iOS、iPadOS、macOS、Apple tvOS、watchOS 10 或更高版本以及 visionOS 1.1 或更高版本具有支持移动设备管理 (MDM) 的内建框架。MDM 可通过将描述文件和命令发送到设备来让你安全地以无线方式配置设备，无论这些设备是属于个人用户还是组织。MDM 功能包括更新软件和设备设置、监督组织策略的贯彻情况以及远程擦除或锁定设备。用户可在 MDM 中注册自己的设备，组织拥有的设备可使用“Apple 校园教务管理”或“Apple 商务管理”在 MDM 中自动注册。如果使用“Apple 商务必备”，你还可以使用直接内建的设备管理。

若要使用 MDM，你需要了解若干概念，请参阅以下部分以了解 MDM 使用注册和配置描述文件、监督和有效负载的方式。

MDM 注册涉及使用自动化证书管理环境 (ACME) 或者简单证书注册协议 (SCEP) 等协议注册客户端证书身份的过程。设备使用这些协议来创建唯一的身份证书，用于认证组织的服务。

除非注册已自动化，否则由用户决定是否在 MDM 中注册，并且可随时取消设备与 MDM 的关联。因此，你不妨考虑采取一些激励措施，鼓励用户保持被管理的状态。例如，通过使用 MDM 自动提供无线凭证，你可以要求用户完成 MDM 注册后才能访问无线局域网。当用户离开 MDM 时，其设备会尝试通知 MDM 解决方案设备不再受管理。

对于组织拥有的设备，你可以在初始设置过程中使用“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”以无线方式自动在 MDM 中注册并监督这些设备；此注册过程称为“自动设备注册”。

“失窃设备保护”打开时，如果用户处于不熟悉的位置，以下操作会延迟一小时：

在 MDM 中手动注册其设备

手动安装密码描述文件或配置

在设置中或者通过描述文件或配置对 Microsoft Exchange 账户进行配置

注册描述文件是用户可在 MDM 解决方案中注册个人设备的两种主要方式之一（另一种方式是使用用户注册）。通过此包含 MDM 有效负载的描述文件，MDM 解决方案会向设备发送命令和其他配置描述文件（如有需要）。它还可向设备查询信息，如其激活锁状态、电池电量和名称。

用户移除注册描述文件后，基于该注册描述文件的所有配置描述文件及其设置和受管理的 App 都会随之移除。一台设备上一次只能有一个注册描述文件。

设备或用户批准注册描述文件后，包含有效负载的配置描述文件就会发送到设备。然后你可以无线分发、管理和配置通过“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”购买的 App 和图书。App 可由用户安装或自动安装，具体取决于 App 的类型、分配方式以及设备是否被监督。有关更多信息，请参阅关于 Apple 设备监督。

配置描述文件是一个 XML 文件（以 .mobileconfig 结尾），其中包含将设置和授权信息载入到 Apple 设备的有效负载。它会自动配置设置、账户、访问限制和凭证。这些文件可通过 MDM 解决方案或 Mac 版 Apple Configurator 创建，也可手动创建。有关使用 Mac 版 Apple Configurator 创建配置描述文件和在 iPhone、iPad 和 Apple TV 设备上安装的更多信息，请参阅《适用于 Mac 的 Apple Configurator 使用手册》中的创建和编辑配置描述文件。

由于配置描述文件可被加密和签名，因此你可以将其限制用于特定的 Apple 设备，并阻止除拥有用户名和密码的用户外的任何人更改其中的设置。你还可以将配置描述文件标记为被锁定到设备。

如果你的 MDM 解决方案支持，则可以将配置描述文件作为邮件附件分发、通过自己网页上的链接分发或者通过 MDM 解决方案的内建用户门户分发。当用户打开电子邮件附件或使用网页浏览器下载配置描述文件时，会提示他们开始安装配置描述文件。

