macOS
要在端点管理中管理macOS设备,您需要从Apple设置Apple推送通知服务(APNs)证书。有关信息,请参见导引和证书.
Endpoint Management将macOS设备注册到MDM中。Endpoint Management支持MDM中macOS设备的以下注册认证类型。
- 域
- 域名加一次性密码
- 邀请URL加一次性密码
macOS 15对受信任证书的要求:
苹果公司对TLS服务器证书有了新的要求。验证所有证书是否符合苹果的新要求。请看苹果的出版物,https://support.apple.com/en-us/HT210176.有关管理证书的帮助,请参见上传证书.
启动macOS设备管理的一般流程如下:
完成入职流程。看到入职和资源设置而且准备注册设备和交付资源.
选择并配置注册方法。看到支持的注册方法.
设置设备和应用程序安全操作。看到安全的行为.
有关支持的操作系统,请参见支持的设备操作系统.
必须保持开放的苹果主机名
部分苹果主机名必须保持开放,以保证iOS、macOS和Apple App Store正常运行。屏蔽这些主机名会影响iOS、iOS应用、MDM操作、设备和应用注册的安装、更新和正常运行。有关更多信息,请参见https://support.apple.com/en-us/HT201999.
支持的注册方法
Endpoint Management支持macOS设备的注册方式如下表所示:
| 方法 | 支持 |
|---|---|
| 苹果部署计划 | 是的 |
| 苹果学校经理 | 是的 |
| 苹果配置器 | 没有 |
| 手动注册 | 是的 |
| 入学邀请 | 是的 |
苹果有针对商业和教育账户的设备注册计划。对于企业帐户,您注册Apple部署计划,以便在端点管理中使用Apple部署计划进行设备注册和管理。该程序适用于iOS、macOS和Apple TV设备。看到通过Apple部署程序部署设备.
对于教育帐户,您可以创建一个Apple School Manager帐户。苹果学校管理统一部署计划和批量购买。Apple School Manager是一种教育苹果部署程序。看到与Apple教育功能集成.
您可以使用Apple部署计划批量注册iOS、macOS和Apple TV设备。您可以直接从Apple、参与Apple授权经销商或运营商处购买这些设备。
配置macOS设备策略
使用这些策略配置端点管理与运行macOS的设备的交互方式。该表列出了macOS设备可用的所有设备策略。
| AirPlay镜像 | 应用库存 | 应用程序卸载 |
| 日历(CalDAV) | 联系人(CardDAV) | 凭证 |
| 设备名称 | 交换 | FileVault |
| 防火墙 | 字体 | 导入iOS和macOS配置文件 |
| LDAP | 邮件 | 网络 |
| 操作系统更新 | 密码 | 配置文件删除 |
| 限制 | 连 | VPN |
| Web剪辑 |
注册macOS设备
端点管理提供了两种方法来注册运行macOS的设备。这两种方法都允许macOS用户直接从他们的设备上进行空中注册。
向用户发送注册邀请:通过此方法,可以为macOS设备设置以下任何一种注册安全模式:
- 用户名+密码
- 用户名+ PIN
- 双因素身份验证
当用户按照注册邀请中的说明操作时,将出现一个填写了用户名的登录屏幕。
向用户发送注册链接:macOS设备的这种注册方法向用户发送一个注册链接,用户可以在Safari或Chrome浏览器中打开该链接。然后,用户通过提供用户名和密码进行注册。
若要防止macOS设备使用注册链接,请设置服务器属性,启用macOS OTAE来假.因此,macOS用户只能通过使用注册邀请来注册。
向macOS用户发送注册邀请
添加macOS用户注册邀请。看到入学邀请.
在用户收到邀请并单击链接后,Safari浏览器中将出现以下屏幕。端点管理填充用户名。如果你愿意两个因素对于注册安全模式,将出现另一个字段。
用户根据需要安装证书。是否提示安装证书取决于macOS是否配置了以下证书:公共信任的SSL证书和公共信任的数字签名证书。有关证书的信息,请参见证书和身份验证.
用户提供所请求的凭证。
安装Mac设备策略。您现在可以开始使用端点管理管理macOS设备,就像管理移动设备一样。
向macOS用户发送安装链接
发送报名链接
https://serverFQDN:8443/instanceName/macos/otae用户可以在Safari或Chrome浏览器中打开。- serverFQDN为运行Endpoint Management的服务器的全限定域名。
- 港口8443默认的安全端口。如果您配置了不同的端口,请使用该端口而不是8443。
- 的都,通常表示为
zdm,是安装服务器时指定的名称。
有关发送安装链接的详细信息,请参见发送安装链接.
用户根据需要安装证书。如果配置了iOS和macOS的公共信任SSL证书和数字签名证书,用户会看到安装证书的提示。有关证书的信息,请参见证书和身份验证.
用户登录他们的mac电脑。
安装Mac设备策略。您现在可以开始使用端点管理管理macOS设备,就像管理移动设备一样。
安全的行为
macOS支持以下安全操作。有关每个安全操作的描述,请参见安全的行为.
| 撤销 | 锁 | 选择性擦 |
| 全部擦 | 证书更新 | 旋转个人恢复钥匙 |
锁定macOS设备
您可以远程锁定丢失的macOS设备。终端管理锁定设备。然后它生成一个PIN码并将其设置在设备中。要访问设备,用户需要输入PIN码。使用取消锁定从端点管理控制台中移除锁。
您可以使用密码设备策略来配置更多与PIN码相关的设置。有关更多信息,请参见macOS设置.
点击管理>个设备.的设备页面出现。
选择需要锁定的macOS设备。
选中设备旁边的复选框,将在设备列表上方显示选项菜单。您还可以单击所列项目的其他位置,以显示列表右侧的选项菜单。
在选项菜单中,单击安全.的安全的行为对话框。
点击锁.的安全的行为系统弹出确认对话框。
点击锁定装置.
重要的是:
您还可以指定一个密码,而不是使用Endpoint Management生成的代码。如果指定的代码不符合设备或现有工作配置文件的代码要求,锁定操作将失败。
自举牌
当您登录到macOS设备时,引导令牌有助于将SecureToken macOS属性授予帐户。SecureToken从一个可信帐户传递到另一个可信帐户。启用securetoken的帐户可以在设备上执行加密操作。如果没有引导令牌,在添加单个用户帐户之前,您需要遵循复杂的工作流程在该设备上创建帐户。
端点管理支持通过Apple部署计划注册的macOS设备的托管引导令牌。您可以使用Apple部署计划注册直接从Apple、参与Apple的Apple授权经销商或运营商购买的macOS设备。有关加入Apple部署计划的信息,请参见通过Apple部署程序部署设备.
引导令牌是在安装助手工作流期间生成的。具体来说,它们是在创建本地用户帐户期间生成的。安装助手在用户第一次启动设备时运行。令牌保存在端点管理数据库中,对您和最终用户不可见。从端点管理站点删除设备会删除令牌。执行出厂重置不会删除它们。
先决条件:
- macOS 11.0及以上版本
- 安装Apple T2安全芯片的macOS设备
- 通过苹果部署计划注册的macOS设备
使用Endpoint Management托管引导令牌的一个好处是,可以为FileVault启用远程帐户,并能够解锁FileVault卷。有关FileVault的信息,请参见FileVault设备策略.