iOS

为了在“端点管理”中管理iOS设备，您需要设置来自苹果公司的Apple Push Notification service (APNs)证书。信息,请参阅导引和证书．

注册配置文件决定iOS设备是否注册MDM+MAM，用户可以选择退出移动设备管理(MDM)。终端管理支持MDM+MAM中iOS设备的认证类型。有关信息，请参阅以下文章:

• 域或域加安全令牌身份验证
• 客户端证书或证书加域认证
• 身份提供者:
  • 通过Citrix Cloud使用Azure Active Directory进行身份验证
  • 通过Citrix Cloud与Okta进行认证

iOS 13中受信任证书的要求:

苹果对TLS服务器证书有了新的要求。验证所有证书是否符合苹果公司的新要求。参见苹果公司的出版物，https://support.apple.com/en-us/HT210176．有关管理证书的帮助，请参见上传证书．

启动iOS设备管理的一般流程如下:

1. 完成入职流程。看到入职和资源设置而且准备注册设备和交付资源．

2. 选择并配置注册方式。看到支持注册方法．

3. 配置iOS设备策略．

4. 招收iOS设备．

5. 设置设备和应用程序安全操作。看到安全的行为．

对于受支持的操作系统，请参见支持的设备操作系统．

iOS 14兼容性

端点管理和Citrix移动应用程序与iOS 14兼容，但目前不支持新的iOS 14功能。

对于受监管的iOS设备，您可以将软件升级推迟90天。在iOS的限制设备策略中，使用以下设置:

• 强制延迟软件更新
• 强制软件更新延迟

看到iOS设置．这些设置不适用于处于用户注册模式或无监督(全MDM)模式的设备。

苹果主机名必须保持开放

为了确保iOS、macOS和Apple App Store正常运行，部分苹果主机名必须保持开放。屏蔽这些主机名会影响以下设备的安装、更新和正常运行:iOS、iOS应用、MDM操作、设备和应用注册。有关更多信息，请参见https://support.apple.com/en-us/HT201999．

支持注册方法

在注册配置文件中指定如何管理iOS设备。您可以选择以下登记设置:

• 苹果用户注册:对于BYOD设备，提供个人数据隐私和企业数据安全的平衡。此注册模式可作为公开预览。要启用此功能，请联系您的支持团队。
• 苹果设备登记:对于受监督的iOS设备，设备上有单独的个人和企业配置文件。
• 不管理设备:如果您只想管理应用程序，请将这些设备排除在MDM之外。

有关创建注册配置文件的详细信息，请参见登记资料．

Endpoint Management支持以下iOS设备的注册方式:

方法	支持
苹果公司的业务经理	是的
苹果学校的经理	是的
苹果配置器	是的
手动注册	是的
入学邀请	是的

Apple Deployment program包括针对商业机构的Apple Business Manager (ABM)和针对教育机构的Apple School Manager (ASM)。有关更多信息，请参见通过苹果部署程序部署设备．

Apple School Manager是Education Apple Deployment Program的一种类型。看到集成苹果教育功能．

使用苹果部署程序批量注册iOS、iPadOS、macOS和tvOS设备。你可以直接从苹果、苹果授权经销商或运营商那里购买这些设备。无论您是否直接从苹果购买iOS设备，您都可以使用Apple Configurator注册这些设备。看到批量注册苹果设备．

管理苹果id

用户注册与托管苹果id紧密集成。你可以使用ABM/ASM手动创建一个Managed Apple ID，也可以使用Azure Active Directory (AAD)动态创建一个。

对于非联邦身份验证，使用ABM/ASM创建托管Apple id来添加帐户。关于在ABM/ASM中添加帐户的信息，请参阅Apple文档https://support.apple.com/guide/apple-business-manager/welcome/web和ASMhttps://support.apple.com/guide/apple-school-manager/welcome/web．为了避免用户注册时的额外步骤，我们建议采取以下措施:

• 在创建托管的苹果ID时，请使用与企业邮箱地址匹配的电子邮件。
• 设置用户角色为工作人员．
• 让用户在注册前手动修改密码。让用户知道，我们建议他们使用与企业帐户相同的密码。

