Citrix Endpoint Management

macOS

要在 Endpoint Management 中管理 macOS 设备,应设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。有关信息,请参阅APNs 证书

Endpoint Management 将 macOS 设备注册到 MDM 中。Endpoint Management 支持对 MDM 中的 macOS 设备使用以下注册身份验证类型。

  • 域名加一次性密码
  • 邀请 URL 加一次性密码

macOS 15 中对可信证书的要求:

Apple 对 TLS 服务器证书有新的要求。验证所有证书都符合 Apple 的新要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。有关管理证书的帮助,请参阅上传证书

启动 macOS 设备管理的一般工作流程如下:

  1. 完成登录流程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅 支持的注册方法

  3. 配置 macOS 设备策略

  4. 注册 macOS 设备

  5. 设置设备和应用程序安全操作。请参阅 安全操作

有关支持的操作系统,请参阅支持的设备操作系统

必须保持公开状态的 Apple 主机名

某些 Apple 主机名必须保持打开状态,以确保 iOS、macOS 和 Apple App Store 的正常运行。阻止这些主机名可能会影响以下对象的安装、更新和正确操作:iOS、iOS 应用程序、MDM 操作以及设备和应用程序注册。有关详细信息,请参阅https://support.apple.com/en-us/HT201999

支持的注册方法

下表列出了 Endpoint Management 支持的 macOS 设备的注册方法:

方法 支持
Apple 部署计划
Apple 校园教务管理
Apple Configurator
手动注册
注册邀请

Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,需要在“Apple 部署计划”中注册才能使用 Apple 部署计划在 Endpoint Management 中注册和管理设备。该程序适用于 iOS、macOS 和 Apple TV 设备。请参阅 通过 Apple 部署计划部署设备

对于教育帐户,需要创建一个 Apple 校园教务管理帐户。Apple 校园教务管理统一了部署计划和批量购买。Apple 校园教务管理的类型为教育 Apple 部署类型。请参阅 与 Apple 教育功能相集成

可以使用 Apple 部署计划批量注册 iOS、macOS 和 Apple TV 设备。可以直接从 Apple 、参与计划的 Apple 授权经销商或运营商处购买这些设备。

配置 macOS 设备策略

使用这些策略可配置 Endpoint Management 与运行 macOS 的设备的交互方式。下表列出了适用于 macOS 设备的所有设备策略。

     
AirPlay 镜像 应用程序清单 应用程序卸载
日历 (CalDav) 联系人(CardDAV) 控制操作系统更新
凭据 设备名称 Exchange
FileVault 防火墙 字体
导入 iOS 和 macOS 配置文件 LDAP 邮件
通行码 配置文件删除 限制
SCEP VPN Web 剪辑
网络    

注册 macOS 设备

Endpoint Management 提供两种方法来注册运行 macOS 的设备。这两种方法都使 macOS 用户能够直接从其设备无线注册。

  • 向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册安全模式:

    • 用户名 + 密码
    • 用户名 + PIN
    • 双重身份验证

    用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。

  • 向用户发送注册链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。

    要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。

向 macOS 用户发送注册邀请

  1. 添加面向 macOS 用户注册的邀请。请参阅 注册邀请

  2. 用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。Endpoint Management 填充用户名。如果您为注册安全模式选择双重,则将显示另一个字段。

    Safari 浏览器根证书消息

  3. 用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的信息,请参阅证书和身份验证

  4. 用户提供请求的凭据。

    安装 Mac 设备策略。现在即可以像管理移动设备一样使用 Endpoint Management 管理 macOS 设备。

向 macOS 用户发送安装链接

  1. 发送注册链接 https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。

    • serverFQDN 是运行 Endpoint Management 的服务器的完全限定域名 (FQDN)。
    • 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
    • instanceName(通常显示为 zdm)为在服务器安装过程中指定的名称。

    有关发送安装链接的详细信息,请参阅发送安装链接

  2. 用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的信息,请参阅证书和身份验证

  3. 用户登录其 Mac 设备。

    安装 Mac 设备策略。现在即可以像管理移动设备一样使用 Endpoint Management 管理 macOS 设备。

安全操作

macOS 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

     
吊销 锁定 选择性擦除
完全擦除 证书续订 轮换个人恢复密钥

锁定 macOS 设备

可以远程锁定丢失的 macOS 设备。Endpoint Management 锁定设备它 随之生成一个 PIN 代码并在设备中进行设置。要访问设备,用户需要键入该 PIN 代码。使用取消锁定可从 Endpoint Management 控制台中删除锁定。

可以使用通行码设备策略配置与 PIN 代码关联的更多设置。有关详细信息,请参阅macOS 设置

  1. 单击 管理 > 设备。此时将显示设备页面。

    “设备”页面

  2. 选择要锁定的 macOS 设备。

    选中设备旁边的复选框以显示设备列表上方的选项菜单。也可以单击列出的项目上的其他任何位置,以在此列表的右侧显示选项菜单。

    选项菜单

    选项菜单

  3. 在选项菜单中,选择安全。此时将显示安全操作对话框。

    “安全操作”对话框

  4. 单击锁定。此时将显示安全操作确认对话框。

    “安全操作”确认

  5. 单击锁定设备

重要:

还可以指定密码,而不是使用 Endpoint Management 生成的代码。如果指定的代码不符合设备或现有工作配置文件的代码要求,锁定操作将失败。

引导令牌

当您登录 macOS 设备时,引导令牌有助于将 SecureToken macOS 属性授予账户。SecureToken 从一个受信任的帐户传递到另一个可信账户启用 SecureToken 的帐户可以在设备上执行加密操作。如果没有引导令牌,在添加单个用户帐户之前,您需要按照复杂的工作流程在该设备上创建帐户。

Endpoint Management 支持为通过 Apple 部署计划注册的 macOS 设备保管引导令牌。您可以使用 Apple 部署计划注册直接从 Apple、参与计划的 Apple 授权经销商或运营商购买的 macOS 设备。有关注册 Apple 部署计划的信息,请参阅 通过 Apple 部署计划部署设备

引导令牌是在设置助手工作流程期间生成的。具体来说,它们是在创建本地用户帐户时生成的。安装助手会在用户首次启动设备时运行。令牌保存在 Endpoint Management 数据库中,您和最终用户都不可见。从 Endpoint Management 站点删除设备将删除令牌。执行恢复出厂设置并不会删除它们。

必备条件:

  • macOS 11.0 或更高版本
  • 具有苹果 T2 安全芯片的 macOS 设备
  • 通过苹果部署计划注册的 macOS 设备

使用 Endpoint Management 隐藏引导令牌的一个好处是,可以为 FileVault 启用远程账户并能够解锁 FileVault 卷。有关 FileVault 的信息,请参阅 FileVault 设备策略

macOS