Distribuer certifikater til Apple-enheder
Du kan distribuere certifikater manuelt til iPhone-, iPad- og Apple Vision Pro-enheder. Når brugerne modtager et certifikat, trykker de på det for at se indholdet og trykker derefter for at føje certifikatet til enheden. Når et identitetscertifikat installeres, bliver brugerne bedt om at skrive den adgangskode, der beskytter det. Hvis et certifikats ægthed ikke kan bekræftes, vises det som ikke-godkendt, og brugerne kan beslutte, om de vil føje det til enheden.
Du kan distribuere certifikater manuelt til Mac-computere. Når brugere modtager et certifikat, kan de åbne Hovednøglering og gennemse indholdet ved at dobbeltklikke på certifikatet. Hvis certifikatet er som forventet, vælger brugerne den ønskede nøglering og klikker på knappen Tilføj. De fleste brugercertifikater skal installeres i loginnøgleringen. Når et identitetscertifikat installeres, bliver brugerne bedt om at skrive den adgangskode, der beskytter det. Hvis et certifikats ægthed ikke kan bekræftes, vises det som ikke-godkendt, og brugerne kan beslutte, om de vil føje det til Mac.
Nogle certifikatidentiteter kan fornys automatisk på Mac-computere.
Metoder til implementering af certifikat vha. MDM-data
Den følgende tabel viser de forskellige data til implementering af certifikater vha. konfigurationsbeskrivelser. Disse omfatter Active Directory Certificate-data, certifikatdata (for et PKCS #12 id-certifikat), Automated Certificate Management Environment-data (ACME) samt Simple Certificate Enrollment Protocol-data (SCEP).
Data | Understøttede operativsystemer og kanaler | Beskrivelse | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory Certificate payload | macOS-enhed macOS-bruger | Ved at konfigurere Active Directory-certifikatdataene anbringer macOS en anmodning om signering af certifikatet direkte på en Active Directory Certificate Services-server, der fungerer som certifikatmyndighed, via RPC (Remote Procedure Call). Du kan tilmelde maskinidentiteter vha. godkendelsesoplysningerne til Mac-computerens objekt i Active Directory. Brugere kan angive deres godkendelsesoplysninger som en del af tilmeldingsprocessen, så der kan leveres individuelle identiteter. Når administratorer bruger disse data, kan de bedre styre brugen af private nøgler og certifikatskabelonen til tilmelding. Som ved SCEP opbevares den private nøgle på enheden. | |||||||||
ACME payload | iOS iPadOS Delt iPad-enhed macOS-enhed macOS-bruger tvOS watchOS 10 visionOS 1.1 | Enheden henter certifikater fra en CA (Certificate Authority) for Apple-enheder, der er tilmeldt en MDM-løsning. Med denne fremgangsmåde opbevares den private nøgle kun på enheden og kan evt. være hardware knyttet til enheden. | |||||||||
Certificates payload (for PKCS #12 identity certificate) | iOS iPadOS Delt iPad-enhed macOS-enhed macOS-bruger tvOS watchOS 10 visionOS 1.1 | Hvis identiteten leveres uden for enheden på vegne af brugeren eller enheden, kan den pakkes i et PKCS #12-arkiv (.p12 eller .pfx) og beskyttes med en adgangskode. Hvis dataene indeholder adgangskoden, kan identiteten installeres, uden at brugeren skal skrive adgangskoden. | |||||||||
SCEP payload | iOS iPadOS Delt iPad-enhed macOS-enhed macOS-bruger tvOS watchOS 10 visionOS 1.1 | Enheden sender anmodningen om signering af certifikatet direkte til en tilmeldingsserver. Med denne fremgangsmåde opbevares den private nøgle kun på enheden. |
Hvis du vil knytte tjenester til en bestemt identitet, skal du konfigurere SCEP-, ACME- eller certifikatdata og derefter konfigurere den ønskede tjeneste i samme konfigurationsprofil. SCEP-data kan f.eks. konfigureres til at levere en identitet til enheden, og i samme konfigurationsprofil kan Wi-Fi-data konfigureres til WPA2 Enterprise/EAP-TLS ved hjælp af det enhedscertifikat, der er resultatet af SCEP-tilmeldingen til godkendelse.
Hvis du vil knytte tjenester til en bestemt identitet i macOS, skal du konfigurere Active Directory-certifikat-, ACME-, SCEP- eller certifikatdata og derefter konfigurere den ønskede tjeneste i samme konfigurationsprofil. Du kan for eksempel konfigurere Active Directory Certificate-data til at levere en identitet til enheden, og i samme konfigurationsprofil kan Wi-Fi-data konfigureres til WPA2 Enterprise EAP-TLS ved hjælp af det enhedscertifikat, der er resultatet af Active Directory Certificate-tilmeldingen til godkendelse.
Forny certifikater, som er installeret af konfigurationsprofiler
For at sikre fortsat tjenesteadgang skal certifikater, som er implementeret med en MDM-løsning, fornys, før de udløber. Det sker ved, at MDM-løsninger sender en forespørgsel til de installerede certifikater, kontrollerer udløbsdatoen og udsteder en ny profil eller konfiguration på forhånd.
Med Active Directory-certifikater er standardvirkemåden – når certifikat-identiteterne udvikles som del af en enhedsprofil – automatisk fornyelse i macOS 13 og nyere versioner. Administratorer kan indstille en systemindstilling for at ændre denne virkemåde. Du kan få flere oplysninger i Apple-supportartiklen Automatisk fornyelse af certifikater, der leveres via en konfigurationsbeskrivelse.
Installer certifikater ved hjælp af Mail eller Safari
Du kan sende et certifikat som et bilag i en e-mailbesked eller anbringe certifikatet på et sikret websted, hvorfra brugerne kan hente certifikatet til deres Apple-enheder.
Fjern og tilbagekald certifikater
En MDM-løsning kan se alle certifikater på en enhed og fjerne alle certifikater, som den har installeret.
Desuden understøttes protokollen Online Certificate Status Protocol (OCSP) til kontrol af status for certifikater. Når der bruges et OCSP-baseret certifikat, kontrollerer både iOS, iPadOS, macOS og visionOS certifikatet med jævne mellemrum for at sikre, at det ikke er blevet tilbagekaldt.
I Indstillinger til data i Certificate Revocation (tilbagekaldelse af certifikater) kan du læse, hvordan du tilbagekalder certifikater ved hjælp af en konfigurationsprofil.
Du kan fjerne et installeret certifikat i iOS, iPadOS, visionOS 1.1 og nyere versioner ved at gå til Indstillinger > Generelt > Administration af enhed, vælge en profil, trykke på Flere oplysninger og derefter trykke på certifikatet for at fjerne det. Hvis du fjerner et certifikat, som kræves for at få adgang til en konto eller et netværk, kan iPhone, iPad eller Apple Vision Pro ikke længere oprette forbindelse til disse tjenester.
Hvis du vil fjerne et installeret certifikat i macOS manuelt, skal du starte appen Hovednøglering og derefter søge efter certifikatet. Vælg det, og slet det derefter fra nøgleringen. Hvis du fjerner et certifikat, som kræves for at få adgang til en konto eller et netværk, kan Mac ikke længere oprette forbindelse til disse tjenester.