發布管理式 App 到 Apple 裝置
取決於你的機構,你可能需要控制你發布給使用者的 App 如何連接內部資源,以及你如何在有使用者離開機構時維護資料的安全。你可以使用裝置管理服務以無線傳輸方式發布免費、付費和自訂 App,管理資料流量,同時在機構安全性與使用者個人化之間取得適當的平衡。
管理式 App
使用裝置管理服務安裝的 App 稱為管理式 App。管理式 App 通常包含敏感性資訊,與使用者下載的 App 相比,你擁有更多的控制。
管理式 App 可以從裝置中移除:
由裝置管理服務遠端進行。
在使用者從裝置管理服務中註銷裝置時。
在 iPhone、iPad 和 Apple Vision Pro 上,移除 App 也會移除其資料容器中與其相關聯的資料。若裝置管理服務撤銷 iPhone、iPad 或 Apple Vision Pro 上的 App 許可,但未將其移除,App 會維持可在裝置上使用 30 天。若 App 開發者執行回條檢查,該 App 可能會提早停用。在 Mac 上,App 會維持可用直到發生回條檢查。
App 停用後便無法再啟動而且使用者會收到通知,但 App 仍會在裝置上而且其資料會保留。使用者購買副本後,App 便可以再次使用。
管理式 App 取用限制和功能
管理式 App 可具有下列功能和取用限制,提供經過改善的安全性和較佳的使用者體驗:
從裝置管理服務中註銷:指定當使用者從裝置管理服務註銷時,是否要在裝置上保留管理式 App 及其資料。
轉換 App:將未受管理的 App 轉換為管理式 App。
若裝置受到監管,則在裝置管理要求時,無需使用者互動即可從未受管理的 App 轉換成管理式 App。若裝置未被監管,使用者需要正式接受管理。「使用者註冊」不支援 App 轉換。
App 版本更新:定期檢查 App Store 以取得新版本的公用 App,然後傳送安裝 App 的指令到裝置來更新 App。這個檢查也會套用到自訂 App。你透過裝置管理服務安裝和管理裝置指派的 App 需要由該服務更新;App Store 中不會向使用者顯示 App 更新通知。
允許「iPhone 卡緊收」(iOS):針對安裝 iOS 16.4 或以上版本的裝置,在前景中執行的付款 App 可以在「iPhone 卡緊收」交易期間標示為以安全方式使用。設定後,此功能會要求使用者在每次交易後、該裝置交給客戶輸入其卡片 PIN 碼期間以 Face ID、Touch ID 或密碼解鎖其裝置。
使用「受管理的打開方式」取用限制(iOS、iPadOS):你可以從三個功能中進行選擇以保護你機構的 App 資料:
在已管理目標中允許來自未管理來源的文件。套用此限制有助於避免使用者以私人的來源與帳號來開啟你機構中受管理目標裡的文件。例如,此限制可防止使用者在你機構的 PDF App 中開啟來自某個隨機網站的 PDF。
在未管理目標中允許來自已管理來源的文件。套用此限制有助於避免機構裡受管理的來源與帳號開啟使用者私人目標裡的文件。這項限制可以避免使用者以任何私人 App 來開啟你機構中受管理的郵件帳號裡的機密郵件附檔。
受管理的剪貼板。針對安裝 iOS 15 和 iPadOS 15 或以上版本的裝置,此取用限制可協助在受管理和未受管理的目標之間控制內容的貼上。強制執行上述限制時,內容的貼上預設為遵守第三方或第一方 App(如行事曆、檔案、郵件和備忘錄)之間受管理的打開方式範圍。App 在此取用限制經使用且內容跨越受管理的邊界時也無法從剪貼板要求項目。針對安裝 iOS 16 和 iPadOS 16.1 或以上版本的裝置,這包含受管理的網域。
將 App 標示為不可移除(iOS、iPadOS):針對安裝 iOS 14 和 iPadOS 14 或以上版本的裝置,你可以將管理式 App 標示為不可移除。管理員之前必須完全鎖定主畫面並防止刪除所有 App,而這會限制使用者管理自己 App 的能力。使用者可以繼續重新排列其 App、安裝新 App,以及刪除其他已安裝的 App。管理員可以將極其重要的管理式 App 標示為不可移除。當使用者嘗試刪除或卸載管理式 App,系統會阻止此程序並顯示提示。不可移除的管理式 App 可確保機構的使用者一律具備在其裝置上所需的 App。
防止管理式 App 備份資料(macOS):你可以協助防止管理式 App 備份資料到 Finder(macOS 10.15 或以上版本)、iTunes(macOS 10.14 或較早版本)或是 iCloud。若裝置管理服務移除 App,然後使用者稍後重新安裝,不允許備份有助於防止某人復原管理式 App 資料。
使用 App 配置設定:App 開發人員可以識別可設定的組態設定或 App 以管理式 App 進行安裝之前或之後所能進行的設定。例如,開發者可以指定 SkipIntro 設定來讓 App 略過管理式 App 的簡介畫面。
使用裝置服務可讀取的 App 使用者意見設定:App 開發者可以辨識裝置管理服務可讀取的 App 設定。例如,開發者可能會指定
DidFinishSetup」鍵,讓裝置管理服務能查詢此鍵來判定 App 是否正確啟動與設定。從 Safari 下載受管理的文件:Safari 的下載項目會被視為受管理的文件(若它們來自受管理的網域)。例如,若使用者從受管理的網域下載 PDF,便會要求該 PDF 符合所有受管理文件的設定。如需更多資訊,請參閱:受管理的網域範例。
防止管理式 App 在 iCloud 中儲存資料:使用者在未受管理的 App 中製作的資料仍可儲存在 iCloud 中。
【注意】並非所有選項都適用於所有裝置管理服務。如需瞭解你的裝置適用於哪些選項,請參閱開發者的裝置管理服務文件。
設定管理式 App
機構通常需要根據使用者的特定需求或甚至替特別使用者群組自訂 App 的使用者體驗。
在安裝 iOS 18.4、iPadOS 18.4、visionOS 2.4 或以上版本的裝置上,機構可以用安全的方式將特定於 App 的配置和機密(例如密碼、憑證和識別身分)部署到採用 ManagedApp 架構的管理式 App。這可讓機構以 com.apple.configuration.app.managed 配置自訂 App 的行為,簡化使用者體驗並強化安全性。範例包括:
替特定裝置或使用者預先設定管理式 App 或 App 延伸功能。
將自動佈建的識別身分用於認證和簽署。
以安全方式接收 API 權限代號。
取得自訂信任的憑證(綁定憑證)。
使用綁定硬體的密鑰和「管理式裝置證明」進行高強度裝置認證。
如需更多資訊,請參閱 Apple 開發者網站上的 ManagedApp 架構。
受管理的書籍
你也可以使用裝置管理服務來發布你所製作的受理書籍、EPUB 書籍和 PDF。
裝置管理服務發佈的 EPUB 書籍和 PDF 具有與其他受管理文件相同的屬性。你可以視需要以較新的版本將其更新,只與其他管理式 App 共享,或是使用「管理式 Apple 帳號」來以電子郵件傳送。裝置管理服務也可以防止使用者備份受管理的書籍。雖然你將這些書籍指派給使用者,這些書籍只會在裝置管理服務指派給這些使用者的 iPhone 和 iPad 裝置上顯示。
【注意】Apple Vision Pro 不支援受管理的書籍。
限制第三方的鍵盤
iOS 和 iPadOS 支援「受管理的打開方式」(Managed Open In)規則,會套用到第三方鍵盤的延伸功能上。這些規則可避免未受管理的鍵盤出現在管理式 App 上。