Pengenalan kepada profil pengurusan peranti mudah alih
iOS, iPadOS, macOS, tvOS, watchOS 10 atau lebih baharu dan visionOS 1.1 atau lebih baharu mempunyai rangka kerja terbina dalam yang menyokong pengurusan peranti mudah alih (MDM). MDM membenarkan anda mengkonfigurasikan peranti secara selamat dan secara wayarles dengan menghantar profil dan perintah ke peranti, sama ada mereka dimiliki oleh pengguna atau organisasi anda. Kemampuan MDM termasuk mengemas kini seting perisian dan peranti, memantau pematuhan dengan dasar organisasi dan memadam atau mengunci peranti secara jauh. Pengguna boleh mendaftarkan peranti mereka sendiri dalam MDM dan peranti dimiliki organisasi boleh didaftarkan dalam MDM secara automatik menggunakan Apple School Manager atau Apple Business Manager. Jika anda menggunakan Keperluan Perniagaan Apple, anda juga boleh menggunakan pengurusan peranti yang terbina dalam.
Terdapat beberapa konsep untuk difahami jika anda akan menggunakan MDM, jadi baca bahagian berikut untuk memahami cara MDM menggunakan profil, penyeliaan serta muat beban pendaftaran dan konfigurasi.
Cara peranti didaftarkan
Pendaftaran dalam MDM melibatkan mendaftarkan identiti sijil klien menggunakan protokol seperti Persekitaran Pengurusan Sijil Diautomasikan (ACME) atau Protokol Pendaftaran Sijil Mudah (SCEP). Peranti menggunakan protokol ini untuk mencipta sijil beridentiti unik untuk mengesahkan perkhidmatan organisasi.
Melainkan pendaftaran diautomasikan, pengguna menentukan sama ada untuk mendaftar dalam MDM dan mereka boleh menyahkaitkan peranti mereka daripada MDM pada bila-bila masa. Oleh itu, anda mahu mempertimbangkan insentif untuk pengguna kekal terurus. Sebagai contoh, anda boleh memerlukan pendaftaran MDM untuk akses rangkaian Wi-Fi dengan menggunakan MDM untuk memberikan kelayakan wayarles secara automatik. Selepas pengguna meninggalkan MDM, peranti mereka cuba untuk memberitahu penyelesaian MDM yang ia tidak lagi terurus.
Untuk peranti yang organisasi anda miliki, anda boleh menggunakan Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple untuk mendaftarkannya dalam MDM secara automatik dan menyelianya secara wayarles semasa persediaan permulaan; proses pendaftaran ini dikenali sebagai Pendaftaran Peranti Diautomasikan.
MDM dan Perlindungan Peranti Dicuri
Apabila Perlindungan Peranti Dicuri diaktifkan, jika pengguna berada di lokasi tidak biasa, tindakan berikut ditunda untuk sejam:
Daftarkan peranti mereka dalam MDM secara manual
Pasang profil atau konfigurasi kod laluan secara manual
Konfigurasi akaun Microsoft Exchange dalam seting atau dengan profil atau konfigurasi
Profil pendaftaran
Profil pendaftaran ialah satu daripada dua cara utama yang pengguna boleh mendaftarkan peranti peribadi ke dalam penyelesaian MDM (cara lain ialah menggunakan Pendaftaran Pengguna). Dengan profil ini, yang mengandungi muat beban MDM, penyelesaian MDM menghantar perintah dan—jika perlu—profil konfigurasi tambahan ke peranti. Ia juga boleh meminta maklumat kepada peranti, seperti status Kunci Pengaktifan, paras bateri dan nama peranti.
Apabila pengguna mengeluarkan profil pendaftaran, semua profil konfigurasi, seting profil dan App Terurus berdasarkan profil pendaftaran tersebut dikeluarkan dengannya. Hanya satu profil pendaftaran boleh berada pada peranti pada satu masa.
