iOS

要在 Endpoint Management 中管理 iOS 设备,应设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。有关信息,请参阅 APNs 证书

Endpoint Management 在 MDM + MAM 模式下注册 iOS 设备, 使用户可以选择在仅 MAM 模式下注册。Endpoint Management 在 MDM + MAM 模式下支持适用于 iOS 设备的以下身份验证类型。有关信息, 请参阅证书和身份验证中的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书和域
  • 派生凭据
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

用于启动 iOS 设备管理的常规工作流程如下所示:

  1. 完成加入过程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅支持的注册方法

  3. 配置 iOS 设备策略

  4. 注册 iOS 设备

  5. 设置设备和应用程序安全操作。请参阅安全操作

有关支持的操作系统, 请支持的设备操作系统参阅。

支持的注册方法

下表列出了 Endpoint Management 为 iOS 设备所支持的注册方法:

方法 支持
Apple 设备注册计划 (DEP)
Apple 校园教务管理 DEP
Apple Configurator
手动注册
注册邀请

Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,需要在“Apple 部署计划”中注册才能使用 Apple 设备注册计划 (DEP) 在 Endpoint Management 中注册和管理设备。该程序适用于 iOS、macOS 和 Apple TV 设备。请参阅通过 Apple DEP 部署设备

对于教育帐户,需要创建一个 Apple 校园教务管理帐户。Apple 校园教务管理统一了设备注册计划 (DEP) 和批量购买计划 (VPP)。Apple 校园教务管理的类型为教育 DEP。请参阅与 Apple 教育功能相集成

可以使用 Apple 设备注册计划 (DEP) 批量注册 iOS、macOS 和 Apple TV 设备。您可以直接从 Apple、参与的 Apple 授权经销商或运营商处购买这些设备。无论您是否直接从 Apple 购买 iOS 设备,都可以使用 Apple Configurator 注册这些设备。请参阅批量注册 Apple 设备

手动添加 iOS 设备

如果要手动添加 iOS 设备 (例如用于测试目的), 请按照以下步骤进行操作。

  1. 在 Endpoint Management 控制台中, 单击管理 > 设备。此时将显示设备页面。

    “设备”页面图

  2. 单击添加。此时将显示添加设备页面。

    “添加设备”页面图

  3. 配置以下设置:

    • 选择平台:单击iOS
    • 序列号: 键入设备序列号。
  4. 单击添加。设备将添加到所显示设备表的列表底部。要查看并确认设备详细信息,请执行以下操作:选择已添加的设备,然后在显示的菜单中,单击编辑

    注意:

    选中某个设备旁边的复选框时,选项菜单将显示在设备列表上方。可以单击列表中的某个项目以在此列表的右侧显示选项菜单。

    • 已配置 LDAP

    • 如果使用本地组和本地用户:

      • 一个或多个本地组。

      • 分配给本地组的本地用户。

      • 交付组与本地组相关联。

    • 如果使用 Active Directory:

      • 交付组与 Active Directory 组相关联。

      “设备详细信息”列表图

  5. 常规页面列出设备标识符,例如,序列号以及平台类型的其他信息。对于设备所有权,请选择公司BYOD

    常规页面还列出了设备安全属性,例如,强 ID、锁定设备、激活锁绕过和平台类型的其他信息。完全擦除设备字段包括用户的 PIN 代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。

  6. 属性页面列出了 Endpoint Management 要预配的设备属性。此列表显示了用于添加设备的预配文件中包含的任何设备属性。要添加属性,请单击添加,然后从列表中选择一种属性。有关每个属性的有效值,请参阅 PDF 设备属性名称和值

    添加属性时,它最初将显示在添加了该属性的类别下方。单击下一步,然后返回属性页面后,属性将显示在相应列表中。

    要删除某个属性,请将鼠标悬停在列表上方,然后单击右侧的 X。Endpoint Management 将立即删除项目。

  7. 其余的设备详细信息部分包含设备的摘要信息。

    • 用户属性: 显示用户的 RBAC 角色、组成员身份、VPP 帐户和属性。可以从此页面中停用 VPP 帐户。
    • 已分配的策略: 显示已分配策略的数量,包括已部署、挂起和失败的策略数量。提供每个策略的策略名称、类型和上次部署信息。
    • 应用程序: 显示上一个清单的已安装、挂起和失败的应用程序部署数量。提供应用程序名称、标识符、类型和其他信息。有关 iOS 和 macOS 清单键 (例如HasUpdateAvailable) 的说明, 请参阅移动设备管理 (MDM) 协议
    • 媒体: 显示上一个清单的已部署、挂起和失败的媒体部署数量。
    • 操作: 显示已部署、挂起和失败的操作数量。提供上一个部署的操作名称和时间。
    • 交付组: 显示成功、挂起和失败的交付组数量。对于每个部署,提供交付组的名称和部署时间。选择一个交付组以查看更多详细信息,包括状态、操作以及通道或用户。
    • iOS 配置文件: 显示上一个 iOS 配置文件清单,包括名称、类型、组织和说明。
    • iOS 预配配置文件︰ 显示企业分发预配配置文件信息,例如 UUID、过期日期以及托管状态。
    • 证书: 显示有效证书、已过期证书或已吊销证书信息,例如,类型、提供程序、颁发者、序列号、过期之前的剩余天数。
    • 连接: 显示第一个连接状态和最后一个连接状态。提供每个连接的用户名、倒数第二次身份验证和上次身份验证时间。
    • MDM 状态: 显示 MDM 状态、上次推送时间以及上次设备答复时间等信息。

