iOS Global HTTP Proxy 事件 結尾

遲咗接近三個星期先 寫呢個Post。第一個原因係自己真系吾記得。第二係係對上呢一個月發生咗啲幾令自己失望嘅對答。 對廠做嘢嘅效率,會答係極之失望。 Apple俾我(哋)嘅會答亦然。

係MDM廠,Apple 同客 嘅中間。 可以話影響好多人。 唔單止我一個俾廠Complain 好話我哋鬧佢哋嘅Support。 某程度自己已經覺得廠班Support已經俾啲Fault ticket搞到玩擺工噉濟。 單單ticket 三個星期以上仍然話 Simulate唔出Fault Symptom,經常講我哋試唔到應該係你哋問題,但又講唔出因由。 可以更差嘅係連問基本expected behaviour都可以要三星期。 一味拖仔訣。再唔系就話好難,好複雜做唔到。。。

Apple。。。點都唔肯認衰。再唔係同你講 “無見到有人報過”。。。當時開會一齊見客兜口兜面佢咁答(當人死架?)

結果係,如果唔系八月郁手做過嘢,拎出嚟講。到呢家會係變成點?

最終問題答案自己已經知。邊果衰心中有數。

呢家叫我唔系理咁多無問題。 食住花生繼續睇戲。

iOS Global HTTP Proxy 事件後續

好快又過左一個月,iOS12 亦已經外左。遺憾嘅係問題未有解決。係同客,同Apple,但係無廠出席嘅會。睇唔到Apple同MDM Vendor有心去睇個問題。雙方嘅反應互相推卸,不停話自己啲野無問題。 對自己放左咁多時間係非常失望。
係會議中。Apple亦講出就算真係確定有問題,都只會係iOS12往後到Fix。。。
呢一樣亦同廠一樣,迫客不停upgrade。。。

會議中。Apple亦講出就算真係確定有問題,都只會係iOS12往後到Fix。。。
呢一樣亦同廠一樣,迫客不停upgrade。。。

最後,只可以講 往後 自己係iOS12再試落去

iOS Device <> Global HTTP Proxy 再續

再續上回,已經接近4個星期。

係Split Brain DNS + Dual Web Server Host Proxy Pac (ASP)

經Mobile Network 駁入(External Proxy ASP file) 雖然無明覺試到問題,但當用Internal WiFi (Internal Proxy ASP file) 就終於有發現。

如之前講。係理論上,不論External 同 Internal Proxy file ,去MDM Server既traffic都係 “Direct”。 但iDevice 確實會出現 “Internet Connection lost”。呢句意思係咩?就係iOS device會係Connect住Internal WiFi,有Valid IP, GW, DNS 嘅情況之下,去唔到任何Destination。不論 External/Internal如否。睇到呢到,當然會問,係咪你WiFi 有問題,iOS device fault。

我可以講, 兩樣都無問題。係用相同WiFi, 同一部  iDevice(呢家三部試緊)。無用Global HTTP Proxy 前係非常正常。

而另一個意外發現係,係iDevice 落做Global HTTP Proxy Profile,而又未出現Connection lost之前,App updates (DEP 系 Auto-Updates)係變得非常非常之慢,係可以去到以 “小時”計,都update唔到。
就咩個發現, MobileIron 同 Apple 仍然未表態。。。

To be Cont’d

Supervised iOS device – Global HTTP Proxy profile credentials cached in device.

 

 

 

廢話小說。 呢個相信唔係新問題。

續試Global HTTP Proxy Profile嘅過程已試到出嚟。

部機用個Proxy Profile嘅USER ID/Password係MDM Retired / Power Reset仍然記住。

Apple係得嘅,呢啲Cheap Bug…

Discussion Topic opened in Apple

https://discussions.apple.com/thread/8484111

突發時件簿,Global HTTP Proxy <> iOS Device Check-In issue 更新

 

 

 

係啱啱啱唔啱個鐘頭前,就係出左上一個Post後,發現MDM Server HD 100% Full而開始Malfunction,當中整晚過程唔講,但係MDM Server reboot 過3 次。係自己成晚無瞓再回魂之後第一樣發現嘅係。 Test iOS Device 嘅 CheckIn Acknowledged,MDM Server 嘅Force CheckIn 亦正常返。。。
究竟係問題咩事,後續分解。。。。。

14:31 更新。
返到Office Check 落左Global Proxy Profile (Type Auto)嘅個部iPAD,超級古怪。
未unlock Screen時,係屋企做MDM Force Checkin return Acknowledged,但係返到Office check Squid log,其實仍然係Access Denied

部iPAD Screen unlock後亦繼續Waiting Checkin pending

 

 

 

 

More updates coming…….

iOS Supervised Device 用 Global HTTP Proxy Profile 出現MDM Device Check-In Activity 失蹤事件

 

 

 