Selepas profil pendaftaran diluluskan, sama ada oleh peranti atau pengguna, profil konfigurasi yang mengandungi muat beban dihantar kepada peranti. Kemudian, anda boleh mengedarkan, mengurus dan mengkonfigurasikan app dan buku yang dibeli menerusi Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple. Pengguna boleh memasang app, atau app boleh dipasang secara automatik, bergantung pada jenis app, cara app ditetapkan dan sama ada peranti diselia. Untuk mendapatkan maklumat lanjut, lihat Perihal penyeliaan peranti Apple.
Profil konfigurasi
Profil konfigurasi ialah fail XML (berakhir dengan .mobileconfig) yang mengandungi muat beban yang memuatkan seting dan maklumat kebenaran ke peranti Apple. Profil konfigurasi mengautomasikan konfigurasi seting, akaun, penyekatan dan kelayakan. Fail ini boleh dicipta oleh penyelesaian MDM atau Apple Configurator untuk Mac, atau fail boleh dicipta secara manual. Untuk mendapatkan maklumat lanjut tentang menggunakan Apple Configurator untuk Mac bagi mencipta dan memasang profil konfigurasi pada peranti iPhone, iPad dan Apple TV, lihat Cipta dan edit profil konfigurasi dalam Panduan Pengguna Apple Configurator untuk Mac.
Disebabkan profil konfigurasi boleh disulitkan dan didaftarkan, anda boleh mengehadkan penggunaan mereka pada peranti Apple tertentu dan—dengan pengecualian nama pengguna dan kata laluan—menghalang sesiapa dari menukar seting. Anda juga boleh menandakan profil konfigurasi sebagai dikunci kepada peranti.
Jika penyelesaian MDM anda menyokongnya, anda boleh mengagihkan profil konfigurasi sebagai lampiran mel, melalui pautan pada halaman web anda sendiri, atau melalui portal pengguna terbina dalam penyelesaian MDM. Apabila pengguna membuka lampiran mel atau memuat turun profil konfigurasi menggunakan pelayar web, mereka digesa untuk memulakan pemasangan profil konfigurasi.
Anda boleh menghantar profil konfigurasi yang boleh menukar seting untuk keseluruhan peranti atau untuk pengguna tunggal:
Profil peranti boleh dihantar ke peranti dan kumpulan peranti, serta yang menggunakan seting peranti pada keseluruhan peranti.
iPhone, iPad, Apple TV, Apple Watch dan Apple Vision Pro tidak mempunyai cara untuk mengecam lebih daripada satu pengguna, jadi profil konfigurasi yang dicipta untuk iOS, iPadOS, tvOS, watchOS 10 atau lebih baharu, serta visionOS 1.1 atau lebih baharu ialah sentiasa profil peranti. Walaupun profil iPadOS adalah profil peranti, peranti iPad yang dikonfigurasi untuk iPad Dikongsi boleh menyokong profil berdasarkan peranti atau pengguna.
Profil pengguna boleh dihantar ke pengguna dan (jika disokong oleh pengurusan MDM) kumpulan pengguna serta menggunakan seting pengguna hanya pada pengguna berkaitan. Komputer Mac boleh mempunyai berbilang pengguna, jadi muat beban dan seting untuk profil macOS boleh berdasarkan sama ada peranti atau pengguna. Akaun pengguna dicipta semasa Pembantu Persediaan dianggap terurus oleh penyelesaian MDM dan boleh menerima profil. Dalam macOS 11 atau lebih baharu, akaun pentadbir yang dicipta oleh MDM semasa pendaftaran boleh diurus secara pilihan. Untuk pengerahan terikat Active Directory, pengguna rangkaian yang sedang dilog masuk menjadi terurus menggunakan MDM.
Seting peranti dan pengguna berbeza mengikut tempat mereka berada: Seting dipasang pada aras sistem yang berada dalam saluran peranti. Seting dipasang untuk pengguna yang berada dalam saluran pengguna.
Untuk mendapatkan maklumat lanjut tentang pemasangan profil dan Mod Penyekatan, lihat artikel Sokongan Apple, Perihal Mod Penyekatan.
