限制负载
限制负载可禁用 Android 或 iOS 设备上的特定应用程序或功能。每台设备仅可以使用一个限制负载。如果将多个限制负载应用到设备所在的文件夹,则只有优先级最高的负载会发送到设备。通过查看设备详细信息,可以查看已发送至设备的负载。
使用限制负载时,确保未锁定其他操作所需的功能。例如观察以下方案:
•由于用户需要访问设置才能设置或更改密码,因此请勿在使用密码负载时阻断设置应用程序。
•确保已分发软件负载,并且在禁用安装应用程序前已将所需的应用程序安装在设备上。
•在应用负载以启用白名单前,请确保已在设备上安装白名单中的应用程序。
Android
简单限制|
"已加密设备:" |
为设备上储存的个人信息加密。包括帐户、设置、应用程序、媒体以及存储在电话内部存储媒介上的其他数据。不过,这并不会加密可移动存储介质,如 SD 卡。启用该选项会提示用户加密设备,不过不会强制加密。用户需要在加密设备之前设置密码,因为密码可用于在每次解锁设备时解密信息。根据设备的不同,加密操作可能是不可逆的。 |
|
允许设置应用程序 |
允许用户访问并更改 Android 设备设置。 |
|
允许安装应用程序 |
允许用户安装应用程序。如果清除该选项的复选框,则不会阻止用户删除设备上的应用程序。Avalanche 无法在设备级别防止删除应用程序。 |
|
允许使用摄像机 |
允许用户启动摄像机应用程序。 |
|
允许使用 Web 应用程序 |
允许用户启动 Web 浏览器。 |
|
允许使用默认 Web 浏览器 |
允许用户启动默认 Web 浏览器。 |
|
允许使用邮件应用程序 |
允许用户启动电子邮件应用程序。 |
|
允许使用 Google 搜索引擎 |
允许用户使用 Google 搜索应用程序。 |
|
允许使用 YouTube |
允许用户使用 YouTube 应用程序。 |
|
启用 SAFE 限制 |
允许用户在 Samsung SAFE 设备上限制特定操作。当负载发送到设备时,这些选项仅适用于 Samsung SAFE 设备。 |
|
允许卸载应用程序 |
允许用户卸载应用程序。 |
|
允许语音拨号器 |
允许用户使用语音命令进行拨号。 |
|
允许 Play Store |
允许用户访问 Google Play Store。 |
|
加密外部 SD 卡 |
允许用户加密 Samsung SAFE 设备上的外部 SD 卡。加密流程必须由用户在设备级别执行。 部署选择该选项的限制负载之后,要加密设备上的外部 SD 卡,可启动设置应用程序,并且导航至安全性 > 加密外部 SD 卡。轻触设置屏幕锁定类型 > 密码,然后设置并确认密码。该密码用于访问 SD 卡上的数据,以及解密 SD 卡。设置密码之后,会返回“加密外部 SD 卡”屏幕,并且必须轻触继续然后输入密码,以开始加密流程。完全加密后,会在屏幕顶部显示通知。 要解密外部 SD 卡,必须在 Avalanche 中取消激活该选项,然后同步到设备。同步之后,启动设置应用程序,并且导航至“加密外部 SD 卡”屏幕。轻触关闭,并且输入之前设置的密码。轻触应用,然后等待 SD 卡解密。完成后会在屏幕顶部显示通知。 |
|
应用程序限制 |
允许创建特定应用程序的列表并为每个应用程序分配限制或允许。 要为管理添加特定应用程序,请在文本框中键入名称和程序包详细信息,然后点击添加应用程序。例如,要为 Gmail 应用程序添加限制,可键入:Gmail com.google.android.gm。 在列表中选择应用程序并点击设置限制图标,以此为应用程序设置限制。一次只能为一个应用程序设置限制。在此选择的选项仅适用于所选的应用程序。如果应用程序需要使用已限制的选项,该应用程序在启动时会自动关闭,并显示错误消息。如果运行中的应用程序请求访问已限制的设置的权限,而设备用户授予相应权限,这也会导致应用程序强制关闭。 |
|
设备限制 |
全局限制所有应用程序与彼此以及 Samsung SAFE 设备的交互方式。选择限制将阻止设备上的应用程序执行特定操作。例如,如果选择“读取 SMS”,则接收此负载的设备无法打开和查看 SMS 消息。 如果应用程序需要使用已限制的选项,该应用程序在启动时会自动关闭,并显示错误消息。如果应用程序请求访问已限制的设置的权限,而设备用户授予相应权限,这会导致应用程序强制关闭。 |
黑名单则表示未批准使用的应用程序,并且会在启动未批准的应用程序时将用户重定向至主屏幕。
