案例ios部署與管理

1、iOS部署和管理iOS部署概念部署流程123實(shí)現(xiàn)功能議程4總結(jié)移動(dòng)設(shè)備管理MDM是一種專為 iOS 設(shè)備設(shè)計(jì)的內(nèi)置輕量化框架，功能強(qiáng)大且可以擴(kuò)展，足以配置和管理組織內(nèi)的所有 iOS 設(shè)備，從而輕松管理 iOS 和 MacMDM 解決方案可與 iOS 無線交互，使組織能夠在企業(yè)環(huán)境中安全地注冊(cè)設(shè)備、以無線方式配置和更新設(shè)置、監(jiān)控企業(yè)策略的遵守情況、部署免費(fèi) app 和企業(yè)內(nèi)部 app，以及遠(yuǎn)程擦除等手段管理設(shè)備，無論設(shè)備是歸用戶所有還是組織所有，都能輕松實(shí)現(xiàn)。1.1 什么是移動(dòng)設(shè)備管理iOS通過配置描述文件進(jìn)行工作，配置描述文件是一種 XML 文件，可用于將配置信息分發(fā)到 iOS 設(shè)備。配置描述

2、文件可以自動(dòng)配置設(shè)置、帳戶、限制和憑證。你可以通過一系列管理技術(shù)簡(jiǎn)化 iOS 配置，這包括簡(jiǎn)化帳戶設(shè)置、配置機(jī)構(gòu)策略、分發(fā)免費(fèi) app 和企業(yè)內(nèi)部 app，以及應(yīng)用設(shè)備限制。使用 MDM 解決方案以無線方式進(jìn)行配置。用戶隨后可使用 iOS 中內(nèi)置的設(shè)置助理自行完成大部分初始設(shè)置工作。1.2 基本管理功能MDM 服務(wù)器注冊(cè)推送APN防火墻1.3 MDM工作原理61.4Apple服務(wù)Apple 推送通知服務(wù)是遠(yuǎn)程通知功能的核心。這是一種穩(wěn)健又高效的服務(wù)，可將信息傳輸至 iOS 和 OS X 設(shè)備。每臺(tái)設(shè)備與該服務(wù)建立一個(gè)經(jīng)過認(rèn)證和加密的 IP 連接，并通過這個(gè)持久的連接來接收通知。如果某個(gè) app

3、 的通知抵達(dá)而該 app 卻不在運(yùn)行，設(shè)備將提醒用戶該 app 有等待處理的數(shù)據(jù)。APN 端口服務(wù)器 Outbound 2195、2196設(shè)備 Outbound 522371.5 實(shí)施步驟適于 OS X 的描述文件管理器第三方解決方案1.6 MDM解決方案用戶可以選擇Apple提供的Profile Manager進(jìn)行管理用戶也可以選擇大量第三方公司提供的多種 MDM 解決方案。2.0 三種部署模型這里概述了三種部署模型。用戶擁有（BYOD）公司擁有（個(gè)性化）公司擁有（非個(gè)性化或共享）102.1 用戶擁有（BYOD）在自帶設(shè)備部署模型中，用戶使用自己的 Apple ID 設(shè)置個(gè)人設(shè)備。要獲得企業(yè)

4、資源的訪問權(quán)限，用戶可以手動(dòng)配置設(shè)置、安裝配置描述文件，或者采用更常見的方法，在組織的 MDM 解決方案中注冊(cè)設(shè)備。使用 MDM 注冊(cè)個(gè)人設(shè)備的優(yōu)勢(shì)之一是，這樣可以將企業(yè)資源與用戶的個(gè)人數(shù)據(jù)和 app 區(qū)分開。你可以執(zhí)行設(shè)置、監(jiān)控用戶行為是否符合企業(yè)規(guī)定并刪除企業(yè)數(shù)據(jù)和 app，同時(shí)避免影響每位用戶存儲(chǔ)在設(shè)備上的個(gè)人數(shù)據(jù)和 app。典型用戶場(chǎng)景：銷售日常郵件、移動(dòng)OA、移動(dòng)CRM112.2公司擁有（個(gè)性化）你也可以使用個(gè)性化設(shè)備模型來部署組織擁有的 iOS 設(shè)備。你可以為設(shè)備配置基本的設(shè)置，然后將其交給用戶，或者與 BYOD 一樣，為用戶提供說明或配置描述文件，由用戶自行應(yīng)用。另外，你還可以讓

