使用 Intune 允許或限制功能的 macOS 裝置設定

本文說明您可以在 macOS 裝置上控制和限制的設定。 作為行動裝置管理 (MDM) 解決方案的一部分，請使用這些設定來允許或停用功能、設定密碼規則等。

本功能適用於：

• macOS

這些設定會新增至 Intune 中的裝置組態配置檔，然後指派或部署至 macOS 裝置。

開始之前

建立 macOS 裝置限制設定描述檔。

App Store、文檔查看、遊戲

設定適用於：自動裝置註冊 (受監督)

• 封鎖新增 Game Center 好友：「是」可防止使用者將好友新增至 Game Center。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 默認情況下，操作系統可能允許用戶將朋友添加到 Game Center。

  本功能適用於：

  • macOS 10.13 及更新版本

• 封鎖 Game Center： 是 會停用 Game Center，並且 Game Center 圖示會從主畫面中移除。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，作業系統可能會讓使用者使用 Game Center。

  本功能適用於：

  • macOS 10.13 及更新版本

• 在 Game Center 中封鎖多人遊戲：「是」可在使用 Game Center 時防止多人遊戲。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，作業系統可能允許使用者玩多人遊戲。

  本功能適用於：

  • macOS 10.13 及更新版本

內建應用程式

設定適用於：所有註冊類型

• 封鎖 Safari 自動填入： 是 會停用裝置上 Safari 中的自動填入功能。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者變更網頁瀏覽器中的自動完成設定。

• 封鎖使用相機： 是 可防止存取裝置上的相機。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許存取裝置相機。

  Intune 只會管理裝置相機的存取。 它無法存取圖片或影片。

• 封鎖 Apple Music： 「是」 會將「音樂」應用程式還原為經典模式，並停用「音樂」服務。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 默認情況下，操作系統可能允許使用 Apple Music 應用程序。

• 封鎖 Spotlight 建議： 「是」 會停止 Spotlight 傳回任何網際網路搜尋結果。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許 Spotlight 搜尋連線到因特網，並取得搜尋結果。

• 使用 Finder 或 iTunes 封鎖檔案傳輸：是會停用應用程式檔案共用服務。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許應用程式檔案共用服務。

  本功能適用於：

  • macOS 10.13 及更新版本

雲端和儲存

設定適用於：所有註冊類型

• 封鎖 iCloud 鑰匙圈同步：「是」會停用將儲存在鑰匙圈中的認證同步到 iCloud。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者同步處理這些認證。

• 阻止 iCloud 文檔和數據同步： 是 阻止 iCloud 同步文檔和數據。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，作業系統可能允許將文件和鍵值同步處理至您的 iCloud 儲存空間。

• 阻止 iCloud 郵件備份： 是 阻止 iCloud 同步到 macOS 郵件應用程序。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，作業系統可能允許將郵件同步處理至 iCloud。

• 阻止 iCloud 聯繫人備份： 是 阻止 iCloud 同步設備聯繫人。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許使用 iCloud 進行連絡人同步處理。

• 阻止 iCloud 日曆備份： 是 阻止 iCloud 同步到 macOS 日曆應用程序。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許將行事曆同步至 iCloud。

• 阻止 iCloud 提醒備份： 是 會阻止 iCloud 同步到 macOS 提醒應用程式。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許將提醒同步處理至 iCloud。

• 阻止 iCloud 書籤備份： 是 阻止 iCloud 同步設備書籤。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許將書籤同步處理至 iCloud。

• 阻止 iCloud 筆記備份： 是 阻止 iCloud 同步設備筆記。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，作業系統可能允許 Notes 同步處理至 iCloud。

• 阻止 iCloud 照片備份：是禁用 iCloud 照片庫，並阻止 iCloud 同步設備照片。 任何未從 iCloud 照片圖庫完全下載的照片都會從裝置上的本機儲存空間中移除。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 默認情況下，操作系統可能允許在設備和 iCloud 照片庫之間同步照片。

• 封鎖交接：此功能可讓使用者在 macOS 裝置上開始工作，然後繼續在另一個 iOS/iPadOS 或 macOS 裝置上開始的工作。 是 會阻止裝置上的切換功能。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許在裝置上使用此功能。

  本功能適用於：

  • macOS 10.15 及更新版本

設定適用於：使用者核准的裝置註冊、自動裝置註冊 (受監督的)

• 封鎖 iCloud 私人轉送： 是 會停用 iCloud 私人轉送。 停用後，Apple 不會加密離開裝置的網路流量。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許這項功能，以防止網路和伺服器監視使用者在網際網路上的活動。

