在「macOS 伺服器」中使用設定描述檔
設定描述檔是由承載資料組成的 XML 格式檔案,可將設定和授權資訊載入 Apple 裝置,例如 iPhone、iPad、iPod touch、Apple TV 和 Mac 電腦。
設定和授權資訊可包含:
裝置安全性規則和限制
VPN 設定資訊
Wi-Fi 設定
郵件和行事曆帳號
可允許 iPad、iPhone、iPod touch、Apple TV 和 Mac 電腦與企業系統及學校網路搭配作業的認證憑證
由於設定描述檔可以加密和簽署,可讓您將其用途限制於特定的 Apple 裝置,並避免任何人更改描述檔的設定(使用者名稱和密碼除外)。您也可以將描述檔標示為鎖定至裝置,因此加入之後,只可以透過清除資料的所有裝置,或輸入與描述檔相關的密碼來移除描述檔。由描述檔所設定的帳號(如 Microsoft Exchange 帳號),只能透過刪除該描述檔來加以移除。
雖然您可以製作包含您組織所有承載資料的單一設定描述檔,請考慮製作個別的描述檔,以便為很少更動的設定和可能經常更動的設定分別定義描述檔。很少更動的設定包含:裝置取用限制、Wi-Fi、安全性與隱私權、LDAP、郵件和行事曆。可能常更動的設定包含:VPN、憑證、Web Clip 和主畫面設定。
您可以使用 Apple Configurator 2 來將裝置設定描述檔加入 iPhone、iPad、iPod touch 和 Apple TV。若要加入裝置或包含 macOS 特定設定的使用者設定描述檔,請使用「伺服器」或第三方的行動裝置管理(MDM)解決方案中的描述檔管理程式。
【注意】Apple Configurator 2 會自動安裝裝置設定描述檔。當您在「描述檔管理程式」或第三方的 MDM 解決方案中註冊後,便可以將更新的設定描述檔傳送給裝置。
一般情況下,使用者無法更改設定描述檔中定義的設定(更改密碼除外)。由描述檔設定的帳號僅能藉由刪除描述檔的方式來移除。這樣做可能會讓裝置無法在組織中使用,直到重新安裝描述檔為止。例如,移除描述檔可能會讓使用者無法連接網路、接收郵件並用他們的「行事曆」App 製作事件。您也可以監管 iOS 和 tvOS 裝置,以避免任何使用者移除設定描述檔。
【重要事項】若使用者知道密碼,即使該選項在「一般」設定中已設為「永不」,使用者仍然可以移除未受監管 iOS 裝置上的描述檔。如果使用者知道管理人的名稱和密碼,便可以移除 macOS 描述檔。
使用者與裝置描述檔
您可為使用者或裝置,或是使用者群組和裝置製作設定描述檔。「描述檔管理程式」會依據您的選擇來修改描述檔的承載資料,且其設定會套用到該層級。例如,當您製作使用者的設定描述檔時,便無法取用只能套用到裝置的設定。
若您有使用「描述檔管理程式」或第三方的 MDM 解決方案,則可以使用以下方式來分配設定描述檔:電子郵件附件、透過自有網頁上的連結,或是「描述檔管理程式」或 MDM 的內建使用者入口網站。當使用者打開郵件附件或使用網頁瀏覽器下載描述檔時,會收到開始安裝描述檔的提示。