macOS
要在 Citrix Endpoint Management 中管理 macOS 设备,您需要设置苹果颁发的苹果推送通知服务 (APNs) 证书。有关信息,请参阅 APNs 证书。
Citrix Endpoint Management 将 macOS 设备注册到 MDM 中。Citrix Endpoint Management 在 MDM 中支持 macOS 设备的以下注册身份验证类型。
- 域
- 域名加一次性密码
- 邀请 URL 加一次性密码
macOS 15 中对可信证书的要求:
Apple 对 TLS 服务器证书有新的要求。验证所有证书都符合 Apple 的新要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。有关管理证书方面的帮助,请参阅上载证书。
启动 macOS 设备管理的一般工作流程如下:
-
完成登录流程。请参阅载入和资源设置和准备注册设备并交付资源。
-
选择并配置注册方法。请参阅支持的注册方法。
-
设置设备和应用程序安全操作。请参阅安全操作。
有关支持的操作系统,请参阅支持的设备操作系统。
必须保持公开状态的 Apple 主机名
某些 Apple 主机名必须保持打开状态,以确保 iOS、macOS 和 Apple App Store 的正常运行。阻止这些主机名可能会影响以下对象的安装、更新和正确操作:iOS、iOS 应用程序、MDM 操作以及设备和应用程序注册。有关详细信息,请参阅https://support.apple.com/en-us/HT201999。
支持的注册方法
下表列出了 Citrix Endpoint Management 支持的 macOS 设备注册方法:
| Method(方法) | 受支持 |
|---|---|
| Apple 部署计划 | 是 |
| Apple 校园教务管理 | 是 |
| Apple Configurator | 否 |
| 手动注册 | 是 |
| 注册邀请 | 是 |
Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,您可以注册 Apple 部署计划,以便在 Citrix Endpoint Management 中使用苹果部署计划进行设备注册和管理。该程序适用于 iOS、macOS 和 Apple TV 设备。请参阅通过 Apple 部署计划部署设备。
对于教育帐户,需要创建一个 Apple 校园教务管理帐户。Apple 校园教务管理统一了部署计划和批量购买。Apple 校园教务管理的类型为教育 Apple 部署类型。请参阅与 Apple 教育功能相集成。
可以使用 Apple 部署计划批量注册 iOS、macOS 和 Apple TV 设备。可以直接从 Apple 、参与计划的 Apple 授权经销商或运营商处购买这些设备。
配置 macOS 设备策略
使用这些策略来配置 Citrix Endpoint Management 如何与运行 macOS 的设备进行交互。下表列出了适用于 macOS 设备的所有设备策略。
| AirPlay 镜像 | 应用程序清单 | 应用程序卸载 |
| 日历 (CalDAV) | 联系人 (CardDAV) | 凭据 |
| 设备名称 | Exchange | FileVault |
| Firewall | Font | 导入 iOS 和 macOS 配置文件 |
| LDAP | 网络 | |
| 操作系统更新 | 通行码 | 配置文件删除 |
| 限制 | SCEP | VPN |
| Web 剪辑 |
注册 macOS 设备
Citrix Endpoint Management 提供了两种注册运行 macOS 的设备的方法。这两种方法都使 macOS 用户能够直接从其设备无线注册。
-
向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册安全模式:
- 用户名 + 密码
- 用户名 + PIN
- 双重身份验证
用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。
-
向用户发送注册链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。
要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。
向 macOS 用户发送注册邀请
-
添加面向 macOS 用户注册的邀请。请参阅注册邀请。
-
用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。Citrix Endpoint Management 填写用户名。如果您为注册安全模式选择双重,则将显示另一个字段。
-
用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的信息,请参阅证书和身份验证。
-
用户提供请求的凭据。
安装 Mac 设备策略。现在,您可以开始使用 Citrix Endpoint Management 管理 macOS 设备,就像管理移动设备一样。
向 macOS 用户发送安装链接
-
发送注册链接
https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。- ServerFQDN 是运行 Citrix Endpoint Management 的服务器的完全限定域名 (FQDN)。
- 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
-
instanceName(通常显示为
zdm)为在服务器安装过程中指定的名称。
有关发送安装链接的详细信息,请参阅发送安装链接。
-
用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的信息,请参阅证书和身份验证。
-
用户登录其 Mac 设备。
安装 Mac 设备策略。现在,您可以开始使用 Citrix Endpoint Management 管理 macOS 设备,就像管理移动设备一样。
安全操作
macOS 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作。
| 吊销 | 锁定 | 选择性擦除 |
| 完全擦除 | 证书续订 | 轮换个人恢复密钥 |
锁定 macOS 设备
可以远程锁定丢失的 macOS 设备。Citrix Endpoint Management 会锁定设备。它 随之生成一个 PIN 代码并在设备中进行设置。要访问设备,用户需要键入该 PIN 代码。使用“取消锁定”从 Citrix Endpoint Management 控制台中移除锁定。
可以使用通行码设备策略配置与 PIN 代码关联的更多设置。有关详细信息,请参阅 macOS 设置。
-
单击管理 > 设备。此时将显示设备页面。
-
选择要锁定的 macOS 设备。
选中设备旁边的复选框以显示设备列表上方的选项菜单。也可以单击列出的项目上的其他任何位置,以在此列表的右侧显示选项菜单。
-
在选项菜单中,选择安全。此时将显示安全操作对话框。
-
单击锁定。此时将显示安全操作确认对话框。
-
单击锁定设备。
重要说明:
您也可以指定密码,而不使用 Citrix Endpoint Management 生成的代码。如果指定的代码不符合设备或现有工作配置文件的代码要求,锁定操作将失败。
引导令牌
当您登录 macOS 设备时,引导令牌有助于将 SecureToken macOS 属性授予帐户。SecureToken 从一个受信任的帐户传递到另一个可信帐户启用 SecureToken 的帐户可以在设备上执行加密操作。如果没有引导令牌,在添加单个用户帐户之前,您需要按照复杂的工作流程在该设备上创建帐户。
Citrix Endpoint Management 支持为通过苹果部署计划注册的 macOS 设备托管引导令牌。您可以使用 Apple 部署计划注册直接从 Apple、参与计划的 Apple 授权经销商或运营商购买的 macOS 设备。有关在 Apple 部署计划中注册的信息,请参阅通过 Apple 部署计划部署设备。
引导令牌是在设置助手工作流程期间生成的。具体来说,它们是在创建本地用户帐户时生成的。安装助手会在用户首次启动设备时运行。令牌保存在 Citrix Endpoint Management 数据库中,您和最终用户看不到。从 Citrix Endpoint Management 站点删除设备会删除令牌。执行恢复出厂设置并不会删除它们。
必备条件:
- macOS 11.0 或更高版本
- 配备 Apple T2 安全芯片的 macOS 设备
- 通过 Apple 部署计划注册的 macOS 设备
使用 Citrix Endpoint Management 托管引导令牌的一个好处是,远程帐户可以启用 FileVault 并能够解锁 FileVault 卷。有关 FileVault 的信息,请参阅 FileVault 策略。