设备管理描述文件介绍
设备管理服务可让管理员通过向设备发送配置、描述文件和命令安全地远程配置设备,无论该设备是属于个人用户还是组织。功能包括更新软件和设备设置、监督组织策略的贯彻情况以及远程擦除或锁定设备。用户可在设备管理服务中注册自己的设备,组织可使用 Apple 校园教务管理或 Apple 商务管理自动注册组织拥有的设备。
若要使用设备管理服务,你需要了解若干概念,请参阅以下部分,了解设备管理服务使用注册和配置描述文件、监督和有效负载的方式。
支持的 Apple 设备
以下 Apple 设备有支持设备管理的内建框架:
运行 iOS 4 或更高版本的 iPhone
运行 iOS 4.3 或更高版本或者 iPadOS 13.1 或更高版本的 iPad
运行 OS X 10.7 或更高版本的 Mac 电脑
运行 Apple tvOS 9 或更高版本的 Apple TV
运行 watchOS 10 或更高版本的 Apple Watch
运行 visionOS 1.1 或更高版本的 Apple Vision Pro
设备如何注册
设备管理服务注册涉及使用自动化证书管理环境 (ACME) 或简单证书注册协议 (SCEP) 等协议注册客户端证书身份的过程。设备使用这些协议来创建唯一的身份证书,用于认证组织的服务。
除非注册已自动化,否则由用户决定是否注册其设备,并且其可随时取消设备与服务的关联。因此,你不妨考虑采取一些激励措施,鼓励用户保持被管理的状态。例如,通过使用设备管理服务自动提供无线凭证,你可以要求需注册才能访问无线局域网。当用户离开服务时,其设备会尝试通知设备管理服务设备不再受管理。
对于组织拥有的设备,你可以在初始设置过程中使用 Apple 校园教务管理或 Apple 商务管理以无线方式自动在设备管理服务中注册并监督这些设备;此注册过程称为“自动设备注册”。
设备管理和失窃设备保护
“失窃设备保护”打开时,如果用户处于不熟悉的位置,操作系统会将以下操作延迟一小时:
在设备管理服务中手动注册其设备
手动安装密码描述文件或配置
在“设置”中或者通过描述文件或配置对 Microsoft Exchange 账户进行配置
注册描述文件
注册描述文件是用户可在设备管理服务中注册设备的两种主要方式之一(另一种方式是使用用户注册或账户驱动型设备注册)。通过此包含有效负载的描述文件,服务会向设备发送命令和其他配置描述文件(如有需要)。它还可向设备查询信息,如其激活锁状态、电池电量和名称。
用户移除注册描述文件后,基于该注册描述文件的所有配置描述文件及其设置和受管理的 App 都会随之移除。一台设备上一次只能有一个注册描述文件。
设备或用户批准注册描述文件后,包含有效负载的配置描述文件就会发送到设备。你之后可以无线分发、管理和配置通过 Apple 校园教务管理或 Apple 商务管理购买的 App 和图书。App 可由用户安装或自动安装,具体取决于 App 的类型、分配方式以及设备是否受监督。有关更多信息,请参阅关于 Apple 设备监督。
配置描述文件
配置描述文件是一个 XML 文件(以 .mobileconfig 结尾),其中包含将设置和授权信息载入到 Apple 设备的有效负载。它会自动配置设置、账户、访问限制和凭证。设备管理服务可以创建这些文件,或者你也可以手动或使用 Mac 版 Apple Configurator 创建它们。有关使用 Mac 版 Apple Configurator 创建配置描述文件以及在 iPhone、iPad 和 Apple TV 设备上安装的更多信息,请参阅《适用于 Mac 的 Apple Configurator 使用手册》中的创建和编辑配置描述文件。
由于你可为配置描述文件加密和签名,你可以将其限制用于特定的 Apple 设备,并阻止除拥有用户名和密码的用户外的任何人更改其中的设置。你还可以将配置描述文件标记为被锁定到设备。
