针对 Apple 设备的“域” MDM 有效负载设置
你可以为移动设备管理 (MDM) 解决方案中注册的 iPhone、iPad、“共享 iPad”、Mac 或 Apple Vision Pro 用户指定标记的域。使用“域”有效负载指定哪些邮件域在设备的“邮件”中标记,以及哪些网域的文稿视为在 iOS 和 iPadOS 中受管理。
“域”有效负载支持以下选项。有关更多信息,请参阅有效负载信息。
支持的有效负载标识符:com.apple.domains
支持的操作系统和通道:iOS、iPadOS、“共享 iPad”设备、“共享 iPad”用户、macOS 设备、macOS 用户、visionOS 2.0。
支持的注册方式:设备注册、自动设备注册。
允许的重复项:False:只能将一个“域”有效负载发送给某位用户或某台设备。
你可以为“域”有效负载使用下表中的设置。
支持以下设备:
被监督:iPhone、iPad、Mac
未被监督:Mac
设置 | 描述 | 必需 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
未标记的电子邮件域 | 如果邮件信息的收件地址域不在被批准的列表中,则地址会被标记为红色。例如,用户可在已知域列表中拥有 betterbag.com 和 group.betterbag.com。如果此用户在某封邮件的地址栏中输入 [email protected],则该地址就会被标记,以让用户知道域 betterbag.com 不在被批准的列表上。 | 否 | |||||||||
被管理的 Safari 浏览器网域 (iOS、iPadOS) | 如果 Safari 浏览器中的下载项源自受管理的域,那么该下载项视为受管理的文稿。 【重要事项】若要管理从 Safari 浏览器下载的文稿,请停用“针对 iPhone 和 iPad 设备的 MDM 访问限制”中的选项“允许未被管理的目的位置中包含来自被管理的来源中的文稿”。 | 否 | |||||||||
自动填充 Safari 浏览器密码域 (被监督的设备) (iOS、iPadOS) | 如果域在列表中,则可以存储使用 Safari 浏览器时在网站中输入的用户名和密码。列表中可以加入多个域。 | 否 | |||||||||
跨站跟踪宽松域 (被监督的设备) (iOS 16.2、macOS 13.1 或更高版本,iPadOS 16.2–17.2) | 最多可添加 10 个域以对其放宽防跨站跟踪功能。域应以 betterbag.com 的形式列出,包含所有子域(无需使用 *betterbag.com)。 【重要事项】在 iPadOS 16.2 到 iPadOS 17.2 中,需要引导用户作为第一方直接访问嵌入站点(如 youtube.com),以使嵌入站点能够使用 Cookie。iPadOS 17.2 或更高版本中不需要此步骤。 | 否 | |||||||||
跨站跟踪宽松 App (被监督的设备) (iOS 18、iPadOS 18、macOS 18 或更高版本) | 在通过 | 否 | |||||||||
防跨站跟踪宽松域
运行 iOS 16.2、iPadOS 16.2、macOS 13.1 或更高版本的设备支持管理 Safari 浏览器中的“防跨站跟踪”例外列表。因此,组织可将“防跨站跟踪”保持打开,同时既对常规浏览使用防跟踪,又允许指定的域让第三方内嵌资源可使用 Cookie。这项功能十分有用,例如在教育领域中,因为学习管理系统会嵌入由第三方储存的视频或图像等内容,或者由第三方提供和以 iFrames 形式呈现的学习工具(LTI 工具)。
此功能由“域”有效负载中的 CrossSiteTrackingPreventionRelaxedDomains 键提供支持。这个键可用于定义包含宽松网站(最多 10 个)的列表。所列的每个域的作用相当于通配符,因此“townshipschools.org”将包括“a.townshipschools.org”和“b.a.townshipschools.org”。
有关示例,请参阅宽松域示例。
防跨站跟踪宽松 App
在运行 iOS 18、iPadOS 18、macOS 15 或更高版本的设备上,你可以在放宽的指定域中指定最多 10 个原生 App。此功能由 CrossSiteTrackingPreventionRelaxedApps 键提供支持。该键可通过捆绑包 ID 为放宽的域(通过 CrossSiteTrackingPreventionRelaxedDomains 键指定)定义最多 10 个 App 的列表。
有关更多信息,请参阅宽松 App 示例。
如果要在单个描述文件中指定宽松域和宽松 App,请参阅组合示例。
被管理的域示例
你可以管理 iPhone 或 iPad 的特定 URL 和子域。所有来自这些域中的文稿都视为被管理,遵循现有的“被管理的打开方式”访问限制中的行为。默认情况下,域中的路径为被管理状态。备选子域不包括在内,除非应用了通配符。在 Safari 浏览器中输入的以“www”开头的域(例如:www.betterbag.com)会被视为 .betterbag.com。
在设置中显示 | 被管理的域 | 未被管理的域 |
|---|---|---|
betterbag | betterbag.com/* www.betterbag.com/* | *.betterbag.com hr.betterbag.com |
betterbag.com/docs | betterbag.com/docs/* www.betterbag.com/docs/* | betterbag.com www.betterbag.com hr.betterbag.com/docs |
www.betterbag.com | betterbag.com www.betterbag.com/* www.betterbag.com/docs | hr.betterbag.com |
*.betterbag.com | *.betterbag.com/* | betterbag.com |
*.betterbag.com/docs | *.betterbag.com/docs/* | betterbag.com www.betterbag.com |
【注】每个 MDM 开发者对这些设置的执行情况不同。若要了解各种“域”设置如何应用到你的设备和用户,请参阅 MDM 开发者文稿。