將「受管理的 App」分派到 Apple 裝置
取決於你的機構,你可能需要控制分派給用户的 App 如何連接內部資源,以及如何在有用户離開機構時維護資料的安全。 你可以透過流動裝置管理(MDM)解決方案以無線傳輸方式分派免費、付費和「自訂 App」,並管理資料的流向,以及在機構保安與用户個人化之間取得適當的平衡。
受管理的 App
使用 MDM 安裝的 App 稱為「受管理的 App」。 它們通常包括敏感性資料,而你擁有比管理用户直接下載的 App 更多的控制。
「受管理的 App」可以透過 MDM 解決方案來遙距從裝置中移除,或在用户從 MDM 移除裝置時也移除。 在 iPhone、iPad 和 Apple Vision Pro 上,移除 App 亦移除該 App 的資料容器內與其相關的資料。 如 App 許可證已透過 iPhone、iPad 和 Apple Vision Pro 上 MDM 撤銷但未被移除,該 App 在 30 日內仍可在裝置上使用。 如 App 開發者套用收據檢查,該 App 可能會停用得更早。 在 Mac 上,App 可供使用直至出現收據檢查。
在 App 被停用後,系統就無法再執行該 App,並會通知用户,但 App 會留在裝置上,且其資料亦會被保留。 在用户再次擁有已購版本時,就可以再次使用該 App。
「受管理的 App」取用限制和功能
「受管理的 App」可具有下列 MDM 功能和取用限制,並提供更好的保安和較佳的用户體驗:
從 MDM 取消註冊: 指定當用户從 MDM 取消註冊時,是否要在裝置上保留「受管理的 App」及其資料。
轉換 App: 將未受管理的 App 轉換成「受管理的 App」。
如裝置受到監管,在 MDM 解決方案的要求下,從未受管理的 App 轉換成「受管理的 App」之操作並不需要用户互動。 如裝置未被監管,用户必須正式接受管理。 App 轉換無法支援「用户註冊到 MDM」。
App 版本更新: 定期檢查 App Store 以取得新版本的 App,然後傳送安裝 App 指令到裝置以更新 App。 此檢查也會套用至「自訂 App」。 透過 MDM 安裝和管理的裝置分派 App 必須由 MDM 更新;App Store 中不會向用户顯示 App 更新通知。
允許 Tap to Pay(iOS): 在 iOS 16.4 或較新版本中,可以標記在前景中執行的付款 App,以在進行 Tap to Pay 交易期間安全使用。 設定時,其在用户每次需將裝置交給客户輸入卡 PIN 的交易後,要求用户使用其 Face ID、Touch ID 或密碼解鎖裝置。
使用「受管理的開啟方式」(Managed Open In)限制(iOS、iPadOS): 你可以從三個功能中進行選擇來保護你機構的 App 資料:
在受管理目標中允許來自未受管理來源的文件。 如套用此限制,可以協助避免用户以私人的來源與帳户來開啟你機構中受管理目標裏的文件。 例如,此限制可防止用户在你機構的 PDF App 中開啟來自某個隨機網站的 PDF。
在未受管理目標中允許來自受管理來源的文件。 如套用此限制,便可協助避免機構裏受管理的來源與帳户開啟用户私人目標裏的文件。 這項限制可以避免用户以任何私人 App 來開啟你機構中受管理的郵件帳户裏的機密郵件附檔。
受管理的剪貼板。 在 iOS 15 和 iPadOS 15 或較新版本中,此限制有助控制在受管理和未受管理的目標間貼上內容。 執行上述限制時,貼上內容的動作被設計為需遵守在第三方或第一方 App(例如「日曆」、「檔案」、「郵件」和「備忘錄」)間的「受管理的開啟方式」(Managed Open In)的邊界。 當使用此取用限制而內容跨越受管理範圍的邊界時,App 也無法要求取得剪貼板的內容。 在 iOS 16 和 iPadOS 16.1 中,這包括受管理的網域。
將 App 標記為不可移除(iOS、iPadOS): 在 iOS 14 和 iPadOS 14 或較新版本中,你可以將「受管理的 App」標記為不可移除。 從前,管理員需要完全鎖定主畫面並防止刪除所有 App,此舉會限制用户管理自己的 App。 用户可以繼續重新排列其 App、安裝新的 App,以及刪除他們已安裝的其他 App。 管理員可以將其極其關鍵的「受管理的 App」標記為不可移除。 當用户嘗試刪除或卸載「受管理的 App 時」,系統會阻止該程序並顯示提示。 不可移除的「受管理的 App」確保機構的用户總是在他們的裝置上備有所需的 App。
防止「受管理的 App」備份資料(macOS): 你可以防止「受管理的 App」上的資料備份至 Finder(在 macOS 10.15 或較新版本)或 iTunes(在 macOS 10.14 或較早版本)或 iCloud。 如某個 App 使用 MDM 解決方案移除後,又由用户重新安裝,啟用防止備份的限制可協助避免「受管理的 App」資料被還原。
使用 App 配置設定: App 開發者可以識別可配置的組態配置或 App 以「受管理的 App」進行安裝之前或之後所能進行的配置。 例如,開發者可以指定「SkipIntro」設定來讓 App 跳過「受管理的 App」之介紹畫面。
使用 MDM 可識別的回饋設定: App 開發者可以使用 MDM 來識別可被讀取的 App 設定。 例如,開發者可以指定
「DidFinishSetup」
鍵值,讓 MDM 解決方案能查詢此鍵值來判定該 App 是否已經啟動與設定。從 Safari 下載受管理的文件: Safari 的下載項目會被視為受管理的文件(如它們來自受管理的網域)。 例如,如用户從受管理的網域下載 PDF,便會要求該 PDF 符合所有受管理文件的設定。 詳情請參閲:受管理的網域範例。
防止「受管理的 App」在 iCloud 中備份資料: 用户在未受管理的 App 製作的資料仍可儲存在 iCloud 中。
附註:並非所有選項都可以在所有 MDM 解決方案中使用。 如需了解你的裝置可以使用哪些 MDM 選項,請參閲 MDM 供應商的文件。
受管理的書籍
你也可使用 MDM 解決方案來分派你所製作的受管理書籍、EPUB 書籍及 PDF。
MDM 所分派的 EPUB 書籍和 PDF 會與其他受管理的文件一樣具有相同屬性;它們視需要以較新的版本進行更新、只能與其他「受管理的 App」或使用受管理的帳户的郵件進行共享。 MDM 解決方案也可以避免受管理的書籍進行備份。 這些書籍會指定給用户,不過它們只會出現在透過 MDM 指定給用户的 iPhone 和 iPad 裝置上。
附註:Apple Vision Pro 不支援受管理的書籍。
限制第三方的鍵盤
iOS 和 iPadOS 支援「受管理的開啟方式」(Managed Open In)規則,會套用到第三方鍵盤的擴充套件上。 這些規則可避免未受管理的鍵盤出現在「受管理的 App」上。