Ustawienia obsługiwanego przez MDM pakietu danych Certificates na urządzeniach Apple
Możesz konfigurować ustawienia certyfikatów na iPhone'ach, iPadach, Macach oraz Apple TV zarejestrowanych w rozwiązaniu MDM. Przy użyciu pakietów danych Certificates (Certyfikaty) możesz dodać do urządzenia certyfikaty oraz tożsamość.
Pakiety danych Certificates obsługują elementy przedstawione poniżej. Aby uzyskać więcej informacji, zobacz: Informacje o pakietach danych.
Obsługiwane identyfikatory pakietu: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Obsługiwane systemy operacyjne i kanały: iOS, iPadOS, wspólny iPad (urządzenie), macOS (urządzenie), macOS (użytkownik), tvOS, watchOS 10, visionOS 1.1.
Obsługiwane typy rejestracji: rejestracja użytkownika, rejestracja urządzenia, automatyczna rejestracja urządzenia.
Dozwolone duplikaty: Prawda — do użytkownika lub urządzenia może zostać dostarczony więcej niż jeden pakiet danych Certificates.
Z pakietami danych Certificates możesz używać ustawień przedstawionych w poniższej tabeli.
Ustawienie | Opis | Wymagane | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name (Nazwa certyfikatu) | Wyświetlana nazwa certyfikatu. | Tak | |||||||||
Certificate or identity data (Certyfikat lub dane tożsamości) | iPhone'y, iPady, Maki oraz Apple TV mogą używać certyfikatów X.509 z kluczami RSA. Oto obsługiwane formaty i rozszerzenia nazw plików:
Pliki PKCS #12 zawierają także klucz prywatny oraz dokładnie jedną tożsamość. W celu zapewnienia ochrony klucza prywatnego, pliki PKCS #12 są szyfrowane przy użyciu hasła. | Tak | |||||||||
Passphrase (Hasło) | Hasło zabezpieczające dane uwierzytelniania. | Nie | |||||||||
Uwaga: Każdy dostawca rozwiązań MDM wdraża te ustawienia w inny sposób. Aby dowiedzieć się, jak różne ustawienia pakietu danych Certificates są stosowane do Twoich urządzeń i użytkowników, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.
Gdy dodawany jest certyfikat lub tożsamość
Gdy zainstalujesz certyfikat główny, możesz także zainstalować certyfikaty pośrednie, aby utworzyć łańcuch do zaufanego certyfikatu na urządzeniu. Może być to ważne w przypadku takich technologii, jak 802.1X. Aby zobaczyć listę certyfikatów głównych zainstalowanych na urządzeniach Apple, zapoznaj się z artykułem Wsparcia Apple Lista zaufanych certyfikatów głównych dostępnych w systemach iOS 17, iPadOS 17, macOS 14, tvOS 17 i watchOS 10.
Jeśli certyfikat lub tożsamość, które chcesz zainstalować, znajduje się w Twoim pęku kluczy, wyeksportuj ten element w formacie PKCS #12 (.p12), używając aplikacji Dostęp do pęku kluczy. Dostęp do pęku kluczy znajduje się w folderze /Aplikacje/Narzędzia/. Aby uzyskać więcej informacji, zapoznaj się z Podręcznikiem użytkownika Dostępu do pęku kluczy.
Aby dodać tożsamość używaną podczas łączenia z serwerem Microsoft Exchange lub Exchange ActiveSync, korzystania z logowania jednokrotnego, połączeń VPN, połączeń z siecią lub Wi‑Fi, użyj odpowiedniego pakietu danych.
Jeśli pominiesz hasło tożsamości certyfikatu wdrożonego przy użyciu pliku PKCS #12 (.p12 lub .pfx), użytkownicy będą proszeni o wprowadzenie tego hasła podczas instalacji profilu. Zawartość pakietu danych jest „zaciemniana”, ale nie jest szyfrowana. Jeśli dołączysz hasło, upewnij się, że profil dostępny jest tylko dla autoryzowanych użytkowników.
Zamiast instalowania certyfikatów przy użyciu profilu konfiguracyjnego, możesz pozwolić użytkownikom na pobieranie ich (przy użyciu Safari) na swoje urządzenia ze strony używającej danego certyfikatu (nie należy hostować samego certyfikatu). Innym sposobem jest wysłanie certyfikatów użytkownikom w wiadomości email. Możesz również użyć ustawień protokołu pakietu danych SCEP, aby ustalić sposób uzyskiwania certyfikatów przez urządzenie z zainstalowanym profilem.
Wiarygodność certyfikatu
Certyfikat jest automatycznie uznawany za zaufany, jeśli:
został zainstalowany przez instancję aplikacji Apple Configurator z taką samą tożsamością nadzoru (supervision identity), jak urządzenie,
został automatycznie zainstalowany przy użyciu obsługiwanego rozwiązania MDM,
został ręcznie zainstalowany przy użyciu pakietu danych dołączonego do profilu rejestracji w obsługiwanym rozwiązaniu MDM.
Dobra praktyka polega na unikaniu konieczności ręcznego instalowania certyfikatów przez użytkowników. Zamiast tego upewnij się, że pakiet danych Certificates znajduje się w profilu rejestracji MDM, co pozwala na pominięcie kroku ręcznego oznaczania certyfikatu jako zaufanego.