人會自動與使用者裝置上的 iOS 聯絡人應用程式同步處理。這項設定也可讓使用者在 iOS 聯絡人應用程式中搜尋貴機構的目錄。
如果啟用這項設定,您就無法完全管理裝置上的 Google Workspace 聯絡人。當您從遠端清除裝置/帳戶資料時,系統會停止同步處理使用者的聯絡人,並將裝置上的現有聯絡人移除;但如果您只是封鎖裝置,或是裝置為待審核狀態,這時裝置仍然會同步處理聯絡人資料。
當您啟用 CardDAV 後,使用者就必須產生並輸入應用程式密碼,而不是使用自己的 Google Workspace 密碼。隨後,Google Workspace 聯絡人資料就會同步至 iOS 聯絡人應用程式。使用者可以關閉這項同步處理功能。詳情請參閱註冊 iOS 裝置。
如果您只開放讓使用者透過應用程式和 API 查看共用的目錄資料,使用者將無法搜尋貴機構的目錄。詳情請參閱允許第三方應用程式存取目錄資料。
即使您停用 CardDAV,使用者仍可手動新增聯絡人。
註冊
- 裝置註冊 (預設):貴機構可完全控管裝置,包括抹除所有裝置資料。您可以查看裝置上的工作應用程式清單,並要求使用者設定高強度的裝置密碼。
- 使用者註冊:可在 iOS 裝置上區分工作資料和個人資料,方便您完全控管裝置上的工作資料,同時讓使用者保有個人資料隱私。如果只想將這項規定套用到新裝置,請勾選「允許現有使用者執行『裝置註冊』程序」方塊。
- 由使用者選擇:(僅適用於新裝置註冊) 可讓使用者在裝置中新增公司帳戶時選擇註冊類型。
螢幕鎖定畫面
控制中心允許使用者在裝置鎖定時前往控制中心存取及變更設定。在控制中心內,使用者只要滑動螢幕,即可存取各項設定和應用程式 (例如 Wi-Fi、Apple AirDrop 和相機)。
如要禁止使用者透過螢幕鎖定畫面存取控制中心,請取消勾選 [允許螢幕鎖定畫面顯示控制中心] 方塊。
允許使用者在裝置鎖定時開啟通知中心。在通知中心內,使用者只要從螢幕頂端向下滑動,即可查看近期快訊 (例如日曆活動或未接來電)。
只要取消勾選 [允許螢幕鎖定畫面顯示「通知檢視」畫面] 方塊,即可禁止使用者在鎖定的裝置上開啟通知中心,不過使用者仍可看到最新收到的通知。
允許使用者在裝置鎖定時查看今日檢視畫面。使用者從螢幕左側向右滑動後,就能瀏覽今日檢視畫面列出的當天摘要資訊,包括屬於敏感資訊的日曆活動名稱和電子郵件主旨行。
如要禁止螢幕鎖定畫面顯示今日檢視畫面,請取消勾選 [允許螢幕鎖定畫面顯示「今日檢視」畫面] 方塊。
資料共用
您必須為 iOS 裝置設定進階行動管理服務,才能使用下列大部分設定。不過,進階行動管理服務不需要使用資料動作設定。
資料動作這項功能適用於 Cloud Identity 進階版。版本比較
允許使用者透過自己的 iOS 裝置與機構外部人士共用 Google Workspace 資料。開啟這項設定後,您可以使用資料竊取防護設定來避免資料不慎外洩。不過,這項設定無法防範所有可能的資料竊取方式,例如從 Apple Visual Look Up 複製、擷取螢幕截圖或使用翻譯擴充功能。如要避免使用者將 Google Workspace 資料分享給外部人員,請選取「禁止使用者在 iOS 裝置上執行可能對外分享 Google Workspace 資料的動作」。
重要事項:部分檔案可能會在非 Google Workspace 應用程式中開啟,且不在資料保護設定涵蓋的範圍內。
詳情請參閱「防止 iOS 裝置上的資料意外外洩」。
當使用者不是透過 Apple App Store 或 Google Device Policy 應用程式安裝企業應用程式時,這項設定可允許使用者信任這類應用程式。