如果你的设备管理服务支持,则可以将配置描述文件作为邮件附件分发、通过自己网页上的链接分发或者通过服务的内建用户门户分发。当用户打开电子邮件附件或使用网页浏览器下载配置描述文件时,会收到开始安装配置描述文件的提示。
你可以发送可更改整个设备或单个用户的设置的配置描述文件:
设备描述文件:你可以将设备描述文件发送到设备和设备群组,并将设备设置应用到整个设备。
iPhone、iPad、Apple TV、Apple Watch 和 Apple Vision Pro 无法识别多位用户,因此为受支持 Apple 设备创建的配置描述文件始终是设备描述文件。虽然 iPadOS 描述文件是设备描述文件,但配置为“共享 iPad”的 iPad 设备可支持基于设备或用户的描述文件。
用户描述文件: 你可以将用户描述文件发送到用户和用户群组(如果设备管理服务支持),并将用户设置仅应用到对应的用户。Mac 电脑可有多个用户,因此你可以使针对 macOS 描述文件的有效负载和设置基于设备或用户。“设置助理”创建的用户账户被视为由设备管理服务管理,且可以接收描述文件。对于运行 macOS 11 或更高版本的 Mac,可选择对注册期间由设备管理服务创建的管理员账户进行管理。对于 Active Directory 绑定部署,当前登录的网络用户会变为受管理用户。
设备和用户设置因所处位置而异:在系统层级安装的设置位于设备通道中。为用户安装的设置位于用户通道中。
有关描述文件安装和“锁定模式”的更多信息,请参阅 Apple 支持文章:关于“锁定模式”。
移除描述文件
描述文件的移除方式取决于其安装方式。下列阐述了移除描述文件的方式:
1.你可以通过擦除设备的所有数据移除所有描述文件。
2.如果设备在关联至 Apple 校园教务管理或 Apple 商务管理的设备管理服务中注册,管理员可选择用户可否移除注册描述文件,或是否只有设备管理服务才能将其移除。
3.如果设备管理服务安装了描述文件,该服务可以移除它,用户也可以(通过移除注册配置描述文件)从服务取消注册来进行移除。
4.如果 Apple Configurator 安装了描述文件,该 Apple Configurator 监督实例可移除该描述文件。
5.如果描述文件通过 Apple Configurator 或你手动安装到受监督设备上且有移除密码有效负载,用户需要输入移除密码才可进行移除。
6.用户可以移除所有其他描述文件。
使用配置描述文件安装的账户可通过移除描述文件来进行移除。Microsoft Exchange ActiveSync 账户(包括使用配置描述文件安装的账户)可通过 Microsoft Exchange Server 发出仅针对账户的远程擦除命令来进行移除。
【重要事项】如果用户知道设备密码,就可以从未受监督 iPhone 和 iPad 中手动移除已安装的配置描述文件,即使该选项设为“永不”。Mac 用户只有在知道管理员的用户名和密码时才可执行相同的操作。用户可使用 profiles 命令行工具、“系统设置”(在 macOS 13 或更高版本中)或者“系统偏好设置”(在 macOS 12.0.1 或更低版本中)执行此操作。对于运行 macOS 10.15 或更高版本的 Mac,正如在 iOS 和 iPadOS 中一样,如果设备管理服务安装了描述文件,该服务可以将其移除,操作系统也可以通过从服务取消注册将其自动移除。
设备管理服务通信要求
与 Apple 设备的设备管理服务通信在以下情况中成功的可能性较高:
设备管理服务已设置设备、测试成功且确保其正常工作
APNs 证书有效且未过期
设备已开机
设备当前已在服务中注册
设备接入的网络可以访问互联网(针对 APNs 通信)
设备接入的网络需要可以访问与服务相关的 Apple 主机
有关更多信息,请参阅 Apple 支持文章:在企业网络上使用 Apple 产品。
【注】Apple 不会控制第三方设备管理服务。配置不当的有效负载等其他问题也可能导致通信失败。