行動裝置管理描述檔簡介
iOS、iPadOS、macOS、tvOS、watchOS 10 或以上版本和 visionOS 1.1 或以上版本內建支援行動裝置管理(MDM)的架構。MDM 可將描述檔和指令傳送到裝置來讓你以安全和無線的方式設定裝置(無論它們是否由使用者或組織所擁有)。MDM 功能包含更新軟體和裝置設定、監控與組織政策的合規事項,以及遠端清除或鎖定裝置。使用者可在 MDM 中註冊自己的裝置,而組織擁有的裝置可使用「Apple 校務管理」或「Apple 商務管理」在 MDM 中自動註冊。若你有在使用「Apple 商務必備」,也可以使用其中內建的裝置管理。
若你準備使用 MDM,有一些概念需要瞭解,因此請閱讀以下章節來瞭解 MDM 使用註冊和設定描述檔、監管內容,以及承載資料的方式。
裝置如何註冊
MDM 中的註冊包含使用「自動憑證管理環境」(ACME),或「簡單憑證註冊通訊協定」(SCEP)等通訊協定註冊用戶端憑證識別身分。裝置可使用這些通訊協定來建立獨有的身分憑證以進行組織服務的認證。
除非註冊自動進行,使用者會決定是否要註冊 MDM,他們也可以隨時與 MDM 取消註冊其裝置。因此,你會想要提供誘因,讓使用者願意維持受到管理的狀態。例如,你可以使用 MDM 自動提供無線認證資訊,藉此要求使用者必須註冊 MDM 才能連接 Wi-Fi 網路。當使用者離開 MDM,其裝置會試著通知 MDM 解決方案,告知裝置不再受監管。
針對你組織擁有的裝置,你可以使用「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」在初始設定期間自動於 MDM 中註冊這些裝置並以無線方式監管;此註冊程序即所稱的「自動裝置註冊」。
MDM 和「遭竊裝置防護」
當「遭竊裝置防護」已開啟,若使用者身處不熟悉的位置,以下操作會延遲一小時:
在 MDM 中手動註冊其裝置
手動安裝密碼描述檔或設定
在設定中或使用描述檔或設定配置 Microsoft Exchange 帳號
註冊描述檔
使用者可透過兩種主要方式為個人裝置註冊 MDM 解決方案,其中一種是註冊描述檔(另一種為利用使用者註冊)。透過此包含 MDM 承載資料的描述檔,MDM 解決方案會傳送指令和(必要時)其他設定描述檔到裝置。此描述檔也可以向裝置查詢其「啟用鎖定」狀態、電池電量和名稱等資訊。
當使用者移除註冊描述檔,所有設定描述檔、描述檔設定,以及該註冊描述檔之管理式 App 都會一併移除。在裝置上一次只能存在一個註冊描述檔。
註冊描述檔經裝置或使用者核准後,包含承載資料的設定描述檔便會傳送到裝置。然後你便能以無線方式發布、管理和設定透過「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」購買的 App 與書籍。使用者可以安裝 App,或者 App 可依據類型、指派方式以及裝置是否受監管而定,來自動進行安裝。如需更多資訊,請參閱:關於 Apple 裝置監管。
設定描述檔
設定描述檔是包含承載資料的 XML 檔案(結尾為 .mobileconfig),可將設定和授權資訊載入 Apple 裝置。設定描述檔會自動處理設定、帳號、取用限制和憑證的設定作業。這些檔案是由 MDM 解決方案或 Mac 版 Apple Configurator 製作,也可以手動製作。如需更多使用 Mac 版 Apple Configurator 製作和安裝設定描述檔在 iPhone、iPad 和 Apple TV 裝置上的相關資訊,請參閱「Mac 版 Apple Configurator 使用手冊」中的在 Apple Configurator 中製作和編輯設定描述檔。
由於設定描述檔可以加密和簽署,可讓你將其用途限制於特定的 Apple 裝置,並避免任何人更改描述檔的設定(使用者名稱和密碼除外)。你也可以將設定描述檔標示為鎖定至裝置。
若你的 MDM 解決方案支援此功能,則可以使用以下方式來發布設定描述檔:電子郵件附件、透過自有網頁上的連結,或是透過 MDM 解決方案的內建使用者入口網站。當使用者打開郵件附件或使用網頁瀏覽器下載設定描述檔時,會收到開始安裝設定描述檔的提示。
你可以傳送能更改整個裝置或單一使用者設定的設定描述檔:
裝置描述檔可供傳送到裝置和裝置群組,並將裝置設定套用到整個裝置。
