裝置管理描述檔簡介
裝置管理服務可讓管理員將設定、描述檔和指令傳送到裝置來以安全和遠端方式設定裝置,無論是使用者或機構擁有該裝置。功能包含更新軟體和裝置設定、監控與機構政策的合規事項,以及遠端清除或鎖定裝置。使用者可在裝置管理服務中註冊自己的裝置,而機構可使用「Apple 校務管理」或「Apple 商務管理」自動註冊機構擁有的裝置。
若你準備使用裝置管理服務,有一些概念需要瞭解,因此請閱讀以下章節來瞭解裝置管理服務使用註冊和設定描述檔、監管內容,以及承載資料的方式。
支援的 Apple 裝置
以下 Apple 裝置配備支援裝置管理的內建架構:
安裝 iOS 4 或以上版本的 iPhone
安裝 iOS 4.3 或以上版本或是 iPadOS 13.1 或以上版本的 iPad
安裝 OS X 10.7 或以上版本的 Mac 電腦
安裝 tvOS 9 或以上版本的 Apple TV
安裝 watchOS 10 或以上版本的 Apple Watch
安裝 visionOS 1.1 或以上版本的 Apple Vision Pro
裝置如何註冊
裝置管理服務中的註冊包含使用「自動憑證管理環境」(ACME),或「簡單憑證註冊通訊協定」(SCEP)等通訊協定註冊用戶端憑證識別身分。裝置可使用這些通訊協定來建立獨有的身分憑證以進行機構服務的認證。
除非註冊自動進行,使用者會決定是否要註冊其裝置,而且他們可以隨時與從服務註銷其裝置。因此,你會想要提供誘因,讓使用者願意維持受到管理的狀態。例如,你可以使用裝置管理服務自動提供無線認證資訊,藉此要求註冊才能連接 Wi-Fi 網路。當使用者離開服務,其裝置會嘗試通知裝置管理服務,告知裝置不再受管理。
針對你機構擁有的裝置,你可以使用「Apple 校務管理」或「Apple 商務管理」在初始設定期間自動於裝置管理服務中註冊這些裝置並以無線方式監管;此註冊程序即所稱的「自動裝置註冊」。
裝置管理和「遭竊裝置防護」
當「遭竊裝置防護」已開啟,若使用者身處不熟悉的位置,作業系統會延遲以下操作一小時:
在裝置管理服務中手動註冊其裝置
手動安裝密碼描述檔或設定
在「設定」中或使用描述檔或設定配置 Microsoft Exchange 帳號
註冊描述檔
使用者可透過兩種主要方式為個人裝置註冊裝置管理服務,其中一種是註冊描述檔(另一種為利用「使用者註冊」或帳號導向的「裝置註冊」)。透過此包含承載資料的描述檔,服務會傳送指令和(必要時)其他設定描述檔到裝置。此描述檔也可以向裝置查詢其「啟用鎖定」狀態、電池電量和名稱等資訊。
當使用者移除註冊描述檔,所有設定描述檔、描述檔設定,以及該註冊描述檔之管理式 App 都會一併移除。在裝置上一次只能存在一個註冊描述檔。
註冊描述檔經裝置或使用者核准後,包含承載資料的設定描述檔便會傳送到裝置。然後你便能以無線方式發布、管理和設定透過「Apple 校務管理」或「Apple 商務管理」購買的 App 與書籍。使用者可以安裝 App,或者 App 可依據類型、指派方式以及裝置是否受監管而定,來自動進行安裝。如需更多資訊,請參閱:關於 Apple 裝置監管。
設定描述檔
設定描述檔是包含承載資料的 XML 檔案(結尾為 .mobileconfig),可將設定和授權資訊載入 Apple 裝置。設定描述檔會自動處理設定、帳號、取用限制和憑證的設定作業。裝置管理服務可以製作這些檔案,或是你可以手動或使用 Mac 版 Apple Configurator 製作。如需更多使用 Mac 版 Apple Configurator 製作和安裝設定描述檔在 iPhone、iPad 和 Apple TV 裝置上的相關資訊,請參閱「Mac 版 Apple Configurator 使用手冊」中的在 Apple Configurator 中製作和編輯設定描述檔。
由於你可以加密和簽署設定描述檔,你可以將其用途限制於特定的 Apple 裝置,並避免任何人更改描述檔的設定(使用者名稱和密碼除外)。你也可以將設定描述檔標示為鎖定至裝置。
