Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
管理 Apple 设备的配件访问
管理 Mac 电脑
适用于 macOS 的配件安全性(称为受限模式)旨在保护客户免受来自有线配件的近距离攻击。对于搭载 Apple 芯片且使用 macOS 13 或更高版本的 Mac 笔记本电脑,默认配置为请求用户允许新配件。“系统设置”中为用户允许配件连接提供了四种选项:
每次均询问
新配件时询问
解锁后自动
始终
如果用户将未知配件(雷雳、USB 或者在 macOS 13.3 或更高版本中的 SD 扩展容量“SDXC”卡)连接到锁定的 Mac,会收到要解锁 Mac 的提示。已批准的配件可自 Mac 最后一次锁定以后最多 3 天内连接到锁定的 Mac。3 天后,任何连接的配件都会提示用户“解锁以使用配件”。
某些环境下可能需要绕过用户认证。MDM 解决方案可使用现有的 allowUSBRestrictedMode 访问限制来始终允许配件,从而控制此行为。
【注】这些连接不适用于电源适配器、非雷雳显示器、批准的集线器、配对的智能卡或者正使用“设置助理”或从 recoveryOS 启动的 Mac。
管理 iPhone 和 iPad 设备
出于安全和用户方便的原因,管理 iPhone 和 iPad 可配对的主机电脑非常重要。例如,若要安全插入自助服务站以更新软件或共享 Mac 电脑的互联网连接,需要在 iPhone 或 iPad 和主机电脑间建立信任关系。
设备配对通常由用户在使用 USB 连接线(如果是支持的 iPad 机型,也可以使用雷雳连接线)将其设备连接到主机电脑时执行。用户设备上会出现提示,询问他们是否要与电脑建立信任关系。
然后用户会被要求输入其密码以确认此决定。今后与同一主机电脑的任何其他连接都将自动被信任。用户可以清除配对信任关系,方法是前往“设置”>“通用”>“还原”>“还原位置与隐私”或者抹掉其设备。此外,若 30 天未使用,这些信任记录将被移除。
主机配对的 MDM 管理
管理员可以通过访问限制“允许与非 Apple Configurator 主机配对”来管理被监督 Apple 设备手动信任主机电脑的功能。通过停用主机配对功能(并为设备分发正确的监督身份),管理员可确保只有持有效监督主机证书的受信任电脑才可以通过 USB(或雷雳,若 iPad 机型支持)访问有问题的 iPhone 和 iPad 设备。如果主机电脑上尚未配置任何监督主机证书,则停用所有配对。
【注】Apple 设备注册设置“allow_pairing”在 iOS 13 和 iPadOS 13.1 上已弃用。管理员今后应改为使用上述指导,因为它仍允许配对到受信任的主机,从而提供更高的灵活性。它还允许无需抹掉 iPhone 或 iPad 即可更改主机配对设置。
保护未配对的恢复工作流程
在 iOS 14.5 和 iPadOS 14.5 或更高版本中,在没有本地物理交互的情况下,未配对的主机电脑无法将设备重新启动进入 recoveryOS(也称为恢复模式)并恢复设备。在此更改之前,未经授权的用户可以抹掉并恢复用户的设备,无需直接与 iPhone 或 iPad 交互。他们只需要使用 USB(或雷雳,若 iPad 机型支持)连接(例如,作为充电设备提供)到目标设备和电脑即可。
限制外部启动以恢复 iPhone 或 iPad
iOS 14.5 和 iPadOS 14.5 或更高版本默认将此恢复功能限制为先前已被信任的主机电脑。如果想要选择不采用这一更安全的行为,管理员可以启用访问限制“允许从未配对主机将 iOS 或 iPadOS 设备置于恢复模式”。
搭配 iPhone 或 iPad 使用以太网转接器
iPhone 或 iPad 配合兼容的以太网转换器可以保持活跃的网络连接,即使是在设备首次解锁前(若设备已关闭访问限制)。设备无法使用无线局域网和蜂窝网络,并且从关机状态启动或重新启动以来尚未解锁过时,如果必须接收 MDM 命令(例如,当用户忘记密码且 MDM 正尝试清除密码时),此方法十分有用。
iPhone 或 iPad 上的“受限模式”设置可通过以下方式管理:
MDM 管理员使用“USB 受限模式”访问限制。这一方式要求设备被监督。
用户前往“设置”>“触控/面容 ID 与密码”>“配件”。