Apple 平台部署
- 歡迎使用
- Apple 平台部署簡介
- 新功能
-
-
- 宣告式狀態報告
- 宣告式 App 設定
- 認證憑證和身分識別內容宣告
- 背景作業管理宣告
- 「行事曆」宣告式設定
- 「憑證」宣告式設定
- 「聯絡人」宣告式設定
- Exchange 宣告式設定
- Google 帳號宣告式設定
- LDAP 宣告式設定
- 「舊版互動式描述檔」宣告式設定
- 「舊版描述檔」宣告式設定
- 「郵件」宣告式設定
- 「數學」和「計算機」App 宣告式設定
- 「密碼」宣告式設定
- 「通行密鑰證明」宣告式設定
- Safari 瀏覽管理宣告式設定
- Safari 延伸功能管理宣告式設定
- 「螢幕共享」宣告式設定
- 「服務」設定檔宣告式設定
- 「軟體更新」宣告式設定
- 「軟體更新」設定宣告式設定
- 「儲存空間管理」宣告式設定
- 「已訂閱的行事曆」宣告式設定
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
-
- 詞彙表
- 文件修改記錄
- 版權聲明與商標
發布憑證到 Apple 裝置
你可以手動發布憑證到 iPhone、iPad 和 Apple Vision Pro 裝置。當使用者收到憑證時,他們輕點即可查看內容,然後再輕點將憑證添加到裝置中。當安裝識別身分憑證之後,系統會要求使用者輸入用來保護識別身分的密碼。如果憑證的真實性無法驗證,憑證會顯示為不受信任,使用者可以決定是否要將憑證加入到裝置裡。
你可以手動發布憑證到 Mac 電腦。當使用者收到憑證時,只需按兩下即可打開「鑰匙圈存取」並查看內容。若憑證符合預期,使用者可選取想要的鑰匙圈並按一下「加入」按鈕。大多數的使用者憑證需要安裝在登入鑰匙圈中。當安裝識別身分憑證之後,系統會要求使用者輸入用來保護識別身分的密碼。如果憑證的真實性無法驗證,憑證會顯示為不受信任,使用者可以決定是否要將憑證加入 Mac。
部分憑證識別身分可在 Mac 電腦上自動更新。
使用裝置管理承載資料的憑證部署方式
下表顯示使用設定描述檔部署憑證的不同承載資料。其中包含「Active Directory 憑證」承載資料、「憑證」承載資料、(適用於 PKCS #12 識別身分憑證)、「自動憑證管理環境(ACME)」承載資料以及「簡單憑證註冊通訊協定」(SCEP)承載資料。
承載資料 | 支援的作業系統和頻道 | 說明 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory 憑證承載資料 | macOS 裝置 macOS 使用者 | 藉由設定「Active Directory 憑證」承載資料,macOS 會將憑證簽署要求直接置入使用「遠端程序呼叫」發出 CA 的「Active Directory 憑證服務」伺服器。你可以使用 Active Directory 中的 Mac 電腦物件憑證來註冊機器識別身分。使用者可提供其憑證做為註冊程序的一部分,來佈建單一的識別身分。使用此承載資料,管理員可進一步控制專用密鑰的使用,以及用於註冊的憑證樣板。與 SCEP 相同,專用密鑰會保留在裝置上。 | |||||||||
ACME 承載資料 | iOS iPadOS 「共享 iPad」裝置 macOS 裝置 macOS 使用者 tvOS watchOS 10 visionOS 1.1 | 裝置會向註冊裝置管理服務的 Apple 裝置適用的 CA 取得憑證。透過此技術,專用密鑰只會留在裝置上,而且可選擇與裝置硬體綁定。 | |||||||||
「憑證」承載資料(適用於 PKCS #12 識別身分憑證) | iOS iPadOS 「共享 iPad」裝置 macOS 裝置 macOS 使用者 tvOS watchOS 10 visionOS 1.1 | 若是代表使用者或裝置在裝置外佈建識別身分,則該識別身分可被包裹在 PKCS #12 檔案中(.p12 或 .pfx)並以密碼加以保護。若承載資料包含密碼,則可安裝識別身分而無需提示使用者。 | |||||||||
SCEP 承載資料 | iOS iPadOS 「共享 iPad」裝置 macOS 裝置 macOS 使用者 tvOS watchOS 10 visionOS 1.1 | 裝置會將憑證簽署要求直接置入註冊伺服器中。透過此技術,專用密鑰只會留在裝置上。 | |||||||||
若要與特定識別身分連結服務,請設定 ACME、SCEP 或憑證承載資料,然後在相同的設定描述檔中設定想要的服務。例如,SCEP 承載資料可被設定來為裝置佈建識別身分,而在相同的設定描述檔中,可使用 SCEP 註冊作業所產生的裝置憑證來為 WPA2 企業級/EAP-TLS 設定 Wi-Fi 承載資料,以進行認證。
若要與 macOS 中的特定識別身分連結服務,請設定 Active Directory 憑證、ACME、SCEP 或憑證承載資料,然後在相同的設定描述檔中設定所需的服務。例如,你可以設定「Active Directory 憑證」承載資料來為裝置佈建識別身分,而在相同的設定描述檔中,可使用「Active Directory 憑證」註冊作業所產生的裝置憑證來為 WPA2 企業級 EAP-TLS 設定 Wi-Fi 承載資料,以進行認證。
更新設定描述檔安裝的憑證
為確保可不間斷存取服務,你使用裝置管理服務部署的任何憑證需要在到期前更新。如要執行此操作,裝置管理服務可以查詢安裝的憑證、檢查到期日並提前核發新的描述檔或設定。
若使用 Active Directory 憑證,當憑證識別身分是作為裝置描述檔的一部分部署時,安裝 macOS 13 或以上版本之 Mac 的預設行為是自動更新。管理員可設定系統偏好設定以修改此行為。如需更多資訊,請參閱 Apple 支援文章:自動更新透過設定描述檔傳送的憑證。
使用「郵件」或 Safari 安裝憑證
你可以使用郵件的附件來傳送憑證或將憑證託管在安全的網站上,讓使用者在其 Apple 裝置上下載憑證。
移除和撤銷憑證
裝置管理服務可以檢視裝置上所有憑證,也可以移除它所安裝的任何憑證。
此外,還支援以「線上憑證狀態通訊協定」(OCSP)來檢查憑證的狀態。使用經 OCSP 認可的憑證時,iOS、iPadOS、macOS 與 visionOS 會定期進行驗證,以確保憑證未被撤銷。
若要使用設定描述檔撤銷憑證,請參閱:「憑證撤銷」裝置管理承載資料設定。
若要手動移除 iPhone、iPad 和 Apple Vision Pro(請參閱支援的裝置)上安裝的憑證,請前往「設定」>「一般」>「裝置管理」,選取描述檔,點一下「更多詳細資訊」,然後點一下憑證來將其移除。如果你移除了連接帳號或網路所需的憑證,iPhone、iPad 或 Apple Vision Pro 便無法再連接這些服務。
若要手動移除 macOS 中安裝的憑證,請啟動「鑰匙圈存取」App,然後搜尋憑證。將其選取,然後從鑰匙圈中刪除。如果你移除了連接帳號或網路所需的憑證,Mac 便無法再連接這些服務。