logo
寒霜的博客
cover image

ABM & MDM 技术调研

    avatar

    寒霜

2025年7月28日星期一

ABM

1. 设备注册与管理(DEP)

  • 自动化设备分配: 通过 Apple 的 设备注册计划 (DEP),将新购买的 Apple 设备自动关联到 ABM,无需手动录入序列号。
  • 设备所有权声明: 防止设备被非授权用户重置或脱离企业控制(激活锁管理)。
  • 基础信息查看: 查看设备列表、序列号、型号、注册日期等元数据。

2. 应用分发(VPP)

  • 批量购买和分发应用: 通过 Volume Purchase Program (VPP) 为企业购买付费应用或免费应用许可证。
  • 无接触分发: 将应用直接分配给设备(无需 Apple ID)或用户(需 Apple ID)。
  • 许可证管理: 回收或重新分配应用许可证(但无法远程卸载应用)。

3. 账户管理

  • 托管 Apple ID: 为企业员工/学生创建托管 Apple ID(无需个人邮箱),支持:
    • iCloud 数据隔离(可选是否启用 iCloud 同步)。
    • 与学校/企业的目录服务(如 Azure AD、Google Workspace)集成。
  • 账户权限控制: 限制托管 Apple ID 的功能(如禁用 iMessage、FaceTime 等)。

4. 自动化设备配置

  • 预置配置文件: 通过 ABM 推送 .mobileconfig 文件(仅限一次性设置),例如:
    • Wi-Fi 网络配置
    • 邮件账户设置
    • 证书安装(如企业 VPN/Wi-Fi 证书)
  • 激活锁绕过: 在设备丢失时,通过 ABM 解除激活锁(需提供购买凭证)。

5. 基础安全控制

  • 强制 Supervision(监督模式): 在 DEP 注册时强制启用监督模式(需通过 Apple Configurator 或供应商渠道),支持更严格的限制。
  • 远程擦除: 通过 ABM 界面远程擦除设备数据(但无法实时定位或选择性擦除)。

6. 部门与角色管理

  • 组织结构划分: 创建部门/地点(如财务部、分校),按需分配设备或应用。
  • 多级管理员: 分配不同权限的管理员角色(如仅限查看、仅限应用分发等)。

ABM 的局限性(无 MDM 时)

  • 无法动态调整策略:如修改密码规则、禁用摄像头等需 MDM 实时推送。
  • 无法远程查询设备状态:如电池电量、存储空间、已安装应用列表。
  • 无法静默推送配置更新:所有配置变更需用户手动同意或重置设备。
  • 无法实现条件访问:如仅允许合规设备访问企业资源(需 MDM 与 IdP 集成)。

9898

经销商编号

经销商编号是每个加入 Apple 商务管理的 Apple 授权经销商或授权蜂窝网络运营商的唯一标识符。将加入该计划的 Apple 授权经销商或运营商的“经销商编号”添加到你的账户资料(并向该经销商提供你的“组织 ID”),即表示你授权该经销商或运营商将你通过他们购买的设备提交给 Apple,以使他们的序列号出现在 Apple 商务管理中。

如果你不知道加入该计划的 Apple 授权经销商或授权蜂窝网络运营商的经销商编号,请联系他们,以获得帮助。

在交换和验证了组织 ID 和经销商编号后,你可以与参与计划的 Apple 授权经销商或授权蜂窝网络运营商安排相关事宜,让他们通过自己的门户将你的订单提交给 Apple(这不会自动进行)。

Apple 客户编号

Apple 客户编号是 Apple 分配给你组织的账号(或号码),用于购买 Apple 硬件或软件。如果你不知道编号,请联系你的采购代理、财务部门或 Apple 账户团队。此编号与你的 GSX 账号不同。

ABM 的核心价值在于为 MDM 提供底层基础设施支持。

MDM

1. 设备配置与管理

自动化部署

  • 零接触部署(Zero-Touch Enrollment) 新设备开机即自动注册到 MDM,无需人工干预(依赖 ABM/DEP)。
  • 批量配置 推送 Wi-Fi、VPN、邮件账户、证书等设置到设备。
  • 监督模式(Supervised Mode) 获得更高管理权限(如禁用激活锁、限制恢复出厂设置)。

远程控制

  • 锁定/解锁设备 远程锁定丢失设备或解锁已认证设备。
  • 擦除设备 选择性擦除企业数据(仅工作资料)或完全恢复出厂设置。
  • 定位设备 查看设备地理位置(需用户授权)。

2. 应用管理

应用分发

  • 自动安装企业应用 通过 ABM 的 VPP(批量购买计划)或企业签名分发应用。
  • 静默安装/卸载 无需用户操作,强制部署或移除应用。
  • 黑白名单控制 禁止安装非授权应用(如社交软件、游戏)。

应用配置

  • 推送应用设置 如 Microsoft Outlook 的邮件配置、Safari 书签等。
  • 单点登录(SSO)集成 自动配置企业身份认证(如 Okta、Azure AD)。

3. 安全与合规

策略强制执行

  • 密码策略 强制复杂密码、定期更换、生物识别(Face ID/Touch ID)要求。
  • 加密控制 确保设备启用 FileVault(Mac)或 Data Protection(iOS)。
  • 越狱/Jailbreak 检测 自动标记或限制高风险设备。

数据保护

  • 企业数据隔离 通过“托管工作空间”隔离个人与企业数据(如 BYOD 场景)。
  • 剪贴板限制 禁止企业数据复制到个人应用。
  • 网络流量过滤 强制设备通过企业安全网关上网。

4. 用户与访问管理

  • 基于角色的权限 不同用户/部门分配不同策略(如财务部禁用摄像头)。
  • 条件访问(Conditional Access) 仅允许合规设备访问企业资源(如 Office 365、内部系统)。
  • 自助服务门户 用户可自行安装授权应用或申请权限。

