iOS MDM

Mobile Device Management Protocol Reference
https://developer.apple.com/library/content/documentation/Miscellaneous/Reference/MobileDeviceManagementProtocolRef/1-Introduction/Introduction.html

1. iOS 裝置:iOS 4 & ↑。
2. macOS 裝置:macOS v10.7 & ↑。
3. Apple TV 裝置:iOS 7(Apple TV 軟體 6.0)& ↑。

透過 MDM 服務,IT 管理員可檢查、安裝或移除管理設定檔,移除密碼,或在受管制的裝置上執行安全性清除程序。

MDM 協定由以下項目構成
1. HTTP
2. TLS
3. 推播通知。

MDM 使用 蘋果推播通知服務(APNS) 發送「啟用」(wake up)訊號給受管理的裝置。該裝置在收到訊號後會連結至預先設定好的網路服務以取得命令並回傳結果。

MDM 伺服器必須採用 HTTPS。

受管理的裝置使用身份證明透過 TSL (SSL) 向 MDM 伺服器進行自身驗證。該身份證明可以包含在 Certificate 承載項目(payload)中或可經由具有 SCEP 的裝置於註冊時生成。

SCEP
https://datatracker.ietf.org/doc/draft-nourse-scep/

MDM 承載項目可置於配置管理設定檔(.mobileconfig),並透過電子郵件或網頁發佈,經由無線註冊服務所傳遞的完整配置管理設定檔的一部份,或自動地使用裝置註冊程序(Device Enrollment Program)。任何時候於裝置上只會有一個 MDM 承載項目被安裝。

透過 MDM 服務所安裝的配置管理設定檔與供應管理設定檔稱為託管管理設定檔。當 MDM 承載項目被移除時,這些管理設定檔會自動地被移除。雖然 MDM 服務有權檢查裝置中的完整配置管理設定檔與供應管理設定檔列表,但僅能移除原本由它本身安裝的應用程式、配置管理設定檔或供應管理設定檔。使用託管管理設定檔所安裝的帳號稱為託管帳號。

除了託管管理設定檔外, 亦可以使用 MDM 安裝應用程式。透過 MDM 服務安裝的應用程式稱為託管應用程式。MDM 服務亦能控制裝置上的託管應用程式與其數據的運用。

預備以 Apple Configurator 2 佈署的 iOS 5 & ↑ 的裝置可被指定為監管(supervised)。iOS 7 & ↑ 的裝置亦可使用裝置註冊程序成為監管。監管裝置提供組織對其配置與限制更多的控制權限。

除非管理設定檔是由裝置註冊程序所安裝的,否則使用者是可以在任何時候將含有 MDM 承載項目的管理設定檔移除。MDM 伺服器可以移除其自己的管理設定檔,不用考慮其存取權限。在 macOS v10.8 & ↑ 與 iOS 5 MDM 客戶端會在管理設定檔被移除時,會單次嘗試使用 CheckOut 命令與伺服器聯繫。在較早 OS 版本中,使用者移除承載項目時,裝置不會與 MDM 伺服器聯繫。

含有 MDM 承載項目的管理設定檔,除非使用裝置註冊程序來安裝,否則無法被鎖定。但是,透過 MDM 安裝的託管管理設定檔是可被鎖定的。當主要的 MDM 管理設定檔被移除時,所有透過 MDM 所安裝的託管管理設定檔皆會被移除。







縮寫:
.APNS:Apple Push Notification Service
.MDM:Mobile Device Management
.SCEP:Simple Certificate Enrollment Protocol
.TLS:Transport Layer Security

留言

這個網誌中的熱門文章

泰文子音與字形之間的變化

AUTOMAXX UP-5HX 使用心得