Apple 平台部署
- 歡迎使用
- Apple 平台部署簡介
- 新功能
-
-
- 宣告式狀態報告
- 宣告式 App 設定
- 認證憑證和身分識別內容宣告
- 背景作業管理宣告
- 「行事曆」宣告式設定
- 「憑證」宣告式設定
- 「聯絡人」宣告式設定
- Exchange 宣告式設定
- Google 帳號宣告式設定
- LDAP 宣告式設定
- 「舊版互動式描述檔」宣告式設定
- 「舊版描述檔」宣告式設定
- 「郵件」宣告式設定
- 「數學」和「計算機」App 宣告式設定
- 「密碼」宣告式設定
- 「通行密鑰證明」宣告式設定
- Safari 瀏覽管理宣告式設定
- Safari 延伸功能管理宣告式設定
- 「螢幕共享」宣告式設定
- 「服務」設定檔宣告式設定
- 「軟體更新」宣告式設定
- 「軟體更新」設定宣告式設定
- 「儲存空間管理」宣告式設定
- 「已訂閱的行事曆」宣告式設定
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
-
- 詞彙表
- 文件修改記錄
- 版權聲明與商標
部署「管理式裝置證明」
「管理式裝置證明」是一項強大的技術,可保護受管理裝置,協助防範許多類型的攻擊,包含裝置屬性混淆、密鑰擷取和冒充。「管理式裝置證明」由兩項技術組成:
裝置資訊證明會應裝置管理服務
DeviceInformation查詢而提供通過證明的受管理裝置屬性。這會向裝置管理服務提供裝置的重要安全和合規資訊。ACME 證明可向依賴方證明裝置的識別身分。它會在裝置上提供硬體綁定的身分。用戶端向 ACME 伺服器要求憑證時,它會提供同一個經過證明的屬性。
這兩項技術是強大的基本要素,可讓你根據 Apple 裝置來建立零信任架構。請注意,只有在圍繞管理裝置所建立的部署模式正確地納入證明時,機構才能獲得安全性益處。此頁面描述了一些可能的部署模式。
元件
圍繞「管理式裝置證明」的部署模式包含以下元件:
裝置:正在管理的裝置,其為 iPhone、iPad、Mac、Apple TV 或 Apple Vision Pro。
裝置管理服務:使用裝置管理通訊協定來管理裝置的服務。
ACME 伺服器:將用戶端憑證發給裝置的伺服器。
依賴方:使用身分憑證的當事方。當事方包含網頁伺服器、VPN 伺服器、簽署電子郵件的收件人等。裝置管理服務也充當依賴方。
部署模式
此文件描述了三種部署模式,這些模式的彈性越來越高,對基礎架構需求和整合的要求也越來越高:
保護裝置管理頻道:此模式會強化裝置與裝置管理服務之間的通訊。這可確保裝置管理服務知道它正在管理哪部裝置,並提供裝置符合機構規範的強力證據。
ACME 伺服器導向的授權:這讓憑證授權管理中心可控制裝置的認證和授權。依賴方只會評估憑證是否有效,以及是否由受信任的憑證授權管理中心發出。
差異授權:ACME 伺服器負責認證,依賴方會根據認證來執行授權。這可讓每個依賴方做出自己的差異授權決定。
保護裝置管理頻道佈署模式
裝置管理通訊協定會要求裝置使用用戶端識別身分來對裝置管理服務進行認證。此識別身分會在裝置註冊期間提供。在此部署模式中,用戶端識別身分的佈建會使用 ACME 證明。這為裝置管理服務提供了非常有力的保證,即每個傳入連線都是由同一部已註冊的合法 Apple 裝置所發起。若註冊不是「使用者註冊」,裝置管理服務也擁有裝置序號和 UDID 的強有力證據。
在此部署模式中,發出的識別身分只會由受管理裝置用來向裝置管理服務進行認證。這表示裝置管理服務也是依賴方,通常是發行憑證的實例。
若要使用此部署模式,身分會在註冊時藉由提供裝置包含 ACME 承載資料的註冊描述檔進行佈建(儘管有可能「升級」最初未使用「管理式裝置證明」的現有註冊)。使用提供的資訊,裝置會聯絡裝置管理服務的 ACME 元件來要求憑證。 你也可以使用自訂規則,但通常會在下列情況下發出憑證:
事先已知裝置,例如因為裝置已在「Apple 校務管理」或「Apple 商務管理」中註冊。
裝置與使用者認證的註冊有關。
裝置註冊後,裝置管理服務可以透過使用裝置資訊證明來查詢已證明的動態屬性(如作業系統版本和「檔案保險箱」狀態),以便在裝置符合機構要求之前另外保留 App、設定和帳號。
發生相關變更時,可以使用相同的途徑來要求更新證明。
此情境的較複雜設定會包含裝置管理服務外部的 ACME 伺服器。這需要 ACME 與裝置管理服務之間的整合來取得裝置和註冊認證狀態的相關資訊,或發行包含來自證明之持續性資訊的憑證來讓裝置管理服務得以執行信任評估。
ACME 伺服器導向的授權部署模式
在此部署模式中,裝置的授權只會基於所發行的憑證是否受信任。在 ACME 流程期間,ACME 伺服器會決定是否發出憑證。若決定需要任何證明憑證之外的資訊,ACME 伺服器必須收集。只有在通過信任評估且裝置符合機構定義的條件時,ACME 伺服器才會發出憑證。
例如,若你的機構要求授權裝置必須註冊裝置管理服務,則需要在 ACME 和裝置管理服務之間建立連線。
當有許多使用相同授權條件的依賴方時,此部署模式的效果最佳。在 ACME 伺服器執行其信任評估後,依賴方只需要執行標準憑證驗證和信任評估即可驗證取用權限。
【注意】視安全性要求而定,你可能需要考慮部署如何處理已失去授權的裝置,例如調整憑證的有效期限或依賴方進行的撤銷檢查。
差異授權部署模式
在此部署模式中,ACME 伺服器只負責發出認證裝置的憑證。依賴方每次評估裝置的識別憑證並套用自己的個別授權規則時,都會決定授權。
ACME 伺服器應在發行的憑證中包含任何無狀態的資訊,依賴方需要這些資訊來辨識和授權裝置,例如 ACME 伺服器在證明憑證中接收的任何資料。
當裝置連線時,除了驗證發行的憑證信任外,依賴方也可以向裝置管理服務查詢任何動態屬性。這可讓授權決定基於最新資訊,而且也可以支援取消授權和重新授權事件。視機構需求和依賴方的重要性而定,授權決定也可能會在定義的時間內暫存,以處理重複的連線事件並加快授權決定。