常用移动设备管理设置
通过使用包含教育机构常用移动设备管理 (MDM) 设置的配置描述文件,大多数 MDM 解决方案可在设备注册后立即自动为其应用这些设置和策略。
有关如何保护设备安全、促进沟通和协作以及个性化 iPad 以支持不同学习风格和要求的更多信息,请观看视频为学习者个性化设备。
在教育领域有一些常用的管理设置。以下列出了一些常用访问限制和设置,以及它们的含义。
访问限制
以下访问限制常用于教育设置。大多数这些访问限制仅可用于被监督的设备。有关监督的更多信息,请参阅《Apple 平台部署》中的关于 Apple 设备监督。
【注】某些访问限制需要特定的 iOS、iPadOS 或 Apple tvOS 版本。若要查看访问限制支持的版本,请参阅《Apple 平台部署》中的针对 iPhone 和 iPad 设备的 MDM 访问限制和针对 Apple TV 设备的 MDM 访问限制。
允许手动创建 VPN:MDM 可限制用户手动配置 VPN 连接的能力。这可以确保学生的设备通过组织的内容过滤服务发送所有互联网请求。要求 iOS 11 或更高版本。
允许移除系统 App:此访问限制可阻止用户移除“邮件”和“日历”等内建 App。要求 iOS 11 或更高版本。
显示或隐藏 App:MDM 可准确配置能够使用的 App。除“电话”(仅限 iPhone)和“设置”外,所有内建 App 和第三方 App 均可被隐藏。隐藏的 App 可能仍会占用设备的空间,但在隐藏时不可使用。要求 iOS 9.3 或更高版本。
【注】当部署多个显示或隐藏 App 的描述文件(如对于“共享 iPad”的设备描述文件和用户描述文件)时,最终的 App 集将是所指定 App 的交集。例如,如果设备描述文件要求设备仅显示“时钟”和 Safari 浏览器,而用户描述文件要求设备仅显示“邮件”和 Safari 浏览器,则最终只会显示 Safari 浏览器。
允许安装 App:若不允许安装 App,该设备上的 App Store 将停用,其图标也将从主屏幕上移除。
【注】这不会阻止 MDM 解决方案安装 App。
允许 Safari 浏览器:iPad 设备包含 Safari 浏览器,这是 Apple 的原生网页浏览器。MDM 可以通过配置描述文件停用 Safari 浏览器。如果停用 Safari 浏览器,iPadOS 和第三方 App 的很多功能可能无法使用。例如,邮件中的链接将打不开。为了最佳用户体验,请不要停用 Safari 浏览器。若要限制不适宜的网页内容,请参阅使用内容过滤。
允许修改帐户设置:限制此选项后,用户将不能配置新帐户或者更改其用户名、密码或其他与帐户相关联的设置。建议对“共享 iPad”启用此设置,以确保每名学生仅使用其分配到的“管理式 Apple ID”。
允许抹掉所有内容和设置:在 iOS 8 或更高版本中,关闭此选项后,用户不能在“设置” App 中抹掉其设备并还原至默认出厂设置。用户仍可以使用“访达”(macOS 10.15 或更高版本)或 iTunes(macOS 10.14 或更早版本)或通过 USB 连接抹掉设备。
允许配置访问限制:关闭此选项后,用户不能在其设备上设置自己的访问限制。这可以防止用户设定与组织所设冲突的访问限制。MDM 解决方案还可以远程清除访问限制密码。
允许与非 Apple Configurator 主机配对:关闭此选项后,用户不能将其 iPad 与电脑连接。激活时必须启用配对,以允许用户将被监督设备连接到电脑主机。
允许安装配置描述文件:关闭此选项后,用户不能手动安装配置描述文件。这可以防止用户安装与组织的设置相冲突的描述文件。
附加 MDM 设置
一些 MDM 解决方案可能提供这些附加设置中的一项或多项:
将特定被管理的 App 标记为不可移除:在 iOS 14 或更高版本和 iPadOS 14 或更高版本中,此选项可让你确保对执行任务至关重要的 App(如内容过滤 App)始终存在于学生设备上。
设定时区:在 iOS 14 或更高版本和 iPadOS 14 或更高版本中,此 MDM 命令可确保你的所有设备都使用正确的时区(而无需接触设备)。如果未启用,用户必须使用“定位服务”进行设定。
获取 eSIM EID:在 iOS 14 或更高版本和 iPadOS 14 或更高版本中,MDM 解决方案可收集 eSIM 标识符 (EID),它是在对蜂窝网络设备进行故障排除时除了 IMEI 之外需要准备的重要标识符。
主屏幕布局:在 iOS 9.3 或更高版本中,MDM 可以配置主屏幕上 App 图标的位置,包括文件夹的内容和被监督设备上的程序坞。用户不能重新排列图标。
无线局域网设置:MDM 可配置设备上的无线局域网设置,包括 WPA/WPA2-PSK、WPA/WPA2 企业级 和 802.1X。仅配备无线局域网的设备(如部分 iPad 机型和 iPod touch)在通过“Apple 校园教务管理”注册 MDM 前必须先加入无线局域网。如果你的校园网络通常要求配置描述文件来加入,则可能需要临时的部署网络。远程更改无线局域网描述文件需要先从设备移除现有的描述文件,这可能会在部署新的描述文件前断开设备的无线局域网连接。因此,你在广泛部署更新的无线局域网描述文件前应当仔细测试这一功能。
密码策略:当 iPad 使用密码锁定时,除用户外的其他任何人(包括组织)都无法访问设备,且设备上的数据受到保护。MDM 可以要求为 iPad 设定密码,并可要求不同等级的密码复杂度,包括长度、特殊字符和使用期限。
【注】 当设备连接到互联网时,MDM 解决方案可以远程清除密码。iPad 重新启动后,只有输入密码后才能接入安全的无线局域网,这也许能够阻止密码被远程清除。
Web Clip:Web Clip 是设备主屏幕上可链接到网站或 URL 的图标。Web Clip 可以选择启动全屏幕的 Web App,也可以使用 HTML5 本地储存来离线运行。配置描述文件可以包括使用自定标题和图标的 Web Clip,并且可以选择设为不可移除。Web Clip 可出于教育目的将学生指向特定网站。有关在设备上配置 Web Clip 的更多信息,请参阅 Apple 开发者文稿中的 WebClip 描述文件页面。
用户取消注册:许多 MDM 解决方案提供自助服务 App 或 Web Clip,它们包括除 iOS 和 iPadOS 内建的标准 MDM 功能之外的功能。有些自助服务界面允许用户远程从 MDM 取消注册他们的设备。如果组织想要阻止用户从 MDM 取消注册,请停用此功能。若要获取阻止用户取消注册的指南,请参阅你 MDM 供应商的文稿。