Citrix Endpoint Management

macOS

要在 Endpoint Management 中管理 macOS 设备,应设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。有关信息,请参阅 APNs 证书

Endpoint Management 将 macOS 设备注册到 MDM 中。Endpoint Management 支持对 MDM 中的 macOS 设备使用以下注册身份验证类型。

  • 域名加一次性密码
  • 邀请 URL 加一次性密码

macOS 15 中对可信证书的要求:

Apple 对 TLS 服务器证书有新的要求。验证所有证书都符合 Apple 的新要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。有关管理证书的帮助,请参阅在 Endpoint Management 中上载证书

启动 macOS 设备管理的一般工作流程如下:

  1. 完成登录流程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅 支持的注册方法

  3. 配置 macOS 设备策略

  4. 注册 macOS 设备

  5. 设置设备和应用程序安全操作。请参阅 安全操作

有关支持的操作系统,请参阅支持的设备操作系统

必须保持公开状态的 Apple 主机名

某些 Apple 主机名必须保持打开状态,以确保 iOS、macOS 和 Apple App Store 正常运行。阻止这些主机名可能会影响以下对象的安装、更新和正确操作:iOS、iOS 应用程序、MDM 操作以及设备和应用程序注册。有关详细信息,请参阅https://support.apple.com/en-us/HT201999

支持的注册方法

下表列出了 Endpoint Management 支持的 macOS 设备的注册方法:

方法 支持
Apple 部署计划
Apple 校园教务管理
Apple Configurator
手动注册
注册邀请

Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,需要在“Apple 部署计划”中注册才能使用 Apple 部署计划在 Endpoint Management 中注册和管理设备。该计划面向 iOS、macOS 和 Apple TV 设备。请参阅 通过 Apple 部署计划部署设备

对于教育帐户,需要创建一个 Apple 校园教务管理帐户。Apple 校园教务管理统一了部署计划和批量购买。Apple 校园教务管理是类型为教育的 Apple 部署计划。请参阅 与 Apple 教育功能相集成

可以使用 Apple 部署计划批量注册 iOS、macOS 和 Apple TV 设备。可以直接从 Apple、参与计划的 Apple 授权经销商或运营商处购买这些设备。

配置 macOS 设备策略

使用这些策略可配置 Endpoint Management 与运行 macOS 的设备的交互方式。下表列出了适用于 macOS 设备的所有设备策略。

     
AirPlay 镜像 应用程序清单 日历(CalDAV)
联系人(CardDAV) 控制操作系统更新 凭据
设备名称 Exchange FileVault
防火墙 字体 导入 iOS 和 macOS 配置文件
LDAP 邮件 通行码
配置文件删除 限制 SCEP
VPN Web 剪辑 Wi-Fi

注册 macOS 设备

Endpoint Management 提供两种方法来注册运行 macOS 的设备。这两种方法都使 macOS 用户能够直接从其设备无线注册。

  • 向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册模式:

    • 用户名 + 密码

    • 用户名 + PIN

    • 双重身份验证

    用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。

  • 向用户发送注册链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。

    要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。

向 macOS 用户发送注册邀请

  1. 添加面向 macOS 用户注册的邀请。请参阅 注册邀请

  2. 用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。Endpoint Management 填充用户名。如果您为注册模式选择双重,则将显示另一个字段。

    Safari 浏览器根证书消息

  3. 用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的信息,请参阅证书和身份验证

  4. 用户提供请求的凭据。

    安装 Mac 设备策略。现在即可以像管理移动设备一样使用 Endpoint Management 管理 macOS 设备。

向 macOS 用户发送安装链接

  1. 发送注册链接 https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。

    • serverFQDN 是运行 Endpoint Management 的服务器的完全限定域名 (FQDN)。
    • 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
    • instanceName(通常显示为 zdm)为在服务器安装过程中指定的名称。

    有关发送安装链接的详细信息,请参阅发送安装链接

  2. 用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的信息,请参阅证书和身份验证

  3. 用户登录其 Mac 设备。

    安装 Mac 设备策略。现在即可以像管理移动设备一样使用 Endpoint Management 管理 macOS 设备。

安全操作

macOS 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

     
吊销 锁定 选择性擦除
完全擦除 证书续订  

锁定 macOS 设备

可以远程锁定丢失的 macOS 设备。Endpoint Management 锁定设备它 随之生成一个 PIN 代码并在设备中进行设置。要访问设备,用户需要键入该 PIN 代码。使用取消锁定可从 Endpoint Management 控制台中删除锁定。

可以使用通行码设备策略配置与 PIN 代码关联的更多设置。有关详细信息,请参阅macOS 设置

  1. 单击管理 > 设备。此时将显示设备页面。

    “设备”页面

  2. 选择要锁定的 macOS 设备。

    选中设备旁边的复选框以显示设备列表上方的选项菜单。也可以单击列出的项目上的其他任何位置,以在此列表的右侧显示选项菜单。

    选项菜单

    选项菜单

  3. 在选项菜单中,选择安全。此时将显示安全操作对话框。

    “安全操作”对话框

  4. 单击锁定。此时将显示安全操作确认对话框。

    安全操作确认

  5. 单击锁定设备

重要:

还可以指定密码,而不是使用 Endpoint Management 生成的代码。如果指定的代码不符合设备或现有工作配置文件的代码要求,锁定操作将失败。

macOS