Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
针对 Apple 设备的管理式设备证明
管理式设备证明是 iOS 16、iPadOS 16.1、macOS 14 和 Apple tvOS 16 或更高版本中的一项功能,可提供有力证据来证明哪些设备属性可用作信任评估的一部分。此设备属性的加密声明是基于安全隔区和 Apple 证明服务器的安全性。
管理式设备证明可帮助抵御以下威胁:
遭破解的设备谎报其属性
遭破解的设备提供过时证明
遭破解的设备发送其他设备的标识符
提取专用密钥供流氓设备使用
攻击者劫持证书请求以诱骗 CA 向攻击者签发证书
有关更多信息,请参阅 WWDC23 视频:Apple 设备管理新功能。
通过 ACME 证书注册请求进行管理式设备证明
组织的签发证书颁发机构 (CA) ACME 服务可以请求提供注册设备属性的证明。此证明为设备属性(例如序列号)的合理性和真实性提供了强力保证。签发 CA 的 ACME 服务可通过加密方式验证已证明设备属性的完整性,并可选择性地与组织的设备存货比对参照,验证成功后即可确定设备为组织的设备。
若使用证明,设备的安全隔区内会生成硬件绑定专用密钥,以作为证书签名请求的一部分。对于此请求,签发 ACME 的 CA 之后可签发客户端证书。此密钥绑定到安全隔区,因此仅在特定设备上可用。它可在配置了支持某种证书身份规范的 iPhone、iPad、Apple TV 和 Apple Watch 上使用。在 Mac 上,硬件绑定密钥可用于通过 MDM、Microsoft Exchange、Kerberos、802.1X 网络、内建 VPN 客户端和内建网络中继进行认证。
【注】安全隔区提供防范密钥提取的强力保护措施,甚至还可应对已遭破解的应用程序处理器。
这些硬件绑定密钥在抹掉或恢复设备时会被自动移除。因为密钥会被移除,所以依赖于这些密钥的任何配置描述文件在恢复之后将不起作用。必须再次应用描述文件才能重新创建密钥。
借助 ACME 有效负载证明,MDM 可使用 ACME 协议注册客户端证书身份,该协议可通过加密方式验证:
设备为正品 Apple 设备
设备为特定设备
设备由组织的 MDM 服务器管理
设备具备某些属性(例如序列号)
专用密钥通过硬件绑定到设备
通过 MDM 请求进行管理式设备证明
除了在 ACME 证书注册请求期间使用管理式设备证明,MDM 解决方案还可发出请求 DevicePropertiesAttestation
属性的 DeviceInformation
查询。如果 MDM 解决方案想要帮助确保证明为最新版本,可发送一个可选的 DeviceAttestationNonce
键以强制生成新的证明。如果此键被忽略,设备会返回一个缓存的证明。然后,设备证明响应会返回一个属性拥有自定义 OID 的叶证书。前两个属性为序列号和 UDID(使用用户注册时两者均会被忽略)。剩下的值匿名并包括 sepOS 版本和可选反时间重放值等属性。
MDM 解决方案随后可评估证书链已通过预期的 Apple 证书颁发机构(可从 Apple 专用 PKI 储存库获取)获得 root 权限来验证响应,如有要求,还会验证 DeviceInformation
查询中所提供的反重放值。
由于定义反重放值会生成新的证明,而该行为会消耗设备和 Apple 服务器的资源,所以当前每台设备的使用限制为每 7 天可生成一个证明。除非设备属性发生变化,例如操作系统版本更新或升级,否则没有必要请求新证明。