要阻止特定的应用程序,请点击浏览图标,以便在 Google Play 商店中搜索应用程序,或者输入名称和程序包详细信息并点击添加应用程序。在应用程序名称文本框中为应用程序键入友好名称,在应用程序包文本框中键入 Android 程序包名称。例如,要阻止 Gmail 应用程序,可键入:Gmail com.google.android.gm
要从列表删除应用程序,请启用应用程序名称旁边的复选框,然后点击删除图标。
为了让设备用户覆盖设备上的应用程序限制,必须在 Avalanche 中的工具 > 系统设置中设置智能设备客户端管理员密码。设置密码并同步设备之后,可以在设备上输入密码以禁用应用程序限制。
要取消激活应用程序限制,请编辑原始负载,重新部署负载,并且同步所需的设备。
白名单表示批准的应用程序,并阻止其他应用程序启动。
如果创建白名单,则必须从已批准应用程序的列表中选择默认应用程序。通常,默认应用程序是列出可用应用程序的应用程序启动程序。部署负载后,轻触设备上的主应用程序按钮,以启动主应用程序。按住主应用程序按钮或导航至被阻断的应用程序会显示一个对话框,其中列出可用的应用程序。
要将特定应用程序添加到白名单,请点击浏览图标,在 Google Play 商店中搜索应用程序。也可以在应用程序名称文本框中键入应用程序的友好名称,在应用程序包文本框中键入 Android 程序包名称,以此手动添加应用程序。例如,要添加 Gmail 应用程序,可键入:Gmail com.google.android.gm
要从列表删除应用程序,请启用应用程序名称旁边的复选框,然后点击删除图标。
为了让设备用户覆盖设备上的应用程序限制,必须在 Avalanche 中的工具 > 系统设置中设置智能设备客户端管理员密码。设置密码并同步设备之后,可以在设备上输入密码以禁用应用程序限制。
要取消激活应用程序限制,请编辑原始负载,重新部署负载,并且同步所需的设备。
在 Samsung SAFE 设备上部署白名单限制将同时禁用硬软主屏幕键,并创建一个允许用户导航回主应用程序的按钮。
Android Enterprise
收到限制负载的设备可设置为需要管理员密码才能从设备执行某些操作,例如取消注册。要设置管理员密码,请创建或编辑 Android Enterprise 限制负载,选择启用管理员覆盖,然后输入密码。尝试执行受限制的操作时,系统会提示设备用户输入管理员密码。临时禁用设备上的专用设备模式时,也需要输入管理员密码。
有关专用设备模式的详细信息,请参阅专用设备(锁定任务)模式。
|
恢复出厂设置保护 |
恢复出厂设置保护要求在恢复出厂设置之后使用经授权的帐户登录设备。经授权的帐户是指在设备恢复出厂设置之前便已在设备上的帐户。将设备上的公司帐户与恢复出厂设置保护结合使用,可确保即使设备在恢复出厂设置之后,公司仍能保留对设备的控制,从而提供另一层设备安全防护。恢复出厂设置保护默认已启用。选择此选项以将其禁用。 |
|
从设置应用程序恢复出厂设置 |
防止用户从设置应用程序恢复设备出厂设置。 |
|
禁用智能锁定 |
禁用 Google 智能锁定选项,包括在受信任的位置或与受信任的设备配对时保持非锁定状态。 |
|
阻止卸载托管的应用程序 |
防止用户卸载已推送到设备的托管应用程序。 |
|
禁用键盘锁相机 |
禁用从锁定屏幕打开相机。 |
|
禁用添加 Google 用户帐户 |
防止用户将个人 Google 帐户添加到设备。必须在配置期间设置此限制,以此确保用户不会在部署限制之前添加个人帐户。设置此限制不会移除设备上已经存在的帐户。 |
|
启用专用设备模式(锁定任务模式) |
将完全托管设备置于锁定任务模式。此模式会将设备锁定到 Android Enterprise 启用程序包含的启动板。通过启动板仅可访问在此负载中列入白名单的应用程序。 在状态栏中启用系统信息。在状态栏中显示时间、电池和 Wi-Fi 信息。 |
|
列入白名单的应用程序 |
创建白名单,以便将设备锁定到批准的应用程序。列表中的应用程序将出现在启用程序启动板中。 要将特定应用程序添加到白名单,请点击浏览图标,在 Google Play 商店中搜索应用程序。您还可以在应用程序名称字段中键入应用程序的友好名称,在应用程序包字段中键入 Android 程序包名称,以此手动添加应用程序。例如,要添加 Gmail 应用程序,可键入:Gmail com.google.android.gm |
|
恢复出厂设置保护 |
