OTA 注册
什么是 OTA 注册
OTA(Over-The-Air,空中下载)注册 允许设备在不连接物理配置系统或 Apple Business Manager 的情况下注册到 GuardMDM。用户只需在设备上打开一个 URL,下载并安装管理描述文件,设备便会自动完成注册。
OTA 注册主要用于以下场景:
- BYOD(自带设备) — 不在 ABM 中的个人设备
- 远程办公人员 — 无法进行物理配置的设备
- 旧设备 — 未在 Apple Business Manager 中注册的设备
- 测试与预演 — 用于评估或开发的快速注册
与 ADE 注册不同,OTA 注册不会自动监督设备。如果需要监督,必须单独应用。
生成注册令牌
GuardMDM 使用基于 JWT(JSON Web Token) 的注册令牌。每个令牌编码了注册配置,并具有可配置的过期时间。
创建令牌
导航至 注册 > OTA > 令牌,然后点击 生成 Token。
| 字段 | 说明 |
|---|---|
| 名称 | 令牌的标签(例如"工程部 BYOD") |
| 过期时间 | 令牌的有效时长(例如 24 小时、7 天、永不过期) |
| 分组分配 | 新设备将被添加到的设备组 |
| SCEP 描述文件 | 用于证书注册的 SCEP 描述文件(可选) |
| 最大使用次数 | 限制可使用此令牌注册的设备数量(0 = 无限制) |
令牌结构
JWT 令牌包含:
{
"sub": "org_abc123",
"name": "Engineering BYOD",
"exp": 1719878400,
"group_id": "grp_456",
"scep_profile": "scep_def",
"max_uses": 100,
"jti": "unique-token-id"
}该令牌使用 GuardMDM 的私钥签名,并由注册端点验证。
二维码快速注册
每个注册令牌可以生成为 二维码,方便快速扫描。这非常适合现场入职或印刷材料。
生成二维码:
- 前往 注册 > OTA > 令牌
- 点击目标令牌旁边的二维码图标
- 下载二维码图片(PNG 或 SVG 格式)
二维码编码了完整的注册 URL。使用设备相机扫描后,会在 Safari 中打开注册页面。
远程用户的注册 URL
每个令牌会生成一个唯一的注册 URL:
https://mdm.example.com/enroll?token=eyJhbGciOiJSUzI1NiIs...此 URL 可以通过以下方式分享:
- 通过电子邮件发送给远程用户
- 在公司门户中共享
- 嵌入内部 Wiki
- 通过即时通讯应用发送(Slack、Teams)
注册页面支持移动端响应式布局,适用于 iOS、iPadOS 和 macOS。
注册流程
OTA 注册过程遵循以下步骤:
分步说明
用户在设备上打开注册 URL(iOS/iPadOS 使用 Safari,macOS 使用 Safari 或任意浏览器)
GuardMDM 验证令牌 — 检查过期时间、最大使用次数和签名有效性
描述文件下载 — 浏览器下载一个
.mobileconfig描述文件,包含:- MDM 服务器 URL
- 身份证书(如果配置了 SCEP)
- 信任锚点(根 CA 证书)
- 注册挑战(JWT 令牌)
描述文件安装 — 系统提示用户前往 设置 > 通用 > VPN 与设备管理 安装描述文件。在 macOS 上,系统设置会自动打开。
设备注册 — 安装描述文件后,设备联系 GuardMDM,交换证书并完成注册
策略应用 — GuardMDM 将分配组中的策略、配置和应用应用到设备
iOS/iPadOS 上的用户体验
macOS 上的用户体验
设置过程中的 SCEP 证书注册
SCEP(简单证书注册协议) 允许设备在注册过程中请求唯一的身份证书。用于:
- 设备身份 — 每台设备获得唯一的证书用于身份验证
- TLS 双向认证 — 设备使用其证书向 GuardMDM 进行身份验证
- 每设备策略 — 证书可以编码设备特定的属性
为 OTA 配置 SCEP
- 前往 注册 > SCEP 并创建 SCEP 描述文件
- 配置 SCEP 服务器 URL、CA 指纹和挑战类型
- 将 SCEP 描述文件分配给注册令牌
配置 SCEP 后,注册流程会增加一个额外步骤:
SCEP 挑战类型:
| 类型 | 说明 |
|---|---|
| 静态 | 嵌入在描述文件中的预共享密码 |
| 动态 | 每次注册生成的一次性挑战 |
| 基于令牌 | JWT 令牌本身作为挑战 |
验证注册
注册完成后,请验证设备是否已被正确管理。
在 GuardMDM 中
- 前往 设备 并找到新注册的设备
- 检查设备状态是否显示为 已管理 或 已注册
- 验证分配的分组、策略和配置是否已应用
- 查看 注册日志 中是否有任何错误或警告
在设备上
iOS/iPadOS:
- 前往 设置 > 通用 > VPN 与设备管理
- GuardMDM 描述文件应显示绿色勾选标记
- 点击描述文件查看已安装的配置和限制
macOS:
- 前往 系统设置 > 隐私与安全性 > 描述文件
- GuardMDM 管理描述文件应显示为 已验证
常见问题
| 问题 | 原因 | 解决方法 |
|---|---|---|
| 描述文件无法安装 | 令牌已过期 | 生成新令牌 |
| "无效描述文件"警告 | 令牌签名无效 | 重新生成令牌 |
| 设备注册但显示"未管理" | SCEP 证书未颁发 | 检查 SCEP 服务器连接 |
| 注册卡在"正在配置设备" | 网络连接问题 | 确保设备可以访问 GuardMDM |
| 描述文件不受信任 | 根 CA 未安装 | 先安装根 CA 描述文件 |
下一步: 注册验证与故障排除