你可以发送可更改整个设备或单个用户的设置的配置描述文件：

设备描述文件可发送到设备和设备群组，并将设备设置应用到整个设备。

iPhone、iPad、Apple TV、Apple Watch 和 Apple Vision Pro 无法识别多位用户，因此为 iOS、iPadOS、Apple tvOS、watchOS 10 或更高版本以及 visionOS 1.1 或更高版本创建的配置描述文件始终是设备描述文件。虽然 iPadOS 描述文件是设备描述文件，但配置为“共享 iPad”的 iPad 设备可支持基于设备或用户的描述文件。

用户描述文件可发送到用户和用户群组（如果 MDM 解决方案支持），并将用户设置仅应用到对应的用户。Mac 电脑可以有多个用户，因此针对 macOS 描述文件的有效负载和设置可基于设备或用户。在“设置助理”运行期间创建的用户账户被视为由 MDM 解决方案管理，可以接收描述文件。在 macOS 11 或更高版本中，可选择对注册期间由 MDM 创建的管理员账户进行管理。对于 Active Directory 绑定部署，当前登录的网络用户通过 MDM 变为可被管理。

设备和用户设置因所处位置而异：在系统层级安装的设置位于设备通道中。为用户安装的设置位于用户通道中。

有关描述文件安装和“锁定模式”的更多信息，请参阅 Apple 支持文章：关于“锁定模式”。

描述文件的移除方式取决于其安装方式。下列阐述了描述文件的移除方式：

1.所有描述文件均可通过擦除设备的所有数据来进行移除。

2.如果设备已通过“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”在 MDM 中注册，管理员可选择注册描述文件是否可被用户移除，或只能被 MDM 服务器自身移除。

3.如果描述文件通过 MDM 解决方案安装，可通过该特定 MDM 解决方案，或由用户通过移除注册配置描述文件以取消注册 MDM 来进行移除。

4.如果描述文件通过 Apple Configurator 安装到被监督的设备上，可由该 Apple Configurator 监督实例进行移除。

5.如果描述文件通过手动或 Apple Configurator 安装到被监督的设备上且有移除密码有效负载，用户必须输入移除密码才可进行移除。

6.其他所有描述文件均可由用户进行移除。

使用配置描述文件安装的账户可通过移除描述文件来进行移除。Microsoft Exchange ActiveSync 账户（包括使用配置描述文件安装的账户）可通过 Microsoft Exchange Server 发出仅针对账户的远程擦除命令来进行移除。

【重要事项】如果用户知道设备密码，他们可以从未被监督的 iPhone 和 iPad 中手动移除已安装的配置描述文件，即使该选项设为“永不”。Mac 用户只有在知道管理员的用户名和密码时才可执行相同的操作。用户可使用 profiles 命令行工具、“系统设置”（在 macOS 13 或更高版本中）或者“系统偏好设置”（在 macOS 12.0.1 或更低版本中）执行此操作。在 macOS 10.15 或更高版本中，与 iOS 和 iPadOS 中一样，使用 MDM 安装的描述文件必须使用 MDM 移除，或者随取消注册 MDM 而自动移除。

与 Apple 设备的第三方 MDM 通信在以下情况中成功的可能性较高：

MDM 解决方案已设置、测试成功且正常工作

APNs 证书有效且未过期

设备已开机

设备当前已在 MDM 中注册

设备接入的网络可以访问互联网（针对 APNs 通信）

设备接入的网络必须可以访问 MDM 相关的 Apple 主机

有关更多信息，请参阅 Apple 支持文章：在企业网络上使用 Apple 产品。

【注】Apple 不会控制第三方 MDM 解决方案。配置不当的 MDM 有效负载等其他问题也可能导致 MDM 通信失败。

以下 Apple 设备有支持 MDM 的内建框架：

运行 iOS 4 或更高版本的 iPhone

运行 iOS 4.3 或更高版本或者 iPadOS 13.1 或更高版本的 iPad

运行 OS X 10.7 或更高版本的 Mac 电脑

运行 Apple tvOS 9 或更高版本的 Apple TV

运行 watchOS 10 或更高版本的 Apple Watch

运行 visionOS 1.1 或更高版本的 Apple Vision Pro

【注】某些选项并非在所有 MDM 解决方案中都可用。若要了解哪些 MDM 选项适用于你的设备，请参阅 MDM 供应商文稿。