恢复出厂设置保护要求在恢复出厂设置之后使用经授权的帐户登录设备。经授权的帐户是指在设备恢复出厂设置之前便已在设备上的帐户。将设备上的公司帐户与恢复出厂设置保护结合使用,可确保即使设备在恢复出厂设置之后,公司仍能保留对设备的控制,从而提供另一层设备安全防护。恢复出厂设置保护默认已启用。选择此选项以将其禁用。 |
|
从设置应用程序恢复出厂设置 |
防止用户从设置应用程序恢复设备出厂设置。 |
|
禁用智能锁定 |
禁用 Google 智能锁定选项,包括在受信任的位置或与受信任的设备配对时保持非锁定状态。 |
|
阻止卸载托管的应用程序 |
防止用户卸载从托管企业 Play 商店安装的应用程序。 |
|
禁用键盘锁相机 |
禁用从锁定屏幕打开相机。 |
|
禁用添加 Google 用户帐户 |
防止用户使用个人帐户登录到企业应用程序。必须在配置期间设置此限制,以此确保用户不会添加个人帐户。设置此限制不会移除设备上已经存在的帐户。 |
iOS
|
允许安装应用程序 |
允许用户安装应用程序。如果清除该选项的复选框,则不会阻止用户删除设备上的应用程序。Avalanche 无法在设备级别防止删除应用程序。 |
|
允许使用摄像机 |
允许用户启动摄像机应用程序。 |
|
允许 FaceTime |
允许用户进行或接收 FaceTime 呼叫。 |
|
允许捕捉屏幕 |
允许用户保存显示屏的截屏。 |
|
允许在漫游时自动同步 |
允许设备自动同步帐户,即便设备处于漫游状态。 |
|
允许使用 Siri |
允许用户使用 Siri 语音命令或听写。 |
|
允许在锁定时使用 Siri |
允许用户在设备锁定时不输入密码就使用 Siri。 |
|
允许 Siri 询问用户生成的内容(仅限受监督的情况) |
允许用户访问 Siri 中由其他用户添加的内容。 |
|
允许语音拨号 |
允许用户使用语音命令进行拨号。 |
|
允许在设备锁定时使用 Passbook |
允许设备在锁定时显示 Passbook 通知。 |
|
允许 In-App Purchase |
允许用户通过已安装的应用程序进行购买。 |
|
强制用户对所有购买输入密码 |
强制用户在每次购买时键入 iTunes Store 帐户密码。 |
|
允许多玩家游戏 |
允许用户进行 Game Center 中的多玩家游戏。 |
|
允许添加 Game Center 好友 |
允许用户在 Game Center 中添加好友。 |
|
允许在锁定时使用 Control Center |
允许用户在设备被锁定时也可以通过向上滑动来查看 Control Center。 |
|
允许在锁定时查看通知视图 |
允许用户在设备被锁定时也可以查看通知。 |
|
允许在锁定时查看“今天”视图 |
允许用户在设备被锁定时也可以通过向下滑动来查看“今天”视图。 |
|
允许 iBooks Store |
允许用户访问 iBooks Store。 |
|
允许使用 AirDrop |
允许用户访问 AirDrop。 |
|
允许帐户更改 |
允许用户更改帐户设置。 |
|
允许应用程序使用手机网络数据 |
允许设备上的应用程序使用手机网络数据连接。 |
|
允许使用 iTunes Store |
允许用户访问 iTunes Store。 |
|
允许使用 YouTube |
允许用户打开 YouTube 应用程序。 |
|
允许使用 Google 搜索 |
允许用户使用 Google 搜索。 |
|
允许使用 Web 浏览器 |
允许用户启动 Safari。禁用该选项时,用户将无法启动 Safari,但仍然可以启动其他 Web 浏览器,例如 Chrome。 |
|
启用自动填写 |
允许用户打开 Safari 的自动填充功能。 |
|
限制广告跟踪 |
阻止将设备 ID 用于广告追踪。 |
|
强制实施欺诈警告 |
用户访问欺诈网站或被篡改的网站时,Safari 将显示警告。 |
|
允许 JavaScript |
允许用户通过 Safari 访问的 Web 页面运行 JavaScript。 |
|
阻止弹出式对话框 |
设置 Safari 拦截弹出式消息。 |
|
接受 cookie |
允许 Safari 接受所有 cookie、拒绝所有 cookie 或仅接受来自直接访问站点的 cookie。 |
|
允许对 Find My Friends 进行更改(仅限受监督的情况) |
允许应用程序访问 Find My Friends。 |
