在 macOS 服务器中处理配置描述文件
配置描述文件是由有效负载构成的 XML 文件,它将设置和授权信息载入到 Apple 设备中(如 iPhone、iPad、iPod touch、Apple TV 和 Mac 电脑)。
设置和授权信息可以包含:
设备安全性策略和访问限制
VPN 配置信息
Wi-Fi 设置
邮件和日历帐户
允许 iPad、iPhone、iPod touch、Apple TV 和 Mac 电脑与企业系统和学校网络配合使用的认证凭证
由于配置描述文件可被加密和签名,因此您可以将其限制用于特定的 Apple 设备,并阻止除拥有用户名和密码外的任何人更改其中的设置。您还可以将描述文件标记为被锁定到设备,因此在添加后,您只能通过擦除设备的所有数据来移除描述文件,或者通过输入与描述文件关联的密码来移除。通过描述文件配置的帐户(如 Microsoft Exchange 帐户)只能通过删除该描述文件来移除。
虽然可以创建单个配置描述文件来包含您组织的所有有效负载,但请考虑创建单独的描述文件,以便可由很少更改的设置定义,以及有可能经常更改的设置定义。很少更改的设置可能包括:设备访问限制、Wi-Fi、安全性与隐私、LDAP、邮件和日历。可能经常更改的设置包括:VPN、证书、Web Clip 和主屏幕设置。
您可以使用 Mac 版 Apple Configurator 来将设备配置描述文件添加到 iPhone、iPad、iPod touch 和 Apple TV。若要在服务器或第三方移动设备管理 (MDM) 解决方案中添加包含特定于 macOS 设置的设备或用户配置描述文件,请使用描述文件管理器。
【注】Mac 版 Apple Configurator 会自动安装设备配置描述文件。在描述文件管理器或第三方 MDM 解决方案中注册后,更新的配置描述文件可发送到设备中。
用户通常不能更改配置描述文件中定义的设置,除非更改密码。使用描述文件配置的帐户只能通过删除该描述文件来移除。这样做可能会使设备在组织中不可用,直到重新安装描述文件。例如,移除描述文件可能会阻止用户访问网络、接收邮件和使用“日历”App 创建事件。您也可以监督 iOS、iPadOS 和 Apple tvOS 设备,以防止任何用户移除配置描述文件。
【重要事项】如果用户知道密码,即使在“通用”设置中该选项设定为“永不”,他们也可以移除未被监督的 iOS 和 iPadOS 设备的描述文件。如果用户知道管理员名称和密码,则可移除 macOS 描述文件。
用户和设备描述文件
您可为用户或设备或者用户和设备群组创建配置描述文件。“描述文件管理器”将自定描述文件的有效负载,具体取决于您选取的有效负载以及该级别所应用的设置。例如,当您创建用户的配置描述文件时,仅应用于设备的设置将不可用。
如果您正在使用描述文件管理器或第三方 MDM 解决方案,您可以通过自己网页上的链接或者使用“描述文件管理器”或 MDM 的内建用户门户,将配置描述文件作为邮件附件分发。当用户打开电子邮件附件或使用网页浏览器下载描述文件时,会提示他们开始描述文件安装。