  本功能適用於：

  • macOS 12 和更新版本

  iCloud Private Relay (打開 Apple 的網站)

連線的裝置

設定適用於：所有註冊類型

• 阻止 AirDrop： 是 阻止在設備上使用 AirDrop。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 預設情況下，作業系統可能允許使用 AirDrop 功能與附近的裝置交換內容。
• 阻止 Apple Watch 自動解鎖： 是 可防止用戶使用 Apple Watch 解鎖其 macOS 設備。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 默認情況下，操作系統可能允許用戶使用 Apple Watch 解鎖他們的 macOS 設備。

網域

設定適用於：所有註冊類型

• 未標記的 Email 網域：在清單中輸入一或多個 Email 網域 URL。 當使用者從你新增的網域以外的網域傳送或接收電子郵件時，該電子郵件會在 macOS 郵件 App 中標示為不受信任。

一般

設定適用於：所有註冊類型

• 封鎖查閱： 是 會防止使用者醒目提示單字，然後在裝置上查閱其定義。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許定義查閱功能。

• 封鎖聽寫： 是 會阻止使用者使用語音輸入輸入文字。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者使用聽寫輸入。

• 封鎖內容快取： 是 會阻止內容快取。 內容快取將應用程式資料、網頁瀏覽器資料、下載等儲存在裝置上的本地。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內容快取。

  如需有關 macOS 上內容快取的詳細資訊，請參閱在 Mac 上管理內容快取 ( 開啟另一個網站) 。

  本功能適用於：

  • macOS 10.13 及更新版本

• 阻止螢幕截圖和螢幕錄製： 是 會阻止使用者儲存顯示器的螢幕截圖。 它還可以防止 Classroom 應用程序觀察遠程屏幕。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者擷取螢幕擷取畫面，並允許 Classroom 應用程式檢視遠端螢幕。

設定適用於：使用者核准的裝置註冊、自動裝置註冊 (受監督的)

• 延遲軟體更新：此設定可讓您將裝置上軟體更新的可見度延遲最多 90 天。 例如，如果 Apple 在特定日期發布 macOS 更新，它自然會在發布日期前後顯示在裝置上。 此設定可以隱藏更新，讓使用者在更新可用時就看不到它。

  此設定不會控制何時安裝更新，也不會影響排程的更新。 允許立即更新種子組建。

  若要使用此設定，請選取您要延遲的軟體更新。 選項包括：

  • 未設定 (預設) ：Intune 不會變更或更新此設定。 根據預設，OS 可能會在新發行的軟體更新發行後立即向使用者顯示。
  • 主要作業系統軟體更新：主要作業系統軟體更新 （例如 macOS 12） 預設會延遲 30 天，除非在 [主要作業系統軟體更新的延遲可見度 ] 欄位中另有指定。 需要 macOS 11.3 及更高版本。
  • 次要作業系統軟體更新：次要作業系統軟體更新 （例如 macOS 12.x） 預設會延遲 30 天，除非在 [次要作業系統軟體更新的延遲可見度 ] 欄位中另有指定。 需要 macOS 11.3 及更高版本。
  • 非 OS 軟體更新：非 OS 軟體更新 （例如 Safari 更新） 預設會延遲 30 天，除非在 「延遲非 OS 軟體更新的可見度 」欄位中另有指定。 需要 macOS 11.0 及更高版本。

  然後輸入您要延遲每種更新類型的時間，從 1-90 天。 例如，如果 macOS 更新在 1 月 1 日可用，且 延遲可見度 設定為 5 天，則更新不會顯示為可用的更新。 在發行後的第六天，該更新將變得可用，並通知使用者更新至觸發延遲時可用的最早版本。 選項包括：

  • 延遲軟體更新的預設可見度：輸入延遲所有軟體更新的天數，從 1 到 90。 如果您未輸入任何內容，預設情況下，更新將延遲 30 天。 如果您選擇個別延遲主要 OS、次要 OS 或非 OS 軟體更新，Intune 會覆寫此值。

  • 主要作業系統軟體更新的延遲可見度：輸入延遲所有主要作業系統軟體更新的天數，從 1 到 90。 如果您未輸入任何內容，預設情況下，更新將延遲 30 天。 此值會覆寫 [延遲軟體更新的預設可見度] 中的值。