若你的裝置管理服務支援此功能,則可以使用以下方式來發布設定描述檔:電子郵件附件、透過自有網頁上的連結,或是透過服務的內建使用者入口網站。當使用者打開郵件附件或使用網頁瀏覽器下載設定描述檔時,會收到開始安裝設定描述檔的提示。
你可以傳送能更改整個裝置或單一使用者設定的設定描述檔:
裝置描述檔:你可以將裝置描述檔傳送到裝置和裝置群組,並將裝置設定套用到整個裝置。
iPhone、iPad、Apple TV、Apple Watch 和 Apple Vision Pro 沒有辨識多位使用者的方法,因此為支援的 Apple 裝置製作的設定描述檔一律為裝置描述檔。雖然 iPadOS 的描述檔是裝置描述檔,設為「共享 iPad」的 iPad 裝置可根據裝置或使用者支援描述檔。
使用者描述檔: 你可將使用者描述檔傳送給使用者和(若裝置管理服務支援這些描述檔)使用者群組,並將使用者設定僅套用到個別使用者。Mac 電腦可包含多位使用者,因此 macOS 描述檔的承載資料與設定可用裝置或使用者為基礎。「設定輔助程式」建立的使用者帳號會視為受裝置管理服務管理且可接收描述檔。針對安裝 macOS 11 或以上版本的 Mac,裝置管理服務在註冊期間建立的管理員帳號可改為選擇是否受管理。若為綁定 Active Directory 的部署,目前登入的網路使用者會變成受管理的使用者。
裝置和使用者設定會依據其所在位置而有所不同:以系統層級安裝的設定會位於裝置頻道。為使用者安裝的設定會位於使用者頻道。
如需更多描述檔安裝和「封閉模式」的相關資訊,請參閱 Apple 支援文章:關於「封閉模式」。
移除描述檔
移除描述檔的方式取決於如何安裝設定描述檔。以下的順序表示你可以移除描述檔的方式:
1. 你可以清除裝置所有資料來移除所有描述檔。
2. 若裝置已註冊連接至「Apple 校務管理」或「Apple 商務管理」的裝置管理服務,管理員可以選擇使用者是否可以移除註冊描述檔,或是否只有裝置管理服務可以將其移除。
3. 若是裝置管理服務安裝描述檔,則該服務可將其移除或使用者可註銷服務來將其移除(透過移除註冊設定描述檔)。
4. 若是 Apple Configurator 安裝描述檔,Apple Configurator 的監管實例可以移除描述檔。
5. 若是 Apple Configurator 安裝描述檔或你將其手動安裝在受監管的裝置上,而且描述檔包含移除密碼承載資料,使用者需要輸入移除密碼來移除描述檔。
6. 使用者可以移除所有其他描述檔。
由設定描述檔安裝的帳號可藉由移除描述檔來移除。Microsoft Exchange ActiveSync 帳號,包含使用設定描述檔安裝的帳號,可透過發送僅限帳號的遠端清除指令來讓 Microsoft Exchange Server 移除。
【重要事項】若使用者知道裝置密碼,即使該選項已設為「永不」,仍可手動從未受監管的 iPhone 和 iPad 中移除安裝的設定描述檔。Mac 上的使用者只能在使用者知道管理員的使用者名稱和密碼時執行相同操作。使用者可以使用 profiles 命令列工具、「系統設定」(在 macOS 13 或以上版本中),或「系統偏好設定」(在 macOS 12.0.1 或較早版本中)執行此操作。針對安裝 macOS 10.15 或以上版本的 Mac,如同 iOS 和 iPadOS,若是裝置管理服務安裝描述檔,則該服務可將其移除,或是作業系統在從服務註銷時將其自動移除。
裝置管理服務通訊需求
與 Apple 裝置的裝置管理服務通訊在下列情況中最有可能成功:
裝置管理服務設定裝置、成功測試裝置並確保裝置正常運作
APNs 憑證有效且尚未過期
裝置已開機
裝置目前已註冊服務
裝置連接的網路可存取網際網路(用於 APNs 通訊)
裝置連接的網路需要可取用服務相關的 Apple 主機
如需更多資訊,請參閱 Apple 支援文章:在企業網路上使用 Apple 產品。
【注意】Apple 不會控制第三方裝置管理服務。其他問題,例如設定錯誤的承載資料,可能也會導致通訊失敗。