Apple 平台部署
- 歡迎使用
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
Apple 裝置的「自動憑證管理環境」(ACME)MDM 承載資料
你可以替在行動裝置管理(MDM)解決方案中註冊的 Apple 裝置配置「ACME 憑證」承載資料來從憑證授權管理中心(CA)取得憑證。ACME 為 SCEP 的現代化替用項目。即要求和安裝憑證的通訊協定。使用「受管理裝置證明」時會要求使用 ACME。
「ACME 憑證」承載資料支援以下項目。如需更多資訊,請參閱:承載資料資訊。
支援的承載資料識別碼:com.apple.security.acme
支援的作業系統和頻道:iOS、iPadOS、「共享的 iPad」裝置、macOS 裝置、macOS 使用者、tvOS、watchOS 10、visionOS 1.1。
支援的註冊類型:「使用者註冊」、「裝置註冊」、「自動裝置註冊」。
允許的重複項目:True:多個「ACME 憑證」承載資料可以傳送到裝置。
你可以搭配「ACME 憑證」承載資料使用下表中的設定。
設定 | 說明 | 必要 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
用戶端識別碼 | 辨識特定裝置的獨有字串。伺服器可能會將此用作反重播值來防止發出多個憑證。此識別碼也會對 ACME 伺服器表示裝置可取用企業基礎架構發出的有效用戶端識別碼。這可協助 ACME 伺服器判斷是否信任裝置。不過這是相對較弱的指示,因為有攻擊者可以攔截用戶端識別碼的風險。 | 是 | |||||||||
URL | ACME 伺服器的位址,包含 https://。 | 是 | |||||||||
延伸的密鑰用途 | 值為字串的陣列。每個字串都是點陣表示法中的 OID。例如,[”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] 表示用戶端認證和電子郵件保護。 | 否 | |||||||||
HardwareBound | 若加入,專用密鑰會綁定裝置。「安全隔離區」會產生密鑰配對,而且專用密鑰會以加密編譯的方式與系統密鑰纏結。這可防止系統輸出專用密鑰。 若加入,KeyType 必須為 ECSECPrimeRandom 而 KeySize 必須為 256 或 384。 | 是 | |||||||||
密鑰類型 | 要產生的密鑰配對類型:
| 是 | |||||||||
密鑰大小 | KeySize 的有效值會視 KeyType 和 HardwareBound 的值而定。 | 是 | |||||||||
標題 | 裝置會要求 ACME 伺服器發出的這個憑證主體。ACME 伺服器可能會覆蓋或忽略其所發出憑證中的此欄位。X.500 名稱的表示方式為一串 OID 和值的陣列。例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar 便會轉譯成:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | 否 | |||||||||
主題替用名稱類型 | 指定 ACME 伺服器的替用名稱類型。類型有 RFC 822 名稱、DNS 名稱以及「統一資源識別碼」(URI)。這可以是統一資源定位碼(URL)、統一資源名稱(URN),或包含兩者。 | 否 | |||||||||
使用方式旗標 | 此值為位元欄位。 位元 0x01 表示數位簽名。 位元 0x10 表示密鑰協定。 裝置會要求 ACME 伺服器發出的這個憑證密鑰。ACME 伺服器可能會覆蓋或忽略其所發出憑證中的此欄位。 | 否 | |||||||||
證明 | 若為 True,裝置會提供描述裝置和產生之密鑰的證明給 ACME 伺服器。伺服器可將證明用作密鑰已綁定裝置且裝置包含證明中所列之屬性的強力證據。伺服器可將此用作信任分數的一部分來決定是否核發要求的憑證。 Attest 為 True 時,HardwareBound 也必須為 True。 | 否 |
【注意】各 MDM 廠商對這些設定的實作方式有所不同。若要瞭解各種「ACME 憑證」設定如何套用到裝置,請參閱 MDM 廠商的文件。