词汇表
- 安全令牌
解决加密密钥的实施方式(包括系统何时生成及如何储存)的一项 macOS 功能。具体来说,安全令牌是受用户密码保护的密钥加密密钥 (KEK) 的封装版本。
- 备份
重要数据的副本,包括主屏幕的布局、App 数据(如 Safari 浏览器书签和“日历”日程)、可在设备的“设置”中设定的任何内容(包括访问限制、证书和某些账户类型)、通讯录和“相机胶卷”(但不是相簿)等信息。备份不包括通常使用访达(macOS 10.15 或更高版本)或 iTunes(macOS 10.14 或更低版本)同步的 App 或媒体,或者储存在 iCloud 或 iCloud 云盘中的 App 或媒体。未受监督设备的备份与访达或 iTunes 备份相同且可互换,并且只能恢复到未受监督设备。同样,受监督设备的备份只能恢复到其他受监督设备。
- 本地账户配对
这是一种在本地账户上针对 Mac 电脑强制使用智能卡认证的方式。
- 操作系统和通道
你可以在特定操作系统上以及针对“共享 iPad”和 Mac 使用设备管理有效负载。由于“共享 iPad”和 Mac 可拥有多个用户,因此你可以将有效负载应用到设备通道(所有用户)或用户通道(特定用户)。
- 单点登录
用户提供一次认证和授权信息并接收票据以在其有效期内(通常是 10 个小时)使用它来访问资源的过程。
- 个人身份验证 (PIV) 卡
一种用于双重认证、数字签名和加密的智能卡技术类型。macOS 对智能卡的内建支持基于 CryptoTokenKit 框架。
- 供应商
你购买合格设备的实体。如果你使用采购订单 (PO) 直接从 Apple 购买设备,则使用“Apple(直营)”选项并输入你的 Apple 客户编号作为你的供应商。如果你通过 Apple 合作授权经销商或蜂窝网络运营商购买了设备,则使用“经销商”选项输入其经销商编号会将其作为供应商添加到你的账户。你只需将每个供应商添加到你的账户一次。
- 共享 iPad
使用“共享 iPad”功能让多名学生使用教室中的同一台 iPad。这样即使设备共用,也能确保个人化的学习体验。它不仅大大简化了课与课之间的过渡,而且节省了时间。使用它可以更加方便地从学生之前停下的地方继续,并且可以自动存储学生的工作。配合“课堂”使用“共享 iPad”时,智能缓存通过为学生恢复之前使用的 iPad 来加速登录。
- 管理式 Apple 账户
企业或教育机构创建、拥有和管理的账户,可让用户访问 Apple 服务。此类账户与用户自行创建的非管理式 Apple 账户不同。(非管理式 Apple 账户也称为个人 Apple 账户。)另请参阅 Apple 账户。
- 基于机器的执行方案 (MBE)
这是一种实施方案,它移除基于密码的认证选项以支持对 Mac 可访问的任何账户使用仅智能卡认证。与基于用户的执行方案 (UBE) 类似。
- 基于用户的执行方案 (UBE)
这是一种实施方案,它为特定的用户或用户组使用仅智能卡认证建立了例外。此选项会停用所有基于密码的认证。与基于机器的执行方案 (MBE) 类似。
- 经销商编号
每个参与 Apple 校园教务管理或 Apple 商务管理的 Apple 授权经销商或蜂窝网络运营商的唯一标识符。将某个 Apple 合作授权经销商或蜂窝网络运营商的经销商编号添加到你的账户描述文件中,并向该经销商提供你的组织 ID,即表明你授权该经销商将你通过其购买的设备提交给 Apple,以使设备的序列号可以在 Apple 校园教务管理或 Apple 商务管理中显示。
- 联合认证
使用某个目录系统的账户用户名和密码,并允许在其他系统中使用相同用户名和密码的过程。
- 配置描述文件
一个 XML 文件(以 .mobileconfig 结尾),其中包含将设置和授权信息载入到 Apple 设备的有效负载。它会自动配置设置、账户、访问限制和凭证。设备管理服务可以创建这些文件,或者你也可以手动或使用 Mac 版 Apple Configurator 创建它们。
- 认证
提供可证明你身份的声明后从官方获取凭证的过程。
- 设备管理服务
一种服务,可让管理员通过向设备发送配置、描述文件和命令安全地远程配置设备,无论设备是属于用户还是组织。功能包括更新软件和设备设置、监督组织策略的贯彻情况以及远程擦除或锁定设备。用户可在设备管理服务中注册自己的设备,组织可使用 Apple 校园教务管理或 Apple 商务管理自动注册组织拥有的设备。
- 设置
设备管理环境中应用到特定 App、功能或连接性功能(如 Exchange、密码、VPN、无线局域网和代理等)的唯一标识符。例如,设置可能是无线局域网的名称或 Exchange 服务器认证方式的相关信息。为给定的 App、功能或连接功能输入设置后,它们即为有效负载。另请参阅有效负载。
