Skip to content

术语表

核心 MDM 概念

MDM(移动设备管理) 一种让管理员能够通过无线方式远程管理、保护移动设备(iOS、macOS、Android、Windows)并强制执行策略的解决方案。

APNs(Apple 推送通知服务) Apple 向 Apple 设备推送通知的服务。MDM 服务器使用 APNs 唤醒设备,通知其检查新命令。

ABM / DEP(Apple 商务管理 / 设备注册计划) Apple 面向组织的设备管理门户。ABM 在设备首次设置时自动将其关联到 MDM 服务器,无需手动注册。DEP 是底层注册流程,现已整合到 ABM 中。

VPP(批量购买计划) Apple 批量购买应用并静默分配给设备或用户的计划。现已整合到 ABM 中,作为"App 与图书"功能。

SCEP(简单证书注册协议) 一种用于自动化证书颁发的协议。MDM 使用 SCEP 向设备推送身份证书,用于网络认证(Wi-Fi、VPN、电子邮件)。

OTA(空中升级) 任何通过无线方式交付的配置或软件更新,无需物理连接线缆。MDM 是一种 OTA 管理系统。

ADE(自动设备注册) DEP 注册的现代名称——一种零接触流程,用户首次开机时,通过 ABM 购买的设备会自动注册到 MDM。

GuardMDM 数据模型

蓝图 一种可复用的策略模板,将配置描述文件、应用、限制和设置打包在一起。分配给蓝图的设备会继承其中的所有内容。

设备组 按共同属性(如部门、操作系统版本、位置)分组的设备集合。策略和命令可以针对设备组而非单个设备执行。

注册 将设备注册到 MDM 服务器的过程。注册期间,设备会收到其身份证书、推送主题和初始配置。

设备安全状态

受监管 Apple 设备的一种更高权限管理模式。监管模式可以启用非监管设备上不可用的限制和设置(例如,阻止应用安装、始终开启 VPN、丢失模式)。ADE 注册的设备必须处于监管模式。

丢失模式 一种仅限监管设备的状态,可将设备锁定到自定义锁屏消息和联系电话。设备会定期报告其位置。

激活锁 "查找"功能的一项特性,将设备与所有者的 Apple ID 绑定。启用后,没有原始 Apple ID 就无法擦除或重新激活设备。MDM 可以绕过受监管的公司自有设备上的激活锁。

macOS 安全

FileVault macOS 全磁盘加密,使用 XTS-AES-128 算法。启用后,整个启动卷都会被加密。MDM 可以强制启用 FileVault 并托管恢复密钥。

SIP(系统完整性保护) macOS 安全功能,限制对受保护系统路径的写入权限,即使是 root 用户也无法写入。MDM 无法禁用 SIP,必须在 MDM 之外(恢复模式)进行管理。

认证与令牌

JWT(JSON Web 令牌) 一种紧凑的签名令牌格式,用于 API 认证。GuardMDM 使用 JWT 进行服务器间通信和 ABM 认证。

CSR(证书签名请求) 发送给证书颁发机构以请求签名身份证书的数据块。MDM 在 SCEP 注册期间生成 CSR 以获取设备证书。

架构

租户 GuardMDM 的一个隔离实例,拥有自己的设备、用户、蓝图和设置。每个租户对同一服务器上的其他租户不可见。

多租户 单个 GuardMDM 实例能够为多个独立组织(租户)提供服务,每个租户具有完全的数据隔离。

文件格式

plist(属性列表) Apple 的结构化数据格式(XML 或二进制),用于配置文件、偏好设置和配置描述文件。Apple MDM 负载的原生格式。

配置描述文件 一个 XML plist 文件(.mobileconfig),包含一个或多个负载(Wi-Fi、VPN、限制、证书)。设备安装描述文件以应用设置。Apple MDM 中策略交付的基本单元。

基于 MIT 许可证发布