应用限制
概述
限制功能允许您阻止或限制特定的设备功能和应用。它们通过配置描述文件强制执行,最终用户无法绕过。使用限制功能来实施安全策略、减少干扰并防止数据泄露。
限制功能适用于 iOS、iPadOS 和 macOS。部分限制因平台而异。
功能限制
控制对内置设备功能和系统应用的访问。
| 限制项 | iOS | iPadOS | macOS | 描述 |
|---|---|---|---|---|
AllowCamera | 是 | 是 | 是 | 允许使用设备相机 |
AllowSafari | 是 | 是 | 否 | 允许使用 Safari 浏览器 |
AllowFaceTime | 是 | 是 | 是 | 允许 FaceTime 视频/音频通话 |
AllowAirDrop | 是 | 是 | 是 | 允许 AirDrop 文件共享 |
AllowAirPlay | 是 | 是 | 是 | 允许 AirPlay 屏幕镜像 |
AllowScreenShot | 是 | 是 | 否 | 允许截屏和屏幕录制 |
AllowScreenRecording | 是 | 是 | 是 | 允许屏幕录制(iOS 14+、macOS) |
AllowPassbook | 是 | 是 | 否 | 允许钱包和 Apple Pay |
AllowBookstore | 是 | 是 | 否 | 允许图书(iBooks)应用 |
AllowPodcasts | 是 | 是 | 否 | 允许播客应用 |
AllowNews | 是 | 是 | 否 | 允许新闻应用 |
AllowAppStore | 是 | 是 | 是 | 允许 App Store(安装/更新应用) |
AllowAppStoreUI | 是 | 是 | 否 | 允许浏览 App Store(安装权限单独控制) |
AllowAppRemoval | 是 | 是 | 否 | 允许用户从设备删除应用 |
AllowAppInstallation | 是 | 是 | 否 | 允许安装应用(通过 App Store 或企业分发) |
AllowAppCellularData | 是 | 是 | 否 | 允许应用使用蜂窝数据 |
AllowDiagnosticSubmission | 是 | 是 | 是 | 允许向 Apple 发送诊断和使用数据 |
AllowCloudBackup | 是 | 是 | 是 | 允许 iCloud 备份 |
AllowCloudSync | 是 | 是 | 是 | 允许 iCloud 文档和数据同步 |
AllowCloudKeychainSync | 是 | 是 | 是 | 允许 iCloud 钥匙串同步 |
AllowFindMyDevice | 是 | 是 | 是 | 允许"查找"设备位置共享 |
AllowFindMyFriends | 是 | 是 | 是 | 允许"查找朋友"位置共享 |
AllowGameCenter | 是 | 是 | 否 | 允许 Game Center |
AllowMultiplayerGaming | 是 | 是 | 否 | 允许多人在线游戏 |
AllowAddingGameCenterFriends | 是 | 是 | 否 | 允许添加 Game Center 好友 |
AllowCellularData | 是 | 是 | 否 | 完全允许使用蜂窝数据 |
AllowCellularVoiceRoaming | 是 | 是 | 否 | 允许蜂窝网络语音漫游 |
AllowCellularDataRoaming | 是 | 是 | 否 | 允许蜂窝网络数据漫游 |
AllowPersonalHotspot | 是 | 是 | 否 | 允许个人热点/网络共享 |
AllowVPNCreation | 是 | 是 | 是 | 允许用户手动配置 VPN 描述文件 |
AllowEraseContentAndSettings | 是 | 是 | 否 | 允许"抹掉所有内容和设置"选项 |
AllowUSBRestrictedMode | 是 | 是 | 否 | 要求解锁后才能使用 USB 配件(USB 限制模式) |
AllowPasswordAutoFill | 是 | 是 | 否 | 允许从 iCloud 钥匙串自动填充密码 |
AllowPasswordSharing | 是 | 是 | 否 | 允许通过 AirDrop 共享密码(iOS 12+) |
AllowAutoUnlock | 否 | 否 | 是 | 允许 Apple Watch 解锁 Mac |
AllowContentCaching | 否 | 否 | 是 | 允许在 macOS 上本地缓存内容 |
示例
json
{
