將「受管理的 App」分派到 Apple 裝置
視乎你的機構,你可能需要控制分派給用户的 App 如何連接內部資源,以及如何在有用户離開機構時維護資料的安全。 你可以透過裝置管理服務以無線傳輸方式分派免費、付費和「自訂 App」,並管理資料的流向,以及在機構保安與用户個人化之間取得適當的平衡。
受管理的 App
使用裝置管理服務安裝的 App 稱為「受管理的 App」。 它們通常包括敏感性資料,因此與用户下載的 App 相比,你對這些 App 會擁有更多的控制。
可透過以下方式從裝置移除「受管理的 App」:
透過裝置管理服務遙距移除。
在用户從裝置管理服務取消註冊裝置時移除。
在 iPhone、iPad 和 Apple Vision Pro 上,移除 App 亦移除該 App 的資料容器內與其相關的資料。 如果裝置管理服務在 iPhone、iPad 或 Apple Vision Pro 撤銷 App 許可證,但未有移除該許可證,該 App 在 30 日內仍可在裝置上使用。 如 App 開發者套用收據檢查,該 App 可能會停用得更早。 在 Mac 上,App 可供使用直至出現收據檢查。
在 App 被停用後,系統就無法再執行該 App,並會通知用户,但 App 會留在裝置上,且其資料亦會被保留。 在用户再次擁有已購版本時,就可以再次使用該 App。
「受管理的 App」取用限制和功能
「受管理的 App」可具有下列功能和取用限制,並提供更好的保安和較佳的用户體驗:
從裝置管理服務取消註冊: 指定當用户從裝置管理服務取消註冊時,是否要在裝置上保留「受管理的 App」及其資料。
轉換 App: 將未受管理的 App 轉換成「受管理的 App」。
如裝置受到監管,在裝置管理服務的要求下,從未受管理的 App 轉換成「受管理的 App」之操作並不需要用户互動。 如裝置未被監管,用户需要正式接受管理。 App 轉換無法支援「用户註冊」。
App 版本更新: 定期檢查 App Store 以取得新版本的 App,然後傳送安裝 App 指令到裝置以更新 App。 此檢查也會套用至「自訂 App」。 你透過裝置管理服務安裝和管理的裝置分派 App 需要由該服務更新;App Store 中不會向用户顯示 App 更新通知。
允許 Tap to Pay(iOS): 在使用 iOS 16.4 或較新版本的裝置上,可以標記在前景中執行的付款 App,以在進行 Tap to Pay 交易期間安全使用。 設定時,其在用户每次需將裝置交給客户輸入卡 PIN 的交易後,要求用户使用其 Face ID、Touch ID 或密碼解鎖裝置。
使用「受管理的開啟方式」(Managed Open In)限制(iOS、iPadOS): 你可以從三個功能中進行選擇來保護你機構的 App 資料:
在受管理目標中允許來自未受管理來源的文件。 如套用此限制,可以協助避免用户以私人的來源與帳户來開啟你機構中受管理目標裏的文件。 例如,此限制可防止用户在你機構的 PDF App 中開啟來自某個隨機網站的 PDF。
在未受管理目標中允許來自受管理來源的文件。 如套用此限制,便可協助避免機構裏受管理的來源與帳户開啟用户私人目標裏的文件。 這項限制可以避免用户以任何私人 App 來開啟你機構中受管理的郵件帳户裏的機密郵件附檔。
受管理的剪貼板。 在使用 iOS 15 和 iPadOS 15 或較新版本的裝置上,此限制有助控制在受管理和未受管理的目標間貼上內容。 執行上述限制時,貼上內容的動作被設計為需遵守在第三方或第一方 App(例如「日曆」、「檔案」、「郵件」和「備忘錄」)間的「受管理的開啟方式」(Managed Open In)的邊界。 當使用此取用限制而內容跨越受管理範圍的邊界時,App 也無法要求取得剪貼板的內容。 在使用 iOS 16 和 iPadOS 16.1 的裝置上,這包括受管理的網域。
