Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 管理式「登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
分派證書到 Apple 裝置
你可以手動分派證書到 iPhone、iPad 和 Apple Vision Pro 裝置。 當用户收到證書時,他們點一下即可查看內容,然後再點一下將證書添加到裝置中。 當安裝身份證書之後,系統會要求用户輸入用來保護身份的密碼。 如果證書的真實性無法驗證,證書會顯示為不受信任,用户可以決定是否要將證書加入到裝置裏。
你可以手動分派證書到 Mac 電腦。 當用户收到證書時,只需按兩下即可開啟「鑰匙圈存取」並查看內容。 如證書符合預期,用户可選擇想要的鑰匙圈並按一下「加入」按鈕。 大多數的用户證書需要安裝在登入鑰匙圈中。 當安裝身份證書之後,系統會要求用户輸入用來保護身份的密碼。 如果證書的真實性無法驗證,證書會顯示為不受信任,用户可以決定是否要將證書加入 Mac。
部份證書識別身份可在執行 Mac 電腦上自動更新。
使用 MDM 承載資料的證書部署方式
以下的表格顯示使用設定描述檔部署證書的不同承載資料。 這包括「Active Directory 證書」承載資料、「證書」承載資料(用於 PKCS #12 識別身份證書)、「自動證書管理環境」(ACME)承載資料,以及「簡易證書註冊通訊協定」(SCEP)承載資料。
承載資料 | 支援的作業系統和頻道 | 説明 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
「Active Directory 證書」承載資料 | macOS 裝置 macOS 用户 | 藉由設定 ADCertificate 承載資料,macOS 會將證書簽署要求直接置入使用遙距程序呼叫發出 CA 的「Active Directory 證書服務」伺服器。 你可以使用 Active Directory 中的 Mac 電腦物件憑證來註冊機器識別身份。 用户可提供其證書作為註冊流程的一部份,來提供單一的識別身份。 使用此承載資料,管理員可進一步控制專用密鑰的使用,以及用於註冊的證書樣板。 與 SCEP 相同,專用密鑰會保留在裝置上。 | |||||||||
ACME 承載資料 | iOS iPadOS 「共用的 iPad」裝置 macOS 裝置 macOS 用户 tvOS watchOS 10 visionOS 1.1 | 對於已註冊 MDM 解決方案的 Apple 裝置,裝置會取得 CA 發出的證書。 透過此技術,專用密鑰只會留在裝置上,並且可選擇以硬件方式綁定到裝置。 | |||||||||
「證書」承載資料(用於 PKCS #12 識別身份證書) | iOS iPadOS 「共用的 iPad」裝置 macOS 裝置 macOS 用户 tvOS watchOS 10 visionOS 1.1 | 如是代表用户或裝置在裝置外提供身份,則該身份可被包裹在 PKCS #12 檔案中(.p12 或 .pfx)並以密碼加以保護。 如承載資料包括密碼,則可安裝身份而無須提示用户。 | |||||||||
SCEP 承載資料 | iOS iPadOS 「共用的 iPad」裝置 macOS 裝置 macOS 用户 tvOS watchOS 10 visionOS 1.1 | 裝置會將證書簽署要求直接置入註冊伺服器中。 透過此技術,專用密鑰只會留在裝置上。 | |||||||||
如要與特定身份連結服務,請設定 ACME、SCEP 或證書承載資料,然後在相同的設定描述檔中設定需要的服務。 例如,SCEP 承載資料可被設定來為裝置佈建身份,而在相同的設定描述檔中,可使用 SCEP 註冊操作所產生的裝置證書來為 WPA2 企業級/EAP-TLS 設定 Wi-Fi 承載資料,以進行認證。
如要與 macOS 中的特定識別身份連結服務,請設定 Active Directory 證書、ACME、SCEP 或證書承載資料,然後在相同的設定描述檔中設定需要的服務。 例如,你可以設定「Active Directory 證書」承載資料來為裝置提供識別身份,而在相同的設定描述檔中,可使用「Active Directory 證書」註冊操作所產生的裝置證書來為 WPA2 企業級 EAP-TLS 設定 Wi-Fi 承載資料,以進行認證。
更新透過設定描述檔安裝的證書
如要確保可以持續取用服務,必須在使用 MDM 解決方案部署的證書過期前進行更新。 如要這樣做,MDM 解決方案可以查詢已安裝的證書,偵測到期日,並提前發出新的描述檔或設定。
針對「Active Directory 證書」,在以裝置描述檔一部份的形式部署證書識別身份時,在 macOS 13 或較新版本中預設行為是自動更新。 管理員可以設定系統偏好設定來修改這個行為。 如需更多資料,請參閲 Apple 支援文章:自動更新透過設定描述檔傳送的憑證。
使用「郵件」或 Safari 安裝證書
你可以使用郵件附件來傳送證書或將證書託管在安全的網站上,讓用户在其 Apple 裝置上下載證書。
移除和撤銷證書
MDM 解決方案可以檢視裝置上所有證書,也可以移除它所安裝的任何證書。
此外也支援以「網上證書狀態通訊協定」(OCSP)來檢查證書的狀態。 使用經 OCSP 認可的證書時,iOS、iPadOS、macOS 和 visionOS 會定期進行驗證,以確保證書未被撤銷。
如要使用設定描述檔撤銷證書,請參閲:證書撤銷 MDM 承載資料設定。
如要手動移除安裝在 iOS、iPadOS 和 visionOS 1.1 或以上版本中的證書,請前往「設定」>「一般」>「裝置管理」,選擇描述檔,點一下「更多詳細資料」,然後點一下來移除證書。 如果你移除了連接帳户或網絡所需的證書,iPhone、iPad 或 Apple Vision Pro 便無法再連接這些服務。
如要在 macOS 中手動移除已安裝證書,請啟動「鑰匙圈存取」App,然後搜尋證書。 將其選取,然後從鑰匙圈中刪除。 如果你移除了連接帳户或網絡所需的證書,Mac 便無法再連接這些服務。