Instellingen voor de MDM-payload 'LOM (Lights Out Management)' voor Apple apparaten
Je kunt instellingen voor LOM-beheer (Lights Out Management) configureren voor het op afstand opstarten, uitzetten en opnieuw opstarten van de volgende apparaten nadat ze bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven.
Mac mini (M2, 2023) met een 10-Gb ethernetkaart
Mac Studio (2022)
Mac mini (M1, 2020) met een 10-Gb ethernetkaart
Mac Pro (2019)
Het LOM-commando (Lights Out Management) wordt met behulp van het MDM-protocol van een MDM-server naar de Mac verstuurd die als controller fungeert. De Mac die als controller fungeert, verstuurt het commando vervolgens met behulp van een beveiligd en eigen protocol naar een andere Mac (die als apparaat fungeert), zoals aangegeven in de payload. Alle Mac-computers die als controller of apparaat fungeren:
Moeten macOS 11 of nieuwer gebruiken
Moeten zich in hetzelfde lokale subnet bevinden en ethernet gebruiken (communicatie vindt plaats via IPv6)
Moeten over de vertrouwde CA-certificaten van een apparaat beschikken (als ze als controller zijn geconfigureerd)
Moeten over de vertrouwde CA-certificaten van de controller beschikken (als ze als apparaat zijn geconfigureerd)
Moeten zijn ingeschreven bij dezelfde MDM-oplossing
Moeten over de payload 'LOM (Lights Out Management)' beschikken
Hoeven geen statisch IP-adres te hebben voor communicatie
Voor de communicatie tussen de MDM-oplossing en de controller wordt APNs (Apple Push Notification-service) gebruikt. Voor communicatie tussen de controller en de apparaten worden TCP/IP (IPv6) en TLS gebruikt, waarbij encryptie plaatsvindt via de certificaten die worden geleverd door de payload 'LOM (Lights Out Management)' op beide apparaten. Deze certificaten worden geëvalueerd met een eigen protocol en mTLS.
Certificaten
Certificaten die zijn geconfigureerd op controllers of apparaten voor LOM-communicatie kunnen worden toegevoegd als PKCS #12 of worden verstuurd via een SCEP-payload. Beide moeten ze de volgende certificaatspecifieke configuraties bevatten:
x509-sleutelgebruik: Digitale handtekening, sleutelversleuteling en gegevensversleuteling
Uitgebreid x509-sleutelgebruik: Serverauthenticatie, clientauthenticatie
Subject CN voor x509
SubjectAltName, dNSName voor x509
Als een Mac LOM (Lights Out Management) ondersteunt, kan deze als controller en als apparaat fungeren. Dit configureer je door de UUID van de certificaatpayload van het apparaat toe te voegen aan de sleutel ControllerCertificateUUID en de sleutel DeviceCertificateUUID van de payload com.apple.lom.
De payload 'LOM (Lights Out Management)' ondersteunt het volgende. Zie Payloadinformatie voor meer informatie.
Ondersteunde installatiemethode: Moet met een MDM-oplossing worden geïnstalleerd.
ID ondersteunde payload: com.apple.lom
Ondersteunde besturingssystemen en kanalen: macOS-apparaat.
Ondersteunde inschrijvingstypen: apparaatinschrijving, automatische apparaatinschrijving.
Duplicaten toegestaan: Onwaar: Er kan maar één payload 'LOM (Lights Out Management)' worden aangeboden aan een apparaat.
De instellingen in de onderstaande tabel kunnen worden gebruikt met de payload 'LOM (Lights Out Management)'.
Instelling | Beschrijving | Vereist | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Payload | Hiermee configureer je een apparaat voor LOM. | Ja | |||||||||
Controllercertificaat | Het certificaat voor de LOM-controller. | Als de Mac wordt gebruikt als controller. | |||||||||
Apparaatcertificaat | Het certificaat voor het LOM-apparaat. | Als de Mac wordt gebruikt als apparaat. | |||||||||
CA-certificaat controller | Het CA-certificaat voor de controller. | Als de Mac wordt gebruikt als apparaat. | |||||||||
CA-certificaat apparaat | Het CA-certificaat voor het apparaat. | Als de Mac wordt gebruikt als controller. | |||||||||
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'LOM (Lights Out Management)' op je apparaten worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.