    本功能適用於：

    • macOS 11.3 及更新版本

  • 延遲次要作業系統軟體更新的可見度：輸入延遲所有次要作業系統軟體更新的天數，從 1 到 90。 如果您未輸入任何內容，預設情況下，更新將延遲 30 天。 此值會覆寫 [延遲軟體更新的預設可見度] 中的值。

    本功能適用於：

    • macOS 11.3 及更新版本

  • 延遲非作業系統軟體更新的可見度：輸入延遲所有非作業系統軟體更新的天數，從 1 到 90。 如果您未輸入任何內容，預設情況下，更新將延遲 30 天。 此值會覆寫 [延遲軟體更新的預設可見度] 中的值。

    本功能適用於：

    • macOS 11.0 及更新版本

  • 允許啟動鎖定： 是，在受監督的 macOS 裝置上啟用啟動鎖定。 啟動鎖使遺失或被盜的裝置更難重新啟動。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。

    本功能適用於：

    • macOS 10.15 或更新版本

設定適用於：自動化裝置註冊

• 停用 AirPlay、透過 Classroom 應用程式檢視螢幕和螢幕共用： [是 ] 會封鎖 AirPlay，並阻止螢幕共用到其他裝置。 它還阻止教師使用 Classroom 應用程序查看學生的屏幕。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，作業系統可能允許教師查看學生的螢幕。

  若要使用此設定，請將 [封鎖螢幕擷取畫面和螢幕錄製] 設定設定為 [ 未設定 ] (允許) 螢幕擷取畫面。

• 允許 Classroom App 執行 AirPlay 並在沒有提示的情況下檢視螢幕：「 是」 可讓教師看到學生的螢幕，而不需要學生同意。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會要求學生同意，教師才能看到螢幕。

  若要使用此設定，請將 [封鎖螢幕擷取畫面和螢幕錄製] 設定設定為 [ 未設定 ] (允許) 螢幕擷取畫面。

• 需要教師權限才能離開 Classroom 應用程式未受管理的課程： 選擇「是」 會強制註冊非受管理 Classroom 課程的學生獲得教師核准才能離開課程。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許學生在學生選擇時離開課程。

• 允許 Classroom 鎖定裝置而不提示： 選擇「是」 可讓教師在未經學生核准的情況下鎖定學生的裝置或應用程式。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會要求學生同意，教師才能鎖定裝置或應用程式。

• 學生可以自動加入 Classroom 課程，而不會出現提示：選擇 「是」 可讓學生加入課程，而不需要提示老師。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能需要教師核准才能加入班級。

• 阻止修改壁紙： 是 阻止用戶更改設備壁紙。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者變更桌布。

  本功能適用於：

  • macOS 10.13 及更新版本

• 封鎖使用者清除裝置上的所有內容和設定： 是 會停用受監督裝置上的重設選項。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者清除其裝置上的所有內容和設定。

  本功能適用於：

  • macOS 12 和更新版本

密碼

這些設定使用 密碼承載 ( 開啟 Apple 網站) 。

設定適用於：所有註冊類型

• 需要密碼：是需要使用者輸入密碼才能存取裝置。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能不需要密碼。 它也不會強制任何限制，例如阻止簡單密碼或設置最小長度。

  • 必要的密碼類型：輸入貴組織所需的必要密碼複雜度層級。 保留空白時，Intune 不會變更或更新此設定。 選項包括：

    • 未設定：使用裝置預設值。
    • 英數字元：包括大寫字母、小寫字母和數字字元。
    • 數字：密碼只能是數字，例如 123456789。

    本功能適用於：

    • macOS 10.10.3 及更新版本

  • 密碼中的非英數字元數：輸入密碼中所需的複雜字元數，範圍為 0-4。 複字元是符號，例如 ?。 保留空白或設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

  • 密碼長度下限：輸入密碼必須具有的長度下限，從 4-16 個字元不等。 保留空白時，Intune 不會變更或更新此設定。

  • 封鎖簡單密碼： 是 會防止使用簡單密碼，例如 0000 或 1234。 當值為空白或設定為 [ 未設定] 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許簡單的密碼。

  • 螢幕鎖定前閒置時間上限：輸入裝置必須閒置的時間長度，才能自動鎖定螢幕。 例如，進入 5 可在閒置 5 分鐘後鎖定裝置。 當值為空白或設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

  • 螢幕鎖定後需要密碼前的分鐘數上限：輸入裝置必須處於非作用中狀態的時間長度，然後才需要密碼才能解除鎖定裝置。 當值為空白或設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