要动态创建托管的Apple id，请配置Citrix Cloud使用AAD作为其身份提供者。有关配置Citrix Cloud使用AAD的更多信息，请参见通过Citrix Cloud使用Azure Active Directory进行身份验证．另外，在ABM/ASM中配置联邦身份验证。要了解关于在ABM或ASM中配置联邦身份验证的更多信息，请参阅苹果业务经理用户指南和苹果学校经理用户指南．

当您手动创建Managed Apple id时，您可以配置一个自定义域来代替默认域。您配置的自定义域将替换现有域。例如，您的公司电子邮件地址遵循的格式first.last@company.com，但你想用mycompany.website.com作为托管苹果ID的域。当在ABM/ASM上创建Managed Apple ID时，电子邮件地址变为first.last@mycompany.website.com．

手动添加iOS设备

如果您需要手动添加iOS设备，例如用于测试，请遵循以下步骤。

1. 在Endpoint Management控制台中，单击管理>设备．的设备页面出现。

2. 点击添加．的添加设备页面出现。

3. 配置这些设置:

   • 选择平台:点击iOS．
   • 序列号:输入设备序列号。

4. 点击添加．的设备表出现，并将设备添加到列表的底部。查看和确认设备的详细信息:选择已添加的设备，在弹出的菜单中单击编辑．

   注意:

   当您选择设备旁边的复选框时，设备列表上方会出现选项菜单。如果单击列表中的其他任何位置，选项菜单就会出现在列表的右侧。

   • LDAP配置

   • 如果使用本地组和本地用户:

     • 一个或多个本地组。

     • 分配给本地组的本地用户。

     • 交付组与本地组关联。

   • 如果使用Active Directory:

     • 交付组与Active Directory组关联。

5. 的一般页面列出了设备标识符，如平台类型的序列号等信息。为设备的所有权中,选择企业或BYOD．

   的一般页面还列出设备安全属性，如强ID、锁设备、激活锁旁路，以及平台类型的其他信息。的设备全擦拭字段包含用户PIN码。清除设备后，用户必须输入该代码。如果用户忘记了代码，你可以在这里查找。

6. 的属性页面列出了Endpoint Management提供的设备属性。此列表显示用于添加设备的配置文件中包含的任何设备属性。单击，可添加属性添加然后从列表中选择一个属性。有关每个属性的有效值，请参阅PDF设备属性名称和值．

   添加属性时，它最初出现在添加属性的类别下。你点击后下一个然后回到属性页中，该属性将出现在适当的列表中。

   若要删除属性，请将鼠标悬停在列表上，然后单击X在右边。Endpoint Management立即删除该项。

7. 剩下的设备详细信息部分包含设备的摘要。

   • 用户属性:显示用户的RBAC角色、组成员关系、批量购买帐户和属性。您可以从此页面退休一个批量购买帐户。
   • 分配政策:显示已部署、挂起和失败策略的数量。为每个策略提供策略名称、类型和最后一次部署的信息。允许您将部署状态重置为挂起，并重新部署用户删除的策略。
   • 应用程序:显示上一个目录中已安装、挂起和失败的应用程序部署的数量。提供应用程序名称、标识符、类型和其他信息。查看iOS和macOS库存键的描述，例如HasUpdateAvailable,请参阅MDM (Mobile Device Management)协议．
   • 媒体:显示已部署、挂起和失败的媒体部署的数量。
   • 行动:显示已部署、挂起和失败操作的数量。提供上次部署的操作名称和时间。
   • 交付组:显示成功、挂起和失败的传递组数量。对于每个部署，提供交付组名称和部署时间。选择交付组，可查看状态、操作、通道或用户等详细信息。
   • iOS配置文件:显示上一次的iOS配置文件目录，包括名称、类型、组织和描述。
   • iOS配置概要文件:显示企业分发配置文件信息，如UUID、过期日期和管理状态。
   • 证书:对于有效、过期或被撤销的证书，显示诸如类型、提供者、颁发者、序列号和过期前的剩余天数等信息。
   • 连接:显示第一次连接状态和最后一次连接状态。提供每个连接、用户名、倒数第二个(紧接最后一个)身份验证时间和最后一个身份验证时间。
   • MDM状态:显示MDM状态、最近一次推送时间、最近一次设备应答时间等信息。

