使用 iOS 应用预配配置文件防止应用过期

简介

分配给 iPhone 和 iPad 的 Apple iOS/iPadOS 业务线应用使用随附的预配配置文件和使用证书签名的代码生成。 应用运行时，iOS/iPadOS 会确认 iOS/iPadOS 应用的完整性，并强制实施由预配配置文件定义的策略。 将进行以下验证：

• 安装文件完整性 - iOS/iPadOS 将应用的详细信息与企业签名证书的公钥进行比较。 如果它们不同，则应用的内容可能已更改，并且不允许应用运行。
• 功能强制 实施 - iOS/iPadOS 尝试从企业预配配置文件 (而不是应用安装 (.ipa) 文件中的单个开发人员预配配置文件) 强制实施应用的功能。

用于对应用进行签名的企业签名证书通常持续三年。 但是，预配配置文件将在一年后过期。 虽然证书仍然有效，但 Intune 提供了一些工具，用于将新的预配配置文件主动分配给应用即将过期的设备。 证书过期后，必须使用新证书再次对应用进行签名，并使用新证书的密钥嵌入新的预配配置文件。

作为管理员，可以包括和排除安全组以分配 iOS/iPadOS 应用预配配置。 例如，可以将 iOS/iPadOS 应用预配配置分配给所有用户，但排除执行组。

如何创建 iOS 移动应用预配配置文件

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “应用>iOS 应用预配配置文件>”“创建配置文件”。

3. 在“基本信息”页上，添加以下值：

   • 名称 - 提供此移动预配配置文件的名称。
   • 说明 - （可选）提供策略的说明。
   • 上传配置文件 - 选择“打开”图标，然后选择一个 Apple Mobile Configuration Profile 文件 (，其中包含从 Apple Developer 网站下载的扩展名 .mobileprovision) 。

   到期日期将从上面添加的 Apple 移动配置文件文件中的值填充。
   

   

4. 单击“ 下一步：范围标记”。
   在 “作用域标记 ”页上，可以选择配置范围标记，以确定谁可以在 Intune 中查看 iOS/iPadOS 应用预配配置文件。 有关范围标记的详细信息，请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。

5. 单击“下一步：分配”。
   “ 分配” 页允许将配置文件分配给用户和设备。 请务必注意，无论设备是否由 Intune 管理，都可以将配置文件分配给设备。

6. 单击“下一步：查看 + 创建”以查看你为配置文件输入的值。

7. 完成后，单击“ 创建 ”，在 Intune 中创建 iOS/iPadOS 应用预配配置文件。

后续步骤

将配置文件分配给所需的 iOS/iPadOS 设备。 有关详细信息，请使用 如何分配设备配置文件中的步骤。