如果您允許使用者信任不明來源的應用程式 (也就是勾選這個方塊),當使用者首次開啟這類應用程式時,就會在裝置上收到應用程式作者不受信任的通知。此外,使用者可以在裝置設定中指定信任的應用程式作者,之後就能立即安裝並開啟該作者的其他應用程式。
如要禁止使用者信任應用程式作者,請取消勾選 [允許使用者信任新的企業應用程式作者]。即使您取消勾選該方塊,只要使用者在裝置套用這項設定前已有信任的應用程式作者,這些作者在設定套用後仍將受到使用者信任,使用者還是可以安裝及開啟這些作者的其他應用程式。
允許使用者透過未受管理的帳戶在未受管理的應用程式中開啟工作檔案和連結,以及透過 Apple AirDrop 與他人分享這些項目。
如要規定工作檔案、附件和連結只能透過受管理的帳戶在受管理應用程式中開啟,請取消勾選 [允許未受管理的應用程式開啟受管理的應用程式建立的項目] 方塊。舉例來說,您可以禁止使用者透過公司帳戶在個人應用程式中開啟機密電子郵件附件。
不過,即使您禁止使用者在未受管理的應用程式中開啟工作檔案和連結,仍可允許他們透過 Apple AirDrop 與他人分享這些項目。如要禁止使用者透過 AirDrop 分享檔案,請取消勾選 [允許使用 AirDrop 分享受管理的應用程式建立的項目] 方塊。
允許受管理的應用程式透過 Apple iCloud 儲存資料。儲存在 iCloud 中的資料除非是由裝置使用者移除,否則不會消失。
只要取消勾選 [允許受管理的應用程式在 iCloud 中儲存資料] 方塊,即可禁止工作應用程式資料儲存至 iCloud,不過使用者仍可利用 iCloud 儲存個人資料。
允許使用者透過受管理的帳戶在受管理應用程式中開啟個人文件、附件和連結。
如要禁止受管理的應用程式開啟個人文件或連結,請取消勾選「允許受管理的應用程式開啟非受管應用程式建立的項目」方塊。在這種情況下,使用者僅能透過個人帳戶在未受管理的應用程式中開啟個人文件和連結。
允許受管理的應用程式使用行動數據上網。允許受管理的應用程式透過行動數據進行同步處理後,您也可以決定是否允許這些應用程式在漫遊時進行同步處理。如要在漫遊時關閉受管理應用程式的同步功能,請取消勾選 [允許受管理的應用程式在漫遊時進行同步處理]。
如要一律禁止受管理的應用程式使用行動數據,請取消勾選 [允許受管理的應用程式使用行動數據進行同步處理] 方塊。
備份和 iCloud Sync
注意:iOS 裝置使用者必須授予系統權限,系統才能透過這些設定自動備份和同步處理。
文件同步處理允許使用者決定是否將 iOS 裝置上的文件和資料同步到 iCloud。這項設定啟用後,使用者各個 iOS 應用程式的資料都會儲存在 iCloud,並與使用者受支援的 iOS 裝置保持同步。
如要禁止裝置與 iCloud 保持同步,請取消勾選 [允許使用者透過 iCloud 同步處理文件和資料] 方塊。
對於 iOS 13 以上版本,這項設定只會套用到公司擁有的受監督裝置。如果是 iOS 12 以下版本,此設定則會套用到所有採用進階管理服務的裝置。
勾選這項設定可強制加密所有備份到 Apple iTunes 的資料。當使用者將 iOS 裝置資料備份至 iTunes 時,「iTunes 裝置摘要」畫面上的 [替本機備份加密] 或 [替 iPhone 備份加密] 方塊會呈現勾選狀態,不過使用者無法取消勾選這些方塊。
首次啟用備份加密功能時,iTunes 會要求使用者輸入密碼。加密後的備份檔案會儲存在電腦上,使用者必須輸入這組密碼才能還原自己的 iOS 裝置。
如要允許使用者備份未加密的裝置,請取消勾選 [必須加密才能進行備份] 方塊。
使用者可以每天自動透過 Wi-Fi 將 iOS 裝置的資料備份到 iCloud。執行 iCloud 備份作業期間,iOS 裝置必須維持開啟及鎖定的狀態,並全程連接電源。
