Distribuer organisationens interne apps til Apple-enheder
Apple-enheder understøtter trådløs installering af interne apps uden brug af en Mac og uden at gå via App Store. Du skal have en app-profil, før du kan distribuere disse apps. App-profiler kan installeres og administreres med en MDM-løsning og derefter hentes og installeres af brugerne via MDM eller en appopdatering. Inden en appprofil udløber, skal du se, hvordan du opretter en ny profil, på Apple Developer-webstedet. Til en iOS- eller iPadOS-app skal der eksporteres en ny app-pakke (et .ipa-arkiv) med den nye app-profil til brugere, der installerer appen for første gang.
Levering til og administration af brugere for udviklere af interne apps
Udviklere af interne apps har adgang til Apples API’er til levering til og administration af brugere, hvormed de kan automatisere opgaver såsom generering af app-profiler og integrering af brugeradministration i eksisterende arbejdsgange.
Organisationens interne apps kan distribueres på to måder:
Ved hjælp af MDM
Ved hjælp af et websted
Begge disse metoder kræver, at appen forberedes til distribution, hvilket omfatter forberedelse af et manifest.
Forbered en intern app fra organisationen til trådløs distribution
Du forbereder en intern app fra organisationen til trådløs distribution ved at bygge en arkiveret version (et .ipa-arkiv) og et manifestarkiv, som muliggør trådløs distribution og installering af appen. Brug Xcode til at oprette et versioneret arkiv af din app, og eksporter derefter appen til distribution i organisationen. Xcode bruger distributionscertifikatet og inkluderer den relevante app-profil. Manifestarkivet er en XML-egenskabliste (et .plist-arkiv), som bruges af Apple-enheder til at finde, hente og installere apps fra din webserver. Manifestarkivet er oprettet af Xcode med oplysninger, som du angiver, når du deler en arkiveret app til distribution i en organisation. Du kan se listen med egenskaber og de tilknyttede værdier under Install Application command på Apple Developer-webstedet.
Administrer interne apps til Mac-computere
Fra og med macOS 14 kan du administrere flere apps. Hvis en pakke indeholder mere end en enkelt app-pakke, administreres enhver app, som implementeres i /Apps. Administrerede apps skal blive i mappen /Apps, hvis de fortsat skal administreres.
Med MDM kan en organisation definere, hvorvidt en administreret app skal beholdes eller fjernes ved tilmelding, eller endda fjerne en app med MDM. Dette fjerner app-pakken fra /Apps. Evt. data, som pakken eller tilknyttede instrukser installerede andre steder, forbliver uændrede.
Herudover placeres data i administrerede apps på en separat enhed, når der anvendes brugertilmelding eller kontodrevet enhedstilmelding.
Få pakke-id’et til en Mac-app
Få pakke-id’et (også kaldet bundle ID) ved at ctrl-klikke på appen og derefter vælge Vis indholdet af pakke. Åbn mappen Contents, og åbn derefter arkivet Info.plist. Hvis du er usikker på, hvilken app du skal bruge, kan du åbne arkivet i TextEdit. Brug funktionen Find i appen til at finde CFBundleIdentifier i arkivet, og kopier så strengen under den linje. Eksempel: com.betterbag.applicationname. Indsæt appens pakke-id i et tekstarkiv eller en note til senere brug.
Brug MDM til at distribuere appen
Brug et manifest med kommandoen InstallEnterpriseApplication (manifestarkiv eller integreret manifest) eller kommandoen InstallApplication (manifestarkiv). macOS understøtter også sha256 og certifikat-pinning. Der er flere muligheder ved brug af disse kommandoer med forskellige operativsystemer:
På enheder med iOS 17.2 eller iPadOS 17.2 og nyere versioner kan du også bruge deklarationsbaseret appkonfiguration.
På enheder med macOS kan du bruge:
Kommandoen
InstallApplicationtil storindkøb og .pkg-installeringer.Kommandoen
InstallEnterpriseApplicationkun til .pkg-installeringer.
Du kan få flere oplysninger under MDM-forespørgsler.
Brug et websted til at distribuere appen
iOS-, iPadOS- og visionOS 1.1-apps skal opfylde følgende krav for at blive installeret trådløst:
Apps skal være i .ipa-format og være bygget med en intern app-profil.
De skal have et XML-manifestarkiv.
De skal hentes fra et websted med en adresse, der begynder med HTTPS.
De skal signeres med et certifikat, der er godkendt på enheden.
Netværkskonfigurationen skal tillade, at enhederne får adgang til en server hos Apple. Du kan få flere oplysninger i Apple-supportartiklen Brug Apple-produkter på virksomhedsnetværk.
Når brugerne vil installere pakken, henter de manifestarkivet fra dit websted ved at bruge det særlige præfiks i URL-adressen. Du kan distribuere URL-adressen til at hente manifestarkivet via iMessage eller en e-mailbesked. Her er et eksempel på et link, hvor præfikset er tilføjet:
<a href="itms-services://?action=download-manifest&url=https://betterbag.com/manifest.plist">Install App</a>
Det er op til dig at designe og være vært for det websted, som bruges til at distribuere disse typer apps. Sørg for, at brugerne er godkendte, og at webstedet er tilgængeligt fra dit intranet eller internettet, afhængigt af hvilket behov du har. Dit websted kan være en enkelt side, der henviser til manifestarkivet. Når en bruger trykker på et weblink, hentes manifestarkivet, som udløser overførsel og installering af det, der er beskrevet på websiden.
