展碁國際 KS010S KB

KS010S WordPress site

MDM server傳送描述檔和指令的流程

· 已發表 · 已更新

  1. 管理員傳送一個設定描述檔(Configuration Profile)到使用者的iOS裝置上。
  2. 使用者安裝該設定描述檔。
  3. 該台iOS裝置向MDM server註冊,開始被監管。
  4. MDM server透過Apple Push Notification Service發送推播訊息到給iOS裝置,請裝置向server確認是否有新的指令或query。
  5. iOS裝置藉由HTTPS和MDM server連接,MDM server傳送指令給裝置、或是向裝置要求回傳資訊。

Apple Push Notification

當MDM server要和iOS裝置溝通,Apple Push Notification會送一則通知給在螢幕鎖定中的iOS裝置,請iOS裝置向MDM server做check in,看看有沒有新的環境設定、或工作任務需要被推送到裝置上。

如果iOS裝置決定接收新的資料,Configuration Profile及其他設定,會在背景用被SSL/TLS加密的方式在裝置和MDM server之間做傳輸。

為了讓Apple Push Notification服務正確辨認來自MDM server送出的指令,必須申請及下載Apple Push Certificate,將其安裝到MDM server中,如此才能讓iOS裝置向MDM server註冊。

網路設定

  1. MDM server最好是連接到一個固定網域,而非一個IP位置。(The IP address range for the push service is subject to change; the expectation is that an MDM server will connect by hostname rather than by IP address. The push service uses a load-balancing scheme that yields a different IP address for the same hostname. This hostname is gateway.push.apple.com (and gateway.sandbox.push.apple.com for the development push notification environment). Additionally, the entire 17.0.0.0/8 address block is assigned to Apple so firewall rules can be established to specify that range)
  2. 把這台MDM server建置在企業內部時,建議打開以下port:
    • Port TCP 80 (http)
    • Port TCP 443 (https)
    • Port TCP 1640 (SCEP)
    • Port TCP 5223 (APNS)
      • 讓iOS裝置連接到push service。
    • Port TCP 2195 (APNS)
      • 讓MDM server傳送通知到Apple Push Notification service。
    • Port TCP 2196 (APNS)
    • feedback service

註冊

iOS裝置註冊(Enrollment) 裝置註冊是讓iOS裝置接受被某台MDM server管理。可以把iOS裝置插線到電腦、或是用無線(Over-the-Air Enrollment)傳輸的方式來接收註冊描述檔(Enrollment Profile),多半都是後者,其流程包括:

  1. User Authentication
    • 管理員可透過email、簡訊、網頁、App來請使用者在iOS裝置上進行註冊。
  2. Certificate Enrollment
    • iOS會透過SCEP(Simple Certificate Enrollment Protocal)產生一個certificate enrollment request,這個request傳送到CA(Certificate Authority),接著使iOS裝置收到identity certificate。
  3. Device Configuration
    • 安裝好identity certificate後,iOS裝置就可以OTA收到加密過的環境設定(configuration information)。

使用者必須在iOS裝置上下載安裝由MDM server發出的profile(描述檔),接著該台裝置就會自動向MDM server進行註冊。註冊完成後,這台iOS裝置就能接收來從MDM server發出的環境設定、資訊更新、被遠端鎖定、被遠端清除資料等工作。

Related Posts Plugin for WordPress, Blogger...

Facebook 留言

則留言

您可能也會喜歡…

Social Media Auto Publish Powered By : XYZScripts.com