如要禁止裝置資料備份至 iCloud,請取消勾選 [允許使用者透過 iCloud 備份裝置資料] 方塊。
允許使用者使用 iCloud 鑰匙圈。iCloud 鑰匙圈會根據 256 位元高級加密標準 (AES),將使用者的名稱、密碼和信用卡號儲存在 iCloud,這些資料會與使用者受支援的 iOS 裝置保持同步。
如要禁止使用者使用 iCloud 鑰匙圈,請取消勾選 [允許使用者透過 iCloud 同步處理鑰匙圈資料]。
照片
我的照片串流允許使用者的相機膠卷將照片同步到 iCloud 中的「我的照片串流」。取消勾選這個方塊會導致以下結果:
- 將「我的照片串流」中的照片從裝置上清除。
- 相機膠卷中的照片停止與「我的照片串流」保持同步。
- 使用者無法在裝置上查看共享串流中的照片和影片。
注意:如果您沒有為這些相片和影片建立其他複本,這些內容可能遭到永久刪除。
允許使用者將照片和影片保存在 iCloud,以便透過任何裝置存取。
如要封鎖 iCloud 照片圖庫的存取權,請取消勾選 [允許 iCloud 照片圖庫] 方塊。凡是未從 iCloud 照片圖庫完整下載的照片都會從裝置上移除。
允許使用者將照片和影片新增到 iCloud 的共享相簿中。這項設定也能讓使用者邀請他人在相簿中加入自己的照片和影片,以及對相簿留言。
如要禁止使用者訂閱或發布共享相簿,請取消勾選 [允許 iCloud 照片共享] 方塊。
進階安全性
螢幕擷取允許使用者儲存螢幕截圖或錄製螢幕畫面。
如要禁止擷取螢幕畫面,請取消勾選 [允許擷取及錄製螢幕畫面] 方塊。
允許使用者使用 Siri。如要封鎖 Siri,請取消勾選 [允許 Siri]。
允許使用 Siri 後,您也可以決定 Siri 是否能在裝置鎖定時回應使用者。如要在鎖定的裝置上封鎖 Siri,請取消勾選 [允許 Siri 在螢幕鎖定狀態下運作] 方塊。
允許使用者將 Apple Watch 裝置從手腕上取下後,不必解鎖也能使用該裝置。
如要自動鎖定使用者從手腕上取下的 Apple Watch,請取消勾選 [允許在未經手腕偵測狀態下使用 Apple Watch] 方塊。對於未戴在手腕上的 Apple Watch,使用者還是可以透過密碼或配對的 iPhone 進行解鎖。
允許使用者利用 Apple 接力功能在裝置之間傳輸應用程式資料,讓使用者可以隨時切換不同裝置進行作業。舉例來說,使用者可以先在 iPad 上使用 Safari 閱讀文件,然後改用 iPhone 繼續在 Safari 中閱讀文件。
如要封鎖接力功能,請取消勾選 [允許使用接力功能] 方塊。
Safari
允許使用 Safari (僅限公司擁有的受監督裝置)允許使用者在 Safari 中透過自動填寫功能填妥線上表單。勾選這項設定後,Apple Safari 會記住使用者在表單中輸入的資訊 (例如名稱、地址、電話號碼或電子郵件地址),並在日後使用這些資訊自動填寫線上表單。
如要在 Safari 中封鎖自動填寫功能,請取消勾選 [允許在 Safari 中使用自動填寫功能] 方塊。
對於 iOS 13 以上版本,這項設定僅適用於公司擁有的受監督裝置。如果是 iOS 12 以下版本,此設定則會套用到所有採用進階管理服務的裝置。
在使用者透過 Safari 造訪疑似有詐欺風險的網站時顯示警告訊息。
如要關閉詐欺網站警告功能,請取消勾選「強制啟用 Safari 詐欺網站警告」方塊。
允許在 Safari 中執行 JavaScript,以便網站用於顯示按鈕、表單和其他內容。
如果要在 Safari 中封鎖 JavaScript,請取消勾選 [允許在 Safari 中執行 JavaScript] 方塊,但有些網站可能會因此無法正常運作。
