「Apple 商務」中的裝置管理服務簡介
概覽
iOS、iPadOS、macOS、tvOS、visionOS 和 watchOS 均具備支援裝置管理的內建架構。裝置管理服務可讓機構傳送設定、描述檔及指令至裝置,如此便能安全地遠端設定裝置,無論該裝置是由使用者還是機構擁有。裝置管理服務還可讓裝置以非同步方式套用設定,並向其回報狀態,而無需持續進行輪詢。這是提高效能和擴展性的理想做法。宣告式裝置管理可為機構帶來更多信心,即使沒有網際網路連線,裝置仍會處於所需的狀態,且重要資料受到妥善保護。從使用者角度來看,可獲得回應更即時的體驗。功能包括更新軟體和裝置設定、監控是否符合機構政策,以及遠端清除或鎖定裝置。
你可以將裝置指派至裝置管理服務,以指定哪些服務應該用於「裝置註冊」和「裝置自動註冊」。指派裝置管理服務不會影響裝置目前的註冊狀態。這兩種註冊方式的區別如下:
裝置註冊:使用者完成「設定輔助程式」後,裝置就會由使用者註冊。
裝置自動註冊:裝置顯示在「設定輔助程式」中。
你也可以按平台、依據裝置頁面上的裝置、使用批量操作,以及透過 iPhone 版 Apple Configurator,自動將裝置指派給服務。
你可以根據自己的條件篩選出幾款裝置管理服務,然後以少數測試裝置試用它們,藉此找出最能符合需求的解決方案,再做出最後決定。「Apple 商務」可讓你連接多個裝置管理服務,並視需要將裝置指派給不同的服務。
開始之前
在連結外部裝置管理服務之前,請先檢視以下資訊:
安全性:你所建立的每個外部裝置管理服務都必須讓 Apple 認可,並需透過雙步驟驗證程序進行安全授權。驗證程序包含在裝置管理服務上建立並安裝裝置管理服務權杖,憑證會加密該權杖。如需關於如何傳送權杖的資訊,請參閱裝置管理服務的文件。
憑證:在新增外部裝置管理服務之前,請先從裝置管理服務開發者取得所要新增的各服務的公用密鑰憑證檔案(結尾為 .pem 或 .der)。請參閱裝置管理服務的文件,取得關於服務公用密鑰憑證的資訊。
【注意】你上傳的公用密鑰憑證檔案不能超過 250 個。
名稱:為每個外部裝置管理服務命名時,不需要使用完整的網域名稱。例如,你可以根據特定建物、位置、處室或職責來選擇名稱(但不同服務不可使用相同名稱)。你也不能將服務命名為「未指派」或「重新指派」。
裝置支援:有些裝置管理服務針對特定 Apple 裝置類型提供深度支援,例如僅支援 Mac 電腦或 iPhone 和 iPad 裝置;而另一些裝置管理服務則提供跨平台支援。你可以混用不同的開發商方案,讓每種裝置類型都能獲得專門的解決方案,並按裝置類型自動指派來簡化管理流程。或者,你也可以選擇一家支援你機構內所有 Apple 裝置類型的開發商。
查詢與報告服務:裝置管理服務可以向 Apple 裝置查詢各種資訊,包括硬體序號、裝置 UDID、Wi-Fi、媒體存取控制(MAC)位址和「檔案保險箱」加密狀態(適用於 Mac 電腦),還可以查詢軟體資訊(例如裝置版本和限制),並列出裝置上安裝的 App。這些資訊可用來確保使用者安裝正確的 App。iOS 和 iPadOS 允許查詢裝置上次備份到 iCloud 的時間,以及登入使用者的 App 指派帳號雜湊值(hash)。在 tvOS 中,裝置管理服務可以向註冊的 Apple TV 裝置查詢語言、地區設定和機構等資產資訊。
廠商支援存取權限與政策:裝置管理服務屬於核心營運服務。你需要評估你的裝置管理服務開發商所提供的支援、服務和培訓。
裝置管理服務的網路要求
安裝和設定裝置管理服務時,請斟酌你要如何設定網路、傳輸層安全性(TLS)通訊協定、基礎架構服務、Apple 服務和備份。
當你安裝本機託管的裝置管理服務時,你需要設定下列所有項目。請在過程中及早設定並測試每個項目,以確保順利部署。如果你採用的是外部管理式或雲端託管式裝置管理服務,其開發商可能會替你處理下列多個項目:
DNS:裝置管理服務必須使用完整網域名稱,且不論在機構網路的內部或外部,都要可以解析網域。這樣無論裝置是本地連線還是遠端連線,服務都可以管理裝置。為了維持與用戶端的連線,此網域名稱不得變更。
IP 位址:大多數裝置管理服務需有靜態 IP 位址。若伺服器的 IP 位址有變更,仍須保留現有的 DNS 名稱。
使用 TLS 設定:Apple 裝置與裝置管理服務之間的所有通訊內容是以 HTTPS 加密。TLS(以前稱為 SSL)憑證才能保護這些通訊的安全。部署裝置時,務必使用由具公信力的憑證授權單位(CA)所核發的憑證。請記下到期日,並務必在憑證到期前更新。
防火牆連接埠:若要讓內部與外部皆能存取裝置管理服務,請務必開啟特定的防火牆連接埠。大多數的裝置管理服務都使用 443 連接埠接受 HTTPS 傳入連線。Apple 裝置也需要能連線到特定主機上的特定連接埠:
TCP 443 連接埠。裝置啟用期間會使用這個連接埠;啟用完成後,若裝置無法透過 5223 連街埠連接 Apple 推播通知服務(APNs),則 443 連接埠將作為備援連線使用。
TCP 5223 連接埠。這是用來與 APNs 通訊的連接埠。
TCP 443 或 2197 連接埠。透過這兩個連接埠,可從裝置管理服務傳送通知至 APNs。
【注意】你的裝置管理服務可能會託管「啟用鎖定」託管金鑰與略過代碼、macOS Bootstrap 權杖,以及其他對裝置存取持續性具有重要意義的專屬資料。因此,請確保你的內部部署裝置管理服務具有強大的災難復原策略,並建議你定期測試備份和還原。
其他的裝置管理
「監管」通常表示裝置歸機構所有,如此可進一步控管其設定與限制。機構可以透過多種方式監管裝置;某些類型會因平台而異。請參閱《Apple 平台部署》中的〈關於 Apple 裝置監管〉。