設定描述檔的強制執行
設定描述檔是 MDM 解決方案在受管理裝置上遞送和管理規則和限制的主要方式。如果組織需要設定大量裝置或為大量裝置提供許多自訂的電子郵件設定、網路設定或憑證,則設定描述檔是一種安全可靠的方式。
設定描述檔
設定描述檔是包含承載資料的 XML 檔案(結尾為 .mobileconfig),可將設定和授權資訊載入 Apple 裝置。設定描述檔會自動處理設定、帳號、限制和憑證的設定作業。這些檔案是由 MDM 解決方案或 Mac 版 Apple Configurator 製作,也可以手動製作。在組織將設定描述檔傳送到 Apple 裝置之前,它們必須使用註冊描述檔將裝置註冊到 MDM 解決方案中。
註冊描述檔
註冊描述檔是 MDM 承載資料的設定描述檔,會在為該裝置指定的 MDM 解決方案中將裝置註冊。這可讓 MDM 解決方案傳送指令和設定描述檔到裝置並查詢裝置的特定層面。當使用者移除註冊描述檔,所有設定描述檔、描述檔設定,以及該註冊描述檔之受管理的 App 都會一併移除。在裝置上一次只能存在一個註冊描述檔。
設定描述檔的設定
設定描述檔中包含可指定特定承載資料中的多個設定包括(但不限於):
密碼規則
裝置功能的取用限制(例如停用相機)
網路與 VPN 設定
Microsoft Exchange 設定
「郵件」設定
帳號設定
LDAP 目錄服務設定
CalDAV 行事曆服務設定
憑證和密鑰
軟體更新
描述檔簽署與加密
設定描述檔可簽署來驗證其來源,以及加密來協助確保其完整性和保護其內容。iOS 和 iPadOS 的設定描述檔是使用 RFC 5652(支援 3DES 和 AES128)中指定的「加密編譯訊息語法」(CMS)所加密。
描述檔安裝
使用者可以使用 Mac 版 Apple Configurator 直接在裝置上安裝設定描述檔,也可以使用 Safari 下載、藉由附加至電子郵件來傳送、使用 AirDrop 或 iOS 或 iPadOS 中的「檔案」App 來傳輸,或是使用行動裝置管理(MDM)解決方案以無線方式傳送。使用者在「Apple 校務管理」或「Apple 商務管理」中設定裝置時,裝置會下載並安裝用於 MDM 註冊的描述檔。如需移除描述檔的相關資訊,請參閱「Apple 平台部署」中的行動裝置管理簡介。
【注意】在監管的裝置上,設定描述檔也可鎖定至裝置。此設計可防止移除設定描述檔,或是允許僅透過密碼移除。由於許多組織皆持有本身的 iOS 和 iPadOS 裝置,因此可以移除將裝置綁定至 MDM 解決方案的設定描述檔,但這麼做也會移除所有受管理的設定資訊、資料和 App。