Java iOS MDM策略

Question

我有一台管理iOS设备的mdm服务器。 我们已完成在设备上安装mdm配置文件的所有步骤。此外，我们还应用了适用于设备和配置的所有政策，如Wi-Fi。

问题1：当我们发送＆＃34; allowAppRemoval＆＃34;如果为false，则设备不应用此策略，这会导致设备不合规，因为此策略正在发送到设备，但设备不会确认此策略。 Configuration的MDM参考文档确实提到了此策略。 它将其描述为：可选。如果为false，则禁用从iOS设备中删除应用程序。

但是在应用策略之后说我已经将allowCamera和allowAppRemoval都发送为false并尝试使用＆＃34; Restrictions＆＃34;来获取设备上应用的所有策略。命令。这些限制仅返回摄像机策略和所有依赖项，但根本不会通知allowAppRemoval。

iOS有可能不支持此政策吗？我在iOS 7.1上工作。 有很多帖子报告了这个问题，但没有提供任何解决方案或合理的答案。

＆＃34;更新1＆＃34;： 下面是传递给设备的有效负载内容，其中allowAppRemoval设备为false

<key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadDescription</key>
            <string>MDM Policies</string>
            <key>PayloadDisplayName</key>
            <string>Restrictions</string>
            <key>PayloadIdentifier</key>
            <string>com.version1.mdm3.configuration.restrictions1</string>
            <key>PayloadOrganization</key>
            <string></string>
            <key>PayloadType</key>
            <string>com.apple.applicationaccess</string>
            <key>PayloadUUID</key>
            <string>BB35B1B3-9944-4C43-AD36-27176362AB2A</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>allowAppRemoval</key>
            <false/>
        </dict>
    </array>

此有效内容作为配置文件安装。以下是控制台日志

Polling MDM server https://mdm-server-url/location for next command.
 mdmd[1120] <Notice>: (Note ) MDM: Transaction completed. Status: 200
 mdmd[1120] <Notice>: (Note ) MDM: Attempting to perform MDM request: InstallProfile
 profiled[1121] <Notice>: (Note ) MC: Checking for MDM installation...
 profiled[1121] <Notice>: (Note ) MC: ...finished checking for MDM installation.
 profiled[1121] <Notice>: (Note ) MC: Beginning profile installation...
 profiled[1121] <Error>: MKBDeviceLockAssertion: MKBDeviceLockAssertion (asserttype:3)
 profiled[1121] <Error>: MKBDeviceGetGracePeriod: MKBDeviceGetGracePeriod() => (0,0,0)
 profiled[1121] <Error>: MKBDeviceGetGracePeriod: MKBDeviceGetGracePeriod() => (0,0,0)
 profiled[1121] <Error>: get_longlongvalue_for_key: failed to get GracePeriod
 profiled[1121] <Error>: get_longlongvalue_for_key: failed to get MaxLifetime
 profiled[1121] <Error>: MKBDeviceSetGracePeriod: MKBDeviceSetGracePeriod(-1,5,-1)
 profiled[1121] <Error>: MKBDeviceSetGracePeriod: MKBDeviceSetGracePeriod: from AKS 0
 keybagd[46] <Error>: 0x243000 __update_system_keybag_block_invoke: Updating System Keybag
 keybagd[46] <Error>: 0x243000 KBUpdateSystemKeyBag: Got opaqueStuff from ondisk keybag
 profiled[1121] <Notice>: (Note ) MC: Profile com.version1.mdm3.configuration installed.
 keybagd[46] <Error>: 0x243000 KBUpdateSystemKeyBag: Saved new keybag with result 2371352
 profiled[1121] <Error>: __MKBAssertionFinalize: __MKBAssertionFinalize(0x17d93b50)
 mdmd[1120] <Notice>: (Note ) MDM: Command Status: Acknowledged

安装配置文件后，设备上的限制有效负载显示为：＆＃34;不要指定任何限制＆＃34;

问题2：是否存在可以阻止删除MDM Payload的策略。我们有＆＃34; PayloadRemovalDisallowed ＆＃34;每个有效负载的属性，当设置为true时，我们无法删除设备上安装的配置文件。但是，在设备上安装配置文件时，只执行一次。 我的情况有点不同。我希望有一个策略，在需要时可以使其不允许删除mdm配置文件，并且当被设置为false时，mdm配置文件适用于删除。 我也提到了有关这方面的所有文件，我们可以有一个受监督的设备，但这不是要求。 简单来说，我们有一个像allowCamera这样的策略，当做错时会阻塞相机，反之亦然。我根本不想更改设备上安装的mdm有效负载。如果这需要客户端实现，那么我们也可以跳过它。

希望我清楚自己。 感谢。

Answer 1

问题1.

我不知道。看起来你不仅要问这个： https://discussions.apple.com/thread/4244061?start=0&tstart=0

您是否检查过Console以查看任何错误/警告？

一个疯狂的想法。可能此限制仅适用于受监督设备。他们可能只是忘了在文档中提到它。

问题2。

你不能这样做。它可以是可移动的（对于非监督或监督设备）或不可移动（仅限监督设备）。

Answer 2

查看Apple Configurator v.1.6，allowAppRemoval的设置仅适用于受监管设备。我很确定通过MDM获得受监督设备的唯一方法是让设备注册DEP（Apple的设备注册计划）。

至于MDM有效负载可移除问题，正如Victor所说，该设备必须受到监督。同样，DEP是MDM有效负载的唯一选择。