"AllowCamera": false,
"AllowSafari": false,
"AllowFaceTime": false,
"AllowAirDrop": false,
"AllowScreenShot": false,
"AllowAppStore": false,
"AllowAppRemoval": false,
"AllowCloudBackup": false,
"AllowGameCenter": false,
"AllowMultiplayerGaming": false
}应用允许/阻止列表
通过包标识符控制哪些应用可以在设备上运行。这适用于内置应用和第三方应用。
| 字段 | 类型 | 描述 |
|---|---|---|
AllowedAppBundleIDs | string[] | 允许运行的应用包 ID 列表。所有其他应用将被阻止。 |
BlockedAppBundleIDs | string[] | 阻止运行的应用包 ID 列表。所有其他应用将被允许。 |
您不能同时设置 AllowedAppBundleIDs 和 BlockedAppBundleIDs——每个蓝图只能选择一种方式。
常用包标识符
| 应用 | 包 ID |
|---|---|
| Safari | com.apple.mobilesafari |
| 相机 | com.apple.camera |
| FaceTime | com.apple.facetime |
| 信息 | com.apple.MobileSMS |
| 邮件 | com.apple.mobilemail |
| 日历 | com.apple.mobilecal |
| 照片 | com.apple.mobileslideshow |
| 地图 | com.apple.Maps |
| 音乐 | com.apple.Music |
| App Store | com.apple.AppStore |
| 设置 | com.apple.Preferences |
| 时钟 | com.apple.mobiletimer |
| 计算器 | com.apple.calculator |
| 备忘录 | com.apple.mobilenotes |
| 提醒事项 | com.apple.reminders |
| 语音备忘录 | com.apple.VoiceMemos |
| 健康 | com.apple.Health |
| 钱包 | com.apple.Passbook |
| 图书 | com.apple.iBooks |
| 播客 | com.apple.podcasts |
| 新闻 | com.apple.news |
| 股票 | com.apple.stocks |
| 天气 | com.apple.weather |
| Zoom | zoom.us |
| Slack | com.tinyspeck.chatlyio |
| Microsoft Teams | com.microsoft.teams |
| Microsoft Outlook | com.microsoft.Outlook |
示例——仅允许特定应用
json
{
"AllowedAppBundleIDs": [
"com.apple.mobilemail",
"com.apple.mobilecal",
"com.apple.mobilesafari",
"com.microsoft.Outlook",
"com.microsoft.teams"
]
}示例——阻止特定应用
json
{
"BlockedAppBundleIDs": [
"com.apple.camera",
"com.apple.facetime",
"zoom.us"
]
}iCloud 限制
独立于上述通用功能标志,单独控制 iCloud 服务。
| 限制项 | iOS | iPadOS | macOS | 描述 |
|---|---|---|---|---|
AllowCloudBackup | 是 | 是 | 是 | 阻止 iCloud 设备备份 |
AllowCloudSync | 是 | 是 | 是 | 阻止 iCloud 文档和数据同步 |
AllowCloudKeychainSync | 是 | 是 | 是 | 阻止 iCloud 钥匙串 |
AllowCloudDesktopAndDocuments | 是 | 是 | 是 | 阻止 iCloud 桌面与文稿同步(macOS) |
AllowCloudPhotoLibrary | 是 | 是 | 是 | 阻止 iCloud 照片 |
AllowCloudPrivateRelay | 是 | 是 | 是 | 阻止 iCloud 私密中继(iOS 15+、macOS 12+) |