  • 密碼到期 (天) ：輸入必須變更裝置密碼的天數，範圍為 1-65535。 例如，輸入 90 可在 90 天後使密碼過期。 當密碼到期時，系統會提示使用者建立新密碼。 當值為空白或設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

  • 防止重複使用先前的密碼：限制使用者建立先前使用的密碼。 輸入先前使用但無法使用的密碼數目，範圍為 1 到 24。 例如，輸入 5，讓使用者無法將新密碼設定為目前的密碼或先前四個密碼中的任何一個。 當值為空白時，Intune 不會變更或更新此設定。

  • 允許的登入嘗試次數上限：輸入使用者在裝置鎖定使用者之前可以連續嘗試登入的次數上限，從 2 到 11 次。 超過此數字時，裝置會鎖定。 建議您不要將此值設定為較低的數字，例如 2 或 3。 使用者輸入錯誤的密碼是很常見的。 建議您設定為較高的值。

    例如，輸入 5 ，讓使用者最多可以輸入錯誤的密碼五次。 第五次嘗試後，裝置被鎖定。 如果您將此值保留空白，或不變更它， 11 則預設會使用 。

    六次嘗試失敗後，macOS 會自動強制延遲時間，然後才能再次輸入密碼。 每次嘗試都會增加延遲。 設定 鎖定持續時間 以在輸入下一個密碼之前新增延遲。

    • 鎖定持續時間：輸入鎖定持續的分鐘數，介於 0-10000 之間。 在裝置鎖定期間，登入畫面會處於非作用中狀態，使用者無法登入。 鎖定結束時，使用者可以嘗試再次登入。

      如果您將此值保留空白，或不變更它， 30 則預設會使用分鐘數。

      此設定適用於：

      • macOS 10.10 及更高版本

• 封鎖使用者修改密碼： 是 會停止變更、新增或移除密碼。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許新增、變更或移除密碼。

• 封鎖 Touch ID 來解鎖裝置： 是 可防止使用指紋解鎖裝置。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能允許使用者使用指紋解除鎖定裝置。

• 閒置) (小時數逾時 ：輸入使用者必須輸入密碼的非閒置時數值，而不是 TouchID。

  預設閒置期間為 48 小時。 閒置 48 小時後，裝置會提示輸入密碼，而不是 Touch ID。

  當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會將逾時設定為 48 小時 (172,800 秒) 。

  本功能適用於：

  • macOS 12 和更新版本

• 封鎖密碼自動填入： 是 會阻止在 macOS 上使用自動填入密碼功能。 選擇 [是 ] 也會產生下列影響：

  • 系統不會提示使用者在 Safari 或任何 App 中使用已儲存的密碼。
  • 自動強式密碼已停用，而且不會建議使用者使用強式密碼。

  當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許這些功能。

• 封鎖密碼鄰近要求： 是 可防止裝置向附近的裝置要求密碼。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許這些密碼要求。

• 封鎖密碼共用： 是 可防止使用 AirDrop 在裝置之間共用密碼。 當設定為 [ 未設定 ] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許共用密碼。

隱私偏好

在 macOS 裝置上，應用程式和進程通常會提示使用者允許或拒絕存取裝置功能，例如相機、麥克風、行事曆、文件資料夾等。 這些設定可讓管理員預先核准或預先拒絕存取這些裝置功能。 當您設定這些設定時，您可以代表使用者管理資料存取同意。 您的設定會覆寫他們先前的決定。

這些設定的目標是減少應用程式和進程的提示數量。

本功能適用於：

• macOS 10.14 及更新版本
• 部分設定適用於 macOS 10.15 及更新版本。
• 這些設定僅適用於在升級前安裝了隱私偏好設定檔的裝置。

設定適用於：使用者核准的裝置註冊、自動裝置註冊

• 應用程式和進程： 新增 應用程式或進程以設定存取權。 另請輸入：

  • 名稱：輸入應用程式或程序的名稱。 例如，輸入 Microsoft Remote Desktop 或 Microsoft 365。

  • 識別碼類型：您的選項：

    • 套件 ID：針對應用程式選取此選項。
    • 路徑：針對非組合二進位檔（即進程或可執行檔）選取此選項。

    內嵌在應用程式服務包中的協助程式工具會自動繼承其封閉應用程式服務包的許可權。

  • 識別碼：輸入應用程式套件 ID，或進程或執行檔的安裝檔案路徑。 例如，輸入 com.contoso.appname。

    若要取得 App Bundle ID：

    • 打開終端機應用程序，然後運行命令 codesign 。 此命令會識別程式碼簽章。 因此，您可以同時取得套件 ID 和程式碼簽章。
    • 針對新增至 Intune 的應用程式， 您可以使用 Intune 系統管理中心。