配置 iOS 设备策略

使用这些策略可配置 Endpoint Management 与运行 iOS 的设备的交互方式。下表列出了适用于 iOS 设备的所有设备策略。

     
AirPlay 镜像 AirPrint APN
应用程序访问 应用程序属性 应用程序配置
应用程序清单 应用程序锁定 应用程序网络使用
应用程序卸载 应用程序通知 日历(CalDAV)
手机网络 联系人(CardDAV) 控制操作系统更新
凭据 设备名称 教育配置
Exchange 字体 主屏幕布局
导入 iOS 和 macOS 配置文件 LDAP 位置
锁屏界面消息 邮件 托管域
MDM 选项 组织信息 通行码
个人热点 配置文件删除 预配配置文件
删除预配配置文件 代理 限制
漫游 SCEP 共用 iPad - 最大常驻用户数
共用 iPad - 通行码锁宽限期 SSO 帐户 存储
已订阅的日历 条款和条件 VPN
墙纸 Web 内容过滤器 Web 剪辑
WiFi    

注册 iOS 设备

本部分内容介绍用户如何将 iOS 设备(12.2 或更高版本)注册到 Endpoint Management。有关 iOS 注册的详细信息,请打开以下视频:

iOS 注册视频

有关派生凭据凭据的注册的信息,请参阅设备注册

  1. 在 iOS 设备上转到 Apple 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
  2. 当系统提示安装应用程序时,轻按下一步,然后轻按安装
  3. 安装 Secure Hub 后,轻按打开
  4. 输入您的企业凭据,例如 Endpoint Management 服务器名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步
  5. 轻按是,注册以注册 iOS 设备。 注册设备
  6. 键入凭据后,在出现提示时轻按允许以下载配置文件。 下载配置文件
  7. 下载配置文件后,轻按关闭关闭配置文件
  8. 在设备设置中,安装 iOS 证书并将设备添加到可信列表中。
    • 转到设置 > 常规 > 配置文件 > XenMobile 配置文件服务,然后轻按安装以添加配置文件。 添加配置文件
    • 在通知窗口中,轻按信任,将您的设备注册到远程管理中。 信任设置
  9. 登录到 Secure Hub。如果要注册到 MDM+MAM:验证凭据后,在出现提示时创建并确认您的 Citrix PIN。
  10. 工作流程完成后,注册设备。随后即可访问应用商店来查看您安装在 iOS 设备上的应用程序。

安全操作

iOS 支持以下安全操作。有关每个安全操作的说明, 请安全操作参阅。

     
激活锁绕过 应用程序锁定 应用程序擦除
ASM DEP 激活锁 证书续订 清除限制
启用/禁用丢失模式 启用/禁用跟踪 完全擦除
查找 锁定 响铃
请求使用/停止使用 AirPlay 镜像 重新启动/关闭 吊销/授权
选择性擦除 解锁  

锁定 iOS 设备

您可以锁定丢失的 iOS 设备,同时在设备锁屏界面上显示消息和电话号码。

要在锁定的设备上显示消息和电话号码,请在 Endpoint Management 控制台中将通行码策略设置为 true。用户也可以手动在设备上启用通行码。

  1. 单击管理 > 设备。此时将显示设备页面。

    “设备”页面图

  2. 选择要锁定的 iOS 设备。

    选中某个设备旁边的复选框时,以在设备列表上方显示选项菜单。单击列表中的其他任意位置可在列表右侧显示选项菜单。

    选项菜单图

    选项菜单图

  3. 在选项菜单中,选择安全。此时将显示安全操作对话框。

    “安全操作”对话框图

  4. 单击锁定。此时将显示安全操作确认对话框。

    “安全操作”确认图

  5. (可选)键入将显示在设备锁屏界面上的消息和电话号码。

    iOS 会将“丢失的 iPad”字样附加到您在消息字段中键入的内容后。

    如果将消息字段留空,并提供电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。

  6. 单击锁定设备

将 iOS 设备置于丢失模式

Endpoint Management 丢失模式设备属性将 iOS 设备置于丢失模式。与 Apple 托管丢失模式不同,Endpoint Management 丢失模式不要求用户执行以下任一操作来启用定位其设备:配置查找我的 iPhone/iPad 设置或为 Citrix Secure Hub 启用定位服务。