5、用戶在 MDM 解決方案中注冊(cè)設(shè)備，以便通過無線方式提供設(shè)置和 app。隨后，用戶可以使用自己的 app 和數(shù)據(jù)對(duì)其設(shè)備進(jìn)行個(gè)性化設(shè)置，這些內(nèi)容將始終與組織管理的 app 和數(shù)據(jù)區(qū)分開。也可以通過 Apple Configurator 將設(shè)備置于監(jiān)管模式。典型用戶場(chǎng)景：高管移動(dòng)設(shè)備，學(xué)校教師設(shè)備 122.3 公司擁有（非個(gè)性化或共享）如果設(shè)備由多人共享或用于單一用途（例如，在餐廳或酒店中），它們通常由你（而不是單個(gè)用戶）進(jìn)行配置和管理。在非個(gè)性化設(shè)備部署模型中，用戶一般無法存儲(chǔ)個(gè)人數(shù)據(jù)或是安裝 app。非個(gè)性化設(shè)備通常使用 Apple Configurator 進(jìn)行監(jiān)管，并且會(huì)在 MDM 解決

6、方案中注冊(cè)。這樣一來，設(shè)備上的內(nèi)容就可以在被用戶修改后進(jìn)行刷新或恢復(fù)。典型用戶場(chǎng)景：點(diǎn)餐設(shè)備、酒店客房iPad、展會(huì)展示設(shè)備限制查詢命令內(nèi)容設(shè)置3.0 MDM的主要功能在iOS MDM 框架中包含的主要功能。MDM 可自動(dòng)設(shè)置組織用戶的郵件、WiFi、VPN和設(shè)備密碼等，從而幫助用戶更快上手。借助 MDM，用戶可以選擇自助注冊(cè)。當(dāng)員工選擇加入并在 MDM 服務(wù)器中進(jìn)行注冊(cè)時(shí)，系統(tǒng)將根據(jù)你的 MDM 解決方案中定義的用戶和群組策略，自動(dòng)在員工的設(shè)備上安裝配置描述文件。3.1 MDM的主要功能-設(shè)置密碼網(wǎng)頁圖標(biāo)主界面布局單應(yīng)用3.1.1 MDM的主要功能-設(shè)置（特色功能）MDM中包含近70多條限制

7、的策略，并且每個(gè)新版本在不斷增加。通過MDM的限制功能可以允許或限制訪問設(shè)備功能，例如限制截屏、限制攝像頭使用、限制Safari使用等。除了常規(guī)策略，針對(duì)監(jiān)管模式設(shè)備，MDM提供了更多的管理策略，例如禁止AppStore訪問、禁止修改設(shè)備名稱、禁止使用iCloud等3.2 MDM的主要功能限制禁止設(shè)備功能禁止拍照禁止應(yīng)用安裝。在主屏幕上顯示或隱藏特定應(yīng)用禁止設(shè)備還原3.2.1 MDM的主要功能限制（特色功能）MDM 服務(wù)器發(fā)送安裝app的命令，設(shè)備接收后，即可進(jìn)行app的安裝。可以分發(fā)免費(fèi)的 App Store app 和企業(yè)內(nèi)部 app針對(duì) BYOD 設(shè)備上會(huì)提示用戶安裝 app針對(duì)受監(jiān)管設(shè)

8、備上以靜默方式安裝另外可以通過內(nèi)部 app 門戶交付3.3 MDM的主要功能內(nèi)容應(yīng)用靜默推送電子書推送3.3.1 MDM的主要功能內(nèi)容（特色功能）針對(duì)設(shè)備丟失或被盜等類似情況，可以使用擦除命令，遠(yuǎn)程擦除設(shè)備，設(shè)備上的所有媒體和數(shù)據(jù)并將其恢復(fù)為出廠設(shè)置。針對(duì)員工離職和違反策略的設(shè)備，可使用命令，僅使用 MDM 刪除他們想要?jiǎng)h除的特定配置描述文件、預(yù)置描述文件和托管 app。如果用戶仍在尋找設(shè)備，IT 人員也可以選擇向設(shè)備發(fā)送遠(yuǎn)程鎖定命令。這樣可以鎖定屏幕，需要提供用戶密碼才能解鎖。用戶如果設(shè)備口令忘記，可以由IT人員發(fā)送清除密碼命令，一次性刪除密碼，用戶打開設(shè)備后，會(huì)提示輸入設(shè)備密碼。3.4 M

9、DM的主要功能命令鎖屏清除密碼重新命名更新信息3.4.1 MDM的主要功能命令(常用功能）MDM 服務(wù)器能夠查詢?cè)O(shè)備的各種信息。這包括序列號(hào)、設(shè)備 UDID 或 WLAN MAC 地址等硬件信息，以及 iOS 版本、限制和設(shè)備上安裝的所有 app 的詳細(xì)列表等軟件信息。這些信息可用于確保用戶始終使用符合規(guī)定的 app，并且在添加未經(jīng)批準(zhǔn)的內(nèi)容時(shí)觸發(fā)警告。借助 iOS，可以查詢?cè)O(shè)備上次備份到 iCloud 的時(shí)間，以及已登錄用戶的 app 分配帳戶哈希。3.5 MDM的主要功能查詢?cè)O(shè)備信息收集安全隱患檢查設(shè)備日常普查3.5.1 MDM的主要功能查詢(常用功能）24允許屏幕快照和屏幕錄像 允許通過

