設定描述檔的強制執行
設定描述檔是 MDM 解決方案在受管理裝置上遞送和管理規則和限制的主要方式。如果機構需要設定大量裝置或為大量裝置提供許多自訂的電郵設定、網絡設定或憑證,那麼使用設定描述檔是一種安全可靠的方式。
設定描述檔
設定描述檔是包含承載資料的 XML 檔案(結尾為 .mobileconfig),可將設定和授權資料載入 Apple 裝置。設定描述檔會自動處理設定、帳户、限制和憑證的設定作業。這些檔案是由 MDM 解決方案或 Mac 版 Apple Configurator 製作,也可以手動製作。機構在將設定描述檔傳送到 Apple 裝置之前,必須使用註冊描述檔將裝置註冊到 MDM 解決方案中。
註冊描述檔
註冊描述檔是帶有 MDM 承載資料的設定描述檔,會在為該裝置指定的 MDM 解決方案中將裝置註冊。這可讓 MDM 解決方案傳送指令和設定描述檔到裝置並查詢裝置的特定層面。當用户移除註冊描述檔,所有設定描述檔及其設定,以及該註冊描述檔之受管理的 App 都會一併移除。在裝置上一次只能存在一個註冊描述檔。
設定描述檔的設定
設定描述檔中包含可指定特定承載資料中的多個設定包括(但不限於):
密碼規則
對裝置功能的限制(例如停用相機)
網絡與 VPN 設定
Microsoft Exchange 設定
「郵件」設定
帳户設定
LDAP 目錄服務設定
CalDAV 日曆服務設定
憑證和密鑰
軟件更新
描述檔簽署和加密
設定描述檔可以簽署來驗證其來源及進行加密,以協助確保其完整性並保護其內容。iOS 和 iPadOS 的設定描述檔是使用 RFC 5652 中指定的「加密編譯訊息語法」(CMS)來加密(支援 3DES 和 AES128)
描述檔安裝
用户可以使用 Mac 版 Apple Configurator 直接在裝置上安裝設定描述檔,也可以使用 Safari 下載、藉由附加至電郵來傳送、使用 AirDrop 或 iOS 或 iPadOS 中的「檔案」App 來傳輸,或是使用流動裝置管理(MDM)解決方案以無線方式傳送。用户在 Apple School Manager 或 Apple Business Manager 中設定裝置時,裝置會下載並安裝用於 MDM 註冊的描述檔。如需移除描述檔的相關資料,請參閲「Apple 平台部署」中的流動裝置管理簡介。
附註:在受監管裝置上,設定描述檔也可以鎖定到裝置上。其設計用意是徹底防範描述檔遭移除,或要求輸入密碼才能移除描述檔。由於許多機構皆持有本身的 iOS 和 iPadOS 裝置,可以移除將裝置綁定至 MDM 解決方案的設定描述檔,但這麼做也會移除所有受管理的設定資料、資料和 App。