Položky nastavení MDM v datové části Certificates pro zařízení Apple
Na iPhonech, iPadech, počítačích Mac a Apple TV zaregistrovaných ve službě správy mobilních zařízení (MDM) můžete konfigurovat nastavení certifikátů. Prostřednictvím datových částí Certificates můžete do zařízení přidat certifikáty a identitu.
Datové části Certificates podporují níže uvedené položky. Další informace najdete v části Informace o datových částech.
Podporované identifikátory datové části: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Podporované operační systémy a kanály: Systémy iOS, iPadOS, sdílený iPad (zařízení), macOS zařízení, uživatel systému macOS, systémy tvOS, watchOS 10, visionOS 1.1
Podporované typy registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jeden uživatel nebo zařízení může obdržet více datových částí Certificates.
V datových částech Certificates lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | Zobrazovaný název certifikátu. | Ano | |||||||||
Certificate or identity data | iPhony, iPady, počítače Mac a Apple TV můžou používat certifikáty X.509 s RSA klíči. Formáty a rozpoznávané přípony souborů jsou následující:
Soubory PKCS #12 zahrnují také soukromý klíč a obsahují právě jednu identitu. Kvůli zajištění ochrany soukromého klíče jsou soubory PKCS #12 zašifrovány s použitím přístupového hesla. | Ano | |||||||||
Passphrase | Přístupové heslo používané k zabezpečení přihlašovacích údajů. | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se různé položky nastavení v datové části Certificates uplatní na vaše zařízení a uživatele, najdete v dokumentaci od dodavatele služby MDM.
When adding a certificate or identity
Pokud nainstalujete kořenový certifikát, můžete také nainstalovat zprostředkující certifikáty pro vytvoření řetězce pro některý důvěryhodný certifikát na zařízení. To může být důležité pro technologie jako 802.1X. Seznam předinstalovaných kořenových certifikátů pro zařízení Apple a další informace najdete v článku podpory Apple Seznam dostupných důvěryhodných kořenových certifikátů v iOS 17, iPadOS 17, macOS 14, tvOS 17 a watchOS 10.
Když se certifikát nebo identita, které chcete nainstalovat, nacházejí ve vašem svazku klíčů, vyexportujte je v Klíčence ve formátu PKCS #12 (.p12). Klíčenku najdete ve složce /Aplikace/Utility/. Další informace najdete v Uživatelské příručce pro aplikaci Klíčenka.
Chcete‑li přidat identitu určenou pro Microsoft Exchange nebo Exchange ActiveSync, jednotné přihlášení, VPN, síť nebo Wi‑Fi, použijte příslušnou datovou část.
Pokud při nasazení souboru PKCS #12 (.p12 nebo .pfx) vynecháte přístupové heslo pro identitu certifikátu, budou uživatelé k jeho zadání vyzváni při instalaci profilu. Obsah datové části je skrytý ale ne zašifrovaný. Když přidáte přístupové heslo, mějte na paměti, že profil bude dostupný jen autorizovaným uživatelům.
Namísto instalace certifikátů pomocí konfiguračního profilu můžete uživatelům umožnit stahování certifikátů v Safari do jejich zařízení z webové stránky, na níž je tento certifikát použit (neměli byste být hostitelem tohoto certifikátu). Certifikáty můžete uživatelům posílat také v mailových zprávách. Způsob, jakým má zařízení při instalaci profilu certifikáty získávat, můžete určit také pomocí nastavení MDM v datové části SCEP (Simple Certificate Enrollment Protocol).
Důvěryhodnost certifikátů
Certifikátu bude udělena plná důvěra, pokud pro něj platí, že:
Je nainstalován instancí Apple Configuratoru, která má stejnou dohledovou identitu jako dané zařízení
Je nainstalován automaticky z podporované služby MDM.
Je nainstalován ručně pomocí datové části připojené k registračnímu profilu z podporované služby MDM.
Situacím, kdy je ruční instalace certifikátů ponechána na uživatelích, je doporučeno se vyhýbat. Namísto toho přidejte do profilu registrace MDM datovou část Certificates, což odstraní nutnost potvrdit důvěryhodnost certifikátu ručně.