在 Apple 商务中为文件包添加信息
你可以在 Apple 商务中为你的文件包添加更多信息,包括描述、系统扩展程序和隐私政策权限等。
【注】如果你是要更改以下任何设置,则无需创建新文件包。
添加版本号
你可以添加应用程序的版本号,版本号会显示在 Mac 上的 Apple 商务 App 中。
添加图标
你可以为文件包添加图标,图标会显示在 Mac 上的 Apple 商务 App 中。图标必须为:
.icns、.jpeg 或 .png 文件。
不大于 1024 X 1024 像素。
文件大小小于 10 MB。
添加描述
你可以添加一段简短描述,描述会显示在 Mac 上的 Apple 商务 App 中。例如,你可以说明应如何配置应用程序以供组织使用。描述不得超过 300 个字符。
添加系统扩展程序
系统扩展程序能够为 App 赋予额外功能,例如网络扩展或端点安全措施,无需内核访问权限即可扩展 macOS 的功能。用户安装具有系统扩展程序的应用程序时,需要根据提示输入本地管理员的用户名和密码,随后系统才会批准扩展。通过 Apple 商务,你可以在用户的 Mac 电脑上安装扩展,而无需用户批准每项扩展。你可以为每个文件包批准多个系统扩展程序。你需要知道扩展的团队 ID(扩展所拥有的值,具有唯一性)和套装 ID,才能批准扩展。一个系统扩展程序可以有多个套装 ID。如果找不到套装或团队 ID,请联系应用程序开发者。
添加隐私偏好设置权限
macOS 设有内置的隐私权限,用于限制应用程序和脚本可以访问的文件夹和功能。通过 Apple 商务,你可以代表用户指定与文件包的应用程序相关的权限。在为应用程序指定权限之前,你需要知道应用程序的套装 ID 或安装路径,还需要应用程序的代码签名。代码签名用于识别特定的应用程序或二进制文件,并确保其未遭到任何人篡改。请参阅“生成代码签名”。
然后,你可以为下表中的每一项指定权限(允许或拒绝)。部分选项的权限只能设定为拒绝。
配置 | 描述 | 权限 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
辅助功能 | 允许指定的 App 通过辅助功能 API 来控制 Mac。 | 允许 拒绝 | |||||||||
AppleEvents | 允许指定的 App 将受限制的 AppleEvent 发送给另一个进程。 | 允许 拒绝 | |||||||||
日历 | 允许指定的 App 访问由“日历”管理的日程信息。 | 允许 拒绝 | |||||||||
相机 | 用于拒绝指定的 App 访问相机。 | 拒绝 | |||||||||
通讯录 | 允许指定的 App 访问由“通讯录”管理的联系人信息。 | 允许 拒绝 | |||||||||
“桌面”文件夹 | 允许指定的 App 访问“桌面”文件夹。 | 允许 拒绝 | |||||||||
“文稿”文件夹 | 允许指定的 App 访问“文稿”文件夹。 | 允许 拒绝 | |||||||||
“下载”文件夹 | 允许指定的 App 访问“下载”文件夹。 | 允许 拒绝 | |||||||||
文件提供者 | 允许指定的文件提供者 App 进行访问,以了解用户何时使用由“文件提供者”管理的文件。 | 允许 拒绝 | |||||||||
输入监听 | 设置哪些已获批准的 App 对输入设备(鼠标、键盘、触控板)具有指定的访问权限。 | 拒绝 | |||||||||
媒体资料库 | 允许指定的 App 访问 Apple Music、音乐和视频活动以及媒体资料库。 | 允许 拒绝 | |||||||||
麦克风 | 拒绝指定的 App 访问麦克风。 | 拒绝 | |||||||||
网络宗卷 | 允许指定的 App 访问网络宗卷上的文件。 | 允许 拒绝 | |||||||||
照片 | 允许指定的 App 访问由“照片”App 管理的图像(位于“/Users/[YourShortUserName]/Pictures/Photos Library”中)。 【注】 如果用户将照片图库放在其他地方,则不会受到保护而防止其他 App 访问。 | 允许 拒绝 | |||||||||
发布活动 | 允许指定的 App 使用 Core Graphics API 将 CGEvents 发送给系统活动流。 | 允许 拒绝 | |||||||||
提醒事项 | 允许指定的 App 访问由“提醒事项”管理的信息。 | 允许 拒绝 | |||||||||
可移除宗卷 | 允许指定的 App 访问可移除宗卷上的文件。 | 允许 拒绝 | |||||||||
屏幕录制 | 拒绝指定的 App 进行访问,以捕获(读取)系统显示屏的内容。 | 拒绝 | |||||||||
语音识别 | 允许指定的 App 使用系统语音识别功能并将语音数据发送给 Apple。 | 允许 拒绝 | |||||||||
系统策略:管理员文件 | 允许指定的 App 访问 IT 部门使用的某些文件。 | 允许 拒绝 | |||||||||
系统策略:所有文件 | 允许指定的 App 访问各种 App(例如“邮件”、“信息”、Safari 浏览器、“家庭”和“时间机器”备份)中的数据,以及访问 Mac 上所有用户的某些管理设置。 | 允许 拒绝 | |||||||||
Apple 事件接收器
在某些情况下,应用程序可能需要先发送 Apple 事件,才能向另一个应用程序发出请求。例如,应用程序可能需要“访达”在相应的原生应用程序中打开某个文件,然后所请求的应用程序才能对该文件进行编辑。应用程序需要每个事件接收应用程序的相应权限。在向应用程序授予此权限时,你可以授予一个或多个接收应用程序;每个应用程序都需要由自己的套装 ID 或路径和代码签名来指定。如果为接收应用程序指定了隐私权限,那么这些属性将与你所使用的属性相同,并且可以使用相同的方法来发现这些属性。
管理登录项和后台项目
文件包可能包含用户登录 Mac 时运行的项目(或在后台运行的项目)。这些项目可以包括 shell 脚本和应用程序正常运行所需的其他文件。当这些项目被添加到运行 macOS 13 或更高版本的 Mac 电脑时,用户会收到通知,并且可以在“系统设置”>“通用”>“登录项”中停用这些项目。为防止用户停用这些项目,可以为登录项或后台项目提供标识符。如果标识符与项目匹配,则用户仍然可以看到项目,但不能移除或停用项目。你可以选择以下任一标识类型:
Application BundleIdentifier:应用程序的套装标识符,需要完全匹配。
Application BundleIdentifierPrefix:需匹配的应用程序套装标识符的前缀。
Developer TeamIdentifier:代码签名属性中的团队标识符,需要完全匹配。
Service Label:
launchd.plist 标签参数的值,需要完全匹配。Service LabelPrefix:需匹配的
launchd.plist 标签参数的前缀。
【注】如果用户尝试为从“App 和图书”添加的任何 App 停用其登录项和后台项目,则 Apple 商务会自动阻止。