Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
Mac 上支持的智能卡功能
macOS 10.15 或更高版本内建对以下功能的支持:
认证:登录窗口、PKINIT、SSH、屏幕保护程序、Safari 浏览器、授权对话框以及支持 CryptoTokenKit 的第三方 App 中的认证
签名:“邮件”和支持 CryptoTokenKit 的第三方 App
加密:“邮件”、“钥匙串访问”和支持 CryptoTokenKit 的第三方 App
【注】如果组织在早于 macOS 10.15 之前就已使用第三方软件,请谨记,旧有 tokend 支持会停用,基于 tokend 的解决方案也不再可用。
PIV 卡预置
若要配合 macOS 使用智能卡,插槽 9a(PIV 认证)和 9d(密钥管理)中必须填充合适的证书。作为选择,如果需要电子邮件或文稿签名等功能,证书应预置到插槽 9c(数字签名)中。
使用与 Active Directory 匹配的属性(于下文中讨论)时,PIV 认证证书中的 NT 主体名与 ActiveDirectory 属性 dsAttrTypeStandard:AltSecurityIdentities 中储存的值必须匹配且大小写一致。
认证
智能卡可用于双重认证。解锁卡片需要的两个要素包括“你有”(卡片)和“你知道”(PIN 码)。macOS 10.12.4 或更高版本原生支持智能卡和登录认证,以及使用 Safari 浏览器基于客户端证书进行的网站认证。macOS 还支持使用密钥对 (PKINIT) 进行 Kerberos 认证以单点登录到支持 Kerberos 的服务。
【注】如果将智能卡用于系统登录,请确保智能卡已同时使用证书授权和加密密钥正确预置。加密密钥用于封装钥匙串密码,缺少加密密钥会导致钥匙串提示反复出现。
数字签名和加密
在“邮件” App 中,用户可以发送经数字签名和加密的邮件。若要使用该功能,兼容的智能卡所附 PIV 令牌的数字签名和加密证书上需要有区分大小写的电子邮件地址主题或主题备用名称。如果配置的电子邮件账户匹配所附 PIV 令牌上数字签名或加密证书上的电子邮件地址,则“邮件”自动在新邮件工具栏中显示电子邮件签名按钮。锁定的锁图标表示邮件发送时采用了收件人的公共密钥加密。
钥匙串封装
对于账户登录,钥匙串密码封装功能的运行需要存在加密密钥,也称为密钥管理密钥。缺少密钥管理密钥会导致在整个登录会话中反复提示用户输入登录钥匙串密码,从而产生较差的用户体验。此外,在智能卡强制环境中也可能需要注意这方面的密码使用。如果用户通过智能卡登录时存在密钥管理密钥,将不会反复收到输入登录钥匙串密码的提示,则钥匙串体验与使用密码登录相差无几。
“智能卡”有效负载
Apple 开发者网站上的智能卡有效负载包含针对智能卡移动设备管理 (MDM) 的支持信息。智能卡支持包括以下功能:允许智能卡,强制使用智能卡,每个用户允许配对一张智能卡,证书信任检查,以及令牌移除操作(屏幕保护程序锁)。
【注】MDM 供应商可选择性执行“智能卡”有效负载。若要了解“智能卡”有效负载是否受支持,请参阅 MDM 供应商文稿。