裝置管理描述檔簡介
裝置管理服務可讓管理員透過傳送設定、描述檔和指令至裝置,以安全和遙距的方式設定裝置(無論裝置是由用户還是你的機構所擁有)。 功能包括更新軟件和裝置設定、監控機構政策的貫徹情況,以及遙距清除或鎖定裝置。 用户可以在裝置管理服務中註冊自己的裝置,而機構可使用 Apple School Manager 或 Apple Business Manager 自動註冊機構擁有的裝置。
如果你要使用裝置管理服務,有一些概念需要先理解,因此請參閲以下的部份以了解裝置管理服務如何使用註冊和設定描述檔、監管和承載資料。
支援的 Apple 裝置
下列 Apple 裝置有支援裝置管理的內置架構:
安裝 iOS 4 或較新版本的 iPhone
安裝 iOS 4.3 或較新版本,或安裝 iPadOS 13.1 或較新版本的 iPad
安裝 OS X 10.7 或較新版本的 Mac 電腦
安裝 tvOS 9 或較新版本的 Apple TV
安裝 watchOS 10 或較新版本的 Apple Watch
安裝 visionOS 1.1 或較新版本的 Apple Vision Pro
裝置如何註冊
裝置管理服務中的註冊包括使用「自動證書管理環境」(ACME)或「簡易證書註冊通訊協定」(SCEP)等通訊協定註冊用户端證書識別身份。 裝置可使用這些通訊協定來建立獨有的識別身份證書以進行機構服務的認證。
除非註冊為自動進行,用户可決定要不要在註冊其裝置,他們也可以隨時從服務取消註冊其裝置。 因此,你會想提供誘因,讓用户願意維持受管理的狀態。 例如,你可以使用裝置管理服務自動提供無線憑證,藉此要求用户必須註冊才能連接 Wi-Fi 網絡。 當用户離開服務,其裝置會嘗試通知裝置管理服務,告知裝置不再受管理。
針對你機構擁有的裝置,你可以使用 Apple School Manager 或 Apple Business Manager,讓裝置在初始設定期間自動於裝置管理服務中註冊並無線監管裝置,此註冊流程被稱為「自動裝置註冊」。
裝置管理與「失竊裝置保護」
「失竊裝置保護」開啟時,如用户在陌生的位置,作業系統會將以下動作會延遲一小時:
在裝置管理服務中手動註冊裝置
手動安裝密碼描述檔或設定
在「設定」中或透過描述檔或配置來設定 Microsoft Exchange 帳户
註冊描述檔
用户有兩個主要方式可以在裝置管理服務註冊裝置,註冊描述檔為其中之一(另一種為使用「用户註冊」或由帳户控制的「裝置註冊」)。 透過這個包括承載資料的描述檔,服務會傳送指令到裝置,並在有需要時傳送其他設定描述檔。 此描述檔也可以向裝置查詢其「啟用鎖」狀態、電池電量和名稱等資料。
當用户移除註冊描述檔,基於該註冊描述檔的所有設定描述檔、設定和「受管理的 App」都會被移除。 一部裝置同一時間只能有一個註冊描述檔。
裝置或用户批准註冊描述檔後,便會將含有承載資料的設定描述檔傳送至裝置。 你之後便能以無線方式分配、管理和設定透過 Apple School Manager 或 Apple Business Manager 購買的 App 與書籍。 用户可以自行安裝 App,或者 App 可被自動安裝﹐視乎 App 的類型、分派方式以及裝置是否受管理而定。 如需更多資料,請參閲:關於 Apple 裝置監管。
設定描述檔
設定描述檔是一種包含承載資料的 XML 檔案(結尾為 .mobileconfig),其可將設定和授權資料載入 Apple 裝置。 設定描述檔會自動處理設定、帳户、取用限制和憑證的設定操作。 裝置管理服務可以製作這些檔案,或者你可以透過手動方式或適用於 Mac 的 Apple Configurator 來製作這些檔案。 如需使用 Mac 版 Apple Configurator 在 iPhone、iPad 和 Apple TV 裝置上建立和安裝設定描述檔的更多資料,請參閲「Mac 版 Apple Configurator 使用手冊」中的建立和編輯設定描述檔。
由於你可以加密和簽署設定描述檔,你可以將其用途限制於特定的 Apple 裝置,並避免任何人更改描述檔的設定(用户名稱和密碼除外)。 你可以將設定描述檔標示為對裝置鎖定。
