iOS设备有一个名为disable host pairing的选项可以禁止其和电脑通过USB连接交换数据,从而提高设备上数据的物理安全性。为了启用这个配置,首先你需要在macOS下安装Apple Configurator,其次你需要抹掉这台iOS设备上的所有数据,从头开始。
我是否需要MDM?
MDM是Apple提供的一种远程配置、管理移动设备的接口。如果你的设备注册到了MDM,那么管理员可以向这台设备强制应用配置和限制,安装和卸载应用,以及远程抹除设备上的数据。常见的MDM软件提供商有Cisco Meraki System Manager、Microsoft Intune等。在Apple Configurator初始化iOS设备时,可以选择把这台设备注册到MDM,或者完全依赖于本机配置。
MDM往往需要你支付一些费用来管理设备,并且因为MDM需要申请APNS证书,你需要一个有效的Apple开发者账号。对于个人来说,配置一个MDM会带来比较大的开销。
如果你把设备注册到MDM并且没有在Apple Configurator准备阶段禁用host pairing,那么你以后将可以通过MDM的管理面板和/或这台电脑的Apple Configurator随时启用或禁用这一功能。反之,如果你选择完全依赖本机配置或者在Apple Configurator上禁用了host pairing,以后将不能再允许这台设备与其它电脑连接(说“其它”是因为它总能和配置它的那台电脑连接,文末会详细解释),除非重置该设备。
准备我的iOS设备
打开Apple Configurator(以Apple Configurator 2为例)。如果你准备使用MDM,那么请参考你使用的MDM服务的文档来配置DEP。如果你不准备使用MDM,那么在Apple Configurator 2菜单->Preferences->Organizations里新建一个组织,登录Apple ID时选择跳过,组织信息随意填写,保存即可。
建立Blueprint(配置模板)
选择Files菜单->New Blueprint。如果已经有创建好的blueprint,那么在工具栏上选择Blueprints->Edit Blueprints。双击刚刚新建的blueprint,在编辑界面点击工具栏的Prepare按钮,选择Manual Configuration。
这里的第四项“Allow devices to pair with other computers”就是我们需要的选项了。如果你选择本机配置,那么直接取消勾选该项即可;如果你希望以后在不还原系统的情况下修改该项设置,这里需要把它勾选上。(无论如何,第三项“Supervise devices”必须勾选。)
一路下一步,等对话框结束后点击右下角的Done按钮结束编辑blueprint。
应用Blueprint到设备
插入iOS设备,Apple Configurator应该会自动检测到并在首页显示。
右键点击设备图标,选择Apply->刚刚创建的blueprint。Apple Configurator会提示需要重置设备来完成设置,点击确认。稍等一会,你的iOS设备上的数据会被清除,然后重新激活。(由于此时需要Apple Configurator代替iPhone完成激活,如果你使用国行或者有运营商锁的iPhone,这一步必须插入适配的SIM卡,否则无法完成激活,也就无法应用supervise设置。)
等对话框消失,回到设备上完成初始化向导即可。如果你配置了MDM,向导中途会提示是否接受远程管理(如下图),请确认。
全部完成后,在系统设置的顶端会提示该设备已被supervise。
这样,所有设置就完成啦。
什么可以连接,什么不可以连接
在禁止iOS设备连接到其它电脑后,使用USB连接上其它电脑,iOS端除了进入充电模式以外无任何反应,电脑端则弹出无法连接的错误对话框。
这一限制的原理很简单:在Apple Configurator创建organization时,会创建一对证书和私钥,存放在该macOS的login keychain中。iOS会在USB握手时通过XPC服务请求supervisor organization的签名(这一验证必须通过Apple Configurator完成),通过以后其它程序(iTunes等)也就可以连接上该设备(本次开机有效)。所以将该iOS设备连接到iTunes的流程是,打开Apple Configurator,插入iOS设备,输入系统登录密码以解锁login keychain,完成验证后关掉Apple Configurator,打开iTunes,再重新插拔iOS设备,等待iTunes识别即可。
证书和私钥可以使用Keychain Access导出,或者使用Meraki提供的一键导出工具。如果不知道具体是哪个,Apple Configuration的Preferences->Organizations里面有一个Show Supervision Identity的选项可以查看证书的名字。在别的系统导入时,可能会遇到一些奇怪的报错,不过没有关系,只要Keychain Access里面能看到Certificate和Private Key,就可以正常使用。
如果你使用MDM并且有DEP权限,那么可以通过MDM来分发EMM证书,安装有该EMM证书私钥的设备同样也可以和相应iOS设备配对。同样你也可以设置该设备不允许连接到任何电脑。(DEP配置模式下不需要Apple Configurator来完成初始设置。)
对于非macOS设备,目前我没有找到导入证书让iTunes识别到的方法。
参考资料
您好,请问在没有“那台”原始mac设备的情况下,我是否有办法能重置手机 disable host pairing 的选项?
至少我没有已知的办法,只能重置设备