10、“課堂”進(jìn)行屏幕觀察* 允許AirDrop* 允許iMessage* 允許Apple Music* 允許廣播* 設(shè)備鎖定時(shí)允許語言撥號(hào) 允許Siri 允許使用相機(jī) 允許使用iBooks Store* 允許移除應(yīng)用* 允許App內(nèi)購買 所有購買都必須輸入iTunes Store密鑰 允許在漫游時(shí)自動(dòng)同步 允許iCloud云備份 允許iCloud文稿與數(shù)據(jù) 允許iCloud鑰匙串 允許被管理的應(yīng)用將數(shù)據(jù)儲(chǔ)存到iCloud 允許備份企業(yè)級(jí)圖書 允許同步企業(yè)級(jí)圖書的筆記和重點(diǎn) 允許iCloud照片共享 允許iCloud照片圖庫 允許“我的照片流” 允許使用Apple Configurator和iTun

11、es安裝應(yīng)用 強(qiáng)制加密備份 強(qiáng)制限制廣告跟蹤 允許抹掉所有內(nèi)容和設(shè)置* 允許用戶接受不信任的TLS證書 允許自動(dòng)更新證書信任設(shè)置 允許信任新企業(yè)級(jí)應(yīng)用作者 允許安裝配置描述文件* 允許修改賬戶設(shè)置* 允許修改蜂窩移動(dòng)數(shù)據(jù)應(yīng)用設(shè)置* 允許修改設(shè)備名稱* 允許修改“查找我的朋友”設(shè)置* 允許修改通知設(shè)置* 允許修改密碼* 允許修改訪問限制* 允許修改墻紙* 允許與未安裝Configurator的主機(jī)配對(duì)* 允許未被管理的目的位置中包含來自被管理的來源中的文稿 允許被管理的目的位置中包含來自未被管理的來源中的文稿 將AirDrop視為未被管理的目的位置 允許使用Handoff 允許Spotlight

12、建議 允許向Apple發(fā)送診斷和使用數(shù)據(jù) 允許使用Touch ID解鎖設(shè)備 強(qiáng)制Apple Watch進(jìn)行手腕檢測(cè) 允許與Apple Watch配對(duì)* 首次AirPlay配對(duì)時(shí)要求密碼 允許使用輸入預(yù)測(cè)鍵盤* 允許鍵盤快捷鍵* 允許自動(dòng)改正* 允許拼寫檢查* 允許定義* 允許在鎖定屏幕中顯示W(wǎng)allet通知 在鎖定屏幕中顯示控制中心 在鎖定屏幕中顯示通知中心 在鎖定屏幕中顯示今天視圖 允許使用iTunes Store 允許使用Safari 自發(fā)單應(yīng)用模式* 限制應(yīng)用使用* 允許回放兒童不宜的音樂、播客和Itunes U 允許iBooks Store中暴露的性內(nèi)容 允許使用News* 允許使用“

13、播客”* 全局HTTP代理 內(nèi)容過濾器 證書 密碼 Wi-Fi VPN Airplay AirPrint 日歷 通訊錄 Exchange ActiveSync 谷歌賬戶 LDAP 郵件 OS X Server SCEP 蜂窩移動(dòng)網(wǎng)絡(luò) 字體 通知* 鎖屏信息* WebClip 單應(yīng)用模式* 主屏幕布局 應(yīng)用配置 單點(diǎn)登錄 鎖定 擦除 重新命名 更新信息 要求AirPlay鏡像 停止AirPlay鏡像 清除密碼 清除訪問限制密碼 允許激活鎖 清除激活鎖 啟用丟失模式 推送應(yīng)用 推送圖書 移除應(yīng)用 移除圖書 設(shè)備通用信息 設(shè)備詳細(xì)信息 設(shè)備安全性 設(shè)備功能限制 設(shè)備已安裝的應(yīng)用 設(shè)備使用的證書iiOS MDM功能254.1 總結(jié)-iOS部署管理為IT帶來的好處 設(shè)置簡(jiǎn)單、簡(jiǎn)化 幫助IT 提高工作效率 保護(hù)企業(yè)數(shù)據(jù)264.2 總結(jié)-iOS部署管理給用戶帶來的好處 保持出色的用戶體驗(yàn)