發布管理式 App 到 Apple 裝置
取決於你的組織,你可能需要控制發布給使用者的 App 如何連接內部資源,以及如何在有使用者離開組織時維護資料的安全。你可以使用行動裝置管理(MDM)解決方案以無線傳輸方式發布免費、付費和自訂 App,管理資料流量,同時在組織安全性與使用者個人化之間取得適當的平衡。
管理式 App
使用 MDM 安裝的 App 稱為管理式 App。它們通常包含敏感性資訊,而你擁有比管理使用者直接下載的 App 更多的控制。
管理式 App 可以透過 MDM 解決方案來遠端從裝置中移除,在使用者從 MDM 移除裝置時也會移除。在 iPhone、iPad 和 Apple Vision Pro 上,移除 App 也會移除其資料容器中與其相關聯的資料。若 App 授權透過 iPhone、iPad 和 Apple Vision Pro 上的 MDM 撤銷而未移除,App 會維持可在裝置上使用 30 天。若 App 開發者執行回條檢查,該 App 可能會提早停用。在 Mac 上,App 會維持可用直到發生回條檢查。
App 停用後便無法再啟動而且使用者會收到通知,但 App 仍會在裝置上而且其資料會保留。使用者購買副本後,App 便可以再次使用。
管理式 App 取用限制和功能
管理式 App 可具有下列 MDM 功能和取用限制,提供經過改善的安全性和較佳的使用者體驗:
從 MDM 取消註冊:指定當使用者從 MDM 取消註冊時,是否要在裝置上保留管理式 App 及其資料。
轉換 App:將未受管理的 App 轉換為管理式 App。
若裝置受到監管,則在 MDM 解決方案要求時,從未受管理的 App 轉換成管理式 App 的作業並不需要使用者的互動。若裝置未被監管,使用者必須正式接受管理。「使用者註冊」到 MDM 不支援 App 轉換。
App 版本更新:定期檢查 App Store 以取得新版本的公用 App,然後傳送安裝 App 的指令到裝置來更新 App。這個檢查也會套用到自訂 App。透過 MDM 安裝和管理裝置指派的 App 必須由 MDM 更新;App Store 中不會向使用者顯示任何 App 更新通知。
允許「iPhone 卡緊收」(iOS):在 iOS 16.4 或以上版本中,在前景中執行的付款 App 可以在「iPhone 卡緊收」交易期間標示為以安全方式使用。設定後,此功能會要求使用者在每次交易後、該裝置交給客戶輸入其卡片 PIN 碼期間以 Face ID、Touch ID 或密碼解鎖其裝置。
使用「受管理的打開方式」取用限制(iOS、iPadOS):你可以從三個功能中進行選擇以保護你組織的 App 資料:
在已管理目標中允許來自未管理來源的文件。套用此限制有助於避免使用者以私人的來源與帳號來開啟你組織中受管理目標裡的文件。例如,此限制可防止使用者在你組織的 PDF App 中開啟來自某個隨機網站的 PDF。
在未管理目標中允許來自已管理來源的文件。套用此限制有助於避免組織裡受管理的來源與帳號開啟使用者私人目標裡的文件。這項限制可以避免使用者以任何私人 App 來開啟你組織中受管理的郵件帳號裡的機密郵件附檔。
受管理的剪貼板。在 iOS 15 和 iPadOS 15 或以上版本中,此取用限制可協助在受管理和未受管理的目標之間控制內容的貼上。強制執行上述限制時,內容的貼上預設為遵守第三方或第一方 App(如行事曆、檔案、郵件和備忘錄)之間受管理的打開方式範圍。App 在此取用限制經使用且內容跨越受管理的邊界時也無法從剪貼板要求項目。在 iOS 16 和 iPadOS 16.1 或以上版本中,這包含受管理的網域。
將 App 標示為不可移除(iOS、iPadOS):在 iOS 14 和 iPadOS 14 或以上版本中,你可以將管理式 App 標示為不可移除。管理者之前必須完全鎖定主畫面並防止刪除所有 App,而這會限制使用者管理自己 App 的能力。使用者可以繼續重新排列其 App、安裝新 App,以及刪除其他已安裝的 App。管理者可以將極其重要的管理式 App 標示為不可移除。當使用者嘗試刪除或卸載管理式 App,系統會阻止此程序並顯示提示。不可移除的管理式 App 可確保組織的使用者一律具備在其裝置上所需的 App。
防止管理式 App 備份資料(macOS):你可以協助防止管理式 App 備份資料到 Finder(macOS 10.15 或以上版本)或 iTunes(macOS 10.14 或較早版本)或是 iCloud。若使用 MDM 解決方案移除某個 App 後又由使用者重新安裝,不允許備份有助於避免復原管理式 App 資料。
使用 App 配置設定:App 開發人員可以識別可設定的組態設定或 App 以管理式 App 進行安裝之前或之後所能進行的設定。例如,開發者可以指定 SkipIntro 設定來讓 App 略過管理式 App 的簡介畫面。
使用可由 MDM 讀取的 App 使用者意見設定:App 開發人員可以使用 MDM 來識別可被讀取的 App 設定。例如,開發人員可以指定
DidFinishSetup」
鍵,讓 MDM 解決方案能查詢此鍵來判定該 App 是否已經啟動與設定。從 Safari 下載受管理的文件:Safari 的下載項目會被視為受管理的文件(若它們來自受管理的網域)。例如,若使用者從受管理的網域下載 PDF,便會要求該 PDF 符合所有受管理文件的設定。如需更多資訊,請參閱:受管理的網域範例。
防止管理式 App 在 iCloud 中儲存資料:使用者在未受管理的 App 中製作的資料仍可儲存在 iCloud 中。
【注意】並非所有選項都適用於所有 MDM 解決方案。若要瞭解哪些 MDM 選項適用於你的裝置,請參閱 MDM 廠商的文件。
受管理的書籍
你也可以使用 MDM 解決方案來發布你所製作的受管理書籍、EPUB 書籍和 PDF。
MDM 所發布的 EPUB 書籍和 PDF 會與其他受管理的文件一樣具有相同屬性:它們可以視需要以較新的版本進行更新,只能與其他管理式 App 共享,或是可以使用受管理帳號的電子郵件傳送。MDM 解決方案也可以防止備份受管理的書籍。這些書籍會指定給使用者,不過它們只會出現在指定給具備 MDM 之使用者的 iPhone 和 iPad 裝置上。
【注意】Apple Vision Pro 不支援受管理的書籍。
限制第三方的鍵盤
iOS 和 iPadOS 支援「受管理的打開方式」(Managed Open In)規則,會套用到第三方鍵盤的延伸功能上。這些規則可避免未受管理的鍵盤出現在管理式 App 上。