iOA 零信任安全管理系统 MID/MDM证书设置

场景介绍
iOA 客户端的软件管控、终端管控（文件管控、外设管控、系统加固）、病毒查杀、EDR、DLP（拦截策略、数据地图扫描）等能力依赖 macOS 完全磁盘访问权限。受 macOS 系统安全权限限制，如果仅依赖用户手动开启权限，可能出现权限未开启、被误关闭或策略无法完整生效的问题。
通过 Apple MDM 推送证书下发描述文件，可以在 macOS 终端侧统一授予 iOA 相关进程所需权限，强制开启 iOA 客户端所需的完全磁盘访问权限。减少人工操作，提升策略生效稳定性。
注意：
MDM 证书为全局配置，开启后 iOA 客户端检测到未安装描述文件会弹窗提醒，建议开启该功能前进行公告通知。
通过 MDM 证书获取权限后，macOS 完全磁盘访问权限界面中的开关可能仍可被手动关闭，但 iOA 应用仍可通过 MDM 描述文件获取磁盘权限，不受 macOS 界面开关影响。
长时间未出现描述文件安装弹窗时，可尝试重启终端；若仍无弹窗，建议采集客户端日志后联系技术支持处理。
Apple MDM 推送证书有效期通常为一年，需要在证书到期前完成续期，详情请参见证书有效期更新。
配置准备
准备项
说明
Apple ID
用于申请 Apple MDM 推送证书。建议优先使用企业 Apple ID；如无企业 Apple ID，可使用个人 Apple ID。
CSR 文件
在 MID/MDM 证书设置申请引导中生成并下载，用于 Apple 证书申请。
Apple MDM 推送证书
在 Apple Push Certificates Portal 中申请并下载。
终端侧配合
首次使用 MDM 时，终端用户需按 iOA 客户端引导安装描述文件。
配置步骤
进入 MID/MDM 设置页面
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择系统通用设置 > MID/MDM 证书设置。
2. 在 MID/MDM 证书设置页面，单击页面左下角编辑。
﻿
下载 MDM 证书申请引导和 CSR 文件
1. 在 Apple MDM 推送证书设置区域，单击查看申请引导。
﻿
2. 根据页面引导填写 Apple ID（建议优先使用企业 Apple ID；如无企业 Apple ID，可使用个人 Apple ID）。
﻿
3. 单击生成 CSR 文件，生成成功后，下载 CSR 文件。
﻿
在 Apple 平台申请 MDM 推送证书
1. 根据申请指引跳转至 Apple Push Certificates Portal。
﻿
2. 使用生成 CSR 文件时填写的 Apple ID 登录。
﻿
3. 在 Apple Push Certificates Portal 页面，单击 Create a Certificate，创建证书。
﻿
4. 单击选择文件，上传刚刚下载的 CSR 文件，单击 Upload，上传。
﻿
5. 证书申请成功后，单击 Download 下载 MDM 推送证书。
﻿
上传 MDM 推送证书
1. 回到 iOA 零信任管理平台控制台 ，前往系统通用设置 >MID/MDM 证书设置。
2. 在 Apple MDM 推送证书设置中单击选择文件，上传从 Apple 平台下载的 MDM 推送证书文件。
﻿
3. 配置完成单击保存设置，上传成功后，MDM 配置会自动开启。
﻿
终端安装 MDM 描述文件
1. 初次安装 iOA 客户端时，客户端会检测 MDM 描述文件安装状态。
2. 如终端未安装描述文件，客户端会弹出引导，单击立即安装。
﻿
3. 根据 macOS 系统提示完成描述文件安装。
4. 如配置 MDM 证书前已经安装 iOA 客户端，可在客户端右上角菜单中单击同步策略，一般等待 2-3 分钟后触发安装提示。
﻿
功能验证
macOS 终端侧查看磁盘访问权限
在 macOS 终端打开系统设置 > 隐私与安全性 > 完全磁盘访问权限，查看 iOA 相关权限状态。
﻿
iOA 控制台查看权限状态
1. 进入终端管控 > 终端列表 > 终端信息。
