Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 聲明式狀態報告
- 聲明式 App 設定
- 認證憑證和身份識別內容聲明
- 背景作業管理聲明
- 「日曆」聲明式設定
- 「證書」聲明式設定
- 「通訊錄」聲明式設定
- Exchange 聲明式設定
- 「Google 帳户」聲明式設定
- LDAP 聲明式設定
- 舊版互動式描述檔聲明式設定
- 舊版描述檔聲明式設定
- 「郵件」聲明式設定
- 數學和「計算機」App 聲明式設定
- 「管理式系統轉移輔助程式」聲明式設定
- 「密碼」聲明式設定
- 「通行密匙證明」聲明式設定
- Safari 瀏覽管理聲明式設定
- Safari 延伸功能管理聲明式設定
- 「螢幕共享」聲明式設定
- 服務設定檔聲明式設定
- 「軟件更新」聲明式設定
- 「軟件更新」設定聲明式設定
- 儲存空間管理聲明式設定
- 「已訂閲的日曆」聲明式設定
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 「受管理的登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
-
- 詞彙表
- 文件修正記錄
- 版權和商標
Apple 裝置的「受管理裝置證明」
「受管理裝置證明」是使用 iOS 16、iPadOS 16.1、macOS 14、tvOS 16 或較新版本的裝置中的功能。 「受管理裝置證明」提供強力證據,證明哪些裝置屬性可用作信任評估的一部份。 此裝置屬性之加密編譯聲明以「安全隔離區」和 Apple 證明伺服器的保安為基礎。
受管理的裝置證明可協助防範以下威脅:
遭盜用的裝置謊報其屬性
遭盜用的裝置提供過期的證明
遭盜用的裝置傳送其他裝置的識別碼
截取專用密鑰以用於未經授權的裝置
攻擊者劫持證書要求來欺騙 CA 向攻擊者發出證書
如需更多資料,請參閲 WWDC22 影片:裝置管理的新功能。
「受管理裝置證明」支援的硬件
系統只會向符合以下硬件要求的裝置發出證明:
iPhone、iPad 和 Apple TV 裝置: 配備 A11 仿生或較新的晶片。
Mac 電腦: 配備 Apple 晶片。
Apple Watch 和 Apple Vision Pro 的「受管理裝置證明」沒有更改。
包含 ACME 證書註冊要求的「受管理裝置證明」
機構發出的證書授權管理中心(CA)ACME 服務可以要求註冊裝置屬性的證明。 此證明會提供裝置屬性(如序號)合法的有力保證,且不會經過偽裝。 發出 CA 的 ACME 服務可透過加密編譯驗證通過證明之裝置屬性的完整,並選擇是否針對機構的裝置庫存交互參照,以及一經成功驗證,即確認該裝置為機構的裝置。
如你使用保證,作業系統會在裝置的「安全隔離區」中產生硬件綁定的專用密鑰,作為證書簽署要求的一部份。 針對此要求,簽發 ACME 的 CA 可以隨後簽發用户端證書。 這個密鑰會連繫到「安全隔離區」,所以只能在指定裝置上使用。 你可以將其用於帶有支持證書身份規格的設定之 iPhone、iPad、Apple TV 和 Apple Watch。 在 Mac 上,你可以使用硬件綁定的密鑰來配搭裝置管理服務、Microsoft Exchange、Kerberos、802.1X 網絡、內置 VPN 用户端,以及內置網絡轉送來進行認證。
備註:即使「應用程式處理器」遭盜用,「安全隔離區」仍可針對密鑰截取提供極強保護。
這些硬件綁定的密鑰會在清除或還原裝置時被自動移除。 因為密鑰被移除,任何依賴那些密鑰的設定描述檔在還原後都將無法使用。 需要再次套用描述檔來重新製作密鑰。
使用 ACME 承載資料證明,裝置管理服務可以使用 ACME 通訊協定註冊用户端證書識別身份,而此通訊協定能以加密編譯方式驗證:
裝置為原廠 Apple 裝置
裝置為指定裝置
裝置會由機構的裝置管理服務來管理
裝置包括特定屬性(例如序號)
專用密鑰已綁定至裝置硬件
包含裝置管理服務要求的「受管理裝置證明」
除了在處理 ACME 證書註冊要求時使用受管理的裝置證明,裝置管理服務可發出 DeviceInformation 查詢要求 DevicePropertiesAttestation 屬性。 如裝置管理服務想協助確認新的證明,其可以傳送選用的 DeviceAttestationNonce 密鑰,其會強制產生新的證明。 如你省略此密鑰,裝置會傳回快取的證明。 然後裝置證明回應會傳回分葉證書,其中的自定 OID 中會包括裝置的屬性。
備註:使用「用户註冊」時,序號和 UDID 都會被省略,以保護用户的私隱。 其他值為匿名並會包括 sepOS 版本和新生代碼等屬性。
然後裝置管理服務可評估根目錄在預期之 Apple 證書授權管理中心(可從 Apple 專用 PKI 儲存庫取得)的證書鏈來驗證回應,以及新生代碼的雜湊是否與 DeviceInformation 查詢中所提供之新生代碼的雜湊相同。
由於定義新生代碼會產生新證明,這會消耗裝置和 Apple 伺服器上的資源,因此目前限制為每部裝置每七日才能使用一次 DeviceInformation 證明。 裝置管理服務不需要每七日要求新證明。 除非裝置的屬性有所更改(例如,作業系統版本的更新或升級),否則毋須要求新的證明。 另外,偶爾隨機要求新證明可能會有助找出正嘗試在這些屬性上謊報的被盜用裝置。
處理失敗的證明
要求證明可能會失敗。 發生此情況時,裝置仍會回應 DeviceInformation 查詢或 ACME 伺服器的 device-attest-01 詢問,但部份資料會被忽略。 預期的 OID 或其值會被忽略,或者該證明會被完全忽略。 失敗的潛在原因有很多,例如:
連接 Apple 證明伺服器時發生網絡問題
裝置硬件或軟件可能被盜用
裝置非原廠 Apple 硬件
在最後兩種情況中,Apple 證明伺服器拒絕對無法驗證的屬性發出證明。 並沒有可靠方式讓裝置管理服務得知證明失敗的確切原因。 因為關於失敗的唯一資料來源是裝置本身,其可能是正在謊報的被盜用裝置。 因此,裝置的回應不會表明失敗的原因。
然而,當「受管理裝置證明」作為零信任架構的一部份使用時,機構可以計算裝置的信任分數,而失敗或未預期的失效證明會降低該分數。 降低的信任分數會觸發不同的動作,例如拒絕取用服務、為裝置加上旗標以進行手動偵查,或在有需要時清除裝置並撤銷其憑證來提升合規。 這確保失敗的證明會得到適當的回應。