使用 Apple 商务管理自定对某些 App 和服务的用户访问权限
你可能希望允许使用管理式 Apple ID 登录的用户访问许多 Apple App 和服务。如果你是管理员或人员经理,你可以在 Apple 商务管理中选择哪些用户可以访问特定 App 和服务,从而管理用户对 App 和服务的访问权限。例如,你可以开启对特定 iCloud 功能的访问权限、指定哪些 App 数据可以储存在云中,并关闭对 FaceTime 通话和 iMessage 信息的访问权限。
要进一步进行自定,你可以选择用户可以登录的设备,并调整用户对特定隐私和安全功能的访问权限。
必备条件
某些功能有以下要求:
iOS 17、iPadOS 17 和 macOS 14 或更高版本。
第三方 MDM 解决方案的支持。请查阅 MDM 供应商的文稿,了解他们是否支持这些功能。
【重要事项】在设备管理状态的要求发生变化的情况下,如果设备状态不符合新要求,管理式 Apple ID 会自动从设备中退出登录。
使用管理式 Apple ID 时对服务的访问权限
使用管理式 Apple ID 时,对特定服务的访问权限会有所不同。请参阅 Apple 平台部署中的使用管理式 Apple ID 时的服务访问权限。
管理 iCloud 功能和 App 访问权限
你可以对以下任何功能进行自定,以满足组织的需求。其中包括决定用户可以使用管理式 Apple ID 登录哪些设备:
关闭:用户无法在 iCloud 中储存他们的数据。
任何设备:用户可以在任何设备上访问他们的 iCloud 数据。
仅管理式设备:设备由支持新的“获取令牌”端点的 MDM 解决方案管理。
仅被监督的设备:设备必须由支持新的“获取令牌”端点的 MDM 解决方案监督(和管理)。
【注】此功能需要 iOS 17、iPadOS 17、macOS 14,以及 MDM 解决方案的支持。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“iCloud”,然后选择用户可以使用其管理式 Apple ID 登录的设备:
关
任何设备(默认)
仅管理式设备
仅被监督的设备
选择“协作”,然后启用相应功能以允许用户在 Keynote 讲演、Numbers 表格和 Pages 文稿中协作处理文件,你还可以选择是否允许自动接受这些文件。
任何人(默认)用户可以使用 Apple ID 与任何其他用户协作。
仅组织:用户只能使用同一 Apple 商务管理组织中的管理式 Apple ID 与其他用户协作。
关闭:用户无法共享 Keynote 讲演、Numbers 表格 或 Pages 文稿。
自动接受文件:用户自动接受邀请,以协作处理共享的文稿。
从顶部选择“iCloud”,然后关闭对以下 iCloud 功能的访问权限:
iCloud 云盘:用户可以在 iCloud 云盘中储存数据。
密码和钥匙串:用户可以在 iCloud 钥匙串中储存密码和通行密钥。
在网页上访问 iCloud 数据:用户可以登录 www.icloud.com 访问自己的数据。
iCloud 备份:用户可以使用 iCloud 备份来备份自己的设备。
为下表中的 App 关闭在 iCloud 中储存 App 数据的访问权限。
App
将数据同步到其他设备?
备忘录
股市
日历
提醒事项
通讯录
无边记
新闻
信息
照片
Safari 浏览器
Siri
管理用户对 FaceTime 通话和 iMessage 信息的访问权限
默认情况下,使用管理式 Apple ID 登录的用户拥有对 FaceTime 通话和 iMessage 信息的访问权限。你可以对此访问权限进行修改。
FaceTime 通话:可以关闭 FaceTime 通话(包括“仅音频”通话和视频通话),并将访问权限设置为只允许与组织内的其他用户通话,或允许与组织内外的任何人通话。
iMessage 信息:可以关闭 iMessage 信息,并将访问权限设置为只允许联系组织内的其他用户,或允许联系组织内外的任何人
【注】如果 iMessage 信息处于关闭状态,用户仍然可以发送和接收短信/彩信。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“FaceTime 通话”,将其关闭或开启。如果将其开启,请选择以下任一选项:
任何人(默认)
仅组织
从顶部选择“Apple 服务”,选择“信息”,将其关闭或开启。如果将其开启,请选择以下任一选项:
任何人(默认)
仅组织
开启用户对 Apple 钱包的访问权限
默认情况下,使用管理式 Apple ID 登录的用户没有对 Apple 钱包的访问权限。如果组织允许,你可以为他们开启访问权限,以便让他们添加员工徽章。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“钱包”,然后开启使用 Apple 钱包的访问权限。
开启用户对 Apple 开发者内容的访问权限
默认情况下,使用管理式 Apple ID 登录的用户没有对 Apple 开发者内容的访问权限。你可以对此访问权限进行修改。
【注】此功能将具有任何职务的用户添加到现有开发者团队。这不会创建新的开发者账户。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“开发者”,然后执行以下任一操作:
开启对 Apple 开发者计划的访问权限。
开启对 Xcode Cloud 计划的访问权限。
开启对 MFi 门户的访问权限。
开启用户对 AppleSeed for IT 的访问权限
AppleSeed for IT 专为致力于在组织内对每个新版本 Apple Beta 版软件进行测试的企业和教育客户而设计。使用 Apple 商务管理的组织可以指定组织中的哪些账户角色可以参与测试。参与者可以使用管理式 Apple ID 访问测试计划,并且参与者的反馈会与他们所属的组织相关联。
默认情况下,使用管理式 Apple ID 登录的用户没有对 AppleSeed for IT 的访问权限。你可以对此访问权限进行修改。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“AppleSeed for IT”,然后开启用户对该网站的访问权限。
有关更多信息,请参阅职务:基本权限和 AppleSeed for IT 网站。
选择用户可以登录的设备
你可以选择用户能够使用其管理式 Apple ID 登录的设备。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“在以下设备上允许管理式 Apple ID”,然后选择以下任一选项:
任何设备(默认):用户可以登录任何设备,无论该设备是否显示在 Apple 商务管理中。
仅管理式设备:设备的序列号必须显示在 Apple 商务管理中。
仅被监督的设备:设备必须受监管,设备的序列号必须显示在 Apple 商务管理中。
开启用户对特定隐私和安全功能的访问权限
你可以开启对特定隐私和安全功能的访问权限。
在 Apple 商务管理中 ,通过具有管理员或人员经理职务的账户登录。
选择边栏中的“访问权限管理”,然后选择“Apple 服务”。
选择“隐私与安全性”,然后开启对以下任一选项的访问权限:
数据和隐私访问权限:允许用户请求获取数据副本。
用户账户查找:允许用户查找其他用户的联系信息。
自动登录 Apple Watch:允许用户不必输入密码就能将 Apple Watch 与 iPhone 配对。