Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
Apple 裝置的「受管理裝置證明」
「受管理裝置證明」為 iOS 16、iPadOS 16.1、macOS 14 和 tvOS 16 或以上版本中的功能。「受管理裝置證明」提供關於哪些裝置屬性可用作信任評估一部分的強力證據。此裝置屬性的加解密宣告以「安全隔離區」和 Apple 證明伺服器的安全性為基準。
受管理裝置證明會協助防範下列威脅:
遭盜用的裝置謊報其屬性
遭盜用的裝置提供過期的證明
遭盜用的裝置傳送其他裝置的識別碼
擷取專用密鑰以用於未經授權的裝置
劫持憑證要求的攻擊者欺騙 CA 將憑證發給攻擊者
如需更多資訊,請參閱 WWDC22 影片:裝置管理的新內容。
「受管理裝置證明」的支援硬體
證明只會核發給符合下列硬體需求的裝置:
iPhone、iPad 和 Apple TV 裝置:配備 A11 仿生或後續晶片。
Mac 電腦:配備 Apple 晶片。
Apple Watch 和 Apple Vision Pro 沒有「受管理裝置證明」的更動。
包含 ACME 憑證註冊要求的「受管理裝置證明」
組織的核發憑證授權管理中心(CA)ACME 服務可以要求註冊裝置屬性的證明。此證明會提供裝置屬性(例如序號)合格且非偽裝的強力保證。核發 CA 的 ACME 服務可用加解密方式驗證通過證明之裝置屬性的完整,並選擇是否針對組織的裝置庫存交互參照,以及一經成功驗證,即會確認該裝置為組織的裝置。
若已使用證明,作為憑證簽署要求的一部分,「安全隔離區」中會產生綁定硬體的專用密鑰。針對此要求,發出 ACME 的 CA 可以接著發出客戶端憑證。此密鑰會綁定至「安全隔離區」,因此只能在特定裝置上使用。此密鑰可搭配支援憑證識別身分規格的設定在 iPhone、iPad、Apple TV 和 Apple Watch 上使用。在 Mac 上,綁定硬體的密鑰可搭配 MDM、Microsoft Exchange、Kerberos、802.1X 網路、內建 VPN 用戶端和內建網路轉送用於認證。
【注意】即使在應用程式處理器遭盜用的情況下,「安全隔離區」仍可針對密鑰擷取提供極強的保護。
清除或回復裝置資料時,這些綁定硬體的金鑰會自動移除。由於金鑰已移除,回復完成後依賴這些金鑰的任何設定描述檔都會失效。必須重新套用描述檔才能重新製作金鑰。
使用 ACME 承載資料證明,MDM 可以使用 ACME 通訊協定註冊用段端憑證識別身分,而此通訊協定能以加解密方式驗證:
裝置為原廠 Apple 裝置
裝置為特定裝置
裝置受組織的 MDM 伺服器管理
裝置包含特定屬性(例如序號)
專用密鑰已綁定裝置硬體
包含 MDM 要求的「受管理裝置證明」
除了在 ACME 憑證註冊要求期間使用受管理裝置證明,MDM 解決方案可以發出 DeviceInformation 查詢要求 DevicePropertiesAttestation 屬性。若 MDM 解決方案要協助確認更新證明,可以傳送選用的 DeviceAttestationNonce 鍵,其會強制執行更新證明。若省略此鍵,裝置會傳回快取的證明。裝置證明回應接著會傳回包含其在自訂 OID 中之屬性的分葉憑證。
【注意】在使用「使用者註冊」來保護使用者的隱私權時,序號和 UDID 兩者都會被省略。其他值為匿名並包含 sepOS 版本和新生代碼的屬性。
MDM 解決方案可接著評估根目錄在預期之 Apple 憑證授權管理中心(可從 Apple 專用 PKI 儲存庫取得)的憑證鏈來驗證回應,並驗證新生代碼的雜湊與 DeviceInformation 查詢中所提供的新生代碼雜湊是否相同。
由於定義新生代碼會產生新證明,這會消耗裝置和 Apple 伺服器上的資源,因此目前限制為每部裝置每 7 天才能使用一次 DeviceInformation 證明。MDM 解決方案不應每 7 天便立即要求另外的證明。要求更新證明不會被視為必要,除非裝置的屬性已更改;例如,作業系統版本的更新或升級。而且偶爾隨機要求另外的證明可能會有助於發現正嘗試在這些屬性上謊報的遭盜用裝置。
處理失敗的證明
要求證明可能會失敗。發生此情況時,裝置仍會回應 DeviceInformation 查詢或 ACME 伺服器的 device-attest-01 盤查,但部分資訊會被省略。預期的 OID 或其值會被省略,或是證明會被整個省略。失敗的潛在原因有很多,例如:
連接 Apple 證明伺服器時發生網路問題
裝置硬體或軟體可能遭盜用
裝置為非原廠 Apple 硬體
在前 2 個案例中,Apple 證明伺服器對其無法驗證的屬性會拒絕核發證明。並沒有一種可靠的方式能讓 MDM 解決方案瞭解失敗的證明的確切原因。這是因為關於失敗的唯一資訊來源便是裝置本身,其可能是正在謊報的遭盜用裝置。有鑑於此,來自裝置的回應不會指出失敗的原因。
然而,當「受管理裝置證明」用作零信任架構的部分時,組織可以計算裝置的信任分數,而失敗或未預期失效的證明會降低該分數。降低的信任分數會觸發不同的動作,例如拒絕服務的取用權限,替裝置加上旗標進行手動調查,或視需要清除裝置並撤銷其憑證來強化合規。這可確保失敗的證明獲得適當的回應。