关于描述文件和有效负载

配置描述文件是由有效负载构成的 XML 文件,它将设置和授权信息载入到 Apple 设备中(如 iPhone、iPad、iPod touch、Mac 和 Apple TV)。描述文件管理器可以在任意的这些设备上创建和安装描述文件。

设置和授权信息可以包含:

  • 设备安全性策略和访问限制

  • VPN 配置信息

  • 网络设置

  • 邮件和日历帐户

  • 允许 iPad、iPhone、iPod touch 和 Mac 与企业系统和学校网络配合使用的鉴定凭证

配置描述文件可被加密和签名,以允许您将其限制用于特定的 Apple 设备并阻止除拥有用户名和密码外的任何人更改其中的设置。您还可以将描述文件标记为被锁定到设备,因此在安装后,您只能通过擦除设备的所有数据来移除描述文件,或者通过输入与描述文件关联的密码来移除。通过描述文件配置的帐户(如 Microsoft Exchange 帐户)只能通过删除该描述文件来移除。

虽然可以创建单个配置描述文件来包含您组织的所有有效负载,但请考虑创建单独的描述文件,以便可分别定义很少更改设置的描述文件和经常更改设置的描述文件。很少更改的设置示例有:网络、安全性和隐私、LDAP、邮件、日历和软件更新。经常更改的示例包括:VPN、证书、Web Clip、登录项、Dock 和打印机。

您可为用户和设备或者用户和设备群组创建配置描述文件。描述文件管理器”将自定描述文件的有效负载,具体取决于您选取的有效负载以及该级别所应用的设置。例如,当您创建用户的配置描述文件时,仅应用于设备的设置将不可用。

您可能还想要为特定设备或用户群组创建单独的描述文件。有关信息,请参阅有效负载最佳实践

您可以通过自己网页上的链接或者使用“描述文件管理器”的内建用户门户,将配置描述文件作为邮件附件分发。当用户打开电子邮件附件或使用网页浏览器下载描述文件时,会提示他们开始描述文件安装。您还可以将“描述文件管理器”用作移动设备管理服务器,它将允许您在用户注册设备后将新的和更新过的描述文件发送给他们。

用户通常不能更改配置描述文件中定义的设置,除非使用密码。使用描述文件配置的帐户只能通过删除该描述文件来移除。这样做可能会使设备在组织中不可用,直到重新安装描述文件。例如,移除描述文件可能会阻止用户访问网络、接收邮件和使用“日历”应用创建事件。在 iOS 设备上,可以将描述文件标记为锁定到设备,这样描述文件在安装后就不能移除,除非擦除设备上的所有数据,或者输入密码。

在 iOS 9 或更高版本中,如果设备被监督且在 MDM 中注册,则在“设置助理”阶段安装了证书有效负载或 Wi-Fi 有效负载的配置描述文件自动成为被管理的状态。

【重要事项】如果用户知道密码,即使在“通用”设置中该选项设定为“永不”,他们也可以移除未被监督的 iOS 设备的描述文件。如果用户知道管理员名称和密码,他们可以移除 OS X 上的描述文件。