Apple 设备的 移动设备管理(MDM) 学习

=Start=

缘由:

最近在家里稍微有些时间,整理一下前段时间学习了解到的 Apple 设备的 MDM 相关知识,方便以后参考。这篇文章的主要内容是从 Apple 官方的多个说明文档中摘录的,以保证内容的正确和权威性。

正文:

参考解答:
什么是移动设备管理 (MDM)?

移动设备管理(MDM)可让您安全地以无线方式配置设备,无论这些设备是属于个人用户还是组织。MDM 包括更新软件和设备设置、监督组织策略的贯彻情况以及远程擦除或锁定设备。

注:iOS、iPadOS、macOS 和 Apple tvOS 具有支持移动设备管理 (MDM) 的内建框架

一句话总结就是——MDM是移动设备管理,其目标在于为企业提供对企业设备与自带设备(BYOD)足够的可视性、可管理性和安全性。Apple系列设备的好处在于具有支持移动设备管理(MDM)的【内建框架】且系统版本生态啥的都比较统一,而Android设备的版本割裂的比较严重且没有类似Apple这样的内建框架,需要额外采购外部的解决方案(后面找时间再研究学习一下),相对来说侵入性要多一些。

Apple 设备中 MDM 如何工作?

设备或用户批准【注册描述文件】后,包含有效负载的【配置描述文件】就会发送到设备。

什么是注册描述文件?

【注册描述文件】是带有 MDM 有效负载的【配置描述文件】,可在为设备指定的 MDM 解决方案中注册该设备。这可让 MDM 解决方案将命令和【配置描述文件】发送到设备,以及查询设备某些方面的信息。用户移除【注册描述文件】后,基于该【注册描述文件】的所有【配置描述文件】及其设置和被管理的 App 都会随之移除。一台设备上一次只能有一个【注册描述文件】。

什么是配置描述文件?

【配置描述文件】是一个 XML 文件(以 .mobileconfig 结尾),其中包含将设置和授权信息载入到 Apple 设备的有效负载。它会自动配置设置、帐户、访问限制和凭证。这些文件可通过 MDM 解决方案或 Apple Configurator 2 创建,也可手动创建。

由于配置描述文件可被加密和签名,因此您可以将其限制用于特定的 Apple 设备,并阻止除拥有用户名和密码外的任何人更改其中的设置。您还可以将配置描述文件标记为被锁定到设备。

如果您的 MDM 解决方案支持,则可以通过自己网页上的链接或者 MDM 解决方案的内建用户门户,将配置描述文件作为邮件附件分发。当用户打开电子邮件附件或使用网页浏览器下载配置描述文件时,会提示他们开始安装配置描述文件。

配置描述文件可应用到哪些通道?

配置描述文件可通过两种方式应用:

  1. 可发送到设备和设备群组的描述文件(在iPhone、iPad 和 Apple TV 无法识别多个用户的情况下)
  2. 可发送到用户和用户群组的描述文件(对于可以有多个用户的 Mac 电脑而言)
如何移除描述文件

描述文件的移除方式取决于其安装方式。下列阐述了描述文件的移除方式:

1.所有描述文件均可通过擦除设备的所有数据来进行移除。

2.如果设备已通过“Apple 校园教务管理”或“Apple 商务管理”在 MDM 中注册,管理员可选择注册描述文件是否可被用户移除或只能被 MDM 服务器自身移除。

3.如果描述文件通过 MDM 解决方案安装,可通过该特定 MDM 解决方案或由用户通过移除注册配置描述文件以取消注册 MDM 来进行移除。

4.如果描述文件通过 Apple Configurator 2 安装到被监督的设备上,可由该 Apple Configurator 2 监督实例进行移除。

5.如果描述文件通过手动或 Apple Configurator 2 安装到被监督的设备上且有移除密码有效负载,用户必须输入移除密码才可进行移除。

6.其他所有描述文件均可由用户进行移除。

使用配置描述文件安装的帐户可通过移除描述文件来进行移除。Microsoft Exchange ActiveSync 帐户(包括使用配置描述文件安装的帐户)可通过 Microsoft Exchange Server 发出仅针对帐户的远程擦除命令来进行移除。

Apple 设备的 MDM 和 Apple 推送通知服务

MDM 解决方案使用 Apple 推送通知服务 (APNs),通过公共和专用网络与 Apple 设备持续通信。MDM 解决方案需要多个证书,包括与设备通信的 APNs 证书、用于安全通信的 SSL 证书,以及用于给配置描述文件签名的证书。

设备注册后,MDM 解决方案可将命令和查询发送到设备。

【重要事项】APNs 证书必须每年续订。证书过期后,MDM 解决方案将无法与 Apple 设备通信,直到证书得到更新。证书过期之前,请做好更新 MDM 解决方案使用的所有证书的准备。请联系您的 MDM 供应商来获取有关更新证书的信息。有关更多信息,请参阅 Apple 推送证书门户

参考链接:

移动设备管理 (MDM) 介绍
https://support.apple.com/zh-cn/guide/deployment-reference-ios/ior07301dd60/web

Apple 设备的 MDM 概览
https://support.apple.com/zh-cn/guide/mdm/mdmbf9e668/web

允许 Apple 设备使用 APNs
https://support.apple.com/zh-cn/guide/deployment-reference-ios/ior9d28751c0/1/web/1.0

选取 MDM 解决方案的注意事项
https://support.apple.com/zh-cn/guide/deployment-reference-ios/ior1974fbcbf/web

移动设备管理设置-适用于 IT 管理员的 MDM
https://support.apple.com/zh-cn/guide/mdm/welcome/web

针对 Apple 设备的完整 MDM 有效负载列表
https://support.apple.com/zh-cn/guide/mdm/mdm5370d089/web

针对 Apple 设备的“隐私偏好设置策略控制” MDM 有效负载设置
https://support.apple.com/zh-cn/guide/mdm/mdm38df53c2a/1/web/1.0

“隐私偏好设置策略控制”自定有效负载示例
https://support.apple.com/zh-cn/guide/mdm/mdm9ddb7e0b5/1/web/1.0

针对 Apple 设备的“隐私偏好设置策略控制”有效负载设置
https://support.apple.com/zh-cn/guide/mdm/mdm38df53c2a/1/web/1

Configuration Profile Reference
https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf

Device Management Profile Restrictions
https://developer.apple.com/documentation/devicemanagement/restrictions

PrivacyPreferencesPolicyControl.Services
https://developer.apple.com/documentation/devicemanagement/privacypreferencespolicycontrol/services

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/5165.html

《Apple 设备的 移动设备管理(MDM) 学习》上的一个想法

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注