Sørg for at følge disse ekstra retningslinjer:
Tilføj ikke et weblink direkte til den arkiverede app (.ipa). .ipa-arkivet hentes af enheden, når manifestarkivet er indlæst. Selvom protokoldelen af URL-adressen er "itms-services", er App Store ikke involveret i denne proces.
Sørg for, at der er adgang til .ipa-arkivet via HTTPS, og at dit websted er signeret med et certifikat, der er godkendt af iOS og iPadOS. Installeringen mislykkes, hvis et selvsigneret certifikat ikke har et godkendt anker og ikke kan godkendes af enheden.
Overfør disse emner til et område på dit websted, som godkendte brugere kan få adgang til:
Manifestarkivet (med arkivendelsen .plist)
Apparkivet (med arkivendelsen .ipa)
Det kan være nødvendigt at konfigurere din webserver, så manifestarkivet og apparkivet overføres korrekt. Ved serveren skal du føje MIME-typerne til webtjenestens indstillinger til MIME-typer:
application/octet-stream ipa
text/xml plist
Ved Microsofts Internet Information Server (IIS) skal du bruge IIS Manager til at tilføje MIME-typerne på siden med serverens egenskaber:
.ipa application/octet-stream
.plist text/xml
Bemærk: Hvis du opretter en selvbetjeningsportal, kan du overveje at føje et webklip til brugerens hjemmeskærm, så det er nemt at lede brugere tilbage til portalen med henblik på fremtidige oplysninger, f.eks. nye konfigurationsprofiler, anbefalede apps i App Store og mulighed for tilmelding til en MDM-løsning.
Godkendelse af certifikat
Første gang en bruger åbner en app, godkendes distributionscertifikatet, ved at Apples OCSP-server kontaktes. Hvis certifikatet er blevet tilbagekaldt, kan appen ikke åbnes. Kontrol af status kræver, at enheden kan oprette forbindelse til ocsp.apple.com.
OCSP-svaret gemmes i enhedens buffer i en periode, som specificeres af OCSP-serveren, hvilket i øjeblikket er mellem 3 og 7 dage. Gyldigheden af certifikatet kontrolleres ikke igen, før enheden er genstartet, og svaret i bufferen er udløbet. Hvis der modtages en tilbagekaldelse på dette tidspunkt, kan appen ikke åbnes.
ADVARSEL: Når et distributionscertifikat tilbagekaldes, kan de apps, som du har signeret med det, ikke længere bruges. Du bør kun tilbagekalde et certifikat som sidste udvej, f.eks. hvis du er sikker på, at den private nøgle er forsvundet, eller du mener, at certifikatet er blevet kompromitteret.
Stil opdaterede interne apps i organisationen til rådighed
Apps, som du selv distribuerer, opdateres ikke automatisk. Når der er en ny version, skal du give brugerne besked om opdateringen og bede dem om at installere appen. Du kan overveje at få appen til at undersøge, om der er opdateringer, og give brugeren besked, når appen åbnes. Sørg for, at beskeden indeholder linket itms-services. Du kan også bruge openURL fra appen til at installere opdateringen.
Hvis du vil have, at brugerne opbevarer appens data på deres enhed, skal du sørge for, at den nye version bruger samme pakke-id som den version, der erstattes, og instruere brugerne i ikke at slette den gamle version, inden de installerer den nye version.
Inden en app-profil udløber, skal du oprette en ny profil til appen via iOS Developer-webstedet, iPadOS Developer-webstedet eller visionOS Developer-webstedet. Eksporter en ny app-pakke (.ipa) med den nye app-profil til brugere, som installerer appen første gang.
Hvis brugerne allerede har appen, kan du planlægge udgivelsen af den næste version, så den indeholder den nye app-profil. På den måde bliver brugerne ikke afbrudt, når de arbejder med appen. Eller du kan blot distribuere det nye .mobileprovision-arkiv, så brugerne ikke skal installere appen igen. Den nye app-profil overskriver den, som allerede findes i apparkivet.
Appprofiler til distribution udløber, 12 måneder efter at de er udstedt. Efter udløbsdatoen fjernes profilen, og appen kan ikke længere åbnes.
Hvis dit distributionscertifikat udløber, kan appen ikke startes. Du er derfor nødt til at bygge appen igen med et nyt distributionscertifikat. Dit distributionscertifikat er gyldigt i tre år fra udstedelsesdatoen, eller indtil dit medlemskab af Apple Developer Enterprise Program udløber. Hvis du vil undgå, at certifikatet udløber, skal du sørge for at forny dit medlemskab, inden det udløber.
Du kan have to aktive distributionscertifikater på samme tid, der er uafhængige af hinanden. Det andet certifikat har en overlapningsperiode, hvor du kan opdatere dine apps, inden det første certifikat udløber. Når du anmoder om dit andet distributionscertifikat, skal du sørge for ikke at tilbagekalde dit første certifikat.
Fejlfinding ved trådløs distribution af apps
Hvis trådløs distribution af en app mislykkes med en meddelelse om, at appen ikke kunne hentes:
Sørg for, at appen er signeret korrekt. Kontroller det ved at installere den på en enhed ved hjælp af Apple Configurator til Mac, og se, om der opstår fejl.
Sørg for, at linket til manifestarkivet er korrekt, og at manifestarkivet er tilgængeligt for webbrugere.
Sørg for, at URL-adressen til .ipa-arkivet (i manifestarkivet) er korrekt, og at .ipa-arkivet er tilgængeligt for webbrugere via HTTPS.