声明式设备管理用户通道和设备通道

2025年9月9日

移动设备管理（MDM）有一个被称为"通道"的概念，它定义了管理设置的传递方式：

• 设备通道：允许将MDM设置传递给设备，并将设备设置应用于整个设备。
• 用户通道：允许将MDM设置传递给设备上的用户账户，并将用户设置仅应用于相关用户。

当使用设备注册将设备注册到MDM服务器时，作为MDM注册过程的一部分会发生几件事情：

• 设备成为受管设备。
• 安装MDM注册配置文件的本地用户账户成为受管用户。

关于成为受管用户意味着什么还有更多细节，但其中最重要的一点是，在这种背景下，成为受管用户意味着该本地用户账户可以通过用户通道传递的设置进行管理。Mac上的其他本地账户无法访问用户通道，也不能通过用户级设置进行管理。

声明式设备管理（DDM）具有相同的设备通道和用户通道概念，据我所知，它的工作方式与MDM完全相同：

• 设备通道：允许将DDM声明传递给设备，并将设备设置应用于整个设备。
• 用户通道：允许将DDM声明传递给设备上受MDM管理的用户账户，并将用户设置仅应用于相关用户。

这意味着，受MDM管理的用户账户能够通过DDM用户通道传递的设置进行管理，而其他不受MDM管理的账户不属于DDM用户通道的一部分，不能通过DDM用户级设置进行管理。

使用用户通道的DDM管理的一个例子是Safari扩展管理选项。如果您查看文档，截至2025年9月9日，Safari扩展管理具有以下配置可用性列表：

• 在监督注册中允许：iOS、macOS、共享iPad、visionOS
• 在设备注册中允许：不适用
• 在用户注册中允许：不适用
• 在本地注册中允许：不适用
• 在系统范围内允许：iOS、visionOS
• 在用户范围内允许：macOS、共享iPad

这意味着DDM Safari扩展管理在以下Apple平台上使用设备通道：

• iOS
• visionOS

DDM Safari扩展管理在以下Apple平台上使用用户通道：

• macOS
• 共享iPad