|
允许直接付费的内容 |
允许用户查看 iTunes Store 中直接付费的音乐或视频。直接付费的内容由内容提供商标示。 |
|
分级区域 |
设备应该在允许的内容中使用的带分级系统的媒体区域。 |
|
允许内容分级 |
电影。针对电影允许的内容级别。 电视节目。针对电视节目允许的内容级别。 应用程序。针对应用程序允许的内容级别。 |
|
启用展台模式 |
启用展台模式时,设备仅启动指定的应用程序,并且阻断其他应用程序。要为 Kiosk 模式指定应用程序,请使用应用程序的 Apple ID。要退出展台模式,管理员必须修改负载来关闭展台模式,然后更新设备。展台模式只能用于处于受监督模式的设备。有关详细信息,请参阅 Apple 文档。 |
|
禁用自动锁定 |
阻止设备自动锁定。 |
|
禁用设备旋转 |
禁止在设备旋转的情况下改变显示的方向。 |
|
禁用响铃开关 |
禁用任何与响铃开关相关联的功能。 |
|
禁用睡眠/唤醒按钮 |
禁用任何与睡眠/唤醒按钮相关联的功能。 |
|
禁用触摸 |
禁用屏幕的触摸功能。 |
|
禁用音量按钮 |
禁用音量按钮的任何功能。 |
|
允许辅助触摸 |
允许用户使用辅助触摸功能来更轻松地使用设备。该选项适用于难以触摸屏幕或按下按钮的用户。 |
|
允许辅助触摸调整 |
允许用户配置辅助触摸选项。 |
|
允许反转颜色 |
允许用户反转显示屏幕上的颜色。 |
|
允许用户调整颜色反转 |
允许用户配置颜色反转选项。 |
|
允许单声道音频 |
允许用户将音频输出切换为单声道。 |
|
允许念出所选内容 |
允许用户选择文本并使用“念出所选内容”功能来进行文本到语音的转换。 |
|
允许 VoiceOver |
允许用户使用 VoiceOver 功能来更轻松地使用设备。该选项适用于需要对屏幕上的材料或菜单进行听觉呈现的用户。 |
|
允许用户调整 VoiceOver |
允许用户配置 VoiceOver 选项。 |
|
允许缩放 |
允许用户使用缩放功能。 |
|
允许用户更改缩放 |
允许用户更改缩放设置。 |
|
自动允许 App ID 运行 |
允许通过捆绑 ID 识别的应用程序进入单应用程序模式。 该选项仅在拥有能够进入单应用模式的应用程序时适用。Avalanche 不允许多个应用程序进入单应用模式,仅允许一个应用程序进入此模式。 |
|
允许备份 |
允许用户使用 iCloud 备份设备。 |
|
允许文档同步 |
允许用户在 iCloud 中存储文档。 |
|
允许照片流 |
允许用户使用照片流。如果在设备用户已经使用照片流共享照片之后禁用照片流,则会移除所有已共享的照片。 |
|
允许共享的照片流 |
允许用户共享自己的照片流并查看其他人的照片流。 |
|
允许通过 Touch ID 解锁 |
允许用户使用 Touch ID 来解锁设备。 |
|
允许主机配对 |
允许设备与计算机(用来将设备设为受监督模式的计算机除外)进行配对。 |
|
允许将诊断数据发送到 Apple |
允许设备向 Apple 发送诊断数据。 |
|
允许用户接受不受信任的证书 |
允许用户接受无法验证的 TLS 证书。该设置对于 Safari、“邮件”、“联系人”和“日历”是强制选项。 |
|
允许从受管的应用程序/帐户切换到未受管的应用程序/帐户 |
允许用户从受管的应用程序或帐户切换到未受管的应用程序或帐户。例如,如果电子邮件应用程序处于受管状态,但是浏览器应用程序处于未受管状态,则允许用户通过点击电子邮件中的链接来启动浏览器。 |
|
允许从未受管的应用程序/帐户切换到受管的应用程序/帐户 |
允许用户从未受管的应用程序或帐户切换到受管的应用程序或帐户。例如,如果电子邮件应用程序处于受管状态,但是浏览器应用程序处于未受管状态,则允许用户通过点击网页上的链接来启动电子邮件应用程序。 |
|
允许无线 PKI 更新 |
允许公钥基础架构更新。如果未启用该选项,则可能在使用任何依赖证书的应用程序时遇到问题,包括 Internet 浏览器。 |
|
允许在安装配置文件时进行交互(仅限受监督的情况) |
允许管理员以静默状态向下发送配置文件,而无需用户交互。 |
|
强制实施加密的备份 |
强制用户对所有使用 iTunes 进行的备份加密。 |
对于 iOS 的限制负载中的某些选项,必须使用 Apple 配置程序将设备手动配置为受监督模式。有关受监督模式的信息,请参阅 Apple 文档。