Indstillinger til MDM-data i Certificates (certifikater) til Apple-enheder
Du kan konfigurere indstillinger til certifikater på iPhone-, iPad-, Mac- og Apple TV-enheder, der er tilmeldt en løsning til administration af mobile enheder (MDM). Brug dataene i Certificates (certifikater) til at føje certifikater og en identitet til enheden.
Dataene i Certificates (certifikater) understøtter følgende. Du kan få flere oplysninger i Dataoplysninger.
Understøttede data-id’er: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Understøttede operativsystemer og kanaler: iOS, iPadOS, Delt iPad-enhed, macOS-enhed, macOS-bruger, tvOS, watchOS 10, visionOS 1.1.
Understøttede tilmeldingstyper: Brugertilmelding, enhedstilmelding, automatisk enhedstilmelding.
Dubletter tilladt: Sand – der kan leveres mere end ét hold data i Certificates (certifikater) til en bruger eller enhed.
Du kan bruge indstillingerne i nedenstående tabel med dataene i Certificates (certifikater).
Indstilling | Beskrivelse | Obligatorisk | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | Certifikatets skærmnavn. | Ja | |||||||||
Certificate or identity data | iPhone-, iPad-, Mac- og Apple TV-enheder kan bruge X.509-certifikater med RSA-nøgler. Der er følgende formater og tilladte arkivendelser:
PKCS#12-arkiver indeholder også den private nøgle og præcis en identitet. Af hensyn til beskyttelsen af den private nøgle er PKCS#12-arkiver krypteret med en kode. | Ja | |||||||||
Passphrase | En adgangskode, der bruges til at sikre godkendelsesoplysningerne. | Nej |
Bemærk: De enkelte MDM-leverandører implementerer disse indstillinger forskelligt. Du kan se, hvordan indstillingerne for Certifikat (certifikat) anvendes til dine enheder og brugere, i dokumentationen fra din MDM-leverandør.
Når der tilføjes et certifikat eller id
Når du installerer et rodcertifikat, kan du også installere de mellemliggende certifikater for at etablere en kæde til et godkendt certifikat, som findes på enheden. Dette kan være vigtigt for teknologier som 802.1X. Du kan se en liste over forudinstallerede rodcertifikater for Apple-enheder og få flere oplysninger i Apple-supportartiklen Liste over tilgængelige godkendte rodcertifikater i iOS 17, iPadOS 17, macOS 14, tvOS 17 og watchOS 10.
Hvis det certifikat eller den identitet, du vil installere, findes i din nøglering, skal du bruge Hovednøglering til at eksportere emnet i PKCS#12-format (.p12). Hovednøglering er placeret i /Apps/Hjælpeapps/. Du kan få flere oplysninger i Brugerhåndbog til Hovednøglering.
Hvis du vil tilføje en identitet, der skal bruges til Microsoft Exchange eller Exchange ActiveSync, log ind i et trin, VPN og netværk eller Wi-Fi, skal du bruge de tilhørende specifikke data.
Hvis du udelader certifikatidentitetens adgangskode, når du implementerer et PKCS #12-arkiv (.p12 eller .pfx), bliver brugerne bedt om at skrive den, når profilen installeres. Dataenes indhold er sløret men ikke krypteret. Hvis du inkluderer koden, skal du sørge for, at profilen kun er tilgængelig for godkendte brugere.
I stedet for at brugerne installerer certifikater ved hjælp af en konfigurationsprofil, kan du lade dem bruge Safari til at hente certifikaterne til deres enhed fra en webside med dette certifikat (du bør ikke være vært for certifikatet). Du kan også sende certifikater til brugerne i en e-mailbesked. Det er også muligt at bruge indstillingerne til MDM-data i SCEP (Simple Certificate Enrollment Protocol) til at anføre, hvordan enheden skal fremskaffe certifikater, når profilen installeres.
Certifikatgodkendelse
Et certifikat kan automatisk godkendes helt, hvis det:
Installeres af en Apple Configurator-forekomst, der har samme tilsyns-id som enheden
Installeres automatisk fra en understøttet MDM-løsning
Installeres manuelt af data, der er knyttet til en tilmeldingsprofil fra en understøttet MDM-løsning
Som bedste praksis bør det undgås at få brugere til at installere certifikater manuelt. Kontroller i stedet, at dataene i Certificates (certifikater) er i MDM-tilmeldingsprofilen, så manuel godkendelse af certifikatet undgås.