Impostazioni del payload MDM Certificati per i dispositivi Apple
Puoi configurare le impostazioni di Certificati sugli iPhone, sugli iPad, sulle Apple TV e sui Mac registrati a una soluzione di gestione dei dispositivi mobili (MDM). Utilizza i payload Certificati per aggiungere certificati e un’identità al dispositivo.
I payload Certificati supportano quanto segue. Per ulteriori informazioni, consulta Informazioni payload.
Identificatori payload supportati: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Sistemi operativi supportati e canali: iOS, iPadOS, dispositivo iPad condiviso, dispositivo macOS, utente macOS, tvOS, watchOS 10, visionOS 1.1.
Tipi di registrazione supportati: registrazione utente, registrazione dispositivo, registrazione automatica del dispositivo.
Duplicati consentiti: vero: è possibile fornire più di un payload Certificati a un utente o dispositivo.
Puoi utilizzare le impostazioni nella tabella di seguito con i payload Certificati.
Impostazione | Descrizione | Richiesta | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nome certificato | Il nome visualizzato per il certificato. | Sì | |||||||||
Dati identità o certificato | iPhone, iPad, Mac e Apple TV possono usare certificati X.509 con chiavi RSA. I formati e le estensioni file riconosciuti sono:
I file PKCS #12 includono anche la chiave privata e contengono esattamente un’identità. Per garantire la protezione della chiave privata, i file PKCS #12 sono codificati con una frase chiave. | Sì | |||||||||
Frase chiave | Una frase chiave usata per proteggere le credenziali. | No | |||||||||
Nota: ogni fornitore MDM implementa queste impostazioni in modo diverso. Per sapere come le diverse impostazioni Certificato vengono applicate ai tuoi dispositivi, consulta la documentazione del fornitore MDM.
Quando aggiungi un certificato o un’identità
Quando installi un certificato root, puoi anche installare i certificati intermedi per stabilire una catena di un certificato attendibile su quel dispositivo. Potrebbe essere importante per tecnologie come ad esempio 802.1X. Per visualizzare un elenco dei root preinstallati per i dispositivi Apple, consulta l’articolo del supporto Apple: Elenco di certificati root attendibili in iOS 17, iPadOS 17, macOS 14, tvOS 17 e watchOS 10.
Se il certificato o l’identità che desideri installare è nel portachiavi, utilizza Accesso Portachiavi per esportarlo informato PKCS #12 (.p12). Accesso Portachiavi si trova in /Applicazioni/Utility/. Per ulteriori informazioni, consulta il Manuale utente di Accesso Portachiavi.
Per aggiungere un’identità per l’utilizzo con Microsoft Exchange o Exchange ActiveSync, Single Sign-On, VPN e rete o Wi-Fi, utilizza l’apposito payload.
Quando distribuisci un file PKCS #12 (.p12 o .pfx), se ometti la frase chiave dell’identità del certificato, all’utente viene richiesto di inserirla quando viene installato il profilo. Il contenuto del payload è offuscato ma non codificato. Se includi la frase chiave, assicurati che il profilo sia disponibile solo per gli utenti autorizzati.
Invece di installare i certificati utilizzando un profilo di configurazione, puoi consentire agli utenti di usare Safari per scaricare i certificati sui loro dispositivi da una pagina web che utilizza tale certificato (si sconsiglia di archiviare il certificato online). In alternativa puoi inviare i certificati agli utenti in un messaggio email. Puoi anche utilizzare le impostazioni payload SCEP (Simple Certificate Enrollment Protocol) per specificare il modo in cui il dispositivo deve ottenere i certificati quando il profilo viene installato.
Attendibilità dei certificati
Un certificato dispone di attendibilità completa se viene:
Installato da un’istanza di Apple Configurator che dispone della stessa identità di supervisione del dispositivo.
Installato automaticamente da una soluzione MDM supportata.
Installato manualmente tramite un payload allegato a un profilo di registrazione da una soluzione MDM supportata.
In linea generale, evita l’installazione manuale dei certificati da parte degli utenti. Invece, accertati che il payload Certificati si trovai nel profilo di registrazione MDM per rimuovere il passo di autorizzazione manuale del certificato.