Skip to content

应用限制

概述

限制功能允许您阻止或限制特定的设备功能和应用。它们通过配置描述文件强制执行,最终用户无法绕过。使用限制功能来实施安全策略、减少干扰并防止数据泄露。

限制功能适用于 iOSiPadOSmacOS。部分限制因平台而异。

功能限制

控制对内置设备功能和系统应用的访问。

限制项iOSiPadOSmacOS描述
AllowCamera允许使用设备相机
AllowSafari允许使用 Safari 浏览器
AllowFaceTime允许 FaceTime 视频/音频通话
AllowAirDrop允许 AirDrop 文件共享
AllowAirPlay允许 AirPlay 屏幕镜像
AllowScreenShot允许截屏和屏幕录制
AllowScreenRecording允许屏幕录制(iOS 14+、macOS)
AllowPassbook允许钱包和 Apple Pay
AllowBookstore允许图书(iBooks)应用
AllowPodcasts允许播客应用
AllowNews允许新闻应用
AllowAppStore允许 App Store(安装/更新应用)
AllowAppStoreUI允许浏览 App Store(安装权限单独控制)
AllowAppRemoval允许用户从设备删除应用
AllowAppInstallation允许安装应用(通过 App Store 或企业分发)
AllowAppCellularData允许应用使用蜂窝数据
AllowDiagnosticSubmission允许向 Apple 发送诊断和使用数据
AllowCloudBackup允许 iCloud 备份
AllowCloudSync允许 iCloud 文档和数据同步
AllowCloudKeychainSync允许 iCloud 钥匙串同步
AllowFindMyDevice允许"查找"设备位置共享
AllowFindMyFriends允许"查找朋友"位置共享
AllowGameCenter允许 Game Center
AllowMultiplayerGaming允许多人在线游戏
AllowAddingGameCenterFriends允许添加 Game Center 好友
AllowCellularData完全允许使用蜂窝数据
AllowCellularVoiceRoaming允许蜂窝网络语音漫游
AllowCellularDataRoaming允许蜂窝网络数据漫游
AllowPersonalHotspot允许个人热点/网络共享
AllowVPNCreation允许用户手动配置 VPN 描述文件
AllowEraseContentAndSettings允许"抹掉所有内容和设置"选项
AllowUSBRestrictedMode要求解锁后才能使用 USB 配件(USB 限制模式)
AllowPasswordAutoFill允许从 iCloud 钥匙串自动填充密码
AllowPasswordSharing允许通过 AirDrop 共享密码(iOS 12+)
AllowAutoUnlock允许 Apple Watch 解锁 Mac
AllowContentCaching允许在 macOS 上本地缓存内容

示例

json
{
  "AllowCamera": false,
  "AllowSafari": false,
  "AllowFaceTime": false,
  "AllowAirDrop": false,
  "AllowScreenShot": false,
  "AllowAppStore": false,
  "AllowAppRemoval": false,
  "AllowCloudBackup": false,
  "AllowGameCenter": false,
  "AllowMultiplayerGaming": false
}

应用允许/阻止列表

通过包标识符控制哪些应用可以在设备上运行。这适用于内置应用和第三方应用。

字段类型描述
AllowedAppBundleIDsstring[]允许运行的应用包 ID 列表。所有其他应用将被阻止。
BlockedAppBundleIDsstring[]阻止运行的应用包 ID 列表。所有其他应用将被允许。

您不能同时设置 AllowedAppBundleIDsBlockedAppBundleIDs——每个蓝图只能选择一种方式。

常用包标识符

应用包 ID
Safaricom.apple.mobilesafari
相机com.apple.camera
FaceTimecom.apple.facetime
信息com.apple.MobileSMS
邮件com.apple.mobilemail
日历com.apple.mobilecal
照片com.apple.mobileslideshow
地图com.apple.Maps
音乐com.apple.Music
App Storecom.apple.AppStore
设置com.apple.Preferences
时钟com.apple.mobiletimer
计算器com.apple.calculator
备忘录com.apple.mobilenotes
提醒事项com.apple.reminders
语音备忘录com.apple.VoiceMemos
健康com.apple.Health
钱包com.apple.Passbook
图书com.apple.iBooks
播客com.apple.podcasts
新闻com.apple.news
股票com.apple.stocks
天气com.apple.weather
Zoomzoom.us
Slackcom.tinyspeck.chatlyio
Microsoft Teamscom.microsoft.teams
Microsoft Outlookcom.microsoft.Outlook