  • 代碼要求：輸入應用程式或流程的代碼簽章。

    當應用程式或二進位檔由開發人員憑證簽署時，會建立程式碼簽章。 若要尋找指定，請在終端機應用程式中手動執行 codesign 指令： codesign --display -r - /path/to/app/binary。 程式碼簽章是 之後出現 =>的所有內容。

  • 啟用靜態代碼驗證： 選擇 是 用於應用程序或程序以靜態驗證代碼要求。 設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

    只有在進程使其動態程式碼簽章失效時，才啟用此設定。 否則，請使用 [未設定]。

  • 封鎖相機： 是 會阻止應用程式存取系統相機。 您無法允許存取攝影機。 設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

  • 封鎖麥克風： 是 可防止應用程式存取系統麥克風。 您無法允許存取麥克風。 設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

  • 封鎖螢幕錄製： 「是」 會封鎖應用程式擷取系統顯示的內容。 您無法允許存取螢幕錄製和螢幕擷取。 設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

    需要 macOS 10.15 及更高版本。

  • 封鎖輸入監視： [是 ] 會封鎖應用程式使用 CoreGraphics 和 HID API 來接聽來自所有進程的 CGEvents 和 HID 事件。 「是」 也會拒絕應用程式和程序接聽輸入裝置（例如滑鼠、鍵盤或觸控板）並收集資料。 您無法允許存取 CoreGraphics 和 HID API。

    設定為 [ 未設定] 時，Intune 不會變更或更新此設定。

    需要 macOS 10.15 及更高版本。

  • 語音辨識：您的選擇：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統語音辨識，並允許將語音資料傳送給 Apple。
    • 封鎖：防止應用程式存取系統語音辨識，並防止將語音資料傳送給 Apple。

    需要 macOS 10.15 及更高版本。

  • 輔助功能：您的選擇：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統協助工具應用程式。 此應用程序包括隱藏式字幕、懸停文本和語音控制。
    • 封鎖：防止應用程式存取系統協助工具應用程式。

  • 聯絡人：您的選擇：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統聯絡人應用程式管理的聯絡資訊。
    • 封鎖：防止應用程式存取此聯絡資訊。

  • 日曆：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統日曆應用程式管理的日曆資訊。
    • 封鎖：防止應用程式存取此行事曆資訊。

  • 提醒：您的選擇：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統提醒應用程式所管理的提醒資訊。
    • 封鎖：防止應用程式存取此提醒資訊。

  • 照片：您的選擇：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統「照片」應用程式在 ~/Pictures/.photoslibrary中管理的圖片。
    • 封鎖：防止應用程式存取這些圖片。

  • 媒體庫：您的選擇：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取 Apple Music、音樂和影片活動以及媒體庫。
    • 封鎖：防止應用程式存取此媒體。

    需要 macOS 10.15 及更高版本。

  • 檔案提供者存在狀態：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取檔案提供者應用程式，並知道使用者何時使用檔案提供者所管理的檔案。 檔案提供者應用程式可讓其他檔案提供者應用程式存取包含應用程式所儲存和管理的文件和目錄。
    • 封鎖：防止應用程式存取檔案提供者應用程式。

    需要 macOS 10.15 及更高版本。

  • 完整磁碟存取：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取所有受保護的檔案，包括系統管理檔案。 請謹慎套用此設定。
    • 封鎖：防止應用程式存取這些受保護的檔案。

  • 系統管理員檔案：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取系統管理中使用的某些檔案。
    • 封鎖：防止應用程式存取這些檔案。

  • 桌面資料夾：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取使用者桌面資料夾中的檔案。
    • 封鎖：防止應用程式存取這些檔案。

    需要 macOS 10.15 及更高版本。

  • 文件資料夾：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取使用者 [文件] 資料夾中的檔案。
    • 封鎖：防止應用程式存取這些檔案。

    需要 macOS 10.15 及更高版本。

  • 下載資料夾：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取使用者「下載」資料夾中的檔案。
    • 封鎖：防止應用程式存取這些檔案。

    需要 macOS 10.15 及更高版本。

  • 網路磁碟區：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取網路磁碟區上的檔案。
    • 封鎖：防止應用程式存取這些檔案。

    需要 macOS 10.15 及更高版本。

  • 抽取式磁碟區：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式存取抽取式磁碟區 （例如硬碟） 上的檔案。
    • 封鎖：防止應用程式存取這些檔案。