- 身份
你可以自由分发证书,但需要安全地保存身份。你可以使用自由分发的证书及其公钥进行加密处理,只有使用匹配的专用密钥才能解密。系统将身份的专用密钥部分储存在 PKCS12 (.p12) 文件中,并使用另一个需要密码短语的密钥进行加密。
- 身份联合
安全域中身份提供商之间的信任基础。
- 授权
通过提供可证明你身份的声明来执行认证后,从官方获取令牌的过程。
- 用户批准的设备管理注册
在 macOS 10.13.2 或更高版本中,用户批准的设备管理注册使设备管理服务的软件具有额外的权限。自 macOS 11 起已不再可使用命令行安装描述文件,因而所有新注册均由用户批准。用户批准的设备管理注册与用户注册不同。
- 有效负载
至少一个被管理的设置。部分设置(如 LDAP)可以有多个有效负载。使用有效负载来管理日益增加的网络安全、用户认证、无线局域网认证、VPN 策略设置和邮件设置等。另请参阅设置。
- 重复项
设备管理中的两个或更多相同有效负载。例如,一个证书有效负载通常涉及多个证书,而一个 VPN 有效负载可能涉及多项 VPN 设置。不能有两个或更多特定有效负载对设备或用户生效;有效负载需要为单个。
- 注册方式
设备管理服务有三种主要的设备注册方式:用户注册、设备注册和自动设备注册。
- 组织 ID
你在 Apple 校园教务管理或 Apple 商务管理中的唯一标识符。向某个 Apple 合作授权经销商或蜂窝网络运营商提供你的组织 ID,并将该经销商的经销商编号添加到你的账户描述文件中,即表明你授权该经销商将你通过其购买的设备提交给 Apple,以使设备的序列号可以在 Apple 校园教务管理或 Apple 商务管理中显示。
- Apple 客户编号
Apple 分配给你组织的账户号码,用于购买 Apple 硬件或软件。需要通过它来验证你的组织是否符合特定计划的资格。如果不知道该编号,请联系你的购买代理、财务部门或 Apple 账户团队。此编号与你的 GSX 账户号码不同。
- Apple 商务管理
Apple 商务管理是一个针对 IT 管理员的基于网站的简单门户,可搭配第三方设备管理服务使用,让你轻松批量购买内容、关联身份提供商 (IdP) 以及添加设备,无论你的组织使用的是 iPhone、iPad、Mac、Apple TV、Apple Watch 还是 Apple Vision Pro。
- Apple 校园教务管理
Apple 校园教务管理是一个针对 IT 管理员的基于网站的简单门户,可搭配第三方设备管理服务使用,让你轻松批量购买内容、关联学生信息系统 (SIS) 以及添加设备,无论你的组织使用的是 iPhone、iPad、Mac、Apple TV、Apple Watch 还是 Apple Vision Pro。
- Apple 账户
用户访问 App Store、iCloud、iMessage 信息、FaceTime 通话、Apple 在线商店等 Apple 服务使用的个人账户。它包括登录所需信息以及 Apple 服务需要的所有联系方式、付款信息和安全详情。(个人 Apple 账户也称为非管理式 Apple 账户。)另请参阅管理式 Apple 账户。
- Bootstrap 令牌
一项基于设备管理的功能,会自动在所有移动账户上提供安全令牌。具体来说,Bootstrap 令牌帮助将安全令牌同时授予移动账户和设备注册时所创建的管理员账户(“管理式管理员”,可选项)。在 macOS 11 或更高版本中,Bootstrap 令牌能够将安全令牌授予登录 Mac 电脑的任何用户,包括本地用户账户。
- D-U-N-S 编号
一个九位数的标识符,由 Dun & Bradstreet (D&B) 分配给其数据库中的每个商业机构。Apple 会对比 D&B 数据库,对计划注册者进行交叉核对。有关如何为你的企业获取 D-U-N-S 编号的更多信息,请参阅欢迎来到 D&B 支持。
- eSIM(嵌入式 SIM 卡)
一种基于软件的 SIM 卡,用于 Apple Watch Series 3 或后续机型;iPhone XR、iPhone XS、iPhone XS Max 或后续机型;以及自第三代 iPad Pro 以来发布的所有 iPad 机型。另请参阅 SIM 卡(订阅者识别模块)。
- SIM 卡(订阅者识别模块)
一种通用集成电路卡 (UICC),用于在移动设备上识别和认证订阅者。另请参阅 eSIM(嵌入式 SIM 卡)。