iPhone、iPad、Apple TV、Apple Watch 和 Apple Vision Pro 沒有辨識多位使用者的方法,因此為 iOS、iPadOS、tvOS、watchOS 10 或以上版本和 visionOS 1.1 或以上版本製作的設定描述檔一律為裝置描述檔。雖然的 iPadOS 描述檔是裝置描述檔,設為「共享的 iPad」的 iPad 裝置可根據裝置或使用者支援描述檔。
使用者描述檔可供傳送到使用者和(若 MDM 解決方案支援這些描述檔)使用者群組並將使用者設定僅套用到個別使用者。Mac 電腦可包含多位使用者,因此 macOS 描述檔的承載資料與設定可以裝置或使用者為基礎。執行「設定輔助程式」期間建立的使用者帳號,會視為受到 MDM 解決方案管理且可接收描述檔。在 macOS 11 或以上版本中,由 MDM 在註冊期間建立的管理者帳號可改為選擇是否受管理。若為綁定 Active Directory 的部署,目前登入的網路使用者會變成可使用 MDM 管理。
裝置和使用者設定會依據其所在位置而有所不同:以系統層級安裝的設定會位於裝置頻道。為使用者安裝的設定會位於使用者頻道。
如需更多描述檔安裝和「封閉模式」的相關資訊,請參閱 Apple 支援文章:關於「封閉模式」。
移除描述檔
移除描述檔的方式取決於如何安裝設定描述檔。以下的順序表示移除描述檔的方式:
1.所有描述檔可藉由清除裝置的所有資料來移除。
2.若裝置已使用「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」在 MDM 中註冊,管理者可以選擇註冊描述檔是否可由使用者移除或是否只可由 MDM 伺服器移除。
3.若描述檔已由 MDM 解決方案安裝,則可由此特定 MDM 解決方案移除,或由使用者移除註冊設定描述檔以從 MDM 中取消註冊來移除。
4.若已使用 Apple Configurator 在受監管的裝置上安裝描述檔,Apple Configurator 的監管實例可以移除描述檔。
5.若已手動或使用 Apple Configurator 在受監管的裝置上安裝描述檔,而且描述檔包含移除密碼承載資料,使用者必須輸入移除密碼來移除描述檔。
6.所有其他描述檔可由使用者移除。
由設定描述檔安裝的帳號可藉由移除描述檔來移除。Microsoft Exchange ActiveSync 帳號,包含使用設定描述檔安裝的帳號,可透過發送僅限帳號的遠端清除指令來讓 Microsoft Exchange Server 移除。
【重要事項】若使用者知道裝置密碼,即使該選項已設為「永不」,仍可手動從未受監管的 iPhone 和 iPad 中移除安裝的設定描述檔。Mac 上的使用者只能在使用者知道管理者的使用者名稱和密碼時執行相同操作。使用者可以使用 profiles 命令列工具、「系統設定」(在 macOS 13 或以上版本中),或「系統偏好設定」(在 macOS 12.0.1 或較早版本中)執行此操作。在 macOS 10.15 或以上版本中,如同 iOS 和 iPadOS,使用 MDM 安裝的描述檔必須使用 MDM 移除,或是在從 MDM 取消註冊時令其自動移除。
MDM 通訊需求
與 Apple 裝置的第三方 MDM 通訊在下列情況中最有可能成功:
MDM 解決方案已設定完畢、測試成功並正常運作
APNs 憑證有效且尚未過期
裝置已開機
裝置目前已註冊 MDM
裝置連接的網路可存取網際網路(用於 APNs 通訊)
裝置連接的網路必須可存取 MDM 相關的 Apple 主機
如需更多資訊,請參閱 Apple 支援文章:在企業網路上使用 Apple 產品。
【注意】Apple 不會控制第三方 MDM 解決方案。其他問題,例如設定錯誤的 MDM 承載資料,可能也會導致 MDM 通訊失敗。
支援的 Apple 裝置
以下 Apple 裝置配備支援 MDM 的內建架構:
安裝 iOS 4 或以上版本的 iPhone
安裝 iOS 4.3 或以上版本或是 iPadOS 13.1 或以上版本的 iPad
安裝 OS X 10.7 或以上版本的 Mac 電腦
安裝 tvOS 9 或以上版本的 Apple TV
安裝 watchOS 10 或以上版本的 Apple Watch
安裝 visionOS 1.1 或以上版本的 Apple Vision Pro
【注意】並非所有選項都適用於所有 MDM 解決方案。若要瞭解哪些 MDM 選項適用於你的裝置,請參閱 MDM 廠商的文件。