允許 Safari 在使用者造訪或關閉網頁時開啟彈出式視窗。彈出式視窗通常用於顯示廣告,不過有些網站會在其中標明重要內容。
如要封鎖彈出式視窗,請取消勾選 [允許在 Safari 中顯示彈出式視窗] 方塊。
允許透過 Safari 存取的所有網站、第三方和廣告客戶在裝置上儲存 Cookie 和其他資料。
如要禁止 Cookie 和其他資料儲存到裝置上,請取消勾選 [允許在 Safari 中設定 Cookie] 方塊。如果您關閉 Cookie,有些網站可能會無法正常運作。
公司擁有的 iOS 裝置設定
僅適用於公司擁有的裝置
裝置註冊設定 - 允許配對連線規定使用者必須在 iOS 12 以下版本的裝置上安裝行動裝置管理 (MDM) 設定檔。iOS 13 以上版本的裝置一律必須安裝行動裝置管理 (MDM) 設定檔。
如要允許 iOS 12 以下版本裝置的使用者略過設定檔安裝程序,請取消勾選「需要行動裝置管理 (MDM) 描述檔」方塊。在這種情況下,裝置不會受限於公司擁有的受監督裝置所套用的設定,只會採用其他進階管理設定。
裝置功能
「診斷」以外的設定僅適用於公司擁有的受監督裝置
AirDrop- 如要關閉透過 AirDrop 分享密碼的功能,請依序前往「驗證」「分享密碼」,然後取消勾選方塊。
- 如要禁止使用者透過 AirDrop 分享受管理應用程式建立的檔案,請依序前往 [資料共用] [在未受管理的應用程式中開啟文件],然後取消勾選 [允許使用 AirDrop 分享受管理的應用程式建立的項目]。
網路
僅適用於公司擁有的受監督裝置
如果您對 Wi-Fi 網路和行動數據設有限制,請確保機構的網路設定至少允許一個 Wi-Fi 網路,以免裝置可能無法同步處理政策,最終導致所有使用者的帳戶遭到裝置封鎖。
應用程式與服務
僅適用於公司擁有的受監督裝置
安裝 App- 使用者無法存取 App Store。
- 無法自動下載在其他裝置上購買的應用程式。
- Google Device Policy 應用程式和透過 Device Policy 應用程式安裝的應用程式 (不含私人 iOS 應用程式) 不會自動更新。
- 使用者仍可透過 Google Device Policy 應用程式下載允許的應用程式。
- 如要禁止存取 App Store,請取消勾選 [允許使用者從 App Store 安裝應用程式] 方塊。使用者仍可透過 Google Device Policy 應用程式下載允許的應用程式。
- 如要禁止自動安裝在其他裝置上購買的應用程式,請取消勾選 [允許透過其他裝置購買的應用程式自動下載] 方塊。
Apple 應用程式
僅適用於公司擁有的受監督裝置
FaceTime驗證
僅適用於公司擁有的受監督裝置
驗證以自動填寫連接情形
僅適用於公司擁有的受監督裝置
主機配對連線- 允許 iBeacon 尋找 AirPrint 印表機:取消勾選這個方塊,即可防範透過 AirPrint 藍牙信標發動的網路詐騙攻擊。即使 iBeacon 遭到封鎖,裝置仍可偵測連上同一 Wi-Fi 網路的 AirPrint 印表機。
- 允許鑰匙圈儲存 AirPrint 憑證:取消勾選這個方塊,即可禁止鑰匙圈儲存 AirPrint 使用者名稱和密碼。
- 允許使用不受信任的憑證進行 AirPrint 連線:取消勾選這個方塊,即可要求使用信任的憑證進行傳輸層安全標準 (TLS) 列印作業。
鍵盤與字典
僅適用於公司擁有的受監督裝置
鍵盤自動更正功能想瞭解更多行動裝置設定嗎?
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。