2. 在终端信息页面，单击列表右侧
﻿
配置自定义列表字段。
﻿
3. 勾选磁盘访问权限和录屏权限，单击确定。
﻿
4. 筛选系统平台为 macOS，查看目标终端的权限开启状态。
﻿
5. 通过 MDM 证书获取权限后，即使系统界面中的开关被手动关闭，iOA 应用仍可通过 MDM 描述文件获取对应磁盘访问能力，不受界面开关影响。
﻿
6. iOA 客户端磁盘访问权限关闭后 ，iOA 控制台终端信息页面上报状态依然是开启。
﻿
证书过期预警
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择系统通用设置 > 预警设置。
2. 在预警设置页面，支持配置 MDM 证书过期提醒，在证书过期预警页签，单击编辑。
﻿
3. 根据腾讯云指引文档完成对应接收人及接收方式配置，证书过期预警默认到期前30天会在控制台触发预警通知，支持自定义到期时间与推送时间，配置完成单击确定保存。
﻿
证书有效期更新
申请的 MDM 证书，有效期为一年，MDM 证书到期后若未及时续期，终端会自动卸载 MDM 证书并脱离管控，因此建议每年及时更新证书有效期，证书更新流程如下。
1. 创建签名请求文件
重新下载创建 Apple MDM 证书所需的签名请求文件。
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择系统通用设置 > MID/MDM 证书设置。
2. 在 MID/MDM 证书设置页面，单击页面左下角编辑。
3. 填写 Apple ID，单击生成 CSR 文件（需要保证填写 Apple ID 与初次申请 MDM 证书一致）
﻿
4. 生成成功后，单击下载 CSR。
﻿
2. 访问 Apple 证书申请界面
1. 根据申请指引跳转至 Apple Push Certificates Portal。
﻿
2. 使用生成 CSR 文件时填写的 Apple ID 登录，登录账号需要和申请证书账号一致。
﻿
3. 查看证书有效期及状态，并点击 Renew
1. 登录成功后，在 Apple Push Certificates Portal 页面，查看有效期及状态。
Expiration Date：有效期。
Status：状态 。
Active：活跃。
Revoked：已撤销。
﻿
4. 上传 MDM 证书请求文件（CSR）
选择文件后单击 Upload 。 
﻿
5. 下载更新后的 MDM 证书
证书申请成功后，单击 Download 下载 MDM 推送证书。
﻿
6. 在 iOA 控制台重新上传证书
1. 回到 iOA 零信任管理平台控制台，前往系统通用设置 >MID/MDM 证书设置，单击编辑。
﻿
2. 单击重新上传，上传从 Apple 平台下载的 MDM 推送证书文件。
﻿
﻿
﻿
﻿

准备项	说明
Apple ID	用于申请 Apple MDM 推送证书。建议优先使用企业 Apple ID；如无企业 Apple ID，可使用个人 Apple ID。
CSR 文件	在 MID/MDM 证书设置申请引导中生成并下载，用于 Apple 证书申请。
Apple MDM 推送证书	在 Apple Push Certificates Portal 中申请并下载。
终端侧配合	首次使用 MDM 时，终端用户需按 iOA 客户端引导安装描述文件。

MID/MDM证书设置

本页目录：

场景介绍

配置准备

配置步骤

进入 MID/MDM 设置页面

下载 MDM 证书申请引导和 CSR 文件

在 Apple 平台申请 MDM 推送证书

上传 MDM 推送证书

终端安装 MDM 描述文件

功能验证

macOS 终端侧查看磁盘访问权限

iOA 控制台查看权限状态

证书过期预警

证书有效期更新

1. 创建签名请求文件

2. 访问 Apple 证书申请界面

3. 查看证书有效期及状态，并点击 Renew

4. 上传 MDM 证书请求文件（CSR）

5. 下载更新后的 MDM 证书

6. 在 iOA 控制台重新上传证书

﻿