Configurările sarcinii MDM Certificate pentru dispozitivele Apple
Puteți defini configurările Certificate pe dispozitive iPhone, iPad, Mac și Apple TV înscrise într-o soluție de gestionare a dispozitivelor mobile (MDM). Utilizați sarcinile Certificate pentru a adăuga certificate și o identitate pe dispozitiv.
Sarcinile Certificate sunt compatibile cu următoarele. Pentru mai multe informații, consultați Informațiile sarcinii.
Identificatori acceptați pentru sarcină: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Sisteme de operare și canale compatibile: iOS, iPadOS, dispozitiv iPad partajat, dispozitiv macOS, utilizator macOS, tvOS, watchOS 10, visionOS 1.1.
Tipuri de înscriere acceptate: înscrierea utilizatorilor, înscrierea dispozitivelor, înscrierea automată a dispozitivelor.
Duplicate permise: Adevărat - mai multe sarcini Certificate pot fi livrate unui utilizator sau dispozitiv.
Puteți utiliza configurările din tabelul de mai jos cu sarcinile Certificate.
Configurare | Descriere | Obligatoriu | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | Numele afișat pentru certificat. | Da | |||||||||
Certificate or identity data | Dispozitivele iPhone, iPad, Mac și Apple TV pot utiliza certificate X.509 cu chei RSA. Formatele și extensiile de fișier recunoscute sunt:
Fișierele PKCS #12 includ și cheia privată și conțin exact o identitate. Pentru a asigura protecția cheii private, fișierele PKCS #12 sunt criptate cu o frază de acces. | Da | |||||||||
Passphrase | O frază de acces care este utilizată pentru asigurarea acreditărilor. | Nu | |||||||||
Notă: Fiecare furnizor MDM implementează aceste configurări în mod diferit. Pentru a afla cum sunt aplicate diferitele configurări Certificate pentru dispozitivele și utilizatorii dvs., consultați documentația oferită de furnizorul soluției MDM.
La adăugarea unui certificat sau a unei identități
Când instalați un certificat rădăcină, puteți să instalați și certificatele intermediare pentru a stabili un lanț către un certificat de încredere care se află pe dispozitiv. Acest lucru poate fi important pentru tehnologii precum 802.1X. Pentru a vizualiza o listă a rădăcinilor preinstalate pentru dispozitive Apple, consultați articolul de asistență Apple Lista certificatelor rădăcină de încredere disponibile în iOS 17, iPadOS 17, macOS 14, tvOS 17 și watchOS 10.
Dacă certificatul sau identitatea pe care doriți să le instalați se află în portcheiul dvs., utilizați aplicația Acces portchei pentru a le exporta în formatul PKCS #12 (.p12). Aplicația Acces portchei se află în /Aplicații/Utilitare/. Pentru mai multe informații, consultați Manual de utilizare Acces portchei.
Pentru a adăuga o identitate de utilizat cu Microsoft Exchange sau Exchange ActiveSync, autentificarea unică, VPN și rețea sau Wi-Fi, utilizați sarcina specifică respectivă.
La implementarea unui fișier PKCS #12 (.p12 sau .pfx), dacă omiteți fraza de acces a identității certificatului, utilizatorilor li se solicită să o introducă atunci când profilul este instalat. Conținutul sarcinii este mascat, dar nu criptat. Dacă includeți fraza de acces, asigurați-vă că profilul este disponibil doar utilizatorilor autorizați.
În locul instalării certificatelor folosind un profil de configurare, puteți lăsa utilizatorii să utilizeze Safari pentru a descărca certificatele pe dispozitivul lor dintr-o pagină web folosind certificatul respectiv (nu se recomandă să găzduiți certificatul). Sau puteți să trimiteți certificatele utilizatorilor într-un mesaj e-mail. De asemenea, puteți utiliza configurările sarcinii MDM SCEP (Simple Certificate Enrollment Protocol) pentru a specifica modul în care dispozitivul obține certificatele când profilul este instalat.
Încrederea în certificat
Un certificat se bucură de încredere completă dacă este:
Instalat de o instanță Apple Configurator care are aceeași identitate de supervizare ca dispozitivul
Instalat automat dintr‑o soluție MDM compatibilă.
Instalat manual de o sarcină atașată unui profil de înscriere dintr‑o soluție MDM compatibilă.
Ca bună practică, evitați instalarea manuală a certificatelor de către utilizatori. În schimb, asigurați-vă că sarcina Certificate este în profilul de înscriere MDM pentru a elimina etapa pentru acordarea încrederii certificatului în mod manual.