macOS
要在 Endpoint Management 中管理 macOS 设备,应设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。有关信息,请参阅 APNs 证书。
Endpoint Management 将 macOS 设备注册到 MDM 中。Endpoint Management 支持对 MDM 中的 macOS 设备使用以下注册身份验证类型。
- 域
- 域名加一次性密码
- 邀请 URL 加一次性密码
macOS 15 中对可信证书的要求:
Apple 对 TLS 服务器证书有新的要求。验证所有证书都符合 Apple 的新要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。有关管理证书方面的帮助,请参阅上载证书。
启动 macOS 设备管理的一般工作流程如下:
-
完成登录流程。请参阅载入和资源设置和准备注册设备并交付资源。
-
选择并配置注册方法。请参阅支持的注册方法。
-
设置设备和应用程序安全操作。请参阅安全操作。
有关支持的操作系统,请参阅支持的设备操作系统。
必须保持公开状态的 Apple 主机名
某些 Apple 主机名必须保持打开状态,以确保 iOS、macOS 和 Apple App Store 的正常运行。阻止这些主机名可能会影响以下对象的安装、更新和正确操作:iOS、iOS 应用程序、MDM 操作以及设备和应用程序注册。有关详细信息,请参阅 https://support.apple.com/en-us/HT201999。
支持的注册方法
下表列出了 Endpoint Management 支持的 macOS 设备的注册方法:
| 方法 | 支持 |
|---|---|
| Apple 部署计划 | 是 |
| Apple 校园教务管理 | 是 |
| Apple Configurator | 否 |
| 手动注册 | 是 |
| 注册邀请 | 是 |
Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,需要在“Apple 部署计划”中注册才能使用 Apple 部署计划在 Endpoint Management 中注册和管理设备。该程序适用于 iOS、macOS 和 Apple TV 设备。请参阅通过 Apple 部署计划部署设备。
对于教育帐户,需要创建一个 Apple 校园教务管理帐户。Apple 校园教务管理统一了部署计划和批量购买。Apple 校园教务管理的类型为教育 Apple 部署类型。请参阅与 Apple 教育功能相集成。
可以使用 Apple 部署计划批量注册 iOS、macOS 和 Apple TV 设备。可以直接从 Apple 、参与计划的 Apple 授权经销商或运营商处购买这些设备。
配置 macOS 设备策略
使用这些策略可配置 Endpoint Management 与运行 macOS 的设备的交互方式。下表列出了适用于 macOS 设备的所有设备策略。
| AirPlay 镜像 | 应用程序清单 | 应用程序卸载 |
| 日历 (CalDav) | 联系人 (CardDAV) | 凭据 |
| 设备名称 | Exchange | FileVault |
| 防火墙 | 字体 | 导入 iOS 和 macOS 配置文件 |
| LDAP | 邮件 | 网络 |
| 操作系统更新 | 通行码 | 配置文件删除 |
| 限制 | SCEP | VPN |
| Web 剪辑 |
注册 macOS 设备
Endpoint Management 提供两种方法来注册运行 macOS 的设备。这两种方法都使 macOS 用户能够直接从其设备无线注册。
-
向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册安全模式:
- 用户名 + 密码
- 用户名 + PIN
- 双重身份验证
用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。
-
向用户发送注册链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。
要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。
向 macOS 用户发送注册邀请
-
添加面向 macOS 用户注册的邀请。请参阅注册邀请。
-
用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。Endpoint Management 填充用户名。如果您为注册安全模式选择双重,则将显示另一个字段。
-
用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的信息,请参阅证书和身份验证。
-
用户提供请求的凭据。
安装 Mac 设备策略。现在即可以像管理移动设备一样使用 Endpoint Management 管理 macOS 设备。
向 macOS 用户发送安装链接
-
发送注册链接
https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。- serverFQDN 是运行 Endpoint Management 的服务器的完全限定域名 (FQDN)。
- 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
-
instanceName(通常显示为
zdm)为在服务器安装过程中指定的名称。
有关发送安装链接的详细信息,请参阅发送安装链接。
-
用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的信息,请参阅证书和身份验证。
-
用户登录其 Mac 设备。
安装 Mac 设备策略。现在即可以像管理移动设备一样使用 Endpoint Management 管理 macOS 设备。
安全操作
macOS 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作。
| 吊销 | 锁定 | 选择性擦除 |
| 完全擦除 | 证书续订 | 轮换个人恢复密钥 |
锁定 macOS 设备
可以远程锁定丢失的 macOS 设备。Endpoint Management 锁定设备它 随之生成一个 PIN 代码并在设备中进行设置。要访问设备,用户需要键入该 PIN 代码。使用取消锁定可从 Endpoint Management 控制台中删除锁定。
可以使用通行码设备策略配置与 PIN 代码关联的更多设置。有关详细信息,请参阅 macOS 设置。
-
单击管理 > 设备。此时将显示设备页面。
-
选择要锁定的 macOS 设备。
选中设备旁边的复选框以显示设备列表上方的选项菜单。也可以单击列出的项目上的其他任何位置,以在此列表的右侧显示选项菜单。
-
在选项菜单中,选择安全。此时将显示安全操作对话框。
-
单击锁定。此时将显示安全操作确认对话框。
-
单击锁定设备。
重要:
还可以指定密码,而不是使用 Endpoint Management 生成的代码。如果指定的代码不符合设备或现有工作配置文件的代码要求,锁定操作将失败。
引导程序令牌
引导程序令牌可帮助您在登录到 macOS 设备时向帐户授予 SecureToken macOS 属性。SecureToken 从一个可信帐户向下传递到另一个帐户。启用了 SecureToken 的帐户可以在设备上执行加密操作。如果没有引导程序令牌,您需要在添加单个用户帐户之前,按照复杂的工作流程进行操作,在该设备上创建帐户。
Endpoint Management 支持对通过 Apple 部署计划注册的 macOS 设备使用托管引导程序令牌。您使用 Apple 部署计划注册您直接从 Apple、Apple 授权经销商或运营商处购买的 macOS 设备。有关在 Apple 部署计划中注册的信息,请参阅通过 Apple 部署计划部署设备。
引导程序令牌在设置助理工作流程期间生成。具体而言,它们都是在本地用户帐户创建期间生成的。设置助理在用户首次启动其设备时运行。这些令牌保存在 Endpoint Management 数据库中,您和最终用户不可见。从 Endpoint Management 站点删除设备会删除这些令牌。执行出厂重置不会将其删除。
必备条件:
- macOS 11.0 或更高版本
- 配备 Apple T2 安全芯片的 macOS 设备
- 通过 Apple 部署计划注册的 macOS 设备
在 Endpoint Management 中托管引导程序令牌的一个优势是,可以为 FileVault 启用远程帐户以及能够解锁 FileVault 卷。有关 FileVault 的信息,请参阅 FileVault 策略。