Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
Mac 上支援的智慧卡功能
macOS 10.15 或以上版本內建支援以下功能:
認證:LoginWindow、PKINIT、SSH、Screensaver、Safari、認證對話框和支援 CryptoTokenKit 的第三方 App
簽名:「郵件」和支援 CryptoTokenKit 的第三方 App
加密:「郵件」、「鑰匙圈存取」和支援 CryptoTokenKit 的第三方 App
【注意】 若組織已在使用 macOS 10.15 版以前的第三方軟體,請留意舊版 tokend
支援已停用,且以 tokend
為基礎的解決方案已無法使用。
PIV 卡佈建
若要搭配 macOS 使用智慧卡,必須在位置 9a(「PIV 認證」)和 9d(「密鑰管理」)中產生適當的憑證。若電子郵件或文件簽署等功能為必要,選擇憑證是否應佈建到位置 9c(數位簽署)中。
搭配 Active Directory 使用屬性相符(說明如下)時,「PIV 認證」憑證中的「NT 主要名稱」和 ActiveDirectory 屬性 dsAttrTypeStandard:AltSecurityIdentities 中儲存的值必須大小寫相符。
認證
智慧卡可用於雙重認證。這兩個因素包含解鎖卡片所需的「已有項目」(卡片)和「已知項目」(PIN)。macOS 10.12.4 或以上版本包含智慧卡原生支援和登入認證,以及使用 Safari 對網站進行的用戶端憑證型認證。macOS 也支援使用密鑰配對(PKINIT)進行 Kerberos 認證,以單一登入至支援 Kerberos 的服務。
【注意】確定已使用一個憑證認證和一個用於加密的密鑰(若用於系統登入)正確佈建智慧卡。加密密鑰是用來封裝鑰匙圈密碼;缺少加密密鑰會導致重複出現鑰匙圈提示。
數位簽署和加密
在「郵件」App 中,使用者可以傳送數位簽名和加密的郵件。使用該功能需要在相容智慧卡中所附加的 PIV 代號上,於數位簽名和加密憑證上使用區分大小寫的電子郵件地址主旨或主旨替代名稱。如果設定的電子郵件帳號符合所附加之 PIV 代號上數位簽名或加密憑證的電子郵件地址,「郵件」便會自動在新郵件的工具列中顯示電子郵件簽名按鈕。上鎖的鎖頭圖像表示郵件會以收件人的公共密鑰進行加密和傳送。
鑰匙圈封裝
對於帳號登入,若要讓鑰匙圈密碼的封裝功能運作,需有加密密鑰,也稱為密鑰管理密鑰。缺少密鑰管理密鑰會導致使用者在整個登入階段重複收到輸入登入鑰匙圈密碼的提示,造成糟糕的使用者體驗。此外,此密碼使用在強制使用智慧卡的環境中可能是個疑慮。若使用者搭配智慧卡登入實有提供密鑰管理密鑰,鑰匙圈體驗會相似於密碼式登入,即使用者不會重複收到輸入登入鑰匙圈密碼的提示。
「智慧卡」承載資料
Apple 開發者網站上的智慧卡裝置承載資料包含智慧卡行動裝置管理(MDM)的支援資訊。智慧卡支援包含可允許智慧卡、強制執行智慧卡、允許每位使用者與一張智慧卡配對、憑證信任檢查以及代號移除動作(螢幕保護程式鎖定)。
【注意】MDM 廠商可以選擇導入「智慧卡」承載資料。若要瞭解「智慧卡」承載資料是否受支援,請參閱 MDM 廠商的文件。