 

續上一個Post。
pFSense加Squid Proxy已經Config 好。Proxy Pac亦已經放係Web Server。係PC Browser可以順利用到Proxy,準備工作完成。

係Apple Community入面搵到一個幾好嘅Discussion

AppProxy Provider vs Global Proxy

以自己理解,AppProxyProvider 係 MDM Vendor 嘅App Gateway或者係我哋講MDM嘅PreApp VPN Gateway,等同MobileIron 嘅 Sentry

自己嘅推斷同下面呢段Message差唔多

To start, I want to be clear about one thing: App proxy providers and the global HTTP proxy are very different things. There are lots of architectural differences (app proxy providers are plumbed in at the kernel level whereas HTTP proxies require user-level support) but an obvious behavioural difference is that an app proxy provider will see all TCP connections for a particular app, whereas a global HTTP proxy will only see HTTP[S] connections but for all apps.

AppProxy可以Handle TCP / UDP ,但係Global HTTP Proxy真係HTTP/HTTPS

真正問題黎啦,當MDM 推個Global HTTP Proxy Profile落去部iOS device。會唔會導致問題?

答案係。 會有問題,而要Reproduce 嘅方法亦好特別。

係iOS嘅Global HTTP Proxy Profile有兩類 。
1. Auto
2. Manual
Type Auto 係用PAC file
Type Manual 係傳統嘅Server 加Port

而自己發現,Proxy Type用 Manual 係無問題嘅,但係當Proxy Type由原本嘅 Manual轉去Auto。問題就出現。
iOS無辦法正常地去Apply Profile Update,亦影響都Device嘅正常Check-In。而因為咁,部iOS其他嘅Activity 亦會唔正常

現在階段解決方法係有,但係等Vendor reproduce 個Issue,確定係真都未遲

Reference URL

https://forums.developer.apple.com/thread/74572

Android Enterprise Chrome Managed Bookmarks

 

 

 

 

 

經過係MobileIron configure Android Enterprise,overall 係成功嘅,不係因為無Web@Work做Secure Browser。只可以用MI Tunnel + Chrome。
係Android Enterprise落App Configure同一般App Config唔同。 Configuration Profile係直接跟App。
但係好衰格嘅係資料好小好難搵。以下係落Managed Bookmarks,係MI Web@Work 落Bookmarks容易好多

由下面Microsoft Link嘅Sample,我只需要Managed Bookmarks個段。 但係另人誤會嘅係 所有嘅slash “\” , 都係唔需要嘅。

{
  "kind": "androidenterprise#managedConfiguration",
  "productId": "app:com.android.chrome",
  "managedProperty": [
    {
      "key": "EditBookmarksEnabled",
      "valueBool": false
    },
    {
      "key":"ManagedBookmarks",
      "valueString": "[{\"toplevel_name\":\"Contoso Bookmarks\"},{\"url\":\"microsoft.com\",\"name\":\"Microsoft\"},{\"url\":\"blogs.technet.microsoft.com\",\"name\":\"Favourite Blogs\"},{\"name\":\"Email services\",\"children\":[{\"url\":\"gmail.com\",\"name\":\"GMail\"},{\"url\":\"outlook.com\",\"name\":\"Outlook\"}]}]"
    }  
     ]
}

再下面由MI Community嘅sample就試到差別

From MI Community

[{“toplevel_name”: “Top Level”}, {“url”: “google.com”, “name”: “Google”}, {“url”: “youtube.com”, “name”: “Youtube”}, {“name”: “Chrome links”, “children”: [{“url”: “chromium.org”, “name”: “Chromium”}, {“url”: “dev.chromium.org”, “name”: “Chromium Developers”}]}]

以上Sample 有space係中間。經過試驗係唔Work嘅

[{“toplevel_name”:”Top Level”},{“url”:”google.com”,”name”:”Google”},{“url”:”youtube.com”,”name”:”Youtube”},{“name”:”Chrome links”,”children”:[{“url”:”chromium.org”,”name”:”Chromium”},{“url”:”dev.chromium.org”,”name”:”Chromium Developers”}]}]

 

Reference

https://blogs.technet.microsoft.com/microscott/configuring-google-chrome-settings-with-intune-and-android-for-work/

 

Android Enterprise – Device Owner Mode Configuration 後感 – Part 2

 

 

 

 

 

繼Part1,係2017 年頭附近嘅時間,(確實時間唔確定)。
新方法係由各MDM Vendor嘅Portal去申請,呢個新方法簡單都用一個 個人Gmail都可以做到,亦無每個Corporate Domain只可以reg一次嘅限制。

簡單到難以至信 三 至 五分鐘 就 做完個Registration。

Old Google Managed Domain Procedure

 

 

 

 

Reference:

AfW Configuration Procedure in Mar/2016

AndroidForWork90_Rev23Mar2016