將 App 標記為不可移除(iOS、iPadOS): 在使用 iOS 14 和 iPadOS 14 或較新版本的裝置上,你可以將「受管理的 App」標記為不可移除。 從前,管理員需要完全鎖定主畫面並防止刪除所有 App,此舉會限制用户管理自己的 App。 用户可以繼續重新排列其 App、安裝新的 App,以及刪除他們已安裝的其他 App。 管理員可以將其極其關鍵的「受管理的 App」標記為不可移除。 當用户嘗試刪除或卸載「受管理的 App 時」,系統會阻止該程序並顯示提示。 不可移除的「受管理的 App」確保機構的用户總是在他們的裝置上備有所需的 App。
防止「受管理的 App」備份資料(macOS): 你可以防止「受管理的 App」上的資料備份至 Finder(在 macOS 10.15 或較新版本)、iTunes(在 macOS 10.14 或較早版本),或者 iCloud。 如果裝置管理服務移除 App,然後用户在稍後重新安裝該 App,不允許備份可協助避免他人還原「受管理的 App」的資料。
使用 App 配置設定: App 開發者可以識別可配置的組態配置或 App 以「受管理的 App」進行安裝之前或之後所能進行的配置。 例如,開發者可以指定「SkipIntro」設定來讓 App 跳過「受管理的 App」之介紹畫面。
使用裝置管理服務可讀取的 App 回饋設定: App 開發者可以識別裝置管理服務能夠讀取的 App 設定。 例如,開發者可以指定
DidFinishSetup鍵,讓裝置管理服務能查詢此鍵來判定該 App 是否正確開啟和設定。從 Safari 下載受管理的文件: Safari 的下載項目會被視為受管理的文件(如它們來自受管理的網域)。 例如,如用户從受管理的網域下載 PDF,便會要求該 PDF 符合所有受管理文件的設定。 詳情請參閲:受管理的網域範例。
防止「受管理的 App」在 iCloud 中備份資料: 用户在未受管理的 App 製作的資料仍可儲存在 iCloud 中。
備註:並非所有選項都適用於所有裝置管理服務。 如需了解你的裝置可以使用哪些選項,請參閲開發者的裝置管理服務說明文件。
正在設定受管理的 App
機構通常需要根據用户的特定需求或為特定的用户群組自訂 App 的用户體驗。
在安裝 iOS 18.4、iPadOS 18.4、visionOS 2.4 或較新版本的裝置上,機構可以用安全的方式將特定於 App 的設定和機密(例如密碼、證書和身份)部署到採用 ManagedApp 架構的管理式 App。 這允許機構以 com.apple.configuration.app.managed 設定自訂 App 的行為,簡化用户體驗並增加保安。 範例包括:
為特定裝置或用户預先設定「受管理的 App」或 App 延伸功能。
將自動配置的識別身份用於認證和簽署。
安全地接收 API 取用代號。
取得自訂信任的證書(綁定證書)。
使用綁定硬件的密鑰和「管理式裝置證明」進行高強度裝置認證。
如需更多資料,請參閲 Apple 開發者網站上的「受管理的 App」架構。
受管理的書籍
你也可使用裝置管理服務來分派你所製作的受管理書籍、EPUB 書籍及 PDF。
裝置管理服務所分派的 EPUB 書籍和 PDF 會與其他受管理的文件一樣具有相同屬性。 你可以按需要將它們更新為較新的版本、將它們只與其他「受管理的 App」共享,或使用「管理式 Apple 帳户」以電郵方式傳送。 裝置管理服務也可以避免用户備份受管理的書籍。 雖然你將這些書籍指定給用户,他們只會出現在裝置管理服務指定給那些用户的 iPhone 和 iPad 裝置上。
備註:Apple Vision Pro 不支援受管理的書籍。
限制第三方的鍵盤
iOS 和 iPadOS 支援「受管理的開啟方式」(Managed Open In)規則,會套用到第三方鍵盤的擴充套件上。 這些規則可避免未受管理的鍵盤出現在「受管理的 App」上。