在 Endpoint Management 丢失模式下, 只有 Endpoint Management 才能解锁设备。(与此相反,如果您使用 Endpoint Management 设备锁定功能,用户可以使用您提供的 PIN 代码直接解锁设备。

要启用或禁用丢失模式,请转至管理 > 设备,选择受监督的 iOS 设备,并单击安全。然后,单击启用丢失模式禁用丢失模式

丢失模式选项图

如果单击启用丢失模式,请键入设备处于丢失模式时要在设备上显示的信息。

要在设备上显示的信息图

可使用以下任何方法来检查丢失模式状态:

  • 安全操作窗口中,确认按钮是否为禁用丢失模式
  • 管理 > 设备常规选项卡上的安全下方 ,查看最后一次“启用丢失模式”或“禁用丢失模式”操作。

常规选项卡示意图

  • 管理 > 设备中的属性选项卡上 ,确认已启用 MDM 丢失模式设置的值是否正确。

“已启用 MDM 丢失模式”设置图

如果在 iOS 设备上启用 Endpoint Management 丢失模式, Endpoint Management 控制台还会更改, 如下所示:

  • 配置 > 操作中,操作列表不包括这些自动化操作:吊销设备选择性擦除设备完全擦除设备
  • 管理 > 设备中,安全操作列表不再包括吊销选择性擦除设备的操作。您仍可以根据需要使用安全操作来执行完全擦除操作。

iOS 会将“丢失的 iPad”字样附加到您在安全操作屏幕的消息中输入的内容后。

如果将消息留空,并提供一个电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。

绕过 iOS 激活锁

激活锁是一项“查找我的 iPhone/iPad”功能,用于阻止重新激活丢失或被盗的受监督设备。激活锁需要用户的 Apple ID 和密码,之后用户才能执行以下操作:关闭“查找我的 iPhone/iPad”、擦除设备或重新激活设备。对于组织拥有的设备,绕过激活锁是(例如)重置或重新分配设备的必要操作。

要启用激活锁,请配置并部署 Endpoint Management MDM 选项设备策略。之后可以从 Endpoint Management 控制台管理设备,而不需要用户的 Apple 凭据。要绕过激活锁的 Apple 凭据要求,请从 Endpoint Management 控制台发出“激活锁绕过”安全操作。

例如,如果用户在执行完全擦除操作之前或之后归还了丢失的手机或设置了设备:手机提示输入 iTunes 帐户凭据时,可以通过从 Endpoint Management 控制台发出“激活锁绕过”安全操作来绕过该设置。

激活锁绕过的设备要求

  • 通过 Apple Configurator 或 Apple DEP 进行监督
  • 配置了 iCloud 帐户
  • 已启用“查找我的 iPhone/iPad”
  • 在 Endpoint Management 中注册
  • “MDM 选项”设备策略(启用了激活锁)已部署到设备

要在发出设备的完全擦除操作之前绕过激活锁,请执行以下操作:

  1. 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过
  2. 擦除设备。激活锁屏幕在设备设置过程中不显示。

要在发出设备的完全擦除操作之后绕过激活锁,请执行以下操作:

  1. 重置或擦除设备。激活锁屏幕在设备设置过程中显示。
  2. 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过
  3. 轻按设备上的“返回”按钮。此时将显示主屏幕。

请谨记以下几点:

  • 建议您的用户不要关闭“查找我的 iPhone/iPad”。请勿从设备执行完全擦除操作。在这些情况下,系统将提示用户输入 iCloud 帐户密码。验证帐户后,用户在擦除所有内容和设置后将看不到“激活 iPhone/iPad”屏幕。
  • 对于具有生成的激活锁绕过码并且启用了激活锁的设备:如果在执行完全擦除操作后无法绕过“激活 iPhone/iPad”页面,则不需要从 Endpoint Management 中删除设备。您或用户可以联系 Apple 技术支持人员来直接解锁设备。
  • 确认硬件清单过程中,Endpoint Management 将查询设备中是否存在激活锁绕过码。如果绕过码可用,设备会将其发送到 Endpoint Management。之后,要从设备中删除绕过码,请从 Endpoint Management 控制台发送“激活锁绕过”安全操作。此时,Endpoint Management 和 Apple 将具有解锁设备所需的绕过码。
  • “激活锁绕过”安全操作依赖 Apple 服务的可用性。如果该操作无法运行,您可以按如下所示解锁设备。在设备上,手动输入 iCloud 帐户的凭据。或者,将“用户名”字段留空,并在“密码”字段中键入绕过码。要查找绕过码,请转至管理 > 设备,选择设备,单击编辑,然后单击属性激活锁绕过码显示在安全信息下。