案例ios部署与管理

1、iOS部署和管理iOS部署概念部署流程123实现功能议程4总结移动设备管理MDM是一种专为 iOS 设备设计的内置轻量化框架，功能强大且可以扩展，足以配置和管理组织内的所有 iOS 设备，从而轻松管理 iOS 和 MacMDM 解决方案可与 iOS 无线交互，使组织能够在企业环境中安全地注册设备、以无线方式配置和更新设置、监控企业策略的遵守情况、部署免费 app 和企业内部 app，以及远程擦除等手段管理设备，无论设备是归用户所有还是组织所有，都能轻松实现。1.1 什么是移动设备管理iOS通过配置描述文件进行工作，配置描述文件是一种 XML 文件，可用于将配置信息分发到 iOS 设备。配置描述

2、文件可以自动配置设置、帐户、限制和凭证。你可以通过一系列管理技术简化 iOS 配置，这包括简化帐户设置、配置机构策略、分发免费 app 和企业内部 app，以及应用设备限制。使用 MDM 解决方案以无线方式进行配置。用户随后可使用 iOS 中内置的设置助理自行完成大部分初始设置工作。1.2 基本管理功能MDM 服务器注册推送APN防火墙1.3 MDM工作原理61.4Apple服务Apple 推送通知服务是远程通知功能的核心。这是一种稳健又高效的服务，可将信息传输至 iOS 和 OS X 设备。每台设备与该服务建立一个经过认证和加密的 IP 连接，并通过这个持久的连接来接收通知。如果某个 app

3、 的通知抵达而该 app 却不在运行，设备将提醒用户该 app 有等待处理的数据。APN 端口服务器 Outbound 2195、2196设备 Outbound 522371.5 实施步骤适于 OS X 的描述文件管理器第三方解决方案1.6 MDM解决方案用户可以选择Apple提供的Profile Manager进行管理用户也可以选择大量第三方公司提供的多种 MDM 解决方案。2.0 三种部署模型这里概述了三种部署模型。用户拥有（BYOD）公司拥有（个性化）公司拥有（非个性化或共享）102.1 用户拥有（BYOD）在自带设备部署模型中，用户使用自己的 Apple ID 设置个人设备。要获得企业

4、资源的访问权限，用户可以手动配置设置、安装配置描述文件，或者采用更常见的方法，在组织的 MDM 解决方案中注册设备。使用 MDM 注册个人设备的优势之一是，这样可以将企业资源与用户的个人数据和 app 区分开。你可以执行设置、监控用户行为是否符合企业规定并删除企业数据和 app，同时避免影响每位用户存储在设备上的个人数据和 app。典型用户场景：销售日常邮件、移动OA、移动CRM112.2公司拥有（个性化）你也可以使用个性化设备模型来部署组织拥有的 iOS 设备。你可以为设备配置基本的设置，然后将其交给用户，或者与 BYOD 一样，为用户提供说明或配置描述文件，由用户自行应用。另外，你还可以让

5、用户在 MDM 解决方案中注册设备，以便通过无线方式提供设置和 app。随后，用户可以使用自己的 app 和数据对其设备进行个性化设置，这些内容将始终与组织管理的 app 和数据区分开。也可以通过 Apple Configurator 将设备置于监管模式。典型用户场景：高管移动设备，学校教师设备 122.3 公司拥有（非个性化或共享）如果设备由多人共享或用于单一用途（例如，在餐厅或酒店中），它们通常由你（而不是单个用户）进行配置和管理。在非个性化设备部署模型中，用户一般无法存储个人数据或是安装 app。非个性化设备通常使用 Apple Configurator 进行监管，并且会在 MDM 解决

6、方案中注册。这样一来，设备上的内容就可以在被用户修改后进行刷新或恢复。典型用户场景：点餐设备、酒店客房iPad、展会展示设备限制查询命令内容设置3.0 MDM的主要功能在iOS MDM 框架中包含的主要功能。MDM 可自动设置组织用户的邮件、WiFi、VPN和设备密码等，从而帮助用户更快上手。借助 MDM，用户可以选择自助注册。当员工选择加入并在 MDM 服务器中进行注册时，系统将根据你的 MDM 解决方案中定义的用户和群组策略，自动在员工的设备上安装配置描述文件。3.1 MDM的主要功能-设置密码网页图标主界面布局单应用3.1.1 MDM的主要功能-设置（特色功能）MDM中包含近70多条限制

7、的策略，并且每个新版本在不断增加。通过MDM的限制功能可以允许或限制访问设备功能，例如限制截屏、限制摄像头使用、限制Safari使用等。除了常规策略，针对监管模式设备，MDM提供了更多的管理策略，例如禁止AppStore访问、禁止修改设备名称、禁止使用iCloud等3.2 MDM的主要功能限制禁止设备功能禁止拍照禁止应用安装。在主屏幕上显示或隐藏特定应用禁止设备还原3.2.1 MDM的主要功能限制（特色功能）MDM 服务器发送安装app的命令，设备接收后，即可进行app的安装。可以分发免费的 App Store app 和企业内部 app针对 BYOD 设备上会提示用户安装 app针对受监管设

