Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 管理式「登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
管理配件對 Apple 裝置的取用
管理 Mac 電腦
macOS 的配件保安(稱為「限制模式」)旨在保護客户,避免透過有線配件進行的近距離接觸攻擊。 在配備 Apple 晶片且使用 macOS 13 或較新版本的 Mac 手提電腦,預設設定為詢問用户是否允許新的配件。 用户在「系統設定」中有四個選項可允許配件連線:
每次都詢問
要求新配件
解鎖時自動
總是
如用户將未知的配件(Thunderbolt、USB,或在 macOS 13.3 或較新版本上接上容量擴大化的 SD 卡「SDXC」)接上已鎖定的 Mac,系統會提示解鎖 Mac。 獲許可的配件可自 Mac 上次鎖定起最多 3 日內連接到已鎖定的 Mac。 任何軟件在接上 3 天後,系統會提示用户「解鎖以使用配件」。
部份環境可能會要求略過用户授權。 MDM 解決方案可透過使用現有的 allowUSBRestrictedMode 取用限制,總是允許配件,以控制此行為。
附註:這些連線不適用於電源轉換器、非 Thunderbolt 顯示器、獲許可的集線器、已配對的智慧卡,或者處於「設定輔助程式」或從 RecoveryOS 啟動的 Mac。
管理 iPhone 和 iPad 裝置
管理可與 iPhone 和 iPad 配對的主機電腦,對保安和用户的方便性都十分重要。 例如,安全地連接自助站以更新軟件或分享 Mac 電腦的互聯網連線,都需要 iPhone 或 iPad 與主機電腦的信任關係。
當用户以 USB 連接線(或如 iPad 型號支援 Thunderbolt 連接線)將裝置連接到主機電腦時,裝置配對通常都是由用户執行。 用户的裝置上會顯示提示,詢問用户是否要與電腦建立信任關係。
之後用户會被要求輸入其密碼以確認此決定。 與同一部主機電腦的任何其他連接都會自動被信任繼續操作。 用户可以前往「設定」>「一般」>「重設」>「重設定位服務與私隱」或清除裝置來清除配對信任關係。 此外,如 30 日未有使用信任記錄,其就會被刪除。
主機配對的 MDM 管理
管理員可以管理受監管的 Apple 裝置,透過取用限制「允許與非 Apple Configurator 主機配對」來手動信任主機電腦。 透過停用主機配對功能(和將正確的監管身份分配給裝置),管理員可以確保只有持有有效監管主機證書之受信任的電腦,才會獲允許透過 USB 取用有疑慮的 iPhone 和 iPad 裝置(或者如 iPad 型號支援,則為 Thunderbolt)。 如果主機電腦未有設定監管主機證書,所有配對都會被停用。
附註:Apple 裝置註冊設定 allow_pairing 不適用於 iOS 13 和 iPadOS 13.1。 管理員應改為使用以上指引來繼續操作,因其可提供更大彈性,同時仍允許配對到受信任的主機。 其也會讓主機配對設定可被更改,無需清除 iPhone 或 iPad。
保護未有配對的還原工作流程
在 iOS 14.5 和 iPadOS 14.5 或較新版本中,未有配對的主機電腦無法在沒有實體互動的情況下,以 RecoveryOS(也被稱為「還原模式」)重新啟動裝置。 在此變更前,未授權的用户可以清除和還原用户的裝置,無需與 iPhone 或 iPad 直接互動。 他們只需要透過 USB(或者如 iPad 型號支援,則為 Thunderbolt)連接目標裝置和電腦,例如提供為充電裝置。
限制外部開機還原 iPhone 或 iPad
依照預設,iOS 14.5 和 iPadOS 14.5 或較新版本現會限制此還原功能為之前已信任的主機電腦。 要略過這個較安全行為的管理員可以啟用允許從未配對的主機讓 iOS 或 iPadOS 裝置進入「還原模式」的限制。
配搭 iPhone 或 iPad 使用乙太網絡轉換器
如裝置的取用限制已關閉,即使在裝置初次解鎖前,配備相容乙太網絡轉換器的 iPhone 或 iPad 會與已連接的網絡維持活躍連線。 當裝置必須接收 MDM 指令,同時沒有可用的 Wi-Fi 和流動網絡,且裝置自關機狀態或重新啟動後未曾解鎖,這方法便相當實用,例如當用户忘記密碼,且 MDM 正在嘗試將其清除。
iPhone 或 iPad 上的「限制模式」設定可受以下用户管理:
有「USB 限制模式」限制的 MDM 管理員。 這要求裝置需受監管。
「設定」>「Touch/Face ID 與密碼」>「配件」中的用户。