我有一个管理 iOS 设备的 mdm 服务器。 我们已经完成了在设备上安装 mdm 配置文件的所有步骤。此外,我们还应用了适用于设备和 Wi-Fi 等配置的所有政策。
问题 1: 当我们发送“allowAppRemoval”为 false 时,设备不应用此策略,这会引发设备的不合规性,因为此策略正在发送到设备,但设备没有承认这项政策。配置的 MDM 引用文档确实提到了此策略可用。 它描述为:可选。如果为 false,则禁止从 iOS 设备中删除应用程序。
但在应用策略后说我已将 allowCamera 和 allowAppRemoval 都发送为 false 并尝试使用“限制”命令获取设备上应用的所有策略。限制仅返回相机策略和所有依赖项,但根本不通知 allowAppRemoval。
iOS 有没有可能不支持这个策略?我在 iOS 7.1 上工作。 有很多帖子确实报告了这个问题,但没有一个提供任何解决方案或合理的答案。
“更新 1”: 以下是通过 allowAppRemoval 为 false 传递给设备的限制负载内容
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadDescription</key>
<string>MDM Policies</string>
<key>PayloadDisplayName</key>
<string>Restrictions</string>
<key>PayloadIdentifier</key>
<string>com.version1.mdm3.configuration.restrictions1</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>PayloadUUID</key>
<string>BB35B1B3-9944-4C43-AD36-27176362AB2A</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>allowAppRemoval</key>
<false/>
</dict>
</array>
此有效负载作为配置文件安装。下面是控制台日志
Polling MDM server https://mdm-server-url/location for next command.
mdmd[1120] <Notice>: (Note ) MDM: Transaction completed. Status: 200
mdmd[1120] <Notice>: (Note ) MDM: Attempting to perform MDM request: InstallProfile
profiled[1121] <Notice>: (Note ) MC: Checking for MDM installation...
profiled[1121] <Notice>: (Note ) MC: ...finished checking for MDM installation.
profiled[1121] <Notice>: (Note ) MC: Beginning profile installation...
profiled[1121] <Error>: MKBDeviceLockAssertion: MKBDeviceLockAssertion (asserttype:3)
profiled[1121] <Error>: MKBDeviceGetGracePeriod: MKBDeviceGetGracePeriod() => (0,0,0)
profiled[1121] <Error>: MKBDeviceGetGracePeriod: MKBDeviceGetGracePeriod() => (0,0,0)
profiled[1121] <Error>: get_longlongvalue_for_key: failed to get GracePeriod
profiled[1121] <Error>: get_longlongvalue_for_key: failed to get MaxLifetime
profiled[1121] <Error>: MKBDeviceSetGracePeriod: MKBDeviceSetGracePeriod(-1,5,-1)
profiled[1121] <Error>: MKBDeviceSetGracePeriod: MKBDeviceSetGracePeriod: from AKS 0
keybagd[46] <Error>: 0x243000 __update_system_keybag_block_invoke: Updating System Keybag
keybagd[46] <Error>: 0x243000 KBUpdateSystemKeyBag: Got opaqueStuff from ondisk keybag
profiled[1121] <Notice>: (Note ) MC: Profile com.version1.mdm3.configuration installed.
keybagd[46] <Error>: 0x243000 KBUpdateSystemKeyBag: Saved new keybag with result 2371352
profiled[1121] <Error>: __MKBAssertionFinalize: __MKBAssertionFinalize(0x17d93b50)
mdmd[1120] <Notice>: (Note ) MDM: Command Status: Acknowledged
并且在安装配置文件时,设备上的限制负载显示为:“不要指定任何限制”
问题 2: 是否有策略可以阻止 MDM 负载的删除。我们为每个有效载荷提供了“PayloadRemovalDisallowed”属性,当设置为真时,我们无法删除设备上安装的配置文件。但这只在设备上安装配置文件时完成一次。 我的情况有点不同。我想要一个政策,在需要时可以将其设为真,这将不允许删除 mdm 配置文件,而当设为假时,mdm 配置文件适用于删除。 我也引用了所有与此相关的文档,我们可以有一个受监督的设备,但这不是必需的。 简单来说,我们是否有一个像 allowCamera 这样的策略,当它被设置为 false 时会阻止相机,反之亦然。我根本不想更改设备上安装的 mdm 有效负载。如果这需要客户端实现,那么我们也可以跳过它。
希望我说清楚了。 谢谢。
最佳答案
问题一。
我不知道。看起来你不仅仅是一个问这个的人: https://discussions.apple.com/thread/4244061?start=0&tstart=0
您是否检查过控制台以查看任何错误/警告?
一个疯狂的想法。可能此限制仅适用于受监督的设备。他们可能只是忘了在文档中提及它。
问题 2.
你做不到。它可以是可移动的(对于非受监管或受监管的设备)或不可移动的(仅限受监管的设备)。
关于Java iOS MDM 政策,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26100619/