配置iOS设备策略

使用这些策略来配置端点管理如何与运行iOS或iPadOS的设备交互。该表列出了适用于iOS和iPadOS设备的所有设备策略。

AirPlay镜像	AirPrint	比例导引
应用程序访问	应用程序属性	应用程序配置
应用库存	应用锁	应用程序卸载
应用程序的通知	日历(CalDAV)	细胞
联系人(CardDAV)	凭证	设备名称
教育配置	交换	字体
主屏幕布局	导入iOS和macOS配置文件	LDAP
位置	锁定屏幕信息	邮件
管理域	最大的居民用户	MDM选项
网络	网络使用情况	组织信息
操作系统更新	密码	密码锁宽限期
个人热点	配置文件删除	配置文件
配置文件删除	代理	限制
漫游	连	SSO帐户
商店	订阅的日历	条款和条件
VPN	壁纸	网络内容过滤
Web剪辑

招收iOS设备

本节展示用户如何将iOS设备(12.2或更高版本)注册到端点管理。了解更多iOS注册信息，请观看以下视频:

1. 去你iOS设备上的苹果商店，下载Citrix Secure Hub应用，然后点击应用。
2. 当提示安装应用程序时，轻按下一个然后利用安装．
3. 安全集线器安装后，轻按开放．
4. 输入您的企业凭证，如端点管理服务器名称、用户主体名称(UPN)或电子邮件地址。然后,单击下一个．
5. 利用是的,注册注册你的iOS设备。
6. 将出现端点管理收集的数据列表。点击下一个．一个组织如何使用该数据的解释出现了。点击下一个．
7. 输入凭证后，点击允许当提示时，下载配置概要文件。下载完成后，轻按关闭．
8. 在设备设置中，安装XenMobile配置文件。
   • 去设置>通用>配置文件> XenMobile配置文件业务和利用安装添加概要文件。
   • 在通知窗口，轻按信任将设备注册到远程管理。
9. 注册成功后，打开安全Hub。如果您正在注册MDM+MAM:在验证您的凭证之后，在出现提示时创建并确认您的Citrix PIN。
10. 在工作流完成后，设备被登记。然后，你可以访问应用商店，查看你可以在iOS设备上安装的应用程序。

安全的行为

iOS设备注册支持以下安全操作。有关每个安全操作的描述，请参见安全的行为．

• 激活锁绕过
• 应用锁
• 应用程序删除
• ASM激活锁
• 证书更新
• 明确的限制
• 启用/禁用了模式
• 启用/禁用跟踪
• 全部擦
• 定位
• 锁
• 环
• 请求/停止播送镜像
• 启动/关闭
• 撤销/授权
• 选择性擦
• 解锁

iOS的用户注册支持以下安全操作:

• 撤销
• 锁
• 选择性擦
• 证书更新

锁iOS设备

您可以通过在设备锁定屏幕上显示消息和电话号码来锁定丢失的iOS设备。

若要在锁定的设备上显示消息和电话号码，请设置密码政策真正的在Endpoint Management控制台中。用户可以手动在设备上启用密码。

1. 点击管理>设备．的设备页面出现。

2. 选择需要锁定的iOS设备。

   选中设备旁边的复选框将显示设备列表上方的选项菜单。单击列表中的其他任何位置，在列表的右侧显示选项菜单。

3. 在选项菜单中，单击安全．的安全的行为对话框出现了。

4. 点击锁．的安全的行为系统弹出确认对话框。

5. 可选择输入设备锁屏时显示的消息和电话号码。

   iOS会将“丢失的iPad”附加到你输入的内容上消息字段。

   如果你离开消息字段为空，并提供电话号码，苹果会在设备锁定屏幕上显示“呼叫所有者”的消息。

6. 点击锁定装置．

将iOS设备置于丢失模式

终端管理丢失模式设备属性将iOS设备置于丢失模式。与苹果管理丢失模式不同，端点管理丢失模式不需要用户执行以下任一操作来启用他们的设备找到我的iPhone / iPad设置或启用Citrix安全中心的位置服务。