8、备上以静默方式安装另外可以通过内部 app 门户交付3.3 MDM的主要功能内容应用静默推送电子书推送3.3.1 MDM的主要功能内容（特色功能）针对设备丢失或被盗等类似情况，可以使用擦除命令，远程擦除设备，设备上的所有媒体和数据并将其恢复为出厂设置。针对员工离职和违反策略的设备，可使用命令，仅使用 MDM 删除他们想要删除的特定配置描述文件、预置描述文件和托管 app。如果用户仍在寻找设备，IT 人员也可以选择向设备发送远程锁定命令。这样可以锁定屏幕，需要提供用户密码才能解锁。用户如果设备口令忘记，可以由IT人员发送清除密码命令，一次性删除密码，用户打开设备后，会提示输入设备密码。3.4 M

9、DM的主要功能命令锁屏清除密码重新命名更新信息3.4.1 MDM的主要功能命令(常用功能）MDM 服务器能够查询设备的各种信息。这包括序列号、设备 UDID 或 WLAN MAC 地址等硬件信息，以及 iOS 版本、限制和设备上安装的所有 app 的详细列表等软件信息。这些信息可用于确保用户始终使用符合规定的 app，并且在添加未经批准的内容时触发警告。借助 iOS，可以查询设备上次备份到 iCloud 的时间，以及已登录用户的 app 分配帐户哈希。3.5 MDM的主要功能查询设备信息收集安全隐患检查设备日常普查3.5.1 MDM的主要功能查询(常用功能）24允许屏幕快照和屏幕录像 允许通过

10、“课堂”进行屏幕观察* 允许AirDrop* 允许iMessage* 允许Apple Music* 允许广播* 设备锁定时允许语言拨号 允许Siri 允许使用相机 允许使用iBooks Store* 允许移除应用* 允许App内购买 所有购买都必须输入iTunes Store密钥 允许在漫游时自动同步 允许iCloud云备份 允许iCloud文稿与数据 允许iCloud钥匙串 允许被管理的应用将数据储存到iCloud 允许备份企业级图书 允许同步企业级图书的笔记和重点 允许iCloud照片共享 允许iCloud照片图库 允许“我的照片流” 允许使用Apple Configurator和iTun

11、es安装应用 强制加密备份 强制限制广告跟踪 允许抹掉所有内容和设置* 允许用户接受不信任的TLS证书 允许自动更新证书信任设置 允许信任新企业级应用作者 允许安装配置描述文件* 允许修改账户设置* 允许修改蜂窝移动数据应用设置* 允许修改设备名称* 允许修改“查找我的朋友”设置* 允许修改通知设置* 允许修改密码* 允许修改访问限制* 允许修改墙纸* 允许与未安装Configurator的主机配对* 允许未被管理的目的位置中包含来自被管理的来源中的文稿 允许被管理的目的位置中包含来自未被管理的来源中的文稿 将AirDrop视为未被管理的目的位置 允许使用Handoff 允许Spotlight

12、建议 允许向Apple发送诊断和使用数据 允许使用Touch ID解锁设备 强制Apple Watch进行手腕检测 允许与Apple Watch配对* 首次AirPlay配对时要求密码 允许使用输入预测键盘* 允许键盘快捷键* 允许自动改正* 允许拼写检查* 允许定义* 允许在锁定屏幕中显示Wallet通知 在锁定屏幕中显示控制中心 在锁定屏幕中显示通知中心 在锁定屏幕中显示今天视图 允许使用iTunes Store 允许使用Safari 自发单应用模式* 限制应用使用* 允许回放儿童不宜的音乐、播客和Itunes U 允许iBooks Store中暴露的性内容 允许使用News* 允许使用“

13、播客”* 全局HTTP代理 内容过滤器 证书 密码 Wi-Fi VPN Airplay AirPrint 日历 通讯录 Exchange ActiveSync 谷歌账户 LDAP 邮件 OS X Server SCEP 蜂窝移动网络 字体 通知* 锁屏信息* WebClip 单应用模式* 主屏幕布局 应用配置 单点登录 锁定 擦除 重新命名 更新信息 要求AirPlay镜像 停止AirPlay镜像 清除密码 清除访问限制密码 允许激活锁 清除激活锁 启用丢失模式 推送应用 推送图书 移除应用 移除图书 设备通用信息 设备详细信息 设备安全性 设备功能限制 设备已安装的应用 设备使用的证书iiOS MDM功能254.1 总结-iOS部署管理为IT带来的好处 设置简单、简化 帮助IT 提高工作效率 保护企业数据264.2 总结-iOS部署管理给用户带来的好处 保持出色的用户体验