    需要 macOS 10.15 及更高版本。

  • 系統事件：您的選項：

    • 未設定：Intune 不會變更或更新此設定。
    • 允許：允許應用程式使用 CoreGraphics API 將 CGEvent 傳送至系統事件資料流程。
    • 封鎖：防止應用程式使用 CoreGraphics API 將 CGEvent 傳送至系統事件串流。

  • Apple 事件：此設定可讓 App 將受限制的 Apple 事件傳送至另一個 App 或程序。 選取 [ 新增 ] 以新增接收應用程式或程式。 輸入接收應用程式或程序的下列資訊：

    • 識別碼類型：如果接收識別碼是應用程式，請選取 [套件組合識別碼 ]。 如果接收識別碼是進程或可執行檔，請選取 [路徑]。

    • 識別碼：輸入 App 套件 ID，或接收 Apple 事件的程序的安裝路徑。

    • 代碼要求：輸入接收應用程式或流程的代碼簽章。

      當應用程式或二進位檔由開發人員憑證簽署時，會建立程式碼簽章。 若要尋找指定，請在終端機應用程式中手動執行 codesign 指令： codesign --display -r -/path/to/app/binary。 程式碼簽章是 之後出現 =>的所有內容。

    • 存取：允許將 macOS Apple 事件傳送至接收應用程式或程序。 選項包括：

      • 未設定：Intune 不會變更或更新此設定。
      • 允許：允許應用程式或程序將受限制的 Apple 事件傳送至接收應用程式或程序。
      • 封鎖：防止應用程式或程序將受限制的 Apple 事件傳送至接收應用程式或程序。

  • 儲存 您的變更。

受限制的應用程式

設定適用於：所有註冊類型

受限制的應用程式設定不會阻止使用者安裝和開啟特定應用程式。 相反地，已安裝受限制應用程式的裝置會在 Intune 系統管理中心 ([裝置>監視]) 填入 [具有受限制應用程式的裝置] 報告。

• 受限制的應用程式清單類型：建立不允許使用者安裝或使用的應用程式清單。 選項包括：

  • 未設定 (預設) ：Intune 不會變更或更新此設定。 根據預設，使用者可能有權存取您指派的應用程式和內建應用程式。

  • 已核准的應用程式：列出允許使用者安裝的應用程式。 使用者不得安裝其他應用程式。 如果使用者安裝不允許的應用程式，則會在 Intune 中報告。 會自動允許 Intune 管理的應用程式，包括公司入口網站應用程式。 系統不會阻止使用者安裝不在核准清單中的應用程式。

    如果安裝的應用程式不在已核准的應用程式清單中，則受限制的應用程式設定會報告錯誤。

  • 禁止的應用程式：列出不允許使用者安裝和執行的 Intune) 未管理 (應用程式。 系統不會阻止使用者安裝禁止的應用程式。 如果使用者從此清單安裝應用程式，則會在 Intune 中報告。

    如果安裝的應用程式位於禁止的應用程式清單中，則受限制的應用程式設定會報告錯誤。

• 應用程式清單： 將應用程式新增至 清單：

  • App Bundle ID：輸入應用程式的 套件 ID 。 您可以新增內建應用程式和企業營運應用程式。

    若要取得套件組合 ID：

    • Apple 的網站有一個 內置的 Apple 應用程序列表。
    • 打開終端機 App，然後使用 AppleScript (osascript -e 'id of app "AppName"') 。
    • 針對新增至 Intune 的應用程式， 您可以使用 Intune 系統管理中心。

    若要尋找 App 的 URL，請開啟 iTunes App Store，然後搜尋該應用程式。 例如，搜尋 Microsoft Remote Desktop 或 Microsoft Word。 選取應用程式，然後複製 URL。 您也可以使用 iTunes 尋找應用程式，然後使用 [複製連結] 工作來取得應用程式 URL。

  • 應用程式名稱：輸入使用者易記的名稱，以協助您識別套件組合 ID。 例如，輸入 Intune Company Portal app。

  • 發行者：輸入應用程式的發行者。

• 匯入 包含應用程式詳細資料的 CSV 檔案，包括 URL。 使用格式 <app bundle ID>, <app name>, <app publisher> 。 或者， 匯出以 相同的格式建立您新增的應用程式清單。

後續步驟

指派設定檔 並 監視其狀態。

您也可以限制 iOS/iPadOS 裝置上的裝置功能和設定。