如何制作MDM应用并将其上传到应用商店？

Question

我们已经向Apple开发人员支持网站中的不同部门提出了一些问题，但答案是由非开发人员个人提出的。

我们提出的技术问题仍未得到解答，我们已参考已阅读的文档。我们需要解决一些问题，而这些问题无法通过官方文档或通过在论坛内部（在Apple内部和外部）进行搜索来解决。

我们是一家为Android平台开发了应用程序的公司，我们目前正在检查制作IOS版本的可行性。但是，当我们尝试开发某些功能时，发现很多限制。出于保密原因，我无法解释太多细节，但该应用需要执行某些任务，例如阻止设备。

我们发现能够执行类似操作的唯一方法是通过MDM应用程序。当前，我们有一个“ Apple开发人员计划”帐户，根据文档，该帐户旨在在应用商店中发布应用程序，但是我们已经看到，要使用MDM，需要一个“ Apple开发人员企业程序”帐户，根据它是为分发内部应用程序而设计的文档，用于管理公司内部的设备。

第一个也是最重要的问题：我们打算做的是使用MDM的应用商店应用程序，因为没有其他方法可以获取设备上执行某些任务所需的权限（例如阻止设备） ， 例如）。我的意思是，我们要开发一款将两种开发计划混合在一起的应用程序。如果我们注册“ Apple开发者企业计划”，这可能吗？

我们在论坛中发现了一些类似的问题，但没有答案：

https://forums.developer.apple.com/message/262622#262622

如果可能的话。怎么样？使用企业帐户进行开发，但使用普通的开发人员帐户将其上传到应用商店中？还是这种应用是一种特殊情况，尽管它是使用企业开发人员帐户实现的，但允许将其上传到应用商店？还是有一些我们在文档中没有看到的将MDM应用于按照常规开发人员计划开发的应用中的方法？

这些只是推测，而是我们看到的一些可能性，因为如果我们严格遵守文档内容， 似乎“ Apple开发者企业计划”无法在应用商店中发布应用，而“ Apple开发者计划”则无法应用MDM。

此外，文档过多地关注了MDM可以完成的“工作”，但并未充分阐明“如何做”。我们还没有看到任何已发布的示例， 或从头开始制作MDM服务器的分步教程，有关此主题的非正式文档和示例都很少，或者实际上不存在。

我们已经看到应用程序商店中有一些应用MDM的应用程序，这就是为什么它使我们认为这是可能的，但是如果您严格说明文档中的内容，那么每种帐户似乎都有不同的用途。而且，我们不希望在开发应用程序上花费时间和资源，最终在审查之前，该应用程序在应用程序商店中发布之前将被拒绝。

在应用商店中找到的应用MDM的应用示例如下：

• 翻转：https://itunes.apple.com/es/app/flipd-keep-focused/id1071708905?mt=8

• Qustodio –家长控制：https://itunes.apple.com/es/app/qustodio-control-parental/id990229433?mt=8

如果最终有可能做到这一点，那么我们建立的另一个限制是每个设备只能安装一个MDM配置文件。这意味着，如果用户的终端中已经安装了该配置文件，则该应用程序的配置文件的安装（正确的功能要求）将失败。

在任何情况下都不能安装更多此类文件？如果不是这样，是否可以要求用户作为应用程序安装的先决条件， 卸载他/她设备的其他MDM配置文件？无论如何，如果允许使用多个配置文件，我们将无法想到另一种方法来保证该应用程序正常运行。

为了对设备施加一些限制（例如执行MDM锁定有效负载），我们需要激活“监督模式”。我们已经看到了 Apple Configurator 2应用程序可以完成此操作，但是要做到这一点，需要将设备物理连接到计算机。可以通过编程方式远程激活“监督模式”吗？怎么样？

此外，我们已经阅读到在新设备中激活此模式没有问题，但是如果已经使用过该设备，则有必要将其格式化为活动的“监督模式”。这是必不可少的还是强制性的？当然，我们不能要求用户格式化其设备以安装我们的应用程序。如果必须格式化设备才能激活“监督模式”，那么在没有此模式的情况下，还有其他方法可以通过编程方式阻止设备吗？

Answer 1

MDM服务器使用推送通知与受管设备进行通信。为了发送这些推送通知，MDM部署需要已由MDM供应商签名的证书。为了签署这些证书，MDM供应商需要来自Apple的证书，该证书只能通过企业应用程序开发程序使用。

在您的情况下，您既是MDM供应商，也是MDM用户，但是您仍然需要企业程序成员身份才能创建所需的证书。

您将使用常规的开发人员计划成员身份来创建与MDM服务器交互的App Store应用。

MDM协议为comprehensively documented by Apple-有关MDM签名过程的说明，请参见第9章。

从头开始创建MDM服务器并非易事，因此您不太可能会找到分步教程。能够实施MDM的那种公司不需要它，而确实需要MDM的组织可能就没有能力。

您正确的是，一次只能安装一个设备管理配置文件。已存在管理配置文件的最常见情况是企业正在管理设备。在这种情况下，用户不太可能删除此管理配置文件，因为这可能是将其设备与企业数据一起使用的条件。

如果要实施的控件需要受监管的设备，则您需要将设备连接到Mac并使用Apple Configurator，或者必须通过设备注册程序（DEP）将设备链接到组织，空中监管。使用DEP的组织将把他们的设备定向到他们自己的MDM，而他们不想使用您的MDM。

使用Apple Configurator进行监督需要设备是全新的或已被完全擦除。