【Apple MDM】Apple MDM 環境建置後相關注意事項(含憑證更新)
※ 隨意變更相關資訊可能會導致相關憑證變更,進而使 iOS、macOS、tvOS 裝 置與 MDM 主機連線異常。
※ 若欲變更 mac mini (Apple MDM Server) 之 IP Address,請參閱文中說明!
1. 請勿隨意變更相關網路環境設置,避免MDM Server與受監管裝置連線運作異常。(防火牆、IPS/IDS…等)
2. 請勿變動 mac mini 伺服器主機相關設定項目,含主機名稱、電腦名稱、Internet 連線資訊。
3. 勿更改Apple 裝置通訊推播通知憑證 (APN) 設定。
4. 勿關閉【描述檔管理程式】。
5. 建置完成後,除非要重新進行ABM關聯設定,否則勿取消/關閉【Apple Business Manager】與【簽署設定描述檔】,避免設定失效使得所有受監管的裝置脫管。
6. 勿關閉 『Open Directory』,Open Directory 主要用於進行裝置登記時,所欲登入 採用的使用者及使用者群組之管理。(若無此設定,可忽略)
若欲變更 mac mini 之 IP Address (並非變更 DNS 的 FQDN 主機名稱), 請參照下方說明來進行變更。
1. 於 mac mini 主機的 macOS 系統偏好設定 → 網路 → 設定好新的 IP Address。
2. 開啟 macOS Server.app,點選左邊最上方的主機 icon。
3. 於右方視窗『概觀』頁面,點選【編輯主機名稱…】,依設定精靈來確認裡面 DNS 的 FQDN 主機名稱、新的 IP Address 資訊是否都正確。
4. 進行完整個設定精靈步驟後,將 mac mini 主機重新開機。
5. 確認 iOS 裝置管理、連線是否都是正常的。
※ 若 DNS 的 FQDN 主機名稱有修改,則需要將 macOS server 重新設定與部署iOS 裝置登記。
MDM macOS Server相關的憑證 & VPPToken更新:
1. Apple MDM裝置管理相關憑證更新:(2年期限)
※ 切勿於憑證過期後才進行更新,否則會造成所有受監管之裝置因憑證過期而脫管。若有此一狀況產生時,僅能於憑證更新後,再將所有受監管之裝置收回並重置(有時須透過Apple Configurator 2來進行重置),再進行一次裝置登記作業。
A. 開啟 macOS Server.app,點選左方列表中的【憑證】。
B. 於右方憑證視窗頁面中,先確認下方所列相關憑證之到期日是否將到期,若將到期,請分別點選該憑證後,再點選下方的【編輯圖示(筆的圖示)】。
![clip_image002[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0021.jpg "clip_image002[1]")
C. 開啟各別憑證後,點選左下方的【更新…】後,即可進行該憑證之更新作業。
![clip_image004[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0041.jpg "clip_image004[1]")
D. 更新完成後,檢視憑證到期日是否已往後延展。
![clip_image006[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0061.jpg "clip_image006[1]")
2. Apple 裝置通訊推播通知憑證(APNs)之更新:(1年期限)
A. 開啟 macOS Server.app,點選左方列表中的『描述檔管理程式』。
B. 於『描述檔管理程式』右方視窗頁面中,於下方『設定』處之『裝置通訊推播通知憑證』,點選『設定…』。
C. 於跳出來之『Apple 推播通知』視窗畫面中,點選【更新…】,更新前需要輸入Apple ID之密碼,確認Apple ID無誤後便會立刻進行更新。
![clip_image008[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0081.jpg "clip_image008[1]")
D. 更新完成後,檢視『到期日』處之日期是否有往後延展。點選【完成】結束更新作業。
![clip_image010[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0101.jpg "clip_image010[1]")
3. Apple裝置註冊計畫 (DEP) 伺服器代號更新:(1年期限)
A. 開啟 macOS Server.app,點選左方列表中的『描述檔管理程式』。
B. 於『描述檔管理程式』右方視窗頁面中,於右方『部署計劃』處,企業及政府組織為『Apple Business Manager』,教育單位為『Apple School Manager』,點選齊下方之『設定…』。
C. 於跳出來之『ABM/ASM』視窗畫面中,點選【替換代號…】。
![clip_image012[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0121.jpg "clip_image012[1]")
D. 點選【輸出…】將公用密鑰(.pem檔案) 存放於指定的位置(如:桌面等)。
![clip_image014[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0141.jpg "clip_image014[1]")
E. 使用瀏覽器,連線並登入至ABM (Apple Business Manager) 或ASM (Apple School Manager)。
F. 於ABM或ASM網頁頁面中,點選左下方的『設定』,再於『MDM伺服器』處,點選『您所建置的MDM伺服器名稱』,然後於該MDM伺服器的右方,會顯示『MDM伺服器資訊』,點選其右方之【編輯】。
![clip_image016[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0161.jpg "clip_image016[1]")
G. 於『MDM伺服器設定』處,點選【上傳新密鑰…】來將方才存放的公用密鑰(.pem檔案)上傳至此,上傳完成後,點選右上方的【套用】。
![clip_image018[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0181.jpg "clip_image018[1]")
H. 套用完成後,於所建置的MDM伺服器名稱下方,點選【下載代號】,點選後便會跳出視窗並提示須將新的伺服器代號上傳至企業內部的MDM伺服器主機中,此處請點選【下載伺服器代號】(.p7m檔案) 並將其存放於指定的位置(如:桌面等)。
![clip_image020[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0201.jpg "clip_image020[1]")
I. 回到描述檔管理程式,接續上述步驟D:輸出公用密鑰之步驟,點選【下一步】。
![clip_image022[1]](http://i-services.info/wordpress/wp-content/uploads/2019/09/clip_image0221.jpg "clip_image022[1]")
J. 於『代號檔案』處,點選【選擇…】來將方才存放的伺服器代號(.p7m檔案)上傳至此,上傳完成後,點選下方的【繼續】。
K. 公用密鑰與伺服器代號交換完成後,檢視『代號到期日』處之日期是否有往後延展。點選【完成】結束作業。
4. Apple大量採購計畫 (VPP) VPPToken更新:(1年期限)
A. 使用瀏覽器,連線並登入至ABM (Apple Business Manager) 或ASM (Apple School Manager)。
B. 於ABM或ASM網頁頁面中,點選左下角的『設定』,再於『個人設定』處,點選『App』,然後在最右方下拉至最下方,於『我的伺服器代號』處,點選右側的『下載』來下載新的VPP伺服器代號 (.vpptoken檔案)。
C. 開啟 macOS Server.app,點選左方列表中的『描述檔管理程式』。
D. 於『描述檔管理程式』右方視窗頁面中,於下方『部署計劃』處之『APP與書籍的大量採購』,點選『設定…』。
E. 於跳出來之『APP與書籍的大量採購』視窗畫面中,點選【替換代號…】。
F. 選擇方才下載的『VPP伺服器代號(.vpptoken檔案)』,將其上傳至此,上傳完成後,點選【繼續】。
G. 確認『代號到期日』處之日期是否有往後延展,點選【完成】來結束更新。
近期迴響