Pengeluaran profil
Cara anda mengeluarkan profil bergantung pada cara profil dipasang. Jujukan berikut menandakan cara profil boleh dikeluarkan:
1. Semua profil boleh dikeluarkan dengan memadamkan semua data peranti.
2. Jika peranti didaftarkan dalam MDM menggunakan Apple School Manager, Apple Business Manager atau Keperluan Perniagaan Apple, pentadbir boleh memilih sama ada profil pendaftaran boleh dikeluarkan oleh pengguna atau sama ada ia hanya boleh dikeluarkan oleh pelayan MDM itu sendiri.
3. Jika profil dipasang oleh penyelesaian MDM, ia boleh dikeluarkan oleh penyelesaian MDM khusus tersebut atau oleh pengguna menyahdaftar daripada MDM dengan mengeluarkan profil konfigurasi pendaftaran.
4. Jika profil dipasang pada peranti yang diselia menggunakan Apple Configurator, tika penyeliaan Apple Configurator tersebut boleh mengeluarkan profil.
5. Jika profil dipasang pada peranti diselia secara manual atau menggunakan Apple Configurator dan profil mempunyai muat beban kata laluan pengeluaran, pengguna mesti memasukkan kata laluan pengeluaran untuk mengeluarkan profil.
6. Semua profil lain boleh dikeluarkan oleh pengguna.
Akaun yang dipasang oleh profil konfigurasi boleh dikeluarkan dengan mengeluarkan profil tersebut. Akaun Microsoft Exchange ActiveSync, termasuk akaun yang dipasang menggunakan profil konfigurasi, boleh dikeluarkan oleh Microsoft Exchange Server dengan mengeluarkan perintah pemadaman jauh akaun sahaja.
Penting: Jika pengguna mengetahui kod laluan peranti, mereka boleh mengeluarkan profil konfigurasi yang dipasang secara manual daripada iPhone dan iPad yang tidak diselia, walaupun jika pilihan disetkan ke “jangan”. Pengguna pada Mac boleh melakukan perkara yang sama hanya jika pengguna mengetahui nama pengguna dan kata laluan pentadbir. Mereka boleh melakukan ini menggunakan alat baris perintah profiles, Seting Sistem (dalam macOS 13 atau lebih baharu), atau Keutamaan Sistem (dalam macOS 12.0.1 atau lebih awal). Dalam macOS 10.15 atau lebih baharu, seperti pada iOS dan iPadOS, profil yang dipasang dengan MDM mesti dikeluarkan dengan MDM, atau ia dikeluarkan secara automatik semasa penyahdaftaran daripada MDM.
Keperluan komunikasi MDM
Komunikasi MDM pihak ketiga dengan peranti Apple berkemungkinan besar berjaya apabila:
Penyelesaian MDM disediakan, berjaya diuji dan berfungsi dengan betul
Sijil APN adalah sah dan tidak tamat tempoh
Peranti dikuasakan
Peranti sedang didaftarkan ke dalam MDM
Rangkaian peranti disambungkan untuk mempunyai akses ke internet (untuk komunikasi APN)
Rangkaian peranti disambungkan untuk mesti boleh mengakses hos Apple berkaitan MDM
Untuk mendapatkan maklumat lanjut, lihat artikel Sokongan Apple Gunakan produk Apple pada rangkaian perusahaan.
Nota: Apple tidak mengawal penyelesaian MDM pihak ketiga. Isu tambahan, termasuk muat beban MDM yang dikonfigurasikan secara salah, juga mungkin menyebabkan komunikasi MDM gagal.
Peranti Apple disokong
Peranti Apple berikut mempunyai rangka kerja terbina dalam yang menyokong MDM:
iPhone dengan iOS 4 atau lebih baharu
iPad dengan iOS 4.3 atau lebih baharu atau iPadOS 13.1 atau lebih baharu
Komputer Mac dengan OS X 10.7 atau lebih baharu
Apple TV dengan tvOS 9 atau lebih baharu
Apple Watch dengan watchOS 10 atau lebih baharu
Apple Vision Pro dengan visionOS 1.1 atau lebih baharu
Nota: Tidak semua pilihan tersedia dalam semua penyelesaian MDM. Untuk mengetahui pilihan MDM yang tersedia untuk peranti anda, rujuk dokumentasi vendor MDM anda.