AllowFindMyDevice | 是 | 是 | 是 | 阻止"查找"设备 |
AllowFindMyFriends | 是 | 是 | 是 | 阻止"查找朋友" |
蜂窝数据限制
控制 iOS 和 iPadOS 设备上的蜂窝数据使用。
| 限制项 | 描述 |
|---|---|
AllowCellularData | 所有蜂窝数据的总开关 |
AllowCellularDataRoaming | 阻止数据漫游以避免意外费用 |
AllowCellularVoiceRoaming | 阻止语音漫游 |
AllowPersonalHotspot | 阻止网络共享/个人热点 |
AllowAppCellularData | 允许应用使用蜂窝数据进行网络访问 |
AllowCellularDataForAppStore | 允许通过蜂窝网络下载 App Store 应用 |
AllowCellularDataForSafari | 允许通过蜂窝网络使用 Safari |
Game Center 限制
控制 iOS 和 iPadOS 上的 Game Center 和多人游戏功能。
| 限制项 | 描述 |
|---|---|
AllowGameCenter | 完全阻止 Game Center |
AllowMultiplayerGaming | 阻止多人游戏(本地和在线) |
AllowAddingGameCenterFriends | 阻止在 Game Center 中添加好友 |
AllowGameCenterNearbyMultiplayer | 阻止附近多人游戏发现 |
屏幕录制和媒体限制
| 限制项 | iOS | iPadOS | macOS | 描述 |
|---|---|---|---|---|
AllowScreenShot | 是 | 是 | 否 | 阻止截屏 |
AllowScreenRecording | 是 | 是 | 是 | 阻止屏幕录制 |
AllowScreenViewing | 是 | 是 | 是 | 阻止屏幕共享/查看(AirPlay 镜像) |
AllowAirPlay | 是 | 是 | 是 | 阻止 AirPlay 流媒体 |
AllowAirPlayOutgoingRequests | 是 | 是 | 是 | 阻止向其他设备发送 AirPlay 请求 |
AllowMusicService | 是 | 是 | 是 | 阻止 Apple Music 流媒体服务 |
AllowPodcasts | 是 | 是 | 否 | 阻止播客应用 |
macOS 专属限制
| 限制项 | 描述 |
|---|---|
AllowAutoUnlock | 阻止 Apple Watch 解锁 Mac |
AllowContentCaching | 阻止本地内容缓存 |
AllowPasswordProximityAutoFill | 阻止从附近设备自动填充 |
AllowPasswordSharing | 阻止通过 AirDrop 共享密码 |
AllowDiagnosticSubmission | 阻止提交诊断数据 |
AllowCloudDesktopAndDocuments | 阻止 iCloud 桌面与文稿同步 |
AllowiCloudMail | 阻止 iCloud 邮件 |
AllowiCloudReminders | 阻止 iCloud 提醒事项同步 |
AllowiCloudBookmarks | 阻止 iCloud 书签同步 |
AllowiCloudNotes | 阻止 iCloud 备忘录同步 |
AllowiCloudCalendars | 阻止 iCloud 日历同步 |
AllowiCloudContacts | 阻止 iCloud 通讯录同步 |
最佳实践
- 从阻止列表开始,而非允许列表。 阻止少数违反策略的功能(相机、AirDrop、Game Center),而不是试图枚举所有允许的应用。仅在设备严格用于单一用途(信息亭、专用设备)时才切换到允许列表。
- 先在小范围测试。 像阻止相机或禁用截屏这样的限制可能会破坏您未预料到的工作流程。在广泛部署之前,先向试点组推送。
- 与其他蓝图设置结合使用。 将限制与密码策略、VPN 和安全配置相结合,实现纵深防御。
- 记录您的包 ID。 使用
AllowedAppBundleIDs或BlockedAppBundleIDs时,请维护您组织应用的包 ID 列表。包 ID 可能随应用更新而改变。 - 不要混用允许和阻止列表。 一个蓝图不能同时设置
AllowedAppBundleIDs和BlockedAppBundleIDs。每个蓝图选择一种策略。