如你的裝置管理服務支援此功能,則可以使用以下方式來分派設定描述檔:電郵附件、透過自己網頁上的連結,或是透過服務的內置用户入口網站。 當用户開啟郵件附件或使用網頁瀏覽器下載設定描述檔時,他們會收到開始安裝設定描述檔的提示。
你可以將可為整個裝置或單一用户更改設定的設定描述檔傳送:
裝置描述檔: 你可以將裝置描述檔傳送到裝置和裝置群組,並將裝置設定套用到整個裝置。
iPhone、iPad、Apple TV、Apple Watch 和 Apple Vision Pro 無法識別多於一個用户,所以從支援的 Apple 裝置中製作的設定描述檔總是裝置描述檔。 雖然 iPadOS 描述檔也是裝置描述檔,但為「共享 iPad」設定的 iPad 裝置可支援基於裝置或用户的描述檔。
用户描述檔: 你可以將用户描述檔傳送到用户和用户群組(如裝置管理服務支援用户群組),並將用户設定只套用到個別用户。 Mac 電腦可以有多個用户,因此你可讓 macOS 描述檔的承載資料和設定以裝置或用户為基礎。 「設定輔助程式」製作的用户帳户會被視為由裝置管理服務管理,並且可以接收描述檔。 在使用 macOS 11 或較新版本的 Mac 上,可以選擇管理裝置管理服務在註冊期間建立的管理員帳户。 針對 Active Directory:綁定部署,目前已登入的網絡用户便會成為受管理用户。
裝置和用户設定會因其所在的位置而有所不同: 安裝在系統層級的設定會位於裝置頻道中。 為用户安裝的設定會位於用户頻道中。
如需更多關於描述檔安裝和「封鎖模式」的資料,請參閲 Apple 支援文章:關於「Lockdown Mode(鎖定模式)」。
移除描述檔
移除描述檔的方式視其安裝方式而定。 以下步驟表示移除描述檔的方式:
1. 你可以透過清除裝置的所有資料來移除所有描述檔。
2. 如果裝置已在連繫至 Apple School Manager 或 Apple Business Manager 的裝置管理服務註冊,管理員可選擇用户能否移除註冊描述檔,或是否只有裝置管理服務可以移除描述檔。
3. 如果是裝置管理服務安裝描述描,服務可以移除該描述檔,或用户可透過從服務取消註冊(方法是移除註冊設定描述檔)來移除描述檔。
4. 如果是 Apple Configurator 安裝描述檔,Apple Configurator 的監管範例可將描述檔移除。
5. 如果是 Apple Configurator 安裝描述檔,或你以手動方式將描述檔安裝至受監管的裝置,且描述檔有移除密碼承載資料,用户需要輸入移除密碼以移除描述檔。
6. 用户可以移除其他所有描述檔。
由設定描述檔配置的帳户可藉由移除描述檔的方式來移除。 Microsoft Exchange ActiveSync 帳户(包括使用設定描述檔安裝的帳户)可藉由發出只限帳户遙距清除指令來以 Microsoft Exchange Server 移除。
重要事項:如用户知道裝置密碼,即使該選項已設為「永不」,用户仍然可以移除來自 iPhone 和 iPad 裝置的手動安裝未受管理設定描述檔。 Mac 上的用户只可以在用户知道管理員的用户名稱和密碼時執行相同操作。 用户可以使用 profiles 命令列工具、「系統設定」(macOS 13 或較新版本)或「系統偏好設定」(macOS 12.0.1 或較早版本)來執行此操作。 在使用 macOS 10.15 或較新版本的 Mac 上,如同在 iOS 和 iPadOS 上一樣,如果是裝置管理服務安裝描述檔,該服務就可以移除描述檔,或者作業系統會在取消註冊該服務時自動移除描述檔。
裝置管理服務通訊要求
在以下情況下,裝置管理服務與 Apple 裝置的通訊最有可能成功:
裝置管理服務設定裝置、成功測試裝置,並確保裝置正常運作
APN 證書有效且未過期
裝置已經開啟電源
裝置目前在服務註冊
裝置已連接的網絡可取用互聯網(以供 APN 通訊)
裝置已連接的網絡需能夠取用與服務相關的 Apple 主機
如需更多資料,請參閲 Apple 支援文章:在企業網絡使用 Apple 產品。
備註:Apple 不會控制第三方裝置管理服務。 其他問題(例如承載資料設定錯誤)也可能導致通訊失敗。