Skip to content

OTA 注册

什么是 OTA 注册

OTA(Over-The-Air,空中下载)注册 允许设备在不连接物理配置系统或 Apple Business Manager 的情况下注册到 GuardMDM。用户只需在设备上打开一个 URL,下载并安装管理描述文件,设备便会自动完成注册。

OTA 注册主要用于以下场景:

  • BYOD(自带设备) — 不在 ABM 中的个人设备
  • 远程办公人员 — 无法进行物理配置的设备
  • 旧设备 — 未在 Apple Business Manager 中注册的设备
  • 测试与预演 — 用于评估或开发的快速注册

与 ADE 注册不同,OTA 注册不会自动监督设备。如果需要监督,必须单独应用。

生成注册令牌

GuardMDM 使用基于 JWT(JSON Web Token) 的注册令牌。每个令牌编码了注册配置,并具有可配置的过期时间。

创建令牌

导航至 注册 > OTA > 令牌,然后点击 生成 Token

字段说明
名称令牌的标签(例如"工程部 BYOD")
过期时间令牌的有效时长(例如 24 小时、7 天、永不过期)
分组分配新设备将被添加到的设备组
SCEP 描述文件用于证书注册的 SCEP 描述文件(可选)
最大使用次数限制可使用此令牌注册的设备数量(0 = 无限制)

令牌结构

JWT 令牌包含:

json
{
  "sub": "org_abc123",
  "name": "Engineering BYOD",
  "exp": 1719878400,
  "group_id": "grp_456",
  "scep_profile": "scep_def",
  "max_uses": 100,
  "jti": "unique-token-id"
}

该令牌使用 GuardMDM 的私钥签名,并由注册端点验证。

二维码快速注册

每个注册令牌可以生成为 二维码,方便快速扫描。这非常适合现场入职或印刷材料。

生成二维码:

  1. 前往 注册 > OTA > 令牌
  2. 点击目标令牌旁边的二维码图标
  3. 下载二维码图片(PNG 或 SVG 格式)

二维码编码了完整的注册 URL。使用设备相机扫描后,会在 Safari 中打开注册页面。

远程用户的注册 URL

每个令牌会生成一个唯一的注册 URL:

https://mdm.example.com/enroll?token=eyJhbGciOiJSUzI1NiIs...

此 URL 可以通过以下方式分享:

  • 通过电子邮件发送给远程用户
  • 在公司门户中共享
  • 嵌入内部 Wiki
  • 通过即时通讯应用发送(Slack、Teams)

注册页面支持移动端响应式布局,适用于 iOS、iPadOS 和 macOS。

注册流程

OTA 注册过程遵循以下步骤:

分步说明

  1. 用户在设备上打开注册 URL(iOS/iPadOS 使用 Safari,macOS 使用 Safari 或任意浏览器)

  2. GuardMDM 验证令牌 — 检查过期时间、最大使用次数和签名有效性

  3. 描述文件下载 — 浏览器下载一个 .mobileconfig 描述文件,包含:

    • MDM 服务器 URL
    • 身份证书(如果配置了 SCEP)
    • 信任锚点(根 CA 证书)
    • 注册挑战(JWT 令牌)
  4. 描述文件安装 — 系统提示用户前往 设置 > 通用 > VPN 与设备管理 安装描述文件。在 macOS 上,系统设置会自动打开。

  5. 设备注册 — 安装描述文件后,设备联系 GuardMDM,交换证书并完成注册

  6. 策略应用 — GuardMDM 将分配组中的策略、配置和应用应用到设备

iOS/iPadOS 上的用户体验

macOS 上的用户体验

设置过程中的 SCEP 证书注册

SCEP(简单证书注册协议) 允许设备在注册过程中请求唯一的身份证书。用于:

  • 设备身份 — 每台设备获得唯一的证书用于身份验证
  • TLS 双向认证 — 设备使用其证书向 GuardMDM 进行身份验证
  • 每设备策略 — 证书可以编码设备特定的属性

为 OTA 配置 SCEP

  1. 前往 注册 > SCEP 并创建 SCEP 描述文件
  2. 配置 SCEP 服务器 URL、CA 指纹和挑战类型
  3. 将 SCEP 描述文件分配给注册令牌

配置 SCEP 后,注册流程会增加一个额外步骤:

SCEP 挑战类型:

类型说明
静态嵌入在描述文件中的预共享密码
动态每次注册生成的一次性挑战
基于令牌JWT 令牌本身作为挑战

验证注册

注册完成后,请验证设备是否已被正确管理。

在 GuardMDM 中

  1. 前往 设备 并找到新注册的设备
  2. 检查设备状态是否显示为 已管理已注册
  3. 验证分配的分组、策略和配置是否已应用
  4. 查看 注册日志 中是否有任何错误或警告

在设备上

iOS/iPadOS:

  • 前往 设置 > 通用 > VPN 与设备管理
  • GuardMDM 描述文件应显示绿色勾选标记
  • 点击描述文件查看已安装的配置和限制

macOS:

  • 前往 系统设置 > 隐私与安全性 > 描述文件
  • GuardMDM 管理描述文件应显示为 已验证

常见问题

问题原因解决方法
描述文件无法安装令牌已过期生成新令牌
"无效描述文件"警告令牌签名无效重新生成令牌
设备注册但显示"未管理"SCEP 证书未颁发检查 SCEP 服务器连接
注册卡在"正在配置设备"网络连接问题确保设备可以访问 GuardMDM
描述文件不受信任根 CA 未安装先安装根 CA 描述文件

下一步: 注册验证与故障排除

基于 MIT 许可证发布