在“终端管理丢失模式”中，只有终端管理可以解锁设备。(相比之下，如果你使用端点管理设备锁定功能，用户可以通过你提供的PIN码直接解锁设备。

启用或禁用丢失模式:Go To管理>设备，选择需要监控的iOS设备，单击安全．然后,单击启用了模式或禁用了模式．

如果您点击启用了模式，当设备处于丢失模式时，输入信息显示在设备上。

使用以下任何一种方法来检查Lost Mode状态:

• 在安全的行为窗口，验证按钮是否为禁用了模式．
• 从管理>设备,在一般选项卡下安全，请参见最后一个“启用丢失模式”或“禁用丢失模式”动作。

• 从管理>设备,在属性选项卡的值启用MDM丢失模式设置是正确的。

如果在iOS设备上启用了“终端管理丢失模式”，终端管理控制台也会发生如下变化:

• 在配置>动作,行动列表不包括这些自动操作:撤销该设备，选择性擦拭设备,完全擦拭设备．
• 在管理>设备,安全的行为列表不再包含撤销而且选择性擦设备操作。您仍然可以使用安全操作来执行全部擦行动,在需要的时候。

iOS会将“丢失的iPad”附加到你输入的内容上消息在安全的行为屏幕上。

如果你离开消息空并提供电话号码，苹果会在设备锁定屏幕上显示“呼叫所有者”的信息。

绕过iOS激活锁

激活锁是“找到我的iPhone/iPad”的一个功能，可以防止丢失或被盗的监控设备重新激活。激活锁需要用户的苹果ID和密码，然后才能执行以下操作:关闭“找到我的iPhone/iPad”、删除设备或重新激活设备。对于您的组织拥有的设备，绕过激活锁是必要的，例如，重置或重新分配设备。

要启用“激活锁”，需要配置和部署“Endpoint Management MDM Options”设备策略。然后，您可以从Endpoint Management控制台管理设备，而无需用户的Apple凭证。要绕过激活锁的苹果凭证要求，请从端点管理控制台发出激活锁绕过安全操作。

例如，如果用户归还丢失的手机，或者在“完全擦除”之前或之后设置设备:当手机提示输入苹果App Store账户证书时，通过发出“激活锁旁路”安全动作绕过该步骤。

激活锁旁路的设备要求

• 通过苹果配置程序或苹果部署程序监督
• 已配置iCloud帐号
• 启用“查找我的iPhone/iPad”功能
• 加入终点管理
• MDM选项启用激活锁后，将设备策略部署到设备上

在发出设备的全擦除之前绕过激活锁:

1. 去管理>设备，选择设备，单击安全，然后按激活锁绕过．
2. 擦拭设备。在设备设置期间，激活锁屏幕不会出现。

在发出设备的完全擦除后，要绕过激活锁:

1. 复位或擦除设备。在设备安装过程中出现激活锁屏幕。
2. 去管理>设备，选择设备，单击安全，然后按激活锁绕过．
3. 点击设备上的后退按钮。进入主界面。

请记住以下几点:

• 建议用户不要关闭Find My iPhone/iPad。不要完全擦拭设备。在任何一种情况下，都会提示用户输入iCloud帐户密码。在账户验证后，删除所有内容和设置后，用户将不会看到激活iPhone/iPad屏幕。
• 对于一个设备，生成激活锁旁路代码和激活锁启用:如果你不能绕过激活iPhone/iPad页面后，完全擦除，你不需要从端点管理删除设备。你或用户都可以联系苹果公司的技术支持，直接解除对设备的屏蔽。
• 在硬件库存期间，端点管理查询设备以获取激活锁旁路代码。如果旁路代码可用，设备将其发送给端点管理。然后，要从设备上删除旁路代码，请从端点管理控制台发送激活锁旁路安全操作。这时，端点管理公司和苹果公司就有了解除设备封锁所需的旁路代码。
• 激活锁旁路安全操作依赖于苹果服务的可用性。如果这个动作不起作用，你可以使用以下方式之一解除一个设备:
  • 在设备上手动输入iCloud帐户的凭证。
  • 将用户名字段保留为空，并在密码字段中输入旁路代码。要查找旁路代码，请转到管理>设备，选择设备，单击编辑,然后单击属性．的激活锁旁路码正在安全信息．