5. 监控与报告

  • 设备状态监控 实时查看电池电量、存储空间、操作系统版本等。
  • 合规性报告 生成设备合规状态报告(如未加密设备列表)。
  • 审计日志 记录所有管理操作(如谁执行了远程擦除)。

6. 高级功能(依赖 MDM 厂商)

  • macOS 脚本管理 在 Mac 上运行自定义脚本(如部署开发环境)。
  • 网络配置 自动部署 802.1X 认证的 Wi-Fi 或代理设置。
  • Apple TV 管理 控制企业 Apple TV 的界面和功能(如禁用 App Store)。

MDM 在ABM基础上实现动态管理和策略执行。

ABM与MDM两者对比

2. 具体能力对比**

(1) 设备注册与管理

  • ABM
    • 通过 DEP(设备注册计划)声明设备所有权。
    • 将设备 预分配 给 MDM 服务器(设备首次开机自动连接指定 MDM)。
    • 不能 直接管理设备(如无法远程锁定或查询电量)。
  • MDM
    • 接收来自 ABM 的设备并完成注册。
    • 实时管理 设备(擦除、锁定、推送配置)。

(2) 应用分发

  • ABM
    • 通过 VPP(批量购买计划)购买应用许可证。
    • 将许可证 静态分配 给设备或用户。
  • MDM
    • 从 ABM 同步许可证并 动态部署应用(静默安装/卸载)。
    • 控制应用权限(如禁用应用内购买)。

(3) 安全策略

  • ABM
    • 仅支持 基础设置(如监督模式开关、激活锁管理)。
  • MDM
    • 强制执行 复杂策略(密码复杂度、加密、越狱检测)。

(4) 用户管理

  • ABM
    • 创建/托管 Apple ID,分配至部门。
  • MDM
    • 基于用户/组动态应用策略(如财务部禁用摄像头)。

3. 依赖关系

  • ABM 是 MDM 的“上游”
    • 没有 ABM,MDM 无法实现 自动化注册(DEP)无接触应用分发(VPP)
  • MDM 是 ABM 的“执行层”
    • 没有 MDM,ABM 仅能完成初始化,无法动态管理设备

4. 何时需要两者结合?

  • 必须结合的场景

    • 新设备开机自动注册并配置企业策略。
    • 批量分发企业应用且无需用户干预。

  • 仅 ABM 可用的场景

    • 购买设备后声明所有权(未部署 MDM 前)。

  • 仅 MDM 可用的场景

    • 管理 BYOD 设备(非 ABM 注册设备)。

    总结

维度Apple Business Manager (ABM)MDM (如 Jamf/Intune/Mosyle)
核心作用设备/账号的 所有权管理自动化注册基础设施设备的 动态策略管理远程控制
管理对象设备序列号、Apple ID、应用许可证(VPP)已注册设备的配置、应用、安全策略、实时状态
自动化能力仅支持 一次性初始化(如 DEP 注册、VPP 分发)支持 持续动态管理(随时调整策略、远程操作)

  • ABM 负责 “Who owns what”(谁拥有哪些设备和权限)。
  • MDM 负责 “How to manage it”(如何配置和管控这些设备)。
  • 两者缺一不可 才能实现完整的 Apple 企业级管理流程。

ABM、MDM、苹果设备之间的关系

sequenceDiagram
    participant ABM as Apple Business Manager
    participant MDM as MDM Server
    participant Device as 苹果设备

    ABM->>MDM: 1. 同步设备/账号信息
    MDM-->>ABM: 确认同步完成

    Device->>ABM: 2. 开机激活 (DEP)
    ABM->>Device: 3. 分配MDM服务器
    Device->>MDM: 4. 注册请求
    MDM->>Device: 5. 下发配置策略
    Device-->>MDM: 6. 确认配置完成

    loop 定期检查
        MDM->>Device: 7. 查询设备状态
        Device-->>MDM: 8. 返回状态信息
    end

    Note right of MDM: 可远程执行<br>擦除/锁定/配置等操作

现状分析:

当前MDM如果没有部署,可以先注册ABM,并开启监管模式,后续部署的 MDM(移动设备管理) 仍然可以有效管控设备

不同场景下的操作步骤

场景 1:设备已分发但未注册(ABM/DEP 已配置)

  1. 管理员操作
    • 在 ABM 中将设备分配给 MDM 服务器。
  2. 用户操作
    • 设备联网后自动弹出注册页面,用户按提示完成注册。
  3. MDM 自动执行
    • 推送 Wi-Fi、应用、安全策略(如密码规则)。

场景 2:设备未通过 ABM/DEP(BYOD 或旧设备)

  1. 管理员操作
    • 在 MDM 中生成注册链接或二维码。
  2. 用户操作
    • 访问链接或扫描二维码,手动安装 MDM 配置文件。
  3. 限制
    • 非监督模式下,部分功能(如远程擦除)需用户同意。

场景 3:强制启用监督模式(需重置设备)

  1. 管理员操作
    • 使用 Apple Configurator 2 连接设备,启用监督模式并注册到 MDM。
  2. 用户影响
    • 设备数据会被清除,需提前备份。

开源方案

micromdm

fleet

  1. 部署MDM系统需要https且连接外网,能调用APNS的api发送推送
  2. 开发语言主要为go
  3. micromdm无操作界面,运维复杂
  4. fleet是商业项目,免费功能有限,github上的issue多

如果选择开源方案推荐选择micrmdm,但是要熟悉go,投入生产环境需要开发操作页面

主流的MDM供应商与报价参考

供应商报价 (设备/月)
Microsoft Intune$8~20
Jamf Pro$4~10
VMware Workspace ONE$7~15