将受管理的 App 分发到 Apple 设备

根据组织的不同，你可能需要控制如何将 App 分发到连接内部资源的用户，以及如何在用户离开组织时处理数据安全问题。你可使用移动设备管理 (MDM) 解决方案以无线方式分发免费、付费以及自定义 App，并管理数据流，从而在组织安全性和用户个性化之间取得适当平衡。

使用 MDM 安装的 App 称为受管理的 App。它们通常包含敏感性信息，并且相对于由用户下载的 App 来说，你对受管理的 App 具有更多的控制权。

受管理的 App 可由 MDM 解决方案从设备上远程移除，或在用户从 MDM 移除设备时移除。在 iPhone 或 iPad 上，移除 App 会同时移除数据容器中其关联的数据。如果受管理的 App 在移除后仍然分配给用户，用户可从 App Store 下载该 App，但该 App 不再受管理。如果 App 许可证被 MDM 撤销，它在一定的时间内会继续正常工作。最终该 App 会被停用，用户必须要购买该 App 的副本才能继续使用。

受管理的 App 可拥有以下 MDM 功能和访问限制，由此提供更强的安全性和更好的用户体验：

从 MDM 取消注册：指定当用户从 MDM 取消注册时，是否在设备上保留受管理的 App 及其数据。

转换 App：将未受管理的 App 转换为受管理的 App。

如果设备被监督且转换由 MDM 解决方案请求，那么将未受管理的 App 转换为受管理的 App 无须用户交互。如果设备未被监督，用户必须正式接受管理。用户注册到 MDM 方式不支持 App 转换。

App 版本更新：定期检查 App Store 中所发布 App 的最新版本，然后将安装 App 命令发送到设备以更新 App。此检查操作也应用于自定义 App。通过 MDM 安装和管理且分配到设备的 App 必须由 MDM 更新；App Store 中不会向用户显示 App 更新通知。

使用“受管理的打开方式”访问限制（iOS 和 iPadOS）：你可以从三种功能中选取一种来保护你组织的 App 数据：

允许被管理的目的位置中包含来自未被管理的来源中的文稿。实施此访问限制可帮助防止用户的个人来源和账户打开组织内部被管理的目的位置中的文稿。例如，此访问限制可防止用户在组织的 PDF App 中打开随机网页的 PDF。

允许未被管理的目的位置中包含来自被管理的来源中的文稿。实施此访问限制可帮助防止组织内部被管理的来源和账户打开用户个人目的位置中的文稿。这可防止用户使用任何个人 App 打开组织内部被管理的电子邮件账户中的机密电子邮件附件。

被管理的粘贴板。在 iOS 15 和 iPadOS 15 或更高版本中，此访问限制可帮助控制在受管理的目的位置和未受管理的目的位置之间粘贴内容。实施以上访问限制时，粘贴内容被设计为遵循第三方或第一方 App（如“日历”、“文件”、“邮件”和“备忘录”）之间的“受管理的打开方式”边界。当使用此访问限制且内容超过被管理的边界时，App 也不能从粘贴板请求项目。在 iOS 16 和 iPadOS 16.1 中，受管理的域也包括在此边界内。

使用 App 配置设置：App 开发者可标识出配置设置，这些设置可在 App 安装为受管理的 App 之前或之后进行设定。例如，开发者可以指定一个 SkipIntro 设置，让 App 作为受管理的 App 时跳过介绍屏幕。

使用可被 MDM 读取的 App 反馈设置：App 开发者可标识出 App 设置，这些设置可使用 MDM 读取。例如，开发者可以指定一个 DidFinishSetup 键，MDM 解决方案通过查询此键来确定 App 是否已启动和设置。

阻止受管理的 App 备份数据：你可以帮助阻止受管理的 App 将数据备份到“访达”（macOS 10.15 或更高版本）、iTunes（macOS 10.14 或更低版本）或者 iCloud。如果禁止备份，通过 MDM 解决方案移除的 App 被用户重新安装后，用户不能恢复受管理的 App 的数据。

从 Safari 浏览器下载被管理的文稿：如果 Safari 浏览器中的下载项源自被管理的域，那么该下载项视为被管理的文稿。例如，用户从被管理的域下载了 PDF，那么该 PDF 需要符合所有被管理的文稿设置。有关更多信息，请参阅被管理的域示例。

阻止受管理的 App 将数据储存在 iCloud 中：用户在未受管理的 App 中创建的数据仍可储存在 iCloud 中。

将 App 标记为不可移除（iOS 和 iPadOS）：在 iOS 14 和 iPadOS 14 或更高版本中，你可以将受管理的 App 标记为不可移除。以前管理员必须完全锁定主屏幕并阻止删除所有 App，这限制了用户管理自己 App 的能力。用户可继续重新排列其 App、安装新 App 以及删除已安装的其他 App。管理员可将对执行任务至关重要的受管理的 App 标记为不可移除。用户尝试删除或卸载受管理的 App 时，该过程会被阻止并显示提醒。不可移除的受管理的 App 确保了组织中用户的设备上始终有所需的 App。

【注】某些选项并非在所有 MDM 解决方案中都可用。若要了解哪些 MDM 选项适用于你的设备，请参阅 MDM 供应商文稿。

你还可以使用 MDM 解决方案来分发自己创建的受管理的图书、EPUB 图书和 PDF。

由 MDM 分发的 EPUB 图书和 PDF 与其他被管理的文稿具有相同的属性，它们可在需要时更新为较新版本、只能使用其他受管理的 App 共享，或使用被管理的账户通过电子邮件发送。MDM 解决方案还能够防止备份受管理的图书。这些图书已分配给用户，但它们只会出现在使用 MDM 分配给用户的 iPhone 和 iPad 设备上。

iOS 和 iPadOS 支持可应用到第三方键盘扩展上的“被管理的打开方式”规则。这些规则可防止未受管理的键盘出现在受管理的 App 中。