Apple 裝置的 MDM 概覽
此參考專為 IT 和 MDM 管理員設計。其中包含 Apple 所定義的所有流動裝置管理(MDM)解決方法設定。如你是 Apple 開發者,你亦可以參閱 Apple 開發者網站上的「裝置管理」。
什麼是流動裝置管理(MDM)?
MDM 可讓你以安全和無線的方式設定裝置(無論它們是否由用户或機構所擁有)。MDM 包括更新軟件和裝置設定、監控機構政策的貫徹情況,以及遙距清除或鎖定裝置。用户可在 MDM 中註冊本身的裝置,而機構擁有的裝置可使用 Apple School Manager 或 Apple Business Manager 在 MDM 中自動註冊。
支援的 Apple 裝置
下列 Apple 裝置有支援 MDM 的內置架構:
iPhone 和 iPod touch(iOS 5 或以上版本)
iPad(iOS 5 或以上版本或 iPadOS 13.1 或以上版本)
Mac 電腦(OS X 10.7或以上版本)
Apple TV(tvOS 9或以上版本)
在此文件的餘下部份,字詞 iPhone 指 iPhone 和 iPod touch。
MDM 運作方式為何?
裝置或用户批准註冊描述檔後,便會將含有承載資料的設定描述檔傳送至裝置。你之後便能以無線方式分配、管理和設定透過 Apple School Manager 或 Apple Business Manager 購買的 App 與書籍。使用者可以自行安裝 App,或者 App 可依據類型、分配方式以及是否監管裝置而定,來自動進行安裝。
如果你要使用 MDM,有一些概念需要先理解,因此請繼續參閱 MDM 如何使用設定描述檔和承載資料。
什麼是設定描述檔?
設定描述檔是一種包含乘載資料的 XML 檔案(結尾為 .mobileconfig),可將設定和授權資料載入 Apple 裝置。設定描述檔會自動處理設定、帳户、取用限制和證書的設定操作。這些檔案是由 MDM 解決方案或 Apple Configurator 2 製作,也可以手動製作。
由於設定描述檔可以加密和簽署,可讓你將其用途限制於特定的 Apple 裝置,並避免任何人更改描述檔的設定(用户名稱和密碼除外)。你可以將設定描述檔標示為對裝置鎖定。
為什麼設定描述檔有兩種類型?
可以將設定描述檔傳送給用户或裝置,或用户群組或裝置群組。
你可能也要為特定裝置(如 iPhone 裝置)或用户群組(如學生)製作獨立的設定描述檔。如要取得資料,請參閱:承載資料最佳實例。
如你的 MDM 解決方案支援此功能,則可以使用以下方式來分配設定描述檔:電郵附件、透過自己網頁上的連結,或是透過 MDM 解決方案的內置用户入口網站。當用户開啟郵件附件或使用網頁瀏覽器下載設定描述檔時,會收到開始安裝設定描述檔的提示。
附註:你可以使用 Apple Configurator 2 來將裝置設定描述檔(自動或手動)加入 iPhone、iPad 和 Apple TV。如要加入包含 macOS 特定設定的用户設定描述檔,請使用第三方流動裝置管理(MDM)解決方案或「描述檔管理程式」(macOS Server App 的一部份)。
什麼是承載資料?
承載資料可設定來管理 Apple 裝置上的特定設定。例如,你可使用不同承載資料來要求複雜密碼、以所有 Exchange 伺服器資料填入 Exchange 帳户,以及將 VPN 設定加至裝置。雖然每種承載資料都有其專屬的唯一設定,不過所有承載資料都是由以下項目定義:
承載資料支援的作業系統或系統
承載資料適用的頻道
承載資料是否需要監管 Apple 裝置
承載資料是否具排他性,還是能否與其他同類型的承載資料合併
承載資料能否擁有重複項目
設定承載資料後,它們會儲存在設定描述檔中。
請參閱:完整承載資料列表。如需了解你的裝置支援哪些 MDM 承載資料,請參閱 MDM 廠商的文件。
設定描述檔和「共用的 iPad」
如果你使用「共用的 iPad」,可以安裝下列項目:
使用 MDM 解決方案安裝的裝置和裝置群組描述檔。
使用 MDM 解決方案安裝的用户和用户群組描述檔。
用户許可的 MDM 註冊
用户許可的 MDM 註冊需要用户於自己的 Apple 裝置上接受 MDM 註冊描述檔。接受動作無法透過遙距管理完成(例如使用 Apple 遙距桌面)。出現在 Apple School Manager 或 Apple Business Manager 中的 Apple 裝置不需要用户許可的 MDM 註冊。如果移除 MDM 註冊描述檔,全部承載資料也會一併被移除。當裝置重新註冊時,如果裝置沒有出現在 Apple School Manager 或 Apple Business Manager 上,以下用户許可的 MDM 承載資料將會被拒絕。
與 Open Directory 進行承載資料互動
macOS 承載資料在與 Open Directory 設定互動時,可能不同的行為如下:
受管理的裝置已套用的用户描述檔,該優先順序會高於 Open Directory 所儲存的用户設定。
Open Directory 所儲存的用户設定,該優先順序會高於受管理之裝置已套用的裝置描述檔。
受管理的裝置已套用的裝置描述檔,該優先順序會高於 Open Directory 所儲存的電腦設定。
手動安裝的用户和裝置描述檔,該優先順序一律低於 Open Directory 所儲存或受管理之裝置已套用的用户或裝置設定。
移除描述檔
移除設定描述檔的方式視其安裝方式而定。 以下步驟表示移除設定描述檔的方式:
1.所有描述檔都可以透過清除裝置的所有資料來移除。
2.如描述檔被指定到使用 Apple School Manager 或 Apple Business Manager 的裝置,其可被 MDM 解決方案及用户(非必要)移除。
3.如描述描由 MDM 解決方案安裝,其可被該指定的 MDM 解決方案移除,或由用户透過移除註冊設定描述檔來從 MDM 取消註冊。
4.如描述檔被安裝到使用 Apple Configurator 2 的受監管裝置,Apple Configurator 2 的監管範例可將描述檔移除。
5. 如描述檔被手動或使用 Apple Configurator 2 安裝到受監管的裝置,且描述檔有移除密碼承載資料,用户必須輸入該移除密碼以移除描述檔。
6. 其他所有描述檔都可被用户移除。
由設定描述檔配置的帳户可藉由移除描述檔的方式來移除。 Microsoft Exchange ActiveSync 帳户(包括使用設定描述檔案裝的帳户)可藉由發出只限帳户遙距清除指令來以 Microsoft Exchange Server 移除。
如要了解如何準備你的機構以部署 Apple 裝置,請參閱:適用於 iPhone 和 iPad 的部署參考及適用於 Mac 的部署參考。