示例——仅允许特定应用

json
{
  "AllowedAppBundleIDs": [
    "com.apple.mobilemail",
    "com.apple.mobilecal",
    "com.apple.mobilesafari",
    "com.microsoft.Outlook",
    "com.microsoft.teams"
  ]
}

示例——阻止特定应用

json
{
  "BlockedAppBundleIDs": [
    "com.apple.camera",
    "com.apple.facetime",
    "zoom.us"
  ]
}

iCloud 限制

独立于上述通用功能标志,单独控制 iCloud 服务。

限制项iOSiPadOSmacOS描述
AllowCloudBackup阻止 iCloud 设备备份
AllowCloudSync阻止 iCloud 文档和数据同步
AllowCloudKeychainSync阻止 iCloud 钥匙串
AllowCloudDesktopAndDocuments阻止 iCloud 桌面与文稿同步(macOS)
AllowCloudPhotoLibrary阻止 iCloud 照片
AllowCloudPrivateRelay阻止 iCloud 私密中继(iOS 15+、macOS 12+)
AllowFindMyDevice阻止"查找"设备
AllowFindMyFriends阻止"查找朋友"

蜂窝数据限制

控制 iOS 和 iPadOS 设备上的蜂窝数据使用。

限制项描述
AllowCellularData所有蜂窝数据的总开关
AllowCellularDataRoaming阻止数据漫游以避免意外费用
AllowCellularVoiceRoaming阻止语音漫游
AllowPersonalHotspot阻止网络共享/个人热点
AllowAppCellularData允许应用使用蜂窝数据进行网络访问
AllowCellularDataForAppStore允许通过蜂窝网络下载 App Store 应用
AllowCellularDataForSafari允许通过蜂窝网络使用 Safari

Game Center 限制

控制 iOS 和 iPadOS 上的 Game Center 和多人游戏功能。

限制项描述
AllowGameCenter完全阻止 Game Center
AllowMultiplayerGaming阻止多人游戏(本地和在线)
AllowAddingGameCenterFriends阻止在 Game Center 中添加好友
AllowGameCenterNearbyMultiplayer阻止附近多人游戏发现

屏幕录制和媒体限制

限制项iOSiPadOSmacOS描述
AllowScreenShot阻止截屏
AllowScreenRecording阻止屏幕录制
AllowScreenViewing阻止屏幕共享/查看(AirPlay 镜像)
AllowAirPlay阻止 AirPlay 流媒体
AllowAirPlayOutgoingRequests阻止向其他设备发送 AirPlay 请求
AllowMusicService阻止 Apple Music 流媒体服务
AllowPodcasts阻止播客应用

macOS 专属限制

限制项描述
AllowAutoUnlock阻止 Apple Watch 解锁 Mac
AllowContentCaching阻止本地内容缓存
AllowPasswordProximityAutoFill阻止从附近设备自动填充
AllowPasswordSharing阻止通过 AirDrop 共享密码
AllowDiagnosticSubmission阻止提交诊断数据
AllowCloudDesktopAndDocuments阻止 iCloud 桌面与文稿同步
AllowiCloudMail阻止 iCloud 邮件
AllowiCloudReminders阻止 iCloud 提醒事项同步
AllowiCloudBookmarks阻止 iCloud 书签同步
AllowiCloudNotes阻止 iCloud 备忘录同步
AllowiCloudCalendars阻止 iCloud 日历同步
AllowiCloudContacts阻止 iCloud 通讯录同步

最佳实践

  • 从阻止列表开始,而非允许列表。 阻止少数违反策略的功能(相机、AirDrop、Game Center),而不是试图枚举所有允许的应用。仅在设备严格用于单一用途(信息亭、专用设备)时才切换到允许列表。
  • 先在小范围测试。 像阻止相机或禁用截屏这样的限制可能会破坏您未预料到的工作流程。在广泛部署之前,先向试点组推送。
  • 与其他蓝图设置结合使用。 将限制与密码策略、VPN 和安全配置相结合,实现纵深防御。
  • 记录您的包 ID。 使用 AllowedAppBundleIDsBlockedAppBundleIDs 时,请维护您组织应用的包 ID 列表。包 ID 可能随应用更新而改变。
  • 不要混用允许和阻止列表。 一个蓝图不能同时设置 AllowedAppBundleIDsBlockedAppBundleIDs。每个蓝图选择一种策略。

基于 MIT 许可证发布