配置描述文件执行
配置描述文件是 MDM 解决方案在受管理的设备上提供和管理策略和访问限制的主要方法。如果组织需要配置大量设备或者向大量设备提供许多自定电子邮件设置、网络设置或证书,那么可以通过配置描述文件安全可靠地执行此类操作。
配置描述文件
配置描述文件是一个由有效负载组成的 XML 文件(以 .mobileconfig 结尾),这些有效负载可将设置和授权信息载入到 Apple 设备上。配置描述文件将自动化设置、帐户、访问限制和凭证的配置。此类文件可由 MDM 解决方案或 Mac 版 Apple Configurator 创建,也可通过手动创建。在向 Apple 设备发送配置描述文件前,组织必须使用注册描述文件在 MDM 解决方案中注册该设备。
注册描述文件
注册描述文件是包含 MDM 有效负载的配置描述文件,在特定于设备的 MDM 解决方案中注册该设备。这允许 MDM 解决方案将命令和配置描述文件发送到设备以及查询设备的特定方面。用户移除注册描述文件后,基于该注册描述文件的所有配置描述文件、用户设置和被管理的 App 都将随之移除。一台设备上一次只能有一个注册描述文件。
配置描述文件设置
配置描述文件在特定的有效负载中包含多项可以指定的设置,包括(但不限于):
密码策略
针对设备功能的访问限制(例如停用相机)
网络和 VPN 设置
Microsoft Exchange 设置
邮件设置
帐户设置
LDAP 目录服务设置
CalDAV 日历服务设置
凭证和密钥
软件更新
描述文件签名和加密
可以对配置描述文件进行签名来验证其来源,以及对其进行加密来帮助确保其完整性并保护其内容。iOS 和 iPadOS 的配置描述文件使用 RFC 5652 中规定的“密码讯息语法”(CMS) 进行加密,CMS 支持 3DES 和 AES128。
描述文件安装
用户可以使用 Mac 版 Apple Configurator 直接在其设备上安装配置描述文件,或者可以使用 Safari 浏览器下载配置描述文件、以邮件附件发送、在 iOS 和 iPadOS 中使用隔空投送或“文件” App 传输或使用移动设备管理 (MDM) 解决方案以无线方式发送。用户在“Apple 校园教务管理”或“Apple 商务管理”中设置设备时,设备会下载并安装用于 MDM 注册的描述文件。有关如何移除描述文件的信息,请参阅《Apple 平台部署》中的移动设备管理介绍。
【注】在受监督的设备上,还可以将配置描述文件锁定到设备。这旨在防止其移除,或者可以只允许使用密码将其移除。由于许多组织使用的是自己的 iOS 和 iPadOS 设备,因此将设备绑定到 MDM 解决方案的配置描述文件可以移除,但这样做也会移除所有被管理的配置信息、数据和 App。